Mevzuat ve Kurul Kararları

Türkiye ve Dünyada

Bilişim, Hukuk, Mevzuat, Kanun, Yönetmelik, Genelge, Tebliğ

MEVZUAT ve KVK KURUL KARARLARI

TÜRKİYE - KİŞİSEL VERİLERİN KORUNMASI MEVZUATI

Kişisel Veriler'e İlişkin tüm mevzuata (kanun, yönetmelik, kurul kararı, tebliğ) ve ilan edildiği Resmi Gazete bilgilerine erişmek için buraya tıklayınız

KİŞİSEL VERİLERİ KORUMA KURUMU tarafından yayımlanan
KURUL KARARLARI, KARAR ÖZETLERİ ve DUYURULAR

Resmi Gazete'de yayımlanan KVKK Kurul Kararlarının tamamına buradan erişilebilir. Ayrıca Kurul tarafından yayımlanan kararlara buradan, karar özetlerineburadanve duyurulara buradan erişebilirsiniz.


Duyurular:

09/02/2021: TAAHHÜTNAME BAŞVURUSU HAKKINDA DUYURU

Veri sorumlusu TEB Arval Araç Filo Kiralama Anonim Şirketi tarafından yurtdışına kişisel veri aktarımı yapılması hususundaki Taahhütname başvurusu Kişisel Verileri Koruma Kurulu tarafından 6698 sayılı Kişisel Verilerin Korunması Kanununun 9 uncu maddesinin 2 nci fıkrasının (b) bendi kapsamında değerlendirilmiş ve söz konusu veri aktarımına 09.02.2021 tarihinde Kurul tarafından izin verilmiştir.

12/01/2021: WHATSAPP UYGULAMASI HAKKINDA KAMUOYU DUYURUSU

Bilindiği üzere; 7 Nisan 2016 tarihli Resmi Gazete’de yayınlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 2 nci maddesinde “Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır” hükmü yer almaktadır.

Kişisel verilerin işlenebilmesi için ise, Kanunun 5 inci ve 6 ncı maddelerinde yer alan işleme şartlarından herhangi birinin mevcut olması gerekmektedir. Kanunun 5 inci maddesinin (2) numaralı fıkrasına göre; “kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması,” işleme şartlarından herhangi birinin varlığı halinde kişisel veriler işlenebilecektir. Bu şartların bulunmadığı durumlarda ise kişisel veriler ancak ilgili kişinin açık rızası alınmak suretiyle işlenebilecektir.

Kanunun 3 üncü maddesinde açık rıza; “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlanmış olup, buna göre açık rızanın üç unsuru bulunmaktadır:

  • Belirli bir konuya ilişkin olması,
  • Rızanın bilgilendirmeye dayanması,
  • Özgür iradeyle açıklanması.

Söz konusu unsurlar açısından değerlendirildiğinde açık rıza, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile hukuka uygun şekilde onay vermesi anlamını taşımaktadır. Açık rızanın bir diğer önemi de veri sorumlusuna, gerçekleştireceği kişisel veri işleme faaliyeti konusunda yol göstermesidir. Kişi açık rıza açıklaması ile aslında veri sorumlusuna kendi hukuksal değerine ilişkin verdiği kararı bildirmiş olmaktadır. Açık rıza, ilgili kişinin işlenmesine izin verdiği verinin sınırlarını, kapsamını, gerçekleştirilme biçimini ve süresini de belirlemesini sağlayabilmektedir. Bu anlamda açık rıza, rıza veren kişinin olumlu irade beyanını içermelidir.

Kişisel verilerin işlenmesine açık rıza vermek, kişiye sıkı sıkıya bağlı bir hak olduğundan verilen açık rıza geri alınabilir. Bu bağlamda kişisel verilerin geleceğini belirleme hakkı ilgili kişiye ait olup, kişi dilediği zaman veri sorumlusuna vermiş olduğu açık rızasını geri alabilir. Ancak, geri alma işlemi ileriye yönelik sonuç doğuracağından, açık rızaya dayalı olarak gerçekleştirilen tüm faaliyetler geri alma beyanının veri sorumlusuna ulaştığı andan itibaren veri sorumlusu tarafından durdurulmalıdır. Bir diğer deyişle, geri alma beyanı veri sorumlusuna ulaştığı andan itibaren hüküm doğurur.

Kişisel verilerin işlenmesinde hukuki sebep olarak “açık rıza”nın belirlenmesinin söz konusu olduğu ve verilen hizmetin açık rıza şartına bağlandığı hususlara ilişkin olarak 2 Ağustos 2018 tarihinde Kurum internet sayfasında, Kişisel Verileri Koruma Kurulunun (Kurul16.02.2018 tarihli ve 2018/19 sayılı Kararının özeti yayınlanmıştır. Söz konusu Kurul kararında da belirtildiği üzere, öncelikle kişisel verilerin işlenmesi sırasında ilgili kişilerden alınan açık rıza, veri sorumluları tarafından bir hizmetin ifası için ön şart olarak ileri sürülemeyecektir.

Kanunun 4 üncü maddesi uyarınca kişisel verilerin, hukuka ve dürüstlük kurallarına uygun, belirli, açık ve meşru amaçlarla ve işlenme amacı ile bağlı, sınırlı ve ölçülü olma ilkelerine uygun olarak işlenmesi, hangi kişisel verilerin işleneceği veya hangi amaçlarla kimlere aktarılacağı hususlarında gerekli bilgilendirmenin yapılmış olması ve her bir işleme/aktarma faaliyetine yönelik seçenek sunulmak suretiyle ayrı ayrı açık rıza alınması gerekmektedir.

Diğer taraftan, Kanunun “Kişisel verilerin yurt dışına aktarılması” başlıklı 9 uncu maddesinde; kişisel verilerin, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağı; ancak anılan hükmün ikinci fıkrası uyarınca Kanunun 5 inci maddesinin ikinci fıkrası ile özel nitelikli kişisel veriler bakımından 6 ncı maddesinin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması, yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul izninin bulunması kaydıyla kişisel verilerin ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabileceği düzenlenmiştir.

WhatsApp Inc. tarafından, WhatsApp uygulamasını kullanmak isteyen kullanıcıların kişisel verilerinin işlenmesine ve yurtdışında bulunan üçüncü taraflara aktarılmasına rıza verilmesini içerecek şekilde kullanım şartlarının güncellendiği, bu kapsamda rıza vermeyen kullanıcıların uygulamayı kullanamayacağına ve hesaplarının silineceğine dair kullanıcılara bilgilendirme iletildiği tespit edilmiştir.

Söz konusu bilgilendirme metninde yönlendirme yapılan Gizlilik Politikasında ise, hangi verilerin hangi amaçlarla işleneceği ifade edilmekle birlikte, işlenen kişisel verilerin WhatsApp Inc. tarafından yurtdışında yerleşik bulunan hizmet aldığı ve hizmet verdiği Facebook grup şirketleri, tedarikçileri, iş ortakları, hizmet sağlayıcıları ve diğer üçüncü taraf veri sorumluları gibi net olarak belirli olmayan taraflara teknik destek, teslimat ve diğer hizmetleri sağlamak, araştırma yapmak, pazarlama ve anket vb. gibi yine belirli olmayan amaçlarla aktarılacağının ifade edilmekte olduğu görülmektedir.

Kişisel verilerin, yurtdışında yerleşik bir veri sorumlusu olan WhatsApp Inc. tarafından işlenmesine ve yurtdışında yerleşik başka veri sorumlularına aktarılmasına ilişkin açık rıza alınması hususunda yapılan ön değerlendirme sonucunda;

  • Kullanıcılardan kişisel verilerinin işlenmesine ve yurtdışında yerleşik üçüncü taraflara aktarılmasına yönelik rıza alınması işleminin ayrıştırılmadığı ancak kullanıcıların kişisel verilerinin işlenmesine rıza verirken yurtdışında başka bir veri sorumlusuna aktarılmasına rıza vermeyebileceği dikkate alındığında söz konusu uygulamanın kullanım yaygınlığı da göz önünde bulundurularak bu durumun Kanunda belirlenen açık rızanın unsurlarından “özgür iradeyle açıklanması” açısından bir ihlal oluşturup oluşturmadığı,
  • Yurtdışında bulunan başka bir şirkete aktarım yapılmak şartıyla uygulamanın kullanılmasına izin verilmesinin Kanunun 4 üncü maddesinde sayılan ilkelerden “hukuka ve dürüstlük kurallarına uygun olma”, “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkeleri açısından bir ihlale sebebiyet verip vermediği,
  • Sunulan hizmetin açık rıza şartına bağlanmış olmasının verilen açık rızayı sakatlayabileceği bu durumun da kişisel verilerin hukuka aykırı işlenmesi sonucunu doğurabileceği dikkate alındığında Whatsapp Inc. tarafından yapılan güncelleme ile hizmetin rıza şartına bağlanması durumunun ortaya çıkıp çıkmadığı,
  • WhatsApp Inc. tarafından yurtdışında yerleşik veri sorumlularına yapılacak aktarım hususunda Kanunun 9 uncu maddesi hükümlerine aykırılık olup olmadığı

hususları açısından, Kişisel Verileri Koruma Kurulunun 12.01.2021 tarihli ve 2021/28 sayılı Kararı ile WhatsApp Inc. hakkında resen inceleme başlatılmasına karar verilmiştir.

Sürece ilişkin olarak 08.02.2021 tarihinde Kurul tarafından yeni bir değerlendirme yapılacaktır.

Kamuoyuna saygıyla duyurulur.

 

https://www.kvkk.gov.tr/Icerik/6856/WHATSAPP-UYGULAMASI-HAKKINDA-KAMUOYU-DUYURUSU

16/12/2020: “Alenileştirme” Hakkında Kamuoyu Duyurusu

Bilindiği üzere kişisel verilerin işlenme şartları 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 5 ve 6 ncı maddelerinde düzenlenmiş olup, Kanunun 5 inci maddesi kapsamında yer verilen işleme şartlarından biri de kişisel verinin, “ilgili kişinin kendisi tarafından alenileştirilmiş olması”dır.

Temel itibarıyla “alenileştirme” kavramı, ilgili kişinin kişisel verilerinin, kendisi tarafından kamuoyuna açıklanması olarak ifade edilmektedir. Bununla birlikte Kanun kapsamında “alenileştirme”, kişisel verinin herhangi bir şekilde kamuoyuna sunulmasından daha dar bir anlama sahip olup; ilgili kişinin alenileştirme iradesi ve alenileştirme amacı ile yakın ilişki içerisinde bulunmaktadır.

Bu çerçevede, kişisel verinin, aleni kabul edilebilmesi için öncelikle ait olduğu kişinin aleni olmasını istemesi, başka bir ifade ile bu yönde bir iradesinin var olması gerekir. Bu anlamda tek başına kişisel verinin kamuoyuna açık hale gelmesi, örneğin herkesin görebileceği bir yerde olması ya da herkesin erişimine açık durumda bulunması alenileştirilmiş olması bakımından yeterli olmamakta; eylemin, ilgili kişinin iradesi ile de desteklenmesi gerekmektedir. Kişinin iradesi dışında bir sebeple kişisel verinin kamuoyuna açıklandığı durumlarda Kanun kapsamında bir alenileştirmeden söz etmek mümkün olmayacaktır.

Öte yandan, kişisel verinin alenileştirilmiş olarak kabul edilebilmesi için ilgili kişinin ne amaç ile kişisel verilerini alenileştirdiğinin de tespit edilmesi gerekmektedir. Nitekim alenileştirme eylemi; ilgili kişilerin, kişisel verilerini kamuoyu ile paylaşması amacı ile sınırlıdır. Veri sorumlularının; ilgili kişinin alenileştirme amacından farklı ya da bu amacı aşan şekilde kişisel veri işleme faaliyetinde bulunmaları, başkaca bir işleme şartına dayanılmadığı sürece, Kanuna aykırılık oluşturacaktır. Diğer bir deyişle verinin ilgili kişi tarafından alenileştirilmiş olması, veri sorumluları tarafından her türlü amaçla gerçekleştirilecek işleme faaliyetini hukuka uygun hale getirmeyecektir. Örneğin bir internet sitesi aracılığıyla aracını satışa çıkaran bir kişinin bu sitede paylaşmış olduğu iletişim bilgileri sadece aracı satın almak veya bu ilanla ilgili bilgi almak amacı ile kullanılabilecek olup, bunun dışında bir amaçla kullanılması Kanuna aykırılık teşkil edecektir.

Yine benzer şekilde ilgili kişilerin sosyal medya hesapları gibi mecralar üzerinden elde edilen ad-soyad, telefon numarası, e-posta adresi vb. kişisel verilerinin veri sorumluları tarafından reklam amacıyla SMS/e-posta gönderilmesi suretiyle alenileştirme amacı dışında işlenmesi gibi faaliyetler Kanunun 5 inci maddesinin (2) numaralı fıkrasının (d) bendi kapsamında değerlendirilemeyecek olup, konuya ilişkin olarak daha önce alınan Kişisel Verileri Koruma Kurulunun 07.11.2019 tarih ve 2019/331 sayılı Kararına https://kvkk.gov.tr/Icerik/6623/2019-331 uzantısından erişilmesi mümkün bulunmaktadır.

Bu sebeple Kanunun 5 inci maddesinin (2) numaralı fıkrasının (d) bendi kapsamında gerçekleştirilecek kişisel veri işleme faaliyetlerinde ilgili kişilerin alenileştirme iradesinin varlığı ve alenileştirme amacının tespit edilmesi ve her durumda Kanunun 4 üncü maddesinde yer alan Genel İlkelere uyum hususuna özen gösterilmesi önem arz etmektedir.

Kamuoyuna saygıyla duyurulur.

 

https://www.kvkk.gov.tr/Icerik/6843/-ALENILESTIRME-HAKKINDA-KAMUOYU-DUYURUSU

26/10/2020: YURTDIŞINA VERİ AKTARIMI KAMUOYU DUYURUSU

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) 07.04.2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanmıştır. Kanunun 32 nci maddesi uyarınca Kanunun 8 inci, 9 uncu, 11 inci, 13 üncü, 14 üncü, 15 inci, 16 ncı, 17 nci ve 18 inci maddeleri yayımı tarihinden altı ay sonra, diğer maddeleri ise yayımı tarihinde yürürlüğe girmiştir. Bununla birlikte, Kanunun “Geçiş hükümleri” başlıklı Geçici 1 inci maddesinin üçüncü fıkrasında Kanunun yayımı tarihinden önce işlenmiş olan kişisel verilerin, yayımı tarihinden itibaren 2 yıl içerisinde Kanun hükümlerine uygun hale getirileceği düzenlenmiştir. Bu anlamda, kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenleyen Kanuna uyum için makul bir süre hem Kanunda yer alan düzenlemelerle hem de Kurumumuzun işbirliğine dayalı anlayışı ile kişisel veri işleme faaliyetinde bulunan ilgililere tanınmıştır.

Kurumumuz faaliyete geçtiği günden bu yana, kişisel verilerin korunmasına yönelik farkındalık yaratmak ve ilgililerin iş süreçlerini Kanuna uygun olarak yeniden tasarlayabilmeleri adına Ülkemizin her bölgesine yayılan organizasyonlar gerçekleştirmekte, ilgili meslek örgütleri ve sivil toplum kuruluşları ile sürekli olarak bilgi alışverişinde bulunmakta, veri sorumluları ile veri işleyenleri yönlendirmekte ve ilgili paydaşlardan gelen talepleri uygun düştüğü ölçüde karşılamaktadır. Bu kapsamda, eğitim programları düzenlenmekte ve Kanuna etkili bir uyumun sağlanabilmesi için işleme faaliyetinde bulunan aktörlere kolaylık sağlanmaya çalışılmaktadır. Ayrıca yine önemle ifade etmek gerekir ki, başta Türkiye Odalar ve Borsalar Birliği ve muhtelif sektör temsilcileri olmak üzere çeşitli paydaşların talebi doğrultusunda Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğünün yerine getirilmesi için tanınan süre kapsamlı uyum sürecinin gerektirdiği özen, Sicile kayıt uygulamasıyla kişisel verileri işlenen ilgili kişiler bakımından sağlanması amaçlanan şeffaflığın tam anlamıyla gerçekleşmesi gereği ve COVID-19 salgınının etkileri dikkate alınarak üç kere uzatılmıştır. Yine, COVID-19 salgını sürecinde uzaktan ve/veya dönüşümlü çalışma uygulamalarının neden olabileceği zorluklar; her bir başvuru ya da veri ihlal bildirimi özelinde, veri sorumlularının uymakla yükümlü oldukları sürelerin değerlendirilmesi açısından Kişisel Verileri Koruma Kurulu (Kurul) tarafından göz önünde bulundurulmuştur.

Kurumumuz, Anayasada öngörülen özel hayatın gizliliği ile temel hak ve özgürlüklerin korunması kapsamında, Ülkemizde kişisel verilerin korunmasını sağlamanın ve buna yönelik farkındalık oluşturarak bilinç düzeyini geliştirmenin yanında, veri temelli ekonomide özel ve kamusal aktörlerin uluslararası rekabet kapasitelerini artırıcı bir ortam oluşturmayı da misyon olarak benimsemektedir. Kişisel verilerin hukuka uygun, bireylerin kontrolünden ödün vermeden ve şeffaf bir biçimde işlenmesi sonucu elde edilecek katma değer büyük bir önem arz etmektedir. Nitekim Kurumumuz da bu farkındalığa sahip olarak kişisel verilerin korunması ve dijital dönüşümün çok yoğun bir şekilde yaşandığı günümüzün gereklerine uygun olarak kişisel verilerin önemli bir parçasını teşkil ettiği verimi yüksek ve avantajlı iş süreçlerinin sürdürülebilmesi arasında bir denge gözetmektedir. Ancak takdir edilecektir ki, Kurumumuz Kanunda öngörülen görev ve yetkileri çerçevesinde faaliyetlerini sürdürmektedir. Bu anlamda, kişisel verilerin Kanunda yer verilen usul ve esaslara uygun olarak işlenmesinin sağlanması ve zorunlu izin ve/veya yetkilendirme süreçlerinin işletilmesi Kurumumuzun asli yükümlülüğüdür. Ancak bu noktada belirtilmesinde fayda görülmektedir ki, ilgili mevzuat hükümleri çerçevesinde Kurumumuz çağdaş hukuk düzenlerinde yürürlükte bulunan kişisel verilerin korunması ile ilgili düzenlemeler ve bunlara ilişkin uygulama ile aynı doğrultuda etkinlik göstermektedir.

Öte yandan, çeşitli özel sektör temsilcileri ve akademik kuruluşlardan Kanun ve ilgili ikincil mevzuatın uygulanmasına ve Kurumumuzun yürüttüğü faaliyetlere ilişkin birtakım eleştirilerde bulunulduğu görülmektedir. Söz konusu eleştiriler, çoğulcu bir yaklaşımla kişisel verilerin korunması alanında daha uygulanabilir modellerin oluşturulması imkânını tanıması bakımından Kurumumuz tarafından olumlu karşılanmakla birlikte, ilgililer nezdinde oluşabilecek yanlış anlaşılmaların giderilmesi gerektiği değerlendirilmektedir. Bu Kamuoyu Duyurusu da kişisel verilerin yurt dışına aktarılması özelinde Kurumumuzun çalışmalarını ve bakış açısını ortaya koyarak bu yanlış anlaşılmaların önüne geçilmesi amacıyla yayınlanmaktadır.

a) Kişisel Verilerin Yurt Dışına Aktarımına İlişkin Kanunda Öngörülen Düzenleme

Kişisel verilerin yurt dışına aktarımına ilişkin usul ve esaslar, Kanunun 9 uncu maddesinde düzenlenmekte olup; söz konusu maddede, kişisel verilerin ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağı; ancak Kanunun 5 inci maddesinin ikinci fıkrası ile özel nitelikli kişisel veriler bakımından 6 ncı maddesinin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması halinde; yeterli korumanın bulunmaması durumunda ise Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabileceği hükme bağlanmıştır.

Kişisel verilerin yurt dışına aktarılması, Kanunun 3 üncü maddesinde yer verilen “kişisel verilerin işlenmesi” tanımında da açıkça belirtildiği üzere bir işleme faaliyetidir. Yani, kişisel verilerin yurt dışına aktarılmasının değiştirme, yeniden düzenleme, kaydetme, depolama ve muhafaza etme gibi diğer kişisel veri işleme faaliyetlerinden bir farkı bulunmamaktadır. Nitekim özel olarak Kanunun 9 uncu maddesinde düzenlenmiş olsa da ilgili hükümde Kanunun 5 inci ve 6 ncı maddelerinde düzenlenmiş kişisel verilerin işlenme şartlarına atıf yapılmaktadır.

Diğer taraftan belirtmek gerekir ki, kişisel verilerin yurt dışına aktarımının ayrı bir hükümde düzenlenmiş olmasının ve kişisel veri işleme şartlarından birinin varlığına ek olarak diğer bazı şartların aranmasının sebebi ilgili kişinin kişisel verilerinin aktarıldığı ülkede de etkin olarak korunabilmesinin sağlanmasıdır. Bu düzenlemeyle yurt dışına aktarılmış kişisel verilerle ilgili olarak, ilgili kişinin sahip olduğu hakları etkin bir şekilde ve Kanunun uygulamasına mümkün olabilecek en yakın seviyede kullanabilmesi ile aktarım yapılacak tarafın başta veri güvenliği olmak üzere ilgili kişiyi korumaya yönelik güvencelerin sağlanması hususunda yükümlü kılınması amaçlanmaktadır. Bu bağlamda, kişisel verilerin yurt dışına aktarımına ilişkin düzenlemeler ve bu düzenlemeler çerçevesinde Kurumumuz tarafından benimsenen yaklaşım ve yürütülen faaliyetler küreselleşme ve teknolojik gelişmeler sonucu her an daha da artan bir miktarda gerçekleşen sınır ötesi aktarımları engellemeyi değil; temel hak ve özgürlüklerin korunması temelinde öngörülebilir ve şeffaf bir aktarım rejimini oluşturmayı hedeflemektedir.

b) Yeterli Koruma Bulunan Ülkelerin (Güvenli Ülkelerin) Belirlenmesi

b-1) İlgili Ülkede Yeterli Koruma Bulunup Bulunmadığına İlişkin Değerlendirme

Kanunun 9 uncu maddesinin üçüncü fıkrasında yeterli korumanın bulunduğu ülkelerin Kurul tarafından belirlenerek ilan edileceği düzenleme altına alınmıştır. Bununla birlikte, anılan maddenin dördüncü fıkrasında, Kurulun yabancı ülkede yeterli koruma bulunup bulunmadığına; Türkiye’nin taraf olduğu uluslararası sözleşmeleri, kişisel verilerin aktarılacağı ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu, kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını değerlendirmek suretiyle karar vereceği hükme bağlanmıştır. Nitekim Kurulun 02.05.2019 tarihli ve 2019/125 sayılı kararı ile de, yeterli korumanın bulunduğu ülkelerin tayininde kullanılmak üzere oluşturulan form Kurumumuz resmi internet sitesinde yayımlanmış olup, söz konusu forma göre yeterli korumanın bulunduğu ülkelerin belirlemesinde, karşılıklılık durumu, ilgili ülkenin kişisel verilerin işlenmesine ilişkin mevzuatı ve uygulaması, bağımsız veri koruma otoritesinin bulunup bulunmadığı, kişisel verilerin korunması ile ilgili uluslararası antlaşmalara taraf olma ile uluslararası kuruluşlara üye olma durumu, Ülkemizin üye olduğu küresel ve bölgesel örgütlere üye olma durumu ve ilgili ülke ile yürütülen ticaret hacmi gibi kriterlerin dikkate alınacağı belirtilmiştir.

Kurul tarafından yeterli koruma bulunup bulunmadığına ilişkin yapılacak değerlendirme; çeşitli ve birbirinden oldukça farklı ulusal hukuk düzenlerinin varlığı, değerlendirmeye konu ülkede genel nitelikte bir veri koruma düzenlemesinin bulunmaması veya yalnızca belirli alanları kapsayan düzenlemelerin bulunması ve federal devletlerde eyaletler arasındaki farklılıklar göz önünde bulundurulduğunda titizlikle yürütülmesi gereken yoğun ve uzun bir süreç sonrasında sonuçlandırılabilecektir (Madde 29 Çalışma Grubu, Working Document Transfers of personal data to third countries : Applying Articles 25 and 26 of the EU data protection directive, s. 26, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/1998/wp12_en.pdf ). Öte yandan, “yaşayan” birer doküman olarak nitelendirilebilecek yeterlilik kararları, periyodik gözden geçirmelere tabi tutulacak ve değişen koşullara göre söz konusu yeterlilik kararları değiştirilebilecek, askıya alınabilecek veya kaldırılabilecektir. Dolayısıyla, güvenli ülke statüsü tayini, ilgili ülke ile yakın işbirliği ve diyalog mekanizmalarının kurulmasını içeren, kapsamlı ve çok boyutlu değerlendirmelerin yapılması ile sağlanan koruma düzeyinin sürekliliğinin takip edilmesini gerektiren dinamik bir süreci ifade etmektedir (Avrupa Komisyonu, COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL Exchanging and Protecting Personal Data in a Globalised World, s. 8-9, https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52017DC0007&from=EN).

b-2) Güvenli Ülke Statüsünün Karşılıklı Olarak Tanınmasının Önemi

Kanunun 9 uncu maddesinin dördüncü fıkrasının (b) bendi uyarınca Kurul, yabancı ülkede yeterli koruma bulunup bulunmadığına ilişkin yapacağı değerlendirmede ilgili ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu dikkate alacaktır. Bu noktada belirtmek gerekir ki, Dışişleri Bakanlığı ile güvenli ülke statüsü tayinine ilişkin yapılan bütün yazışmalarda mütekabiliyet hususu ön plana çıkmakta ve yürütülecek müzakerelerin her hal ve şartta karşılıklı yeterlilik kararı verilmesi üzerine olması gerektiği vurgulanmaktadır.

Öte yandan, kişisel verilerin korunması bakımından güvenli ülke statüsünün değerlendirmeye konu ülke ile karşılıklı olarak tanınması Ülkemizde faaliyet gösteren veri sorumlusu ve veri işleyenlerin kişisel verilerin güvenli, maliyetsiz ve hızlı bir biçimde aktarım olanağından aynı şekilde yararlanabilmeleri, ekonomik kazanç sağlayabilmeleri ve bu anlamda tek taraflı bir tanımanın yaratacağı asimetri nedeniyle dezavantajlı konumda bulunmamaları için de büyük bir önem arz etmektedir.

b-3) Kurumumuz Tarafından Yürütülen Güvenli Ülke Statüsü Tayini Çalışmaları

Hâlihazırda güvenli ülke statüsü tayini için diğer devletlerden Kurumumuza iletilmiş herhangi bir talep bulunmamakla birlikte, mevcut ve potansiyel ticari ilişkiler, coğrafi ve/veya kültürel bağlar ve siyasi/diplomatik ilişkiler dikkate alınarak çeşitli ülkelerle görüşmeler gerçekleştirilmekte ve bu kapsamda çalışmalar yoğun bir şekilde sürdürülmektedir. Diğer taraftan, diğer kamu kurum ve kuruluşları, sivil toplum kuruluşları, meslek örgütleri ve diğer paydaşlar tarafından hakkında yeterlilik kararı verilmesinin yararlı olacağı değerlendirilen ülkelere ilişkin önerilerde bulunulması halinde Kurumumuz çalışmalarını uygun düştüğü ölçüde yönlendirmektedir. Ayrıca belirtmek gerekir ki, güvenli ülke statüsü tayinine ilişkin çalışmalar Adalet Bakanlığı, Dışişleri Bakanlığı ve Ticaret Bakanlığı ile yakın iş birliği içerisinde yürütülmektedir. Bu çerçevede; Kurumumuz tarafından güvenli ülke statüsü tayini ile ilgili olarak muhtelif ülkelerle görüşmelerimiz devam etmekte olup, Avrupa Birliği (AB) ile hem resmi hem de gayri resmi nitelikte yapılan görüşmeler kapsamında gerek karşılıklı yeterlilik kararı verilmesi gerek Ülkemizde yürürlükte olan kişisel verilerin korunması mevzuatının AB müktesebatına uygun olarak güncellenmesi konularında istişarelerde bulunulmaktadır. Bununla birlikte, Kurumumuz üye devletler adına yeterlilik kararı vermeye yetkili Avrupa Komisyonunun ve Avrupa Komisyonuna yeterli koruma değerlendirmesi hususunda görüş veren Avrupa Veri Koruma Kurulunun konuya ilişkin çalışmalarını ve dokümanlarını yakından takip etmekte ve bu süreçte tesis edilen yeterlilik kararlarını inceleyerek potansiyel müzakereler için hazırlıklarını tamamlamaktadır. Bu kapsamda, Kurumumuz; ilgili diğer kamu kurum ve kuruluşları ile koordinasyon içerisinde Avrupa Komisyonu ile karşılıklı güvenli ülke görüşmelerinin yürütülebilmesi için gerekli her türlü tedbiri almış durumdadır.

b-4) Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi (108 sayılı Sözleşme)

b-4-1) 108 sayılı Sözleşmenin 12 nci maddesinin Ülkemizdeki uygulamasına ilişkin olarak:

Bilindiği üzere, 108 sayılı Sözleşmenin “Kişisel verilerin sınır ötesi akışı ve iç hukuk” başlıklı 12 nci maddesi,

1) Otomatik işleme konu olan veya otomatik işleme konu olmak üzere toplanmış kişisel verilerin her türlü yoldan ulusal sınırların ötesine transferinde aşağıdaki hükümler uygulanır.

2) Bir Taraf, münhasıran özel yaşamın korunması amacıyla kişisel verilerin diğer bir Tarafa sınır ötesi akışını yasaklayamaz veya özel müsaadeye tabi tutamaz.

3) Bununla birlikte her bir Taraf, 2 nci fıkradaki hükümlere aşağıdaki durumlarda istisna getirebilir:

a) Kendi mevzuatının, belli kişisel veri veya otomatik kişisel veri dosyası kategorileri için, bu verilerin veya dosyaların doğasından kaynaklanan özel düzenlemeler içermesi, diğer Tarafın düzenlemelerinin ise eşdeğer bir koruma içermemesi durumunda;

b) Bu transferin bir Tarafın ülkesinden, bir diğer taraf üzerinden Taraf olmayan bir devletin ülkesine yapılması durumunda, bu bendin başında atıfta bulunulan Tarafın mevzuatının boşluklarından yararlanmak üzere yapılacak bu tür transferleri engellemek amacıyla.

hükmünü amir bulunmakta olup, düzenlemede Sözleşmeye taraf devletlerin yalnızca özel hayatın korunması gerekçesiyle diğer taraf devletlere gerçekleşecek kişisel veri aktarımlarını yasaklayamayacakları veya özel bir izin mekanizması öngörmek suretiyle kısıtlayamayacakları öngörülmüştür. 108 sayılı Sözleşmeye ilişkin Açıklayıcı Raporda da (Rapor) hükmün ikinci fıkrasında yer alan düzenlemenin amacının, Sözleşmeye taraf ülkelerin kişisel verilerin korunması bakımından yeterli düzeyde güvenceleri sağladığı yönündeki ön kabulden hareketle taraf ülkeler arasında veri akışının kolaylaştırılması olduğu belirtilmiştir. Bununla birlikte, hükmün taraf devletler arasındaki veri akışının bildirime tabi kılınmasına veya tarafların iç hukuklarında belirli durumlarda yurt içinde veya sınıraşan nitelikte aktarımları yasaklamaya yönelik düzenlemeler yapabilme imkânını ortadan kaldırmadığı açıklaması da yapılmıştır (Avrupa Konseyi, Explanatory Report to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, Paragraf 67. https://rm.coe.int/CoERMPublicCommonSearchServices/DisplayDCTMContent?documentId=09000016800ca434).

Öte yandan, Kanunun 9 uncu maddesinin dördüncü fıkrasının (a) bendinde Kurulun veri aktarımına izin verip vermeyeceğine ilişkin yapacağı değerlendirmede Ülkemizin taraf olduğu uluslararası sözleşmelerin dikkate alınacağı hükme bağlanmıştır. Bu anlamda, kişisel verilerin aktarılacağı ülkenin 108 sayılı Sözleşmeye taraf olmasının Kurulun değerlendirmesine esas teşkil edecek unsurlardan biri olduğu anlaşılmaktadır. Nitekim 108 sayılı Sözleşmeye taraf olma durumu, yeterli korumanın bulunduğu ülkelerin Kurulca belirlenmesinde kullanılmak üzere Kurulun 02/05/2019 tarihli ve 2019/125 Kararında kabul edilen kriterler arasında da yer almaktadır. Bununla birlikte, maddede aktarıma konu kişisel verilerin niteliği ile işlenme amaç ve süresi, aktarımın yapılacağı ülkedeki veri koruma mevzuatı ve uygulaması ve bu ülkedeki veri sorumlusu veya veri işleyenin taahhüt edeceği önlemler gibi özellikle kişisel verilerin etkin bir biçimde korunmasını sağlamaya yönelmiş hususlar ile Ülkemiz ile aktarımın yapılacağı ülke arasında veri aktarımına ilişkin karşılıklılık durumunun da Kurulun değerlendirmesinde göz önünde bulunduracağı düzenlenmiştir.

Bu çerçevede, yukarıda belirtildiği üzere, sözleşmeye taraf devletlerin iç hukuklarında belirli durumlarda yurt dışına veri aktarımını yasaklamaya yönelik düzenleme yapabileceğine ilişkin Raporda yer alan açıklama ve Kurulun yabancı ülkede yeterli koruma bulunup bulunmadığına ilişkin yapacağı değerlendirmede hem 108 sayılı Sözleşme gibi Ülkemizin taraf olduğu uluslararası sözleşmeleri hem de kişisel verilerin korunması veya özel hayatın gizliliğini koruma amacını taşımadan aktarımın yapılacağı ülke ile karşılıklılık halini değerlendireceğine ilişkin Kanunun 9 uncu maddesinde yer verilen düzenleme dikkate alındığında Kanunda öngörülen kişisel veri aktarım rejiminin 108 sayılı Sözleşme ile uyumlu olduğu açıktır.

b-4-2) 108 sayılı Sözleşmenin 12 nci maddesinin AB’deki uygulamasına ilişkin olarak:

AB hem mülga 95/46/AT sayılı Direktif hem de Gerçek Kişilerin Kişisel Verilerin İşlenmesi Bakımından Korunması ve Bu Verilerin Serbest Dolaşımı Hakkında ve 95/46/AT sayılı Direktifi Yürürlükten Kaldıran 27/04/2016 tarihli ve (AB) 2016/679 sayılı Avrupa Parlamentosu ve Konsey Tüzüğü (Genel Veri Koruma Tüzüğü-GVKT) hükümleri uyarınca 108 sayılı Sözleşmeye taraf olan ülkeleri herhangi başka bir değerlendirmede bulunmadan yeterli korumaya sahip ülke olarak nitelendirmemekte ve Sözleşmeye taraf olmayı yalnızca yeterlilik değerlendirmesinde dikkate alacağı bir kriter olarak kabul etmektedir. Nitekim 108 sayılı Sözleşmeye taraf olsa dahi bir ülkenin ancak yeterli koruma sağlayıp sağlamadığına ilişkin hakkında yapılacak ayrı bir değerlendirme sonrasında güvenli ülke olarak ilan edildiği görülmektedir(Örnek: İsviçre). Öte yandan AB, 108 sayılı Sözleşmeye ek Denetleyici Makamlar ve Sınıraşan Veri Akışına İlişkin Protokolün yürürlüğe girmesinden sonra da Sözleşmeye ve Protokole taraf ülkeler için aynı süreci işletmiştir (Örnek: Andorra).

Kurulun “Kişisel verilerin 108 sayılı Sözleşme dayanak gösterilerek yurt dışına aktarılması” hakkında 22.07.2020 tarihli ve 2020/559 sayılı Kararında yukarıdaki değerlendirmeler çerçevesinde 108 sayılı Sözleşmenin 12 nci maddesi hükmünü gerekçe göstererek Kanunun 9 uncu maddesinin ikinci fıkrası uyarınca aktarım tarafları arasında düzenlenmiş yazılı bir taahhütnamenin ve Kurulun izninin bulunmaması nedeniyle yurt dışına kişisel veri aktarımı gerçekleştiren bir veri sorumlusu hakkında idari para cezasına hükmedilmiştir. Ancak belirtilmesinde fayda görülmektedir ki, söz konusu karar birtakım eleştirilerde ifade edildiği gibi yurt dışına veri aktarımını imkânsız hale getirmemektedir. Kararla, Ülkemizin taraf olduğu 108 sayılı Sözleşme ve Sözleşmeye Ek Protokolün uygulamasına Kurumumuzun yaklaşımı açıklanmakta ve 108 sayılı Sözleşmeye taraf olma durumunun Kurumumuz tarafından güvenli ülke statüsü tayini için yeterli olmadığı vurgulanarak veri sorumlularının Kanunun 9 uncu maddesi uyarınca yazılı bir korumayı taahhütte bulunarak kişisel veri aktarımlarını gerçekleştirmeleri gerektiği belirtilmektedir.

c) Yeterli Koruma Bulunmayan Ülkelere Kişisel Veri Aktarımı

Kanunun 9 uncu maddesinin ikinci fıkrasının (b) bendi kapsamında yeterli korumanın bulunmadığı ülkelere aktarımın gerçekleştirilebilmesi için aktarım taraflarının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun aktarıma izin vermesi gerekmektedir. Kurul öncelikle, yurt dışına kişisel veri aktarımında veri sorumlusu tarafından hazırlanacak taahhütnamelerde yer alacak asgari unsurları belirlemiştir. Daha sonrasında ise çok uluslu şirket topluluklarını oluşturan şirketler arasında gerçekleştirilecek topluluk içi aktarımlarda Bağlayıcı Şirket Kuralları alternatif bir yeterli koruma sağlama yolu olarak belirlenmiştir.

c-1) Taahhütnameler

Kurumumuz tarafından hem veri sorumlusundan veri sorumlusuna hem de veri sorumlusundan veri işleyene gerçekleştirilecek yurt dışına kişisel veri aktarımlarında kullanılmak üzere iki tür taahhütname hazırlanmıştır. Ancak, Kurumumuza veri sorumluları tarafından yapılan başvurularda taahhütnamelerin ekinde yer alan söz konusu kişisel veri aktarımının dayandığı işleme şartına, amacına, aktarıma konu veri kategorilerine, veri konusu kişi grubuna veya gruplarına, aktarım yapılacak tarafın alacağı idari ve teknik tedbirlere ve saklama süresi gibi unsurlar ile ilgili açıklamaların aktarıma izin verilip verilmeyeceğine ilişkin değerlendirmeye esas teşkil edilebilecek detayda ve açıklıkta olmadığı görülmüştür. Ayrıca, yapılan başvuruların idari makamlara yapılacak başvurularda riayet edilmesi gereken usul ve esaslara uygun olmadan gerçekleştirildiği tespit edilmiştir. Bunun üzerine bahse konu taahhütnamelerin hazırlanmasında veri sorumluları tarafından dikkat edilmesi gereken gerek usule gerek esasa ilişkin hususlar ile ilgili detaylı bir kamuoyu duyurusu hazırlanarak Kurumumuzun resmi internet sitesinde yayımlanmıştır.

Diğer taraftan belirtmek gerekir ki, yurt dışına kişisel veri aktarımı gerçekleştirmek amacıyla yapılan başvurular, Kurumumuzun ilgili tüm birimleri tarafından hem hukuki hem teknik boyutlarıyla titizlikle incelenmekte ve mümkün olan en kısa süre içerisinde başvuruculara geri dönüş yapılarak eksikliklerin tamamlanması veya düzeltmelerin yapılması için ek süre tanınmaktadır. Bu anlamda, başvurucular desteklenmekte ve iş süreçlerinin aksamaması adına gerekli yönlendirmeler yapılmaktadır. Dolayısıyla, Kurumumuzun taahhütnamelerin onaylanması ve aktarıma izin verilmesi sürecinde zorlaştırıcı bir yaklaşım benimsediği eleştirisi gerçeği yansıtmamaktadır.

c-2) Bağlayıcı Şirket Kuralları

Kurumumuz tarafından veri sorumlularının organizasyonlarının ve iş süreçlerinin farklılık gösterdiği dikkate alınarak kişisel verilerin yurt dışına aktarılabilmesi için uygun güvencelerin oluşturulması gereğini karşılayacak alternatif bir yöntem olarak Bağlayıcı Şirket Kuralları oluşturulmuştur. Bu kapsamda, çok uluslu grup şirketleri arasında yapılacak aktarımlarda kullanılabilecek Bağlayıcı Şirket Kurallarına ilişkin başvuru formu ve Bağlayıcı Şirket Kurallarında bulunması gereken temel hususlara ilişkin yardımcı doküman yayımlanarak ilgililerin kullanımına sunulmuştur. Çok uluslu grup şirketlerinin, kendilerine özgü yapılarına, ihtiyaçlarına ve faaliyet gösterdikleri sektörün gereklerine uygun olarak hazırladıkları ve birbirleri arasında gerçekleştirilecek yurt dışına veri aktarımlarında uymayı taahhüt ettikleri kuralların Kurul tarafından uygun bulunması halinde Kanunun 9 uncu maddesinin ikinci fıkrasının (b) bendinde düzenlenmiş yeterli korumayı taahhüt etme yükümlülüklerini yerine getirmiş olacaklardır. Ayrıca belirtmek gerekir ki, söz konusu yöntem AB’de kişisel verilerin korunmasında temel düzenleme niteliği haiz Genel Veri Koruma Tüzüğünde de hakkında yeterlilik kararı verilmemiş ülkelere yapılacak aktarımlarda kullanılabilecek uygun güvenlik düzeyini sağlama yöntemlerinden biri olarak öngörülmektedir.

d) Kişisel Verilerin Yurt Dışına Aktarımına İlişkin Diğer Kanunlarda Öngörülen Düzenlemeler

Kanunun 4 üncü maddesinin birinci fıkrası “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünü amirdir. Bu anlamda, Kanun çerçeve düzenleme niteliğini haiz olarak yurt dışına aktarım dâhil olmak üzere kişisel verilerin işlenmesine ilişkin temel usul ve esasları belirlemekte; sektörlere ilişkin farklı düzenlemelerin bulunması halinde bu düzenlemeleri tamamlayıcı bir rol üstlenmektedir. Diğer bir deyişle, farklı alanlarda sürdürülen kişisel veri işleme faaliyetlerinin tabi olduğu kanuni düzenlemeler Kanun ile beraber uygulanmakta ve bu şekilde söz konusu faaliyetlerin kendine özgü yapısından kaynaklanan gereklilikler de yerine getirilmiş olmaktadır. Kurumumuz da bütüncül bir bakış açısıyla hem mevzuatı tümüyle göz önünde bulundurarak hem de söz konusu kişisel veri işleme faaliyeti özelinde dikkate alınması gereken diğer unsurları tespit ederek faaliyetlerini yürütmektedir.

