Mevzuat ve Kurul Kararları

Türkiye ve Dünyada

Bilişim, Hukuk, Mevzuat, Kanun, Yönetmelik, Genelge, Tebliğ

MEVZUAT ve KVKK KURUL KARARLARI

TÜRKİYE - KİŞİSEL VERİLERİN KORUNMASI MEVZUATI

Kişisel Veriler'e İlişkin tüm mevzuata (kanun, yönetmelik, kurul kararı, tebliğ) ve ilan edildiği Resmi Gazete bilgilerine erişmek için buraya tıklayınız

KİŞİSEL VERİLERİ KORUMA KURUMU tarafından yayımlanan
KURUL KARARLARI, KARAR ÖZETLERİ ve DUYURULAR

Resmi Gazete'de yayımlanan KVKK Kurul Kararlarının tamamına buradan erişilebilir. Ayrıca Kurul tarafından yayımlanan kararlara buradan, karar özetlerineburadanve duyurulara buradan erişebilirsiniz.


Duyurular:

21/04/2022: VERBİS'e kayıt ve Bildirim Yükümlülüğü'ne İlişkin Kamuoyu Duyurusu

Bilindiği üzere 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 16’ncı maddesinde “(1) Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulur. (2) Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır.” hükmü ile Geçici 1 inci maddesinin (2) numaralı fıkrasında “Veri sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır.” hükmü yer almaktadır.

Bu hükme istinaden Kurulun 11/03/2021 tarihli ve 2021/238 sayılı Kararı ile; yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının, yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının, kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşu veri sorumlularının Sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için 31.12.2021 tarihine kadar süre verilmiştir.

Kanun’un 18’inci maddesinin (1) numaralı fıkrasında yer alan “(ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir.” hükmü ile aynı maddenin (3) numaralı fıkrasında yer alan “Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.” hükmü gereği Sicile kayıt ve bildirim yükümlülüğünü yerine getirmeyen veri sorumluları hakkında Kurul tarafından re’sen idari yaptırım uygulanabilecektir.

Bu kapsamda Sicile kayıt ve bildirim yükümlülüğünü yerine getirmediği tespit edilen veri sorumluları hakkında Kanun’un 18’inci maddesi uyarınca idari yaptırım uygulanmasına başlanmıştır.

Kamuoyuna saygıyla duyurulur.

15/02/2022: Kullanıcı Güvenliğine İlişkin Veri Sorumluları Tarafından Alınması Tavsiye Edilen Teknik ve İdari Tedbirlere İlişkin Kamuoyu Duyurusu

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasında “ veri sorumlusunun;

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu” hükme bağlanmıştır.

Mezkûr Kanunun amir hükmü kapsamında Son zamanlarda Kişisel Verileri Koruma Kurumuna intikal eden veri ihlal bildirimleri değerlendirilmiştir. Bu kapsamında; finans, e-ticaret, sosyal medya ve oyun gibi muhtelif sektörlerde faaliyet gösteren veri sorumlularının internet sitelerine giriş için kullanılan kullanıcı hesap bilgilerinin (kullanıcı adı ve parolalar) bazı internet sitelerinde herkese açık şekilde yayınlandığı görülmüştür. Söz konusu kullanıcı hesaplarını elde eden üçüncü kişilerce anılan veri sorumlularının internet sitelerine kullanıcıların haberi olmadan aktif bir şekilde giriş yapıldığı ve ilgili kişilere ait verilerin bu kapsamda görüntülenebildiği tespit edilmiştir.

Ayrıca farklı zamanlarda, veri sorumluları sistemlerinden veya son kullanıcı bilgisayarlarındaki güvenlik açıkları kullanılarak elde edilen kişisel verilerin, hukuka aykırı bir şekilde paylaşıldığı ve ekonomik bir değer karşılığında satışa sunulabildiği görülmektedir. Bununla birlikte ilgili kişilere ait bu veriler elden ele dolaşarak kötü niyetli kişilerce arşivlenerek daha büyük veri setleri halinde yeniden pazarlanabilmektedir.

Veri sorumluları ve veri işleyenler tarafından veri güvenliği kapsamında alınacak teknik ve idari tedbirlerin olası veri ihlal durumlarını ve ilgili kişiler üzerinde oluşturabileceği riskleri minimize edeceği muhakkaktır. Bu kapsamda yaygın olarak yaşanan ve veri ihlallerinin oluşmasına neden olan “aynı kullanıcı adı ve parolanın farklı platformlarda kullanılması, belirli zaman aralıklarında parola değişiminin yapılmaması, iki kademeli kimlik doğrulama vb. giriş yöntemlerinin kullanılmaması” gibi teknik ve idari tedbir eksikliklerinin kişisel veri ihlallerine neden olabildiği görülmektedir.

Yukarıda belirtilen ve yaygın olarak yaşanan veri ihlallerini önlemek veya meydana gelmesi halinde ilgili kişiler üzerinde olumsuz sonuç doğurma olasılığının azaltılmasını teminen, veri sorumluları tarafından bir takım önlemlerin alınmasına ihtiyaç duyulmaktadır.

Bu kapsamda veri sorumlularının;

  • Çift kademeli kimlik doğrulama (two-factor authentication) sistemlerini kurmaları ve kullanıcılarına üyelik başvurusu aşamasından itibaren alternatif güvenlik önlemi olarak sunmaları,
  • Kullanıcıların hesaplarına sık erişim sağlayan cihazlar haricinde farklı cihazlar üzerinden giriş yapılması durumunda, giriş bilgilerinin e-posta/sms vb. yöntemlerle ilgili kişilerin iletişim adreslerine iletilmesinin sağlanması,
  • Uygulamaların HTTPS (Hypertext Transfer Protocol Secure - Hiper Metin Aktarma Güvenli İletişim Kuralı) ile veya aynı güvenlik seviyesini sağlayacak bir şekilde koruma altına alınması,
  • Kullanıcı parolalarının, siber saldırı yöntemlerine karşı korunmasını teminen, güvenli ve güncel karma (hashing) algoritmaların kullanılması,
  • IP (Internet Protocol Address) adresinden yapılacak başarısız giriş denemesi sayısının sınırlandırılması,
  • İlgili kişilerin en az son 5 adet başarılı ve başarısız giriş denemeleri ile ilgili bilgilerini görüntüleyebilmelerinin sağlanması,
  • İlgili kişilere aynı parolanın birden fazla platformda kullanılmaması gerektiğinin hatırlatılması,
  • Veri sorumluları tarafından parola politikasının oluşturulması ve kullanıcılara ait parolaların belirli aralıklarla değiştirilmesinin sağlanması veya bu hususun ilgili kişilere hatırlatılması,
  • Yeni oluşturulan parolaların, eski parolalarla (en az son üç parolayla) aynı olmasının engellenmesi, kullanıcı hesaplarına girişlerde bilgisayar ile insan davranışlarını ayırt edici güvenlik kodu gibi teknolojilerin (CAPTCHA, dört işlem vb.) kullanılması, erişime izin verilen IP adreslerinin sınırlandırılması,
  • Veri sorumlularının sistemlerine giriş yapılan parolaların uzunluğunun asgari 10 karakter olması, büyük-küçük harf, rakam ve özel karakterlerin bir arada kullanılmasına yönelik güçlü parola oluşturulmasının sağlanması,
  • Veri sorumlularının sistemlerine giriş için üçüncü parti yazılımlar veya servisler kullanılıyorsa bu yazılımların ve servislerin güvenlik güncelleştirmelerinin düzenli olarak gerçekleştirilmesi ve gerekli kontrollerin yapılması

gibi teknik ve idari tedbirlerden kendi risk değerlendirmelerini yaparak uygun olanlarını almaları tavsiye edilmektedir.

17/12/2021: Mağazalarda Alışveriş Sırasında İlgili Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesine İlişkin Kamuoyu Duyurusu

Kurumumuza intikal eden muhtelif sayıda şikâyet ve ihbarda, mağazalarda gerçekleştirilen alışverişi müteakip kasa işlemleri esnasında ilgili kişilere SMS ile doğrulama kodu gönderildiği ve ödemelerinin tamamlanması ya da bilgilerinin güncellenmesi için gerekli olduğu gerekçesi ile söz konusu kodun kasa görevlisine bildirilmesinin istenildiği, ancak bahse konu işlemin akabinde ilgili kişilere söz konusu mağaza faaliyetleri ile ilgili ticari elektronik ileti gönderildiği iddialarına yer verildiği görülmektedir. Kişisel Verileri Koruma Kurulu tarafından söz konusu şikayet ve ihbarlara yönelik yapılan incelemelerde ilgili kişilere ödeme işlemleri esnasında doğrulama kodu gönderilen SMS içeriklerinde ya da SMS gönderimi öncesinde veri sorumlusunca herhangi bir aydınlatma yapılmadığı ve/veya söz konusu kodun ödeme işlemlerinin tamamlanması ya da bilgilerinin güncellenmesi için gerekli olduğu gerekçesi ile istenilmesine rağmen veri sorumlusu tarafından bu yolla ticari elektronik ileti gönderimine ilişkin açık rıza alınması suretiyle ilgili kişilerin yanıltıldığı tespit edilmiştir.

Bilindiği üzere, kişisel verilerin işlenmesi 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 5 inci maddesinde düzenlenmiş olup, buna göre Kanunun 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği hükme bağlandıktan sonra (2) numaralı fıkrasında ise ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu işleme şartları sayılmıştır.

Kanunun 3 üncü maddesinde ise açık rıza; “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmış olup, söz konusu tanımdan açık rızanın taşıması gereken üç unsurunun bulunduğu görülmektedir. Öncelikle, alınan açık rızanın belirli bir konuya ilişkin ve o konu ile sınırlı olması, diğer bir ifade ile veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması gerekmektedir. Eğer birden çok kategoriye ilişkin verinin işlenmesine dair açık rıza beyanında bulunulacaksa, açık rızanın hangi verilerin ve ne amaçlarla işleneceği gibi, işlemenin farklı noktaları açısından da verilmiş olması zorunluluk arz etmektedir. Öte yandan, açık rıza bir irade beyanı olup, kişinin özgür bir şekilde rıza gösterebilmesi için neye rıza gösterdiğini de bilmesi, bu anlamda kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olması gerekmektedir. Son olarak kişinin irade beyanı olan rıza, kişinin yaptığı davranışın bilincinde ve kendi kararı olması halinde geçerlilik kazanacaktır. Kişinin iradesini sakatlayacak her türlü fiil, kişisel verilerin işlenmesi için verdiği açık rızayı da sakatlayacaktır. Cebir, tehdit, hata ve hile gibi iradeyi sakatlayan hallerde, kişinin özgür biçimde karar vermesi mümkün değildir. Dolayısıyla, bu gibi durumlarda bir özgür irade açıklamasından bahsedilemeyecektir. Ayrıca, açık rızanın özgür irade ile açıklanması gerektiğinden, ilgili kişinin açık rızasının alınması, bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmemelidir.

Öte yandan Kanunun 10 uncu maddesi çerçevesinde, kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi tarafından, ilgili kişilere maddede sayılan hususlarda bilgi verilmek suretiyle aydınlatma yükümlülüğünün yerine getirilmesi gerekmektedir. Bu kapsamda, aydınlatma yükümlülüğü gerek açık rıza gerekse de Kanundaki diğer kişisel veri işleme şartlarından bağımsız olarak yerine getirilmesi gereken bir yükümlülüktür. Bununla birlikte, kişisel veri işleme faaliyetinin ilgili kişinin açık rızasına dayanarak gerçekleştirilmesi durumunda, veri sorumlusu tarafından aydınlatma yükümlülüğü ile açık rıza alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.

Bu kapsamda, Kişisel Verileri Koruma Kurulu tarafından yapılan incelemeler neticesinde;

  • Kişilerin telefonuna gönderilecek olan SMS’in amacının ne olduğu ve bu SMS ile iletilen kodun verilmesi halinde ne gibi sonuçlar doğuracağı hususunun, katmanlı aydınlatmanın bir gereği olarak ilk aşamada veri sorumlusunun mağazalarda yetkilendirdiği kişiler tarafından ilgili kişilere açık ve anlaşılır bir biçimde aktarılması, ayrıca aydınlatma yükümlülüğünün yerine getirilebilmesini teminen yine söz konusu SMS içeriklerinde de gerekli kanalların sağlanması,
  • Mağazalarda gerçekleştirilen alışverişler ile ilgili ödeme esnasında ilgili kişilere SMS ile doğrulama kodu gönderilerek üyelik sözleşmesi, kişisel verileri işleme izni, ticari elektronik ileti onayı vb. birbirinden farklı işleme faaliyetlerinin tek bir eylemle gerçekleştirilmesine yönelik uygulamalara son verilmesi, söz konusu işleme faaliyetlerine yönelik seçenek sunulmak suretiyle ayrı ayrı açık rıza alınması,
  • Bunun yanı sıra, veri sorumlularınca açık rıza alınması ve aydınlatma yükümlülüğü işlemlerinin birlikte gerçekleşmesine neden olabilecek durumlardan kaçınılması,
  • Ticari elektronik ileti gönderimi için açık rıza alınmasını teminen SMS doğrulama kodu gönderilmesine yönelik bir uygulamaya gidilmesi halinde ise söz konusu işlemde alınacak açık rızanın tüm unsurları kapsaması

önem arz etmektedir.

Kamuoyuna saygıyla duyurulur.

07/12/2021: İş Vaadi Konulu TCK Kapsamındaki Kişisel Veri İhlallerine İlişkin Kamuoyu Duyurusu

Son zamanlarda, ilgili kişilerin muhtelif kanallardan veya sosyal medya üzerinden evde paketleme vb. konulu iş ilanlarına başvuruda bulundukları, başvuru neticesinde bu kişilerden T.C. kimlik kartı fotoğraflarının ve belirtilen IBAN hesap numarasına para gönderilmesi ve hemen ardından para iadesi işlemi yapılmasının talep edildiği, akabinde ise iş vaadinde bulunan işletmelere ya da kişilere ulaşılamadığı dolayısıyla kimlik bilgilerinin dolandırıcıların eline geçtiği yönünde Kurumumuza çok sayıda ihbar ve şikâyet intikal etmektedir.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 17’nci maddesinde kişisel verilere ilişkin suçlar bakımından 5237 sayılı Türk Ceza Kanunu’nun 135 ila 140’ıncı madde hükümlerinin uygulanacağı hükmü yer almaktadır. Bu kapsamda 5237 sayılı Türk Ceza Kanunu uyarınca hukuka aykırı olarak kişisel verileri kaydeden, kişisel verileri hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişiler hakkında hapis cezası uygulanacağı belirtilmiştir. Bu çerçevede bahsi geçen dolandırıcılık amaçlı olduğu anlaşılan iş vaadi konulu benzer şikâyetlere konu iddiaların Türk Ceza Kanunu hükümleri uyarınca suç unsuru barındırabileceği ve 6698 sayılı Kanun’un 15’inci maddesi gereğince yargı mercilerinin görevine giren konularla ilgili olan dilekçelerin incelenemeyeceği hükme bağlandığından ilgili kişilerin konuya ilişkin gerekli hukuksal işlemlerin tesisini teminen yargı yoluna başvurmaları gerekmektedir.

Diğer taraftan, Kurumumuza aynı konuda gelen başvurularda yaşanan artış nedeniyle Kişisel Verileri Koruma Kurulu’nun 02/12/2021 tarihli ve 2021/1236 sayılı Kararı ile vatandaşların farkındalık düzeyinin arttırılmasını teminen kamuoyu duyurusunda bulunulmasına karar verilmiştir. Bu minvalde, vatandaşların telafisi güç maddi veya manevi zararlarla karşılaşmamasını teminen güvenilir olmayan gerçek veya tüzel kişilerin iş ilanlarına itibar etmemeleri ve kişisel verilerini paylaşmamaları yönünde azami dikkat ve özen göstermesi önem arz etmektedir.

Kamuoyuna saygıyla duyurulur.

07/12/2021: Veri Koruma Görevlisi Belgelendirme Programı (sertifikasyon)

Kurumumuz tarafından Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ kapsamında yapılacak olan sertifikasyon faaliyetine ilişkin olarak Veri Koruma Görevlisi Belgelendirme Programı hazırlanmıştır. 25.11.2021 tarihli ve 2021/1178 sayılı Kişisel Verileri Koruma Kurulu Kararı ile Veri Koruma Görevlisi Belgelendirme Programı'nın yürürlüğe konulmasına ve Kurumumuzun internet sayfasında yayımlanmasına oy birliği ile karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

 

Veri Koruma Görevlisi Belgelendirme Programı için tıklayınız..

05/11/2021: Belediyeler

Kurumumuza iletilen çeşitli ihbarlarda belediyelerin internet üzerinden emlak vergisi veya beyan bilgisini sorgulama sayfalarında yalnızca TC kimlik numarası girilerek vatandaşın emlak bilgilerine ulaşılmasının kişisel verilerin korunması açısından sorun teşkil ettiği ifade edilmiş, konunun 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında incelenmesi talep edilmiştir.

Söz konusu talepler kapsamında Kişisel Verileri Koruma Kurulu (Kurul) tarafından alınan 25/02/2021 tarih ve 2021/140 sayılı Karar ile “…bazı belediyeler tarafından internet üzerinden verilen vergi ödeme hizmetlerinin üyelik ve şifre ya da çift doğrulama yolu ile sisteme giriş yapılması sureti ile gerçekleştirildiği ve bu uygulamaların Kanuna uygun olduğu, ancak bazı belediyeler tarafından sunulan hızlı sorgulama ya da borç ödeme uygulamalarında sadece tek bir bilgi girilerek kişilerin borç bilgisine ulaşılabildiği; her ne kadar kişiye ait isim ya da mülke ilişkin bilgilere erişim mümkün olmasa da borca ilişkin bilgiye erişim sağlanabildiği anlaşılmış olup, bu durumun Kanunun 12 nci maddesinin 1 numaralı fıkrasının (b) bendinde yer alan kişisel verilere hukuka aykırı olarak erişilmesini önlemek hükmüne aykırı olduğu değerlendirilmekle birlikte bahse konu uygulamalara ilişkin olarak belirli bir belediye hakkında Kurumumuza iletilmiş herhangi bir şikayet bulunmadığı dikkate alındığında bir hak mahrumiyetinin oluşmadığı, ancak Kanuna aykırı uygulamaların devam ediyor olması nedeniyle konu hakkında Çevre ve Şehircilik Bakanlığına ve Türkiye Belediyeler Birliğine bilgi verilmesine

- Diğer taraftan Belediyelerce sunulan söz konusu uygulamaların yeniden düzenlenmesi hususunda Belediyelere 3 (üç) ay süre verilmesine ve Kanunun 18 inci maddesinde yer alan yaptırımlara ilişkin hükümlerin Belediyelere hatırlatılmasına…”

karar verilmiştir. İlgili Karar kapsamında 09.04.2021 tarih ve 52863 sayılı yazımız ile tüm büyükşehir belediyelerine, il belediyelerine, ilçe belediyelerine ve belde belediyelerine “söz konusu uygulamaları yürüten belediyelerin bu yazı tarihinden itibaren 3 ay içerisinde bu uygulamaları sonlandırmaları ve Kanuna aykırı veri işleme faaliyetlerini durdurmalarına” karar verildiği, “Kanuna aykırı veri işleme faaliyetini sürdüren Belediyeler hakkında Kanunun 18 inci maddesi kapsamında idari işlem uygulanacağı” hususları iletilmiştir.

Bilindiği üzere, Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) kapsamında kişisel verilere gerekmesi halinde uzaktan erişim için iki kademeli kimlik doğrulama kontrolünün uygulanması önerilmektedir. Bu kapsamda başkalarının kolayca ulaşabileceği örneğin kişinin TC kimlik numarası ve doğum günü bilgisinin sorgulanarak erişim imkânı veren sistemler tek kademeli doğrulama olarak kabul edilirken, kişinin TC kimlik numarasının yanı sıra kişiye özel oluşturulmuş şifre ya da kişinin daha önce bildirmiş olduğu telefon numarasına iletilen SMS kodu ile erişim sağlanan sistemler iki kademeli doğrulama olarak kabul edilmektedir. Bu çerçevede 1398 adet büyükşehir belediyesi ile bağlı ilçeleri, il belediyeleri ile bağlı ilçe ve belde belediyelerinin internet siteleri üzerinden verdikleri emlak vergisi borç sorgulama ve ödeme-hızlı ödeme sistemlerinde yapılan incelemede çift faktörlü doğrulamaya bakılırken ilk doğrulamanın TC kimlik no, ad soyad, vergi no gibi verilerle yapılırken ikincil düzeydeki doğrulamanın kişiye özel oluşturulmuş üyelik, SMS ya da e-postaya iletilen şifre gibi bir sistemle gerçekleştirilip gerçekleştirilmediği, ikincil düzeyde kişiye ait başkalarının da erişebileceği telefon no, doğum tarihi, anne baba adı gibi bilgiler yerine sadece kişiye özel olarak belirlenecek ve sadece ilgili kişinin erişebileceği verilerin istendiği sistemlerin varlığı incelenmiştir.

Kurulun 25.02.2021 tarih ve 2021/140 sayılı Kararı ile belirlenen 3 aylık sürenin dolmasını müteakip yapılan inceleme neticesinde Kurulun 21.10.2021 tarih ve 1077 sayılı Kararı ile Belediyelere iletilen yazılar uyarınca bazı belediyelerin gerekli değişiklikleri yaptığı, ancak birçok Belediyenin ilgili Karar çerçevesinde gerekli güvenlik tedbirlerini almadığı ve halihazırda emlak vergisi borç sorgulama ve ödeme hizmetleri sunumunda “tek faktörlü doğrulama” uyguladığı tespit edilmiş olup, Kanunun 12 nci maddesinin 1 numaralı fıkrasının (b) bendinde yer alan kişisel verilere hukuka aykırı olarak erişilmesini önlemek hükmüne aykırı uygulamalara devam ettiği anlaşılan belediyeler ile ilgili olarak 25.02.2021 tarih ve 2021/140 sayılı Kurul Kararının gereğinin yerine getirilmediği değerlendirmesinden hareketle bahse konu aykırılığa sebebiyet verenler hakkında Kanunun 18 inci maddesinin (3) numaralı fıkrası kapsamında disiplin hükümlerine göre işlem yapılması ve sonucundan Kurula bilgi verilmesi hususunda ilgili belediyelerin talimatlandırılmasına karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

28/09/2021: COVID-19 PCR TEST SONUCU VE AŞI BİLGİSİ UYGULAMALARI

Kurumumuza gerek yazılı olarak gerek ALO 198 çağrı hattı vasıtasıyla intikal eden PCR testi ve/veya aşı bilgisi taleplerine ilişkin 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) çerçevesinde nasıl bir yol izlenmesi gerektiğine ilişkin olarak Kurumumuz görüşlerinin talep edilmesi üzerine, konunun ülke genelinde gerçekleştirilecek yaygın bir uygulamaya inhisar edeceği dikkate alınarak, Kanun kapsamında bir değerlendirme yapılmasını teminen Kişisel Verileri Koruma Kurulu’nun gündemine alınmasına karar verilmiş ve Kurul’un 28/09/2021 tarihli ve 2021/980 sayılı Kararı ile aşağıda yer verilen değerlendirmenin Kurum resmi internet sitesinde yayınlanmasına karar verilmiştir.

Dünya genelinde çeşitli varyantlarının da etkisiyle yayılma hızı giderek artış gösteren Covid-19 virüsünün neden olduğu hastalıklardan korunmak adına, değişen koşulları da dikkate almak suretiyle ülkemizin de aralarında bulunduğu tüm devletler, çeşitli tedbirler almaya devam etmekte olup; karantina, sosyal mesafe ve sosyal izolasyon gibi temel tedbirlerin alınmasının yanı sıra, yapılan bilimsel çalışmalar neticesinde Covid-19 aşıları geliştirilerek kullanıma sunulmuştur. Covid-19 aşısının, koronavirüsün yayılımını önlediği, hastalığın etkilerini de önemli ölçüde azalttığı bilinmekte olup; bu bilimsel gerçeklikten hareketle devletler, kamu sağlığının korunmasını teminen işyerleri de dâhil olmak üzere toplu halde bulunulacak alanlarda, Covid-19 aşı bilgisi ve/veya PCR testi sonuçlarının işlenmesi zorunluluğu getirmektedirler.

Nitekim ülkemizde de İçişleri Bakanlığınca 81 İl Valiliğine gereği, ilgili Bakanlıklara da bilgi için gönderilen 20.08.2021 tarihli yazıda; salgının toplum sağlığı ve kamu düzeni açısından oluşturduğu riskin asgari seviyeye düşürülmesi için konser, sinema, tiyatro ve toplu ulaşım araçları gibi insanların toplu olarak bulunduğu faaliyetlere katılım sağlamak isteyen kişilere Covid-19 aşı bilgisi ve/veya negatif sonuçlu PCR test bilgisinin bildirilmesi zorunluluğu getirilmiştir.

Çalışma ve Sosyal Güvenlik Bakanlığının 81 İl Valiliğine gereği için, ilgili Bakanlıklara da bilgi için gönderdiği 02.09.2021 tarihli yazıda ise işyerlerinde karşılaşılabilecek sağlık ve güvenlik risklerine yönelik koruyucu ve önleyici tedbirler kapsamında; Covid-19 aşısı olmayan işçilerden zorunlu olarak haftada bir kez PCR testi yaptırmalarının işyeri/işveren tarafından istenebileceği ve test sonuçlarının gerekli işlemler yapılmak üzere kayıt altında tutulacağı ifade edilmiştir.

Öncelikle belirtmek gerekir ki; kişilerin tahlil, görüntüleme, test, rapor, aşı durumu gibi sağlık durumlarına ilişkin bilgileri Kanunun 6 ncı maddesine göre kişisel sağlık verisi niteliğini haiz olup, özel nitelikli kişisel veri kategorisinde bulunmaktadır. Bu sebeple, söz konusu bilgilerin Kanunun 6 ncı maddesinde yer verilen işleme şartlarına uygun olarak işlenmesi gerekmektedir.

Öte yandan, Covid-19 salgınının dünya çapındaki gerek sağlık, gerek sosyal hayat gerek ekonomi üzerindeki etkileri dikkate alındığında, bu salgınla mücadele kapsamında aşı durumu ve PCR test sonucu gibi Covid-19’a ilişkin kişisel sağlık verilerinin; kamu sağlığının, kamu güvenliğinin ve kamu düzeninin korunması amacıyla işlenmesi gerekliliğinin ortaya çıkması kaçınılmazdır.

Bilindiği üzere Kanunun 28 inci maddesinin birinci fıkrasının (ç) bendinde, “Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi” halinde Kanun hükümlerinin uygulanmayacağı düzenlenmiştir.

Bu noktadan hareketle salgın hastalık gibi kamu güvenliği ve kamu düzenini tehdit eden durumlarda bu tehdidi ortadan kaldırabilmek amacıyla salgın hastalığın bulaşıcılığının önüne geçilebilmesini teminen kanunla yetki verilmiş kamu kurum ve kuruluşlarınca yürütülen faaliyetler kapsamında kişisel verilerin işlenmesinin de Kanunun 28 inci maddesinin birinci fıkrasının (ç) bendi kapsamında değerlendirilmesi gerektiği düşünülmektedir.

Bu kapsamda Covid-19’un sebebiyet verdiği salgın hastalığın kamu güvenliği ve kamu düzenini tehdit etmesi sebebiyle hastalığın yayılımını engellemek amacıyla Covid-19 aşı bilgisi ve/veya negatif sonuçlu PCR test bilgisinin anılan madde hükmü kapsamına giren kamu kurum ve kuruluşlarınca yürütülen önleyici ve koruyucu faaliyetler kapsamında işlenmesinin önünde bir engel bulunmadığı, dolayısıyla söz konusu kişisel veri işleme faaliyetlerinin Kanunun 28 inci maddesinin birinci fıkrasının (ç) bendi kapsamında gerçekleştirilebileceği, bununla birlikte, Covid-19 salgını kapsamında yürütülen kamu güvenliğini ve kamu düzenini koruma amacına yönelik faaliyetler dışında kalan ya da bu amacı aşan nitelikteki kişisel veri işleme faaliyetlerinin Kanun kapsamında yer alacağı değerlendirilmektedir.

Kamuoyuna saygıyla duyurulur.

09/02/2021: TAAHHÜTNAME BAŞVURUSU HAKKINDA DUYURU

Veri sorumlusu TEB Arval Araç Filo Kiralama Anonim Şirketi tarafından yurtdışına kişisel veri aktarımı yapılması hususundaki Taahhütname başvurusu Kişisel Verileri Koruma Kurulu tarafından 6698 sayılı Kişisel Verilerin Korunması Kanununun 9 uncu maddesinin 2 nci fıkrasının (b) bendi kapsamında değerlendirilmiş ve söz konusu veri aktarımına 09.02.2021 tarihinde Kurul tarafından izin verilmiştir.

12/01/2021: WHATSAPP UYGULAMASI HAKKINDA KAMUOYU DUYURUSU

Bilindiği üzere; 7 Nisan 2016 tarihli Resmi Gazete’de yayınlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 2 nci maddesinde “Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır” hükmü yer almaktadır.

Kişisel verilerin işlenebilmesi için ise, Kanunun 5 inci ve 6 ncı maddelerinde yer alan işleme şartlarından herhangi birinin mevcut olması gerekmektedir. Kanunun 5 inci maddesinin (2) numaralı fıkrasına göre; “kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması,” işleme şartlarından herhangi birinin varlığı halinde kişisel veriler işlenebilecektir. Bu şartların bulunmadığı durumlarda ise kişisel veriler ancak ilgili kişinin açık rızası alınmak suretiyle işlenebilecektir.

Kanunun 3 üncü maddesinde açık rıza; “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlanmış olup, buna göre açık rızanın üç unsuru bulunmaktadır:

  • Belirli bir konuya ilişkin olması,
  • Rızanın bilgilendirmeye dayanması,
  • Özgür iradeyle açıklanması.

Söz konusu unsurlar açısından değerlendirildiğinde açık rıza, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile hukuka uygun şekilde onay vermesi anlamını taşımaktadır. Açık rızanın bir diğer önemi de veri sorumlusuna, gerçekleştireceği kişisel veri işleme faaliyeti konusunda yol göstermesidir. Kişi açık rıza açıklaması ile aslında veri sorumlusuna kendi hukuksal değerine ilişkin verdiği kararı bildirmiş olmaktadır. Açık rıza, ilgili kişinin işlenmesine izin verdiği verinin sınırlarını, kapsamını, gerçekleştirilme biçimini ve süresini de belirlemesini sağlayabilmektedir. Bu anlamda açık rıza, rıza veren kişinin olumlu irade beyanını içermelidir.

Kişisel verilerin işlenmesine açık rıza vermek, kişiye sıkı sıkıya bağlı bir hak olduğundan verilen açık rıza geri alınabilir. Bu bağlamda kişisel verilerin geleceğini belirleme hakkı ilgili kişiye ait olup, kişi dilediği zaman veri sorumlusuna vermiş olduğu açık rızasını geri alabilir. Ancak, geri alma işlemi ileriye yönelik sonuç doğuracağından, açık rızaya dayalı olarak gerçekleştirilen tüm faaliyetler geri alma beyanının veri sorumlusuna ulaştığı andan itibaren veri sorumlusu tarafından durdurulmalıdır. Bir diğer deyişle, geri alma beyanı veri sorumlusuna ulaştığı andan itibaren hüküm doğurur.

Kişisel verilerin işlenmesinde hukuki sebep olarak “açık rıza”nın belirlenmesinin söz konusu olduğu ve verilen hizmetin açık rıza şartına bağlandığı hususlara ilişkin olarak 2 Ağustos 2018 tarihinde Kurum internet sayfasında, Kişisel Verileri Koruma Kurulunun (Kurul16.02.2018 tarihli ve 2018/19 sayılı Kararının özeti yayınlanmıştır. Söz konusu Kurul kararında da belirtildiği üzere, öncelikle kişisel verilerin işlenmesi sırasında ilgili kişilerden alınan açık rıza, veri sorumluları tarafından bir hizmetin ifası için ön şart olarak ileri sürülemeyecektir.

Kanunun 4 üncü maddesi uyarınca kişisel verilerin, hukuka ve dürüstlük kurallarına uygun, belirli, açık ve meşru amaçlarla ve işlenme amacı ile bağlı, sınırlı ve ölçülü olma ilkelerine uygun olarak işlenmesi, hangi kişisel verilerin işleneceği veya hangi amaçlarla kimlere aktarılacağı hususlarında gerekli bilgilendirmenin yapılmış olması ve her bir işleme/aktarma faaliyetine yönelik seçenek sunulmak suretiyle ayrı ayrı açık rıza alınması gerekmektedir.

Diğer taraftan, Kanunun “Kişisel verilerin yurt dışına aktarılması” başlıklı 9 uncu maddesinde; kişisel verilerin, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağı; ancak anılan hükmün ikinci fıkrası uyarınca Kanunun 5 inci maddesinin ikinci fıkrası ile özel nitelikli kişisel veriler bakımından 6 ncı maddesinin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması, yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul izninin bulunması kaydıyla kişisel verilerin ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabileceği düzenlenmiştir.

WhatsApp Inc. tarafından, WhatsApp uygulamasını kullanmak isteyen kullanıcıların kişisel verilerinin işlenmesine ve yurtdışında bulunan üçüncü taraflara aktarılmasına rıza verilmesini içerecek şekilde kullanım şartlarının güncellendiği, bu kapsamda rıza vermeyen kullanıcıların uygulamayı kullanamayacağına ve hesaplarının silineceğine dair kullanıcılara bilgilendirme iletildiği tespit edilmiştir.

Söz konusu bilgilendirme metninde yönlendirme yapılan Gizlilik Politikasında ise, hangi verilerin hangi amaçlarla işleneceği ifade edilmekle birlikte, işlenen kişisel verilerin WhatsApp Inc. tarafından yurtdışında yerleşik bulunan hizmet aldığı ve hizmet verdiği Facebook grup şirketleri, tedarikçileri, iş ortakları, hizmet sağlayıcıları ve diğer üçüncü taraf veri sorumluları gibi net olarak belirli olmayan taraflara teknik destek, teslimat ve diğer hizmetleri sağlamak, araştırma yapmak, pazarlama ve anket vb. gibi yine belirli olmayan amaçlarla aktarılacağının ifade edilmekte olduğu görülmektedir.

Kişisel verilerin, yurtdışında yerleşik bir veri sorumlusu olan WhatsApp Inc. tarafından işlenmesine ve yurtdışında yerleşik başka veri sorumlularına aktarılmasına ilişkin açık rıza alınması hususunda yapılan ön değerlendirme sonucunda;

  • Kullanıcılardan kişisel verilerinin işlenmesine ve yurtdışında yerleşik üçüncü taraflara aktarılmasına yönelik rıza alınması işleminin ayrıştırılmadığı ancak kullanıcıların kişisel verilerinin işlenmesine rıza verirken yurtdışında başka bir veri sorumlusuna aktarılmasına rıza vermeyebileceği dikkate alındığında söz konusu uygulamanın kullanım yaygınlığı da göz önünde bulundurularak bu durumun Kanunda belirlenen açık rızanın unsurlarından “özgür iradeyle açıklanması” açısından bir ihlal oluşturup oluşturmadığı,
  • Yurtdışında bulunan başka bir şirkete aktarım yapılmak şartıyla uygulamanın kullanılmasına izin verilmesinin Kanunun 4 üncü maddesinde sayılan ilkelerden “hukuka ve dürüstlük kurallarına uygun olma”, “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkeleri açısından bir ihlale sebebiyet verip vermediği,
  • Sunulan hizmetin açık rıza şartına bağlanmış olmasının verilen açık rızayı sakatlayabileceği bu durumun da kişisel verilerin hukuka aykırı işlenmesi sonucunu doğurabileceği dikkate alındığında Whatsapp Inc. tarafından yapılan güncelleme ile hizmetin rıza şartına bağlanması durumunun ortaya çıkıp çıkmadığı,
  • WhatsApp Inc. tarafından yurtdışında yerleşik veri sorumlularına yapılacak aktarım hususunda Kanunun 9 uncu maddesi hükümlerine aykırılık olup olmadığı

hususları açısından, Kişisel Verileri Koruma Kurulunun 12.01.2021 tarihli ve 2021/28 sayılı Kararı ile WhatsApp Inc. hakkında resen inceleme başlatılmasına karar verilmiştir.

Sürece ilişkin olarak 08.02.2021 tarihinde Kurul tarafından yeni bir değerlendirme yapılacaktır.

Kamuoyuna saygıyla duyurulur.

 

https://www.kvkk.gov.tr/Icerik/6856/WHATSAPP-UYGULAMASI-HAKKINDA-KAMUOYU-DUYURUSU

16/12/2020: “Alenileştirme” Hakkında Kamuoyu Duyurusu

Bilindiği üzere kişisel verilerin işlenme şartları 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 5 ve 6 ncı maddelerinde düzenlenmiş olup, Kanunun 5 inci maddesi kapsamında yer verilen işleme şartlarından biri de kişisel verinin, “ilgili kişinin kendisi tarafından alenileştirilmiş olması”dır.

Temel itibarıyla “alenileştirme” kavramı, ilgili kişinin kişisel verilerinin, kendisi tarafından kamuoyuna açıklanması olarak ifade edilmektedir. Bununla birlikte Kanun kapsamında “alenileştirme”, kişisel verinin herhangi bir şekilde kamuoyuna sunulmasından daha dar bir anlama sahip olup; ilgili kişinin alenileştirme iradesi ve alenileştirme amacı ile yakın ilişki içerisinde bulunmaktadır.

Bu çerçevede, kişisel verinin, aleni kabul edilebilmesi için öncelikle ait olduğu kişinin aleni olmasını istemesi, başka bir ifade ile bu yönde bir iradesinin var olması gerekir. Bu anlamda tek başına kişisel verinin kamuoyuna açık hale gelmesi, örneğin herkesin görebileceği bir yerde olması ya da herkesin erişimine açık durumda bulunması alenileştirilmiş olması bakımından yeterli olmamakta; eylemin, ilgili kişinin iradesi ile de desteklenmesi gerekmektedir. Kişinin iradesi dışında bir sebeple kişisel verinin kamuoyuna açıklandığı durumlarda Kanun kapsamında bir alenileştirmeden söz etmek mümkün olmayacaktır.

Öte yandan, kişisel verinin alenileştirilmiş olarak kabul edilebilmesi için ilgili kişinin ne amaç ile kişisel verilerini alenileştirdiğinin de tespit edilmesi gerekmektedir. Nitekim alenileştirme eylemi; ilgili kişilerin, kişisel verilerini kamuoyu ile paylaşması amacı ile sınırlıdır. Veri sorumlularının; ilgili kişinin alenileştirme amacından farklı ya da bu amacı aşan şekilde kişisel veri işleme faaliyetinde bulunmaları, başkaca bir işleme şartına dayanılmadığı sürece, Kanuna aykırılık oluşturacaktır. Diğer bir deyişle verinin ilgili kişi tarafından alenileştirilmiş olması, veri sorumluları tarafından her türlü amaçla gerçekleştirilecek işleme faaliyetini hukuka uygun hale getirmeyecektir. Örneğin bir internet sitesi aracılığıyla aracını satışa çıkaran bir kişinin bu sitede paylaşmış olduğu iletişim bilgileri sadece aracı satın almak veya bu ilanla ilgili bilgi almak amacı ile kullanılabilecek olup, bunun dışında bir amaçla kullanılması Kanuna aykırılık teşkil edecektir.

Yine benzer şekilde ilgili kişilerin sosyal medya hesapları gibi mecralar üzerinden elde edilen ad-soyad, telefon numarası, e-posta adresi vb. kişisel verilerinin veri sorumluları tarafından reklam amacıyla SMS/e-posta gönderilmesi suretiyle alenileştirme amacı dışında işlenmesi gibi faaliyetler Kanunun 5 inci maddesinin (2) numaralı fıkrasının (d) bendi kapsamında değerlendirilemeyecek olup, konuya ilişkin olarak daha önce alınan Kişisel Verileri Koruma Kurulunun 07.11.2019 tarih ve 2019/331 sayılı Kararına https://kvkk.gov.tr/Icerik/6623/2019-331 uzantısından erişilmesi mümkün bulunmaktadır.

Bu sebeple Kanunun 5 inci maddesinin (2) numaralı fıkrasının (d) bendi kapsamında gerçekleştirilecek kişisel veri işleme faaliyetlerinde ilgili kişilerin alenileştirme iradesinin varlığı ve alenileştirme amacının tespit edilmesi ve her durumda Kanunun 4 üncü maddesinde yer alan Genel İlkelere uyum hususuna özen gösterilmesi önem arz etmektedir.

Kamuoyuna saygıyla duyurulur.

 

https://www.kvkk.gov.tr/Icerik/6843/-ALENILESTIRME-HAKKINDA-KAMUOYU-DUYURUSU

26/10/2020: YURTDIŞINA VERİ AKTARIMI KAMUOYU DUYURUSU

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) 07.04.2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanmıştır. Kanunun 32 nci maddesi uyarınca Kanunun 8 inci, 9 uncu, 11 inci, 13 üncü, 14 üncü, 15 inci, 16 ncı, 17 nci ve 18 inci maddeleri yayımı tarihinden altı ay sonra, diğer maddeleri ise yayımı tarihinde yürürlüğe girmiştir. Bununla birlikte, Kanunun “Geçiş hükümleri” başlıklı Geçici 1 inci maddesinin üçüncü fıkrasında Kanunun yayımı tarihinden önce işlenmiş olan kişisel verilerin, yayımı tarihinden itibaren 2 yıl içerisinde Kanun hükümlerine uygun hale getirileceği düzenlenmiştir. Bu anlamda, kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenleyen Kanuna uyum için makul bir süre hem Kanunda yer alan düzenlemelerle hem de Kurumumuzun işbirliğine dayalı anlayışı ile kişisel veri işleme faaliyetinde bulunan ilgililere tanınmıştır.

Kurumumuz faaliyete geçtiği günden bu yana, kişisel verilerin korunmasına yönelik farkındalık yaratmak ve ilgililerin iş süreçlerini Kanuna uygun olarak yeniden tasarlayabilmeleri adına Ülkemizin her bölgesine yayılan organizasyonlar gerçekleştirmekte, ilgili meslek örgütleri ve sivil toplum kuruluşları ile sürekli olarak bilgi alışverişinde bulunmakta, veri sorumluları ile veri işleyenleri yönlendirmekte ve ilgili paydaşlardan gelen talepleri uygun düştüğü ölçüde karşılamaktadır. Bu kapsamda, eğitim programları düzenlenmekte ve Kanuna etkili bir uyumun sağlanabilmesi için işleme faaliyetinde bulunan aktörlere kolaylık sağlanmaya çalışılmaktadır. Ayrıca yine önemle ifade etmek gerekir ki, başta Türkiye Odalar ve Borsalar Birliği ve muhtelif sektör temsilcileri olmak üzere çeşitli paydaşların talebi doğrultusunda Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğünün yerine getirilmesi için tanınan süre kapsamlı uyum sürecinin gerektirdiği özen, Sicile kayıt uygulamasıyla kişisel verileri işlenen ilgili kişiler bakımından sağlanması amaçlanan şeffaflığın tam anlamıyla gerçekleşmesi gereği ve COVID-19 salgınının etkileri dikkate alınarak üç kere uzatılmıştır. Yine, COVID-19 salgını sürecinde uzaktan ve/veya dönüşümlü çalışma uygulamalarının neden olabileceği zorluklar; her bir başvuru ya da veri ihlal bildirimi özelinde, veri sorumlularının uymakla yükümlü oldukları sürelerin değerlendirilmesi açısından Kişisel Verileri Koruma Kurulu (Kurul) tarafından göz önünde bulundurulmuştur.

Kurumumuz, Anayasada öngörülen özel hayatın gizliliği ile temel hak ve özgürlüklerin korunması kapsamında, Ülkemizde kişisel verilerin korunmasını sağlamanın ve buna yönelik farkındalık oluşturarak bilinç düzeyini geliştirmenin yanında, veri temelli ekonomide özel ve kamusal aktörlerin uluslararası rekabet kapasitelerini artırıcı bir ortam oluşturmayı da misyon olarak benimsemektedir. Kişisel verilerin hukuka uygun, bireylerin kontrolünden ödün vermeden ve şeffaf bir biçimde işlenmesi sonucu elde edilecek katma değer büyük bir önem arz etmektedir. Nitekim Kurumumuz da bu farkındalığa sahip olarak kişisel verilerin korunması ve dijital dönüşümün çok yoğun bir şekilde yaşandığı günümüzün gereklerine uygun olarak kişisel verilerin önemli bir parçasını teşkil ettiği verimi yüksek ve avantajlı iş süreçlerinin sürdürülebilmesi arasında bir denge gözetmektedir. Ancak takdir edilecektir ki, Kurumumuz Kanunda öngörülen görev ve yetkileri çerçevesinde faaliyetlerini sürdürmektedir. Bu anlamda, kişisel verilerin Kanunda yer verilen usul ve esaslara uygun olarak işlenmesinin sağlanması ve zorunlu izin ve/veya yetkilendirme süreçlerinin işletilmesi Kurumumuzun asli yükümlülüğüdür. Ancak bu noktada belirtilmesinde fayda görülmektedir ki, ilgili mevzuat hükümleri çerçevesinde Kurumumuz çağdaş hukuk düzenlerinde yürürlükte bulunan kişisel verilerin korunması ile ilgili düzenlemeler ve bunlara ilişkin uygulama ile aynı doğrultuda etkinlik göstermektedir.

Öte yandan, çeşitli özel sektör temsilcileri ve akademik kuruluşlardan Kanun ve ilgili ikincil mevzuatın uygulanmasına ve Kurumumuzun yürüttüğü faaliyetlere ilişkin birtakım eleştirilerde bulunulduğu görülmektedir. Söz konusu eleştiriler, çoğulcu bir yaklaşımla kişisel verilerin korunması alanında daha uygulanabilir modellerin oluşturulması imkânını tanıması bakımından Kurumumuz tarafından olumlu karşılanmakla birlikte, ilgililer nezdinde oluşabilecek yanlış anlaşılmaların giderilmesi gerektiği değerlendirilmektedir. Bu Kamuoyu Duyurusu da kişisel verilerin yurt dışına aktarılması özelinde Kurumumuzun çalışmalarını ve bakış açısını ortaya koyarak bu yanlış anlaşılmaların önüne geçilmesi amacıyla yayınlanmaktadır.

a) Kişisel Verilerin Yurt Dışına Aktarımına İlişkin Kanunda Öngörülen Düzenleme

Kişisel verilerin yurt dışına aktarımına ilişkin usul ve esaslar, Kanunun 9 uncu maddesinde düzenlenmekte olup; söz konusu maddede, kişisel verilerin ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağı; ancak Kanunun 5 inci maddesinin ikinci fıkrası ile özel nitelikli kişisel veriler bakımından 6 ncı maddesinin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması halinde; yeterli korumanın bulunmaması durumunda ise Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabileceği hükme bağlanmıştır.

Kişisel verilerin yurt dışına aktarılması, Kanunun 3 üncü maddesinde yer verilen “kişisel verilerin işlenmesi” tanımında da açıkça belirtildiği üzere bir işleme faaliyetidir. Yani, kişisel verilerin yurt dışına aktarılmasının değiştirme, yeniden düzenleme, kaydetme, depolama ve muhafaza etme gibi diğer kişisel veri işleme faaliyetlerinden bir farkı bulunmamaktadır. Nitekim özel olarak Kanunun 9 uncu maddesinde düzenlenmiş olsa da ilgili hükümde Kanunun 5 inci ve 6 ncı maddelerinde düzenlenmiş kişisel verilerin işlenme şartlarına atıf yapılmaktadır.

Diğer taraftan belirtmek gerekir ki, kişisel verilerin yurt dışına aktarımının ayrı bir hükümde düzenlenmiş olmasının ve kişisel veri işleme şartlarından birinin varlığına ek olarak diğer bazı şartların aranmasının sebebi ilgili kişinin kişisel verilerinin aktarıldığı ülkede de etkin olarak korunabilmesinin sağlanmasıdır. Bu düzenlemeyle yurt dışına aktarılmış kişisel verilerle ilgili olarak, ilgili kişinin sahip olduğu hakları etkin bir şekilde ve Kanunun uygulamasına mümkün olabilecek en yakın seviyede kullanabilmesi ile aktarım yapılacak tarafın başta veri güvenliği olmak üzere ilgili kişiyi korumaya yönelik güvencelerin sağlanması hususunda yükümlü kılınması amaçlanmaktadır. Bu bağlamda, kişisel verilerin yurt dışına aktarımına ilişkin düzenlemeler ve bu düzenlemeler çerçevesinde Kurumumuz tarafından benimsenen yaklaşım ve yürütülen faaliyetler küreselleşme ve teknolojik gelişmeler sonucu her an daha da artan bir miktarda gerçekleşen sınır ötesi aktarımları engellemeyi değil; temel hak ve özgürlüklerin korunması temelinde öngörülebilir ve şeffaf bir aktarım rejimini oluşturmayı hedeflemektedir.

b) Yeterli Koruma Bulunan Ülkelerin (Güvenli Ülkelerin) Belirlenmesi

b-1) İlgili Ülkede Yeterli Koruma Bulunup Bulunmadığına İlişkin Değerlendirme

Kanunun 9 uncu maddesinin üçüncü fıkrasında yeterli korumanın bulunduğu ülkelerin Kurul tarafından belirlenerek ilan edileceği düzenleme altına alınmıştır. Bununla birlikte, anılan maddenin dördüncü fıkrasında, Kurulun yabancı ülkede yeterli koruma bulunup bulunmadığına; Türkiye’nin taraf olduğu uluslararası sözleşmeleri, kişisel verilerin aktarılacağı ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu, kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını değerlendirmek suretiyle karar vereceği hükme bağlanmıştır. Nitekim Kurulun 02.05.2019 tarihli ve 2019/125 sayılı kararı ile de, yeterli korumanın bulunduğu ülkelerin tayininde kullanılmak üzere oluşturulan form Kurumumuz resmi internet sitesinde yayımlanmış olup, söz konusu forma göre yeterli korumanın bulunduğu ülkelerin belirlemesinde, karşılıklılık durumu, ilgili ülkenin kişisel verilerin işlenmesine ilişkin mevzuatı ve uygulaması, bağımsız veri koruma otoritesinin bulunup bulunmadığı, kişisel verilerin korunması ile ilgili uluslararası antlaşmalara taraf olma ile uluslararası kuruluşlara üye olma durumu, Ülkemizin üye olduğu küresel ve bölgesel örgütlere üye olma durumu ve ilgili ülke ile yürütülen ticaret hacmi gibi kriterlerin dikkate alınacağı belirtilmiştir.

Kurul tarafından yeterli koruma bulunup bulunmadığına ilişkin yapılacak değerlendirme; çeşitli ve birbirinden oldukça farklı ulusal hukuk düzenlerinin varlığı, değerlendirmeye konu ülkede genel nitelikte bir veri koruma düzenlemesinin bulunmaması veya yalnızca belirli alanları kapsayan düzenlemelerin bulunması ve federal devletlerde eyaletler arasındaki farklılıklar göz önünde bulundurulduğunda titizlikle yürütülmesi gereken yoğun ve uzun bir süreç sonrasında sonuçlandırılabilecektir (Madde 29 Çalışma Grubu, Working Document Transfers of personal data to third countries : Applying Articles 25 and 26 of the EU data protection directive, s. 26, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/1998/wp12_en.pdf ). Öte yandan, “yaşayan” birer doküman olarak nitelendirilebilecek yeterlilik kararları, periyodik gözden geçirmelere tabi tutulacak ve değişen koşullara göre söz konusu yeterlilik kararları değiştirilebilecek, askıya alınabilecek veya kaldırılabilecektir. Dolayısıyla, güvenli ülke statüsü tayini, ilgili ülke ile yakın işbirliği ve diyalog mekanizmalarının kurulmasını içeren, kapsamlı ve çok boyutlu değerlendirmelerin yapılması ile sağlanan koruma düzeyinin sürekliliğinin takip edilmesini gerektiren dinamik bir süreci ifade etmektedir (Avrupa Komisyonu, COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL Exchanging and Protecting Personal Data in a Globalised World, s. 8-9, https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52017DC0007&from=EN).

b-2) Güvenli Ülke Statüsünün Karşılıklı Olarak Tanınmasının Önemi

Kanunun 9 uncu maddesinin dördüncü fıkrasının (b) bendi uyarınca Kurul, yabancı ülkede yeterli koruma bulunup bulunmadığına ilişkin yapacağı değerlendirmede ilgili ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu dikkate alacaktır. Bu noktada belirtmek gerekir ki, Dışişleri Bakanlığı ile güvenli ülke statüsü tayinine ilişkin yapılan bütün yazışmalarda mütekabiliyet hususu ön plana çıkmakta ve yürütülecek müzakerelerin her hal ve şartta karşılıklı yeterlilik kararı verilmesi üzerine olması gerektiği vurgulanmaktadır.

Öte yandan, kişisel verilerin korunması bakımından güvenli ülke statüsünün değerlendirmeye konu ülke ile karşılıklı olarak tanınması Ülkemizde faaliyet gösteren veri sorumlusu ve veri işleyenlerin kişisel verilerin güvenli, maliyetsiz ve hızlı bir biçimde aktarım olanağından aynı şekilde yararlanabilmeleri, ekonomik kazanç sağlayabilmeleri ve bu anlamda tek taraflı bir tanımanın yaratacağı asimetri nedeniyle dezavantajlı konumda bulunmamaları için de büyük bir önem arz etmektedir.

b-3) Kurumumuz Tarafından Yürütülen Güvenli Ülke Statüsü Tayini Çalışmaları

Hâlihazırda güvenli ülke statüsü tayini için diğer devletlerden Kurumumuza iletilmiş herhangi bir talep bulunmamakla birlikte, mevcut ve potansiyel ticari ilişkiler, coğrafi ve/veya kültürel bağlar ve siyasi/diplomatik ilişkiler dikkate alınarak çeşitli ülkelerle görüşmeler gerçekleştirilmekte ve bu kapsamda çalışmalar yoğun bir şekilde sürdürülmektedir. Diğer taraftan, diğer kamu kurum ve kuruluşları, sivil toplum kuruluşları, meslek örgütleri ve diğer paydaşlar tarafından hakkında yeterlilik kararı verilmesinin yararlı olacağı değerlendirilen ülkelere ilişkin önerilerde bulunulması halinde Kurumumuz çalışmalarını uygun düştüğü ölçüde yönlendirmektedir. Ayrıca belirtmek gerekir ki, güvenli ülke statüsü tayinine ilişkin çalışmalar Adalet Bakanlığı, Dışişleri Bakanlığı ve Ticaret Bakanlığı ile yakın iş birliği içerisinde yürütülmektedir. Bu çerçevede; Kurumumuz tarafından güvenli ülke statüsü tayini ile ilgili olarak muhtelif ülkelerle görüşmelerimiz devam etmekte olup, Avrupa Birliği (AB) ile hem resmi hem de gayri resmi nitelikte yapılan görüşmeler kapsamında gerek karşılıklı yeterlilik kararı verilmesi gerek Ülkemizde yürürlükte olan kişisel verilerin korunması mevzuatının AB müktesebatına uygun olarak güncellenmesi konularında istişarelerde bulunulmaktadır. Bununla birlikte, Kurumumuz üye devletler adına yeterlilik kararı vermeye yetkili Avrupa Komisyonunun ve Avrupa Komisyonuna yeterli koruma değerlendirmesi hususunda görüş veren Avrupa Veri Koruma Kurulunun konuya ilişkin çalışmalarını ve dokümanlarını yakından takip etmekte ve bu süreçte tesis edilen yeterlilik kararlarını inceleyerek potansiyel müzakereler için hazırlıklarını tamamlamaktadır. Bu kapsamda, Kurumumuz; ilgili diğer kamu kurum ve kuruluşları ile koordinasyon içerisinde Avrupa Komisyonu ile karşılıklı güvenli ülke görüşmelerinin yürütülebilmesi için gerekli her türlü tedbiri almış durumdadır.

b-4) Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi (108 sayılı Sözleşme)

b-4-1) 108 sayılı Sözleşmenin 12 nci maddesinin Ülkemizdeki uygulamasına ilişkin olarak:

Bilindiği üzere, 108 sayılı Sözleşmenin “Kişisel verilerin sınır ötesi akışı ve iç hukuk” başlıklı 12 nci maddesi,

1) Otomatik işleme konu olan veya otomatik işleme konu olmak üzere toplanmış kişisel verilerin her türlü yoldan ulusal sınırların ötesine transferinde aşağıdaki hükümler uygulanır.

2) Bir Taraf, münhasıran özel yaşamın korunması amacıyla kişisel verilerin diğer bir Tarafa sınır ötesi akışını yasaklayamaz veya özel müsaadeye tabi tutamaz.

3) Bununla birlikte her bir Taraf, 2 nci fıkradaki hükümlere aşağıdaki durumlarda istisna getirebilir:

a) Kendi mevzuatının, belli kişisel veri veya otomatik kişisel veri dosyası kategorileri için, bu verilerin veya dosyaların doğasından kaynaklanan özel düzenlemeler içermesi, diğer Tarafın düzenlemelerinin ise eşdeğer bir koruma içermemesi durumunda;

b) Bu transferin bir Tarafın ülkesinden, bir diğer taraf üzerinden Taraf olmayan bir devletin ülkesine yapılması durumunda, bu bendin başında atıfta bulunulan Tarafın mevzuatının boşluklarından yararlanmak üzere yapılacak bu tür transferleri engellemek amacıyla.

hükmünü amir bulunmakta olup, düzenlemede Sözleşmeye taraf devletlerin yalnızca özel hayatın korunması gerekçesiyle diğer taraf devletlere gerçekleşecek kişisel veri aktarımlarını yasaklayamayacakları veya özel bir izin mekanizması öngörmek suretiyle kısıtlayamayacakları öngörülmüştür. 108 sayılı Sözleşmeye ilişkin Açıklayıcı Raporda da (Rapor) hükmün ikinci fıkrasında yer alan düzenlemenin amacının, Sözleşmeye taraf ülkelerin kişisel verilerin korunması bakımından yeterli düzeyde güvenceleri sağladığı yönündeki ön kabulden hareketle taraf ülkeler arasında veri akışının kolaylaştırılması olduğu belirtilmiştir. Bununla birlikte, hükmün taraf devletler arasındaki veri akışının bildirime tabi kılınmasına veya tarafların iç hukuklarında belirli durumlarda yurt içinde veya sınıraşan nitelikte aktarımları yasaklamaya yönelik düzenlemeler yapabilme imkânını ortadan kaldırmadığı açıklaması da yapılmıştır (Avrupa Konseyi, Explanatory Report to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, Paragraf 67. https://rm.coe.int/CoERMPublicCommonSearchServices/DisplayDCTMContent?documentId=09000016800ca434).

Öte yandan, Kanunun 9 uncu maddesinin dördüncü fıkrasının (a) bendinde Kurulun veri aktarımına izin verip vermeyeceğine ilişkin yapacağı değerlendirmede Ülkemizin taraf olduğu uluslararası sözleşmelerin dikkate alınacağı hükme bağlanmıştır. Bu anlamda, kişisel verilerin aktarılacağı ülkenin 108 sayılı Sözleşmeye taraf olmasının Kurulun değerlendirmesine esas teşkil edecek unsurlardan biri olduğu anlaşılmaktadır. Nitekim 108 sayılı Sözleşmeye taraf olma durumu, yeterli korumanın bulunduğu ülkelerin Kurulca belirlenmesinde kullanılmak üzere Kurulun 02/05/2019 tarihli ve 2019/125 Kararında kabul edilen kriterler arasında da yer almaktadır. Bununla birlikte, maddede aktarıma konu kişisel verilerin niteliği ile işlenme amaç ve süresi, aktarımın yapılacağı ülkedeki veri koruma mevzuatı ve uygulaması ve bu ülkedeki veri sorumlusu veya veri işleyenin taahhüt edeceği önlemler gibi özellikle kişisel verilerin etkin bir biçimde korunmasını sağlamaya yönelmiş hususlar ile Ülkemiz ile aktarımın yapılacağı ülke arasında veri aktarımına ilişkin karşılıklılık durumunun da Kurulun değerlendirmesinde göz önünde bulunduracağı düzenlenmiştir.

Bu çerçevede, yukarıda belirtildiği üzere, sözleşmeye taraf devletlerin iç hukuklarında belirli durumlarda yurt dışına veri aktarımını yasaklamaya yönelik düzenleme yapabileceğine ilişkin Raporda yer alan açıklama ve Kurulun yabancı ülkede yeterli koruma bulunup bulunmadığına ilişkin yapacağı değerlendirmede hem 108 sayılı Sözleşme gibi Ülkemizin taraf olduğu uluslararası sözleşmeleri hem de kişisel verilerin korunması veya özel hayatın gizliliğini koruma amacını taşımadan aktarımın yapılacağı ülke ile karşılıklılık halini değerlendireceğine ilişkin Kanunun 9 uncu maddesinde yer verilen düzenleme dikkate alındığında Kanunda öngörülen kişisel veri aktarım rejiminin 108 sayılı Sözleşme ile uyumlu olduğu açıktır.

b-4-2) 108 sayılı Sözleşmenin 12 nci maddesinin AB’deki uygulamasına ilişkin olarak:

AB hem mülga 95/46/AT sayılı Direktif hem de Gerçek Kişilerin Kişisel Verilerin İşlenmesi Bakımından Korunması ve Bu Verilerin Serbest Dolaşımı Hakkında ve 95/46/AT sayılı Direktifi Yürürlükten Kaldıran 27/04/2016 tarihli ve (AB) 2016/679 sayılı Avrupa Parlamentosu ve Konsey Tüzüğü (Genel Veri Koruma Tüzüğü-GVKT) hükümleri uyarınca 108 sayılı Sözleşmeye taraf olan ülkeleri herhangi başka bir değerlendirmede bulunmadan yeterli korumaya sahip ülke olarak nitelendirmemekte ve Sözleşmeye taraf olmayı yalnızca yeterlilik değerlendirmesinde dikkate alacağı bir kriter olarak kabul etmektedir. Nitekim 108 sayılı Sözleşmeye taraf olsa dahi bir ülkenin ancak yeterli koruma sağlayıp sağlamadığına ilişkin hakkında yapılacak ayrı bir değerlendirme sonrasında güvenli ülke olarak ilan edildiği görülmektedir(Örnek: İsviçre). Öte yandan AB, 108 sayılı Sözleşmeye ek Denetleyici Makamlar ve Sınıraşan Veri Akışına İlişkin Protokolün yürürlüğe girmesinden sonra da Sözleşmeye ve Protokole taraf ülkeler için aynı süreci işletmiştir (Örnek: Andorra).

Kurulun “Kişisel verilerin 108 sayılı Sözleşme dayanak gösterilerek yurt dışına aktarılması” hakkında 22.07.2020 tarihli ve 2020/559 sayılı Kararında yukarıdaki değerlendirmeler çerçevesinde 108 sayılı Sözleşmenin 12 nci maddesi hükmünü gerekçe göstererek Kanunun 9 uncu maddesinin ikinci fıkrası uyarınca aktarım tarafları arasında düzenlenmiş yazılı bir taahhütnamenin ve Kurulun izninin bulunmaması nedeniyle yurt dışına kişisel veri aktarımı gerçekleştiren bir veri sorumlusu hakkında idari para cezasına hükmedilmiştir. Ancak belirtilmesinde fayda görülmektedir ki, söz konusu karar birtakım eleştirilerde ifade edildiği gibi yurt dışına veri aktarımını imkânsız hale getirmemektedir. Kararla, Ülkemizin taraf olduğu 108 sayılı Sözleşme ve Sözleşmeye Ek Protokolün uygulamasına Kurumumuzun yaklaşımı açıklanmakta ve 108 sayılı Sözleşmeye taraf olma durumunun Kurumumuz tarafından güvenli ülke statüsü tayini için yeterli olmadığı vurgulanarak veri sorumlularının Kanunun 9 uncu maddesi uyarınca yazılı bir korumayı taahhütte bulunarak kişisel veri aktarımlarını gerçekleştirmeleri gerektiği belirtilmektedir.

c) Yeterli Koruma Bulunmayan Ülkelere Kişisel Veri Aktarımı

Kanunun 9 uncu maddesinin ikinci fıkrasının (b) bendi kapsamında yeterli korumanın bulunmadığı ülkelere aktarımın gerçekleştirilebilmesi için aktarım taraflarının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun aktarıma izin vermesi gerekmektedir. Kurul öncelikle, yurt dışına kişisel veri aktarımında veri sorumlusu tarafından hazırlanacak taahhütnamelerde yer alacak asgari unsurları belirlemiştir. Daha sonrasında ise çok uluslu şirket topluluklarını oluşturan şirketler arasında gerçekleştirilecek topluluk içi aktarımlarda Bağlayıcı Şirket Kuralları alternatif bir yeterli koruma sağlama yolu olarak belirlenmiştir.

c-1) Taahhütnameler

Kurumumuz tarafından hem veri sorumlusundan veri sorumlusuna hem de veri sorumlusundan veri işleyene gerçekleştirilecek yurt dışına kişisel veri aktarımlarında kullanılmak üzere iki tür taahhütname hazırlanmıştır. Ancak, Kurumumuza veri sorumluları tarafından yapılan başvurularda taahhütnamelerin ekinde yer alan söz konusu kişisel veri aktarımının dayandığı işleme şartına, amacına, aktarıma konu veri kategorilerine, veri konusu kişi grubuna veya gruplarına, aktarım yapılacak tarafın alacağı idari ve teknik tedbirlere ve saklama süresi gibi unsurlar ile ilgili açıklamaların aktarıma izin verilip verilmeyeceğine ilişkin değerlendirmeye esas teşkil edilebilecek detayda ve açıklıkta olmadığı görülmüştür. Ayrıca, yapılan başvuruların idari makamlara yapılacak başvurularda riayet edilmesi gereken usul ve esaslara uygun olmadan gerçekleştirildiği tespit edilmiştir. Bunun üzerine bahse konu taahhütnamelerin hazırlanmasında veri sorumluları tarafından dikkat edilmesi gereken gerek usule gerek esasa ilişkin hususlar ile ilgili detaylı bir kamuoyu duyurusu hazırlanarak Kurumumuzun resmi internet sitesinde yayımlanmıştır.

Diğer taraftan belirtmek gerekir ki, yurt dışına kişisel veri aktarımı gerçekleştirmek amacıyla yapılan başvurular, Kurumumuzun ilgili tüm birimleri tarafından hem hukuki hem teknik boyutlarıyla titizlikle incelenmekte ve mümkün olan en kısa süre içerisinde başvuruculara geri dönüş yapılarak eksikliklerin tamamlanması veya düzeltmelerin yapılması için ek süre tanınmaktadır. Bu anlamda, başvurucular desteklenmekte ve iş süreçlerinin aksamaması adına gerekli yönlendirmeler yapılmaktadır. Dolayısıyla, Kurumumuzun taahhütnamelerin onaylanması ve aktarıma izin verilmesi sürecinde zorlaştırıcı bir yaklaşım benimsediği eleştirisi gerçeği yansıtmamaktadır.

c-2) Bağlayıcı Şirket Kuralları

Kurumumuz tarafından veri sorumlularının organizasyonlarının ve iş süreçlerinin farklılık gösterdiği dikkate alınarak kişisel verilerin yurt dışına aktarılabilmesi için uygun güvencelerin oluşturulması gereğini karşılayacak alternatif bir yöntem olarak Bağlayıcı Şirket Kuralları oluşturulmuştur. Bu kapsamda, çok uluslu grup şirketleri arasında yapılacak aktarımlarda kullanılabilecek Bağlayıcı Şirket Kurallarına ilişkin başvuru formu ve Bağlayıcı Şirket Kurallarında bulunması gereken temel hususlara ilişkin yardımcı doküman yayımlanarak ilgililerin kullanımına sunulmuştur. Çok uluslu grup şirketlerinin, kendilerine özgü yapılarına, ihtiyaçlarına ve faaliyet gösterdikleri sektörün gereklerine uygun olarak hazırladıkları ve birbirleri arasında gerçekleştirilecek yurt dışına veri aktarımlarında uymayı taahhüt ettikleri kuralların Kurul tarafından uygun bulunması halinde Kanunun 9 uncu maddesinin ikinci fıkrasının (b) bendinde düzenlenmiş yeterli korumayı taahhüt etme yükümlülüklerini yerine getirmiş olacaklardır. Ayrıca belirtmek gerekir ki, söz konusu yöntem AB’de kişisel verilerin korunmasında temel düzenleme niteliği haiz Genel Veri Koruma Tüzüğünde de hakkında yeterlilik kararı verilmemiş ülkelere yapılacak aktarımlarda kullanılabilecek uygun güvenlik düzeyini sağlama yöntemlerinden biri olarak öngörülmektedir.

d) Kişisel Verilerin Yurt Dışına Aktarımına İlişkin Diğer Kanunlarda Öngörülen Düzenlemeler

Kanunun 4 üncü maddesinin birinci fıkrası “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünü amirdir. Bu anlamda, Kanun çerçeve düzenleme niteliğini haiz olarak yurt dışına aktarım dâhil olmak üzere kişisel verilerin işlenmesine ilişkin temel usul ve esasları belirlemekte; sektörlere ilişkin farklı düzenlemelerin bulunması halinde bu düzenlemeleri tamamlayıcı bir rol üstlenmektedir. Diğer bir deyişle, farklı alanlarda sürdürülen kişisel veri işleme faaliyetlerinin tabi olduğu kanuni düzenlemeler Kanun ile beraber uygulanmakta ve bu şekilde söz konusu faaliyetlerin kendine özgü yapısından kaynaklanan gereklilikler de yerine getirilmiş olmaktadır. Kurumumuz da bütüncül bir bakış açısıyla hem mevzuatı tümüyle göz önünde bulundurarak hem de söz konusu kişisel veri işleme faaliyeti özelinde dikkate alınması gereken diğer unsurları tespit ederek faaliyetlerini yürütmektedir.

Yine Kanunun 9 uncu maddesinin altıncı fıkrasında “Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” düzenlemesine yer verilmiştir. Anayasanın 90 ıncı maddesinin beşinci fıkrasında ise; “Usulüne göre yürürlüğe konulmuş milletlerarası antlaşmalar kanun hükmündedir. (…)” denilmek suretiyle milletlerarası antlaşmaların usulüne uygun olarak iç hukukumuza dâhil edilmesi halinde kanun hükmünde sayılacağı açıkça düzenlenmiştir. Bu çerçevede, kanunlarda ve usulüne göre yürürlüğe konulmuş milletlerarası antlaşmalarda kişisel verilerin yurt dışına aktarımına ilişkin bir düzenlemenin mevcut olması halinde, bu düzenlemeye göre hareket edilecektir. Nitekim Kurulun bankacılık sektörüne ilişkin olarak vermiş olduğu bir kararında 5411 sayılı Bankacılık Kanununun 73 üncü maddesinde öngörülen düzenleme çerçevesinde yapacağı aktarımların Kanunun diğer hükümleri ile bağlı kalınmak şartıyla Kanunun 9 uncu maddesinin altıncı fıkrası uyarınca gerçekleştirilebileceği ifade edilmiştir.

SONUÇ

Kişisel verilerin korunmasını isteme hakkı, Anayasanın “Temel Haklar ve Ödevler” başlıklı ikinci kısmının “Kişinin Hakları ve Ödevleri” başlıklı ikinci bölümünde yer alan 20 nci maddenin üçüncü fıkrasında,

IV. Özel hayatın gizliliği ve korunması

A. Özel hayatın gizliliği

Madde 20 – …

(Ek fıkra: 7/5/2010-5982/2 md.) Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.

şeklinde düzenlenerek bir temel hak ve özgürlük olarak tanınmıştır. Bu anlamda, Kurumumuz her geçen gün daha fazla tehdit altında olan bir temel hak ve özgürlüğün korunması amacına hizmet etmektedir. Diğer ülkelerde faaliyet gösteren veri koruma otoriteleri gibi Kurumumuz da bu bilince sahip olarak kişisel veri işleme faaliyetinde bulunan aktörleri eğitici ve yönlendirici çalışmalarda bulunmakla birlikte gereken durumlarda bir kanun uygulayıcısı olarak bu aktörler hakkında idari yaptırım da tesis etmekte olup, Kurumumuzun sürdürdüğü faaliyetler bireyleri en üst düzeyde korumaya yönelmiş bulunmaktadır. Bununla birlikte, teknolojik gelişmeler sonucu ortaya çıkan olanaklardan Ülkemizin de faydalanabilmesi adına söz konusu gelişmeler takip edilerek kişisel verilerin korunması hukukuna uygun şekilde uygulamaların geliştirilmesine de katkı sağlanmaya çalışılmaktadır. Bu kapsamda, kişisel verilerin yurt dışına aktarılmasına ilişkin olarak Kurumumuzca yürütülen güvenli ülke çalışmaları devam etmektedir. Bu noktada önemle ifade etmek gerekir ki, kamuoyunda sorun olarak görülen yurt dışına veri aktarımında Kurul’un iznini öngören süreç, Kanunun 9 uncu maddesinde emredici bir şekilde hükme bağlanan düzenlemenin bir sonucudur.

Kamuoyuna saygı ile duyurulur.

 

https://www.kvkk.gov.tr/Icerik/6828/YURTDISINA-VERI-AKTARIMI-KAMUOYU-DUYURUSU

01/10/2020: Sicil Kayıt Yükümlülüğü Hakkında Kamuoyu Duyurusu

Bilindiği üzere 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) göre kişisel verileri işleyen gerçek ve tüzel kişilerin Veri Sorumluları Siciline (Sicil) kayıt olması gereken tarihler Kişisel Verileri Koruma Kurulunca (Kurul) ilan edilmiştir.

Başkanlığımızca Hazine ve Maliye Bakanlığından elde edilen 2019 yılı verilerine göre yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olduğu görülmesine rağmen 01.10.2020 tarihi itibariyle henüz Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) kayıt başvurusunda bulunmayan veya başvuruda bulunduğu halde bildirimini tamamlamayan veri sorumlularının olduğu tespit edilmiştir.

Bu tesbite istinaden Kişisel Verileri Koruma Kurulu tarafından yapılan inceleme ve değerlendirme sonucunda; COVID-19 ile mücadele kapsamında fiili, teknik ya da hukuki imkânsızlık nedeniyle bazı veri sorumlularının Sicile kayıt yükümlülüğünü yerine getiremediği göz önüne alınarak, Veri Sorumluları Sicili Hakkında Yönetmeliğin 8 inci maddesi uyarınca ve Kanunun Geçici 1 inci maddesiyle Kurula verilmiş olan yetki çerçevesinde, Sicile kayıt yükümlülüğünü yerine getirmemiş olan veri sorumlularına bu durumun bir yazı ile bildirilmesi Kurulun 01.10.2020 tarihli ve 2020/760 sayılı kararı ile uygun bulunmuştur.

Söz konusu yazıyla Kurul tarafından kendilerine bildirilen süre içerisinde, ilgili veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri gerekmektedir.

Kamuoyuna saygıyla duyurulur.

NOT: VERBİS’e kayıt işlemleri halen devam etmektedir.

Duyuru Adresi: https://www.kvkk.gov.tr/Icerik/6819/SICILE-KAYIT-YUKUMLULUGU-HAKKINDA-KAMUOYU-DUYURUSU

26/06/2020: Aydınlatma Yükümlülüğünün Yerine Getirilmesi Hakkında Kamuoyu Duyurusu

AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ HAKKINDA KAMUOYU DUYURUSU

6698 sayılı Kişisel Verilerin Korunması Kanunu, Kanuna ilişkin ikincil mevzuat ve Kişisel Verileri Koruma Kurulunun vermiş olduğu kararlar çerçevesinde, veri sorumlularının bir takım yükümlülükleri bulunmaktadır. Bu yükümlülüklerden birisi de, Kanunun 10 uncu maddesinde yer alan aydınlatma yükümlülüğüdür.

Aydınlatma yükümlülüğü, veri sorumluları için bir yükümlülük olmakla birlikte kişisel verisi işlenen gerçek kişiler için de bir haktır. İlgili kişinin, işlenen kişisel verileri hakkında bilgilendirilmesini ifade eden aydınlatma yükümlülüğü, kişisel veri işlemenin hukuka uygun şekilde yerine getirilebilmesi için olmazsa olmaz bir şarttır.

Aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişinin talebine bağlı bir yükümlülük değildir. Ayrıca veri sorumlusu, kişisel veri işlerken ilgili kişinin açık rızasının ya da diğer kişisel veri işleme şartlarından birinin bulunması durumlarının her birinde aydınlatma yükümlülüğünü yerine getirmelidir. Çünkü aydınlatma yükümlülüğü, gerek açık rıza gerekse de Kanunda sayılan diğer kişisel veri işleme şartlarından bağımsız olarak her durumda yerine getirilmesi gereken bir yükümlülüktür.

Kurumumuza yapılan ihbar ve şikayet başvuruları üzerine ilgili veri sorumlularınca Kuruma iletilen bilgi ve belgeler üzerinden veya Kurulca inceleme ve araştırma yapılması öngörülen diğer dokümanlar üzerinden yapılan değerlendirme sonucunda;

  • Aydınlatmanın, veri sorumlusu tarafından kişisel verilerin ilgili kişiden elde edilmesi sırasında yapılmadığı, sonradan yapıldığı veya hiç yapılmadığı,
  • Aydınlatma içeriğinin, 6698 sayılı Kanunun 10 uncu maddesinde sayılan hususları kapsar nitelikte olmadığı,
  • Aydınlatmada; kişisel veri işleme amacının, işleme faaliyeti ile sınırlı, belirli, açık veya meşru olmadığı, gelecekte gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadelerin kullanıldığı,
  • Aydınlatmanın asgari unsurlarından olan “hukuki sebep” ile “işleme amacı”nın aynı anlamda kullanıldığı veya hukuki sebep unsuruna hiç yer verilmediği,
  • Aydınlatma amacıyla kullanılan metinlerde anlaşılır, açık ve sade bir dil kullanılmadığı, genel nitelikte, farklı anlaşılmaya müsait, eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verildiği,
  • Aydınlatma sürecinde, aktarım amacına ve aktarılan alıcı grubu ya da gruplarına yeterince yer verilmediği,
  • Aydınlatma metinlerinin, genellikle işleme faaliyeti ile sınırlı olmayan, veri sorumlusu için genel veri işleme belgesi niteliğinde olan “gizlilik politikaları” veya “veri işleme politikaları” olduğu,
  • Aydınlatma metinlerinin, ilgili kişi tarafından kolayca erişilebilecek bir platformda sunulmadığı,
  • Katmanlı aydınlatma yöntemi tercih edildiğinde, ilgili kişilerin ayrıntılı bilgi için başka bir mecraya yönlendirilmesinden önce, ilk aşamada temel bilgilerin sunulmadığı, detaylı aydınlatmaya erişim için uygun yol ve yöntemlerin izlenmediği, genellikle gizlilik politikaları veya veri işleme politikalarına yönlendirildiği,
  • Açık rıza ve aydınlatmanın aynı metin veya platformda aynı başlık altında birlikte sunulduğu,
  • Aydınlatma yapıldığına dair onayın talep edildiği ve onayın verilmemesi durumunda hizmetin sunulmadığı

gibi eksiklik ve mevzuata aykırılıkların bulunduğu tespit edilmiştir.

Söz konusu eksiklik ve mevzuata aykırılıklar nedeniyle veri sorumlularının Kanunda belirtilen yaptırımlarla karşılaşmamaları için aydınlatma yükümlülüğünü yerine getirirken aşağıdaki hususlara da özellikle dikkat etmesi gerekmektedir:

a) Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.

b) Aydınlatma yükümlülüğü, kişisel verilerin ilgili kişiden elde edilmesi esnasında veri sorumlusu veya yetkilendirdiği kişilerce yerine getirilmelidir.

c) Aydınlatma yükümlülüğü kapsamında yapılacak bilgilendirmenin asgari olarak, Kanunun 10 uncu maddesinde yer alan “veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile Kanunun 11 inci maddesinde sayılan ilgili kişi hakları” hususları içermesi gerekmektedir.

d) 10.03.2018 tarihli Resmi Gazetede yayımlanan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e göre; kişisel verilerin fiili imkânsızlık veya ilgili kişiye ulaşılamaması nedeniyle ilgili kişiden elde edilmemesi durumunda ise, kişisel verilerin elde edilmesinden itibaren makul bir süre içerisinde veya kişisel verinin ilgili kişiyle iletişim amacıyla kullanılacak olması durumunda ilk iletişim kurulması esnasında, kişisel verilerin aktarılacak olması halinde ise, en geç kişisel verilerin ilk kez aktarımının yapılacağı esnada ilgili kişiye yönelik aydınlatma yükümlülüğünün yerine getirilmesi gerekmektedir.

e) Aydınlatma yükümlülüğü yerine getirilirken açıklanacak olan kişisel veri işleme amacının, işleme faaliyeti ile sınırlı, belirli, açık ve meşru olması gerekmektedir. Gelecekte gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadeler kullanılmamalıdır.

f) Aydınlatma yükümlülüğü yerine getirilirken kullanılacak metinlerde anlaşılır, açık ve sade bir dil kullanılmalıdır. Ayrıca genel nitelikte, muğlak, eksik, yanıltıcı ve yanlış bilgilere yer verilmemelidir.

g) “İşleme amacı” ile “hukuki sebep”in aydınlatma yükümlülüğü yerine getirilirken ilgili kişilere yapılacak bildirimde yer alması gereken ayrı ayrı unsurlar olduğu ve veri toplamanın “hukuki sebebi” ifadesiyle, kişisel verilerin Kanunun 5 ve 6 ncı maddelerinde belirtilen işleme şartlarından hangisine dayanılarak işlendiğinin kastedildiği unutulmamalıdır.

h) İşleme faaliyeti ile sınırlı olmayan, veri sorumlusu için genel veri işleme belgesi niteliğinde olan gizlilik politikaları veya veri işleme politikaları, aydınlatma metinleri olarak kullanılmamalıdır.

i) Aydınlatmanın kolayca erişilebilir ve fark edilebilir olmasına dikkat edilmeli, ilgili kişilerin aydınlatmaya erişimini zorlaştıracak yöntemler kullanılmamalıdır.

j) Kişisel verilerin aktarımının söz konusu olduğu durumlarda, aktarımın amacına ve aktarılan alıcı grubu ya da gruplarına aydınlatmada ayrıca yer verilmelidir.

k) Katmanlı aydınlatma yöntemi tercih ediliyorsa, ilgili kişilerin ayrıntılı bilgi için başka bir mecraya yönlendirilmesinden önce, ilk aşamada temel bilgilerin (örneğin veri sorumlusunun kimliği ve veri işlemenin amacı) sunulduğundan emin olunmalı, yönlendirilen metinlerin işleme faaliyeti ile sınırlı içeriğe sahip olduğuna dikkat edilmelidir.

Bu kapsamda veri sorumlularının, aydınlatma yükümlülüğünü yerine getirirken 6698 sayılı Kanun, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Tebliği ile Kurum internet sayfasında yayımlanmış olan Kurul kararları ve Kurumumuzca hazırlanmış olan Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberine göre hareket edilmesi gerekmektedir.

Kamuoyuna saygıyla duyurulur.

23/06/2020: VERBİS'e Kayıt Sürelerinin Uzatılması Hakkında Duyuru

Tüm dünyada olduğu gibi ülkemizde de etkisini gösteren Covid-19 virüs salgını nedeniyle bazı işyerlerinin fiziksel olarak kapalı olduğu veya uzaktan / dönüşümlü çalışma modeli uygulandığı, bu nedenle veri sorumlularınca kişisel veri işleme envanteri hazırlama çalışmalarının yapılamadığı ve Veri Sorumluları Siciline (Sicil) kayıt yükümlülüğünün süresinde yerine getirilemediği gerekçesiyle Sicile kayıt sürelerinin uzatılmasına ilişkin Türkiye Odalar ve Borsalar Birliği (TOBB) ile muhtelif sektör temsilcileri tarafından Kuruma intikal ettirilen taleplerin değerlendirilmesi neticesinde Kişisel Verileri Koruma Kurulunun 23/06/2020 tarihli ve 2020/482 sayılı Kararı ile;

  • Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 30.09.2020 tarihine,
  • Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.03.2021 tarihine,
  • Kamu kurum ve kuruluşu veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.03.2021 tarihine,

kadar uzatılmasına,

  • Anılan kararın Kurum internet sayfasında duyurulması ve Resmi Gazete’de yayımlanmasına

oybirliği ile karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

10/04/2020: Bağlayıcı Şirket Kuralları Hakkında Duyuru

Kişisel verilerin yurt dışına aktarılması, 6698 sayılı Kişisel Verilerin Korunması Kanununun (6698 sayılı Kanun) 9 uncu maddesi ile düzenlenmektedir. Anılan madde hükmüne göre, kişisel verinin aktarılacağı ülkede yeterli korumanın bulunmaması durumunda kişisel veriler, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu’nun (Kurul) izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

Bilindiği üzere Kurul, Türkiye’de yerleşik veri sorumlusu tarafından yeterli veri koruması bulunmayan ülkelerde yerleşik veri sorumlusuna/veri işleyene kişisel verilerin aktarımında, ilgili tarafların yeterli bir korumayı yazılı olarak taahhüt etmelerine imkân sağlayan yöntemlerden birini “Taahhütnameler” olarak belirlemiş ve taraflarca hazırlanarak Kurul onayına sunulacak Taahhütnamelerde bulunması gereken asgari unsurları da belirleyerek ilan etmişti. Bu kapsamda söz konusu taahhütnamelerin Kurul tarafından onaylanması akabinde yurt dışına veri aktarımı mümkün olabilmektedir.

Bununla birlikte söz konusu taahhütnameler, genellikle şirketler arasında gerçekleştirilecek iki taraflı veri aktarımlarını kolaylaştırmakla birlikte çok uluslu şirket toplulukları arasında yapılacak veri aktarımları bakımından uygulama pratiğini sağlamakta yetersiz kalabilmektedir. Bu nedenle Kurul tarafından, söz konusu şirketler arasında gerçekleştirilecek uluslararası veri aktarımlarında kullanılmak üzere diğer bir yöntem olarak da “Bağlayıcı Şirket Kuralları” belirlenmiştir.

Bağlayıcı Şirket Kuralları, yeterli korumanın bulunmadığı ülkelerde faaliyet gösteren çok uluslu grup şirketleri için kişisel verilerin yurt dışına aktarımında kullanılan ve yeterli bir korumanın yazılı olarak taahhüt edilmesini sağlayan veri koruma kurallarıdır. Bu kapsama giren şirketlerin, ilgili formu doldurup gerekli talimatları izleyerek Kuruma, Bağlayıcı Şirket Kuralları başvurusu yapması gerekmektedir.

6698 sayılı Kanunun 9 uncu maddesinin (2) numaralı fıkrasının (b) bendi gereğince, söz konusu başvurular Kurul’un iznine tabidir.

Veri Sorumluları İçin Bağlayıcı Şirket Kuralları Başvuru Formu

Veri Sorumluları İçin Bağlayıcı Şirket Kurallarında Bulunması Gereken Temel Hususlara İlişkin Yardımcı Doküman

09/04/2020: Covid-19 ile Mücadelede Konum Verisinin İşlenmesi ve Kişilerin Hareketliliklerinin İzlenmesi Hakkında Bilinmesi Gerekenler

Dünya genelinde yayılma gösteren Covid-19 (Koronavirüs) virüsünün neden olduğu hastalıktan korunmak adına ülkemiz de dâhil olmak üzere tüm devletlerin çeşitli önlemlere ve tedbirlere başvurdukları bilinmektedir. Bu noktada, karantina, sosyal mesafe ve sosyal izolasyon gibi geleneksel tedbirlerin yanında, teknolojik imkanlardan yararlanıldığı da görülmektedir.

Bu kapsamda, çeşitli ülkelerde koronavirüsün yayılımını önlemek amacıyla; mobil uygulamalar vb. yöntemlerle; bu hastalığı taşıyan veya taşıma riski bulunan kişilerle temasa geçenlerin tespit edilmesi, virüsün yayılma haritası çıkartılarak tedavi ve karantina uygulanması, karantinaya alınanların kontrolü, sokağa çıkma yasağının uygulanması, kalabalık yerlerin tespiti gibi amaçlarla ilgili kişilerin sağlık, konum ve iletişim bilgileri gibi kişisel verileri işlenmektedir.

Salgın hastalık vb. durumlarda toplum sağlığının korunması ve böylece kamu düzeni ile kamu güvenliğinin sağlanmasını teminen yetkili kurum ve kuruluşlarca bu tür yöntemlere başvurulması yasal olarak mümkündür. Böyle durumlarda kişisel verilerin güvenliğinin gözetilmesi gerektiği de tartışmasızdır.

Bu çerçevede, konum verilerinin ve kişilerin hareketliliklerinin izlenmesi gibi kişisel verilerin işlenmesinin hukuka uygun olması için, bu faaliyetlerin veri koruma hukukuna egemen olan temel ilkeler çerçevesinde gerçekleştirilmesi gerekmekte olup konunun hukukumuz açısından değerlendirilmesinde fayda görülmüştür.

Konum verisi, Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelikte “Kamuya açık elektronik haberleşme hizmeti kullanıcısına ait bir cihazın coğrafi konumunu belirleyen ve elektronik haberleşme şebekesinde veya elektronik haberleşme hizmeti aracılığıyla işlenen belirli veri” olarak tanımlanmakta olup, gerçek kişileri belirlenebilir kılan konum verisinin 6698 sayılı Kişisel Verilerin Korunması Kanunu (6698 sayılı Kanun) kapsamında kişisel veri olduğu açıktır.

Konum verisinin ilgili kişi ile ilişkilendirilerek kullanılmasının gerekli olduğu durumlarda;

6698 sayılı Kanunun 28 inci maddesinin (1) numaralı fıkrasının (ç) bendinde, kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi halinde Kanun hükümlerinin uygulanmayacağı düzenlenmiştir.

Bu noktadan hareketle salgın hastalık gibi kamu düzeni ve kamu güvenliğini tehdit eden durumlarda bu tehdidi ortadan kaldırabilmek amacıyla salgın hastalık teşhisi konmuş kişilerin bulaşıcılığının sürdüğü dönemde izolasyonlarının temin edilmesine, genel nüfusun konum verilerinin işlenmesi suretiyle kalabalık alanların tespit edilmesine ve bu kapsamda önlemler geliştirilmesine yönelik olarak yetkili kamu kurum ve kuruluşları tarafından gerçekleştirilecek veri işleme faaliyetleri Kanunun 28 inci maddesinin (1) numaralı fıkrasının (ç) bendi kapsamında değerlendirilmektedir.

Bu çerçevede, Covid-19’un sebebiyet verdiği salgın hastalığın kamu güvenliğini ve kamu düzenini tehdit etmesi sebebiyle hastalığın yayılımını engellemek amacıyla konum verisinin anılan madde hükmü kapsamına giren kamu kurum ve kuruluşları tarafından işlenmesinin önünde bir engel bulunmamaktadır.

Diğer taraftan kişilerin konum verilerinin sağlık durumlarıyla ilişkilendirilmek suretiyle işlenmesi sürecinde söz konusu verilerin üçüncü kişilerce ele geçirilmesi halinde ilgili kişiler bakımından ciddi zararlar ortaya çıkabileceği dikkate alınarak, ilgili kurum ve kuruluşların kişisel verilerin güvenliğini sağlamaya yönelik gerekli her türlü teknik ve idari tedbirleri almaları ve bu verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde söz konusu kişisel verilerin silinmesi veya yok edilmesi unutulmamalıdır.

09/01/2020 (Kamuoyu Duyurusu): Şikayetlerin Elektronik Ortamda Kurula İletilmesine İlişkin Duyuru

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun 15. maddesinde “Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.” hükmü yer almakta olup, bu kapsamda Kurumumuza intikal eden şikayetler Kişisel Verileri Koruma Kurulunca sonuçlandırılmaktadır.

Bu süreçte, vatandaşlarımızın başvurularının daha hızlı ve etkin bir şekilde Kurumumuza iletebilmeleri ve takip edebilmelerini teminen “KVKK Şikayet Modülü” 09.01.2020 tarihi itibariyle hizmete açılmış olup, söz konusu Modüle https://sikayet.kvkk.gov.tr  internet bağlantısından ulaşılabilmektedir.

Kamuoyuna saygıyla duyurulur.

Şikayet Modülü Kılavuzu

06/01/2020 (Kamuoyu Duyurusu): Kişisel Veri İhlali Bildirimlerinin Elektronik Ortamda Kurula İletilmesine İlişkin Duyuru

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasında veri sorumlusunun;

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu, (5) numaralı fıkrasında ise, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildireceği, Kurulun, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükme bağlanmıştır.

Bu kapsamda 24.01.2019 tarih ve 2019/10 sayılı Kurul kararı ile Kurula yapılacak veri ihlal bildiriminde kullanılmasına karar verilen “Kişisel Veri İhlal Bildirim Form”unun https://ihlalbildirim.kvkk.gov.tr/ internet bağlantısı yoluyla da Kurula iletilebilmesi mümkün hale getirilmiştir.

Kamuoyuna saygıyla duyurulur.

Kişisel Veri İhlali Bildirim Formu Kılavuzu

08/11/2019 (Kamuoyu Duyurusu): Aydınlatma Metinlerinde GDPR'a yapılan atıflara ilişkin

KAMUOYU DUYURUSU

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun ‘Veri Sorumlusunun Aydınlatma Yükümlülüğü’ başlıklı 10 uncu maddesi (1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.” hükmünü amirdir.

Kurumumuzca yapılan incelemelerde başta medya kuruluşları olmak üzere muhtelif kurum/kuruluş/firma vb veri sorumlularının internet sayfalarında sunulan aydınlatma metinlerinde kişisel verilerin işlenmesi hususunda uygulanan politika ve kurallara yönelik açıklamalarda doğrudan Avrupa Genel Veri Koruma Tüzüğüne (GDPR) atıf yapıldığı görülmektedir.

Bu kapsamda Kişisel Verileri Koruma Kurulunun 30.10.2019 tarih ve 2019/315 sayılı Kararı uyarınca; bahse konu veri sorumluları tarafından aydınlatma yükümlülüğünün yerine getirilmesi amacıyla hazırlanan metinlerde GDPR’a uyum sağlandığına yönelik ifadelere yer verilmesinin, veri sorumlularının 6698 sayılı Kişisel Verilerin Korunması Kanununa karşı yükümlülüklerini ortadan kaldırmadığının, bu itibarla GDPR’a yapılan atıfların yanı sıra söz konusu aydınlatma metinlerinde belirtilen politika ve kuralların öncelikle 6698 sayılı Kişisel Verilerin Korunması Kanununa uygun olduğunun belirtilmesi gerektiğinin hatırlatılmasında fayda görülmektedir.

Diğer taraftan veri sorumlularınca yayımlanan aydınlatma metinlerinde Kanunun 10 uncu maddesi ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin 4 üncü maddesi hükümlerine uygun şekilde;

  • Veri sorumlusunun ve varsa temsilcisinin kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi (Kanunun 5 ve 6 ncı maddesinde yer alan işleme şartlarından hangisine dayanıldığının açıkça belirtilmesi)
  • İlgili kişinin Kanunun 11 inci maddesinde sayılan diğer hakları

hususlarına açıkça yer verilmesi, muğlak ve belirsiz ifadelerden mutlak surette kaçınılması gerekmektedir.

Kamuoyuna saygıyla duyurulur.

06/11/2019 (Kamuoyu Duyurusu): Kişisel Verilerin Korunması Kanunu Uyum Sürecine İlişkin Duyuru

Kişisel Verilerin Korunması Kanunu Uyum Sürecine İlişkin Duyuru

 

6698 sayılı Kişisel Verilerin Korunması Kanunu, bununla ilişkili ikincil mevzuat ve Kişisel Verileri Koruma Kurulu’nun vermiş olduğu kararlar çerçevesinde veri sorumlularının yükümlülükleri belirlenmiştir. Bu kapsamda, veri sorumlularının hukuka uygun veri işleme “Veri Sorumluları Sicil Bilgi Sistemine” (VERBİS) kayıt, buna bağlı olarak “Kişisel Veri İşleme Envanteri” ile “Saklama ve İmha Politikası" hazırlama ve kişisel veri güvenliğine ilişkin teknik ve idari tedbirleri almak gibi yükümlülükleri bulunmaktadır.

Veri işleme faaliyetinin yukarıda belirtilen mevzuatlara uyumlu olarak gerçekleştirilmesi için veri sorumlularının ve veri işleyenlerin bu yükümlülüklerin kaynağı olan başta kişisel verilerin işlemesinin genel ilkeleri olmak üzere kişisel veri koruma alanında genel bir bilgi sahibi olması gerektiği yadsınamaz. Bu sebeple, Kişisel Verileri Koruma Kurumu tarafından veri sorumlularının bu yükümlülüklere uyumunu kolaylaştırmak amacıyla birçok rehber, kılavuz ve doküman hazırlanmış ve www.kvkk.gov.tr adresinde paylaşılmıştır. Kurum, ayrıca, ilgili kişileri ve veri sorumlularını aydınlatmak ve hızlı bir şekilde sorularının cevaplanması amacıyla “VERİ Koruma Hattı” (ALO 198) adı ile bir bilgi danışma hattı kurmuştur. Bu çalışmalar, Kurum tarafından düzenli olarak yapılan farkındalık artırma ve bilgilendirme faaliyetleri vasıtasıyla da farklı platformlarda desteklenmektedir.

Kurul, şikâyet üzerine ya da re’sen yaptığı incelemelerde veri sorumlularının bu yükümlülükleri yerine getirip getirmediğini hukuki ve teknik açıdan birçok unsuru içeren geniş bir perspektiften değerlendirmekte ve karar vermektedir. Bu noktada Kurulun, sadece Kanun ve ikincil mevzuatta belirtilen yükümlülüklere uyumu göz önünde bulundurduğunun ve bu uyum çalışmalarının veri sorumlusu bünyesinde ya da dışarıdan destek almak suretiyle yürütülüp yürütülmediği konusunda bir değerlendirmede bulunmadığının belirtilmesi gerekmektedir.