Yine Kanunun 9 uncu maddesinin altıncı fıkrasında “Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” düzenlemesine yer verilmiştir. Anayasanın 90 ıncı maddesinin beşinci fıkrasında ise; “Usulüne göre yürürlüğe konulmuş milletlerarası antlaşmalar kanun hükmündedir. (…)” denilmek suretiyle milletlerarası antlaşmaların usulüne uygun olarak iç hukukumuza dâhil edilmesi halinde kanun hükmünde sayılacağı açıkça düzenlenmiştir. Bu çerçevede, kanunlarda ve usulüne göre yürürlüğe konulmuş milletlerarası antlaşmalarda kişisel verilerin yurt dışına aktarımına ilişkin bir düzenlemenin mevcut olması halinde, bu düzenlemeye göre hareket edilecektir. Nitekim Kurulun bankacılık sektörüne ilişkin olarak vermiş olduğu bir kararında 5411 sayılı Bankacılık Kanununun 73 üncü maddesinde öngörülen düzenleme çerçevesinde yapacağı aktarımların Kanunun diğer hükümleri ile bağlı kalınmak şartıyla Kanunun 9 uncu maddesinin altıncı fıkrası uyarınca gerçekleştirilebileceği ifade edilmiştir.

SONUÇ

Kişisel verilerin korunmasını isteme hakkı, Anayasanın “Temel Haklar ve Ödevler” başlıklı ikinci kısmının “Kişinin Hakları ve Ödevleri” başlıklı ikinci bölümünde yer alan 20 nci maddenin üçüncü fıkrasında,

IV. Özel hayatın gizliliği ve korunması

A. Özel hayatın gizliliği

Madde 20 – …

(Ek fıkra: 7/5/2010-5982/2 md.) Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.

şeklinde düzenlenerek bir temel hak ve özgürlük olarak tanınmıştır. Bu anlamda, Kurumumuz her geçen gün daha fazla tehdit altında olan bir temel hak ve özgürlüğün korunması amacına hizmet etmektedir. Diğer ülkelerde faaliyet gösteren veri koruma otoriteleri gibi Kurumumuz da bu bilince sahip olarak kişisel veri işleme faaliyetinde bulunan aktörleri eğitici ve yönlendirici çalışmalarda bulunmakla birlikte gereken durumlarda bir kanun uygulayıcısı olarak bu aktörler hakkında idari yaptırım da tesis etmekte olup, Kurumumuzun sürdürdüğü faaliyetler bireyleri en üst düzeyde korumaya yönelmiş bulunmaktadır. Bununla birlikte, teknolojik gelişmeler sonucu ortaya çıkan olanaklardan Ülkemizin de faydalanabilmesi adına söz konusu gelişmeler takip edilerek kişisel verilerin korunması hukukuna uygun şekilde uygulamaların geliştirilmesine de katkı sağlanmaya çalışılmaktadır. Bu kapsamda, kişisel verilerin yurt dışına aktarılmasına ilişkin olarak Kurumumuzca yürütülen güvenli ülke çalışmaları devam etmektedir. Bu noktada önemle ifade etmek gerekir ki, kamuoyunda sorun olarak görülen yurt dışına veri aktarımında Kurul’un iznini öngören süreç, Kanunun 9 uncu maddesinde emredici bir şekilde hükme bağlanan düzenlemenin bir sonucudur.

Kamuoyuna saygı ile duyurulur.

 

https://www.kvkk.gov.tr/Icerik/6828/YURTDISINA-VERI-AKTARIMI-KAMUOYU-DUYURUSU

01/10/2020: Sicil Kayıt Yükümlülüğü Hakkında Kamuoyu Duyurusu

Bilindiği üzere 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) göre kişisel verileri işleyen gerçek ve tüzel kişilerin Veri Sorumluları Siciline (Sicil) kayıt olması gereken tarihler Kişisel Verileri Koruma Kurulunca (Kurul) ilan edilmiştir.

Başkanlığımızca Hazine ve Maliye Bakanlığından elde edilen 2019 yılı verilerine göre yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olduğu görülmesine rağmen 01.10.2020 tarihi itibariyle henüz Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) kayıt başvurusunda bulunmayan veya başvuruda bulunduğu halde bildirimini tamamlamayan veri sorumlularının olduğu tespit edilmiştir.

Bu tesbite istinaden Kişisel Verileri Koruma Kurulu tarafından yapılan inceleme ve değerlendirme sonucunda; COVID-19 ile mücadele kapsamında fiili, teknik ya da hukuki imkânsızlık nedeniyle bazı veri sorumlularının Sicile kayıt yükümlülüğünü yerine getiremediği göz önüne alınarak, Veri Sorumluları Sicili Hakkında Yönetmeliğin 8 inci maddesi uyarınca ve Kanunun Geçici 1 inci maddesiyle Kurula verilmiş olan yetki çerçevesinde, Sicile kayıt yükümlülüğünü yerine getirmemiş olan veri sorumlularına bu durumun bir yazı ile bildirilmesi Kurulun 01.10.2020 tarihli ve 2020/760 sayılı kararı ile uygun bulunmuştur.

Söz konusu yazıyla Kurul tarafından kendilerine bildirilen süre içerisinde, ilgili veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri gerekmektedir.

Kamuoyuna saygıyla duyurulur.

NOT: VERBİS’e kayıt işlemleri halen devam etmektedir.

Duyuru Adresi: https://www.kvkk.gov.tr/Icerik/6819/SICILE-KAYIT-YUKUMLULUGU-HAKKINDA-KAMUOYU-DUYURUSU

26/06/2020: Aydınlatma Yükümlülüğünün Yerine Getirilmesi Hakkında Kamuoyu Duyurusu

AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ HAKKINDA KAMUOYU DUYURUSU

6698 sayılı Kişisel Verilerin Korunması Kanunu, Kanuna ilişkin ikincil mevzuat ve Kişisel Verileri Koruma Kurulunun vermiş olduğu kararlar çerçevesinde, veri sorumlularının bir takım yükümlülükleri bulunmaktadır. Bu yükümlülüklerden birisi de, Kanunun 10 uncu maddesinde yer alan aydınlatma yükümlülüğüdür.

Aydınlatma yükümlülüğü, veri sorumluları için bir yükümlülük olmakla birlikte kişisel verisi işlenen gerçek kişiler için de bir haktır. İlgili kişinin, işlenen kişisel verileri hakkında bilgilendirilmesini ifade eden aydınlatma yükümlülüğü, kişisel veri işlemenin hukuka uygun şekilde yerine getirilebilmesi için olmazsa olmaz bir şarttır.

Aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişinin talebine bağlı bir yükümlülük değildir. Ayrıca veri sorumlusu, kişisel veri işlerken ilgili kişinin açık rızasının ya da diğer kişisel veri işleme şartlarından birinin bulunması durumlarının her birinde aydınlatma yükümlülüğünü yerine getirmelidir. Çünkü aydınlatma yükümlülüğü, gerek açık rıza gerekse de Kanunda sayılan diğer kişisel veri işleme şartlarından bağımsız olarak her durumda yerine getirilmesi gereken bir yükümlülüktür.

Kurumumuza yapılan ihbar ve şikayet başvuruları üzerine ilgili veri sorumlularınca Kuruma iletilen bilgi ve belgeler üzerinden veya Kurulca inceleme ve araştırma yapılması öngörülen diğer dokümanlar üzerinden yapılan değerlendirme sonucunda;

  • Aydınlatmanın, veri sorumlusu tarafından kişisel verilerin ilgili kişiden elde edilmesi sırasında yapılmadığı, sonradan yapıldığı veya hiç yapılmadığı,
  • Aydınlatma içeriğinin, 6698 sayılı Kanunun 10 uncu maddesinde sayılan hususları kapsar nitelikte olmadığı,
  • Aydınlatmada; kişisel veri işleme amacının, işleme faaliyeti ile sınırlı, belirli, açık veya meşru olmadığı, gelecekte gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadelerin kullanıldığı,
  • Aydınlatmanın asgari unsurlarından olan “hukuki sebep” ile “işleme amacı”nın aynı anlamda kullanıldığı veya hukuki sebep unsuruna hiç yer verilmediği,
  • Aydınlatma amacıyla kullanılan metinlerde anlaşılır, açık ve sade bir dil kullanılmadığı, genel nitelikte, farklı anlaşılmaya müsait, eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verildiği,
  • Aydınlatma sürecinde, aktarım amacına ve aktarılan alıcı grubu ya da gruplarına yeterince yer verilmediği,
  • Aydınlatma metinlerinin, genellikle işleme faaliyeti ile sınırlı olmayan, veri sorumlusu için genel veri işleme belgesi niteliğinde olan “gizlilik politikaları” veya “veri işleme politikaları” olduğu,
  • Aydınlatma metinlerinin, ilgili kişi tarafından kolayca erişilebilecek bir platformda sunulmadığı,
  • Katmanlı aydınlatma yöntemi tercih edildiğinde, ilgili kişilerin ayrıntılı bilgi için başka bir mecraya yönlendirilmesinden önce, ilk aşamada temel bilgilerin sunulmadığı, detaylı aydınlatmaya erişim için uygun yol ve yöntemlerin izlenmediği, genellikle gizlilik politikaları veya veri işleme politikalarına yönlendirildiği,
  • Açık rıza ve aydınlatmanın aynı metin veya platformda aynı başlık altında birlikte sunulduğu,
  • Aydınlatma yapıldığına dair onayın talep edildiği ve onayın verilmemesi durumunda hizmetin sunulmadığı

gibi eksiklik ve mevzuata aykırılıkların bulunduğu tespit edilmiştir.

Söz konusu eksiklik ve mevzuata aykırılıklar nedeniyle veri sorumlularının Kanunda belirtilen yaptırımlarla karşılaşmamaları için aydınlatma yükümlülüğünü yerine getirirken aşağıdaki hususlara da özellikle dikkat etmesi gerekmektedir:

a) Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.

b) Aydınlatma yükümlülüğü, kişisel verilerin ilgili kişiden elde edilmesi esnasında veri sorumlusu veya yetkilendirdiği kişilerce yerine getirilmelidir.

c) Aydınlatma yükümlülüğü kapsamında yapılacak bilgilendirmenin asgari olarak, Kanunun 10 uncu maddesinde yer alan “veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile Kanunun 11 inci maddesinde sayılan ilgili kişi hakları” hususları içermesi gerekmektedir.

d) 10.03.2018 tarihli Resmi Gazetede yayımlanan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e göre; kişisel verilerin fiili imkânsızlık veya ilgili kişiye ulaşılamaması nedeniyle ilgili kişiden elde edilmemesi durumunda ise, kişisel verilerin elde edilmesinden itibaren makul bir süre içerisinde veya kişisel verinin ilgili kişiyle iletişim amacıyla kullanılacak olması durumunda ilk iletişim kurulması esnasında, kişisel verilerin aktarılacak olması halinde ise, en geç kişisel verilerin ilk kez aktarımının yapılacağı esnada ilgili kişiye yönelik aydınlatma yükümlülüğünün yerine getirilmesi gerekmektedir.

e) Aydınlatma yükümlülüğü yerine getirilirken açıklanacak olan kişisel veri işleme amacının, işleme faaliyeti ile sınırlı, belirli, açık ve meşru olması gerekmektedir. Gelecekte gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadeler kullanılmamalıdır.

f) Aydınlatma yükümlülüğü yerine getirilirken kullanılacak metinlerde anlaşılır, açık ve sade bir dil kullanılmalıdır. Ayrıca genel nitelikte, muğlak, eksik, yanıltıcı ve yanlış bilgilere yer verilmemelidir.

g) “İşleme amacı” ile “hukuki sebep”in aydınlatma yükümlülüğü yerine getirilirken ilgili kişilere yapılacak bildirimde yer alması gereken ayrı ayrı unsurlar olduğu ve veri toplamanın “hukuki sebebi” ifadesiyle, kişisel verilerin Kanunun 5 ve 6 ncı maddelerinde belirtilen işleme şartlarından hangisine dayanılarak işlendiğinin kastedildiği unutulmamalıdır.

h) İşleme faaliyeti ile sınırlı olmayan, veri sorumlusu için genel veri işleme belgesi niteliğinde olan gizlilik politikaları veya veri işleme politikaları, aydınlatma metinleri olarak kullanılmamalıdır.

i) Aydınlatmanın kolayca erişilebilir ve fark edilebilir olmasına dikkat edilmeli, ilgili kişilerin aydınlatmaya erişimini zorlaştıracak yöntemler kullanılmamalıdır.

j) Kişisel verilerin aktarımının söz konusu olduğu durumlarda, aktarımın amacına ve aktarılan alıcı grubu ya da gruplarına aydınlatmada ayrıca yer verilmelidir.

k) Katmanlı aydınlatma yöntemi tercih ediliyorsa, ilgili kişilerin ayrıntılı bilgi için başka bir mecraya yönlendirilmesinden önce, ilk aşamada temel bilgilerin (örneğin veri sorumlusunun kimliği ve veri işlemenin amacı) sunulduğundan emin olunmalı, yönlendirilen metinlerin işleme faaliyeti ile sınırlı içeriğe sahip olduğuna dikkat edilmelidir.

Bu kapsamda veri sorumlularının, aydınlatma yükümlülüğünü yerine getirirken 6698 sayılı Kanun, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Tebliği ile Kurum internet sayfasında yayımlanmış olan Kurul kararları ve Kurumumuzca hazırlanmış olan Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberine göre hareket edilmesi gerekmektedir.

Kamuoyuna saygıyla duyurulur.

23/06/2020: VERBİS'e Kayıt Sürelerinin Uzatılması Hakkında Duyuru

Tüm dünyada olduğu gibi ülkemizde de etkisini gösteren Covid-19 virüs salgını nedeniyle bazı işyerlerinin fiziksel olarak kapalı olduğu veya uzaktan / dönüşümlü çalışma modeli uygulandığı, bu nedenle veri sorumlularınca kişisel veri işleme envanteri hazırlama çalışmalarının yapılamadığı ve Veri Sorumluları Siciline (Sicil) kayıt yükümlülüğünün süresinde yerine getirilemediği gerekçesiyle Sicile kayıt sürelerinin uzatılmasına ilişkin Türkiye Odalar ve Borsalar Birliği (TOBB) ile muhtelif sektör temsilcileri tarafından Kuruma intikal ettirilen taleplerin değerlendirilmesi neticesinde Kişisel Verileri Koruma Kurulunun 23/06/2020 tarihli ve 2020/482 sayılı Kararı ile;

  • Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 30.09.2020 tarihine,
  • Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.03.2021 tarihine,
  • Kamu kurum ve kuruluşu veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.03.2021 tarihine,

kadar uzatılmasına,

  • Anılan kararın Kurum internet sayfasında duyurulması ve Resmi Gazete’de yayımlanmasına

oybirliği ile karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

10/04/2020: Bağlayıcı Şirket Kuralları Hakkında Duyuru

Kişisel verilerin yurt dışına aktarılması, 6698 sayılı Kişisel Verilerin Korunması Kanununun (6698 sayılı Kanun) 9 uncu maddesi ile düzenlenmektedir. Anılan madde hükmüne göre, kişisel verinin aktarılacağı ülkede yeterli korumanın bulunmaması durumunda kişisel veriler, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu’nun (Kurul) izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

Bilindiği üzere Kurul, Türkiye’de yerleşik veri sorumlusu tarafından yeterli veri koruması bulunmayan ülkelerde yerleşik veri sorumlusuna/veri işleyene kişisel verilerin aktarımında, ilgili tarafların yeterli bir korumayı yazılı olarak taahhüt etmelerine imkân sağlayan yöntemlerden birini “Taahhütnameler” olarak belirlemiş ve taraflarca hazırlanarak Kurul onayına sunulacak Taahhütnamelerde bulunması gereken asgari unsurları da belirleyerek ilan etmişti. Bu kapsamda söz konusu taahhütnamelerin Kurul tarafından onaylanması akabinde yurt dışına veri aktarımı mümkün olabilmektedir.

Bununla birlikte söz konusu taahhütnameler, genellikle şirketler arasında gerçekleştirilecek iki taraflı veri aktarımlarını kolaylaştırmakla birlikte çok uluslu şirket toplulukları arasında yapılacak veri aktarımları bakımından uygulama pratiğini sağlamakta yetersiz kalabilmektedir. Bu nedenle Kurul tarafından, söz konusu şirketler arasında gerçekleştirilecek uluslararası veri aktarımlarında kullanılmak üzere diğer bir yöntem olarak da “Bağlayıcı Şirket Kuralları” belirlenmiştir.

Bağlayıcı Şirket Kuralları, yeterli korumanın bulunmadığı ülkelerde faaliyet gösteren çok uluslu grup şirketleri için kişisel verilerin yurt dışına aktarımında kullanılan ve yeterli bir korumanın yazılı olarak taahhüt edilmesini sağlayan veri koruma kurallarıdır. Bu kapsama giren şirketlerin, ilgili formu doldurup gerekli talimatları izleyerek Kuruma, Bağlayıcı Şirket Kuralları başvurusu yapması gerekmektedir.

6698 sayılı Kanunun 9 uncu maddesinin (2) numaralı fıkrasının (b) bendi gereğince, söz konusu başvurular Kurul’un iznine tabidir.

Veri Sorumluları İçin Bağlayıcı Şirket Kuralları Başvuru Formu

Veri Sorumluları İçin Bağlayıcı Şirket Kurallarında Bulunması Gereken Temel Hususlara İlişkin Yardımcı Doküman

09/04/2020: Covid-19 ile Mücadelede Konum Verisinin İşlenmesi ve Kişilerin Hareketliliklerinin İzlenmesi Hakkında Bilinmesi Gerekenler

Dünya genelinde yayılma gösteren Covid-19 (Koronavirüs) virüsünün neden olduğu hastalıktan korunmak adına ülkemiz de dâhil olmak üzere tüm devletlerin çeşitli önlemlere ve tedbirlere başvurdukları bilinmektedir. Bu noktada, karantina, sosyal mesafe ve sosyal izolasyon gibi geleneksel tedbirlerin yanında, teknolojik imkanlardan yararlanıldığı da görülmektedir.

Bu kapsamda, çeşitli ülkelerde koronavirüsün yayılımını önlemek amacıyla; mobil uygulamalar vb. yöntemlerle; bu hastalığı taşıyan veya taşıma riski bulunan kişilerle temasa geçenlerin tespit edilmesi, virüsün yayılma haritası çıkartılarak tedavi ve karantina uygulanması, karantinaya alınanların kontrolü, sokağa çıkma yasağının uygulanması, kalabalık yerlerin tespiti gibi amaçlarla ilgili kişilerin sağlık, konum ve iletişim bilgileri gibi kişisel verileri işlenmektedir.

Salgın hastalık vb. durumlarda toplum sağlığının korunması ve böylece kamu düzeni ile kamu güvenliğinin sağlanmasını teminen yetkili kurum ve kuruluşlarca bu tür yöntemlere başvurulması yasal olarak mümkündür. Böyle durumlarda kişisel verilerin güvenliğinin gözetilmesi gerektiği de tartışmasızdır.

Bu çerçevede, konum verilerinin ve kişilerin hareketliliklerinin izlenmesi gibi kişisel verilerin işlenmesinin hukuka uygun olması için, bu faaliyetlerin veri koruma hukukuna egemen olan temel ilkeler çerçevesinde gerçekleştirilmesi gerekmekte olup konunun hukukumuz açısından değerlendirilmesinde fayda görülmüştür.

Konum verisi, Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelikte “Kamuya açık elektronik haberleşme hizmeti kullanıcısına ait bir cihazın coğrafi konumunu belirleyen ve elektronik haberleşme şebekesinde veya elektronik haberleşme hizmeti aracılığıyla işlenen belirli veri” olarak tanımlanmakta olup, gerçek kişileri belirlenebilir kılan konum verisinin 6698 sayılı Kişisel Verilerin Korunması Kanunu (6698 sayılı Kanun) kapsamında kişisel veri olduğu açıktır.

Konum verisinin ilgili kişi ile ilişkilendirilerek kullanılmasının gerekli olduğu durumlarda;

6698 sayılı Kanunun 28 inci maddesinin (1) numaralı fıkrasının (ç) bendinde, kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi halinde Kanun hükümlerinin uygulanmayacağı düzenlenmiştir.

Bu noktadan hareketle salgın hastalık gibi kamu düzeni ve kamu güvenliğini tehdit eden durumlarda bu tehdidi ortadan kaldırabilmek amacıyla salgın hastalık teşhisi konmuş kişilerin bulaşıcılığının sürdüğü dönemde izolasyonlarının temin edilmesine, genel nüfusun konum verilerinin işlenmesi suretiyle kalabalık alanların tespit edilmesine ve bu kapsamda önlemler geliştirilmesine yönelik olarak yetkili kamu kurum ve kuruluşları tarafından gerçekleştirilecek veri işleme faaliyetleri Kanunun 28 inci maddesinin (1) numaralı fıkrasının (ç) bendi kapsamında değerlendirilmektedir.

Bu çerçevede, Covid-19’un sebebiyet verdiği salgın hastalığın kamu güvenliğini ve kamu düzenini tehdit etmesi sebebiyle hastalığın yayılımını engellemek amacıyla konum verisinin anılan madde hükmü kapsamına giren kamu kurum ve kuruluşları tarafından işlenmesinin önünde bir engel bulunmamaktadır.

Diğer taraftan kişilerin konum verilerinin sağlık durumlarıyla ilişkilendirilmek suretiyle işlenmesi sürecinde söz konusu verilerin üçüncü kişilerce ele geçirilmesi halinde ilgili kişiler bakımından ciddi zararlar ortaya çıkabileceği dikkate alınarak, ilgili kurum ve kuruluşların kişisel verilerin güvenliğini sağlamaya yönelik gerekli her türlü teknik ve idari tedbirleri almaları ve bu verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde söz konusu kişisel verilerin silinmesi veya yok edilmesi unutulmamalıdır.

09/01/2020 (Kamuoyu Duyurusu): Şikayetlerin Elektronik Ortamda Kurula İletilmesine İlişkin Duyuru

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun 15. maddesinde “Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.” hükmü yer almakta olup, bu kapsamda Kurumumuza intikal eden şikayetler Kişisel Verileri Koruma Kurulunca sonuçlandırılmaktadır.

Bu süreçte, vatandaşlarımızın başvurularının daha hızlı ve etkin bir şekilde Kurumumuza iletebilmeleri ve takip edebilmelerini teminen “KVKK Şikayet Modülü” 09.01.2020 tarihi itibariyle hizmete açılmış olup, söz konusu Modüle https://sikayet.kvkk.gov.tr  internet bağlantısından ulaşılabilmektedir.

Kamuoyuna saygıyla duyurulur.

Şikayet Modülü Kılavuzu

06/01/2020 (Kamuoyu Duyurusu): Kişisel Veri İhlali Bildirimlerinin Elektronik Ortamda Kurula İletilmesine İlişkin Duyuru

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasında veri sorumlusunun;

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu, (5) numaralı fıkrasında ise, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildireceği, Kurulun, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükme bağlanmıştır.

Bu kapsamda 24.01.2019 tarih ve 2019/10 sayılı Kurul kararı ile Kurula yapılacak veri ihlal bildiriminde kullanılmasına karar verilen “Kişisel Veri İhlal Bildirim Form”unun https://ihlalbildirim.kvkk.gov.tr/ internet bağlantısı yoluyla da Kurula iletilebilmesi mümkün hale getirilmiştir.

Kamuoyuna saygıyla duyurulur.

Kişisel Veri İhlali Bildirim Formu Kılavuzu

08/11/2019 (Kamuoyu Duyurusu): Aydınlatma Metinlerinde GDPR'a yapılan atıflara ilişkin

KAMUOYU DUYURUSU

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun ‘Veri Sorumlusunun Aydınlatma Yükümlülüğü’ başlıklı 10 uncu maddesi (1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.” hükmünü amirdir.

Kurumumuzca yapılan incelemelerde başta medya kuruluşları olmak üzere muhtelif kurum/kuruluş/firma vb veri sorumlularının internet sayfalarında sunulan aydınlatma metinlerinde kişisel verilerin işlenmesi hususunda uygulanan politika ve kurallara yönelik açıklamalarda doğrudan Avrupa Genel Veri Koruma Tüzüğüne (GDPR) atıf yapıldığı görülmektedir.

Bu kapsamda Kişisel Verileri Koruma Kurulunun 30.10.2019 tarih ve 2019/315 sayılı Kararı uyarınca; bahse konu veri sorumluları tarafından aydınlatma yükümlülüğünün yerine getirilmesi amacıyla hazırlanan metinlerde GDPR’a uyum sağlandığına yönelik ifadelere yer verilmesinin, veri sorumlularının 6698 sayılı Kişisel Verilerin Korunması Kanununa karşı yükümlülüklerini ortadan kaldırmadığının, bu itibarla GDPR’a yapılan atıfların yanı sıra söz konusu aydınlatma metinlerinde belirtilen politika ve kuralların öncelikle 6698 sayılı Kişisel Verilerin Korunması Kanununa uygun olduğunun belirtilmesi gerektiğinin hatırlatılmasında fayda görülmektedir.

Diğer taraftan veri sorumlularınca yayımlanan aydınlatma metinlerinde Kanunun 10 uncu maddesi ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin 4 üncü maddesi hükümlerine uygun şekilde;

  • Veri sorumlusunun ve varsa temsilcisinin kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi (Kanunun 5 ve 6 ncı maddesinde yer alan işleme şartlarından hangisine dayanıldığının açıkça belirtilmesi)
  • İlgili kişinin Kanunun 11 inci maddesinde sayılan diğer hakları

hususlarına açıkça yer verilmesi, muğlak ve belirsiz ifadelerden mutlak surette kaçınılması gerekmektedir.

Kamuoyuna saygıyla duyurulur.

06/11/2019 (Kamuoyu Duyurusu): Kişisel Verilerin Korunması Kanunu Uyum Sürecine İlişkin Duyuru

Kişisel Verilerin Korunması Kanunu Uyum Sürecine İlişkin Duyuru

 

6698 sayılı Kişisel Verilerin Korunması Kanunu, bununla ilişkili ikincil mevzuat ve Kişisel Verileri Koruma Kurulu’nun vermiş olduğu kararlar çerçevesinde veri sorumlularının yükümlülükleri belirlenmiştir. Bu kapsamda, veri sorumlularının hukuka uygun veri işleme “Veri Sorumluları Sicil Bilgi Sistemine” (VERBİS) kayıt, buna bağlı olarak “Kişisel Veri İşleme Envanteri” ile “Saklama ve İmha Politikası" hazırlama ve kişisel veri güvenliğine ilişkin teknik ve idari tedbirleri almak gibi yükümlülükleri bulunmaktadır.

Veri işleme faaliyetinin yukarıda belirtilen mevzuatlara uyumlu olarak gerçekleştirilmesi için veri sorumlularının ve veri işleyenlerin bu yükümlülüklerin kaynağı olan başta kişisel verilerin işlemesinin genel ilkeleri olmak üzere kişisel veri koruma alanında genel bir bilgi sahibi olması gerektiği yadsınamaz. Bu sebeple, Kişisel Verileri Koruma Kurumu tarafından veri sorumlularının bu yükümlülüklere uyumunu kolaylaştırmak amacıyla birçok rehber, kılavuz ve doküman hazırlanmış ve www.kvkk.gov.tr adresinde paylaşılmıştır. Kurum, ayrıca, ilgili kişileri ve veri sorumlularını aydınlatmak ve hızlı bir şekilde sorularının cevaplanması amacıyla “VERİ Koruma Hattı” (ALO 198) adı ile bir bilgi danışma hattı kurmuştur. Bu çalışmalar, Kurum tarafından düzenli olarak yapılan farkındalık artırma ve bilgilendirme faaliyetleri vasıtasıyla da farklı platformlarda desteklenmektedir.

Kurul, şikâyet üzerine ya da re’sen yaptığı incelemelerde veri sorumlularının bu yükümlülükleri yerine getirip getirmediğini hukuki ve teknik açıdan birçok unsuru içeren geniş bir perspektiften değerlendirmekte ve karar vermektedir. Bu noktada Kurulun, sadece Kanun ve ikincil mevzuatta belirtilen yükümlülüklere uyumu göz önünde bulundurduğunun ve bu uyum çalışmalarının veri sorumlusu bünyesinde ya da dışarıdan destek almak suretiyle yürütülüp yürütülmediği konusunda bir değerlendirmede bulunmadığının belirtilmesi gerekmektedir.

Nihayetinde, veri sorumlularının tabi olduğu yükümlülüklerin çeşitliliği gereği bu yükümlülüklerin ancak disiplinler arası ortak bir çalışmanın neticesinde yerine getirilebilir olduğu hususu da göz önünde bulundurulmalıdır.

Kurum tarafından gerçekleştirilen yukarıda belirtilen çalışmaların neticesinde vatandaşlar ile özel sektör ve kamu kurumlarının temsilcileri arasında kişisel verilerin korunması alanındaki bilgi birikimi son dönemde hızla artmakta ve bu durum kamuoyunda genel farkındalık düzeyine katkı sağlamaktadır.

Önümüzdeki dönemde Kurum; ülkemizdeki farkındalık seviyesi, veri sorumluları-veri işleyenler-ilgili kişilerin beklentileri, kişisel verilerin korunması alanında mevcut uygulama örnekleri, kamu kurumlarının yetki ve görevleri çerçevesindeki rolleri gibi unsurları da göz önüne alarak veri sorumluları ve veri işleyenlerin kurumsal kapasitelerinin arttırılması yoluyla yükümlülüklerini yerine getirmesini kolaylaştıran ve ilgili kişilere kişisel verilerinin işlenmesi sürecinde güven veren bir sertifikalandırma mekanizması üzerinde çalışmalarını sürdürmektedir. Kurum, bu çalışma ile ilgili detayları önümüzdeki dönemde kamuoyu ile paylaşacaktır.

Kamuoyuna saygı ile duyurulur.

24/01/2019 - 2019/9: Veri Sorumlusuna Başvuru ve Kurula Şikayet Sürelerinin Hesaplanmasına İlişkin

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Veri Sorumlusuna Başvuru” başlıklı 13 üncü maddesinin (1) numaralı fıkrasında ilgili kişinin Kanunun uygulanmasına yönelik taleplerini yazılı olarak veya Kişisel Verileri Koruma Kurulunun (Kurul) belirlediği diğer yöntemlerle veri sorumlusuna iletmesi, (2) numaralı fıkrasında ise veri sorumlusunun başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırması gerektiği hükme bağlanmıştır.

Öte yandan, Kanunun “Kurula Şikâyet” başlıklı 14 üncü maddesinin (1) numaralı fıkrasında da başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişinin, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabileceği ifade edilmiştir.

Bu kapsamda, Kurumumuza intikal eden şikâyet başvurularının incelenmesi neticesinde veri sorumlusuna başvuru yolunu tüketen ilgili kişiler tarafından Kurula şikâyette bulunulması sürecinde Kanunda yer alan sürelerin yorumlanmasında farklılıklar olduğu görülmüştür. Bu itibarla Kanunun 14 üncü maddesinin (1) numaralı fıkrası uyarınca;

  • İlgili kişi tarafından yapılan başvuruya veri sorumlusunca 30 gün içinde bir cevap verilmesi halinde ilgili kişinin veri sorumlusunun cevabını müteakip 30 gün içerisinde şikâyette bulunabileceği, bu itibarla söz konusu hallerde ilgili kişinin veri sorumlusuna başvurduğu tarihten itibaren 60 günlük süresinin bulunmadığı,
  • İlgili kişi tarafından yapılan başvuruya veri sorumlusunca bir cevap verilmediği durumda ise ilgili kişinin veri sorumlusuna başvurduğu tarihten itibaren 60 gün içinde Kurula şikâyette bulunabileceği,
  • İlgili kişi tarafından yapılan başvuruya veri sorumlusunca Kanunda tanınan 30 günlük süre sonrasında bir cevap verilmesi halinde ilgili kişinin, Kanunda veri sorumlusuna tanınan 30 günlük süre sonrasında verilecek cevabı beklemekle yükümlü olmadığı ve veri sorumlusuna tanınan sürenin dolması ile birlikte Kurula şikâyette bulunabileceği göz önüne alınarak, ilgili kişinin veri sorumlusunun kendisine cevap verdiği tarihten itibaren 30 gün değil, veri sorumlusuna başvurduğu tarihten itibaren 60 gün içinde Kurula şikâyette bulunabileceği

hususlarının Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/9 sayılı Kararı ile kamuoyuna duyurulması uygun görülmüştür.

Kamuoyuna saygıyla duyurulur.


Kurul Kararları:

09/06/2021 - Vakıf, Dernek ve Sendikalara Ait İktisadi İşletmelerin Sicile Kayıt Yükümlülüğü
Karar Tarihi : 09/06/2021
Karar No : 2021/571
Konu Özeti : Vakıf, Dernek ve Sendikalara Ait İktisadi İşletmelerin Sicile Kayıt Yükümlülüğüne İlişkin Kararın Resmi Gazete’de Yayımlanması

 

I. Kararın Konusu ve Hukuki Dayanağı

6698 sayılı Kişisel Verilerin Korunması Kanununun (6698 sayılı Kanun) 16 ncı maddesinin ikinci fıkrasında yer alan “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.” hükmüne göre kural olarak kişisel veri işleyen gerçek ve tüzel kişilerin Veri Sorumluları Siciline (Sicil) kayıt yükümlülüğü bulunmakla birlikte Kişisel Verileri Koruma Kurulu (Kurul) tarafından bu yükümlülüğe istisna getirilebilmektedir.

Bu kapsamda, Kurulun 22/04/2020 tarihli ve 2020/315 sayılı Kararı ile değişik 02/04/2018 tarihli ve 2018/32 sayılı Kararı uyarınca “yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalar” için Sicile kayıt yükümlülüğüne istisna getirilmiştir.

Bununla birlikte, Kurumumuza iletilen bazı yazılı ve şifahi görüş taleplerinde; vakıf, dernek veya sendikalara ait iktisadi işletmelerin Sicile kayıt yükümlülüğü hususunda tereddütler yaşandığının ifade edilmesi üzerine yapılan değerlendirme sonucunda;

  • 22/04/2020 tarihli ve 2020/315 sayılı Karar ile değişik 02/04/2018 tarihli 2018/32 sayılı Kurul Kararında yer alan “yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalar” ifadesinin “yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalardan kendisine bağlı herhangi bir iktisadi işletmesi bulunmayanlar” olarak değiştirilmesinin,
  • Yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalardan kendisine bağlı herhangi bir iktisadi işletmesi bulunanların Sicile kayıt olmaları ile Sicile kayıtları esnasında yalnızca iktisadi işletmelerin faaliyetlerine ilişkin bilgi girişi yapmalarının,
  • Anılan Kararın Kurum internet sayfası ve Resmi Gazetede yayımlanmasının

gerektiği kanaatine varılmıştır.

II. Sonuç

Kurumumuza iletilen bazı yazılı ve şifahi görüş taleplerinde; vakıf, dernek veya sendikalara ait iktisadi işletmelerin Sicile kayıt yükümlülüğü hususunda tereddütler yaşandığının ifade edilmesi üzerine Kurul tarafından yapılan değerlendirme sonucunda;

  • 22/04/2020 tarihli ve 2020/315 sayılı Karar ile değişik 02/04/2018 tarihli 2018/32 sayılı Kurul Kararında yer alan “yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalar” ifadesinin “yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalardan kendisine bağlı herhangi bir iktisadi işletmesi bulunmayanlar” olarak değiştirilmesine,
  • Yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalardan kendisine bağlı herhangi bir iktisadi işletmesi bulunanların Sicile kayıt olmaları ile Sicile kayıtları esnasında yalnızca iktisadi işletmelerin faaliyetlerine ilişkin bilgi girişi yapmalarının gerektiğine,
  • Anılan Kararın Kurum internet sayfası ve Resmi Gazetede yayımlanmasına

oybirliği ile karar verilmiştir.

11/03/2021 - Veri Sorumluları Siciline Kayıt Tarihlerinin Uzatılması
Karar Tarihi : 11/03/2021
Karar No : 2021/238
Konu Özeti : Veri Sorumluları Siciline kayıt tarihlerinin uzatılması

Dünyada olduğu gibi ülkemizde de etkisini gösteren salgın nedeniyle Sicile kayıt yükümlülüğünün yerine getirilmesi hususunda zorluklar yaşandığı gerekçesiyle Sicile kayıt sürelerinin uzatılmasına ilişkin birçok veri sorumlusu veya bunların bağlı olduğu üst kuruluşlar ile bazı kamu kurumları ve kamu kurumu niteliğindeki meslek kuruluşları tarafından Kuruma intikal ettirilen taleplerin değerlendirilmesi neticesinde;

  • Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine,
  • Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine,
  • Kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşu veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine

kadar uzatılmasına,

  • Anılan kararın Kurum internet sayfasında duyurulması ve Resmi Gazetede yayımlanmasına

oybirliği ile karar verilmiştir.

22/12/2020 - Veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına Kanuna aykırı şekilde gönderilen üçüncü kişilere ait kişisel veriler
Karar Tarihi : 22/12/2020
Karar No : 2020/966
Konu Özeti : Veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına Kanuna aykırı şekilde gönderilen üçüncü kişilere ait kişisel veriler hakkında İlke Kararı

 

Kişisel Verileri Koruma Kurumuna intikal eden şikâyet ve ihbarlar kapsamında; e-ticaret, telekomünikasyon, ulaşım, turizm gibi muhtelif sektörlerde faaliyet gösteren veri sorumlularınca, fatura, ekstre, rezervasyon belgesi gibi kişisel veri içeren dokümanların sms ve/veya e-posta vasıtasıyla gönderimini teminen ilgili kişilerden telefon numarası ve/veya e-posta adreslerini beyan etmelerinin istenildiği, bununla birlikte ilgili kişiler tarafından söz konusu bilgilerin beyanında yanlışlık olabildiği veya yine ilgili kişilerce üçüncü kişilere ait bilgilerin beyan edilmesi neticesinde, ilgili kişilere ait verileri içeren bahse konu dokümanların üçüncü kişilere iletildiği görülmektedir.

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun 4 üncü maddesinin (1) numaralı fıkrasında kişisel verilerin ancak bu kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği hüküm altına alınmış ve (2) numaralı fıkrasında kişisel verilerin işlenmesinde “a) Hukuka ve dürüstlük kuralına uygun olma b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.” ilkelerine uyulmasının zorunlu olduğu düzenleme altına alınmıştır.

Bu ilkeler arasında yer alan kişisel verilerin doğru ve gerektiğinde güncel bir şekilde tutulması, veri sorumlusunun çıkarına uygun olduğu gibi ilgili kişinin temel hak ve özgürlüklerinin korunması açısından da gerekli olup, veri sorumlusunun eğer kişisel verilere dayalı olarak ilgili kişiye dair bir sonuç oluşturuyor ve doğuruyorsa kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması noktasında aktif özen yükümlülüğü bulunmaktadır. Bunun dışında veri sorumlusunun her zaman ilgili kişinin bilgilerinin doğru ve gerektiğinde güncel olmasını temin edecek kanalları açık tutması önem arz etmektedir. Aksi takdirde, kişilerin, güncel olmayan veya yanlış tutulan kişisel verileri nedeniyle maddi ve manevi zarar görmesi gündeme gelebilecektir. Bu anlamda, kişisel verilerin doğru ve gerektiğinde güncel tutulabilmesini temin etmek amacıyla; kişisel verilerin elde edildiği kaynakların belirli olması ve kişisel verilerin toplandığı kaynağın doğruluğunun tespit edilmesi ile kişisel verilerin doğru olmamasından kaynaklı ilgili kişiler açısından olumsuz sonuçlar ortaya çıkmasının önlenmesi kapsamında ilgili kişilerce beyan edilen iletişim bilgilerinin doğrulanmasına yönelik ( telefon numarası ve/veya e-posta adresine doğrulama kodu/linki gönderilmesi vb.) makul önlemler alınması gerekli görülmektedir.

Öte yandan, Kanunun 12 inci maddesinde veri sorumlularının kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda oldukları hüküm altın alınmıştır.

Bu kapsamda; veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına, 6698 sayılı Kişisel Verilerin Korunması Kanununa aykırılık oluşturacak şekilde üçüncü kişilerin kişisel verilerini içeren ekstre, fatura vb. belgelerin gönderilmesinin önlenmesini teminen; Kanunun 12 nci maddesinin (1) numaralı fıkrası gereğince veri sorumluları tarafından kendilerine bildirilen iletişim bilgilerinin doğruluğunu teyit edecek mekanizmaların oluşturulması adına gerekli idari ve teknik tedbirlerin alınması hususunda Kanunun 15 inci maddesinin 6 numaralı fıkrası uyarınca İlke Kararı alınmasına ve söz konusu İlke Kararının Kurumun internet sayfasında ve Resmi Gazetede ilan edilmesine oybirliği ile karar verilmiştir.

 

İlke Kararının Yayımlandığı Resmî Gazete’nin

Tarihi

Sayısı

15/01/2021

31365

23/06/2020 - "Kişilerin Ad ve Soyadı ile Arama Motorları Üzerinden Yapılan Aramalarda Çıkan Sonuçların İndeksten Çıkarılması"

Kişilerin Ad ve Soyadı ile Arama Motorları Üzerinden Yapılan Aramalarda Çıkan Sonuçların İndeksten Çıkarılmasına Yönelik Talepler ile ilgili olarak Kişisel Verileri Koruma Kurulunun 23/06/2020 Tarihli ve 2020/481 Sayılı Kararı

Karar Tarihi : 23/06/2020
Karar No : 2020/481
Konu Özeti : Kişilerin Ad ve Soyadı ile Arama Motorları Üzerinden Yapılan Aramalarda Çıkan Sonuçların İndeksten Çıkarılmasına Yönelik Talepler

Kurumumuza intikal eden muhtelif başvurularda, ilgili kişilerin medya kuruluşlarına ait çeşitli internet sitelerinde yer alan haberlerde geçen isim ve soy isimlerinin ya da haberlerin 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) hükümleri kapsamında silinmesinin talep edildiği, bunun yanı sıra bazı başvurularda ise söz konusu gazete arşivlerinin arama motorları tarafından indekslenmeyecek şekilde teknik düzenlemeye tabi tutulması hususunda gerekli kararların alınmasının istenildiği görülmekte olup Kurumumuza intikal eden bu yöndeki taleplerin “Unutulma Hakkı” kapsamında bir bütün olarak Kurulumuzca değerlendirilmesi gereği hasıl olmuştur.

Unutulma hakkının çeşitli yargı kararları ve uluslararası kurumların organlarının görüşleri doğrultusunda literatürde, “bireyin geçmişte hukuka uygun olarak yayılmış ve doğru nitelikteki bilgilerinin zamanın geçmesine bağlı olarak erişimden kaldırılmasını ya da gündeme getirilmemesini talep edebilmesi” olarak tanımlandığı görülmektedir.

Bilindiği üzere Anayasa’nın 20 nci maddesine 2010 Anayasa değişikliği ile eklenen “... Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” hükmü ile bireylere kişisel verilerin silinmesini talep etme hakkı tanınmaktadır.

Öte yandan, Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde kişisel verilerin işlenmesinde uyulması zorunlu ilkeler arasında doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme ve kişisel verilerin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi sayılmış, ayrıca Kanunun 11 inci maddesinin birinci fıkrasının (e) bendinde ilgili kişiye kişisel verilerin silinmesini veya yok edilmesini isteme hakkının tanındığı, 7 nci maddesinde ise kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesinin düzenlendiği, mezkur hükümde; Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği, bu hususta diğer kanunlarda yer alan hükümlerin saklı olduğu ve buna ilişkin usul ve esasların ise yönetmelikle düzenleneceğinin hükme bağlandığı görülmektedir.

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 8 inci maddesinde kişisel verilerin silinmesinin kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi olarak tanımlandığı ve veri sorumlusunun bunu sağlamaya yönelik olarak gerekli her türlü teknik ve idari tedbirleri almakla yükümlü olduğu belirtilmektedir.

Diğer taraftan Kanunun yürürlüğe girmesinden önce dahi “unutulma hakkı”nın yargı kararlarına konu olduğu, internet haber arşivinde bulunan bir haberin içeriğinin yayından kaldırılması talebine ilişkin olarak Anayasa Mahkemesi’nin 03.03.2016 tarihli ve 2013/5653 Başvuru Numaralı Kararında, “bireyin geçmişte haber yapılmış ve gerçeğe aykırılığı ileri sürülmemiş davranışlarının artık hatırlanmasının engellenmesi”nin hukuki mesele olarak ortaya konulduğu, internet haber arşivlerindeki kişisel verilere erişimin engellenerek kişilerin yaptıklarının unutulmasının sağlanması yönündeki talebin unutulma hakkı olarak nitelendirildiği, ayrıca kararda; “Başvuru tarihi itibarıyla söz konusu haberin yaklaşık on dört yıl önceki bir olaya ilişkin olduğu ve böylelikle güncelliğini yitirdiği açıktır. İstatistiki ve bilimsel amaçlar yönünden de yukarıda ifade edilen gerekçelerle bu bilgilere internet ortamında kolaylıkla ulaşılmayı gerekli kılan bir neden bulunmamaktadır. Bu bağlamda kamu yararı bakımından siyasi veya medyatik bir kişiliğe sahip olmayan başvurucu hakkında internet ortamında yayınlanan haberlerin kolaylıkla ulaşılabilirliğinin başvurucunun itibarını zedelediği açıktır.” denilmek suretiyle unutulma hakkının nasıl ele alınması gerektiğine ilişkin kriterler belirlenerek haberlerin kişinin Anayasa’nın 17 nci maddesinde güvence altına alınan şeref ve itibarın korunması hakkını ihlal ettiğine karar verilmiştir.

Kararda ayrıca unutulmayı etkin kılacak yöntemlerden de söz edildiği, buna göre, 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun'un 9 uncu maddesinde erişimin engellenmesinin kapsamının kişilik hakkının ihlalinin gerçekleştiği yayın, kısım, bölüm ile ilgili olarak (URL vb.) içeriğe erişimin engellenmesi yöntemiyle verileceği ve zorunlu olmadıkça internet sitesinde yapılan yayının tümüne yönelik erişimin engellenmesine karar verilemeyeceği belirtilmiş olup buna ek olarak, “... alınacak tedbirlerin kişinin şeref ve itibarına yönelik müdahaleleri unutulma hakkı gereğince engellemek için arşivde arama yapmaya imkân tanıyan haber ile kişi arasında ilişki kuran kişisel verilerin silinmesi, haberin anonim hâle getirilmesi, haber içeriğinin bir kısmına erişimin engellenmesi gibi birçok yöntem benimsenebilir. Bu bağlamda yargının görevinin, İnternet ortamının sağladığı kolaylıkla zamanla kişilerin itibarına yönelik müdahale oluşturan haberleri tamamen ortadan kaldırarak geçmişte meydana gelmiş olayların yeniden yazılmasını sağlamak olmadığı dikkate alınmalıdır. İnternet haber arşivinin bir bütün olarak basın özgürlüğünün koruması altında olduğu unutulmamalıdır...” denilmek suretiyle kişisel verilerin silinmesine ve anonim hale getirilmesine yapılan atıfla erişimin kısmi olarak engellenmesi ve kişi ile haber arasında bağlantının koparılması yollarıyla söz konusu hakla basın özgürlüğü arasında nasıl denge kurulabileceğinin gösterildiği, burada Kanunun yürürlüğe girmesinden önce silme ve anonim hale getirmenin unutulma hakkını hayata geçirmeye yönelik bir yöntem olarak ifade edilmesinin önemli olduğu, zira Yüksek Mahkeme kararında unutulma hakkına bir üst kavram olarak yaklaşıldığı, silme ve anonim hale getirmeyi ise bu hakkı tesis etmeye yönelik bir yol olarak sunulduğu anlaşılmaktadır.

Yine davacının isminin rumuzlanmadan bir kitapta yer almasına ilişkin olarak verilmiş olan Yargıtay Hukuk Genel Kurulu’nun 17.06.2015 tarihli E:2014/4-56, K:2015/1679 sayılı Kararında unutulma hakkının; üstün bir kamu yararı olmadığı sürece, dijital hafızada yer alan geçmişte yaşanılan olumsuz olayların bir süre sonra unutulmasını, başkalarının bilmesini istemediği kişisel verilerin silinmesini ve yayılmasının önlenmesini isteme hakkı olarak ifade edildiği, bireyin geçmişinde yaşadığı olumsuz etkilerden kurtularak geleceğini şekillendirebilmesinin bireyin yararına olduğu gibi toplumun kalitesinin gelişmişlik seviyesinin yükselmesine de etkisinin tartışılmaz olduğu ifade edilerek unutulma hakkının gereği gibi sağlanmasının bireye faydası olduğu kadar topluma da faydası olduğunun vurgulandığı, bunun da ötesinde kararda unutulma hakkı tanımlarına bakıldığında her ne kadar dijital veriler için düzenlenmiş ise de, bu hakkın özellikleri ve bu hakkın insan haklarıyla arasındaki ilişkisi dikkate alındığında; yalnızca dijital ortamdaki kişisel veriler için değil, kamunun kolayca ulaşabileceği yerde tutulan kişisel verilere yönelik olarak da kabul edilmesi gerektiğinin ifade edildiği görülmektedir.

Unutulma hakkına ilişkin olarak Kanunun yürürlüğe girmesinin ardından verilen Yargıtay 19. Ceza Dairesi’nin 05.06.2017 tarihli E:2016/15510, K:2017/5325 sayılı kararında; bir internet sitesinde yer alan haberin güncellik değerini yitirdiği, dolayısıyla haberin o tarihte “gerçeklik ve doğruluk” kriterlerini karşılamasının artık bir önemi kalmadığı, adı geçen habere istenildiği zaman ulaşılmasının, toplum açısından yanlış algılamaya yol açabileceği, haberin yayında kalmasının toplumun ilerlemesi, gelişmesi için bir katkı sağlamayacağı, kamu yararına toplum hafızasında yer etmesi gibi bir etkisi olmadığı, haberin içeriğini oluşturan kişilerin toplumu temsil ve topluma hizmet etme gayesiyle seçilmiş veya atanmış siyasilerden olmadığı gibi, topluma kendini anlatma ve toplumu aydınlatma gayesiyle eser veren sanatçılardan veya aydınlardan da olmaması nedeniyle suç geçmişlerine dair bilgilerin kamuyu ilgilendirmediği belirtilerek unutulma hakkının ifade ve basın özgürlüğüne üstün tutulduğu, ayrıca kararda Kanuna atıf yapılmasa da unutulma hakkının kişisel verilerin korunması hakkı içinde ele alındığı anlaşılmaktadır.

Uluslararası hukukta unutulma hakkı Birleşmiş Milletler, Avrupa Konseyi ve Avrupa Birliği sistemleri yönünden ele alındığında öncelikle ilk iki sistem içinde mevzuat düzeyinde unutulma hakkının tanımlanmadığı, ancak anılan kurumların mevzuatlarında yer alan özel hayata saygı, şöhretin korunması, kişisel bilgilerin gizliliği gibi bazı haklar üzerinden unutulma hakkına ilişkin sonuçlara ulaşılan kararlara ya da raporlara rastlandığı görülmektedir. Öte yandan;

Avrupa Birliği Adalet Divanının (ABAD) 2014 yılında verdiği Google İspanya kararında özetle; arama motorunda yapılan aramada çıkan sonuçların “geçersiz, eksik, tamamen ilgisiz veya sonradan ilgisiz hale gelmiş” ise arama motorları tarafından internet ortamına yüklenen amacını aşan söz konusu kişisel verilerin ve buna ilişkin sonuç listesinde yer alan bilgilerin silinmesi gerektiğinin belirtildiği, kararda ayrıca ilke olarak kişinin özel hayatının gizliliği hakkının, arama motorunun ekonomik çıkarı ile söz konusu kişi adına yapılan arama üzerine kamunun bilgiye erişim hakkının diğer bir ifadeyle bilgi alma hakkının üzerinde olduğu, bu kuralın yalnızca kamunun bilgiyi öğrenmede üstün bir yararı bulunmakta ise uygulanmayacağının ifade edildiği,
29. Madde Çalışma Grubu’nun ABAD’ın mezkur kararının uygulanmasına ilişin rehber ilkelerinde de kavramsal olarak “unutulma hakkı”nın kullanılmadığı, burada daha çok indeksten çıkarılma hakkı, arama motoru sonuçlarındaki linklerin gizlenmesi gibi kavramlar üzerinden konunun ele alındığı,
25 Mayıs 2018 tarihinde yürürlüğe giren Avrupa Genel Veri Koruma Tüzüğü’nün (Tüzük) “Silme hakkı (‘Unutulma Hakkı’)” başlıklı 17 nci maddesindeki düzenlemenin incelenmesinden, unutulma hakkının ayrıca tanımlanmadığı ve “silme” yükümlülüğü kapsamında değerlendirildiği, bu hakkın kullanımı bakımından Kanunun ilgili hükümlerine benzer şekilde veri işleme şartlarının ortadan kalkmış olması durumuna atıfta bulunulduğu ve bu hakkın istisnalarına (yasal yükümlülük, kamu yararına gerçekleştirilen bir görevin yerine getirilmesi, halk sağlığı alanındaki kamu yararı, kamu yararına arşivleme, bilimsel veya tarihi araştırma amaçları, istatistiki amaçlar, yasal iddialarda bulunulması, bu iddiaların uygulanması veya savunulması) yer verildiği
görülmektedir.

Bu kapsamda, unutulma hakkının uygulanmasında mevzuatımızda kavramsal olarak söz konusu hakka yer verilmese bile hukukumuzda bu hakkı sağlamaya yönelik araçların bulunduğunun açık olduğu, bu araçların örneğin, 5651 sayılı Kanunun özel hayatın gizliliği nedeniyle içeriğe erişimin engellenmesi yönündeki düzenlemesi olabileceği gibi Kanunun silmeyi düzenleyen 7 nci maddesi de olabileceği, bu itibarla, yukarıda yer verilen açıklamalardan hareketle, unutulma hakkının, Anayasanın 20 nci maddesinin üçüncü fıkrası hükmü ile 6698 sayılı Kanunun 4 üncü, 7 nci ve 11 inci maddelerinde ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 8 inci maddesinde yer verilen düzenlemelerle iç hukukumuz açısından karşılanabileceği ve ayrı bir hak olarak tanımlanmasına gerek olmadığı; öte yandan unutulma hakkını sağlamaya yönelik olarak veri işleme faaliyetinin durdurulması, silme, yok etme veya anonim hâle getirme ile indeksten çıkarma işleminden somut olaya göre en uygun olan araca karar verilebileceği, zira unutulma hakkı içinde pek çok hakkı barındıran bir üst kavramken, sayılanların bu hakkı tesis etmeye yönelik araçlar olarak ele alındığında Kanunla hedeflenen gayenin gerçekleşmesine de katkı sunulabileceği değerlendirilmektedir.

Bu çerçevede, Kurumumuza intikal eden medya kuruluşlarına ait çeşitli internet sitelerinde yer alan haberlerde yer verilmek suretiyle işlenen kişisel verilerinin kaynaktan silinmesine yönelik başvurular, bu basın organlarının veri sorumlusu olduğu noktasından hareketle Kanunun ilgili hükümleri çerçevesinde Kurulca değerlendirilerek karara bağlanmakla birlikte, kişilerin unutulma hakkı kapsamında ad ve soyadları üzerinden arama motorlarından yapılan aramalarda çıkan sonuçların indeksten çıkarılmasına yönelik talepleri kapsamında Kanunda ve ilgili alt düzenlemelerde herhangi bir açık hükme yer verilmediğinden, bu nitelikteki başvuruların ne şekilde ele alınacağı hususunun değerlendirilmesi gereği ortaya çıkmaktadır.

Yukarıda yer verilen değerlendirmeler çerçevesinde;

Kurumumuza intikal eden başvurulara konu “Unutulma Hakkı”nın bir üst kavram olarak ele alınmak suretiyle Anayasanın 20 nci maddesinin üçüncü fıkrası hükmü ile 6698 sayılı Kanunun 4 üncü, 7 nci ve 11 inci maddelerinde ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 8 inci maddesinde yer verilen düzenlemeler çerçevesinde değerlendirildiği,
Yine Kurumumuza yapılan başvurularda yer verilen arama motorlarından ad ve soyadı ile yapılan aramalarda kişinin kendisiyle bağlantılı sonuçlara ulaşılmamasını isteme hakkının indeksten çıkarılma talebi olarak nitelendirildiği,
Bu kapsamda, arama motorlarının, üçüncü taraflara ait internette topladıkları verilerin işlenmesinin amaç ve vasıtalarını belirledikleri göz önünde bulundurularak Kanunun 3 üncü maddesinde yer verilen tanım çerçevesinde veri sorumlusu olarak kabul edildiği,
Arama motorunun işletmecisinin otomatik, düzenli ve sistematik olarak internette yayınlanan bilgiyi bulduğu, daha sonra kendi indeksleme programları çerçevesinde alıp, kaydedip, organize ettiği kişisel verileri arama sonuçlarının listesi formunda düzenlediği, sunucuları üzerinde sakladığı, belirli durumlarda açıkladığı ve kullanıcılarına sunduğu dikkate alındığında arama motorları tarafından gerçekleştirilen faaliyetlerin Kanunun 3 üncü maddesi kapsamında ‘kişisel veri işleme” faaliyeti olarak değerlendirildiği,
Bu kapsamda, Kanunun başvuru ve şikâyet hakkına ilişkin hükümlerinde belirtilen usul ve süreler esas alınarak ilgili kişilerin, arama sonuçlarının indeksten çıkarılmasına yönelik talepleri ile ilgili olarak öncelikle arama motorlarına başvuruda bulunmaları, veri sorumlusu arama motorlarının söz konusu talepleri reddetmeleri veya başvuru sahibine cevap vermemeleri halinde ilgili kişilerce Kurula şikâyette bulunabilecekleri,
İlgili kişilerce yapılacak başvurunun şekli ve istenilecek bilgi ve belgelerin arama motorları tarafından belirleneceği,
İlgili kişinin arama motorları üzerinden kendi adı ve soyadı ile yapacağı bir arama sonucunda gösterilen sonuçların indeksten çıkarılmasına yönelik taleplerin değerlendirilmesinde, ilgili kişinin temel hak ve özgürlükleri ile kamunun söz konusu bilgiyi edinmesinden sağlayacağı menfaatler arasında bir denge testi yapılması, yarışan menfaatlerden hangisinin ağır bastığının gözetilmesi ve bu değerlendirme yapılırken öncelikli olarak aşağıda belirtilen linkte yer verilen açıklamaların dikkate alınması ancak bu konudaki şikâyetlerin değerlendirme sürecinde dikkate alınacak kriterlerin bunlarla sınırlı olmayacağı, her somut olay özelinde Kurulca ilave ölçütlerin de gündeme gelebileceği,
İlgili kişilerin, arama motorları üzerinden kendi ad ve soyadları ile yapılacak aramalar neticesinde gösterilen sonuçların indeksten çıkarılmasına yönelik taleplerinin veri sorumlusu arama motorları tarafından reddedilmesi veya taleplerine cevap verilmemesi halinde Kurula başvuruda bulunulurken aynı zamanda doğrudan yargı yoluna başvurmalarının da mümkün bulunduğu
hususlarının kamuoyuna duyurulmasına,

Bu kararda yer alan usul ve esasların arama motoru işleticisi şirketlere bildirilmesi ve ilgili kişilerce internet siteleri üzerinden unutulma hakkının uygulanabilmesini teminen iletişim kanallarının ülkemiz vatandaşları tarafından da kullanılabilmesine yönelik gerekli aksiyonların alınmasının sağlanmasına

karar verilmiştir.

Kişilerin Ad ve Soyadı ile Arama Motorları Üzerinden Yapılan Aramalarda Çıkan Sonuçların İndeksten Çıkarılmasına İlişkin Değerlendirmede Dikkate Alınacak Kriterler

23/06/2020 - "Veri Sorumluları Siciline Kayıt Tarihlerinin Uzatılması"

"Veri Sorumluları Siciline Kayıt Tarihlerinin Uzatılması İle İlgili Kişisel Verileri Koruma Kurulunun 23/06/2020 Tarihli ve 2020/482 Sayılı Kararı

Karar Tarihi : 23/06/2020
Karar No : 2020/482
Konu Özeti : Veri Sorumluları Siciline kayıt tarihlerinin uzatılması

Tüm dünyada olduğu gibi ülkemizde de etkisini gösteren Covid-19 virüs salgını nedeniyle bazı işyerlerinin fiziksel olarak kapalı olduğu veya uzaktan / dönüşümlü çalışma modeli uygulandığı, bu nedenle veri sorumlularınca kişisel veri işleme envanteri hazırlama çalışmalarının yapılamadığı ve Veri Sorumluları Siciline (Sicil) kayıt yükümlülüğünün süresinde yerine getirilemediği gerekçesiyle Sicile kayıt sürelerinin uzatılmasına ilişkin Türkiye Odalar ve Borsalar Birliği (TOBB) ile muhtelif sektör temsilcileri tarafından Kuruma intikal ettirilen taleplerin değerlendirilmesi neticesinde;

Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 30.09.2020 tarihine,
Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.03.2021 tarihine,
Kamu kurum ve kuruluşu veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.03.2021 tarihine,
kadar uzatılmasına,

Anılan kararın Kurum internet sayfasında duyurulması ve Resmi Gazete’de yayımlanmasına
oybirliği ile karar verilmiştir.

22/04/2020 - "Veri Sorumluları Siciline Kayıt Yükümlülüğünden İstisna Tutulacak Veri Sorumluları"
Karar Tarihi : 22/04/2020
Karar No : 2020/315
Konu Özeti : Dernek, vakıf ve sendikaların Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulması

6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesi gereği Veri Sorumluları Siciline kayıt yükümlülüğüne istisna getirilen 02.04.2018 tarihli ve 2018/32 sayılı Kurul kararının 3 üncü maddesinde yer alan dernek, vakıf ve sendikalarla ilgili istisna hususundaki başvurular üzerine Kurul tarafından yapılan değerlendirme sonucunda;

  • Sicile kayıt yükümlülüğüne istisna getirilen 02.04.2018 tarihli ve 2018/32 sayılı Kurul kararının 3 üncü maddesinde yer alan “04/11/2004 tarihli ve 5253 sayılı Dernekler Kanununa göre kurulmuş derneklerden, 20/02/2008 tarihli ve 5737 sayılı Vakıflar Kanununa göre kurulmuş vakıflardan ve 18/10/2012 tarihli 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler.” ifadesinin “yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalar” olarak değiştirilmesinin,
  • Anılan Kararın Kurum internet sayfası ve Resmi Gazetede yayımlanmasının

kabulüne oybirliği ile karar verilmiştir.

18/10/2019 - muhtelif yollarla elde edilen veriler üzerinden vatandaşların kimlik ve iletişim bilgileri gibi kişisel verilerinin sorgulanmasına imkân tanıyan yazılım/program/uygulamaların kullanılması Hk

21.11.2019 Tarih 30955 sayılı Resmi Gazete

Kişisel Verileri Koruma Kurumuna intikal eden ihbarlar kapsamında avukatlar/hukuk büroları ile finans, gayrimenkul danışmanlık, sigorta vb. sektörlerde faaliyet gösteren bazı kişi ve kuruluşlar tarafından muhtelif yollarla elde edilen veriler üzerinden vatandaşların kimlik ve iletişim bilgileri gibi kişisel verilerinin sorgulanmasına imkân tanıyan yazılım/program/uygulamaların kullanılmakta olduğu tespit edilmiştir. Yapılan değerlendirme sonucunda bu durumun, 6698 sayılı Kişisel Verilerin Korunması Kanununun veri sorumlularının veri güvenliğine ilişkin yükümlülüklerini düzenleyen 12 nci maddesi hükümlerine aykırılık oluşturduğu dikkate alınarak, yaşanabilecek veri güvenliği ihlallerinin önüne geçilmesini teminen;

- Bu mahiyetteki yazılımları/programları/uygulamaları kullandığı tespit edilenler hakkında Türk Ceza Kanunu kapsamında gerekli adli işlemlerin tesisi için konunun, 5271 sayılı Ceza Muhakemesi Kanununun 158 inci maddesi hükmü uyarınca ihbaren ilgili Cumhuriyet Başsavcılıklarına bildirileceği,

- Kişisel Verileri Koruma Kurulunun görev alanına giren yönüyle de veri sorumluları hakkında 6698 sayılı Kişisel Verilerin Korunması Kanununun 18 inci maddesi hükmü çerçevesinde idari işlem tesis edileceği

hususlarında kamuoyunun bilgilendirilmesine,

- 6698 sayılı Kişisel Verilerin Korunması Kanununun 15 inci maddesinin altıncı fıkrası hükmü uyarınca alınan bu ilke kararının Resmi Gazete ile Kurumun internet sitesinde yayımlanmasına

oybirliği ile karar verilmiştir.

18/09/2019 - 2019/271: "Veri sorumlusu tarafından ilgili kişiye yapılan veri ihlali bildiriminde yer alması gereken asgari unsurlar" hakkında

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasında veri sorumlusunun;

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu, (5) numaralı fıkrasında ise, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildireceği, Kurulun, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükme bağlanmıştır.

Kişisel Verileri Koruma Kurulunun (Kurul) 24.01.2019 tarih ve 2019/10 sayılı kararı ile veri ihlali bildiriminin “Veri sorumlusunca söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılmasına” karar verilmiştir.

Söz konusu hüküm ve Kurul kararı kapsamında Kuruma intikal eden veri ihlal bildirimlerinin değerlendirilmesi sürecinde; kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde veri sorumlusunun bu durumu Kurula ve ihlalden etkilenmiş kişilere bildirmesinde amacın, ihlal nedeniyle bu kişiler hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesi veya en aza indirilmesine imkan verecek önlemler alınmasını sağlamak olduğu dikkate alındığında veri sorumlularının söz konusu ihlale ilişkin ilgili kişilere yapacağı bildirimlerde hangi unsurların bulunması gerektiğinin açıkça düzenlenmesi gerekliliği doğmuştur.

Bu kapsamda Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/271 sayılı Kararı ile;

Veri sorumlusu tarafından ilgili kişiye yapılacak olan ihlal bildiriminin açık ve sade bir dille yapılması ve asgari olarak;

  • İhlalinin ne zaman gerçekleştiği,
  • Kişisel veri kategorileri bazında (kişisel veri / özel nitelikli kişisel veri ayrımı yapılarak) hangi kişisel verilerin ihlalden etkilendiği,
  • Kişisel veri ihlalinin olası sonuçları,
  • Veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler,
  • İlgili kişilerin veri ihlali ile ilgili bilgi almalarını sağlayacak irtibat kişilerinin isim ve iletişim detayları ya da veri sorumlusunun web sayfasının tam adresi, çağrı merkezi vb. iletişim yolları

unsurlarına yer verilmesi gerektiğine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

03/09/2019 - 2019/265: "VERBİS Kayıt Sürelerinin Uzatılması" hakkında
Karar Tarihi : 03/09/2019
Karar No : 2019/265
Konu Özeti :VERBİS Kayıt Sürelerinin Uzatılması

 

Türkiye Odalar ve Borsalar Birliği (TOBB) ile muhtelif sektör temsilcileri tarafından Kuruma intikal ettirilen Veri Sorumluları Siciline (Sicil) kayıt sürelerinin uzatılmasına ilişkin taleplerin değerlendirilmesi neticesinde;

  • Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2019 tarihine kadar uzatılmasına,
  • Bu kararın Kurum internet sayfasında duyurulması ve Resmî Gazete’de yayımlanmasına

oybirliği ile karar verilmiştir.

02/05/2019 - 2019/125: "Yeterli korumanın bulunduğu ülkelerin tayininde kullanılmak üzere oluşturulan form” hakkında
Karar Tarihi : 02/05/2019
Karar No : 2019/125
Konu Özeti :Yeterli korumanın bulunduğu ülkelerin tayininde kullanılmak üzere oluşturulmuş form

 

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 9 uncu maddesinde; kişisel verilerin, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağı, kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulunun (Kurul) izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın söz konusu verilerin yurt dışına aktarılabileceği düzenlenmiştir. Ayrıca maddede yeterli korumanın bulunduğu ülkelerin Kurulca belirlenerek ilan edileceği ve söz konusu ülkelerin ilanında değerlendirilecek hususlar hüküm altına alınmıştır.

Bu kapsamda Kanunun 9 uncu maddesi uyarınca yeterli korumanın bulunduğu ülkelerin Kurulca belirlenmesinde kullanılmak üzere Kurulun 02/05/2019 tarih ve sayılı 2019/125 sayılı Kararında kabul edilen ilgili kriterlere aşağıda belirtilen bağlantı üzerinden erişim sağlanabilir.

Yeterli Korumaya Sahip Ülkelerin Belirlenmesinde Esas Alınacak Kriterler

24/01/2019 - 2019/10: Kişisel Veri İhlali Bildirim Usul Ve Esaslarına İlişkin

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasında veri sorumlusunun;

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  • Kişisel verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu, (5) numaralı fıkrasında ise, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kuruluna (Kurul) bildireceği, Kurulun, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükme bağlanmıştır.

Veri ihlal bildirimlerinde, Kurula ve ihlalden etkilenmiş kişilere bildirim yapılmasındaki amacın, ihlal nedeniyle bu kişiler hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesi veya en aza indirilmesine imkan verecek önlemler alınmasını sağlamak olduğu, öte yandan 6698 sayılı Kanuna kaynak teşkil eden Avrupa Birliğinin 95/46/EC sayılı Direktifini ilga eden Avrupa Genel Veri Koruma Tüzüğünde de veri ihlal bildirimlerine ilişkin olarak Direktifin aksine detaylı düzenlemelere yer verildiği dikkate alındığında Kurul tarafından bu konuda alınacak kararlar arasında herhangi bir uyumsuzluğa mahal verilmemesi ve uygulamada bir standartlaşma sağlanabilmesini teminen; Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10 sayılı Kararı ile;

  • Kanunun 12 nci maddesinin (5) numaralı fıkrasının “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir….” hükmünde yer alan “en kısa sürede” ifadesinin 72 saat olarak yorumlanmasına ve bu kapsamda veri sorumlusunun bu durumu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirmesine, veri sorumlusunca söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılmasına,
  • Veri sorumlusu tarafından Kurula haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurula açıklanmasına,
  • Kurula yapılacak bildirimde aşağıda yer verilen “Kişisel Veri İhlal Bildirim Form”unun kullanılmasına,
  • Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgilerin gecikmeye mahal verilmeksizin aşamalı olarak sağlanmasına,
  • Veri sorumlusu tarafından veri ihlallerine ilişkin bilgilerin, etkilerinin ve alınan önlemlerin kayıt altına alınması ve Kurulun incelemesine hazır halde bulundurulmasına,
  • Veri işleyen nezdinde bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri işleyenin bu konuda herhangi bir gecikmeye yer vermeksizin veri sorumlusuna bildirimde bulunmasına,
  • Veri ihlalinin yurtdışında yerleşik veri sorumlusu nezdinde yaşanması halinde, bu ihlalin sonuçlarının Türkiye’de yerleşik ilgili kişileri etkilemesi ve ilgili kişilerin sunulan ürün ve hizmetlerden Türkiye’de faydalanmaları durumunda, bu veri sorumlusu tarafından da aynı esaslar çerçevesinde Kurula bildirimde bulunulmasına,
  • Veri ihlali gerçekleşmesi halinde veri sorumlusu tarafından kendi nezdinde kimlere raporlama yapılacağı, Kanun kapsamında yapılacak bildirimler ile veri ihlalinin olası sonuçlarının değerlendirilmesi hususunda, kendi nezdindeki sorumluluğun kimde olduğunun belirlenmesi gibi konuları içeren bir veri ihlali müdahale planı hazırlanarak belirli aralıklarla bu planın gözden geçirilmesine

karar verilmiştir.

Kişisel Veri İhlali Bildirim Formu

Kamuoyuna saygıyla duyurulur.

27.05.2019 - 2019/52: Kurul kararının yerine getirilmemesi hakkında
Karar Tarihi : 05/03/2019
Karar No : 2019/52
Konu Özeti :Kurul kararının yerine getirilmemesi hakkında

2019/23 sayılı Kurul kararının şirkete tebliği sonrasında Şirket internet sitesi üzerinde muhtelif tarihlerde herhangi bir form numarasının son iki hanesinin değiştirilmesi suretiyle farklı form numaraları ile yapılan sorgulamalarda;

  • Başka cihazlara ait sorgulamaların halen gerçekleştirilebildiği ve başka bir güvenlik doğrulamasının da yapılmadığı,
  • Yapılan sorgulama sonucunda açılan sayfada kişilerin isim ve soy isimleri, IMEI numaraları ile cihazın sevk edildiği adresin baş ve son harfleri hariç maskelendiği, IMEI numaralarının, sorgulama yapılan ilk sayfada maskelenmiş şekilde gösterilmekle birlikte, aynı sayfada yer alan “Cihaz Kayıt Görüntüleri için Tıklayınız” linki seçildiğinde açılan yeni pencerede kamera görüntülerine ulaşabilmek için yönlendirilen linkin uzantısında IMEI numaralarının halen açık şekilde gösterildiği, söz konusu sayfada numaranın kime ait olduğuna ilişkin tanımlayıcı bir bilgiye yer verilmediği ancak, sorgu sayfasının aşağısında yer alan “Kargonuzu Görüntülemek İçin Tıklayınız” linki seçildiğinde gönderinin yapıldığı kargo firmasına yapılan yönlendirme ile ulaşılan sayfada gönderiyi teslim alan kişinin adı ve soyadı açıkça yer aldığından gönderiyi kendisi teslim alan müşteriler açısından IMEI numaraları ile cihaz sahibinin eşleştirilmesinin mümkün olabileceği,

görülmüş olup, söz konusu sorgulamalara ilişkin ekran çıktıları alınmış ve tutanağa bağlanmıştır.

Bu itibarla,

  • 2019/23 sayılı Kurul Kararı çerçevesinde Şirkete tebliğ edilen “...söz konusu aykırılığın ivedilikle giderilmesi, bahse konu aykırılığın giderildiği hususunun Kurula tevsiki sağlanıncaya kadar işbu Kararda yer alan linklerin kullanımının derhal durdurulması...” şeklindeki talimatın Şirket tarafından Kurul Kararına uygun olarak yerine getirilmediği dikkate alındığında, Kanunun 15 inci maddesine aykırı olarak uyarınca Kurul tarafından verilen kararı yerine getirmeyen Şirket hakkında Kanunun 18 inci maddesi çerçevesinde 50.000 TL idari para cezası uygulanmasına,
  • Öte yandan, Şirkete ait internet sitesinde herhangi bir sorgu numarasının son iki hanesini değiştirmek suretiyle başka cihaz ve sahiplerine ilişkin sorgulamaların halen yapılabildiği dikkate alındığında, asıl güvenlik açığının giderilmediği bu kapsamda, cihaz takibi için sorgulama yapılabilmesine imkan veren sistemin değiştirilmesi, diğer taraftan halihazırda sorgulama yapılan sisteme erişimin ivedilikle kapatılması hususunda Şirketin talimatlandırılmasına

karar verilmiştir.

05/12/2018 - 2018/143 : Sağlık Verilerinin Kanunun 6 ncı Maddesinde Yer Alan İşleme Şartlarından Birine Dayanmadan Üçüncü Kişilere Aktarımı Hakkında

Yayım Tarihi: 18.02.2019

Doktor kontrolünde ilaç kullanan ilgili kişinin, özel nitelikli bu sağlık verisinin ilaçların temin edildiği eczane tarafından her hangi bir işleme şartına dayanmadan üçüncü kişiyle paylaşılması hususunda Kuruma yapılan şikâyet başvurusu hakkında;

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6 ncı maddesinin (1) numaralı fıkrasında kişilerin sağlık verilerinin özel nitelikli kişisel veri olduğu belirtilmiştir. Mezkur maddenin (2) numaralı fıkrasında özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesi yasaklanmış bununla birlikte, (3) numaralı fıkrada özel nitelikli kişisel verilerin açık rıza aranmadan işlenebileceği diğer haller sayılmıştır. Buna göre sağlık verilerinin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebileceği belirtilmiştir. Kanunun “Kişisel verilerin aktarılması” başlıklı 8 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın aktarılamayacağı hükme bağlanmış olup, anılan maddenin (2) numaralı fıkrasında ise kişisel verilerin açık rıza aranmaksızın aktarılabileceği haller Kanunun 5 inci maddesinin (2) numaralı fıkrası ile 6 ncı maddesinin (3) numaralı fıkrasına atıfta bulunmak suretiyle belirlenmiştir.

Öte yandan, Kanunun 12 nci maddesinin (1) numaralı fıkrası, veri sorumlusunun;

  1. Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  2. Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  3. Kişisel verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğunu düzenlemektedir. Anılan maddenin (4) numaralı fıkrasında ise veri sorumluları ile veri işleyen kişilerin öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacının dışında kullanamayacağı hükmüne yer verilmiştir.

Bu kapsamda, doktor kontrolünde ilaç kullanan ilgili kişinin sağlığı ile ilgili özel nitelikli kişisel verilerinin, ilaçları temin ettiği eczane tarafından 6698 sayılı Kişisel Verilerin Korunması Kanununun 8 inci maddesinde sayılan şartlar sağlanmadan üçüncü kişiyle paylaşılmasının Kanunun 12 nci maddesinin (4) numaralı fıkrasına aykırılık teşkil etmesi nedeniyle veri sorumlusu eczane hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmıştır.

26/07/2018 - 2018/91: Kişisel Verilere Hukuka Aykırı Erişilmesini Önleme Hakkında

Yayım Tarihi: 18.02.2019

Bir hazır giyim firmasının internet sitesi üzerinden üyelik bilgileri ile alışveriş yapan kişinin teslimat adresi, ad, soyadı, adres ve telefon numarası gibi kişisel bilgilerinin şirkete ait bu internet sitesi üzerinden alışveriş yapan üçüncü kişilerce erişilebilir hale gelmesi sebebiyle Şirkete başvuruda bulunarak kişisel verilerinin sistemlerinden silinmesini, yok edilmesini, ulaşılamaz hale getirilmesini, yurtiçi ve yurt dışında başka bir kurumla paylaşıldı ise o kurumlar nezdinde de silinmesini ve yok edilmesini talep etmesi üzerine Şirketten aldığı cevabı yetersiz bulması neticesinde Kuruma yapılan başvuru hakkında;

6698 sayılı Kişisel Verilerin Korunması Kanununun 7 nci maddesi “(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. (2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır” hükmünü amirdir.

Kanunun “İlgili Kişinin Hakları” başlıklı 11 inci maddesinin (1) numaralı fıkrasında ise herkesin, veri sorumlusuna başvurarak kendisiyle ilgili; yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme hakları düzenlemektedir.

Diğer yandan, Kanunun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (1) numaralı fıkrasında veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu hüküm altına alınmıştır.

Bir hazır giyim firmasının internet sitesi üzerinden üyelik bilgileri ile alışveriş yapan kişinin teslimat adresi, ad, soyadı, adres ve telefon numarası gibi kişisel bilgilerinin şirkete ait bu internet sitesi üzerinden alışveriş yapan üçüncü kişilerce erişilebilir hale gelmesi sebebiyle Şirkete başvuruda bulunarak kişisel verilerinin sistemlerinden silinmesini, yok edilmesini, ulaşılamaz hale getirilmesini, yurtiçi ve yurt dışında başka bir kurumla paylaşıldı ise o kurumlar nezdinde de silinmesini ve yok edilmesini talep etmesi üzerine Şirketten aldığı cevabı yetersiz bulması neticesinde Kuruma yapılan başvuru kapsamında;

- Şikâyetçinin kişisel verilerinin alışveriş işlemleri için girildiği, ancak anılan bilgilerin aynı zamanda başka müşterilerin alışverişe ilişkin işlemleri sırasında görülebilir hale geldiği, Şirket tarafından Kuruma sunulan savunma ve belgelerde, şirketin şikâyete konu durumdan olayla birlikte haberdar olduğu, olayın sistemsel bir hatadan kaynaklandığının tespit edildiği, ilgili departmanlar arasında istişarelerde bulunularak başka müşterilerin de mağduriyet yaşamamaları amacıyla bir takım önlemlerin alındığı ve derhal uygulama sürümünün çıkarıldığı hususlarına ilişkin açıklamaları birlikte değerlendirildiğinde Şirket tarafından bahsi geçen mağduriyet öncesinde Kanunun 12 nci maddesinin (1) numaralı fıkrası kapsamında kişisel verilerin muhafaza edilmesi ve kişisel verilere hukuka aykırı erişilmesini önleme amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirlerin alınamadığı sonucuna varıldığından; Şirket hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmasına,

- Şikâyetçinin her türlü kişisel verisinin Şirket sistemlerinden silinmesi, yok edilmesi, ulaşılamaz hale getirilmesi, yurtiçi ve yurt dışında başka bir kurumla paylaşıldı ise o kurumlar nezdinde de silinmesi ve yok edilmesi talebiyle ilgili olarak Şirketin taraflarınca yapılan işlemler hakkında açıklamalarını, tevsik edici belgelerle birlikte Kanunun 15 inci maddesinin (5) numaralı fıkrası gereğince kararın tebliğinden itibaren 30 gün içerisinde Şikâyetçiye iletmesi yönünde talimatlandırılmasına

karar verilmiştir.