Nihayetinde, veri sorumlularının tabi olduğu yükümlülüklerin çeşitliliği gereği bu yükümlülüklerin ancak disiplinler arası ortak bir çalışmanın neticesinde yerine getirilebilir olduğu hususu da göz önünde bulundurulmalıdır.

Kurum tarafından gerçekleştirilen yukarıda belirtilen çalışmaların neticesinde vatandaşlar ile özel sektör ve kamu kurumlarının temsilcileri arasında kişisel verilerin korunması alanındaki bilgi birikimi son dönemde hızla artmakta ve bu durum kamuoyunda genel farkındalık düzeyine katkı sağlamaktadır.

Önümüzdeki dönemde Kurum; ülkemizdeki farkındalık seviyesi, veri sorumluları-veri işleyenler-ilgili kişilerin beklentileri, kişisel verilerin korunması alanında mevcut uygulama örnekleri, kamu kurumlarının yetki ve görevleri çerçevesindeki rolleri gibi unsurları da göz önüne alarak veri sorumluları ve veri işleyenlerin kurumsal kapasitelerinin arttırılması yoluyla yükümlülüklerini yerine getirmesini kolaylaştıran ve ilgili kişilere kişisel verilerinin işlenmesi sürecinde güven veren bir sertifikalandırma mekanizması üzerinde çalışmalarını sürdürmektedir. Kurum, bu çalışma ile ilgili detayları önümüzdeki dönemde kamuoyu ile paylaşacaktır.

Kamuoyuna saygı ile duyurulur.

24/01/2019 - 2019/9: Veri Sorumlusuna Başvuru ve Kurula Şikayet Sürelerinin Hesaplanmasına İlişkin

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Veri Sorumlusuna Başvuru” başlıklı 13 üncü maddesinin (1) numaralı fıkrasında ilgili kişinin Kanunun uygulanmasına yönelik taleplerini yazılı olarak veya Kişisel Verileri Koruma Kurulunun (Kurul) belirlediği diğer yöntemlerle veri sorumlusuna iletmesi, (2) numaralı fıkrasında ise veri sorumlusunun başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırması gerektiği hükme bağlanmıştır.

Öte yandan, Kanunun “Kurula Şikâyet” başlıklı 14 üncü maddesinin (1) numaralı fıkrasında da başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişinin, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabileceği ifade edilmiştir.

Bu kapsamda, Kurumumuza intikal eden şikâyet başvurularının incelenmesi neticesinde veri sorumlusuna başvuru yolunu tüketen ilgili kişiler tarafından Kurula şikâyette bulunulması sürecinde Kanunda yer alan sürelerin yorumlanmasında farklılıklar olduğu görülmüştür. Bu itibarla Kanunun 14 üncü maddesinin (1) numaralı fıkrası uyarınca;

  • İlgili kişi tarafından yapılan başvuruya veri sorumlusunca 30 gün içinde bir cevap verilmesi halinde ilgili kişinin veri sorumlusunun cevabını müteakip 30 gün içerisinde şikâyette bulunabileceği, bu itibarla söz konusu hallerde ilgili kişinin veri sorumlusuna başvurduğu tarihten itibaren 60 günlük süresinin bulunmadığı,
  • İlgili kişi tarafından yapılan başvuruya veri sorumlusunca bir cevap verilmediği durumda ise ilgili kişinin veri sorumlusuna başvurduğu tarihten itibaren 60 gün içinde Kurula şikâyette bulunabileceği,
  • İlgili kişi tarafından yapılan başvuruya veri sorumlusunca Kanunda tanınan 30 günlük süre sonrasında bir cevap verilmesi halinde ilgili kişinin, Kanunda veri sorumlusuna tanınan 30 günlük süre sonrasında verilecek cevabı beklemekle yükümlü olmadığı ve veri sorumlusuna tanınan sürenin dolması ile birlikte Kurula şikâyette bulunabileceği göz önüne alınarak, ilgili kişinin veri sorumlusunun kendisine cevap verdiği tarihten itibaren 30 gün değil, veri sorumlusuna başvurduğu tarihten itibaren 60 gün içinde Kurula şikâyette bulunabileceği

hususlarının Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/9 sayılı Kararı ile kamuoyuna duyurulması uygun görülmüştür.

Kamuoyuna saygıyla duyurulur.


Kurul Kararları:

İLKE KARARI: 21/04/2022 -Belediyelerin ödeme ve borç sorgulama hizmetleri

Belediyelerin ödeme ve borç sorgulama hizmetleri hakkında Kişisel Verileri Koruma Kurulunun 21/04/2022 Tarihli ve 2022/388 sayılı İlke Kararı

Karar Tarihi : 21/04/2022
Karar No : 2022/388
Konu Özeti : Belediyelerin ödeme ve borç sorgulama hizmetleri hakkında İlke Kararı

 

Kişisel Verileri Koruma Kurumuna iletilen çeşitli ihbarlarda belediyelerin çevrimiçi olarak sunmuş olduğu emlak vergisi ödeme/hızlı ödeme veya borç sorgulama sayfalarında yalnızca TC kimlik numarası girilerek vatandaşın emlak bilgilerine ulaşılmasının kişisel verilerin korunması açısından sorun teşkil ettiği ifade edilerek, konunun 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında incelenmesi talep edilmiştir.

Bilindiği üzere Kanunun 12 nci maddesinin (1) numaralı fıkrasında “Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmünü amirdir. Anılan maddenin (4) numaralı fıkrasında veri sorumluları ile veri işleyen kişilerin öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacının dışında kullanamayacağı; (5) numaralı fıkrasında ise işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildireceği, Kurulun, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükümlerine yer verilmiştir.

Bu kapsamda, kişisel verilerin işlenmesi sürecinde veri sorumlularının alması gereken teknik ve idari tedbirler konusunda uygulamada açıklık sağlanması ve iyi uygulama örnekleri oluşturması amacıyla Kişisel Verileri Koruma Kurulu tarafından hazırlanarak Kurum internet sayfasında yayımlanan Kişisel Veri Güvenliği Rehberinde (Teknik ve İdari Tedbirler) kişisel verilere gerekli durumlarda uzaktan erişilmesi halinde iki kademeli kimlik doğrulama kontrolünün uygulanması güvenliğin sağlanması adına alınması gereken tedbirler arasında sayılmaktadır. Bu itibarla kişisel verilere uzaktan erişilmesi halinde 3. kişilerin kolayca ulaşamayacağı şekilde iki aşamalı sorgulama sistemi kullanılması gerekli olup, örneğin kişinin TC kimlik numarası ve doğum günü bilgisinin sorgulanarak erişim imkânı veren sistemler tek kademeli doğrulama olarak belirlenirken, kişinin TC kimlik numarasının yanı sıra kişiye özel oluşturulmuş şifre ya da kişinin daha önce bildirmiş olduğu telefon numarasına iletilen SMS kodu ile erişim sağlanan sistemler iki kademeli doğrulama olarak kabul edilmektedir.

Kişisel Veri Güvenliği Rehberi’nin “Teknik ve İdari Tedbirler Mevcut Risk ve Tehditlerin Belirlenmesi” başlıklı 2.1 maddesinde de “Kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerekmektedir. Bu riskler belirlenirken; kKişisel verilerin özel nitelikli kişisel veri olup olmadığı, mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği, güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği dikkate alınmalıdır. Bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra; söz konusu risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri; maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda değerlendirilmeli, gerekli teknik ve idari tedbirler planlanarak uygulamaya konulmalıdır.” ifadelerine yer verilmektedir. Buna bağlı olarak kişilerin bilgilerine kolayca erişilmesi riskini barındıran tek kademe doğrulama sistemlerinin yerine bu riski önemli ölçüde azaltacak ya da ortadan kaldıracak iki faktörlü doğrulama yöntemleriyle sorgulamaların uygulamaya konulması önem arz etmektedir.

Bu çerçevede belediyeler tarafından emlak vergisi ödeme/hızlı ödeme veya borç sorgulama vb sayfalar aracılığıyla çevrimiçi olarak sunmuş oldukları hizmetler kapsamında Kanunun 12 nci maddesinde yer alan yükümlülüklerin yerine getirilmesi ve herhangi bir veri ihlalinin önlenmesi amacıyla; çift faktörlü doğrulama için ilk doğrulamanın TC kimlik no, ad soyad, vergi no, sicil no gibi verilerle yapılırken ikincil düzeydeki doğrulamanın kişiye özel oluşturulmuş SMS ya da e-postaya iletilen şifre gibi bir sistemle gerçekleştirilmesi, ikincil düzeyde kişiye ait başkalarının da erişebileceği telefon no, doğum tarihi, anne baba adı, sicil no gibi bilgiler yerine sadece kişiye özel olarak belirlenecek ve sadece ilgili kişinin erişebileceği verilerin istendiği sistemler ya da üyelik sistemi ile söz konusu hizmetlerin sunulmasının uygun olacağı değerlendirilmektedir.

Bu değerlendirmeler ışığında;

  • Belediyelerin emlak vergisi ödeme/hızlı ödeme ve borç sorgulama hizmetlerinde üyelik ve şifre ya da çift faktörlü doğrulama kullanmak sureti ile Kanunun 12 nci maddesi kapsamında gerekli teknik ve idari tedbirleri alması gerektiğine,
  • Söz konusu önlemleri almayan belediyeler hakkında iletilecek şikayet/ihbarlar doğrultusunda ilgili belediye hakkında Kanunun 18 inci maddesi hükümleri çerçevesinde işlem tesis edileceği hususunda kamuoyunun bilgilendirilmesine,
  • Belediyelerin emlak vergisi ödeme/hızlı ödeme ve borç sorgulama hizmetlerinde Kanunun 12 nci maddesi kapsamında “üyelik ve şifre” ya da “çift faktörlü doğrulama” kullanılması gerektiği hususunda Kanunun 15 inci maddesinin (6) numaralı fıkrası kapsamında İlke Kararı alınarak Resmi Gazetede ve Kurumun internet sayfasında yayımlanmasına

oybirliği ile karar verilmiştir.

İLKE KARARI: 23/12/2021 - Araç kiralama sektöründeki kara liste uygulamaları

Karar Tarihi : 23/12/2021

Karar No : 2021/1304

Toplantı Sıra Sayısı : 2021/59

Konu Özeti : Araç kiralama sektöründeki kara liste uygulamaları hakkında İlke Kararı

Toplantıya Katılan Üyeler

Başkan : Prof. Dr. Faruk BİLİR

Üyeler : İsmail AYDIN, Bayram ARSLAN, Hasan AYDIN, Şaban BABA,

Murat KARAKAYA, Dr. Ayşenur KURTOĞLU, Dr. Cengiz PAŞAOĞLU

Kişisel Verileri Koruma Kurumuna intikal eden ihbarlar kapsamında Kanunun 15'inci maddesi çerçevesinde Kişisel Verileri Koruma Kurulu (Kurul) tarafından yürütülen incelemeler sonucunda araç kiralama sektöründe "kara liste" yazılımlarına/programlarına/uygulamalarına başvurulduğu anlaşılmıştır.

Araç kiralama sektöründe kullanılan bahse konu "kara liste" uygulamaları ile,

  • Araç kiralama yazılımcısı ve satıcısı kişilerin araç kiralama firmalarına (veya araç kiralama işi yapan gerçek kişilere) "kara liste" özelliği de içeren araç kiralama yazılımları sundukları,
  • Araç kiralama firmaları tarafından söz konusu yazılımlara kendi müşterileri olan araç kiralayan gerçek kişilerin kişisel verilerinin işlendiği; işlenen bu veriler arasında araçların kullanım sürecinde meydana gelen olumsuzlukları veya araç kiralama firmasının yorumlarını da içeren "kara liste" bilgilerinin yer aldığı,
  • Bu bilgilerin araç kiralama firmaları tarafından sonraki kiralamalar için karar verirken kullanılmak üzere işlendiği,
  • Öte yandan bahse konu yazılımların, bir araç kiralama firmasının kendi girdiği verileri diğer araç kiralama firmalarına da açmasına da olanak veren sistemler olarak tasarlandığı,
  • Dolayısıyla araç kiralama firmasından yazılıma, yazılımdan ise söz konusu yazılımı kullanan diğer araç kiralama firmalarına kara listeye ilişkin veri akışı/paylaşımı sağlayan bir sistem oluşturulduğu, araç kiralayan ilgili kişilerin kişisel verilerinin de böylece karşılıklı olarak paylaşılmakta olduğu,
  • Genel olarak yazılım şirketleri tarafından sunulan hizmetin, SaaS (Software as a Service) şeklinde olduğu, SaaS hizmetinin gereği olarak veri tabanı ve yazılımın yönetiminin yazılım şirketlerinde olup araç kiralama firmalarında ve gerektiğinde teknik destek ve geliştirme sağlayabilmesi için yazılım şirketlerinde admin yetkisine sahip kullanıcıların atandığı, sunulan hizmet türü hazır bir SaaS hizmeti olduğundan kaynak kod halinde sunulmadığı, araç kiralama firmalarının yazılım kodlarına müdahalesine izin verilmediği, bu sebeple araç kiralama firmalarının yetkilerinin içerik sağlamakla sınırlı olduğu,
  • Araç kiralayan bir gerçek kişinin, müşterisi olduğu araç kiralama firmasına kiralama sözleşmesi kapsamında gerekli olan kişisel verilerini sağlarken, bu süreçte firmaya sağladığı verilerin, firma ile yaşadığı olumlu/olumsuz ilişkinin, araca verdiği zarar, ödeme sürecinde yaşanan sorunlar gibi kişisel verilerinin kara liste özelliği içeren yazılımlar vasıtasıyla müşterisi olduğu araç kiralama firması haricinde bilinmeyen sayıda kullanıcı ile paylaşıldığına dair bilgi sahibi olmadığı anlaşılmıştır.

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun (Kanun) "Tanımlar" başlıklı 3'üncü maddesinin 1 numaralı fıkrasının (ç) bendinde ilgili kişi, "kişisel verisi işlenen gerçek kişi", (d) bendinde kişisel veri, "kimliği belirli veya belirlenebilir gerçek kişi ve ilişkin her türlü bilgi", (e) bendinde kişisel verilerin işlenmesi, "Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem", (ı) bendinde veri sorumlusu, "kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi" olarak tanımlanmıştır.

"Kişisel Verilerin İşlenme Şartları" başlıklı Kanun'un 5'inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükme bağlanmıştır.

Kanunun 8'inci maddesinde "(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. (2) Kişisel veriler; 5'inci maddenin ikinci fıkrasında, yeterli önlemler alınmak kaydıyla, 6'ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması halinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir. (3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır." hükmü düzenlenmiştir.

Öte yandan, Kanun 'un 11'inci maddesi ilgili kişinin haklarını düzenlemekte olup maddenin 1 (g) bendi, "işlenen kişisel verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme" hakkını içermektedir.

Kanunun 12 inci maddesinde ise, veri sorumlularının kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda oldukları hüküm altına alınmıştır.

1774 sayılı Kimlik Bildirme Kanununun ilgili maddeleri gereğince araç kiralama faaliyetinin kolluk kuvvetlerine bildirilme zorunluluğu bulunmaktadır. Dolayısıyla, araç kiralama firmalarının Kiralık Araç Bildirim Sistemine (KABİS) veri girişi yapmaları bağlamında kişisel veri işlemeleri, Kanunun 5'inci maddesinin 2 numaralı fıkrasının (a) bendinde yer alan "Kanunlarda açıkça öngörülmesi" işleme şartı ile (ç) bendinde yer alan "veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması" işleme şartları kapsamında değerlendirilebilecektir.

Ayrıca, araç kiralama işi taraflar arasında akdedilen bir sözleşme kapsamında gerçekleştirilmekte olduğundan Kanunun 5'inci maddesinin 2 numaralı fıkrasının (c) bendinde yer alan "bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması" işleme şartı kapsamında ilgili kişilerin kişisel verilerinin araç kiralama firmalarınca işlenmesi mümkündür.

Kara liste benzeri veri kayıtları bakımından ise kişisel verilerin işletme faaliyetleri ile sınırlı olmak üzere işlenmesi ile yazılım firmaları aracılığıyla diğer veri sorumlularına açılmasının farklılık arz edeceği değerlendirilmektedir. Kanun'un 5'inci maddesinin 2 numaralı fıkrasının (f) bendinde "ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması" işleme şartı düzenlenmiş olup ilgili kişinin temel hak ve özgürlükleri ile veri sorumlusunun meşru menfaatleri arasında yapılacak denge testi sonucunda meşru menfaatin baskın gelmesi durumunda, işletme faaliyetleri ile sınırlı olmak kaydıyla, başka bir ifadeyle veri sorumlusu bünyesinde olmak üzere kara liste kaydı yapılmasının somut olaya göre ayrıca değerlendirilmek koşuluyla uygulanabilir olabileceği; ancak işlenen kişisel verilerin aynı yazılımı kullanan diğer veri sorumlularına (diğer araç kiralama firmalarına) açılması halinde ilgili kişinin temel hak ve özgürlüklerinin ihlal edilmeme şartının karşılanamayacağı değerlendirilmektedir.

Ayrıca bir araç kiralama firmasının işlediği kişisel verileri yazılım vasıtasıyla bilinmeyen sayıda araç kiralama firması ile paylaşmasının Kanunun 4'üncü maddesinde düzenlenen Genel İlkelerden "hukuka ve dürüstlük kurallarına uygun olma", "belirli, açık ve meşru amaçlar için işlenme", "amaçla bağlantılı, sınırlı ve ölçülü olma" ilkelerine aykırılık teşkil edeceği değerlendirilmektedir.

Öte yandan, ihbara konu kara liste uygulamalarında araç kiralama firmaları, gerçek kişi müşterilerden kişisel verileri ilk elden toplayan veri sorumlularıdır. Ancak, kara liste kaydına erişimin bir firma ile sınırlı kalmadığı, yazılıma aktarılan kişisel verilere yazılımı kullanan diğer araç kiralama firmalarının da erişim sağlayabildiği ve veri üzerinde hakimiyetleri olduğu dikkate alındığında, kara liste kaydını kendi menfaatleri doğrultusunda kullanan araç kiralama şirketleri ile yazılım şirketlerinin ortak veri sorumluluğunun ortaya çıkacağı değerlendirilmektedir. Ortak veri sorumlularına ilişkin sorumluluk ve kusur miktarlarının belirlenmesi açısından her halükarda olay bazında veri işleme süreçlerinin incelenmesi; kusurun ve söz konusu veri üzerindeki kontrolün kimde olduğunun tespiti gerekecektir. Ortak veri sorumluları arasında kusurluluk belirlenirken işlenen verinin ilk ve son kullanıcısının kim olduğu; veri girişini kimin yaptığı; hangi amaçla söz konusu verinin girildiği; verinin değiştirilmesine veya silinmesine yahut aktarılmasına kimin karar verdiği; veriyi toplayan dışında kalan veri sorumlularının bu veri ile hangi faaliyetleri gerçekleştirdiği vb. etkenlere dikkat edilecektir.

Araç kiralama sektöründe kara liste uygulamalarının ilgili kişinin hakları bakımından da değerlendirilmesi gerekmektedir. Kara liste kapsamında kişisel veri işlenmesi kişilerin Kanun'un 11 'inci maddesinden kaynaklanan haklarını gereği gibi kullanabilmelerinin önünde engel teşkil edecektir. Şöyle ki, bu tür bir veri işleme kara liste uygulamalarının doğası gereği, kişi hakkında olumsuz bir sonuca ulaşılmasını, bu olumsuz sonucun kara listeye işlenmesini ve kişi hakkında bu olumsuz sonuca göre karar verilmesini içereceği için, yapılan profilleme neticesinde ilgili kişi hakkında olumsuz bir sonuç ortaya çıkacak; ancak araç kiralayan ilgili kişinin kişisel verilerinin paylaşıldığı diğer araç kiralama firmalarının kim olduğunu bilebilecek durumda olmaması nedeniyle, Kanunun 11 'inci maddesinden kaynaklanan haklarını bu veri sorumluları nezdinde ileri sürebilmesi güçleşecektir.

Tüm bu değerlendirmeler ışığında;

  • Kanunun 4'üncü maddesinde düzenlenen genel ilkelere, Kanun'un 5'inci maddesinde düzenlenen işleme şartlarına ve Kanunun 8'inci maddesinde düzenlenen aktarıma ilişkin hükümlere aykırı olarak araç kiralama sektöründe kara liste uygulamaları kapsamında kişisel verilerin işlenmesi halinde, söz konusu veriler üzerinde hakimiyeti bulunan araç kiralama şirketlerinin yazılım şirketleri ile ortak veri sorumlusu olarak değerlendirileceklerine,
  • Hukuka aykırı bu gibi uygulamalara son verilerek, araç kiralama sektöründe kişisel veri işleme süreçlerinin Kanuna uygun olmasını teminen Kanun'un 12'nci maddesinde düzenlenen gerekli teknik ve idari tedbirlerin veri sorumlularınca alınması gerektiğine,
  • Söz konusu önlemleri almaksızın ve Kanun hükümlerine aykırı şekilde araç kiralama sektöründe kara liste uygulamasına başvuran veri sorumluları hakkında Kanunun 18 inci maddesi hükümleri çerçevesinde işlem tesis edileceği hususunda kamuoyunun bilgilendirilmesine,

6698 sayılı Kişisel Verilerin Korunması Kanununun 15 inci maddesinin altıncı fıkrası hükmü uyarınca alınan bu İlke Kararının Resmi Gazete ile Kurumun İnternet sitesinde yayımlanmasına

oybirliği ile karar verilmiştir.

09/06/2021 - Vakıf, Dernek ve Sendikalara Ait İktisadi İşletmelerin Sicile Kayıt Yükümlülüğü
Karar Tarihi : 09/06/2021
Karar No : 2021/571
Konu Özeti : Vakıf, Dernek ve Sendikalara Ait İktisadi İşletmelerin Sicile Kayıt Yükümlülüğüne İlişkin Kararın Resmi Gazete’de Yayımlanması

 

I. Kararın Konusu ve Hukuki Dayanağı

6698 sayılı Kişisel Verilerin Korunması Kanununun (6698 sayılı Kanun) 16 ncı maddesinin ikinci fıkrasında yer alan “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.” hükmüne göre kural olarak kişisel veri işleyen gerçek ve tüzel kişilerin Veri Sorumluları Siciline (Sicil) kayıt yükümlülüğü bulunmakla birlikte Kişisel Verileri Koruma Kurulu (Kurul) tarafından bu yükümlülüğe istisna getirilebilmektedir.

Bu kapsamda, Kurulun 22/04/2020 tarihli ve 2020/315 sayılı Kararı ile değişik 02/04/2018 tarihli ve 2018/32 sayılı Kararı uyarınca “yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalar” için Sicile kayıt yükümlülüğüne istisna getirilmiştir.

Bununla birlikte, Kurumumuza iletilen bazı yazılı ve şifahi görüş taleplerinde; vakıf, dernek veya sendikalara ait iktisadi işletmelerin Sicile kayıt yükümlülüğü hususunda tereddütler yaşandığının ifade edilmesi üzerine yapılan değerlendirme sonucunda;

  • 22/04/2020 tarihli ve 2020/315 sayılı Karar ile değişik 02/04/2018 tarihli 2018/32 sayılı Kurul Kararında yer alan “yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalar” ifadesinin “yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalardan kendisine bağlı herhangi bir iktisadi işletmesi bulunmayanlar” olarak değiştirilmesinin,
  • Yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalardan kendisine bağlı herhangi bir iktisadi işletmesi bulunanların Sicile kayıt olmaları ile Sicile kayıtları esnasında yalnızca iktisadi işletmelerin faaliyetlerine ilişkin bilgi girişi yapmalarının,
  • Anılan Kararın Kurum internet sayfası ve Resmi Gazetede yayımlanmasının

gerektiği kanaatine varılmıştır.

II. Sonuç

Kurumumuza iletilen bazı yazılı ve şifahi görüş taleplerinde; vakıf, dernek veya sendikalara ait iktisadi işletmelerin Sicile kayıt yükümlülüğü hususunda tereddütler yaşandığının ifade edilmesi üzerine Kurul tarafından yapılan değerlendirme sonucunda;

  • 22/04/2020 tarihli ve 2020/315 sayılı Karar ile değişik 02/04/2018 tarihli 2018/32 sayılı Kurul Kararında yer alan “yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalar” ifadesinin “yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalardan kendisine bağlı herhangi bir iktisadi işletmesi bulunmayanlar” olarak değiştirilmesine,
  • Yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalardan kendisine bağlı herhangi bir iktisadi işletmesi bulunanların Sicile kayıt olmaları ile Sicile kayıtları esnasında yalnızca iktisadi işletmelerin faaliyetlerine ilişkin bilgi girişi yapmalarının gerektiğine,
  • Anılan Kararın Kurum internet sayfası ve Resmi Gazetede yayımlanmasına

oybirliği ile karar verilmiştir.

11/03/2021 - Veri Sorumluları Siciline Kayıt Tarihlerinin Uzatılması
Karar Tarihi : 11/03/2021
Karar No : 2021/238
Konu Özeti : Veri Sorumluları Siciline kayıt tarihlerinin uzatılması

Dünyada olduğu gibi ülkemizde de etkisini gösteren salgın nedeniyle Sicile kayıt yükümlülüğünün yerine getirilmesi hususunda zorluklar yaşandığı gerekçesiyle Sicile kayıt sürelerinin uzatılmasına ilişkin birçok veri sorumlusu veya bunların bağlı olduğu üst kuruluşlar ile bazı kamu kurumları ve kamu kurumu niteliğindeki meslek kuruluşları tarafından Kuruma intikal ettirilen taleplerin değerlendirilmesi neticesinde;

  • Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine,
  • Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine,
  • Kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşu veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine

kadar uzatılmasına,

  • Anılan kararın Kurum internet sayfasında duyurulması ve Resmi Gazetede yayımlanmasına

oybirliği ile karar verilmiştir.

İLKE KARARI: 22/12/2020 - Veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına Kanuna aykırı şekilde gönderilen üçüncü kişilere ait kişisel veriler
Karar Tarihi : 22/12/2020
Karar No : 2020/966
Konu Özeti : Veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına Kanuna aykırı şekilde gönderilen üçüncü kişilere ait kişisel veriler hakkında İlke Kararı

Kişisel Verileri Koruma Kurumuna intikal eden şikâyet ve ihbarlar kapsamında; e-ticaret, telekomünikasyon, ulaşım, turizm gibi muhtelif sektörlerde faaliyet gösteren veri sorumlularınca, fatura, ekstre, rezervasyon belgesi gibi kişisel veri içeren dokümanların sms ve/veya e-posta vasıtasıyla gönderimini teminen ilgili kişilerden telefon numarası ve/veya e-posta adreslerini beyan etmelerinin istenildiği, bununla birlikte ilgili kişiler tarafından söz konusu bilgilerin beyanında yanlışlık olabildiği veya yine ilgili kişilerce üçüncü kişilere ait bilgilerin beyan edilmesi neticesinde, ilgili kişilere ait verileri içeren bahse konu dokümanların üçüncü kişilere iletildiği görülmektedir.

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun 4 üncü maddesinin (1) numaralı fıkrasında kişisel verilerin ancak bu kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği hüküm altına alınmış ve (2) numaralı fıkrasında kişisel verilerin işlenmesinde “a) Hukuka ve dürüstlük kuralına uygun olma b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.” ilkelerine uyulmasının zorunlu olduğu düzenleme altına alınmıştır.

Bu ilkeler arasında yer alan kişisel verilerin doğru ve gerektiğinde güncel bir şekilde tutulması, veri sorumlusunun çıkarına uygun olduğu gibi ilgili kişinin temel hak ve özgürlüklerinin korunması açısından da gerekli olup, veri sorumlusunun eğer kişisel verilere dayalı olarak ilgili kişiye dair bir sonuç oluşturuyor ve doğuruyorsa kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması noktasında aktif özen yükümlülüğü bulunmaktadır. Bunun dışında veri sorumlusunun her zaman ilgili kişinin bilgilerinin doğru ve gerektiğinde güncel olmasını temin edecek kanalları açık tutması önem arz etmektedir. Aksi takdirde, kişilerin, güncel olmayan veya yanlış tutulan kişisel verileri nedeniyle maddi ve manevi zarar görmesi gündeme gelebilecektir. Bu anlamda, kişisel verilerin doğru ve gerektiğinde güncel tutulabilmesini temin etmek amacıyla; kişisel verilerin elde edildiği kaynakların belirli olması ve kişisel verilerin toplandığı kaynağın doğruluğunun tespit edilmesi ile kişisel verilerin doğru olmamasından kaynaklı ilgili kişiler açısından olumsuz sonuçlar ortaya çıkmasının önlenmesi kapsamında ilgili kişilerce beyan edilen iletişim bilgilerinin doğrulanmasına yönelik ( telefon numarası ve/veya e-posta adresine doğrulama kodu/linki gönderilmesi vb.) makul önlemler alınması gerekli görülmektedir.

Öte yandan, Kanunun 12 inci maddesinde veri sorumlularının kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda oldukları hüküm altın alınmıştır.

Bu kapsamda; veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına, 6698 sayılı Kişisel Verilerin Korunması Kanununa aykırılık oluşturacak şekilde üçüncü kişilerin kişisel verilerini içeren ekstre, fatura vb. belgelerin gönderilmesinin önlenmesini teminen; Kanunun 12 nci maddesinin (1) numaralı fıkrası gereğince veri sorumluları tarafından kendilerine bildirilen iletişim bilgilerinin doğruluğunu teyit edecek mekanizmaların oluşturulması adına gerekli idari ve teknik tedbirlerin alınması hususunda Kanunun 15 inci maddesinin 6 numaralı fıkrası uyarınca İlke Kararı alınmasına ve söz konusu İlke Kararının Kurumun internet sayfasında ve Resmi Gazetede ilan edilmesine oybirliği ile karar verilmiştir.

İlke Kararının Yayımlandığı Resmî Gazete’nin

Tarihi

Sayısı

15/01/2021

31365

23/06/2020 - Kişilerin Ad ve Soyadı ile Arama Motorları Üzerinden Yapılan Aramalarda Çıkan Sonuçların İndeksten Çıkarılması

Kişilerin Ad ve Soyadı ile Arama Motorları Üzerinden Yapılan Aramalarda Çıkan Sonuçların İndeksten Çıkarılmasına Yönelik Talepler ile ilgili olarak Kişisel Verileri Koruma Kurulunun 23/06/2020 Tarihli ve 2020/481 Sayılı Kararı

Karar Tarihi : 23/06/2020
Karar No : 2020/481
Konu Özeti : Kişilerin Ad ve Soyadı ile Arama Motorları Üzerinden Yapılan Aramalarda Çıkan Sonuçların İndeksten Çıkarılmasına Yönelik Talepler

Kurumumuza intikal eden muhtelif başvurularda, ilgili kişilerin medya kuruluşlarına ait çeşitli internet sitelerinde yer alan haberlerde geçen isim ve soy isimlerinin ya da haberlerin 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) hükümleri kapsamında silinmesinin talep edildiği, bunun yanı sıra bazı başvurularda ise söz konusu gazete arşivlerinin arama motorları tarafından indekslenmeyecek şekilde teknik düzenlemeye tabi tutulması hususunda gerekli kararların alınmasının istenildiği görülmekte olup Kurumumuza intikal eden bu yöndeki taleplerin “Unutulma Hakkı” kapsamında bir bütün olarak Kurulumuzca değerlendirilmesi gereği hasıl olmuştur.

Unutulma hakkının çeşitli yargı kararları ve uluslararası kurumların organlarının görüşleri doğrultusunda literatürde, “bireyin geçmişte hukuka uygun olarak yayılmış ve doğru nitelikteki bilgilerinin zamanın geçmesine bağlı olarak erişimden kaldırılmasını ya da gündeme getirilmemesini talep edebilmesi” olarak tanımlandığı görülmektedir.

Bilindiği üzere Anayasa’nın 20 nci maddesine 2010 Anayasa değişikliği ile eklenen “... Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” hükmü ile bireylere kişisel verilerin silinmesini talep etme hakkı tanınmaktadır.

Öte yandan, Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde kişisel verilerin işlenmesinde uyulması zorunlu ilkeler arasında doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme ve kişisel verilerin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi sayılmış, ayrıca Kanunun 11 inci maddesinin birinci fıkrasının (e) bendinde ilgili kişiye kişisel verilerin silinmesini veya yok edilmesini isteme hakkının tanındığı, 7 nci maddesinde ise kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesinin düzenlendiği, mezkur hükümde; Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği, bu hususta diğer kanunlarda yer alan hükümlerin saklı olduğu ve buna ilişkin usul ve esasların ise yönetmelikle düzenleneceğinin hükme bağlandığı görülmektedir.

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 8 inci maddesinde kişisel verilerin silinmesinin kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi olarak tanımlandığı ve veri sorumlusunun bunu sağlamaya yönelik olarak gerekli her türlü teknik ve idari tedbirleri almakla yükümlü olduğu belirtilmektedir.

Diğer taraftan Kanunun yürürlüğe girmesinden önce dahi “unutulma hakkı”nın yargı kararlarına konu olduğu, internet haber arşivinde bulunan bir haberin içeriğinin yayından kaldırılması talebine ilişkin olarak Anayasa Mahkemesi’nin 03.03.2016 tarihli ve 2013/5653 Başvuru Numaralı Kararında, “bireyin geçmişte haber yapılmış ve gerçeğe aykırılığı ileri sürülmemiş davranışlarının artık hatırlanmasının engellenmesi”nin hukuki mesele olarak ortaya konulduğu, internet haber arşivlerindeki kişisel verilere erişimin engellenerek kişilerin yaptıklarının unutulmasının sağlanması yönündeki talebin unutulma hakkı olarak nitelendirildiği, ayrıca kararda; “Başvuru tarihi itibarıyla söz konusu haberin yaklaşık on dört yıl önceki bir olaya ilişkin olduğu ve böylelikle güncelliğini yitirdiği açıktır. İstatistiki ve bilimsel amaçlar yönünden de yukarıda ifade edilen gerekçelerle bu bilgilere internet ortamında kolaylıkla ulaşılmayı gerekli kılan bir neden bulunmamaktadır. Bu bağlamda kamu yararı bakımından siyasi veya medyatik bir kişiliğe sahip olmayan başvurucu hakkında internet ortamında yayınlanan haberlerin kolaylıkla ulaşılabilirliğinin başvurucunun itibarını zedelediği açıktır.” denilmek suretiyle unutulma hakkının nasıl ele alınması gerektiğine ilişkin kriterler belirlenerek haberlerin kişinin Anayasa’nın 17 nci maddesinde güvence altına alınan şeref ve itibarın korunması hakkını ihlal ettiğine karar verilmiştir.

Kararda ayrıca unutulmayı etkin kılacak yöntemlerden de söz edildiği, buna göre, 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun'un 9 uncu maddesinde erişimin engellenmesinin kapsamının kişilik hakkının ihlalinin gerçekleştiği yayın, kısım, bölüm ile ilgili olarak (URL vb.) içeriğe erişimin engellenmesi yöntemiyle verileceği ve zorunlu olmadıkça internet sitesinde yapılan yayının tümüne yönelik erişimin engellenmesine karar verilemeyeceği belirtilmiş olup buna ek olarak, “... alınacak tedbirlerin kişinin şeref ve itibarına yönelik müdahaleleri unutulma hakkı gereğince engellemek için arşivde arama yapmaya imkân tanıyan haber ile kişi arasında ilişki kuran kişisel verilerin silinmesi, haberin anonim hâle getirilmesi, haber içeriğinin bir kısmına erişimin engellenmesi gibi birçok yöntem benimsenebilir. Bu bağlamda yargının görevinin, İnternet ortamının sağladığı kolaylıkla zamanla kişilerin itibarına yönelik müdahale oluşturan haberleri tamamen ortadan kaldırarak geçmişte meydana gelmiş olayların yeniden yazılmasını sağlamak olmadığı dikkate alınmalıdır. İnternet haber arşivinin bir bütün olarak basın özgürlüğünün koruması altında olduğu unutulmamalıdır...” denilmek suretiyle kişisel verilerin silinmesine ve anonim hale getirilmesine yapılan atıfla erişimin kısmi olarak engellenmesi ve kişi ile haber arasında bağlantının koparılması yollarıyla söz konusu hakla basın özgürlüğü arasında nasıl denge kurulabileceğinin gösterildiği, burada Kanunun yürürlüğe girmesinden önce silme ve anonim hale getirmenin unutulma hakkını hayata geçirmeye yönelik bir yöntem olarak ifade edilmesinin önemli olduğu, zira Yüksek Mahkeme kararında unutulma hakkına bir üst kavram olarak yaklaşıldığı, silme ve anonim hale getirmeyi ise bu hakkı tesis etmeye yönelik bir yol olarak sunulduğu anlaşılmaktadır.

Yine davacının isminin rumuzlanmadan bir kitapta yer almasına ilişkin olarak verilmiş olan Yargıtay Hukuk Genel Kurulu’nun 17.06.2015 tarihli E:2014/4-56, K:2015/1679 sayılı Kararında unutulma hakkının; üstün bir kamu yararı olmadığı sürece, dijital hafızada yer alan geçmişte yaşanılan olumsuz olayların bir süre sonra unutulmasını, başkalarının bilmesini istemediği kişisel verilerin silinmesini ve yayılmasının önlenmesini isteme hakkı olarak ifade edildiği, bireyin geçmişinde yaşadığı olumsuz etkilerden kurtularak geleceğini şekillendirebilmesinin bireyin yararına olduğu gibi toplumun kalitesinin gelişmişlik seviyesinin yükselmesine de etkisinin tartışılmaz olduğu ifade edilerek unutulma hakkının gereği gibi sağlanmasının bireye faydası olduğu kadar topluma da faydası olduğunun vurgulandığı, bunun da ötesinde kararda unutulma hakkı tanımlarına bakıldığında her ne kadar dijital veriler için düzenlenmiş ise de, bu hakkın özellikleri ve bu hakkın insan haklarıyla arasındaki ilişkisi dikkate alındığında; yalnızca dijital ortamdaki kişisel veriler için değil, kamunun kolayca ulaşabileceği yerde tutulan kişisel verilere yönelik olarak da kabul edilmesi gerektiğinin ifade edildiği görülmektedir.

Unutulma hakkına ilişkin olarak Kanunun yürürlüğe girmesinin ardından verilen Yargıtay 19. Ceza Dairesi’nin 05.06.2017 tarihli E:2016/15510, K:2017/5325 sayılı kararında; bir internet sitesinde yer alan haberin güncellik değerini yitirdiği, dolayısıyla haberin o tarihte “gerçeklik ve doğruluk” kriterlerini karşılamasının artık bir önemi kalmadığı, adı geçen habere istenildiği zaman ulaşılmasının, toplum açısından yanlış algılamaya yol açabileceği, haberin yayında kalmasının toplumun ilerlemesi, gelişmesi için bir katkı sağlamayacağı, kamu yararına toplum hafızasında yer etmesi gibi bir etkisi olmadığı, haberin içeriğini oluşturan kişilerin toplumu temsil ve topluma hizmet etme gayesiyle seçilmiş veya atanmış siyasilerden olmadığı gibi, topluma kendini anlatma ve toplumu aydınlatma gayesiyle eser veren sanatçılardan veya aydınlardan da olmaması nedeniyle suç geçmişlerine dair bilgilerin kamuyu ilgilendirmediği belirtilerek unutulma hakkının ifade ve basın özgürlüğüne üstün tutulduğu, ayrıca kararda Kanuna atıf yapılmasa da unutulma hakkının kişisel verilerin korunması hakkı içinde ele alındığı anlaşılmaktadır.

Uluslararası hukukta unutulma hakkı Birleşmiş Milletler, Avrupa Konseyi ve Avrupa Birliği sistemleri yönünden ele alındığında öncelikle ilk iki sistem içinde mevzuat düzeyinde unutulma hakkının tanımlanmadığı, ancak anılan kurumların mevzuatlarında yer alan özel hayata saygı, şöhretin korunması, kişisel bilgilerin gizliliği gibi bazı haklar üzerinden unutulma hakkına ilişkin sonuçlara ulaşılan kararlara ya da raporlara rastlandığı görülmektedir. Öte yandan;

Avrupa Birliği Adalet Divanının (ABAD) 2014 yılında verdiği Google İspanya kararında özetle; arama motorunda yapılan aramada çıkan sonuçların “geçersiz, eksik, tamamen ilgisiz veya sonradan ilgisiz hale gelmiş” ise arama motorları tarafından internet ortamına yüklenen amacını aşan söz konusu kişisel verilerin ve buna ilişkin sonuç listesinde yer alan bilgilerin silinmesi gerektiğinin belirtildiği, kararda ayrıca ilke olarak kişinin özel hayatının gizliliği hakkının, arama motorunun ekonomik çıkarı ile söz konusu kişi adına yapılan arama üzerine kamunun bilgiye erişim hakkının diğer bir ifadeyle bilgi alma hakkının üzerinde olduğu, bu kuralın yalnızca kamunun bilgiyi öğrenmede üstün bir yararı bulunmakta ise uygulanmayacağının ifade edildiği,
29. Madde Çalışma Grubu’nun ABAD’ın mezkur kararının uygulanmasına ilişin rehber ilkelerinde de kavramsal olarak “unutulma hakkı”nın kullanılmadığı, burada daha çok indeksten çıkarılma hakkı, arama motoru sonuçlarındaki linklerin gizlenmesi gibi kavramlar üzerinden konunun ele alındığı,
25 Mayıs 2018 tarihinde yürürlüğe giren Avrupa Genel Veri Koruma Tüzüğü’nün (Tüzük) “Silme hakkı (‘Unutulma Hakkı’)” başlıklı 17 nci maddesindeki düzenlemenin incelenmesinden, unutulma hakkının ayrıca tanımlanmadığı ve “silme” yükümlülüğü kapsamında değerlendirildiği, bu hakkın kullanımı bakımından Kanunun ilgili hükümlerine benzer şekilde veri işleme şartlarının ortadan kalkmış olması durumuna atıfta bulunulduğu ve bu hakkın istisnalarına (yasal yükümlülük, kamu yararına gerçekleştirilen bir görevin yerine getirilmesi, halk sağlığı alanındaki kamu yararı, kamu yararına arşivleme, bilimsel veya tarihi araştırma amaçları, istatistiki amaçlar, yasal iddialarda bulunulması, bu iddiaların uygulanması veya savunulması) yer verildiği
görülmektedir.

Bu kapsamda, unutulma hakkının uygulanmasında mevzuatımızda kavramsal olarak söz konusu hakka yer verilmese bile hukukumuzda bu hakkı sağlamaya yönelik araçların bulunduğunun açık olduğu, bu araçların örneğin, 5651 sayılı Kanunun özel hayatın gizliliği nedeniyle içeriğe erişimin engellenmesi yönündeki düzenlemesi olabileceği gibi Kanunun silmeyi düzenleyen 7 nci maddesi de olabileceği, bu itibarla, yukarıda yer verilen açıklamalardan hareketle, unutulma hakkının, Anayasanın 20 nci maddesinin üçüncü fıkrası hükmü ile 6698 sayılı Kanunun 4 üncü, 7 nci ve 11 inci maddelerinde ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 8 inci maddesinde yer verilen düzenlemelerle iç hukukumuz açısından karşılanabileceği ve ayrı bir hak olarak tanımlanmasına gerek olmadığı; öte yandan unutulma hakkını sağlamaya yönelik olarak veri işleme faaliyetinin durdurulması, silme, yok etme veya anonim hâle getirme ile indeksten çıkarma işleminden somut olaya göre en uygun olan araca karar verilebileceği, zira unutulma hakkı içinde pek çok hakkı barındıran bir üst kavramken, sayılanların bu hakkı tesis etmeye yönelik araçlar olarak ele alındığında Kanunla hedeflenen gayenin gerçekleşmesine de katkı sunulabileceği değerlendirilmektedir.

Bu çerçevede, Kurumumuza intikal eden medya kuruluşlarına ait çeşitli internet sitelerinde yer alan haberlerde yer verilmek suretiyle işlenen kişisel verilerinin kaynaktan silinmesine yönelik başvurular, bu basın organlarının veri sorumlusu olduğu noktasından hareketle Kanunun ilgili hükümleri çerçevesinde Kurulca değerlendirilerek karara bağlanmakla birlikte, kişilerin unutulma hakkı kapsamında ad ve soyadları üzerinden arama motorlarından yapılan aramalarda çıkan sonuçların indeksten çıkarılmasına yönelik talepleri kapsamında Kanunda ve ilgili alt düzenlemelerde herhangi bir açık hükme yer verilmediğinden, bu nitelikteki başvuruların ne şekilde ele alınacağı hususunun değerlendirilmesi gereği ortaya çıkmaktadır.

Yukarıda yer verilen değerlendirmeler çerçevesinde;

Kurumumuza intikal eden başvurulara konu “Unutulma Hakkı”nın bir üst kavram olarak ele alınmak suretiyle Anayasanın 20 nci maddesinin üçüncü fıkrası hükmü ile 6698 sayılı Kanunun 4 üncü, 7 nci ve 11 inci maddelerinde ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 8 inci maddesinde yer verilen düzenlemeler çerçevesinde değerlendirildiği,
Yine Kurumumuza yapılan başvurularda yer verilen arama motorlarından ad ve soyadı ile yapılan aramalarda kişinin kendisiyle bağlantılı sonuçlara ulaşılmamasını isteme hakkının indeksten çıkarılma talebi olarak nitelendirildiği,
Bu kapsamda, arama motorlarının, üçüncü taraflara ait internette topladıkları verilerin işlenmesinin amaç ve vasıtalarını belirledikleri göz önünde bulundurularak Kanunun 3 üncü maddesinde yer verilen tanım çerçevesinde veri sorumlusu olarak kabul edildiği,
Arama motorunun işletmecisinin otomatik, düzenli ve sistematik olarak internette yayınlanan bilgiyi bulduğu, daha sonra kendi indeksleme programları çerçevesinde alıp, kaydedip, organize ettiği kişisel verileri arama sonuçlarının listesi formunda düzenlediği, sunucuları üzerinde sakladığı, belirli durumlarda açıkladığı ve kullanıcılarına sunduğu dikkate alındığında arama motorları tarafından gerçekleştirilen faaliyetlerin Kanunun 3 üncü maddesi kapsamında ‘kişisel veri işleme” faaliyeti olarak değerlendirildiği,
Bu kapsamda, Kanunun başvuru ve şikâyet hakkına ilişkin hükümlerinde belirtilen usul ve süreler esas alınarak ilgili kişilerin, arama sonuçlarının indeksten çıkarılmasına yönelik talepleri ile ilgili olarak öncelikle arama motorlarına başvuruda bulunmaları, veri sorumlusu arama motorlarının söz konusu talepleri reddetmeleri veya başvuru sahibine cevap vermemeleri halinde ilgili kişilerce Kurula şikâyette bulunabilecekleri,
İlgili kişilerce yapılacak başvurunun şekli ve istenilecek bilgi ve belgelerin arama motorları tarafından belirleneceği,
İlgili kişinin arama motorları üzerinden kendi adı ve soyadı ile yapacağı bir arama sonucunda gösterilen sonuçların indeksten çıkarılmasına yönelik taleplerin değerlendirilmesinde, ilgili kişinin temel hak ve özgürlükleri ile kamunun söz konusu bilgiyi edinmesinden sağlayacağı menfaatler arasında bir denge testi yapılması, yarışan menfaatlerden hangisinin ağır bastığının gözetilmesi ve bu değerlendirme yapılırken öncelikli olarak aşağıda belirtilen linkte yer verilen açıklamaların dikkate alınması ancak bu konudaki şikâyetlerin değerlendirme sürecinde dikkate alınacak kriterlerin bunlarla sınırlı olmayacağı, her somut olay özelinde Kurulca ilave ölçütlerin de gündeme gelebileceği,
İlgili kişilerin, arama motorları üzerinden kendi ad ve soyadları ile yapılacak aramalar neticesinde gösterilen sonuçların indeksten çıkarılmasına yönelik taleplerinin veri sorumlusu arama motorları tarafından reddedilmesi veya taleplerine cevap verilmemesi halinde Kurula başvuruda bulunulurken aynı zamanda doğrudan yargı yoluna başvurmalarının da mümkün bulunduğu
hususlarının kamuoyuna duyurulmasına,

Bu kararda yer alan usul ve esasların arama motoru işleticisi şirketlere bildirilmesi ve ilgili kişilerce internet siteleri üzerinden unutulma hakkının uygulanabilmesini teminen iletişim kanallarının ülkemiz vatandaşları tarafından da kullanılabilmesine yönelik gerekli aksiyonların alınmasının sağlanmasına

karar verilmiştir.

Kişilerin Ad ve Soyadı ile Arama Motorları Üzerinden Yapılan Aramalarda Çıkan Sonuçların İndeksten Çıkarılmasına İlişkin Değerlendirmede Dikkate Alınacak Kriterler

23/06/2020 - Veri Sorumluları Siciline Kayıt Tarihlerinin Uzatılması

"Veri Sorumluları Siciline Kayıt Tarihlerinin Uzatılması İle İlgili Kişisel Verileri Koruma Kurulunun 23/06/2020 Tarihli ve 2020/482 Sayılı Kararı

Karar Tarihi : 23/06/2020
Karar No : 2020/482
Konu Özeti : Veri Sorumluları Siciline kayıt tarihlerinin uzatılması

Tüm dünyada olduğu gibi ülkemizde de etkisini gösteren Covid-19 virüs salgını nedeniyle bazı işyerlerinin fiziksel olarak kapalı olduğu veya uzaktan / dönüşümlü çalışma modeli uygulandığı, bu nedenle veri sorumlularınca kişisel veri işleme envanteri hazırlama çalışmalarının yapılamadığı ve Veri Sorumluları Siciline (Sicil) kayıt yükümlülüğünün süresinde yerine getirilemediği gerekçesiyle Sicile kayıt sürelerinin uzatılmasına ilişkin Türkiye Odalar ve Borsalar Birliği (TOBB) ile muhtelif sektör temsilcileri tarafından Kuruma intikal ettirilen taleplerin değerlendirilmesi neticesinde;

Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 30.09.2020 tarihine,
Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.03.2021 tarihine,
Kamu kurum ve kuruluşu veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.03.2021 tarihine,
kadar uzatılmasına,

Anılan kararın Kurum internet sayfasında duyurulması ve Resmi Gazete’de yayımlanmasına
oybirliği ile karar verilmiştir.

22/04/2020 - Veri Sorumluları Siciline Kayıt Yükümlülüğünden İstisna Tutulacak Veri Sorumluları
Karar Tarihi : 22/04/2020
Karar No : 2020/315
Konu Özeti : Dernek, vakıf ve sendikaların Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulması

6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesi gereği Veri Sorumluları Siciline kayıt yükümlülüğüne istisna getirilen 02.04.2018 tarihli ve 2018/32 sayılı Kurul kararının 3 üncü maddesinde yer alan dernek, vakıf ve sendikalarla ilgili istisna hususundaki başvurular üzerine Kurul tarafından yapılan değerlendirme sonucunda;

  • Sicile kayıt yükümlülüğüne istisna getirilen 02.04.2018 tarihli ve 2018/32 sayılı Kurul kararının 3 üncü maddesinde yer alan “04/11/2004 tarihli ve 5253 sayılı Dernekler Kanununa göre kurulmuş derneklerden, 20/02/2008 tarihli ve 5737 sayılı Vakıflar Kanununa göre kurulmuş vakıflardan ve 18/10/2012 tarihli 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler.” ifadesinin “yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalar” olarak değiştirilmesinin,
  • Anılan Kararın Kurum internet sayfası ve Resmi Gazetede yayımlanmasının

kabulüne oybirliği ile karar verilmiştir.

İLKE KARARI: 18/10/2019 - Muhtelif yollarla elde edilen veriler üzerinden vatandaşların kimlik ve iletişim bilgileri gibi kişisel verilerinin sorgulanmasına imkân tanıyan yazılım/program/uygulamaların kullanılması

21.11.2019 Tarih 30955 sayılı Resmi Gazete

Kişisel Verileri Koruma Kurumuna intikal eden ihbarlar kapsamında avukatlar/hukuk büroları ile finans, gayrimenkul danışmanlık, sigorta vb. sektörlerde faaliyet gösteren bazı kişi ve kuruluşlar tarafından muhtelif yollarla elde edilen veriler üzerinden vatandaşların kimlik ve iletişim bilgileri gibi kişisel verilerinin sorgulanmasına imkân tanıyan yazılım/program/uygulamaların kullanılmakta olduğu tespit edilmiştir. Yapılan değerlendirme sonucunda bu durumun, 6698 sayılı Kişisel Verilerin Korunması Kanununun veri sorumlularının veri güvenliğine ilişkin yükümlülüklerini düzenleyen 12 nci maddesi hükümlerine aykırılık oluşturduğu dikkate alınarak, yaşanabilecek veri güvenliği ihlallerinin önüne geçilmesini teminen;

- Bu mahiyetteki yazılımları/programları/uygulamaları kullandığı tespit edilenler hakkında Türk Ceza Kanunu kapsamında gerekli adli işlemlerin tesisi için konunun, 5271 sayılı Ceza Muhakemesi Kanununun 158 inci maddesi hükmü uyarınca ihbaren ilgili Cumhuriyet Başsavcılıklarına bildirileceği,

- Kişisel Verileri Koruma Kurulunun görev alanına giren yönüyle de veri sorumluları hakkında 6698 sayılı Kişisel Verilerin Korunması Kanununun 18 inci maddesi hükmü çerçevesinde idari işlem tesis edileceği

hususlarında kamuoyunun bilgilendirilmesine,

- 6698 sayılı Kişisel Verilerin Korunması Kanununun 15 inci maddesinin altıncı fıkrası hükmü uyarınca alınan bu ilke kararının Resmi Gazete ile Kurumun internet sitesinde yayımlanmasına

oybirliği ile karar verilmiştir.

18/09/2019 - 2019/271: Veri sorumlusu tarafından ilgili kişiye yapılan veri ihlali bildiriminde yer alması gereken asgari unsurlar

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasında veri sorumlusunun;

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu, (5) numaralı fıkrasında ise, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildireceği, Kurulun, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükme bağlanmıştır.

Kişisel Verileri Koruma Kurulunun (Kurul) 24.01.2019 tarih ve 2019/10 sayılı kararı ile veri ihlali bildiriminin “Veri sorumlusunca söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılmasına” karar verilmiştir.

Söz konusu hüküm ve Kurul kararı kapsamında Kuruma intikal eden veri ihlal bildirimlerinin değerlendirilmesi sürecinde; kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde veri sorumlusunun bu durumu Kurula ve ihlalden etkilenmiş kişilere bildirmesinde amacın, ihlal nedeniyle bu kişiler hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesi veya en aza indirilmesine imkan verecek önlemler alınmasını sağlamak olduğu dikkate alındığında veri sorumlularının söz konusu ihlale ilişkin ilgili kişilere yapacağı bildirimlerde hangi unsurların bulunması gerektiğinin açıkça düzenlenmesi gerekliliği doğmuştur.

Bu kapsamda Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/271 sayılı Kararı ile;

Veri sorumlusu tarafından ilgili kişiye yapılacak olan ihlal bildiriminin açık ve sade bir dille yapılması ve asgari olarak;

  • İhlalinin ne zaman gerçekleştiği,
  • Kişisel veri kategorileri bazında (kişisel veri / özel nitelikli kişisel veri ayrımı yapılarak) hangi kişisel verilerin ihlalden etkilendiği,
  • Kişisel veri ihlalinin olası sonuçları,
  • Veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler,
  • İlgili kişilerin veri ihlali ile ilgili bilgi almalarını sağlayacak irtibat kişilerinin isim ve iletişim detayları ya da veri sorumlusunun web sayfasının tam adresi, çağrı merkezi vb. iletişim yolları

unsurlarına yer verilmesi gerektiğine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

03/09/2019 - 2019/265: VERBİS Kayıt Sürelerinin Uzatılması
Karar Tarihi : 03/09/2019
Karar No : 2019/265
Konu Özeti :VERBİS Kayıt Sürelerinin Uzatılması

Türkiye Odalar ve Borsalar Birliği (TOBB) ile muhtelif sektör temsilcileri tarafından Kuruma intikal ettirilen Veri Sorumluları Siciline (Sicil) kayıt sürelerinin uzatılmasına ilişkin taleplerin değerlendirilmesi neticesinde;

  • Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2019 tarihine kadar uzatılmasına,
  • Bu kararın Kurum internet sayfasında duyurulması ve Resmî Gazete’de yayımlanmasına

oybirliği ile karar verilmiştir.

02/05/2019 - 2019/125: Yeterli korumanın bulunduğu ülkelerin tayininde kullanılmak üzere oluşturulan form
Karar Tarihi : 02/05/2019
Karar No : 2019/125
Konu Özeti :Yeterli korumanın bulunduğu ülkelerin tayininde kullanılmak üzere oluşturulmuş form

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 9 uncu maddesinde; kişisel verilerin, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağı, kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulunun (Kurul) izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın söz konusu verilerin yurt dışına aktarılabileceği düzenlenmiştir. Ayrıca maddede yeterli korumanın bulunduğu ülkelerin Kurulca belirlenerek ilan edileceği ve söz konusu ülkelerin ilanında değerlendirilecek hususlar hüküm altına alınmıştır.

Bu kapsamda Kanunun 9 uncu maddesi uyarınca yeterli korumanın bulunduğu ülkelerin Kurulca belirlenmesinde kullanılmak üzere Kurulun 02/05/2019 tarih ve sayılı 2019/125 sayılı Kararında kabul edilen ilgili kriterlere aşağıda belirtilen bağlantı üzerinden erişim sağlanabilir.

Yeterli Korumaya Sahip Ülkelerin Belirlenmesinde Esas Alınacak Kriterler

24/01/2019 - 2019/10: Kişisel Veri İhlali Bildirim Usul Ve Esaslarına İlişkin

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasında veri sorumlusunun;

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  • Kişisel verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu, (5) numaralı fıkrasında ise, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kuruluna (Kurul) bildireceği, Kurulun, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükme bağlanmıştır.

Veri ihlal bildirimlerinde, Kurula ve ihlalden etkilenmiş kişilere bildirim yapılmasındaki amacın, ihlal nedeniyle bu kişiler hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesi veya en aza indirilmesine imkan verecek önlemler alınmasını sağlamak olduğu, öte yandan 6698 sayılı Kanuna kaynak teşkil eden Avrupa Birliğinin 95/46/EC sayılı Direktifini ilga eden Avrupa Genel Veri Koruma Tüzüğünde de veri ihlal bildirimlerine ilişkin olarak Direktifin aksine detaylı düzenlemelere yer verildiği dikkate alındığında Kurul tarafından bu konuda alınacak kararlar arasında herhangi bir uyumsuzluğa mahal verilmemesi ve uygulamada bir standartlaşma sağlanabilmesini teminen; Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10 sayılı Kararı ile;

  • Kanunun 12 nci maddesinin (5) numaralı fıkrasının “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir….” hükmünde yer alan “en kısa sürede” ifadesinin 72 saat olarak yorumlanmasına ve bu kapsamda veri sorumlusunun bu durumu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirmesine, veri sorumlusunca söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılmasına,
  • Veri sorumlusu tarafından Kurula haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurula açıklanmasına,
  • Kurula yapılacak bildirimde aşağıda yer verilen “Kişisel Veri İhlal Bildirim Form”unun kullanılmasına,
  • Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgilerin gecikmeye mahal verilmeksizin aşamalı olarak sağlanmasına,
  • Veri sorumlusu tarafından veri ihlallerine ilişkin bilgilerin, etkilerinin ve alınan önlemlerin kayıt altına alınması ve Kurulun incelemesine hazır halde bulundurulmasına,
  • Veri işleyen nezdinde bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri işleyenin bu konuda herhangi bir gecikmeye yer vermeksizin veri sorumlusuna bildirimde bulunmasına,
  • Veri ihlalinin yurtdışında yerleşik veri sorumlusu nezdinde yaşanması halinde, bu ihlalin sonuçlarının Türkiye’de yerleşik ilgili kişileri etkilemesi ve ilgili kişilerin sunulan ürün ve hizmetlerden Türkiye’de faydalanmaları durumunda, bu veri sorumlusu tarafından da aynı esaslar çerçevesinde Kurula bildirimde bulunulmasına,
  • Veri ihlali gerçekleşmesi halinde veri sorumlusu tarafından kendi nezdinde kimlere raporlama yapılacağı, Kanun kapsamında yapılacak bildirimler ile veri ihlalinin olası sonuçlarının değerlendirilmesi hususunda, kendi nezdindeki sorumluluğun kimde olduğunun belirlenmesi gibi konuları içeren bir veri ihlali müdahale planı hazırlanarak belirli aralıklarla bu planın gözden geçirilmesine

karar verilmiştir.

Kişisel Veri İhlali Bildirim Formu

Kamuoyuna saygıyla duyurulur.

27.05.2019 - 2019/52: Kurul kararının yerine getirilmemesi hakkında
Karar Tarihi : 05/03/2019
Karar No : 2019/52
Konu Özeti :Kurul kararının yerine getirilmemesi hakkında

2019/23 sayılı Kurul kararının şirkete tebliği sonrasında Şirket internet sitesi üzerinde muhtelif tarihlerde herhangi bir form numarasının son iki hanesinin değiştirilmesi suretiyle farklı form numaraları ile yapılan sorgulamalarda;

  • Başka cihazlara ait sorgulamaların halen gerçekleştirilebildiği ve başka bir güvenlik doğrulamasının da yapılmadığı,
  • Yapılan sorgulama sonucunda açılan sayfada kişilerin isim ve soy isimleri, IMEI numaraları ile cihazın sevk edildiği adresin baş ve son harfleri hariç maskelendiği, IMEI numaralarının, sorgulama yapılan ilk sayfada maskelenmiş şekilde gösterilmekle birlikte, aynı sayfada yer alan “Cihaz Kayıt Görüntüleri için Tıklayınız” linki seçildiğinde açılan yeni pencerede kamera görüntülerine ulaşabilmek için yönlendirilen linkin uzantısında IMEI numaralarının halen açık şekilde gösterildiği, söz konusu sayfada numaranın kime ait olduğuna ilişkin tanımlayıcı bir bilgiye yer verilmediği ancak, sorgu sayfasının aşağısında yer alan “Kargonuzu Görüntülemek İçin Tıklayınız” linki seçildiğinde gönderinin yapıldığı kargo firmasına yapılan yönlendirme ile ulaşılan sayfada gönderiyi teslim alan kişinin adı ve soyadı açıkça yer aldığından gönderiyi kendisi teslim alan müşteriler açısından IMEI numaraları ile cihaz sahibinin eşleştirilmesinin mümkün olabileceği,

görülmüş olup, söz konusu sorgulamalara ilişkin ekran çıktıları alınmış ve tutanağa bağlanmıştır.

Bu itibarla,

  • 2019/23 sayılı Kurul Kararı çerçevesinde Şirkete tebliğ edilen “...söz konusu aykırılığın ivedilikle giderilmesi, bahse konu aykırılığın giderildiği hususunun Kurula tevsiki sağlanıncaya kadar işbu Kararda yer alan linklerin kullanımının derhal durdurulması...” şeklindeki talimatın Şirket tarafından Kurul Kararına uygun olarak yerine getirilmediği dikkate alındığında, Kanunun 15 inci maddesine aykırı olarak uyarınca Kurul tarafından verilen kararı yerine getirmeyen Şirket hakkında Kanunun 18 inci maddesi çerçevesinde 50.000 TL idari para cezası uygulanmasına,
  • Öte yandan, Şirkete ait internet sitesinde herhangi bir sorgu numarasının son iki hanesini değiştirmek suretiyle başka cihaz ve sahiplerine ilişkin sorgulamaların halen yapılabildiği dikkate alındığında, asıl güvenlik açığının giderilmediği bu kapsamda, cihaz takibi için sorgulama yapılabilmesine imkan veren sistemin değiştirilmesi, diğer taraftan halihazırda sorgulama yapılan sisteme erişimin ivedilikle kapatılması hususunda Şirketin talimatlandırılmasına

karar verilmiştir.

05/12/2018 - 2018/143 : Sağlık Verilerinin Kanunun 6 ncı Maddesinde Yer Alan İşleme Şartlarından Birine Dayanmadan Üçüncü Kişilere Aktarımı Hakkında

Yayım Tarihi: 18.02.2019

Doktor kontrolünde ilaç kullanan ilgili kişinin, özel nitelikli bu sağlık verisinin ilaçların temin edildiği eczane tarafından her hangi bir işleme şartına dayanmadan üçüncü kişiyle paylaşılması hususunda Kuruma yapılan şikâyet başvurusu hakkında;

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6 ncı maddesinin (1) numaralı fıkrasında kişilerin sağlık verilerinin özel nitelikli kişisel veri olduğu belirtilmiştir. Mezkur maddenin (2) numaralı fıkrasında özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesi yasaklanmış bununla birlikte, (3) numaralı fıkrada özel nitelikli kişisel verilerin açık rıza aranmadan işlenebileceği diğer haller sayılmıştır. Buna göre sağlık verilerinin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebileceği belirtilmiştir. Kanunun “Kişisel verilerin aktarılması” başlıklı 8 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın aktarılamayacağı hükme bağlanmış olup, anılan maddenin (2) numaralı fıkrasında ise kişisel verilerin açık rıza aranmaksızın aktarılabileceği haller Kanunun 5 inci maddesinin (2) numaralı fıkrası ile 6 ncı maddesinin (3) numaralı fıkrasına atıfta bulunmak suretiyle belirlenmiştir.

Öte yandan, Kanunun 12 nci maddesinin (1) numaralı fıkrası, veri sorumlusunun;

  1. Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  2. Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  3. Kişisel verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğunu düzenlemektedir. Anılan maddenin (4) numaralı fıkrasında ise veri sorumluları ile veri işleyen kişilerin öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacının dışında kullanamayacağı hükmüne yer verilmiştir.

Bu kapsamda, doktor kontrolünde ilaç kullanan ilgili kişinin sağlığı ile ilgili özel nitelikli kişisel verilerinin, ilaçları temin ettiği eczane tarafından 6698 sayılı Kişisel Verilerin Korunması Kanununun 8 inci maddesinde sayılan şartlar sağlanmadan üçüncü kişiyle paylaşılmasının Kanunun 12 nci maddesinin (4) numaralı fıkrasına aykırılık teşkil etmesi nedeniyle veri sorumlusu eczane hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmıştır.

26/07/2018 - 2018/91: Kişisel Verilere Hukuka Aykırı Erişilmesini Önleme Hakkında

Yayım Tarihi: 18.02.2019

Bir hazır giyim firmasının internet sitesi üzerinden üyelik bilgileri ile alışveriş yapan kişinin teslimat adresi, ad, soyadı, adres ve telefon numarası gibi kişisel bilgilerinin şirkete ait bu internet sitesi üzerinden alışveriş yapan üçüncü kişilerce erişilebilir hale gelmesi sebebiyle Şirkete başvuruda bulunarak kişisel verilerinin sistemlerinden silinmesini, yok edilmesini, ulaşılamaz hale getirilmesini, yurtiçi ve yurt dışında başka bir kurumla paylaşıldı ise o kurumlar nezdinde de silinmesini ve yok edilmesini talep etmesi üzerine Şirketten aldığı cevabı yetersiz bulması neticesinde Kuruma yapılan başvuru hakkında;

6698 sayılı Kişisel Verilerin Korunması Kanununun 7 nci maddesi “(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. (2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır” hükmünü amirdir.

Kanunun “İlgili Kişinin Hakları” başlıklı 11 inci maddesinin (1) numaralı fıkrasında ise herkesin, veri sorumlusuna başvurarak kendisiyle ilgili; yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme hakları düzenlemektedir.

Diğer yandan, Kanunun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (1) numaralı fıkrasında veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu hüküm altına alınmıştır.

Bir hazır giyim firmasının internet sitesi üzerinden üyelik bilgileri ile alışveriş yapan kişinin teslimat adresi, ad, soyadı, adres ve telefon numarası gibi kişisel bilgilerinin şirkete ait bu internet sitesi üzerinden alışveriş yapan üçüncü kişilerce erişilebilir hale gelmesi sebebiyle Şirkete başvuruda bulunarak kişisel verilerinin sistemlerinden silinmesini, yok edilmesini, ulaşılamaz hale getirilmesini, yurtiçi ve yurt dışında başka bir kurumla paylaşıldı ise o kurumlar nezdinde de silinmesini ve yok edilmesini talep etmesi üzerine Şirketten aldığı cevabı yetersiz bulması neticesinde Kuruma yapılan başvuru kapsamında;

- Şikâyetçinin kişisel verilerinin alışveriş işlemleri için girildiği, ancak anılan bilgilerin aynı zamanda başka müşterilerin alışverişe ilişkin işlemleri sırasında görülebilir hale geldiği, Şirket tarafından Kuruma sunulan savunma ve belgelerde, şirketin şikâyete konu durumdan olayla birlikte haberdar olduğu, olayın sistemsel bir hatadan kaynaklandığının tespit edildiği, ilgili departmanlar arasında istişarelerde bulunularak başka müşterilerin de mağduriyet yaşamamaları amacıyla bir takım önlemlerin alındığı ve derhal uygulama sürümünün çıkarıldığı hususlarına ilişkin açıklamaları birlikte değerlendirildiğinde Şirket tarafından bahsi geçen mağduriyet öncesinde Kanunun 12 nci maddesinin (1) numaralı fıkrası kapsamında kişisel verilerin muhafaza edilmesi ve kişisel verilere hukuka aykırı erişilmesini önleme amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirlerin alınamadığı sonucuna varıldığından; Şirket hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmasına,

- Şikâyetçinin her türlü kişisel verisinin Şirket sistemlerinden silinmesi, yok edilmesi, ulaşılamaz hale getirilmesi, yurtiçi ve yurt dışında başka bir kurumla paylaşıldı ise o kurumlar nezdinde de silinmesi ve yok edilmesi talebiyle ilgili olarak Şirketin taraflarınca yapılan işlemler hakkında açıklamalarını, tevsik edici belgelerle birlikte Kanunun 15 inci maddesinin (5) numaralı fıkrası gereğince kararın tebliğinden itibaren 30 gün içerisinde Şikâyetçiye iletmesi yönünde talimatlandırılmasına

karar verilmiştir.

28/06/2018 - 2018/69: Sicil Dosyalarındaki Kişisel Verilerin İmha Edilmesi Hakkında

Yayım Tarihi: 18.02.2019

Devlet memurlarının, memuriyet döneminde haklarında açılmış inceleme-soruşturma dosyalarına ilişkin evrakların imha edilmesi talebinin veri sorumlusu kamu kurumunca yerine getirilmemesi üzerine Kuruma yapılan başvuru hakkında;

6698 sayılı Kişisel Verilerin Korunması Kanununun 7 nci maddesinde “(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. (2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır” hükümlerine yer verilmiştir.

Öte yandan, 657 sayılı Kanunun “Memur Bilgi Sistemi, Özlük Dosyası” başlıklı 109 uncu maddesinde “Memur Bilgi Sistemi, Özlük Dosyası” başlıklı 109 uncu maddesinde her memur için bir özlük dosyasının tutulacağı ve bu dosyada memurun mesleki bilgileri, mal bildirimleri; varsa inceleme, soruşturma, denetim raporları, disiplin cezaları ile ödül ve başarı belgelerine ilişkin bilgi ve belgelerin konulacağı hükmüne; Kamu Personeli Genel Tebliğinin (Seri No: 2) “D” bölümünde ise görevleri herhangi bir şekilde sona eren memurların özlük dosyalarının kurumlarınca saklanacağı hükmüne yer verilmiştir.

Buna ek olarak, 16.05.1988 tarihli ve 19816 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren Devlet Arşiv Hizmetleri Hakkında Yönetmelik’in “Tarifler” başlıklı 3 üncü maddesinin

- (a) bendinde “Arşiv malzemesi: Türk Devlet ve Millet hayatını ilgilendiren ve en son işlem tarihi üzerinden otuz yıl geçmiş veya üzerinden onbeş yıl geçtikten sonra kesin sonuca bağlanmış olup, birinci maddede belirtilen kuruluşların işlemleri sonucunda teşekkül eden ve onlar tarafından muhafazası gereken, Türk Milletinin geleceğine tarihi, siyasî, sosyal, hukukî ve teknik değer olarak intikal etmesi gereken belgeler ve Devlet hakları ile milletlerarası hakları belgelemeye, korumaya, bunlarla ilgili işlem ve münasebetler bakımından tarihî, hukukî, idarî, askeri, iktisadî, dinî, ilmî edebî estetik, kültürel biyografik, jeneolojik ve teknik herhangi bir konuyu aydınlatmaya, düzenlemeye, tespite yarayan, ayrıca ait olduğu devrin ahlâk, örf ve âdetlerini veya çeşitli sosyal özelliklerini belirten her türlü yazılı evrak, defter, resim, plan, harita, proje, mühür, damga, fotoğraf, film, ses ve görüntü bandı, baskı ve benzeri belgeleri ve malzemeyi”,

- (b) bendinde “Arşivlik malzeme: Yukarıdaki bentte sayılan her türlü belge ve malzemeden zaman bakımından henüz arşiv malzemesi vasfını kazanmayanlarla, son işlem tarihi üzerinden yüzbir yıl geçmemiş memuriyet sicil dosyaları, Devletin gerçek ve tüzel kişilerle veya yabancı devlet ve milletlerarası kuruluşlarla akdettiği ikili ve çok taraflı milletlerarası antlaşmalar, tapu tahrir defterleri, tapu ve nüfus kayıtları, aynı özellikteki vakfiyelerden ait oldukları kamu kurum ve kuruluşları ile il, ilçe, köy ve belediyelere ait sınır kâğıtları gibi belgeleri”,

- (c) bendinde “Birim arşivi: Kurum ve kuruluşların görev ve faaliyetleri sonucu kendiliğinden teşekkül eden ve bu kuruluşların çeşitli birimlerinde, aktüalitesini kaybetmemiş olarak aktif bir biçimde ve günlük iş akımı içinde kullanılan arşivlik malzemenin belirli bir süre saklandığı arşiv birimlerini (Mükelleflerin taşra, bölge ve yurt dışı kuruluşlarında bulunan arşivler de birim arşivi sayılır.)”,

- (d) bendinde “Kurum arşivi: Kurum ve kuruluşların, merkez teşkilâtları içinde yer alan ve arşiv malzemesi ile arşivlik malzemenin, birim arşivlerine nazaran daha uzun süreli saklandığı merkezî arşivleri”,

- (e) bendinde ise “Mükellefler: 28/9/1988 tarihli ve 3473 sayılı Muhafazasına Lüzum Kalmayan Evrak ve Malzemenin Yok Edilmesi Hakkında Kanun Hükmünde Kararnamenin Değiştirilerek Kabulü Hakkında Kanunun 1 inci maddesinde sayılan kurum ve kuruluşları”

şeklinde tanımlanmıştır.

Bu çerçevede, 3473 sayılı Muhafazasına Lüzum Kalmayan Evrak ve Malzemenin Yok Edilmesi Hakkında Kanun Hükmünde Kararnamenin Değiştirilerek Kabulü Hakkında Kanunun “Amaç ve Kapsam” başlıklı 1 inci maddesinde “Bu Kanunun amacı, genel ve katma bütçeli dairelerle (saklama, ayıklama ve imha işlemleri kendi mevzuatına tabi olmak kaydıyla Cumhurbaşkanlığı, Türkiye Büyük Millet Meclisi, Genelkurmay Başkanlığı, Milli Savunma Bakanlığı, İçişleri Bakanlığı, (Ek ibare: 1/2/2000 - 4516/1 md.) Dışişleri Bakanlığı ve Milli İstihbarat Teşkilatı hariç) mahalli idareler, üniversiteler ve bunlara bağlı sabit ve döner sermayeli kuruluşlar, kamu iktisadi teşebbüsleri, özel kanunlarla kurulan kamu bankaları ve teşekkülleri elinde bulunan ve arşivlerinde arşiv malzemesi ve arşivlik malzeme niteliği taşımayan, muhafazasına lüzum görülmeyen, yok edilecek evrak ve her türlü malzemenin, ayıklama ve imha işlemlerine dair usul ve esasları düzenlemektir.” hükmü yer almakta olup, bu tanımdan hareketle genel bütçe kapsamındaki kamu idarelerinden olan Bakanlık da mükellef olarak değerlendirilmektedir.

Buna ek olarak, Devlet Arşiv Hizmetleri Hakkında Yönetmelik’in “Birim ve Kurum Arşivleri” başlıklı 5 inci maddesinde mükelleflerin, belirli bir süre saklayacakları arşivlik malzeme için birim arşivlerini, daha uzun bir süre saklayacakları arşiv malzemesi veya arşivlik malzeme için kurum arşivlerini kuracakları ve ellerinde bulunan arşivlik malzemelerin birim arşivlerinde 1-5 yıl süre ile saklanacağı ile “Kurum Arşivine Devredilecek Malzemenin Ayrılması” başlıklı 19 uncu maddede de birim arşivinde saklanma süresini tamamlayan arşivlik malzemenin, “Kurum Arşivine Devredilecek” olanlar şeklinde ayrılacağı hüküm altına alınmıştır.

Devlet memurlarının, memuriyet döneminde haklarında açılmış inceleme-soruşturma dosyalarına ilişkin evrakların imha edilme talebinin veri sorumlusu kamu kurumunca yerine getirilmemesi üzerine Kuruma yapılan başvuru kapsamında, imha edilmesi talep edilen kişisel bilgilerin, ilgili kişinin devlet memuru olduğu dönemde hakkında açılmış inceleme-soruşturma dosyalarına ilişkin evraklar olması ve bu itibarla söz konusu evrakların, 657 sayılı Kanun gereğince özlük dosyalarında saklanması gerektiği, Kamu Personeli Genel Tebliğine (Seri No: 2) göre özlük dosyalarının dördüncü bölümünde yer alacağı ile görevi herhangi bir şekilde sona eren memurların özlük dosyalarının kurumlarınca saklanacağı ve Devlet Arşiv Hizmetleri Hakkında Yönetmeliğe göre son işlem tarihi üzerinden yüz bir yıl geçmemiş memuriyet sicil dosyaları içerisinde yer aldığı hususlarından hareketle, 6698 sayılı Kanunun 7 inci maddesinde belirtildiği üzere kişisel verilerin işlenmesini gerektiren sebeplerin de henüz ortadan kalkmaması dolayısıyla şikayetçinin talebinin veri sorumlusu tarafından karşılanmamasının uygun olduğuna karar verilmiştir.

İLKE KARARI: 16/10/2018 - 2018/119: Veri sorumluları ve veri işleyenler tarafından ilgili kişilerin e-posta adreslerine veya SMS ya da çağrı ile cep telefonlarına reklam bildirimleri/aramaları yönlendirilmesinin önüne geçilmesini teminen ilke kararı alınması
Karar Tarihi : 16/10/2018
Karar No : 2018/119
Konu Özeti : Veri sorumluları ve veri işleyenler tarafından ilgili kişilerin e-posta adreslerine veya SMS ya da çağrı ile cep telefonlarına reklam bildirimleri/aramaları yönlendirilmesinin önüne geçilmesini teminen ilke kararı alınması

6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) hükümlerine aykırı olarak ilgili kişilerin açık rızaları alınmaksızın e-posta adreslerine veya SMS veya çağrı ile cep telefonlarına reklam bildirimleri/aramaları geldiği hususunda Kişisel Verileri Koruma Kurumuna (Kurum) intikal eden çok sayıda başvuru ile bu kapsamda yürütülmekte olan incelemeler çerçevesinde ulaşılan tespitler dikkate alınarak;

- İlgili kişilerin rızalarını almadan veya Kanunun 5 inci maddesinin (2) numaralı fıkrasında hüküm altına alınan işleme şartlarını sağlamadan, telefon numaralarına SMS göndermek, arama yapmak veya e-posta adreslerine posta göndermek suretiyle reklam içerikli ileti yönlendiren veri sorumluları ile veri sorumluları adına reklam içerikli mesaj/e-posta göndermek veya arama yapmak amacıyla ilgili kişilerin açık rızaları bulunmaksızın bu verileri kullanan veri işleyenlerin söz konusu veri işleme faaliyetlerini Kanunun 15 inci maddesinin (7) numaralı fıkrası uyarınca derhal durdurması gerektiği,

- Kanunun 12 nci maddesi kapsamında veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu ve kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, anılan tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumlu olduğu,

- Belirtilen şekilde söz konusu faaliyetlerde bulunan veri sorumluları hakkında Kanunun 18 inci maddesi hükümleri çerçevesinde işlem tesis edileceği,

- Bahse konu şekilde işlenen kişisel verilerin hukuka aykırı olarak elde edilmiş olabileceği de göz önüne alınarak 5237 sayılı Türk Ceza Kanununun “Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme” başlıklı 136 ncı maddesi çerçevesinde ilgili veri sorumluları hakkında gerekli hukuki işlemlerin tesisi için konunun 5271 sayılı Ceza Muhakemesi Kanununun 158 inci maddesi uyarınca ihbaren ilgili Cumhuriyet Başsavcılığına bildirileceği

hususlarında kamuoyunun bilgilendirilmesine ve bu İlke Kararının Kurumun internet sitesi ile Resmi Gazetede yayımlanmasına oy birliği ile karar verilmiştir.

19/07/2018 - 2018/88: Sicile kayıt yükümlülüğünün başlama tarihleri
Karar Tarihi : 19/07/2018
Karar No : 2018/88
Konu Özeti : Sicile kayıt yükümlülüğünün başlama tarihleri

 

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 16 ncı maddesinin (2) numaralı fıkrasında yer alan “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.” hükmü ile Kanunun Geçici 1 inci maddesinin 2 nci fıkrasında yer alan “Veri sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır.” hükmü göz önünde bulundurularak;

- Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.10.2018 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.09.2019 tarihine kadar süre verilmesinin kabulüne,

- Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.10.2018 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.09.2019 tarihine kadar süre verilmesinin kabulüne,

- Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.01.2019 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 31.03.2020 tarihine kadar süre verilmesinin kabulüne,

- Kamu kurum ve kuruluşu veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.04.2019 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.06.2020 tarihine kadar süre verilmesinin kabulüne

- Bu kararın Kurum internet sayfası ile Resmi Gazetede yayımlanmasına

oybirliği ile karar verilmiştir.

19/07/2018 - 2018/87: Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanların Sicile kayıt yükümlülüğünden istisna tutulması

Yayım Tarihi: 18.08.2018

6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin (2) numaralı fıkrasında yer alan “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.” hükmü ile 30 Aralık 2017 tarih ve 30286 sayılı Resmî Gazetede yayımlanarak yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmeliğin “İstisna Kriterleri” başlıklı 16 ncı maddesi göz önünde bulundurularak; 02.04.2018 tarihli ve 2018/32 sayılı Kurul Kararı ile istisna tutulan veri sorumlularına ilave olarak, yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanların; Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulmasına ve bu kararın Kurum internet sayfası ile Resmi Gazetede yayımlanmasına oybirliği ile karar verilmiştir.

05/07/2018 - 2018/75: Arabulucuların Veri Sorumluları Siciline Kayıt Zorunluluğundan İstisna Tutulması
Karar Tarihi 05/07/2018
Karar No : 2018/75
Konu Özeti : Adalet Bakanlığı Hukuk İşleri Genel Müdürlüğü Arabuluculuk Daire Başkanlığından alınan Arabulucuların Veri Sorumluları Siciline kayıt zorunluluğundan istisna tutulmasına ilişkin 25/05/2018 tarih ve 9235 sayılı görüş talebi

Adalet Bakanlığı Hukuk İşleri Genel Müdürlüğü Arabuluculuk Daire Başkanlığından alınan Arabulucuların Veri Sorumluları Siciline kayıt zorunluluğundan istisna tutulmasına ilişkin 25.05.2018 tarih ve 9235 sayılı taleplerinin incelenmesi neticesinde;

6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin (2) numaralı fıkrasında yer alan “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.” hükmü ile 30 Aralık 2017 tarih ve 30286 sayılı Resmî Gazetede yayımlanarak yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmeliğin “İstisna Kriterleri” başlıklı 16 ncı maddesi göz önünde bulundurularak; Arabulucular bakımından Veri Sorumluları Siciline kayıt yükümlülüğüne istisna getirilmesine ve Kararın Resmi Gazete ile Kurumun internet sayfasında yayımlanmasına oy birliği ile karar verilmiştir.

28/06/2018 - 2018/68: Gümrük Müşavirlerinin Sicile Kayıt İstisnası Hakkında görüş talebi
Karar Tarihi : 28/06/2018
Karar No : 2018/68
Konu Özeti : Gümrük Müşavirlerinin Sicile Kayıt İstisnası Hakkında görüş talebi

 

Ankara, Bursa, İstanbul, İzmir ve Mersin Gümrük Müşaviri Derneklerinin 25.05.2018 tarihli yazısında belirtilen, Kişisel Verileri Koruma Kurulunun 15.05.2018 tarihli Resmi Gazetede yayımlanan ve bazı veri sorumlularının Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulabileceğine ilişkin olarak verdiği karara istinaden gümrük müşavirleri ve yetkilendirilmiş gümrük müşavirlerinin de istisna kapsamına alınmasına ilişkin taleplerinin incelenmesi neticesinde;

6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin (2) numaralı fıkrasında yer alan “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.” hükmü ile 30 Aralık 2017 tarih ve 30286 sayılı Resmî Gazetede yayımlanarak yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmeliğin “İstisna Kriterleri” başlıklı 16 ncı maddesi göz önünde bulundurularak 4458 sayılı Gümrük Kanunu uyarınca faaliyet gösteren gümrük müşavirleri ve yetkilendirilmiş gümrük müşavirleri bakımından Veri Sorumluları Siciline kayıt yükümlülüğüne istisna getirilmesine ve Kararın Resmi Gazete ile Kurumun internet sayfasında yayımlanmasına oy birliği ile karar verilmiştir.

İLKE KARARI: 31/05/2018 - 2018/63: Veri sorumlusu nezdindeki kişisel verilere erişim yetkisi bulunan personelin yetkisi ve amacı dışında söz konusu verileri işlemesi hususunun değerlendirilmesi
Karar Tarihi : 31/05/2018
Karar No : 2018/63
Konu Özeti :Veri sorumlusu nezdindeki kişisel verilere erişim yetkisi bulunan personelin yetkisi ve amacı dışında söz konusu verileri işlemesi hususunun değerlendirilmesi

Veri sorumlusu nezdinde bulundukları pozisyon veya görev itibariyle kişisel verilere erişime yetkisi olanlar tarafından, yetkilerini aşarak ve işleme amacı dışında söz konusu verilerin işlendiği hususunda Kuruma intikal eden ihbar ve şikayetlere ilişkin yapılan değerlendirme sonucunda, uygulamada yaşanan problemlerin önüne geçilebilmesini teminen;

-      Bir veri sorumlusu nezdinde bulundukları pozisyon veya görev itibariyle kişisel verilere erişme yetkisi olanlar tarafından, yetkileri aşmak ve/veya yetkilerini kötüye kullanmak suretiyle, kişisel amaçlara veya nedenlere bağlı olarak işleme amacı dışında söz konusu kişisel verilerin işlenmesi ve/veya bu verilerin üçüncü kişilerle paylaşılması 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil edeceğinden, bu kapsamdaki eylemlerin önlenmesi amacıyla veri sorumlularınca uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirin alınması gerektiği hususunda veri sorumlularının bilgilendirilmesine,

-      Kanunun 15 nci maddesinin (6) numaralı fıkrası uyarınca alınan bu ilke kararının Resmi Gazete ile Kurumun internet sitesinde yayımlanmasına,

oy birliği ile karar verilmiştir.

02/04/2018 - 2018/32: Veri Sorumluları Siciline Kayıt Yükümlülüğünden İstisna Tutulacak Veri Sorumluları
Karar Tarihi : 02/04/2018
Karar No : 2018/32
Konu Özeti : 6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin ikinci fıkrası ile Veri Sorumluları Sicili Hakkında Yönetmeliğin 16 ncı maddesi uyarınca Veri Sorumluları Siciline kayıt yükümlülüğüne getirilecek istisnaların belirlenmesi

 

6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin ikinci fıkrası ile 30/12/2017 tarihli ve 30286 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmeliğin 16 ncı maddesine istinaden Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulacak veri sorumlularının ekte yer verildiği şekilde belirlenmesine ve Kararın Resmi Gazete ile Kurumun internet sitesinde yayımlanmasına karar verilmiştir.

02/04/2018 tarih ve 2018/32 sayılı Karar Eki Liste

  1. Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler.
  2. 18/01/1972 tarihli ve 1512 sayılı Noterlik Kanunu uyarınca faaliyet gösteren noterler.
  3. 04/11/2004 tarihli ve 5253 sayılı Dernekler Kanununa göre kurulmuş derneklerden, 20/02/2008 tarihli ve 5737 sayılı Vakıflar Kanununa göre kurulmuş vakıflardan ve 18/10/2012 tarihli 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler.
  4. 22/04/1983 tarihli ve 2820 sayılı Siyasi Partiler Kanununa göre kurulmuş siyasi partiler.
  5. 19/3/1969 tarihli ve 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar
  6. 1/6/1989 tarihli ve 3568 sayılı Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu uyarınca faaliyet gösteren Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler.
31/01/2018 - 2018/10: Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler
Karar Tarihi : 31/01/2018
Karar No : 2018/10
Konu Özeti : “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler”in görüşülmesi.

Kanunun 6 ncı maddesinin (4) numaralı fıkrası ile 22 nci maddesinin (1) numaralı fıkrasının (ç) bendi kapsamında hazırlanan “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” in ekte yer verilen şekilde kabulüne ve Resmi Gazetede yayımlanmasına oy birliği ile karar verilmiştir.

Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 6 ncı maddesinin (4) numaralı fıkrasında, “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” hükmü yer almaktadır.

Bu çerçevede, Kanunun 22 nci maddesinin (1) numaralı fıkrasının (ç) ve (e) bentleri uyarınca özel nitelikli kişisel veri işleyen veri sorumluları tarafından alınması gereken yeterli önlemler Kişisel Verileri Koruma Kurulu tarafından aşağıdaki şekilde belirlenmiştir:

1- Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi,

2- Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,

a) Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,

b) Gizlilik sözleşmelerinin yapılması,

c) Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması,

ç) Periyodik olarak yetki kontrollerinin gerçekleştirilmesi,

d) Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması,

3- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise

a) Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,

b) Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,

c) Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,

ç) Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,

d) Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,

e) Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması,

4- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise

a) Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması,

b) Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi,

5- Özel nitelikli kişisel veriler aktarılacaksa

a) Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,

b) Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması,

c) Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,

ç) Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerekir.

6- Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmalıdır.

İLKE KARARI: 21/12/2017 - 2017/61: Rehberlik Hizmeti Veren İnternet Sitelerinde/Uygulamalarda Kişisel Verilerin Korunması
Karar Tarihi : 21/12/2017
Karar No : 2017/61
Konu Özeti : Rehberlik Hizmeti Veren İnternet Sitelerinde/Uygulamalarda Kişisel Verilerin Korunması

6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) hükümlerine aykırı olarak ilgili kişilerin açık rızalarını almaksızın isimden telefon numarası veya telefon numarasından isim sorgulanması şeklinde rehberlik hizmeti veren internet siteleri ve uygulamalara ilişkin olarak Kişisel Verileri Koruma Kurumuna intikal eden ihbar ve şikâyetler kapsamında yapılan değerlendirme sonucunda; çeşitli uygulamalar, internet siteleri veya sosyal medya hesapları üzerinden kişisel verileri toplayarak bu verilerin paylaşımını sağlayan, isim sorgulandığında telefon numarası bilgisine, telefon numarası sorgulandığında da isim bilgisine erişme ve başkalarının telefon rehberinde nasıl kayıtlı olunduğunu öğrenme gibi konularda hizmet veren birçok uygulamanın ve internet sitesinin bulunduğu tespit edilmiştir.

Kanunun 3 üncü maddesinin (1) numaralı fıkrasının (e) bendinde “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” kişisel verilerin işlenmesi olarak düzenlenmiş olup sayılan eylemlerden birinin gerçekleştirilebilmesi için öncelikle Kanunun 5 ve 6 ncı maddelerinde sayılan işlenme şartlarından birinin bulunması, ayrıca Kanun ile öngörülen diğer yükümlülüklerin yerine getirilmesi gerekmektedir.

Bu kapsamda;

- Kanunda ve ilgili mevzuatta dayanağı bulunmaksızın ilgili kişilerin iletişim bilgilerinin paylaşımını yapan internet siteleri ve mobil uygulamalar tarafından gerçekleştirilen veri işleme faaliyetinin Kanunun 15 inci maddesinin (7) numaralı fıkrası uyarınca derhal durdurulması gerektiği,

- Belirtilen şekilde söz konusu faaliyetlerde bulunan internet sitelerinin/uygulamaların faaliyetlerine son vermediğine ilişkin bilgi edinilmesi halinde bu internet sitelerine/uygulamalara erişimin engellenmesi adına gereğinin yapılmasını teminen yetkili kurumlara başvuruda bulunulacağı, öte yandan kişisel verilerin hukuka aykırı olarak elde edilmiş olabileceği de dikkate alınarak, 5237 sayılı Türk Ceza Kanununun “Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme” başlıklı 136 ncı maddesi çerçevesinde ilgili internet siteleri/uygulamalar hakkında gerekli hukuki işlemlerin tesisi için konunun Ceza Muhakemesi Kanununun 158 inci maddesi uyarınca ihbaren Cumhuriyet Başsavcılığına bildirileceği

hususlarında kamuoyunun bilgilendirilmesine,

- Kanunun 15 inci maddesinin (6) numaralı fıkrası uyarınca alınan bu ilke kararının Resmi Gazete ile Kurumun internet sitesinde yayımlanmasına ve bu karara uymayanlar hakkında Kanunun 18 inci maddesi kapsamında işlem yapılacağına

oy birliği ile karar verilmiştir.

İLKE KARARI: 21/12/2017 - 2017/62: Banko, Gişe, Masa gibi Hizmet Alanlarında Kişisel Verilerin Korunması
Karar Tarihi : 21/12/2017
Karar No : 2017/62
Konu Özeti : Banko, Gişe, Masa gibi Hizmet Alanlarında Kişisel Verilerin Korunması

Banko, gişe ve masa gibi vatandaşa hizmet sunulan alanlarda yaşanan kişisel veri güvenliği ihlallerine ilişkin olarak Kişisel Verileri Koruma Kurumuna intikal eden ihbarlar kapsamında yapılan değerlendirme sonucunda, uygulamada yaşanan problemlerin önüne geçilmesini teminen;

- Bankacılık ve sağlık sektörleri başta olmak üzere birden fazla çalışan ile birlikte bitişik düzende hizmet veren posta ve kargo hizmetleri, turizm acenteleri, zincir mağazaların müşteri hizmetleri bölümleri, çeşitli abonelik işlemlerinin yapıldığı kuruluşlar ile belediye, vergi ve nüfus ile ilgili işlemler gibi hizmetlerin verildiği kamu ve özel sektör kurum ve kuruluşlarının, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesi uyarınca kişisel verilerin korunması ile ilgili olarak; banko/gişe/masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda birbirlerine yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymasını, görmesini, öğrenmesini veya ele geçirmesini engelleyecek nitelikte gerekli teknik ve idari tedbirleri almasına,

- Kanunun 15 inci maddesinin (6) numaralı fıkrası uyarınca alınan bu ilke kararının Resmi Gazete ile Kurumun internet sitesinde yayımlanmasına ve bu karara uymayanlar hakkında Kanunun 18 inci maddesi kapsamında işlem yapılacağına

oy birliği ile karar verilmiştir.


Karar Özetleri:

10.03.2022: “E-ticaret sektöründe faaliyet gösteren veri sorumlusu şirket tarafından internet sitesinde/mobil uygulamalarında kullanılan çerezler aracılığıyla hukuka aykırı olarak kişisel veri işlenmesi”
Karar Tarihi : 10/03/2022
Karar No : 2022/229
Konu Özeti : E-ticaret sektöründe faaliyet gösteren veri sorumlusu şirket tarafından internet sitesinde/mobil uygulamalarında kullanılan çerezler aracılığıyla hukuka aykırı olarak kişisel veri işlenmesi

İlgili kişinin Kuruma intikal eden şikâyetinde özetle;

  • Veri sorumlusu tarafından uygulanmakta olan çerez politikasının kişilerin temel hak ve özgürlükleri ile özel hayatın gizliliğine müdahaleci nitelikte olduğu,
  • Çerez kullanımı hakkında internet sitesinde yer alan politikanın anlaşılmaz ve kapsamı belirtilmemiş bilgiler içermesi dolayısıyla çerezler hakkındaki aydınlatma yükümlülüğünün tam olarak yerine getirilmediği,  
  • Çerez kullanımına ilişkin işleme şartı olarak meşru menfaatin zorunlu olduğunun iddia edilebilmesinin hukuken mümkün olmadığının düşünüldüğü ve veri sorumlusu tarafından ilgili kişinin açık rızasına dayanılarak da işleme faaliyetinin gerçekleştirilmediği,
  • İnternet sitesinin faaliyetleri ya da kullanılan çerezler kapsamında işlenen kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 9’uncu maddesinde yer aldığı üzere yurt dışına aktarıldığı ve bu kapsamda ilgili kişinin açık rızasının alınmadığı,
  • Kanun’un 11’inci maddesi uyarınca sahip olunan tüm haklar kapsamında veri sorumlusundan bilgi talebinde bulunulduğu; ancak veri sorumlusunun cevabında yalnızca çerez kullanımlarına ilişkin bilgi verildiği, 
  • Ayrıca ilgili kişinin, hangi veri konusu kişi grubuna dâhil olduğunun belirtilmediği, üye müşteri ve misafir müşteriyle ilgili olarak işlenen veri kategorileri ve veri tiplerinin işleme amaçlarının tam olarak açıklanmadığı ve kapsamlarının anlaşılamadığı,
  • Pazarlama bilgisi veri kategorisi altında yer alan açıklamalardan hangi veri tipinin işlendiğinin anlaşılamadığı, ilgili kişinin ticari elektronik ileti onayı vermemiş olmasına rağmen “hedefleme ve analiz” çerezlerinin tarayıcıda ve uygulamada aktif olduğu, gerek platform gerek mobil uygulama üzerindeki üye müşteri deneyiminin iyileştirilmesi olarak sunulan veri işleme amacı için  “hedefleme bilgilerinin” veya “beğenileri” gösteren değerlendirmelerin davranışsal reklamcılık çerezi işlevi kazandığı ve işlenmesine gerek olmadığı hâlde işlendiği, “üye müşterinin açık rızası doğrultusunda yeniden pazarlama, hedefleme, profilleme ve analiz yapılarak üye müşterinin tercih ve beğenisi doğrultusunda uygulama, mal/ürün ve hizmetlerin tanıtımının ve pazarlamasının yapılması” amacı belirtilen veri kategorisi ve veri tipleri için en uygun amaç olmakla birlikte açık rızasının alınmadığı, 
  • Ziyaretçi için hedeflemeli çerezler aktifken hedeflemeli reklamcılık yapılmadığının belirtilmesinin doğru olmadığı, çevrim içi ziyaretçinin IP adresinin 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun sebebiyle işlendiği ve bunun politikada belirtildiği; ancak kişisel veri olan IP adresinin işlenmesi sırasında hedeflemeli reklamcılık çerezlerinin site üzerinde aktif hâlde bulunmasının hedefleme yapılmamasını imkânsız kıldığı, 
  • İnternet sitesinde yer verilen çerez politikasının gerçeği yansıtmadığı, çerezlerin ve üçüncü taraf çerezlerin özelliklerine tam ve doğru bir şekilde yer verilmediği, veri saklama sürelerinin sınırlı sayıda çerez için belirtildiği, bir sosyal medya platformu ile giriş sekmesi üzerinden üyelik oluşturulması ile bazı bilgilerin iki platform arasında paylaşılarak kullanıldığı,
  • İşlevde olan çerezlerin ve işlenen kişisel verilerin sadece bir kısmı gösterilerek tam bilgi sunulmamasının çerezler konusundaki aydınlatma yükümlülüğünün yerine getirilmediğinin kanıtı olduğu,
  • Ayrıca, tarayıcı veya mobilde çerezleri devre dışı bırakmanın bir önlem olarak sunulduğu, tarayıcıda çerezlerin devre dışı bırakılmasının kişinin tarayıcı deneyimini tamamen katlanılamaz hâle getirdiği, kullanıcının siteye ziyaret gerçekleştirmesinden önce tarayıcı ayarlarından çerez kullanımını engellemediği her hâlde kişisel verilerin işlenmiş olacağı,
  • Üçüncü taraf analitik çerezlerin her zaman meşru sayılamayacağı, bu çerezlerin kullanıcı deneyimine yarar sağlamadığı, internet sitesinde 14 adet analitik çerez kullanılmak suretiyle yurt dışına kişisel veri aktarılmasının Kanun’a uygun şekilde gerçekleştirilmediği, veri sorumlusunun cevabında Avrupa Birliği müktesebatında bu tür çerezlerin kullanılmasına ilişkin olarak e-Gizlilik Regülasyonunun henüz taslak aşamasında olduğunun vurgulandığı, ancak regülasyon olarak taslağı hazırlanan 2002/58 sayılı e-Gizlilik Direktifinin, 2009/136 sayılı Direktif düzenlemesi olarak güncel hâlde yürürlükte olduğu, davranışsal reklamcılık ve analitik çerezlerin uygulanmasında 2002/58 sayılı Direktifin 5’inci maddesinin (3) numaralı fıkrası ile kullanıcıya tanınması gereken “reddetme hakkı”nın, 2009/136 sayılı Direktifte tekrar düzenlendiği, hâlihazırda bu tür çerezlerin uygulanmasının, 95/46 sayılı Direktif’te tanımlandığı hâliyle “rıza”ya tabi olduğu, güncel durumun, bu rızanın artık Avrupa Birliği Genel Veri Koruma Tüzüğü’ne (GDPR) göre yorumlanması yönünde olduğu, 
  • Üye olmayan ya da üye olmadan alışveriş yapan ziyaretçilerin profilleme veya segmentasyona tabi tutulmadığının belirtildiği ancak kullanılan çerezlerin büyük bir kısmının veriyi doğrudan ziyaretçiden topladığı ve ziyaretçi trafiğinin siteler arası davranışsal reklamcılık ile arttırılmasının sağlandığı, bu durumda ziyaretçilerin hedeflemeli reklamlara, segmentasyon veya profillemeye tabi tutulduğu

belirtilerek gereğinin yapılması talep edilmiştir. 

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan konuya ilişkin savunması istenilmiş olup alınan cevabi yazıda özetle; 

  • İlgili kişinin internet sitesi üzerindeki çerezler kapsamında işlenen kişisel verileri açısından, ilgili kişinin tanınabilmesi amacıyla tarayıcısına yerleştirilen çerezler ve internet sitesinde kullanılan çerezler vasıtasıyla işlenen kişisel verilerinin “oturum belirteci (session token), alıcı numarası (Buyer ID), e-posta özet değeri (hashed e-mail), cinsiyeti, üyelik tarihi, sisteme son giriş tarihi, e-posta izni, alıcı VIP statüsü ve web/mobil web sitelerinde yer alan Çerez Politikası’nda belirtilen ve ‘kesinlikle gerekli çerez’ statüsünde olmayan çerezler” şeklinde olduğu ve bunların Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (f) bendi uyarınca meşru menfaatleri için veri işlenmesinin zorunlu olması şartı kapsamında işlenmekte olduğu,
  • “Kesinlikle gerekli çerez” statüsünde olmayan çerezler dışında kalan diğer çerezlerin ise bilgi toplumu hizmet sağlayıcısı sıfatıyla çevrim içi bedelli olarak kullanıcılara sunulan elektronik ticaret hizmetinin sunulabilmesi için kesinlikle gerekli çerezler olduğu,
  • “Kesinlikle gerekli çerezler” ve bilgi toplumu hizmetinin sunulması noktasında, kendilerinin bir bilgi toplumu hizmet sağlayıcısı olduğu ve bu kapsamda kullandıkları bazı çerezlerin hizmetin sunumu açısından “kesinlikle gerekli çerezler” olduğu ve bunlar bakımından web sitesi veya mobil uygulama kullanıcılarından açık rıza alınmasının gerekli olmadığı ve bilgi toplumu hizmet sağlayıcısı olarak meşru menfaatlerine istinaden kişisel verilerin işlenmekte olduğu, bu kapsamdaki çerezlere örnek olarak kullanıcı girişi, kimlik doğrulama, güvenlik, ağ yönetimi ve kullanıcı tercihlerini saklamak için kullanılan oturum çerezlerinin verilebileceği,
  • “Kesinlikle gerekli çerez” kategorisi dışında kalan analitik, kullanıcı davranışları takibi ve diğer online reklamcılık çerezlerinin kullanıldığı, bu çerçevede kullanıcıların internet sitesini ilk ziyaretleri akabinde pop-up şeklinde bir aydınlatma metni çıktığı, kullanıcıların internet sitesindeki Gizlilik ve Çerez Politikalarına yönlendirildiği, Çerez Politikasında da çerezlerin nasıl kullanıldığı, birinci ve üçüncü taraf çerez ayrımı ve işlevleri, üçüncü taraf çerezlerin reklam ve hedefleme amacıyla nasıl kullanıldığı, çerez sağlayıcı, çerez adı, çerez çeşidi, çerez amacı, çerez süresi ve detaylı olarak çerez yönetiminin nasıl yapılacağına ilişkin olarak kullanıcıya bilgi verildiği,
  • Kullanılan çerezlerin sunulan hizmetin ön şartı olarak ileri sürülmediği, çerez uygulamalarının AB’de “çerez duvarları” (cookie walls) veya “takip duvarları” (tracking walls) olarak adlandırılan uygulamalardan farklı olarak, elektronik ticaret hizmetinin sunumunun bu çerezlerin kabulü şartına bağlanmadığı, bilakis ana sayfayı ziyaret eden kullanıcılara çerezlere ilişkin bilgilendirme yapıldığı ve çerezleri kabul etmeleri kaydıyla hizmeti kullanmalarının istenmediği,
  • Çerez uygulamalarının GDPR’nin yürürlüğe girdiği tarihe kadar Avrupa’da kabul edilen bir uygulama olduğu, aynı uygulamanın Türkiye’de yerleşik birçok şirket tarafından benimsenmekte ve kullanılmakta olduğu, GDPR’nin yürürlüğe girmesi ile birlikte 2002/58 sayılı e-Privacy Direktifi ile düzenlenen “kesinlikle gerekli çerezler” dışında kalan izleme ve online reklamcılık çerezlerine ilişkin olarak kullanıcıdan rıza alınması şartı getirildiği, uygulamada özellikle AB menşeli veya çok uluslu şirketler tarafından GDPR uyumu doğrultusunda, çerezler için açık rıza alınması ve açık rıza yönetimi sağlayacak şekilde internet siteleri tasarlanmışken birçok şirketin çerez kullanımına ilişkin olarak hâlâ GDPR öncesi uygulamaya devam etmekte olduğu, bu duruma netlik kazandırmak için Kişisel Verileri Koruma Kurulu tarafından da veri sorumlularına yardımcı olarak nitelikte bir rehber yayınlanmasının elzem olduğu, ilgili kişi tarafından yapılan şikâyetten bağımsız olarak, çerez kullanımına ilişkin olarak açık rıza alınması hususunda ve rıza yönetimini sağlayacak teknik çözüm sunan firmalarla görüşmelerin başladığı, ticari anlaşmalar yapıldığında ise çerezler için açık rıza ve kullanıcı tercih yönetimi sağlayacak şekilde sayfalarının çalıştığına ilişkin bilgilerin Kurula sunulacağı, 
  • Çerezlerin yalnızca e-ticaret siteleri tarafından değil, tüm internet ekosisteminde kullanılmakta olduğu ve günümüz dünyasında çerez kullanımının internet deneyimi açısından temel standart hâline gelmiş bir uygulama olduğu, dolayısıyla özellikle de e-ticaret platformlarının çerez kullanmaksızın temel işlevlerini yerine getiremeyecekleri ve kullanıcılarına kaliteli bir hizmet sunamayacakları, çerezler sayesinde yerine getirilen işlevleri başka bir araçla ikame etmenin mümkün olmadığı ve bir e-ticaret platformu için çerez kullanımının zorunlu olduğu, 
  • Çerez kullanımında meşru menfaatlerinin bulunduğuna kuşku olmadığı, zira çerez kullanımının müşteri deneyiminin iyileştirilmesi, müşteri tercih ve beğenileri odaklı hizmet sunulması ve müşteri istekleri doğrultusunda ürün ve hizmet optimizasyonu yapılabilmesi gibi karar destek sistemlerini besleyen temel gerekliliklerden biri olduğu ve aksi bir durumun, kullanıcı deneyimini ve kendi faaliyetlerini derinden zedeleyeceği, Şirketlerini sektörel rekabetin dışına iteceği,
  •  Veri işleme sonucu elde edilen menfaatin ilgili kişilerin temel hak ve özgürlükleriyle yarışabilir düzeyde ve orantılı olduğu, çerezlerin kullanılmasının özünün kullanıcı deneyimini iyileştirmek ve ilgili internet sitesini kullanıcısının en işine yarayacak ve en kolay şekilde kullanılmasını sağlamak olduğu, bu kapsamda çerezler vasıtasıyla kullanıcıların ilgi alanları ve istekleri göz önüne alınarak onlara özel bir deneyim sunulmasının amaçlandığı,
  • Çerezler kapsamında gerçekleştirilen kişisel veri işleme faaliyetlerinin meşru menfaat denge testini sağladığı görüşünde olunduğu; çerez ve benzeri teknolojilerin kullanımına ilişkin AB’nin GDPR ve e-Privacy Direktifi uygulamalarına paralel olarak “kesinlikle gerekli olmayan çerezler” için kullanıcının açık rızasının alınması ve rıza yönetimi süreçlerinin tasarlanmaya başlandığı, 
  • Ad-soyadı, iletişim bilgileri (telefon numarası, adres ve e-posta adresi) ve T.C. kimlik numarasının Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendi kapsamında işlendiği ve söz konusu kişisel verilerin yine aynı kapsamda satıcı ve kargo şirketi ile paylaşıldığı,
  • Sunulan Gizlilik Politikası ile Çerez Politikasının birbirini tamamlayıcı nitelikte olduğu ve çerezlerin kullanımı kapsamında işlenen verilere ilişkin olarak detaylı açıklamaları barındırdığı, ilgili kişinin aydınlatmada bulunmadığını iddia ettiği hususların Gizlilik Politikasında mevcut olduğu, ek olarak, ilgili politikalarda Kanun’un 10’uncu maddesinde bulunan her türlü içeriğin yer aldığı
  • İnternet sitelerinde ve mobil uygulamalarında “tracking wall” uygulamasının olmadığı ve çerezlerin Çerez Politikasında belirtilen şekilde kullanım dışı bırakılması durumunda da internet sitesinin işlediği ve etkin şekilde ziyaret edilmesinin mümkün olduğu,
  • Çerez hizmeti sunan yerli bir sağlayıcı bulunmadığından, internet ortamında çerez kullanan tüm internet sitelerinin yurt dışına veri aktarımında bulunduğu, bu aktarıma ilişkin olarak gerek internet sitesinde bulunan politikalarında gerekse de Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) kaydında bilgilendirmenin yer aldığı ve ilgili kişilerin Kanun’un 10’uncu maddesi kapsamında bilgilendirildiği, 
  • Çerezlerin Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik’in kapsamının dışında yer aldığı ve söz konusu Yönetmelik hükümlerinin çerezler bakımından uygulama alanı bulmadığı, bu sebeple de çerez uygulamaları için ticari elektronik ileti onayı alınması gerekmediği

ifade edilmiştir. 

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun 10/03/2022 tarih ve 2022/229 sayılı Kararı ile;

  • Bir internet sitesinin düzgün çalışması için zorunlu çerezlere ilişkin olarak ilgili kişilerin açık rızasına gerek duyulmayacak iken; reklam, pazarlama ve performans amacıyla çalışan çerezlerin kullanılmasının ilgili kişinin açık rızasına tabi olduğu,
  • “Kesinlikle gerekli çerezler”, internet sitesinin düzgün çalışması için gerekli çerezler olup ilgili kişinin açık rızası olmaksızın Kanun’un 5’inci maddesinin (2) numaralı fıkrasında ve Kanun’un 6’ncı maddesinin (3) numaralı fıkrasında yer alan işleme şartlarından birine dayanılarak kişisel veri işleme faaliyeti gerçekleştirilebileceği,
  • “Kesinlikle gerekli çerezler” statüsünde olmayan çerezler ile kişisel veri işleme faaliyeti gerçekleştirilmesi ve Kanun’un 5’inci maddesinin (2) numaralı fıkrası ile 6’ncı maddesinin (3) numaralı fıkrasında yer alan işleme şartlarından birinin bulunmaması durumunda ilgili kişinin açık rızasına başvurulması gerektiği, 
  • Veri sorumlusu tarafından çerezler vasıtasıyla gerçekleştirilen veri işleme faaliyetinin dayanağı olarak Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (f) bendi gösterilmişse de kesinlikle gerekli çerezler statüsünde olmayan çerezler vasıtasıyla gerçekleştirilen işleme faaliyeti bakımından anılan bende dayanılmasının mümkün olmadığı ve ilgili kişinin açık rızasına başvurulması gerektiği,  
  • Veri sorumlusu tarafından ilgili kişilerin kullanıcı tercihlerinin kesinlikle gerekli çerezler kapsamında değerlendirildiği anlaşılmakla birlikte bu çerezlerin zorunlu çerezler dışında kalan işlevselliği sağlama amacı ile kullanıldığı, ilgili kişinin bilgi toplumu hizmetini açıkça talep ettiğinin net olmadığı durumlarda açık rızaya dayanılması gerekeceği, 
  • Veri sorumlusunun internet sitesinde yer alan Çerez Politikasında “…İlgi alanlarınıza ve size daha uygun içerik ve reklamları sunmak için, diğer bir ifade ile hedeflenmiş reklam/tanıtım amacıyla kullanır.…Çerezler yoluyla elde edilen bilgileri sizlere ait diğer kişisel verilerle eşleştirerek; size daha uygun içerikleri, kişiye özel kampanya ve ürünleri sunar ve daha önceden istemediğinizi belirttiğiniz içerik veya fırsatları bir daha sunmaz.” ifadesinin yer aldığı, ayrıca veri sorumlusunun üçüncü taraf çerezlerini reklam ve yeniden hedefleme için nasıl kullandığına ilişkin açıklamaların bulunduğu, ilgili kişinin şikâyeti ekinde yer verilen veri sorumlusunun internet sitesinde bulunan çerezlere ilişkin listede de üçüncü taraf çerezlerin bulunduğu dikkate alındığında veri sorumlusu tarafından reklam/pazarlama çerezleri kullanılmak suretiyle kişisel veri işleme faaliyeti gerçekleştirildiğinin anlaşıldığı, 
  • Veri sorumlusunun internet sitesine girildiği anda sayfanın sol alt köşesinde çıkan bir pop-up ile “Çerez Kullanımı Çerezler (cookie), …web sitesini ve hizmetlerimizi daha etkin bir şekilde sunmamızı sağlamaktadır. Detaylı bilgi için Gizlilik ve Kişisel Verilerin Korunması Politikası ile Çerez Politikasını inceleyebilirsiniz.” şeklinde açıklamalar barındıran kutucuk ile bilgi verildiği, kesinlikle gerekli olmayan çerezler bakımından ilgili kişilerin açık rızasına başvurulduğuna ilişkin herhangi bir emareye rastlanmadığı,
  • Bununla birlikte, çerez politikası içerisinde bulunan Çerez Yönetimi başlığı altında internet tarayıcısının çeşidine göre çerezler hakkında bilgi edinilip izin verme veya reddetme hakkının kullanılabilmesini teminen yönlendirmelerin yapıldığının görüldüğü, 
  • Kanun kapsamında açık rızanın, “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlandığı ve açık rızanın “aktif bir hareket” vasıtasıyla verileceğinin bir prensip olarak kabul edildiği göz önünde bulundurulduğunda veri sorumlusu tarafından kesinlikle gerekli olmayan çerezler kullanılması suretiyle Kanun’un 5’inci ve 6’ncı maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanılmaksızın kişisel veri işleme faaliyeti gerçekleştirildiği ve bu işleme faaliyeti bakımından açık rıza mekanizmasının bulunmadığı,
  • Veri sorumlusunun, internet sitesinde ve mobil uygulamalarında yer alan ve sitenin/uygulamanın düzgün çalışmasını sağlayan kesinlikle gerekli çerezler dışında yer alan işlevsel çerezler, performans-analitik çerezler, reklam/pazarlama çerezlerinin çalıştırılmasına ilişkin olarak açık rıza dışında bir veri işleme şartı bulunmuyor ise internet sitesini/mobil uygulamaları ziyaret eden kullanıcılardan internet sitesine/mobil uygulamaya giriş anında ilgili kişilerin iradi aktif hareketiyle söz konusu çerezlerin çalışmasına onay vermesini, dolayısıyla varsayılan ayar olarak çerezlerin çalışmamasını öngören “opt-in” mekanizmasına göre açık rıza alması gerektiği,
  • Kanun’un 9’uncu maddesi anlamında aktarıma ilişkin olarak veri sorumlusunun Kuruma taahhütname sunmadığı ve yeterli korumanın bulunduğu ülkelerin de belirlenmediği dikkate alındığında kişisel verilerin yurt dışına aktarılmasının yalnızca açık rıza şartına dayalı olarak gerçekleştirilebileceği; ancak veri sorumlusunun bu yönde ilgili kişilerin açık rızasını almadığı, bu çerçevede veri sorumlusunun çerezler vasıtasıyla yurt dışına kişisel veri aktarmak suretiyle gerçekleştirdiği faaliyetler Kanun’un 9’uncu maddesine uygun şekilde gerçekleştirilmediğinden, bu faaliyetlerin Kanun’un 9’uncu maddesine uyumlu hâle getirilmesi gerektiği,
  • Veri sorumlusunun internet sitesine girildiği anda sayfanın sol alt köşesinde çıkan bir pop-up ile “Çerez Kullanımı Çerezler (cookie), …web sitesini ve hizmetlerimizi daha etkin bir şekilde sunmamızı sağlamaktadır. Detaylı bilgi için Gizlilik ve Kişisel Verilerin Korunması Politikası ile Çerez Politikasını inceleyebilirsiniz.” şeklinde açıklamalar barındıran kutucuk ile bilgi verildiğinin görüldüğü, söz konusu politikaların her ikisinin de üzerine tıklandığında Gizlilik Politikalarının bulunduğu ana sayfaya yönlendirme yapıldığı ve bir süre sonra ilgili politikaların olduğu sayfanın ekranda belirdiği, 
  • Gizlilik ve Kişisel Verilerin Korunması Politikasında Çerezlere ilişkin olarak “…Çerez (Cookie) Kullanımı ve Yönetimi … tarafından kullanılan çerezler, çerez çeşitleri, amaçları, saklama süreleri ve çerez yönetimi ile ilgili detaylı bilgi için Çerez (Cookie) Politikamızı inceleyebilirsiniz.” şeklinde bilgilendirme bulunduğu, söz konusu metin içerisinde direkt olarak ilgili kişileri Çerez Politikasına yönlendirebilecek bir bağlantı eklenmesinin çerezler konusunda aydınlatmanın daha kolay erişilebilir olması adına önem arz ettiği, bu nedenle söz konusu metne çerezlere direkt olarak yönlendirme yapılacak bağlantının eklenmesi yönünde güncelleme yapılması gerektiği,
  • Veri sorumlusunun Gizlilik ve Kişisel Verilerin Korunması Politikasından ayrı olarak bir Çerez Politikası oluşturduğu, ilgili kişilerin de çerezler vasıtasıyla gerçekleştirilen kişisel veri işleme faaliyetleri bakımından bu metne yönlendirildiği dikkate alındığında veri sorumlusunun Gizlilik Politikasında çerezlerle ilgili yer vermiş olduğu bilgilerin Çerez Politikasında da yer alması gerektiği, ayrıca söz konusu metnin aydınlatma yükümlülüğünün düzenlendiği Kanun’un 10’uncu maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e (Tebliğ) uygun olması gerektiği, 
  • Bu çerçevede Çerez Politikasında, Tebliğ’in 4’üncü maddesi uyarınca veri sorumlusunun kimliğine ilişkin açıklamalara yer verildiği; ancak kişisel verilerin hangi amaçla işleneceği, kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile ilgili kişinin Kanun’un 11’inci maddesinde sayılan diğer hakları konusunda doğru bir şekilde bilgilendirme yapılmadığı, 
  • Söz konusu Çerez Politikası Tebliğ’in 5’inci maddesinin (1) numaralı fıkrasının (g) bendi açısından değerlendirildiğinde, bu politikada kişisel veri işleme amaçlarının belirlendiği görülmekle birlikte hangi kişisel veri işleme faaliyetinin hangi işleme amacı ile örtüştüğüne ilişkin detaylı bilgilendirmeye yer verilmediği, öte yandan çerez çeşitlerinin her birine ilişkin amaçların tabloda gösterildiği anlaşılmakla beraber amacın ilgili kişiler tarafından anlaşılabilecek açıklıkta olmadığının görüldüğü,
  • Tebliğ’in 5’inci maddesinin (1) numaralı fıkrasının (ğ) bendi kapsamında değerlendirildiğinde, çerezlerin niteliği itibariyle teknik bir konu olduğundan hareketle veri sorumlusunun Çerez Politikasında anlaşılır, açık ve sade bir dil kullandığının görüldüğü,
  • Tebliğ’in 5’inci maddesinin (1) numaralı fıkrasının (h) bendi hükmü açısından değerlendirildiğinde, veri sorumlusunca düzenlenen Çerez Politikasında hangi kişisel verinin hangi işleme amacı ve hukuki sebep olan işleme şartı ile ilişkilendirildiğinin açıkça belirtilmediğinin; anılan düzenleme (i) bendi kapsamında değerlendirildiğinde ise hangi kişisel verilerin hangi yöntem ile elde edildiğinin Çerez Politikasında açıkça belirtilmediğinin görüldüğü, 
  • Veri sorumlusunun hâlihazırda internet sitesinde ve mobil uygulamada kullanılan tüm çerezlere ilişkin süreçlerin gözden geçirilerek Çerez Politikası ile uyumluluğunun sağlanması gerektiği, bu çerçevede söz konusu Çerez Politikasının Kanun’un 10’uncu maddesi ve Tebliğ’e uygun olarak güncellenmesi gerektiği

değerlendirmelerinden hareketle; 

  • Veri sorumlusu tarafından kişisel veri niteliğinde “kesinlikle gerekli olmayan” çerezler kullanılması suretiyle Kanun’un 5’inci ve 6’ncı maddesinde yer alan şartlarından herhangi birine dayanılmaksızın işleme faaliyeti gerçekleştirildiği, Kanun’un 9’uncu maddesinde yer alan aktarım usullerinden herhangi birine dayanılmaksızın kişisel veri aktarıldığı ve bu hususların Kanun’un 12’nci maddesinin (1) numaralı fıkrası hükmüne aykırılık teşkil ettiği değerlendirilmekte olup Kurul tarafından Kanun’un 12’nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 800.000 TL idari para cezası uygulanmasına,

Ayrıca,

  • Veri sorumlusu tarafından kesinlikle gerekli olmayan çerezler kullanılması suretiyle Kanun’un 5’inci ve 6’ncı maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanılmaksızın kişisel veri işleme faaliyeti gerçekleştirildiği ve bu veri işleme faaliyeti bakımından açık rıza mekanizmasının da bulunmadığı değerlendirildiğinden veri sorumlusu tarafından internet sitesinde ve mobil uygulamalarında yer alan ve sitenin/uygulamanın düzgün çalışmasını sağlayan kesinlikle gerekli çerezler dışında yer alan İşlevsel Çerezler, Performans-Analitik Çerezler, Reklam/Pazarlama Çerezlerinin çalıştırılmasına ilişkin olarak açık rıza dışında bir veri işleme şartı bulunmuyor ise internet sitesini/mobil uygulamaları ziyaret eden kullanıcılardan internet sitesine/mobil uygulamaya giriş anında ilgili kişilerin iradi aktif hareketiyle söz konusu çerezlerin çalışmasına onay verilmesinin sağlanması ve dolayısıyla varsayılan ayar olarak çerezlerin çalışmamasını öngören “opt-in” mekanizmasına göre açık rıza alınması,
  • Veri sorumlusunun çerezler vasıtasıyla yurt dışına kişisel verileri aktarmak suretiyle gerçekleştirdiği faaliyetlerin Kanun’un 9’uncu maddesine uyumlu hâle getirilmesi,
  • Gizlilik ve Kişisel Verilerin Korunması Politikası içerisinde direkt olarak ilgili kişileri Çerez Politikasına yönlendirebilecek bir bağlantı eklenmesinin çerezler konusunda aydınlatmanın daha kolay erişilebilir olması adına önem arz ettiği dikkate alındığında söz konusu metne çerezlere direkt olarak yönlendirme yapılacak bağlantının eklenmesi yönünde güncelleme yapılması, 
  • Veri sorumlusunun hâlihazırda internet sitesinde ve mobil uygulamasında kullanılan tüm çerezlere ilişkin süreçlerin gözden geçirilerek Çerez Politikası ile uyumluluğunun sağlanması ve söz konusu Çerez Politikasının Kanun’un 10’uncu maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun olarak güncellenmesi,
  • Kullanıcı tercihleri ile ilgili çerezler zorunlu çerezlerin dışında kalan işlevselliği sağlama amacıyla kullanıldığından söz konusu çerezlerin kullanıcının talep etmiş olduğu bir bilgi toplumu hizmetinin yerine getirilebilmesi için zorunlu olarak kullanılıp kullanılmadığı hususunda veri sorumlusu tarafından değerlendirme yapılması suretiyle kişisel veri işleme şartının belirlenmesi, ilgili kişi tarafından bilgi toplumu hizmetinin açıkça talep edildiği net değil ise ilgili kişilerin açık rızasına başvurulması

hususlarında gerekli düzenlemelerin yapılarak Kurula en geç 30 gün içinde bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına,

  • Öte yandan ilgili kişinin Kanun’un 11’inci maddesi kapsamındaki bilgi taleplerinin veri sorumlusu tarafından yerine getirildiğine

karar verilmiştir. 

09.12.2021: “İlgili kişinin kişisel verisi niteliğindeki e-posta adresinin bir insan kaynakları firması tarafından reklam ve pazarlama amaçlı e-posta gönderilmesi amacıyla işlenmesi”
Karar Tarihi : 09/12/2021
Karar No : 2021/1243
Konu Özeti : İlgili kişinin kişisel verisi niteliğindeki e-posta adresinin bir insan kaynakları firması tarafından reklam ve pazarlama amaçlı e-posta gönderilmesi amacıyla işlenmesi

Kuruma intikal eden şikâyet dilekçesinde özetle; veri sorumlusu bir insan kaynakları firması tarafından ilgili kişiye ticari tanıtım amaçlı e-postalar iletildiği, ilgili kişinin veri sorumlusu ile daha önceden herhangi bir hukuki işleminin bulunmadığı dolayısıyla kişisel verilerinin nereden ve nasıl temin edildiği hakkında bir bilgiye sahip olmadığı, kişisel verilerinin bu çerçevede işlenmesi yönünde açık rızasının bulunmadığı, veri sorumlusuna bu hususta başvuruda bulunduğu ve kişisel verilerinin silinmesini talep ettiği, ancak kişisel verilerinin nereden temin edildiği ve ne amaçla işlendiği hususlarında tarafına bir bilgi verilmediği ifade edilerek, veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabî yazıda özetle;

  • Veri sorumlusunun her nevi konferans, anket, tanıtım, reklam, konser organizasyonları düzenlemek ve bu işler için eleman sağlamak, bu organizasyonlar için ara teknik donanım kiralamak, bu işleri başkalarına yaptırmak, benzin istasyonu işletmesi ve çalışan temini, AVM işletmelerine çalışan temin etmek, hastane vb. sağlık kurumlarına çalışan temin etmek, inşaat vb. işletmelere çalışan temin etmek, lojistik sektörüne çalışan temin etmek, gemi işletmelerine çalışan temini hizmetleri vermek ve diğer her türlü sektörde ihtiyaç duyulan elemanları temin etmek, reklam, gösteri, kongre, konferans, ticari fuar, anket çalışmaları, pazarlama faaliyetlerine eleman tedarik etmek ve benzeri nitelikteki etkinliklerin organizasyon faaliyetlerini yürüttüğü,
  • İlgili kişiye ait e-posta adresinin veri sorumlusunca yürütülen ekonomik faaliyetler (anket ve tanıtım işleri) kapsamında edinildiği,
  • Söz konusu e-posta adresinin 6698 sayılı Kişisel Verilerin Korunması Kanunun’un (Kanun) 5’inci maddesinin (d) bendi kapsamında "İlgili kişinin kendisi tarafından alenileştirilmiş olması" şartına dayanarak işlendiği,
  • Kişisel verilerin işlenmesinde Kanun kapsamında hareket edildiği, ilgili kişiye ilişkin hiçbir bilgi ve belge paylaşımının yapılmadığı

ifade edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 09/12/2021 tarih ve 2021/1243 sayılı kararı ile;

  • Kanun’un “Kişisel verilerin işlenme şartları” başlıklı 5’inci maddesinde;

(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: 
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
” 
hükmüne yer verildiği,

  • Veri sorumlusu tarafından ilgili kişiye ait e-posta adres bilgisinin ekonomik faaliyetleri çerçevesinde anket ve tanıtım işleri kapsamında edinildiği ve Kanun’un 5’inci maddesinin (d) bendi çerçevesinde “ilgili kişinin kendisi tarafından alenileştirilmiş olması” şartı kapsamında işlendiğinin ifade edildiği, ancak ilgili kişinin hangi yöntemle ve hangi platformda veya mecrada e-posta adres bilgisini alenileştirme iradesinde bulunduğuna ilişkin veri sorumlusu tarafından herhangi bir açıklamaya, anket ve tanıtım işleri çerçevesinden nasıl elde edildiğine ilişkin olarak kanıtlayıcı nitelikte herhangi bir belgeye yazı ekinde yer verilmediği,
  • Bu anlamda veri sorumlusunun ilgili kişinin kişisel verilerinin nasıl elde edildiği ve hangi işleme şartı kapsamında işlendiğine ilişkin açıklamalarının hukuki dayanaktan yoksun olduğu, dolayısıyla veri sorumlusunun Kanun’un 5’inci maddesi çerçevesinde herhangi bir hukuki işleme şartı bulunmaksızın veri işleme faaliyetinde bulunduğu,
  • Diğer taraftan Kanun’n “Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi” başlıklı 7’nci maddesine göre kişisel verilerin Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği, yok edileceği veya anonim hale getirileceğinin hüküm altına alındığı, bununla birlikte ilgili kişinin hakları hususunda düzenleme getiren Kanun’un 11’inci maddesinde de ilgili kişinin veri sorumlusuna başvurarak kendisiyle ilgili “7’nci maddede öngörülen şartlar çerçevesinde kişisel verilerinin silinmesini veya yok edilmesini isteme” hakkının düzenlendiği,
  • Kanun’un 7’nci maddesinin (3) numaralı fıkrasına dayanılarak hazırlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 7’nci maddesinin “Kanunun 5 inci ve 6’ncı maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hale getirilmesi gerekir.” ve aynı maddenin (2) numaralı fıkrasının “Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde Kanunun 4’üncü maddesindeki genel ilkeler ile 12’nci maddesi kapsamında alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve kişisel veri saklama ve imha politikasına uygun hareket edilmesi zorunludur.” hükmünü haiz olduğu,
  • Bu kapsamda ilgili kişinin e-posta bilgisinin Kanun’a aykırı olarak işlendiği ve ilgili kişinin veri sorumlusuna başvurusunda, kişisel verilerinin silinmesi talebini de ilettiğinin anlaşıldığı

değerlendirmelerinden hareketle;

  • Veri sorumlusu tarafından ilgili kişinin kişisel verisi niteliğindeki e-posta adresinin ilgili kişiye ticari amaçlı bir e-posta gönderilmesi suretiyle işlendiği ancak Kanun’un 5’inci maddesinde yer alan işleme şartlarından herhangi birinin söz konusu olmadığı dolayısıyla, veri sorumlusu tarafından Kanun’un 12’nci maddesinin (1) numaralı fıkrası çerçevesinde “kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğüne aykırı davranıldığı anlaşıldığından veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrası uyarınca 50.000 TL idari para cezası uygulanmasına,
  • İlgili kişinin e-posta adresi bilgisinin Kanun’a aykırı olarak işlendiği ve ilgili kişinin veri sorumlusuna başvurusunda kişisel verilerinin silinmesi talebini de ilettiği anlaşıldığından veri sorumlusunun, ilgili kişinin kişisel verilerini imha ederek imha işlemine ilişkin log kayıtlarının da Kurum’a iletilmesi suretiyle Kurul’a bilgi vermesi yönünde talimatlandırılmasına

karar verilmiştir.

09.12.2021: “Veri sorumlusu Banka tarafından ilgili kişinin ailesinin telefonları üzerinden arama gerçekleştirilmesi suretiyle kişisel verilerinin paylaşılması”
Karar Tarihi : 09/12/2021
Karar No : 2021/1239
Konu Özeti : Veri sorumlusu Banka tarafından ilgili kişinin ailesinin telefonları üzerinden arama gerçekleştirilmesi suretiyle kişisel verilerinin paylaşılması

Kuruma intikal eden şikâyette özetle; 

  • Banka olarak faaliyet gösteren veri sorumlusu ile ilgili kişi arasında kredi sözleşmesi akdedildiği, sözleşmeye konu borca ilişkin olarak ilgili kişinin açık yazılı veya sözlü onayı olmamasına rağmen anne ve babasının sabit telefonları üzerinden ısrarla arandığı, aramaya gerekçe olarak şikayetçiye ulaşılamamasının gösterildiği, 
  • Veri sorumlusu tarafından yapılan aramalarda ilgili kişinin ailesine, ilgili kişiye ve ilgili kişinin de ortağı olduğu Şirketin ortaklarına ulaşılamadığının beyan edildiği, ayrıca ortaklarının isimlerinin verildiği, görüşmelerin sonunda bir telefon numarası bırakıldığı ve ilgili kişinin bu numarayı araması gerektiğinin söylendiği, ilgili kişinin aranan numaranın ailesinin kullanımında olduğunu müteaddit kez belirttiği, yapılan aramalar sonucu zor duruma düşüldüğü, ilgili kişiye ait kişisel verilerin açık rızası olmaksızın veri sorumlusu tarafından kullanılması suretiyle ihlal edilmiş olduğu, 
  • Bu ihlal dolayısı ile 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 14 üncü maddesinin (2) numaralı fıkrası gereğince veri sorumlusuna başvuru yapıldığı, Banka tarafından vekaletnamede Kanun kapsamında talepte bulunma yetkisinin olmadığı gerekçesiyle vekile bilgi verilmeyeceği, cevapların şikayetçi müvekkile tebliğ edileceğinin beyan edildiği, sonrasında cevabın hazır olduğu 10 gün içerisinde tebliğ edileceğinin şikayetçiye bildirildiği ancak herhangi bir tebligat yapılmadığı, bunun üzerine tekrar Kanun kapsamında talepte bulunmaya ilişkin yetki içerir vekaletname ile yeni bir başvuru yapıldığı, bu başvurunun da reddedildiğinin öğrenilmesi üzerine Kuruma başvuru zorunluluğunun hasıl olduğu

belirtilerek, veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

İlgili kişinin şikâyetine istinaden başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, verilen cevapta özetle;

  • İlgili kişinin Banka nezdinde bireysel müşteri kaydı bulunduğu, bunun yanı sıra ilgili kişinin hakim ortağı olduğu (…) Anonim Şirketi’nin de Bankada ticari müşteri kaydının yer aldığı, (…) Anonim Şirketi için kredi teklifi yapılabilmesi amacıyla şirkete ticari müşteri kaydı oluşturulurken alınan kredi başvuru formunda, anılan şirketin hakim ortağı ve aynı zamanda yönetim kurulu başkanı olması nedeniyle ilgili kişiye ait bazı bilgilerin de alındığı, kredi başvuru süreçleri aşamasında şirkete limit çalışması ve ticari kart başvurusu yapılması kapsamında ilgili kişinin de hakim ortak olarak Risk Merkezi bilgisinin sorgulandığı, Risk Merkezi'nden alınan ev telefonu numarasının Banka veri tabanına kaydedildiği, ilgili kişinin bireysel müşteri kayıtlarının içerisinde e-posta adresinin yer almaması nedeni ile cevabî yazının “resmi adres ve ev adresi” olarak kayıtlı olan adresine PTT aracılığıyla iadeli taahhütlü posta olarak gönderildiği,
  • 5411 sayılı Bankacılık Kanunu (5411 sayılı Kanun) ile alt düzenlemelerin belirlediği kapsamla sınırlı olacak şekilde ve yine bu düzenlemelerde yer verilen esas ve usullere uygun olarak, Banka müşterilerinin kredilendirme süreçlerinde kullanılmak üzere risk bilgilerini alabilmek amaçları ile Türkiye Bankalar Birliği Risk Merkezi’nden (Risk Merkezi) sorgulamalar yapılmakta olduğu, yapılan aramalarda müşteriye ulaşılamaması durumunda müşterilere ulaşabilmek amacıyla Risk Merkezi sorgulamasından elde edilen ve sistemlere “alternatif numara” olarak kaydedilmiş olan iletişim numaralarının da aranabildiği, bununla birlikte söz konusu alternatif numaraların aranması ve bu aramalara müşteri dışında üçüncü kişilerin yanıt vermesi durumunda üçüncü kişilerle hiçbir şekilde bilgi paylaşımı yapılmayıp, kendisine ulaşmak istenilen müşterilerin Bankayı geri araması hususunda not bırakıldığı,
  • İlgili kişinin hakim ortağı ve yönetim kurulu başkanı olduğu (…) Anonim Şirketi’nin Banka nezdinde kullandığı kredilerde gecikme oluşması nedeniyle, bu müşteri için yapılan aramaların başlamış olduğu, ilgili kişinin Banka sisteminde kayıtlı olan cep telefonu üzerinden muhtelif tarihlerde defalarca yapılan aramalara rağmen kendisi ile temas kurulamadığı, kendisinin Risk Merkezi nezdinde ev telefonu numarası olarak kayıtlı olan telefon numarasından çeşitli tarihlerde arama yapılarak görüşme sağlandığı, bu tarihlerde yapılan hiçbir aramada ilgili kişiye ya da kendisinin hakim ortağı ve yönetim kurulu başkanı olduğu şirkete ilişkin olarak üçüncü kişilere herhangi bir bilgi paylaşımı yapılmadığı, bu aramalarda ilgili kişiye iletilmesi için üçüncü kişilere sadece not bırakıldığı, ilgili kişinin yakınının bırakılan notu kendisine ileteceğini ifade ettiği ve Banka tarafından bu hususla ilgili olarak aranmak istemediklerine ilişkin bir talep iletmedikleri,
  • İlgili kişinin Bankayı araması ile yapılan görüşmede, aranan numarayı Bankaya vermediği ve ailesinin nasıl arandığını sorması üzerine, müşteri temsilcisi tarafından kendisine ulaşım sağlanamadığı zaman sistem tarafından otomatik olarak alternatif numaradan arama yapıldığı, Banka şubelerinden konuya ilişkin bilgi alınabileceği ve bununla ilgili olarak aranmak istemediği numaraları Banka kayıtlarından sildirebileceğinin belirtildiği, ilgili kişinin talebi üzerine kendisi ile görüşmeyi gerçekleştirmiş olan müşteri temsilcisinin söz konusu telefon numarasını, sistem üzerinde bu numaranın bir daha aranmamasını sağlayıcı aksiyon olarak “yanlış numara” şeklinde belirtmesi gerektiği halde, bu şekilde işlem yapmaması nedeni ile şikayet konusu telefon numarasına yapılan aramaların devam ettiği, ilgili personelin konu hakkında uyarıldığı, sonraki bir tarihte ilgili kişinin yakınının bu telefon numarasından aranmak istemediğini belirtmesi üzerine telefon numarasının arama engelli listesine eklendiği,
  • Şikâyete konu alternatif telefon bilgisinin, Risk Merkezi’nden yapılan sorgulama vasıtasıyla temin edilerek, ilgili kişiye ulaşılmak maksadı ile ve sadece bu amaçla sınırlı kalınarak kullanıldığı

belirtilmiş ve risk merkezi üzerinden yapılan sorgulama sonuçlarında şikâyete konu telefon numarasının “ev telefon numarası” olarak görünen şekilde Banka sistemine yansımasına ilişkin ekran görüntüsü paylaşılmıştır.

Konuya ilişkin yapılan incelemede Kişisel Verileri Koruma Kurulunun 09/12/2021 tarihli ve 2021/1239 sayılı Kararı ile;

  • 6698 sayılı Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde kişisel verinin: “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, ilgili kişinin; “Kişisel verisi işlenen gerçek kişi”, kişisel verilerin işlenmesinin; “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, veri sorumlusunun; “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlandığı,
  • Öte yandan, 6698 sayılı Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun hükme bağlandığı,
  • Öte yandan, 6111 sayılı Kanun ile, 5411 sayılı Bankacılık Kanunu’na ek 1 inci madde ve geçici 28 inci maddenin ilave edildiği, ek 1 inci madde ile Türkiye Bankalar Birliği nezdinde, kredi kuruluşları ile Bankacılık Düzenleme ve Denetleme Kurulunca uygun görülecek finansal kuruluşların müşterilerinin risk bilgilerini toplamak ve söz konusu bilgileri bu kuruluşlar ile gerçek veya tüzel kişilerin kendileriyle ya da onay vermeleri koşuluyla özel hukuk tüzel kişileri ve üçüncü gerçek kişileri ile de paylaşılmasını sağlamak üzere Risk Merkezi kurulduğu, Risk Merkezi Yönetmeliği’nin “Risk Merkezi üyelerinin sorumlulukları” başlıklı 17 nci maddesinin birinci fıkrasının (b) ve (c) bentleri kapsamında üyelerin, Risk Merkezi ile gizlilik sözleşmesi yapmak ve Risk Merkezinden temin ettiği her türlü bilgi ve belgenin gizliliğinin sağlanmasına yönelik her türlü önlemi almak ve Risk Merkezinden temin ettiği bilgileri yalnızca kendi iç işlemlerinde kullanmak, diğer üyeler dahil herhangi bir gerçek ve tüzel kişi ile paylaşmamakla sorumlu tutulduğu, ayrıca, “Gizlilik” başlıklı 19 uncu madde uyarınca; “(1) Risk Merkezinin tüm işlem ve kayıtları gizlidir. Risk Merkezinden temin edilen bilgiler yalnızca bilgiyi alan üyenin kendi iç işlemlerinde kullanılabilir, diğer üyeler dahil herhangi bir gerçek ve tüzel kişi ile paylaşılamaz. (2) Risk Merkezi nezdinde bulunan sır niteliğindeki bilgileri, bu konuda kanunen yetkili kılınan mercilerden başkalarına açıklayanlar, hukuka aykırı olarak kendisi ya da başkası yararına kullananlar, yayanlar, verenler, aktaranlar veya ele geçirenler hakkında Kanunun 159 uncu maddesi hükümleri uygulanır” hükmünün düzenlendiği, bu doğrultuda, Risk Merkezinde bulunan sır nitelikli bilgilerin kanunen yetkili kılınan mercilerden başkalarına açıklanması durumunda 5411 sayılı Kanun’un 159’uncu maddesinde öngörülen yaptırımların uygulanacağının belirtildiği,
  • Öte yandan, “Türkiye Bankalar Birliği Risk Merkezi Üyelerinin Müşterilerinin Risk Merkezi Nezdindeki Bilgilerinin Kendilerine ya da Onay Vermeleri Koşuluyla Belirledikleri Gerçek veya Tüzel Kişilere Verilmesine İlişkin Esas ve Usuller Hakkında Yönetmelik” kapsamında, TBB Risk Merkezi üyelerinin müşterilerinin TBB Risk Merkezi nezdindeki bilgilerinin, kendilerine ya da onay vermeleri koşuluyla belirledikleri gerçek veya tüzel kişilere verilmesini teminen başvuru ve onay verme sürecine ilişkin esas ve usullerin düzenlendiği, Risk Merkezi’ndeki bilgilerin ne şekilde sorgulanabileceği ve temin edilebileceği hususlarının da ayrı bir yönetmelik kapsamında düzenlendiği,
  • İlgili kişinin hakim ortak olduğu (…) Anonim Şirketi ile veri sorumlusu arasında kredi sözleşmesi olduğu, veri sorumlusu Banka ile kredi başvuru süreci yürütülürken ilgili kişinin bazı kişisel verilerinin işlendiği, anılan sözleşmeden kaynaklanan bir borcun/riskin oluştuğu, oluşan risk üzerine ilgili kişiye cep telefonu numarasından ulaşılamadığı ve Risk Merkezi’nden yapılan sorgulama neticesinde alternatif numara olan Risk Merkezi sisteminde aynı zamanda “ev telefon numarası” şeklinde kayıtlı olan numaradan aramalar yapıldığı, bu aramaların ilgili mevzuat ve Bankacılık Düzenleme ve Denetleme Kurulu’nun “Risk Merkezinden temin edilen telefon numarası üzerinden yapılan arama ile müşterinin Banka ile münasebetinin yakınları ile paylaşılmasına ilişkin” 05.03.2021 tarihli kararı doğrultusunda gerçekleştirildiği, ilgili kişinin anne-babasının kullandığı belirtilen telefon numarasına çeşitli  tarihlerde veri sorumlusunca yetkilendirilmiş kişilerce arama yapıldığı,
  • İlgili kişinin talebi üzerine yanlış numara aksiyonu alınması gerekirken, aramaların devam ettiği ve ilgili personelin bu konuda uyarıldığı tarihte “yanlış numara aksiyonu” alındığı, bu durumun Kuruma sunulan evraklardan da anlaşıldığı, ilgili kişinin başvurusuna binaen cevabî nitelikli yazı gönderildiği, yazıda kısaca ilgili mevzuattan bahsedilip bahis konusu telefon numarası ile ilgili gerekli aksiyonun alındığını da kapsayan özür ifadesinin yer aldığı, veri sorumlusu tarafından Kuruma gönderilen ve şikayete konu telefon numarası ile yapılan görüşmeleri kapsayan dökümlerde, ilgili kişinin borç bilgilerine ilişkin bilgi verilmediği, veri sorumlusu adına bilgi aktarımında bulunulacağının ifade edildiği ve (…) Anonim Şirketinin ortaklarının isimlerinin verildiği,
  • Veri sorumlusunun ilgili kişinin verilerini kendisinin hâkim ortak olduğu şirket, 5411 sayılı Kanun ve ilgili diğer mevzuat hükümleri çerçevesinde “Risk Grubu” içerisinde yer aldığı için işlediği, bu işlemenin bankacılık faaliyetleri kapsamında, Banka bünyesinde kullanılmak ve Risk Merkezine aktarılmak amacıyla yapıldığı ve Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (ç) bendi uyarınca “veri sorumlusunun hukuki yükümlülüklerinin yerine getirilmesi kapsamında” olduğu, şikayete konu telefon numarasına yapılan aramalar hakkında ilgili kişi tarafından, numaranın kendisine ait olmadığı, anne-babası tarafından kullanıldığı bildiriminin yapıldığı, ilgili personelce gerekli işlemlerin yapılması için bilgi verilmediğinden, sonraki bir tarihte “yanlış numara aksiyonu” alınabildiği, veri sorumlusu tarafından ilgili personelin uyarıldığı,

değerlendirmelerinden hareketle;

  • Veri sorumlusu tarafından, oluşan riskten dolayı yapılan borçlu takibinin Risk Merkezi sisteminde kayıtlı telefon numarasına yönelik yapıldığı, eldeki mevcut bilgi ve belgelerden veri sorumlusu tarafından kişisel veri paylaşıldığına yönelik bir tespitte bulunulamadığı ve ilgili kişinin talebi üzerine aramalara ilişkin kısa sürede gerekli aksiyonun alındığı dikkate alındığında veri sorumlusu hakkında Kanun kapsamında yapılacak bir işlem olmadığına,
  • Telefon aramalarında kişisel verilerin korunması yönünden daha dikkatli olunması ve personelin bu konuda bilgilendirilmesi hususunun veri sorumlusuna hatırlatılmasına

karar verilmiştir.

02.12.2021: “İlgili kişi işçinin hakkında yürütülen kişisel verilerin işlenmesi faaliyetleri kapsamında yurtdışında mukim olan veri sorumlusu işverence aydınlatılmaması, ilgili kişiye ait kişisel verilerin Nisan 2021 sonrası dönemde veri sorumlusu tarafından hukuka aykırı olarak işlenmesi”
Karar Tarihi : 02/12/2021
Karar No : 2021/1218
Konu Özeti : İlgili kişi işçinin hakkında yürütülen kişisel verilerin işlenmesi faaliyetleri kapsamında yurtdışında mukim olan veri sorumlusu işverence aydınlatılmaması ve ilgili kişiye ait kişisel verilerin Nisan 2021 sonrası dönemde veri sorumlusu tarafından hukuka aykırı olarak işlenmesi

İlgili kişinin şikâyetinde özetle;

  • Ekim 2020 ila Nisan 2021 tarihleri arasında yurtdışında mukim olan veri sorumlusunun İstanbul İrtibat Bürosu’nda görev yaptığı ve iş sözleşmesinin eylemli fesih yoluyla sona erdirildiği, 
  • Veri sorumlusunun İstanbul İrtibat Bürosu’nun, “iş sözleşmesinin devamı” ve “iş sözleşmesinin eylemli fesih yoluyla sona erdirilmesi” olmak üzere iki farklı dönemde, ilgili kişiye karşı 6698 sayılı Kişisel Verilerin Korunması Kanunu’ndan (Kanun) kaynaklanan yükümlülüklerini yerine getirmediği,
  • İlgili kişi tarafından Kanun’un 13’üncü maddesine dayanılarak hazırlanan ve e-posta üzerinden veri sorumlusunun İstanbul İrtibat Bürosu’na yöneltilen 26/05/2021 tarihli İhtarname’ye cevaben iletilen 07/06/2021 tarihli e-postada açık ve doğru bilgi verilmediği,
  • İlgili kişiye verilen cevapta “Halen istihdam altında bulunduğunuzdan, çalışanın iş ilişkisinin karşılıklı ifası için gerekli kişisel verilerin işlenmesi KVKK m. 5/2 kapsamında ‘…c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.’ şeklindeki madde kapsamına girdiğinden, ayrıca aynı maddenin (e) ve (f) bentleri gereğince, iş akdinizin ifası çerçevesinde gerekli kişisel verileriniz KVKK’ya uygun şekilde işlenmektedir. Dolayısıyla, ilgili yasal mevzuata uygun olarak ücretsiz izne çıkarıldığınızdan ve halen çalışan statüsünde olduğunuzdan, Kişisel Verilerin Korunması Kanunu kapsamında hiçbir hukuka aykırılık da söz konusu olmadığından talebiniz kabul edilememektedir.” ifadelerine yer verildiği,
  • İlgili kişiye iletilen metnin geçerli bir cevap olmadığı, zira ilgili kişi tarafından yöneltilen soruların geçiştirildiği, kaldı ki istihdam ilişkisinin devamının işverenin Kanun’dan kaynaklanan yükümlülüklerini yerine getirdiğine karine teşkil etmeyeceği ve çalışanın işverene karşı Kanun’dan doğan haklarını kullanmasının istihdam ilişkisinin sona ermesine bağlı olmadığı,
  • İşverenlerin Kanun kapsamında çalışanların özlük dosyalarının düzenlenmesi bakımından “veri sorumlusu” sıfatını haiz oldukları, bu sıfatla da Kanun’un 10’uncu maddesi uyarınca “veri sorumlusunun ve varsa temsilcisinin kimliği”, “çalışanın kişisel verilerin hangi amaçla işleneceği”, “işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği”, “kişisel veri toplamanın yöntemi ve hukuki sebebi” ve “ilgili kişi çalışanın bu kapsamdaki hakları” hakkında yazılı bir aydınlatma metni düzenlemek ve çalışanı bilgilendirmekle yükümlü oldukları,
  • İlgili kişinin istihdam edildiği süreçte kişisel verilerinin işlenmesi faaliyetinin amacı, kapsamı, verilerinin kimlerle paylaşıldığı, nasıl ve hangi süre için saklandığı, hangi hukuki sebeplerle işlendiği, Kanun kapsamında veri sorumlusuna yöneltebileceği haklarının neler olduğu konularında bilgilendirilmediği,
  • Veri sorumlusunun İstanbul İrtibat Bürosu’nun ilgili kişinin kişisel verilerinin hangi üçüncü kişilere aktarıldığı ve ilgili kişinin kişisel verilerinin yurtdışına aktarılıp aktarılmadığı konularında da ilgili kişiyi bilgilendirmediği, kişisel verileri yurt dışına aktarılıyor ise bu hususta ilgili kişinin açık rızasının alınmadığı,
  • İlgili kişinin özel nitelikli kişisel verilerinin işlenip işlenmediğinin de veri sorumlusunun İstanbul İrtibat Bürosu tarafından ilgili kişiye bildirilmediği, eğer özel nitelikli kişisel verileri işleniyor ise bu hususta ilgili kişinin açık rızasının alınmadığı,
  • Veri sorumlusunun İstanbul İrtibat Bürosu’nun ilgili kişinin kişisel verilerinin işlenmesinde; “Kişisel Verileri Koruma Kurulu (Kurul) tarafından belirlenen yeterli ve gerekli önlemleri gözetip gözetmediği”, “hangi tedbirleri aldığı”, “kişisel verilerini hangi ortamda muhafaza ettiği ve sakladığı”, “uygun güvenlik düzeyini temin edip etmediği”, “herhangi bir teknik veya idari tedbir alıp almadığı” ve “Kanun ve ilgili mevzuatta belirtilen yasal sürelere uygun olarak kişisel verilerini imha edip etmediği” hususlarında ilgili kişiyi bilgilendirmediği, ayrıca ilgili kişinin taleplerine ve sorularına cevap vermeyerek Kanun’un 11’inci maddesi kapsamındaki her türlü bilgi alma hakkını ihlal ettiği,
  • İlgili kişinin iş akdinin eylemli fesih yoluyla sona erdirilmesinden sonraki dönemde “hiçbir koşul altında iş yapmaması”, “işyerine gitmemesi” ve “irtibat bürosunda faal olarak görev yapmaması” konularında yazılı olarak bilgilendirildiği, ancak ilgili kişinin fotoğrafının ve sair kişisel verilerinin iş akdinin feshinden sonraki dönemde de veri sorumlusunun kurumsal internet sitesinden kaldırılmadığı,
  • Bahsi geçen internet sitesi yurtdışında bulunduğundan ilgili kişinin fotoğrafının ve sair kişisel verilerinin bu sitede tutulmasının ilgili kişinin açık rızasına bağlı olduğu ama ilgili kişinin bu yönde bir rızayı hiçbir zaman vermediği

hususları bildirilmiş olup, veri sorumlusunun İstanbul İrtibat Bürosu’nun ilgili kişinin taleplerini yerine getirerek belirtilen hususlarda açıklama yapmasının ve hukuka aykırılıkların giderilmesinin sağlanması ile veri sorumlusunun İstanbul İrtibat Bürosu’nun Kanun’un amir hükümlerine istinaden cezalandırılması talep edilmiştir.

Bu kapsamda, her ne kadar ilgili kişi tarafından veri sorumlusunun İstanbul İrtibat Bürosu hakkında şikâyette bulunulmuş olsa da yabancı şirketlerin Türkiye’deki irtibat bürolarının tüzel kişiliklerinin bulunmadığı ve Kanun’un “Kapsam” başlıklı 2’nci maddesi uyarınca Kanun hükümlerinin sadece gerçek kişiler ile tüzel kişiler hakkında uygulanabileceği dikkate alınmış ve ilgili kişinin iddialarına istinaden yurtdışında mukim veri sorumlusu hakkında inceleme başlatılmasına karar verilmiştir. Akabinde, başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, verilen cevapta özetle;

  • İlgili kişinin Londra’da mukim olan veri sorumlusu bünyesinde çalışmaya başladığı ve 01/10/2020 tarihinde veri sorumlusunun İstanbul’da açılan irtibat ofisinde görevlendirildiği,
  • Kurulun “yurtdışında yerleşik tüzel kişilerin Türkiye’deki şubeleri ile irtibat bürolarının sicile kayıt yükümlülüğü hakkındaki görüş talebi” hakkında verdiği 23/07/2019 tarihli ve 2019/225 sayılı karar ile yasal mevzuat göz önünde bulundurulduğunda, yurtdışında yerleşik tüzel kişilerin Türkiye’deki irtibat bürolarının veri sorumlusuna ait yükümlülüklerinin bulunmadığının ve veri sorumlusu olarak gerekli yükümlülüklerin yurtdışında yerleşik tüzel kişilik tarafından yerine getirilmesi gerektiğinin ortada olduğu,
  • Bu doğrultuda, veri sorumlusu tarafından ilgili kişiye veri sorumlusunun “Veri Koruma Politikası” çerçevesinde bilgilendirmede bulunulduğu, “İşçiler ve Taşeronlar için GDPR Gizlilik Bildirgesi” imzalatıldığı ve GDPR ile uygulanabilir tüm yasal mevzuat kapsamında gerekli her türlü yükümlülüğün yerine getirildiği, 
  • İlgili kişinin veri sorumlusu ile olan iş ilişkisinin devamı esnasında tüm dünyayı etkisi altına alan COVID-19 virüsünün ortaya çıktığı pandemi döneminde Türkiye Cumhuriyeti’nin yasal mevzuatının uygun gördüğü şekilde ücretsiz izne çıkarıldığı, bu yüzden ilgili kişinin iddia ettiğinin aksine ilgili kişi ile veri sorumlusu arasındaki sözleşmenin eylemli fesih yoluyla sona erdirilmediği, buna dair hiçbir geçerli ve hukuki delilin de bulunmadığı,
  • İlgili kişinin iş sözleşmesinin 01/07/2021 tarihinde kendisine gönderilen Fesih Bildirimi ile sona erdirildiği, ilgili kişinin avukatı tarafından veri sorumlusuna gönderilen 01/07/2021 tarihli e-postada da iş ilişkisinin daha önceki bir tarihte sonlandırılmamış olduğunun ikrar edildiği,
  • İlgili kişinin veri sorumlusu ile aralarındaki iş sözleşmesinin eylemli fesih yoluyla sona erdirildiğini iddia etmesine rağmen 01/07/2021 tarihli Fesih Bildirimi’ni beklediği ve Fesih Bildirimi’nin kendisine tebliğinden hemen sonra başka bir firmanın internet sitesine fotoğrafının koyulduğu, bunun da ilgili kişinin veri sorumlusu ile arasındaki sözleşmenin eylemli fesih yoluyla sona erdirilmediğinin farkında olduğunu gösterdiği, 
  • İlgili kişinin fesih eyleminin bir an önce gerçekleşmesi konusundaki ısrarının diğer firmanın internet sitesinde yer almak için sabırsızlanmasından kaynaklandığı, ilgili kişinin haksız ve hukuka aykırı taleplerinin veri sorumlusunca kabul edilmemesinden dolayı öç alma güdüsüyle inceleme konusu şikâyeti yaptığı, 
  • Kanun’un 5’inci maddesinin (2) numaralı fıkrasında sayılan şartlardan birinin varlığı halinde ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu,
  • Bu çerçevede, veri sorumlusu ile ilgili kişi arasındaki iş ilişkisinin devamı sırasında ilgili kişiye ait kişisel verilerin işlenmesinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendindeki “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” düzenlemesinin kapsamına girdiği, ayrıca iş sözleşmesinin ifasına ilişkin kişisel verilerin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) ve (f) bentleri gereğince hukuka uygun olarak işlendiği,
  • İlgili kişinin iş sözleşmesinin sona erdirilmesinin akabinde, ilgili kişinin özlük dosyasında bulunan bilgilerin gelecekte veri sorumlusu aleyhine açılma ihtimali olan davalarda ispat kolaylığı sağlayacağından ötürü meşru menfaat çerçevesinde saklanmakta olduğu ve bu bilgilerin hiçbir üçüncü şahısla paylaşılmadığı, bunun dışında iş sözleşmesinin sona erdirilmesi ile ilgili kişiye ait diğer kişisel bilgilerin veri sorumlusu tarafından silindiği ve yok edildiği,
  • Netice olarak, veri sorumlusunun İngiltere sınırları içerisinde tabi olduğu GDPR ve uygulanabilir yasal mevzuat uyarınca ilgili kişinin kişisel verilerinin hukuka uygun işlendiği, ilgili kişi ile veri sorumlusu arasındaki iş ilişkisinin sona ermesinin ardından ilgili kişinin kişisel verilerinin mümkün olduğunca yok edildiği ve silindiği, ilgili kişinin şikâyet ettiği hususların haksız ve mesnetsiz olduğu, veri sorumlusunun tüm yükümlülüklerini yerine getirdiği 

ifade edilmiştir.

İlgili kişinin şikâyetinde yer alan iddialar ile veri sorumlusunun savunması birlikte incelenmiş olup, görülen lüzum üzerine “ilgili kişi ile veri sorumlusu arasındaki iş ilişkisin başladığı yer ve tarihi”, “veri sorumlusunun İstanbul İrtibat Bürosu’nda çalıştığı zaman diliminde ilgili kişinin hangi kişisel verilerinin işlendiği ve bu işleme faaliyetinin amacı/amaçları ve hukuki sebebi/sebepleri”, “veri sorumlusunun İstanbul İrtibat Bürosu’nda çalıştığı zaman diliminde ilgili kişiye yönelik yürütülen kişisel veri işleme faaliyetleri kapsamında, ilgili kişiye Kanun’un 10’uncu maddesi gereğince aydınlatma yapılıp yapılmadığı”, “ilgili kişinin veri sorumlusunun İstanbul İrtibat Bürosu’nda çalıştığı zaman diliminde işlenen kişisel verilerinin yurtiçinde veya yurtdışında üçüncü bir kişiye aktarılıp aktarılmadığı ve eğer aktarılmışsa aktarımın hukuki sebebi/sebepleri”, “ilgili kişinin kişisel verilerinin veri sorumlusuna ait kurumsal internet sitesinde yayınlanıp yayınlanmadığı ve eğer yayınlandıysa hangi kişisel verilerin hangi tarihler arasında, hangi hukuki sebebe/sebeplere dayanılarak yayınlandığı” hususlarının açıklığa kavuşturulması veri sorumlusundan istenmiştir.

Açıklığa kavuşturulması istenen hususlara dair veri sorumlusunca iletilen yazıda ise özetle;

  • Veri sorumlusunun İstanbul İrtibat Bürosu’nda çalıştığı zaman diliminde, ilgili kişinin adının, soyadının, telefon numarasının, e-posta adresinin, adresinin ve özlük dosyasında bulunan bilgilerin Türkiye’de faaliyet gösteren binlerce işverenin milyonlarca çalışanına yaptığı gibi işlendiği, bu kişisel verilerin işlenme amacının veri sorumlusunun ilgili kişi ile olan istihdam ilişkisinin yürütülmesini sağlamak ve veri sorumlusunun işveren olarak yükümlülüklerini yerine getirmekten ibaret olduğu,
  • Veri sorumlusu ile ilgili kişi arasındaki iş ilişkisinin devamı sırasında, ilgili kişiye ait kişisel verilerin işlenmesinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendindeki “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” düzenlemesinin kapsamına girdiği, ayrıca Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) ve (f) bentleri gereğince iş sözleşmesinin ifası çerçevesinde gerekli kişisel verilerin Kanun’a uygun olarak işlendiği,
  • İlgili kişinin İstanbul İrtibat Bürosu’nda çalıştığı zaman diliminde işlenen kişisel verilerinin veri sorumlusu haricinde yurtiçinde veya yurtdışında üçüncü bir kişiye aktarılmadığı,
  • İlgili kişinin adının, soyadının ve fotoğrafının veri sorumlusuna ait İngiltere’de bulunan merkez ofisin yönetimindeki kurumsal internet sitesinde iş ilişkisinin devamı süresince yayınlandığı, veri sorumlusunun İstanbul İrtibat Bürosu tarafından kullanılan herhangi bir internet sitesinin bulunmadığı, söz konusu bilgilerin iş akdinin feshi itibarıyla derhal internet sitesinden kaldırıldığı ve veri sorumlusu bünyesinden silindiği, ilgili kişiye veri sorumlusu tarafından imzalatılan onay formunun ekte sunulduğu

beyan edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde, Kurulun 02/12/2021 tarihli ve 2021/1218 sayılı kararı ile;

  • 6698 sayılı Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde kişisel verinin: “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, ilgili kişinin; “Kişisel verisi işlenen gerçek kişi”, kişisel verilerin işlenmesinin; “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, veri sorumlusunun; “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlandığı,
  • Öte yandan, 6698 sayılı Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun hükme bağlandığı,
  • Ayrıca, 6698 sayılı Kanun’un kişisel verilerin işlenmesine ilişkin “Genel ilkeler”i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmü yer almakta olup, bahsi geçen maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin “Hukuka ve dürüstlük kurallarına uygun olma”, “Doğru ve gerektiğinde güncel olma”, “Belirli, açık ve meşru amaçlar için işlenme”, “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ve “İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” olarak sayıldığı,
  • Kanun’un “Veri sorumlusunun aydınlatma yükümlülüğü” başlıklı 10’uncu maddesinde ise “(1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.” hükmüne yer verildiği,
  • Ek olarak, ilgili kişilerin hakları Kanun’un 11’inci maddesinin; 

“Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; 
a) Kişisel veri işlenip işlenmediğini öğrenme, 
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, 
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, 
d) Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
e) 7’nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, 
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, 
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, 
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarına sahiptir.” denmek suretiyle düzenlendiği,

  •  Kanun’un ilgili hükümleri dikkate alındığında; ilgili kişinin adının ve soyadının, telefon numarasının, e-posta adresinin, adresinin, fotoğrafının ve özlük dosyasında bulunan bilgilerin ilgili kişinin kimliğini belirli veya belirlenebilir kılmaları nedeniyle kişisel veri niteliğini haiz oldukları, bu yüzden ilgili kişiye ait bahsi geçen kişisel verilerin veri sorumlusu tarafından elde edilmesi, depolanması, kullanılması, yayınlanması vb. fiillerin de Kanun kapsamında birer kişisel veri işleme faaliyeti teşkil ettiği ve böyle faaliyetlerin hem Kanun’da düzenlenen hukuki sebeplere dayanılarak hem de yine Kanun’da yer alan genel ilkelere uygun bir şekilde yürütülmesi gerektiği hususlarında herhangi bir şüphenin bulunmadığı,
  • •İlgili kişinin Kanun’un 11’inci maddesinde düzenlenen haklarına ilişkin olarak Kanun’un 13’üncü maddesine istinaden veri sorumlusuna yapmış olduğu başvurunun, Kanun’un yine 13’üncü maddesinde düzenlendiği şekilde veri sorumlusunca cevaplanması gerektiği,
  • İlgili kişi tarafından yapılan şikâyetin “veri sorumlusunun aralarındaki iş sözleşmesinin devamı sırasında ilgili kişiye karşı Kanun’un 10’uncu maddesinden kaynaklanan aydınlatma yükümlülüğünü yerine getirmediği”, “veri sorumlusu ile olan iş sözleşmesinin eylemli fesih yoluyla sona erdirilmesinden sonra ilgili kişiye ait fotoğraf ve sair kişisel verilerin veri sorumlusunun internet sitesinde tutulmasına devam edildiği, söz konusu verilerin bu sitede tutulmasının ilgili kişinin açık rızasına bağlı olduğu ama konuya ilişkin olarak ilgili kişinin açık rızasının alınmadığı ve bu durumun da hukuka aykırı kişisel veri işleme faaliyeti teşkil ettiği” ve “ilgili kişinin Kanun’un 13’üncü maddesi uyarınca yaptığı başvuruya veri sorumlusu tarafından yeterli bir şekilde cevap verilmediği” yönündeki üç iddia üzerine yoğunlaştığı, bu yüzden inceleme konusu şikâyetin ilgili kişinin iddialarının yoğunlaştığı üç başlık altında değerlendirilmesinin yerinde olacağı,

“Veri sorumlusunun aralarındaki iş sözleşmesinin devamı sırasında ilgili kişiye karşı Kanun’un 10’uncu maddesinden kaynaklanan aydınlatma yükümlülüğünü yerine getirmediği” yönündeki iddia bakımından: 

  • Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi tarafından ilgili kişilere Kanun’un “Veri sorumlusunun aydınlatma yükümlülüğü” başlıklı 10’uncu maddesi uyarınca bilgi verilmesinin bir yükümlülük olduğu,  söz konusu yükümlülük kapsamında uyulacak usul ve esasların belirlenmesi amacıyla çıkarılan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in “Aydınlatma yükümlülüğünün kapsamı” başlıklı 4’üncü maddesinde, ilgili kişilere yapılacak bilgilendirmenin asgari olarak Kanun’un 10’uncu maddesinde de sayılan beş hususu içermesi gerektiğinin hükme bağlandığı, “Usul ve Esaslar” başlıklı 5’inci maddesinde ise veri sorumlusu ya da yetkilendirdiği kişi tarafından aydınlatma yükümlülüğünün yerine getirilmesi esnasında uyulması gereken usul ve esasların düzenlendiği, 
  • Anılan mevzuat hükümleri uyarınca, ilgili kişiler hakkında yürütülen ve Kanun hükümlerinin uygulama alanı bulacağı kişisel veri işleme faaliyetleri kapsamında -kişisel verilerin elde edilmesi sırasında- veri sorumluları tarafından ilgili kişilere Kanun’un 10’uncu maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine uygun olarak bilgilendirmede bulunulması gerektiği,
  • Hâl böyle olmakla birlikte, dosyaya sunulan bilgi ve belgelerden; ilgili kişinin veri sorumlusunun Londra’da bulunan ofisinde işe başlaması nedeniyle ilgili kişiye Avrupa Birliği’nin birincil kişisel veri koruma düzenlemesi olan ve kısaca “GDPR” olarak bilinen Avrupa Birliği Genel Veri Koruma Tüzüğü’ne istinaden bilgilendirme yapıldığı, daha sonra ilgili kişinin Londra’daki görevinden ayrılarak veri sorumlusunun İstanbul’da bulunan irtibat ofisi bünyesinde görev yapmaya başladığı, dolayısıyla ilgili kişiye Avrupa Genel Veri Koruma Tüzüğü (GDPR) yükümlülükleri kapsamında yapılan bilgilendirmenin ilgili kişi hakkında veri sorumlusunca yürütülen kişisel veri işleme faaliyetleri açısından yeterli olduğu, ancak Türkiye’de işlenen kişisel veriler bakımından Kanun’un 10’uncu maddesine uygun olarak aydınlatma yükümlülüğünün yerine getirilmesi konusunda özen gösterilmesi hususunda veri sorumlusuna hatırlatmada bulunulmasının da uygun olacağı,

“Veri sorumlusu ile olan iş sözleşmesinin eylemli fesih yoluyla sona erdirilmesinden sonra ilgili kişiye ait fotoğraf ve sair kişisel verilerin veri sorumlusunun internet sitesinde tutulmasına devam edildiği, söz konusu verilerin bu sitede tutulmasının ilgili kişinin açık rızasına bağlı olduğu ama konuya ilişkin olarak ilgili kişinin açık rızasının alınmadığı ve bu durumun da hukuka aykırı kişisel veri işleme faaliyeti teşkil ettiği” yönündeki iddia bakımından: 

  • İlgili kişi ile veri sorumlusu arasındaki iş ilişkisinin ne zaman sona erdiği hususunda taraflar arasında bir uyuşmazlık olduğu (İlgili kişi veri sorumlusu ile olan iş ilişkisinin “eylemli fesih” yoluyla Nisan 2021’de sona erdirildiğinden bahsederken, veri sorumlusu tarafından ilgili kişi ile olan iş ilişkisinin bitiş tarihinin 01/07/2021 olarak bildirildiği), 
  • Taraflar arasında ilgili kişinin kişisel verilerinin veri sorumlusunun internet sitesinde Nisan 2021 öncesini kapsayan zaman diliminde yayınlanması konusunda herhangi bir ihtilafın bulunmadığı, 
  • Kişisel verilerinin veri sorumlusunun internet sitesinde yayınlanabilmesi için ilgili kişi tarafından başlangıçta bir açık rıza verilip verilmediği dosya kapsamına sunulan bilgi ve belgelerden tam olarak anlaşılamasa da, söz konusu kişisel veri işleme faaliyetinin hukuki sebebinin Kanun’un 5’inci maddesinin (1) numaralı fıkrasında düzenlendiği şekliyle “açık rıza” olduğunun kabulü halinde, ilgili kişinin veri sorumlusuna ilettiği 26/05/2021 tarihli İhtarname’den sonra verilen açık rızanın geri alındığının da kabul edilmesinin gerektiği,
  • İlgili kişinin kişisel verilerinin veri sorumlusunun internet sitesinde yayınlanmasının Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (f) bendindeki “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki sebebine dayanmasının mümkün olabileceği, ancak bu hukuki sebebe dayanılabilmesi için -somut olay özelinde tespit edilecek- veri sorumlusunun meşru menfaatleri ile ilgili kişinin temel hak ve özgürlükleri esas alınarak yapılacak bir “denge testi” sonucunda veri sorumlusunun meşru menfaatlerinin ağır basıyor olmasının gerektiği, 
  • Somut olayda, ticari hayatta meşru bir şirket olarak faaliyet gösteren veri sorumlusunun Türkiye’de bir irtibat ofisinin bulunduğunu ve bu ofiste kariyerli/yetkin kişilerin çalıştığını veya en azından kimlerin çalıştığını kamuoyuna açıklamakta meşru menfaatinin bulunduğunun söylenebileceği ve böyle bir açıklamanın ilgili kişinin temel hak ve özgürlüklerine açıkça zarar verdiğinden de bahsedilemeyeceği, 
  • Taraflar arasındaki iş ilişkisinin -ilgili kişinin iddia ettiği gibi- Nisan 2021 itibarıyla sona erdiğinin kabul edilmesi halinde ise, ilgili kişinin kişisel verilerinin halen veri sorumlusunun internet sitesinde tutulmasının, mevcut iş ilişkisinin bitmesi sonrasında yeni iş arayışlarına girmesi noktasında ilgili kişinin Türkiye Cumhuriyeti Anayasası’nın 48’inci maddesinde düzenlenen “Çalışma ve sözleşme hürriyeti”ne zarar verebileceği ve ilgili kişi hakkında yürütülen kişisel veri işleme faaliyetlerinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (f) bendindeki “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki sebebine dayanamayacağının savunulabileceği, zira iş aradığı sırada halen bir yerde çalışıyor görünen ilgili kişinin yapacağı iş başvurularının bu durumdan olumsuz etkilenmesinin ihtimal dâhilinde olduğu, 
  • Buna karşın, dosyaya sunulan tüm bilgi ve belgelerden, ilgili kişinin iş sözleşmesinin Nisan 2021 itibarıyla sona ermediği, ilgili kişinin Nisan 2021 ile Temmuz 2021 arasını kapsayan dönemde mevzuatın veri sorumlusuna Covid-19 salgınının ortaya çıkardığı şartlardan ötürü geçici olarak tanıdığı bir hak sayesinde alınabilen tek taraflı bir kararla ücretsiz izne çıkarıldığının anlaşıldığı ve mevzuattan kaynaklanan böyle bir durumda ilgili kişinin iş sözleşmesinin “eylemli fesih” yoluyla Nisan 2021’de sona erdirildiği iddiasının kabulünün mümkün görünmediği,
  • Neticede, ilgili kişinin fotoğraf ve sair verilerinin Nisan 2021 sonrası dönemde veri sorumlusunun internet sitesinde yayınlanmasından ibaret olan kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (f) bendindeki “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki sebebine dayanabileceği, bu yüzden de anılan faaliyeti dolayısıyla veri sorumlusu hakkında Kanun kapsamında yapılacak herhangi bir işlemin bulunmadığı,

“İlgili kişinin Kanun’un 13’üncü maddesi uyarınca yaptığı başvuruya veri sorumlusu tarafından yeterli bir şekilde cevap verilmediği” yönündeki iddia bakımından: 

  • Kanun’un “Veri sorumlusuna başvuru” başlıklı 13’üncü maddesinde ilgili kişilerin Kanun’un uygulanmasıyla bağlantılı olarak veri sorumlularına yapacakları başvuruların usul ve esaslarının ana hatlarıyla düzenlendiği, 
  • Bununla birlikte, veri sorumlusuna başvuru ve işlemin ayrıca bir maliyet gerektirmesi halinde alınacak ücret ile ilgili usul ve esasları belirlemek üzere hazırlanmış olan Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in “Başvuru usulü” başlıklı 5’inci maddesinde “İlgili kişi, Kanunun 11 inci maddesinde belirtilen hakları kapsamında taleplerini, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna iletir.” ifadesine, “Başvuruya cevap” başlıklı 6’ncı maddesinde ise “Veri sorumlusu bu Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlüdür.” ifadesine yer verildiği,
  • İlgili kişinin Kanun’un 11’inci ve 13’üncü maddeleri ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 5’inci maddesi uyarınca veri sorumlusuna yaptığı başvurunun, veri sorumlusu tarafından Kanun’un 13’üncü maddesi ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 6’ncı maddesi çerçevesinde etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırılmadığı, zira veri sorumlusu tarafından ilgili kişinin 26/05/2021 tarihli başvurusuna cevaben iletilen 07/06/2021 tarihli e-postada ilgili kişinin Kanun’un 11’inci maddesi kapsamında yönelttiği bilgi taleplerinin tamamının cevaplanmadığı,
  • Dolayısıyla, veri sorumlusunun ileride kendisine yapılabilecek ilgili kişi başvurularını mevzuata uygun şekilde cevaplandırması hususunda talimatlandırılmasının yerinde olacağı

değerlendirmelerinden hareketle;

  • İlgili kişiye Avrupa Genel Veri Koruma Tüzüğü (GDPR) yükümlülükleri kapsamında bir bilgilendirme yapılmış olmakla birlikte Türkiye’de işlediği kişisel veriler bakımından Kanun’un 10’uncu maddesine uygun olarak aydınlatma yükümlülüğünü yerine getirmesi konusunda özen gösterilmesi hususunda veri sorumlusuna hatırlatmada bulunulmasına,
  • Veri sorumlusu ile arasındaki iş ilişkisinden kaynaklanan uyuşmazlıkların çözümü için adli makamlar nezdinde girişimde bulunması gerektiği hususunda ilgili kişinin bilgilendirilmesine,
  • İlgili kişiler tarafından kendisine Kanun’un 11’inci ve 13’üncü maddeleri ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 5’inci maddesine istinaden yapılacak başvuruları Kanun’un 13’üncü maddesi ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 6’ncı maddesi çerçevesinde etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırması hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

02.12.2021: “İlgili kişi anne ve ilgili kişi sıfatını haiz çocuğunun fotoğrafları da kullanılmak suretiyle ilgili kişi hakkında gerçek dışı, şeref ve haysiyet kırıcı bir televizyon haberi yapıldığı iddiası”
Karar Tarihi : 02/12/2021
Karar No : 2021/1217
Konu Özeti : İlgili kişi anne ve ilgili kişi sıfatını haiz çocuğunun fotoğrafları da kullanılmak suretiyle ilgili kişi hakkında gerçek dışı, şeref ve haysiyet kırıcı bir televizyon haberi yapılması

Kuruma yapılan şikâyette özetle;

  • “Veri sorumlusu” ve “hizmet sağlayıcı” sıfatlarını haiz olan bir medya şirketinin televizyon kanalının Ana Haber programında ilgili kişi ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (6698 sayılı Kanun) hükümleri dâhilinde ilgili kişi sıfatını haiz çocuğunun fotoğrafları da kullanılmak suretiyle ilgili kişi anne hakkında gerçek dışı, şeref ve haysiyet kırıcı bir televizyon haberi yapıldığı, 
  • Söz konusu yayına ilişkin olarak medya şirketine yapılan başvuruda 6698 sayılı Kanun’un 11’inci maddesi uyarınca Ana Haber programında yer verilen kişisel verilerin yok edilmesinin, bu durumun kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesinin ve kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle uğranılan zararların giderilmesinin talep edildiği,
  • Başvuruya konu Ana Haber programında, ilgili kişinin ve çocuğunun fotoğrafları kullanılarak ilgili kişinin ilk evliliğinden bir oğlunun ve bir kızının olduğu, altı yıldır da başkası ile evli olduğu ve ilk evliliğinden olan oğlunun ilgili kişiyi bıçakladığı, bıçak darbelerinden birinin ilgili kişinin kalbine geldiği, ilgili kişinin yaşam savaşı verdiği, cani evladın ise tutuklandığı ifadelerini içeren yayının yapıldığı,
  • İlgili kişinin habere konu olayın geçtiği ilde ikamet etmediği, eşinden de boşanmadığı, ayrıca bıçaklanmasının da söz konusu olmadığı, dolayısıyla habere konu olayın da ilgili kişi ve çocuğu hakkında olmadığı, gerçeğe aykırı haber yapılırken ilgili kişinin Facebook sayfasından alınan fotoğrafın amacı dışında kullanılmasının ve yayılmasının hukuka açıkça aykırı olduğu,
  • Hukuka aykırı olarak kullanılan fotoğrafla yapılan haber nedeniyle 5237 sayılı Türk Ceza Kanunu’nun 132 ila 138’inci maddelerinde düzenlenen suçların işlendiğinden bahisle Cumhuriyet Başsavcılığına suç duyurusunda bulunulduğu,
  • Konuya ilişkin olarak medya şirketine yapılan başvuruya rağmen otuz günlük yasal süre içerisinde hukuka aykırılığın giderilmediği, başvuruculara da bilgi verilmediği

hususları bildirilmiş olup; kişisel veri niteliğindeki fotoğrafın ve kimlik bilgilerinin kullanılması, yayılması ve ifşa edilmesi suretiyle 6698 sayılı Kanun’a aykırı hareket edildiğinden bahisle ilgili kişi tarafından bahsi geçen kişisel verilerin imha edilmesi, uğranılan zararların giderilmesi, ayrıca medya şirketi hakkında idari ve cezai yaptırım uygulanmasına karar verilmesi talep edilmiştir. 