28/06/2018 - 2018/69: Sicil Dosyalarındaki Kişisel Verilerin İmha Edilmesi Hakkında

Yayım Tarihi: 18.02.2019

Devlet memurlarının, memuriyet döneminde haklarında açılmış inceleme-soruşturma dosyalarına ilişkin evrakların imha edilmesi talebinin veri sorumlusu kamu kurumunca yerine getirilmemesi üzerine Kuruma yapılan başvuru hakkında;

6698 sayılı Kişisel Verilerin Korunması Kanununun 7 nci maddesinde “(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. (2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır” hükümlerine yer verilmiştir.

Öte yandan, 657 sayılı Kanunun “Memur Bilgi Sistemi, Özlük Dosyası” başlıklı 109 uncu maddesinde “Memur Bilgi Sistemi, Özlük Dosyası” başlıklı 109 uncu maddesinde her memur için bir özlük dosyasının tutulacağı ve bu dosyada memurun mesleki bilgileri, mal bildirimleri; varsa inceleme, soruşturma, denetim raporları, disiplin cezaları ile ödül ve başarı belgelerine ilişkin bilgi ve belgelerin konulacağı hükmüne; Kamu Personeli Genel Tebliğinin (Seri No: 2) “D” bölümünde ise görevleri herhangi bir şekilde sona eren memurların özlük dosyalarının kurumlarınca saklanacağı hükmüne yer verilmiştir.

Buna ek olarak, 16.05.1988 tarihli ve 19816 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren Devlet Arşiv Hizmetleri Hakkında Yönetmelik’in “Tarifler” başlıklı 3 üncü maddesinin

- (a) bendinde “Arşiv malzemesi: Türk Devlet ve Millet hayatını ilgilendiren ve en son işlem tarihi üzerinden otuz yıl geçmiş veya üzerinden onbeş yıl geçtikten sonra kesin sonuca bağlanmış olup, birinci maddede belirtilen kuruluşların işlemleri sonucunda teşekkül eden ve onlar tarafından muhafazası gereken, Türk Milletinin geleceğine tarihi, siyasî, sosyal, hukukî ve teknik değer olarak intikal etmesi gereken belgeler ve Devlet hakları ile milletlerarası hakları belgelemeye, korumaya, bunlarla ilgili işlem ve münasebetler bakımından tarihî, hukukî, idarî, askeri, iktisadî, dinî, ilmî edebî estetik, kültürel biyografik, jeneolojik ve teknik herhangi bir konuyu aydınlatmaya, düzenlemeye, tespite yarayan, ayrıca ait olduğu devrin ahlâk, örf ve âdetlerini veya çeşitli sosyal özelliklerini belirten her türlü yazılı evrak, defter, resim, plan, harita, proje, mühür, damga, fotoğraf, film, ses ve görüntü bandı, baskı ve benzeri belgeleri ve malzemeyi”,

- (b) bendinde “Arşivlik malzeme: Yukarıdaki bentte sayılan her türlü belge ve malzemeden zaman bakımından henüz arşiv malzemesi vasfını kazanmayanlarla, son işlem tarihi üzerinden yüzbir yıl geçmemiş memuriyet sicil dosyaları, Devletin gerçek ve tüzel kişilerle veya yabancı devlet ve milletlerarası kuruluşlarla akdettiği ikili ve çok taraflı milletlerarası antlaşmalar, tapu tahrir defterleri, tapu ve nüfus kayıtları, aynı özellikteki vakfiyelerden ait oldukları kamu kurum ve kuruluşları ile il, ilçe, köy ve belediyelere ait sınır kâğıtları gibi belgeleri”,

- (c) bendinde “Birim arşivi: Kurum ve kuruluşların görev ve faaliyetleri sonucu kendiliğinden teşekkül eden ve bu kuruluşların çeşitli birimlerinde, aktüalitesini kaybetmemiş olarak aktif bir biçimde ve günlük iş akımı içinde kullanılan arşivlik malzemenin belirli bir süre saklandığı arşiv birimlerini (Mükelleflerin taşra, bölge ve yurt dışı kuruluşlarında bulunan arşivler de birim arşivi sayılır.)”,

- (d) bendinde “Kurum arşivi: Kurum ve kuruluşların, merkez teşkilâtları içinde yer alan ve arşiv malzemesi ile arşivlik malzemenin, birim arşivlerine nazaran daha uzun süreli saklandığı merkezî arşivleri”,

- (e) bendinde ise “Mükellefler: 28/9/1988 tarihli ve 3473 sayılı Muhafazasına Lüzum Kalmayan Evrak ve Malzemenin Yok Edilmesi Hakkında Kanun Hükmünde Kararnamenin Değiştirilerek Kabulü Hakkında Kanunun 1 inci maddesinde sayılan kurum ve kuruluşları”

şeklinde tanımlanmıştır.

Bu çerçevede, 3473 sayılı Muhafazasına Lüzum Kalmayan Evrak ve Malzemenin Yok Edilmesi Hakkında Kanun Hükmünde Kararnamenin Değiştirilerek Kabulü Hakkında Kanunun “Amaç ve Kapsam” başlıklı 1 inci maddesinde “Bu Kanunun amacı, genel ve katma bütçeli dairelerle (saklama, ayıklama ve imha işlemleri kendi mevzuatına tabi olmak kaydıyla Cumhurbaşkanlığı, Türkiye Büyük Millet Meclisi, Genelkurmay Başkanlığı, Milli Savunma Bakanlığı, İçişleri Bakanlığı, (Ek ibare: 1/2/2000 - 4516/1 md.) Dışişleri Bakanlığı ve Milli İstihbarat Teşkilatı hariç) mahalli idareler, üniversiteler ve bunlara bağlı sabit ve döner sermayeli kuruluşlar, kamu iktisadi teşebbüsleri, özel kanunlarla kurulan kamu bankaları ve teşekkülleri elinde bulunan ve arşivlerinde arşiv malzemesi ve arşivlik malzeme niteliği taşımayan, muhafazasına lüzum görülmeyen, yok edilecek evrak ve her türlü malzemenin, ayıklama ve imha işlemlerine dair usul ve esasları düzenlemektir.” hükmü yer almakta olup, bu tanımdan hareketle genel bütçe kapsamındaki kamu idarelerinden olan Bakanlık da mükellef olarak değerlendirilmektedir.

Buna ek olarak, Devlet Arşiv Hizmetleri Hakkında Yönetmelik’in “Birim ve Kurum Arşivleri” başlıklı 5 inci maddesinde mükelleflerin, belirli bir süre saklayacakları arşivlik malzeme için birim arşivlerini, daha uzun bir süre saklayacakları arşiv malzemesi veya arşivlik malzeme için kurum arşivlerini kuracakları ve ellerinde bulunan arşivlik malzemelerin birim arşivlerinde 1-5 yıl süre ile saklanacağı ile “Kurum Arşivine Devredilecek Malzemenin Ayrılması” başlıklı 19 uncu maddede de birim arşivinde saklanma süresini tamamlayan arşivlik malzemenin, “Kurum Arşivine Devredilecek” olanlar şeklinde ayrılacağı hüküm altına alınmıştır.

Devlet memurlarının, memuriyet döneminde haklarında açılmış inceleme-soruşturma dosyalarına ilişkin evrakların imha edilme talebinin veri sorumlusu kamu kurumunca yerine getirilmemesi üzerine Kuruma yapılan başvuru kapsamında, imha edilmesi talep edilen kişisel bilgilerin, ilgili kişinin devlet memuru olduğu dönemde hakkında açılmış inceleme-soruşturma dosyalarına ilişkin evraklar olması ve bu itibarla söz konusu evrakların, 657 sayılı Kanun gereğince özlük dosyalarında saklanması gerektiği, Kamu Personeli Genel Tebliğine (Seri No: 2) göre özlük dosyalarının dördüncü bölümünde yer alacağı ile görevi herhangi bir şekilde sona eren memurların özlük dosyalarının kurumlarınca saklanacağı ve Devlet Arşiv Hizmetleri Hakkında Yönetmeliğe göre son işlem tarihi üzerinden yüz bir yıl geçmemiş memuriyet sicil dosyaları içerisinde yer aldığı hususlarından hareketle, 6698 sayılı Kanunun 7 inci maddesinde belirtildiği üzere kişisel verilerin işlenmesini gerektiren sebeplerin de henüz ortadan kalkmaması dolayısıyla şikayetçinin talebinin veri sorumlusu tarafından karşılanmamasının uygun olduğuna karar verilmiştir.

16/10/2018 - 2018/119: Veri sorumluları ve veri işleyenler tarafından ilgili kişilerin e-posta adreslerine veya SMS ya da çağrı ile cep telefonlarına reklam bildirimleri/aramaları yönlendirilmesinin önüne geçilmesini teminen ilke kararı alınması
Karar Tarihi : 16/10/2018
Karar No : 2018/119
Konu Özeti : Veri sorumluları ve veri işleyenler tarafından ilgili kişilerin e-posta adreslerine veya SMS ya da çağrı ile cep telefonlarına reklam bildirimleri/aramaları yönlendirilmesinin önüne geçilmesini teminen ilke kararı alınması

 

6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) hükümlerine aykırı olarak ilgili kişilerin açık rızaları alınmaksızın e-posta adreslerine veya SMS veya çağrı ile cep telefonlarına reklam bildirimleri/aramaları geldiği hususunda Kişisel Verileri Koruma Kurumuna (Kurum) intikal eden çok sayıda başvuru ile bu kapsamda yürütülmekte olan incelemeler çerçevesinde ulaşılan tespitler dikkate alınarak;

- İlgili kişilerin rızalarını almadan veya Kanunun 5 inci maddesinin (2) numaralı fıkrasında hüküm altına alınan işleme şartlarını sağlamadan, telefon numaralarına SMS göndermek, arama yapmak veya e-posta adreslerine posta göndermek suretiyle reklam içerikli ileti yönlendiren veri sorumluları ile veri sorumluları adına reklam içerikli mesaj/e-posta göndermek veya arama yapmak amacıyla ilgili kişilerin açık rızaları bulunmaksızın bu verileri kullanan veri işleyenlerin söz konusu veri işleme faaliyetlerini Kanunun 15 inci maddesinin (7) numaralı fıkrası uyarınca derhal durdurması gerektiği,

- Kanunun 12 nci maddesi kapsamında veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu ve kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, anılan tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumlu olduğu,

- Belirtilen şekilde söz konusu faaliyetlerde bulunan veri sorumluları hakkında Kanunun 18 inci maddesi hükümleri çerçevesinde işlem tesis edileceği,

- Bahse konu şekilde işlenen kişisel verilerin hukuka aykırı olarak elde edilmiş olabileceği de göz önüne alınarak 5237 sayılı Türk Ceza Kanununun “Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme” başlıklı 136 ncı maddesi çerçevesinde ilgili veri sorumluları hakkında gerekli hukuki işlemlerin tesisi için konunun 5271 sayılı Ceza Muhakemesi Kanununun 158 inci maddesi uyarınca ihbaren ilgili Cumhuriyet Başsavcılığına bildirileceği

hususlarında kamuoyunun bilgilendirilmesine ve bu İlke Kararının Kurumun internet sitesi ile Resmi Gazetede yayımlanmasına oy birliği ile karar verilmiştir.

19/07/2018 - 2018/88: Sicile kayıt yükümlülüğünün başlama tarihleri
Karar Tarihi : 19/07/2018
Karar No : 2018/88
Konu Özeti : Sicile kayıt yükümlülüğünün başlama tarihleri

 

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 16 ncı maddesinin (2) numaralı fıkrasında yer alan “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.” hükmü ile Kanunun Geçici 1 inci maddesinin 2 nci fıkrasında yer alan “Veri sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır.” hükmü göz önünde bulundurularak;

- Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.10.2018 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.09.2019 tarihine kadar süre verilmesinin kabulüne,

- Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.10.2018 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.09.2019 tarihine kadar süre verilmesinin kabulüne,

- Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.01.2019 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 31.03.2020 tarihine kadar süre verilmesinin kabulüne,

- Kamu kurum ve kuruluşu veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.04.2019 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.06.2020 tarihine kadar süre verilmesinin kabulüne

- Bu kararın Kurum internet sayfası ile Resmi Gazetede yayımlanmasına

oybirliği ile karar verilmiştir.

19/07/2018 - 2018/87: Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanların Sicile kayıt yükümlülüğünden istisna tutulması

Yayım Tarihi: 18.08.2018

6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin (2) numaralı fıkrasında yer alan “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.” hükmü ile 30 Aralık 2017 tarih ve 30286 sayılı Resmî Gazetede yayımlanarak yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmeliğin “İstisna Kriterleri” başlıklı 16 ncı maddesi göz önünde bulundurularak; 02.04.2018 tarihli ve 2018/32 sayılı Kurul Kararı ile istisna tutulan veri sorumlularına ilave olarak, yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanların; Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulmasına ve bu kararın Kurum internet sayfası ile Resmi Gazetede yayımlanmasına oybirliği ile karar verilmiştir.

05/07/2018 - 2018/75: Arabulucuların Veri Sorumluları Siciline Kayıt Zorunluluğundan İstisna Tutulması
Karar Tarihi 05/07/2018
Karar No : 2018/75
Konu Özeti : Adalet Bakanlığı Hukuk İşleri Genel Müdürlüğü Arabuluculuk Daire Başkanlığından alınan Arabulucuların Veri Sorumluları Siciline kayıt zorunluluğundan istisna tutulmasına ilişkin 25/05/2018 tarih ve 9235 sayılı görüş talebi

Adalet Bakanlığı Hukuk İşleri Genel Müdürlüğü Arabuluculuk Daire Başkanlığından alınan Arabulucuların Veri Sorumluları Siciline kayıt zorunluluğundan istisna tutulmasına ilişkin 25.05.2018 tarih ve 9235 sayılı taleplerinin incelenmesi neticesinde;

6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin (2) numaralı fıkrasında yer alan “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.” hükmü ile 30 Aralık 2017 tarih ve 30286 sayılı Resmî Gazetede yayımlanarak yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmeliğin “İstisna Kriterleri” başlıklı 16 ncı maddesi göz önünde bulundurularak; Arabulucular bakımından Veri Sorumluları Siciline kayıt yükümlülüğüne istisna getirilmesine ve Kararın Resmi Gazete ile Kurumun internet sayfasında yayımlanmasına oy birliği ile karar verilmiştir.

28/06/2018 - 2018/68: Gümrük Müşavirlerinin Sicile Kayıt İstisnası Hakkında görüş talebi
Karar Tarihi : 28/06/2018
Karar No : 2018/68
Konu Özeti : Gümrük Müşavirlerinin Sicile Kayıt İstisnası Hakkında görüş talebi

 

Ankara, Bursa, İstanbul, İzmir ve Mersin Gümrük Müşaviri Derneklerinin 25.05.2018 tarihli yazısında belirtilen, Kişisel Verileri Koruma Kurulunun 15.05.2018 tarihli Resmi Gazetede yayımlanan ve bazı veri sorumlularının Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulabileceğine ilişkin olarak verdiği karara istinaden gümrük müşavirleri ve yetkilendirilmiş gümrük müşavirlerinin de istisna kapsamına alınmasına ilişkin taleplerinin incelenmesi neticesinde;

6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin (2) numaralı fıkrasında yer alan “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.” hükmü ile 30 Aralık 2017 tarih ve 30286 sayılı Resmî Gazetede yayımlanarak yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmeliğin “İstisna Kriterleri” başlıklı 16 ncı maddesi göz önünde bulundurularak 4458 sayılı Gümrük Kanunu uyarınca faaliyet gösteren gümrük müşavirleri ve yetkilendirilmiş gümrük müşavirleri bakımından Veri Sorumluları Siciline kayıt yükümlülüğüne istisna getirilmesine ve Kararın Resmi Gazete ile Kurumun internet sayfasında yayımlanmasına oy birliği ile karar verilmiştir.

31/05/2018 - 2018/63: Veri sorumlusu nezdindeki kişisel verilere erişim yetkisi bulunan personelin yetkisi ve amacı dışında söz konusu verileri işlemesi hususunun değerlendirilmesi
Karar Tarihi : 31/05/2018
Karar No : 2018/63
Konu Özeti :Veri sorumlusu nezdindeki kişisel verilere erişim yetkisi bulunan personelin yetkisi ve amacı dışında söz konusu verileri işlemesi hususunun değerlendirilmesi

 

Veri sorumlusu nezdinde bulundukları pozisyon veya görev itibariyle kişisel verilere erişime yetkisi olanlar tarafından, yetkilerini aşarak ve işleme amacı dışında söz konusu verilerin işlendiği hususunda Kuruma intikal eden ihbar ve şikayetlere ilişkin yapılan değerlendirme sonucunda, uygulamada yaşanan problemlerin önüne geçilebilmesini teminen;

-      Bir veri sorumlusu nezdinde bulundukları pozisyon veya görev itibariyle kişisel verilere erişme yetkisi olanlar tarafından, yetkileri aşmak ve/veya yetkilerini kötüye kullanmak suretiyle, kişisel amaçlara veya nedenlere bağlı olarak işleme amacı dışında söz konusu kişisel verilerin işlenmesi ve/veya bu verilerin üçüncü kişilerle paylaşılması 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil edeceğinden, bu kapsamdaki eylemlerin önlenmesi amacıyla veri sorumlularınca uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirin alınması gerektiği hususunda veri sorumlularının bilgilendirilmesine,

-      Kanunun 15 nci maddesinin (6) numaralı fıkrası uyarınca alınan bu ilke kararının Resmi Gazete ile Kurumun internet sitesinde yayımlanmasına,

oy birliği ile karar verilmiştir.

02/04/2018 - 2018/32: Veri Sorumluları Siciline Kayıt Yükümlülüğünden İstisna Tutulacak Veri Sorumluları
Karar Tarihi : 02/04/2018
Karar No : 2018/32
Konu Özeti : 6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin ikinci fıkrası ile Veri Sorumluları Sicili Hakkında Yönetmeliğin 16 ncı maddesi uyarınca Veri Sorumluları Siciline kayıt yükümlülüğüne getirilecek istisnaların belirlenmesi

 

6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin ikinci fıkrası ile 30/12/2017 tarihli ve 30286 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmeliğin 16 ncı maddesine istinaden Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulacak veri sorumlularının ekte yer verildiği şekilde belirlenmesine ve Kararın Resmi Gazete ile Kurumun internet sitesinde yayımlanmasına karar verilmiştir.

02/04/2018 tarih ve 2018/32 sayılı Karar Eki Liste

  1. Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler.
  2. 18/01/1972 tarihli ve 1512 sayılı Noterlik Kanunu uyarınca faaliyet gösteren noterler.
  3. 04/11/2004 tarihli ve 5253 sayılı Dernekler Kanununa göre kurulmuş derneklerden, 20/02/2008 tarihli ve 5737 sayılı Vakıflar Kanununa göre kurulmuş vakıflardan ve 18/10/2012 tarihli 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler.
  4. 22/04/1983 tarihli ve 2820 sayılı Siyasi Partiler Kanununa göre kurulmuş siyasi partiler.
  5. 19/3/1969 tarihli ve 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar
  6. 1/6/1989 tarihli ve 3568 sayılı Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu uyarınca faaliyet gösteren Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler.
31/01/2018 - 2018/10: “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler”in görüşülmesi.
Karar Tarihi : 31/01/2018
Karar No : 2018/10
Konu Özeti : “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler”in görüşülmesi.

 

Kanunun 6 ncı maddesinin (4) numaralı fıkrası ile 22 nci maddesinin (1) numaralı fıkrasının (ç) bendi kapsamında hazırlanan “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” in ekte yer verilen şekilde kabulüne ve Resmi Gazetede yayımlanmasına oy birliği ile karar verilmiştir.

 

Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 6 ncı maddesinin (4) numaralı fıkrasında, “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” hükmü yer almaktadır.

Bu çerçevede, Kanunun 22 nci maddesinin (1) numaralı fıkrasının (ç) ve (e) bentleri uyarınca özel nitelikli kişisel veri işleyen veri sorumluları tarafından alınması gereken yeterli önlemler Kişisel Verileri Koruma Kurulu tarafından aşağıdaki şekilde belirlenmiştir:

1- Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi,

2- Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,

a) Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,

b) Gizlilik sözleşmelerinin yapılması,

c) Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması,

ç) Periyodik olarak yetki kontrollerinin gerçekleştirilmesi,

d) Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması,

3- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise

a) Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,

b) Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,

c) Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,

ç) Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,

d) Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,

e) Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması,

4- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise

a) Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması,

b) Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi,

5- Özel nitelikli kişisel veriler aktarılacaksa

a) Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,

b) Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması,

c) Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,

ç) Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerekir.

6- Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmalıdır.

21/12/2017 - 2017/61: Rehberlik Hizmeti Veren İnternet Sitelerinde/Uygulamalarda Kişisel Verilerin Korunması
Karar Tarihi : 21/12/2017
Karar No : 2017/61
Konu Özeti : Rehberlik Hizmeti Veren İnternet Sitelerinde/Uygulamalarda Kişisel Verilerin Korunması

 

6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) hükümlerine aykırı olarak ilgili kişilerin açık rızalarını almaksızın isimden telefon numarası veya telefon numarasından isim sorgulanması şeklinde rehberlik hizmeti veren internet siteleri ve uygulamalara ilişkin olarak Kişisel Verileri Koruma Kurumuna intikal eden ihbar ve şikâyetler kapsamında yapılan değerlendirme sonucunda; çeşitli uygulamalar, internet siteleri veya sosyal medya hesapları üzerinden kişisel verileri toplayarak bu verilerin paylaşımını sağlayan, isim sorgulandığında telefon numarası bilgisine, telefon numarası sorgulandığında da isim bilgisine erişme ve başkalarının telefon rehberinde nasıl kayıtlı olunduğunu öğrenme gibi konularda hizmet veren birçok uygulamanın ve internet sitesinin bulunduğu tespit edilmiştir.

Kanunun 3 üncü maddesinin (1) numaralı fıkrasının (e) bendinde “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” kişisel verilerin işlenmesi olarak düzenlenmiş olup sayılan eylemlerden birinin gerçekleştirilebilmesi için öncelikle Kanunun 5 ve 6 ncı maddelerinde sayılan işlenme şartlarından birinin bulunması, ayrıca Kanun ile öngörülen diğer yükümlülüklerin yerine getirilmesi gerekmektedir.

Bu kapsamda;

- Kanunda ve ilgili mevzuatta dayanağı bulunmaksızın ilgili kişilerin iletişim bilgilerinin paylaşımını yapan internet siteleri ve mobil uygulamalar tarafından gerçekleştirilen veri işleme faaliyetinin Kanunun 15 inci maddesinin (7) numaralı fıkrası uyarınca derhal durdurulması gerektiği,

- Belirtilen şekilde söz konusu faaliyetlerde bulunan internet sitelerinin/uygulamaların faaliyetlerine son vermediğine ilişkin bilgi edinilmesi halinde bu internet sitelerine/uygulamalara erişimin engellenmesi adına gereğinin yapılmasını teminen yetkili kurumlara başvuruda bulunulacağı, öte yandan kişisel verilerin hukuka aykırı olarak elde edilmiş olabileceği de dikkate alınarak, 5237 sayılı Türk Ceza Kanununun “Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme” başlıklı 136 ncı maddesi çerçevesinde ilgili internet siteleri/uygulamalar hakkında gerekli hukuki işlemlerin tesisi için konunun Ceza Muhakemesi Kanununun 158 inci maddesi uyarınca ihbaren Cumhuriyet Başsavcılığına bildirileceği

hususlarında kamuoyunun bilgilendirilmesine,

- Kanunun 15 inci maddesinin (6) numaralı fıkrası uyarınca alınan bu ilke kararının Resmi Gazete ile Kurumun internet sitesinde yayımlanmasına ve bu karara uymayanlar hakkında Kanunun 18 inci maddesi kapsamında işlem yapılacağına

oy birliği ile karar verilmiştir.

21/12/2017 - 2017/62: Banko, Gişe, Masa gibi Hizmet Alanlarında Kişisel Verilerin Korunması
Karar Tarihi : 21/12/2017
Karar No : 2017/62
Konu Özeti : Banko, Gişe, Masa gibi Hizmet Alanlarında Kişisel Verilerin Korunması

 

Banko, gişe ve masa gibi vatandaşa hizmet sunulan alanlarda yaşanan kişisel veri güvenliği ihlallerine ilişkin olarak Kişisel Verileri Koruma Kurumuna intikal eden ihbarlar kapsamında yapılan değerlendirme sonucunda, uygulamada yaşanan problemlerin önüne geçilmesini teminen;

- Bankacılık ve sağlık sektörleri başta olmak üzere birden fazla çalışan ile birlikte bitişik düzende hizmet veren posta ve kargo hizmetleri, turizm acenteleri, zincir mağazaların müşteri hizmetleri bölümleri, çeşitli abonelik işlemlerinin yapıldığı kuruluşlar ile belediye, vergi ve nüfus ile ilgili işlemler gibi hizmetlerin verildiği kamu ve özel sektör kurum ve kuruluşlarının, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesi uyarınca kişisel verilerin korunması ile ilgili olarak; banko/gişe/masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda birbirlerine yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymasını, görmesini, öğrenmesini veya ele geçirmesini engelleyecek nitelikte gerekli teknik ve idari tedbirleri almasına,

- Kanunun 15 inci maddesinin (6) numaralı fıkrası uyarınca alınan bu ilke kararının Resmi Gazete ile Kurumun internet sitesinde yayımlanmasına ve bu karara uymayanlar hakkında Kanunun 18 inci maddesi kapsamında işlem yapılacağına

oy birliği ile karar verilmiştir.


Karar Özetleri:

25.03.2021: “Bir kozmetik şirketinin veri ihlal bildirimi hakkında”
Karar Tarihi : 25/03/2021
Karar No : 2021/311
Konu Özeti : Bir kozmetik şirketinin veri ihlal bildirimi hakkında karar

 

Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;

  • 18.05.2020 tarihinde, veri sorumlusunun internet sitesinde yer alan yeni bir kampanya sebebiyle siteye yüksek erişim sağlandığı ve uygulama sunucularının yetersiz kaldığı,
  • Veri işleyen tarafından yeni uygulama sunucuları eklenirken, sitenin çalışmaması ihtimali gözetilerek sitenin mevcut halinin kopyalarının çıkarıldığı,
  • Bu işlem gerçekleştirilirken; sitenin statik sayfasının kopyasının alınmasının ve yeni uygulama sunucuları eklenirken müşterilere sayfanın statik kopyasının gösterilmesinin amaçlandığı,
  • Bu işlem esnasında; DDos ataklarını önlemek için kullanılan ve veri işleyenin üçüncü kişiden aldığı hizmetin içinde tanımlandığı gibi çalışmayan bir fonksiyon sebebiyle yalnızca mevcut ara yüzün değil kullanıcı profillerinin de bir kopyasının oluştuğu ve üye olarak giriş yapan kullanıcılara rastgele kopyası alınan kullanıcı profillerinin bilgilerinin görünür olduğu, 
  • Görüntülenen profillerde adı-soyadı, e-posta, adres gibi kişisel veriler yer aldığı, kredi kartı gibi finansal hiçbir kişisel veri bulunmadığı, 
  • Sitenin olağan dışı davranışlarının tüketiciler ve merkez ofis ekip tarafından veri sorumlusunun çağrı merkezine gelen bildirimlerle kısa sürede fark edildiği ve düzeltmek için yapılan çalışmalar neticesinde, saat 17.00’de sitedeki sorunların giderildiği, 17.00’de erişime kapatılan sitenin, 17.48’de tekrar normal çalışma düzenine çekildiği, 
  • Bu 48 dakikalık süre zarfı boyunca, sitede üye girişi yapmış müşterilerin, kendi kişisel verileri yerine kopyalama yapıldığı ana denk gelen tüketicilerin kopyası alınan profillerindeki kişisel verilerini görmüş olma ihtimali bulunduğu,
  • Ancak bu süreçte alınan kopyaların herhangi bir sistemde saklanmadığı için kaç kişinin hangi üyelerin profilini görmüş olabileceği hakkında net bir sayının belirtilemediği, toplamda 24 kişinin bilgisinin farklı üyeler tarafından görünür olduğunun öngörüldüğü

ifadelerine yer verilmiştir.

Veri ihlal bildiriminin Kurumumuzun yetki ve görev alanı çerçevesinde incelenmesi neticesinde; Kişisel Verileri Koruma Kurulunun 25.03.2021 tarih ve 2021/311 sayılı Kararı ile;

  • Kaç kişinin hangi üyelerin profilini görmüş olabileceği hakkında net bir sayı belirtilemediği ve oluşan hatanın kampanya sırasında ve yoğunluğun yüksek düzeyde olduğu dakikalarda olmasından ötürü bu kişilerin kişisel verilerin çok sayıda kişi tarafından görünmüş olabileceği,
  • Fonksiyonun canlı ortama alınmadan önce teste tabi tutulmuş olmasına rağmen bu testin sınırlı sayıda kullanıcı ile yapıldığı, veri sorumlusu tarafından kampanya sebebiyle yoğunluğun yüksek olacağının öngörülerek, bu yoğunluğa uygun bir şekilde yazılımın kontrollerinin gerçekleştirilmesinin ardından uygulamaya konulması gerektiği ayrıca veri sorumlusu tarafından sitede yapılacak değişiklik ve güncellemelerin sitenin yoğun çalıştığı zaman diliminde yapılmayıp siteye girişin en düşük olduğu saatlerde ve bu tarz ihlallerin yaşanmaması adına sitenin kapatılarak yapılması gerektiği ancak veri sorumlusunun ihlale sebebiyet veren olayda buna uymadığı, açıklanan bu durumların Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nde 3.5. Bilgi Teknolojileri Sistemleri Tedariği, Geliştirme ve Bakımı başlığı altında belirtilen “Veri sorumlusu tarafından yeni sistemlerin tedariği, geliştirilmesi veya mevcut sistemlerin iyileştirilmesi ile ilgili ihtiyaçlar belirlenirken güvenlik gereksinimleri göz önüne alınmalıdır. Uygulama sistemlerinin girdilerinin doğru ve uygun olduğuna dair kontroller yapılmalı, doğru girilmiş bilginin işlem sırasında oluşan hata sonucunda veya kasıtlı olarak bozulup bozulmadığını kontrol etmek için uygulamalara kontrol mekanizmaları yerleştirilmelidir. Uygulamalar, işlem sırasında oluşacak hataların veri bütünlüğünü bozma olasılığını asgari düzeye indirecek şekilde tasarlanmalıdır.” ifadelerine uygun düşmediği, 
  • Bunların yanında veri sorumlusunun kullanıcıların kişisel verilerini maskeleyerek veya şifreleyerek saklaması gerekirken Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) 4.1. Teknik Tedbirler Özet Tablosu’nda da yer verilen “şifreleme ve veri maskeleme” önlemlerini ancak ihlalden sonra almayı planladığı
  • Yukarıda sayılan gerekçelerin veri sorumlusunun Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nde 2.1. Mevcut Risk ve Tehditlerin Belirlenmesi başlığı altında belirtilen “…bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerekmektedir.” şeklinde belirtilen risk odaklı yaklaşım çerçevesinde ve veri sorumlusu yükümlülüklerine uygun hareket etmediğinin göstergesi olduğu,

dikkate alındığında, Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 200.000 TL idari para cezası uygulanmasına,

  • Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10 sayılı Kararı ile belirlenen veri ihlalinin öğrenilmesinden itibaren başlayan 72 saatlik süre içerisinde veri sorumlusunun Kuruma bildirimde bulunduğu,
  • Veri sorumlusu tarafından veri ihlaline ilişkin bildirim yapılması amacıyla ilgili kişilere e-posta gönderildiği, gönderilen e-postanın Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/271 sayılı Kararında belirtilen bildirimde bulunması gereken asgari unsurları taşıdığı

dikkate alındığında, Kanunun 12 nci maddesinin (5) numaralı fıkrası uyarınca, bu aşamada yapılacak bir işlem olmadığına 

karar verilmiştir.

04.03.2021: “Bankacılık sektöründeki veri sorumlusunun veri ihlal bildirimi hakkında”
Karar Tarihi : 04/03/2021
Karar No : 2021/190
Konu Özeti : Bankacılık sektöründeki veri sorumlusunun veri ihlal bildirimi hakkında

 

Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;

  • Bir müşteri şikayeti üzerine Banka tarafından yapılan inceleme neticesinde, bir şube çalışanının kendisine tanımlanan Müşteri Bilgileri ve Belgeleri gözlem yetkisini, Banka erişim ve bilgi güvenliği politikalarına, verilen sınıf içi ve çevrimiçi eğitimlere, Banka ile olan iş sözleşmelerine ve ilgili menüye erişmeden önce çıkan uyarı mesajına aykırı şekilde, söz konusu müşterinin kimlik görüntüsünün amacı dışında gözlemlemesi; müşteriye ait gözlemlenen bilgilerin çalışanın şahsi cep telefonu ile fotoğrafının çekilmesi ve çalışan tarafından üçüncü kişiyle paylaşması suretiyle veri ihlali gerçekleştiği,
  • Söz konusu olayda Banka sistemleriyle ilgili herhangi bir güvenlik açığının bulunmadığı, ihlalin çalışanın münferit davranışlarından kaynaklı olduğu sonucuna varıldığı,
  • Veri ihlalinin, bir şube çalışanının kendisine tanımlanan Müşteri Bilgileri ve Belgeleri gözlem yetkisini amacı dışında kullanmasından ve 1 (bir) müşterinin kimlik bilgilerini yetkisiz kişiyle paylaşmasından kaynaklandığı,
  • İhlal ile ilgili olan çalışanların Bilgi Güvenliği Farkındalığı Eğitimi ve Kişisel Verilerin İşlenmesi ve Korunmasında Temel Kavramlar Eğitimi aldığı

ifadelerine yer verilmiştir.

Veri ihlal bildiriminin Kurumumuzun yetki ve görev alanı çerçevesinde incelenmesi neticesinde; Kişisel Verileri Koruma Kurulunun 04.03.2021 tarih ve 2021/190 sayılı Kararı ile;

  • Bulunduğu görev pozisyonundan yararlanarak olaya konu Takım Lideri’nin şikayette bulunan ilgili kişinin bilgilerine erişebildiği ve yetkisini kötüye kullanabildiği, bu durumun veri sorumlusu tarafından verilen veri gizliliği ve güvenliği eğitimlerine rağmen söz konusu çalışanın rol ve sorumlulukları hakkındaki farkındalığının sağlanamadığı göz önünde bulundurulduğunda Kurumumuzun yayınlamış olduğu Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nin Çalışanların Eğitilmesi ve Farkındalık Çalışmaları başlığı altındaki “Veri sorumlusu nezdinde çalışan herkesin hangi konumda çalıştığına bakılmaksızın kişisel veri güvenliğine ilişkin rol ve sorumlulukları, görev tanımlarında belirlenmeli ve çalışanların bu konudaki rol ve sorumluluğunun farkında olması sağlanmalıdır.” düzenlemelerine aykırılık teşkil ettiği, 
  • Bankada Takım Lideri olarak çalışan personelin veri ihlali öncesinde müşteri bilgilerini istenilen sıklıkta ve sayıda sorgulama yaparak görüntüleyebildikleri ve bu durumun çalışan personel tarafından müşterilerin kişisel verilerinin ihlaline sebebiyet verebilecek bir durum olduğu ve bu durumun Kurumumuzun yayınlamış olduğu Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nin Çalışanların Eğitilmesi ve Farkındalık Çalışmaları başlığı altındaki “… kişisel veri içeren ortamlara erişim hakkı verilirken veya bu konuda kurum kültürü oluşturulurken “Yasaklanmadıkça Her Şey Serbesttir” prensibi değil, “İzin Verilmedikçe Her Şey Yasaktır” prensibine uygun hareket edilmesine dikkat edilmelidir” hususuna aykırılık teşkil ettiği,
  • Risk Merkezi verilerinin sorgulanmasına yönelik sorgulama yapılabilecek kayıt sayısı/kota belirleme işlemlerinin veri ihlalinden önce yapılmadığı, söz konusu ihlalden ancak yaklaşık iki yıl sonra çalışanlar için sorgulama kota limiti oluşturulduğu ve diğer müşteri sorgulamalarına kota oluşturulmasına yönelik çalışmalara halen devam edildiği,
  • Veri sorumlusu bünyesinde Çağrı Merkezi Takım Lideri olarak görev yapan çalışanların, müşterilerin rızası dışında, müşteri bilgilerine sınırsız sayıda sorgulama yaparak erişebildiği, söz konusu çalışanlar için gerekli ölçüde yetki verilmediği dikkate alındığında Kurumumuzun yayınlamış olduğu Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nin Siber Güvenliğin Sağlanması başlığı altındaki “… kişisel veri içeren sistemlere erişimin de sınırlı olması gerekmektedir. Bu kapsamda çalışanlara, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmalı ve … ilgili sistemlere erişim sağlanmalıdır.” tedbirlerine aykırılık teşkil ettiği,
  • Veri ihlali sonrasında, başka şube müşterisinin bilgilerini sorgulamak isteyen çalışanlara erişecekleri verileri iş ihtiyacı kapsamında ve görev tanımıyla uyumlu bir şekilde kullanabileceklerine dair uyarı sisteminin geliştirildiği, veri ihlali öncesinde herhangi bir uyarı sistemi kullanılmadığı 

hususları dikkate alındığında, Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına

karar verilmiştir.

04.03.2021: “Bir sigorta şirketinin veri ihlal bildirimi hakkında”
Karar Tarihi : 04/03/2021
Karar No : 2021/187
Konu Özeti : Bir sigorta şirketinin veri ihlal bildirimi hakkında karar

 

Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;

  • İhlalin nasıl gerçekleştiği hakkında;
    • Bir emeklilik hizmeti kapsamında veri sorumlusunun müşterisi olan bazı firmalara sigorta hizmetine dâhil olan çalışanlarına dair “Rapor” iletildiği,
    • Veri sorumlusunun bilgi sistemleri hizmeti aldığı destek hizmeti sağlayıcısında meydana gelen sistemsel hata nedeniyle;
      • Sistem hizmeti kapsamında veri sorumlusunun müşterisi olan bazı firmalar ile "Rapor" ilişkilendirmesinde teknik bir hata nedeniyle sorun yaşandığı,
      • Sistem hizmeti kapsamındaki 28 müşteri şirkete, diğer 31 müşteri şirketin sisteme dâhil çalışanlarına dair "Rapor" dosyası gönderildiği,
      • "Raporu" seçen sorgunun hatalı çalışması" neticesinde, sistem kapsamında olan 31 işveren şirketin çalışanı 681 adet gerçek kişi müşterisine alt bilgilerin, yine sistem kapsamındaki 28 işveren şirkete, sistemsel olarak hatalı şekilde gönderildiği,
  • İhlalin raporu alan müşteri firmanın konu hakkında telefonda bilgi vermesi sonucu tespit edildiği,
  • İlgili dosyaya erişim sağlayan ve ihlali veri sorumlusuna bildiren firmanın telefon kanalı ile yapılan çağrı esnasında 19.02.2020 saat 09.55’te ihlal hakkında bilgi verdiği, 
  • Bu firmaya da ihlalden etkilenen tüm firmalara olduğu gibi bilgilendirme yapıldığı ve sehven gönderilen bilgilerin silinmesi gerektiğinin tekrarlandığı,
  • İhlale konu yazılımın canlıya alınmadan önce test edildiği,
  • İhlalden etkilenen kişisel verilerin TCKN / Mavi Kart No,  Ad – Soyad, Planlanan Ara Verme Bitiş Tarihi Sözleşme Durumu bilgilerinin olduğu

ifadelerine yer verilmiştir.