Yapılan şikâyete istinaden başlatılan inceleme çerçevesinde medya şirketinden savunması istenilmiş olup, verilen cevapta özetle;

  • Kendilerinin 6112 sayılı Radyo ve Televizyonların Kuruluş ve Yayın Hizmetleri Hakkında Kanun (6112 sayılı Kanun) kapsamında kurulmuş, özel televizyon yayıncılığı alanında faaliyet gösteren, yayınları ve faaliyetleri 6112 sayılı Kanun’da belirlenen kurallara, yayın ilkelerine ve Radyo ve Televizyon Üst Kurulu (RTÜK) denetimine tabi bir şirket oldukları,
  • Yayınlanan haberlere ilişkin düzeltme ve cevap metinlerinin 6112 sayılı Kanun’un “Düzeltme ve cevap hakkı” başlıklı 18’inci maddesi uyarınca değerlendirildiği, gerçek ve tüzel kişiler tarafından iletilen metinde düzeltme yapılması gerekirse ya da hukuken geçerli bir talep olmadığı kanaatine varılırsa yayın kuruluşunun metni yayınlamak zorunda olmadığı, bu durumda ilgilisinin yayın için gerekli sürenin bitiminden sonra süresi içerisinde görevli yargı merciine başvuracağı ve yayıncı kuruluşun ancak hakkında alınan cevap ve düzeltme metninin yayınına dair kesinleşmiş yargı kararından itibaren yedi gün içinde kararın gereğini yerine getirmek zorunda olduğu, aksinin RTÜK denetimi ve yaptırımı sonucunu doğuracağı,
  • 6112 sayılı Kanun’un ilgili hükümleri gereğince yayınlanmasına kesin olarak karar verilmiş olan cevap ve düzeltme metninin yayınlanmaması halinde yayın kuruluşlarına RTÜK tarafından idari yaptırım uygulandığı,
  • 6112 sayılı Kanun’un 18’inci maddesi uyarınca ihtarname üzerine cevap ve düzeltme metninin yayınlanmasının zorunlu olmadığı, aynı zamanda ilgili kişilerin ihtarname düzenlenmeksizin doğrudan genel yargı yoluna müracaat ederek bu haklarını kullanmalarının da mümkün olduğu, bu konuda esas yetkinin genel yargıda olduğu,
  • Dosya kapsamında medya kuruluşuna çekilen ihtarname ekinde yer alan cevap ve düzeltme metninin yetkililerince incelendiği, metnin toplumu yanıltacak şekilde düzenlendiği kanaatine varılmasından ve 6112 sayılı Kanun gereğince metin üzerinde değişiklik yapılamayacağından dolayı yayınlanmaması kararının alındığı,
  • Cevap ve düzeltme metninin yayınlanmamasına dair kararın hukuki gerekçelerinin bulunduğu, zira haberin içeriğinin DHA, İHA ve AA gibi ajanslardan alınan bilgiler ile olay yerinde ve çevresinde yapılan araştırma ve röportajlara dayandığı, tüm açılardan bakıldığında haber içeriğinin somut gerçeğe uygun olduğunun ve o aşamada yapılabilecek bir araştırmanın da bulunmadığının anlaşıldığı,
  • Haber içeriğinde ne mağdur kadının ne de başka herhangi bir şahsın şeref ve haysiyetine veya kişilik haklarına saldırı teşkil edecek bir ifade veya yorumda bulunulmadığı, hatta haber ajanslarının mağdur kadın hakkında verdikleri detaylara dahi haberde yer verilmediği,
  • Haberi yayınlayan muhabirin olay yerine gidip ilgililerle ve faili yakalayan emniyet mensuplarıyla görüştüğü, mağdur kadının eşi de dâhil olmak üzere görüşülen kişilerden alınan bilgi ve teyit üzerine yayınlanan haberde ilgili kişiye ve çocuğuna ait olduğu bildirilen fotoğrafların tamamen yüzleri kapatılarak izleyicilere sunulduğu,
  • Haberde ilgili kişinin eşinin ve çocuğunun adlarının hiç geçmediği, ilgili kişi ile habere konu mağdur kadının isim ve soy isim benzerliği ile bilginin olay hakkında görüşülen emniyet mensuplarından alınması ve fotoğrafın teyidi karşısında esasen bu konuda kendilerine atfedilebilir bir kusurun bulunmadığı,
  • Kendilerine iletilen Kurum yazısında özetlenen şikâyet dilekçesi kapsamında haberdeki fotoğrafın herkese açık olduğu anlaşılan Facebook sayfasında yer aldığının ifade edildiği, bu yüzden söz konusu fotoğrafın kanuna aykırı bir şekilde elde edilmediğinin veya gizli bir veri olmadığının açık olduğu, kaldı ki fotoğrafların tamamen kapatılarak yayınlandığı, 
  • Mağdur kadının eşinin belki benzerlikten dolayı belki de olayın şoku ile kendisine gösterilen ve onaylaması üzerine haberde kullanılan fotoğrafın mağdura ait olduğunu teyit ettiği, buna rağmen gerek annenin gerekse oğlunun yüzlerinin tamamen kapatılarak yayınlandığı,
  • Orta düzeyde bir izleyicinin haberde yer alan fotoğraftaki kişinin talepte bulunan kişiye ait olduğunu anlamasının mümkün olmadığı, ayrıca olayın ilgili kişilerin ikamet etmedikleri bir ilde gerçekleşmiş olmasından ve olayın failinin açık kimliğinin ve görüntülerinin de haberde yer almasından dolayı şikâyetçilerin habere konu kişiler olduğu sonucuna varılamayacağının açık olduğu,
  • Bir an için haberde yer alan fotoğrafın talepte bulunana ait olduğu sadece kendisini tanıyanlar tarafından anlaşılsa dahi bunun isim benzerliğine dayanan bir hatadan kaynaklandığının da hemen anlaşılacağı, nitekim mezkûr olayın gerçekleştiği yerin açık bir şekilde haberde yer aldığı ve fotoğrafların blurlanmış/buzlanmış şekilde yayında gösterildiği, 
  • Haberin içeriğinde yer verilen hiçbir unsurun şikâyetçilerin şeref ve haysiyetini ihlal eder nitelikte olmadığı, habere konu olayın tamamen gerçek olduğu, haberdeki tek hatanın mağdur kadının ismi ile olan benzerlik nedeniyle ilgili kişinin isminin bir kez haberde yer alması ve bu isimle muhabirlerine verilen fotoğrafların yüzleri tamamen kapatılarak haberde yer alması olduğu, 
  • Dolayısıyla, şikâyetçilerce “medya şirketi tarafından yalan ve yanlış bir haber yayınlanmış, olayın gerçekleştiği ilde bir oğul annesini bıçaklamamış gibi” hazırlanan cevap ve düzeltme metni üzerinde herhangi bir düzeltme yapılmasına imkân bulunmadığından yasal yollar tüketilmeden gönderilen metnin yayınlanmaması kararı alınmasının tamamen haklı ve hukuka uygun olduğu,
  • Ancak şikâyetçinin RTÜK yerine doğrudan genel yargı yoluna başvurduğu ve mahkeme kararı üzerine süresi içerisinde cevap ve düzeltme metnini yayınladıkları, bu noktada Kişisel Verileri Koruma Kuruluna (Kurul) şikâyetin cevap ve düzeltme metninin yayınlanmasından sonra yapıldığının dikkat çekici olduğu,
  • Cevap ve düzeltme metninin yayınlanmasıyla birlikte haber yayınındaki verilere ilişkin hatanın düzeltildiği ve bu düzeltmenin üçüncü kişilere yani ilk yayının ulaştığı izleyicilere bildiriminin tamamlandığının vakıa olduğu, 
  • Yayın kayıtlarını silmelerinin, yok etmelerinin veya üzerinde düzeltme yapmalarının tabi oldukları 6112 sayılı Kanun kapsamında mümkün olmadığı, zira 6112 sayılı Kanun’un “Yayın kayıtlarının muhafazası” başlıklı 25’inci maddesi gereğince yaptıkları her yayının kaydını bir yıl süreyle muhafaza etmekle yükümlü oldukları, 
  • Bu bakımdan haberdeki yüzleri kapatılmış fotoğrafın ve sadece bir kez geçen ismin silinmesine yönelik talebin kabulünün 6112 sayılı Kanun kapsamında bir yıldan önce mümkün olmadığı, ayrıca 6112 sayılı Kanun’un “Yayın kayıtlarının muhafazası” başlıklı 25’inci maddesinin son fıkrasında da “Yayının herhangi bir şekilde soruşturma veya kovuşturma konusu yapılması halinde, bu işlemlerin sonuçlandığının yetkili mercilerce ilgili medya hizmet sağlayıcı kuruluşa yazılı olarak bildirilmesine kadar soruşturma veya kovuşturma konusu yayın kaydının saklanması zorunludur.” denildiği,
  • 6698 sayılı Kanun’un “İstisnalar” başlıklı 28’inci maddesinin (1) numaralı fıkrasında yazılı basın ve televizyon faaliyetlerini de içine alan ifade özgürlüğü kapsamında kişisel verilerin işlenmesinin 6698 sayılı Kanun hükümlerinin uygulanması hususunda tam bir istisna hali olarak düzenlendiği,
  • Anayasa’nın 26’ncı maddesinin de “Herkes, düşünce ve kanaatlerini söz, yazı, resim veya başka yollarla tek başına veya toplu olarak açıklama ve yayma hakkına sahiptir. Bu hürriyet Resmî makamların müdahalesi olmaksızın haber veya fikir almak ya da vermek serbestliğini de kapsar. (…) Bu hürriyetlerin kullanılması, millî güvenlik, kamu düzeni, (…), başkalarının şöhret veya haklarının, özel ve aile hayatlarının yahut kanunun öngördüğü meslek sırlarının korunması veya yargılama görevinin gereğine uygun olarak yerine getirilmesi amaçlarıyla sınırlanabilir.” hükmünü içerdiği,
  • Haber bültenlerinin kuşkusuz 6698 sayılı Kanun’un 28’inci maddesinde sayılan istisna kapsamına girdikleri, bu bakımdan yayınlanan haberin Anayasa’nın 26’ncı maddesi uyarınca güvence altına alınan “basın hürriyeti” ve “kamunun haber alma hakkı” kapsamında değerlendirilmesi gerektiği,
  • İfade özgürlüğü ve basın hürriyetinin değerlendirmesi yapılırken ifade özgürlüğünü ve basın hürriyetini düzenleyen Anayasa’nın ilgili maddelerinin, taraf olduğumuz uluslararası sözleşmelerin, basın özgürlüğünün sınırlarına ilişkin Avrupa İnsan Hakları Mahkemesinin (“AİHM”) yerleşik içtihatlarının ve kriterlerinin dikkate alınmasının zorunlu olduğu, 
  • Yargıtay ve doktrinde istikrar bulmuş görüşler uyarınca bir haberin ifade özgürlüğü kapsamında haber niteliği taşıyabilmesinin belirli bazı koşullara bağlı olduğu, bunların “haberin (1) gerçek olması, (2) güncel olması, (3) verilişinde kamusal ilgi ve yararın bulunması, (4) düşünce ve ifade arasında düşünsel bağ bulunması” şeklinde belirlendiği, Kurulun 22/05/2020 tarihli ve 2020/414 sayılı kararında da 6698 sayılı Kanun’un 28’inci maddesinde istisna olarak kabul edilen ifade özgürlüğünün bir yansıması olan basın özgürlüğü ile kişilik hakları karşı karşıya geldiğinde “haberin; kamu ilgi ve yararı taşıması, gerçek ve güncel olması, özü ile biçimi arasındaki denge” kriterleri kapsamında değerlendirilmesi suretiyle hangi hakka üstünlük tanınması gerektiğinin belirlenmesinin önem arz ettiğinin vurgulandığı,
  • Kurulun 23/06/2020 tarihli ve 2020/481 sayılı kararında basın özgürlüğü ve toplumun bilgiye ulaşma hakkının önemine vurgu yapılarak yarışan haklar arasındaki dengenin somut olay özelinde değerlendirilmesi gerektiğinin belirtildiği,
  • Keza Yargıtay 4. Hukuk Dairesinin 2016/5516 E., 2016/8275 K. ve 23/06/2016 tarihli kararında da basın özgürlüğü ile kişilik hakları çatışmasında izlenecek yol ve kriterler belirlenirken kamusal yarar kapsamında basın özgürlüğüne üstünlük tanınması gerekeceğinin “(…) O anda ve görünürde var olup da sonradan gerçek olmadığı anlaşılan olayların yayınından da basın sorumlu tutulmamalıdır.” açıklamaları ile vurgulandığı,
  • Yine Yargıtay 4. Hukuk Dairesinin 17/05/1999 tarihli ve 2683 E., 4551 K. sayılı hükmünde de “Hukuka uygunluk nedenlerinde, korunan kişinin (o an için) korunmakta ya bir çıkarı yoktur ya da korunan çıkar karşısında yer alan ve onunla çatışan değer daha üstünlük taşımaktadır. Bunun sonucunda da, daha az üstün yarar, daha çok üstün olanı karşısında, hukuk düzenince çiğnenmesi uygun görülmektedir. Böylece ya ‘çıkar eksikliği veya yokluğuna dayanan hukuka uygunluk’ ya da ‘çıkar üstünlüğüne dayanan hukuka uygunluk’ söz konusu olmaktadır.” vurgusunun yapıldığı,
  • Avrupa Birliği Adalet Divanının (ABAD) bir kararında da, demokratik toplumda ifade özgürlüğünün önemli olduğunun, geniş yorumlanması gerektiğinin, kişisel verilerin korunması hakkı ile ifade özgürlüğü arasındaki dengede kişisel verilerin korunması hakkının istisnalarının ve sınırlamaların zaruri olduğu kadarının uygulanması gerektiğinin belirtildiği, bu bakımdan 6698 sayılı Kanun’un 28’inci maddesinde ifade özgürlüğüne tam istisna tanınmasında büyük bir isabet bulunduğu konusunda bir kuşkunun olmadığı,
  • Her ne kadar 6698 sayılı Kanun özel bir usulle ve idari yaptırımlar yoluyla kişisel verileri korumayı amaçlamakta ise de somut olay özelinde olduğu gibi 6112 sayılı Kanun, Türk Medeni Kanunu ve daha pek çok kanunda yer alan düzenlemelerin ilgili kişileri koruyucu hükümler ve yaptırımlar içerdiği, dolayısıyla 6698 sayılı Kanun’un 28’inci maddesi ile getirilen tam istisna nedeniyle kişilerin korumasız kaldığı sonucunun da doğmadığı,
  • Nitekim somut olayda şikâyetçilerin 6112 sayılı Kanun’un 18’inci maddesi uyarınca genel yargı yerine müracaat ettikleri ve verilen yargı kararıyla hatanın düzeltilmesini, bu şekilde de iddia olunan zararlarının giderilmesini temin ettikleri, 
  • Şikâyetçilerin lehlerine kesin karar almalarına karşın Kuruma aynı taleplerle şikâyette bulunmalarının hukuken himaye edilemeyeceği, yargıya müracaat ile taleplerini karşılamış olan şikâyetçilerin varsa başkaca hakları bunu yine genel yargı yoluna müracaat ile sağlamaları gerekirken yargı yerine Kurul eliyle kendilerine menfaat sağlamak istemelerinin yargı denetiminden kaçınılması ve hakkın kötüye kullanılması mahiyetinde olduğu,
  • 6698 sayılı Kanun özel bir usulle ve yaptırımlar yoluyla kişisel verileri korumayı amaçlamakta ise de 6112 sayılı Kanun’un da aynı amacı güden düzenlemeler içerdiği, kendilerinin yayınları üzerinde denetim yetkisinin de esasen özel yasa ile RTÜK’e verildiği ama cevap ve düzeltme metni yayınlanıp konu hakkında RTÜK’e bilgi verilmesine rağmen mezkûr yayın hakkında RTÜK tarafından herhangi bir işlem tesis edilmediği, bununla birlikte RTÜK’ün dahi zarar tazmini gibi maddi konuların genel yargı tarafından çözülmesi gerektiğini kabul ettiği ve bu tür müracaatlara bu gerekçelerle olumsuz cevap verdiği, 
  • Tüm açıklamaların ve sunulan kanıtların şikâyet konusu yayın hakkında genel yargı yoluna müracaat edildiğini ve şikâyetçilerin kendi haklarını koruyabilme imkânına sahip olduklarını gösterdiği, 
  • Detaylı olarak açıklandığı üzere, şikâyete konu haberinin içerik olarak tamamen gerçeğe uygun olduğu, ayrıca yayınlanmasında kamu yararı bulunan güncel bir olayın özle biçim arasındaki denge bozulmaksızın haber konusu edildiği, ne var ki emniyet kaynaklı ve isim benzerliğine dayalı bir hatanın -herkese açık bir yerden elde edilen fotoğraf haberde tamamen yüzleri kapatılarak yayınlanmış olsa da- şikâyete konu olduğu, ancak cevap ve düzeltme metninin yayınlanması ile hatanın telafi edildiğinin de vakıa olduğu, zira inceleme konusu açısından kişisel verilerin aktarıldığı üçüncü kişiler olan izleyicilere bildirimin yapıldığı ve uğranılan bir zarar varsa bunun da giderildiği,
  • Düzenlenen ihtarnamede her ne kadar 6698 sayılı Kanun’un 11’inci maddesi uyarınca kişisel verilerin yok edilmesi talep edilse de şikâyetçilerin kişisel veri olarak belirttiği hususlar ile haber kaydının en az bir yıl süreyle tutulmasının 6112 sayılı Kanun’un ilgili hükümleri nedeniyle zorunlu olduğu, dolayısıyla bu konudaki talebin yerine getirilmesinin şu an için mümkün olmadığı,
  • Görüleceği üzere, somut olayda genel bir kanun olan 6698 sayılı Kanun ile özel bir kanun olan 6112 sayılı Kanun arasında bir çatışmanın da söz konusu olduğu, ancak şikâyet konusu haber hakkında 6698 sayılı Kanun’un uygulama alanı bulamayacağı ve bu durumun da 6698 sayılı Kanun’un 28’inci maddesi ile getirilen tam istisnanın isabetinin bir kez daha tezahürü olarak kabul edilmesi gerektiği

ifade edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde, Kurulun 02/12/2021 tarihli ve 2021/1217 sayılı kararı ile;

  • 6698 sayılı Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde kişisel verinin: “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, ilgili kişinin; “Kişisel verisi işlenen gerçek kişi”, kişisel verilerin işlenmesinin; “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, veri sorumlusunun; “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlandığı,
  • Öte yandan, 6698 sayılı Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun hükme bağlandığı,
  • 6698 sayılı Kanun’un özel nitelikli kişisel verilerin işlenme şartlarının düzenlendiği 6’ncı maddesinin (1) numaralı fıkrasında özel nitelikli kişisel verilerin tanımlandığı, (2) numaralı fıkrasında özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğunun hüküm altın alındığı, (3) numaralı fıkrasında özel nitelikli kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenebileceği durumların sayıldığı, (4) numaralı fıkrasında ise özel nitelikli kişisel verilerin işlenmesinde Kurul tarafından belirlenen yeterli önlemlerin ayrıca alınmasının şart olduğunun ifade edildiği, 
  • Ayrıca, 6698 sayılı Kanun’un kişisel verilerin işlenmesine ilişkin “Genel ilkeler”i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmü yer almakta olup, bahsi geçen maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin “Hukuka ve dürüstlük kurallarına uygun olma”, “Doğru ve gerektiğinde güncel olma”, “Belirli, açık ve meşru amaçlar için işlenme”, “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ve “İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” olarak sayıldığı,
  • 6698 sayılı Kanun’un “İstisnalar” başlıklı 28’inci maddesinde ise 6698 sayılı Kanun’un hiçbir hükmünün uygulanmayacağı “tam istisna halleri” ile 6698 sayılı Kanun’un belli hükümlerinin uygulanmayacağı “kısmî istisna halleri”nin düzenlendiği,
  • Dosyaya sunulan bilgi ve belgeler, 6698 sayılı Kanun’un 1, 2, 3, 4, 5, 6 ve 8’inci madde hükümleri ışığında ele alındığında; ilgili kişinin isim ve soy isim bilgileri ile ilgili kişi ve çocuğuna ait bir fotoğrafın adı geçen kişilerin kimliklerini belirli veya belirlenebilir kılmaları nedeniyle “kişisel veri” niteliğini haiz olacakları, ayrıca ilgili kişinin isim ve soy isim bilgileri ile ilgili kişi ve 6698 sayılı Kanun hükümleri dâhilinde ilgili kişi sıfatını haiz olan ilgili kişinin çocuğuna ait fotoğrafın medya şirketi bünyesinde kayıt altına alma, depolama, yayınlama vb. fiillere konu edilmesinin 6698 sayılı Kanun uyarınca birer “kişisel veri işleme faaliyeti” teşkil edeceği, bahsi geçen kişisel veri işleme faaliyetlerini yürüten medya şirketinin 6698 sayılı Kanun önünde “veri sorumlusu” olacağı, bu durumda medya şirketi tarafından ilgili kişiler hakkında yürütülen kişisel veri işleme faaliyetlerinin 6698 sayılı Kanun’un 5’inci maddesinde yer alan şartlardan birine dayanarak ve 6698 sayılı Kanun’un 4’üncü maddesindeki genel ilkelere uygun şekilde yürütülmesinin gerekeceği konularında herhangi bir şüphenin bulunmadığı,
  • İlgili kişilere ait fotoğrafın medya şirketi tarafından blurlanmak/buzlanmak suretiyle yayınlanmış olmasının somut olayda blurlanan/buzlanan fotoğraf ile “isim ve soy isim” gibi başka bilgilerin birleştirilmesi/eşleştirilmesi halinde ilgili kişilerin kimliklerinin belirlenebilmesinin mümkün olmasından ötürü mezkûr fotoğrafın kişisel veri niteliğini ortadan kaldırmadığı, zira ilgili kişinin haberde paylaşılan isim ve soy isim bilgileri ile arama motorlarından ve/veya –dosya kapsamına sunulan bilgi ve belgelerde belirtildiği üzere- Facebook adlı sosyal medya platformundan arama yapıldığında bu fotoğrafın blurlanmamış/buzlanmamış versiyonuna da erişimin mümkün olduğu, 
  • İlgili kişilerin haberde kullanılan fotoğrafının herkese açık olduğu anlaşılan Facebook sayfasında yer almasının (diğer bir deyişle alenileştirilmiş olmasının), bu fotoğrafın amacı dışında kullanılabilmesine cevaz vermeyeceği ve fotoğrafın işlenmesinin 6698 sayılı Kanun’da düzenlenen kişisel veri işleme şartlarına dayanması gerektiğinin açık olduğu, 6698 sayılı Kanun kapsamında “alenileştirme” kavramının, kişisel verinin herhangi bir şekilde kamuoyuna sunulmasından daha dar bir anlama sahip olduğu ve ilgili kişinin alenileştirme iradesi ve alenileştirme amacı ile yakın ilişki içerisinde bulunduğu,
  • Tüm bunların yanı sıra; 6698 sayılı Kanun’un “İstisnalar” başlıklı 28’inci maddesinin (1) numaralı fıkrasının (c) bendinde 6698 sayılı Kanun hükümlerinin “Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi” halinde uygulanmayacağının düzenlendiği, dolayısıyla inceleme konusu şikâyete esas haberden ibaret olan yayın faaliyetinin mezkûr hükmün kapsamına girip girmediğinin öncelikle değerlendirilmesi gerektiği, 
  • 6698 sayılı Kanun’un 28’inci maddesinin (1) numaralı fıkrasının (c) bendi düzenlemesinin kişisel verilerin işlendiği ve ifade özgürlüğü ile özel hayatın gizliliğinin veya kişilik haklarının çatıştığı hallerde haklar arasında bir denge testinin yapılmasını gerektirdiği ve sadece -yapılacak denge testinin ardından - çatışan haklar bakımından özel hayatın gizliliğinin veya kişilik haklarının ifade özgürlüğüne üstün geldiğinin anlaşıldığı durumların 6698 sayılı Kanun hükümlerine göre incelenip değerlendirilebileceği,
  • Bu çerçevede, Kurulun 22/05/2020 tarihli ve 2020/414 sayılı kararında da belirtildiği üzere, ifade özgürlüğünün bir yansıması olan basın özgürlüğü ile kişilik hakları karşı karşıya geldiğinde haberin; a) Kamu ilgi ve yararı taşıması, b) Gerçek ve güncel olması, c) Özü ile biçimi arasındaki denge, kriterleri kapsamında değerlendirilmesi suretiyle hangi hakka üstünlük tanınması gerektiğinin belirlenmesinin önem arz ettiği,
  • Haberin kamu ilgi ve yararı taşıyıp taşımadığının tespitinde, haberin kişilerin gereksiz merak duygularına mı yoksa yüksek ahlaki ve hukuki değerlerin korunmasına mı hizmet ettiğinin değerlendirilmesinin gerektiği,
  • Şikâyete esas haberin esasını oluşturan “bir gencin eşinden boşanıp bir başkası ile evlenen annesinin kapısına dayanarak onu kalbinden bıçakladığı” bilgisinin paylaşılmasında herhangi bir kamu ilgi ve/veya yararının bulunduğundan bahsedilemeyeceği, buna karşın kamuoyu nezdinde “üçüncü sayfa haberi” olarak bilinen bu tarz haberlerin basında sıklıkla yer aldığı dikkate alındığında inceleme konusu haberin “haberin kamu ilgi ve yararı taşıyıp taşımadığı” kriteri kapsamındaki durumunun tartışmalı olduğu sonucuna ulaşıldığı,
  • Haberin gerçek ve güncel olması kapsamında; gerçekliğin habere konu edilen olayın gerçek olması anlamına geldiği, ancak yerleşik yargı kararlarında gerçeklikten maddi gerçekliğin değil görünürdeki gerçekliğin anlaşılması gerektiği ve görünürdeki gerçekliğe uygun olarak yapılan haberlerden ötürü basının sorumlu tutulmamasının ihtimal dâhilinde olduğunun kabul edildiği,
  • Bahsi geçen “maddi gerçeklik” kavramının haber konusu olayın haberde zikredildiği şekliyle gerçekleşip gerçekleşmediğini nitelemekte olduğu, “görünürdeki gerçeklik” kavramının ise haberin verildiği anda ve görünürde var olan olgulara uygunluğunu ifade ettiği,
  • Diğer taraftan, bir haberin maddi gerçekliğe veya görünürdeki gerçekliğe uygun olup olmadığı konusunda bir değerlendirme yapılmadan önce, o habere konu bilgilerin gerçeğe uygun olup olmadığının araştırılması hususunda ilgili basın kuruluşu tarafından gereken her türlü dikkat ve özenin gösterilip gösterilmediğinin ele alınması gerektiği,
  • Zira haber yapılmadan önce ilgili basın kuruluşunca gereken her türlü dikkat ve özen gösterilmemişse, orada artık maddi gerçeklik veya görünürdeki gerçeklik tartışması yapılmasının herhangi bir fayda sağlamayacağı,
  • İnceleme konusu haber bu bilgiler ışığında ele alındığında; haberin dayandırıldığı olay örgüsünün gerçek olduğu ama bir bütün olarak bakıldığında haberin doğru/gerçek olmadığı, zira haberde mağdurun adının yanlış aktarıldığı ve olayla alakasız bir kişi konumunda olan ilgili kişinin çocuğu ile birlikte olduğu bir fotoğrafının blurlanarak/buzlanarak da olsa kullanıldığı, bunun da yapılan haber yayınlanmadan önce medya şirketi tarafından haber içeriğindeki unsurlarının doğruluğuna ilişkin gereken her türlü dikkat ve özenin gösterilmediğine işaret ettiği,
  • Medya şirketi “haberin içeriğinin DHA, İHA ve AA gibi ajanslardan alınan bilgiler ile olay yerinde ve çevresinde yapılan araştırma ve röportajlara dayandığı, tüm açılardan bakıldığında haber içeriğinin somut gerçeğe uygun olduğu ve o aşamada yapılabilecek bir araştırmanın da bulunmadığı” yönünde bir savunma yapmış olsa da, yine medya şirketi tarafından Kuruma iletilen ve yapılan haberin kaynağı olarak gösterilen (İHA ve DHA haber ajanslarına ait) haberlerde mağdur kadının isminin doğru bir şekilde yazılmış olduğunun görüldüğü, 
  • Dolayısıyla, medya şirketince dikkatli ve özenli bir şekilde haber yapılmış olsa idi yapılan isim yanlışlığının en azından haberde görüntülerine yer verilen mağdur kadının eşinden teyit edilmek suretiyle düzeltilebileceğinin rahatlıkla söylenebileceği,
  • Medya şirketi “mağdur kadının eşinin belki benzerlikten dolayı belki de olayın şoku ile kendisine gösterilen ve onaylaması üzerine haberde kullanılan fotoğrafın mağdura ait olduğunu teyit ettiği” yönünde bir savunma beyanında bulunmuş olsa da bu beyanın tevsik edici herhangi bir belge ile desteklenemediği, böyle bir eksikliğin ise medya şirketinin söz konusu beyanının salt olarak sorumluluktan kurtulmak amacıyla ortaya atılmış olabileceği izlenimini uyandırdığı,
  • Zira medya şirketinin savunmasında bahsedildiği gibi bir “onay” işleminin mevcut olması durumunda, bahsi geçen onay işlemin işini dikkatli ve özenli yapan bir basın kuruluşu tarafından yazılı ve/veya görüntülü olarak kayıt altına alınmasının hayatın olağan akışına uygun olacağı ve haberin yapımı ve yayınlanması sürecini sekteye uğratacak ek bir külfet de getirmeyeceği,
  • Öte yandan, “haberin güncel olması” kriterinin somut olayın açıklandığı tarihlerde kamu yararının bulunması esasına dayandığı, üzerinden süre geçmiş ve açıklanmasında artık kamu yararı bulunmayan bir olayın yayınlanmasında haber verme hakkından söz edilemeyeceğinin ve kişilik hakkına üstünlük tanınması gerekeceğinin savunulabileceği,
  • Bu kapsamda, somut olayda habere konu olayın haberleştirilmesinde kamu yararının bulunup bulunmadığının tartışmalı olduğu düşünülse de, habere konu olayın gerçekleşme tarihi ile haberin veriliş tarihi göz önüne alındığında haberin güncel olduğunun söylenebileceği,
  • Biçim ve öz arasındaki denge kriteri açısından; kullanılacak dil ve ifade ile yapılacak niteleme ve vurgunun haberin gerektirdiği biçim ve ölçü çerçevesinde kalmasının gerektiği (diğer bir deyişle, haberde kullanılan dil, ifade, resim/şekil/tablo ve fotoğrafların haberin veriliş biçiminin gerektirdiği ölçüde olması gerektiği),
  • Haber verilirken gerekli, yararlı ve ilgili olmayan içeriklerin kullanılmasının kişilik haklarına ölçüsüz müdahale anlamına gelebileceği, bu yüzden inceleme konusu haberin verilişinin –kullanılan fotoğrafların blurlanmış/buzlanmış olması nedeniyle- ölçülü olduğunun ilk bakışta savunulabileceği,
  • Ancak ilgili kişinin isim ve soy isim bilgisinin haber içeriğinde zikredilmesi ve bu isim-soy isim bilgileri kullanılarak fotoğrafların açık kaynaklardan teyit edilebilmesinin mümkün olması sebepleriyle, yapılan haberin biçimi ile özü arasında makul bir dengenin bulunmadığının, diğer bir ifadeyle haberin ölçüsüz olduğunun kabul edilmesi gerektiği, ayrıca haberin biçimi açısından anılan fotoğrafların blurlanmış/buzlanmış şekilde de olsa ekrana yansıtılmasının gerekli olmadığının da savunulabileceği,
  • Yayınlanan bir haber kapsamında çatışan haklar konumundaki ifade özgürlüğü ile kişilik hakkı arasında yapılan denge testi neticesinde ifade özgürlüğüne öncelik tanınabilmesi için zikredilen üç kriterin de aynı anda karşılanmasının gerektiği, ancak inceleme konusu şikâyetin dayandığı haber bakımından bahsi geçen kriterlerin tamamını karşılanmadığı,
  • Bu yüzden, veri sorumlusu tarafından ilgili kişi ile çocuğuna ait bilgiler ve fotoğraf da kullanılarak yapılan haberin 6698 sayılı Kanun’un 28’inci maddesinin (1) numaralı fıkrasının (c) bendi uyarınca 6698 sayılı Kanun hükümlerinden istisna tutulamayacağı,
  • Veri sorumlu medya şirketinin ilgili kişiler hakkında yürüttüğü kişisel veri işleme faaliyetinin 6698 sayılı Kanun’un 28’inci maddesinin (1) numaralı fıkrasının (c) bendi uyarınca 6698 sayılı Kanun hükümlerinden istisna tutulamamasından ötürü söz konusu kişisel veri işleme faaliyetinin 6698 sayılı Kanun hükümlerine uygun olması gerektiği,
  • Bununla birlikte, somut olayda veri sorumlusu tarafından ilgili kişiler hakkında yürütülen kişisel veri işleme faaliyetleri için 6698 sayılı Kanun’da düzenlenen herhangi bir hukuki sebebe dayanılmadığının görüldüğü, bu durumun ise mezkûr kişisel veri işleme faaliyetini hukuka aykırı hale getirdiği,
  • 6698 sayılı Kanun’un “Kurula şikayet” başlıklı 14’üncü maddesinin (3) numaralı fıkrasındaki “Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır.” hükmü, 6698 sayılı Kanun’un “Şikayet üzerine veya resen incelemenin usul ve esasları” başlıklı 15’inci maddesindeki “(…) 1/11/1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesinde belirtilen şartları taşımayan ihbar veya şikayetler incelemeye alınmaz. (…)” hükmü ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun’un “İncelenemeyecek dilekçeler” başlıklı 6’ncı maddesindeki “Türkiye Büyük Millet Meclisine veya yetkili makamlara verilen veya gönderilen dilekçelerden; (…) b) Yargı mercilerinin görevine giren konularla ilgili olanlar, (…), incelenemezler.” düzenlemesi gereğince, ilgili kişilerin yargı mercilerinin görev alanına giren veri sorumlusundan tazminat talepleri konusunda Kurul tarafından yapılabilecek herhangi bir işlemin bulunmadığı, 
  • İnceleme konusu habere ilişkin olarak, bir yargı kararına istinaden veri sorumlusu tarafından süresi içerisinde cevap ve düzeltme metninin yayınlanması suretiyle yayının ilk ulaştığı izleyicilere haberde yapılan hata hakkında bildirimde bulunulmuş olmasının veri sorumlusu tarafından yürütülen hukuka aykırı kişisel veri işleme faaliyetini ortadan kaldırmayacağı,
  • İlgili kişiler tarafından Kurula yapılan şikâyetin, mahkeme kararına istinaden bir cevap ve düzeltme metninin yayınlanmasından sonra yapılmış olmasının konuya ilişkin olarak 6698 sayılı Kanun hükümleri uyarınca yapılacak müstakil değerlendirmeleri etkilemeyeceği

değerlendirmelerinden hareketle;

  • Mevcut tüm bilgi ve belgeler itibarıyla, ilgili kişilere ait kişisel verilerin veri sorumlusunca herhangi bir işleme şartına dayanmadan işlendiği, bu hususun ise veri güvenliğine ilişkin yükümlülüklerin düzenlendiği 6698 sayılı Kanun’un 12’nci maddesinin (1) numaralı fıkrasının (a) bendinde yer alan “Veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmüne aykırılık teşkil ettiği kanaatine varıldığından, veri sorumlusu hakkında 6698 sayılı Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 300.000 TL idari para cezası uygulanmasına,
  • Veri sorumlularınca hukuka aykırı kişisel veri işleme faaliyetinde bulunulduğundan bahisle ilgili kişiler tarafından öne sürülebilecek maddi ve/veya manevi tazminat talepleri için adli makamlar nezdinde girişimde bulunulabileceği konusunda ilgili kişilerin bilgilendirilmesine

karar verilmiştir.

02.12.2021: “Bir üniversite tarafından verilen eğitimde, eğitim alan kişilerin kişisel verilerini içeren yoklama listesinin diğer katılımcılar tarafından görülebilir şekilde düzenlenmesi”
Karar Tarihi : 02/12/2021
Karar No : 2021/1214
Konu Özeti : Bir üniversite tarafından verilen eğitimde eğitim alan kişilerin kişisel verilerini içeren yoklama listesinin diğer katılımcılar tarafından görülebilir şekilde düzenlenmesi

Kuruma intikal eden şikâyet dilekçesinde özetle; ilgili kişinin Bakanlık tarafından eğitim verilmesi için görevlendirilen bir Üniversite Eğitim Merkezinin  eğitim programına katıldığı, eğitim süresince kursiyerlerin isimlerinin ve T.C. kimlik numaralarının yer aldığı yoklama listelerinin elden elde dolaştırılarak imzalandığı, ayrıca Üniversite ve Bakanlık tarafından kişisel verilerin işlenmesine dair ilgili kişiye aydınlatma yapılmadığı, konuyla ilgili Bakanlığa ve Üniversiteye ayrı ayrı başvuruda bulunduğu, Bakanlığın başvuruya cevap vermediği, Üniversitenin cevabında ise yoklama listelerinin Bakanlık tarafından hazırlandığı ve imza alınmasının  yükümlülükleri olduğunun ifade edildiği belirtilerek veri sorumlusu Bakanlık ve Üniversite hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gerekli idari yaptırımların uygulanması talep edilmiştir. 

Şikâyete ilişkin başlatılan inceleme çerçevesinde Bakanlıktan ve Üniversiteden konuya ilişkin bilgi ve belge talep edilmiş olup Bakanlık tarafından verilen cevapta özetle;

  • …… olarak görevlendirilecek kişilerin görevlerine başlamadan önce eğitim almalarının ve görev yaptıkları sürece eğitime tabi tutulmalarının sağlanacağının ilgili mevzuatta hüküm altına alındığı, şikâyet konusu olan eğitimin, üniversiteler tarafından verildiği, Bakanlık Genel Müdürlüğünün şartları haiz eğitim kuruluşlarına mevzuat uyarınca eğitim izni verdiği, dolayısıyla eğitim faaliyeti ve eğitimin düzenine ilişkin hususların eğitim kuruluşları tarafından yerine getirildiği, Bakanlık ile eğitim kuruluşları arasındaki ilişkinin ilgili yönetmelik hükümleri ile belirlendiği, 
  • Konuya ilişkin mevzuatta ancak eğitimini tamamlayanların mesleki sicile kayıt olabilmeleri için yazılı sınavda başarılı olmaları gerektiğinin düzenlendiği,
  • Eğitimlerinin etkin ve mevzuata uygun bir şekilde gerçekleştirilmesinin sağlanması amacıyla, ilgili mevzuat kapsamında, eğitim programlarının takibi, koordinasyonu ve denetimi için eğitim yönetim sistemi adlı bir yönetim paneli oluşturulduğu, eğitim kuruluşlarının, eğitimlerini mevzuatın gerektirdiği yükümlülüklere uygun bir şekilde gerçekleştirmek durumunda olduğu,
  • Bakanlığın söz konusu hususa ilişkin olarak, veri sorumlusu sıfatı ile sorumluluğunun bulunmadığı,
  • İlgili Yönetmelik kapsamında eğitime katılanların, belgeye dayalı ve eğitim kuruluşlarınca kabul edilen haklı bir mazeretleri olmadıkça eğitim süresince verilen ders ve çalışmalara katılımlarının zorunlu olduğu ve adayın eğitimi başarıyla tamamlamasının, mevzuatta öngörülen sürede eğitime katılmış olması şartını sağlamasına bağlı olduğu,
  • Eğitiminin başarıyla tamamlanmasının, sınav ve sicile kayıt başvurusu için bir ön şart olduğu, 
  • Sınav başvurusu ve şekline ilişkin usul ve esasların düzenlendiği Yönetmeliğin ilgili maddesi uyarınca ilgililer tarafından sınav müracaatında bulunulurken başvuruya T.C. kimlik numarası ve eğitimini tamamladığını gösteren katılım belgesi ile mezuniyet belgesi asılları veya onaylı suretlerinin eklenmesi gerektiğinin hüküm altına alındığı, bu çerçevede ilgilinin yazılı sınava girebilme hakkını taşıyıp taşımadığının Bakanlık tarafından incelendiği, başka bir ifade ile sınav başvurusunun adayın eğitimini başarıyla tamamlayıp tamamlamadığı ve öğrenim yönünden sınava girebilme şartlarını haiz olup olmadığı açısından değerlendirildiği,
  • Katılım belgesinin ise eğitimlerini başarı ile tamamlayan kişilere, eğitim kuruluşları tarafından düzenlenerek verildiği, Bakanlık tarafından, adayın, eğitimini başarıyla tamamlayıp tamamlamadığının ibraz ettiği bu katılım belgesi incelenerek denetlendiği, devam zorunluluğunu takip etme, aksi durumda eğitim programı ile ilişiğini kesme yükümlülüğünün ise Bakanlığa değil, eğitim kuruluşuna ait olduğu, bu nedenle ilgili mevzuat kapsamında adayların derslere devam durumunu gösteren çizelgenin eğitim kuruluşlarınca düzenlenmesi gerektiğinin hüküm altına alındığı,
  • Bakanlık tarafından sınava ve sicile başvuru esnasında devam çizelgesinin değil katılım belgesinin denetlendiği, ileride adayın devam durumuna ilişkin bir itirazının bulunması veya Bakanlığın aleyhine dava açılması ihtimallerine binaen, devam çizelgesinin bir örneğinin Bakanlığa gönderildiği, aslının ise eğitim kuruluşunda saklandığı, dolayısıyla devam çizelgesinin, sınav ve sicil başvurusu esnasında adayın eğitimini başarıyla tamamladığını gösteren ve Bakanlık tarafından incelemesi yapılan katılım belgesine dayanak teşkil eden bir belge niteliğinde olduğu,
  • Diğer yandan, ilgili kişinin Eğitim Merkezinin ilgili eğitim biriminin yoklama listelerini Bakanlık tarafından hazırlanan sistemden aldığı yönünde cevap verdiğine ilişkin beyanıyla ilgili olarak ise; Bakanlık tarafından eğitim kuruluşlarına adaylara ilişkin devam çizelgelerinin T.C. kimlik numaralarıyla birlikte imzalatılması ve sonrasında Bakanlığa gönderilmesi yönünde bir bildirimde bulunulmadığı gibi, hali hazırda devam çizelgesi hazırlama yükümlülüğünün de eğitim kuruluşunda olduğu,  eğitim yönetim sistemi panelinde çıkan listede yer alan T.C. kimlik numaralarına, bir grupta aynı ad ve soyadında birden fazla adayın bulunması halinde çıkabilecek ihtilafın önlenmesi amacıyla yer verildiği, eğitim kuruluşlarının ilgili mevzuatta öngörülen devam çizelgesini düzenlemeyip, eğitim yönetim sisteminde yer alan listeyi kullanmak istemesi durumunda ise çizelgeyi, gerekirse T.C. kimlik numaralarını çıkartmak veya elden ele dolaştırmayarak, adayın eğitmenin yanına gelerek imzasını atmasını sağlamak gibi yöntemlerle ikmal edebileceğinin izahtan vareste olduğu,
  • Öte yandan, ilgili kişinin Bakanlığa yaptığı başvurusuna Bakanlık tarafından cevap verildiği, ilgili kişinin başvurusuna cevap verilmediğine yönelik iddiasının gerçeği yansıtmadığı

ifade edilmiştir.

Üniversite tarafından verilen cevapta ise özetle;

  • Merkez bünyesinde eğitim alan katılımcıların kişisel verilerinin, Kanun’un 5’inci maddesinin (1) ve (2) numaralı fıkralarında yer alan maddelere dayanılarak işlendiği, 
  • Kişisel Verilerin Korunması Kanunu’nun 10’uncu maddesi ve tebliğ hükümleri gereğince kişisel verilerin işlenmesi sürecine ilişkin olarak, Sürekli Eğitim Merkezinde eğitim öncesinde diğer tüm katılımcılar gibi ilgili kişiyle de, Sözleşme imzalandığı, ilgili mevzuat çerçevesinde katılımcıların devam durumlarını takip etmek üzere yoklama alma zorunluluğu bulunduğu, katılımcıların bu hususları kabul ederek eğitime katıldığı,
  • Yoklama listelerinin tamamının sınıf içerisinde ve her bir dersin sorumlu öğretim elemanının kontrolünde katılımcılara imzalatıldığı, yoklama listelerinin imzalatılmasının katılımcıların eğitime devam durumlarının kayıt altına alınabilmesi için kendilerinin hukuki yükümlülüğü olduğu,
  • Kişisel Verilerin Korunması Kanunu'nun 12’nci maddesi çerçevesinde Merkezin söz konusu eğitime ve katılımcılarına ilişkin bilgi ve belgeleri belirli yöntemlerle topladığı, uhdesinde güvenli olarak sakladığı ve Bakanlık dışında hiçbir şekilde üçüncü kişilerle paylaşmadığı

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulu’nun 02/12/2021 tarihli ve 2021/1214 sayılı Kararı ile;

  • Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde veri sorumlusu ve veri işleyen tanımlarına yer verilmekte olup “veri sorumlusu”nun kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlandığı, 
  • Şikâyete konu olan eğitimin, üniversiteler tarafından verilebildiği ve bu eğitimin verilmesi sürecinde Bakanlığın izin, takip, koordinasyon ve denetim yönünden yetkili olduğu, eğitim faaliyeti ve eğitimin düzenine ilişkin hususların ise izin verilen eğitim kuruluşları tarafından belirlendiği ve yerine getirildiği, aynı zamanda bu hususlara ilişkin Bakanlık ile eğitim kuruluşları arasındaki ilişkinin yönetmelik hükümleri ile belirlendiği anlaşıldığından şikâyete konu olay çerçevesinde; Bakanlık ve Üniversitenin kişisel veri işleme faaliyeti alanları kapsamında ayrı ayrı veri sorumlusu olarak faaliyette bulunduğu,
  • Kanun’un “Veri Sorumlusuna Başvuru” başlıklı 13’üncü maddesinde “ (1) İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir.(2) Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır… (3) Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir…” hükmünün yer aldığı,
  • Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in (Tebliğ) “Başvuru Usulü” başlıklı 5’inci maddesinde, ilgili kişinin Kanun’un 11’inci maddesinde belirtilen hakları kapsamında taleplerini yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna ileteceği ve Tebliğ’in 6’ncı maddesinde veri sorumlusunun bu tebliğ kapsamında yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlü olduğu, veri sorumlusunun başvuruyu kabul edeceği veya gerekçesini açıklayarak reddedeceği ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildireceğinin hüküm altına alındığı,
  • Üniversite tarafından ilgili kişinin başvurusuna cevap verildiği, fakat Bakanlık tarafından ilgili kişinin başvurusuna verilen cevabın Kanun’un 13’üncü maddesi uyarınca veri sorumlularına tanınan 30 günlük süre aşıldıktan sonra gerçekleştirildiğinin tespit edildiği,
  • Diğer taraftan, ilgili kişinin şikâyetinin temel olarak ad, soyad ve T.C. kimlik numarasının bulunduğu devam çizelgesinin ve fatura teslim ve sertifika teslim listelerinin sınıf ortamında elden ele dolaştırılması suretiyle imza alınması nedeniyle T.C. kimlik numarası bilgisinin hukuka aykırı olarak üçüncü kişilerle paylaşıldığı, dolayısıyla kişisel verilerinin güvenliğinin sağlanmadığına ilişkin olduğu, 
  • 6698 sayılı Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin; 

(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
(2) Aşağıdaki şartlardan birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

hükmünü amir olduğu, 

  • Bu kapsamda ilgili kişinin eğitim hakkının gereği gibi yerine getirilmesi ve eğitim sürecinin gerekliliklerinin yerine getirilmesini teminen ilgili kişinin kişisel verilerinin işlenmesine ilişkin hukuki zemin irdelendiğinde; Bakanlığın söz konusu eğitim, sınav, görev ve sorumluluklar, denetim, eğitim verecek kişi, kurum ve kuruluşların nitelikleri ve denetimleri ile …. sicili, eğitim kurumlarının listelerinin düzenlenmesi, gibi hususlarda ilgili Kanun ile görevlendirildiğinin anlaşıldığı,  bu kapsamda ilgili Kanun ile görevlendirilen veri sorumlusu Bakanlığın, 6698 sayılı Kanunun 5’inci maddesinin (2) numaralı fıkrasının (a) bendinde düzenlenen “Kanunlarda açıkça öngörülmesi” ve (ç) bendinde düzenlenen “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” hükmü çerçevesinde kişisel veri işleme faaliyetinde bulunduğunun değerlendirildiği,
  • Öte yandan, veri sorumlusu Üniversitenin ilgili Yönetmelikle kendisinden beklenen yükümlülüklerinin ve eğitim sürecinin gerekliliklerinin yerine getirilmesini teminen ilgili kişinin kişisel verilerini Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (ç) bendinde düzenlenen “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” hükmü ile (e) bendinde düzenlenen “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hükmü çerçevesinde işlediği, 
  • Diğer taraftan Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, bu çerçevede kişisel verilerin ancak, 

a)    Hukuka ve dürüstlük kurallarına uygun şekilde, 
b)    Belirli, açık ve meşru amaçlar kapsamında, 
c)    Doğru ve gerektiğinde güncel olma şartıyla, 
ç)    İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma 
d)  İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme 

ilkelerine uygun olarak işlenebileceğinin belirlendiği, “işlendikleri amaçla bağlantılı ve sınırlı olma ilkesi” uyarınca, işlenen kişisel verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olmasının, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını gerektirdiği, kişisel verilerin açıkça yer almasının zorunluluk teşkil etmemesi halinde veri işlenirken maskeleme, anonimleştirme gibi yöntemlerin kullanılması gerektiği, 

  • Şikâyet konusu hakkında veri sorumlularından alınan bilgi ve belgeler ilgili mevzuat kapsamında değerlendirildiğinde, kullanılan devam takip çizelgesinde aynı ad ve soyadı bilgisine sahip kişilerin olması gibi durumlarda karışıklığın önlenmesini teminen, kişilerin ad ve soyadı bilgisinin yanı sıra kişiyi belirleyici kılan başka bir verinin (örneğin T.C. kimlik numarasının) kullanılmasının gerekmesi halinde ilgili verinin maskelenerek kullanılması gerektiği,
  • Ayrıca Kanun’un “Veri sorumlusunun aydınlatma yükümlülüğü” başlıklı 10’uncu maddesinin; “(1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.” hükmünü haiz olduğu,
  • Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ”de (Aydınlatma Tebliği) de veri sorumluları veya yetkilendirdiği kişiler tarafından aydınlatma yükümlülüğü kapsamında uyulacak usul ve esasların belirlendiği, Aydınlatma Tebliği’nin 5’inci maddesinin (1) numaralı fıkrasının (a) bendinde ilgili kişinin açık rızasına veya Kanundaki diğer işleme şartlarına bağlı olarak kişisel veri işlendiği her durumda aydınlatma yükümlülüğünün yerine getirilmesi gerektiği; (d) bendinde aydınlatma yükümlülüğünün yerine getirilmesinin ilgili kişinin talebine bağlı olmadığı ve (e) bendinde aydınlatma yükümlülüğünün yerine getirildiğinin ispatının veri sorumlusuna ait olduğunun belirtildiği,
  • Tebliğ’in “Aydınlatma yükümlülüğünün kapsamı” başlıklı 4’üncü maddesinde Kanun’un 10’uncu maddesine göre; kişisel verilerin elde edilmesi sırasında veri sorumluları veya yetkilendirdiği kişilerce, ilgili kişilerin bilgilendirilmesi gerektiği belirtilmiş ve bu yükümlülük yerine getirilirken veri sorumluları veya yetkilendirdiği kişilerce yapılacak bilgilendirmenin asgari olarak veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve ilgili kişinin Kanunun 11 inci maddesinde sayılan diğer hakları konularını içermesi gerektiğinin ifade edildiği,
  • Konuya ilişkin olarak Üniversiteden alınan yazıda; Kişisel Verilerin Korunması Kanunu’nun 10’uncu maddesi ve Tebliğ hükümleri gereğince kişisel verilerin işlenmesi sürecine ilişkin olarak, Sürekli Eğitim Merkezinde eğitim öncesinde diğer tüm katılımcılar gibi ilgili kişiyle de, sözleşme imzalandığının ifade edildiği, söz konusu sözleşme ile veri sorumlusu tarafından aydınlatma yükümlülüğünün gereği gibi yerine getirilip getirilmediği incelendiğinde; anılan sözleşmede aydınlatma yükümlülüğünün gereği gibi yerine getirilmesini sağlayıcı nitelikteki asgari unsurlar olan; kişisel verilerin hangi amaçla işleneceği, kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve ilgili kişinin diğer haklarına ilişkin bilgilendirmelere yer verilmediği görüldüğünden veri sorumlusu tarafından aydınlatma yükümlülüğünün gereği gibi yerine getirilmediği sonucuna varıldığı

değerlendirmelerinden hareketle;

  • Bakanlık tarafından ilgili kişinin başvurusuna 30 günlük süreden sonra yanıt verildiği anlaşıldığından Kanun’un 13’üncü maddesi çerçevesinde yapılan başvurulara yanıt verilirken 30 günlük sürenin gözetilmesi yönünde hatırlatmada bulunulmasına,
  • Veri sorumlusu Üniversite tarafından devam takibine yönelik hukuki yükümlülük yerine getirilirken kullanılan devam takip çizelgesinde kişilerin ad ve soyadı dışında kişiyi belirleyici başka bir veriye (T.C. kimlik numarası) yer verilmesinin gerekmesi halinde; ilgili verinin maskelenmesi bu kapsamda devam takip çizelgesinin tekrar gözden geçirilerek uygulamaya geçirilmesi yönünde veri sorumlusu Üniversitenin talimatlandırılmasına ve sonucundan Kurula bilgi verilmesine,
  • İlgili eğitimi veren başka kuruluşların bulunduğu ve benzer uygulamaların söz konusu olabileceği hususları dikkate alındığında, bu eğitimi veren diğer eğitim kuruluşlarına da konu hakkında bilgi verilmesi yönünde Bakanlığa bilgilendirmede bulunulmasına,
  • Kanun’un 15’inci maddesinin (5) numaralı fıkrası çerçevesinde; veri sorumlusu Üniversiteye eğitim verilirken kursiyerlere ait kişisel verilerin işlenmesi sürecinde Kanun’un “Veri sorumlusunun aydınlatma yükümlülüğü” başlıklı 10’uncu maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’de yer verilen hükümlere uygun olacak şekilde bir uygulama geliştirmesi ve bu hususa ilişkin olarak Kurula bilgi verilmesi yönünde talimat verilmesine

karar verilmiştir.

25.11.2021: “Veri sorumlusu işveren tarafından eski çalışanı olan ilgili kişinin kurumsal e-posta hesabına aydınlatma yapılmaksızın erişilmesi”
Karar Tarihi : 25/11/2021
Karar No : 2021/1187
Konu Özeti : Veri sorumlusu işveren tarafından eski çalışanı olan ilgili kişinin kurumsal e-posta hesabına aydınlatma yapılmaksızın erişilmesi

İlgili kişinin Kuruma intikal eden şikâyetinde özetle; 

  • Veri sorumlusu şirketin eski çalışanı olduğu, ilgili kişi ile veri sorumlusunun karşılıklı taraf oldukları dava dosyalarına sunulan delil listeleri içeriğinde, ilgili kişiye ait kişisel veri niteliğinde olan ilgili kişinin nişanlısı ile e-posta üzerinden yapmış olduğu konuşma içeriklerine, şahsi banka hesap dökümlerine ve yaptığı harcama kayıtlarına erişim sağlandığının görüldüğü,
  • Veri sorumlusu tarafından, şirket çalışanlarına verilen e-posta adreslerinin sadece iş dolayısıyla kullanılması gerektiğini bildiren herhangi bir açıklama veya bildirim yapılmamış olduğu bu hususa dair denetim kriterlerinin de belirlenmediği, ilgili kişinin özel hayatına ilişkin e-posta içeriklerinin bilinçli bir şekilde kötü niyetli olarak veri sorumlusu tarafından ele geçirildiği,
  • İlgili kişinin 16.11.2020 tarihi itibariyle tek taraflı olarak iş akdini feshettiği, buna rağmen işveren sıfatını haiz olmadığı dönem de olmak üzere veri sorumlusu tarafından ilgili kişiye ait kişisel verilerin işlendiği ve üçüncü kişilere aktarıldığı,
  • Veri sorumlusu tarafından ilgili kişiye ait kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (Kanun) öngörülen işleme şartlarına aykırı olarak işlendiği, üçüncü kişilere aktarıldığı, bu hususta ilgili kişiye bir aydınlatma yapılmadığı ve açık rıza metni sunulmadığı, 
  • Müşterilerinin ve çalışanlarının bilgilerinin muhafaza edildiği, söz konusu kişilerin iş ve işlemlerini gerçekleştirdiği platformun "cloud" olduğu ve söz konusu Cloud'un da Microsoft tarafından sağlanan OneDrive bulut sistemi olduğu, adı geçen hizmet sağlayıcı firmaların "server"larının yurtdışında bulunuyor olmasından dolayı söz konusu işlemelerin Kanun'un 9'uncu maddesine uygun olarak gerçekleştirilmesi gerektiği,
  • İlgili kişinin şirket e-posta hesabının veri sorumlusu tarafından tahsis edilmiş olduğu, bu e-posta hesabına kimlerin erişim sağladığı belirli olmamakla birlikte, veri sorumlusu tarafından sunulan cevabi yazının içeriğinden, söz konusu verilerin şirket hissedarı ve şirket yetkilisi ile diğer bazı işyeri çalışanlarının erişime açık bir halde olduğunun anlaşıldığı,
  • Kanun’un 11’inci maddesi kapsamında veri sorumlusuna başvuruda bulunulduğu ve ayrıca Kanun’un 5’inci maddesinin (2) numaralı fıkrası kapsamında işleme şartı haiz olmadan işlenen kişisel verilerinin silindiğini veya yok edildiğini gösterir bilgi ve belgelerin iletilmesinin talep edildiği 

ancak veri sorumlusu tarafından verilen cevabın maddi gerçekleri yansıtmadığı ve yetersiz görüldüğü hususları belirtilmiş ve Kanun hükümleri uyarınca gerekli işlemlerin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması istenilmiş olup alınan cevabi yazıda özetle;

  • İlgili kişi ile veri sorumlusu arasındaki ihtilafın esasen Kanun’dan kaynaklanan bir sorun olmadığı,
  • Konunun işyerinde çalışan ve çalıştığı süre boyunca rakip firmalara iş kaydırarak işyerini ciddi şekilde zarar uğrattığı tespit edilen eski bir çalışan ile ciddi şekilde zarara uğrayan işveren arasında karşılıklı suçlama, talep ve davalarla devam etmekte olan hukuki bir ihtilaf olduğu, bu kapsamda ilgili kişi ile veri sorumlusu arasında süregelen sekiz adet dava ve ceza soruşturmasının bulunduğu,
  • İlgili kişinin, veri sorumlusu bünyesinde bilişim faaliyetleri alanında teknik nitelikli bir personel olarak çalışmaya başladığı ve iş akdini tek taraflı irade beyanı ile feshettiği,
  • İlgili kişiye ait yazışmaların söz konusu yargılama süreçlerine delil olarak sunulması nedeniyle, ilgili kişinin özel hayatını ilgilendiren şahsi e-posta içeriklerine veri sorumlusu tarafından hukuka aykırı olarak erişildiği ve Anayasa ile koruma altına alınan özel hayatın gizliliği ile haberleşme gizliliği hakkının ihlal edildiğinden bahisle veri sorumlusu ve veri sorumlusu şirket yetkilisi hakkında Başsavcılığa şikâyette bulunulduğu, ancak bu şikâyetin yürütülen soruşturma neticesinde kovuşturmaya yer olmadığına dair karar verilerek reddedildiği,
  • İlgili kişiye iş ilişkisi kapsamındaki kurumsal faaliyetlerde ve işin gerektiği ölçüde kullanılmak üzere bir kurumsal e-posta hesabının tahsis edildiği, iş ilişkisi kapsamında çalışana tahsis edilmiş olan kurumsal e-posta hesaplarının sadece işin ifası amacı ile kullanılacağının açık olduğu, bu nedenle bilişim alanında uzman olarak çalışan bir personelin bu gerekliliğin bilincinde olması gerektiği, bu hususta ilgili kişiye ilave denetim kriterlerinin uygulanmasının hayatın olağan akışına aykırı olacağı ve ilgili kişinin kurumsal e-posta hesabını kullanmaması yönünde uyarılmasına ihtiyaç bulunmadığı,
  • Şikâyete konu e-posta hesabının veri sorumlusuna ait olduğu, e-posta hesabının ilgili kişinin ad ve soyadı ile başlasa da veri sorumlusunun ticaret unvanı ile devam eden uzantıya sahip olduğu, veri sorumlusuna ait olan ve sadece iş amacı ile personele verilen e-posta adreslerinin Kanun kapsamında kişisel veri olmadığı,
  • İlgili kişinin, tek taraflı olarak iş akdini feshetmesi ile eş zamanlı olarak veri sorumlusu bünyesindeki on iki yıllık ticari işlem geçmişini içeren kurumsal e-posta hesabını da sildiği, ilgili kişinin bu hareketinin veri sorumlusu bünyesinde ciddi bir şüphe uyandırdığı, ilgili kişinin söz konusu silme eylemi üzerine işyeri ile ilgili pek çok müşteri verisi barındıran e-posta hesabının geri getirilmesi durumunda kalındığı,
  • Yapılan zorlu mücadelelerle e-posta hesabının geri kazanılması sonrasında oluşan şüphe üzerine ilgili kişinin sadakat yükümlülüğüne tamamen aykırı olarak haksız kazanç elde ettiği hususunun açık ve net şekilde tespit edildiği, geri getirme esnasında amaç ve hedefin ilgili kişinin şahsi verilerinin işlenmesi ya da alenileştirilmesi değil, ticari verilere ulaşmak olduğu, 
  • Yapılan işlemler esnasında, ilgili kişinin kendi rızasıyla ve bilinçli olarak kaydettiği şahsi nitelikli veri ve yazışmalarının da sunucudan diğer veriler ile birlikte otomatik olarak çekildiği, ilgili kişinin dilemesi halinde nişanlısı ile olan yazışmaları da dâhil olmak üzere özel yazışmalarını silip ticari yazışmaları gelen kutusunda bırakması mümkün iken bu yolu tercih etmeyerek tüm ticari geçmişi sildiği, bu nedenle özel veriler ihtiva eden bağımsız bir klasöre kaydedilmemiş olan ve ticari yazışmalar arasında dağınık halde bulunan verilerin kurumsal e-posta adresinin incelenmesi esnasında iş yazışmaları arasında tesadüfen elde edildiği, dolayısıyla söz konusu olayda ilgili kişinin kendi ihmali ve rızasının bulunduğu,
  • Kurumsal e-posta içeriklerinin ilgili kişi tarafından silinmesinin akabinde söz konusu e-posta hesabının geri getirilmesi üzerine tüm verilerin silinmesinin uyandırdığı şüpheye dayalı olarak işe yönelik olduğu düşünülen ve sadece işe yönelik yazışmaların yapılmasının gerektiği ilgili kişi tarafından da malum olan e-posta içeriklerinin, ticari ve itibari açıdan zarara uğrama ihtimali oluşan veri sorumlusunun tek şirket yetkilisi tarafından işveren sıfatı ile incelendiği,
  • İşyerinde ve iş saatlerinde söz konusu e-posta hesabı üzerinden özel yazışmaların yapıldığı, ilgili kişinin bu yazışmalarda yer alan verilerin olağan denetim yükümlülüğü kapsamında işverenin erişimine açık olabileceğini göz önünde bulundurması gerektiği, bu yüzden yapılacak yorumda ilgili kişinin söz konusu yazışmaları işleme ve kaydetme hususunda işverene açık rıza verdiğinin kabul edileceği, zira söz konusu verilerin ilgili kişinin kendisi tarafından alenileştirilmiş vaziyette olduğu,
  • Şikâyete konu verilerin tamamına yakınının hâlihazırda ilgili kişi tarafından ikame olunan hizmet tespiti davasında bizzat ilgili kişi tarafından delil olarak sunulduğu ve alenileştirildiği, veri sorumlusu tarafından da bahse konu e-posta hesabındaki yazışmaların yalnızca iddia konusu olan zarar verici eylemlerin ispatı maksadı ile sınırlı ve ölçülü olmak kaydıyla ilgili Mahkemeye bildirildiği,
  • İşveren sıfatına sahip olunmayan dönemde veri sorumlusu tarafından verilerin işlendiği iddiasına ilişkin olarak; söz konusu verilere ilgili kişinin şüpheli davranışı üzerine erişildiği, burada ilgili kişinin temel haklarına yönelik müdahalenin meşru amaca dayalı olduğu, işverenin yönetim yetkisi kapsamında kural olarak işçinin kullanımına sunduğu iletişim araçlarını denetleyebileceği ve kullanıma ilişkin sınırlamalar öngörebileceği, bununla birlikte bahsedilen tarihte iş sözleşmesinin haklı nedenle sona erip ermediğinin şu an için açılmış bulunan iş davasında ayrı bir ihtilaf konusu olduğu ve davanın henüz neticelendirilmediği,
  • Verilerin yurt dışına aktarıldığı iddiasına ilişkin olarak; şirketin verilerin muhafazası için Microsoft Office ile çalıştığı, aradaki iş ilişkisi dâhilinde Microsoft Office firmasınca geri getirilmiş olan verilerin yalnızca veri sorumlusunun şirket yetkilisiyle paylaşıldığı, başkaca bir aktarım veya verileri yayma durumunun olmadığı,
  • İlgili kişinin verilerinin yetkisiz kişi erişimine açıldığı iddiasına ilişkin olarak; taraflarına ulaşan veri sorumlusuna başvuru metninin içeriğinde bu gibi bir iddianın mevcut olmadığı, dolayısıyla bu hususta Kanun kapsamında öncelikle kendilerine başvuru yapılması gerektiği, bununla birlikte söz konusu iddianın gerçeği yansıtmadığı, zira bahsi geçen verilere sadece veri sorumlusunun şirket yetkilisinin erişim sağladığı bu durumun veri sorumlusunun meşru hak ve menfaatlerinin korunmasının tabii bir sonucu olduğu

belirtilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde, Kişisel Verileri Koruma Kurulu’nun (Kurul) 25/11/2021 tarihli ve 2021/1187 sayılı Kararı ile;

  • Kanun’un amacının kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olduğu, Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi; “veri sorumlusu”nun ise kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlandığı,
  • Kanun’un, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin;

a)    Hukuka ve dürüstlük kurallarına uygun olma,
b)    Doğru ve gerektiğinde güncel olma,
c)    Belirli, açık ve meşru amaçlar için işlenme,
ç)    İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d)  İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza   edilme
şeklinde sayıldığı,

  • Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler”i düzenleyen 12’nci maddesinin (1) numaralı fıkrasında veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idarî tedbirleri almak zorunda olduğunun hükme bağlandığı,
  • Somut olayda öncelikle söz konusu tarihte ilgili kişi ile veri sorumlusu arasındaki iş akdinin feshedilmiş olup olmadığının değerlendirilmesi gerektiği ama söz konusu hususa ilişkin henüz verilmiş bir mahkeme kararının da bulunmadığının görüldüğü, 
  • Bununla birlikte, veri sorumlusunun, çalışanlarına tahsis etmiş olduğu e-posta adresinin Kanun kapsamında kişisel veri olmadığı iddiasının Kanun’un 3’üncü maddesi kapsamındaki “kişisel veri” tanımı karşısında geçerli olmadığı, zira yalnızca ilgili kişinin adı, soyadı gibi sadece kimliğini ortaya koyan bilgilerin değil e-posta adresi, özel yazışmaları, şahsi banka hesap dökümleri, harcama kayıtları gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm verilerin de kişisel veri niteliğini haiz olduğu,
  • Konu ile ilgili olarak; 17/09/2020 tarihli ve 2016/13010 başvuru numaralı Anayasa Mahkemesi (AYM) Kararı ile;
    • …. Anayasa Mahkemesi daha önce iletişim araçlarının işveren tarafından denetlenmesi kapsamındaki uyuşmazlıklarda derece mahkemeleri tarafından devletin pozitif yükümlülükleri bağlamında çıkarların dengelenmesi ve müdahalenin ölçülülüğünün irdelenmesi kapsamında gözetilmesi gereken hususları genel olarak belirlemiş; buna göre somut olayın koşullarına göre iş sözleşmelerinde kısıtlayıcı ve zorlayıcı düzenlemelerin ne şekilde belirlendiğitarafların bu düzenlemeler hakkında bilgilendirilip bilgilendirilmediği, çalışanların temel haklarına yönelik müdahalede bulunulmasına neden olan meşru amacın müdahale ile ölçülü olup olmadığı, sözleşmenin feshinin çalışanların eylem ya da eylemsizlikleri karşısında makul ve orantılı bir işlem olup olmadığı hususlarının uyuşmazlığın çözümünde gözetilmesi gerektiğini tespit etmiştir.
    • …Öncelikle somut olayda olduğu gibi teknolojik gelişmelerin imkanlarından yararlanmak isteyen işverenlerin bilgisayar, internet, e-posta gibi iletişim araç ve gereçlerini çalışanın kullanıma sunması nedeniyle oluşan uyuşmazlıklarda işverenin menfaatleri ile işçinin temel hak ve özgürlükleri arasında bir dengeleme yapma gerekliliği doğmaktadır.
    • …işyerinde kullanıma sunulan iletişim araçlarının işverene ait olduğu gözetilerek sırf bu nedenle bile işverenin iletişim araçları üzerinde sınırsız ve mutlak bir gözetleme ve denetleme yetkisinin olduğunu kabul etmek, işçinin demokratik bir toplumda temel hak ve özgürlüklerine işyerinde de saygı gösterilmesi gerektiği yönündeki haklı beklentisiyle uyuşmayacaktır.
    • …devletin pozitif yükümlülükleri kapsamında Anayasa Mahkemesinin özellikle derece mahkemelerinin -somut olayın koşullarına uygun düştüğü ölçüde- aşağıda belirtilen güvencelerin somut olayda hakka müdahale eden üçüncü kişi tarafından sağlanıp sağlanmadığını gereği gibi denetleyip denetlemediğini incelemesi gerekir:

i.    İşverenin çalışanın kullanımına sunduğu iletişim araçlarının ve iletişim içeriklerinin incelenmesinin haklı olduğunu gösteren meşru gerekçeleri olup olmadığı denetlenmelidir. Bu durumda işverenin gerekçelerinin ifa edilen işin ve işyerinin özellikleri de gözetilerek meşru olup olmadığı irdelenmelidir. Bu denetlemede iletişim akışı ile iletişim içeriklerinin incelenmesi arasında ayrım yapılarak içeriklerin incelenmesi yönünden daha ciddi gerekçeler aranmalıdır.
ii.    Demokratik bir toplumda iletişimin denetlenmesi ve kişisel verilerin işlenmesi süreci şeffaf bir şekilde gerçekleştirilmeli ve bunun bir gereği olarak da süreçle ilgili olarak çalışanlar işveren tarafından önceden bilgilendirilmelidir. Uluslararası hukuk ve karşılaştırmalı hukuk dikkate alındığında bu bilgilendirmenin -somut olayın özelliklerine uygun düştüğü ölçüde- en azından iletişimin denetlenmesi ile kişisel verilerin işlenmesinin hukuki dayanağı ve amaçları, denetlemenin ve veri işlemenin kapsamı, verilerin saklanacağı süre, veri sahibinin hakları, denetlemenin ve işlemenin sonuçları ile verilerin muhtemel yararlanıcıları hususlarını kapsaması gerekir. Ayrıca bildirimde iletişim araçlarının kullanımına ilişkin olarak işveren tarafından öngörülen sınırlamalara da yer verilmelidir. Bilgilendirmenin mutlaka belli şekilde yapılması şart olmayıp şeffaflığı sağlamak bakımından bireylere, kişisel verilerin işlenmesine ve iletişimin denetlenmesine ilişkin süreçten yukarıda belirtilen kapsamda haberdar olma imkanı sağlayan uygun bir yöntem tercih edilebilir.
iii.    Çalışanın kişisel verilerinin korunmasını isteme hakkına ve haberleşme hürriyetine işveren tarafından yapılan müdahale, ulaşılmak istenen amaç ile ilgili ve bu amacı gerçekleştirmeye elverişli olmalıdır. Ayrıca inceleme faaliyetiyle elde edilen verilerin işveren tarafından hedeflenen amaç doğrultusunda kullanılması gerekir.
iv.    İşveren tarafından çalışanın kişisel verilerinin korunmasını isteme hakkına ve haberleşme hürriyetine işveren tarafından yapılan müdahalenin gerekli kabul edilebilmesi için aynı amaca daha hafif bir müdahale ile ulaşılması mümkün olmamalı, müdahale ulaşılmak istenen amaç bakımından zorunlu olmalıdır. Çalışanın iletişiminin içeriğine girilmesi yerine onun kişisel verilerine daha az müdahale eden yöntem ve tedbirlerin uygulanmasının mümkün olup olmadığı denetlenmelidir. Bu kapsamda işverenin ulaşmak istediği amaca çalışanın iletişimi incelenmeden de erişilme imkanı olup olmadığı her bir vakıanın somut özellikleri ışığında değerlendirilmelidir.
v.    İşveren tarafından başvurucunun kişisel verilerinin korunmasını isteme hakkına ve haberleşme hürriyetine yönelik müdahalenin orantılı kabul edilebilmesi için ise iletişimin denetlenmesi ile işlenecek veya herhangi bir şekilde yararlanılacak veriler ulaşılmak istenen amaçla sınırlı olmalı, bu amacı aşacak şekilde sınırlama ya da müdahaleye izin verilmemelidir.
vi.    Ayrıca iletişimin incelenmesinin muhatabı olan çalışan üzerindeki etkisi ve çalışan bakımından sonuçları göz önünde tutularak tarafların çatışan menfaat ve haklarının adil bir biçimde dengelenip dengelenmediğine bakılması gerekmektedir…

12.01.2021 tarihli ve 2018/31036 başvuru numaralı Anayasa Mahkemesi Kararı ile de;

  • …Tüm bu açıklamalar çerçevesinde devletin pozitif yükümlülükleri kapsamında Anayasa Mahkemesinin özellikle derece mahkemelerinin -somut olayın koşullarına uygun düştüğü ölçüde aşağıda belirtilen güvencelerin somut olayda hakka müdahale eden üçüncü kişi tarafından sağlanıp sağlanmadığını gereği gibi denetleyip denetlemediğini incelemesi gerekir:

i.    İşverenin çalışanın kullanımına sunduğu iletişim araçlarının ve iletişim içeriklerinin incelenmesinin haklı olduğunu gösteren meşru gerekçeleri olup olmadığı denetlenmelidir. Bu durumda işverenin gerekçelerinin ifa edilen işin ve işyerinin özellikleri de gözetilerek meşru olup olmadığı irdelenmelidir. Bu denetlemede iletişim akışı ile iletişim içeriklerinin incelenmesi arasında ayrım yapılarak içeriklerin incelenmesi yönünden daha ciddi gerekçeler aranmalıdır.
ii.    Demokratik bir toplumda iletişimin denetlenmesi ve kişisel verilerin işlenmesi süreci şeffaf bir şekilde gerçekleştirilmeli ve bunun bir gereği olarak da süreçle ilgili olarak çalışanlar işveren tarafından önceden bilgilendirilmelidir. Uluslararası hukuk ve karşılaştırmalı hukuk dikkate alındığında bu bilgilendirmenin -somut olayın özelliklerine uygun düştüğü ölçüde- en azından iletişimin denetlenmesi ile kişisel verilerin işlenmesinin hukuki dayanağı ve amaçları, denetlemenin ve veri işlemenin kapsamı, verilerin saklanacağı süre, veri sahibinin hakları, denetlemenin ve işlemenin sonuçları ile verilerin muhtemel yararlanıcıları hususlarını kapsaması gerekir. Ayrıca bildirimde iletişim araçlarının kullanımına ilişkin olarak işveren tarafından öngörülen sınırlamalara da yer verilmelidir. Bilgilendirmenin mutlaka belli şekilde yapılması şart olmayıp şeffaflığı sağlamak bakımından bireylere, kişisel verilerin işlenmesine ve iletişimin denetlenmesine ilişkin süreçten yukarıda belirtilen kapsamda haberdar olma imkanı sağlayan uygun bir yöntem tercih edilebilir.
iii.    Çalışanın kişisel verilerinin korunmasını isteme hakkına ve haberleşme hürriyetine işveren tarafından yapılan müdahale, ulaşılmak istenen amaç ile ilgili ve bu amacı gerçekleştirmeye elverişli olmalıdır. Ayrıca inceleme faaliyetiyle elde edilen verilerin işveren tarafından hedeflenen amaç doğrultusunda kullanılması gerekir.
iv.    İşveren tarafından çalışanın kişisel verilerinin korunmasını isteme hakkına ve haberleşme hürriyetine işveren tarafından yapılan müdahalenin gerekli kabul edilebilmesi için aynı amaca daha hafif bir müdahale ile ulaşılması mümkün olmamalı, müdahale ulaşılmak istenen amaç bakımından zorunlu olmalıdır. Çalışanın iletişiminin içeriğine girilmesi yerine onun kişisel verilerine daha az müdahale eden yöntem ve tedbirlerin uygulanmasının mümkün olup olmadığı denetlenmelidir. Bu kapsamda işverenin ulaşmak istediği amaca çalışanın iletişimi incelenmeden de erişilme imkanı olup olmadığı her bir vakıanın somut özellikleri ışığında değerlendirilmelidir.
v.    İşveren tarafından başvurucunun kişisel verilerinin korunmasını isteme hakkına ve haberleşme hürriyetine yönelik müdahalenin orantılı kabul edilebilmesi için ise iletişimin denetlenmesi ile işlenecek veya herhangi bir şekilde yararlanılacak veriler ulaşılmak istenen amaçla sınırlı olmalı, bu amacı aşacak şekilde sınırlama ya da müdahaleye izin verilmemelidir.
vi.    Ayrıca iletişimin incelenmesinin muhatabı olan çalışan üzerindeki etkisi ve çalışan bakımından sonuçları göz önünde tutularak tarafların çatışan menfaat ve haklarının adil bir biçimde dengelenip dengelenmediğine bakılması gerekmektedir. Taraflardan birine şahsi olarak aşırı bir külfet yüklendiğinin tespiti halinde devletin pozitif yükümlülüklerini yerine getirmediği sonucuna varılabilir.

… Öte yandan e-posta hesabı üzerinden yapılan iletişimin denetlenebileceğine ve iletişim araçlarının kullanım koşullarına ilişkin olarak önceden tam ve açık bir bilgilendirme yapılmadığı hallerde temel hak ve özgürlüklerinin işyerinde de korunacağı yönündeki haklı beklentiyle çalışan kişinin kurumsal e-posta üzerinden kişisel yazışmalar yapabileceğinin işveren tarafından da öngörülebilecek bir durum olduğu vurgulanmalıdır. Buradan hareketle çalışana açık bir bilgilendirmenin yapılmadığı hallerde hak ve özgürlüklerine bir müdahalede bulunulmayacağı hususunda çalışanların makul bir beklenti içinde olacaklarının kabul edilmesi, temel hak ve özgürlüklerin sağladığı güvencelerden
yararlandırılması gerektiği söylenebilir.

şeklindeki kriterlerin vurgulandığı,

  • Öte yandan, Avrupa İnsan Hakları Mahkemesinin (AİHM), Bărbulescu/Romanya Kararı’nda çalışanın iletişiminin işveren tarafından denetlenmesiyle ilgili ilkelerin belirlendiği;  AİHM tarafından olay değerlendirilirken bir taraftan, çalışanın özel hayatına ve yazışmalarına saygı gösterilmesi hakkına sahip olduğunun, diğer taraftan şirketin düzgün işlemesi adına işvereninin de gerekli önlemler alma hakkına sahip olduğunun ifade edildiği, ancak ulusal mahkemelerin bu yarışan çıkarlar konusunda adil bir denge kuramadığının belirtildiği, AİHM tarafından, mesajlaşmaların izlenebileceği konusunda çalışanın işvereni tarafından önceden haberdar edilmediğinin tespit edildiği ayrıca başvurucunun, izlemenin niteliği ya da kapsamı özellikle de işverenin mesajlarının içeriğine erişebilme ihtimali hakkında bilgilendirilmediğinin vurgulandığı,  AİHM’e göre ulusal mahkemelerin, izleme tedbirlerini haklı gösterecek özel sebepleri tespit edemediği; ikinci olarak, çalışanın özel hayatına ve yazışmalarına daha az müdahale öngören tedbirlerin varlığının yeterince tartışılmadığı, üçüncü olarak ise mesajların içeriğine çalışanın ön bilgisi olmadan erişildiği, dolayısıyla, Avrupa İnsan Hakları Sözleşmesi’nin 8. maddesinde düzenlenen özel hayata saygı hakkının yeterince korunmadığına ve ihlal edildiğine karar verildiği,
  • AİHM tarafından özellikle işverenin, çalışanlarının iletişimlerini takip etmek için tedbirler alması durumunda, bu tedbirlerin istismarına karşı uygun ve yeterli önlemleri de sağlaması gerektiğinin vurgulandığı; bu noktada Mahkemenin çalışanların özel hayata saygı hakkı ve kişisel verilerinin korunması konusunda özellikle işverenlere rehber olacak kriterlerini;

i.    Çalışanın yazışmalarını ve diğer iletişimini izlemek için işveren tarafından kendisine bir ön bildirim yapılıp yapılmadığı,
ii.     İletişimin denetlenmesinin kapsamı ve çalışanın mahremiyetine müdahalenin derecesinin belirlenmesi, bu bağlamda, iletişimin akışı ile içeriğinin denetlenmesi hususunun birbirinden farklı kavramlar olduğu,
iii.    İletişimin denetlenmesi ve içeriğine erişilmesi konusunda işverenin meşru gerekçelere sahip olup olmadığı, özellikle iletişimin içeriğinin denetiminin daha net bir gerekçelendirme gerektirdiği,
iv.    Doğrudan çalışanın yazışmalarının içeriğine erişmek yerine daha az müdahaleci yöntem ve tedbirlerin bulunup bulunmadığı,
v.    Denetleme faaliyetinin sonuçları ve bu sonuçların işveren tarafından elde etme amacına uygun kullanılıp kullanılmadığı,
vi.    Özellikle işverenin izleme faaliyeti müdahaleci bir nitelikte olduğunda, çalışan yeterli koruyucu önlemlere sahip olup olmadığı, nitekim bu koruyucu önlemler dahilinde çalışanın önceden bilgilendirilmediği durumda işverenin iletişimlerin içeriğine erişememesi gerektiği,

şeklinde belirttiği,

  • Sonuç olarak, AİHM’in çalışanların iş yerinde dahi özel hayata sahip olabileceği ve bu kapsamda kişisel verilerin korunmasının son derece önemli olduğunu vurgulayan bir karar verdiği, AİHM’nin mezkûr kararının, işverenlerin çalışanlar üzerinde herhangi bir denetim mekanizmasından yoksun olduğunu göstermediği, ancak özellikle çalışanların gözetlenmesi ve iletişimlerinin denetlenmesi faaliyetlerinin Mahkeme tarafından belirlenen kriterler ölçüsünde hassasiyetle uygulanması gerektiğinin ifade edildiği,
  • Bu kapsamda, konu ile ilgili olarak değinilen AYM ve AİHM kararlarında yer verilen kriterler de göz önünde bulundurulduğunda, iş ilişkisi kapsamında ilgili kişiye veri sorumlusu tarafından kurumsal faaliyetlerde ve işin gerektirdiği ölçüde kullanılmak üzere bir kurumsal e-posta hesabının tahsis edildiği, ancak veri sorumlusunun cevabi yazısında da belirtildiği üzere ilgili kişiye söz konusu hesabın sadece işin ifası amacı ile kullanılacağına veya işveren tarafından çalışanların e-postalarının incelenebileceğine/denetlenebileceğine ilişkin olarak Kanun’un 10’uncu maddesi ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in (Tebliğ) 4’üncü maddesi kapsamında herhangi bir aydınlatma yapılmadığının görüldüğü,
  • İlgili kişiye Kanun ve Tebliğ hükümleri kapsamında herhangi bir aydınlatma yapmaması nedeniyle veri sorumlusu tarafından ilgili kişinin e-postalarının incelenmesinin Kanun’un 5’inci maddesinde yer verilen herhangi bir işleme şartına dayanmadığı dikkate alındığında, Kanun’un 12’nci maddesi kapsamındaki yükümlülüklerin ihlal edildiği,
  • Diğer taraftan, ilgili kişinin, verilerinin yetkisiz üçüncü kişilerin erişimine açıldığı iddiasına ilişkin olarak; veri sorumlusunun Kuruma intikal eden cevabi yazısından ve ilgili kişiye vermiş olduğu cevabi yazıdan anlaşıldığı üzere taraflarına ulaşan veri sorumlusuna başvuru metninin içeriğinde söz konusu iddianın mevcut olmadığı görüldüğünden ilgili kişinin bu husustaki iddialarını Kanun’un 14’üncü maddesi kapsamında öncelikle veri sorumlusuna iletmesi gerektiğinin hatırlatılmasının uygun olacağı,
  • İlgili kişinin açık rızası olmaksızın işlenen özel hayatı ile ilgili e-posta içeriklerinin, şahsi banka hesap dökümlerinin, harcama kayıtlarının ve Kanun’un 5’inci maddesinin (2) numaralı fıkrası kapsamında işleme şartını haiz olmadan işlenen diğer kişisel verilerinin silinmesi veya yok edilmesi şeklindeki talebine ilişkin olarak; veri sorumlusunun ilgili kişiye verdiği cevapta; söz konusu kurumsal e-posta hesabında yer alan yazışmaların devam etmekte olan davada delil olarak mahkemeye sunulmuş olması sebebiyle silinemeyeceğinin belirtildiği dikkate alındığında, yargı konusu olan hususlara ilişkin inceleme yapılamayacağından hareketle ilgili kişinin söz konusu talebi çerçevesinde yapılacak işlem bulunmadığı,
  • İlgili kişinin, veri sorumlusunun, müşterilerinin ve çalışanlarının bilgilerinin muhafaza edildiği hizmet sağlayıcı firma olan Microsoft serverlarının yurtdışında bulunuyor olmasından dolayı söz konusu işlemlerin Kanun'un 9’uncu maddesine uygun olarak gerçekleştirmesi gerektiği iddiasına ilişkin olarak; konunun Kanun’un 15’inci maddesinin (1) numaralı fıkrası çerçevesinde resen inceleme kararı alınmasının uygun olacağı,
  • Veri sorumlusunun, “işyerinde iş saatlerinde söz konusu e-posta hesabı üzerinden özel nitelikli yazışmalar yapan ilgili kişinin, bu verilerin işverenin olağan denetim yükümlülüğü kapsamında erişimine açık olabileceğini pekala göz önünde bulunduracağı ve bu durumun söz konusu yazışmaları işleme ve kaydetme hususunda ilgili kişinin işverene açık rıza verdiği şeklinde yorumlanacağı, bu nedenle söz konusu verilerin ilgili kişinin kendisi tarafından alenileştirilmiş vaziyette olduğu” yönündeki savunmasına karşılık, ilgili kişinin “şirket e-posta hesabında, eski nişanlısına gönderdiği özel e-posta içeriği ve şahsi banka hesap özetinin bulunması nedeniyle herhangi bir alenileştirmeden bahsedilemeyeceği” yönündeki iddiasına ilişkin olarak kişisel verilerin alenileştirilmesi kavramına açıklık getirilmesinin faydalı olacağı, 
  • Kişisel Verileri Koruma Kurumu tarafından yayımlanan “6698 sayılı Kanunda Yer Alan Terimler” başlıklı rehberde “‘Herkes tarafından bilinir kılma’ anlamında olan alenileştirme kavramı, 6698 sayılı Kanunun 5. maddesinde, kişisel verilerin açık rıza aranmaksızın işlenebileceği hallerden biri olarak sayılmıştır. Buna göre, ilgili kişinin kendisi tarafından alenileştirilen, bir başka ifadeyle ilgili kişinin alenileştirme iradesi ile herhangi bir şekilde kamuoyuna açıklamış olduğu kişisel veriler, ayrıca ilgili kişinin açık rızası olmaksızın alenileştirme amacı ve Kanunun 4. maddesinde düzenlenen genel ilkeler kapsamında işlenebilecektir.” şeklinde açıklanan “alenileştirme” kavramı ile ilgili olarak “Kişisel Verilerin İşlenme Şartları” başlıklı rehberde de “kişisel verinin aleni kabul edilebilmesi için ait olduğu kişinin aleni olmasını istemesi gerekir. Başka bir ifade ile, alenileştirmenin gerçekleştirilebilmesi için alenileştirme iradesinin varlığı gerekir. Yoksa bir kişinin kişisel verisinin herkesin görebileceği bir yerde olması aleni olmasını sağlamaz. Ayrıca, alenileştirme durumunda kişisel verinin amacı dışında da kullanılmaması gerekmektedir.” şeklindeki açıklamaya yer verildiği, 
  • Dolayısıyla, somut olay kapsamında ilgili kişinin tüm yazışmalarını kurumsal e-posta adresi aracılığı ile yapmış olmasında ilgili kişinin verilerini kamuoyuna açıklama gibi bir iradesi bulunmadığından, kişisel verilerin alenileştirilmesinden bahsedilemeyeceği

değerlendirmelerinden hareketle;

  • İlgili kişiye Kanun ve Tebliğ hükümleri kapsamında herhangi bir aydınlatma yapılmaması dolayısıyla veri sorumlusu tarafından ilgili kişinin e-postalarının incelenmesinin Kanun’un 5’inci maddesinde yer verilen herhangi bir işleme şartına dayanmadığı dikkate alındığında, Kanun’un 12’nci maddesinin (1) numaralı fıkrasına aykırılık teşkil eden uygulaması nedeniyle veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 250.000 TL idari para cezası uygulanmasına,
  • İlgili kişinin, verilerinin yetkisiz üçüncü kişilerin erişimine açıldığı iddiasına ilişkin olarak; veri sorumlusunun Kuruma intikal eden cevabi yazısından ve ilgili kişiye vermiş olduğu cevabi yazıdan anlaşıldığı üzere taraflarına ulaşan veri sorumlusuna başvuru metninin içeriğinde söz konusu iddianın mevcut olmadığı görüldüğünden ilgili kişinin bu husustaki iddialarını Kanun’un 14’üncü maddesi kapsamında öncelikle veri sorumlusuna iletmesi gerektiğinin hatırlatılmasına,
  • İlgili kişinin bahse konu verilerinin silinmesi talebi çerçevesinde, veri sorumlusunun “ilgili kişinin kurumsal e-posta hesabında yer alan yazışmaların devam etmekte olan davada delil olarak mahkemeye sunulmuş olması sebebiyle silinemeyeceği” yönündeki cevabı dikkate alındığında, yargı konusu olan hususlara ilişkin inceleme yapılamayacağından hareketle ilgili kişinin söz konusu talebi çerçevesinde yapılacak işlem bulunmadığına,
  • Öte yandan, ilgili kişinin “müşterilerinin ve çalışanlarının bilgilerinin muhafaza edildiği hizmet sağlayıcı firma olan Microsoft serverlarının yurtdışında bulunuyor olmasından dolayı söz konusu kişisel veri işlemenin Kanun’un 9’uncu maddesine uygun olarak gerçekleştirmesi gerektiği” yönündeki iddiasına ilişkin olarak; Kanun’un 15’inci maddesinin (1) numaralı fıkrası kapsamında resen inceleme başlatılmasına

karar verilmiştir. 

11.11.2021: “Tıbbi ürünler satan veri sorumlusu tarafından ilgili kişiye reklam içerikli SMS gönderilmesi suretiyle kişisel verilerinin işlenmesi”
Karar Tarihi : 11/11/2021
Karar No : 2021/1153
Konu Özeti : Tıbbi ürünler satan veri sorumlusu tarafından ilgili kişiye reklam içerikli SMS gönderilmesi

 

İlgili kişinin Kuruma intikal eden şikâyetinde özetle; kişisel verisi niteliğindeki cep telefonu numarasına tıbbi ürünler satan bir veri sorumlusundan reklam içerikli ticari elektronik ileti gönderildiği, bunun üzerine kişisel verilerinin işlenmesine ilişkin açık rızasının bulunmadığını beyan ederek kişisel verilerinin nasıl elde edildiği hakkında bilgi ve kişisel verilerinin silinmesi talepli dilekçe ile veri sorumlusuna başvuruda bulunduğu, başvurusuna karşılık iletilen cevapta ilgili kişinin telefon numarası dışında herhangi bir verisinin kendilerinde bulunmadığının, söz konusu cep telefonu numarasının veri sorumlusu bünyesinde kayıtlı başka bir hastanın iletişim bilgisi olarak verdiği numara olduğunun, bu hastanın reklam ve tanıtım mesajları alma konusunda onayının bulunduğunun ve ilgili hastanın sehven ilgili kişinin numarasını vermiş olabileceğinin düşünüldüğünün belirtildiği; ancak veri sorumlusunca verilen bu cevabın yetersiz olduğu ve onay mekanizmasını doğrulama olmaksızın gerçekleştirmesi nedeniyle veri sorumlusunun söz konusu olayda ihmalinin bulunduğu ifade edilerek gereğinin yapılması talep edilmiştir. 

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle; 

  • İlgili kişinin başvurusunda bulunması gereken zorunlu unsurların tamamının yer almadığı, gerekli bilgilerin bulunmaması sebebiyle kimlik doğrulaması yapılamadığı, her ne kadar usulüne uygun bir başvuru olmasa da hak ihlaline sebebiyet vermemek adına ilgili telefon numarasının mesaj gönderilmemesi amacıyla sistem üzerinden engellendiği ve talebine ilişkin olarak ilgili kişiye yanıt verilerek söz konusu işlemin hata ile ortaya çıktığının ve düzeltmelerin yapıldığının bildirildiği; ancak usulüne uygun olarak yapılmayan başvurudan kaynaklı şikâyet hakkının kullanılmasının mümkün olmadığı, 
  • Veri sorumlusu bünyesinde ilgili kişiye ait herhangi bir kayıt veya kişisel veri bulunmadığı, ilgili kişiye ait olduğu iddia edilen cep telefonu numarasının, veri sorumlusundan daha önce hizmet alan başka bir şahsın numarası olduğu ve bu cep telefonu numarasının reklam ve kampanya amaçlı bilgilendirme ve iletişim faaliyetlerinin yürütülebilmesi amacı ile 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 5’inci maddesinin (1) numaralı fıkrasına uygun olarak açık rıza işleme şartı kapsamında işlendiği, bu kapsamda söz konusu numaraya bilgilendirme mesajları gönderilmesi hususunda hastaya yeterli bilgilendirmelerin yapıldığı ve kendisi ile iletişime geçilmesine yönelik ıslak imzalı dilekçe ile açık rızasının alındığı,
  • İlgili kişinin başvurusu üzerine bahse konu telefon numarasının, bilgileri kayıtlı olan hastanın iletişim bilgileri kısmından silinerek taraflarınca gerekli düzeltmelerin yapıldığı, ilgili kişiye de hatanın düzeltildiği yönünde bilgi verilerek bu tarihten sonra kendisine herhangi bir elektronik ileti gönderilmediği ve ilgili kişinin başka bir kişisel verisinin işlenmediği,
  • Kişisel Verileri Koruma Kurulu’nun 22/12/2020 tarihli ve 2020/966 sayılı İlke Kararına uygun şekilde SMS doğrulama sistemine geçildiği ve kimlik doğrulaması ile ilgili kişilerin kişisel verilerinin tespit edilerek buna uygun şekilde açık rızaları doğrultusunda kendilerine SMS gönderildiği; ancak ilgili kişinin telefon numarasının SMS doğrulama sisteminden önce yazılı ve ıslak imzalı bir açık rıza metni olması sebebi ile onayı olduğu varsayılarak sisteme eklendiği ve bu açık rızaya dayalı olarak mesaj iletildiği 

ifade edilmiştir. 

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulu’nun 11/11/2021 tarihli ve 2021/1153 sayılı Kararı ile;

  • Kanun’un “Veri Sorumlusuna Başvuru” başlıklı 13’üncü maddesine göre, ilgili kişinin bu Kanun’un uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna ileteceği; veri sorumlusunun başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandıracağı, talebi kabul edeceği veya gerekçesini açıklayarak reddedeceği ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildireceği hükmüne yer verildiği, 
  • Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in (Tebliğ) “Başvuruya Cevap” başlıklı 6’ıncı maddesinin (1) numaralı fıkrasında veri sorumlusunun bu Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlü olduğunun ve (2) numaralı fıkrasında veri sorumlusunun, başvuruyu kabul edeceğinin veya gerekçesini açıklayarak reddedeceğinin düzenlendiği,
  • Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükmünün yer aldığı,
  • Kanun’un “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi” başlıklı 7’nci maddesinin (1) numaralı fıkrasında, bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği, yok edileceği veya anonim hâle getirileceğinin; (2) numaralı fıkrasında, kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümlerin saklı olduğunun; (3) numaralı fıkrasında ise kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esasların yönetmelikle düzenlendiğinin hükme bağlandığı,
  • İlgili kişinin veri sorumlusuna ilettiği başvuru incelendiğinde ad, soyad, imza, adres ve iletişim bilgisine yer verildiği görüldüğünden ilgili kişinin veri sorumlusu nezdinde herhangi bir kaydı bulunmaması nedeniyle kimlik tespiti yapılamaması gibi bir durumun söz konusu olmayacağı, 
  • Kanun’un 13’üncü maddesi ile Tebliğ’in 6’ncı maddesinin (2) numaralı fıkrası hükümlerine istinaden veri sorumlusunun, ilgili kişinin başvurusunu gerekçesini açıklayarak reddetmemek suretiyle cevaplandırmış olduğu göz önünde bulundurulduğunda ilgili kişinin Kurula başvuru şartını yerine getirdiği ve usulüne uygun bir başvurunun Kurul tarafından incelemeye alındığı sonucuna varıldığı,
  • Veri sorumlusundan daha önce hizmet aldığı iddia edilen şahsa ilişkin bir cihaz satış belgesinin Kuruma iletildiği, söz konusu belgenin üzerindeki bilgilerden bu satışın 2019 yılında gerçekleştirildiğinin ve iletişim bilgisi olarak ilgili kişinin cep telefonu numarasının yer aldığının anlaşıldığı,
  • Söz konusu cep telefonu numarası bahsi geçen müşteri yerine ilgili kişiye ait olsa da veri sorumlusu tarafından bu durumun bilinmediği ve söz konusu numaranın anılan müşteriye ilişkin bir veri olarak işlendiği, dolayısıyla ilgili kişinin cep telefonu numarasının veri sorumlusu kayıtlarında kendisi ile ilişkilendirilmiş bir veri olarak işlenmediği ve müşteri tarafından sehven hatalı numaranın bildirilmesi sonucu şikâyete konu olayın vuku bulduğu kanaatine varıldığı, 
  • Veri sorumlusu tarafından belirtilen müşterinin imzalamış olduğu dilekçeden, reklam ve pazarlama amaçlı olarak kendisine elektronik ileti gönderilmesi hususunda açık rızasının bulunduğunun anlaşıldığı, 
  • Veri sorumlusunun Kuruma verdiği yanıtta, ilgili kişinin başvurusu üzerine söz konusu numaranın “kara liste”ye alındığı belirtilerek ilgili listeye ilişkin ekran görüntüsüne yer verilmişse de herhangi bir veri işleme şartına dayanılmaksızın işlenmiş olan kişisel verilerin kara listeye alınmak suretiyle kişisel veri işleme faaliyetine devam edildiği ve bu anlamda ilgili kişinin şikâyetine konu kişisel verisinin Kanun’un 7’inci maddesine uygun olarak imha edilmediği sonucuna varıldığı 

değerlendirmelerinden hareketle; 

  • İlgili kişiye ticari elektronik ileti gönderilmesi suretiyle kişisel verilerinin hukuka aykırı olarak işlenmesi hususuna ilişkin olarak; söz konusu cep telefonu numarasının veri sorumlusu kayıtlarında kendisi ile ilişkilendirmiş bir veri olarak işlenmediği, bir müşteri tarafından sehven hatalı numaranın bildirilmesi sonucu şikâyete konu olayın vuku bulduğu ve bu hususların veri sorumlusu tarafından belgeleri ile tevsik edilebildiği kanaatine varılmış olup veri sorumlusu hakkında Kanun kapsamında tesis edilecek herhangi bir işlem bulunmadığına,
  • Bununla birlikte, Kanun’un kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesini düzenleyen 7’nci maddesi ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi Hakkında Yönetmeliğe uygun bir biçimde ilgili kişinin kişisel verilerinin imha edilmesi ve bu hususta Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına 

karar verilmiştir. 

04.11.2021: “Veri sorumlusu Üniversitenin ilgili kişinin kişisel verilerini içeren belgeleri internet sitesinde yayımlaması”
Karar Tarihi : 04/11/2021
Karar No : 2021/1127
Konu Özeti : Veri sorumlusu Üniversitenin ilgili kişinin kişisel verilerini içeren belgeleri internet sitesinde yayımlaması

 

İlgili kişinin Kuruma intikal eden şikâyetinde özetle, Türkiye Bilimsel ve Teknolojik Araştırma Kurumu (TÜBİTAK) Başkanlığı tarafından kişisel verileri ihtiva eden 40 sayfalık yazının Yükseköğretim Kurulu (YÖK) Başkanlığına bilgi amaçlı gönderildiği, sonrasında ilgili yazının YÖK Başkanlığı Hukuk Müşavirliği tarafından üst yazı ile üniversitelere bilgi amaçlı gönderildiği, “GİZLİ” ibareli söz konusu yazı ve belgelerin veri sorumlusu Üniversite tarafından tüm Üniversite çalışanlarına akademik ya da akademik olmayan ilgili ya da ilgisiz tüm personele e-posta yoluyla gönderildiği, söz konusu belgelerin veri sorumlusu Üniversite Rektörlüğü tarafından internet sitesinde yayımlandığı, ilgili kişinin konuya ilişkin yaptığı başvuruya istinaden veri sorumlusunun verdiği cevapta bu durumun sehven yapıldığının ifade edildiği belirtilerek “GİZLİ” ibareli ve mevcut durumda dava süreci devam eden konuyla ilgili belgelerin ilgisiz üçüncü kişilerle hem e-posta hem internet sitesi aracılığıyla paylaşılması sebebiyle 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Konuya ilişkin olarak başlatılan inceleme çerçevesinde veri sorumlusu Üniversitenin savunması istenilmiş olup alınan cevabi yazıda özetle;

  • YÖK Başkanlığı Hukuk Müşavirliği tarafından gönderilen üst yazı ekinde sunulan TÜBİTAK Başkanlığının yazısında özetle, TÜBİTAK Araştırma ve Yayın Etiği Kurulu tarafından yapılan incelemeler sonucunda 15 hakemli derginin imtiyaz sahibi ve yayıncısı olan ilgili kişinin "haksız yazarlık" yaptığının tespit edildiği ve bu doğrultuda kendisine 5 yıl süre ile yaptırım uygulanacağı ve ilgili kişinin sahibi ve yazarı olduğu dergilerin "yağmacı yayıncılık" açısından derin kuşkular içermesi nedeniyle akademik teşvik, atama ve yükseltmelerde bu dergilerin değerlendirme dışı bırakılması için gerekli işlemlerin başlatılmasına karar verildiğinin belirtildiği, 
  • Üniversite Rektörlüğü tarafından TÜBİTAK tarafından verilen yaptırım kararı uyarınca "yağmacı yayıncılık" açısından şüpheli bulunan ve akademik teşvik, atama ve yükseltmelerde kullanılması yasaklanan dergilerin Üniversitenin ilgili akademik aktörleri ile paylaşılmasına, bu şekilde YÖK tarafından paylaşılan ilgili yazının gereğinin yerine getirilmesine karar verildiği,
  • Ekinde TÜBİTAK Raporunu barındıran ilgili yazının öncelikle Üniversite içerisinde yalnızca fakülte dekanları ile kurum içi profesyonel haberleşme için kullanılan Elektronik Belge Yönetim Sistemi (EBYS) aracılığıyla paylaşıldığı, bunun dışında e-posta veya benzeri herhangi bir araç ile paylaşım yapılmadığı, söz konusu veri paylaşımının TÜBİTAK Araştırma ve Yayın Etiği Kurulu Kararının gereğinin yerine getirilmesi kapsamında Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (ç) bendi uyarınca hukuki yükümlülüğünün yerine getirilebilmesi için ilgili kişiye ait kişisel verilerin işlenmesinin zorunlu olması şartına ve Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendi uyarınca, akademik aktörlerin teşvik, atama ve yükseltme işlemlerinin tesis edilebilmesi için bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması şartına dayanılarak gerçekleştirildiği, 
  • Devam eden süreçte, Üniversitede akademik çalışmalar yürütmekte olan öğrenciler ile akademik personelin, "yağmacı yayıncılık" şüphesi kapsamında kullanımı yasaklanan ilgili dergileri çalışmalarına esas alması halinde ilgili kişilerin ve/veya Üniversitenin yaşayabileceği mağduriyet riskleri göz önüne alınarak akademik aktörler tarafından sıkça takip edilen Üniversite internet sitesi üzerinde yayımlanmasına karar verildiği, ilgili verilerin internet sitesinde paylaşılmasında ise, Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (f) bendi uyarınca gerek Üniversite gerek Üniversite bünyesindeki akademik aktörlerin hak kaybına uğramaması ve akademik çalışmaların mevzuata ve yetkili kurum kararlarına uygun yürütümünün sağlanması yönündeki meşru menfaatleri için veri paylaşımının zorunlu olması haline dayanıldığı, ilgili kişisel veri işleme şartı yönünden yapılan değerlendirmede ilgili kişinin temel hak ve özgürlüklerine zarar vermeme koşulunun da göz önüne alındığı, şikâyete konu olayın ulusal birçok gazete ve uluslararası platformda erişime açık birçok internet sitesinde yer alması ve kamuoyu tarafından bilinen bir olay olmasından ve paylaşılan bilgilendirmede bu olayı aşar nitelikte kişisel veri paylaşımına yer verilmediğinden hareketle ilgili kişinin temel hak ve özgürlüklerine zarar vermeyecek boyutta bir paylaşım olduğuna kanaat getirildiği, 
  • Veri işleme faaliyetinin TÜBİTAK Başkanlığı tarafından hazırlanan raporun Üniversite fakülte dekanlarıyla EBYS üzerinden paylaşılması ve internet sitesi üzerinden yayımlanması suretiyle gerçekleştirildiği, bu kapsamda ilgili kişiye ait ad-soyadı, unvan, adres bilgisi, imtiyaz sahibi yayıncısı ve/veya temsilcisi olduğu dergi bilgileri, akademik çalışma alanı bilgileri, taraf olduğu dosya ve soruşturma bilgileri, hakkındaki görüş yazıları ve hakkındaki komisyon görüşünün üçüncü kişiler ile paylaşıldığı,
  • İlgili kişinin Üniversite internet sitesi üzerinden yapılan paylaşıma ilişkin olarak yaptığı başvuru doğrultusunda konunun tekrar incelendiği ve olayın üzerinden geçen süreden ve akademik aktörlerin geçen süre zarfında bu konuda bilgilenmiş olmalarından hareketle ilgili kişinin talebinin yerine getirildiği, internet sitesi üzerinden yapılan paylaşımın kaldırıldığı

ifade edilmiştir.

Konuya ilişkin yapılan incelemede Kişisel Verileri Koruma Kurulu’nun 04/11/2021 tarihli ve 2021/1127 sayılı Kararı ile;

  • Kanunun “Tanımlar” başlıklı 3’üncü maddesinde kişisel verinin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi, veri sorumlusunun; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi, kişisel verilerin işlenmesinin ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı,
  • Yine Kanun’un 4’üncü maddesinin (1) numaralı fıkrasında kişisel verilerin, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği hükmüne, (2) numaralı fıkra gereğince ise kişisel verilerin işlenmesinde “Hukuka ve dürüstlük kurallarına uygun olma; doğru ve gerektiğinde güncel olma; belirli, açık ve meşru amaçlar için işlenme; işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma; ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.” ilkelerine uyulmasının zorunlu olduğu hükmüne yer verildiği,
  •  “Kişisel Verilerin İşlenme Şartları” başlıklı Kanunun 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun hükme bağlandığı,
  • Kanun’un “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12’nci maddesinin (1) numaralı fıkrasında da, veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almakla yükümlü olduğu hükmünü içerdiği,
  • İlgili kişinin Kanun kapsamındaki haklarının 11’inci maddenin (1) numaralı fıkrasında düzenlendiği, buna göre herkes veri sorumlusuna başvurarak kendisiyle ilgili;

a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme
haklarına sahip dolduğu,

  • Öte yandan, akademik teşvik, atama ve yükseltmeler ve etik ihlaline ilişkin üniversiteler ve akademisyenler nezdinde dikkate alınması gereken yasal düzenlemeler incelendiğinde;
    • 12.06.2018 tarihli ve 30449 sayılı Resmi Gazete’de yayımlanan Öğretim Üyeliğine Yükseltilme ve Atanma Yönetmeliği’nin 12’nci maddesinin birinci fıkrasında, “Profesör kadrolarına atanabilmek için doçentlik unvanını aldıktan sonra en az beş yıl açık bulunan profesörlük kadrosu ile ilgili bilim alanında çalışmış olmak, kendi bilim alanında uluslararası düzeyde orijinal eserler vermiş olmak ve uygulama alanı bulunan dallarda uygulamaya yönelik çalışmalarda bulunması gereklidir.” hükmüne,
    • 18.02.1982 tarihli ve 17609 sayılı Resmi Gazete’de yayımlanan Üniversitelerde Akademik Teşkilat Yönetmeliği’nin 8’inci maddesinin (b) bendinin son paragrafında, “Dekan; fakültenin ve bağlı birimlerinin öğretim kapasitesinin rasyonel bir şekilde kullanılmasında ve geliştirilmesinde, gerektiği zaman güvenlik önlemlerinin alınmasıyla, öğrencilere gerekli sosyal hizmetlerin sağlanmasında, eğitim-öğretim, bilimsel araştırma ve yayın faaliyetlerinin düzenli bir şekilde yürütülmesinde, bütün faaliyetlerin gözetim ve denetiminin yapılmasında, takip ve kontrol edilmesinde ve sonuçlarının alınmasında Rektöre karşı birinci derecede sorumludur.” hükmüne,
    • 15.04.2018 tarihli ve 30392 sayılı Resmî Gazete’de yayımlanan Doçentlik Yönetmeliği’nin 6’ncı maddesinin birinci fıkrasında, “Doçentlik değerlendirme jürisi, adayın başvuru dosyasını ilk olarak bilimsel araştırma ve yayın etiğine aykırılık bulunup bulunmadığı ve asgari başvuru şartlarının sağlanıp sağlanmadığı yönünden değerlendirir…”hükmüne yer verildiği, 
  • İlgili kişiye ait kişisel verileri içeren belgenin tüm üniversite çalışanlarına akademik ya da akademik olmayan ilgili ya da ilgisiz tüm personele e-posta olarak gönderildiği iddiasının değerlendirilmesi neticesinde; ilgili kişinin, kendisinin kişisel verilerini içeren belgenin veri sorumlusu tarafından tüm üniversite çalışanlarına, akademik ya da akademik olmayan ilgili ya da ilgisiz tüm personele e-posta olarak gönderildiğini iddia etmesine karşılık bu iddiasına ilişkin tevsik edici bilgi ve belge sunulmadığından ilgili kişiye ait kişisel verileri içeren belgenin EBYS aracılığıyla fakülte dekanlarına gönderildiği yönünde değerlendirme yapılmış olup mevzuatın incelenmesi neticesinde, akademik teşvik, atama ve yükseltmelere etki edecek nitelik taşıyan belgede yer alan ilgili kişiye ait kişisel verilerin veri sorumlusu Üniversite tarafından fakülte dekanları ile EBYS aracılığıyla paylaşılmasının Kanun’un 5’inci maddesinin ikinci fıkrasının (ç) ve (e) bentleri çerçevesinde veri sorumlusunun hukuki yükümlüğünü yerine getirebilmesi ve bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması işleme şartlarına dayanması sebebiyle Kanun’a aykırılık teşkil etmediği,
  • İlgili kişiye ait kişisel verileri içeren belgenin üniversiteye ait internet sitesi üzerinden paylaşılmasına ilişkin değerlendirmede; TÜBİTAK Başkanlığı tarafından YÖK Başkanlığına gönderilen yazıda, ilgili kişinin sahibi ve yazarı olduğu ekli listede isimleri verilen dergilerin "yağmacı yayıncılık" açısından derin kuşkular içermesi nedeniyle akademik teşvik, atama ve yükseltmelerde söz konusu dergilerin değerlendirme dışı bırakılması için gerekli işlemlerin başlatılmasının ifade edildiği dikkate alındığında; fakülte dekanlarına ilgili belgenin gönderilmesine ilişkin incelenen ilgili mevzuat kapsamında, veri sorumlusunun savunmasında iddia ettiği üzere Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (f) bendinde yer alan meşru menfaat işleme şartı kapsamında değerlendirilememekle birlikte aynı fıkranın (e) bendine göre bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması şartına uygun olarak kullanımı yasaklanan söz konusu dergilerin çalışmalarda esas alınmaması adına veri sorumlusu Üniversitenin yüksek lisans ve doktora öğrencileri ile akademik personele bilgi vermesi gerekliliğinin mevcut olduğu kanaatine varılabileceği,
  • Ancak her ne kadar veri sorumlusu Üniversite tarafından ilgili kişiye ilişkin kişisel verileri içeren belge, Üniversitenin herkesin ilk aşamada ulaşabileceği tanıtım ve bilgi amaçlı kullanılan ve tüm ziyaretçilere açık olan adresten farklı olarak bilimsel çalışmalarda bulunan akademik aktörler tarafından proje geliştirme amacıyla kullanılan akademik kullanım amaçlı site üzerinden yayımlanmış ve veri sorumlusu tarafından ilgili kişinin başvurusu sonrası paylaşımın sehven yapıldığı belirtilmek suretiyle kaldırılmış olsa da yüksek lisans ve doktora öğrencileri ile akademik personeli bilgilendirme amacını aşacak şekilde, TÜBİTAK Başkanlığı tarafından YÖK Başkanlığına “GİZLİ” olarak gönderilen belgede yer alan üçüncü kişilere ait kişisel verilerin, ilgili kişiye ait adres bilgisi, taraf olduğu soruşturma bilgileri, hakkındaki görüş yazıları ve komisyon görüşü gibi kişisel verilerin tamamının veri sorumlusu tarafından Üniversiteye ait internet sitesinde paylaşılması ile veri minimizasyonu ilkesine aykırı hareket edildiği, bu anlamda Kanun’un 4’üncü maddesinin ikinci fıkrasının (ç) bendi gereğince kişisel verilerin işlenmesinde işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkelerinin gözetilmediği

değerlendirmelerinden hareketle;

  • Akademik teşvik, atama ve yükseltmelere etki edecek nitelikte belgede yer alan ilgili kişiye ilişkin kişisel verilerin fakülte dekanları ile Kurumun EBYS sistemi aracılığıyla paylaşılmasının Kanun’un 5’inci maddesinin ikinci fıkrasının (ç) ve (e) bentleri çerçevesinde veri sorumlusunun hukuki yükümlüğünü yerine getirebilmesi ve bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması işleme şartları kapsamında hukuka uygun olduğu değerlendirildiğinden bu hususta Kanun kapsamında yapılacak işlem olmadığına,
  • Belgede yer alan ilgili kişiye ait kişisel verilerin akademik çalışmalar için kullanılan Üniversiteye ait internet sayfasında yayımlanmak suretiyle Kanun’un 5’inci maddesinin ikinci fıkrasının (e) bendine uygun olarak kullanımı yasaklanan söz konusu dergilerin çalışmalarda esas alınmaması adına veri sorumlusu Üniversitenin yüksek lisans ve doktora öğrencileri ile akademik personele bilgi vermesi gerekliliğinin Kanun’a uygun olduğu değerlendirilmekle birlikte veri sorumlusu tarafından bilgilendirme amacını aşacak nitelikte söz konusu belgede yer alan kişisel verilerin tamamının Üniversiteye ait internet sitesinde paylaşılmasının Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (ç) bendi gereğince kişisel verilerin işlenmesinde işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkelerine aykırılık teşkil ettiği ve bu doğrultuda Kanun’un 12’nci maddesinin birinci fıkrasına aykırı olarak veri sorumlusu Üniversite tarafından kişisel verilerin güvenliğine yönelik gerekli yükümlülüklerin yerine getirilmediği kanaatine ulaşıldığından sorumlular hakkında Kanun’un 18’inci maddesinin (3) numaralı fıkrası çerçevesinde işlem yapılması ve işlemin sonucu hakkında Kurula bilgi verilmesine 

karar verilmiştir.

02.11.2021: “İlgili kişinin ceza mahkûmiyeti bilgisinin avukat olan veri sorumlusu tarafından hukuka aykırı olarak elde edilmesi ve mahkeme dosyasına sunulması”
Karar Tarihi : 02/11/2021
Karar No : 2021/1111
Konu Özeti : İlgili kişinin ceza mahkûmiyeti bilgisinin avukat olan veri sorumlusu tarafından hukuka aykırı olarak elde edilmesi ve mahkeme dosyasına sunulması

 

İlgili kişinin şikâyetinde özetle;

  • Veri sorumlusunun vekillik görevi üstlendiği işçilik alacakları davası kapsamında ilgili kişinin davalı tanığı olarak bilgi ve görgüsüne başvurulduğu,
  • Daha sonra veri sorumlusunca mahkemeye sunulan beyan dilekçesinde ilgili kişi ile ilgili olarak “Ayrıca … tanık … hakkında daha önceden çok sayıda memur olmayan kişinin resmî belgede sahteciliği suçundan dolayı ceza davaları açılmıştır. Bu davalarda son olarak ….. Ceza Mahkemesinde …. dosyada almış olduğu mahkûmiyet hükmü kesinleşmiştir.” ifadelerine yer verilmek suretiyle ceza mahkûmiyeti bilgisinin paylaşıldığı ve mahkemeden ilgili kişinin tanıklığına itibar edilmemesinin talep edildiği,
  • İlgili kişinin özel nitelikte kişisel verisi olan adli sicil kaydına ilişkin bilgilerin veri sorumlusu tarafından hukuka aykırı olarak ele geçirildiği ve ilgili kişinin onayı ve bilgisi olmadan mahkeme dosyasına sunulduğu,
  • Veri sorumlusunca dosyaya sunulan ilgili kişiye ait adli sicil kaydı bilgilerinin dosyanın esasıyla ilgisinin bulunmadığı, bu bilgilerin dosyanın esası bakımından bir faydasının da bulunmadığı, zira ilgili kişinin dosyada sadece tanıklık yaptığı,
  • Veri sorumluları tarafından kullanılan üçüncü kişilere ait kişisel verilerin amaçla bağlantılı ve ölçülü olması gerektiği, ancak ilgili kişiye ait özel nitelikli kişisel verilerin veri sorumlusunca kullanımının amaçla bağlantılı ve ölçülü olmadığı,
  • İlgili kişinin yıllar önce yaşamış olduğu ve cezasını çekmiş olduğu bir dosyanın tekrar gün yüzüne çıkmasıyla birlikte işverenine ve çalışma arkadaşlarına karşı rencide olduğu, küçük düştüğü ve bu olay neticesinde büyük bir üzüntü duyduğu, dolayısıyla da manevi olarak büyük bir kayıp yaşadığı ve psikolojisi ile sağlığının da olay nedeniyle bozulduğu, 
  • Konu hakkında veri sorumlusuna iletilen başvuru dilekçesiyle 6698 sayılı Kişisel Verilerin Korunması Kanununun (6698 sayılı Kanun) 11’inci ve 13’üncü maddeleri kapsamında bilgi talep edildiği, ancak veri sorumlusu tarafından bu başvuruya verilen cevapta başvuru dilekçesindeki hususlara ilişkin makul ve yeterli cevap verilmediği

hususları bildirilmiş olup; ilgili kişinin özel nitelikli kişisel verilerinin hukuka aykırı olarak ele geçirilmesi, bu verilerin ilgili kişinin onay ve rızası dışında beyan dilekçesinde mahkemeye sunulması suretiyle üçüncü kişilerle paylaşılması ve ilgili kişinin bu durumdan dolayı maddi ve manevi olarak yıpranması sebepleriyle veri sorumlusu hakkında 6698 sayılı Kanun uyarınca idari yaptırım uygulanması talep edilmiştir.

İlgili kişinin şikâyetine istinaden başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, verilen cevapta özetle;

  • İlgili kişinin 6698 sayılı Kanun’a aykırılık iddialarının kabulünün mümkün olmadığı, zira ilgili kişinin mahkeme tarafından kendilerinin vekil olarak yer aldıkları bir duruşmada tanık olarak dinlendiği ve bu nedenle de T.C. kimlik numarası bilgilerinin duruşma tutanağında yer aldığı,
  • Dosyada vekil olarak yer almaları nedeniyle ilgili kişinin T.C. kimlik numarasına erişimlerinin zaten mevcut olduğu, adli sicil verilerinin de avukatlar tarafından adliye kanalıyla kolayca erişilebilen veriler olduğu, işleri gereği bu bilgilere erişimlerinin olmasının hayatın olağan akışına uygun olduğu, kaldı ki ilgili kişinin vekil oldukları dosyada tanık sıfatıyla yer alarak dosyanın akıbetini etkileyecek bir konuma sahip olduğu ve bu kapsamda ilgili kişi hakkında araştırma yapmalarının hukuka aykırılık teşkil etmediği, 
  • Adli sicil verilerinin her avukat tarafından ilgili kişinin T.C. kimlik numarası aracılığıyla öğrenilebilecek bir husus olduğu, 
  • Şikâyete konu beyan dilekçelerinde ilgili kişinin bilgilerine yer vermelerinin yargılama gereği taraflarına verilen tanık beyanlarına karşı beyanda bulunma yasal haklarının kullanılmış olmasının bir sonucu olduğu,
  • Dosya kapsamında tanık olarak dinlenmiş olan ilgili kişinin gerçeği yansıtmadığını düşündükleri beyanlarına itibar edilmemesi için taraflarınca kaleme alınan dilekçe ile iddialarının dayanağı olan bilgilerin mahkemece görülmesini sağlamayı amaçladıkları,
  • İlgili kişinin şikâyetinde ilgili kişinin tanık olarak dinlenmesi nedeniyle adli sicil bilgilerinin dosyanın esasına bir etkisinin olmayacağı belirtilmiş olsa da bu beyanın yargılamada elzem değeri olan tanık delilinin önemini hiçe saymak olduğu, tanıklık sıfatının yargılamanın her kolunda önemli bir yere sahip olduğu ve dosyanın muhteviyatına göre yargılamanın yönünü belirlediği, bu nedenle yargılamada tanık beyanlarına itimat edilmesi hususunda tanığın doğru ifade verdiğinden emin olunması gerektiği ve tanıklık yapan kişinin adli geçmişinin de vereceği beyanlar kapsamında önem arz ettiği,
  • 6698 sayılı Kanun’un 4’üncü maddesinin (2) numaralı fıkrasında verilerin işlenmesindeki esaslara yer verildiği, vekil olarak görev yaptıkları dosyanın akıbeti hususunda mezkûr maddede geçtiği şekilde belirli, açık ve meşru olan amaçlarına uygun ve ölçülü olarak işleme faaliyetinde bulunulduğu, amaçlarının sadece mahkemenin tanık hakkında bilgilendirilmesi olduğu, 
  • İlgili kişinin adli sicil verilerinin taraflarınca hukuka aykırı şekilde elde edilmediği, aksine vekil olmaları dolayısıyla taraflarına açık olan bilgiler eşiğinde yine bir yargı organı vasıtasıyla elde edildiği, kaldı ki kişilerin adli sicil kayıtlarının UYAP vasıtasıyla hâkimler ve savcılar tarafından zaten ulaşılabilir veriler olduğu, dolayısıyla taraflarının mahkemeye bu bilgileri sunmasının 6698 sayılı Kanun’a aykırılık teşkil etmeyeceği,
  • Avukatlığın hem bir kamu hizmeti hem de serbest meslek olduğu, 1136 sayılı Avukatlık Kanunu’nun (Avukatlık Kanunu) 2’nci maddesinde mesleğin amacının “Avukatlığın amacı; hukuki münasabetlerin düzenlenmesini, her türlü hukuki mesele ve anlaşmazlıkların adalet ve hakkaniyete uygun olarak çözümlenmesini ve hukuk kurallarının tam olarak uygulanmasını her derecede yargı organları, hakemler, resmi ve özel kişi, kurul ve kurumlar nezdinde sağlamaktır.” olarak açıklandığı, avukatların bu yolda görev yaparken çoğu kez belirsizliklerle karşılaştıkları ve bu belirsizlikleri kendi imkânlarıyla çözmek zorunda oldukları, 
  • Bu nedenle avukatların bir olayın aydınlatılması için çeşitli kurum ve kuruluşlardan zaman zaman bilgi almalarının gerektiği, kanun koyucunun da Avukatlık Kanunu’nun 2’nci maddesinde “Yargı organları, emniyet makamları, diğer kamu kurum ve kuruluşları ile kamu iktisadi teşebbüsleri, özel ve kamuya ait bankalar, noterler, sigorta şirketleri ve vakıflar avukatlara görevlerinin yerine getirilmesinde yardımcı olmak zorundadır.” hükmüne yer verdiği ve bu hükmün avukatların mesleklerinin gereklerini yerine getirirken ihtiyaç duydukları bilgileri kendilerine sağlayabilecek kurumlara başvuru yapabilmelerine imkân sağladığı,
  • Şikâyet konusu olayda adliye kanalıyla ilgili kişinin adli sicil verilerine ulaşmış ve sonrasında da bunu ilgili mahkemeye bildirmiş olmalarının vekillik görevleri gereği yargı organlarından yararlanmaktan başka bir şey olmadığı, hâl böyleyken avukat olarak mahkemeye sundukları verilerin 6698 sayılı Kanun’a aykırı olduğunu öne sürmenin hakkaniyete uygun olmayacağı, zira bahsi geçen olayda Avukatlık Kanunu’ndan kaynaklanan bir yetkinin kullanılmasının söz konusu olduğu,
  • Meslekleri gereği kamu hizmeti yaptıkları da düşünülürse taraflarına kanunla sağlanan bir yetkinin kullanılması niteliğinde olan mevcut durumun ilgili kişi tarafından kötü niyetli olarak ve tamamıyla dürüstlük kurallarına aykırılık teşkil edecek şekilde kullanılıyor olmasının hukuk düzeni içerisinde kabul edilebilir olmadığı,
  • İlgili kişinin adli sicil kayıtlarının sadece beyan dilekçesi içerisinde mahkemeye sunulduğu, herhangi bir üçüncü kişiyle paylaşılmadığı, aynı zamanda ilgili kişiye ait başka herhangi bir kişisel veri veya bilginin de elde edilmemiş olduğu, 
  • Yukarıda yer alan tüm bilgiler ve kanun maddeleri doğrultusunda ilgili kişinin iddia ettiği üzere 6698 sayılı Kanun’a aykırı bir unsurun bulunmadığı

beyan edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde, Kişisel Verileri Koruma Kurulunun (Kurul) 02/11/2021 tarihli ve 2021/1111 sayılı kararı ile;

  • 6698 sayılı Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde kişisel verinin: “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, ilgili kişinin; “Kişisel verisi işlenen gerçek kişi”, kişisel verilerin işlenmesinin; “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, veri sorumlusunun; “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlandığı,
  • Öte yandan, 6698 sayılı Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun hükme bağlandığı,
  • 6698 sayılı Kanun’un özel nitelikli kişisel verilerin işlenme şartlarının düzenlendiği 6’ncı maddesinin (1) numaralı fıkrasında özel nitelikli kişisel verilerin tanımlandığı, (2) numaralı fıkrasında özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğunun hüküm altına alındığı, (3) numaralı fıkrasında özel nitelikli kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenebileceği durumların sayıldığı, (4) numaralı fıkrasında ise özel nitelikli kişisel verilerin işlenmesinde Kurul tarafından belirlenen yeterli önlemlerin ayrıca alınmasının şart olduğunun ifade edildiği, 
  • Ayrıca, 6698 sayılı Kanun’un kişisel verilerin işlenmesine ilişkin “Genel ilkeler”i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmü yer almakta olup, bahsi geçen maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin “Hukuka ve dürüstlük kurallarına uygun olma”, “Doğru ve gerektiğinde güncel olma”, “Belirli, açık ve meşru amaçlar için işlenme”, “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ve “İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” olarak sayıldığı,
  • 6698 sayılı Kanun’un ilgili hükümleri dikkate alındığında; ilgili kişinin adli sicil kaydı bilgilerinin veri sorumlusu tarafından tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, depolanması, kullanılması, aktarılması vb. fiillere konu edilmesinin “özel nitelikli kişisel verilerin işlenmesi faaliyeti” olarak niteleneceği ve bu tarz faaliyetlerin hem 6698 sayılı Kanun’un 6’ncı maddesindeki hukuki sebeplerden birine dayanılarak ve Kurul tarafından belirlenen yeterli önlemler alınarak hem de 6698 sayılı Kanun’un 4’üncü maddesindeki genel ilkelere uygun olarak yürütülmesi gerektiği konusunda herhangi bir şüphenin bulunmadığı,
  • Bu kapsamda, somut olayda ilgili kişinin adli sicil kaydı bilgilerinin veri sorumlusunca elde edilmesinin 6698 sayılı Kanun’un 6’ncı maddesindeki hukuki sebeplerden birine dayanıp dayanmadığının öncelikle ele alınması gerektiği, zira ilgili kişinin adli sicil kaydı verilerinin veri sorumlusunca 6698 sayılı Kanun’un 6’ncı maddesindeki hukuki sebeplerden birine dayanılmadan elde edilmiş (ve sonrasında da kullanılmış/verilmiş) olması durumunda söz konusu fiillerin hukuka aykırı nitelikte birer veri işleme faaliyeti teşkil edeceği,
  • Dosyaya sunulan bilgi ve belgelerden; ilgili kişinin adli sicil verilerinin işlenebilmesi için veri sorumlusuna vermiş olduğu bir açık rızanın bulunmadığının görüldüğü, veri sorumlusunun “ilgili kişinin adli sicil kaydı bilgilerinin Avukatlık Kanunu’na uygun olarak adliyeden temin edildiği, taraflarınca yapılan iş ve işlemlerde herhangi bir hukuka aykırılık bulunmadığı” yönündeki savunmasından ise ilgili kişi hakkında yürütülen kişisel veri işleme faaliyetinde 6698 sayılı Kanun’un 6’ncı maddesinin (3) numaralı fıkrasında düzenlenen “Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilir.” düzenlemesine dayanıldığının anlaşıldığı, bu yüzden de veri sorumlusunun savunmasında zikrettiği Avukatlık Kanunu’nun 2’nci maddesi hükmünün 6698 sayılı Kanun’un 6’ncı maddesinin (3) numaralı fıkrasında geçen “kanunlarda öngörülen haller”in kapsamına girip girmediğinin açıklığa kavuşturulması gerektiği,
  • Avukatlık Kanunu’nun 2’nci maddesinde “Avukatlığın amacı; hukuki münasabetlerin düzenlenmesini, her türlü hukuki mesele ve anlaşmazlıkların adalet ve hakkaniyete uygun olarak çözümlenmesini ve hukuk kurallarının tam olarak uygulanmasını her derecede yargı organları, hakemler, resmi ve özel kişi, kurul ve kurumlar nezdinde sağlamaktır. (…) Yargı organları, emniyet makamları, diğer kamu kurum ve kuruluşları ile kamu iktisadi teşebbüsleri, özel ve kamuya ait bankalar, noterler, sigorta şirketleri ve vakıflar avukatlara görevlerinin yerine getirilmesinde yardımcı olmak zorundadır. Kanunlarındaki özel hükümler saklı kalmak kaydıyla, bu kurumlar avukatın gerek duyduğu bilgi ve belgeleri incelemesine sunmakla yükümlüdür. Bu belgelerden örnek alınması vekaletname ibrazına bağlıdır. (…)” ifadelerinin yer aldığı, 
  • 5352 sayılı Adlî Sicil Kanunu'nun (“Adlî Sicil Kanunu”) “Adlî sicil bilgileri verilebilecek olanlar” başlıklı 7'nci maddesinde ise “(1) Adlî sicil bilgileri, kullanılış amacı belirtilmek suretiyle; a) İlgili kişiye veya vekaletnamede açıkça belirtilmek koşuluyla vekiline, b) Kamu kurum ve kuruluşlarına, kamu kurumu niteliğindeki meslek kuruluşlarına, verilebilir. (2) Yabancı devletler tarafından istenilen adlî sicil bilgileri mütekabiliyet esasına göre verilir.” düzenlemesinin mevcut olduğu, ayrıca Adlî Sicil Kanunu’nun 15’inci maddesine dayanılarak çıkarılan Adlî Sicil Yönetmeliği’nin “Adlî sicil bilgileri verilebilecek olanlar” başlıklı 9’uncu maddesinde de “Adlî sicil bilgileri, kullanılış amacı ve verileceği merci belirtilmek suretiyle; ilgili kişiye veya vekaletnamede açıkça belirtilmek koşuluyla vekiline, kamu kurum ve kuruluşlarına, kamu kurumu niteliğindeki meslek kuruluşlarına verilebilir. Taleplerin yazılı olarak yapılması sırasında, adlî sicil bilgisinin niçin istendiğinin belirtilmesi ve nüfus kimlik bilgilerini içeren belgenin dilekçeye eklenmesi; kamu kurum ve kuruluşları ile kamu kurumu niteliğinde meslek kuruluşlarınca da kimlik bilgilerinin tereddüde yer vermeyecek şekilde bildirilmesi zorunludur. (…)” denildiği,
  • Mezkûr mevzuat hükümlerinin lafızlarına istinaden, Avukatlık Kanunu’nun 2’nci maddesinde yer alan düzenlemenin Adlî Sicil Kanunu’nun 7’nci maddesinde mevcut olan “özel hüküm” karşısında bir “genel hüküm” niteliği taşıdığının açık olduğu ve avukatlara ilgili kişilerin adli sicil kaydı bilgilerine resen erişim yetkisi vermediği, dolayısıyla ilgili kişiye ait adli sicil bilgilerinin veri sorumlusu tarafından hukuka aykırı olarak elde edildiği, bu sebeple de veri sorumlusu tarafından ilgili kişi hakkında yürütülen kişisel veri işleme faaliyetinin hukuka aykırı olduğu sonucuna ulaşıldığı,
  • İlgili kişinin -veri sorumlusu tarafından yürütülmüş olan kişisel veri işleme faaliyetlerine konu olan- özel nitelikli kişisel veri niteliğindeki adli sicil bilgilerinin en başta hukuka aykırı olarak elde edilmiş olmasının veri sorumlusunun tüm kişisel veri işleme faaliyetlerini başlangıçtan itibaren hukuka aykırı hale getirdiği, zira hukuka uygun olmayan bir şeyin üzerine meşru bir şeyin bina edilemeyeceği konusunda herhangi bir şüphenin bulunmadığı

değerlendirmelerinden hareketle;

  • Mevcut tüm bilgi ve belgeler itibarıyla; ilgili kişinin adli sicil bilgisi kişisel verisinin işlenmesi faaliyetinde veri sorumlusu tarafından 6698 sayılı Kanun’un 6’ncı maddesinde düzenlenen hukuki sebeplerden herhangi birine dayanılmadığı, bu hususun ise veri güvenliğine ilişkin yükümlülüklerin düzenlendiği 6698 sayılı Kanun’un 12’nci maddesinin (1) numaralı fıkrasının (a) bendinde yer alan “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmüne aykırılık teşkil ettiği dikkate alındığında 6698 sayılı Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendine istinaden veri sorumlusu hakkında 75.000 TL idari para cezası uygulanmasına,
  • Veri sorumlusu tarafından ilgili kişi hakkında başlangıçtan itibaren hukuka aykırı nitelikte kişisel veri işleme faaliyetinde bulunulduğu kanaatine ulaşıldığından, ilgili kişinin veri sorumlusu nezdinde tutulan ve hukuka aykırı işleme amacıyla bağlantılı kişisel verilerinin 6698 sayılı Kanun’un 7’nci maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca imha edilmesi ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
  • Söz konusu verinin paylaşılmasının 5237 sayılı Türk Ceza Kanunu hükümleri kapsamında suç unsuru barındırabileceği dikkate alındığında, bu hususta işlem tesis edilmesini teminen Cumhuriyet Başsavcılığına başvurulabileceği hususunda ilgili kişiye bilgi verilmesine

karar verilmiştir.

02.11.2021: “Veri sorumlusunun icra takibi başlattığı müşterilerinin kişisel verilerini herkesin erişimine açık bir internet sitesinde yayımlaması”
Karar Tarihi : 02/11/2021
Karar No : 2021/1110
Konu Özeti : Veri sorumlusunun icra takibi başlattığı müşterilerinin kişisel verilerini herkesin erişimine açık bir internet sitesinde yayımlaması

 

Kuruma intikal eden ihbarda özetle, bir holding bünyesinde faaliyet gösteren veri sorumlusu şirket tarafından icra takibi başlatılan müşterilerinin T.C. kimlik numarası, telefon numarası, araç plakası ve adres bilgisinin bir internet adresinde paylaşıldığı, bu işlemi yaparken amaçlarının internet adresini verdikleri şahısların burada yazan yakalama kararı olan araçları bulmaları halinde 155 ihbarı yaparak bu araçların yakalatılmasının ve trafikten men edilmesinin sağlanması olduğu ifade edilerek veri sorumlusu hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmektedir.

Konuya ilişkin olarak başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

  • İlgili kişinin Kanun’un 11 ve 14’üncü maddeleri uyarınca veri sorumlusuna başvuruda bulunmadığı, ilgili kişinin herhangi bir kişisel verisi işlenmediğinden hukuken başvuru için aranan ilgili kişi maddi unsurunun mevcut olmadığı, ilgili kişiye şirketleri tarafından herhangi bir araç satışının yapılmadığı, ilgili kişinin muhafaza edilen şirket bilgilerine erişebilecek imkâna sahip olmadığı,
  • Şirketlerinin taksitle ve peşin olmak üzere ikinci el araç satışı yaptığı, taksit ödemeleri müşteriler tarafından yapılmadığı takdirde şirketlerince hukuki yollara başvurularak icra takibi başlatıldığı, müşteriler adına kayıtlı araçlarda haciz ve yakalama işlemlerinin icra müdürlüğü tarafından yapıldığı, yakalanan araçların icra mevzuatı gereğince Yediemin otoparklarına çekildiği, Yedieminlerin otoparka çekilen araçlarda icra dosyası alacaklısını görerek şirketlerine haber verdiği, bunun dışında hiçbir Yediemin ya da üçüncü kişilerle müşterilerinin icra borcu bilgisinin paylaşılmadığı,
  • İlgili kişinin belirttiği internet adresi incelendiğinde böyle bir adresin sunucularında mevcut olmadığı ve internet adresinde ilgili kişinin iddialarını ispat edici bir içeriğin mevcut olmaması sebebiyle başvurunun reddinin gerektiği, müşterilere ait kişisel verilerin dijital güvenli bir sunucu ortamında aktarıldığı ve şirket sistemi içinde sadece yetkilendirilmiş kullanıcı adı ve şifresiyle giriş yapan personeller tarafından sorgulama yapılabildiği

ifade edilmiştir.

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 02/11/2021 tarih ve 2021/1110 sayılı Kararı ile;

  • Kanun’un amacının kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olduğu, Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi; “veri sorumlusu”nun ise kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlandığı,
  • Kanun’un, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin;

a)     Hukuka ve dürüstlük kurallarına uygun olma,
b)     Doğru ve gerektiğinde güncel olma,
c)    Belirli, açık ve meşru amaçlar için işlenme,
ç)    İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d)  İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza   edilme
şeklinde sayıldığı,

  • Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler”i düzenleyen 12’nci maddesinin (1) numaralı fıkrasında veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idarî tedbirleri almak zorunda olduğunun hükme bağlandığı,
  • Somut olayda, ihbar dilekçesinin Kurula Cumhurbaşkanlığı İletişim Merkezi (CİMER) üzerinden intikal ettiği, ilgili kişinin dilekçesinde kendisine ait herhangi bir verinin bu internet adresinde paylaşıldığını ya da başka bir suretle işlendiğini iddia etmediği, Kanun’un 15’inci maddesinin birinci fıkrasında yer alan “Kurul, şikayet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.” hükmü gereğince Kurulun şikayet veya ihbar üzerine inceleme yapabileceği gibi şikayet veya ihbar olmasa dahi görev alanına giren konularda resen inceleme başlatmasının mümkün olduğu, bir veri ihlali iddiasıyla ilgili olarak Kurulun harekete geçmesi için ihlalden etkilenen ilgili kişilerin Kurula şikayet başvurusunda bulunmasının gerekmediği göz önünde bulundurulduğunda CİMER üzerinden iletilen dilekçenin ihbar niteliğinde kabul edilerek Kurulun konu hakkında inceleme başlatılmasına karar verdiği,
  • İncelemeye konu internet adresinin veri sorumlusuna Kurum tarafından bilgi ve belge talebi gönderilmesinden önce incelenmesi neticesinde, internet adresinde ilgili kişilerin isimleri, T.C. kimlik numaraları, adresleri, yakalama kararı çıkartılan araçların plakaları ve modelleri ile icra dosyalarının hangi hukuk bürosu tarafından takip edildiği bilgilerinin yer aldığı ve bu bilgiler arasında araç plakası, şehir ve ilçeye göre arama yapılabildiğinin tespit edildiği, Kurum tarafından gönderilen bilgi ve belge talebi yazısı veri sorumlusuna tebliğ edildikten sonra söz konusu internet adresine ulaşılmaya çalışıldığında ise siteye ulaşılamadığı uyarısı alındığı, 
  • Veri sorumlusu tarafından İcra ve İflas Kanunu hükümleri çerçevesinde borçlu müşterilerden alacağını tahsil etmek için icra takibi başlatılması, malvarlığı sorgulaması sonucu haciz konulması için kişisel veri işlenmesi Kanun’un 5’inci maddesinin ikinci fıkrasının (a) ve (e) bentlerinde düzenlenen kanunlarda açıkça öngörülme ve bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması hukuki sebeplerine dayanabilirse de bu verilerin herkesin erişimine açık internet ortamında veri sorumlusu tarafından yayımlanmasının herhangi bir veri işleme şartına dayanmadan yapılan hukuka aykırı bir veri işleme faaliyeti olduğu

değerlendirmelerinden hareketle,

  • Söz konusu internet adresinde yer alan kişisel verilerin incelemenin başlatıldığı tarihte herkesin erişimine açık olan internet ortamında veri sorumlusu tarafından yayınlanmasının Kanun’un 5’inci maddesi kapsamında herhangi bir veri işleme şartına dayanmadığı kanaatine varıldığından Kanun’un 12’nci maddesinin (1) numaralı fıkrası kapsamında uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı değerlendirilen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca, ihbara konu internet sitesinde yayınlanmakta olan kişisel verilerin çokluğu ve önemi ile bu verilerin internet ortamında ifşa edilmesi dolayısıyla hukuka aykırı veri işleme faaliyetinin arz ettiği güvenlik riskinin yoğunluğu da dikkate alınarak 200.000 TL idari para cezası uygulanmasına karar verilmiştir.
02.11.2021: “İlgili kişinin kredi notunun Banka tarafından düzeltilmemesi ve kişisel verilerinin üçüncü kişilerle paylaşılması”
Karar Tarihi : 02/11/2021
Karar No : 2021/1107
Konu Özeti : İlgili kişinin kredi notunun Banka tarafından düzeltilmemesi ve kişisel verilerinin üçüncü kişilerle paylaşılması

 

Kuruma intikal eden şikâyette özetle; ilgili kişi tarafından bireysel kredi kartı ödemesi geciktirilmediği hâlde veri sorumlusu Banka tarafından kanuni takip başlatıldığı ve defalarca ilgili kişinin kredi notunu etkileyen hukuksuz işlemler yapıldığı, ilgili kişinin kredi notunun düşürüldüğü, yapılan itiraz üzerine Banka tarafından bu işlemin düzeltildiği ve kredi notunun yüksek düzeye yeniden çekildiği fakat bu işlemin takip eden aylarda Banka tarafından birkaç kez daha tekrarlandığı ve her seferinde ilgili kişinin ısrarlı tepkileri sonucunda düzeltildiği, finans bilgilerinin gerçeğe aykırı olarak hukuksuz bir biçimde paylaşıldığı, ilgili kişi ile hiçbir finans kurumu arasında kredi, bireysel kart vb. gibi işlemlerin yapılamadığı, ilgili kişinin itibarının zedelendiği ve Bankaya yapılan başvurulara yanıt verilmediği belirtilerek veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması talep edilmiş olup veri sorumlusunun Kuruma intikal eden cevabi yazısında özetle;

  • İlgili kişinin bahsettiği tarihte başvurusunun bulunmadığı fakat başka bir tarihte kendilerine e-posta üzerinden bir şikâyet ilettiği ve aynı tarihte kendisi ile telefonla irtibata geçildiği fakat ilgili kişinin aramaları yanıtlamaması nedeniyle kendisine e-posta ile bilgi verilerek görüşme talebinde bulunulduğu ancak Banka tarafından iletilen e-postaya ilgili kişiden herhangi bir yanıt alınamadığı ancak aynı konulu başka tarihteki şikâyetlerinin Banka Genel Müdürlüğüne iletilerek başka bir tarihte yanıtlandığı,
  • Banka ile kurumlar arasında imzalanan protokoller kapsamında kurumların fatura tahsilatlarına aracılık hizmetinin verildiği ve bu kapsamda ilgili kişinin imzalamış olduğu Bankacılık Hizmetleri Sözleşmesi çerçevesinde verdiği fatura ödeme talimatlarının yerine getirilebilmesi amacıyla fatura ödeme talimatı verilen kurumlarla müşteri işlem; Banka nezdinde kredi ürünlerine ilişkin olarak bankacılık sektörüne yönelik yasal düzenlemelere uyumun sağlanması, Bankanın risk izleme ve bilgilendirme yükümlülüklerinin yerine getirilmesi amacıyla Türkiye Bankalar Birliği Risk Merkezine kimlik, iletişim, müşteri işlem; Banka’nın acentesi olduğu …Sigorta A.Ş. nezdindeki sigorta poliçelerinin prim ödemeleri ile ilgili olarak söz konusu Şirkete müşteri işlem; ilgili kişinin yasal takipte izlenen kredilerinden kaynaklanan Bankanın alacaklarının tahsili amacıyla anlaşmalı hukuk bürosuna kimlik, iletişim, müşteri işlem, hukuki işlem bilgilerine ilişkin olarak her bir konu özelinde, ilgili amacın gerçekleştirilmesiyle kısıtlı olacak şekilde veri aktarımının gerçekleştirildiği,
  • İlgili kişinin yurt dışına aktarılan kişisel verisinin bulunmadığı,
  • 19/10/2005 tarihli ve 5411 sayılı Bankacılık Kanunu’nun Geçici 28’inci maddesinde Türkiye Cumhuriyet Merkez Bankası nezdinde izlenen risk verilerinin 5411 sayılı Kanun’a göre kurulmuş olan Risk Merkezine aktarılmasının düzenlendiği, aynı Kanun’un Ek 1’inci maddesinde ise; “Türkiye Bankalar Birliği nezdinde, kredi kuruluşları ile Kurulca uygun görülecek finansal kuruluşların müşterilerinin risk bilgilerini toplamak ve söz konusu bilgileri bu kuruluşlar ile gerçek veya tüzel kişilerin kendileriyle ya da onay vermeleri koşuluyla gerçek kişiler ve özel hukuk tüzel kişileri ile de paylaşılmasını sağlamak üzere Risk Merkezi kurulmuştur.” düzenlemesinin yer aldığı, anılan hükümler ve Türkiye Bankalar Birliği tarafından yayımlanan Türkiye Bankalar Birliği Risk Merkezi Yönetmeliği ile üye bankaların Risk Merkezine bilgi paylaşımının kapsamı, biçimi ve içeriği ile tarafların yükümlülüklerinin düzenlendiği,
  • İlgili kişinin talebi üzerine yapılan incelemede gerçek kişi tacir ilgili kişinin bireysel kredi kartı geri ödemelerinde gecikme olmamasına karşın ticari nitelikli kredi kartından kaynaklanan gecikme nedeniyle gecikme bildiriminin yapıldığının anlaşıldığı,
  • Bu durumun giderilmesine yönelik olarak gerekli sistem geliştirmesinin planlandığı ve 2020 yılı Mayıs ayı içerisinde gerçekleşecek sistem güncellemesi sonrasında aktif hale geleceği ve konu hakkında Kuruma ayrıca bilgi verileceği, çalışmalar tamamlanıncaya kadar ilgili kişiye ilişkin kayıtların manuel olarak kontrol edilmeye ve gerekirse düzeltilmeye devam edileceği,
  • Güncelleme işlemlerinin Türkiye Bankalar Birliği Risk Merkezine ait portal üzerinden, kullanıcı ve onaylayıcı olarak yetkilendirilmiş Banka çalışanlarının Bankanın sistemindeki güvenlik kontrollerine uygun şekilde giriş yapması sonrasında gerçekleştirilebildiği, Portaldaki “Acil Güncelleme Sistemi”ne müşteri T.C. kimlik numarası bilgisinin girilerek gerekli düzeltmenin yapıldığı ve yetkilendirilmiş kullanıcının onayıyla sürecin tamamlandığı

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 02/11/2021 tarih ve 2021/1107 sayılı Kararı ile;

  • Kanun’un amacının kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olduğu, Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi; “veri sorumlusu”nun ise kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlandığı,
  • Kanun’un, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin;

a)    Hukuka ve dürüstlük kurallarına uygun olma,
b)    Doğru ve gerektiğinde güncel olma,
c)    Belirli, açık ve meşru amaçlar için işlenme,
ç)    İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d)  İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza   edilme
şeklinde sayıldığı,

  • Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanun’un “Kişisel verilerin aktarılması” başlıklı 8’inci maddesinde; kişisel verilerin ilgili kişilerin açık rızası olmaksızın aktarılamayacağının, özel nitelikli olmayan kişisel verilerin ancak Kanun’un 5’inci maddesinin (2) numaralı fıkrasında belirtilen şartlardan birinin varlığı halinde, özel nitelikli kişisel verilerin ise yeterli önlemler alınmak kaydıyla 6’ncı maddesinin (3) numaralı fıkrasında belirtilen şartlardan birinin bulunması halinde ilgili kişinin açık rızası aranmaksızın aktarılabileceğinin düzenlendiği,
  • Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler”i düzenleyen 12’nci maddesinin (1) numaralı fıkrasında veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idarî tedbirleri almak zorunda olduğunun hükme bağlandığı,
  • 5411 sayılı Kanun’un Geçici 28’inci maddesinin üçüncü fıkrasında; “Merkez Bankası nezdindeki Risk Merkezi bilgileri, bu Kanuna göre kurulan Risk Merkezine aktarılır.” hükmü ile aynı Kanun’un Ek 1’inci maddesinde; Risk Merkezine ilişkin ayrıntılı düzenlemelere yer verildiği, ilgili hükmün birinci fıkrası uyarınca Risk Merkezinin; Türkiye Bankalar Birliği nezdinde, kredi kuruluşları ile Bankacılık Düzenleme ve Denetleme Kurulu tarafından uygun görülecek finansal kuruluşların müşterilerinin risk bilgilerini toplamak ve söz konusu bilgileri bu kuruluşlar ile gerçek veya tüzel kişilerin kendileriyle ya da onay vermeleri koşuluyla gerçek kişiler ve özel hukuk tüzel kişileri ile de paylaşılmasını sağlamak üzere kurulmuş olduğu, bu maddenin ikinci fıkrası gereğince; kredi kuruluşları ile Bankacılık Düzenleme ve Denetleme Kurulu tarafından uygun görülecek finansal kuruluşların, Risk Merkezine üye olmak zorunda olduğu ve üye kuruluşların, Risk Merkezince istenilen, müşterileri ile ilgili her türlü bilgiyi vermekle yükümlü olduğunun düzenlendiği, bu açıklamalarda bahsi geçen kredi kuruluşlarının; 5411 sayılı Kanun’un 3’üncü maddesinde, mevduat bankaları ve katılım bankaları olarak açıklandığı,
  • 10/04/2012 tarihli ve 28260 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Türkiye Bankalar Birliği Risk Merkezi Yönetmeliğinin (Risk Merkezi Yönetmeliği) 9’uncu maddesi gereğince; Risk Merkezine üye olanlar tarafından Risk Merkezine müşteri ve/veya hesap bazında değişiklikler göstermekle birlikte, kredi limiti, kredi riski, donuk alacak niteliğindeki kredi ve diğer alacaklar, çekler ve çek hesabı sahibinin bilgileri vb. ile Risk Merkezi Yönetimi tarafından Risk Merkezinin kuruluş amaçları doğrultusunda belirlenen diğer bilgilerin bildirildiği,
  • Risk Merkezi Yönetmeliğinin 10’uncu maddesinin birinci fıkrası uyarınca ise; kredi limiti ve kredi riski bilgilerinin müşteri bazında birleştirilerek bu müşteriler hakkında bildirimde bulunan üyelere bildirim dönemi itibariyle topluca bildirildiği, yine aynı Yönetmeliğin 17’nci maddesinin birinci fıkrasının (a) bendinde; Risk Merkezine üye olanların, Risk Merkezi tarafından bu Yönetmelik kapsamında talep edilen her türlü bilgi ve belgeyi zamanında, tam ve gerçeğe uygun olarak vermekle sorumlu olduklarının düzenlendiği,
  • Somut olayda veri sorumlusunun, banka niteliğini haiz olmakla birlikte 5411 sayılı Kanun’un Ek 1’inci maddesi uyarınca Risk Merkezine üye olma zorunluluğunun bulunduğu ve gerek 5411 sayılı Kanun gerekse Risk Merkezi Yönetmeliği gereğince; Risk Merkezine müşterilerine ait kredi bilgisi, kredi riski vb. bilgileri bildirmesi gerektiği, bu kapsamda ilgili kişiye ait finans verilerinin veri sorumlusu tarafından Risk Merkezine bildirilmesinin Kanun’un 8’inci maddesi anlamında aktarım anlamına gelmekte olduğu ve söz konusu aktarım faaliyetinin Kanun’un 5’inci maddesinde yer alan işleme şartlarından birine dayanması gerektiği,
  • Bu çerçevede, 5411 sayılı Kanun ile Risk Merkezi Yönetmeliği hükümleri kapsamında veri sorumlusunun söz konusu kişisel veri aktarım faaliyetini gerçekleştirmesi gerektiği, dolayısıyla veri sorumlusunun ilgili kişinin finans verilerini Risk Merkezine bildirmesinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (a) bendinde yer alan; “Kanunlarda açıkça öngörülmesi” ile (ç) bendinde yer alan “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartları kapsamında olduğu,
  • Kanun’un “Genel ilkeler” başlıklı 4’üncü maddesi uyarınca, kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği ve kişisel verilerin işlenmesinde maddede; “a) Hukuka ve dürüstlük kurallarına uygun olma. b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.” şeklinde sayılan ilkelere uyulmasının zorunlu olduğu, anılan madde hükmünden açıkça anlaşılacağı üzere, kişisel verilerin işlenmesinde her hal ve şartta Kanun’un 4’üncü maddesinde sayılan genel ilkelere uyulmasının hukuki bir gereklilik olduğu, 
  • Bu ilkelerden “Doğru ve gerektiğinde güncel olma” ilkesinin, Kanun’un 11 inci maddesinde düzenleme altına alınan ve ilgili kişinin haklarından biri olan kişisel verilerin düzeltilmesini talep etme hakkı ile doğrudan ilgili olduğu, kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması noktasında aktif özen yükümlülüğünün; veri sorumlusu eğer bu verilere dayalı olarak ilgili kişiyle alakalı bir sonuç ortaya koyuyor ise geçerli olduğu (örneğin kredi verme işlemleri),
  • Somut olay bakımından, kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması bakımından, veri sorumlusu Banka’nın aktif özen yükümlülüğü altında olduğu, zira, kredi verme, kredi kartı kullanımı, hesap özeti çıkarılması gibi işlemler bakımından banka hesap bilgilerinin güncelliğinin önem arz ettiği, 
  • Söz konusu verilerin yalnızca veri sorumlusu bünyesinde tutulmadığı ve pek çok kredi ve finans kuruluşunun erişebildiği Risk Merkezine de aktarıldığı, bununla birlikte, veri sorumlusu Banka’nın, Risk Merkezi Yönetmeliğinin 17’nci maddesinin birinci fıkrasının (a) bendi gereğince de; Risk Merkezi tarafından bu Yönetmelik kapsamında talep edilen her türlü bilgi ve belgeyi zamanında, tam ve gerçeğe uygun olarak verme sorumluluğu bulunduğu,
  • Öte yandan, Kanun’un “İlgili kişinin hakları” başlıklı 11’inci maddesi uyarınca; herkesin, veri sorumlusuna başvurarak kendisiyle ilgili; kişisel veri işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme, Kanun’un 7 nci maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, 11 inci maddenin birinci fıkrasının (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarına sahip olduğu ve bu kapsamda ilgili kişilerin, kişisel verilerinin eksik veya yanlış işlenmesi halinde, bunların düzeltilmesini talep etme hakkının bulunduğu,
  • Somut olay bakımından, Kuruma intikal eden belgeler incelendiğinde, veri sorumlusu Banka tarafından ilgili kişiye cevap verildiği ancak konuyu aydınlatacak ve ilgili kişinin şikâyetini çözümleyecek derecede yeterli bir cevap verilmediği,
  •  Zira ilgili kişinin farklı zamanlarda veri sorumlusu ile e-posta yoluyla iletişime geçerek Risk Merkezine yanlış aktarılan finans verilerinin düzeltilmesini tekraren talep ettiğinin görüldüğü,
  • İlgili kişi tarafından veri sorumlusuna iletilen, sair tarihlerdeki e-postaların tamamının aynı konuya ilişkin olduğu, veri sorumlusu tarafından bu durumun giderilmesine yönelik olarak gerekli sistem geliştirmesinin planlandığı ve 2020 yılı Mayıs ayı içerisinde gerçekleşecek sistem güncellemesi sonrasında aktif hale geleceği ve konu hakkında Kuruma ayrıca bilgi verileceği ve çalışmalar tamamlanıncaya kadar ilgili kişiye ilişkin kayıtların manuel olarak kontrol edilmeye ve gerekirse düzeltilmeye devam edileceği belirtilmiş olup, yazının farklı birçok tarihe ilişkin “Acil Güncelleme Sistemi” ekran görüntülerine yer verildiğinin görüldüğü,
  • Söz konusu ekran görüntüleri incelendiğinde; ilgili kişiye ait hesap kaydı detaylarının revize edildiği, veri sorumlusundan alınan yazıda bahsedilen sistem geliştirmelerinin tamamlandığı, yapılan geliştirmenin sonuçlarının titizlikle izlendiği ve bu süreçte, ilgili kişiye ilişkin Risk Merkezi bildirimlerinde düzeltme gerektiren bir hususa rastlanmadığı ve yapılan geliştirmenin başarılı olarak sonuçlandığının teyit edildiğinin belirtildiği, bu kapsamda veri sorumlusu tarafından ilgili kişinin Risk Merkezine yanlış aktarılan kişisel verilerinin düzeltilmesi talebinin veri sorumlusu tarafından yerine getirildiği,
  • Öte yandan, her ne kadar ilgili kişinin yanlış işlenen kişisel verileri veri sorumlusu tarafından ilgili kişinin talebi doğrultusunda düzeltilmiş olsa da başlangıçta gerçeğe aykırı olarak işlenen ve Risk Merkezine aktarılan kişisel veriler bakımından hukuka aykırı bir kişisel veri işleme faaliyetinin gerçekleştirildiği, veri sorumlusu tarafından gerek manuel düzeltmeler yapılması gerek sistemsel iyileştirmelere gidilmesi suretiyle ilgili kişinin talebi yerine getirilmiş olsa dahi, ilgili kişinin veri sorumlusunun bir dönem Kredi Kayıt Bürosuna yaptığı hatalı raporlamalar suretiyle kişisel verilerinin yanlış işlendiği dikkate alındığında veri sorumlusunun kişisel verilerin hukuka aykırı işlenmesini önlemek üzere gerekli idari ve teknik tedbirleri almadığının anlaşıldığı,
  • Zira, Kanun’un 4’üncü maddesinde düzenlenen genel ilkelere bütün kişisel veri işleme faaliyetleri bakımından riayet edilmesi gerekmekle birlikte, somut olay bakımından veri sorumlusunun işlediği kişisel verilerin doğru ve güncel tutulması bakımından aktif özen yükümlülüğünün bulunduğu,
  • Bir kişisel veri işleme faaliyetinin hukuka uygunluk arz edebilmesi için gerek Kanun’un 5’inci ve 6’ncı maddesindeki işleme şartlarından birinin varlığı gerek Kanun’un 4’üncü maddesinde düzenlenen genel ilkelere uygunluğun sağlanması gerektiği, somut olay bakımından da, veri sorumlusu tarafından yanlış işlenen kişisel verilerin Risk Merkezine aktarılması sonucunda ortaya çıkan finansal durumdan ötürü ilgili kişinin mağduriyet yaşadığı ve zarara uğratıldığı

değerlendirmelerinden hareketle,

  •  İlgili kişiye ait kişisel veri niteliğini haiz kredi notu bilgisinin veri sorumlusu tarafından yanlış işlenmesi ve Risk Merkezine aktarılmasının Kanun’un 4’üncü maddesinde yer alan genel ilkelerden; “doğru ve gerektiğinde güncel olma” ilkesine aykırılık teşkil ettiği dikkate alındığında, Kanun’un 12’nci maddesinin (1)numaralı fıkrasının (a) bendinde bulunan “...Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek...” yükümlülüğüne aykırı davranan veri sorumlusu hakkında;
    • Veri sorumlusunun bankacılık sektöründe oldukça büyük bir güce sahip olması, 
    • Veri sorumlusunun oldukça fazla sayıda müşteri ve potansiyel müşteri ile irtibat halinde olması, çeşitlilik arz eden konulara yönelik iletişim kurabilmesi ve bu konularda ilgili kişiler hakkında işlem tesis edebilmesi, 
    • Veri sorumlusunun banka niteliğini haiz olması dolayısıyla, işlediği kişisel veriler üzerinden ilgili kişiler hakkında sonuç elde etmesi ve bu sonuçlar doğrultusunda iş ve eylemlerini gerçekleştirmesi nedeniyle işlenen kişisel veriler bakımından doğruluk ve güncelliğin sağlanması adına aktif özen yükümlülüğünün bulunması,
    • Veri sorumlusunun işlediği kişisel verileri düzenli ve sistematik olarak Risk Merkezine bildirme yükümlülüğünün bulunması ve bu sisteme bildirilen veriler üzerinden, ilgili kişiler hakkında finansal anlamda önemli sonuçların oluşturulması nedeniyle yanlış bildirilen kişisel verilerin ilgili kişilerin mağduriyetlerine yol açabilmesi 

hususları da göz önünde bulundurularak Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 150.000 TL idari para cezası uygulanmasına,

  • İlgili kişi başvurularına Kanun ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’de belirlenen usule uygun ve yeterli bir cevap verilmesi gerektiğinin veri sorumlusuna hatırlatılmasına

karar verilmiştir. 

02.11.2021: “Banka tarafından ilgili kişinin cep telefonu numarasına SMS gönderilmesi suretiyle kişisel verilerinin hukuka aykırı olarak işlenmesi”
Karar Tarihi : 02/11/2021
Karar No : 2021/1104
Konu Özeti : Banka tarafından ilgili kişinin cep telefonu numarasına SMS gönderilmesi suretiyle kişisel verilerinin hukuka aykırı olarak işlenmesi

İlgili kişinin Kuruma intikal eden şikâyetinde özetle;  verilerinin silinmesi için veri sorumlusu Bankadan talepte bulunduğu, Banka tarafından verilen cevapta bu hususta gerekli işlemlerin yapıldığının belirtildiği, buna rağmen Bankadan SMS ve e-posta ile bilgilendirme mesajları gönderilmeye devam edildiği ve bu hususta Bankaya başvurulduğu, verilen yanıtta “Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik” düzenlemesinin gerekçe gösterildiği belirtilerek veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması talep edilmiş olup veri sorumlusu tarafından Kuruma intikal ettirilen cevabi yazıda özetle;

  • Banka ile ilgili kişi arasındaki müşteri ilişkisinin 2005 yılında başladığı, ilgili kişinin talebi üzerine Banka nezdindeki aktif ürünlerinin 03.08.2019 tarihinde kapatıldığı, 
  • İlgili kişinin Banka nezdinde demografik bilgilerinin (ad, soyadı, T.C. kimlik no, baba adı, anne adı, doğum tarihi, cinsiyet, doğum, doğum ülkesi, yerleşik ülke, vergi kimlik numarası, öğrenim bilgisi, medeni durum), meslek bilgisinin, anne kızlık soyadının, iletişim adreslerinin (telefon, cep telefonu, adres, e-posta), hesap numarası/IBAN bilgisi, banka tarafından üretilen müşteri numarası, kredi kartı müşterisi olması sebebiyle kredi kartı numarası gibi kişisel verilerinin işlendiği, 
  • •    İlgili kişinin Bankadan almış olduğu ürün ve hizmetler nedeniyle kurduğu ilişki kapsamında; Kişisel Verilerin Korunması Kanunu’nun (Kanun) 5’inci maddesinin (2) numaralı fıkrasında yer alan; kanunlarda açıkça öngörülmesi, Banka ile imzalanan sözleşme veya bu sözleşmenin yerine getirilmesiyle doğrudan ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, Bankanın hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, bir hakkın oluşması, kullanılması veya korunması için veri işlemenin zorunlu olması ve aynı maddede düzenlenen müşterilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Bankanın meşru menfaatleri için veri işlenmesinin zorunlu olması sebepleriyle; özel nitelikli kişisel veriler için ise Kanun'un 6’ncı maddesinin (2) numaralı fıkrasına göre müşterilerin açık rızasının bulunması hukuki sebepleriyle kişisel verilerinin işlendiği,
  • İlgili kişinin 06.01.2020 tarihinde Banka’ya başvurarak, Banka’nın kredi kartı müşterisi olduğu, kredi kaydını kapattırması sebebi ile Banka nezdindeki tüm kişisel verilerinin silinmesini talep ettiği,
  • 6102 sayılı Türk Ticaret Kanunu'nun 82’nci maddesi, 5411 sayılı Bankacılık Kanunu ile Bankacılık Düzenleme ve Denetleme Kurumu'nun Bankaların Muhasebe Uygulamalarına ve Belgelerin Saklanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik’in 17’nci maddesi gereğince, Bankaların müşterilerine ait her türlü bilgi ve belgeyi on yıl süreyle saklamakla yükümlüğü olduğu, on yıllık saklama süresinin son işlem tarihi olan hesap ve ürünlerin kapanma tarihinden itibaren başladığı, 
  • Banka nezdinde muhafaza edilen müşteri bilgilerine ilişkin 10 yıllık saklama süresinin henüz dolmadığı dikkate alınarak ilgili kişinin kişisel verilerinin silinmesi talebine olumlu yanıt verilemediği ancak kişisel verilerin ikincil amaçlarla işlenmemesi adına Banka nezdinde gerekli adımların atıldığı,
  • 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 4’üncü maddesinde yer verilen genel ilkelere uygun olarak kişisel verilerin saklama amacı dışında işlenmemesi için gerekli tedbirlerin alındığı, ilgili kişinin ticari elektronik ileti gönderilmesine ilişkin tüm tercihlerinin hiçbir kanaldan ulaşılmaması yönünde güncellendiği, verilerinin saklanması için gerekli hukuki sebep haricinde pazarlama gibi ikincil amaçlarla işlenmemesinin sağlanacağı yönünde ilgili kişiye cevap verildiği, 
  • İçişleri Bakanlığı'nın ve İl Hıfzıssıhha Kurullarının, Umumi Hıfzıssıhha Kanunu hükümleri doğrultusunda ve Banka’nın uymakla zorunlu olduğu tedbirler kapsamında özellikle pandeminin ülkemizde görüldüğü ilk aylardan itibaren sokağa çıkma yasağı kısıtlaması bulunan illerdeki Banka şubelerinin çalışma gün ve saatleri, genel olarak tüm şubelerinin çalışma saatleri, salgının yayılmasını önlemeye yönelik ve toplum sağlığını korumaya destek olmak amacıyla Banka tarafından alınan önlemlerin geçmişte Bankadan hizmet almış eski müşterileri olmak üzere tüm müşterilerine duyurulması ve bu konuda bilgilendirme yapma ihtiyacının hasıl olduğu,
  • Bu gerekçelerle ilgili kişi müşterinin Banka’da kayıtlı telefon numarasına koronavirüs salgınının yayılmasını önlemeye yönelik ve toplum sağlığını korumaya destek olmak amacıyla Banka tarafından alınan önlemlerin duyurulduğu birtakım bilgilendirme SMS'lerinin gönderildiği,
  • Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik’e uygun olarak, Banka nezdinde yapılan zorunlu iletişim konularının; “ Ürün ve hizmetlerimize ilişkin değişiklik ve kullanıma yönelik iletiler, devam eden ürün ve hizmetlerle ilgili tahsilat, borç hatırlatma, bilgi güncelleme, satın alma ve teslimat veya benzeri durumlara ilişkin bildirimleri içeren iletiler, ilgili mevzuata göre bilgi verme yükümlülüğümüz bulunan durumlar” şeklinde tanımlandığı,
  • Bankanın hukuken bilgi verme yükümlülüğünün bulunduğu durumlarda önceden onay alma zorunluluğunun bulunmadığı ve ilgili mevzuatta öngörülen bu durumlarda ilgili kişilerin de ret hakkını kullanamayacağının yukarıda sözü edilen Yönetmeliğin 9’uncu maddesinin 1’inci fıkrasında tekraren vurgulandığı, söz konusu hükme göre ilgili kişinin reddetme hakkını kullanmış olmasının hizmet sağlayıcı olarak Banka’nın tabi olduğu ilgili mevzuat hükümlerine göre alıcı sıfatını taşıyan kişilere gönderilmesi zorunlu olan bildirimlerin yapılmasına engel teşkil etmediği,
  • Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (a) bendinde düzenlenen kanunlarda açıkça öngörülmesi ve (ç) bendinde düzenlenen Bankanın hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması hukuki sebeplerinin ilgili kişilerin açık rızası olmadan kişisel verilerinin işlenebileceği durumları düzenlediği

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 02/11/2021 tarih ve 2021/1104 sayılı Kararı ile;

  • Kanun’un amacının kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olduğu, Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi; “veri sorumlusu”nun ise kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlandığı,
  • Kanun’un, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin;

a)    Hukuka ve dürüstlük kurallarına uygun olma,
b)    Doğru ve gerektiğinde güncel olma,
c)    Belirli, açık ve meşru amaçlar için işlenme,
ç)    İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d)  İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza   edilme
şeklinde sayıldığı,

  • Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler”i düzenleyen 12’nci maddesinin (1) numaralı fıkrasında veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idarî tedbirleri almak zorunda olduğunun hükme bağlandığı,
  • Kanun’un 5’inci maddesi çerçevesinde kişisel veri işleme şartları mevcut olsa dahi, kişisel verilerin işlenmesinde aynı zamanda, Kanun’un 4’üncü maddesinde yer alan ilkelere de uygun hareket edilmesi gerektiği, aksi halde, kişisel verilerin işlenmesine ilişkin hukuki şartlar geçerli olsa dahi hukuka aykırı veri işleme durumunun söz konusu olacağı,
  • Veri sorumlusunun, toplanan kişisel verilerin işlenme amacını açık ve kesin olarak belirlemesi ve ilgili kişiye belirtilen amaçlar dışında başka amaçlarla kişisel verileri işlememesi gerektiği, amaçla sınırlı olma ilkesi uyarınca kişisel verilerin işlenmesinin belirlenen amaçların gerçekleştirilmesine elverişli olması ve yine bu ilke uyarınca amaç için gerekli olan süreye uygun olarak da muhafaza edilmesi gerektiği, Kişisel Verilerin Korunması Kanunu’nun gerekçesinde “(…) sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik veri işlenebilmesi için, işlemeye ilk kez başlıyor gibi, 5 inci maddede düzenlenmiş olan kişisel verilerin işlenme şartlarından birinin gerçekleşmesi gerekecektir” ifadesinin yer aldığı,
  • Şikâyete konu SMS’lerin gönderildiği döneme ilişkin, yeni tip Covid 19 salgını ile mücadele kapsamında İçişleri Bakanlığı’nın 81 İl Valiliği’ne, büyükşehir statüsündeki 30 il ile Zonguldak’ta 30.04.2020 günü saat 24.00 ile 03.05.2020 günü saat 24.00 arasında sokağa çıkma kısıtlamasının uygulanacağına ilişkin 03.04.2020 tarih ve 6235 sayılı Sokağa Çıkma Kısıtlaması Genelgesini gönderdiği, genelgede bankalar başta olmak üzere yurt çapında yaygın hizmet ağı olan kurum, kuruluş ve işletmelerin bilgi işlem merkezleri ile çalışanlarının asgari sayıda olmak kaydıyla sokağa çıkma kısıtlamasından muaf tutulanlar listesinde belirtildiğinin görüldüğü,
  • İlgili kişinin müşterisi olduğu Banka’ya kendisine ait iş ve işlemlerde ulaşılması adına vermiş olduğu telefon numarası bilgisinin, Banka nezdindeki hesaplarını kapatmış olmasına diğer bir ifadeyle pasif hale getirmiş olmasına ve Bankanın da kişisel verilerin saklama amacı dışında işlenmeyeceği yönünde ilgili kişiye cevap vermiş olmasına rağmen, veri sorumlusu tarafından başlangıçta alınan işleme amacından başka bir amaçla SMS göndermek suretiyle ilgili kişinin kişisel verilerini işlemesinin farklı bir işleme amacına hizmet ettiği,
  • Kişisel verilerin işlenmesinde Kanun’un 5’inci maddesinde düzenlenen işleme şartlarından birine dayanılması gerektiği ancak somut olayda bilgilendirme içerikli mesajların iletilmesi suretiyle ilgili kişinin kişisel verisinin işlenmesinde Kanun’un 5’inci maddesinde yer alan herhangi bir işleme şartının bulunmadığı, öte yandan işlemenin Kanun’un 4’üncü maddesinde yer alan kişisel verilerin işlenmesinde “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine uyulması zorunluluğuna da aykırı olduğu dikkate alındığında Kanun’un 12’nci maddesinin (1) numaralı fıkrasının (a) bendi uyarınca veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı kanaatine varıldığı,
  • Diğer taraftan, 5411 sayılı Bankacılık Kanunu’nun 42’nci maddesinde; alınan yazıların ve faaliyetler ile ilgili belgelerin asıllarının veya bunun mümkün olmadığı hallerde sıhhatlerinden şüpheye mahal vermeyecek kopyalarının ve yazılan yazıların makine ile alınmış, tarih ve numara sırası verilerek düzenlenecek suretlerinin, usulleri çerçevesinde ilgili banka nezdinde on yıl süreyle saklanacağının hükme bağlandığı,
  • 5411 sayılı Bankacılık Kanunu’nun 42’nci maddesine dayanılarak hazırlanan Bankaların Muhasebe Uygulamalarına ve Belgelerin Saklanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik’in 17’nci maddesinin (1) numaralı fıkrasında ise “Bankaların, müşterilerinden ve resmî ya da özel kurum ve kuruluşlardan aldıkları mektup, telgraf, elektronik posta mesajı, ilam ve tebligatlar ile diğer yazıları ve Bankaların İç Sistemleri Hakkında Yönetmelik uyarınca hazırlayacakları raporlar da dahil olmak üzere, faaliyetleri ile ilgili belgelerin asıllarını veya mümkün olmadığı hallerde sıhhatlerinden şüpheye mahal vermeyecek kopyalarını ve müşterilerine ve resmî ya da özel kurum ve kuruluşlara yazdıkları yazıların makine ile alınmış, tarih ve numara sırası verilerek düzenlenecek suretlerini istenildiğinde ibraz edilebilecek şekilde nezdlerinde on yıl süreyle saklamaları zorunludur.” hükmünün yer aldığı,
  • Dolayısıyla veri sorumlusu tarafından ilgili kişinin kişisel verilerinin silindiğine ilişkin herhangi bir beyanda bulunulmadığı, sadece hesapların kapatıldığı ve pazarlama amaçlı olarak kişisel verilerin işlenmeyeceğine yönelik ticari ileti iletilmesine dair tercihlerin hiçbir kanaldan ulaşılmaması yönünde güncellendiği bilgisinin verildiğinin anlaşıldığı,
  • Öte yandan veri sorumlusunun sunduğu belgeler ile 5411 sayılı Kanun’un 42’nci maddesinde belirtilen 10 yıl saklama süresi hükmü ve 6698 sayılı Kanun’un 4’üncü maddesinde belirtilen “İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” ilkesinin birlikte değerlendirilmesi neticesinde, ilgili kişinin banka nezdindeki son işleminin 03.08.2019’da gerçekleştirilen aktif ürünlerinin kapatılması işlemi olduğu ve dolayısıyla son işlem tarihi üzerinden 10 yıllık sürenin geçmemiş olduğu dikkate alındığında; ilgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin henüz ortadan kalkmaması sebebiyle silme talebinin veri sorumlusu tarafından yerine getirilmemesinin hukuka aykırı olmadığı

değerlendirmelerinden hareketle, 

  • İlgili kişinin kişisel verilerinin silinmesi talebi ile ilgili olarak Bankanın kişisel verilerin saklama amacı dışında işlenmeyeceği yönünde ilgili kişiye verdiği cevaba rağmen Banka tarafından bilgilendirme amaçlı SMS göndermek suretiyle ilgili kişinin kişisel verilerini işlemesinin Kanun’un 5’inci maddesinde yer alan herhangi bir işleme şartına dayanmadığı dikkate alındığında, Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 50.000 TL idari para cezası uygulanmasına,
  • İlgili kişinin veri sorumlusu banka nezdindeki son işleminin 03.08.2019’da gerçekleştirilen aktif ürünlerinin kapatılması işlemi olduğu ve dolayısıyla son işlem tarihi üzerinden 10 yıllık sürenin geçmemiş olduğu dikkate alındığında; ilgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin henüz ortadan kalkmaması sebebiyle silme talebinin veri sorumlusu tarafından yerine getirilmemesinin hukuka aykırı olmadığı kanısına varıldığından bu hususta 6698 sayılı Kanun kapsamında yapılacak bir işlemin olmadığına

karar verilmiştir.

21.10.2021: “Bankanın avukatı tarafından borçlu yakını olan ilgili kişiye haciz ihbarnamesi gönderilmesi suretiyle kişisel verilerinin işlenmesi”
Karar Tarihi : 21/10/2021
Karar No : 2021/1069
Konu Özeti : Bankanın avukatı tarafından borçlu yakını olan ilgili kişiye haciz ihbarnamesi gönderilmesi suretiyle kişisel verilerinin işlenmesi

İlgili kişinin Kuruma intikal eden şikâyetinde özetle; borçlu yakını olarak bir Banka avukatınca kendisine İcra İflas Kanunu’nun 89’uncu maddesinin (1) numaralı fıkrası kapsamında gönderilen haciz ihbarnamesi ile kişisel verilerinin açık rızası alınmaksızın ihbarnamede yer alan üçüncü kişilerle paylaşıldığını tespit ettiği ve bu konuya ilişkin olarak hem Banka’ya hem de Banka avukatına başvurulduğu belirtilerek veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde hem Banka’nın hem Banka Avukatının savunması talep edilmiş olup Banka tarafından Kuruma intikal eden cevabi yazıda özetle;

  • Banka’nın alacağını tahsil etmek amacıyla 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 4’üncü maddesinde yer alan işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine uygun olarak yasal takip ve diğer hukuki işlemler için gerekli kişisel verileri işlediği,
  • Söz konusu kişisel verilerin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (a) ve (ç) bentleri uyarınca kanunlarda açıkça öngörülmesi ve veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması hukuki sebeplerine dayanılarak Banka’nın sözleşmeli avukatına aktarıldığı,
  • Gerek ilgili kişi gerek birinci haciz ihbarnamesi gönderilen üçüncü kişilere ait hiçbir kişisel verinin Banka tarafından paylaşılmadığı,
  • İcra İflas Kanunu’nun 89’uncu maddesinde borçluya ait olmakla beraber üçüncü kişilerde bulunan hak ve alacakların haczinin düzenlendiği, birinci haciz ihbarnamesinin alacaklı vekilinin bildirdiği kişilere İcra Müdürlüklerince gönderildiği,
  • Düzenlenen ve gönderilen birinci haciz ihbarnamesinin İcra Müdürlüğü tarafından bizzat düzenlendiği ve gönderildiği, bankanın sözleşmeli avukatının ihbarnameye müdahale imkânı olmadığı, ihbarnamenin elektronik imzalandığı, Banka’nın şikayet konusu hususta herhangi bir sorumluluğunun bulunmadığı,
  • İlgili kişinin ürün ve hizmetleri kullanması nedeniyle başvurusu sırasında elde edilen kimlik bilgileri, iletişim bilgileri, finans bilgileri, müşteri işlem bilgileri kategorisindeki kişisel verilerinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendi uyarınca bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması hukuki sebebine dayalı olarak başvurulan ürün ve hizmetleri (vadesiz TL, ATM kartı, fastpay, internet/mobil bankacılığı yetkisi, sigorta, maaş ödemesi, fatura ödemesi, EFT işlemleri) sunabilmek amacıyla işlendiği,
  • Müşteriye sunulan aydınlatma metninde kişisel verilerin hangi amaç ve sebeplerle işlendiğinin belirtildiği 

ifade edilmiştir.

Bankanın avukatı tarafından Kuruma intikal eden cevabi yazıda ise özetle;

  • Borçlunun borcunu ödememesi sebebiyle kendisine ihbarname gönderildiği, ihbarnameye rağmen borcun ödenmemesi üzerine müvekkili Banka’nın alacağını tahsil amacıyla borçlu hakkında icra takibi başlatıldığı, borcun ödenmemesi üzerine icra müdürlüğünden haciz işlemlerinin başlatılması için talepte bulunulduğu, ancak yapılan sorgular neticesinde borçlunun SGK, araç ve tapu kaydının pasif olduğunun tespit edildiği,
  • Borçlunun üçüncü şahıslarda olan alacaklarının haczi için bankalara İcra İflas Kanunu’nun 89’uncu maddesinin (1) numaralı fıkrası kapsamında haciz ihbarnamesi gönderildiği ve bankalardan olumsuz cevapların geldiği,
  • Menkul malların haczedilmesi için borçlunun adresine hacze gidildiği ancak adresten ayrıldığının tespit edildiği,
  • Menkul haczinden sonra borçlunun MERNİS kaydını düşürdüğü ve şu anda MERNİS adresinin bulunmadığının UYAP sorgu sonucuyla sabit olduğu,
  • Diğer tüm girişimlerin olumsuz çıkması sonucunda, müvekkilinin alacağının tahsili amacıyla borçlunun hak ve alacaklarının haczi için yapılan rutin işlemler arasında yer alan üçüncü kişilere haciz ihbarnamesi gönderilmesinin İcra Müdürlüğü'nden talep edildiği,
  • Bu talebin hukuki gerekçesinin, para alış verişlerinin aile bireyleri arasında çok sık rastlanılması ve ayrıca rızai miras sözleşmelerine çok sık rastlanılmasından kaynaklandığı,
  • İcra müdürlüğü tarafından talebin uygun görülerek üçüncü kişilere İcra İflas Kanunu’nun 89’uncu maddesinin (1) numaralı fıkrası kapsamında haciz ihbarnamesi hazırlandığı ve gönderildiği,
  • Haciz müzekkeresi icra müdürlüğü tarafından, matbu şablon müzekkere örneği üzerinden hazırlanmış olduğundan üçüncü kişilerin tamamına aynı müzekkere içerisinde haciz ihbarnamesi gönderildiği,
  • Yapılan işlemlerin tamamında İcra Müdürlüğünün karar ve onayı olduğu,
  • İcra müdürlüğünce hazırlanan haciz ihbarnamesinin, üçüncü kişilere Kanun’un 5’inci maddesinin (2) numaralı fıkrası kapsamında kanunlarda açıkça öngörülme şartına uygun olarak gönderildiği,
  • İcra Müdürlüğü tarafından hazırlanıp gönderilen haciz ihbarnamesi haricinde üçüncü kişiler hakkında başka bir işlem yapılmadığı, bu nedenle kişisel verilerin işlenmesi gibi bir durumun söz konusu olmadığı ve müştekinin icra dosyasında taraf olarak yer almadığı için kişisel verilerin depo edilmesi gibi bir durumun da oluşmadığı
  • İlgili kişi tarafından İcra Müdürlüğünce gönderilen haciz ihbarnamesine cevaben borçlunun kendisinde herhangi bir alacağı bulunmadığına ilişkin beyan dilekçesinin icra dosyasına sunulduğu, bu cevaba istinaden haciz ihbarnamesinin fekki için talepte bulunulduğu ve İcra Müdürlüğünce fek müzekkeresi hazırlanarak üçüncü kişilere tebliğ edildiği, bu nedenle kişisel verilerin saklanması, imha edilmemesi gibi bir durumun söz konusu olmadığı ve hiçbir kişisel verinin saklanmadığı

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 21/10/2021 tarih ve 2021/1069 sayılı Kararı ile;

  • Kanun’un amacının kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olduğu, Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi; “veri sorumlusu”nun ise kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlandığı,
  • Kişisel verilerin hangi amaç ve vasıtayla işleneceğini belirleyip veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olduğu tanımından hareketle somut olayda İcra İflas Kanunu’nun 89’uncu maddesinin (1) numaralı fıkrası kapsamında düzenlenen haciz ihbarnamesinde yer alan üçüncü kişilerin alacaklı vekili tarafından icra müdürlüğüne bildirilmesi nedeniyle veri sorumlusunun Banka Avukatı olduğunun görüldüğü,
  • Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükmünün yer aldığı,
  • İcra İflas Kanunu’nun 89’uncu maddesinde “ (1) Hamiline ait olmıyan veya cirosu kabil bir senetle müstenit bulunmıyan alacak veya sair bir talep hakkı veya borçlunun üçüncü şahıs elindeki taşınır bir malı haczedilirse icra memuru; borçlu olan hakiki veya hükmi şahsa bundan böyle borcunu ancak icra dairesine ödiyebileceğini ve takip borçlusuna yapılan ödemenin muteber olmadığını veya malı elinde bulunduran üçüncü şahsa bundan böyle taşınır malı ancak icra dairesine teslim edebileceğini, malı takip borçlusuna vermemesini, aksi takdirde malın bedelini icra dairesine ödemek zorunda kalacağını bildirir (Haciz ihbarnamesi). Bu haciz ihbarnamesinde, ayrıca 2, 3 ve 4’üncü fıkra hükümleri de üçüncü şahsa bildirilir. (2) Üçüncü şahıs; borcu olmadığı veya malın yedinde bulunmadığı veya haciz ihbarnamesinin tebliğinden önce borç ödenmiş veya mal istihlak edilmiş veya kusuru olmaksızın telef olmuş veya malın borçluya ait olmadığı veya malın kendisine rehnedilmiş olduğu veya alacak borçluya veya emrettiği yere verilmiş olduğu gibi bir iddiada ise, keyfiyeti, haciz ihbarnamesinin kendisine tebliğinden itibaren yedi gün içinde icra dairesine yazılı veya sözlü olarak bildirmeye mecburdur. ” hükmünün yer aldığı,
  • Bu kapsamda, veri sorumlusunun vekili olduğu Banka adına borçlu tarafın yakınlarına 89/1 haciz ihbarnamesi göndermesinde, Bankanın haklarını ve menfaatlerini korumak amacıyla hareket ettiği, bu anlamda Avukatlık Kanunu’ndan kaynaklanan yükümlülükleri ve yürütmekte olduğu icra işlemleri bakımından İcra İflas Kanunu ve ikincil mevzuat düzenlemelerinden kaynaklanan yükümlülüklerini yerine getirmek amacıyla ilgili birim/mercilere bildirme yetkisi olduğu ve bu bağlamda işlediği kişisel verilerin Kanun’un 5’ inci maddesinin (2) numaralı fıkrası çerçevesinde ilgili kişinin açık rızası olmaksızın işlemesinin kanuna uygun olacağı kanaatine varıldığı

değerlendirmelerden hareketle;

  • Bankanın somut olayda veri sorumlusu olmaması nedeniyle Kanun kapsamında hakkında yapılacak bir işlem olmadığına,
  • Avukat tarafından vekili olduğu bankanın alacağını tahsil etmek amacı ile yürütmekle yükümlü olduğu işlemlerin tesisi için üçüncü kişilere İcra ve İflas Kanunu’nun 89’uncu maddesinin (1) numaralı fıkrası kapsamında haciz ihbarnamesi gönderilmesi amacıyla ilgili kişinin adı, soyadı, kimlik numarası ve adres bilgisinin işlenmesi Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendinde yer alan “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması hükmü” kapsamında Kanuna uygun olduğu değerlendirildiğinden söz konusu şikâyet ile ilgili olarak veri sorumlusu Avukat hakkında da Kanun kapsamında tesis edilecek bir işlem olmadığına

karar verilmiştir.

14.10.2021: “İş arama ve işe alım süreçlerini yürüten bir istihdam platformunun KVKK’ya aykırı uygulamalarda bulunması”
Karar Tarihi : 14/10/2021
Karar No : 2021/1051
Konu Özeti : İş arama ve işe alım süreçlerini yürüten bir istihdam platformunun Kişisel Verilerin Korunması Kanunu’na aykırı uygulamalarda bulunması

 

Kurum’a intikal eden şikâyet dilekçesinde özetle; veri sorumlusuna ait iş arama ve işe alım süreçlerini yürüten bir istihdam platformunda ilgili kişinin üyelik hesabı üzerinden yaptığı iş başvuruları ve iş görüşmeleri sonucunda işverenlere yönelik kişisel verilerinin gizliliği ve işlenmesi hususlarında veri sorumlusunun 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (Kanun) aykırı uygulamalarda bulunduğu, ilgili kişinin iş başvuruları ve görüşme sonrasına ait işverenlere sunulan tüm bilgi ve belgelerin dijital bir örneğinin kendisine verilmesi hususundaki bilgi/erişim talebinin veri sorumlusunca yerine getirilmediği, ayrıca ilgili kişinin başvurusuna cevaben iletilen cevabi yazıda ilgili kişinin onayı olmaksızın verilerinin silineceğinin belirtildiği ifade edilmiş ve konu hakkında gerekli işlemlerin yapılması talep edilmiştir. 

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup verilen cevabî yazıda özetle;

  • İlgili kişiye cevap verilerek talebinin yerine getirilmiş olmasına rağmen ilgili kişi tarafından veri sorumlusunun cevabı beklenmeden Kurul’a şikâyette bulunulduğu;
  • İlgili kişinin platformda bulunan iletişim kanalı üzerinden “İş başvuruları ve görüşme sonrasında sistemlerinde bulunan adayların değerlendirilmesine yönelik, işverenlere sunulan ilgili kişiye ait tüm verilerin ve verilerden türetilmiş bilgilerin Kanunun 11’inci maddesinin bentleri uyarınca paylaşılması” talebini müteakip veri sorumlusunca ilgili kişi ile iletişime geçildiği; ilgili kişinin işveren ile planladıkları mülakata gitmediği, işverenin "bu durumu diğer işverenlere belirteceğini" söylediği, ilgili kişinin verilerinin paylaşıldığı kişileri ve verilerinin (işverenin ilgili kişi hakkında veri sorumlusu hizmet ortamında yaptığı değerlendirmeleri) diğer işverenler ile paylaşılıp paylaşılmadığını öğrenmek istediğini belirttiği; ilgili kişinin talebini yanıtlamak amacıyla öncelikle sözlü olarak iletişime geçilerek veri sorumlusu nezdinde işverenlerin adaylar hakkında gerçekleştirdiği değerlendirmelerin herhangi bir şekilde diğer işverenlerle paylaşılmadığının belirtildiği; ayrıca ilgili kişinin talebinin kayda sistematik olarak geçmesi amacıyla "Veri Sorumlusu Başvuru Formu" iletildiği ve bu formun doldurularak veri sorumlusuna başvuruda bulunabileceğinin ifade edildiği;
  • İlgili kişinin formu doldurarak veri sorumlusuna ilettiği, ilgili kişinin başvurusunda Kanun’un 11’inci maddesinin tüm bentlerindeki haklarını kullanma talebinde bulunması üzerine bir yandan talebi yerine getirilirken bir yandan da söz konusu sürede ilgili kişiye ait kişisel verilerin işlenmesinin durdurularak talebi doğrultusunda 30 gün içerisinde Kanun ve ikincil mevzuata uygun şekilde kişisel verilerinin imha edileceği bilgisinin iletildiği, bunun üzerine ilgili kişinin kişisel verilerinin imha talebinde bulunmadığını, kişisel verilerinin aktarıldığı işverenlerin bilgilerini talep ettiğini ve veri sorumlusunun tutumunu Kurul’a şikâyet edeceğini belirttiği, aynı gün veri sorumlusunun ilgili kişi ile sözlü iletişime geçtiği ve talebinin karşılanacağını belirttiği, bununla birlikte ilgili kişinin veri sorumlusunun kasıtlı bir şekilde böyle cevap verdiğini ve Kurul’a şikâyette bulunduğunu ifade ettiği;
  • Buna rağmen ilgili kişinin veri sorumlusu bünyesinde yer alan verilerine o güne kadar erişen tüm işverenlerin bilgisinin ilgili kişi ile paylaşıldığı ve bunun ardından herhangi bir iletişim kurulmadığı, ilgili kişinin mevcut durumda hala platform üyesi olduğu ve platformu kullanmaya devam ettiği;
  • İlgili kişinin Kurum’a ilettiği şikâyet dilekçesinde yer alan ifadelerin aksine başvurusunun reddedilmediği, veri sorumlusunun ilgili kişinin talebini yerine getirmek adına başvuru sonrası derhal çalışmalara başladığı ve 7 gün gibi kısa bir süre içerisinde 2008 yılından bu yana işlenen çeşitli kişisel verileri ilgili kişinin kolayca ulaşabileceği bir formatta kendisine ilettiği;
  • Veri sorumlusunun Kanun ve ikincil düzenlemeleri uyarınca yürürlüğe koyduğu Kişisel Veri İşleme, Saklama ve İmha Politikasını özenle uygulamakta olduğu, ilgili kişinin talebi üzerine kişisel verileri silme/imha etme işlemine başlandığı fakat böyle bir talebinin olmadığının anlaşıldığı anda işlemin durdurulduğu ve ilgili kişiye ilişkin herhangi bir kişisel veri kaybının söz konusu olmadığı;
  • İşverenlerin çalışan adayları hakkında aldığı notların ve izlenimlerinin diğer işverenler ile paylaşılması gibi bir uygulamanın söz konusu olmadığı, işverenlerin yalnızca çalışan adaylarının platforma yüklediği bilgileri görebildiği, veri sorumlusu nezdinde çalışan adaylarının platforma yüklemiş olduğu kişisel verileri kullanılarak herhangi bir veri türetilmediği, yalnızca işverenlerin kendilerine başvuruda bulunan çalışan adaylarına ilişkin notlarını ve izlenimlerini platforma yükleyebildiği ancak bu durumun tamamen işverenlerin takdirinde olduğu ve bu kişisel veriler için işverenlerin veri sorumlusu olup bu bilgilerin üretilmesine ilişkin kendilerinin herhangi bir dahlinin bulunmadığı;
  • İlgili kişinin Kanun yürürlüğe girmeden evvel bir dönemde platforma üye olduğu ve yine Kanun’un Geçici 1’inci maddesi uyarınca da geçiş süreci içerisinde aksine bir irade beyanında bulunmadığı, yine de firmanın tüm veri işleme süreçlerine ilişkin kapsamlı bir uyum süreci başlattığı, VERBİS kaydını da zamanında tamamlayarak, şeffaf ve hesap verebilir şekilde kişisel verilerin korunması için gerekli teknik ve idari tedbirleri aldığı;
  • Veri sorumlusunun ilgili kişiye sunduğu hizmetler sebebiyle ilgili kişiye ait kimlik bilgilerinin, iletişim bilgilerinin, mesleki deneyim bilgisinin,  aldığı sertifika ve eğitim bilgilerinin, yabancı dil bilgisinin, kullanabildiği bilgisayar programlarının, görsel veri olarak özgeçmişte yer alan fotoğraf ve diğer bilgiler olarak da hobilerinin, ilgi alanları ve gerçekleştirilen projelere ilişkin bilgilerin işlendiği, ilgili kişilere sunulan “Kişisel Verilerinizin Korunması Hakkında Aday Aydınlatma Metni”nde (Aydınlatma Metni) platforma üye olan adayların hangi kişisel verilerinin işlendiğinin belirtildiği ancak Aydınlatma Metni'nde yer alan tüm veri kategorilerinin veri sorumlusunca işlenmediği, ilgili kişilerin iş ilanlarına başvurmak için hangi bilgileri paylaşacaklarını kendilerinin belirlediği;
  • İlgili kişinin 21.03.2008 tarihinde “Hizmet Sözleşmesi”ni kabul ederek platforma üye olduğu, Hizmet Sözleşmesi uyarınca ve ilgili kişiye sunulan hizmet kapsamında Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendindeki "Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” hükmü uyarınca işlendiği, zira platformun kullanım amacı ve üyelere sunulan hizmet kapsamında sayılan kişisel verilerin işlenmesinin zaruri olduğu, ayrıca üyelerin paylaşacakları kişisel verileri kendilerinin belirlediği, bu nedenle ilgili kişiden açık rıza alınmadığı ve yukarıda belirtilen hukuki sebebe dayanılarak kişisel verilerinin işlendiği;
  • İlgili kişinin kişisel verilerinin platforma üye olan işverenler ile paylaşıldığı, adayların işverenler ile doğrudan özgeçmiş paylaşımı yapabildiği gibi işverenlerin de platform üzerinden adayların özgeçmişlerine erişebildiği, ilgili kişinin özgeçmişinde yer alan kişisel verilere hangi işverenlerin ne zaman eriştiği de belli olacak şekilde ilgili kişiye sunulduğu;
  • Veri sorumlusunun ilgili kişileri aydınlattığı ölçüde ve Aydınlatma Metni'nde belirttiği amaçlar doğrultusunda kişisel verilerini kullandığı, bu amaçların dışında ve bu amaçları aşacak ölçüde kişisel veri kullanılmasına izin vermediği, ilgili kişinin talebinin yerine getirildiği ve kişisel verilerinin onayı olmadan silinmesi veya imha edilmesi gibi bir durumun söz konusu olmadığı 

ifade edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 14/10/2021 tarihli ve 2021/1051 sayılı Kararı ile;

  • Kanun’un amacının kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olduğu, Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi; “veri sorumlusu”nun ise kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlandığı,
  • Kanun’un, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin;

a)    Hukuka ve dürüstlük kurallarına uygun olma,
b)    Doğru ve gerektiğinde güncel olma,
c)    Belirli, açık ve meşru amaçlar için işlenme,
ç)    İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d)  İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza   edilme
şeklinde sayıldığı,

  • Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Öte yandan, “İlgili Kişinin Hakları”nı düzenleyen Kanun’un 11’inci maddesinin, “(1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;

a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp
kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini
isteme,
e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok
edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü
kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle
kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde
zararın giderilmesini talep etme, haklarına sahiptir.”
hükmünü amir olduğu,

 

  • Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler”i düzenleyen 12’nci maddesinin (1) numaralı fıkrasında veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idarî tedbirleri almak zorunda olduğunun hükme bağlandığı,
  • Somut olayda, ilgili kişinin kişisel verilerine erişim talebinin yerine getirilmemesi konusundaki iddiasına ilişkin olarak;  ilgili kişinin veri sorumlusunun ilk cevabından sonra talebinin karşılanmadığı düşüncesiyle Kurula şikâyette bulunduğu anlaşılmış olmakla birlikte, ilgili kişinin kişisel verilerine erişim talebinin Kurula şikâyette bulunma tarihinden sonra ve Kanun’un 13’üncü maddesinin (2) numaralı fıkrasına uygun şekilde “talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde” sonuçlandırıldığı dolayısıyla ilgili kişi tarafından yapılan iş başvurularına ilişkin bilgi edinme talebinin veri sorumlusunun e-postası ile yerine getirildiği görüldüğünden, ilgili kişinin talebinin karşılanmadığına yönelik şikâyeti hakkında Kanun kapsamında yapılacak bir işlem bulunmadığı,
  • İlgili kişinin talebi olmaksızın kişisel verilerinin veri sorumlusu tarafından silineceğinin / imha edileceğinin bildirilmesi hususundaki iddialarına yönelik olarak veri sorumlusunca ilgili kişinin başvurusunda Kanun’un 11’inci maddesinin (1) numaralı fıkrasının tüm bentlerindeki haklarını kullanma talebinde bulunması nedeniyle söz konusu fıkranın (e) bendinde yer alan kişisel verilerinin silinmesi talebinde de bulunduğunun anlaşıldığı fakat ilgili kişinin cevabı üzerine böyle bir talebin olmadığının anlaşılması halinde silme ve imhaya yönelik işlemin derhal durdurulduğu ve ilgili kişiye ilişkin herhangi bir kişisel veri kaybının söz konusu olmadığının belirtildiği görülmüş olup; ilgili kişinin veri sorumlusu nezdindeki kişisel verilerinin silindiği/silineceği iddiasına yönelik veri sorumlusu beyanı aksine bir bilgi veya belgenin ilgili kişi tarafından Kurum’a sunulmaması, ilgili kişinin iş başvurusu bilgilerinin e-posta ile ilgili kişiye iletilmiş olması, ilgili kişinin şikâyet tarihinden sonra da veri sorumlusuna ait platformda iş başvurularına devam ettiği bilgisinin verilmesi ve ilgili kişinin başvurusu ile Kanun’un 11’inci maddesi kapsamındaki tüm haklarını kullanmak istediğini belirtmesi karşısında verilerinin silinmesini de talep ettiğinin anlaşılmasında veri sorumlusuna herhangi bir kusur yüklenemeyeceği değerlendirilerek; ilgili kişinin talebi olmaksızın kişisel verilerinin veri sorumlusu tarafından silineceğinin/ imha edileceğinin bildirilmesine yönelik şikâyeti hakkında Kanun kapsamında yapılacak bir işlem bulunmadığı,
  • İlgili kişinin bilgisi ve onayı olmaksızın iş başvuruları ve iş görüşmelerine ilişkin kişisel verilerinin diğer işverenlerle paylaşılması iddialarına ilişkin olarak ilgili kişinin bu iddiaya yönelik şüphenin ötesine geçen herhangi bir tevsik edici bilgi veya belge sunması, veri sorumlusunun ise işverenlerin yalnızca çalışan adaylarının platforma yüklediği bilgileri görebildiğini, işverenlerin kendilerine başvuruda bulunan çalışan adaylarına ilişkin notlarını ve izlenimlerini platforma yükleyebildiği ancak bu durumun tamamen işverenlerin takdirinde olduğu ve işverenlerin çalışan adayları hakkında aldığı notların ve izlenimlerinin diğer işverenler ile paylaşılması gibi bir uygulamanın söz konusu olmadığını beyan etmesi karşısında; ilgili kişinin bu şikâyetiyle ilgili olarak Kanun kapsamında yapılacak bir işlem bulunmadığı 

değerlendirmelerinden hareketle;

  • İlgili kişinin veri sorumlusunun ilk cevabından sonra talebinin karşılanmadığı düşüncesiyle Kurul’a şikâyette bulunduğu, ilgili kişinin kişisel verilerine erişim talebinin Kurul’a şikâyette bulunma tarihinden sonra ve Kanun’un 13’üncü maddesinin ikinci fıkrasına uygun şekilde “talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde” sonuçlandırıldığı görüldüğünden, ilgili kişinin kişisel verilerine erişim talebinin karşılanmadığına yönelik şikâyeti hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına,
  • İlgili kişinin veri sorumlusu nezdindeki kişisel verilerinin silindiği/silineceği iddiasına yönelik veri sorumlusunun beyanı aksine bir bilgi veya belgenin ilgili kişi tarafından Kuruma sunulmaması, ilgili kişinin iş başvurusu bilgilerinin e-posta ile ilgili kişiye iletilmiş olması, ilgili kişinin şikâyet tarihinden sonra da veri sorumlusuna ait platformda iş başvurularına devam ettiği bilgisinin verilmesi ve ilgili kişinin başvurusu ile Kanun’un 11’inci maddesi kapsamındaki tüm haklarını kullanmak istediğini belirtmesi karşısında verilerinin silinmesini de talep ettiğinin anlaşılmasında veri sorumlusuna herhangi bir kusur yüklenemeyeceği değerlendirilerek; ilgili kişinin talebi olmaksızın kişisel verilerinin veri sorumlusu tarafından silineceğinin/imha edileceğinin bildirilmesine yönelik şikâyeti hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına, 
  • İlgili kişinin bilgisi ve onayı olmaksızın iş başvuruları ve iş görüşmelerine ilişkin kişisel verilerinin diğer işverenlere aktarıldığı iddiasına yönelik şüphenin ötesine geçen herhangi bir tevsik edici bilgi veya belge sunmamış olması, veri sorumlusunun ise işverenlerin yalnızca çalışan adaylarının platforma yüklediği bilgileri görebildiğini, işverenlerin kendilerine başvuruda bulunan çalışan adaylarına ilişkin notlarını ve izlenimlerini platforma yükleyebildiği ancak bu durumun tamamen işverenlerin takdirinde olduğu ve işverenlerin çalışan adayları hakkında aldığı notların ve izlenimlerinin diğer işverenlere aktarılması gibi bir uygulamanın söz konusu olmadığını beyan etmesi karşısında; ilgili kişinin bu şikâyetiyle ilgili olarak Kanun kapsamında yapılacak bir işlem bulunmadığına 

karar verilmiştir.

17.02.2022: “Veri sorumlusu bir alışveriş merkezi tarafından senetli alışverişler için ilgili kişilerden e-Devlet şifresi, internet sayfasında üyelik oluşturulması için ise T.C. kimlik numarası temin edilmesi suretiyle kişisel verilerin hukuka aykırı işlenmesi”
Karar Tarihi : 17/02/2022
Karar No : 2022/137
Konu Özeti : Veri sorumlusu bir alışveriş merkezi tarafından senetli alışverişler için ilgili kişilerden e-Devlet şifresi, internet sayfasında üyelik oluşturulması için ise T.C. kimlik numarası temin edilmesi suretiyle kişisel verilerin hukuka aykırı işlenmesi

 

Kuruma intikal ettirilen ihbar dilekçesinde; veri sorumlusu bir alışveriş merkezinin internet sitesinde senet ile telefon satın alma başvurusu yapıldığı esnada ilgili kişilerden e-Devlet şifrelerinin istenildiği, bu durumun 6698 sayılı Kanuna aykırılık teşkil ettiği belirtilerek gereğinin yapılması talep edilmiştir. İhbar dilekçesinde ayrıca; veri sorumlusunun internet sitesinde ‘Kasaya Git’ sekmesi altındaki sayfada “Senetli alışverişte onay sürecinizin başarıyla tamamlanmasını istiyorsanız aşağıdaki alana e-Devlet şifrenizi giriniz. Siparişi onaylıyorum butonuna basıldığında otomatik olarak doğrulama yapılacaktır. şeklinde bilgilerin yer aldığı ekran görüntüsüne yer verildiği görülmüştür.