Veri ihlal bildiriminin Kurumumuzun yetki ve görev alanı çerçevesinde incelenmesi neticesinde; Kişisel Verileri Koruma Kurulunun 04.03.2021 tarih ve 2021/187 sayılı Kararı ile;

  • Veri sorumlusunun bilgi sistem destek hizmeti aldığı veri işleyende meydana gelen sistemsel bir hata sonucu sorgunun hatalı çalışması nedeniyle emeklilik hizmeti kapsamında müşteri olan 31 işveren şirketin çalışanı olan 681 ilgili kişinin kişisel verilerini yine emeklilik kapsamında müşterilere gönderdiği (müşteri olan 28 işveren şirkete gönderilmiştir),
  • Veri ihlaline sebep olan sistemsel hatanın uygulama yazılımından kaynaklanması sebebiyle, Kurumumuz tarafından yayınlanan Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nde 3.5. Bilgi Teknolojileri Sistemleri Tedariği, Geliştirme ve Bakımı başlığı altında yer alan “Veri sorumlusu tarafından yeni sistemlerin tedariki, geliştirilmesi veya mevcut sistemlerin iyileştirilmesi ile ilgili ihtiyaçlar belirlenirken güvenlik gereksinimleri göz önüne alınmalıdır. Uygulama sistemlerinin girdilerinin doğru ve uygun olduğuna dair kontroller yapılmalı, doğru girilmiş bilginin işlem sırasında oluşan hata sonucunda veya kasıtlı olarak bozulup bozulmadığını kontrol etmek için uygulamalara kontrol mekanizmaları yerleştirilmelidir.” ifadesi gereği, bu tip hataların işlem yayına alınmadan evvel düzeltilmesi gerektiği, ihlale konu olaydan önce tespitinin yapılamadığı,
  • İhlale konu olayın gerçekleşme tarihi (18.01.2018) ile tespit tarihi (19.02.2020) arasında yaklaşık 2 yıllık bir gecikmenin bulunduğu hususunun, Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nde 3.2. Kişisel Veri Güvenliğinin Takibi başlığında “…raporlama sürecinde oluşturulacak raporlar, sistem tarafından oluşturulacak otomatik raporlar olabilir. Bu raporların sistem yöneticisi tarafından en kısa sürede toplulaştırılarak veri sorumlusuna sunulması gerekmektedir. Ayrıca güvenlik yazılımı mesajları, erişim kontrolü kayıtları ve diğer raporlama araçlarının düzenli olarak kontrol edilmesi, bu sistemlerden gelen uyarılar üzerine harekete geçilmesi…” ifadesi gereği veri sorumlusunun gerekli kontrol ve denetimleri zamanında yapmadığının göstergesi olduğu,
  • İhlalin raporu alan müşteri firmanın konu hakkında veri sorumlusuna bilgi vermesi sonucu tespit edildiği, veri sorumlusu tarafından kendiliğinden tespit edilemediği, bu durumun da Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nde 3.2. Kişisel Veri Güvenliğinin Takibi başlığı altında belirtilen “Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi gerekmektedir” ifadesine uymadığının bir göstergesi olduğu

hususları dikkate alındığında, Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 125.000 TL idari para cezası uygulanmasına,

  • İhlale sebep olan sistemdeki hatanın 18.01.2018 ve 19.02.2020 tarihleri arasında gerçekleştiği, 19.02.2020 tarihinde ilgili dosyaya erişim sağlayan Şirket tarafından veri sorumlusuna bilgi verilmesi sonucu ihlalden haberdar olunduğu, 21.02.2020 tarihinde Kurumumuza e-posta yoluyla veri ihlal bildiriminde bulunulduğu, ilgili yazının Kurum kayıtlarına 24.02.2020 tarihinde girdiği, bu açıdan veri sorumlusunun Kurulun 24.01.2019 tarih ve 2019/10 sayılı Kararı ile belirlenen veri ihlalinin öğrenilmesinden itibaren başlayan 72 saatlik süre içerisinde bildirim koşulunun sağlandığı,
  • İhlalden etkilenen ilgili kişilere 28.02.2020 tarihinde e-posta olarak bildirim yapılmaya başlandığı, e-posta bilgisi olmayan kişilere arama yapıldığı, görüşme yapılan tarih ve saatler ile bilgilendirme metin örneğinin tarafımıza gönderildiği 

görülmekle birlikte, ilgili kişilere yapılacak bildirimin Kurulun 18.09.2019 tarih ve 2019/271 sayılı Kararı ile belirlenen asgari unsurlardan ihlalin ne zaman gerçekleştiği, kişisel veri kategorileri bazında (kişisel veri / özel nitelikli kişisel veri ayrımı yapılarak) hangi kişisel verilerin ihlalden etkilendiği, kişisel veri ihlalinin olası sonuçları, veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler hususlarında eksiklikler olduğu dikkate alındığında bundan sonra ilgili kişilere yapılacak bildirimlerde Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/271 sayılı Kararına uygun olarak bildirimde bulunulması hususunda veri sorumlusunun talimatlandırılmasına 

karar verilmiştir.

25.02.2021: “Bir sigorta şirketinin veri ihlal bildirimi hakkında”
Karar Tarihi : 25/02/2021
Karar No : 2021/154
Konu Özeti : Bir sigorta şirketinin veri ihlal bildirimi hakkında

 

Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;

  • İhlalin; veri sorumlusunun eski bir çalışanının görevi gereği erişimi bulunan bazı müşterilere ait kişisel verileri kurumsal e-posta adresinden gmail uzantılı şahsi e-posta adresine 3 ayrı tarihte ve 3 ayrı excel dosyasında göndermesiyle gerçekleştiği,
  • İhlalin; veri sorumlusu tarafından tespit edilemeyip, eski çalışanın ihlale konu kişisel verileri çalışmaya başladığı yeni işyeri e-posta adresine göndermesi üzerine yeni işveren tarafında tespit edildiği, 
  • İhlalden etkilenen kişisel verilerin kimlik, iletişim ve araç plaka numaraları olduğu,
  • İhlalden etkilenen kişi sayısının 544 olduğu ve bu kişilerden 422’sine ulaşılarak ihlalin gerçekleşme tarihi, kapsamı ve muhtemel etkileri hakkında bizzat bilgi verildiği,
  • Veri sorumlusunun acentelik faaliyetleri kapsamında, ilgili çalışanlar tarafından işleri gereği müşterilere poliçe gönderimleri yapılması nedeni ile yoğun bir şekilde şirket dışına eposta gönderiminin yapıldığı, bu nedenle ihlal kapsamına alınabilecek olayların bu dönemde derhal fark edilemediği

ifadelerine yer verilmiştir.

Veri ihlal bildiriminin Kurumumuzun yetki ve görev alanı çerçevesinde incelenmesi neticesinde; Kişisel Verileri Koruma Kurulunun 25/02/2021 tarih ve 2021/154 sayılı Kararı ile,

  • İhlalin eski çalışanın işinden ayrıldıktan sonra çalışmaya başladığı şirketin ilgili birimleri tarafından tespit edilip veri sorumlusuna bildirdiği,  
  • İhlalden 544 müşteriye ait; kimlik, iletişim ve araç plaka numaralarının etkilendiği, 
  • DLP sistemleri ile; belirli adedin üstünde T.C. Kimlik Numarası, kredi kartı numarası, IBAN, telefon numarası, e-posta adresi gibi kişisel verilerin bulunduğu belgelerin e-posta ile kurum dışına gönderilmesinin engellenmesinin mümkün olduğu, hatta veri sorumlusunun 2017 yılında bazı çalışanlara göndermiş olduğu e-postada; TCKN bilgileri, Kredi Kartı bilgileri ve IBAN bilgilerinin kurum içindeki hareketini ve dışına çıkışının izleneceği ve engelleneceğinin ifade edilmiş olduğu hususlarına rağmen, veri sorumlusunun DLP sisteminin ihlale konu e-postaların gönderilmesini engelleyememiş olmasının "Kişisel Veri Güvenliği Rehberi”nin “Siber Güvenliğin Sağlanması” başlığı altında yer alan “…her yazılım ve donanımın bir takım kurulum ve yapılandırma işlemlerine tabi tutulması gerekmektedir.” ifadesine aykırı olarak bu sistemin doğru yapılandırılmadığını gösterdiği, 
  • Eski çalışanın kendi kişisel e-posta adresine yapmış olduğu son e-posta gönderiminin, bu tarihten 1 ay sonra, işten ayrılmasından dolayı hesabının kapatılması nedeniyle DLP Raporuna yansımamasının "Kişisel Veri Güvenliği Rehberi”nin “Kişisel Veri Güvenliğinin Takibi” başlığı altında yer alan “Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması…”gerekmektedir ifadesine aykırılık teşkil ettiği, 
  • İhlale konu e-posta gönderimlerinin; kasım ve  aralık aylarında gerçekleştirilmesine rağmen, 24.12.2019 tarihine kadar tespit edilemediği ve bu tarihteki tespitin de yeni çalışmaya başladığı şirket tarafından yapılıp, veri sorumlusuna bildirilmiş olduğu hususu ile 2017 yılında bazı çalışanlara gönderilen e-postada;  DLP raporlarının departman yöneticileri ile paylaşılacağı ve ilgili veri paylaşımlarından bilgileri olup olmadığı sorulacağı ifade edilmesine rağmen, 2018 yılına ait iki DLP raporunda da dosyaların bulunduğu e-postalar hakkında personelin yöneticisine bildirim yapılmadığı hususlarının Veri Güvenliği Rehberi”nin “Kişisel Veri Güvenliğinin Takibi” başlığı altında yer alan “…erişim kontrolü kayıtları ve diğer raporlama araçlarının düzenli olarak kontrol edilmesi… gerekmektedir.” ifadesine aykırı olarak gerekli kontrollerin sağlanmadığını gösterdiği, 
  • İhlal ile ilgili olan eski çalışana online kişisel veri koruma eğitimi açılmasına rağmen çalışanın 2 ay boyunca bu eğitime başlamadan işten ayrıldığı, bunun yanında eski çalışanın da içinde bulunduğu kullanıcılar grubuna bilgilendirmeler yapılmakla birlikte ilk bildirimde bilgilendirmede kişisel verilere ilişkin tanımlara yer verilip Kurumumuz internet sayfasında yer alan videoların bağlantısının paylaşıldığı, ikinci bilgilendirmede ise sadece ilgili kişilerin hak ve yükümlülüklerinin yer aldığı dikkate alındığında “Kişisel Veri Güvenliği Rehberi”nin “Çalışanların Eğitilmesi ve Farkındalık Çalışmaları” başlığı altında düzenlenen “… çalışanların kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi konular hakkında eğitim almaları, çalışanlara yönelik farkındalık çalışmaları yapılması ve güvenlik risklerinin belirlenebildiği bir ortam oluşturulması kişisel veri güvenliğinin sağlanması bakımından çok önemlidir.” ifadesine aykırı olarak çalışana yönelik yapılan bilgilendirmelerin kişisel verilerin korunması hakkında bir takım genel hükümlerden ibaret olup, çalışanların kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi örneklendirilen temel konuları dahi içermediği hususlarının veri sorumlusunun kişisel verilerin korunması hakkında eğitim verilmesine yeterli önemi vermediğini gösterdiği  

dikkate alındığında, Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca, 150.000 TL idari para cezası uygulanmasına 

  • İhlalin; 24.12.2019 tarihinde tespit edildiği ve 27.12.2019 tarihinde Kurumumuza bildirildiği dikkate alındığında Kurul’un 24.01.2019 tarih ve 2019/10 sayılı Kararı ile belirlenen veri ihlalinin öğrenilmesinden itibaren başlayan 72 saatlik süre içerisinde bildirim koşulunun sağlandığı dolayısıyla Kanun kapsamında yapılacak bir işlem olmadığına,
  • Öte yandan, veri sorumlusu tarafından bundan sonra ilgili kişilere yapılacak bildirimlerin Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/271 sayılı Kararına uygun olarak yapılmasına dikkat edilmesi hususunun veri sorumlusuna hatırlatılmasına 

karar verilmiştir.

29.09.2020: “Bir Bankanın veri ihlal bildirimi hakkında”
Karar Tarihi : 29/09/2020
Karar No : 2020/744
Konu Özeti : Bir bankanın veri ihlal bildirimi hakkında

 

Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;

  • Veri ihlalinin, Bankanın Veri Sızıntısı ekibi tarafından Teftiş Kurulu Başkanlığı’na iletilen bildirime istinaden soruşturma çalışmalarına başlanılarak tespit edildiği,
  • Çalışanın veri sorumlusu nezdinde kullandığı e-posta adresine gelen ve ilgili adresten iletilen e-postalara ilişkin kayıtların incelenmesi neticesinde çalışanın 346 müşteriye ait bilgileri bir word dokümanına işlediği ve söz konusu dokümanı e-posta ile bir yatırım firmasında çalıştığını ve arkadaşı olduğunu iddia ettiği 3. kişiye gönderdiği,  
  • Söz konusu müşterilerin hepsinin bir yatırım şirketine para transferlerinin bulunduğu, 
  • İhlalden etkilenen kişisel veri kategorilerinin kimlik, iletişim, müşteri işlem ve finans verileri olduğu,
  • Verileri paylaşılan müşterilerin ihlale sebebiyet veren çalışanın ilişkili olduğu şubenin müşterileri olmadığı, bu nedenle çalışanın verileri toplaması ve paylaşmasının mesnedinin bulunmadığı

ifadelerine yer verilmiştir.

Veri ihlal bildiriminin Kurumumuzun yetki ve görev alanı çerçevesinde incelenmesi neticesinde; Kişisel Verileri Koruma Kurulunun 29/09/2020 tarih ve 2020/744 sayılı Kararı ile,

  • İhlalden 346 Banka müşterisinin şube no, hesap no, ad-soyadı,  cep telefonu numarası ve bu müşterilerin Bankadaki hesaplarından bir yatırım firması hesabına gönderdikleri yatırım işlemi tutar bilgilerinin etkilendiği,
  • İhlal ile ilgili olan personelin veri ihlalinin gerçekleşmesinden 1 seneyi aşkın süre önce 09.10.2018 tarihinde “Kişisel Verilerin Korunması Kanunu” eğitimini tamamlamış olmasına rağmen, bahse konu eğitimden sonra bizzat ihlali gerçekleştirmiş olmasının verilen eğitimin yeterli ve etkin olmadığı hususunda şüphe oluşturduğu, 
  • Banka dışına giden e-postalara ilişkin Veri Sızıntısı Tespit/Önleme Sisteminin mevcut olduğunun belirtilmesine rağmen söz konusu ihlale neden olan e-postanın DLP sistemleri tarafından engellenmemesi ve ihlale sebep olan çalışanın kişisel verilerin aktarımı gerçekleştirilebildiği dikkate alındığında, Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nde “Mevcut Risk ve Tehditlerin Belirlenmesi” başlığı altında yer alan “Kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerekmektedir. Bu riskler belirlenirken; - Kişisel verilerin özel nitelikli kişisel veri olup olmadığı, - Mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği, - Güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği dikkate alınmalıdır. Bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra; söz konusu risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri; maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda değerlendirilmeli, gerekli teknik ve idari tedbirler planlanarak uygulamaya konulmalıdır.”, ifadeleri uyarınca yetkisiz olarak kişisel veri aktarımı önleme açısından veri sorumlusunun almış olduğu tedbirlerin yetersiz kaldığı,
  • Banka tarafından alınan idari ve teknik tedbirlere rağmen Banka personelinin 346 müşteriye ait kişisel verileri, işlenme amacı dışında üçüncü taraflara iletebildiği ve bu durumun, Kişisel Verileri Koruma Kurulu’nun 31/05/2018 tarih ve 2018/63 sayılı ilke kararında “…Bir veri sorumlusu nezdinde bulundukları pozisyon veya görev itibariyle kişisel verilere erişme yetkisi olanlar tarafından, yetkileri aşmak ve/veya yetkilerini kötüye kullanmak suretiyle, kişisel amaçlara veya nedenlere bağlı olarak işleme amacı dışında söz konusu kişisel verilerin işlenmesi ve/veya bu verilerin üçüncü kişilerle paylaşılması 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil edeceğinden, bu kapsamdaki eylemlerin önlenmesi amacıyla veri sorumlularınca uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirin alınması gerektiği…” ifadelerine aykırı olarak veri güvenliğini sağlamaya yönelik veri sorumlusunun almış olduğu teknik ve idari tedbirlerin yetersiz kaldığının göstergesi olduğu

dikkate alındığında, Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 225.000 TL, 

  • İlgili kişilere gerekli bildirimlerin yapıldığı ve söz konusu bildirim örneklerinin tarafımıza gönderildiği,
  • Ancak, ihlalin 31.10.2019 tarihinde gerçekleştiği ve  Bankanın Teknoloji Veri Sızıntısı ekibi tarafından 04.11.2019 tarihinde Teftiş Kurulu Başkanlığı’na iletildiği, veri sorumlusunun Kurumumuza bildirimi 06.12.2019 tarihinde gerçekleştirdiği dikkate alındığında Kurul’un 24.01.2019 tarih ve 2019/10 sayılı Kararı ile belirlenen veri ihlalinin öğrenilmesinden itibaren başlayan 72 saatlik süre içerisinde bildirim koşulunun sağlanmadığı

dikkate alındığında, Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” (24.01.2019 tarih ve 2019/10 sayılı Kurul kararında belirtilen 72 saatlik süre içerisinde) bildirimde bulunma yükümlülüğüne aykırı hareket etmesi nedeniyle veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 50.000 TL

olmak üzere toplam 275.000 TL idari para cezası uygulanmasına

karar verilmiştir.

30.06.2020: “Bir sigorta şirketinin veri ihlal bildirimi hakkında”
Karar Tarihi : 30/06/2020
Karar No : 2020/511
Konu Özeti : Bir sigorta şirketinin veri ihlal bildirimi hakkında

 

Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;

  • Sağlık sigortası müşterilerine yönelik eczane provizyon uygulamasının 2018 yılında değiştirilmesi esnasında, sürekli ilaç kullanım raporu olan 683 farklı müşterinin ilaç geçmişinin yeni sisteme aktarılması amacıyla toplu bir liste hazırlanması gerektiği,
  • Bu amaçla ilgili kişilerin kimlik ve ilaç kullanım bilgilerinin yer aldığı bir excel dosyasının oluşturulduğu,
  • Söz konusu dosyada yer alan bilgilerin provizyon uygulamasına kişi bazlı olarak girilir iken ilgili dosyanın aynı zamanda provizyon sistemine entegre olarak çalışan doküman yönetim sistemine excel dokümanı olarak sehven bütün halinde yüklendiği, 
  • İhlalden etkilenen kişi sayısının 683; kayıt sayısının 2413 olduğu,
  • Etkilenen kişi kategorilerinin müşteriler olduğu,
  • İhlalden etkilenen kişisel verilerin kimlik, müşteri işlem ve sağlık bilgileri olduğu,
  • İhlale konu excel dosyasına erişimin yalnızca mobil uygulamanın “sağlık geçmişim/Eczane” bölümünden 11 sağlık müşteri açısından mümkün olduğu, bunlardan yalnızca iki kişinin uygulama kullanıcısı olduğunun tespit edildiği, söz konusu dosyaya erişimin mobil uygulama üzerinden bir kişi tarafından yapıldığı, diğer kullanıcının ilgili dosyaya herhangi bir erişiminin olmadığı,
  • Diğer taraftan ilgili dosyaya erişim sağlayan kullanıcı ile irtibata geçildiği, kendisine ihlal ve sonuçlarına yönelik bilgilendirme yapıldığı, erişim sağladığı dosyanın acil olarak silinmesi konusunda talepte bulunulduğu, bu kapsamda ihlalin ilgili kişiler üzerindeki potansiyel etkilerinin oldukça sınırlı olduğunun değerlendirildiği

ifadelerine yer verilmiştir.

Veri ihlal bildiriminin Kurumumuzun yetki ve görev alanı çerçevesinde incelenmesi neticesinde; Kişisel Verileri Koruma Kurulunun 30/06/2020 tarih ve 2020/511 sayılı Kararı ile,

  • İhlalin, veri sorumlusunun eczane provizyon ekranlarının değiştirilmesi esnasında, kişi bazında kimlik ve ilaç kullanım bilgilerinin yer aldığı excel dosyasının, yeni sisteme aktarılırken 11 sigortalı tarafından görüntülenebilir hale gelmesi sonucu gerçekleştiği, bunun sonucunda ihlalden ilgili kişilerin; kimlik, müşteri işlem ve özel nitelikli kişisel veri olarak da sağlık bilgileri gibi kişisel verilerinin etkilendiği, 
  • 25.04.2019 tarihinden 07.12.2019 tarihine kadar açıklığın devam ettiği ve dosyaya erişim sağlayan kişi tarafından bilgilendirilinceye kadar veri sorumlusunun açıklığı tespit edemediği, Kişisel Veri Güvenliği Rehberi’nin Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi başlığı altında da belirtildiği üzere “...veri sorumlusunun hazırlanmış olan kişisel veri güvenliği politika ve prosedürleri kapsamında; uygulamanın düzenli olarak kontrollerini yapmak, yapılan kontrolleri belgelemek, geliştirilmesi gereken hususlar belirlemek ve gerekli güncellemeler yerine getirildikten sonra da düzenli olarak kontrollere devam etmek gibi yükümlülüklerini” yerine getirmediği, 
  • Ayrıca yine Kişisel Veri Güvenliği Rehberi’nin Kişisel Veri Güvenliğinin Takibi başlığı altında belirtilen “veri sorumlularının gizlilik ve bütünlüğü bozan ihlaller gibi istenmeyen olayların önüne geçilmesi adına veri sorumlusu tarafından düzenli olarak zaafiyet taramalarının yapılmadığının” göstergesi olduğu, Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması başlığı altında belirtilen “çalışanların sistem ağına erişim sağlaması da güvenlik ihlali riskini arttırdığından bunlar için yeterli güvenlik tedbirinin” alınmadığı,
  • Veri sorumlusunun ihlale sebep olan kişisel veri içeren ve yetkisiz kişiler tarafından görüntülenebilir hale gelen excel dosyalarının doküman yönetim sistemine yüklenmesini engelleyecek herhangi bir teknik ve idari tedbir almadığı, bu durumun Kişisel Veri Güvenliği Rehberi’nin Bilgi Teknolojileri Sistemleri Tedariği, Geliştirme ve Bakımı başlığı altında da ifade edildiği üzere “veri sorumlusu tarafından yeni sistemin geliştirilmesi veya mevcut sistemlerin iyileştirilmesi ile ilgili ihtiyaçlar belirlenirken güvenlik gereksinimlerinin göz önünde bulundurulmadığı, uygulama sistemlerinin girdilerinin doğru ve uygun olduğuna dair kontrollerin yeterli ve gerekli ölçüde yapılmadığı, doğru girilmiş bilginin işlem sırasında oluşan hata sonucunda veya kasıtlı olarak bozulup bozulmadığını kontrol etmek için uygulamalara kontrol mekanizmaları yerleştirilmediği ve belgelerin sisteme yüklenirken bir onay sürecinin işletilmediği”, 
  • İhlalden etkilenen kişisel verilerin içinde özel nitelikli kişisel veriler olarak sağlık bilgilerinin bulunduğu, ihlale konu olan dosyanın içerisinde özel nitelikli kişisel verilerin de yer aldığı göz önünde bulundurulduğunda "Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararında da belirtildiği üzere “özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi ve kriptografik anahtarların güvenli ve farklı ortamlarda tutulması gerekirken veri sorumlusu tarafından diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerektiğinin” göz önünde bulundurulmadığı, 
  • İhlale konu olayda ilgili kişiler önemli bir zarara uğramamış olsa da öğrenilmesi halinde ilgili kişiler hakkında mağduriyete neden olabilecek nitelikteki verilerin ihlale konu olduğu bu yüzden de ihlalin potansiyel tehdit açısından ciddi bir risk taşıdığı,

dikkate alındığında, Kanunun 12 nci maddesinin (1) numaralı fıkrası hükmü çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) uyarınca 100.000 TL idari para cezası uygulanmasına,

  • 07.12.2019 tarihinde tespit edilen veri ihlalinin, Kurumumuza 10.12.2019 tarihinde (72 saatlik süre koşulunun içerisinde) bildirildiği ve ihlalden etkilenen 683 kişiye yeterli bildirimin yapıldığı, bildirim örneklerinin Kurumumuza sunulduğu dikkate alındığında, Kanunun 12 nci maddesinin (5) numaralı fıkrası uyarınca yapılacak bir işlem bulunmadığına

karar verilmiştir.

16.06.2020: “Bir sigorta şirketinin acentesinde gerçekleşen veri ihlali hakkında”
Karar Tarihi : 16/06/2020
Karar No : 2020/466
Konu Özeti : Bir sigorta şirketinin acentesinde gerçekleşen veri ihlali hakkında

 

Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;

  • İhlalin veri sorumlusu Sigorta şirketinin bir acentesinde işletmelerine ait bilgisayar ekranına bir hacker tarafından erişim sağlanmasıyla gerçekleştiği, 
  • İhlalin; veri işleyenin verdiği şikayetçi ifade tutanağı ile anlaşıldığı, ilgili tutanağa göre; Acente tarafından kullanılan bilgisayarlarda yazışma ekranının açıldığı, yetkisiz kişinin bu ekran aracılığıyla iletişim kurup fidye istediği, saldırının bu şekilde tespit edildiği,
  • İhlalin 13.02.2020 tarihinde gerçekleştiği, 20.02.2020 tarihinde tespit edildiği ve 22.02.2020 tarihinde Kurumumuza bildirildiği,
  • İhlalden etkilenen kişisel veri kategorilerinin kimlik ve finans verileri olduğu,
  • İhlalden etkilenen kişi sayısının 172 olduğu,
  • Acente yetkilisinin ihlalin gerçekleşmesinden sonra kişisel verilerin korunması ile ilgili eğitim aldığı,

ifadelerine yer verilmiştir.

Veri ihlal bildiriminin Kurumumuzun yetki ve görev alanı çerçevesinde incelenmesi neticesinde; Kişisel Verileri Koruma Kurulunun 16.06.2020 tarih ve 2020/466 sayılı Kararı ile;

  • Veri ihlalinin 13.02.2020 tarihinde veri işleyenin sistemlerine yetkisiz erişim sağlanmasıyla gerçekleştiği, ihlalin veri sorumlusu tarafından 20.02.2020 tarihinde tespit edildiği,
  • Veri sorumlusu sigorta şirketinin, veri işleyen acenteye donanımı kendilerinin temin etmediği, vakaya konu bilgisayarın veri işleyenin kendisine ait olduğu, bu nedenle bilgisayar üzerinde veri işleyenin kendi aktivite ve kullanıcı kayıtlarının veri sorumlusu tarafından yönetilmediği ve sızma testlerinin yapılmadığı hususlarını belirtildiği, ayrıca; Acente Bilgi Güvenliği İlkeleri dokümanında; Acentelerin bilgi güvenliği politikasına uyumlu olmasını temin etmek için, Bilgi Güvenliği veya Risk Yönetimi ve İç Kontrol birimleri tarafından denetlemelerin yapılabileceği ve gerektiği takdirde ve periyodik olarak kurum dışı bağımsız kaynaklara güvenlik ile uyum test ve denetlemelerin yaptırıldığı ifadelerine de yer verilmiş olmasına rağmen veri işleyenin herhangi bir şekilde denetlenmemesinin, Kurumumuz tarafından yayınlanan Kişisel Veri Güvenliği Rehberinin (Teknik ve İdari Tedbirler-Rehber) 2.5 maddesinde “Veri İşleyenler ile İlişkilerin Yönetimi” başlığı altında; “…veri sorumlularının, hizmet alırken söz konusu veri işleyenlerin kişisel veriler konusunda en az kendileri tarafından sağlanan güvenlik seviyesinin sağlandığından emin olmaları gerekmektedir. Zira Kanunun 12 nci maddesinin ikinci fıkrası gereği veri işleyenler de kişisel verilerin güvenliğinin sağlanması konusunda veri sorumlusuyla müştereken sorumludur.” ifadelerine aykırılık teşkil ettiği, 
  • Veri sorumlusu tarafından; ilgili bilgisayar hemen olayın akabinde formatlandığı için herhangi bir araştırmanın yapılamadığı, herhangi bir kişisel veriye erişilip erişilmediğinin tespit edilmediği, veri işleyenin ifadesine istinaden araç ruhsatı üzerinde bulunan kimlik bilgileri ile kredi kartı bilgileri kategorilerinin seçildiği belirtilmiş olup bu durumun Rehber’in 3.6. maddesinde; “Kişisel Verilerin Yedeklenmesi” başlığı altında; “…Kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya kaybolması gibi hallerde veri sorumlularının yedeklenen verileri kullanarak en kısa sürede faaliyete geçmesi…” ifadelerine aykırılık teşkil ettiği, 
  • Acente yetkilisinin kişisel verilerin korunması ile ilgili eğitimi veri ihlalinin gerçekleşmesinden sonra almış olduğu, Rehber’in 2.2. maddesinde; “Çalışanların Eğitilmesi ve Farkındalık Çalışmaları” başlığının altında; “…çalışanların, kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi konular hakkında eğitim almaları, çalışanlara yönelik farkındalık çalışmaları yapılması ve güvenlik risklerinin belirlenebildiği bir ortam oluşturulması kişisel veri güvenliğinin sağlanması bakımından çok önemlidir. Veri sorumlusu nezdinde çalışan herkesin hangi konumda çalıştığına bakılmaksızın kişisel veri güvenliğine ilişkin rol ve sorumlulukları, görev tanımlarında belirlenmeli ve çalışanların bu konudaki rol ve sorumluluğunun farkında olması sağlanmalıdır.” ifadelerine aykırı olarak veri sorumlusu tarafından eğitim ve farkındalık çalışmalarının yapılmasının veri sorumlusu tarafından sağlanmadığı, 
  • Veri işleyenin Windows 7 Professional x64 işletim sistemini kullandığı, Windows’un resmi sayfası üzerinden yapılan duyuruda; Windows 7 işletim sisteminin 14.01.2020 tarihinden itibaren artık yeni Microsoft Security Essentials yüklemelerini desteklememekte olduğundan tüm müşterilerin en iyi güvenlik seçeneği olan Windows 10 ve Windows Defender Virüsten Koruma'ya geçmelerini önerildiği,  Rehber’in 2.3 maddesinde; Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi başlığı altında; “…hemen hemen her yazılım ve donanımın bir takım kurulum ve yapılandırma işlemlerine tabi tutulması gerektiği, ancak yaygın şekilde kullanılan bazı yazılımların özellikle eski sürümlerinin belgelenmiş güvenlik açıkları bulunmakta…” olduğunun belirtildiği, bahsi geçen işletim sisteminin hâlihazırda eski bir sürüm olduğu ve 14.01.2020 tarihinden itibaren güvenlik korumasıyla ilgili güncellemeleri desteklemediği hususlarının gerekli güvenlik önlemlerinin veri sorumlusu ve veri işleyen tarafından tam olarak alınmadığını gösterdiği, 
  • Veri işleyen tarafından veri ihlali öncesinde anti-virüs yazılımının hiç kullanılmamakta olmasının Rehber’in 3.2 maddesinde “Siber Güvenliğin Sağlanması başlığı altında”; “…Kötü amaçlı yazılımlardan korunmak için ayrıca, bilgi sistem ağını düzenli olarak tarayan ve tehlikeleri tespit eden antivirüs, antispam gibi ürünlerin kullanılması gerekmektedir. Ancak bu ürünlerin sadece kurulumu yeterli olmayıp güncel tutularak gereken dosyaların düzenli olarak tarandığından emin olunmalıdır.”, 27 Nisan 2020 tarihinde veri sorumlusunun acentelerin siber saldırılardan korunmalarına yönelik yapmış olduğu duyuruda; Tüm kullanıcı bilgisayarlarına anti-virüs yazılımlar yüklenmesi ve kullanıcılar anti-virüs yazılımlarını kapatmaması veya ayarlarını değiştirmemesinin gerektiği, 01.11.2019 tarihli ve veri sorumlusunun acentelerine 21.01.2020 tarihinde duyurulan Acente Bilgi Güvenliği İlkeleri dokümanında yer alan; tüm kullanıcı bilgisayarlarına anti-virüs yazılımlarının yüklendiği, acente kullanıcılarının anti-virüs yazılımlarını kapatamadığı veya ayarlarını değiştiremediği, ifadelerine aykırı olarak veri sorumlusu ve veri işleyen tarafından bahse konu güvenlik önlemlerinin yerine getirilmediği hatta veri sorumlusunun kendi hazırlamış olduğu dokümanların gereklerinin dahi sağlanmadığı 

hususları dikkate alındığında, Kanun’un 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 172.000 TL idari para cezası uygulanmasına,

  • Veri ihlalinden etkilenen 172 ilgili kişiden 95 kişiye veri ihlalinin bildirilmediği,
  • İhlalin bildirildiği 77 kişiden 33’üne bildirimin 26.03.2020, 9’una 16.04.2020, 35’ine 20.04.2020 tarihinde yapıldığı, dolayısıyla ihlalin tespit tarihi ile bildirim tarihleri arasında 1 ayı aşkın süre bulunduğu

dikkate alındığında, Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” (ilgili kişilere bildirim için) bildirimde bulunma yükümlülüğünün 24.01.2019 tarih 2019/10 sayılı Kararda yer verilen “ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılması” şeklinde de yapılabileceği hususunun veri sorumlusuna hatırlatılmasına 

karar verilmiştir.

16.06.2020: “Bir otoyol işletmesinin veri ihlal bildirimi hakkında”
Karar Tarihi : 16/06/2020
Karar No : 2021/464
Konu Özeti : Bir otoyol işletmesinin veri ihlal bildirimi hakkında karar

 

Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;

  • İhlalin; çalışanların kendi rıza ve talepleri ile yazılı ve imzalı olarak veri sorumlusuna ilettikleri kişisel e-posta adreslerinin sisteme işlenmesinden sonra bordro programı üzerinden bu hesaplara gönderilen bordrolarda, gönderilen kişilerin kendisine ait olmayan ancak aynı şirket çalışanı olan başka çalışanlara ait bordroyu ve dolayısıyla başkasına ait ad, soyad, TC Kimlik No ve sicil numarası görüntülemesi şeklinde gerçekleştiği, maaş bilgisinin ise herkeste aynı jenerik bilgisinin görüntülendiği,
  • İhlalin sistemsel bir hata sebebiyle hatalı e-posta gönderimi neticesinde meydana geldiği ve bu teknik hatanın da bordro sisteminde Türkçe dili için bir cihaz türü tanımlı olmaması nedeni ile programın bordro zarflarını anlık göndermek yerine öncelikle kuyruğa gönderip oradaki kayıtları sonrasında e-posta atmak yöntemini kullanması nedeniyle yaşandığı,
  • İhlalden etkilenen kişi ve kayıt sayısının 489 olduğu,

ifadelerine yer verilmiştir.

Veri ihlal bildiriminin Kurumumuzun yetki ve görev alanı çerçevesinde incelenmesi neticesinde; Kişisel Verileri Koruma Kurulunun 25.03.2021 tarih ve 2021/311 sayılı Kararı ile;

  • Yapılan inceleme sürecinde, kurul kararına istinaden veri sorumlusuna gönderilen tebligatta, “…Çalışanların kendi rıza ve talepleri üzerine sundukları yazılı beyan dilekçesinde yer alan kişisel e-posta adreslerinin sisteme işlendiği ve bu kişisel e-postaların kullanıldığı, ancak neden kişisel e-posta yerine şirket e-postasına gönderim gerçekleştirilmediği…” ile ilgili bilgi istenmiştir. Bu talebe cevaben veri sorumlusu, “Şirketimiz, çalışanlarının büyük bir çoğunluğu sahada bulunan bir organizasyon yapısına sahiptir. Bu itibarla tüm çalışanlarımıza şirketimiz tarafından tanımlanmış bir e-posta hesabı bulunmadığı, keza şirket e-posta hesaplarına şirketin erişim olanağı bulunduğu da dikkate alınarak bu bildirimlerin çalışanlarımızın kişisel e-posta hesaplarına yapılmasının daha uygun olacağı değerlendirilmiştir.”  şeklinde bir geri dönüş yapılmıştır. Bu durum, çalışanlara yanlışlıkla giden bordroların silinip silinmediğinin kişisel e-posta hesaplarından (birçok e-posta sunucusu içerdiği için)  kontrol imkânı bulunmadığından ihlalin, aslında veri sorumlusunun belirttiği gibi sadece teknik aksaklık değil; söz konusu çalışanlara kurumsal e-posta hesabı açmayarak ve bu hesaplar üstünden bordro gönderimi yapmayarak ihlalin idari eksiklikten de kaynaklanmasına sebep olunduğu,
  • Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) 3.2 maddesi Kişisel Veri Güvenliğinin Takibi başlığında “…Çalışanların sistem ve servislerdeki güvenlik zaafiyetlerini ya da bunları kullanan tehditleri bildirmesi için resmi bir raporlama prosedürü oluşturulması gerekmektedir.” ifadesine ve 2.1. Mevcut Risk ve Tehditlerin Belirlenmesi başlığında “Kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerekmektedir…” ifadesine göre ihlale konu olan riskin veri sorumlusu tarafından değerlendirilmediği,
  • Veri sorumlusu tarafından aydınlatma yükümlülüğüne uyularak ve ilgili kişilerin açık rızası alınarak e-postaların gönderildiği belirtilmekle birlikte aydınlatma metninin ilgili kişileri bu hususlara ilişkin olarak yeterince bilgilendiren bir metin olmadığı ve kişilere herhangi bir başka seçenek bırakmadığının görüldüğü,
  • 31.05.2019 tarihli ve 2019/157 sayılı Kurul Kararında de belirtildiği üzere, kurumsal e-posta hizmetinin sunucularının yurt dışında olan veri sorumlularından/veri işleyenlerden temin edilmesi durumunda saklama hizmetlerinin de 6698 sayılı Kanunun 9 uncu maddesi hükümlerine uygun olarak gerçekleştirilmesi gerektiği, veri sorumlusu tarafından Kurumsal e-posta hizmeti alınmadan çalışanların şahsi e-posta hesaplarının çalıştıkları işlerle ilgili e-posta gönderiminde kullanılmasının verilerin farklı ülkelerde saklanması durumunu ortaya çıkarabileceği ve veriler üzerinde kontrol kaybına neden olabileceği

hususları dikkate alındığında, Kanun’un 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 60.000 TL idari para cezası uygulanmasına,

karar verilmiştir.

20.04.2021: “Bir hastanenin veri ihlal bildirimi hakkında”
Karar Tarihi : 20/04/2021
Karar No : 2020/407
Konu Özeti : Bir hastanenin veri ihlali bildirimi

 

Veri sorumlusu bir hastane tarafından Kuruma intikal ettirilen veri ihlal bildiriminde;

  • Veri ihlalinin; hastanede çalışan hekimin hastalarına ait dosyaların arşivden alınarak kendisinin talimatıyla bazı hastane çalışanları aracılığıyla hastane dışına çıkarılmasıyla gerçekleştiği, 
  • Veri ihlalinin; dosyaları hastane dışına çıkarmaya teşebbüs eden bir çalışanın görülmesinden 17 gün sonra kamera kayıtlarının incelenmesi neticesinde tam olarak tespit edildiği, 
  • İhlalden; 789 hastanın etkilendiği, 
  • İhlalden; kimlik, iletişim, sağlık bilgileri ve genetik verilerin hasta kartında yer alan bilgiler (T.C Kimlik numarası, adı, soyadı, baba adı, ana adı, sosyal güvenlik numarası, özel sigorta, anlaşmalı kurum, çalıştığı kurum, uyruğu, doğum tarihi, cinsiyet, medeni hali, kan grubu, mesleği, vergi dairesi, vergi numarası, adres, posta kodu, e-posta, ev telefonu, iş telefonu, cep telefonu, son randevu cep ve ev telefonu, sigortalı durumu, emekli olup olmadığı, poliçe no, engel durumu, çalışan adı, tedavi olunan doktorlar ve branşlar gibi bilgiler) ile hasta dosyası anamnez içeriğinin (kullandığı ilaçlar, alışkanlıklar, alerjik öyküsü, soygeçmiş, psikolojik durum, bulgular, laboratuvar tetkikleri, öntanı, tanı, tedavi ve bakım planı, geçirmiş olunan hastalıklar, ameliyatlar vb. bilgiler) etkilendiği

ifadelerine yer verilmiştir.

Veri ihlal bildiriminin Kurumumuzun yetki ve görev alanı çerçevesinde incelenmesi neticesinde; Kişisel Verileri Koruma Kurulunun 20/04/2021 tarih ve 2021/407 sayılı Kararı ile,

  • İhlalden 789 hastanın etkilendiği ancak karakol tutanağına göre tespit edilen 54 adet hasta dosyasının geri alınarak yedieminliğe teslim edildiği, geri kalan dosyaların akıbetinin ise bilinmediği dikkate alındığından hasta dosyalarının kaybolması durumunun önlenemediği ve bu durumun söz konusu hasta dosyalarının kaybolmasına yönelik risklerin azaltılmasına dair yeterli tedbirlerin alınmadığını gösterdiği, 
  • İhlalden; kimlik, iletişim, lokasyon, özlük, genetik veri, sağlık verileri gibi veri kategorilerine ait çok sayıda kişisel verinin ve özel nitelikli kişisel verinin etkilenmiş olduğu hususunun ilgili kişilerin ihlal sebebiyle önemli olumsuz etkilere maruz kalmaları olasılığının bulunduğunun göstergesi olduğu, 
  • İhlal ile ilgili olan çalışanların, sağlık verileri ve genetik veriler de dahil olmak üzere özel nitelikli çok sayıda kişisel verinin işlenme sürecinde yer aldığı göz önünde bulundurulduğunda; veri sorumlusu tarafından çalışanlara tanımlanan kişisel verilerin korunması eğitiminin tamamlanmasının sağlanmadığı, eski çalışanın kişisel verilerin korunması ile ilgili eğitim almış olmasına rağmen arşiv odasındaki belgelerin taşınmasına yardım ettiğinin anlaşıldığı dikkate alındığında Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı "Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" ile ilgili Kararında yer alan “Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik, a) Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,…gerekir.” ifadesine aykırı olarak veri sorumlusu tarafından çalışanlara kişisel verilerin korunmasına yönelik yeterli eğitimin verilmediğinin göstergesi olduğu, 
  • İhlal şüphesini doğuran olayların bulunmasına rağmen; ihlalin 17 gün sonra tespit edilmesinin veri sorumlusu tarafından kişisel veri güvenliği politika ve prosedürlerinin iyi bir şekilde hazırlanmadığı veya takip edilmediği, ayrıca bu durumun alınan mevcut güvenlik önlemlerinin etkili kullanılamadığı hususlarının göstergesi olduğu
  • İhlali gerçekleştiren ve diğer çalışanların Başhekimliğin izni ve onayı bulunmaksızın, eski çalışanın ve aynı yerde yer alan bir şirket çalışanının arşiv odasına girebildiği ve hasta dosyalarını dışarı çıkarabildiği, ayrıca söz konusu durumun kamera kayıtlarında görülmesine rağmen 1 ayı aşkın süre boyunca ihlalin devam ettiği ve kamera kayıtlarının ancak ihlal anlaşıldıktan sonra kontrol edildiği hususunun Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" ile ilgili Kararında yer alan “… Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi…gerekir.” ifadesine aykırı olarak kamera kayıtlarının kontrolünün ve hastalara ait kayıtların tutulduğu arşiv odasına yetkili olmayan kişilerin girmemesini sağlayacak yeterli idari tedbirlerin alınmadığını gösterdiği,
  • İhlalin gerçekleşmesinden önce, Kişisel Verileri Koruma ve Bilgi Güvenliği Kurulu oluşturulmasına, Veri İhlali Müdahale Planı hazırlanmasına ve KVKK kapsamında ilgili kişilerden veya kurumlardan gelecek talepleri karşılamak üzere algoritma oluşturulmasına rağmen; yedieminliğe teslim edilen hasta dosyalarının hastane arşivindekilerden daha fazla veri içerdiğinin ihlalden sonra  tespit edildiği hususlarının Kişisel Veri Güvenliği Rehberi”nin “Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi” başlığı altında yer alan “Kişisel veri güvenliğine ilişkin belirlenecek doğru ve tutarlı politika ve prosedürler, veri sorumlusunun çalışma ve işleyişine uygun şekilde entegre edilmelidir. Veri sorumlularınca politika ve prosedürler iyi bir şekilde ve zamanında hazırlanamadığında, sorunlu alanlar belirlenemediğinde veya mevcut güvenlik önlemleri kullanılamadığında kişisel veri güvenlik seviyesi yeteri kadar sağlanamamaktadır.” ifadelerinde yer aldığı üzere; veri sorumlusu tarafından alınan mevcut güvenlik önlemlerinin iyi bir şekilde hazırlanmaması veya kullanamaması nedeniyle ihlalin tespit edilmesi ve önlenmesine yönelik tedbirlerin zamanında ve yeterli ölçüde alınamadığı, 
  • İzinsiz olarak hastaneden çıkarılan birçok hasta dosyasının akıbetinin halen bilinmemesinin “Kişisel Veri Güvenliği Rehberi”nin “Mevcut Risk ve Tehditlerin Belirlenmesi” başlığı altında yer alan “Kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerekmektedir. Bu riskler belirlenirken; Kişisel verilerin özel nitelikli kişisel veri olup olmadığı, Mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği, Güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği dikkate alınmalıdır. Bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra; söz konusu risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri; maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda değerlendirilmeli, gerekli teknik ve idari tedbirler planlanarak uygulamaya konulmalıdır …” ifadelerine aykırı olarak hasta dosyalarının kaybolması durumunun önlenemediği veya kaybolması halinde risklerin azaltılmasına dair yeterli tedbir alınmadığını gösterdiği

dikkate alındığında Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 450.000 TL,

-    İhlalin tespit edilmesinden 25 gün sonra Kuruma bildirildiği, 
-    İlgili kişilerden hastaneye gelen bir kişi dışında, hiç birine ihlalin bildirilmemiş olduğu 

hususları dikkate alındığında Kanunun 12 nci maddesinin (5) numaralı fıkrası hükmü ve Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10 sayılı Kararında yer alan ‘en kısa sürede’ ifadesinin 72 saat olarak yorumlanmasına yönelik ifadeleri çerçevesinde bildirim yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 150.000 TL

olmak üzere toplam 600.000 TL idari para cezası uygulanmasına,

İlgili kişilere Kurulun 24.01.2019 tarih ve 2019/10 sayılı Kararında yer alan hususları içeren bir bildirim yapılarak sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

12.03.2020: “İBir bilişim şirketinin veri ihlal bildirimi hakkında”
Karar Tarihi : 12/03/2020
Karar No : 2020/216
Konu Özeti : Bir bilişim şirketinin kişisel veri ihlali bildirimi

 

Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;

  • Veri sorumlusu Şirketin sistemlerine siber saldırı gerçekleştirilerek sistemlerinde yer alan verilerin elde edilmeye çalışıldığı,
  • Pilot adı verilen uygulamada debugging özelliğinin açık olduğu ve şirket için sistem geliştirmesi yapan geliştiricilerin bu özelliği kullanarak uygulamadaki hataları tespit ettiği ve iyileştirme gerçekleştirdiği,
  • İhlale konu siber saldırı ile Pilot uygulamasına internet üzerinden erişim sağlamaya çalışan kişinin(lerin), uygulamaya daha önce giriş yapmış kişilere ait “PHPSESSID” değerini elde ettiği ve Pilot uygulamasına erişim sağladığı,
  • Debugging özelliğinin açık olmasının sebebinin sisteme internet üzerinden erişilerek geliştirmelerin yapılmasına olanak sağlamak olduğu, ancak bu durumun internet üzerinden siber saldırılar gerçekleştirilerek sisteme erişilmesine olanak tanıdığı,
  • Sistemde saldırganlar tarafından erişilen verilerin neler olduğunun net bir şekilde tespit edilemediği ancak veri sorumlusunun sistemlerinde yer alan verilerin tümü dikkate alındığında sistemde 65.993 kişinin yer aldığı, bu kişilerin sadece teklif almış, üyelik oluşturmuş, herhangi bir şekilde hizmet almış, aktif olan ve olmayan kişileri içerdiği,
  • İlgili kişilere ilişkin sistemde yer alan kayıtların 1259 sözleşme, 701 alan adı başvuru dosyası (içerisinde imza sirküleri, vergi levhası ve kişi kimlik fotokopisi kayıtları) olduğu,
  • Sistemde ayrıca elli bin kredi kartı bilgisi yer aldığı, ancak bu kredi kartı bilgilerinin büyük çoğunluğunun son kullanma tarihinin geçmiş olduğu ve kullanılamayacağı, sadece sekiz bin kartın aktif olduğunun tespit edildiği,
  • İhlalden etkilenen kişi kategorilerinin müşteriler ve potansiyel müşteriler olduğu,
  • Saldırganların hangi verilere eriştiklerinin tespit edilemediği, sistemde yer alan verilerin kimlik, iletişim, işlem güvenliği (kullanıcı adı ve parola bilgileri), ödeme Bilgileri (kredi kartı numarası) olduğu,
  • Ele geçirilen kredi kartı bilgilerinin 2018 tarihi öncesinde veri sorumlusu Şirkete aktarılan bilgiler olduğu, 2016 tarihi itibari ile ödeme hizmetlerinde iyileştirme çalışmaları kapsamında bir proje başlatıldığı, 2018 yılı itibariyle kredi kartı bilgilerinin yetkilendirilmiş ödeme hizmet sağlayıcıları üzerinden toplanmakta ve onlar tarafından saklanmakta olduğu,
  • Veri ihlalinden doğrudan etkilenen özel nitelikli bir veri bulunmadığı, ancak tüzel kişi müşterilerin imza sirkülerinin ekinde yer alan eski kimlik fotokopilerinde kan grubu ve din bilgisi hanelerinin bulunduğu ve bazı imza sirkülerinde kimlik fotokopisinin arka yüzünün de yer alabildiği dikkate alınarak; bazı müşteriler için saldırganların bu verilere de erişme ihtimali olabileceği,
  • Sistemde yer alan tüm kayıtların incelendiği ve sayımlarda (imza sirkülerlerinde yer alan kimlik fotokopileri de dahil) 1.784 adet eski kimlik fotokopisinin arkalı önlü yüzünün bulunduğunun tespit edildiği,
  • İhlalden etkilenen tüm müşterilere e-posta göndermek suretiyle bildirimde bulunulduğu, bir kısım müşterilere mümkün olduğunca telefonla da bilgilendirme gerçekleştirildiği

ifadelerine yer verilmiştir.

Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 12/03/2020 tarih ve 2020/216 sayılı sayılı Kararı ile;

  • Sistemde saldırganlar tarafından erişilen verilerin neler olduğunun net bir şekilde tespit edilememesinin, veri sorumlusu tarafından sızma veya herhangi bir anomali olup olmadığının belirlenmesi noktasında kontrol ve uyarı mekanizmalarının etkin bir şekilde kullanılmadığının göstergesi olduğu, 
  • Veri sorumlusu tarafından hangi kişisel verilerin etkilendiğinin tespit edilemediği ancak sistemlerde 65.993 kişinin yer aldığı, bu kişilerin sadece teklif almış, üyelik oluşturmuş, herhangi bir şekilde hizmet almış, aktif olan ve olmayan kişileri içerdiği, bu kişilerden 1.784 tanesinin eski kimlik fotokopisinin arkalı önlü yüzünün bulunduğu ayrıca elli bin kredi kartı bilgisi yer aldığı,
  • Veri sorumlusunun kredi kartı bilgilerinin büyük çoğunluğunun son kullanma tarihinin geçmiş olduğu ve kullanılamayacağı, sadece sekiz bin kartın aktif olduğu, 2018 yılı itibariyle kredi kartı bilgilerinin yetkilendirilmiş ödeme hizmet sağlayıcıları üzerinden toplandığı ve onlar tarafından saklandığı bu çerçevede veri sorumlusunun ödeme sistemini değiştirmiş olmasına rağmen sistemde bulunan kredi kartı bilgilerini imha etmeyerek 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 4 üncü maddesinin (2) numaralı fıkrasının (b) ve (ç) bendine aykırı hareket ettiği,
  • Şirket dışından erişim için güvenlik amacıyla VPN ile Şirket IP'sine bağlanıldığı ve kişilere özel kullanıcı adı ve VPN şifresi verildiği, saldırganların da sisteme SFTP ve VPN aracılığı ile bağlandığı, ihlalden sonra 29.01.2020 tarihinde yapılan ve veri sorumlusu tarafından Kurumumuza gönderilen sızma testinde özellikle web uygulamalarında yüksek ve orta seviyede açıklıkların tespit edildiği göz önüne alındığında bu durumun veri sorumlusu tarafından gerekli teknik tedbirlerin alınmadığının göstergesi olduğu,
  • Veri sorumlusunun https://www.****.com.tr adresinde domain ve hosting hizmetlerinin satın alındığı ekranları incelendiğinde satın alma süreçlerinde kimlik ve iletişim bilgilerinin talep edildiği ancak herhangi bir aydınlatma metninin bulunmadığı göz önüne alındığında veri sorumlusunun 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında yükümlülüklerini yeterli seviyede yerine getirmediği kanaatine varıldığı,
  • Veri sorumlusu tarafından ihlal öncesi alınması gereken teknik tedbirlerin (çift faktör özelliği olan sistemlerde bu özelliğin aktifleştirilmesi, VPN erişimde kullanılan sertifikaların yenilenmesi, çalışanlarının e-posta erişimlerinin iki aşamalı kimlik doğrulama olarak güncellenmesi, log kayıtlarının adli olaylarda kanıt niteliğinde kullanılabilmesi için zaman damgasıyla damgalanması, logların korelasyonunun sağlanması vb) ihlal sonrası devreye alınmasının gerekli teknik ve idari tedbirlerin alınmadığının göstergesi olduğu

değerlendirmelerinden hareketle, Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik tedbirleri almayan veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 450.000 TL idari para cezasının uygulanmasına,

  • Veri ihlalinin 09.10.2019 tarihinde 14:04’de gerçekleştiği, 11.10.2019 tarihinde saat 14.04’de veri sorumlusu tarafından tespit edildiği, 14.10.2019 tarihinde Kurula 72 saat içinde bildirildiği 

dikkate alındığında bu hususta yapılacak bir işlem bulunmadığına

karar verilmiştir.

06.05.2021: “İlgili kişinin yemek kartı hesap hareketlerine ilişkin kişisel verilerine erişim talebinin veri sorumlusu tarafından yerine getirilmediği iddiası hakkında”
Karar Tarihi : 06/05/2021
Karar No : 2021/470
Konu Özeti : İlgili kişinin yemek kartı hesap hareketlerine ilişkin kişisel verilerine erişim talebinin veri sorumlusu tarafından yerine getirilmediği iddiası

 

İlgili kişinin Kuruma intikal eden şikayetinde özetle; kendisine işvereni tarafından tahsis edilen yemek kartına ait hesap hareketlerinin tarafına iletilmesinin veri sorumlusu Şirketten talep edildiği,  veri sorumlusu tarafından verilen cevapta ise istenilen bilginin sağlanması için kimliği doğrulayacak ilave bilgiler talep edildiği, bunun üzerine dilekçe ve kimlik görüntüsünün veri sorumlusuna e-posta aracılığıyla iletildiği, veri sorumlusu şirketin gönderdiği e-postada ise ilgili bilgilerin ekte paylaşıldığı ancak ilave güvenlik önlemi alınması nedeniyle ekte paylaşılan dokümana erişilebilmesi için e-postada yer alan cep telefonu numarasının aranması gerektiğinin belirtildiği,  getirilen bu ilave güvenlik önleminin hukuka aykırı olup şahsına ait verilere erişmesinin engellendiği ve hesap hareketlerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (Kanun) uygun olarak paylaşılmadığı belirtilerek Kanun kapsamında gereğinin yapılması talep edilmektedir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • İlgili kişinin gmail adresinden veri sorumlusuna gönderdiği e-postada … nolu yemek kartı kullanıcısı olduğunu belirterek Kanun’un 11’inci maddesi uyarınca tüm hesap hareketlerini ve işlenen verileriyle ilgili açıklamaları talep ettiği, yapılan inceleme sonucunda söz konusu e-posta adresi sistemde kayıtlı olmadığından, ilgili iletişim kanalının teyit edilemediği ve ayrıca ilgili kişi tarafından sunulan kart numarasının hatalı bir numara olduğunun görüldüğü,
  • Veri sorumlusunun ilgili kişinin talebine verdiği cevapta, talebin ilgili kişi tarafından yöneltildiğinin ve ilgili kişi haricinde bir başka kişiye cevap verilmediğinin teyit edilebilmesi için kimliğini doğrulayacak bazı ilave bilgiler istenildiği, veri sorumlusunun talebi üzerine ilgili kişi tarafından gönderilen e-postanın ekinde yer alan ıslak imzalı dilekçedeki talebin “Tarafıma ait .. numaralı kartın tüm hesap hareketlerinin …@gmail.com e-posta adresine gönderilmesi için gereğinin yapılmasını arz ederim.” şeklinde olduğu, bildirilen e-posta adresine yanıt verildiği ve başvurunun konusu olan tüm bilgilerin e-postanın ekinde ilgili kişiyle paylaşıldığı,
  • İlgili kişinin daha önce veri sorumlusu sisteminde tanımlı olmayan ve “gmail” gibi altyapısı yurtdışında barındırılan bir e-posta adresine kişisel verilerinin gönderilmesini talep etmesi nedeniyle risk değerlendirmesi yapılarak e-posta ortamında güvenliği en üst düzeyde temin etmek amacı doğrultusunda talebin yanıtlandığı ve ek olarak dosyanın şifrelendiği, ilgili kişinin dosya şifresinin kendisine verilmesi için doğrudan arayabileceği bir telefon numarasının kendisine bildirildiği ve bu güvenlik tedbirinin neden alındığının açıkça izah edildiği

ifade edilmiştir.

Konuya ilişkin olarak yapılan incelemede, Kişisel Verileri Koruma Kurulunun 06/05/2021 tarihli ve 2021/470 sayılı Kararı ile;

  • 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 11’inci maddesinin (1) numaralı fıkrasının (b) bendi hükmü kapsamında ilgili kişinin, kendisiyle ilgili kişisel veriler işlenmişse buna ilişkin bilgi talep etme hakkının, söz konusu veriye erişim hakkını da kapsadığı; erişim hakkının bilgi talep etme hakkını tamamlayarak ilgili kişinin kişisel verileri üzerindeki haklarını kullanabilmesi için kişisel verilerinin ne şekilde işlendiğine dair tam olarak bilgi sahibi olmasına imkan sağladığı,
  • Kanun’un 12’nci maddesinin (1) numaralı fıkrası gereğince veri sorumlusunun; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu,
  • Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ kapsamında, veri sorumlusunun ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlü olduğu; ayrıca, Kurum tarafından veri güvenliğinin sağlanmasına atfedilen önem doğrultusunda yayımlanan Kişisel Veri Güvenliği Rehberi’nde (Teknik ve İdari Tedbirler) Kanun’un 12’nci maddesi kapsamında veri güvenliğini sağlamak amacıyla veri sorumlusunun temin etmesi gereken teknik ve idari tedbirlere ilişkin başlıca yöntemlerin bölümler halinde açıklandığı, hangi önlemlerin alınması gerektiği konusunda ise Rehber’de belirtildiği üzere öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerektiği, 
  • Şifreleme yöntemi ile temel olarak haberleşen kişiler arasındaki veri alışverişinin, üçüncü kişilerin okuyamayacağı şekilde güvenli olarak yapılmasının amaçlandığı; veri sorumlusunun, ilgili kişinin kişisel verisine erişimini engellememekle birlikte ilgili kişi için orantısız bir külfete yol açmayacak şekilde e-posta aracılığıyla gönderilen dosyanın şifreli olarak gönderimini sağladığı ve şifrenin de e-postada yer alan telefon numarası arandığında kendisiyle paylaşılacağının belirtildiği,
  • Veri sorumlusu tarafından yapılan risk analizi doğrultusunda, ilgili kişinin kullanımındaki yemek kartının hesap hareketleri ve yükleme bilgilerine ilişkin kişisel verileri içeren dosyanın ilgili kişi tarafından belirtilen ve alt yapısı yurt dışında olan “gmail” hesabına e-posta aracılığıyla gönderileceği için bu verileri içeren dosyanın şifrelenerek gönderilmesi ile veri güvenliğinin üst düzeyde sağlanmasının amaçlandığının ifade edildiği; Kurulun 31/05/2019 tarihli ve 2019/157 sayılı Kararında belirtildiği üzere, Google firmasına ait G-mail e-posta hizmeti altyapısının kullanılması durumunda gönderilen ve alınan e-postaların dünyanın çeşitli yerlerinde bulunan veri merkezlerinde tutulmasının söz konusu olacağı; bu doğrultuda, Kanunun 12’nci maddesinin (1) numaralı fıkrasının (b) bendi gereğince kişisel verilere hukuka aykırı olarak erişilmesini önleme yükümlülüğü altında olan veri sorumlusunun aldığı ilave güvenlik önleminin ilgili kişinin iddia ettiği üzere Kanuna aykırılık değil, Kanunun titizlikle uygulanması olduğu

değerlendirmelerinden hareketle;

  • İlgili kişinin Kanun’un 11’inci maddesinin (1) numaralı fıkrasının (b) bendi doğrultusunda, kullandığı yemek kartının hesap hareketlerine ilişkin veri sorumlusu tarafından işlenen kişisel verilerine erişim talebi üzerine; veri sorumlusu tarafından e-posta aracılığıyla ilgili kişi tarafından belirtilen “gmail” adresine gönderilen ve kişisel verileri içeren söz konusu dosyanın şifrelenmesinin ilgili kişinin iddiasının aksine Kanun’un 12’nci maddesinin (1) numaralı fıkrasının (b) bendi gereğince kişisel verilere hukuka aykırı olarak erişilmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alma yükümlülüğünü yerine getirmek adına makul bir tedbir olduğuna, alınan bu güvenlik tedbirine ilişkin gerekli açıklamanın ilgili kişiye yapıldığı ve e-posta içerisinde yer alan telefon numarası arandığında şifrenin ilgili kişiyle derhal paylaşılacağının belirtildiği dikkate alındığında kişisel verilere erişim hakkının engellenmediğine, bu doğrultuda veri sorumlusu hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına

karar verilmiştir.

27.04.2021: “Bir e-ticaret sitesi (veri sorumlusu) nezdinde gerçekleşen veri ihlali hakkında yapılan resen inceleme hakkında”
Karar Tarihi : 27/04/2021
Karar No : 2021/427
Konu Özeti : Bir e-ticaret sitesi (veri sorumlusu) nezdinde gerçekleşen veri ihlali hakkında yapılan resen inceleme

 

Bir e-ticaret sitesindeki (veri sorumlusu) partner firmanın, e-ticaret sitesindeki müşteri hizmetleri paneli üzerinden üçüncü kişiler konumundaki firmaların bilgilerine erişmesiyle yapmış olduğu ihbar kapsamında konuya ilişkin olarak Kişisel Verileri Koruma Kurulu tarafından resen inceleme başlatılmıştır.

Partner firmasının Kurumumuza intikal eden yazılarında;

  • Partner firmanın elektronik adisyon takip sistemi ve dokunmatik bilgisayar ürünlerinin internet ortamında satışına ilişkin, veri sorumlusu ile partner şirket olmak adına başvuruda bulunulduğu,
  • Firmanın, ürünlerini sisteme yüklerken giriş yaptığı bölümün aktif olmadığını fark etmeleri üzerine e-ticaret sitesinin müşteri hizmetlerini arayarak durumu ilettiklerinde, partner sayfasındaki bildirim bölümünden konuya ilişkin iletişime geçilmesi gerektiğinin belirtildiği, firmanın bu doğrultuda bildirim paneline giriş yapıp bildirim göndermeye çalıştıklarında sürekli hata aldığı,
  • Bu hatalardan dolayı Partner Firmanın bildirim linkini tarayıcıya yazıp giriş yapmaya çalıştığı, bu suretle veri sorumlusunun kullanmış olduğu müşteri hizmetleri (CRM) paneline erişildiği, açılan panelde tekrar kullanıcı adı ve şifre istendiği, mevcut kullanıcı adı ve şifreleriyle giriş yapılmaya çalışıldığı, erişim sağlanamayınca şifrelerinin bloke edildiği düşünülerek yeni şifre talep edildiği, e-posta adreslerine gelen şifre ile sisteme giriş yapıldığında veri sorumlusunun CRM paneline ulaşıldığı, bu sistem açığıyla ilgili veri sorumlusuna e-posta gönderildiği,
  • Konuya ilişkin veri sorumlusunun avukatının kendilerini arayarak, belirli bir ücret karşılığında kendilerini danışman şirket olarak atayacaklarını, veri sorumlusu tarafından ilgili firmaya bir şifre verilerek sisteme giriş yapılacağını, veri sorumlusunun onayı ile sistem açığı bulunup bulunmadığına yönelik kontrol sağlamak amacıyla girdiğini gösterir bir senaryo hazırlayacaklarını ve söz konusu senaryoyu destekleyecek bir gizlilik sözleşmesi imzalayacaklarını belirttiği, veri sorumlusunun ofisinde bir toplantı gerçekleştirildiği, yapılan toplantıda güvenlik açığına ilişkin görüşme gerçekleştirildiği ve gizlilik sözleşmesinin imzalandığı

ifadelerine yer verilmiştir. 

Veri sorumlusunun meydana gelen veri ihlali ile ilgili Kurumumuzun konuya ilişkin tebligatlarına verilen cevap yazılarında ise;

  • Pazar yeri modeli ile satış yapmak üzere kendilerine başvuran şahısların veri sorumlusu nezdinde satış yapabilmelerini teminen giriş yapmaları amacı ile kendilerine tahsis edilen kullanıcı adı ve şifre ile sisteme giriş sağladıkları,
  • Şahısların daha sonra sistemde bir açık bulduklarını, kendilerine ait doküman yükleme sayfası dışında üçüncü kişiler konumundaki firmaların bilgilerine de eriştiklerini beyan ederek veri sorumlusuna müracaat ettikleri,
  • Akabinde bahse konu veri güvenliği açığına ilişkin, veri sorumlusu ile şahıslar arasında kişisel verilerin korunması amacıyla firmanın sisteme ilk girdiği tarihten itibaren başlayacak şekilde bir gizlilik sözleşmesi imzalandığı, sözleşme ile bu şahısların, ellerindeki tüm verileri veri sorumlusuna teslim edeceklerini ve kendi sistemlerindeki yedekler dahil tüm veriyi imha edeceklerini, tüm sürecin gizliliğini de en üst düzeyde sağlayacaklarını taahhüt ettikleri, 
  • Söz konusu sözleşmenin başlangıç tarihi olayın oluş tarihi olduğundan firma tarafından bilgilere erişilmesinin veri sorumlusu ile firma arasında akdedilen sözleşme kapsamında gerçekleştiği ve bu anlamda herhangi bir hukuka aykırı erişimin bulunmadığı,
  • Taraflar arasında bu minvalde bir sözleşme imzalanmışsa da daha sonra bu şahısların veri sorumlusundan şantaj yolu ile para istedikleri, veri sorumlusunun bu şahıslara herhangi bir ödeme yapmadıkları ve sonunda da Kişisel Verileri Koruma Kurumuna başvurdukları,
  • İhlale konu olayın suç niteliği taşıması nedeniyle Kurumumuz tarafından re'sen incelemeye ilişkin karar verilemeyeceği zira konunun yargı organları tarafından değerlendirilmesi gerektiği,
  • Konuya ilişkin Cumhuriyet Başsavcılığına suç duyurusunda bulunulduğu

belirtilmiştir.

Partner Firmanın yapmış olduğu ihbar bildiriminin ve veri sorumlusu yazılarının incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 27/04/2021 tarih ve 2021/427 sayılı Kararı ile;

A.    Teknik ve idari tedbirler ile ilgili olarak;

  • Veri sorumlusu  tarafından kendi tedarikçisi konumunda olan firma yetkililerinin, veri sorumlusunun sistemine giriş yaptıklarında üçüncü kişilere ait kişisel verilere erişim sağladıkları ve erişimin sağlandığı ilk tarih itibariyle bu hususta yetkili olmadıkları, bu anlamda bahsi geçen “Gizlilik Sözleşmesi” öncesinde “veri sorumlusu uhdesinde bulunan kişisel verilere yetkisiz erişim sağlandığının anlaşıldığı, hukuka aykırı erişimin meydana gelmesinden sonra veri sorumlusu ile şahıslar arasında imzalanan gizlilik sözleşmesi ile geçmişe dönük olarak, meydana gelmiş olan veri ihlalinin ortadan kaldırılmasının hukuken mümkün olmadığı,
  • İhlalin veri sorumlusu tarafından kendi tedarikçisi konumunda olan firmanın da bulunduğu tedarikçi grubuna “tüm bildirimlerde arama” yetkisinin verilmesi sonucunda oluştuğunun tespit edildiği, bu durumun yetkisiz erişime ilişkin düzenli kontrolün sağlanmadığının ve yetkilendirme süreçlerinin kontrol edilmeyerek veri ihlali öncesinde veri sorumlusu tarafından ilgili kişiler üzerinde oluşabilecek potansiyel zararları önlemek adına gerekli tedbirlerin alınmadığının göstergesi olduğu

hususları dikkate alındığında, 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (1) numaralı fıkrasında kapsamında veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca, 600.000 TL idari para cezası uygulanmasına,

B.    Kuruma ve ilgili kişilere yapılan bildirim ile ilgili olarak:

Veri sorumlusu nezdindeki kişisel verilere hukuka aykırı olarak erişilmesi dolayısıyla, Firma nezdinde erişimi gerçekleştirenler yönünden yürütülen cezai soruşturmaya konu fiil ile veri sorumlusunun veri güvenliğini sağlamaya ilişkin gerekli her türlü teknik tedbiri almaması nedeniyle oluşan veri ihlalini Kurula bildirme yükümlülüğünün farklı fiiller olduğu, ihlalin 22.10.2019 tarihinde gerçekleşmesi ve 22.10.2019 tarihinde tespit edilmiş olmasına rağmen 

  • Veri ihlalinden etkilenen ilgili kişilere bildirimde bulunulmadığı, 
  • Kişisel Verileri Koruma Kuruluna ihlal bildiriminde bulunulmadığı 

hususları dikkate alındığında Kanunun 12 nci maddesinin (5) numaralı fıkrası kapsamında Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10 sayılı Kararında belirlenen 72 saat içerisinde bildirimde bulunma yükümlülüğüne aykırı davranan veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 200.000 TL idari para cezası uygulanmasına 

  • Kurumumuzun bilgi belge talep yazısına cevap verilmediği dikkate alındığında, Kanuna uyum konularında azami dikkat ve özenin gösterilmesi hususunda veri sorumlusunun talimatlandırılmasına,

karar verilmiştir.

27.04.2021: “Yardım masası paneli hizmeti veren bir veri sorumlusunda gerçekleşen veri ihlali hakkında yapılan resen inceleme hakkında”
Karar Tarihi : 27/04/2021
Karar No : 2021/426
Konu Özeti : Yardım masası paneli hizmeti veren bir veri sorumlusunda gerçekleşen veri ihlali hakkında yapılan resen inceleme

 

Bir e-ticaret sitesindeki partner firmaya, e-ticaret sitesinin hizmet aldığı yardım masası panelinde yapılan toplu yetkilendirme çalışması esnasında, yanlış yetki verilmesi sonucunda üçüncü taraf diğer firmaların yardım masasında açtıkları bildirimlere erişim sağlamasıyla gerçekleşen veri ihlalinin, partner firma tarafından Kurumumuza bildirilmesi neticesinde Kişisel Verileri Koruma Kurulu tarafından resen inceleme  başlatılmıştır. 

Yardım masası paneli hizmeti veren veri sorumlusu nezdinde yapılan yerinde inceleme ve konuya ilişkin ifadelerinin yer aldığı tutanakta;

  • Veri ihlalinin, veri sorumlusunun kendi yardım masası üzerinde yapılan toplu yetkilendirme çalışması esnasında veri tabanı katmanında çalıştırılan SQL Script kodundaki bir hata sonucu oluştuğu,
  • Yapılan hata sonucu partner firmanın yer aldığı gruba yanlış yetki verilmesiyle, partner firmanın kendi yardım masası bildirimleri haricinde grup içerisinde yer alan diğer firmaların da yardım masası bildirimlerine ulaşabildiği,
  • Veri sorumlusu tarafından yapılan analiz çalışması sonucunda, sadece söz konusu partner firmanın kendisi haricindeki diğer yardım masası bildirimlerine erişim sağladığının tespit edildiği,
  • Durum tespit edilir edilmez partner firmaya ait yardım masası yetkisi veri sorumlusu tarafından kaldırılarak erişiminin engellendiği,
  • Partner firma tarafından veri sorumlusuna gönderilen e-postada, ilgili hata sonucu diğer firmalara ait bilgileri görebildikleri, kendileri ile iletişime geçilmemesi durumunda ihbarda bulunulacağı ve veri sorumlusunun çalışmakta olduğu firmalarla iletişime geçileceğinin paylaşıldığı, veri sorumlusu avukatınca partner firmaya gerekli yasal hatırlatma yapılarak, erişilen verilerin silinmesinin talep edildiği, 
  • Veri ihlalinden 13 farklı veri sorumlusu niteliği taşıyan firmanın etkilenmiş olduğu, veri sorumlusu tarafından ihlalden etkilenen veri sorumlularına gerçekleşen olay ile ilgili e-posta yoluyla bilgilendirme yapıldığı,
  • Yazılım üzerindeki özelliklerin tüm veri sorumluları için standart olduğu, bu standardın belirlenmesinde yardım masası paneli hizmeti veren veri sorumlusunun karar verici pozisyonda olduğu, ancak gelen geri bildirimler (kullanıcı deneyimleri) çerçevesinde değerlendirme yapılarak ürün özelliği olarak versiyon planı dahilinde eklendiği, kullanıcıların esnek form ve iş akışları tasarlayabildikleri, böylelikle kendilerine özel ekranlar oluşturabildikleri 

ifade edilmiştir.

Yardım masası panelinin, veri sorumlusunun kendisi tarafından kurulan ve yönetilen bir platform olduğu, yazılım hizmetleri ile ilgili bakım ve destek hizmetlerini sağladığı, diğer veri sorumlularının sınırlı bir erişime sahip olduğu ve üzerinde doğrudan değişiklik yapmasının mümkün olmadığı değerlendirilmiştir.

İhlal ile ilgili 3 veri sorumlusu tarafından, Kurumumuza kişisel veri ihlal bildiriminde bulunulmuş, bildirimde bulunmayan 10 veri sorumlusu hakkında 22.04.2020 tarih ve 2020/311 sayılı Kurul Kararı ile resen inceleme başlatılmasına karar verilmiş olup, bunun üzerine söz konusu veri sorumlularından bilgi ve belge talep edilmiştir. 

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 27/04/2021 tarih ve 2021/426 sayılı Kararı ile,

A)    Teknik ve idari tedbirler ile ilgili olarak;

  • Yardım masası panelinin, yazılım firmasından hizmet alan veri sorumlularının kullanıcı adı ve şifreleriyle giriş yapıp yardım taleplerini ilettikleri bir platform olduğu, söz konusu platform üzerinde verilen hizmetler açısından yazılım firmasının veri sorumlusu sıfatını haiz olduğu, 
  • Veri ihlalinden 13 farklı veri sorumlusunun, 950’den fazla sayıda çalışanına ve müşterisine ait kimlik, iletişim ve müşteri işlem verilerinin etkilendiği,
  • Veri ihlalinin, hatalı bir şekilde yapılan yetki düzenlemesinden ve veri sorumlusunun ihmalkarlığı sebebiyle yeterli güvenlik önlemlerini almamasından kaynaklandığı, 
  • Bilişim hizmeti yürüten bir veri sorumlusunun bilgi sistemleri güvenliğinde daha dikkatli olmasının beklenildiği, yazılım geliştirme süreçlerinin test platformunda yapılması gerekirken, veri tabanında gerçekleştirilen güncellemenin canlı ortamda yapılmış olması sebebiyle ihlalin gerçekleştiği,
  • Veri sorumlusunun sistemlerinde kişisel veri içeren belgelerin bulunması halinde kişisel verileri maskeleyen etkin uygulama ve denetim araçlarının bulunmadığı

hususları dikkate alındığında, 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak (ihlalden etkilenen 950’den fazla kişinin bulunduğu, ihlale veri sorumlusunun ihmalkarlılığının sebebiyet verdiği) Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca, 300.000 TL idari para cezasının uygulanmasına,

B)    Kurumumuza ve ilgili kişilere yapılan bildirim ile ilgili olarak;

  • Veri ihlaliyle ilgili Kurula bildirim yapılmadığı dikkate alındığında Kanunun 12 nci maddesinin (5) numaralı fıkrası kapsamında Kişisel Verileri Koruma Kurulunun 24/01/2019 tarih ve 2019/10 sayılı Kararı ile belirlenen  72 saat içerisinde bildirim yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak  Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca, 100.000TL idari para cezasının uygulanmasına,

C)    Kurumumuza yönelik bilgi ve belge gönderimi hakkında;

  • Bir kamu tüzel kişiliğine haiz veri sorumlusunun, söz konusu olay dahilinde kendilerinden bilgi/belge talebinde bulunulmasına rağmen Kurumumuza herhangi bir cevap vermediği
  • Bir özel hukuk tüzel kişiliğine haiz veri sorumlusunun, ihlale konu olayın suç niteliği taşıması nedeniyle Kurumumuz tarafından resen incelemeye ilişkin karar verilemeyeceği, zira olayın yargı organları tarafından değerlendirilmesi gerektiğini iddia ettiği ve Kurumumuza bir takım bilgi ve belge göndermiş olmakla birlikte; Kurulun, inceleme konusuyla ilgili istemiş olduğu; ihlalden etkilenen kişi sayısı, ihlalden etkilenen kişisel veriler gibi ihlal ile ilgili açıklayıcı birçok bilgi ve belgeyi Kurumumuza göndermemiş olduğu

hususları dikkate alındığında Kanunun 15 inci maddesinin (3) numaralı fıkrasında yer alan “Devlet sırrı niteliğindeki bilgi ve belgeler hariç; veri sorumlusu, Kurulun, inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri on beş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır.” hükmü çerçevesinde veri sorumluların Kurulun bilgi belge talebine ilişkin cevap verilmesinde gerekli dikkat ve özenin gösterilmesi hususunda talimatlandırılmasına

karar verilmiştir.