Konuya ilişkin başlatılan resen inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

  • Veri sorumlusunun gerek yerleşik olduğu iş yerlerinde gerekse de web sitesinde perakende satış hizmeti sunduğu ve bu hizmete ilişkin müşteri/ziyaretçi/üyelerden kanundan kaynaklanan veya satış sözleşmesinin gereklerinden kaynaklanan kişisel verileri satış sözleşmesini gereği gibi ifa etmek amacıyla otomatik olan yahut otomatik olmayan yollarla bir veri kayıt sisteminin parçası olmak üzere uhdesinde bulundurduğu,
  • Ayrıca kredilendirmeye esas olarak senetle yapılan alışverişler için sözleşmenin kurulması ve ifasıyla doğrudan ilgili olan ilgili kişilere ait kişisel, mali ve ekonomik verilerin işlendiği, ilgili kişilerden istenen bu verilerin işleme ilkelerine tam olarak uyumlu olduğu,
  • Veri sorumlusu tarafından verilerin; kredilendirmeye esas teşkil etme, ilgili kişilerin kimlik bilgilerini, mali gücünü ve iletişim bilgilerini doğrulama, mal/hizmet satış süreçlerinin yürütülmesi, müşteri ilişkileri süreçlerinin yönetilmesi, sözleşme süreçlerinin yürütülmesi, talep/şikâyetlerin takibi, yetkili kişi, kurum ve kuruluşlara bilgi verilmesi, hukuk işlerinin takibi ve yürütülmesi amaçlarıyla işlendiği, saklandığı ve gerektiğinde imha edildiği,
  • İnternet sitelerine üye olan kişilerin; ad-soyadı, iletişim, adres, parola, alışveriş bilgileri, ödeme yöntemleri bilgilerinin işlendiği, bu bilgilerin satış/pazarlama, pazarlama analiz çalışmalarının yürütülmesi, reklam/kampanya/promosyon süreçlerinin yürütülmesi, talep/şikâyetlerin takibi, ürün tanıtımı, hediye çeki, satış sözleşmesine hazırlık faaliyeti amaçlarıyla işlendiği, üye olmayıp yalnızca ziyaretçi olan kişilerin; IP adresi, site üzerinde gezinme bilgilerinin tanıtım yapmak, promosyonlar ve pazarlama teklifleri sunmak, sitenin içeriğini kullanıcılara göre iyileştirmek ve/veya tercihlerini belirlemek amacıyla işlendiği, alışveriş yapmak isteyen muhtemel müşteri/müşterilerin; ad-soyadı, iletişim, adres, parola, alışveriş bilgileri, ödeme yöntemleri, otomatik ödeme bilgilerinin satış/pazarlama, pazarlama analiz çalışmalarının yürütülmesi, reklam/kampanya/promosyon süreçlerinin yürütülmesi, talep/şikâyetlerin takibi, ürün tanıtımı, hediye çeki, satış sözleşmesine hazırlık faaliyeti amaçlarıyla işlendiği,
  • Firmalarının mağaza satışlarının büyük kısmını oluşturan "Sözleşmeli Alışveriş"ler için internet üzerinden uygun bir ekran oluşturulmak istendiği, sözleşme ile alışverişin Türk Borçlar Kanununun (TBK) 8 inci maddesinde yer alan icaba davet niteliğinde bir faaliyet olduğu, bu alışveriş bakımından firmanın kendi iç bünyesinde kredilendirme çalışması yapıldığı, ilk olarak muhtemel müşteri ile iletişime geçilerek verilecek ürün ile ilgili ödeme gücünün tespit edildiği, internet sitesinde bulunan sözleşmeli satış ile ilgili olarak alınan verilerin yalnızca yukarıda belirtilen veriler olduğu, bunun haricinde e-Devlet şifresinin taraflarınca istenmediği ve ilgili alanın başkaca bir görselin parçası olduğu, format olarak dahi girilip doldurabilen bir alan olmadığı, jpg formatında olan bir alan olduğu ve taraflarınca fark edilmesiyle ivedilikle kaldırıldığı, bu alanda yer alan e-Devlet şifresi girişi için internet sitelerinde teknik donanım dahi bulunmadığı, bu hususla ilgili kurumun yapacağı her türlü denetime firmalarının açık olduğu, site üzerinde yer alan yazılımda ve veri tabanlarında bu hususa ilişkin hiçbir veri bulunmadığı, hiç kimsenin bu şekilde oldukça hassas ve kişiye özel olan verisinin işlenmediği, yalnızca icaba davet niteliğinde olacak şekilde genel nitelikli verilerin taraflarınca işlendiği ve kredilendirme yapma ve ödeme gücünün tespiti için iletişim numarasından kişi ile iletişime geçilerek bu şekilde kimlik doğrulaması yapıldığı, taraflarının e-Devlet şifresi alma gibi bir uygulaması bulunmadığından bu verilerle başkaca hiçbir verinin de elde edilmediği

belirtilerek kişisel verilerin korunmasına ilişkin taraflarınca alınan idari ve teknik tedbirlerle ilgili başkaca bilgilere ve açıklamalara yer verilmiştir.

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun 17/02/2022 tarih ve 2022/137 sayılı Kararı ile;

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun “Tanımlar” başlıklı 3 üncü maddesinde; “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi, “veri sorumlusu”nun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi, “kişisel verilerin işlenmesi”nin ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı,
  • Kanunun, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4 üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkeler; hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme şeklinde sayıldığı,
  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin (1) numaralı fıkrasında da “Veri sorumlusu; a) kişisel verilerin hukuka aykırı işlenmesini önlemek, b) kişisel verilere hukuka aykırı erişilmesini önlemek, c) kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmüne yer verildiği, mezkur maddenin (5) numaralı fıkrasında kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildireceğinin hüküm altına alındığı,
  • Somut olayda veri sorumlusu tarafından internet sitesinde e-Devlet şifresinin talep edildiği alanın jpg formatında olduğu iddia edilmekle birlikte söz konusu internet sitesine ilişkin ekran görüntüsü incelendiğinde; Kasaya Git sekmesi altındaki sayfada kırmızı renk ile yazılmış “Dikkat Senetli alışverişte onay sürecinizin başarıyla tamamlanmasını istiyorsanız aşağıdaki alana e-Devlet şifrenizi giriniz. Siparişi Onaylıyorum butonuna basıldığında otomatik olarak doğrulama yapılacaktır.” bilgilendirmesinin yer aldığı ve e-Devlet şifresinin girilebildiği bir kutucuk ile SİPARİŞİ ONAYLIYORUM başlıklı bir bölüm olduğu, dolayısıyla, ihbar dilekçesi ekinde yer verilen ekran görüntüsünden yazı içeriğinde butona basılması ile otomatik olarak doğrulama yapılacağının belirtilmesi ve e-Devlet şifresinin girildiği bir alan olduğunun anlaşılması noktasından hareketle e-Devlet şifresi girileceği belirtilen alanın jpg formatında olmasının herhangi bir amaca hizmet etmeyeceği, nitekim veri sorumlusu da her ne kadar e-Devlet şifresinin taraflarınca istenmediğini, ilgili alanın başkaca bir görselin parçası olduğunu, doldurulamayacak ve jpg formatında bir alan olduğunu iddia etse de bu durumu tevsik edici bir belge sunmadığı, hatta ihbara konu ekran görüntüsünün taraflarınca fark edilmesiyle ivedilikle kaldırıldığını beyan ettiği,
  • Bu kapsamda, ihbara konu ekran görüntüsünde yer alan sayfanın, veri sorumlusunun e-mağaza uygulamasında kontrolleri dışında görüntülenebilir olmasının mümkün olamayacağı, söz konusu olay bu şekilde vuku bulmuş olsa dahi bu durumun veri sorumlusunun kendi internet sitesinde gerçekleştirilmesi muhtemel kişisel veri işleme faaliyetlerinin kontrolünü sağlayamadığına, dolayısıyla gerekli teknik ve idari tedbirleri almadığına işaret ettiği, senetli alışverişlerde müşterilerin e-Devlet şifrelerinin temin edilmesi suretiyle, ilgili kişilerin e-Devlet kapısında kendileriyle ilgili yer alan her türlü bilgiye veri sorumlusunca erişilebilme tehlikesi ile karşı karşıya kalacakları,
  • Öte yandan, söz konusu e-Devlet şifresinin bir anlam ifade edebilmesi için müşteriler tarafından öncelikle T.C. kimlik numarasının veri sorumlusuna sağlanmış olması gerektiği, veri sorumlusu tarafından üye olan kişilerin ad-soyadı, iletişim, adres, parola, alışveriş ve ödeme yöntemleri bilgilerinin işlendiği, alışveriş yapmak isteyen muhtemel müşteri/müşterilerin ise ad-soyadı, iletişim, adres, parola, alışveriş, ödeme yöntemleri ve otomatik ödeme bilgilerinin işlendiği belirtilmekle birlikte Kuruma iletilen aydınlatma metinlerinde taraflarınca T.C. kimlik numarasının da alındığının beyan edildiği, bu hususa ilişkin olarak internet sitesinde yapılan incelemede Hesap Oluştur sayfasında üyelik için T.C. kimlik no, ad, soyadı, e-posta, telefon, adres (il, ilçe, mahalle, cadde, sokak, açık adres) ve parola bilgilerinin talep edildiği ve “TC Kimlik No bilgisi dışındaki diğer alanlar, Tc Kimlik No bilgisi girildikten sonra aktifleştirilecektir.” ifadelerine yer verildiği,
  • Ayrıca, internet sitesine rastgele bir T.C. kimlik numarası ile üye olunmak istendiğinde “Girdiğiniz Tc kimlik numarası geçersizdir.” uyarısı ile karşılaşıldığı, söz konusu T.C. kimlik numaralarının geçerli ya da geçersiz olduğuna ilişkin doğrulamanın nasıl bir veri tabanı ile sağlandığının anlaşılamadığı,
  • Üyelik oluşturma sayfasında T.C. kimlik numarası girilmesi gereken alanlara rastgele numaralar girilerek deneme yapıldığı, bu denemede *********** şeklinde bir numara girilmesi sonrasında aktifleşen alanlarda otomatik olarak A*** A*** İ*** Cad. S*** Sok. No:** bilgilerinin görüntülendiği, bu şekilde birkaç tane daha deneme yapıldığı ve farklı kişilerin ad, soyadı ve adres bilgilerinin ekrana otomatik olarak yansıdığı, söz konusu T.C. kimlik numaralarının geçersiz olabileceği kanaatine varılmakla birlikte bu üyeliklerin veri sorumlusu tarafından doğrulama sistemi getirilmesi öncesinde müşteriler tarafından oluşturulan gerçek hesaplar veya veri sorumlusu tarafından deneme amaçlı oluşturulan hesaplar olabileceği,
  • Söz konusu ihtimallere karşı geçerli bir T.C. kimlik numarası ile üyelik oluşturulduğu, sonrasında aynı T.C. kimlik numarasının hesap oluşturma sayfasına girildiği ve oluşturulan hesap bilgilerinin üyelik sayfasında otomatik olarak yer aldığı, buradan hareketle, yalnızca bir kişinin T.C. kimlik numarasını ve söz konusu sayfaya üye olduğunu bilen bir kişinin ilgili kişinin adres bilgilerine ulaşmasının olası olduğu,
  • Bununla birlikte söz konusu güvenlik açığının veri sorumlusu nezdindeki kişisel verilere hukuka aykırı olarak üçüncü kişiler tarafından erişim sağlanmasına sebebiyet vermiş olduğu; ancak veri sorumlusu tarafından bu hususta Kanunun 12 nci maddesinin (5) numaralı fıkrası çerçevesinde Kurula bildirimde bulunma yükümlülüğünün yerine getirilmediği,
  • Resen inceleme konusu çerçevesinde internette yapılan araştırmada; veri sorumlusunun internet sitesinden yaptıkları alışverişlerle ilgili yaşadıkları sorunları paylaşan farklı kişilerin olduğu, bu kişilerin şikâyetlerinde e-Devlet şifresini de veri sorumlusu ile paylaştıklarını ifade ettikleri ve bu durumdan endişe duyduklarının görüldüğü,
  • Bu çerçevede resen incelemeye konu ihbar başvurusu, veri sorumlusu hakkında internet sayfalarında yer verilen şikâyetler ile veri sorumlusundan alınan bilgiler ışığında, veri sorumlusu tarafından ilgili kişilerden senetli alışveriş yapabilmek için e-Devlet şifresi, internet sayfasında üyelik oluşturabilmek için de T.C. kimlik numarası bilgisinin temin edilmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyetlerinin Kanunun 5 inci maddesinin (2) numaralı fıkrasında yer alan veri işleme şartlarından herhangi birine dayanılmaksızın gerçekleştirildiği,
  • Bununla birlikte, “T.C. kimlik numarası” ve “e-Devlet şifresi” bilgileri her ne kadar üye olmak ve/veya senetli alışveriş yapmak isteyen kişiler tarafından veri sorumlusu ile paylaşılıyor olması dolayısıyla, açık rıza kapsamında işleniyor gibi görünse de; açık rızanın Kanunun 3 üncü maddesinin (1) numaralı fıkrasının (a) bendinde ‘Belirli konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza’ şeklinde tanımlandığı, buna göre, açık rızanın ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanı şeklinde anlaşılması gerektiği, rızanın özgür iradeyle verilmiş olmasının kişilerin verileri üzerinde kontrol hakkına sahip olması ve bireylere gerçek bir seçim hakkının tanınmış olması ile sağlandığı, birey rıza vermemenin sonucunda hizmetten yararlanamıyor ise yani reddin bir yaptırımı var ise bu bireyin karar verme mekanizmasını etkileyecek bir duruma sebebiyet verebileceği, somut olayda online bir alışveriş sitesine üye olmak ve senetli alışveriş yapmak için alınan kişisel verilerin sözleşmenin gerektirdiği nitelikteki verileri aşacak nitelikte olduğu, bu bilgiler verilmeden üye olunup, senetli alışveriş yapılamıyorsa (Veri Sorumlusunun hesap oluşturma sayfasında yer alan bilgi: “TC Kimlik No bilgisi dışındaki diğer alanlar, Tc Kimlik No bilgisi girildikten sonra aktifleştirilecektir.”, veri sorumlusunun Kasaya Git sekmesinde yer alan bilgi: Dikkat Senetli alışverişte onay süreciniz başarıyla tamamlanmasını istiyorsanız aşağıdaki alana e-Devlet şifrenizi giriniz.), bu durumda hizmetin sunumunun bu bilgilerin verilmesi yönündeki bir rızaya bağlandığı, burada bireyin üyeliği oluşturmak ve sonrasında sunulacak hizmetlerden yararlanabilmek için başka bir seçeneği bulunmadığı ve bireye gerçek bir seçim hakkı sunulmadığı, sonuç olarak, ilgili kişiler tarafından e-Devlet şifresi ve T.C. kimlik numarasının söz konusu internet sayfasına üye olabilmek ve senetli alışveriş yapabilmek için zorunlu bilgi olarak talep edilmesi neticesinde vermiş olabileceği rızasının geçerli bir rıza olmayacağı, bu çerçevede, ilgili kişilerden senetli alışverişlerde e-Devlet şifresinin, internet sayfasında üyelik oluşturulması için ise T.C. kimlik numarasının paylaşılmasının zorunlu kılınması suretiyle gerçekleştirilen kişisel veri işleme faaliyetlerinin Kanunun 5 inci maddesinde yer alan veri işleme şartlarına dayanılmaksızın gerçekleştirildiği,
  • Öte yandan, veri sorumlusu tarafından kredilendirmeye esas olarak senetle yapılan alışveriş için ilgili kişilere ait sözleşmenin kurulması ve ifasıyla doğrudan ilgili olan kişisel, mali ve ekonomik verilerin işlendiği, verilerin ilgili kişilerin mali gücünü doğrulama amacıyla işlendiği, veri sorumlusu tarafından işlenen verilerin kanundan ve işin gereklerinden kaynaklanan veriler olduğu, muhtemel müşteri ile iletişime geçilerek verilecek ürün ile ilgili ödeme gücünün tespit edildiği gibi genel nitelikte ve muğlak ifadelere yer verildiği görülmekte olup bu kapsamda ilgili kişilerin hangi verilerinin, Kanunda yer alan hangi veri işleme şartına dayalı olarak işlendiğinin anlaşılamadığı, bu kapsamda, veri sorumlusu her ne kadar sözleşmenin kurulması ve ifasıyla doğrudan ilgili olan veriler olduğunu iddia etse de ödeme gücü tespit edilmeksizin de sözleşmenin kurulmasının mümkün olabileceği ile söz konusu ödemenin aksaması/yapılmaması halinde hukuki yollara başvurulması suretiyle ödemenin yapılmasının sağlanabileceği kanaatine varıldığı, diğer bir deyişle, veri sorumlusu tarafından ilgili kişilerin ekonomik durumuna ilişkin kişisel verilerin işlendiği ve söz konusu verilerin işlenmesinin hukuka uygunluğu noktasında belirsizlik bulunduğu

tespit ve değerlendirmelerinden hareketle;

  • Veri sorumlusu tarafından senetli alışverişler için ilgili kişilerden e-Devlet şifresinin, internet sayfasında üyelik oluşturulması için de T.C. kimlik numarasının temin edilmesinin zorunlu kılınması suretiyle gerçekleştirilen kişisel veri işleme faaliyetlerinin Kanunun 5 inci maddesinde yer alan veri işleme şartlarından herhangi birine dayanılmaksızın gerçekleştirildiği, öte yandan veri sorumlusunun internet sitesindeki üyelik başvurusu ile ilgili sayfada T.C. kimlik numarası girilmek suretiyle daha önce internet sayfasına üye olan kişilerin kişisel verilerinin üçüncü kişilerce görüntülenebilir olması hususunun veri güvenliği açığına işaret ettiği sonucuna varılmakta olup bu hususların Kanunun 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil etmesi nedeniyle, kişisel verilerin işlenmesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 300.000 TL idari para cezası uygulanmasına,
  • Veri sorumlusunun, bugüne kadar sözlü görüşmeler ve/veya internet sitesi aracılığıyla ilgili kişilerden temin ettiği e-Devlet şifrelerini ve T.C. kimlik numaralarını Kanunun 7 nci maddesine ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğe uygun bir biçimde imha etmesi ve imha işlemlerinin yapıldığını kanıtlar nitelikteki belgeler (log kaydı gibi) ile birlikte Kurula bilgi vermesi hususunda talimatlandırılmasına,
  • Veri sorumlusunun internet sitesinde hesap oluşturma sayfasında sisteme daha önce üye olmuş kişilerin kişisel verilerinin görüntülenmesine sebebiyet veren güvenlik açığının ivedilikle giderilmesi, T.C. kimlik numarası temin edilmeksizin üyelik oluşturulabilmesi adına sistemin güncellenmesi ile bu işlemlere ilişkin Kurula en geç otuz gün içinde bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına,
  • Öte yandan, söz konusu güvenlik açığının veri sorumlusu nezdindeki kişisel verilere hukuka aykırı olarak üçüncü kişiler tarafından erişim sağlanmasına sebebiyet vermiş olduğu; ancak veri sorumlusu tarafından bu hususta Kanunun 12 nci maddesinin (5) numaralı fıkrası çerçevesinde Kurula bildirimde bulunma yükümlülüğünün yerine getirilmediği dikkate alındığında, konuya ilişkin olarak Kanunun 15 inci maddesinin (1) numaralı fıkrası çerçevesinde resen inceleme başlatılmasına

karar verilmiştir.

06.01.2022: “Yerel bir haber sitesi tarafından ilgili kişinin açık rızası olmaksızın sınav sonuç belgesinin paylaşılması”
Karar Tarihi : 06/01/2022
Karar No : 2022/13
Konu Özeti : İlgili kişinin açık rızası olmaksızın sınav sonuç belgesinin yerel bir haber sitesi tarafından paylaşılması

 

Kuruma intikal eden şikâyette; ilgili kişinin kişisel verisi niteliğindeki bilgilerinin yer aldığı Yükseköğretim Kurumları Sınavı (YKS) sınav sonuç belgesinin yerel haber sitesi tarafından açık rızası olmaksızın paylaşıldığı, kişisel verilerinin bu şekilde hukuka aykırı olarak işlenmesi sebebiyle 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) gereği veri sorumlusuna başvurarak bilgi talebinde bulunduğu, söz konusu başvurunun tebliğ edilmesine karşın başvurunun yanıtsız bırakıldığı ifade edilerek konuya ilişkin Kanun kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde söz konusu iddialara ilişkin veri sorumlusundan savunması istenilmiş olup veri sorumlusu tarafından Kuruma herhangi bir cevap verilmemiştir.

Bu itibarla yapılan incelemede, Kişisel Verileri Koruma Kurulunun 06/01/2022 tarihli ve 2022/13 sayılı Kararı ile;

  • Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise sayılan şartlardan birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğunun hüküm altına alındığı,
  • Şikâyetin incelemeye alındığı tarihte veri sorumlusuna ait internet sitesinde yer alan haberde ilgili kişinin ad, soyad, fotoğraf, yerleştiği yükseköğretim programı ve yerleştirme puanından oluşan kişisel verilerinin işlendiğinin görüldüğü, şikayete konu iddialara ilişkin olarak veri sorumlusunun savunması ve savunmasına temel teşkil edecek bilgi ve belgelerin talep edildiği, veri sorumlusunu muhatap yazının tebliğ edilmiş olmasına rağmen Kanunun 15 inci maddesinin (3) numaralı fıkrasında öngörülen on beş günlük süre içerisinde Kuruma bir cevap verilmediği, dolayısıyla veri sorumlusunun ilgili kişinin kişisel verilerinin işlendiği iddiası hakkında savunma hakkını kullanmadığı ve bu nedenle ilgili kişinin sunmuş olduğu iddiasını tevsik edici belgeler ile şikâyetin sonuçlandırılmasının gerektiği,
  • Kanunun “Tanımlar” başlıklı 3 üncü maddesinde kişisel verinin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlandığı, kişinin adı, soyadı ve fotoğrafının kişisel veri niteliğini haiz olduğu konusunda tereddüt olmamakla birlikte kişinin yerleştiği yükseköğretim programı ve yerleştirme puanını içerir sınav sonucu bilgilerinin kişisel veri niteliğine haiz olup olmadığı hususunun ayrıca değerlendirilmesi gerektiği, sınav sonucu bilgilerinin, ilgili kişinin belirli bir alandaki bilgi ve yeterliliğinin kapsamını ve bazı durumlarda zekasını, düşünce süreçlerini ve yargısını yansıttığı değerlendirildiğinden kişisel veri niteliğini haiz olduğu, ilgili kişinin yerleştiği yükseköğretim programının kişisel veri niteliğinde olan kişinin meslek bilgisine ilişkin kesin bir bilgi sağlamamakla birlikte kişinin ilgi alanlarına ilişkin bilgi vermesi nedeniyle kişisel veri niteliğini haiz olduğu,
  • Öte yandan, Kanunun 28 inci maddesinin (1) numaralı fıkrasının (c) bendine göre; kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi hâlinde Kanun hükümlerinin uygulanmayacağının hüküm altına alınmış olduğu, Anayasanın 28 inci maddesinde düzenlenen basın özgürlüğünün Anayasanın 26 ncı maddesinde düzenlenen düşünceyi açıklama ve yayma özgürlüğünün bir yansıması olarak kabul edildiği, demokratik toplumlarda basının en önemli görevinin, kamu yararını ilgilendiren olay ve konularda haber ve bilgi vermek, açıklamalar yapmak, eleştiri ve değer yargıları sunmak suretiyle toplumu aydınlatmak ve kamuoyu oluşturmak olduğu ve yaptığı bu görev nedeniyle basına “haber verme hakkı ve görevi” tanınmış olduğu, 
  • Şikâyete konu olayda haberi yayınlayan veri sorumlusu açısından basın özgürlüğü söz konusu iken ilgili kişi açısından da kişisel verilerin korunmasını isteme hakkının söz konusu olduğu,  dolayısıyla basın özgürlüğü ile kişisel verilerin korunmasını isteme hakkının karşı karşıya olduğu, haberden beklenen yarar ile ilgili kişinin kişisel verilerinin korunmasını isteme hakkından beklediği meşru çıkarın karşılaştırılması gerektiği ve bunun için temel ölçütün ise kamu yararı olduğu, gerek yazılı ve gerek görsel basın tarafından bu işlev yerine getirilirken, yayının kamu ilgi ve yararının bulunması ile gerçek ve güncel olmasının sağlanmasının ve haberi verirken özle biçim arasındaki dengenin korunmasının gerektiği,
  • Haber başlığında ilgili kişinin yalnızca üniversiteyi kazanan gençlerin sevincinden bahisle T.C. kimlik numarası maskelenerek ilgili kişinin adı, soyadı, fotoğrafı, yerleştiği yükseköğretim programı ve yerleştirme puanını içeren sınav sonuç belgesine yer verilmiş olduğu, haberde başkaca bir bilgiye veya belgeye yer verilmediği, bu bilgilerin kullanılarak yapılan haber kapsamındaki kişisel verilerin kişilik haklarını ihlal etmemek kaydıyla ifade özgürlüğü kapsamında işlenip işlenmediğinin değerlendirilmesi gerektiği, 
  • Bu kapsamda, biçim ve öz arasındaki denge açısından haberlerde kullanılan dil ve ifadenin gerektirdiği ölçüde olduğu ve haberlerin verilişinde gerekli, ilgili ve yararlı olmayan beyan ve değerlendirmelerde bulunulmadığı sonucuna varılması sebebiyle habere konu kişisel veriler açısından öz ile biçim arasındaki denge kriterine muhalefet edilmediği anlaşılmakla beraber, söz konusu haberin ilgili kişinin yüksek bir başarısı olduğundan bahisle yapılmadığı, yalnızca üniversiteyi kazanan gençlerden birinin örneğinin verildiğinin görüldüğü, bu sebeple haberin toplumda sık rastlanan bir olay olduğu ve haberdeki olayın toplumu konu üzerinde düşünmeye sevk etmediği ve dolayısıyla bir kamu yararı bulunmadığı kanaatine varılmış olup söz konusu haberde gerçekleştirilen kişisel veri işleme faaliyetinin Kanunun 28 inci maddesinin (1) numaralı fıkrasında düzenlenen ifade özgürlüğü kapsamında değerlendirilemeyeceği ve söz konusu kişisel veri işleme faaliyetinin istisna kapsamında olmadığının görüldüğü,
  • Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesinin ikinci fıkrasının (d) bendinde “ilgili kişinin kendisi tarafından alenileştirilmiş olması”nın bir kişisel veri işleme şartı olarak düzenlendiği, Yükseköğretim Kurumları SınavıÖlçme, Seçme ve Yerleştirme Merkezi tarafından yapılan bir sınav olup sınav sonucunun ancak kişinin oluşturduğu bir şifre ve T.C. kimlik numarası ile sorgulanabildiği, bu bilgiden hareketle ilgili kişinin adı, soyadı, fotoğrafı, yerleştiği yükseköğretim programı ve yerleştirme puanının ilk olarak ilgili kişi tarafından yayımlanması suretiyle alenileştirilmiş olabileceği ihtimalinin gündeme geldiği, ancak veri sorumlusunun şikâyete ilişkin bilgi ve belge talebine cevap vermeyerek savunma hakkını kullanmamış olması nedeniyle ilgili kişinin kişisel verilerinin nereden ve nasıl elde edildiği ve kişisel verilerinin hangi veri işleme şartına dayanılarak işlendiği bilgisine ulaşılamadığı, Kanunun kişisel verilerin işleme şartlarının düzenlendiği 5 ve 6 ncı maddelerinde kişisel verilerin işlenmesi bakımından hukuka uygunluk sebeplerinin,  veri sorumlusu tarafından Kanunda yer alan hangi hukuka uygunluk sebebine dayanılarak kişisel veri işlendiğinin belirtilmemiş olması nedeniyle kişisel verilerin hukuka aykırı olarak işlendiği yönündeki karineye dayanarak veri sorumlusunun kişisel veri işleme faaliyetinin hukuka aykırı olduğu kanaatine varıldığı,
  • Kanunun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesine göre veri sorumlusunun; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu, veri sorumlusunun ilgili kişinin kişisel veri niteliğini haiz adı, soyadı, fotoğrafı, yerleştiği yükseköğretim programı ve yerleştirme puanını hukuka aykırı olarak işlemesi nedeniyle Kanunun 12 nci maddesinde yer alan yükümlülüklerine aykırı hareket ettiği,
  • 5326 sayılı Kabahatler Kanununun “İdari Para Cezaları” başlıklı 17 nci maddesinin ikinci fıkrasına göre idari para cezasının miktarı belirlenirken işlenen kabahatin haksızlık içeriği ile failin kusuru ve ekonomik durumunun birlikte göz önünde bulundurulacağının hüküm altına alındığı, 
  • Karar tarihi itibariyle veri sorumlusuna ait internet sitesinde ilgili kişinin ad, soyad, fotoğraf, yerleştiği yükseköğretim programı ve yerleştirme puanının paylaşıldığı haberin kaldırılmış olduğunun görüldüğü

değerlendirmelerinden hareketle;

  • Şikayete konu kişisel veri işleme faaliyetinin Kanunun 28 inci maddesinin (1) numaralı fıkrasında düzenlenen ifade özgürlüğü kapsamında değerlendirilemeyeceği, veri sorumlusuna ait internet sitesinde yer alan haberde ilgili kişinin kişisel verilerinin Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine aykırı olarak işlendiği, karar tarihi itibariyle söz konusu kişisel verilerin veri sorumlusuna ait internet sitesinden kaldırılmış olduğu hafifletici unsuru dikkate alınarak Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca veri sorumlusu hakkında 30.000 TL idari para cezası uygulanmasına

karar verilmiştir.

23.12.2021: “Yemek Sepeti Elektronik İletişim Perakende Gıda Lojistik AŞ veri ihlal bildirimi”
Karar Tarihi : 23/12/2021
Karar No : 2021/1324
Konu Özeti : Yemek Sepeti Elektronik İletişim Perakende Gıda Lojistik AŞ (Yemeksepeti) veri ihlal bildirimi

 

Veri sorumlusunun Kuruma intikal eden veri ihlal bildiriminde;

  • 18.03.2021 tarihinde kimliği tespit edilemeyen şahıs/şahıslar tarafından veri sorumlusuna ait bir web uygulama sunucusuna erişildiği,
  • Normal şartlarda yetkisiz bir erişim olduğunda uyarı veren araç üzerinde sorun kaydı oluştuğu ancak bir aksaklık nedeniyle yetkisiz erişimin o an fark edilemediği,
  • 25.03.2021 tarihinde gelen alarmlar incelediğinde şüpheli bir davranış olduğunun tespit edildiği,
  • Aynı tarihte yapılan incelemede Yemeksepeti’ne ait bir web uygulama sunucusu üzerindeki açıktan yararlanmak suretiyle uygulama kurulduğu ve komut çalıştırılarak sunucuya erişildiği, 
  • İhlali gerçekleştiren şahsın/şahısların eriştiği sunucu üzerinde kullanıcı oluşturarak farklı araçlar vasıtasıyla veri toplamaya çalıştıkları ve uzaktaki sunuculara trafik gönderdiklerinin de ayrıca tespit edildiği,
  • Saldırganların veriyi Fransa’da bulunan bir IP adresine/sunucuya ilettikleri ve bu iletilen trafiğin firewall (güvenlik duvarı) üzerinde izlerinin olduğu,
  • İhlalden 21.504.083 Yemeksepeti kullanıcısının etkilendiği,
  • İhlalden etkilenen kişisel verilerin kullanıcı adı, adres, telefon numarası, e-posta adresi, kullanıcı şifresi ve IP bilgileri olduğu

ifadelerine yer verilmiştir.

Veri ihlal bildiriminin Kurumun yetki ve görev alanı çerçevesinde incelenmesi neticesinde; Kişisel Verileri Koruma Kurulunun 23/12/2021 tarih ve 2021/1324 sayılı Kararı ile;

  • Veri sorumlusuna ait bir web uygulama sunucusu üzerindeki açık sebebiyle uygulama kurarak ve komut çalıştırmak suretiyle sunucuya erişildiği,
  • İhlalden 21.504.083 Yemeksepeti kullanıcısının etkilendiği,
  • Etkilenen kişisel verilerin kullanıcı adı, adres, telefon numarası, e-posta adresi, şifre ve IP bilgileri olduğu,
  • İhlalden etkilenen kişi sayısının çok fazla olması ve neredeyse tüm müşteri veri tabanının dışarı sızdırıldığı dikkate alındığında ihlalin çok büyük çaplı olduğu,
  • İhlalin boyutu, sızdırılan verinin büyüklüğü ve sızdırılan kişisel verilerin niteliği dikkate alındığında, ihlalin ilgili kişiler açısından kişisel veriler üzerinde kontrol kaybı gibi önemli riskler oluşturacağı,
  • Sisteme giren kişi ya da kişilerce, zararlı yazılım ve araçlarla sisteme giriş yaptıktan sonra diğer sistemlere de erişilerek bilgi toplandığı, sisteme zararlı yazılımların yüklenip, çalıştırılmasının veri sorumlusunca 8 gün boyunca fark edilemediği dolayısıyla bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi ve bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi noktasında veri sorumlusunun kusurunun bulunduğu,
  • 18.03.2021 tarihinden itibaren güvenlik yazılımlarında alarmlar oluştuğu, oluşan bu alarmların üçüncü parti firmalar tarafından izlenen ürünlerde Yemek Sepeti Güvenlik Ekiplerine ilgili bildirimler yapılamadan ve gerekli aksiyonlar alınmadan kapatıldığının ifade edildiği, 25.03.2021 tarihinde iletilen alarmın Yemek Sepeti Güvenlik Ekiplerince incelenmesi sonucu siber saldırının farkına varıldığı dikkate alındığında bu durumun veri sorumlusunun hizmet aldığı üçüncü parti firmalar üzerinde etkin bir denetim mekanizmasının bulunmadığının ve güvenlik yazılımlarının takibi ile güvenlik prosedürlerinin kullanılması noktasında da eksiklerinin bulunduğunun göstergesi olduğu,
  • Saldırganların veri sorumlusundan elde ettikleri veriyi Fransa’da bulunan bir IP adresine/sunucuya ait lokasyona ilettiği, sistemden çıkan 28.2 GB’lık verinin/dışarı giden trafiğin veri sorumlusu tarafından fark edilemediği ve bu veri trafiğinin firewall (güvenlik duvarı) üzerinde izlerinin olduğu dikkate alındığında; firewall üzerinde izlerin olmasına rağmen bu boyutta verinin dışarı sızdırılmasının fark edilememesinin veri sorumlusu tarafından güvenlik kontrolleri ve veri güvenliği takibinin düzgün bir şekilde yapılmadığının göstergesi olduğu,
  • Açıklık bulunan sunucunun sızma testinden geçen bir sunucu olduğunun ifade edildiği dikkate alındığında bu durumun veri sorumlusu tarafından sızma testlerinin etkin bir şekilde yapılmadığını/yaptırılmadığını gösterdiği, 
  • Büyük miktarda kişisel veri işleyen veri sorumlusunun bu boyutta bir ihlal yaşamasının ve müdahalede geç kalmasının mevcut risk ve tehditleri iyi belirlemediğinin göstergesi olduğu 

hususları dikkate alındığında, 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (1) numaralı fıkrası hükmü çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca ihlalin boyutu, kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak 1.900.000 TL idari para cezası uygulanmasına

karar verilmiştir.

02.12.2021: “İlgili kişinin kişisel verisi niteliğindeki cep telefonu numarasının, Digiturk kampanyaları hakkında bilgilendirmede bulunmak amacıyla aranması ve SMS gönderilmesi suretiyle işlenmesi”
Karar Tarihi : 02/12/2021
Karar No : 2021/1210
Konu Özeti : İlgili kişinin kişisel verisi niteliğindeki cep telefonu numarasının, Digiturk kampanyaları hakkında bilgilendirmede bulunmak amacıyla aranması ve SMS gönderilmesi suretiyle işlenmesi

 

İlgili kişinin Kuruma intikal eden şikâyetinde özetle; kullanmakta olduğu cep telefonu numarasına 0850 *** ** 77, 0216 *** ** 70 ve 0850 *** ** 15 numaralarından farklı tarihlerde aramalar gerçekleştirilerek Digiturk kampanyaları hakkında bilgilendirmede bulunulduğu, yapılan aramalarda kendilerinin Digiturk bayisi olunduğunun belirtildiği,  akabinde Digiturk hizmetlerinin reklam ve pazarlamasının yapılması amacıyla 0850 *** ** 82 numaralı telefon üzerinden ilgili kişiye SMS gönderildiği, ancak iletişim bilgilerinin ticari elektronik ileti gönderilmesi suretiyle işlenmesi hususunda açık rızasının bulunmadığı, bu anlamda herhangi bir işleme şartına dayanmaksızın kişisel verilerinin hukuka aykırı olarak işlendiği, adı geçen Şirket’e 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 11 inci maddesindeki hakları kapsamında başvuruda bulunduğu, bu başvuruya karşılık verilen cevapta ilgili kişinin Şirket nezdinde abonelik kaydının bulunmaması nedeniyle ilgili kişinin herhangi bir kişisel verisinin sistemlerinde yer almadığı, söz konusu ticari iletilerin kendileri tarafından gönderilmediği ve başvuruda belirtilen telefon numaralarının Şirket’lerine ait olmadığı yönünde bilgi verildiği belirtilerek konu ile ilgili gerekli incelemenin yapılması talep edilmiştir. 

Konuya ilişkin başlatılan inceleme çerçevesinde konunun Digiturk’ü ilgilendiren boyutu dikkate alınarak Krea İçerik Hizmetleri ve Prodüksiyon Anonim Şirketi’nden (Krea İçerik Hizmetleri) savunması istenilmiş olup alınan cevabi yazıda özetle;

  • Şirket nezdinde ilgili kişinin abonelik kaydının bulunmadığı ve ilgili kişinin Şirket’e yaptığı başvurudan önce Şirket sistemlerinde ilgili kişiye ait herhangi bir kişisel verinin yer almadığı, 
  • İlgili kişinin başvurusunda belirtilen telefon numaralarının Şirket’e ait olmadığı ve söz konusu aramalar ile SMS gönderimlerinin Şirket tarafından gerçekleştirilmediği, 
  • Söz konusu telefon numaralarının Şirket bayilerinden birine ait olup olmadığının tespit edilemediği, zira bayilerin Şirket’ten bağımsız şekilde telefon numaraları elde etmiş olabilecekleri, 
  • Şirket ürün ve hizmetlerinin son kullanıcılara satışının bir kısmına aracılık eden bayilerin tüm pazarlama süreçlerinde Şirket’ten bağımsız şekilde ayrı birer veri sorumlusu sıfatı ile hareket ettikleri, Şirket’ten herhangi bir emir veya talimat almadıkları ve bu konuda Şirket tarafından herhangi bir yönlendirmede bulunulmadığı, bu aramalar üzerinde Şirket’in herhangi bir denetim imkânının bulunmadığı ve dolayısıyla şikâyete konu olayda Şirket’in veri sorumlusu olarak hareket etmediği,
  • Şirket tarafından bayilere mevcut ya da potansiyel müşterilere ilişkin herhangi bir kişisel veri aktarılmadığı ve ürünlerin pazarlanması amacıyla iletişim bilgisi listeleri sağlanması gibi uygulamaların söz konusu olmadığı

ifade edilmiş ve ilgili kişiye yapılan aramada belirtilen bayinin (Bayi) Şirket sisteminde hangi unvanla kayıtlı bulunduğu bilgisi Kurumumuzla paylaşılmıştır. 

Krea İçerik Hizmetleri’nden alınan cevabi yazının incelenmesinin ardından, ilgili kişinin başvurusunda belirtilen telefon hatlarını tahsis eden işletmeciler tespit edilmiş ve söz konusu telefon hatlarının hangi kişi/şirketlere tahsis edildiği ile bu kapsamda yapılan sözleşmenin içeriği hususlarında bahse konu işletmecilerden bilgi ve belge talep edilmiştir. İlgili işletmecilerden alınan cevabi yazıların incelenmesi neticesinde, 0850 *** ** 77 numaralı hattın Krea İçerik Hizmetleri’nin cevabi yazısında da unvanı belirtilen Bayi’ye, 0216 *** ** 70 ve 0850 *** ** 15 numaralı hatların M.D. isimli şahsa (M. İletişim); 0850 *** ** 82 numaralı hattın ise M.A. isimli şahsa tahsis edildiği anlaşılmıştır. 

İnceleme sürecinde ulaşılan bilgiler çerçevesinde, telefon hatlarının tahsis edildiği kişilerden şikâyet konusu olaya ilişkin savunmaları talep edilmiş olup bu kapsamda Bayi’den alınan cevabi yazıda özetle; 

  • Kendilerinin Krea İçerik Hizmetleri’nin bayisi olduğu,
  • İlgili kişinin rızası olmaksızın aranmasının Şirket’in operatör-çağrı merkezi bölümünü ilgilendirdiği ve operatör hizmetinin M.D. isimli şahsa (M. İletişim) devredildiği,
  • Taşeronun numaraları nasıl temin ettiği, görüşme içerikleri ve ilgili kişiye yönelik aramalar gerçekleştirip gerçekleştirmediği hususlarında bilgi sahibi olunmadığı ve bu konudaki tüm sorumluluğun taşeron firmaya ait olduğu

belirtilmiş ve taşeron M.D. (M.İletişim) ile aralarındaki taşeronluk sözleşmesi gönderilmiştir.

İşletmeciler ile yapılan yazışmalardan, 0216 *** ** 70 ve 0850 *** ** 15 numaralı hatların kendisine tahsis edildiği görülen ve Bayi’nin cevabi yazısından da Bayi’nin taşeronu olduğu anlaşılan M.D. isimli şahıstan (M.İletişim) alınan cevabi yazıda özetle;

  • Krea İçerik Hizmetleri’nin söz konusu bayisine taşeron çağrı merkezi hizmeti verilmekte olduğu,
  • İlgili kişinin telefon numarasına reklam ve tanıtım amaçlı arama yapıldığı, 
  • Sistemlerinde kayıtlı olan verilerin 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanunun yürürlük tarihinden önce numara türetme yöntemiyle elde edilmiş olduğu, 
  • Şikâyete konu olayın 6698 sayılı Kanun kapsamı dışında olduğu ve 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun çerçevesinde değerlendirilmesi gerektiği

ifade edilmiştir. 

M.A isimli şahıstan alınan cevabi yazıda ise özetle; 

  • Bazı dönemlerde sosyal medya hesapları üzerinden verilen reklamların, kişilerin sosyal medya hesaplarında karşılarına çıktığı ve bu kapsamda kendi istekleri ile form doldurmalarının ardından kendilerine kampanya duyurusu yapıldığı,
  • İlgili kişinin bir internet sitesi üzerinden doldurduğu formun ekte sunulduğu

belirtilmiş ve kişilere arama yapılmasında kullanılan sistemin çalışma şekline ilişkin bilgi verilmiştir. 

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun 02/12/2021 tarih ve 2021/1210 sayılı Kararı ile;

  • Kanunun 3 üncü maddesinin (1) numaralı fıkrasının (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi”; (ğ) bendinde ise veri işleyenin, “veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi” şeklinde tanımlandığı; Kişisel Verileri Koruma Kurumu tarafından yayınlanan “Kişisel Verilerin Korunması Kanununa İlişkin Uygulama Rehberi”nde söz konusu kavramların açıklandığı bölümde, veri işleyenin faaliyetlerinin veri işlemenin daha çok teknik kısımları ile sınırlı olduğunun, veri sorumlusunun ise kişisel verilerin işlenmesine ilişkin karar alma yetkisine sahip olduğunun ve kişisel veri işleme faaliyetinin “neden” ve “nasıl” yapılacağını belirlediğinin ifade edildiği; bu kapsamda “kişisel verilerin toplanması ve toplama yöntemi”, “toplanacak kişisel veri türleri”, “toplanan verilerin hangi amaçlarla kullanılacağı”, “hangi bireylerin kişisel verilerinin toplanacağı”, “toplanan verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kiminle paylaşılacağı” ve “verilerin ne kadar süreyle saklanacağı” gibi hususlara ilişkin karar alma yetkisinin kimde bulunduğunun veri sorumlusunun tespitinde önem taşıdığı,
  • Krea İçerik Hizmetleri ile Bayi arasındaki ilişkiye yönelik olarak bir değerlendirme yapıldığında, ilgili kişinin kişisel verisinin işlenmesi faaliyetine ilişkin karar alma ve talimat verme yetkisinin Krea İçerik Hizmetleri’nde bulunduğu durumda Krea İçerik Hizmetleri’nin veri sorumlusu, kendisine verilen talimatlar çerçevesinde hareket eden Bayi’nin ise veri işleyen sıfatını haiz olacağının düşünülebileceği; ancak konuya ilişkin olarak tarafların Kuruma sundukları beyanlar değerlendirildiğinde Krea İçerik Hizmetleri’nin somut olayda veri sorumlusu olarak hareket ettiğine dair bir tespitte bulunulamadığı,
  • Öte yandan Bayi ile taşeronu M.D. (M. İletişim) arasındaki taşeronluk sözleşmesi incelendiğinde, Bayi nezdinde kayıtlı olan 0850 *** ** 77 numaralı hattın kullanımı için taşeron firmanın yetkilendirildiği, bu hattın kullanımı ile ilişkili sorumluluğun taşerona bırakıldığı ve sözleşmenin içeriğinde taşeronun Bayi’nin verdiği talimatlar çerçevesinde faaliyette bulunduğunu gösterir nitelikte hükümlerin yer almadığı görüldüğünden, şikâyete konu olayda Bayi’nin veri sorumlusu olarak nitelendirilebileceğine yönelik bir tespitte bulunulamadığı,
  • Diğer taraftan inceleme sürecinde ulaşılan bilgiler arasında, 0216 *** ** 70 ve 0850 *** ** 15 numaralı hatların somut olayda taşeron M.D. isimli şahsa (M. İletişim) tahsis edildiği bilgisinin bulunduğu, mevcut bilgi ve belgelerden söz konusu iki numaranın Bayi ile olan alt işveren ilişkisinden bağımsız olarak M.D. tarafından kullanılmakta olduğu sonucuna ulaşıldığı, ilgili kişinin söz konusu numaralar üzerinden kendisine arama yapıldığını belirttiği tarihler ile M.D. isimli şahsın (M. İletişim) savunmasında sunulan tarihlerin uyuştuğu ve sisteminde kayıtlı telefon numaralarının “numara türetme yöntemi” ile elde edilmiş olduğunun beyan edildiği, 
  • Bu kapsamda M.D.’nin (M. İletişim) söz konusu aramalara ilişkin olarak başka kişilerce talimatlandırıldığını gösteren bir bilgi ve belgenin mevcut olmadığı, irtibata geçilecek kişileri belirleme konusunda yetkinin kendisinde bulunduğu, kendi inisiyatifi ile numara türetmek suretiyle ilgili kişinin telefon numarası verisine ulaştığı ve işletmesinin 6102 sayılı Türk Ticaret Kanunu kapsamında tüzel kişiliği bulunmadığından hareketle M.D.’nin somut olayda veri sorumlusu sıfatını haiz olduğu,
  • 0850 *** ** 82 numaralı hattın tahsis edildiği M.A. açısından bir değerlendirme yapıldığında ise M.A.’nın, ilgili kişinin bir internet sitesi üzerinden doldurduğunu iddia ettiği formu sunduğu, kendi veri tabanını oluşturan ve bu veri tabanını kullanmak suretiyle ilgili kişinin kişisel verisi olan telefon numarasını işleyerek kendisine ticari elektronik ileti gönderimi yapan M.A.’nın somut olay kapsamında veri sorumlusu sıfatını haiz olduğu, 
  • İlgili kişinin kişisel verisi niteliğindeki cep telefonu numarasının, ürün tanıtımı ve pazarlama yapılması amacıyla aranması /SMS gönderilmesi suretiyle işlenmesi, Kanunun 3 üncü maddesi uyarınca kişisel veri işleme faaliyeti teşkil ettiğinden bu işlemenin hukuka uygun şekilde gerçekleştirildiğinden bahsedebilmek için Kanunun 5 inci maddesinde sayılan şartlardan birinin bulunması gerektiği,
  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin; (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun düzenlendiği,
  • Şikâyete konu kişisel veri işleme faaliyetinde veri sorumlularından biri olduğu değerlendirilen M.D. (M. İletişim) tarafından, somut olayın 6698 sayılı Kanunun kapsamı dışında olduğu ve 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun çerçevesinde ele alınması gerektiği iddia edilmekle birlikte ticari elektronik iletilerin gönderilmesi için kullanılan iletişim kanallarının kişisel veri niteliğinde olması nedeniyle ileti gönderim sürecinin kişisel verilerin korunmasına ilişkin mevzuata da uygun olmasının beklendiği ve M.D.’nin (M. İletişim) sisteminde kayıtlı verilerin numara türetme yöntemi ile elde edildiğine yönelik beyanı esas alındığında ilgili kişinin telefon numarasının işlenmesinde Kanunun 5 inci maddesinde yer alan herhangi bir işleme şartına dayanılmadığının anlaşıldığı,
  • Şikâyete konu olayda diğer veri sorumlusu olduğu sonucuna varılan M.A. isimli şahsın kişisel veri işleme faaliyeti açısından bir değerlendirme yapıldığında ise ilgili kişinin bir internet sitesi üzerinden doldurduğu iddia edilen formun geçerliliğinin sorgulanmaya muhtaç olduğu, zira ilgili formun internet sitesinde gösterilen biçimde ve log kaydı veya benzeri bir formatta Kuruma sunulmadığı, bunun yerine ilgili kişinin cep telefonu numarasının ve başvuru tarihinin M.A.’nın el yazısı ile yazıldığı, “onay veriyorum” kutucuğunun işaretlendiği ve formun M.A.’nın ismi ve telefon numarası yazılarak yine M.A.’nın kendisi tarafından imzalandığı görüldüğünden M.A.’nın iddia ettiği üzere formun ilgili kişi tarafından doldurulduğuna yönelik yeterli kanaatin oluşmadığı ve sunulan bu formun hukuka uygun bir açık rıza olarak kabul edilemeyeceği 

değerlendirmelerinden hareketle,

  • Krea İçerik Hizmetleri ve Prodüksiyon Anonim Şirketi ile Bayi’nin somut olayda veri sorumlusu olarak hareket ettiklerine yönelik bir tespitte bulunulamadığından anılan Şirketler hakkında Kanunun 12 nci maddesi kapsamında tesis edilecek bir işlem bulunmadığına,
  • İlgili kişinin kişisel verisi niteliğindeki telefon numarasının işlenmesinde Kanunun 5 inci maddesinde yer alan herhangi bir işleme şartına dayanılmadığı, dolayısıyla Kanunun 12 nci maddesinin (1) numaralı fıkrası hükmüne aykırı hareket edildiği kanaatine varıldığından veri sorumlusu M.D. hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari yaptırım uygulanmasına,
  • Şikâyete konu olayda veri sorumlusu olarak değerlendirilen M.A. isimli şahsın Kuruma sunduğu formun hukuka uygun bir açık rıza olarak kabul edilemeyeceği dikkate alındığında, ilgili kişinin kişisel verisinin işlenmesine ilişkin Kanunun 5 inci maddesinde yer alan herhangi bir işleme şartına dayanmayan veri sorumlusu M.A. hakkında Kanunun 12 nci maddesinde yer alan veri güvenliğine ilişkin yükümlülüklerini yerine getirmemesi nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari yaptırım uygulanmasına,
  • İlgili kişi tarafından kullanılmakta olan telefon numarası verisinin imha edilmesi ve sonucundan Kurula bilgi verilmesi hususunda M.D. ve M.A.’nın talimatlandırılmasına,
  • Öte yandan, yeni müşteri kazandırma süreçlerinde Kanuna uyum hususunda azami dikkat ve özenin gösterilmesi hususunda bayilerini yönlendirmesi/bilgilendirmesi ve bayiler ile yapılacak sözleşmelerde veri sorumlusu ve veri işleyenin kim olduğu hususunda açık hükümlere yer verilmesi hususunda Krea İçerik Hizmetleri ve Prodüksiyon Anonim Şirketi’nin talimatlandırılmasına

karar verilmiştir. 

30.09.2021: “Veri sorumlusu kargo firması tarafından ilgili kişi adına sehven fatura düzenlenmesi”
Karar Tarihi : 30/09/2021
Karar No : 2021/993
Konu Özeti : Veri sorumlusu kargo firması tarafından ilgili kişi adına sehven fatura düzenlenmesi

 

İlgili kişinin Kuruma intikal eden şikâyetinde özetle; herhangi bir hizmet almamasına rağmen, veri sorumlusu kargo şirketi tarafından ilgili kişinin e-posta adresine kendisi adına düzenlenen bir fatura gönderildiği, kargo gönderim kodu ile yapılan sorguda faturanın bir firmaya teslim edilen kargo işlemine ait olduğunun görüldüğü, faturada yer alan ad, soyadı, adres, e-posta adresi, T.C. kimlik numarası gibi kişisel verilerinin, satın alma işlemini gerçekleştiren firmaya aktarıldığı, konuya ilişkin veri sorumlusuna başvurduğu, verilen yanıtta ise faturalandırma işleminin sehven ilgili kişi adına yapıldığı ve ilgili kişinin bilgilerinin bir kamu kurumu niteliğindeki meslek kuruluşu (meslek kuruluşu) ile veri sorumlusu arasında imzalanan, ilgili meslek kuruluşuna kayıtlı üyelerin indirimli gönderim ücretlerinden yararlanmasını sağlayan sözleşme kapsamında Şirketleri arşivinde bulunduğunun belirtildiği, ilgili meslek kuruluşunun hukuka aykırı şekilde veri sorumlusuna aktardığı kişisel verilerin, veri sorumlusu tarafından kanuni işleme şartına dayanmaksızın işlendiği ve ilgili kişinin kişisel verilerinin silinmesi talebinin veri sorumlusu tarafından yerine getirilmediği ifade edilerek, 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında veri sorumlusu kargo şirketi hakkında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

  • İlgili kişinin 2018-2020 yılları arasında alıcı müşteri olarak kaydının bulunduğu, bu kayıtlarda ad, soyadı, adres, telefon numarası, T.C. kimlik numarası olmak üzeri belirli kişisel verilerinin yer aldığı,
  • Kargo gönderilerinin alıcı tarafına ait kişisel verilerin kargo taşıma sözleşmesinin gereği olarak işlendiği, bu kişisel verilerin 6475 sayılı Posta Hizmetleri Kanunu, Posta Sektörüne İlişkin Yetkilendirme Yönetmeliği, Posta Hizmetlerinin Sunulmasına İlişkin Yönetmelik, Posta Gönderilerine İlişkin Güvenlik Tedbirlerine Yönelik Usul ve Esaslar başta olmak üzere ilgili mevzuat hükümleri uyarınca zorunlu olarak işlendiği, söz konusu kişisel verilerin Kanunun 5 inci maddesinin (1) numaralı fıkrasının (a) bendinde yer alan “Kanunlarda açıkça öngörülmesi”, (c) bendinde yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması”, (ç) bendinde yer alan “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması”, (e) bendinde yer alan “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hukuki sebeplerine dayanarak işlendiği,
  • Türk Ticaret Kanununun 855 inci maddesi uyarınca ileride meydana gelmesi muhtemel uyuşmazlıklarda delil teşkil etmek üzere, her bir taşıma için ayrı ayrı olmak üzere 3 yıl, 5 yıl ve 10 yıllık sürelerle kişisel verilerin saklandığı,
  • İlgili kişinin şikâyetine konu kişisel verilerinin, bir meslek kuruluşu ile imzalanan ve söz konusu meslek kuruluşunun üyelerinin indirimli gönderim ücretlerinden yararlanmasını sağlayan sözleşme kapsamında veri sorumlusunun arşivinde bulunduğu,
  • Şirketin ana müşterisi olan meslek kuruluşu ile yapılan görüşmeler devam etmekle birlikte, söz konusu kayıtların arşivleme sürecinin başlatıldığı, bu kapsamda ilgili kişinin müşteri bilgilerinin söz konusu kampanya dahilinde bir daha gönderim yapılmaması adına gönderici/alıcıya kapatıldığı, 
  • Bu süreçte, söz konusu kampanya kapsamında veri sorumlusunca kişilerin T.C. kimlik numaraları ile meslek kuruluşu üyesi olup olmadıklarının sorgulanabilmesi için ilgili meslek kuruluşunun sağladığı bir sistemin hayata geçirildiği, bu sistemden veri sorumlusuna yalnızca ilgili kişinin meslek kuruluşuna üye olup olmadığını gösterir “True/False” yanıtının iletildiği, bunun dışında başka bir kişisel verinin kendilerine aktarılmadığı,
  • Şikâyete konu faturalandırma işleminin veri sorumlusunun acentesi tarafından sehven gerçekleştirildiği, söz konusu faturanın iptal edildiği ve işlemi gerçekleştiren acente çalışanlarına gerekli uyarıların yapıldığı

ifade edilmiştir. 

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 30/09/2021 tarihli ve 2021/993 sayılı Kararı ile; 

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun “Tanımlar” başlıklı 3 üncü maddesinde “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi; “veri sorumlusu”nun ise kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlandığı, 
  • Kanunun, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4 üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin;

a) Hukuka ve dürüstlük kurallarına uygun olma,
b) Doğru ve gerektiğinde güncel olma,
c) Belirli, açık ve meşru amaçlar için işlenme,
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

şeklinde sayıldığı,

  • Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesinde;

“(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: 
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.” 
hükmünün yer aldığı,

  • Şikâyet dilekçesinde ilgili kişi tarafından kişisel verilerinin işlenmesinin Kanunda gösterilen hukuka uygunluk sebeplerine veyahut ilgili kişinin açık rızasına dayanmadan işlendiği, kişisel verilerinin Kanunda gösterilen hukuka uygunluk sebeplerine veyahut ilgili kişinin açık rızasına dayanmadan veri sorumlusu kargo şirketi tarafından üçüncü kişi ile paylaşıldığı ve kişisel verilerinin silinmesi talebinin yerine getirilmediği iddialarında bulunduğu,
  • Somut olayda veri sorumlusunun, ilgili kişinin kişisel verilerini veri işlemenin hukuki sebepleri kapsamında işlediği, söz konusu meslek kurulu ile yapılan kampanya kapsamında ilgili kişinin üye olup olmadığını tespit edilebilmesi için kullanılan sistem nezdinde işlenen kişisel verilerin Kanunun 5 inci maddesinin (1) numaralı fıkrasının (c) bendi kapsamında sözleşmenin ifasıyla doğrudan ilgili olması hukuki şartına dayanarak işlendiği, veri sorumlusunun kişisel veri işlemesinde hukuka aykırılığının bulunmadığı,
  • Öte yandan ilgili kişinin gönderici veya alıcı sıfatlarıyla veri sorumlusu bünyesinde gerçekleştirdiği işlemlere ilişkin kişisel verilerinin işlenmesinin hukuka uygun olduğu, ancak ilgili kişinin satın almadığı bir hizmet için adına fatura düzenlenmesinin hukuka aykırı bir veri işleme faaliyeti olduğu, hatalı faturalandırma işlemi ile Kanunun 5 inci maddesinin (2) numaralı fıkrasında sayılan veri işleme şartları bulunmadan ilgili kişinin ad, soyadı, TC kimlik numarası, adresi ve e-posta adresi bilgilerinin işlenerek adına fatura düzenlenmesinin hukuka aykırılık oluşturduğu,
  • İlgili kişinin veri sorumlusu tarafından gönderilen kargo zarfında hatalı tahakkuk ettirilen faturada kişisel verilerinin açıkça yer aldığı, dolayısıyla kişisel verilerinin üçüncü kişilerin eline geçtiği iddiasına karşılık bu hususta ilgili kişi tarafından kanıtlayıcı belge sunulamadığı, ancak kargo şirketlerinin gönderi paketleri üzerine gönderici ve alıcıya ait ad, soyadı, adres, telefon numarası gibi kişisel verileri içerir barkod etiketleri yapıştırma uygulaması bulunduğunun bilindiği, buna rağmen, bu etiketlerde yer alan kişisel verilerin maskelenmiş/yıldızlanmış olması ihtimali de bulunduğundan; ilgili kişinin kişisel verilerinin 3. kişilere aktarıldığı iddiasının kanıtlanamadığı,
  • Veri sorumlusu tarafından verilen cevabi yazıda “işlenen kişisel verilerin sözleşmenin kurulması ve ifası ile ileride meydana gelmesi muhtemel uyuşmazlıklarda delil teşkil etmesi amacı ile sınırlı bir şekilde” 6102 sayılı Türk Ticaret Kanununun 855 inci maddesinin (1) numaralı fıkrası uyarınca 1 yıl, aynı maddenin (5) numaralı fıkrası uyarınca 3 yıl ve gerekli olması halinde genel zamanaşımı süresi olan 10 yıl boyunca muhafaza edildiği”, bu nedenle ilgili kişinin kişisel verilerinin anılan süreler sona erdiğinde arşivlenmek suretiyle silineceği veya erişime kapatılacağının belirtildiği,
  • Bu kapsamda veri sorumlusunun, ilgili kişinin kişisel verilerini Kanunda belirtilen süreler boyunca muhafaza etmesinin hukuka uygun olduğu

değerlendirmelerinden hareketle;

  • İlgili kişinin kişisel verilerinin veri sorumlusu tarafından temin edilmesi hukuka uygun olsa da, hukuka uygunluk sebebi bulunmaksızın ilgili kişi adına fatura düzenlenmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin hukuka aykırı olduğu, bu kapsamda veri sorumlusunun Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendi çerçevesinde kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılması nedeniyle; veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına,
  • Veri sorumlusunun ilgili mevzuat gereği, işlenen kişisel verileri belirli süreler boyunca muhafaza etmesi gerektiğinden, ilgili kişinin kişisel verilerinin silinmesi talebinin yerine getirilmemesinde bir hukuka aykırılık bulunmadığına 

karar verilmiştir.

30.09.2021: “İlgili kişiye ait görselin, açık rızası alınmaksızın bir internet sitesinde yer alan haber içeriğinde kullanılması”
Karar Tarihi : 30/09/2021
Karar No : 2021/989
Konu Özeti : İlgili kişiye ait görselin, açık rızası alınmaksızın bir internet sitesinde yer alan haber içeriğinde kullanılması

 

Kısıtlının (ilgili kişi) vasisinin Kuruma intikal eden şikâyetinde özetle;  bir veri sorumlusu bünyesinde yer alan internet sitesinin haber içeriğinde kullanılan fotoğrafın ilgili kişi olan oğluna ait olduğu,  ilgili görselin kullanılmasında açık rızasının bulunmadığı, ilgili kişinin haber içeriğinde beyan edildiği gibi evlat edinilen bir mahkûmun çocuğu olmadığı, gerçek dışı haber içeriği sonucu mağduriyet yaşadığı ve ilgili kişinin kişilik haklarının ihlal edildiği, bu konunun öğrenilmesi neticesinde suça  konu haberi yayınlayan veri sorumlusuna başvuru yapıldığı, veri sorumlusu tarafından fotoğrafın kaldırıldığı taraflarına e-posta ile bildirilse de sadece  bir URL’deki fotoğrafın kaldırıldığı, diğer URL’lerin tamamında fotoğrafa ulaşımın hâlâ sağlandığı ve mağduriyetin devam ettiği, bu kapsamda Ankara…Sulh Ceza Hakimliğine erişimin engellenmesi talebi ile başvuru yapıldığı, başvuru neticesinde bazı URL’lerin erişiminin engellendiği ancak bazı URL’ler açısından ihlâlin hâlâ devam etmekte olduğu, Savcılığa da ayrıca suç duyurusunda bulunulduğu ifade edilerek, ilgili kişinin vasisi tarafından 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınancevabi yazıda özetle;

  • İnternet sitesinin haber paylaşımı, blog ve çeşitli içerikler sağlayan veya kullanıcılarına/üyelerine bu içerikleri üretip paylaşma imkânı tanıyan bir sosyal medya platformu olduğu,
  • 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun (5651 sayılı Kanun) uyarınca sitenin yer sağlayıcısı olduğu, sitede yer alan içeriklerin veri sorumlusu çalışanı editörler tarafından oluşturulabileceği gibi içerik üretmek ve sitede yayımlamak isteyen herkesin üye olarak kendi içeriğini herhangi bir müdahale, kontrol veya denetim olmadan da oluşturabileceği ve sitede yayımlayabileceği, bu kapsamda veri sorumlusunun kendisine bağlı olarak çalışan editörler tarafından üretilen içerikler için içerik sağlayıcı; kullanıcı/üyelerin oluşturup yayımladığı ve sitenin herhangi bir müdahalesi veya denetimi olmayan içerikler açısından ise yer sağlayıcı niteliğinde olduğu,  
  • Somut olayda haber içeriğinin ise sitenin bir kullanıcısı/üyesi tarafından siteden bağımsız bir şekilde oluşturulduğu, siteye yüklenip yayımlandığı, dolayısıyla ilgili içeriğin yayımlanması hususunda kendilerinin herhangi bir kontrol veya denetiminin olmadığı,  5651 sayılı Kanun uyarınca yer sağlayıcı olarak ilgili mevzuat uyarınca içeriğin sebep olduğu herhangi bir hukuka aykırılıktan sorumlu tutulamayacağı,
  • Sitede yer alan Kullanıcı ve Gizlilik Sözleşmesinde de açıklandığı üzere, paylaşım yapacak üyelere sadece paylaşım yapmalarına imkân tanıyan bir sosyal ağ sağlandığı, ayrıca diğer maddelerde de açıkça paylaşım yapan kullanıcı/üyenin paylaştığı içerikten tamamen kendisinin sorumlu olduğu ve bu kapsamda kendilerine herhangi bir sorumluluk yüklenemeyeceğinin düzenlendiği,
  • Öte yandan, söz konusu haber içeriğinin yayından kaldırılması amacıyla kendilerine yapılan başvuruda; Kanunun 11 inci maddesinde yer alan haklara ilişkin taleplerin yer almadığı, yer sağlayıcı olarak yükümlülüklerinin yerine getirilmesinin talep edildiği, bu kapsamda ilgili kişinin vasisi tarafından öncelikle Kanunun 13 üncü maddesinde belirtilen veri sorumlusuna başvuru yolunun tüketilmediği, bu çerçevede usulüne uygun bir başvuru yapılmadığından hareketle şikâyetin hukuka aykırı olduğu ve reddedilmesi gerektiği,
  • Diğer taraftan, iddia edilenin aksine başvuru talebinin tamamen kabul edildiği ve söz konusu içeriğin yayından kaldırıldığı, diğer URL adreslerinin ise içeriğin sitede yer alan arama çubuğu aracılığıyla aratılarak görüntülenmesine ilişkin olduğu ve tamamen ilgili içeriğe bağlı olduğu, içeriğin kaldırılmasıyla birlikte diğer linklerin de erişilemez hale geldiği ve gereken önlemlerin alındığı,
  • Bununla birlikte sitede yayımlanan içeriğin haber niteliği taşıdığı ve ifade özgürlüğü kapsamında yayımlandığı, bu sebeple ilgili veri işleme faaliyetinin Kanunun 28 inci maddesinin (1) numaralı fıkrasında sayılan Kanun kapsamı dışında kalan istisnalar içerisinde yer aldığı

ifadelerine yer verilmiştir. Bunun üzerine veri sorumlusundan şikâyete konu içeriklere ilişkin linklere yer verilmek suretiyle mezkûr içeriklerin site kullanıcısı/üyesi tarafından siteden bağımsız bir şekilde oluşturulduğu iddiasına ilişkin tevsik edici tüm belge ve kayıtların Kuruma gönderilmesi istenilmiştir. Veri sorumlusundan alınan cevabi yazıda ise ilgili kullanıcı hesap bilgileri verilerek, söz konusu kullanıcının veri sorumlusu nezdinde editör pozisyonunda görev aldığı ve içerik ürettiği, bununla birlikte incelemeye konu haberlerde yer alan görsellerin tüm kamuoyunda aleni hale geldiği ve veri sorumlusunun haber tarihinden önce yapılan birçok haber internet sitesinde yayımlandığı belirtilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 30/09/2021 tarihli ve 2021/989 sayılı Kararı ile;

  • Kanunun “Tanımlar” başlıklı 3 üncü maddesinde “kişisel veri”nin kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi; “ilgili kişi”nin ise kişisel verisi işlenen gerçek kişi olarak tanımlandığı, bu çerçevede, habere konu edilen küçüğün kişisel verileri işlenen  ilgili kişi, şikâyete konu içerikte yer alan fotoğrafın kişisel veri niteliğinde olduğu,
  • Öte yandan veri sorumlusuna yapılan başvurunun iddia edildiğinin aksine 6698 sayılı Kanun kapsamında olduğu ve ilgili kişinin/vasisinin açık rızası olmaksızın kişisel verisinin paylaşılması sebebiyle söz konusu fotoğrafın kaldırılması talebinin de Kanunun 11 inci maddesinde sayılan haklar kapsamında olduğu,
  • Söz konusu fotoğrafın kaldırıldığı iddiasının aksine yalnızca bir URL adresindeki fotoğrafın kaldırıldığı, diğer URL adreslerinde ise halen yayımlanmaya devam edildiği, 
  • Sitenin kullanıcıları ile akdettiği Kullanıcı ve Gizlilik Sözleşmesinde yer alan bilgi, veri, yazı, fotoğraf, video, ses klibi, yorumlar, makaleler, yazılımlar, kodlar ve grafiklerin kısaca içerik olduğu ve bu içeriklerin üyeler tarafından girilebileceği gibi veri sorumlusunun editörleri tarafından da girilebileceği ibarelerine yer verildiği,
  • Veri sorumlusunun Kurumu muhatap cevabi yazısında, sitede içerik yayımlamak isteyen herkesin üye olarak kendi içeriğini herhangi bir müdahale, kontrol veya denetim olmadan da oluşturabileceği, veri sorumlusunun kendisine bağlı olarak çalışan editörler tarafından üretilen içerikler için içerik sağlayıcı, kullanıcı/üyelerin oluşturup yayımladığı ve sitenin herhangi bir müdahalesi veya denetimi olmayan içerikler açısından ise yer sağlayıcı niteliğinde olduğu ifadelerine rastlandığı,
  • 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanunun (5651 sayılı Kanun) “Tanımlar” başlıklı 2 nci maddesinin (1) numaralı fıkrasının (f) bendinde içerik sağlayıcının, “İnternet ortamı üzerinden kullanıcılara sunulan her türlü bilgi veya veriyi üreten, değiştiren ve sağlayan gerçek veya tüzel kişiler”, yer sağlayıcının ise “Hizmet ve içerikleri barındıran sistemleri sağlayan veya işleten gerçek veya tüzel kişiler” olarak tanımlandığı, “İçerik sağlayıcının sorumluluğu” başlıklı 4 üncü maddenin (1) numaralı fıkrasında “İçerik sağlayıcı, internet ortamında kullanıma sunduğu her türlü içerikten sorumludur.” hükmünün, “Yer sağlayıcının yükümlülükleri” başlığını haiz 5 inci maddesinin (1) numaralı fıkrasında ise “Yer sağlayıcı, yer sağladığı içeriği kontrol etmek veya hukuka aykırı bir faaliyetin söz konusu olup olmadığını araştırmakla yükümlü değildir.” hükmünün düzenlendiği,
  • Kuruma intikal eden belgeler incelendiğinde, fotoğrafın yer aldığı içeriğin veri sorumlusunun bünyesinde içerik üreten bir editör tarafından oluşturulduğunun anlaşıldığı, şikâyet konusu içeriğin bağımsız bir kullanıcı/üye tarafından değil çalışan tarafından oluşturulmak suretiyle internet sitesinde yayımlandığı dikkate alındığında Şirketin somut olay nezdinde 6698 sayılı Kanun kapsamında veri sorumlusu sıfatını haiz olduğu, dolayısıyla Kanun kapsamındaki yükümlülüklere tabi olacağı; fotoğrafın şikâyete konu içerikte yayımlanmasının ise kişisel veri işleme faaliyeti olduğu,
  • Öte yandan, Kanunun 28 inci maddesinin (1) numaralı fıkrasının (c) bendinde “Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi” halinde Kanun hükümlerinin uygulanmayacağının belirtildiği, 
  • Bu kapsamda öncelikli olarak, başvuru konusunun Kanun hükümlerinin uygulama alanı dışında kalıp kalmadığının değerlendirilmesi gerektiği, bu çerçevede,  ifade özgürlüğünün bir yansıması olan basın özgürlüğü ile kişilik hakları karşı karşıya geldiğinde haberin;

-    Kamu ilgi ve yararı taşıması, 
-    Gerçek ve güncel olması, 
-    Özü ile biçimi arasındaki denge

kriterleri kapsamında değerlendirilmesi suretiyle hangi hakka üstünlük tanınması gerektiğinin belirlenmesi gerektiği,

  • Kamu yararının tespitinde, haberin kişilerin merak duygularına mı yoksa yüksek ahlaki ve hukuki değerlerin korunmasına mı hizmet ettiğinin değerlendirilmesi gerektiği, örneğin; yasa dışı uygulamaların, rüşvet ve yolsuzlukların kamuoyuna iletilmesinde, eleştirilmesinde kamu yararı bulunduğu, öte yandan, kamu ilgi ve yararı kriteri kapsamında siyasetçiler ve kamu görevlilerine dair yapılan haberler bakımından basın özgürlüğüne yapılan sınırlamaların daha dar yorumlanmasının uygun olacağı,
  • Öte yandan, haberin gerçek ve güncel olmasının ikinci kriter olduğu, gerçeklik unsurunun, somut gerçeğe değil, olayın, haberin verildiği andaki beliriş biçimine uygunluk olarak anlaşılması gerektiği,
  • Haberin güncel olmasının ise somut olayın açıklandığı tarihlerde kamu yararının bulunması esasına dayandığı, üzerinden süre geçmiş ve açıklanmasında artık kamu yararı bulunmayan bir olayın yayımlanmasında haber verme hakkından söz edilemeyeceğinden hareketle kişilik hakkına üstünlük tanınması gerekeceği,
  • Biçim ve öz arasındaki denge kriteri açısından ise kullanılacak dil ve ifadenin, yapılacak niteleme ve vurgunun da haberin gerektirdiği biçim ve ölçü çerçevesinde kalmasının ve yasal fonksiyonun yönelik bulunduğu “amaç”a ulaşabilmek için en uygun ve en elverişli “araç”ın kullanılmasının gerekeceği,
  • Bu hususlar doğrultusunda, haber içeriği kapsamındaki kişisel verinin, kişilik haklarını ihlal etmemek kaydıyla ifade özgürlüğü kapsamında işlenip işlenmediğinin değerlendirilmesi neticesinde; ilgili kişi açısından bahse konu olayda yer alan haber içeriğinin kamu ilgi ve yararının varlığına sebep olabilecek bir nitelik taşımadığı, haber içeriğinde yer alan bilgilerin ilgili kişi açısından doğru olmadığı ve kişilik haklarını ihlal ettiği hususları göz önünde bulundurulduğunda şikâyet konusu içeriğin Kanunun 28 inci maddesinin (1) numaralı fıkrasının (c) bendi uyarınca kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesinin Kanundan istisna tutulacağına ilişkin hükmü kapsamında ele alınamayacağı,
  • Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesinde;

“(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: 
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.” hükmünün yer aldığı, 

  • Bu kapsamda, ilgili kişiye ait fotoğrafın kendisi ile ilgisi olmayan bir içerikte kullanılmak suretiyle internet sitesinde yayımlandığı dikkate alındığında Kanunun 5 inci maddesinde yer alan işleme şartları olmaksızın veri işleme faaliyetinde bulunulduğu dolayısıyla veri sorumlusunun Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendi uyarınca kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı 

değerlendirmelerinden hareketle;

  • İlgili kişi açısından bahse konu olayda yer alan haber içeriğinin kamu ilgi ve yararının varlığına sebep olabilecek bir nitelik taşımadığı, zira Kuruma iletilen şikâyet dilekçesi ekinde yer verilen 19.03.2019 tarihli mahkeme kararından da ilgili kişinin annesinin tarafına vasi olarak tayin edildiği dolayısıyla ilgili kişinin adı geçen ünlü tarafından evlat edinilmediğinin açık olduğu dikkate alındığında; internet sitesinde yayımlanan söz konusu haber içeriğinde yer alan bilgilerin ilgili kişi açısından doğru olmadığı ve kişilik haklarını ihlal ettiği hususları göz önünde bulundurulduğunda şikâyet konusu içeriğin Kanunun 28 inci maddesinin (1) numaralı fıkrasının (c) bendi kapsamında değerlendirilemeyeceğine,
  • İlgili kişinin adına vasisinin açık rızası ya da Kanunun 5 inci maddesinde yer alan diğer işleme şartlarından biri olmaksızın ilgili kişiye ait fotoğrafın veri sorumlusu bünyesinde çalışan bir editör tarafından ilgili kişi ile ilgili olmayan yanlış bir içerikle internet sitesinde yayımlandığı dikkate alındığında, veri sorumlusunun Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin (1) numaralı fıkrasının (a) bendinde öngörülen yükümlülüğünü yerine getirmediği sonucuna varılmış olup veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına

karar verilmiştir.

16.09.2021: “İlgili kişinin sendika üyeliği bilgisinin hukuka aykırı şekilde elde edilmesi ve paylaşılması”
Karar Tarihi : 16/09/2021
Karar No : 2021/925
Konu Özeti : İlgili kişinin sendika üyeliği bilgisinin hukuka aykırı şekilde elde edilmesi ve paylaşılması

 

İlgili kişinin Kuruma intikal eden şikâyetinde özetle; iki yıldır çalışmakta olduğu Şirkete dava açan bir çalışanın avukatı (veri sorumlusu) tarafından kaleme alınmış dava dilekçesinde, ilgili kişinin kendisine ve sendika üyesi diğer çalışanlara ait sendika üyelik bilgileri ile üyelik tarihlerine yer verildiği; sendika üyelik bilgisini daha önce kimseyle paylaşmadığı; konu hakkında veri sorumlusuna başvuruda bulunduğu ancak verilen cevabı yeterli bulmadığı ifade edilerek veri sorumlusu avukat hakkında 6698 sayılı Kişisel Verilerin Korunması Kanun (Kanun) kapsamında gerekli yasal işlemlerin yapılması talep edilmiştir. 

Bu kapsamda başlatılan inceleme çerçevesinde söz konusu iddialara ilişkin veri sorumlusundan savunması istenilmiş olup alınan cevabi yazılarda özetle;

  • İşyerinde çalışan işçilerin yasal sendikal faaliyetleri nedeniyle iş sözleşmelerinin feshedilmesi üzerine söz konusu işyerinde çalışan işçilerin %60-70 oranında katıldığı toplantılarda, iş yerinde yaşanan olumsuzluklar nedeniyle iş sözleşmesi feshedilen işçilerin yanında bir kısım işçilerin de işveren baskısı sonucu sendika üyeliğinden istifa ettikleri vb. bilgisinin verildiği; bu toplantıların ve verilen bilgilerin iş yerinde çalışan tüm işçilerin bildiği aleni bilgiler olduğu ve tamamen duyuma dayalı olduğu, bu nedenle bu bilgilere ulaşım yolunun hukuka uygun olduğu, 
  • Bu bilgiler çerçevesinde iş yerinde çalışırken iş sözleşmesi sendikal nedenlerle feshedilen davacı işçi adına, davalı işveren aleyhine sendikal tazminat talepli işe iade davası açıldığı,
  • 4857 sayılı İş Kanununun (4857 sayılı Kanun) 20 nci maddesi ve 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununun (6356 sayılı Kanun) 25 nci maddesinin 6 ncı fıkrası uyarınca iş sözleşmesinin sendikal nedenlerle feshedildiğinin ispat külfetinin işçiye (yani davacı müvekkiline) ait olduğu, Yargıtay’ın kararlarında da sendika üyesi olan, istifa eden ve baskıya uğrayan işçilerin somut olarak bu durumu ispatlamasının istendiği, yine Yargıtay’ın yerleşik kararlarına göre "...işçilerin birlikte hukuki işlemi aynı anda yapması, notere gitmesi, ihtarname çekmesi, sendika üyeliğinden istifa etmesi..." gibi işlemlerin işverenin yönlendirmesi ile yapıldığının karine olduğu,
  • Yargılama aşamasında sendikanın iş yerinde çalışan işçilerden sendika üyesi olanlara ve sonradan sendika üyeliğinden istifa edenlere ilişkin bilgi sunacağı ve varsa üyelik ve istifa fişlerini ibraz edeceği; şikâyetçinin hangi tarihte istifa ettiğinin dava dilekçesinde tarih olarak belirtilmediği, süreç olarak anlatıldığı, istifa tarihinin yasal zorunluluk olarak yargılama sırasında Çalışma ve Sosyal Güvenlik Bakanlığı ile sendikadan tezkere ile isteneceği,
  • Müvekkilinin iş sözleşmesinin sırf sendikal nedenlerle feshedilmiş olduğu, işyerinde yaşanan sendikal süreçte sendika üyelikleri tespit edilen işçilere, işveren tarafından yapılan baskılar sonucu bir kısım üye işçilerin de, sendika üyeliklerinden istifa ederek, işyerinde çalışmaya devam ettiklerinin tüm işçiler tarafından bilinen bir gerçek olduğu, dava dilekçesinde de şikâyetçi dahil bir kısım işçinin aynı dönemde işverenin baskısı ile istifaya zorlandıklarının belirtildiği, açılan davada dava dilekçesi ve eklerinin şikâyetçi işçiye gösterilmesinin işverenin halen işyerinde sendikal faaliyeti engellemeye çalıştığının açık bir göstergesi olduğu ve bu kapsamda şikâyetçinin başvurusunun da işverenin yönlendirmesiyle yapıldığı, 
  • Hukuka uygun elde edilen tüm aleni bilgilerin dava dilekçesinde paylaşılmasının kişisel verilerin hukuka aykırı paylaşımı anlamına gelmediği ve verilerin işlendiği iddialarının da geçerli olmadığı, dava dilekçesinin izah edilen süreç çerçevesince hazırlanmış olduğu ve gerçekleştirilen hukuki işlemlerin hiçbir aşamasında hukuka aykırı bir yol izlenmediği

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 16/09/2021 tarihli ve 2021/925 sayılı Kararı ile;

  • Kanunun “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6 ncı maddesinin (1) numaralı fıkrasında özel nitelikli kişisel verilerin “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” olarak sayıldığı,
  • Kanunun “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6 ncı maddesinin (2) numaralı fıkrasında özel nitelikli kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (3) numaralı fıkrasında ise birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel verilerin, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebileceği hükümlerinin yer aldığı,
  • 1136 sayılı Avukatlık Kanununun “Avukatlığın amacı” başlıklı 2 nci maddesinde; “Avukatlığın amacı; hukuki münasebetlerin düzenlenmesini, her türlü hukuki mesele ve anlaşmazlıkların adalet ve hakkaniyete uygun olarak çözümlenmesini ve hukuk kurallarının tam olarak uygulanmasını her derecede yargı organları, hakemler, resmi ve özel kişi, kurul ve kurumlar nezdinde sağlamaktır. Avukat bu amaçla hukuki bilgi ve tecrübelerini adalet hizmetine ve kişilerin yararlanmasına tahsis eder. Yargı organları, emniyet makamları, diğer kamu kurum ve kuruluşları ile kamu iktisadi teşebbüsleri, özel ve kamuya ait bankalar, noterler, sigorta şirketleri ve vakıflar avukatlara görevlerinin yerine getirilmesinde yardımcı olmak zorundadır. Kanunlarındaki özel hükümler saklı kalmak kaydıyla, bu kurumlar avukatın gerek duyduğu bilgi ve belgeleri incelemesine sunmakla yükümlüdür. Bu belgelerden örnek alınması vekâletname ibrazına bağlıdır. Derdest davalarda müzekkereler duruşma günü beklenmeksizin mahkemeden alınabilir.” hükümlerine yer verildiği,
  • 6100 sayılı Hukuk Muhakemeleri Kanununun “Dava dilekçesinin içeriği” başlıklı 119 uncu maddesinin (1) numaralı  fıkrasında ise dava dilekçesinde bulunacak hususların “… a) Mahkemenin adı. b)Davacı ile davalının adı, soyadı ve adresleri. c) Davacının Türkiye Cumhuriyeti kimlik numarası. ç)Varsa tarafların kanuni temsilcilerinin ve davacı vekilinin adı, soyadı ve adresleri. d)Davanın konusu ve malvarlığı haklarına ilişkin davalarda, dava konusunun değeri. e)Davacının iddiasının dayanağı olan bütün vakıaların sıra numarası altında açık özetleri. f)İddia edilen her bir vakıanın hangi delillerle ispat edileceği. g)Dayanılan hukuki sebepler. ğ)Açık bir şekilde talep sonucu. h)Davacının, varsa kanuni temsilcisinin veya vekilinin imzası.” şeklinde belirtildiği
  • Bu çerçevede, ilgili kişinin özel nitelikli kişisel verisi olan sendikalı olma bilgisinin veri sorumlusu tarafından üçüncü bir tarafla paylaşılması da dahil olmak üzere dava dilekçesine eklenmek suretiyle işlenmesinin ancak açık rızanın bulunması ya da Kanunlarda öngörülen hallerde mümkün bulunduğu,
  • Veri sorumlusu tarafından yazı ekinde gönderilen dava dilekçesinin incelenmesi neticesinde;  ilgili İş Mahkemesine sunulmak üzere hazırlanan dilekçede sendikal sürece ve işveren ile işçiler arasında mevcut olduğu iddia edilen anlaşmazlıklara yer verildiği, ilgili kişinin sadece ad ve soyadının sendikadan istifa eden işçilerden biri olarak açıkça yazıldığı, ilgili kişi dışında farklı işçilerin ad ve soyadlarının da ilgili dava dilekçesinde yer aldığı ve söz konusu durumun tespiti amacıyla sendikadan istifa beyanlarının celbinin talep edildiğinin görüldüğü,
  • Yargıtay 9. Hukuk Dairesinin E.2018/5445 K. 2018/17529 sayılı kararının gerekçe bölümünde  “… Dairemizce, sendikal tazminat davalarında ispat yükünün işçide olduğu hallerde, işyerinde çalışan ve sendikaya üye olan işçilerin sayısı, hangi tarihlerde üye oldukları, üyelikten çekilen işçilerin olup olmadığı, işyerinde çalışmakta olan işçilerin bulunup bulunmadığı, aynı dönemde yetki prosedürünün işletilip işletilmediği, işyerinde önceki dönemlerde toplu iş sözleşmelerinin bağıtlanıp bağıtlanmadığı, yeni işçi alınıp alınmadığı ve alınmışsa yeni işçilerin sendikalı olup olmadığı gibi hususlarla, işverence ekonomik veya teknolojik nedenlere dayalı bir fesih yoluna gidilmesi durumunda teknik yönden bu durumun araştırılması gibi ölçütler belirlenmiştir.”  hususlarına yer verilerek işveren tarafından gerçekleştirilen feshin geçersizliğine ve davacının işe iadesine karar verildiğinin görüldüğü,
  • 4857 sayılı İş Kanununun 20 nci maddesinin (2) numaralı  fıkrasının “Feshin geçerli bir sebebe dayandığını ispat yükümlülüğü işverene aittir. İşçi, feshin başka bir sebebe dayandığını iddia ettiği takdirde, bu iddiasını ispatla yükümlüdür” hükmünü haiz olduğu,
  • 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununun 25 inci maddesinin (3)  numaralı fıkrasında ise “İşçiler, sendikaya üye olmaları veya olmamaları, iş saatleri dışında veya işverenin izni ile iş saatleri içinde işçi kuruluşlarının faaliyetlerine katılmaları veya sendikal faaliyette bulunmalarından dolayı işten çıkarılamaz veya farklı işleme tabi tutulamaz.” hükmüne; (5) numaralı  fıkrasında “Sendikal bir nedenle iş sözleşmesinin feshi halinde işçi, 4857 sayılı Kanunun (…) (2), 20 ve 21 inci madde hükümlerine göre dava açma hakkına sahiptir. İş sözleşmesinin sendikal nedenle feshedildiğinin tespit edilmesi halinde, 4857 sayılı Kanunun 21 inci maddesine göre işçinin başvurusu, işverenin işe başlatması veya başlatmaması şartına bağlı olmaksızın sendikal tazminata karar verilir. Ancak işçinin işe başlatılmaması halinde, ayrıca 4857 sayılı Kanunun 21 inci maddesinin birinci fıkrasında belirtilen tazminata hükmedilmez. İşçinin 4857 sayılı Kanunun yukarıdaki hükümlerine göre dava açmaması ayrıca sendikal tazminat talebini engellemez.” hükmüne, (6) numaralı fıkrasında ise “İş sözleşmesinin sendikal nedenle feshedildiği iddiası ile açılacak davada, feshin nedenini ispat yükümlülüğü işverene aittir. Feshin işverenin ileri sürdüğü nedene dayanmadığını iddia eden işçi, feshin sendikal nedene dayandığını ispatla yükümlüdür.” hükmüne yer verildiği,
  • Öncelikle işçi sendikalarının işçilerin ekonomik ve sosyal haklarını korumak ve geliştirmek amacıyla kurulan örgütler olduğu ve bir sendikanın toplu iş sözleşmesi imzalayabilmesi için 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanunu gereğince işkolu ve işyeri barajlarını geçmesi gerektiği, sendika özgürlüğünün, mevzuatımızda Anayasanın 51 inci ve 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununun 23 ila 25 inci maddeleri arasında yer alan düzenlemeler ile güvence altına alındığı, kişinin dilediği sendikaya üye olması veyahut üye olmaması, sendikal faaliyette bulunması veya sendika kurması gibi özgürlüklerin sendika özgürlüğü kapsamında olduğu,
  • Somut olayda konu edilen sendikal feshin ise, işçilerin bir sendikaya üye olmaları veya tam tersi işverenin istediği bir sendikaya üye olmamaları nedeniyle ya da sendikal faaliyetlere katılmaları nedeniyle işten çıkarılmalarını ifade ettiği, Sendikalar ve Toplu İş Sözleşmesi Kanununun 25 inci maddesinin, bu nedene dayalı olarak yapılacak fesihleri açık bir şekilde yasakladığı ancak yasağa rağmen yapılması halinde, iş sözleşmesi sendikal nedenle feshedilen kişinin dava açması gerektiği, açılan davada iş sözleşmesinin sendikal nedenlerle feshedildiğinin işçi tarafından ispat edilmesinin beklendiği
  • Şikâyete konu somut olayda, iş sözleşmesinin sendikal nedenle feshedildiğini iddia eden bir işçi hakkında veri sorumlusu avukat tarafından açılan işe iade davasında ilgili kişinin ad soyadının ve sendikalı olduğu bilgisinin paylaşılmasının; somut olayın başka bir işçi lehine açılmış bir işe iade davası olması ve davanın sendikal faaliyet üzerine kurulmuş olması, ayrıca bu husustaki ispat külfetinin veri sorumlusu avukata ait olduğu davada, aynı işyerinde çalışan ilgili kişinin sendikalılıktan ayrılmış olma bilgisinin dosyayla ilgili olması sebebiyle Avukatlık Kanununun 2 nci maddesinde yer alan hüküm ve Hukuk Muhakemeleri Kanununun 119 uncu maddesi uyarınca işe iade dava dilekçesinde kullanmasının Kanunun 6 ncı maddesine aykırılık teşkil etmediği 

değerlendirmelerinden hareketle;

  • Şikayet dilekçesinde yer verilen iddiaların Kanuna aykırılık teşkil etmediği sonucuna  varıldığından bu hususta 6698 sayılı Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.
09.09.2021: “İlgili kişinin kardeşine ait borca dair yürütülen icra takibi kapsamında, veri sorumlusu avukat tarafından ilgili kişinin kişisel verilerinin İcra Müdürlüğüne iletilmesi”
Karar Tarihi : 09/09/2021
Karar No : 2021/909
Konu Özeti : İlgili kişinin kardeşine ait borca dair yürütülen icra takibi kapsamında, veri sorumlusu avukat tarafından ilgili kişinin kişisel verilerinin İcra Müdürlüğüne iletilmesi

 

Kuruma intikal eden şikâyet dilekçesinde özetle; bir avukat tarafından ilgili kişinin kardeşine ait borç için başlatılan icra takibi kapsamında, ilgili kişinin adresine İcra Müdürlüğü tarafından İcra ve İflas Kanununun (İİK) 89 uncu maddesinin (1) numaralı fıkrası gereği Birinci Haciz İhbarnamesi gönderildiği, icra dosyası kapsamında ilgili kişiye ait T.C. kimlik numarasının ve adresinin herhangi bir açık rıza ve aydınlatma onamı olmadan icra dairesine verildiği, veri sorumlusu avukata iadeli taahhütlü posta ile başvuru dilekçesi gönderildiği ancak başvurunun veri sorumlusuna iletilmesine rağmen başvuruya cevap verilmediği hususları ifade edilerek ilgili kişinin kişisel verilerini kanuna aykırı olarak işleyen ve rızası dışında kullanan veri sorumlusu avukat hakkında gerekli idari yaptırımların uygulanması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup verilen cevapta özetle;

  • Müvekkilinin şikâyet sahibi ilgili kişinin kardeşinden alacaklı olduğu; borçlu hakkında İcra Ceza Mahkemesi tarafından 3 ay tazyik hapsine karar verildiği; 
  • Borçlunun ikamet adresinin bulunamadığı; yapılan UYAP sorgularında MERNİS adresinin "bilinmiyor" olduğu; dolayısıyla müvekkilinin alacağını tahsil etmek amacıyla ne bir haciz yapılabildiği ne de bir tebligat gönderilebildiği;
  • İlgili kişinin kimlik bilgilerini, alacağını hiçbir şekilde tahsil edemeyen müvekkilinin kendisine verdiği; kendisinin de bu bilgileri İcra Müdürlüğünün dosyasına sunarak İİK’nın 89 uncu maddesinin (1) numaralı fıkrası kapsamında Birinci Haciz İhbarnamesi gönderilmesini talep ettiği; 
  • İcra Müdürlüğünün devletin resmi bir kurumu olduğu, alacaklının veya vekilinin, haczi üçüncü kişilere bildirmek maksadıyla herkese İİK’nın 89 uncu maddesinin (1) numaralı fıkrası kapsamında haciz ihbarnamesi gönderilmesini talep etme hakkı olduğu; 
  • Avukatların, mesleğin gereği olarak, müvekkillerine ve hatta davanın muhatabı olan karşı tarafa ait bir takım kişisel verilere erişmesinin ve bu verileri yargı nezdinde kullanmasının doğal olduğu; 
  • İİK’nın 89 uncu maddesinin (1) numaralı fıkrası hükmü gereği takibin kesinleşmesi üzerine ve alacaklının talebi ile icra dairesinin, borçlunun üçüncü kişideki alacağının haczine karar vererek, haciz tutanağı düzenleyeceği ve bu haczi üçüncü kişiye bir haciz ihbarnamesi göndermek suretiyle bildireceği; bu ihbarnameye birinci haciz ihbarnamesi dendiği; 
  • Bu ihbarnamenin içeriğinin İİK’nin 89 uncu maddesinin (1) numaralı fıkrası ve İcra İflas Kanunu Yönetmeliğinin 42 nci maddesinde düzenlendiği: buna göre ilgili maddede "Bu ihbarnamede dosya numarası; üçüncü kişinin kimlik ve adresi ile alacaklının, borçlunun kimlikleri, varsa vekilin/vekillerin kimlik ve adresi; alacak tutarı ile faiz ve giderler haczin ..hangi miktar için yapıldığı hakkındaki bilgiler bulunur. Ayrıca, haciz ihbarnamesi, üçüncü kişinin alacak tahsil edilinceye kadar borcunu yalnız haciz ihbarnamesini gönderen icra dairesinin banka hesabına yatırması gerektiği, borçluya yapılan ödemenin geçerli olmayacağı... ihtarını içerir. Bundan başka, üçüncü kişiye, takip borçlusunun kendisinden alacağı bulunmadığı veya takip borçlusuna daha önce ödediği veya borcun emrettiği kişiye ödendiği gibi bir iddiası varsa, icra dairesine (haciz ihbarnamesine) itiraz edebileceği (cevap verebileceği); aksi durumda, borcun zimmetinde sayılacağı ve bu miktarı icra dairesine ödemek zorunda kalacağı uyarısı yapılır." hükmüne yer verildiği
  • Kanunun alacaklıya veya vekiline sağlamış olduğu yasal hakkı kullanarak üçüncü kişi olan ilgili kişiye İİK’nin 89 uncu maddesinin (1) numaralı fıkrası çerçevesinde haciz ihbarnamesi gönderilmesinde hiçbir hukuka aykırılığın söz konusu olmadığı; gönderilebilmesi için üçüncü kişinin adresi ve kimlik bilgisinin olması gerektiğinin ilgili Yönetmelikte de belirtildiği  

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 09/09/2021 tarih ve 2021/909 sayılı Kararı ile;

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Tanımlar” başlıklı 3 üncü maddesi uyarınca kişisel verinin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, veri sorumlusunun kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, kişisel verilerin işlenmesinin ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade ettiği, 
  • İcra ve İflas Hukuku gereğince ifası talep edilen hak ve borçların ancak yetkili devlet organlarına başvuru yoluyla ve yasal düzenlemelerde gösterilen usuller çerçevesinde cebrî olarak takip edilebildiği, “haciz”in; kural olarak kesinleşmiş bir icra takibinin konusu olan belli bir para alacağının ödenmesini sağlamak için bu yolda talepte bulunan alacaklı lehine, söz konusu alacağı karşılayacak miktar ve değerdeki borçluya ait mal ve haklara icra dairesi tarafından hukuken el konulması olarak tanımlandığı, söz konusu mal ve hakların borçlunun elinde olabileceği gibi üçüncü bir kişide de bulunabildiği, 
  • Borçluya ait olmakla beraber üçüncü kişilerde bulunan hak ve alacakların haczinin İcra ve İflas Kanununun 89 uncu maddesinin (1) numaralı fıkrasında "Bu ihbarnamede dosya numarası; üçüncü kişinin kimlik ve adresi ile alacaklının, borçlunun kimlikleri, varsa vekilin/vekillerin kimlik ve adresi; alacak tutarı ile faiz ve giderler haczin hangi miktar için yapıldığı hakkındaki bilgiler bulunur. Ayrıca, haciz ihbarnamesi, üçüncü kişinin alacak tahsil edilinceye kadar borcunu yalnız haciz ihbarnamesini gönderen icra dairesinin banka hesabına yatırması gerektiği, borçluya yapılan ödemenin geçerli olmayacağı ihtarını içerir. Bundan başka, üçüncü kişiye, takip borçlusunun kendisinden alacağı bulunmadığı veya takip borçlusuna daha önce ödediği veya borcun emrettiği kişiye ödendiği gibi bir iddiası varsa, icra dairesine (haciz ihbarnamesine) itiraz edebileceği (cevap verebileceği); aksi durumda, borcun zimmetinde sayılacağı ve bu miktarı icra dairesine ödemek zorunda kalacağı uyarısı yapılır."  hükmü ile düzenlendiği,
  • İİK'nin 89 uncu maddesinin (1) numaralı fıkrası kapsamında borçlunun üçüncü kişilerdeki alacağının tahsili amacıyla alacaklı tarafından bildirilen gerçek veya tüzel kişilere İcra Müdürlüklerince birinci haciz ihbarnamesi gönderilmesinin alacaklı ile vekili arasındaki vekalet ilişkisi gereğince veri sorumlusu avukatın, müvekkili adına ilgili kişinin kişisel verilerini icra dairesine sunmak suretiyle gerçekleştirdiği bu kapsamda söz konusu veri işleme faaliyetinin hem Kanunun 5 inci maddesinin (2) numaralı fıkrasının (a) bendinde yer alan “Kanunlarda açıkça öngörülmesi” hükmüne hem de (e) bendinde yer alan “Bir hakkın tesisi, kullanılması, korunması için veri işlemenin zorunlu olması” hükmüne dayandığı

değerlendirmelerinden hareketle;

  • İlgili kişinin kişisel verilerinin veri sorumlusu avukat tarafından icra dairesiyle izinsiz paylaşılması hususuna ilişkin olarak; İcra ve İflas Kanununun 89 uncu maddesi kapsamında borçlunun üçüncü kişilerdeki alacağının tahsili amacıyla alacaklı tarafından bildirilen gerçek veya tüzel kişilere İcra Müdürlüklerince birinci haciz ihbarnamesi gönderilmesi suretiyle alacaklı ve vekili arasındaki vekâlet ilişkisi gereğince alacaklı adına İcra Müdürlükleri nezdinde ilgili kişinin kişisel verilerinin işlenmesinin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (a) ve (e) bentlerinde yer alan ‘Kanunlarda açıkça öngörülme’ ve ‘Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması’ şartına dayanarak gerçekleştirildiği, bu çerçevede ilgili şikayete ilişkin olarak Kanun kapsamında tesis edilebilecek bir işlem bulunmadığına,
  • Öte yandan ilgili kişinin, kişisel verilerinin alacaklı tarafından hukuka aykırı ele geçirilmiş olduğu yönünde bir düşüncesi varsa bunu alacaklı bakımından Türk Ceza Kanunu hükümleri kapsamında yargıya intikal ettirebileceğinin hatırlatılmasına,
  • Bunun yanı sıra veri sorumlusu avukatın kendisine yapılan başvuruya süresi içinde cevap vermediği anlaşıldığından ilgili kişilerin kişisel verilerine ilişkin Kanunun 11 inci maddesi kapsamına giren taleplerine yine Kanunun 13 üncü maddesi gereğince süresi içinde cevap verilmesi gerektiğinin veri sorumlusuna hatırlatılmasına

karar verilmiştir.