20.04.2021: “Bir hastanenin veri ihlal bildirimi hakkında”
Karar Tarihi : 20/04/2021
Karar No : 2021/407
Konu Özeti : Bir hastanenin veri ihlali bildirimi

Veri sorumlusu bir hastane tarafından Kuruma intikal ettirilen veri ihlal bildiriminde;

  • Veri ihlalinin; hastanede çalışan hekimin hastalarına ait dosyaların arşivden alınarak kendisinin talimatıyla bazı hastane çalışanları aracılığıyla hastane dışına çıkarılmasıyla gerçekleştiği, 
  • Veri ihlalinin; dosyaları hastane dışına çıkarmaya teşebbüs eden bir çalışanın görülmesinden 17 gün sonra kamera kayıtlarının incelenmesi neticesinde tam olarak tespit edildiği, 
  • İhlalden; 789 hastanın etkilendiği, ancak 54 dosyanın teslim alınarak yedieminliğe teslim edildiği, 
  • İhlalden; kimlik, iletişim, sağlık bilgileri ve genetik verilerin hasta kartında yer alan bilgiler (T.C Kimlik numarası, adı, soyadı, baba adı, ana adı, sosyal güvenlik numarası, özel sigorta, anlaşmalı kurum, çalıştığı kurum, uyruğu, doğum tarihi, cinsiyet, medeni hali, kan grubu, mesleği, vergi dairesi, vergi numarası, adres, posta kodu, e-posta, ev telefonu, iş telefonu, cep telefonu, son randevu cep ve ev telefonu, sigortalı durumu, emekli olup olmadığı, poliçe no, engel durumu, çalışan adı, tedavi olunan doktorlar ve branşlar gibi bilgiler) ile hasta dosyası anamnez içeriğinin (kullandığı ilaçlar, alışkanlıklar, alerjik öyküsü, soygeçmiş, psikolojik durum, bulgular, laboratuvar tetkikleri, öntanı, tanı, tedavi ve bakım planı, geçirmiş olunan hastalıklar, ameliyatlar vb. bilgiler) etkilendiği,
  • Hekimin bir hastasının hastaneye gelmesi üzerine, tedavi geçmişinin hekim tarafından alındığı bilgisinin kendisine verildiği, 
  • İhlalin gerçekleşmesinden önce ihlal ile ilgili çalışanlardan (eski çalışan dahil 9 kişi) biri hariç hepsinin kişisel verilerin korunması eğitimi aldığı, 
  • İhlalin tespit edilmesinden 25 gün sonra Kuruma bildirildiği, geç bildirim sebebi olarak; ilgili dosyaların hastaneden çıkartılırken hastane yönetimi tarafından suçüstü yakalandığı, hemen polis çağırılarak, dosyanın polis nezaretinde hastaneye teslim edilmesi ile verilerin dışarı çıkartılmasına engel olunarak veri ihlalinin oluşmasının önlendiği hususlarına rağmen kriz masasının oluşturulduğu, kovuşturmanın derinleştirilmesine karar verildiği, bu maksatla; doktor ve ekibinden savunmaların alındığı, doktorun takip ettiği dosyaların tarandığı, arşiv, poliklinik, otopark başta olmak üzere hastanenin çeşitli alanlarına ilişkin kamera kayıtlarının incelendiği ve nihayetinde yapılan inceleme ve tahkikatlar neticesinde görülen lüzum üzerine savcılığa suç duyurusunda bulunulduğu ve Kuruma bildirim yapıldığı şeklinde açıklandığı

ifadelerine yer verilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 20/04/2021 tarih ve 2021/407 sayılı Kararı ile,

A.    Teknik ve idari tedbirler ile ilgili olarak;

  • Veri ihlal bildirimine konu olayın; hastanede çalışan hekimin hastalarına ait kişisel veri/özel nitelikli kişisel verilerin yer aldığı dosyaların bulunduğu poşetlerin, kendisinin talimatıyla bazı hastane çalışanları aracılığıyla hastane dışına çıkarılmasıyla gerçekleştiği, 
  • Kamera kayıtlarının kontrolünün sağlanmadığı, hastalara ait kayıtların tutulduğu arşiv odasına yetkili olmayan kişilerin girebildiği ve başhekimliğin izni olmadan hastalara ait kişisel veri/özel nitelikli kişisel verilerin yer aldığı dosyaların arşivden çıkartılabildiği hususlarının veri güvenliğinin sağlanmasını temin etmeye yönelik fiziksel ortamların güvenliğini sağlayacak idari tedbirlerin yeterli ölçüde alınmadığının göstergesi olduğu, 
  • İhlalden 789 hastanın etkilendiği ancak karakol tutanağına göre tespit edilen 54 adet hasta dosyasının geri alınarak yedieminliğe teslim edildiği, geri kalan dosyaların akıbetinin ise bilinmediği dikkate alındığından hasta dosyalarının kaybolması durumunun önlenemediği ve bu durumun söz konusu hasta dosyalarının kaybolmasına yönelik risklerin azaltılmasına dair yeterli tedbirlerin alınmadığını gösterdiği, 
  • İhlalden; kimlik, iletişim, lokasyon, özlük, genetik veri, sağlık verileri gibi veri kategorilerine ait çok sayıda kişisel verinin ve özel nitelikli kişisel verinin etkilenmiş olduğu hususunun ilgili kişilerin ihlal sebebiyle önemli olumsuz etkilere maruz kalmaları olasılığının bulunduğunun göstergesi olduğu, 
  • İhlal ile ilgili olan çalışanların, sağlık verileri ve genetik veriler de dahil olmak üzere özel nitelikli çok sayıda kişisel verinin işlenme sürecinde yer aldığı göz önünde bulundurulduğunda; veri sorumlusu tarafından çalışanlara tanımlanan kişisel verilerin korunması eğitiminin tamamlanmasının sağlanmadığı, Kuruma gönderilen belgelerde yer alan bilgilerin incelenmesi neticesinde; münhasıran kişisel verilerin korunmasına yönelik eğitimin; sadece 3 çalışan tarafından alınmış olduğu, kişisel verilerin korunması eğitiminin diğer çalışanlara tanımlanmış olmasına rağmen söz konusu çalışanların eğitimlere hiç başlamadıkları ve bu hususta hastane tarafından bir aksiyon alınmadığı, 3 çalışanın kişisel verilerin korunması eğitimi aldıkları ifadesinin “Kalite Müdürlüğü Eğitimi” başlığı altında yer alan konulardan biri arasında kişisel verilerin korunmasının yer almasına istinaden yapıldığı, 2 çalışana ihlalin başlangıç tarihinden sonra eğitim verilmiş olduğu, eğitim tanımlanan 1 çalışanın ise kişisel verilerin korunması ile ilgili hiçbir eğitim almamış olduğu, eski çalışanın kişisel verilerin korunması ile ilgili eğitim almış olmasına rağmen arşiv odasındaki belgelerin taşınmasına yardım ettiğinin anlaşıldığı, bu durumun ise çalışanlara kişisel verilerin korunmasına yönelik yeterli eğitimin verilmediğinin göstergesi olduğu, 
  • İhlal şüphesini doğuran olayların bulunmasına rağmen; ihlalin 17 gün sonra tespit edilmesinin veri sorumlusu tarafından kişisel veri güvenliği politika ve prosedürlerinin iyi bir şekilde hazırlanmadığı veya takip edilmediği, ayrıca bu durumun alınan mevcut güvenlik önlemlerinin etkili kullanılamadığı hususlarının göstergesi olduğu

dikkate alındığında Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 450.000 TL idari para cezası uygulanmasına,

B.    Kuruma ve ilgili kişilere yapılan bildirim ile ilgili olarak:

  • İhlalin tespit edilmesinden 25 gün sonra Kuruma bildirildiği, geç bildirim sebebinin, ilgili dosyaların hastaneden çıkartılırken hastane yönetimi tarafından suçüstü yakalanıldığı, hemen polis çağırılarak, dosyanın polis nezaretinde hastaneye teslim edilmesi ile verilerin dışarı çıkartılmasına engel olunarak veri ihlalinin oluşmasının önlendiği, kriz masasının oluşturulduğu, kovuşturmanın derinleştirilmesine karar verildiği, bu maksatla; doktor ve ekibinden savunmaların alındığı, doktorun takip ettiği dosyaların tarandığı, arşiv, poliklinik, otopark başta olmak üzere hastanenin çeşitli alanlarına ilişkin kamera kayıtlarının incelendiği ve nihayetinde yapılan inceleme ve tahkikatlar neticesinde görülen lüzum üzerine savcılığa suç duyurusunda bulunulduğu ve Kuruma bildirim yapıldığı şeklinde açıklandığı
  • İlgili kişilerden hastaneye gelen bir kişi dışında, hiç birine ihlalin bildirilmemiş olduğu 

hususları dikkate alındığında Kanunun 12 nci maddesinin (5) numaralı fıkrası hükmü ve Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10 sayılı Kararında yer alan ‘en kısa sürede’ ifadesinin 72 saat olarak yorumlanmasına yönelik ifadeleri çerçevesinde bildirim yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 150.000 TL idari para cezası uygulanmasına,

  • İlgili kişilere Kurulun 24.01.2019 tarih ve 2019/10 sayılı Kararında yer alan hususları içeren bir bildirim yapılarak sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir. 

20.04.2021: “Bir sigorta şirketi tarafından hizmetin açık rıza şartına bağlanması hakkındaki ihbar”
Karar Tarihi : 20/04/2021
Karar No : 2021/389
Konu Özeti : Bir sigorta şirketinin hizmeti açık rıza şartına bağlaması hakkında ihbar

Kuruma intikal eden bir ihbarda; ihbar eden ilgili kişinin bir sigorta şirketinden (Şirket) bireysel emeklilik sözleşmesi (BES) yaptırdığı, Şirketin internet sayfasından poliçe bilgilerine ulaşmak için giriş yapmaya çalıştığında bir onay kutucuğu sunularak kişisel verilerin işlenmesine rıza göstermek zorunda bırakıldığı, bu kutucuğu işaretlememesi halinde hiçbir işlem yapamayacağının anlaşıldığı, ancak kişisel verilerinin işlenmesine onay vermek zorunda bırakılmasının hukuka aykırı olduğu belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle,

  • İnternet sayfası üzerinden müşterinin kim olduğunun anlaşılması, kimlik doğrulamasının yapılabilmesi, tazminat taleplerinin alınabilmesi, poliçe/sözleşme ve teminatlarının kontrolü, hasar takibi, müşteri talebi doğrultusunda ya da otomatik olarak müşteriye e-posta ile bilgilendirme yapılması amaçlarına yönelik müşterilere ait kişisel veri ve özel nitelikli kişisel verilerin işlenebildiği, bu kişisel verilerin ise kimlik numarası, telefon numarası, doğum tarihi, baba adı, kişiye ait sağlık bilgileri, sağlık hizmeti faturaları ve buna bağlı sağlık harcama bedeli talepleri, e-posta adresi olarak sıralanabileceği ve bu verilerin Kanunun 5 inci maddesinin birinci fıkrası uyarınca, ilgili kişinin açık rızası olması halinde ve yine anılan maddenin ikinci fıkrasına göre açık rızanın aranmayacağı tahdidi olarak belirtilen hallerde Kanuna uygun olarak işlendiği,
  • İnceleme konusu olan uygulamanın ilgili hizmetlerin verildiği tek mecra olmadığı ve söz konusu hizmetlerin kişisel verilerin işlenmesinde alınan açık rıza şartına bağlanmadığı,
  • Şirketin hem kişisel verilerin korunmasına ilişkin mevzuat çerçevesinde hem de ticari elektronik iletiler hakkında mevzuat gereği, kişisel verileri işleme kapsam ve koşulları konusunda ilgilileri aydınlatma/bilgilendirme ve gerektiğinde bu aydınlatmanın yapıldığını da ispat etme yükümlülüğü bulunduğu, bu sebeple uygulama girişinde ilgililere aydınlatma metni iletildiği, sağlık verileri başta olmak üzere yukarıda belirtilmiş olan kişisel verilerin işlenmesi söz konusu olabileceğinden, bir kez sisteme bağlanan bir kullanıcının, web üzerinden sunulmakta olan başka hizmet(ler)i de almak isteyebileceğinin önceden öngörülmesi mümkün olmadığından, açık rıza talep edilmesi gerektiğinin düşünüldüğü,
  • Şirket tarafından internet sayfası üzerinden sunulmakta olan ürün ve hizmetlere asıl erişimin Türkiye'nin hemen her noktasında faaliyet gösteren sigorta acenteleri aracılığı ile sağlandığı, çağrı merkezinin de müşterilere kesintisiz olarak hizmet verdiği; ayrıca, başka bir alternatif olarak da Şirketin kurumsal internet sayfası ve mobil uygulamaları ile müşterilere bir takım ürünlere elektronik ortamdan da erişme imkânı sunulduğu, dolayısıyla Şirketin internet sayfası üzerinden sunulan çeşitli hizmetlere ulaşılabilecek başka mecra ve kanalların da mevcut olduğu, 
  • Şirketin açık rıza bildirimi ve aydınlatma bildirimlerinin internet sayfasında yer alan iki ayrı linkte yer aldığı

ifade edilmiştir.

Söz konusu ihbar dilekçesindeki iddialar, veri sorumlusunun savunması ve ilgili mevzuat hükümlerinin birlikte incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 20/04/2021 tarih ve 2021/389 sayılı Kararı ile;

A. Aydınlatma Metninin Mevzuata Uygunluğuna İlişkin Olarak:

  • 6698 sayılı Kanunun 10 uncu maddesi uyarınca kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişinin ilgili kişileri kişisel verilerin işlenme faaliyeti hakkında anılan maddede yer verilen unsurları içerecek şekilde bilgilendirmesi ve bu kapsamda, Kanunun 10 uncu maddesinde yer alan aydınlatma yükümlülüğünün, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ (Tebliğ) hükümlerine uygun olarak yerine getirilmesi gerektiği, 
  • Tebliğin 4 üncü maddesinde; aydınlatma yükümlülüğünün kapsamının, 5 inci maddesinde ise veri sorumlusunun aydınlatma yükümlülüğünü yerine getirirken uyması gereken hususların düzenleme altına alındığı,
  • Sigorta faaliyetleri çerçevesinde sigortacının müşteriye karşı olan yükümlülüklerini ifa edebilmesi için çeşitli kişisel verilerin işlenmesi gerekli olabileceğinden, söz konusu kişisel verilerin işlenmesinde Kanuna ve Tebliğe uygun aydınlatmanın yapılmasının önem arz ettiği, Şirketin cevabi yazısında belirttiği linklerde, “Online İşlemler” sayfasında sisteme giriş için doldurulması gereken kutucukların alt kısmında “Gizlilik ve Kişisel Verilerin Korunması Esasları’nı okudum, kabul ediyorum. Burada paylaşmış olduğum kişisel/özel nitelikli kişisel verilerimin 6698 sayılı Kişisel Verilerin Korunması Kanunu ve sair mevzuat çerçevesinde işlenmesine açık rıza veriyorum.” ifadesine yer verildiği, “Gizlilik ve Kişisel Verilerin Korunması Esasları” ibaresinin üzerine tıklandığında ise aydınlatma metninin açıldığının tespit edildiği, veri sorumlusunun cevabi yazısında belirtilmiş olan her iki linkte de yer alan aydınlatma metinleri incelendiğinde, söz konusu metinlerin birebir aynı olduğunun anlaşıldığı,
  • Bu çerçevede her iki aydınlatma metninde de “D-Kişisel Verileriniz Toplama Yöntemi ve Hukuki sebebi” başlığı altında “Sigorta poliçeleri ve emeklilik sözleşmelerinin taraflarına ait kişisel/özel nitelikli kişisel veriler; acentelerimiz, internet uygulamalarımız ve çağrı merkezimiz aracılığı ile doğrudan doğruya sizlerden ve sigorta sözleşmelerinden kaynaklanan yükümlülüklerin yerine getirilebilmesi için kamu kurumları tarafından tarafımıza erişim yetkisi verilen veri tabanlarından derlenmektedir.” ifadelerine yer verildiğinin görüldüğü, 
  • Metnin devamında kişisel verileriniz, “6698 sayılı Kişisel Verilerin Korunması Kanunu ve sair mevzuat çerçevesinde sadece sigortacılık faaliyetlerinin yürütülmesi amacı ile ve bu amacın gerektirdiği yasal sürelerle sınırlı olarak işlenmektedir.” şeklinde açıklama yapıldığı, ancak Tebliğin 5 inci maddesinin birinci fıkrasının (h) bendinde de düzenlendiği üzere, Kanunun 10 uncu maddesinin birinci fıkrasının (ç) bendinde yer alan “hukuki sebep”ten kastın, aydınlatma yükümlülüğü kapsamında kişisel verilerin Kanunun 5 ve 6 ncı maddelerinde belirtilen işleme şartlarından hangisine dayanılarak işlendiği olduğu, bu anlamda hukuki sebep olarak Kanunda düzenlenen 5 inci veya 6 ncı maddelerden hangisine veya hangilerine dayanıldığına ilişkin bir bilgilendirmede bulunulmadığının anlaşıldığı, 
  • Bununla birlikte, mezkûr metnin “C-Kişisel Verilerinizi Kimlere ve Hangi Amaçla Aktarıyoruz?” başlığı altında geçen “sigortacılık ve sair mevzuat” ibaresinin muğlak olduğu, zira kişisel verilerin aktarımı hangi mevzuat kapsamında gerçekleştiriliyor ise ayrı ayrı açıkça belirtilmesi gerektiği, ayrıca metinde yer alan kurum ve kuruluşların isimlerinin de güncellenmediğinin anlaşıldığı,
  • Diğer taraftan, ihbar edenin başvurusuna konu online sisteme veri sorumlusunun hizmetlerinden faydalanmak amaçlı üyelik kurulduktan sonra müşteriye ait TC kimlik numarası ile cep telefonu numarasının girilmesi sureti ile giriş yapılabildiğinin görüldüğü, sisteme giriş için doldurulması gereken kutucuğun alt kısmında yer alan “Gizlilik ve Kişisel Verilerin Korunması Esasları’nı okudum, kabul ediyorum. Burada paylaşmış olduğum kişisel/özel nitelikli kişisel verilerimin 6698 sayılı Kişisel Verilerin Korunması Kanunu ve sair mevzuat çerçevesinde işlenmesine açık rıza veriyorum.” ifadesine yer verildiği, dolayısıyla tek bir kutucuk işaretlendiğinde ilgili kişinin hem aydınlatma metnine hem de kişisel verilerinin işlenmesine onay verdiği, ancak Tebliğin 5 inci maddesinin birinci fıkrasının (f) bendine göre, kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiğinin hüküm altına alındığı, dolayısıyla kişisel verilerin işlenmesinin hukuki sebebinin açık rıza olduğu durumlar için ayrı bir açık rıza metninin de oluşturulması gerektiği 

B. Açık Rızanın Hizmet Şartına Bağlanıp Bağlanmadığına İlişkin Olarak:

  • Kanunun “Tanımlar” başlıklı 3 üncü maddesinin birinci fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlandığı, bu anlamda açık rızanın öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak verilmesi bu doğrultuda veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması gerektiği, diğer bir deyişle, açık rıza beyanının genel nitelikte olmaması, belirli bir konuya özgülenmiş ve o konu ile sınırlı olması gerekmekte olup, açık uçlu veri işleme faaliyetlerine ilişkin rıza alınamayacağı, bununla birlikte, açık rıza bir irade beyanı olduğundan, kişinin özgür bir şekilde rıza gösterebilmesi için, neye rıza gösterdiğini de bilmesi gerektiği ayrıca kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olmasının beklenildiği, bu sebeple, bilgilendirmenin, veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmesi ve mutlaka verinin işlemesinden önce yapılmasının önem arz ettiği, diğer yandan, açık rızanın geçerlilik kazanabilmesi için kişinin yaptığı davranışın bilincinde ve kendi kararı olması gerektiği, bu çerçevede açık rızanın özgür iradeyle açıklanması gerektiğinden, herhangi bir ürün ve/veya hizmetin sunumunun da (ya da herhangi bir üründen ve/veya hizmetten yararlandırılması) ilgili kişi tarafından açık rıza verilmesi şartına bağlanmaması, tarafların eşit konumda olmadığı veya taraflardan birinin diğeri üzerinde etkili olduğu durumlarda rızanın özgür iradeyle verilip verilmediğinin dikkatle değerlendirilmesi gerektiği,
  • Diğer taraftan, kişisel verilerin işlenme şartlarının düzenlendiği Kanunun 5 inci maddesinin birinci fıkrasında; kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, bununla birlikte ikinci fıkrasında belirtilen şartlardan (-Kanunlarda açıkça öngörülmesi, -Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, -Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, -Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, -İlgili kişinin kendisi tarafından alenileştirilmiş olması, -Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, -İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması) birinin varlığı halinde ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun hükme bağlandığı,
  • Bununla birlikte, Kanunun “Genel ilkeler” başlıklı 4 üncü maddesinde, kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği, bu çerçevede kişisel verilerin işlenmesinde “a) Hukuka ve dürüstlük kurallarına uygun olma. b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.” şeklinde sayılan ilkelere uyulmasının zorunlu olduğunun düzenleme altına alındığı, anılan madde hükmünden açıkça anlaşılacağı üzere, kişisel verilerin işlenmesinde her hal ve şartta Kanunun 4 üncü maddesinde sayılan genel ilkelere uyulmasının hukuki bir gereklilik olduğu,
  • Öte yandan, 4682 sayılı Bireysel Emeklilik Tasarruf ve Yatırım Sistemi Kanununun (4682 sayılı Kanun) “Emeklilik sistemine katılma ve emeklilik sözleşmesi” başlıklı 4 üncü maddesinin birinci fıkrasına göre;

     “(…) Sisteme katılmak için şirket ile emeklilik sözleşmesi akdedilir. Emeklilik sözleşmesi; şirket nezdinde bireysel emeklilik hesabı açılması, hesaba katkı payı ödenmesi, ödenen katkı paylarının tercih edilen fonlarda yatırıma yönlendirilmesi ve hesapta biriken paraların hak sahiplerine ödenmesine ilişkin esas ve usuller ile tarafların bu kapsamdaki diğer hak ve yükümlülüklerini düzenleyen sözleşmedir. Emeklilik sözleşmesi, katılımcı ile bireysel emeklilik sözleşmesi şeklinde veyahut bir istihdam ilişkisine dayalı olarak veya katılımcı adına bir kuruluş ile grup emeklilik sözleşmesi şeklinde yapılabilir. Emeklilik sözleşmesine ve emeklilik sözleşmesinde bulunacak hususlara ilişkin esas ve usuller Kurulun görüşü alınarak Müsteşarlık tarafından belirlenir.

    hükmünün düzenlendiği, 09.11.2012 tarihli Resmi Gazetede yayımlanan Bireysel Emeklilik Sistemi Hakkında Yönetmeliğin (BES Yönetmeliği) 3 üncü maddesinin birinci fıkrasının (z) bendine göre teklif formunun, emeklilik planına, plan kapsamında sunulan fonlara, yapılan kesintilere, katkı payı tutarına, emeklilik sözleşmesinin taraflarına ve katılımcının yatırım tercihlerine ilişkin hususlar ile benzeri bilgileri içeren form olarak tanımlandığı, yine, anılan Yönetmeliğin “Bilgilendirme, teklif ve sözleşmenin düzenlenmesi” başlıklı 5 inci maddesinde;

    Bilgilendirme, teklif ve sözleşmenin düzenlenmesi

    MADDE 5 – (1) Şirket, bireysel emeklilik sistemine girmek isteyenlere, sisteme girme kararını etkileyebilecek hususlar hakkında bilgi verir; dürüstlük ilkeleri çerçevesinde, emeklilik sözleşmesinin müzakeresi ve düzenlenmesi sırasında katılımcıya veya sözleşmeyi düzenleyen sponsora veya işverene sistemin işleyişine ilişkin teknik konularda yardımcı olur, tarafların hak ve yükümlülüklerine ilişkin gerekli her türlü bilgiyi sağlar, yanıltıcı her türlü hâl ve davranıştan kaçınır. Bakanlık ilgililere yapılacak bilgilendirmenin asgari içeriğini ve yöntemini belirler.
    (2) Şirket, kişinin emekliliğe yönelik beklentilerine, gelir düzeyine ve yaşına uygun bir emeklilik planı teklifi sunar. (…)

    hükmünün yer aldığı, 

  • Bu çerçevede, veri sorumlusunun internet sitesinde yer alan “Bireysel Emeklilik Sözleşmesi Teklif Formu”nun (Teklif Formu) incelenmesinden “İnternet Ortamında Sunulacak Hizmetlere İlişkin Hükümler” başlığı altında yer verilen ifadelerden ilgili kişi ile veri sorumlusu arasında akdedilen Hizmet Sözleşmesi ile ihbar konusu uygulamanın kullanımında talep edilen verilerin veri sorumlusunun internet üzerinden sunduğu hizmetlerde şifre dışında geliştirilen bir yöntem olarak görülebileceği, bu durumda, veri sorumlusunun anılan kişisel veriler için Kanunun 5 inci maddesinin ikinci fıkrasında yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması”  veri işleme şartına dayanacağı değerlendirildiğinden hizmetin açık rıza şartına bağlanmasından söz edilemeyeceği, bununla birlikte ihbara konu olayda söz konusu uygulamanın kullanımı için sunulan aydınlatma metninde aynı zamanda kişisel verilerin işlenmesi için açık rıza alındığı, dolayısıyla veri sorumlusunun savunmasında açık rıza ve aydınlatma kavramlarını iç içe geçmiş belirsiz bir biçimde kullandığının görüldüğü, bu noktada söz konusu kişisel veri işleme faaliyetinin hukuki sebebinin açık bir şekilde ifade edilmesinin veri sorumlusunun yükümlülüğü olduğunun altının çizilmesi gerektiği, 
  • Ayrıca söz konusu kişisel veri işleme faaliyeti, Kanunda yer alan açık rıza dışındaki şartlardan birine dayanıyorsa, bu durumda ilgili kişiden açık rıza alınmasına gerek bulunmadığı ve veri işleme faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılmasının, aldatıcı ve hakkın kötüye kullanımı niteliğinde olacağı ve bu durumun ise Kanunun 4 üncü maddesinin ikinci fıkrasının (a) bendinde düzenlenen “hukuka ve dürüstlük kurallarına uygun olma” ilkesine aykırılık teşkil ettiği

değerlendirmelerinden hareketle,

  • Kanunun 5 inci maddesinde yer alan diğer işleme şartları mevcut iken ilgili kişilerin açık rızasının alınmasının Kanunun 4 üncü maddesinde yer alan “hukuka ve dürüstlük kurallarına uygun olma” ilkesine aykırı olduğu dikkate alındığında Kanunun 12 nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca söz konusu uygulamanın ihbar eden dışında pek çok kişi üzerinde olumsuz etki doğurabileceği, veri sorumlusunun sunduğu hizmet bakımından geniş bir müşteri kitlesi bulunduğu, Şirketin kusuru, ekonomik durumu ve haksızlık içeriği gibi hususlar da göz önünde bulundurularak 250.000 TL idari para cezası uygulanmasına,
  • Açık rıza alınması ile ilgili kişiye aydınlatma yapılması tek bir onaya bağlandığından açık rıza ve aydınlatma metinlerinin ayrı ayrı düzenlenmesi ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
  • Aydınlatma metninde muğlak ifadelere yer verildiği dikkate alındığında veri sorumlusunun aydınlatma yükümlülüğünü Kanun ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümleri ile uyumlu olacak şekilde düzenlenmesi ve sonucundan Kurula bilgi verilmesi hususunda talimatlandırılmasına

karar verilmiştir.

13.04.2021: “İlgili kişinin kişisel verilerinin site yönetim hizmetini sağlayan veri sorumlusu şirket tarafından bir mobil uygulama ile hukuka aykırı olarak paylaşılması”
Karar Tarihi : 13/04/2021
Karar No : 2021/359
Konu Özeti : İlgili kişinin kişisel verilerinin ikamet ettiği sitede yönetim hizmetleri veren veri sorumlusu şirket tarafından bir mobil uygulama ile hukuka aykırı olarak paylaşılması

İlgili kişinin Kuruma intikal eden şikayetinde özetle; oturduğu sitenin yönetiminden sorumlu şirketin kendisine ait telefon numarasını yönetim hizmetleri kapsamında kullanılan bir mobil uygulama ile rızası dışında paylaştığı ve ilgili uygulamadan kendisine bilgi mesajı gönderildiği belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gerekli yaptırımların uygulanması talep edilmiştir.

Konuya ilişkin olarak başlatılan inceleme çerçevesinde ilgili sitenin yönetim işlemlerini yürüten şirket (Site Yönetim Hizmeti Sunan Şirket) ile aktarım yapılan uygulama ile ilgili hizmeti sunan şirketin (Uygulama Hizmeti Sunan Şirket) savunmaları istenilmiştir.

Bu kapsamda Yönetim Hizmeti Sunan Şirketten alınan cevabi yazıda özetle; 

  • İlgili kişinin ikamet ettiği Sitenin Temsilciler Kurulu ile Şirketleri arasında hizmet sözleşmesinin bulunduğu, mezkur sözleşme kapsamında yükümlülüklerinin Kat Mülkiyeti Kanunu ve Site Yönetim Kurulu kararlarına uygun olacak şekilde; sitenin ortak alanlarında çalışacak personelin tahsisi ve çalıştırılması, site yönetim faaliyetlerine danışmanlık verilmesi, sitenin finansal durumunun analizi ve bilanço hazırlanması, site denetim kurulunun denetim işlemleri sırasında refakat edilmesi, sitenin gelir-gider muhasebe işlemlerinin usule uygun olarak yapılması olduğu, 
  • Dolayısıyla Şirketlerinin, bir yönetim firması olduğu ve yönetim firması olması sebebiyle hizmetlerini sunarken birçok yönetim programından yararlanıldığı, kişisel verilerin aktarıldığı iddia edilen uygulamanın da Şirketin bu anlamda yönetim hizmetlerini verirken kullandığı bir program olduğu, site sakinlerinin kişisel verilerinin kesinlikle üçüncü kişilerle paylaşılmadığı, muhtemel olarak ilgili kişinin kendisinin programa kaydolduğundan SMS ile bilgilendirme aldığı,
  • Söz konusu uygulamayı sunan Şirket ile aralarında hizmet sözleşmesi bulunduğu, ilgili kişiye ait kişisel verilerin mezkur uygulamaya aktarılması ya da uygulamaya kaydının taraflarınca yapılması gibi bir durumun söz konusu olmadığı, Şirketlerine üçüncü bir taraftan gelen yüksek meblağlı bir ürünle ilgili indirimin site sakinlerince yönetim hizmetlerinin gerçekleştirilmesi için hali hazırda kullanılan bir uygulama (ilk uygulama) üzerinden site sakinlerine bilgi verme amaçlı olarak bildirildiği, kişisel verilerin aktarıldığı iddia edilen yeni uygulamaya (ikinci uygulama) üye olmayı gerektiren bu indirimden yararlanabilmenin tamamen ilgili kişinin inisiyatifinde olduğu, ilgili kişinin kendi seçimi ile yeni uygulamaya/ikinci uygulamaya kaydolduğu, bu çerçevede aydınlatılmanın söz konusu uygulama ve ilgili kişinin arasında bir durum olduğu, 
  • İlgili kişinin mezkur uygulamaya kaydının Şirketlerince yapılmadığı, ilgili kişinin uygulamaya kendi özgür iradesiyle kayıt olduğu  

şeklinde açıklamalara yer verilmiş ve yazıları ekinde hem halihazırda kullanılan ilk uygulama hizmetini sunan şirket hem de şikayet konusu kişisel verilerin aktarıldığı iddia edilen ikinci uygulama hizmetini sunan şirket ile imzalanan hizmet sözleşmelerine ve taraflar arasındaki KVKK Protokolüne yer verildiği görülmüştür.

Şikayet konusu Uygulama Hizmetini Sunan Şirketten alınan yazıda ise,

  • Yönetim Hizmeti Sunan Şirket ile aralarında akdedilen hizmet sözleşmesi kapsamında bu Şirkete bulut hizmeti sağlandığı, sisteme kullanıcı kaydı ve girişi, hesap oluşturma ve sair tüm işlemlerin Yönetim Hizmeti Sunan Şirket tarafından oluşturulduğu, bu sebeple kendilerinin veri sorumlusu sıfatını haiz olmadığı, sağlanan bulut hizmetinin kapsamı gereği veri işleyen sıfatını haiz oldukları, 
  • Sunulan bulut program hizmetinin bir sözleşmenin kurulması veya ifası ile doğrudan doğruya ilgili olduğu, ilgili kişinin ikamet ettiği sitede 634 sayılı Kat Mülkiyeti Kanunundan kaynaklanan borç ve yükümlülüklerin gereklerinin ifası için sitede ikamet eden kişilerin verilerinin işlenmesinin zorunlu olduğu, 
  • İlgili kişinin kişisel verilerinin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendi çerçevesinde işlenebileceği, bu kapsamda açık rıza aranması durumunun söz konusu olmadığı, böyle bir rızanın aranacağı düşünülse bile söz konusu aydınlatma ve açık rızanın alınması yükümlülüğünün Yönetim Hizmeti Sunan Şirkete ait olduğu, 
  • İlgili kişinin kişisel verilerinin Yönetim Hizmeti Sunan Şirket tarafından bulut sistemine girilmesi suretiyle elde edildiği, bu kapsamda ilgili kişiye ait kişisel verilerin Yönetim Hizmeti Sunan Şirket tarafından elde edilerek bulut sisteme girişinin yapıldığı, Yönetim Hizmeti Sunan Şirket tarafından ilgili kişinin girişinin yapılmasının ardından bulut programının otomatik olarak ilgili kişiye kayıt mesajı gönderdiği,
  • Yönetim Hizmeti Sunan Şirket ile aralarındaki hizmet sözleşmesi kapsamında gerçekleşecek platform değişikliği ve/veya ek platform kullanımı sebebiyle; halihazırda yönetim hizmetlerinin ifası için kullanılan ilk uygulamada kayıtlı verilerin şikayete konu edilen ikinci uygulamaya aktarılabilmesi için Yönetim Hizmeti Sunan Şirketin bilgisi ve isteği dahilinde Şirketlerine ilk uygulamaya giriş yetkisi tanımlaması yapıldığı ve bu tanımlama ile birlikte platform değişikliği ve/veya ek platform kullanımı sonucu ilk uygulamada kayıtlı verilerin ikinci uygulamaya otomatik olarak aktarıldığı, 
  • Yönetim Hizmeti Sunan Şirket tarafından ilk uygulamaya kaydı yapılan kullanıcıların bilgi aktarımının otomatik olarak ikinci uygulamaya yapıldığı ve ilgili kişinin sisteme giriş yapabilmesi için telefon numarasına bilgilendirme SMS’i gönderildiği

açıklamalarına yer verilmiştir.

Söz konusu iddialar, tarafların savunmaları ve ilgili mevzuat hükümlerinin birlikte incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 13/04/2021 tarih ve 2021/359 sayılı Kararı ile;

  • Öncelikle somut hadisede ilgili kişinin şahsına ait telefon numarasının rızası dışında uygulama ile paylaşıldığı iddiası kapsamında veri sorumlusunun tespit edilmesi gerektiği, veri sorumlusunun tespit edilebilmesi adına Site Temsilciler Kurulu ile Yönetim Hizmeti Sunan Şirket arasındaki sözleşmelerin de incelendiği, bu doğrultuda Yönetim Hizmeti Sunan Şirketin Site Temsilciler Kurulu ile akdettiği sözleşme kapsamında ilgili kişinin ikamet ettiği sitede yönetim hizmetleri verdiği, bu anlamda söz konusu hizmetlerin ifası gereği Yönetim Hizmeti Sunan Şirketin 3. kişilerle sözleşme yapabileceği, bu sözleşmeler kapsamında sorumluluğun Yönetim Hizmeti Sunan Şirkete ait olduğu, Yönetim Hizmeti Sunan Şirketin kişisel verilerin aktarıldığı iddia edilen uygulama/ikinci uygulama ile hizmet sözleşmesi akdettiği ve bu sözleşmenin eki niteliğinde olan KVKK Protokolünde hizmet sözleşmesinde Yönetim Hizmeti Sunan Şirketin veri sorumlusu sıfatını haiz olduğuna yer verildiği dikkate alındığında Yönetim Hizmeti Sunan Şirketin kişisel verilerin aktarıldığı iddia edilen ikinci uygulama ile yaptığı sözleşme kapsamında kişisel verilerin işlenme amaç ve yöntemini belirleyen kişi olarak veri sorumlusu sıfatını taşıdığı,
  • Uygulama Hizmetini Sunan Şirketin ise Yönetim Hizmeti Sunan Şirketin verdiği yetki kapsamında onun adına veri işleme faaliyetini gerçekleştiren veri işleyen sıfatını haiz olduğu,
  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Diğer taraftan veri sorumlusu Şirket ve veri işleyen Uygulama Hizmeti Sunan Şirket arasında akdedilmiş olan Protokolün “Protokol Koşulları” başlıklı maddesinde;
    • Yönetim Hizmeti Sunan Şirketin hizmet sözleşmesi kapsamında uygulamayı kullanarak uygulama ile yazılı olarak, elektronik ortamda veya sair şekillerde bilgi, belge ve veri paylaşacağı,
    • Yönetim Hizmeti Sunan Şirketin uygulama ile paylaşacağı her türlü verinin sözleşme ilişkisi kapsamında uygulamaya aktarıldığını ve KVKK anlamında gerekli kabul edilmesi halinde Protokolün paylaşılacak her türlü kişisel veri bakımından açık rıza niteliğinde olduğunu kabul, beyan ve taahhüt edeceği, 
    • İlgili kişilerin KVKK kapsamında açık rıza vermesi gerekli ise ilgili kişilerin verilerinin uygulama ile paylaşılması hususunda ilgili kişilerden açık rıza aldığını kabul beyan ve taahhüt edeceği

          hususlarına yer verildiği,

  • Bununla birlikte, şikayet konusu kapsamında Uygulama Hizmetini Sunan Şirketten alınan cevap yazısından; Yönetim Hizmeti Sunan Şirket ile aralarındaki hizmet sözleşmesi ile birlikte gerçekleşecek platform değişikliği ve/veya ek platform kullanımı sebebiyle; Yönetim Hizmeti Sunan Şirketin kullandığı ilk uygulamada kayıtlı verilerin ikinci uygulama ile paylaşılabilmesi için veri sorumlusu Şirketin bilgisi ve isteği dahilinde ikinci uygulamaya giriş yetkisi tanımlaması yapıldığı ve bu tanımlama ile birlikte platform değişikliği ve/veya ek platform kullanımı sonucu ilk uygulamada kayıtlı verilerin otomatik olarak ikinci uygulama ile paylaşıldığı ve ilgili kişinin sisteme giriş yapabilmesi için telefon numarasına bilgilendirme SMS'i gönderildiği,
  • Bu kapsamda, veri sorumlusu Yönetim Hizmeti Sunan Şirket her ne kadar ilgili kişinin kişisel verilerini ikinci uygulama ile paylaşmadığını iddia etse de, bu uygulama ile aralarında akdedilmiş olan Protokol maddelerine ve Uygulama Hizmeti Sunan Şirketten alınan cevap yazısına göre taraflar arasında söz konusu kişisel veri paylaşımı hususunun mümkün olduğu; keza Uygulama Hizmeti Sunan Şirketten alınan cevap yazısından da veri sorumlusu Şirketin kullanmış olduğu ilk uygulamada mevcut verilerin ikinci uygulama ile paylaşılması kapsamında veri sorumlusu Yönetim Hizmeti Sunan Şirket tarafından ikinci uygulamaya yetki tanındığı, bu yetki çerçevesinde aralarında ilgili kişinin de bulunduğu ilk uygulamadaki kullanıcı bilgilerinin ikinci uygulama ile paylaşıldığı,  
  • İkinci uygulamaya katılımın, site yönetim işlerinden ayrı bir amaca hizmet ettiği ve isteğe bağlı olduğunun anlaşıldığı, bu uygulamaya ilgili kişilerin katılımını sağlamak amacıyla kişisel verilerin işlenmesinin ise Kanunun 5 inci maddesinin (2) numaralı fıkrasında yer alan işleme şartlarına dayandırılamayacağı ancak ilgili kişinin açık rızası ile gerçekleştirilebileceği, diğer taraftan somut hadisede ise ilgili kişinin açık rızasının alınmadığı hususları göz önünde bulundurulduğunda kişisel verilerin hukuka aykırı işlendiği kanaatine varıldığı

değerlendirmelerinden hareketle;

  • Kişisel verilerin aktarıldığı iddia edilen uygulamaya katılımın, site yönetim işlerinden ayrı bir amaca hizmet ettiği ve isteğe bağlı olduğu, bu uygulamaya ilgili kişilerin katılımını sağlamak amacıyla kişisel verilerin işlenmesinin Kanunun 5 inci maddesinin (2) numaralı fıkrasında yer alan işleme şartlarına dayandırılamayacağı ancak ilgili kişinin açık rızası ile gerçekleştirilebileceği, ilgili kişinin açık rızasının ise alınmadığı hususları göz önünde bulundurularak kişisel verilerin hukuka aykırı işlendiği kanaatine varılmış olup, bu çerçevede Kanunun 12 nci maddesinin (1) numaralı fıkrası hükmüne aykırı hareket eden veri sorumlusu Yönetim Hizmeti Sunan Şirket hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına

karar verilmiştir.

25.02.2021: “Belediyeler tarafından sunulan internet hizmetleri”
Karar Tarihi : 25/02/2021
Karar No : 2021/140
Konu Özeti : Belediyeler tarafından sunulan internet hizmetleri

Kurumumuza iletilen çeşitli ihbarlarda belediyelerin internet üzerinden emlak vergisi veya beyan bilgisini sorgulama sayfalarında yalnızca TC kimlik numarası girilerek vatandaşın emlak bilgilerine ulaşılmasının kişisel verilerin korunması açısından sorun teşkil ettiği ifade edilmiş, konunun 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında incelenmesi talep edilmiştir.

Konuya ilişkin başlatılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 25/02/2021 tarih ve 2021/140 sayılı Kararı ile;

  • Kanunun 12 nci maddesinin (1) numaralı fıkrasında “Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmüne, anılan maddenin (4) numaralı fıkrasında veri sorumluları ile veri işleyen kişilerin öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacının dışında kullanamayacağı  hükmüne, (5) numaralı fıkrasında ise işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildireceği, Kurulun, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükümlerine yer verildiği, 
  • Kurumumuz internet sayfasında da yayımlanan “Kişisel Veri Güvenliği Rehberi”nde  kişisel veri içeren sistemlere erişimin sınırlı olması gerektiği, kişilere yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınması ve kullanıcı adı ve şifre kullanılmak suretiyle ilgili sistemlere erişim sağlanabileceği, ayrıca uzaktan erişim için iki kademeli kimlik doğrulama kontrolünün uygulanmasının önemli olduğu hususlarına yer verildiği,
  • Yapılan incelemeler neticesinde bazı belediyeler tarafından internet üzerinden verilen vergi ödeme hizmetlerinin üyelik ve şifre ya da çift doğrulama yolu ile sisteme giriş yapılması sureti ile gerçekleştirildiği ve bu uygulamaların Kanuna uygun olduğu, ancak bazı belediyeler tarafından sunulan hızlı sorgulama ya da borç ödeme uygulamalarında sadece tek bir bilgi girilerek kişilerin borç bilgisine ulaşılabildiği; her ne kadar kişiye ait isim ya da mülke ilişkin bilgilere erişim mümkün olmasa da borca ilişkin bilgiye erişim sağlanabildiğinin anlaşıldığı, bu durumun Kanunun 12 nci maddesinin 1 numaralı fıkrasının (b) bendinde yer alan hükme aykırı olduğu 

değerlendirmelerinden hareketle; 

  • Bazı belediyelerin bu yöndeki Kanuna aykırı uygulamaları nedeniyle konu hakkında Çevre ve Şehircilik Bakanlığına ve Türkiye Belediyeler Birliğine bilgi verilmesine, 
  • Diğer taraftan, yalnızca tek bir bilginin girilerek (örneğin TC kimlik no, vergi no gibi) kişilerin borç ya da emlak bilgilerine erişim sağlanmasına yönelik uygulamalar yerine belediyeler tarafından sunulan emlak vergisi, beyan bilgisi veya benzeri nitelikteki hizmetlere ilişkin sorgulama sayfalarında veri güvenliğini arttırmaya yönelik olarak gerekli idari ve teknik tedbirlerin alınması, bu bağlamda örneğin çift katmanlı doğrulamayı mümkün kılabilecek şekilde TC Kimlik numarası ya da vergi numarasının girilmesinin yanı sıra kişilerden farklı kişisel verilerin de talep edilmesi, SMS ile doğrulama, üyelik yapılması gibi yöntemlerin seçilmesi ve bu itibarla belediyelerin hizmet sunma yöntemlerinin kişisel verilerin korunması mevzuatı çerçevesinde yeniden değerlendirilerek gerekli önlemlerin alınması hususunda Belediyelerin talimatlandırılmasına

karar verilmiştir.