26.08.2021: “İlgili kişinin bir web sitesinden kişisel verilerinin silinmesi talebinin veri sorumlusu tarafından yerine getirilmemesi”
Karar Tarihi : 26/08/2021
Karar No : 2021/847
Konu Özeti : İlgili kişinin bir web sitesinden kişisel verilerinin silinmesi talebinin veri sorumlusu tarafından yerine getirilmemesi

 

İlgili kişinin Kuruma intikal eden şikâyetinde özetle; bir şirkete ait web sitesi üzerinden daha önce kullandığı ancak şu anda kullanmadığı adres bilgilerinin silinmesini talep ettiği ancak bu yöndeki talebinin iki kez reddedildiği ve silme işleminin gerçekleştirilmeyeceğinin bildirildiği beyan ve iddiaları ile veri sorumlusu hakkında gerekli yasal işlemlerin yapılması talep edilmiştir.

Bu kapsamda başlatılan inceleme çerçevesinde söz konusu iddialara ilişkin veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

  • İlgili kişinin hesabına kayıtlı olan adreslerin silinmesine yönelik işlemlerin nasıl gerçekleştirileceğine dair sorusunun şirket yetkilisi tarafından fatura adreslerinin silinemeyeceği şeklinde cevaplandırıldığı; bu cevaba karşı ilgili kişinin yasal olarak kişisel bilgilerini istediği zaman istediği yerden silme hakkının mevcut olduğunu, bilgileri silinmezse hakkını yasal olarak aramak zorunda kalacağını belirttiği; bunun üzerine ilgili kişiye yetkili tarafından geçmiş dönem faturalardaki bilgilerinin silinemeyeceğinin iletildiği,
  • 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 4 üncü maddesinde kişisel verilerin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi gerektiğinin öngörüldüğü, faturaların 213 sayılı Vergi Usul Kanunu uyarınca gerekli vergi süreçlerinden kaynaklı saklama süresinin beş yıl olarak değerlendirilebileceği,
  • Satış sözleşmesi uyarınca müşteri tarafından gerçekleştirilen ödemeleri göstermek üzere müşteriye verilen bir ticari vesika mahiyetinde olan fatura kapsamında işlenen kişisel verilerin, sözleşmenin ifası esnasında tarafların yükümlülüklerini yerine getirdiğine yönelik bir dayanak oluşturmayı amaçladığı,
  • Bundan dolayı fatura üzerindeki kişisel verilerin, Kanunun 5 inci maddesindeki kişisel veri işleme şartlarından “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.” veri işleme şartı kapsamında değerlendirildiği,
  • 6098 sayılı Türk Borçlar Kanununca düzenlenen satış sözleşmesi kapsamında ifa edilen edimlere ilişkin bilgileri içeren faturanın, satış sözleşmesine aykırı davranışlarda ve sözleşmenin hiç veya gereği gibi yerine getirilmemesinden kaynaklanan anlaşmazlıkların gündeme gelmesi halinde, hak kaybı yaşanmaması amacıyla on yıl süreyle saklanmasının mevzuatta öngörülen zamanaşımı süreleri ile doğru orantılı olduğu,
  • Dolayısıyla şirketlerince ilgili kişinin adres bilgilerinin güncellenmesine imkân verildiği; ancak geçmiş adres bilgilerinin detaylıca açıkladıkları mevzuat ve sözleşmesel ilişki gereği on yıl süre ile muhafaza edildiği,
  • Üyelerin serbest bir şekilde güncel adreslerinde değişiklik yapma hakkına sahip olduğu ancak geçmişte yapılan satış/hizmet alım sözleşmelerinin her biri ayrı birer kurulu sözleşme sayılacağı için söz konusu adreslerin sistemlerinde saklandığı, kullanılan adresin silinmesinin muhasebesel olarak siparişi alınmış ürün ile ilgili kayıtların da silinmesi anlamına geleceği, bu durumun tüketicilere sözleşme öncesinde sunulan “Üyelik Sözleşmesi”nin açıklamalar kısmında da sabit olduğu

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 26/08/2021 tarihli ve 2021/847 sayılı Kararı ile;

  • Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinin (2) numaralı fıkrası uyarınca kişisel verilerin işlenmesinde: a) Hukuka ve dürüstlük kurallarına uygun olma. b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uyulmasının zorunlu olduğu,
  • Kanunun 7 nci maddesinin (1) numaralı fıkrasında “Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir.” hükmünün, (2) numaralı fıkrasında ise “Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır.” hükmünün düzenlendiği,
  • 213 sayılı Vergi Usul Kanununun 230 uncu maddesinde faturada bulunması gereken bilgiler arasında müşterinin adresinin de yer aldığı, bununla birlikte, 213 sayılı Kanunun 253 ve 254 üncü maddeleri uyarınca fatura belgelerinin beş yıl süre ile muhafaza edileceğinin düzenlendiği,
  • Veri sorumlusu tarafından ise faturanın 6098 sayılı Türk Borçlar Kanununda düzenlenen satış sözleşmesine ilişkin bir sürecin parçası olduğu; satış sözleşmesine aykırı davranışlardan ve sözleşmenin hiç veya gereği gibi yerine getirilmemesinden kaynaklanan anlaşmazlıklara on yıllık genel zamanaşımı süresinin uygulanacağı, fatura üzerindeki kişisel verilerin, Kanunun 5 inci maddesindeki kişisel veri işleme şartlarından olan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.” veri işleme şartı kapsamında değerlendirildiği,
  • Bu kapsamda, adres bilgisinin hem fatura belgesi hem de satış sözleşmesinde olduğu gibi birden fazla amaca ve hukuki sebebe dayanarak işlenebileceği, farklı veri işleme faaliyetlerindeki aynı kişisel veriler için öngörülen saklama sürelerinin farklı olabileceği, bu doğrultuda, ilgili kişinin fatura belgeleri ve dolaylı olarak üzerinde yer alan adres bilgilerinin işlenmesi için geçerli bir işleme amacı ve hukuki gerekçenin bulunduğu, ayrıca veri sorumlusu tarafından belirlenen on yıllık saklama süresinin Türk Borçlar Kanununun 146 ncı maddesinde yer alan “Kanunda aksine bir hüküm bulunmadıkça, her alacak on yıllık zamanaşımına tabidir.” hükmü uyarınca mevzuatta öngörülen en uzun süreye uygun olarak belirlendiği, bu kapsamda veri sorumlusunun yazısı ekinde yer alan dokümanlar incelendiğinde ilgili kişiye ait 2012, 2016, 2018 ve 2021 tarihli fatura belgelerinin bulunduğunun görüldüğü, her bir fatura belgesi tarihinin ayrı olarak değerlendirilmesi sonucunda fatura belgeleri ve dolaylı olarak adres bilgileri için veri sorumlusu tarafından belirlenen saklama süresinin henüz tamamlanmadığının anlaşıldığı, 
  • Bununla birlikte, ilgili kişinin bireysel hesabının ekran görüntüsü incelendiğinde; “Profil Bilgilerim” sayfasının “Fatura Adres Bilgilerim” başlığı altında varsayılan adres olarak bir adresin seçilebildiği ve adres üzerinde “Düzenle” ve “Sil” olmak üzere iki seçeneğin yer aldığı, “Diğer Kayıtlı Adresler” başlığı altında ise adresler üzerinde “Varsayılan Yap”, “Düzenle” ve “Sil” şeklindeki seçeneklerin yer aldığının görüldüğü, ancak, veri sorumlusunca söz konusu seçeneklerin yer almasına rağmen fatura adresi olarak kullanılmış adres bilgilerinin fatura belgeleri ile ilişkilendirilmesi sebebiyle ilgili kişinin hesabında “Profil Bilgileri” altında belirlenen saklama süresi boyunca yer almaya devam edeceği ve üzerinde bir işlem yapılamayacağının belirtildiği,
  • Satış sözleşmesi kapsamındaki anlaşmazlıklara yönelik fatura belgelerinin saklanması ile söz konusu fatura adresi bilgilerinin ilgili kişinin bireysel hesabında da saklanmasının iki farklı veri işleme faaliyeti olduğu, veri sorumlusu tarafından belirtilen saklama süresinin ilgili kişiye ait fatura belgeleri veya satış sözleşmesinin saklanması için geçerli olduğu, bununla birlikte kullanıcıların bireysel hesaplarına kaydettikleri adres bilgileri üzerinde silme, güncelleme gibi çeşitli düzenlemeleri yapma hakkına sahip olduğu ve bu alanda güncel olan adres bilgilerinin yer almasının ilgili kişinin sorumluluğunda olduğu, 
  • Ancak veri sorumlusunun da verilerin doğru ve güncel olmasını sağlayabilecek imkânları ilgili kişilere sağlaması gerektiği, güncel olmayan adres bilgilerinin bireysel hesap üzerinde de saklanması ve fatura adresi olarak kullanılmaları gerekçesiyle bu adres bilgileri üzerinde herhangi bir işlem yapılamamasının Kanunun 4 üncü maddesinin (2) numaralı fıkrasının (b) bendi uyarınca kişisel verilerin doğru ve gerektiğinde güncel olma ilkesine aykırılık teşkil ettiği 

değerlendirmelerinden hareketle;

  • İlgili kişinin fatura belgelerinin veri sorumlusunun Türk Borçlar Kanunundan kaynaklanan yükümlülükleri kapsamında on yıl saklanabileceği, bununla birlikte bireysel hesap üzerinde güncel adres bilgilerinin bulunması gereken alanda hâlihazırda kullanılmayan adres bilgilerinin de yer aldığı ve bu adres bilgileri üzerinde ilgili kişiler tarafından herhangi bir işlem yapılamadığı dikkate alındığında Kanunun 4 üncü maddesinin (2) numaralı fıkrasının (b) bendinde yer alan kişisel verilerin “doğru ve gerektiğinde güncel olma” ilkesinin yerine getirilebilmesi ve bu kapsamda kişisel verilerin güncellenmesine/imha edilmesine ve güncel olmayan kişisel verilerin ilgili kişilere gösterilmemesine imkân sağlayacak kanalların oluşturulması ile imha edilen/edilmesi istenen kişisel verilerin saklama amacı dışında kullanılmamasına ilişkin gerekli tedbirlerin alınması ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına 

karar verilmiştir.

03.09.2021: “İlgili kişinin, bir spor tesisi tarafından açık rızası alınmaksızın yer aldığı müsabakaların kaydedilip yayınlanması”
Karar Tarihi : 03/09/2021
Karar No : 2021/889
Konu Özeti : İlgili kişinin, bir spor tesisi tarafından açık rıza alınmaksızın kendisinin yer aldığı müsabakaların kaydedilip yayınlanması

 

İlgili kişinin Kuruma intikal eden ihbar başvurusunda özetle; Türkiye genelinde halı saha işletmeciliği alanında faaliyet gösteren veri sorumlusunun, spor tesislerinde görüntü kaydı yapmakta olduğu, ancak görüntü kaydının tesislerde spor yapanların rızaları alınmaksızın yapıldığı, bu nedenle söz konusu faaliyetin yasalara açıkça aykırılık teşkil ettiği, kayıtların veri sorumlusunun internet platformunda da yayınlandığı, bu uygulamanın kişilerin mahrem hayatını ihlal ettiği belirtilerek Kurum tarafından 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle; 

  • İlgili kişinin İstanbul ….. Tesisinde kendisinin de yer aldığı bir futbol maçında kaydedilen görüntülerinin yayından kaldırılmasını talep ettiği, söz konusu talebin kendilerine ulaşmasının ardından derhal silinmesi için talepte bulunan 2 adet maç kaydının yayından kaldırıldığı,
  • Maçlardan önce maç kaydı alınmaması yönünde bir talebin gelmesi halinde söz konusu taleplerin derhal yerine getirildiği ve ilgili kişinin halı saha işletmesine kaydın durdurulması yönünde bir talepte bulunmadığı,
  • Maçların 2016 yılından itibaren kayıt altına alındığına ve daha sonra izlenebileceğine ilişkin bilgilendirme brandalarının tesislere asıldığı ve brandaların eskidikçe yenilendiği, tesislerin kafe, soyunma odası ve koridor gibi sosyal alanlarında da poster ve afişlerle tesiste oynanan maçların yayınlandığı hususunun tesise gelen her ziyaretçinin kolaylıkla fark edebileceği şekilde açıkça duyurulduğu, ilgili kişilerin bu yolla aydınlatılmış olduğu,
  • İlgili kişinin Kuruma yaptığı başvuru tarihindeki yayın ve imha politikalarınca kullanıcıların tesislerde yapılan bilgilendirmeler sayesinde diledikleri takdirde maç kaydının alınmamasını kolaylıkla sağlayabildikleri, internet sitesinde yayınlanan tüm maç yayınlarının sadece 15 gün yayında kaldığı, sonrasında ise geri döndürülemeyecek şekilde imha edildiği, her maç videosunun altında yer alan bildir butonu aracılığı ile maç videosunun yayından kaldırılması talebinde bulunulabildiği, buna ek olarak halı saha işletmecilerinden gelen talepler ve kişilerden gelen mesajlar üzerine de yayınların derhal yayından kaldırıldığı, ayrıca kişisel verilerin hiçbir şekilde yurtdışına aktarılmadığı,
  • Kayıtların düşük kalitede olması nedeniyle kişilerin kimliklerinin tespit edilmesinin mümkün olmadığı,
  • Kayıtların alınabilmesi ve ilgili spor etkinliği saatinde tesiste olacak herkesten açık rıza alınabilmesi için açık rıza formlarının hazırlanarak pilot tesislerde uygulanmaya başlandığı

ifade edilmiştir.

Yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 03/09/2021 tarihli ve 2021/889 sayılı Kararı ile;
 

  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanunun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (1) numaralı fıkrasında “Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmünün yer aldığı,
  • Öte yandan Kanun çerçevesinde açık rızanın, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile ya da karşı taraftan gelen istek üzerine, onay vermesi anlamını taşıdığı, açık rızanın bu anlamda, rıza veren kişinin “olumlu irade beyanı”nı içermesi gerektiği, diğer mevzuattaki düzenlemeler saklı kalmak üzere, açık rızanın alınmasının şekil şartına bağlı olmadığı, açık rızanın elektronik ortam ve çağrı merkezi gibi yollarla alınmasının da mümkün olduğu, ancak burada ispat yükümlülüğünün veri sorumlusuna ait olduğu, 
  • Somut olayda veri sorumlusu tarafından; kayıtların alınabilmesi ve ilgili spor etkinliği saatinde tesiste olacak herkesten açık rıza alınabilmesi için açık rıza formlarının hazırlanarak pilot tesislerde uygulanmaya başlandığının ifade edildiği, söz konusu ifadeden, anılan uygulamanın yakın zamanda hayata geçirilmeye başlandığı ve henüz tüm üye tesislerde uygulanmadığı, somut başvuru tarihinde de aynı şekilde bu tip bir uygulamanın henüz hayata geçirilmemiş olduğunun anlaşıldığı,
  • Bu hususa paralel şekilde, somut olay tarihinde ilgili kişilerden açık rıza alındığına ilişkin veri sorumlusu tarafından herhangi bir tevsik edici bilgi veya belgeye cevabi yazı ekinde yer verilmediğinin görüldüğü,
  • Veri sorumlusu tarafından kayıtlarının düşük kalitede olması nedeniyle kişilerin kimliklerinin tespit edilmesinin mümkün olmadığı ifade edilmiş olmakla birlikte, somut olayda veri sorumlusuna ait internet sitesinde yayınlanan kayıtlar incelendiğinde, kayıtlarda görüntüleri yer alan kişilerin fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin verilerinin, bu bireylerin özgün bir şekilde teşhis edilmesini sağlayabilecek nitelikte oldukları 

değerlendirmelerden hareketle;
    

  • İlgili kişinin kişisel verisi olan görüntüsünün Kanunda yer alan herhangi bir kişisel veri işleme şartına dayanmaksızın veri sorumlusu tarafından işlendiği dikkate alındığından veri sorumlusunun Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı sonucuna varılması nedeniyle, veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına,
  • Öte yandan, söz konusu veri işleme faaliyetinin ancak ilgili kişilerin açık rızası kapsamında gerçekleştirilebileceği dikkate alındığında, bu yönde gerekli düzenlemelerin yapılarak sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

12.08.2021: “İlgili kişinin uluslararası geçerliliği olan bir dil sınavı konusunda Türkiye’deki akredite kuruluş tarafından kişisel verilerinin hukuka aykırı işlenmesi”
Karar Tarihi : 12/08/2021
Karar No : 2021/799
Konu Özeti : İlgili kişinin uluslararası geçerliliği olan bir dil sınavı konusunda Türkiye’deki akredite kuruluş tarafından kişisel verilerinin hukuka aykırı işlenmesi

 

İlgili kişinin Kuruma intikal ettirdiği şikâyet dilekçesinde özetle; uluslararası geçerliliği olan bir dil sınavı konusunda ilgili akredite kuruluşun düzenlemiş olduğu sınava girdiği, bu sınav öncesinde herhangi bir veri işleme şartına dayanmaksızın ilgili kişiye ait özel nitelikli kişisel verisi olan görsel kaydının (biyometrik fotoğraf) ve parmak izinin alındığı, giriş kaydının alternatif yollarla sağlanmasının mümkün olduğu, bu kapsamda bahsi geçen kuruluşa başvuruda bulunarak 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 11 inci maddesi kapsamındaki hakları ve kişisel verilerinin saklama süresi sona erince ne şekilde imha edildiği hakkında bilgi edinme talebinde bulunduğu, ancak başvurusunun haksız ve mesnetsiz gerekçelerle reddedildiği, kuruluşun söz konusu uluslararası dil sınavına ilişkin olarak Türkiye’deki süreçleri yürüten ve çeşitli uluslararası kurum ve kuruluşların yetkilendirdiği bir tüzel kişilik olduğu, bu kapsamda sınava katılan adayların kişisel verilerinin yurt dışına aktarılmasının kaçınılmaz olduğu ancak aktarım hakkında bilgilendirilmediği, diğer taraftan iletişim bilgilerinin de reklam ve pazarlama amaçlı olarak açık rızası alınmaksızın ve aydınlatma yükümlülüğü yerine getirilmeksizin hukuka aykırı olarak işlendiği hususları ifade edilerek 6698 sayılı Kanun kapsamında gereğinin yapılması talep edilmiştir. 

Konuya ilişkin başlatılan inceleme çerçevesinde söz konusu iddialara yönelik ilgili şirketten savunması istenilmiş olup, alınan cevabi yazıda özetle,

  • Öncelikle ilgili kişinin başvurusunda ad-soyad bilgisinin hatalı yazılmış olması sebebiyle Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe (Tebliğ) uygun olarak taraflarına başvuru yapılmadığı,
  • Sınava başvuran adaylardan kimlik bilgileri (adı, baba adı, ana adı, doğum yeri, doğum tarihi vatandaşlık numarası, kimlik seri no, kimlik geçerlilik tarihi), iletişim bilgileri (iletişim adresi, e-posta adresi, telefon numarası, ülke, şehir, posta kodu, ilçe), login ve kullanıcı adı, cinsiyeti, banka hesap bilgileri, engellilik durumu, sağlık raporu, dijital fotoğrafı,  dijital parmak taraması ve el yazısı verilerinin alındığı,
  • İlgili kişi tarafından iddia edildiğinin aksine taraflarınca biyometrik değil çehre görüntüsü gibi herkes tarafından bilinen, görünen ve kamuya açık dijital vesikalık fotoğrafının hizmet ilişkisi kapsamında kayıt altına alındığı, bahse konu verilerin, sınava girmek isteyen kişinin kaydının oluşturulması ve sınav sürecinin yönetilmesi için alınmasının zorunlu olduğu, dolayısıyla bu verilerin şirketleri ve sınava girecek kişiler arasında 6698 sayılı Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendi uyarınca bir sözleşmenin kurulması ve ifasıyla doğrudan doğruya ilgili olması sebebiyle alınması zorunlu bilgilerden olduğu ve ilgili kişinin açık rızasına tabi olmadığı, 
  • Parmak tarama kayıtlarının ise sınav güvenliği ve kimlik doğruluğunu sağlamak adına alınmasının şart olduğu, bu kayıtların yurt içi ya da yurt dışına aktarılmadığı, bu sistemin hizmet kalitesini standart hale getirmek amacıyla tüm dünyada söz konusu dil sınavını yapan merkez tarafından zorunlu tutulduğu, küresel olarak belirlenmiş olan bahse konu dil sınavının Güvenlik Protokollerine tüm yetkili sınav uygulayıcılarının uymakla yükümlü olduğu, parmak izi taramasının parmak izi şeklinde olmadığı, "görüntü kaydı" yöntemiyle alındığı ve yalnızca eşleştirme yapıldığı, parmak izi taramasında mürekkep, sıvı ya da herhangi bir kimyasal içermeyen elektronik tarayıcı kullanıldığı, parmağın herhangi bir görüntüsünün alınmadığı ya da saklanmadığı bunun yerine adayı tanımlayacak benzersiz bir sayı dizisine dönüştürüldüğü, parmak taramasına onay verilmesinin sözleşmenin ifası açısından zorunlu bir unsur olmadığı, kişilerden açık rıza alınmadığı takdirde parmak tarama kayıtlarının işlenmediği, buna ilişkin gerekli bilgilendirmenin ilgili kişilere yapılarak açık rızalarının olup olmadığının öğrenildiği, 
  • Bu kapsamda, sınava girecek adaylardan Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendi kapsamında kişisel verilerin toplandığı, özel nitelikli kişisel veriler bakımından ise adaylardan rızalarının alındığı,
  • Kişisel verilerin işlenmesi sürecinde Kanunun 10 uncu maddesi kapsamındaki aydınlatma yükümlülüğü ile ilgili olarak, gizlilik politikası ve kullanım koşulları metinleri ile toplanan kişisel verilere ilişkin bilgilendirme sağlamak adına söz konusu metinlerin internet sitesinde yayınlandığı, internet üzerinden sınav başvurusunda bulunan kişilerin üyelik formunu doldurmak zorunda oldukları ve bu esnada ilgili metinlere link verildiği, internet üzerinden başvuru yapmayan adaylara ise iletişim adreslerine söz konusu link ve metinlerin gönderildiği,
  • Öte yandan söz konusu sınava girişte elde edilen kişisel verilerin işlenme amaçlarının ve vasıtalarının belirlenmesinden, veri kayıt sisteminin kurulmasından ve yönetilmesinden merkezi yurt dışından bulunan bir başka kuruluşun sorumlu olduğu, Türkiye’de kurulu bulunan şirketin tüm çalışma, pazarlama ve işletme esaslarının kurucu şirket tarafından belirlendiği,
  •  Elde edilen kişisel verilerden, kişinin kimlik ve iletişim bilgilerinin, pasaport bilgilerinin, login ve kullanıcı adı, ülke, şehir, posta kodu, ilçe, cinsiyet, dijital fotoğraf bilgilerinin yurt içi ve yurt dışı ile paylaşıldığı, yurt içi/yurt dışı aktarımların yalnızca topluluk şirketleri ile yapıldığı, şirketin her türlü işlem ve ilişkilerinde yurt dışı merkezli topluluk şirketlerine bağlı olması sebebiyle söz konusu paylaşımın hizmetlerin ifası bakımından şart olduğu, dil sınavının uygulaması ve hazırlanmasında ancak kendisine tanınan yetki sınırları içerisinde hareket edebildiği ve sözleşme kapsamında bağlı olduğu şirketlere aktarım yapmakla yükümlü olduğu, adayın talep ettiği hizmeti almasında bu aktarımın önem arz ettiği, edimin ifa edilmesi adına dil sınavı test ortaklarının bu bilgilere sahip olmak zorunda oldukları, verilerin aktarıldığı topluluk şirketlerinin GDPR’a tabi olduklarından güvenli ülke oldukları, 
  • Özel nitelikli kişisel verilerin ve parmak tarama kayıtlarının ise yurt dışına aktarımının söz konusu olmadığı,
  • Sınav adaylarıyla yapılan görüşmeler esnasında adaya gönderilen ve imzalattırılan gizlilik ile kullanım koşulları metinlerinde yurt dışına aktarıma ilişkin bilgilendirme yapıldığı, verilerin aktarımı öncesinde mutlaka adaylardan rızalarının alındığı,
  • Sınava girecek adayın sınav yeri ve sonuç bilgilerini öğrenme hakkı kapsamında e-posta adres bilgilerinin alındığı, bu kapsamda ilgili bilgilerin gönderildiği, ticari iletilerle ilgili olarak ise “Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik”in 6 ncı maddesi hükmü uyarınca temin edilen hizmetler kapsamında gönderilecek ticari iletiler bakımından tekrar onay alınması gerekmediği, 
  • Kişisel verilerin saklanma ve imhasına ilişkin olarak politikalarının bulunduğu, buna göre toplanan kişisel bilgilerin artık gerekli olmadığında, kişisel bilgilerin bir kopyasının saklanmayacağı veya bilgilerin yasalar tarafından gerekmedikçe imha edilmesi ve kimlik giderme politikasına uygun olarak yok edilmesinin, güvenli şekilde silinmesinin veya bilgilerin tanımlanmasının sağlanacağı, bilgilerin dil sınavı veya sınav hazırlama amaçları için toplanması halinde, sınava girdikten, hizmete katıldıktan sonra veya son etkinlikten sonra 3 yıla kadar saklanacağı,  parmak tarama verilerinin test tarihinden sonra 60 gün boyunca sadece bir binary large object dosyası olarak saklanacağı 

ifade edilmiştir. 

Bu kapsamda, kişisel verilerin işlenme amaçlarının ve vasıtalarının belirlenmesinden ve veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olduğu iddia edilen yurt dışında yerleşik bulunan şirkete de şikâyet dilekçesindeki iddialara yönelik olarak bilgi verilerek açıklamaları istenilmiş olup, bu kapsamda yurt dışında yerleşik bulunan şirketçe verilen cevabi yazıda özetle; 

  • Dil sınavının arka planına ve bağlamına ilişkin açıklamalara yer verildikten sonra, şikâyete konu (Türkiye’de bulunan) akredite kuruluşun yurt dışında yerleşik bulunan şirketlerinin iştiraki konumunda olduğu ve sınav ortakları tarafından ortaklaşa belirlenen ve Test Merkezleri Sözleşmesinde belirtilen şartlar altında çalışmakla yükümlü olduğu, 
  • Bahsi geçen ortakların sınava ilişkin şartları ve koşulları, gizlilik bildirimini ve kimlik doğrulama süreçleri dahil olmak üzere gereksinimleri ortaklaşa belirledikleri,
  • Katılan için önemli sonuçları olan bir sınav olması sebebiyle, sınava giren kişinin kimliğinin kesin olarak doğrulanabilmesinin ve sonucunun sınava giren kişiyle ilişkilendirmesinin hem sınav katılımcılarının hem de kuruluşların yararına olduğu, buna göre, kimlik doğrulaması ve sınav günü fotoğrafının, sınava girenlerin sonuç formunda gösterilen sonuçlara ulaşan kişi olduklarını kanıtlamalarını sağladığı,
  • Parmakla taramaya ilişkin olarak; test merkezlerine, sınava girenlerin kimliklerini kontrol etmeye dayalı bir alternatif sağlanması gerektiğini belirtir talimatlarının bulunduğu, Türkiye'de alternatifin sunulmadığı bir dönemin bulunduğu ancak Mart 2020'den itibaren Türkiye'deki şirketin uygulamasının parmak taraması yaptırmak istemeyen sınav katılımcılarına bir alternatif sunulması gerektiği yönünde olduğu, ancak bunun her zaman böyle olmadığı bu sebeple bunu düzeltmek için adımlar attıkları, 
  • Parmak taramasını içeren mevcut sürecin, aynı kişinin sınavın tüm bölümlerini aldığını teyit etmek ile sınav katılımcısının gizlilik hakları arasında en iyi dengeyi sağladığından seçildiği, 
  • Parmak izlerinin resimlerinin alınmadığı veya saklanmadığı, yalnızca baskının aynı kişiden olduğunu doğrulamak için kullanılabilen, ancak parmak izi görüntüleri olarak çoğaltılamayan İkili Büyük Nesne Dosyaları (BLOB) olarak adlandırılan sayısal dizeler şeklinde tutulduğu, bu dosyaların da yalnızca sınav merkezinin bilgisayar ekipmanında yerel olarak tutulduğu ve 60 gün sonrasında silindiği, yurt dışına aktarılmadığı, Türkiye’de, Mart 2020'den itibaren parmak taramasına alternatif bir kimlik doğrulama sistemi sunulduğu ve Covid riski nedeniyle de o zamandan beri parmak taramasının hiç kullanılmadığı,
  • Bir yan kuruluşu olarak Türkiye’deki iştiraklerinin rolünün, dil sınavının Türkiye'de test merkezlerinde sunulmasının sağlanması şeklinde olduğu,
  • Tüm ülkelerdeki sınav katılımcılarından parmak taramalarının talep edildiği ancak bunun zorunlu olmadığı, alternatif olarak kayıt kimliğinin manuel olarak kontrol edilmesinin de mevcut olduğu, 
  • Bazı kişisel verilerin Gizlilik Bildiriminde açıklandığı üzere veri sorumlusuna aktarıldığı, ancak bu bilgilerin her kişi için toplanmadığı, sınava girme nedenine ve seçilen sınavın türüne bağlı olarak değiştiği, parmak taramasının ise yurt dışına aktarılmadığı, 
  • Yurt dışına aktarmak için ilgili kişilerin açık rızasının alındığı, Kurulun, taraflarının Kanuna ilişkin yorumlarına katılmaması halinde, özellikle "Yeterli Ülkelerin" herhangi bir onayı yoksa transfer için Kurul onayı alma sürecine katılabilecekleri

beyan edilmiştir. 

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 12/08/2021 tarih ve 2021/799 sayılı Kararı ile;

Veri sorumlusu sıfatının belirlenmesi açısından; 

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun Tanımlar başlıklı 3 üncü maddesinde “veri sorumlusu”nun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi; “veri işleyen”in ise veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlandığı; veri sorumlusunun, veri işleme faaliyetinin genel anlamda “neden” ve “nasıl” yapıldığını belirleyen kişi olduğu, Kurumun internet sitesinde yayınlanan veri sorumlusu-veri işleyen rehberine göre veri işleyenin ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen, veri sorumlusunun organizasyonu dışındaki gerçek veya tüzel kişiler olduğu; bu kişilerin, kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen, veri sorumlusunun kişisel veri işleme sözleşmesi yapmak suretiyle yetkilendirdiği ayrı bir gerçek veya tüzel kişi olduğu; bu kapsamda, Türkiye’deki dil sınavlarında iştiraki olarak görev yapmakta olan şirketin ve yurt dışı merkezli şirketten alınan bilgi, belge ve beyanların değerlendirilmesi neticesinde, Türkiye’deki şirketin dil sınavının Türkiye’de uygulanmasında yetkili kılınan bir tedarikçi olduğu, sınavın uygulanmasına dair hizmet sözleşmesi kapsamında yurt dışı merkezli şirketin emir ve talimatlarıyla bağlı olduğu öte yandan adaylardan elektronik ortamda alınan kayıtların tutulduğu elektronik sistemin yurt dışındaki şirkete ait olduğu ve Türkiye’deki şirketin söz konusu sisteme erişim imkanı olmadığı, bu minvalde bahse konu sınav hizmetinin sağlanması noktasında adaylardan/ilgili kişiden edinilen sınava ilişkin genel nitelikteki kişisel verilerin işlenmesi noktasında veri işleyen sıfatını haiz olduğu,
  • Diğer taraftan, sınav güvenliğinin sağlanması noktasında adaylardan sınava giriş esnasında kimliklerinin doğrulanmasını teminen alınan parmak taraması uygulamasının Mart 2020’ye kadar Türkiye’de zorunlu olarak yapıldığı ancak bu tarihten itibaren parmak taramasına alternatif bir kimlik doğrulama sistemi sunulmasına yönelik test merkezlerine talimat verildiğinin beyan edilmesi ve şikâyete konu ilgili kişinin parmak tarama kayıtlarının 2018 yılında alındığı hususları birlikte değerlendirildiğinde, somut olay açısından Türkiye’deki şirketin, yurt dışı merkezli şirketin emir ve talimatlarıyla hareket etmek zorunda olduğu, bununla birlikte her ne kadar Mart 2020 tarihinden itibaren ve günümüz itibariyle adaylara, verilerinin işlenmesi noktasında seçenek sunulması talimatının verildiği ifade edilse de şikâyet tarihi itibariyle parmak taraması alınması yönündeki kişisel veri işleme faaliyetinin zorunlu olarak yapıldığı anlaşıldığından, somut olay açısından Türkiye’deki iştirakin yine veri işleyen, yurt dışı merkezli şirketin ise veri sorumlusu olduğu,

İlgili kişinin başvurusunun reddedilmesi açısından; 

  • İlgili kişinin Türkiye’deki şirkete yaptığı başvuruda ad-soyad bilgisini bir harf eksik olarak yanlış yazdığı ancak ilgili kişinin ad-soyad bilgisi kişi tarafından bir harf eksik olarak yazılmış olsa da kişinin kimliğinin teyit edilmesini sağlayacak T.C. kimlik numarasının tam olarak iletildiği diğer taraftan şirket ile yapılan yazışmalarda ilgili kişinin ad ve soyadının verilen cevap e-postalarında tam olarak görüntülenebildiği dolayısıyla söz konusu e-posta adresinin şirketin sisteminde kayıtlı olduğu anlaşılmış olduğundan bir harf sebebiyle ilgili kişinin başvurusunu reddetmesinin Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin  6 ncı maddesinde belirtilen dürüstlük kuralına uygun olmadığı,
  • Diğer taraftan, ilgili kişinin Kanunun 11 inci maddesi kapsamında bilgi edinmeye yönelik taleplerine, talebi olmayan bir içerikle Tebliğin 6 ncı maddesine uygun olmayacak bir şekilde cevap verildiği bu anlamda ilgili kişinin taleplerinin yanıtsız bırakıldığı, bununla birlikte ilgili kişinin başvurusunda yer alan taleplerini veri sorumlusu adına cevaplayabileceği dikkate alındığında veri işleyenin Kanun kapsamında kendisine yapılan başvurulara cevap verirken 6698 sayılı Kanun ve Tebliğin ilgili hükümlerine uyum konusunda gerekli dikkat ve özeni göstermediği, 

İlgili kişinin görsel kaydının ve parmak izinin herhangi bir veri işleme şartına dayanmaksızın alındığı iddiası açısından; 

  • Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, bu çerçevede, kişisel verilerin ancak, 
    a) Hukuka ve dürüstlük kurallarına uygun şekilde, 
    b) Belirli, açık ve meşru amaçlar kapsamında, 
    c) Doğru ve gerektiğinde güncel olma şartıyla, 
    ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, 
    d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme 
    ilkelerine uygun olarak işlenebildiği, bu ilkelerden, “işlendikleri amaçla bağlantılı ve sınırlı olma ilkesi”nin; işlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olmasını, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını öte yandan sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik olarak da veri işlenmesi yoluna gidilmemesini içerdiği,
  • Ölçülü olma ilkesinin ise, veri işleme faaliyeti ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulmasını, diğer bir deyişle veri işlemenin amacı gerçekleştirecek ölçüde olmasını ifade ettiği, bu kapsamda, veri sorumlusunun amacı çerçevesinde ölçülü olma ilkesine uygun olarak ilgili kişiden minimum düzeyde bilgi talep etmesi bunun dışında, amaç için gerekli olmayan kişisel verilerin işlenmesi faaliyetinden kaçınması gerektiği,
  • Kanunun “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6 ncı maddesinde  “…(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. (4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” hükümlerine yer verildiği,
  • Somut olayda, sınavın güvenirliliğinin ve güvenliğinin sağlanması noktasında 2020 Mart dönemi öncesinde, adaylardan parmak taramalarının alınmasında ilgili kişiden/adaylardan alternatif yollar yerine açık rızalarının alınması yoluna gidildiği dolayısıyla Kanunun 4 üncü maddesinde yer alan “ölçülü olma” ilkesine aykırı davranıldığı, 
  • Türkiye'de adaylara alternatifin sunulmadığı bir dönemin bulunduğu anlaşıldığından şikâyete konu somut olay açısından 2018 yılındaki parmak tarama kayıtlarının işlenmesi noktasında hizmetin açık rıza şartına bağlandığı, bu kapsamda açık rızanın Kanunda sayılan unsurları taşımadığı ve dolayısıyla söz konusu işlemenin Kanunda yer alan işleme şartlarına dayanmadan gerçekleştirildiği, 

İlgili kişinin kişisel verilerinin yurt içi ve yurt dışına aktarılmasına ilişkin bilgilendirilmediği iddiası hakkında: 

  • Kanunun “Kişisel Verilerin Yurt Dışına Aktarılması” başlıklı 9 uncu maddesinde kişisel verilerin ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağı ancak, kişisel verilerin 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede; a) Yeterli korumanın bulunması, b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabileceği hükümlerinin düzenlendiği, 
  • Taraflardan alınan savunma yazılarında ve internet sitelerinde yapılan incelemede kişisel verilerin yurt dışına aktarımına açık rıza verilmesi gerektiği, açık rıza verilmemesi halinde sınav hizmetinin ifa edilemeyeceği, hizmetin ifası için söz konusu kişisel verilerin test ortaklarına aktarılmasının zorunlu olduğunun beyan edildiği ancak  genel nitelikli kişisel verilerin işlenmesinin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendi kapsamında bir sözleşmenin kurulması ve ifasıyla doğrudan doğruya ilgili olması sebebiyle alınması zorunlu bilgiler olduğu ve adayların açık rızasına tabi olmadığı bununla birlikte aktarımın adayların açık rızaları kapsamında yapıldığının anlaşıldığı, 
  • Ayrıca, gerek internet sitesinde gerekse sunulan bilgi ve belgelerde açık rızanın sadece yurt dışına aktarıma yönelik olarak alınmadığı, yurt dışına aktarıma ilişkin rızanın sınava ilişkin diğer koşulların da yer aldığı “şartlar ve koşullar” metnine istinaden hizmetten faydalanmanın şartı olarak alındığı, somut olaya konu olan ilgili kişinin onayının da aynı şekilde alındığı ancak aradan geçen 3 yıllık süre ve Türkiye’deki şirketin adaylara ilişkin elektronik kayıtların tutulduğu söz konusu sisteme erişim imkanının bulunmaması sebebiyle ilgili belgeye erişemediği ve yurt dışı ile yürütülen görüşmeler neticesinde ilgili kişiye ait bahse konu kayıtların imha politikasına uygun  şekilde yok edildiği bilgisini aldığı,
  • Bu itibarla, hizmetin ifası kapsamında zorunlu olarak alınması gereken genel nitelikteki kişisel verilerin yurt dışına aktarılmasında açık rızanın sınava ilişkin şartlar ve koşulların yer aldığı metinler aracılığıyla genel olarak alınmasının açık rızayı sakatlayacağı dikkate alındığında; yurt dışına aktarımın Kanunun 9 uncu maddesinin (1) numaralı fıkrası gereğince açık rıza kapsamında yapılmaya devam edilmesinin tercih edilmesi halinde açık rızanın Kanunun 3 üncü maddesinde yer alan unsurlar ve Aydınlatma Tebliğinde yer verilen hükümler dikkate alınmak şartıyla yurt dışına aktarım özelinde münferiden alınması gerektiği ya da açık rıza almak yerine Kanunun 9 uncu maddesinin (2) numaralı fıkrası uyarınca "bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması" kapsamında yurt dışına aktarılmak istenmesinin tercih edilmesi halinde ise Kanunun 9 uncu maddesinin (1) numaralı fıkrasına uygun bir taahhütnamenin hazırlanarak Kurulun onayına sunulması gerektiği,

Reklam ve pazarlama içerikli e-postalara rıza vermediği ve bu konuda aydınlatılmadığı iddiası açısından;

  • Konu hakkında ilgili kişinin veri sorumlusuna başvuruda bulunmamış olmasının Kanunda yer verilen usul şartlarına uygun olmadığı sonucuna varıldığı

değerlendirmelerinden hareketle;

  • İlgili kişinin Türkiye’deki şirketin sisteminde kayıtlı olduğu ve ilgili kişinin kimliğinin tespit edilebileceği anlaşılmış olduğundan bir harf sebebiyle “…başvurucu ismi kayıtlarımızda bulunamamıştır…” şeklinde ilgili kişiye cevap verilmesinin Tebliğin 6 ncı maddesinde belirtilen dürüstlük kuralına uygun olarak değerlendirilmemesi sebebiyle Kanun kapsamında kendisine yapılan başvurulara cevap verirken 6698 sayılı Kanun ve Tebliğin ilgili hükümlerine uyum konusunda gerekli dikkat ve özeni göstermesi gerektiği konusunda uyarılmasının, 
  • Diğer taraftan ilgili kişinin taleplerinin Türkiye’deki şirket tarafından yanıtsız bırakıldığı göz önüne alındığında ise ilgili kişinin başvurusunda yer alan taleplerini veri işleyenin veri sorumlusu adına cevaplayabileceği dikkate alındığında, veri işleyenin bu talepleri detaylı şekilde yanıtlaması ve sonucundan Kurula bilgi vermesi gerektiği yönünde talimatlandırılmasına, 
  • Sınava girişlerde parmak taraması kayıtlarının alınması uygulamasına ilişkin veri sorumlusu tarafından test merkezlerine, sınava girenlerin kimliklerini kontrol etmeye dayalı bir alternatif sağlanması gerektiğini belirtir talimat verildiğinin belirtildiği, Türkiye'de adaylara alternatifin sunulmadığı bir dönemin bulunduğu zira bu uygulamanın Türkiye’de Mart 2020'den itibaren değiştirildiği ve parmak taramasına alternatif bir kimlik doğrulama sisteminin sunulduğunun beyan edildiği, şikâyete konu somut olay açısından ise 2018 yılındaki parmak tarama kayıtlarının işlenmesi noktasında hizmetin açık rıza şartına bağlandığı, bu kapsamda açık rızanın Kanunda sayılan unsurları taşımadığı ve dolayısıyla söz konusu işlemenin Kanunda yer alan işleme şartlarına dayanmadan gerçekleştirildiği dikkate alındığında Kanunun 12 nci maddesinin (1) numaralı fıkrasında sayılan tedbirlerin alınmadığı kanaatine varıldığından, yurt dışı merkezli veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına,
  • Türkiye’de sınava girişte kimlik doğrulaması amacıyla adaylardan parmak taraması kaydı alınması uygulamasına alternatif bir kimlik doğrulama sisteminin kullanılması, bu kapsamda veri işleyen başta olmak üzere Türkiye’deki yetkili test merkezlerinin bu sisteme uymasının sağlanması ve sonucundan Kurula bilgi verilmesi gerektiği yönünde veri sorumlusunun talimatlandırılmasına,
  • İlgili kişinin şikayet dilekçesinde Kurula ilettiği “reklam, pazarlama ve tanıtım amaçlı maillerin geldiği, bu işleme faaliyetine rıza vermediği ve söz konusu işleme faaliyeti konusunda aydınlatılmadığı” iddialarına ilişkin veri sorumlusuna başvuruda bulunmamış olmasının Kanunda yer verilen usul şartlarına uygun olmadığının değerlendirilmesi sebebiyle, veri sorumlusunu muhatap başvurusunda talep etmediği, ancak Kurula yaptığı başvuruda talep ettiği konuların inceleme sürecine dahil edilmediği hususlarında ilgili kişiye bilgi verilmesine

karar verilmiştir.

06.07.2021: “İlgili kişinin veri sorumlusu bankaya yaptığı iş başvurusunun olumsuz sonuçlanması sonrası kişisel verilerinin işlenmeye devam etmesi”
Karar Tarihi : 06/07/2021
Karar No : 2021/670
Konu Özeti : İlgili kişinin veri sorumlusuna yaptığı iş başvurusunun olumsuz sonuçlanması sonrası kişisel verilerinin işlenmeye devam etmesi

 

Kuruma intikal eden şikâyet dilekçesinde, ilgili kişinin veri sorumlusu tarafından kurulmuş olan internet sitesi üzerinden iş başvurusunda bulunduğu, bu sebeple söz konusu internet sitesi üzerinden kişisel verilerini içerir bilgileri veri sorumlusuyla paylaştığı, başvurunun akabinde mülakata alındığı ancak mülakat neticesinde başarılı olamadığı, bu sebeple de veri sorumlusuyla kişisel verilerini paylaşması anlamında bir neden kalmadığı, bu bağlamda söz konusu internet sitesine girerek oluşturduğu özgeçmişi sildiği, akabinde veri sorumlusunun sisteminde kalan tüm kişisel verilerinin silinmesi adına telefon ve e-posta yoluyla veri sorumlusuna başvuruda bulunduğu, ancak ilgili kişinin başvurusuna istinaden veri sorumlusu tarafından e-posta yoluyla yapılan bilgilendirmede ilgilinin kişisel verilerinin veri sorumlusuna yapacağı olası başvurular için saklanacağı bilgisinin tarafına iletildiği ifade edilerek, veri sorumlusuna ilişkin herhangi bir iş talebi, ilgisi ya da ilişiği olmadığını iletmesine rağmen kişisel verilerinin veri sorumlusu tarafından silinmemesi nedeniyle Kuruma şikayette bulunarak 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde söz konusu iddialara ilişkin veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • İlgili kişinin söz konusu internet sitesi aracılığıyla iş başvurusunda bulunduğu, gerek sitede doldurduğu form aracılığıyla gerekse daha sonraki süreçlerde bankalarına yazılı olarak bildirdiği ve ilgili kişiyle gerçekleştirilen mülakatlar esnasında beyan ettiği kişisel verilerin, 6698 sayılı Kişisel Verilerin Korunması Kanununun 10 uncu maddesine uygun şekilde kendisine gerekli aydınlatmalar yapılarak işlendiği, 
  • Söz konusu kişisel verilerin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan "Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması" hukuki sebebi kapsamında ilgili kişinin iş başvurusunun incelenebilmesi ve iş sözleşmesinin kurulabilmesi için gerekli olan bilgilerin temini, işe yeterlilik değerlendirmesi ve sair testlerin yapılabilmesi; (e) bendinde yer alan "Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması" hukuki sebebi kapsamında ilgili kişinin başvurulan pozisyona uygunluğunun incelenebilmesi, iletilen bilgilerin doğruluğunun teyit edilebilmesi, gerekli mülakatların yapılabilmesi ve (f) bendine yer alan "ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması" hukuki sebebi kapsamında ilgili kişinin şirket prensiplerine uygunluğunun değerlendirilebilmesi, diğer başvurularda iletilen bilgilerle eşleştirme yapılabilmesi amaç ve işleme şartlarına dayanarak işlendiği,
  • Veri sorumlusu tarafından yapılan değerlendirmeler sonrasında ilgili kişinin iş başvurusunun kabul edilmemesinin akabinde; yukarıda sayılan amaçlarla işlenen kişisel verilerin, ilgili kişinin talebi üzerine Kanunun 7 nci maddesine uygun olarak işleme amacının ortadan kalkması sebebi ile silindiği ancak söz konusu kişisel verilerden yalnızca isim-soy isim ve kimlik numarası ile veri sorumlusunun başvuru değerlendirilmesine esas genel gerekçesinin muhafaza edildiği, bu verilerin muhafaza edilmesindeki amacın ise veri sorumlusuna iş başvurusunda bulunan kişilerin, reddedilen başvuru sonrasındaki dönemlerde yapacakları iş başvurularının değerlendirmesinde, önceki başvurusunun da dikkate alınabilmesi olduğu, zira bu şekilde sonraki başvurularda gerçeğe aykırı verilerle karşılaşmanın önüne geçilmesinin amaçlandığı ve bu saklama amacının ilgili kişinin Kanunun 11 inci maddesi uyarınca yaptığı başvurusunda ilgili kişiye iletildiği,
  • İlgili kişinin ikinci başvurusunda, isim-soy isim ve kimlik bilgisi verilerinin de silinmesini talep ettiğinin anlaşıldığı, ilgili kişinin kişisel verisi üzerindeki tasarruf yetkisinin öncelikli olduğu düşüncesinden hareketle ilgili kişinin isim-soy isim ve kimlik bilgilerinin de silinmesi kararının alındığı ve ilgili kişiye kişisel verilerinin ilk periyodik imha işleminde silineceği bilgisinin iletildiği

ifade edilmiştir.

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 06/07/2021 tarihli ve 2021/670 sayılı Kararı ile;

  • Kanunun, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4 üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin; hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme şeklinde sayıldığı,
  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanunun kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi başlıklı 7 nci maddesinin “(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir. (2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır. (3) Kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.” hükmünü amir olduğu, bu çerçevede, Kişisel Verilerin Silinmesi Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin yürürlüğe girdiği, 
  • Kişisel Verilerin Silinmesi Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin kişisel verilerin silinmesine ilişkin 8 inci maddesinin (1) numaralı fıkrasında kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi olarak tanımlanırken (2) numaralı fıkrasında veri sorumlusunun, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlü olduğunun ifade edildiği,
  • Yönetmelik kapsamında kişisel verilerin silinmesinin iki şekilde düzenlendiği, ilk olarak kişisel verilerin veri sorumlusunca resen silinmesi haline, ikinci olarak da kişisel verilerin ilgili kişinin başvurusu kapsamında silinmesi haline ilişkin düzenleme yapıldığı,
  • Yönetmeliğin “Kişisel verileri resen silme, yok etme veya anonim hale getirme süreleri başlıklı” 11 inci maddesinin ‘‘(1) Kişisel veri saklama ve imha politikası hazırlamış olan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir. (2) Periyodik imhanın gerçekleştirileceği zaman aralığı, veri sorumlusu tarafından kişisel veri saklama ve imha politikasında belirlenir. Bu süre her halde altı ayı geçemez. (3) Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde, kişisel verileri siler, yok eder veya anonim hale getirir.’’ hükmünü haiz olduğu,
  • Ayrıca aynı Yönetmeliğin, kişisel verilerin ilgili kişinin talebi çerçevesinde silinmesini düzenleyen ‘‘Kişisel verileri ilgili kişinin talep etmesi durumunda silme ve yok etme süreleri’’ başlıklı 12 nci maddesinde de; 
    ‘‘(1) İlgili kişi, Kanunun (Değişik ibare:RG-28/4/2019-30758) 11 inci ve 13 üncü maddelerine istinaden veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;
    a) Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.
    b) Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.
    c) Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.
    ’’ düzenlemesinin yer aldığı,
  • İlgili kişinin kendisine ait kişisel verilerin silinmesi hususunda veri sorumlusuna ilettiği talebin, karşılanmaması iddiasına ilişkin olarak veri sorumlusundan alınan cevabi yazıda ilgili kişiye ait kişisel verilerin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c), (e) ve (f) bentleri kapsamında, ilgili kişiye aydınlatma yapılması suretiyle işlendiği, söz konusu verilerin ilgili kişinin ilk başvurusu sonucu silindiği, ancak ad-soyad, kimlik bilgileri ve mülakata ilişkin değerlendirme notlarının veri sorumlusu tarafından muhafaza edilmeye devam edildiği, buradaki amacın ise veri sorumlusuna iş başvurusunda bulunan kişilerin, reddedilen başvurusu sonrasındaki dönemlerde yapacakları iş başvurularının değerlendirmesinde, önceki başvurusunun da dikkate alınabilmesi olduğu, bu verilerin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendinde yer aldığı üzere, veri sorumlusunun ‘‘meşru menfaati’’ çerçevesinde depolanmaya devam edileceğinin bildirildiği ancak ilgili kişinin bu durumu kabul etmeyerek tekrar başvuruda bulunduğu ve başvurusunda veri sorumlusu banka ile ilgili herhangi bir kariyer planı ve olası iş başvurusu olmayacağını belirterek bankada muhafaza edilen tüm kişisel verilerinin silinmesini talep ettiği, bu talebe karşılık olarak da veri sorumlusunca yapılan değerlendirmeler sonucu ilgili kişinin kendisine ait kişisel verileri üzerindeki tasarruf yetkisini önceleyerek ilgili kişiye ait tüm kişisel verilerin ilk periyodik imha sürecinde Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin “Kişisel verileri resen silme, yok etme veya anonim hale getirme süreleri” başlıklı 11 inci maddesi gereği ilk periyodik imha işleminde silineceği hususunu ilgili kişiye ve Kuruma beyan ettiği,
  • Ancak; ilgili kişinin Kuruma ilettiği şikayet ekinde de yer alan veri sorumlusuna yaptığı ilk müracaata istinaden veri sorumlusu banka tarafından verilen yanıtta yer alan ‘‘ilgili kişinin olası iş başvuruları adına kimlik bilgileri, ad, soyadı bilgilerinin bankanın meşru menfaati çerçevesinde saklanacağı’’ ifadesinde muğlaklık söz konusu olduğu, zira veri sorumlusunun Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendi kapsamında meşru menfaati çerçevesinde veri işlemesinin, veri sorumlusuna sınırsız bir alan tanımadığı, 
  • Bu çerçevede ilgili kişinin ileride yapacağı olası başvurular adına kişisel verilerinin bu başvurularda kullanılacak ve veri sorumlusuna bildirilecek kişisel verilerin teyit edilmesi amacıyla veri sorumlusu tarafından muhafaza edilmesi hususunda, veri sorumlusunun meşru menfaate dayanarak yaptığı savunmasının değerlendirilmesi gerektiği, 
  • Bu kapsamda, ilgili kişinin verilerinin tamamının silinmesi talebine karşın veri sorumlusunun bahse konu verileri ilk periyodik imhada dikkate alacağına yönelik açıklamasının veri sorumlusunun söz konusu menfaate ulaşılabilmesi bakımından kişisel veri işlenmesinin zorunluluk arz etmediğinin bir göstergesi olduğu, kişisel verinin işlenmesi sonucunda elde edilecek menfaat ile ilgili kişinin temel hak ve hürriyetlerinin yarışabilir düzeyde olmadığı, ilgili kişinin verilerinin saklanması hususunda veri sorumlusunun meşru menfaatinin açık ve belirli olmadığı, veri sorumlusunun işleme faaliyetinden sağlaması beklenen yararın kişisel veri işlenmeksizin başkaca bir yol ve yöntemle elde edilebileceği ve söz konusu veri işleme faaliyetinin çok sayıda kişiyi etkileyecek şekilde kurumsal bir fayda sağlamadığı değerlendirildiğinden söz konusu kişisel verilerin işlenmesinde veri sorumlusunun meşru menfaatinin ilgili kişinin temel hak ve özgürlüklerine baskın gelmediği,
  • İş başvurusunun kabul edilmemesi ile birlikte Kanunun 5 inci maddesinde yer alan veri işleme şartlarından herhangi birinin devam etmediği göz önünde bulundurulduğunda her ne kadar veri sorumlusu tarafından Kişisel Verilerin Silinmesi Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğinin 11 inci maddesi gereği ilk periyodik imha sürecinde imha talebinin yerine getirileceği bilgisi ilgili kişiye verilmiş olsa da verilerin imha talebinin ilgili kişi tarafından Kanunun 7 ve 11 inci maddesi kapsamında veri sorumlusuna yeniden iletildiği, söz konusu imha talebi göz önüne alındığında mezkur Yönetmeliğin 11 inci maddesi kapsamında veri sorumlusu tarafından hazırlanan imha politikasına dayanarak gerçekleştirilecek ‘‘resen’’ imha işleminin söz konusu olamayacağı, aksine aynı Yönetmeliğin 12 inci maddesi kapsamında ilgili kişinin talebi üzerinde imha işleminin gerçekleştirilmesinin gerektiği; bu itibarla da imha işleminin bu madde kapsamında ele alınması gerektiği

değerlendirmelerinden hareketle;

  • İlgili kişinin veri sorumlusuna yaptığı iş müracaatının olumsuz sonuçlanması üzerine veri sorumlusu tarafından işlenen kişisel verilerinin silinmesi talebinin veri sorumlusu tarafından önce kısmen kabul görerek ad, soyadı ve kimlik bilgilerinin işlenmesine devam edilmesi, sonrasında ise ilgili kişinin veri sorumlusuna aynı bağlamda yapılan ikinci başvurusu sonucunda yapılan değerlendirmede, söz konusu verilerin veri sorumlusunun imha politikası çerçevesinde gerçekleştirilecek ilk periyodik imha sürecinde imha edileceği kararının alındığının bildirilmesi dolayısıyla ilgili kişinin talebine karşın kişisel verilerinin Kişisel Verilerin Silinmesi Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 12 inci maddesi gereğince 30 gün içerisinde silinmemiş olmasının ve Kanunun 5 inci maddesinde yer alan herhangi bir işleme şartına dayanmaksızın ilgili kişinin kişisel verilerinin işlenmeye devam edilmesinin veri sorumlusunun Kanunun 12 inci maddesinin (1) numaralı fıkrası kapsamında kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığını gösterdiği kanaatine varıldığından veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına, 
  • İlgili kişinin kişisel verilerinin imha edilerek ilgili kişiye ve Kurula konu hakkında bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına, 
  • İş müracaatı olumsuz sonuçlanmış başka kişilerin bulunması durumunda onların da kişisel verilerinin Kanunun 7 nci maddesi hükümleri çerçevesinde imha edilmesi ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

26.08.2021: “İlgili kişinin internet hizmeti aboneliğini sağlamak üzere evine gelen şirket yetkilisinin aboneliği oluşturmak adına ilgili kişiye ait kimliğin fotoğrafını cep telefonu aracılığıyla çekmesi suretiyle kişisel verilerini işlemesi”
Karar Tarihi : 26/08/2021
Karar No : 2021/859
Konu Özeti : İlgili kişinin internet hizmeti aboneliğini sağlamak üzere evine gelen şirket yetkilisinin aboneliği oluşturmak adına ilgili kişiye ait kimliğin fotoğrafını cep telefonu aracılığıyla çekmesi suretiyle kişisel verilerini işlemesi

 

İlgili kişinin Kuruma intikal eden şikâyetinde özetle, internet hizmeti alımı talebini karşılamak amacıyla evine gelen internet hizmeti sağlayan şirket yetkilileri tarafından kimlik bilgilerinin sözleşme üzerine yazılmasına rağmen ayrıca kimlik fotoğrafının da çekilmesinin istendiği, kendisinin kimlik üzerine “Müstenidattır” yazısı ekleyerek fotoğraf çekmelerini istediyse de bunun firma tarafından kabul edilmediğinin ifade edildiği, bunun üzerine hizmet alımını reddetmesi sebebiyle yetkililerin evden ayrıldığı, ardından veri sorumlusundan kimlik bilgilerinin silinmesini talep ettiği, ancak talebinin şirketin daha sonraki olası işlemlerde kendisini hatırlaması amacıyla saklandığı hususları ifade edilerek, 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında konu hakkında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup verilen cevabî yazıda özetle;

  • Şirket tarafından abonelere temel ve katma değerli elektronik haberleşme hizmetlerinin sunumu, faturalama, müşteri hizmetleri, şikayetlerin yanıtlanması gibi amaçlar için gerekli olan hallerde her bir kategori bazında kişisel verilerin işlenebildiği,
  • Kimlik bilgilerinin T.C. kimlik numarası, ad, soyad, doğum yeri ve tarihi, medeni durum, cinsiyet, kimlik belgesi örneği, fotoğraf gibi kişisel verileri, iletişim bilgilerinin ise adres, telefon/faks numarası, e-posta adresi gibi kişisel verileri ifade ettiği,
  • Yukarıda sıralanan kişisel veri tiplerinin işlenme gerekçesinin temel olarak abonelerin şirketle yaptığı abonelik sözleşmesi kapsamında,  Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendinde ifade edilmiş olan “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” hükmü uyarınca olduğu,
  • Şirketin Bilgi Teknolojileri ve İletişim Kurumu (BTK) tarafından yetkilendirilmiş ve temel iştigal alanının 5809 sayılı Elektronik Haberleşme Kanunu ve ilgili mevzuat çerçevesinde elektronik haberleşme hizmetlerinin sunulması olduğu, bu kapsamda Şirketin tüm ürün ve hizmet süreçleriyle ilgili BTK düzenlemelerine uymakla yükümlü olduğu, 28 Ekim 2017 tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren Bilgi Teknolojileri ve İletişim Kurumu, Elektronik Haberleşme Sektörüne ilişkin Tüketici Hakları Yönetmeliğinin 7 nci maddesinin altıncı fıkrasının 

“...
(6) Abonelik sözleşmelerinin elle atılan imza ile kurulması halinde, işletmeci abonelik sözleşmesinin yanında;
a)    Bireysel aboneliklerde T.C. Kimlik Numarası ile kimlik belgesinin,
b)    Kurumsal aboneliklerde yetkili kişinin T.C. Kimlik Numarası ve kimlik belgesi ile temsile yetkili olduğuna dair belge ile imza sirkülerinin,
c)    Yabancı uyrukluların aboneliklerinde geçerlilik tarihi uygun pasaport, uluslararası geçerliliği olan muadili belge veya ulusal geçerliliği olan kimlik muadili belgenin, birer örneğini almakla yükümlüdür. Abonelik tesisi için gerekli kimlik belgesi veya muadili belgelerin aslının ibrazı istenir. İşletmeci tarafından bu belgelerin örneği asılları üzerinden ve yalnızca uygun elektronik ortama aktarılarak alınır.
(7) İşletmeciler, abonelik sözleşmelerini ve sözleşmenin tesisi için gerekli bilgi ve belgeleri kuruluş şekline uygun olarak muhafaza etmekle yükümlüdür.” 
hükümlerini içerdiği,

  • Bu kapsamda, abonelik sözleşmesi yapılması için kimlik fotoğrafının çekilmesi uygulamasının Elektronik Haberleşme Sektörüne ilişkin Tüketici Hakları Yönetmeliğinin 7 nci maddesinin altıncı fıkrası gereğince yükümlülük olduğu, 
  • Bu yükümlülüğün yerine getirilebilmesi için şirket tarafından özel bir uygulama geliştirilmiş olduğu ve kimlik belgesinin fotoğrafının ilgili çalışan tarafından şirketin bu özel uygulaması ile çekildiği, bu uygulama ile çekilen fotoğrafların direkt olarak şirketin veri tabanına aktarıldığı, herhangi bir cihaz içerisinde veya bayi sisteminde saklanmadığı, mevzuatın izin verdiği yahut yargı kararlarının öngördüğü haller dışında üçüncü kişilerle paylaşılmadığı,
  • Uygulama üzerinden çekilen ve gönderilen fotoğrafın çalışanın cihazında muhafaza edilmesinin mümkün olmayıp, belge fotoğraflarının uygulama üzerinden ve usulüne uygun olarak gönderilip gönderilmediğinin evrak arşiv sistemlerinde düzenli olarak kontrol edildiği ve denetlendiği,
  • Bu kapsamda kimlik belgesinin fotoğrafının çekilmesine ilişkin hukuki gerekçenin, Kanunun 5 inci maddesinin (2) numaralı fıkrasının (ç) bendinde ifade edilmiş olan “Veri sorumlusunun hukuki yükümlülüğünün yerine getirebilmesi için zorunlu olması.” hükmü olduğu, 
  • Öte yandan, kişisel verilerin, Kanun ve yukarıda sayılan mevzuat başta olmak üzere ve bunlarla sınırlı olmaksızın ilgili tüm mevzuata uygun olarak, ilgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda, taraflarınca re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak politikada belirtilen tekniklerle silindiği, yok edildiği veya anonim hale getirildiği,
  • İlgili kişinin şikayetine ilişkin taraflarınca yapılan incelemelerde, ilgili kişinin talebi ile abonelik sözleşmesi yapılması için şirket yetkililerince evine gidildiği, ancak kimlik fotoğrafının çekilmesinin istememesi sebebiyle sözleşme kurulmadığı ve kimlik fotoğrafının çekilmediğinin anlaşıldığı,
  • Bununla birlikte ilgili kişinin kendisinin veya diğer resmi kurum/adli mercilerin şirketten bu kişiyle ilgili bilgi talep etmesi durumunda, ilgili kişinin şirkete başvurusunun incelenip ilgili bilgilere ulaşılabilmesi, başvuru sahibinin kimliğinin teyit edilmesi ve şikayet konusuyla eşleştirilmesi, bir başka deyişle ilgili kişinin “tanınabilmesi” için gerekli kişisel verilerinin saklanması gerektiği,
  • Şirketçe ilgili mercie şikayetçi bazında yanıt verilebilmesi ve bilgi/belge sunulabilmesi için ilgili kişilerin asgari olarak kimlik bilgilerinin tutulması gerektiği, Kurumun bilgi talepli yazısının cevaplanması için gerekli verilere ulaşılmasının dahi ilgili kişinin bu işlem için ihtiyaç olan kişisel verilerinin saklanması neticesinde mümkün olduğu, bu nedenlerle ilgili kişinin kişisel verilerinin silinmesine dair başvurusunun reddedildiği, ancak söz konusu verilerin bu işleme amaçları dışında işlenmesinin söz konusu olmayacağı

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 26/08/2021 tarih ve 2021/859 sayılı Kararı ile;

  • Kanunun Tanımlar” başlıklı 3 üncü maddesinde; “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi,  “veri sorumlusu”nun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi, “kişisel verilerin işlenmesi”nin ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı,
  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Elektronik Haberleşme Sektörüne İlişkin Tüketici Hakları Yönetmeliğinin 7 nci maddesinin altıncı fıkrasında yer alan hüküm uyarınca veri sorumlusu tarafından abonelik sözleşmesinin tesisi için gerekli kimlik belgelerinin asılları üzerinden elektronik ortama aktarılmasının zorunlu olduğunun anlaşıldığı, dolayısıyla ilgili kişilerin kimlik belgesinin fotoğrafının çekilmesi yönündeki kişisel veri işleme faaliyetinin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” hükmü temelinde gerçekleştirildiği, bu anlamda söz konusu kişisel veri işleme faaliyetinde Kanuna aykırılık unsuru bulunmadığı, 
  • Somut olayda ise, veri sorumlusundan alınan cevap yazısında ilgili kişinin kimlik fotoğrafının çekilmediği ve yalnızca kimlik bilgilerinin ilgili kişi ile abonelik sözleşmesi yapılması için o aşamada işlendiğinin belirtildiği göz önünde bulundurulduğunda söz konusu kimlik bilgilerinin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” hükmü uyarınca işlendiğinin anlaşıldığı, 
  • Bununla birlikte ilgili kişinin sonraki aşamada sözleşme yapmaktan vazgeçmesi üzerine bilgilerinin silinmesini talep ettiği, veri sorumlusu tarafından ise ilgili kişinin tüketici sıfatını kazanması nedeniyle veri sorumlusu bünyesinde kişinin kimlik teyidinin yapılması adına asgari düzeyde kimlik bilgilerinin işlenmesinin söz konusu şikayet süreçlerinin sağlıklı yürütülmesi ve şikayete ilişkin ilgili mercilere yanıt verilmesi adına işlenmeye devam edildiğinin beyan edildiği,
  • Her ne kadar sözleşme taraflar arasında kurulmamış olsa dahi kişinin tüketici sıfatını kazanması nedeniyle şirket hakkında çeşitli mecralarda ileri sürebileceği şikayetlerin söz konusu olabileceği, bu anlamda veri sorumlusunun kendini savunma hakkının gündeme geldiği, Anayasanın 36 ncı maddesinde adil yargılanma hakkının; herkesin, meşru vasıta ve yollardan faydalanmak suretiyle yargı mercileri önünde davacı veya davalı olarak iddia ve savunma ile adil yargılanma hakkına sahip olması şeklinde düzenlendiği, savunma hakkının, suç islediği iddia edilen kişinin, devlet ya da bireyler tarafından kendi varlığına yöneltilen eylem ve işlemlere karşı kendisini korumak için yasal yollara başvurması veya yasal imkanlardan faydalanması olarak tanımlandığı,
  • Bu kapsamda, ilgili kişinin talebi üzerine, veri sorumlusu şirket ile hizmet sözleşmesi kurulmasını teminen ilgili kişinin kimlik verilerinin işlendiği ancak ilgili kişi tarafından sonradan sözleşme kurulmasından vazgeçilmesi sebebiyle, Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” işleme şartının ortadan kalktığı,  bunun yanı sıra şikayet süreçlerinin sağlıklı yürütülmesi adına kimlik bilgilerinin işlendiği ve ilgili kişinin veri sorumlusu hakkında muhtelif mercilere yapabileceği şikayetler kapsamında savunma hakkının gereği gibi sağlanabilmesini teminen asgari düzeydeki kimlik bilgilerinin işlenmesinin zorunlu olduğu dikkate alındığında Kanunun 5 inci maddesinin (2) numaralı fıkrasının (e) bendinde yer alan “bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması” hükmü uyarınca veri sorumlusu tarafından ilgili kişiye ait asgari düzeyde kimlik verisinin işlenmesinde hukuka aykırılık bulunmadığı, ancak söz konusu verilerin amaçla bağlantılı olarak asgari süreyle sınırlı olarak saklanması ve amacı dışında kullanılmaması ile veri sorumlusu tarafından sözleşme vasıtasıyla işlenen kişinin diğer verilerinin ise imha politikasına uygun bir şekilde imha edilmesinin önem arz ettiği

değerlendirmelerinden hareketle,

  • İlgili kişinin talebi üzerine veri sorumlusu şirket ile hizmet sözleşmesi kurulmasını teminen ilgili kişinin kimlik verilerinin işlendiği ancak ilgili kişi tarafından sonradan sözleşme kurulmasından vazgeçilmesi sebebiyle verilerin silinmesi talebinde bulunulduğu, ancak ilgili kişinin veri sorumlusu hakkında muhtelif mercilere yapabileceği şikayetler kapsamında sınırlı düzeyde kişisel verilerinin işlenmesinin zorunlu olduğu dikkate alındığında Kanunun 5 inci maddesinin (2) numaralı fıkrasının (e) bendinde yer alan “bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması” hükmü uyarınca veri sorumlusu tarafından ilgili kişiye ait asgari düzeyde kimlik verisinin işlenmesinde hukuka aykırılık bulunmadığına, ancak söz konusu verilerin amaçla bağlantılı olarak asgari süreyle sınırlı olarak saklanması ve amacı dışında kullanılmaması ile veri sorumlusu tarafından sözleşme vasıtasıyla işlenen kişinin diğer verilerinin ise imha politikasına uygun bir şekilde imha edilmesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.
26.08.2021: “Şikayetçinin ablasının kimlik bilgilerinin numara taşıma işlemi adına bir telekomünikasyon şirketinin bayi çalışanına ait telefon marifetiyle fotoğraflanarak kullanılan sisteme yüklenmesi”
Karar Tarihi : 26/08/2021
Karar No : 2021/850
Konu Özeti : Şikayetçinin ablasının kimlik bilgilerinin numara taşıma işlemi adına bir telekomünikasyon şirketinin bayi çalışanına ait telefon marifetiyle fotoğraflanarak kullanılan sisteme yüklenmesi

 

Kuruma intikal eden ihbarda özetle, şikayetçinin ablası adına kayıtlı hattın taşıma işlemi için bir telekomünikasyon şirketinin bayisine uğradığı, ablasının kimliğinin bayide çalışan bir şahsa ait olan telefon ile fotoğraflandığı, çalışanların fotoğrafı şirketlerine ait bir uygulama üzerinden sisteme yüklediklerini ifade ettikleri, bu uygulamanın şahsî telefonlar üzerinden kullanılmasının, daha sonra işten ayrılan bir şahsın elinde birçok bilginin olmasına sebep olabileceği ve kötü niyetli işlemler yapılabilme riski taşıdığı, telekomünikasyon alanında faaliyet gösteren bir diğer firmanın, benzer bir uygulamayı kurumsal olarak tanımlanmış, IP adresi belirlenmiş, güvenli ve takip edilebilir bir cihazla yaptığı, şikayetçinin bu hususta Bilgi Teknolojileri ve İletişim Kurumuna (BTK) başvurduğu ve şikayete konu şirketin verdiği yanıtta “…..2018 tarihi itibariyle Kimliklerin Dijital Ortama Aktarılması projesini devreye aldığı, bu proje ile kimliklerin dijital ortama aktarılması işleminin gerçekleştirildiği, bu uygulamanın yalnızca mobil cihazlarda çalıştığı, her personelin kendi telefonu üzerinden kendi kullanıcı kodu ve şifresi ile bu sisteme girerek kimliği tarama işlemini gerçekleştirdiği, ancak kimliklerin telefonda saklanması, depolanması ve üçüncü kişilerle paylaşılması durumunun söz konusu olmadığı” ifadelerine yer verildiği, fakat ihbar sahibinin bu durumda dahi müşterilerin kimlik bilgilerinin, veri kurtarma bilişimi sebebiyle tehdit altında bulunduğunu düşündüğü ifade edilerek, konu hakkında gerekli incelemenin yürütülmesi talep edilmiştir.

Konuya ilişkin başlatılan resen inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabî yazıda özetle;

  • Veri sorumlusunun telekomünikasyon sektöründe faaliyet göstermekte olduğundan, BTK mevzuatı kapsamında faaliyetlerini sürdürdüğü ve Numara Taşınabilirliği (hat taşıma) işleminin de ayrıntılı olarak 5809 sayılı Elektronik Haberleşme Kanunu ve ilgili mevzuatlar kapsamında düzenlendiği, 
  • Yine BTK tarafından yayımlanan “Numara Taşınabilirliği Uygulama Sürecine İlişkin Usul ve Esaslar”da numara taşıma işlemi sırasında alınacak bilgilerin, imzalanacak formların ve doğrulama süreci ile ilgili hususların ayrıntısı ile hüküm altına alındığı,
  • Numara taşıma taleplerinde, Numara Taşıma Yönetmeliğinin 7 nci maddesi ve Numara Taşınabilirliği Uygulama Sürecine İlişkin Usul ve Esasların 5 inci maddesinin (2) numaralı fıkrasının a/2 bendi kapsamında; abone tarafından taşınacak olan numaranın, kimlik bilgilerinin, verici işletmeci bilgisinin, irtibat bilgilerinin ve tercih ettiği taşıma zamanının, doldurulan matbu bir form alıcı işletmeye bildirilmesi gerektiği, alıcı işletmecinin söz konusu talep formunu, kimlik bilgileri ve diğer ilgili bilgileri alarak verici işletmeye göndermek üzere söz konusu belgeleri numara taşınabilirliği sistemine yüklemekle yükümlü olduğu, bu kapsamda söz konusu bilgilerin yanı sıra dijital sisteme aktarılmak üzere abone kimliği ve söz konusu işletmeci ile taşıma işleminin gerçekleşmesinden itibaren geçerli olacak şekilde abonelik sözleşmesinin alındığı,
  • Bu kapsamda Şirketin, abonenin numarasının taşınmasına ilişkin imzalı talep formu ile kimliğini, verici işletmeye göndermek üzere elektronik ortamda alarak numara taşıma sistemine ulaştırdığı,
  • Diğer taraftan BTK’nin 28.10.2017 tarih ve 30224 sayılı Resmî Gazetede yayımlanan “Elektronik Haberleşme Sektörüne İlişkin Tüketici Hakları Yönetmeliği”nin “Abonelik sözleşmelerinin kuruluşu ve içeriği” başlıklı 7 nci maddesinin (6) ve (7) numaralı fıkralarının ilgili bentlerinde; abonelik sözleşmelerinin elle atılan imza ile kurulması halinde, işletmecinin, abonelik sözleşmesinin yanında, bireysel aboneliklerde T.C. kimlik numarası ile kimlik belgesinin birer örneğini almakla yükümlü olduğu ve abonelik tesisi için gerekli kimlik belgesi veya muadili belgelerin aslının ibrazını isteyeceği, işletmecinin bu belgelerin örneğini, asılları üzerinden ve yalnızca uygun elektronik ortama aktararak alacağı hükümlerinin yer aldığı,
  • Dolayısıyla veri sorumlusunun, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Kişisel verilerin işlenme şartları” başlığını haiz 5 inci maddesinin (2) numaralı fıkrasında yer alan (a), (c) ve (ç) bentlerinde ifade edilen; “Kanunlarda açıkça öngörülmesi”, “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” ve “Veri sorumlusunun hukukî yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartlarına dayanarak söz konusu kişisel verileri işlediği,
  • Veri sorumlusunun, bilgi güvenliği politikaları ve BTK düzenlemeleri kapsamında her türlü teknik ve idarî tedbiri aldığı ve bunların, ilgili kişinin başvurusunda belirttiği tedbirlerden daha ileri tedbirler olduğu,
  • Abonelik veya numara taşımaya ilişkin bir başvuru esnasında müşteriden alınacak olan kimlik belgesi örneğinin, uygulama üzerinden elektronik ortamda alınarak veri sorumlusunun merkezî sunucularına aktarıldığı ve ilgili düzenleme gereği muhafaza edilecek şekilde aboneyle ilişkilendirildiği, 
  • Söz konusu uygulamanın yalnızca mobil telefonlarda çalışıyor olduğu ve anılan uygulamada gerekli güvenlik önlemlerinin alındığı, (Alınan güvenlik önlemlerinin ise detaylı şekilde açıklandığı ve tevsik edici belgelerin yazıları ekinde Kuruma sunulduğu görülmüştür)

ifade edilmiştir.

Veri sorumlusundan ilgili cevabın alınmasını müteakip 19.01.2021 tarih ve 2021/55 sayılı Kurul Kararı ile; “... konunun detaylarının ortaya koyulabilmesi adına üç operatör şirketini temsil eden Mobil Telekomünikasyon Operatörleri Derneği’nden (m-TOD) bilgi temin edilmek suretiyle incelemenin devamına...” karar verilmiş ve bahse konu Kurul Kararı uyarınca m-TOD’a başvuru konusu ile ilgili bilgilendirmeler yapılarak;

  • İhbar sahibi tarafından Kuruma intikal ettirilen hususların veri güvenliği ihlali riski oluşturup oluşturamayacağı,
  • Bayi personelinin şahsî cep telefonlarına müşterilerin kimlik fotokopilerini kaydetmesini önlemek maksadıyla, bu işlemin her bayide yalnızca bu işe özgülenen, kurumsal olarak takip edilebilen ve yetkisiz erişimi mümkün olmayan tablet veya cep telefonu gibi bir mobil cihaz vasıtasıyla ya da ilgili kişinin kendisi tarafından gerçekleştirilmesinin operatör şirketleri açısından mümkün olup olmadığı

hususlarında bilgi talep edilmiştir.

m-TOD’un konuya ilişkin cevabî yazısında ise özetle;

  • Derneğin tüm üyelerinin; ürün ve hizmet süreçleriyle ilgili olarak BTK düzenlemelerine uymakla yükümlü olduğu, BTK tarafından konuya ilişkin yönetmeliklerin dijitalleşme trendi göz önüne alınarak güncellendiği ve bu sebeple mobil operatörlerin, abonelik tesis ederken T.C. kimlik numarası ile kimlik belgesini asıllarına uygun olarak elektronik ortama aktararak almak zorunluluğunun bulunduğu,
  • Cep telefonlarının yalnızca mobil operatörlerinin bayi ağında değil, birçok firmanın personeli tarafından iş amaçlı olarak yaygın bir şekilde kullanıldığı, alınan tüm idarî ve teknik tedbirlere rağmen insan faktörü sebebiyle her iş sektörü için riskler doğabildiği, mobil telekomünikasyon sektöründe karşılaşılacak risklerin, diğer sektörlerdeki herhangi bir güvenlik riskinden daha farklı olmayacağı, öte yandan kimlik fotokopisinin alındığı geçmişteki uygulamalara nazaran şimdiki metodun en güvenli metot olduğu,
  • Bayi kanalıyla yapılan abonelik süreçlerinde müşterilerin kimlik fotokopilerinin alınması sürecinin, işletme tarafından özel olarak tahsis edilmiş cihazlar ya da işletmecinin uygulamasının kurulumunun yapıldığı şahsi cihazlar üzerinden yürütülmekte olduğu, bu iki yöntemin de güvenli olduğu, bununla birlikte işletmeci tarafından özel olarak tahsis edilmiş cihazların bayilerde gerçekleştirilen abonelik süreçlerinde kullanımının yaygınlığının artırılması yönündeki çalışmaların sürdürüldüğü,
  • Abonelik ilişkisinin tesisi sırasında kurumsal cihazlar veya personele ait fakat içerisinde güvenlik tedbiri alınmış kurumsal yazılım bulunan şahsî cihazlar vasıtasıyla işlem yapılabildiği ve bu iki usulün de güvenli olduğu ancak ilgili kişinin kendisi tarafından bu işlemlerin gerçekleştirilmesinin mümkün ve güvenli olmayacağı, zira bu suretle uygulamanın yetkisiz erişime açılmış olacağı ve kötü niyetli kullanım olasılığının artacağı, uygulamanın uç tarafında ise işletme servisleriyle entegrasyon bulunduğu ve ilgili kişilerin bu sisteme erişmesinin yüksek dereceli güvenlik riski doğurabileceği, ayrıca herkesin bu uygulamaları kullanmaya yetkin telefonunun olmaması nedeniyle sistemde yeknesaklık sağlanamayacağı

belirtilmiştir.

Söz konusu resen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 26/08/2021 tarihli ve 2021/850 sayılı Kararı ile; 

  • Kanunun, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4 üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin;

a) Hukuka ve dürüstlük kurallarına uygun olma,
b) Doğru ve gerektiğinde güncel olma,
c) Belirli, açık ve meşru amaçlar için işlenme,
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
şeklinde sayıldığı,

  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanunun “Veri Güvenliğine İlişkin Yükümlülükler”i düzenleyen 12 nci maddesinin (1) numaralı fıkrasında veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idarî tedbirleri almak zorunda olduğunun hükme bağladığı, anılan maddenin (3) numaralı fıkrasında veri sorumlusunun, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak ile yükümlü kılındığı,
  • İhbar sahibinin veri sorumlusu bünyesinde çalışan personellerin abonelik veya numara taşıma işlemleri sırasında müşterinin kimlik belgesinin fotoğrafını kendi şahsî cep telefonlarıyla çektiklerini ifade ederek, bu durumun veri güvenliğini tehlikeye düşürdüğünü iddia ettiği, veri sorumlusunun da bu metodu kullandığını doğruladığı fakat veri sorumlusunun; söz konusu kimlik bilgilerinin, konuyla ilgili mevzuattan kaynaklanan yasal zorunluluk gereği alınıp elektronik ortama aktarıldığını, bu aktarım işlemini gerçekleştiren uygulamayla ilgili her türlü teknik ve idarî tedbirin alındığını, müşteri kimlik bilgilerinin asla şahsî telefonlarda depolanmadığı ve uygulamadaki tedbirler sayesinde veri sorumlusunun çalışanlarının çekilen kimlik fotoğraflarına tekrar erişemediği hususlarını ifade ederek, bu verileri işlemenin yasal ve güvenli olduğunu savunduğu,
  • Veri sorumlusunun, ilgili verileri, Kanunun “Kişisel verilerin işlenme şartları” başlığını haiz 5 inci maddesinin (2) numaralı fıkrasında yer alan (a), (c) ve (ç) bentlerinde ifade edilen; “Kanunlarda açıkça öngörülmesi”, “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” ve “Veri sorumlusunun hukukî yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartlarına dayanarak işlediği ve bu yönden ilgili veri işleme faaliyetlerinin hukuka uygun olduğu,
  • Öte yandan veri sorumlusunun, müşterilere ait kimlik belgelerinin üzerinden temin edildiği uygulamanın çalışmasına dair makul teknik tedbirleri aldığı ve bunun yanı sıra bahse konu uygulamayı kullanan personele yönelik de gizlilik taahhütnameleri imzalatmak, eğitim vermek, farkındalık duyuruları yayınlamak gibi idarî tedbirlere de başvurduğu, bu kapsamda veri sorumlusunun, Kanunun 12 nci maddesinde belirtilen yükümlülüklerini yerine getirdiği,

değerlendirmelerden hareketle,
 

  • Numara taşıma işlemi sırasında ilgili kişilerin kimlik fotokopilerinin alınmasının mevzuatta öngörülmüş olması sebebiyle bahse konu durumun Kanuna ve ilgili mevzuata aykırılık teşkil etmediğine,
  • Veri sorumlusu tarafından uygulamanın çalışmasına ilişkin alınmış olan teknik ve idarî tedbirlerin makul olduğu değerlendirildiğinden somut hadisede Kanunun 12 nci maddesinde belirtilen yükümlülüklere aykırı bir husus bulunamadığına, 
  • Bununla birlikte, Kanunun 4 üncü maddesinin (2) numaralı fıkrası çerçevesinde, kişisel verilerin işlenmesindeki genel ilkelere uyum sağlanması noktasında veri sorumlusunun personelin şahsî cihazlarından ziyade bayilere tanımlanmış, düzenli olarak denetlenen ve takibi yapılan kurumsal cihazlar vasıtasıyla iş ve işlemlerinin yürütülmesi usulünün hızlandırılması hususunda talimatlandırılmasına,
  • Öte yandan Kanunun 10 uncu maddesinde düzenlenen aydınlatma yükümlülüğünün gereklerinin yerine getirilmesini teminen bayilerde numara taşıma işlemi yapan ilgili kişilere kurumsal bir uygulama üzerinden kimlik fotokopilerinin kayıt edildiğine dair aydınlatmanın yapılması hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

06.07.2021: “Şikâyetçinin yeni doğan bebeğine ait doğum belgesinde yer alan kişisel verilerin üçüncü kişiler tarafından Özel Hastane olarak faaliyet gösteren veri sorumlusundan hukuka aykırı olarak ele geçirilmesi”
Karar Tarihi : 06/07/2021
Karar No : 2021/666
Konu Özeti : Şikâyetçinin yeni doğan bebeğine ait doğum belgesinde yer alan kişisel verilerin üçüncü kişiler tarafından Özel Hastane olarak faaliyet gösteren veri sorumlusundan hukuka aykırı olarak ele geçirilmesi

 

Kuruma intikal eden şikâyette özetle; şikâyetçinin veri sorumlusu hastanede doğan oğluna ait doğum belgesinin yer aldığı bilgisayar ekran görüntüsünün boşanmış olduğu eski eşi tarafından hastaneden temin edildiği ve Aile Mahkemesinde tarafına açılan yargılamanın iadesi davasına ilişkin dosyada, içeriğinde oğlunun T.C. kimlik numarası, doğum tarihi, anne ve baba adı, hasta numarası vb. kişisel veriler içeren bilgisayar ekran görüntüsünün delil olarak kullanıldığı, konuya ilişkin hastaneye yazılı olarak başvurmasına rağmen başvurusuna, hastane tarafından herhangi bir cevap verilmediği belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

  • Şikayetçi ile hastane arasında şikâyet öncesinde ve sonrasında devam eden bir dava süreci bulunmadığı,
  • Hastane bünyesinde sağlık ve destek ekipleri dahil olmak üzere toplam 653 personelin çalıştığı, bu nedenle kuruma çeşitli kanallardan gelen ve kurum tarafından gönderilen evrak ve taleplere ilişkin yoğun bir trafiğin mevcut olduğu, bu nedenle gün içerisinde kuruma gelen ve gönderilen evrak ve talep sayılarının değişkenlik göstermekle birlikte gün içerisinde yaklaşık olarak bu sayının yetmişi bulduğu, evrak trafiğinin yoğunluğu nedeniyle bir hata yaşandığı ve başvurunun ilgili birimlere iletilmesindeki aksaklık nedeniyle başvuru sahibi kişiye dönüş yapılamadığı,
  • Cumhuriyet Başsavcılığınca hazırlanan iddianame ve ekinde yer alan görüntünün doğumhane/bebek odasındaki hastaların bilgilerinin takip edildiği ekran görüntüsü olduğunun tespit edildiği,
  • Bu ekrana ilgili birimde çalışan yatan hasta misafir hizmetleri çalışanları ve hemşirelerin erişim yetkisinin bulunduğu, 
  • Mevcut bölümde hizmet veren kişilerin Kişisel Verilerin Korunması Kanunu ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında eğitim aldığı, 
  • Şikâyetçinin yapmış olduğu suç duyurusu üzerine adı geçen iki kişiden alınan ifadelerden de anlaşılacağı üzere her iki şüphelinin de görevliye fark ettirmeden gizlice ekran görüntüsünü çektikleri ve bu hususun zapt altına alındığı,
  • Hastane olarak hasta bilgi gizliliği, hasta mahremiyeti konularındaki prensipleri gereği hasta dosyalarının gizliliği, hasta bilgilerinin paylaşılmaması, hastane dışına çıkarılmaması gerekliliği vb. konularda oldukça detaylı idari ve teknik tedbirler alındığı

belirtilmiştir.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 06/07/2021 tarihli ve 2021/666 sayılı Kararı ile;

  • Kanunun “İlgili Kişinin Hakları” başlıklı 11 inci maddesinde herkesin, veri sorumlusuna başvurarak kendisiyle ilgili; kişisel verilerinin işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme, kişisel verilerinin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme, 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerinin silinmesini veya yok edilmesini isteme, kişisel verilerinin düzeltilmesi veya silinmesi/yok edilmesi ile ilgili yapılan işlemlerin kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme ve kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarına sahip olduğunun düzenlendiği,
  • Kanunun “Veri Sorumlusuna Başvuru” başlıklı 13 üncü maddesinin ise  “İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kişisel Verileri Koruma Kurulu’nun (Kurul) belirleyeceği diğer yöntemlerle veri sorumlusuna iletir, veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır, talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Ancak, başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde; ilgili kişi, Kanunun “Kurula Şikayet” başlıklı 14 üncü maddesi kapsamında veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve herhalde başvuru tarihinden itibaren altmış gün içinde Kurula şikayette bulunabilir.” hükmünü haiz olduğu, 
  • Somut olayda, ilgili kişinin Kanunun 13 üncü maddesi çerçevesinde yazılı olarak veri sorumlusu hastaneye yaptığı başvurunun PTT gönderi belgesi sorgulamasında veri sorumlusunun söz konusu başvuruyu teslim aldığının görüldüğü, ancak yasal süresi içinde başvuruya cevap verilmemesi üzerine şikâyetçi tarafından Kanunun 14 üncü maddesi uyarınca Kuruma şikâyette bulunulduğunun anlaşıldığı,
  • Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin “Başvuru Usulü” başlıklı 5 inci maddesinde, ilgili kişinin Kanunun 11 inci maddesinde belirtilen hakları kapsamında taleplerini yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna ileteceğinin, Tebliğin 6 ncı maddesinde ise veri sorumlusunun bu tebliğ kapsamında yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlü olduğunun, veri sorumlusunun başvuruyu kabul edeceği veya gerekçesini açıklayarak reddedeceği ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildireceğinin hüküm altına alındığı,
  • Veri sorumlusundan alınan cevap yazısında; hastaneye çeşitli kanallardan birçok evrak geldiği ve evrak trafik yoğunluğu nedeniyle bir hata yaşandığı bu nedenle ilgili kişiye cevap verilemediği yönünde savunmada bulunulduğunun görüldüğü, bu kapsamda veri sorumlusunun Kanun kapsamında kendisine yapılan başvurular ile ilgili olarak Kanunun 13 üncü maddesi ve Tebliğin 6 ncı maddesine uygun olarak hareket etmediği kanaatine varıldığı, 
  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • 6698 sayılı Kanunun “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6 ncı maddesinin (2) numaralı fıkrasında özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğu, (3) numaralı fıkrasında birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel verilerin, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebileceği, sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceğinin hükme bağlandığı, 
  • Somut olayda, veri sorumlusu bünyesinde kayıt altına alınan kişisel verilerin yer aldığı ve doğumhane/bebek odasındaki hastaların bilgilerinin takip edildiği sisteme Kanuna aykırı olarak üçüncü kişiler tarafından erişim sağlandığı ve şikâyete konu olan ekran görüntüsünün çekildiği, 
  • Her ne kadar veri sorumlusu tarafından hasta bilgi gizliliği, hasta mahremiyeti, hasta dosyalarının gizliliği, hasta bilgilerinin paylaşılmaması, hastane dışına çıkarılmaması gerekliliği vb. konularda çalışanlara sürekli eğitimler verildiği ve sürece ilişkin yazılı kurumsal dokümanlar oluşturulduğu ifade edilse de söz konusu olayın meydana geldiği ve kişisel veri ihlaline neden olunduğu,
  • Veri sorumlusu hastane tarafından kişisel verilere hukuka aykırı erişimi önlemek adına alınan idari ve teknik tedbirlerin yetersiz kaldığı ve sonuç olarak şikâyetçinin velisi bulunduğu ilgili kişiye ait kişisel verilerin üçüncü kişilerce erişimine neden olunduğu

değerlendirmelerinden hareketle;

  • Şikâyete konu olan ekran görüntüsünün hastanenin veri kayıt sistemine ait ekrandan temin edildiği dikkate alındığında, bu konuda veri sorumlusu Hastanenin gerekli teknik ve idari tedbirleri almadığı; bu minvalde veri güvenliğine ilişkin yükümlülüklerin düzenlendiği Kanunun 12 inci maddesinin (1) numaralı fıkrasına aykırı hareket ettiği değerlendirildiğinden, veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına,
  • Veri sorumlusu hastaneye çeşitli kanallardan birçok evrak geldiği ve evrak trafik yoğunluğu nedeniyle bir hata yaşandığı bu nedenle ilgili kişiye cevap verilemediği yönünde savunmada bulunulduğu görüldüğünden veri sorumlusunun Kanun kapsamında kendisine yapılan başvurularda Kanunun 13 üncü maddesi ve Tebliğin 6 ncı maddesine uygun olarak hareket etmesi yönünde uyarıda bulunulmasına, bu minvalde ilgili kişinin başvurusunda talep ettiği hususlara ilişkin olarak cevap verilmesi ve ilgili kişiye verilen cevaba dair Kurula bilgi verilmesi hususlarında veri sorumlusunun talimatlandırılmasına

karar verilmiştir. 

06.07.2021: “İlgili kişinin, doğal gaz dağıtımı yapan bir şirket tarafından düzenlenen faturasında kişisel verisi niteliğindeki banka bilgisine yer verilmesi”
Karar Tarihi : 06/07/2021
Karar No : 2021/664
Konu Özeti : İlgili kişinin, doğal gaz dağıtımı yapan bir şirket tarafından düzenlenen faturasında kişisel verisi niteliğindeki banka bilgisine yer verilmesi

 

İlgili kişinin Kuruma intikal ettirdiği şikâyet dilekçesinde özetle; kendisinin de abonesi olduğu doğal gaz dağıtım hizmeti veren şirketin (veri sorumlusu) düzenlediği faturalarda “Otomatik Ödeme Talimatı” bölümünde kişilerin ödeme yaptığı banka adı bilgisine yer verildiği, faturada bu bilgiye yer verilmesi sebebiyle ilgili kişinin hangi bankada hesabının bulunduğunun açıkça anlaşıldığı, söz konusu bilginin kişisel veri niteliğini haiz olduğu, faturada bu bilgiye yer verilmesinin ilgili kişinin kişisel verisinin üçüncü kişilerle paylaşılması anlamına geldiği, bahsi geçen bilginin kötü niyetli kişilerin eline geçmesi halinde dolandırıcılığa yol açabileceği,  bu çerçevede düzenlenen faturalardan banka adı bilgisinin silinmesi talebine yönelik olarak veri sorumlusuna başvuruda bulunmuş olmasına rağmen veri sorumlusu tarafından olumsuz yanıt verildiği ifade edilerek 6698 sayılı Kişisel Verileri Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir. 

Konuya ilişkin başlatılan inceleme çerçevesinde söz konusu iddialara yönelik veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle,

  • EPDK’nın Doğal Gaz Piyasası Dağıtım ve Müşteri Hizmetleri Yönetmeliğinin ilgili hükümlerine göre hizmet sunulan müşteriler ile “müşteri sözleşmesi” imzalandığı, müşterilerce gerçekleştirilen tüketimlerin taraflarınca faturalandırıldığı, müşterilerin ise ödemelerini veri sorumlusunun vezneleri, PTT veya anlaşmalı bankalar kanalıyla gerçekleştirdikleri, müşterilerce banka kanalıyla gerçekleştirilen ödeme işlemlerinin de ilgili bankalara ait ATM, vezne ya da otomatik ödeme yöntemlerinden herhangi biri ile gerçekleştirildiği, 
  • Abonelerden, sözleşme tanzim edilmesi işlemleri esnasında “Otomatik Ödeme” ya da banka bilgisi talep edilmediği, talimat bilgi ve verisinin; ödemelerini otomatik ödeme kanalıyla gerçekleştiren müşterilerin çalıştıkları bankalar aracılığıyla, banka ile veri sorumlusu arasındaki sistem entegrasyonu kapsamında veri sorumlusuna aktarıldığı ve aktarılan bu bilgilerin Kanunun 4 üncü maddesi ile 5 inci maddesinin (2) numaralı fıkrasının (c) bendi kapsamında veri sorumlusunun sistemlerinde yer aldığı, söz konusu verilerin sistemlerinde yer almasının, sözleşme kapsamındaki işlerinin ifası için zorunlu olduğu, aksi durumda bazı sorunların oluşacağı,
  • Bankaya verilen otomatik ödeme talimatı sonrasında ilgili bankanın veri sorumlusunun sisteminden talimat sahibi abonenin borç bilgisini anlık olarak çektiği ve faturanın son ödeme tarihinde abonenin hesabından tahsilatı yaparak, tahsilat bilgisini veri sorumlusunun sistemine aktardığı, bu işlemlerin yapılması için ilgili bankaların, veri sorumlusu şirketin veri tabanında kendi bankalarına ait koda ve veriye teknik olarak gereksinim duyduğu, dolayısıyla söz konusu verinin veri sorumlusunun sistemlerinde yer almaması halinde, ilgili bankaların sistemsel sıkıntılar yaşayacağı ve ödenemeyen borçlar sebebiyle müşterilerin gaz arzının durdurulması sonucunun doğacağı, bu durumun bir yandan abonelerin mağduriyet yaşamasına yol açacağı, diğer yandan da veri sorumlusu şirketin işinin ifasında sıkıntı oluşturarak meşru menfaatlerine zarar vereceği, 
  • Diğer taraftan, ilgili kişinin faturada “Otomatik Ödeme Talimatı” başlığı karşısında yer alan banka bilgisinin kaldırılması talebinin veri sorumlusu tarafından tüm müşterileri kapsayacak şekilde yerine getirildiği, faturalarını otomatik ödeme talimatı vermek suretiyle ödeyen tüm abonelerin faturalarında banka talimatı bölümünde banka adı yazma uygulamasının kaldırıldığı ve talimat varsa sadece “VAR” ifadesi yazılacak şekilde gerekli düzeltmelerin yapıldığı 

ifade edilmiştir. 

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 06/07/2021 tarih ve 2021/664 sayılı Kararı ile;

  • Kanunun “Tanımlar” başlıklı 3 üncü maddesinde “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi; “veri sorumlusu”nun kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi; “kişisel verilerin işlenmesi”nin ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı,
  • Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, bu çerçevede, kişisel verilerin ancak;  hukuka ve dürüstlük kurallarına uygun şekilde,  belirli, açık ve meşru amaçlar kapsamında, doğru ve gerektiğinde güncel olma şartıyla, işleneceği, amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun olarak işleneceği,
  • Kanunun kişisel verilerin işlenme şartlarının belirlendiği 5 inci maddesinin (1) numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği hüküm altına alınmış olmakla birlikte, (2) numaralı fıkrasında, sayılan hallerde ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesine imkan tanındığı, buna göre; 
    a) Kanunlarda açıkça öngörülmesi,
    b) Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
    c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
    ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
    d) İlgili kişinin kendisi tarafından alenileştirilmiş olması,
    e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
    f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması 
    hallerinden birinin varlığı durumunda ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün bulunduğu,
  • İlgili kişinin şikâyetine konu olan veri sorumlusu tarafından adına düzenlenen faturada yer verilen kişisel veri niteliğindeki banka adı bilgisinin, doğrudan ilgili kişiden elde edilmediği, ilgili kişinin faturalarının ödenmesini teminen bankaya verdiği otomatik ödeme talimatı dolayısıyla banka tarafından veri sorumlusu şirkete aktarıldığı görüldüğünden; bu kapsamda söz konusu banka adı bilgisinin veri sorumlusu ile ilgili kişi arasında düzenlenen Doğalgaz Abonelik Sözleşmesi kapsamında Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.” şartı uyarınca veri sorumlusu tarafından işlenmesinin Kanuna uygun olduğu,
  • Öte yandan, ilgili kişinin söz konusu banka adı bilgisinin faturada yer alması nedeniyle hâlihazırda herhangi bir hak ihlali yaşamadığı,
  • İlgili kişinin düzenlenen faturalardan banka adı bilgisinin silinmesi talebine yönelik veri sorumlusuna yaptığı başvuruya veri sorumlusu tarafından olumsuz yanıt verildiği iddiasına ilişkin olarak, Kuruma iletilen fatura örnekleri incelendiğinde veri sorumlusunca talep sonrası düzenlenen hiçbir faturada banka adı bilgisine yer verilmediği, banka talimatı bölümünde banka bilgisine yer verilmeyip sadece “VAR” ifadesinin kullanıldığının görüldüğü bu kapsamda ilgili kişinin talebinin yerine getirildiği kanaatine varıldığı 

değerlendirmelerinden hareketle,

  • İlgili kişinin kişisel verisi niteliğinde olan banka adı bilgisinin, ilgili kişinin faturalarının ödenmesini teminen bankaya verdiği otomatik ödeme talimatı dolayısıyla veri sorumlusu ile ilgili kişi arasında düzenlenen Doğalgaz Abonelik Sözleşmesi kapsamında Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.” işleme şartına dayanılarak işlendiği; öte yandan ilgili kişinin söz konusu banka adı bilgisinin faturada yer alması nedeniyle herhangi bir hak ihlali yaşadığının tespit edilemediği ve veri sorumlusunun ilgili kişinin talebini yerine getirdiği hususları dikkate alındığında bu aşamada şikayete konu iddialar ile ilgili olarak Kanun kapsamında yapılacak bir işlem olmadığına 

karar verilmiştir.

22.06.2021: “ilgili kişinin internet alışveriş sayfası üzerinden ev adresine teslim talepli olarak vermiş olduğu siparişlerinin veri sorumlusu kargo şirketi tarafından, hiçbir suretle belirtmediği halde işyeri adresine gönderilmesi”
Karar Tarihi : 22/06/2021
Karar No : 2021/603
Konu Özeti : İlgili kişinin internet alışveriş sayfası üzerinden ev adresine teslim talepli olarak vermiş olduğu siparişlerinin, veri sorumlusu tarafından hiçbir suretle belirtmediği halde işyeri adresine gönderilmesi

 

İlgili kişinin Kuruma intikal eden şikayet dilekçesinde özetle: internet alışveriş sayfası üzerinden ev adresine teslim talepli olarak sipariş verdiği, vermiş olduğu siparişlerinin kendisine gönderiminin hangi kargo firması ile gerçekleşeceğinin sipariş formunda yer aldığı, bununla birlikte söz konusu siparişlerin gerek teslimat gerek fatura adresi olsun hiçbir suretle belirtmediği halde işyeri adresine gönderiminin yapıldığını tespit ettiği; 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 11 inci maddesi hükmü kapsamındaki hakları ve 13 üncü maddesi uyarınca taşımacılık sektöründe faaliyet gösteren veri sorumlusuna dilekçe ile iadeli taahhütlü olarak başvuru yaptığı, söz konusu başvurusunda hukuka aykırı olarak elde edilmiş kişisel verilerinin yok edilmesi, kişisel verilerinin kullanım amacına uygun olarak kullanılması, üçüncü kişilere aktarılmış olan kişisel verilerine dair yapılan işlemlere ilişkin ilgili üçüncü kişilere bilgi verilmesi ve kişisel verisi olan iş yeri adresinin yasal mevzuata ve hukuka uygun olarak işlenmişse dahi işlenmesini gerektirir sebebin ortadan kalkmış olduğunu düşündüğünden söz konusu kişisel verilerinin yok edilmesi talebinde bulunduğu; fakat veri sorumlusu tarafından bu başvurusuna 30 günlük süre içinde cevap verilmediği belirtilerek, konunun incelenmesi, kişisel verilerinin halen silinmemiş olması nedeniyle veri sorumlusuna talimat verilmesi ve hakkında gerekli işlemlerin tesis edilmesi talep edilmiştir.

Başlatılan inceleme çerçevesinde veri sorumlusu kargo şirketinden savunması istenilmiş olup, alınan cevabi yazıda özetle; 

  • Taraflarının, ilgili kişi başvurularını Kanuna ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe uygunluk konusunda ön değerlendirmeye tabi tuttuğu, ancak söz konusu olayda ilgili kişinin başvuruyu posta yoluyla gerçekleştirmiş olduğu ve başvuru evrakında T.C. kimlik numarasının yer almadığı, ilgili kişinin kimliğinin doğruluğunu teyit etmeden yapılan her türlü bilgi paylaşımının kişisel veri güvenliği açısından riskli olacağı, bu nedenle ilgili kişi tarafından gönderilen yazının hukuki olarak veri sorumlusuna başvuruda bulunması gereken hukuki nitelikleri taşımadığı, 
  • Şikayete konu kargo gönderimi esnasında birbirine rakip internet satış şirketlerinin indirim yapması sonrası oluşan kargo yoğunluğu sebebiyle, ilgili kişinin paketinin sehven ev adresi yerine iş yeri adresine yönlendirilmiş olduğunun görüldüğü; ancak ilgili kişinin teslimat sırasında bu adreste bulunmaması nedeniyle bu adreste herhangi bir teslimatın gerçekleştirilmediği,
  • Yazı ekinde yer alan sistem çıktılarında görüldüğü üzere ilgili kişinin iş yeri adresinin, iş yerine gönderilmek üzere talepte bulunduğu önceki tarihli kargoların kendisine teslimi amacıyla (bir sözleşmenin ifası kapsamında veri işleme şartına dayalı olarak) taraflarına iletilen bilgiler neticesinde elde edildiği,
  • 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanunun “Muhafaza ve ibraz” başlıklı, 8 inci maddesinin “(1) Yükümlüler, bu Kanunla getirilen yükümlülüklere ve işlemlerine ilişkin her türlü ortamdaki: belgeleri düzenleme tarihinden, defter ve kayıtları son kayıt tarihinden, kimlik tespitine ilişkin belgeleri ise son işlem tarihinden itibaren sekiz yıl süreyle muhafaza ve istenmesi halinde yetkililere ibraz etmekle yükümlüdür.” şeklinde düzenlendiği, ayrıca Bilgi Teknolojileri ve İletişim Kurulunun 27/12/2016 tarih ve 2016/DK-YED/517 sayılı kararı ile düzenlenen Posta Gönderilerine İlişkin Usul ve Esaslar’ın Posta gönderilerinin kabulü ve teslimi aşamasında yapılacak işlemler başlıklı 4 üncü maddesinin “Hizmet sağlayıcılar tarafından, haberleşme gönderileri hariç, posta gönderilerinin kabulü aşamasında: asgari olarak;(…) alıcının adı-soyadı ve açık adres bilgisi (…) kayıt altına alınır, gerektiğinde ilgili mercilere sunulmak üzere gizliliği sağlanarak en az iki yıl süreyle saklanır.” şeklinde olduğu ve bu nedenle gönderim esnasında taşıma işini gerçekleştirmek üzere veri sorumlusuna beyan edilmiş kişisel verilerin mevcut kayıtlarından yasal zorunluluk gereği silinemediği,
  • İlgili kişiye ait kişisel verilerinin bulunduğu veri tabanında kayıtlı bütün cari hesapların pasif hale getirildiği, pasif hale getirilen hesapların sistem kaydı ekran görüntüsünün yazı ekinde sunulduğu, bu bilgilerin saha personeli tarafından görüntülenemez, kullanılamaz ve pasif durumu değiştirilemez olduğu, pasif durumda olan cari bilgilerin yalnızca merkez birimi tarafından değiştirilebildiği, bu hususun tekrar yaşanmaması adına sistemlerinde mevcut cari kayıtlar güncellenerek ilgili kişinin yeni siparişlerinde vermiş olduğu güncel bilgiler doğrultusunda yeniden cari açılımı yapılarak kargo gönderimi gerçekleştirileceği

ifade edilmiştir. 

Konuya ilişkin olarak yapılan incelemede, Kişisel Verileri Koruma Kurulunun 22/06/2021 tarihli ve 2021/603 sayılı Kararı ile;

  • Kanunun “Tanımlar” başlıklı 3 üncü maddesinde “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi;  “veri sorumlusu”nun kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi; “kişisel verilerin işlenmesi”nin ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı,
  • Kişisel verilerin işlenme şartlarının ise Kanunun 5 inci maddesinde “(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. 
    (2) Aşağıdaki şartlardan birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: 
    a) Kanunlarda açıkça öngörülmesi. 
    b) Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. 
    c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. 
    ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
    d) İlgili kişinin kendisi tarafından alenileştirilmiş olması. 
    e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. 
    f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
    ” şeklinde hüküm altına alındığı,
  • Bu çerçevede, ilgili kişinin kişisel verilerinin hukuka aykırı işlendiğine ilişkin iddiaları ile ilgili olarak somut olayda veri sorumlusu tarafından gönderinin kabulü aşamasında ilgili kişinin adresinin kaydedilmesinin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartına dayanılarak yapıldığının açık olduğu, buna karşın veri sorumlusu tarafından ilgili kişinin belirtmiş olduğu adresten farklı bir adrese (daha önce ilgili kişinin kargo teslimatlarının yapıldığı iş yeri adresi) teslimatın yönlendirilerek iletişim bilgisinin işlenmesinin Kanunun 5 inci maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanmaksızın gerçekleştiği dolayısıyla veri sorumlusunun Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin (1) numaralı fıkrasında belirtilen yükümlülüğüne aykırı hareket ettiği, 
  • İlgili kişinin verilerinin silinmesine yönelik talebi ile ilgili olarak, veri sorumlusu tarafından, gönderim esnasında taşıma işini gerçekleştirmek üzere beyan edilmiş olan adresi, adı, soyadı ve irtibat telefon numarasının mevcut kayıtlarından yasal zorunluluk gereği silinemediği, kişisel verilerin korunması ve güvenliğinin azami ölçüde sağlandığı ve işlenen kişisel verilerin taraflar arası hukuki ilişkinin niteliği gözetilerek ve ilgili kanunlarda öngörülen yasal zorunluluk ve zaman aşımı süreleri ve diğer hukuki yükümlülükler dikkate alınarak gereken süre boyunca saklandığı ve akabinde silme, yok etme veya anonim hale getirme yöntemleri gözetilerek imha edildiği, bu çerçevede ilgili kişinin kişisel verilerinin bulunduğu (isim soy isim, adres, iletişim no vb.) veri tabanında kayıtlı bütün cari hesapların pasif hale getirildiği, pasif hale getirilen hesapların sistem kaydı ekran görüntüsünün savunma yazısı ekinde gönderildiği ve pasif hale getirilen cari bilgilerin saha personeli tarafından görüntülenemez, kullanılamaz ve pasif durumu değiştirilemez olduğu, 
  • Posta Gönderilerine İlişkin Usul ve Esaslar’ın Posta gönderilerinin kabulü ve teslimi aşamasında yapılacak işlemler başlıklı 4 üncü maddesinde gönderinin kabulü ve teslimi aşamasında en az 2 yıl süreyle saklanacak verilerin açıkça düzenlendiği, ilgili kişinin iş yeri adresine uygun olan son kargo hareketinin 26.02.2019 tarihli olduğu ve sehven yanlış adrese yapılan gönderimin ise 02.11.2019 tarihli olduğunun belirtildiği, bu çerçevede, Kanunun 7 nci maddesi kapsamında ilgili kişinin kişisel verilerinin silinmesini gerektiren sebebin ortadan kalkmadığı ve cari bilgilerin pasif hale getirildiği,
  • İlgili kişinin veri sorumlusuna yapmış olduğu başvurusuna veri sorumlusu tarafından 30 günlük süre içinde cevap ve bilgi verilmemesi iddiasına ilişkin olarak, her ne kadar Tebliğin 5 inci maddesinin (2) numaralı fıkrasında T.C. kimlik numarasının bulunmasının zorunlu olduğu düzenlenmiş olsa da veri sorumlusuna tebliğ edildiği açık olan ilgili kişinin yazılı başvurusunun Kanuna uygun olarak cevaplandırılması için ilgili kişinin yönlendirilmediği, eksik hususların tamamlanmasına yönelik ilgili kişiyi yönlendirici gerekli aksiyonun veri sorumlusu tarafından alınmadığı, bu kapsamda başvurusunun bu şekilde cevapsız bırakılmasının Tebliğin 6 ncı maddesinin (1) numaralı fıkrasına aykırılık teşkil ettiği

değerlendirmelerinden hareketle;

  • Veri sorumlusu tarafından ilgili kişinin belirtmiş olduğu adresten farklı bir adrese (daha önce ilgili kişinin kargo teslimatlarının yapıldığı iş yeri adresi) teslimatın yönlendirilerek iletişim bilgisinin işlenmesinin Kanunun 5 inci maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanmaksızın gerçekleştiği, dolayısıyla veri sorumlusunun Kanunun 12 nci maddesinin (1) numaralı fıkrasında belirtilen yükümlülüğe aykırı hareket ettiği kanaatine varılması nedeniyle veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı (b) bendi hükmü uyarınca idari para cezası uygulanmasına,
  • İlgili kişinin kişisel verisi olan iş yeri adresinin silinmesi/yok edilmesi talebine ilişkin olarak veri sorumlusu bünyesinde Kanunun 7 nci maddesi kapsamında ilgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin ortadan kalkmadığı ve cari bilgilerin pasif hale getirildiği dikkate alındığında Kanun kapsamında bu çerçevede yapılacak bir işlem olmadığına,
  • Veri sorumlusuna tebliğ edildiği açık olan ilgili kişinin yazılı başvurusunun Kanuna uygun olarak cevaplandırılması için ilgili kişinin yönlendirilmediği, eksik hususların tamamlanmasına yönelik gerekli aksiyonun veri sorumlusu tarafından alınmadığı ve başvurusunun cevapsız bırakıldığı, dolayısıyla Tebliğin 6 ncı maddesinin (1) numaralı fıkrasında belirtildiği üzere, ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almadığı değerlendirildiğinden veri sorumlusunun ilgili kişinin başvurusundaki eksik hususların tamamlanmasına yönelik gerekli aksiyonları alması ve Tebliğ hükümlerine azami özeni göstermesi hususunda talimatlandırılmasına

karar verilmiştir.

04.06.2021: “İlgili kişinin cep telefonu numarasının kampanya adı altında bir dijital platform bayisi tarafından edinilmesi, işlenmesi ve rızası olmaksızın arama yapılması”
Karar Tarihi : 04/06/2021
Karar No : 2021/548
Konu Özeti : Bir dijital platform bayisi tarafından kişisel verilerin hukuka aykırı olarak işlenmesi

 

İlgili kişiden alınan şikâyet dilekçesinde özetle;

  • Şikâyet olunan dijital platform ile hiçbir ilişkisinin olmamasına karşın ilgili kişinin sürekli olarak 0850’li bir çağrı merkezinden arandığı ve tarafına, bu platforma üye olması yönünde pazarlama yapılmaya çalışıldığı, 
  • Bunun üzerine ilgili kişinin reklamı yapılan dijital platformun internet adresinde bulunan irtibat formu vasıtasıyla başvuruda bulunduğu, kendisine e-posta ile verilen yanıtta ise ilgili kişinin müşteri olarak herhangi bir kaydının şirket nezdinde bulunmadığı yanıtını aldığı ancak kendisinin kişisel verilerinin nasıl elde edildiği ve nerelerde kullanıldığına ilişkin sorularına herhangi bir yanıt verilmediği,
  • Dolayısıyla işlenen suçun kabul edildiği ancak detay içermeyen bir cevap ile geçiştirilmeye çalışıldığı 

hususları beyan edilerek konunun incelenmesi, şirketin ilgili kişinin kişisel verilerini nasıl elde ettiği hususunda kendisine bilgi vermesi konusunda talimatlandırılması ve gerekli cezai yaptırımın uygulanması talep edilmiştir.

Konuya ilişkin olarak başlatılan inceleme neticesinde, reklamı yapılan dijital platformdan bilgi ve belge talep edilmiş olup Kuruma ulaştırılan cevabî yazıda;

  • İlgili kişinin hiçbir şekilde şirketin müşterisi olmadığı, şirket ile bir ilgisinin tespit edilemediği,
  • Şikâyet edilen numaranın dijital platformun çağrı merkezi numarasının olmadığı, yapılan araştırmada ilgili kişiyi aradığı iddia edilen numaranın 21.12.2018 tarihinden 12.09.2019 tarihine kadar “…… Expert” unvanı ile faaliyet gösteren bir bayiye tahsis edildiği,
  • İlgili kişinin adının sistemlerde hiçbir şekilde kayıtlı olmadığının anlaşıldığı, diğer bir ifade ile ilgili kişinin potansiyel bir müşteri olarak kayıtlı olmayıp herhangi bir elektronik ticari ileti izninin de bulunmadığı, bu sebeple ilgili kişinin kişisel verilerinin nereden ve ne şekilde temin edildiğinin bilinmediği,
  • Şayet bayii bu şekilde bir arama gerçekleştirmiş ise bunun kendilerinin bilgisi ve izni dâhilinde yapılmadığı

beyanlarına yer verildiği görülmüştür.

Bunun üzerine bahse konu dijital platformdan, ilgili kişiyi aradığı iddia olunan bayii ile şirketleri arasındaki iş ilişkisini tanımlayan bilgi ve belgelerin Kuruma iletilmesi talep edilmiş olup söz konusu talebe istinaden Kuruma iletilen cevap yazısında  ise;

  • Bayilik hizmeti kapsamında “…Expert” olarak görev yürüten bayiye ürün ve hizmetlerin pazarlanması, tanıtılması, satışı, söz konusu ürün ve hizmetlerle ilgili abonelik tesisi, abonelik uzatma, abonelik iptali, üst paketlere geçiş, satış sonrası hizmetler, tahsilat ve gerektiğinde kurulum ve montaj destek hizmetleri verilmesi ile sınırlı olmamak kaydıyla dijital platform tarafından bildirilecek diğer iş ve işlemler konusunda görev ve yetki tevdi edildiği,
  • Bayii ile akdedilen abonelik sözleşmesi ve bu bayiliğin iptaline ilişkin e-posta çıktısının yazılarına eklendiği,
  • Bayii tarafından kullanılan herhangi bir sistemin dijital platform tarafından kurulmayıp bayilerin kural olarak bayilik sözleşmesi ile görev ve yetkiler kapsamında kendisine sağlanan kullanıcı adı ve şifre bilgileri ile dijital platformun CRM Sistemine erişerek potansiyel müşteri oluşturabildiği,
  • İlgili kişi ile ilgili olarak herhangi bir kayda rastlanılamadığı için kişisel verilerinin ne şekilde elde edildiği ve benzeri soruların cevaplandırılmasının mümkün olmayacağı

ifade edilmiştir.

Yukarıda yer verilen bilgi ve belgelerin değerlendirmesi neticesinde alınan 04/06/2021 tarih ve 2021/548 sayılı Kurul Kararında özetle;

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun 3 üncü maddesinde “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi; “veri sorumlusu”nun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi; ve “veri işleyen”in ise veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlandığı,
  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • 6698 sayılı Kanunda veri işleyenin; veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlandığı, buna göre veri işleyenin, veri sorumlusu adına, ondan aldığı yetki ve talimata göre kişisel veri işlemekte olduğu, bu minvalde “veri işleyen” sıfatının kazanılabilmesi için veri işleyenin, veri sorumlusunun idarî yapısından ayrı bir hukukî varlığının olması; bir başka diğer deyişle, veri sorumlusunun birimleri içerisinde bulunmaması gerekmekle birlikte veri işleyenin, veri sorumlusundan ayrı bir hukuk kişisi olarak veri sorumlusunun talimatı, denetimi ve yetkilendirmesi dâhilinde kişisel veri işleme faaliyeti yürüteceği,
  • Her ne kadar bayii ile dijital platform arasında akdedilen sözleşme hükümlerinden genel şekliyle dijital platformun veri sorumlusu, bayinin ise veri işleyen olarak belirlendiği görülmekte ise de somut hadisede bayinin veri işleyen sıfatından çıkarak veri sorumlusu hâline geldiği, zira dijital platformun merkezî CRM sisteminde müşteri/potansiyel müşteri olarak kaydı bulunmayan ilgili kişiyi dijital platformun talimatı veya bilgisi dâhilinde olmaksızın aradığının anlaşıldığı, bu telefon numarası bayiye dijital platform tarafından iletilmediğinden, bayinin veri işleyen olarak, veri sorumlusunun denetimi ve kontrolü altında kişisel veri işleme faaliyeti yürüttüğünden bahsedilemeyeceği,
  • Somut olayda bayinin, kendi iradesiyle ve dijital platformdan bağımsız bir şekilde ilgili kişinin açık rızası veya Kanunun 5 inci maddesinin (2) numaralı fıkrasında yer verilen işleme şartlarına dayanmaksızın ilgili kişinin kişisel verisi niteliğindeki telefon numarasını aramak suretiyle kişisel veri işleme faaliyetinde bulunmasından ötürü veri sorumlusu sıfatını haiz olduğu

değerlendirmelerinden hareketle;

  • İlgili kişinin kişisel verisi olan telefon numarasının Kanunun 5 inci maddesinde yer alan herhangi bir işleme şartına dayanmaksızın hukuka aykırı elde edildiği ve işlendiği dikkate alındığında Kanunun 12 nci maddesinin (1) numaralı fıkrasında yer alan teknik ve idari tedbirleri almayan veri sorumlusu bayii hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idarî para cezası uygulanmasına

karar verilmiştir.

09.06.2021: “Sigortacılık ve bireysel emeklilik alanında faaliyet gösteren bir şirket tarafından ilgili kişiye ait kişisel verilerin hukuka aykırı olarak işlenmesi”
Karar Tarihi : 09/06/2021
Karar No : 2021/584
Konu Özeti : Sigortacılık ve Bireysel emeklilik alanında faaliyet gösteren bir şirket tarafından ilgili kişiye ait kişisel verilerin hukuka aykırı olarak işlenmesi

 

Kuruma intikal eden şikayet dilekçesinde özetle; Sigortacılık ve Bireysel Emeklilik alanında faaliyet gösteren bir şirket tarafından ilgili kişinin cep telefonu numarasına “Sayın …., Sizinle görüşmemiz öncesinde, hakkımızdaki özet bilgilere aşağıda yer alan linki tıklayarak kolayca ulaşabilirsiniz… IPTAL: … Ret yazıp …’e gönderiniz. ONAY: … Onay yazıp …’e gönderiniz. Eğer bu mesaja 24 saat içerisinde tarafınızca herhangi bir <> yanıtı iletilmez ise, aranmak için olumlu yanıt verdiğiniz varsayılacaktır…” içerikli bir SMS gönderildiği, kişinin adı geçen şirket ile herhangi bir ilişkisinin olmadığı, veri sorumlusu tarafından ticari elektronik ileti gönderilmesi üzerine ilgili kişi tarafından veri sorumlusuna e-postayla başvuruda bulunulduğu, başvuruda telefon numarası, ad/ soyadının nasıl elde edildiği, başka kişisel verilerinin işlenip işlenmediği hakkında bilgi talebinde bulunduğu, şirket tarafından verilen cevapta SMS gönderen finansal danışmanın elindeki bir soğuk referans listesinden telefon numarasına ulaşıldığı, söz konusu iletinin tarafına tanıtım yapabilmek için izin amaçlı gönderildiği, GSM numarası ve isminin aranmayacak kişiler listesine alındığı, bilgilerin üçüncü şahıslara ya da herhangi bir platforma aktarılmadığı ve referans listelerinden silindiği, taraflarınca gerekli idari ve teknik önlemlerin alındığı bilgisinin verildiği, söz konusu şirket tarafından ilgili kişinin aranmayacak kişiler listesine aktarıldığı bilgisinden kişisel veri işlemeye devam edildiğinin anlaşıldığı, bununla birlikte verilen yanıtta ilgili kişinin ad ve soyadının nasıl elde edildiğine ilişkin bilgiye yer verilmediği, ayrıca, gönderilen iletide ilk 24 saat içinde iptal yanıtı verilmezse aranmak için olumlu yanıt verildiğinin varsayılacağı bilgisinin yer aldığı bu işleyişin hukuka aykırı olduğu belirtilerek yukarıda yer verilen hususlara ilişkin olarak gerekli yaptırımın uygulanması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle,

  • Veri sorumlusu tarafından ilgili kişinin adı soyadı ve telefon bilgisinin ürünlere ilişkin teklif araması yapılmadan önce gerçekleştirilen araştırmalar sonucunda bir Baronun resmi internet sitesi üzerinden temin edildiği, söz konusu sitede ilgili kişi gibi Baroya kayıtlı avukatların adı soyadı, telefon numarası ve e-posta adresi gibi iletişim bilgilerinin yer aldığı ve bu bilgilerin herkes tarafından ulaşılabilecek aleni veriler olduğu,
  • Sigortacılık ve Bireysel Emeklilik alanında faaliyet gösteren veri sorumlusunun, poliçelerinin tanıtım ve satışını yaparak satış sonrasında sigortacılık konusunda müşterilerine hizmet verdiği, ilgili kişinin cep telefonuna gönderilen SMS’in de şirketlerinin faaliyet alanı ve meşru menfaatleri kapsamında ürün tanıtımı yapılmadan önce bu amaçla gönderildiği, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 4 üncü maddesinin (2) numaralı fıkrasında yer alan kişisel verilerin işlenmesine ilişkin ilkeler arasında yer aldığı üzere, şirketlerinin hukuka uygun bir şekilde “belirli, açık ve meşru amaçlar“ çerçevesinde kişisel veri işlediği ve mevzuattan kaynaklanan idari ve teknik tedbirleri aldığı,
  • Kanunun "Kişisel Verilerin İşlenme Şartları" başlıklı 5 inci maddesinde kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği (2) numaralı fıkrasının (d) bendinde ise "İlgili kişinin kendisi tarafından alenileştirilmiş olması" şeklinde kişisel verilerin açık rıza olmaksızın işlenmesinin mümkün olduğuna ilişkin düzenleme bulunduğu,
  • Kanunun 5 inci maddesinin (2) numaralı fıkrasının (d) bendine ilişkin TBMM Kanun gerekçesinde "fıkranın (d) bendine göre, ilgili kişinin kendisi tarafından alenileştirilen bir başka ifadeyle herhangi bir şekilde kamuoyuna açıklanmış olan kişisel verileri işlenebilecektir. Çünkü ilgili kişi tarafından alenileştirilen ve böylelikle herkes tarafından bilinebilecek hale gelen bu tür verilerin işlenmesinde, korunması gereken hukuki yararın ortadan kalktığı kabul edilmektedir." ifadelerinin yer aldığı, TBMM gerekçesinde söz konusu fıkra amacından bahsedilirken, temel ölçüt olarak sayısı belirsiz kişi tarafından görülebilecek durumda olma unsurunun kabul edildiği ve "herhangi bir şekilde" ibaresi kullanılarak alenileşmenin meydana gelmesi için başka bir şart aranmadığının ifade edildiği, ayrıca gerekçede alenileştirilen verilerin işlenmesinde korunması gereken hukuki yararın ortadan kalktığının belirtildiği, zira artık ilgili kişinin kendisinin dahi verinin korunması için bir çaba sarf etmediği,
  • Bu bağlamda ilgili kişinin söz konusu bilgilerinin, telefonla aranmadan önce zaten ilgili kişi tarafından alenileştirildiğinden açık rızası alınmadan işlenmesinin mevzuata aykırılık teşkil etmeyeceğinin değerlendirildiği,
  • Öte yandan, Kişisel Verilerin Korunması Kanununun 5 inci maddesinin (2) numaralı fıkrasının (f) bendinde ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması halinde ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğunun düzenlendiği, veri sorumlusunun sigortacılık ve bireysel emeklilik alanında faaliyet gösteren, bu faaliyetleri sonucunda ticari kazanç elde etmeyi amaçlayan ve sektördeki diğer tüm şirketler gibi faaliyet alanında meşru çalışmalar yürüten bir tüzel kişilik olduğu, söz konusu faaliyetlerin yürütülmesi sırasında veri sorumlusunun var olma amaçlarından olan poliçe satış işleminin gerçekleştirilmesinin de veri sorumlusu için meşru bir menfaat olduğu, dolayısıyla şirketlerinin var olması için poliçe satışı yapmak zorunda olduğu, poliçe satışı yapmak için de teklif araması yapılması gerektiği ve teklif araması sırasında mesaj gönderilen kişinin ad, soyadı ve telefon numarası bilgilerinin önceden şirket uhdesinde bulunması zorunluluğunun da izahtan vareste olduğu, bu nedenle Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendinin de bu gibi durumlarda ilgili kişinin açık rızasının aranmasına gerek olmadığını belirttiği ve ticari hayatın olağan akışı içinde seyrine imkan tanıdığı, şirketlerinin meşru menfaatleri ve Kanunun meşru menfaat hükmü birlikte değerlendirildiğinde taraflarınca hukuka aykırı bir işlem yapılmadığı,
  • İlgili kişi tarafından veri sorumlusuna yapılan başvuruya, verilerinin veri sorumlususun faaliyet alanı çerçevesinde meşru amaçlar çerçevesinde kendisine ürün tanıtımı ve pazarlaması yapılması amacıyla, hangi kanaldan elde edildiği de belirtilerek yanıt verildiği, ilgili kişinin, başvurusu üzerine veri sorumlusu nezdinden tutulan "Aranmayacaklar Listesi"ne alındığının, bunun ötesinde verilerinin hiçbir şekilde işlenmediği, yurt içinde veya yurt dışında üçüncü kişiler ile paylaşılmadığının ifade edildiği, söz konusu liste ile kişisel verilerinin silinmesini veya kendisi ile iletişime geçilmemesini talep eden ilgili kişilerin verilerinin işlenmesinin engellendiği, bu şekilde veri sorumlusunun faaliyetlerine devam ederken uyması gereken bir diğer mevzuat olan Ticari Elektronik İleti mevzuatına da uygun hareket edildiği,
  • Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmeliğin “İspat yükümlülüğü ve kayıtları saklama süresi” başlıklı 13 üncü maddesinin ikinci fıkrası gereğince; hizmet sağlayıcıların onay kayıtlarının, onay geçerliliğinin sona erdiği tarihten; ticari elektronik iletilere ilişkin diğer kayıtların ise kayıt tarihinden itibaren üç yıl süreyle saklanması gerektiği, ayrıca talep edildiğinde ilgili kayıtların Bakanlığa sunulacağının düzenlendiği, buna ek olarak hizmet sağlayıcılara bildirilen "ret" bildirimlerinin de İleti Yönetim Sistemine 3 iş günü içinde bildirilmesi gerektiği, zira bu hakkın kullanılmasının 6698 sayılı Kanun kapsamında açık rızanın geri alınması ile eşdeğer olduğu, bahsi geçen “Aranmayacaklar Listesi” ile kendisine ticari elektronik ileti gönderimine onay vermeyen kişilerin yer aldığı listenin iç içe bir bütün olduğu ve veri sorumlusu tarafından bu listenin mevzuattan kaynaklanan yükümlülükler çerçevesinde saklandığı, mevzuat uyarınca saklama süreleri bittiğinde bu verilerin de Şirketleri tarafından imha edileceği, ayrıca veri sorumlusu tarafından alınan teknik ve idari tedbirler çerçevesinde ilgili listenin sadece yaptığı iş gereği erişimi zorunlu olan kişilere açılarak yetki verildiği,
  • İlgili kişiye SMS gönderimi yapılan tarihte henüz ticari elektronik ileti gönderiminden önce onay alınmasına ilişkin yürürlüğe giren bir zorunluluk bulunmadığı, içinde bulunulan pandemi süreci nedeniyle ticari elektronik ileti gönderiminden önce onay alınması ve ilgili ret veya onayların tutulmasına ilişkin uygulamanın bir zorunluluk olarak yürürlüğe girişinin birden çok defa ertelendiği,
  • Şirketlerinin satış politikası gereğince meşru faaliyet alanı çerçevesinde elde edilen kişisel veri olan iletişim bilgileri üzerinden müşteri adaylarına ticari elektronik ileti almak isteyip istemediğinin sorulması suretiyle veri sorumlusunun ilgili kişilere açık rıza gösterme hakkı sağladığı

ifade edilmiştir.

Konuya ilişkin olarak yapılan incelemede Kişisel Verileri Koruma Kurulunun 09/06/2021 tarihli ve 2021/584 sayılı Kararı ile;

  • Kanunun, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4 üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmü yer almakta olup bahse konu maddenin ikinci fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin; hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme şeklinde sayıldığı,
  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Öte yandan Kanunun ‘Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi’ başlıklı 7 inci maddesinin (1) numaralı fıkrasında bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği, yok edileceği veya anonim hale getirileceğinin hüküm altına alındığı,
  • Ayrıca, Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin (1) numaralı fıkrasında “Veri sorumlusu; kişisel verilerin hukuka aykırı işlenmesini önlemek, kişisel verilere hukuka aykırı erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmüne yer verildiği,
  • Somut olayda, veri sorumlusu tarafından söz konusu cep telefonu numarasının elde edildiği kaynak olarak iddia edilen internet sitesinde her ne kadar ilgili kişinin cep telefonu numarasına rastlanılmasa da ilgili kişi tarafından bağlı bulunduğu Baronun resmi internet sayfasında söz konusu kişisel verinin alenileştirilmesi hususunda öncelikle ilgili kişinin söz konusu alenileştirme kapsamında iradesi olması gerektiği, bu anlamda, tek başına kişisel verinin kamuoyuna açık hale gelmesinin, örneğin herkesin görebileceği bir yerde olması ya da herkesin erişimine açık durumda bulunmasının alenileştirilmiş olması bakımından yeterli olmadığı; eylemin, ilgili kişinin iradesi ile de desteklenmesi gerektiği, söz konusu olay kapsamında, veri sorumlusu tarafından ilgili kişinin telefon numarasının ilgili kişinin kayıtlı olduğu Baronun internet sayfasından elde edildiği kanıtlanamamakla birlikte yapılan incelemede de bu numaraya rastlanılmadığı, dolayısıyla söz konusu cep telefonu numarasının ilgili kişinin kendi iradesi ile alenileştirildiği hususuna ilişkin kanıtlayıcı herhangi bir bilgi ve belgenin de mevcut olmadığı,
  • Veri sorumlusu tarafından iddia edildiği üzere Baronun internet sayfasından cep telefonu numarası elde edildiği kabul edilse dahi ilgili kişinin ne amaç ile kişisel verilerini alenileştirdiğinin tespitinin gerektiği, bu bağlamda ilgili kişinin kendisi tarafından alenileştirilen, bir başka ifadeyle herhangi bir şekilde kamuoyuna açıklanmış olan kişisel verileri işlenebilecek olup söz konusu olayda da avukatın avukatlık faaliyeti kapsamında kendisiyle iletişime geçilmesi amacıyla iletişim bilgilerini kamuya açık bir hale getirdiği, alenileştirme eylemi, ilgili kişilerin kişisel verilerini kamuoyu ile paylaşma amacıyla sınırlı olup veri sorumlularının ilgili kişinin alenileştirme amacından farklı ya da bu amacı aşan şekilde kişisel veri işleme faaliyetinde bulunmalarının, başkaca bir işleme şartına dayanılmadığı sürece, Kanuna aykırılık oluşturacağı, bu kapsamda ilgili kişinin kişisel verisi niteliğindeki telefon numarasına gönderilen kısa mesajlar incelendiğinde ilgili kişinin mesleki yetkinliğinden faydalanmak için kendisine ulaşılmaya çalışılmadığı, aksine Şirket faaliyetlerine ilişkin randevu talebi ile ilgili kişiye ulaşıldığı, içeriklerin reklam, pazarlama ve bilgilendirme amaçlı olduğu değerlendirilmekte olup bu çerçevede ilgili kişinin telefon numarasının reklam, pazarlama ve bilgilendirme amacıyla kısa mesaj gönderilmek suretiyle işlenmesinin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (d) bendinde yer alan "İlgili kişinin kendisi tarafından alenileştirilmiş olması” hükmü çerçevesinde değerlendirilemeyeceği sonucuna varıldığı,
  • Veri sorumlusunun, faaliyetleri sonucunda ticari kazanç elde etmeyi amaçlayan ve sektördeki diğer tüm şirketler gibi faaliyet alanında meşru çalışmalar yürüten bir tüzel kişilik olduğu, söz konusu faaliyetlerin yürütülmesi sırasında şirketin var olma amaçlarından olan poliçe satış işleminin gerçekleştirilmesinin de şirketleri için meşru bir menfaat olması sebebiyle bu kapsamda gerçekleştirilen kişisel veri işleme faaliyetlerinin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendinde yer alan “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” şartı kapsamında ilgili kişinin kişisel verilerinin işlendiğine ilişkin açıklamaları ile ilgili olarak ise, veri sorumlusu tarafından reklam ve pazarlama amacıyla kişisel verilerin meşru menfaat kapsamında işlenmesinin kişilerin kişisel verileri üzerindeki denetiminin sağlanmasını engelleyeceği, öte yandan poliçe satışının gerçekleştirilmesi için kişisel veri işlenmesinin bir zorunluluk olmadığı ve başka yollarla da ticari anlamda kazanç sağlanmasının mümkün olduğu, ilgili kişilerin bu şekilde ilgilendikleri veya ilgilenmedikleri alanlarda reklam ve pazarlama amacıyla aranma ve kısa mesaj almaya maruz bırakılmasının temel hak ve hürriyetlerinin zarar görmesine yol açacağı, sonuç olarak salt ekonomik fayda elde etmek amacıyla kişisel verilerin reklam, pazarlama ve bilgilendirme amacıyla işlenmesinin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendinde yer alan “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hükmü çerçevesinde değerlendirilemeyeceği,
  • Veri sorumlusu tarafından finansal güvence danışmanlarının müşteri adayları ile iletişime geçmeden önce kontrol etmesi gereken bir “Aranmayacaklar Listesi” oluşturulduğu, kişisel verilerinin silinmesini veya kendisi ile iletişime geçilmemesini talep eden ilgili kişilerin verilerinin işlenmesinin böylelikle engellendiğinin iddia edildiği ancak herhangi bir veri işleme şartına dayanılmaksızın işlenmiş olan kişisel verilerin “Aranmayacaklar Listesi”ne alınmak suretiyle kişisel veri işleme faaliyetine devam edildiği, bu anlamda, reklam ve pazarlama amacıyla gerçekleştirilen aramalardan kişisel verisi hukuka uygun olarak elde edilmiş ilgili kişiler bakımından rızanın/onayın geri çekilmesi durumunda kişisel verilerin bu listeye eklenmesi anlaşılabilir olmakla birlikte, kişisel verileri hukuka aykırı olarak elde edilmiş olan ilgili kişilerin kişisel verilerinin burada işlenmeye devam etmesi hususunun Kanunun 5 inci maddesinde yer alan veri işleme şartlarından herhangi birine dayanılmaksızın gerçekleştirilmesinin hukuka aykırılık barındırdığı, bu çerçevede Kanunun 11 inci maddesinin (e) bendi kapsamında herkesin, veri sorumlusuna başvurarak kendisiyle ilgili; 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme hakkına sahip olduğu hükmü uyarınca ilgili kişinin kişisel verilerinin silinmesi talebinin veri sorumlusu tarafından yerine getirilmediği,
  • İlgili kişiye SMS gönderimi yapılan 18.06.2020 tarihinde henüz ticari elektronik ileti gönderiminden önce onay alınmasına ilişkin yürürlüğe giren bir zorunluluk bulunmadığı, içinde bulunulan pandemi süreci nedeniyle ticari elektronik ileti gönderiminden önce onay alınması ve ilgili ret veya onayların tutulmasına ilişkin uygulamanın bir zorunluluk olarak yürürlüğe girişinin birden çok defa ertelendiği, bu doğrultuda ilgili kişiye SMS’lerin iletildiği tarihte ticari elektronik ileti gönderilmesinde onay alınmasına ilişkin mevzuattan kaynaklanan zorunluluk bulunmadığı iddia edilse de ilgili kişilerden onay alınmak suretiyle kişisel verisi niteliğinde olan cep telefonu numarasının işlenmesini mümkün kılan Elektronik Ticaretin Düzenlenmesi Hakkında Kanunun 05.11.2014 tarihinde, söz konusu Kanuna dayanılarak hazırlanan Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmeliğin ise 15.07.2015 tarihinde yürürlüğe girdiği, bu kapsamda şikayete konu ticari elektronik iletinin gönderilmiş olduğu 18.06.2020 tarihinde ticari elektronik ileti gönderilmesine ilişkin onay alınması zorunluluğunun bulunduğu, onaya ilişkin hususlarla ilgili olarak herhangi bir ertelemenin söz konusu olmadığı, veri sorumlusu tarafından ilgili kişinin onayına istinaden ticari elektronik ileti gönderiminde bulunulduğu hususunu kanıtlayıcı herhangi bir bilgi ve belgenin mevcut olmadığı,
  • Başvuru Usul ve Esasları Hakkında Tebliğin “Başvuruya Cevap” başlıklı 6 ncı maddesinin (4) numaralı fıkrasında ise cevap yazısının; veri sorumlusu veya temsilcisine ait bilgileri, başvuru sahibinin; adı ve soyadını, Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarasını, yabancılar için uyruğunu, pasaport numarasını veya varsa kimlik numarasını, tebligata esas yerleşim yeri veya iş yeri adresini, varsa bildirime esas elektronik posta adresini, telefon ve faks numarasını, talep konusunu, veri sorumlusunun başvuruya ilişkin açıklamalarını içermesi zorunluluğunun düzenlenmiş olduğu, ilgili kişinin başvurusuna veri sorumlusu tarafından 23.06.2020 tarihinde e-posta adresi aracılığıyla verilen cevapta Tebliğde yer alan T.C. kimlik numarası, adres gibi unsurların yer almadığı görülmekle birlikte veri sorumlusunda bu bilgilerin bulunmadığı dikkate alındığında bu hususta herhangi bir hukuka aykırılık olmadığı, öte yandan Tebliğde yer alan “başvuruya ilişkin açıklamalar” unsurundan ilgili kişinin taleplerinden ad ve soyadı bilgilerine nasıl ulaşıldığına ilişkin olarak veri sorumlusu tarafından açık ve net bir bilgiye yer verilmediği

değerlendirmelerinden hareketle;

  • İlgili kişinin kişisel verisi niteliğindeki telefon numarasının kısa mesaj gönderilmek amacıyla işlendiği iddiası incelendiğinde ilgili kişinin mesleki yetkinliğinden faydalanmak için kendisine ulaşılmaya çalışılmadığı, aksine şirket faaliyetlerine ilişkin randevu talebi ile ilgili kişiye ulaşıldığı değerlendirilmekte olup bu çerçevede ilgili kişinin kişisel verisi niteliğindeki telefon numarasının reklam, pazarlama ve bilgilendirme amacıyla kısa mesaj gönderilmek suretiyle işlenmesinin Kanunun 5 inci maddesinde yer alan herhangi bir işleme şartına dayanmaksızın gerçekleştirildiği dolayısı ile veri sorumlusunun Kanunun 12 nci maddesinde yer verilen veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı davrandığı kanaatine varıldığından veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulamasına,
  • Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin 6 ncı maddesine uyum konusunda gerekli hassasiyetin gösterilmesi hususunun hatırlatılmasına,
  • Kanunun kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini düzenleyen 7 nci maddesi ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğe uygun bir biçimde ilgili kişinin kişisel verilerinin imha edilmesi ve imha edildiğine dair kanıtlayıcı belgeler (log kaydı, vs) ile birlikte bu hususta Kurula en geç otuz gün içinde bilgi verilmesi yönünde veri sorumlusu şirketin talimatlandırılmasına

karar verilmiştir.

18.03.2021: “İlgili kişinin kişisel verilerinin bir tur şirketi tarafından üçüncü kişilerle paylaşılması”
Karar Tarihi : 18/03/2021
Karar No : 2021/242
Konu Özeti : İlgili kişinin kişisel verilerinin bir tur şirketi tarafından üçüncü kişilerle paylaşılması

 

Kuruma intikal eden şikâyetinde özetle; ilgili kişinin veri sorumlusu tur şirketinden tatil paketi satın aldığı ve ilgili tüm bilgilerini veri sorumlusu ile paylaştığı, paylaşılan bu verilerin veri sorumlusu tarafından üçüncü bir kişiye aktarıldığı, söz konusu üçüncü kişi tarafından bahsi geçen bilgilerin bir mahkeme dosyasına ve baro şikâyet dilekçesi ekine sunulduğu, veri sorumlusuna yapılan başvuruya verilen cevapta üçüncü kişilere hiçbir şekilde verilmediği söylenen kişisel verilerin mahkeme dosyasında nasıl yer aldığının açıklanmadığı, bu kapsamda ilgili kişinin rızası ve bilgisi olmaksızın kişisel verilerini üçüncü kişilerle paylaşmış olan veri sorumlusu hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gerekli hukuki ve cezai işlemlerin yapılması talep edilmiştir.

Konuya ilişkin olarak başlatılan inceleme çerçevesinde veri sorumlusunun savunması istenilmiş olup alınan cevabi yazıda özetle;

  • Kanunun yürürlüğe girmesinden önce veri sorumlusunun sistemlerinde güvenlik ve önlem amaçlı log kayıtlarının tutulduğu, şirketleri ile rezervasyonun; çağrı merkezi, acente ya da internet sitesi üzerinden yapılabildiği, tüm bu kanallardan yapılan satış ve rezervasyonların tek bir satış altyapısında saklandığı, satış sürecinde oluşan kişi kartının, kişi ile iletişim kurulacak telefon numarası ve e-posta gibi iletişim bilgilerinin her seferinde tekrardan kişiden alındığı, böylelikle kişinin bir önceki seyahatinden farklı iletişim bilgileri ile (cep telefonu, e-posta vs.) yeni seyahatini planlayabildiği,
  • İnternet sitesinden gerçekleştirilen bir seyahat alım sürecinde kredi kartı bilgileri kaydedilmeden banka sistemleri üzerinden işlem yapıldığı ve onay sürecinde bankanın paylaştığı son 4 hane ile ilk 6 haneyi içeren bilgiler ile kişi adı gibi detayların ödeme kısmında saklandığı,
  • Çağrı merkezi ve acente sistemlerinin aynı altyapıda olduğu, çağrı merkezlerinin büyük ve online bir acente gibi işlem yaptığı; çağrı merkezinden yapılan alımlarda kişi kartlarındaki iletişim bilgilerinin Kanuna uygun olarak alınan teknik ve idari tedbirler kapsamında tamamen boş geldiği ve satış personelinin/müşteri temsilcisinin gereken bilgileri seyahat özelinde misafirden talep ederek ve talebe uygun olarak doldurduğu,
  • Bu suretle, her bir rezervasyonda rezervasyon bilgilerinin iletileceği e-posta adresi ve telefon bilgilerinin güncellenmekte olduğu,  misafir rezervasyonunun önceki kayıtlarda yer alan e-posta adresine veya telefon numarasına gönderilmesinin de önüne geçildiği; sistemde gerçekleştirilen bu kayıtlarda işlemi yapan temsilcinin giriş yaptığı/login olduğu kendisine ait hesap ile sisteme kaydedildiği/log kaydı alındığı, böylelikle ileride de temsilcinin oluşturduğu ya da sonradan görüntülediği şeklindeki bilgilere erişilebildiği,
  • Yukarıda sayılan her bir satış kanalından yapılan rezervasyonlar için öncelikle ödemenin alındığına dair “alındı belgesi”, ardından da rezervasyon detaylarını ve şartlarını içeren “voucher” düzenlendiği, “voucher”in rezervasyonun onayı için hem ilgili tesisle hem de misafirin rezervasyon detayları ile bu rezervasyonun şartlarına hakim olmasını sağlamak amacıyla misafir ile paylaşıldığı, misafir ile paylaşım acente üzerinden yapılan satışlarda misafire elden imza karşılığı teslim edilerek yapılmakta iken, çağrı merkezi ve internet üzerinden gerçekleştirilen satışlarda rezervasyon sırasında bildirilen e-posta adresine gönderilmek suretiyle yapıldığı,
  • Log mekanizmasında yazılımların içindeki erişim, değişiklik ve görüntülemelerin tarih, saat ve kişi bazlı olarak kayıt yapıldığı, yaşanabilecek siber saldırılardan korunmak için güvenlik duvarı sistemlerinin bulunduğu, güvenli paylaşımı sağlamak amacıyla güvenli bir dosya paylaşımı uygulamasının kullanıldığı, bu suretle veri sorumlusu tarafından yapılan paylaşımların kişi bazlı olarak gözlemlenebildiği, verilerin veri sorumlusu şirket içerisinde kullanılan cihazlardan USB, e-posta gibi yöntemlerle dışarı çıkarılmasının gerektiğinde engellenmesi ve yine log kaydı alınması için bir “Veri Kayıp Önleme” (DLP) ürününün satın alınıp kurumsal ekiplerinde konumlandırıldığı,
  • Şikâyet konusu rezervasyonun Çağrı Merkezi üzerinden yapıldığı, rezervasyona ilişkin ilk e-posta gönderiminin 20.11.2018 tarihinde ilgili kişinin e-posta adresine rezervasyonun onaylanması için gönderildiği, bu işlemin onaylanmaması sebebiyle 21.11.2018 tarihinde tekrar e-posta gönderildiği, daha sonra konaklama tarihinin yaklaşması sebebiyle aynı adrese 05.12.2018 tarihinde rezervasyon hatırlatma e-postası gönderildiği

hususları belirtilerek veri sorumlusu tarafından ilgili kişi ile kurulan tüm iletişimin log kayıtlarına dair ekran görüntüleri Kurum ile paylaşılmıştır.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 18/03/2021 tarihli ve 2021/242 sayılı Kararı ile,

  • Kanunun “Tanımlar” başlıklı 3 üncü maddesinde “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi; “veri sorumlusu”nun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi; “veri işleyen”in, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi; “kişisel verilerin işlenmesi”nin, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı,
  • Konaklama satın almaya ilişkin işlemlerin tur şirketinin kendisine ait çağrı merkezi üzerinden yürütülmesi; rezervasyon takibinin yapıldığı ve otel ile tur şirketi arasındaki ilişkiyi kuran satışa ilişkin tek bir satış altyapısının varlığı ve bunun kurulması ve yönetilmesinden tur şirketinin sorumlu olması sebebiyle tur şirketinin  Kanunun 3 üncü maddesinde tanımlanan veri sorumlusu sıfatını taşıdığı, 
  •  “Voucher” ve “alındı” belgelerinde kimlik bilgileri kategorisinde ilgili kişinin adı soyadı, doğum tarihi gibi kişisel verilerin yer aldığı,
  • Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde ise kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, bu çerçevede, kişisel veriler ancak;  hukuka ve dürüstlük kurallarına uygun şekilde,  belirli, açık ve meşru amaçlar kapsamında, doğru ve gerektiğinde güncel olma şartıyla, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceğinin düzenlendiği,    
  • Kanunun kişisel verilerin işlenme şartlarının belirlendiği 5 inci maddesinin (1) numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmadan işlenemeyeceği hüküm altına alınmış olmakla birlikte, (2) numaralı fıkrasında, sayılan hallerde ilgili kişinin açık rızası olmadan kişisel verilerinin işlenmesine imkan tanıdığı, buna göre;

a) Kanunlarda açıkça öngörülmesi,
b) Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması,
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
hallerinden birinin varlığı durumunda ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün bulunduğu,

  • Kanunun 12 nci maddesinin (1) numaralı fıkrasında ise veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu hükmünün yer aldığı,
  • Somut olayda, ilgili kişinin rezervasyonuna ilişkin log kayıtlarının ekran görüntülerine ilişkin detaylar incelendiğinde; rezervasyon işlemine ilişkin görüntüleme detaylarının 25 satırda takip edildiği, bunlardan ilk 16 adetinin ilgili kişinin veri sorumlusuna yaptığı başvuruya istinaden farklı saatlerdeki görüntüleme kayıtları olduğu, geri kalan 9 adetinin de Kurumdan gönderilen tebligata istinaden tekrar kontrol amaçlı olarak şirket içindeki görüntülemeye yönelik log kayıtlarının olduğu, her bir görüntüleme işlemine ilişkin olarak log kayıtlarının IP numarası dahil kullanıcı adını(USER_NAME) içerecek şekilde tutulduğu, yukarıda bahsi geçen 25 satırlık log kaydına ilişkin olarak 4 farklı kullanıcı tarafından rezervasyon ve sonrasındaki inceleme işlemlerine yönelik kaydın yer aldığının görüldüğü,
  • İlgili kişiye gönderilen e-postaların iletim tarihi ve adresine ilişkin olarak log kayıtlarına bakıldığında, veri sorumlusu tarafından ilgili kişinin e-posta adresine 20.11.2018, 21.11.2018 ve 05.12.2018 tarihlerinde şikâyete konu rezervasyon için elektronik posta gönderildiği, bu mesajların içeriğine ilişkin log kayıtlarına bakıldığında; 20.11.2018 ve 21.11.2018 tarihinde gönderilen e-postaların onay için olduğu, 05.12.2018 tarihinde gönderilen e-postada ise rezervasyona ilişkin bilgilendirme yapıldığı,
  • Ayrıca, “voucher” dokümanının acente üzerinden yapılan satışlarda misafire elden imza karşılığı verilirken, çağrı merkezi ve internet üzerinden gerçekleştirilen satışlarda rezervasyon sırasında bildirilen e-posta adresine gönderildiği, benzer şekilde “alındı” dokümanının konaklamanın yapılacağı tesis ile paylaşılmadığı ve sadece misafir ile e-posta üzerinden paylaşıldığı

değerlendirmelerinden hareketle;

  • Şikâyet dosyasında yer alan konaklamaya ilişkin detayları içeren “Alındı” belgesinin sadece konaklamayı satın alan tarafla paylaşılan bir doküman olduğu ve konaklamanın yapılacağı tesis ile paylaşılmadığı; veri sorumlusunun Kuruma sunduğu log kayıtlarında konaklamaya ilişkin gönderilen “voucher” ve “alındı” dokümanlarının sadece ilgili kişinin e-posta adresine iletildiğinin belirlendiği ve konaklamaya yönelik veri sorumlusu personelinin yaptığı görüntülemelerin her birinin söz konusu belgelerin mahkemeye sunulma tarihi olan 04.04.2019 tarihinden sonra ve ilgili kişinin başvurusuna ve/veya Kurum tarafından yapılan bilgi ve belge talebine istinaden yapılan görüntülemeler olduğu dikkate alındığında, ilgili kişinin verilerinin veri sorumlusu tarafından paylaşıldığını tevsik eden somut bilgi ve belge bulunmadığından ilgili şikâyet hakkında 6698 sayılı Kanun kapsamında tesis edilecek bir işlem bulunmadığına karar verilmiştir.
18.03.2021: “Ölenin sigorta poliçesine yasal mirasçısının erişim talebinin sigorta şirketi tarafından reddedilmesi”
Karar Tarihi : 18/03/2021
Karar No : 2021/241
Konu Özeti : Ölenin sigorta poliçesine yasal mirasçısının erişim talebinin sigorta şirketi tarafından reddedilmesi

 

Kuruma intikal eden şikâyet dilekçesinde özetle; şikâyetçinin ölen eşi ile veri sorumlusu sigorta şirketi arasında Hayat Sigortası Sözleşmesi kurulduğu, şikâyetçinin eşinin ölüm sebebinin iş kazası olduğunun mahkeme ilamı ile kesinleşmesi üzerine iş kazası nedeni ile yapılması gereken ödeme miktarının tespit edilebilmesi için Poliçenin ibrazı gerekliliğinin hâsıl olduğu, bu kapsamda çeşitli tarihlerde gönderilen ihtarnamelerle veri sorumlusundan söz konusu Poliçenin tesliminin talep edildiği, ancak veri sorumlusunca ilgili kişiye gönderilen yazı ile Kişisel Sağlık Verileri Hakkında Yönetmeliğin 10 uncu maddesi uyarınca “avukatların, müvekkilin sağlık verilerini genel vekaletname ile talep edemeyeceği, ilgili kişinin özel nitelikli kişisel verilerin işlenmesi ve aktarılmasına ilişkin açık rızasını gösteren özel bir hükmün bulunmasının gerektiği ve bu sebeple yazı ekinde gönderilen vekaletnamenin genel vekaletname niteliğinde olduğundan KVKK ve ilgili yönetmelik uyarınca özel nitelikli kişisel veri olan sağlık verilerinin paylaşılmasının mümkün olmadığı” hususları belirtilerek talebin reddedildiği, bunun üzerine şikayetçinin kendi adına yeniden ihtarname düzenleyip veri sorumlusuna başvurduğu ancak veri sorumlusunca talebin karşılanmayarak hak yoksunluklarına sebep olduğu belirtilmiş ve gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme kapsamında veri sorumlusu sigorta şirketinden savunması istenilmiş, alınan cevabi yazıda özetle;

  • Şikâyetçinin eşinin sigorta ettireninin bir banka olduğu ve Grup Hayat Sigorta Poliçesi ile sigortalı olduğu,
  • Veri sorumlusu sigorta şirketi ile sigorta ettiren arasında imzalanan Grup Sigortası Sözleşmesi kapsamında sigorta ettiren tarafından bildirilen SGK'lı çalışanların sigortalandığı,  şikâyetçinin eşinin de bu çalışanlardan biri olarak Grup Hayat Sigorta Poliçesi ile sigortalandığı, bu kapsamda murislere toplamda 100.000,00 TL (poliçe teminatının tamamı) ödeme yapıldığı, Poliçe teminatının tamamının murislere ödenmesiyle veri sorumlusunun Poliçe kapsamındaki tüm yükümlülüklerini yerine getirdiği,
  • Şikâyet konusu Poliçenin müteveffanın eşi varise verilmemesinin hukuki gerekçesi ile ilgili olarak Poliçenin, sigorta ettiren banka ile veri sorumlusu arasında imzalanan Grup Hayat Sigortası arasındaki Sözleşmeye istinaden düzenlenmiş olduğu, sigortalıların bu grup sözleşmesinin tarafı olmadığı, 6102 sayılı Türk Ticaret Kanununun (TTK) 1496 ncı maddesi uyarınca Grup Hayat Sigortası Sözleşmesine/Poliçesine istinaden sigortalılara ayrı ayrı Poliçeler yerine sertifikalar verildiği,
  • Müteveffanın sigortalılığını, sigortalı olduğu dönemi ve sigorta teminatı ile kapsamı gösteren Grup Yıllık Yaşam Sigortası Sertifikasının da veri sorumlusu tarafından şikâyetçi ile paylaşıldığı,
  • Diğer taraftan Grup Hayat Sigortası Sözleşmesinde sigorta ettiren bankaya ait ticari bilgilerin ve o sözleşmeyi imzalayanların kişisel verilerinin yer aldığı, dolayısıyla müteveffanın tarafı olmadığı Grup Hayat Sigortası sözleşmesinin ve buna istinaden düzenlenen Grup Poliçesinin de ne sigortalılarla ne de murisleri ile paylaşma yükümlülüklerinin bulunmadığı,
  • Veri sorumlusunun tüm kanuni yükümlülüklerini yerine getirdiği ancak şikâyetçinin Poliçe kapsamındaki alacağın tam olarak ödenmediğine ilişkin bir kuşkusu varsa, bu Grup Sigortası Sözleşmesinin içeriğini sigorta ettiren ve müteveffanın işvereni olan bankadan talep edebileceği gibi şikâyet dilekçesinde bahsettiği dava dosyasının görülmesi sırasında mahkeme aracılığı ile de pekâlâ celp ettirebileceği, şikâyetçinin daha fazla alacağı olduğunu düşünüyorsa veri sorumlusu aleyhine yargı yoluna da başvurabileceği,
  • Kanunun 11 inci maddesi gereği ilgili kişinin kural olarak kendisiyle ilgili konularda veri sorumlusuna başvurabilme hakkına sahip olduğu ancak şikâyetçinin, eşine ilişkin talep etmiş olduğu Poliçe bilgileri, sertifika, teminat ödemesi vb. hususları eksiksiz paylaşılmış olmasına ve ortada kendisine ait Kanuna aykırı işlenen veri bulunmazken, sigortacılık mevzuatı açısından da tüm yükümlülüklerini yerine getiren veri sorumlusuna yönelik yapılan şikâyetin haksız olduğu  

ifade edilmiştir.

Konuya ilişkin olarak yapılan değerlendirme neticesinde Kişisel Verileri Koruma Kurulunun 18/03/2021 tarih ve 2021/241 sayılı Kararı ile;

  • 6698 sayılı Kanunun 3 üncü maddesinde ilgili kişinin “kişisel verileri işlenen gerçek kişi” olarak tanımlandığı, 4721 sayılı Türk Medeni Kanununun 28 inci maddesinde ise kişiliğin, çocuğun sağ olarak tamamıyla doğduğu anda başladığı ve ölümle sona erdiği hükmünün yer aldığı, diğer taraftan; Kişisel Sağlık Verileri Hakkında Yönetmeliğin 4 üncü maddesinde; kişisel sağlık verisinin kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgiler olarak tanımlamalara yer verildiği; anılan Yönetmeliğin “Ölünün sağlık verilerine erişim” başlıklı 11 inci maddesinde ise ölmüş bir kimsenin sağlık verilerini almaya, veraset ilamını ibraz etmek suretiyle murisin yasal mirasçılarının münferit olarak yetkili olduğuna yer verildiği, ölen kişilere ilişkin kişisel veriler hakkında 6698 sayılı Kanunda doğrudan bir düzenleme bulunmamakla birlikte Kişisel Verileri Koruma Kurulunun “Ölü kişilerin verilerine, ölenin yakınlarının erişim talebi hakkındaki 18/09/2019 tarihli ve 2019/273 sayılı  kararında “(…) talep edilen kişisel verilerin talep eden gerçek kişiye ilişkin olmaması ve ölmüş kişiye ait olması sebebiyle talebin, Kanunun 11’inci maddesi kapsamında bir talep olarak değerlendirilmeyeceği kanısına varıldığından bu hususta 6698 sayılı Kanun kapsamında yapılacak bir işlemin olmadığına” karar verildiği, 
  • Diğer taraftan 4721 sayılı Türk Medeni Kanununun 499 uncu maddesinde ise sağ kalan eşin, birlikte bulunduğu zümredeki oranlara göre mirasbırakana mirasçı olacağı; 599 uncu maddesinde “Mirasçılar, mirasbırakanın ölümü ile mirası bir bütün olarak, kanun gereğince kazanırlar. Kanunda öngörülen ayrık durumlar saklı kalmak üzere mirasçılar, mirasbırakanın aynî haklarını, alacaklarını, diğer malvarlığı haklarını, taşınır ve taşınmazlar üzerindeki zilyetliklerini doğrudan doğruya kazanırlar ve mirasbırakanın borçlarından kişisel olarak sorumlu olurlar.” hükmüne;  “Özel durumlar” başlıklı 601 inci maddesinin ikinci fıkrasında ise “Kendisine mirasbırakanın ölümünde ödenecek bir sigorta alacağı vasiyet edilen kimse, sigorta sözleşmesinden doğan istem hakkını sigortacıya karşı doğrudan doğruya kullanabilir.” hükmüne yer verildiği, bu doğrultuda ölen eşin kişiliğinin de ölümle birlikte sona erdiği dikkate alındığında her ne kadar hayat sigortası ölen eşin adına yapılmış ve kişilik ölümle son bulduğundan ölen kişinin kişisel verilerine ilişkin talepler Kanun kapsamında değerlendirilemeyecek olsa da, hayat sigortasının lehtarlarının ölen kişinin kanuni mirasçıları olduğu, bu çerçevede ilgili Sigorta Poliçesinin lehtarı olmaları bakımından mirasçıların ilgili kişi niteliği kazandığı, bu sebeple başvurucu için de kanuni mirasçılıktan kaynaklı olarak, Poliçeyi özetler belgede yer alan verilerin kişisel veri niteliği taşıdığı kanaatine varıldığı,
  • Kanunun 11 inci maddesinde de “(1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; a) Kişisel veri işlenip işlenmediğini öğrenme, b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.” hükmünün düzenlendiği,
  • Öte yandan, 6102 sayılı Türk Ticaret Kanununun (Ticaret Kanunu) “Grup sigortaları” başlıklı 1496 ncı maddesinde “(2) Grupta yer alan her kişiye poliçe içeriğini özetleyen bir belge verilir.” hükmüne yer verildiği, bu kapsamda,  ilgili kişinin eşi adına yapılan sigortanın da grup sigortası olarak yapıldığı gözetildiğinde, 6698 sayılı Kanunun 11 inci maddesi kapsamında talep edilebilecek belgenin grup poliçesinin kendisi yerine “poliçeyi özetler nitelikteki belgenin/sertifikanın” olabileceği kanaatine varıldığı,
  • Anayasanın 20 nci maddesinin (3) numaralı fıkrasında yer verilen düzenleme ile “(…) kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme (…)” hakkına sahip olduğu, Kanunun 11 inci maddesinin (1) numaralı fıkrasının (b) bendi çerçevesinde ise ilgili kişilerin kişisel verileri işlenmişse buna ilişkin bilgi talep etme hakkına sahip olduğu düzenlemelerinin yer aldığı, bu çerçevede ilgili kişinin eşinin kanuni mirasçılıktan kaynaklı olarak müteveffanın kişisel verisi niteliğindeki “poliçeyi özetler belgeye” erişme hakkının olduğu ve bu hakkını veri sorumlusuna karşı ileri sürebileceği dikkate alındığında veri sorumlusundan kişisel veri niteliğinde olan “poliçeyi özetler belgeyi” Kanunun 11 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında talep edebileceği ve somut olayda veri sorumlusu tarafından  “Poliçeyi özetler belgenin/sertifika”nın ilgili kişiye verildiği; bu anlamda Kanunun 11 inci maddesinden kaynaklanan erişim hakkının kişiye sağlandığı 

değerlendirmelerinden hareketle; 

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun 3 üncü maddesinde ilgili kişinin “kişisel verileri işlenen gerçek kişi” olarak tanımlandığı, 4721 sayılı Türk Medeni Kanununun 28 inci maddesinde ise kişiliğin, çocuğun sağ olarak tamamıyla doğduğu anda başladığı ve ölümle sona erdiği hükmünün yer aldığı, ölen eşin kişiliğinin de ölümle birlikte sona erdiği dikkate alındığında her ne kadar hayat sigortası ölen eşin adına yapılmış ve kişilik ölümle son bulduğundan ölen kişinin kişisel verilerine ilişkin talepler Kanun kapsamında değerlendirilemeyecek olsa da, hayat sigortasının lehdarlarının ölen kişinin kanuni mirasçıları olduğu, bu çerçevede ilgili Sigorta Poliçesinin lehdarı olmaları bakımından mirasçıların ilgili kişi niteliği kazandığı, bu sebeple ilgili kişi için de kanuni mirasçılıktan kaynaklı olarak, poliçeyi özetler belgede yer alan verilerin kişisel veri niteliği taşıdığı; öte yandan grup sigortalarına ilişkin hususların 6102 sayılı Türk Ticaret Kanununda düzenlendiği, sigortalanan kişilere poliçe yerine poliçeyi özetler belgenin verileceğinin anılan Kanunda hüküm altına alındığı ve somut olayda veri sorumlusu tarafından  “Poliçeyi özetler belgenin/sertifika”nın ilgili kişiye verildiği; bu anlamda Kanunun 11 inci maddesinden kaynaklanan erişim hakkının kişiye sağlandığı dikkate alındığında söz konusu şikayet hakkında Kanun kapsamında yapılacak bir işlem olmadığına karar verilmiştir.
11.03.2021: “İlgili kişinin kişisel verisinin kamu kurumu personeli olarak görev yapan eski eşi tarafından sorgulanarak elde edilmesi ve adli makamlar ile paylaşılması”
Karar Tarihi : 11/03/2021
Karar No : 2021/230
Konu Özeti : İlgili kişinin kişisel verisinin kamu kurumu personeli olarak görev yapan eski eşi tarafından sorgulanarak elde edilmesi ve adli makamlar ile paylaşılması

 

Kuruma intikal eden şikâyet dilekçesinde özetle; ilgili kişinin kamu kurumu personeli olarak görev yapan, boşanma sürecinde olduğu eşi tarafından görevi kötüye kullanmak suretiyle kendisine erişim yetkisi verilen bir sistem üzerinden, maaş bilgilerinin sorgulandığı, boşanma davasına ilişkin yargılama sürecinde talep edilmemesine rağmen bu bilginin mahkeme ile paylaşıldığı, belirtilen bu program ya da sistemle T.C. kimlik numarası bilinen kişilerin maaşlarının öğrenilmesinin hem 4A/4B bilgisinin kişiselliğine hem de özel şirketlerdeki maaş gizliliğinin ihlaline sebebiyet verdiği hususları ifade edilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.
 
İlgili kişinin şikâyeti hakkında Kurumca başlatılan inceleme çerçevesinde veri sorumlusu kamu kurumunun açıklamalarına başvurulmuş olup, alınan cevabi yazıda özetle; 

  • Konu ile ilgili olarak ….  İl Müdürlüğünden bilgi ve belge talep edildiği,
  • Tabi olunan mevzuat kapsamında, Kurumları ile Sosyal Güvenlik Kurumunun (SGK) görev-yetki alanına giren iş ve işlemlerin ilintili olması nedeniyle tüm personel tarafından ilgili Kurum Portalına erişim sağlanabildiği ve “kontrol arayüzü” üzerinden sınırlı şekilde iş ve işlemler gerçekleştirebildiği,
  • Bu sınırlı erişim içerisinde kişilerin kimlik numaraları ile çeşitli sorgulamalar yapılabildiğinden, adı geçen personel de dahil olmak üzere tüm personel tarafından hem rutin işler için hem de günlük rutin dışı talepler nedeniyle söz konusu sorgulamanın sürekli yapıldığı,
  • Öte yandan anılan İl Müdürlüğünce, Kanun ile ilgili Kurumun tüm personelinin defaten bilgilendirildiği ve talimatlandırıldığının bildirildiği,
  • Şikayete konu veri işleme faaliyetini gerçekleştiren personelin konuya ilişkin açıklamalarının alındığı, yapılan açıklamada söz konusu kişi tarafından rutin işinin bir parçası olarak bahsi geçen sorgulamaları sıkça yaptığı, eşinin memur maaş zammına ilişkin kendisini haberdar etmesi üzerine ve kendisinin bilgisi dâhilinde bahsi geçen bilgileri sorguladığı, söz konusu zaman diliminde evliliğin aynı çatı altında sürdüğü, Kanunen aynı konutta yaşayanların istisna kapsamında olduğu ve bahsi geçen bilgilerin eşin bilgisi dahilinde sorgulanmasının sakınca teşkil etmediğini düşündüğü, boşanma davasında eşinin iddiasının aksine maaş bilgisinin paylaşılmadığı, bu bilgileri eşi dışında hiç kimse ile paylaşmadığı ve bu hususta mahkemeden bilgi talep edilebileceği ayrıca söz konusu Portaldan sehven kişisel sorgulama yapması hasebiyle Hizmet Merkezlerince “yazılı olarak” uyarıldığının belirtildiği 

ifade edilmiştir.

Konuya ilişkin olarak yapılan incelemede Kişisel Verileri Koruma Kurulunun 11/03/2021 tarihli ve 2021/230 sayılı Kararı ile;

  • Kanunun “Tanımlar” başlıklı 3 üncü maddesinde “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi, “veri sorumlusu”nun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi, “kişisel verilerin işlenmesi”nin  ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı,
  • Kanunun, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4 üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmü yer almakta olup bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin;

a) Hukuka ve dürüstlük kurallarına uygun olma,
b) Doğru ve gerektiğinde güncel olma,
c) Belirli, açık ve meşru amaçlar için işlenme,
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
şeklinde sayıldığı,

 

  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Somut olayda veri sorumlusu Kurum bünyesinde, kişilerin kimlik numaraları ile SGK Sorgulaması yapılması kapsamında kişisel verilerin işlenmesinin Kanunun 5 inci maddesinin 2 numaralı fıkrasının (ç) bendine göre veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olduğu, bununla birlikte veri sorumlusunun hizmetlerini elektronik ortamda sürdürmesine ilişkin mevzuatta “Kişisel Verilerin Korunması” başlıklı maddede sistemde yer alan kişisel verilerin kullanılmasında mevzuatta yer alan özel hayatın gizliliğine ilişkin hükümlerin esas alınacağı, ayrıca kullanıcılardan alınan bilgilerin, tanımlanmış hizmetler ve yasal mükellefiyetlerin yerine getirilmesi dışında başka bir amaçla kullanılamayacağının düzenlendiği, 
  • Bu doğrultuda ilgili kişinin kişisel verisinin, kendisi tarafından talep edilmeksizin görev yapan eski eşi tarafından Portal üzerinden sorgulanarak elde edildiği ve söz konusu kişisel verilerin mahkeme ile paylaşıldığı da dikkate alındığında, kişisel veri işleme faaliyetinde kişisel verilerin, hem üçüncü kişilere verildiği hem de görev yetkisi ve tanımlanmış hizmetin dışında bir işleme faaliyetinde işlendiği göz önünde bulundurulduğunda kişisel verilerin hukuka aykırı işlenmesi ve erişilmesini önlemek ile muhafazasını sağlamak amacıyla veri güvenliğine ilişkin yükümlülüklere uyulmadığı sonucuna varıldığı,

değerlendirmelerinden hareketle, 

  • İlgili kişinin kişisel verisinin, veri sorumlusu bünyesinde çalışan bir personel tarafından tanımlanmış hizmetlerin ve yasal mükellefiyetlerin yerine getirilmesi dışında başka bir amaçla kullanılması suretiyle işlenmesinin Kanunun 5 inci maddesinde yer alan işleme şartlarından birine dayanmaması nedeniyle hukuka aykırı olduğu ayrıca Kanunun 4 üncü maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak işlenmesi ilkesine aykırı bir veri işleme faaliyetinin gerçekleştiği, bu kapsamda söz konusu faaliyetinin Kanunun 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil ettiği değerlendirildiğinden Kanunun 18 inci maddesinin (3) numaralı fıkrası uyarınca veri sorumlusu bünyesinde görev yapan söz konusu personel hakkında disiplin hükümlerine göre işlem yapılması, öte yandan kişisel verilere erişim yetkisi bulunan personelin söz konusu verilere amacı dışında erişmesinin önlenmesi hususunda 31/05/2018 tarih ve 2018/63 sayılı Kişisel Verileri Koruma Kurulu İlke Kararı da dikkate alınarak gerekli tedbirlerin alınması ve yapılacak işlemlerin sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

09.06.2021: “İlgili kişinin fotoğrafının öğrencisi olduğu okul tarafından kullanılması”
Karar Tarihi : 09/06/2021
Karar No : 2021/572
Konu Özeti : İlgili kişi fotoğrafının öğrencisi olduğu okul tarafından kullanılması

 

Kuruma intikal eden şikayette, ilgili kişinin öğrenci olarak öğretmenleri ile yaptığı bir görüşmede rızası olmaksızın fotoğrafının çekildiği, çekilen fotoğrafının ticari amaçla okul tarafından bastırılan broşürde kullanıldığı ve kendi internet sitesinde yayınlandığı, ilgili kişi ve velisinin kişisel verilerin işlenmesine, yayımlanmasına veya kullanılmasına zımni veya açık bir rıza vermediği, konuya ilişkin veri sorumlusuna başvuruda bulunulduğu ancak verilen cevabın yetersiz olduğu ifade edilerek, 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) uyarınca veri sorumlusu okul hakkında gerekli işlemlerin tesis edilmesi talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup verilen cevabî yazıda özetle;

  • 2018-2019 döneminde öğrencileri olan ilgili kişinin fotoğrafının özel olarak çekilen bir fotoğraf olmadığı, tüm öğrencilerin katılmış olduğu ders ve etkinlikler sırasında çekilen bir fotoğraf olduğu, anılan dönemin sonunda öğrencinin okul değişikliği gerçekleştirdiği, mevcut durumda öğrencileri olmadığı,
  • İlgili kişinin velisinden de izin alındığı, bahse konu fotoğrafın aktif olarak kullanımda olmadığı ve yeni bir paylaşım durumunun da olmadığı,
  • İlgili kişinin avukatı tarafından gönderilen ihtarnameye istinaden velinin “Sosyal Medya Paylaşımı” konulu yazılı izninin bir örneğinin bulunduğu

ifade edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 09/06/2021 tarih ve 2021/572 sayılı kararı ile;

  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanunun 3 üncü maddesinde açık rızanın “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlandığı, tanımda yer aldığı üzere, açık rızanın, “Belirli bir konuya ilişkin olması”, “Rızanın bilgilendirmeye dayanması” ve “Özgür iradeyle açıklanması” şeklinde üç unsuru bulunduğu, bu kapsamda, veri işlemek üzere verilen açık rızanın geçerli olması için, açık rızanın öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak verilmesi gerektiği, bu doğrultuda veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması gerektiği, bununla birlikte, açık rıza bir irade beyanı olduğundan, kişinin özgür bir şekilde rıza gösterebilmesi için, neye rıza gösterdiğini de bilmesi gerektiği, kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olması gerektiği, bu sebeple, bilgilendirmenin, veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmesi ve mutlaka verinin işlemesinden de önce yapılması gerektiği,
  • Açık rıza vermenin, kişiye sıkı sıkıya bağlı bir hak olduğundan, verilen açık rızanın geri alınabileceği, bu bağlamda kişisel verilerin geleceğini belirleme hakkı ilgili kişiye ait olduğundan, kişinin dilediği zaman veri sorumlusuna vermiş olduğu açık rızasını geri alabileceği ancak, geri alma işlemi ileriye yönelik sonuç doğuracağından, açık rızaya dayalı olarak gerçekleştirilen tüm faaliyetlerin geri alma beyanının veri sorumlusuna ulaştığı andan itibaren veri sorumlusu tarafından durdurulması gerektiği, başka bir diğer deyişle, geri alma beyanının veri sorumlusuna ulaştığı andan itibaren hüküm doğurduğu,
  • 6698 sayılı Kanunun “İlgili Kişinin Hakları” başlıklı 11 inci maddesinde herkesin, veri sorumlusuna başvurarak kendisiyle ilgili; kişisel verilerinin işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme, kişisel verilerinin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme, 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerinin silinmesini veya yok edilmesini isteme, kişisel verilerinin düzeltilmesi veya silinmesi/yok edilmesi ile ilgili yapılan işlemlerin kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme ve kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarına sahip olduğunun düzenlendiği,
  • Veri sorumlusunun internet sitesinde yapılan incelemede şikayete konu fotoğrafların yer aldığı iddia edilen okul broşürünün halihazırda internet sitesinde erişime açık şekilde “pdf” formatında yer aldığı, şikayet konusu fotoğrafların da anılan broşürün 6 ncı ve 9 uncu sayfalarında yer aldığının görüldüğü,
  • Şikayetçi veli tarafından, ilgili kişinin fotoğraflarının veri sorumlusu tarafından açık rızası olmaksızın hukuka aykırı olarak işlendiği iddiası ile ilgili olarak veri sorumlusunun Kurumu muhatap cevap yazıları ve ekleri incelendiğinde; veri sorumlusu tarafından öğrencilerin kişisel verisi olan fotoğraflarının paylaşılmak suretiyle işlenmesine ilişkin “sosyal medya paylaşımı” konulu bir bilgilendirme metninin düzenlendiği, anılan metinde “Okulumuzda yapılacak etkinliklerde öğrencilerimizin fotoğraf ve videoları çekilmektedir. Öğrencilerimizin fotoğraf ve videolarının resmi web sitesinde sosyal medya hesaplarında, okul dergimiz ve okul panolarımızda paylaşılması ile ilgili aşağıdaki izin yazısını doldurarak sınıf/mentor öğretmeninize göndermenizi rica ederim” şeklinde bilgilendirmeye yer verildiği; söz konusu paylaşıma izin verilmesine ilişkin olarak öğrenci velilerinden izin alınmasına yönelik bu metnin alt kısmında ayrı bir bölümün düzenlendiği, bu bölümde ise söz konusu sosyal medya paylaşım yazısının okunduğu ve okul bünyesinde yapılacak etkinliklerde çekilen fotoğraf ve videoların kullanılmasına izin verildiği ya da verilmediğine ilişkin iki seçeneğin sunulduğu; somut olayda ise şikayetçi veli tarafından ilgili kişinin fotoğraflarının belirtilen amaçlar kapsamında kullanılmak suretiyle işlenmesine izin verildiğine ilişkin seçeneğin seçildiği ve belgenin ıslak imza ile imzalanarak açık rıza verildiğinin görüldüğü,
  • Şikayet dilekçesi ve eklerinden ilgili kişi vekilinin veri sorumlusundan, şikayete konu kişisel verilerinin silinmesini talep ettiği ancak veri sorumlusu tarafından Bahse konu fotoğrafın aktif olarak kullanımda olmadığı ve yeni bir paylaşım durumunun da söz konusu olmadığı hususlarına yer verilmiş olmasına rağmen şikayete konu fotoğrafların muhafaza edilme süresi ile silinmesi veya yok edilmesine ilişkin herhangi bir bilgiye yer verilmediği, bu kapsamda ilgili kişinin okul ile öğrencilik ilişkisinin 2018-2019 yıllarında mevcut olduğu ve güncel durumda ise okul ile arasında öğrencilik ilişkisinin kalmadığı anlaşıldığından Kanunun 15 inci maddesinin (5) numaralı fıkrası uyarınca, şikayet konusu fotoğraftaki ilgili kişinin görüntüsünün ayrılabilir olup olmadığının veri sorumlusunca ele alınması gerektiği

değerlendirmelerinden hareketle;

  • Şikayet konusu fotoğrafların paylaşılmasına yönelik veri işleme faaliyetinin Kanunun 5 inci maddesinin (1) numaralı fıkrasında yer alan ilgili kişinin/velisinin açık rızası hukuki dayanağı çerçevesinde gerçekleştirildiği kanaatine varılmış olup ilgili kişinin fotoğraflarının haksız ve hukuka aykırı olarak ticari amaçla bastırılıp dağıtıldığı ve internet sitesinde paylaşıldığı iddiası hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına,
  • Veri sorumlusu tarafından ilgili kişinin talepleri hakkında yeterli açıklamaya yer verilmediği dikkate alındığında veri sorumlusu okulun 6698 sayılı Kanun ve “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ”in ilgili hükümlerine uyum konusunda gerekli dikkat ve özeni göstermesi gerektiği konusunda talimatlandırılmasına,
  • İlgili kişinin okul ile öğrencilik ilişkisinin 2018-2019 yıllarında mevcut olduğu ve güncel durumda ise okul ile arasında öğrencilik ilişkisinin kalmadığı anlaşıldığından Kanunun 15 inci maddesinin (5) numaralı fıkrası uyarınca, şikayet konusu fotoğraftaki ilgili kişinin görüntüsünün ayrılabilir olup olmadığının veri sorumlusunca değerlendirilerek buzlanması ya da imha edilmesi ve sonucundan Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına,
  • Veri sorumlusuna tebliğ edilmesinden sonra geçerli olmak üzere, veri sorumlusu tarafından okul bünyesinde çekilen fotoğraf ve videoların çeşitli mecralarda paylaşılmasına ilişkin daha önce hazırlanmış olan aydınlatma ve açık rıza metinlerinin Kanunun 3 üncü maddesinde yer alan unsurlar ve Aydınlatma Tebliğinde yer verilen hükümler dikkate alınmak ve bu yönde alınacak açık rızanın okulu tanıtıcı basılı yayınlarda/broşürlerde, web sitesinde veya sosyal medya hesaplarında paylaşılmasına yönelik her bir işleme faaliyeti özelinde ilgili kişilere ayrı ayrı seçenek sunulmak suretiyle revize edilmesi gerektiği yönünde veri sorumlusunun bilgilendirilmesine

karar verilmiştir.

11.03.2021: “Hukuk Bürosu tarafından ilgili kişinin kişisel verilerinin muhatabı ve tarafı olmadığı icra takibi ile ilgili işlemlerde hukuka aykırı olarak işlenmesi ve icra dosyasına ilişkin ilgili kişinin telefon numaralarına mesajlar gönderilmesi”
Karar Tarihi : 11/03/2021
Karar No : 2021/228
Konu Özeti : Hukuk Bürosu tarafından kişisel verilerinin muhatabı ve tarafı olmadığı icra takibi ile ilgili işlemlerde hukuka aykırı olarak işlenmesi ve icra dosyasına ilişkin ilgili kişinin telefon numaralarına mesajlar gönderilmesi

 

Kuruma intikal eden şikayette özetle ilgili kişinin şahsına ait telefon numaralarına çeşitli tarihlerde, muhatabı ve tarafı olmadığı icra dosyası ile ilgili (alacaklı telekomünikasyon şirketi adına hareket eden) hukuk bürosu tarafından mesajlar gönderildiği, söz konusu mesajlarla ilgili herhangi bir muhataplık sıfatının, mesajda bahsi geçen icra dosyasında ise alacaklı ya da borçluluk sıfatının bulunmadığı, bunun üzerine gerek alacaklı telekomünikasyon şirketi gerek avukat-hukuk bürosuna yaptığı başvuruya yasal süre içerisinde yanıt alamaması nedeniyle Kişisel Verileri Koruma Kuruluna şikâyette bulunulduğu belirtilmiştir.

Bu kapsamda başlatılan inceleme çerçevesinde söz konusu iddialara ilişkin veri sorumlusunun tespit edilebilmesini teminen alacaklı telekomünikasyon şirketi ve hukuk bürosundan savunması istenilmiştir. 

Şikayet edilen telekomünikasyon şirketinden alınan cevabi yazıda özetle; 

  • İlgili kişinin telefon numaralarına mesajları ileten avukat ile telekomünikasyon şirketi arasında Avukatlık Sözleşmesi akdedildiği, bahsi geçen Avukatlık Sözleşmesi uyarınca avukatın, bu sözleşme ve yasal takip prosedürleri kapsamında şirkete dair her türlü icra, dava, tahsilat ve takip işlemlerini yürüttüğü ve buna istinaden taraflarca sözleşmede belirlenen ücrete hak kazandığı ve avukat ile paylaşılan tek bilginin borçlu tüzel kişi bilgisi ile borç bilgisi olduğu,
  • Avukatın, hukuk bürosunda kendine özgü veri kayıt ortamında kendi belirlediği yöntemlerle ve vasıtalarla veri işleme faaliyetini gerçekleştirdiği, dolayısıyla şirket ile avukat arasında akdedilen vekâlet sözleşmesi uyarınca faaliyetlerini yürüten avukatın ayrı bir veri sorumlusu sıfatını haiz olup 6698 sayılı Kanun ve ikincil düzenlemeleri kapsamında gerçekleştireceği veri işleme faaliyetleri kapsamında şirketleri ile aynı yükümlülüklere sahip olduğu,
  • İlgili kişinin başvurusuna cevap verilmemesine ilişkin şirketin web sitesinde yer alan ve Kanunun 10 uncu maddesi kapsamında oluşturulmuş aydınlatma metninde ilgili kişilerin Kanunun “ilgili kişinin hakları” başlıklı 11 inci maddesi kapsamında başvurularını iletebilecekleri adreslere yer verildiği, ilgili kişinin söz konusu aydınlatma metninde belirtilen adreslerine/ilgili kanallarına herhangi bir başvurusunun bulunmadığının tespit edildiği, bu sebeple bahse konu taleplerinin değerlendirilemediği 

ifade edilmiştir.

Şikâyet ile ilgili olarak Kurumca istenilen savunmasına istinaden alacaklı telekomünikasyon şirketi adına hareket ettiği belirtilen avukat tarafından Kuruma intikal ettirilen cevap yazısında ise özetle;

  • İlgili kişi tarafından usulüne uygun olarak yapılan ve taraflarına tebliğ edilmiş bir başvurunun bulunmadığı, Tebligat Kanununun 32 nci maddesinde yer aldığı üzere tebliğ usule aykırı olmuş olsa dahi muhatabın tebliği öğrenmesi halinde tebliğin geçerli olacağı ancak taraflarına usulüne uygun bir tebligat yapılmadığından Kuruma şikayette bulunulmayacağı ve şikayetin incelenmesinin hukuken mümkün olmadığı,
  • Borcun alacaklısı şirket ile aralarında vekâlet ilişkisi bulunduğu, bu itibarla alacaklı şirketin avukatlığı görevinin taraflarınca yürütüldüğü, aralarındaki vekâlet ilişkisi sebebiyle alacakların tahsil edilebilmesi için taraflarınca icra takipleri başlatıldığı ve avukat-müvekkil ilişkisi çerçevesinde tüm hukuki işlemlerin yürütüldüğü,  avukatlık mesleği gereğince Avukatlık Kanunu ve ilgili diğer tüm mevzuat çerçevesinde avukatların vekil olarak müvekkillerinin her türlü hak ve menfaatlerini gözetmek durumunda olduğu,
  • Şikayete konu icra dosyası ve borcun tahsili açısından dosya borçlusu şirket hakkında yapılan araştırma neticesinde Ticaret Sicil Gazetesi üzerinden borçlu şirketin ortağı olarak ilgili kişinin ismine ulaşıldığı, Bilgi Teknolojileri Kurumu tarafından yetkilendirilmiş rehberlik hizmeti sağlayan bir kuruluşun sunduğu hizmetten yararlanarak ilgili kişinin telefon numaralarına ulaşıldığı ve borçlu şirket yetkililerine borcun bildirildiği, kişilerin telefon numaralarına ulaşılmasının ardından şirket borcundan dolayı ortakların sorumlu olduğu iddiasında hiçbir zaman bulunulmadığı yalnızca şirket borcundan dolayı şirket yetkililerine borç bildirildiği, söz konusu telefon numaralarının Avukatlık Kanununun 35/A maddesi gereğince uzlaşı sağlamak amacıyla arandığı ve mesaj gönderildiği, bununla birlikte, müvekkilin hukuki menfaatlerini korumak adına borçlunun iletişim bilgilerine ulaşma çabasının hak arama hürriyeti kapsamında değerlendirilmesi gerektiği 

hususları belirtilmiştir. 

Konuya ilişkin olarak yapılan değerlendirme neticesinde Kişisel Verileri Koruma Kurulunun 11/03/2021 tarih ve 2021/228 sayılı Kararı ile;

  • Kanunun “Tanımlar” başlıklı 3 üncü maddesinde “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi, “veri sorumlusu”nun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi, “kişisel verilerin işlenmesi”nin  ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı,
  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı, 
  • Kanunun 12 nci maddesinde “(1) Veri sorumlusu; a) kişisel verilerin hukuka aykırı işlenmesini önlemek, b) kişisel verilere hukuka aykırı erişilmesini önlemek, c) kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. (2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur. (3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır…” hükümlerine yer verildiği,
  • Somut olayda, Kuruma iletilen yasal takip otomasyon sistemlerine ilişkin ekran görüntülerinde yalnızca borçlu olan tüzel kişinin bilgisinin yer aldığı, herhangi bir iletişim bilgisinin yer almadığı görüldüğünden alacaklı telekomünikasyon şirketinin şikâyete konu olayda veri sorumlusu sıfatını haiz olmadığı, 
  • Bu doğrultuda veri sorumlusunun, vekil sıfatıyla taraflarına devredilen icra dosyası kapsamındaki veri işleme süreçlerinde serbestçe karar verme yetkisine sahip olan ve ilgili kişinin şikâyetine konu kişisel verilerinin işleme amaç ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan hukuk bürosu adına hareket eden ilgili avukat olduğu, 
  • Avukatların müvekkilleri adına, müvekkilin hak ve menfaatlerini korumak amacıyla hareket ettiği durumlarda Avukatlık Kanunundan kaynaklanan yükümlülükleri ve yürütmekte olduğu icra işlemleri bakımından İcra İflas Kanunu ve ikincil mevzuat düzenlemelerinden kaynaklanan hukuki yükümlülüklerini yerine getirmek amacıyla borçluya ait bilgileri, kanuna uygun olarak işleme ve ilgili birim/mercilere bildirme yetkisi olduğu ve bu bağlamda işlediği kişisel verileri Kanunun 5 inci maddesinin (2) numaralı fıkrası çerçevesinde ilgili kişinin açık rızası olmaksızın işlemesinin kanuna uygun olduğu,
  • İlgili kişinin borçlu Şirket ile olan ilişkisine ilişkin, veri sorumlusunun yazı ekinde ilettiği Ticaret Sicil Gazetesinden ilgili kişinin borçlu Şirketin ortağı olduğunun görüldüğü, ancak bu kapsamda yapılan incelemede, ilgili kişinin hissesini devrettiği ve Şirket ortaklığının son bulduğunun değerlendirildiği, borçlu Şirket ortaklığının son bulduğu bilgisinin Ticaret Sicil Gazetesinde ilan edildiği,
  • İncelemeye konu olayda, ilgili kişinin borçlu Şirket ortaklığının son bulduğu bilgisinin 31.03.2015 tarihinde Ticaret Sicil Gazetesinde ilan edildiği, ancak borçlu Şirketin icra takibine ilişkin mesajların ilgili kişiye 2019 tarihinde gönderildiği hususları göz önünde bulundurulduğunda bu süre zarfında veri sorumlusu tarafından Ticaret Sicil Gazetesi üzerinden yapılan araştırmada ilgili kişinin borçlu Şirket ortaklığının son bulduğu bilgisine de ulaşabileceği sonucuna varıldığı,
  • İlgili kişi tarafından gönderilen başvuru dilekçesi ve dilekçenin tebliğine ilişkin PTT Gönderi Takip belgesinin incelenmesi neticesinde, başvurusunun ve