08.10.2020: “İlgili kişinin eski çalışanı olduğu şirketi devralan veri sorumlusu şirket tarafından kanuna aykırı veri işleme faaliyetinde bulunulması”
Karar Tarihi : 08/10/2020
Karar No : 2020/769
Konu Özeti : İlgili kişinin eski çalışanı olduğu şirketi devralan veri sorumlusu şirket tarafından Kanuna aykırı veri işleme faaliyetinde bulunulması

İlgili kişinin Kuruma intikal eden şikayetinde özetle; eski çalışanı olduğu şirketin, başka bir şirkete bütün borç, ödev ve yükümlülükleri ile devrolduğu ancak kişisel verilerin elde edilmesi sırasında tarafına herhangi bir aydınlatma yapılmadığı, veri sorumlusu devralan şirketin internet sitesinde sunulan aydınlatma metninin açık ve belirli olmayan muğlak ifadeler içerdiği, şahsına ilişkin özlük dosyasında sağlık verilerinin de bulunduğu ve 6698 sayılı Kişisel Verilerin Korunması Kanununun 6 ncı (Kanun) maddesi uyarınca bu veri işleme faaliyeti için açık rızasının alınmadığı, öte yandan Kanunun 11 inci maddesi kapsamındaki haklarına ilişkin başvurusuna karşılık veri sorumlusunun cevabında yer alan kişisel verileri saklama sürelerine ilişkin 10 yıllık sürenin geçersiz olduğu ve İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği uyarınca 15 yıl saklanması gerektiği, ayrıca veri sorumlusu tarafından kendisine gönderilen ticari elektronik iletiler aracılığıyla herhangi bir hukuka uygunluk sebebi olmaksızın kişisel verilerinin işlendiği iddia edilerek veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 08/10/2020 tarihli ve 2020/769 sayılı Kararı ile;

  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin birinci fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, ikinci fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Diğer taraftan, Kanunun “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6 ncı maddesinin birinci fıkrasında kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerinin özel nitelikli kişisel veri olduğunun belirtildiği, aynı maddenin ikinci fıkrasında özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesinin yasaklandığı, bununla birlikte üçüncü fıkrada da özel nitelikli kişisel verilerin açık rıza aranmadan işlenebileceği diğerin haller sayıldığı, buna göre sağlık verilerinin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebileceğinin belirtildiği, 4 üncü fıkrada ise özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şartının da getirildiği,
  • İlgili kişinin kişisel verilerinin elde edilmesi sırasında tarafına herhangi bir aydınlatma yapılmadığı iddiasına ilişkin olarak veri sorumlusu tarafından verilen yanıtta veri sorumlusunun ilgili kişilerle hukuki ilişkilerinin sürmekte olduğu ve/veya doğrudan üçüncü taraflar vasıtasıyla temas etmekte olduğu faaliyetler bakımından 6698 sayılı Kanun uyarınca aydınlatma ve açık rıza alınmasına ilişkin yükümlülükler doğrultusunda uyumlaştırmaların gerçekleştirildiği ancak Şirketin aktif bir hukuki ilişki içerisinde olmadığı, ilgili mevzuatlar kapsamındaki saklama yükümlülükleri ile sınırlı olarak veri işleme faaliyeti gerçekleştirdiği eski çalışanlar bakımından aydınlatma yükümlülüğünün gerçekleştirilmesinin pratikte mümkün olmadığının belirtildiği,
  • Veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen Kanunun 10 uncu maddesi uyarınca kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişinin, ilgili kişilere; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, 11 inci maddede sayılan diğer hakları konusunda bilgi vermekle yükümlü olduğu, ilgili kişinin şikayet başvurusu ve veri sorumlusunun cevabi yazısından anlaşıldığı üzere ilgili kişinin kişisel verilerinin 2014-2015 yıllarında işlendiği, 6698 sayılı Kişisel Verilerin Korunması Kanununun 07.04.2016 itibariyle yürürlüğe girdiği, bu çerçevede söz konusu tarihler itibariyle Kanunun yürürlüğe girmemiş olması sebebiyle kişisel verilerin elde edilmesi sırasında aydınlatma yükümlülüğünün yerine getirilmesinin de mümkün olmadığı sonucuna varıldığı,
  • 4857 sayılı İş Kanununun 75 inci maddesinin “İşveren çalıştırdığı her işçi için bir özlük dosyası düzenler. İşveren bu dosyada, işçinin kimlik bilgilerinin yanında, bu Kanun ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları istendiği zaman yetkili memur ve mercilere göstermek zorundadır.” hükmünü haiz olduğu,
  • 5510 sayılı Sosyal Sigortalar Kanununun ‘Prim belgeleri ve işyeri kayıtları’ başlıklı 86 ncı maddesinde “İşveren, işyeri sahipleri; işyeri defter, kayıt ve belgelerini ilgili olduğu yılı takip eden yıl başından başlamak üzere on yıl süreyle, kamu idareleri otuz yıl süreyle, tasfiye ve iflâs idaresi memurları ise görevleri süresince, saklamak ve Kurumun denetim ve kontrol ile görevlendirilen memurlarınca istenilmesi halinde onbeş gün içinde ibraz etmek zorundadır.” şeklinde düzenlemenin yer aldığı,
  • İşverenin çalışanlarının özlük dosyalarını düzenlemesi bakımından veri sorumlusu sıfatını haiz olduğu, bu kapsamda İş Kanunu ve Sosyal Sigortalar Kanunu kapsamındaki yükümlülükleri dolayısıyla veri işleme faaliyetinin gerçekleştirildiği, söz konusu veri işleme faaliyetinin Kanunun 5 inci maddesinin ikinci fıkrasının (a) bendinde yer alan ‘kanunlarda açıkça öngörülme’ ve aynı fıkranın (ç) bendinde yer alan ‘veri sorumlusunun hukuki yükümlülüğünün yerine getirilebilmesi için zorunlu olması’ şartlarına dayanılarak gerçekleştirildiği sonucuna varıldığı,
  • İlgili kişinin açık rızası olmaksızın sağlık verilerinin işlenmesine ilişkin olarak;
    • Çalışanlara ait sağlık verisi içeren kayıtların kişisel sağlık dosyalarında saklanmakta olduğu, kişisel sağlık dosyalarının yalnızca sır saklama yükümlülüğü altında bulunan iş yeri hekiminin erişimi ile sınırlı olarak saklanmakta olduğu ve Şirketin sistemlerinde kayıtlı olmadığı,
    • İşyeri Hekimi ve Diğer Sağlık Personelinin Görev, Yetki, Sorumluluk ve Eğitimleri Hakkında Yönetmeliğin “İşyeri Hekiminin Yükümlülükleri” başlıklı 11 inci maddesinde “İşyeri hekimleri, bu Yönetmelikte belirtilen görevlerini yaparken, işin normal akışını mümkün olduğu kadar aksatmamak ve verimli bir çalışma ortamının sağlanmasına katkıda bulunmak, işverenin ve işyerinin meslek sırları, ekonomik ve ticari durumları hakkındaki bilgiler ile çalışanın kişisel sağlık dosyasındaki bilgileri gizli tutmakla yükümlüdürler.” hükmü uyarınca iş yeri hekimlerinin sır saklama yükümlülüğü altında bulunan kişilerden olduğu,
    • Aynı Yönetmeliğin “İşyeri Hekimlerinin Görevleri” başlıklı 9 uncu maddesinin ikinci fıkrasının (c) bendinde yer aldığı üzere iş yeri hekiminin sağlık gözetimi kapsamında yapılacak işe giriş ve periyodik muayeneler ve tetkikler ile ilgili olarak çalışanları bilgilendirmek ve onların rızasını alma, çalışanların yapacakları işe uygun olduklarını belirten işe giriş ve periyodik sağlık muayenesi ile gerekli tetkiklerin sonuçlarını yönetmelik ekinde verilen örneğe uygun olarak düzenleme ve işyerinde muhafaza etme görevlerinin bulunduğu,
    • Öte yandan Kanunun 6 ncı maddesinin üçüncü fıkrasında sağlık verilerinin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebileceğinin düzenlendiği,
    • Kanunun 6 ncı maddesinin dördüncü fıkrasında ise özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şartının bulunduğu, bu kapsamda “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 tarihli ve 2018/10 sayılı Kararı çerçevesinde yeterli önlemlerin belirlendiği

hususları dikkate alınarak Kurul tarafından özel nitelikli kişisel verilerin işlenmesinde veri sorumlularınca alınması gereken yeterli önemler alınmak suretiyle mevzuatta öngörülen görevleri kapsamında iş yeri hekimi tarafından sağlık verisinin işlenmesinin mümkün olduğu

değerlendirmelerinden hareketle

  • Şikayet dilekçesi ve veri sorumlusunun cevaplarından ilgili kişinin kişisel verilerinin 2014-2015 yıllarında işlendiğinin anlaşıldığı, 6698 sayılı Kişisel Verilerin Korunması Kanununun 07.04.2016 itibariyle yürürlüğe girdiği, bu çerçevede söz konusu tarihler itibariyle Kanunun yürürlüğe girmemiş olması sebebiyle kişisel verilerin elde edilmesi sırasında aydınlatma yükümlülüğünün yerine getirilmesinin de mümkün olmadığı, dolayısıyla bu hususta Kanun kapsamında yapılacak bir işlem bulunmadığına,
  • İşverenin çalışanlarının özlük dosyalarını düzenlemesi bakımından veri sorumlusu sıfatını haiz olduğu, bu kapsamda İş Kanunu ve Sosyal Sigortalar Kanunu kapsamındaki yükümlülükleri dolayısıyla veri işleme faaliyetinin gerçekleştirildiği, söz konusu veri işleme faaliyetinin Kanunun 5 inci maddesinin ikinci fıkrasının (a) bendinde yer alan ‘kanunlarda açıkça öngörülme’ ve aynı fıkranın (ç) bendinde yer alan ‘veri sorumlusunun hukuki yükümlülüğünün yerine getirilebilmesi için zorunlu olması’ şartlarına dayanarak gerçekleştirildiğine,
  • İlgili kişinin açık rızası olmaksızın sağlık verilerinin işlenmesine ilişkin olarak; İşyeri Hekimi ve Diğer Sağlık Personelinin Görev, Yetki, Sorumluluk ve Eğitimleri Hakkında Yönetmeliğin “İşyeri Hekiminin Yükümlülükleri” başlıklı 11 inci maddesi hükmü uyarınca iş yeri hekimlerinin sır saklama yükümlülüğü altında bulunan kişilerden olduğu, aynı Yönetmeliğin “İşyeri Hekimlerinin Görevleri” başlıklı 9 uncu maddesinin ikinci fıkrasının (c) bendinde yer aldığı üzere çalışanların yapacakları işe uygun olduklarını belirten işe giriş ve periyodik sağlık muayenesi ile gerekli tetkiklerin sonuçlarını yönetmelik ekinde verilen örneğe uygun olarak düzenleme ve işyerinde muhafaza etme görevlerinin bulunduğu, 6698 sayılı Kanunun 6 ncı maddesi uyarınca özel nitelikli kişisel veriler arasında sayılan sağlık verilerini içermesi sebebiyle gerek çalışan gerekse de eski çalışanlarına ait kişisel sağlık dosyalarının yalnızca sır saklama yükümlülüğü altında bulunan iş yeri hekiminin erişimi ile sınırlı olarak saklanmakta olduğunun beyan edildiği ve ilgili kişinin kişisel verilerinin güvenliğinin sağlanmadığına yönelik bir iddiası olmadığı hususları dikkate alınarak Kurul tarafından belirlenen özel nitelikli kişisel verilerin işlenmesinde veri sorumlularınca alınması gereken yeterli önlemler alınmak suretiyle mevzuatta öngörülen görevleri kapsamında iş yeri hekimi tarafından sağlık verisinin işlenmesinin mümkün olduğuna,
  • İlgili kişinin ticari elektronik ileti gönderilmek suretiyle kişisel verilerinin hukuka aykırı işlendiği iddiasına ilişkin olarak herhangi bir somut delile rastlanılamadığından bu aşamada Kurum tarafından yapılacak herhangi bir işlem bulunmadığına

karar verilmiştir.

29.09.2020: “İlgili kişinin aidat borcu bilgisinin site yönetimi tarafından ev sahibine iletilmesi”
Karar Tarihi : 29/09/2020
Karar No : 2020/755
Konu Özeti : İlgili kişinin aidat borcu bilgisinin site yönetimi tarafından ev sahibine iletilmesi

İlgili kişi tarafından Kuruma intikal ettirilen şikâyet dilekçesinde özetle; kendisine ev sahibinden, aidatının bazı aylarda eksik, bazı aylarda ise hiç yatırılmadığına dair bir SMS iletildiği, bu SMS iletimi hadisesinin kendisine ait kişisel verilerin hukuka aykırı olarak işlendiğini ortaya koyduğu; ilgili kişinin, kişisel verilerinin site yönetimi tarafından ev sahibi ile paylaşılmasında hiçbir bilgisi ve rızasının bulunmadığı, bu doğrultuda veri sorumlusu site yönetimine başvurmak suretiyle 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 11 inci maddesinde gösterilen haklarını kullandığı ve işlenen/aktarılan kişisel verileri ile ilgili olarak tarafına bir aydınlatma yapılıp yapılmadığı hususlarında bilgi talep ettiği, site yönetiminin ise verdiği yanıtta, ilgili kişinin aidat ödeme bilgilerinin ev sahibinin talebi doğrultusunda paylaşıldığının belirtildiği fakat ilgili kişiye aydınlatma yapıldığına veya kendisinden bu hususta açık rıza alındığına dair bir belge yahut herhangi bir hukuka uygunluk sebebinin de sunulamadığı belirtilerek veri sorumlusu site yönetimi hakkında idarî para cezası uygulanması talep edilmiştir.

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun 29/09/2020 tarihli ve 2020/755 sayılı Kararı ile;

  • Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması artlarından birinin varlığı halinde ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerine yer verildiği,
  • Öte yandan, 634 sayılı Kat Mülkiyeti Kanununun “Ortak Giderlerin Teminatı” başlığını hâiz 22 nci maddesinin, “Kat malikinin, 20’nci madde uyarınca payına düşecek gider ve avans borcundan ve gecikme tazminatından, bağımsız bölümlerin birinde kira akdine, oturma (sükna) hakkına veya başka bir sebebe dayanarak devamlı bir şekilde faydalananlar da müştereken ve müteselsilen sorumludur. Ancak, kiracının sorumluluğu ödemekle yükümlü olduğu kira miktarı ile sınırlı olup, yaptığı ödeme kira borcundan düşülür…” hükmünü amir olduğu,
  • Söz konusu hüküm uyarınca ev sahibi ile kiracının ortak giderler ve gecikme tazminatından müştereken ve müteselsilen sorumlu olduğu dikkate alındığında, ev sahibinin, kiracısının oturduğu dairenin aidat gibi apartmanın ortak giderlerinden payına düşen kısımlarını ödeyip ödemediğinden haberdar olmasında gerek ev sahibi gerek site yönetiminin menfaati bulunduğu, dolayısıyla söz konusu veri işleme faaliyetinin; 6698 sayılı Kanunun 5 inci maddesinin (2) numaralı fıkrasının (e) bendi kapsamında bir hakkın tesisi, kullanılması veya korunması çerçevesinde gerçekleştirildiği,
  • Bu itibarla veri sorumlusunun ilgili kişiye verdiği cevapta da ev sahibinin isteği üzerine ilgili kişinin borç bilgilerinin ev sahibi ile paylaşıldığının ifade edildiği dikkate alındığında ilgili kişiye veri sorumlusu tarafından verilen yanıtın, ilgili kişinin iddialarına konu hususları yeterli derecede açıklayıcı olduğu

değerlendirmelerinden hareketle;

  • İlgili kişinin kişisel verisi niteliğinde olan aidat borç bilgilerinin, veri sorumlusu tarafından ev sahibinin isteği üzerine paylaşıldığı, bu paylaşımın 634 sayılı Kat Mülkiyeti Kanununun 22 nci maddesinde yer alan hüküm uyarınca gerçekleştirildiği dikkate alınarak, veri sorumlusu site yönetimi tarafından ilgili kişiye iletilen cevap metninde yer verilen açıklamaların ilgili kişinin iddiasına konu hususları açıklayıcı nitelikte olduğuna, bu çerçevede, söz konusu şikâyet hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.
29.09.2020: “İlgili kişinin veri sorumlusu ile abonelik sözleşmesi kurma amacıyla gerçekleştirdiği telefon görüşmesi kayıtlarına erişim talebi”
Karar Tarihi : 29/09/2020
Karar No : 2020/746
Konu Özeti : İlgili kişinin veri sorumlusu ile abonelik sözleşmesi kurma amacıyla gerçekleştirdiği telefon görüşmesi kayıtlarına erişim talebi

Kuruma intikal ettirilen şikâyette özetle, hizmet alımı esnasında yaşadığı ihtilaf nedeniyle ilgili kişinin veri sorumlusuna ait kayıtlı elektronik posta (KEP) adresi üzerinden veri sorumlusu ile yapılan görüşmeye ait ses kayıtlarının talebine ilişkin başvuru gerçekleştirdiği, 25.08.2011 tarihli ve 28036 sayılı Resmi Gazetede yayımlanan Kayıtlı Elektronik Posta Sistemine İlişkin Usul ve Esaslar Hakkında Yönetmeliğin 12 nci maddesinin ikinci fıkrası uyarınca iletinin okunduğunun kabul edildiği tarihten itibaren otuz gün içerisinde kendisine cevap verilmediği, bunun üzerine müşteri hizmetleri ile görüştüğü, görüşmede sözleşmenin (ses kayıtlarının) bir örneğinin tarafına verilmesi gerektiği ancak verilmediğini, bu verilerin ilgili kişiye ait kişisel veriler olduğunu, veri sorumlusunun hangi tarihte kaç kere aradığına dair kayıtlarının da tutulduğunu, ayrıca, bunların da kişisel veri niteliği taşıdığını, bu verileri bilmeye hakkı olduğunu belirterek bu sebeple, tarafına iletilmesini talep ettiği ancak verilmediği, müşteri hizmetleri ile yapılan görüşmede Cumhuriyet Savcılığına başvurulması gerektiği ve söz konusu kişisel verilerin kendisine verilemeyeceğinin belirtildiği ifade edilerek, konunun 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında incelenmesi talep edilmiştir.

Başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • İlgili kişinin başvurusunu yaptığı KEP adresinin kişisel verilere ilişkin başvuruların yapılması amacıyla tahsis edilmiş bir KEP adresi olmadığı, kişisel verilerle ilgili talep ve soruların ana ortaklığın KEP adresine veya kendilerine ait https://www.......net/tr/gizlilik-ve-guvenlik linkinden iletilebileceği, 
  • Veri sorumlusu ve ilgili kişi arasında abonelik sözleşmesi kurulduğu, ilgili kişiye ait kişisel verilerin abonelik sözleşmesinin kurulmasıyla elde edildiği, abonelere ait kişisel verilerin abonelik ilişkisinin yanı sıra sunulan hizmetler kapsamında abonelik sözleşmesi, bayiler ve sair yüz yüze kanallar, çağrı merkezi, web sitesi, mobil uygulamalar, kısa mesaj, elektronik posta, sesli yanıt sistemi kanallarıyla elde edildiği,
  • İlgili kişiye ait kişisel verilerin Kanunun 5 inci maddesinin ikinci fıkrasının (c) bendi kapsamında işlendiği, 
  • Müşteri Hizmetleri ile abonelerin yapmış olduğu görüşmelerin ses kayıtlarının müşterilere iletilmesi durumunda müşteriler tarafından farklı amaçlarla kullanıldığı, sosyal medyada yayımlandığı, soruşturmalar kapsamında ve adli makamlara üzerinde tahrifat yapılarak iletilmesi gibi güvenlik risklerinin oluşabileceği, müşteri hizmetleri ile yapılan görüşmelerin ses kayıtlarının görüşmeyi gerçekleştiren müşteri hizmetleri çalışanının da kişisel verileri içerdiği düşünüldüğünde söz konusu kayıtların ilgili kişilere iletilmesinin bu kişilerin hakkını da zedeleyebilecek ve bu kişiyi ifşa edebilecek şekilde kullanılması riskini de doğuracağının değerlendirildiği,
  • Somut olayda ilgili kişinin müşteri hizmetleri ile gerçekleştirdiği görüşmeleri yanlış anlaması nedeniyle bir kampanyaya taahhüt vererek sözleşmenin kurulmuş olduğunu zannettiği ancak, esasen kurulmadığının kendisine daha sonra yapılan görüşmelerde izah edildiği, sonuç olarak aradaki yanlış anlamanın giderilerek ilgili kişinin veri sorumlusunca sunulan … Kampanyası'na kendi isteği ile tekrar taahhüt verdiği ve hâlihazırda hizmet almaya devam ettiği, 
  • Veri sorumlusunun Kanun gereğince uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü idari ve teknik tedbiri alma yükümlülüğünün bulunduğu, bununla birlikte, veri sorumlusunun yükümlülüklerine uygun olarak ticari faaliyetlerini devam ettirme yönündeki genel prensibi uyarınca müşteri hizmetleri ile abonelerin yapmış olduğu görüşmelerin (ses kayıtları) sadece yetkili adli ve idari merciler tarafından yöneltilen yasal talepler çerçevesinde yetkili merciler ile paylaşıldığı

ifade edilmiştir.

Söz konusu iddiaların incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 29/09/2020 tarih ve 2020/746 sayılı Kararında;

  • Kişisel verilerin işlenme şartlarının düzenlendiği Kanunun 5 inci maddesinin (1) numaralı fıkrasında; kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin, (2) numaralı fıkrasında ise kişisel verilerin kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun hükme bağlandığı,
  • 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanunun "Amaç ve Kapsam" başlıklı 1 inci maddesinin ikinci fıkrasında elektronik iletişim araçlarıyla yapılan sözleşmelerin 6563 sayılı Kanun kapsamında olduğunun ifade edildiği, Avrupa Birliği Elektronik Ticaret Direktifi’nde olduğu gibi 6563 sayılı Kanunda da elektronik sözleşmenin tanımının yapılmadığı, ancak, “Tanımlar” başlıklı 2 nci maddesinin birinci fıkrasının (c) bendinde, ticari elektronik iletinin, “Telefon, çağrı merkezleri, faks, otomatik arama makineleri, akıllı ses kaydedici sistemler, elektronik posta, kısa mesaj hizmeti gibi vasıtalar kullanılarak elektronik ortamda gerçekleştirilen ve ticari amaçlarla gönderilen veri, ses ve görüntü içerikli iletileri” kapsadığı, bu doğrultuda, 6563 sayılı Kanunun 2 nci maddesinde yer alan ticarî elektronik ileti tanımından hareketle, telefon aracılığıyla yapılan sözleşmelerin 6563 sayılı Kanun kapsamında elektronik sözleşme olarak kabul edildiğinin anlaşıldığı, dolayısıyla, veri sorumlusu ve ilgili kişinin telefon aracılığıyla sözleşme kurmaya yönelik yaptıkları görüşmede Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan hüküm çerçevesinde kişisel verilerin işlenebileceği,
  • 2010 yılında 5982 sayılı Kanunla Anayasanın 20 nci maddesine eklenen fıkra ile herkesin kendisiyle ilgili kişisel verilerin korunmasını isteme hakkının anayasal bir hak olarak teminat altına alındığı, bu bağlamda, kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenme hakkı hükme bağlanırken, kişisel verilerin korunmasına ilişkin usul ve esasların kanunla düzenleneceği,
  • Diğer taraftan, Kanunun "İlgili Kişinin Hakları" başlıklı 11 inci maddesinde, 
    "(1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; 
    a) Kişisel veri işlenip işlenmediğini öğrenme, 
    b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, 
    c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, 
    ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, 
    d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, 
    e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, 
    f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, 
    g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, 
    ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.
    " hükümlerine yer verildiği,
  • Bu doğrultuda, Kanunun “İlgili Kişinin Hakları” başlıklı 11 inci maddesinin birinci fıkrasının (b) bendi hükmü kapsamında ilgili kişinin, kendisiyle ilgili kişisel veriler işlenmişse buna ilişkin bilgi talep etme hakkını, söz konusu veriye erişim hakkını da kapsadığı ve erişim hakkının, bilgi talep etme hakkını tamamlayarak ilgili kişinin, kişisel verileri üzerindeki haklarını kullanabilmesi için, kişisel verilerinin ne şekilde işlendiğine dair tam olarak bilgi sahibi olmasına imkân sağlaması gerektiği,
  • Ancak bu hakkın, veri sorumlusunun veri güvenliğine ilişkin yükümlülüklerinin de dikkate alınması suretiyle, işlenen kişisel verilerin, teknik/fiziki imkânların el verdiği ölçüde ve verinin muhtevasına/içeriğine makul bir şekilde ulaşılabilmesine imkân tanınarak kullanılması gerektiği, 
  • İlgili kişinin erişim hakkı ile veri sorumlusunun konuşma kayıtlarının kaydedildiği kayıt ortamının kendisinin ancak yasal makamlar tarafından talep edildiği takdirde teslim edilebileceği yönündeki makul kabul edilebilecek açıklaması arasındaki dengenin talep edilen ses kayıtlarına ilişkin kayıt ortamlarının doğrudan ilgili kişiye teslim edilmeden dökümlerine erişim hakkı sağlanarak gerçekleştirilebileceği,
  • Diğer taraftan, Kanunun “Veri Sorumlusuna Başvuru” başlıklı 13 üncü maddesinin ikinci fıkrası gereğince, veri sorumlusunun ilgili kişinin başvurusunda yer alan talepleri, talebin niteliğine göre ve en geç otuz gün içerisinde sonuçlandırması gerektiği, öte yandan, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin (Tebliğ) 5 inci maddesinin (1) numaralı fıkrasında, “İlgili kişi, Kanunun 11 inci maddesinde belirtilen hakları kapsamında taleplerini, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna iletir.” hükmüne yer verildiği, ayrıca, Tebliğin 6 ncı maddesinin (2) numaralı fıkrasında, veri sorumlusunun başvuruyu kabul edeceği ya da gerekçesini açıklayarak reddedeceği, üçüncü fıkrasında ise, cevabın ilgili kişiye yazılı olarak veya elektronik ortamda bildirileceği

değerlendirmelerinden hareketle;

  • Kanunun 11 inci maddesinin (1) numaralı fıkrasının (b) bendi hükmü kapsamında ilgili kişinin, kendisiyle ilgili kişisel veriler işlenmişse buna ilişkin bilgi talep etme hakkının, söz konusu veriye erişim hakkını da kapsadığına ve erişim hakkının, bilgi talep etme hakkını tamamlayarak ilgili kişinin, kişisel verileri üzerindeki haklarını kullanabilmesi için, kişisel verilerinin ne şekilde işlendiğine dair tam olarak bilgi sahibi olmasına imkân sağladığı dikkate alındığında söz konusu dökümün, ilgili kişi dışında başkalarının kişisel verileri varsa bunlar çıkarılmak veya maskelenmek gibi önlemler alınarak ilgili kişiye gönderilmesi yönünde veri sorumlusunun talimatlandırılmasına,
  • İlgili kişilerin Kanun kapsamındaki başvurularına Kanunun ilgili hükümleri ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ hükümleri uyarınca süresi içinde bir cevap verilmesi yönünde veri sorumlusunun talimatlandırılmasına,
  • İlgili kişilerin Kanun kapsamındaki başvurularını ana ortaklığın KEP adresi yerine veri sorumlusuna ait KEP adresi üzerinden iletebilmeleri için kendi bünyesinde gerekli düzenlemeleri yapması yönünde veri sorumlusunun talimatlandırılmasına,

karar verilmiştir.

30.06.2020: “Veri sorumlusu bir havayolu şirketi tarafından ilgili kişiye ait çağrı merkezi görüşme kayıtlarının transkriptinin teslim edilmemesi”
Karar Tarihi : 30/06/2020
Karar No : 2020/504
Konu Özeti : Veri sorumlusu bir havayolu şirketi tarafından ilgili kişiye ait çağrı merkezi görüşme kayıtlarının transkriptinin teslim edilmemesi

Kuruma intikal eden şikâyette özetle; ilgili kişinin veri sorumlusu bir havayolu şirketinin çağrı merkezi ile gerçekleştirdiği görüşmeye ait olan ses kaydının 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 3 üncü maddesinin (d) bendi gereğince yazıya dökülmesi suretiyle bir nüshasının tarafına yazılı yahut e-posta yolu ile iletilmesinin istendiği, veri sorumlusu tarafından söz konusu talebin “ilgili ses kayıtlarının talebi şirket prosedürleri gereği yalnızca yasal merciler tarafından iletilmesi durumunda mümkün olduğu” gerekçesi ile reddedildiği, ancak Kanuna göre gerçek kişiye ait olan, gerçek kişiyi belirlenebilir kılan her türlü bilginin kişisel veri olduğu, ilgili kişiye ait olan ses kaydının da kişisel veri niteliğini haiz olduğu belirtilerek ilgili kişi tarafından talebini reddeden veri sorumlusunun Kanunun 13 üncü maddesi anlamında veri ihlaline sebep olduğu gerekçesiyle cezalandırılması ve ilgili görüşme kaydının kendisine teslim edilmesi talep edilmiştir.

Başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • Veri sorumlusu tarafından şikâyetin yanıtlandığı tarih itibarıyla, çağrı merkezi kayıtlarının ancak adli veya idari görevleri doğrultusunda bunları talep eden yetkili adli ve idari kurumlar ile paylaşıldığı, bunların dışında ise yetkilendirilmiş çağrı merkezi görevlilerinin erişimine açık olduğu,
  • Veri sorumlusunun misafirlerine ilişkin yolcu rezervasyon numarası (PNR), ses kaydı, şikâyet kayıtları gibi farklı türde kişisel verilerinin benzeri platformlar üzerinde ve farklı düzende kayıt altında tuttuğu,
  • Çoğu örnekte söz konusu kayıtların salt misafir kişisel verisinden ibaret olmadığı ve örneğin; PNR kayıtlarında biletleme veya havalimanında uçuşa kayıt (check-in) ve uçuşa kabul (boarding) işlemlerini yapan görevli kişiye, çağrı merkezi kayıtlarında şikâyet kaydı üzerinde işlem yapan yetkiliye ait bilgileri içerebildiği,
  • Veri sorumlusunun Kanun kapsamındaki yükümlülüklerini; tüm ilgili kişiler için amaçla bağlantılı, sınırlı ve ölçülü olma ilkesini gözeterek yerine getirdiği ve ilgili kişilerin kişisel verileri işlenmişse buna ilişkin bilgi talep etme hakkının kullanımını da bu ilkeleri gözeterek karşıladığı,  
  • Talep kapsamında kişilerin işlemleri hakkında açık bir şekilde bilgilendirilmelerinin zaruri olduğu,
  • Diğer yandan, veri sorumlusunun kayıtlarında yer alan veri setlerinin aynen başvuru sahipleri ile paylaşılmasının Kanun kapsamında farklı veri ihlali endişelerini beraberinde getirdiği,
  • Çağrı merkezi görüşmelerinin çoğu örnekte, uçuş ve işlemlere ilişkin detaylı bilgi içermekte olduğu, talep ve sonuca ilişkin bilgilerin yazılı iletişim kanalları ile misafirlerine doğrudan aktarıldığı ve ilgili kişinin çağrı merkezi görüşme kayıtlarına ilişkin talebinin de bu nedenle ilgili tarihteki uygulama doğrultusunda olumsuz yanıtlandığı,
  • Diğer yandan 13.03.2020 tarihinde Kurumun internet sitesinde yayımlanan 14.01.2020 tarih ve 2020/13 sayılı Kurul karar özeti doğrultusunda ilgili kişi ile tekrar iletişime geçilerek görüşme kaydının gerekli görülen maskeleme tedbirleri uygulanması suretiyle yazılı ortamda ilgili kişi ile paylaşıldığı; bu yönde iletilecek taleplerin benzer bir yaklaşımla ele alınması yönünde ilgili hizmet birimlerinin bilgilendirildiği 

ifadelerine yer verilmiştir. 

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 30/06/2020 tarihli ve 2020/504 sayılı Kararı ile,

  • Türkiye Cumhuriyeti Anayasasının “Özel hayatın gizliliği” başlıklı 20 nci maddesinin üçüncü fıkrası hükmüne göre; herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına ve bu anlamda bireylerin temel olarak, kendileri ile ilgili kişisel verilerin ilgisiz üçüncü kişilerin eline geçmemesi konusunda gerekli tedbirlerin alınmasını isteme hakkına sahip olduğu,
  • Bu hakkın; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsadığı,
  • Bu anlamda bireylerin, hangi amaçla hangi kişisel verilerinin kullanıldığını öğrenme hakkına sahip olduğu gibi söz konusu kişisel verilerde herhangi bir yanlışlık bulunması halinde bu durumun düzeltilmesini ya da verilerinin silinmesini isteme hakkına da sahip olduğu,
  • Zira Kanunun “İlgili Kişinin Hakları” başlıklı 11 inci maddesinin birinci fıkrasında “Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; a) Kişisel veri işlenip işlenmediğini öğrenme, b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.” hükmünün yer aldığı, 
  • Kanunun 11 inci maddesinin birinci fıkrasının (b) bendi hükmü kapsamında ilgili kişinin, kendisiyle ilgili kişisel veriler işlenmişse buna ilişkin bilgi talep etme hakkının, söz konusu veriye erişim hakkını da kapsadığı, erişim hakkının, bilgi talep etme hakkını tamamlayarak ilgili kişinin, kişisel verileri üzerindeki haklarını kullanabilmesi için, kişisel verilerinin ne şekilde işlendiğine dair tam olarak bilgi sahibi olmasına imkân sağladığı,
  • Ancak bu hakkın, kişisel verilerin işlendiği veri kayıt sisteminin/kayıt ortamının doğrudan kendisine erişimini, bu kayıt ortamının kendisinin ilgili kişiye teslimini veya doğrudan verinin kendisinin “elde edilme”sini değil; veri sorumlusunun veri güvenliğine ilişkin yükümlülükleri de dikkate alınarak, işlenen kişisel verilerin, teknik/fiziki imkânların el verdiği ölçüde ve verinin muhtevasına/içeriğine ilgili kişi tarafından makul bir şekilde ulaşılabilmesine imkân tanınmasını kapsadığı,
  • Kurum tarafından iletilen bilgi ve belge talebi konulu yazıyı takiben veri sorumlusunca ilgili kişiye, talep ettiği konuşmanın transkriptinin e-posta vasıtasıyla iletildiği ve Kuruma da redaksiyon ile kapatılmış bir versiyonunun gönderildiği,
  • Ayrıca veri sorumlusu tarafından gönderilen evraklar içerisinde Operasyon Birimine hitaben yazılan ve Kanun kapsamında yeni süreçte Çağrı Merkezi ile yapılan görüşmelere ilişkin kayıt talep eden misafirlere, görüşmenin transkriptinin dokümanda belirtilen hususlara bağlı kalınması suretiyle paylaşılması talimatını içeren e-postaya da yer verildiği,

değerlendirmelerinden hareketle;

  • İlgili kişinin kişisel verilerinin veri sorumlusu havayolu şirketi tarafından temin edilmesinin hukuka uygun olduğu,
  • Somut olayda gerçekleşen herhangi bir kişisel veri işleme faaliyeti kapsamında, Kanunun 12 inci maddesinin (1) numaralı fıkrası uyarınca veri sorumlusu tarafından veri güvenliğine ilişkin yükümlülüklere aykırı hareket edildiği sonucuna varılamayacağı
  • Somut olayla benzerlik arz eden bir konuya ilişkin olarak alınan ve 13.03.2020 tarihinde Kurum internet sitesinde yayımlanan 14.01.2020 tarih ve 2020/13 sayılı Kurul Karar özeti dikkate alınarak veri sorumlusu tarafından ilgili kişinin talebi doğrultusunda ses kaydına ait transkriptin hâlihazırda gönderildiği,
  • Veri sorumlusu bünyesindeki birimlerin, uygulamada artık ilgili kişilerin Kanuni talepleri doğrultusunda hareket edilmesi hususunda bilgilendirildiği

hususları göz önüne alındığında veri sorumlusu hakkında yapılacak bir işlem bulunmadığına karar verilmiştir.

09.02.2021: “Bankaya olan borcundan dolayı ilgili kişinin yakınına Bankanın sözleşmeli avukatı tarafından ilgili kişinin borç bilgisinin iletilmesi”
Karar Tarihi : 09/02/2021
Karar No : 2021/115
Konu Özeti : Bankaya olan borcundan dolayı ilgili kişinin yakınına, Bankanın sözleşmeli avukatı tarafından ilgili kişinin borç bilgisinin iletilmesi

Kuruma intikal eden şikâyette ilgili kişi tarafından, Bankaya olan borcu sebebiyle kız kardeşinin cep telefonu numarasının Bankanın sözleşmeli avukatı tarafından aranması ve cep telefonu numarasına SMS gönderilmesi suretiyle kişisel verisinin avukat tarafından hukuka aykırı olarak paylaşıldığı belirtilerek, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Konuya ilişkin olarak başlatılan inceleme çerçevesinde Bankanın sözleşmeli Avukatından savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • Bankanın gecikmiş alacaklarının gerek yasal gerek idari takibini gerçekleştirdiği, vekâlet ilişkisi çerçevesinde tarafınca ulaşılması beklenen müşterilere ait tüm iletişim numaralarının müvekkili Banka tarafından "irtibat bilgisi" olarak iletildiği, söz konusu iletişim bilgilerinin müvekkili Banka tarafından borçlu adına olan numaraların sorgulanması neticesinde referans bilgileri olarak gönderilmesi sebebiyle iletişim numarasını kullanmakta olan kişilerin dosyayla olan ilgisinin bilinmesinin ilk aşamada mümkün olmadığı, başka bir deyişle tarafınca sadece tevdi alınan dosyalar ile birlikte iletilen iletişim numaraları üzerinden borçlulara ulaşıldığı, ne var ki ilk aşamada tespit edilebilmesi mümkün olmamasına karşın mevcut bir numaranın borçlu ile ilgisi olmadığının anlaşılması halinde ivedilikle durumun Bankaya bildirildiği ve borçluya ait olmayan numaranın sistemden çıkartıldığı,
  • Banka ile arasında bir "vekâlet ilişkisi" nin söz konusu olduğu, Bankanın bankacılık faaliyetleri kapsamında müşterilerine ait birçok kişisel veriyi işlediği, Bankadan kredi kullanmış fakat ödemesinde gecikmiş müşterilerin öncelikle uhdesinde bulunan bir ekip tarafından arandığı ve ödemeye davet edildiği, kendilerine tanınan süre içerisinde ödeme gerçekleştirmeyen müşterilere ait dosyaların Bankanın kendisi gibi dışarıdan hizmet aldığı hukuk bürolarına yönlendirildiği ve Bankanın talimatlarıyla idari ve yasal takip sürecinin yürütüldüğü, Bankanın müşterilerine ait tüm kişisel verilerini yine Bankanın kendisi tarafından "Veri Sorumlusu" sıfatı ile işlediği, "Vekil" sıfatı ile takibini gerçekleştirdiği dosyalarda yer alan müşterilere ait tüm kişisel verilerin hukuk bürosuna yine Banka tarafından iletildiği, 
  • Vekilliği yürütülen Banka tarafından dosyaları hukuk bürosuna tevdi edilen müşterilere gerçekleştirilen ilk otomatik aramalarda hiçbir şekilde borçlu adı, borç miktarı yahut banka bilgisine yer verilmediği, otomatik aramalarda dinletilen metinlerin somut şikâyette olduğu gibi dosya ile ilgili olmayan bir kişiye ulaşılması ihtimalinde Kanunu ihlal edici bir fiilin meydana gelmemesi amacıyla tasarlandığı,
  • Şikâyete konu iletişim numarasının Banka tarafından ilgili kişinin iletişim bilgisi olarak sisteme kaydedildiği, ilgili kişinin dosyasının hukuk bürosuna tevdi edilmesi ile birlikte tarafınca dosya içerisinde yer alan tüm iletişim numaralarından borçluya ulaşılmaya çalışıldığı, gerçekleştirilen ilk otomatik arama akabinde numaranın ilgili kişiye ait olmadığının anlaşıldığı ve Bankaya konu hakkında bilgi verilerek numaranın kayıtlardan çıkarıldığı, şahsı ve hukuk bürosunun mevcut olayda kişisel verilerin korunması hukuku çerçevesinde yasal mevzuatı ihlal edici nitelikte hiçbir icrai yahut ihmali fiilinin bulunmadığı, vekil sıfatı ile yürüttüğü işler kapsamında ilgili kişinin kız kardeşine ait olduğunu iddia ettiği numaranın sisteme kaydedilmiş olmasında hiçbir sorumluluğunun bulunmadığı, hukuk bürosunda Bankanın borçluları ile gerçekleştirilen ilk temasta hiçbir isim, borç yahut banka bilgisine yer verilmemesi ve tarafınca takibi gerçekleştirilen dosyalar açısından herhangi bir ihlale mahal vermemesi adına azami gayretin sarf edilmekte olduğu

ifade edilmiştir.
Avukatın savunma, bilgi ve belge talebine vermiş olduğu cevabi yazısının Kuruma iletilmesini müteakip bahse konu başvuru hakkında Bankadan savunması talep edilmiş olup, Banka savunmasında özetle;  

  • Bankanın müşterisi olan ilgili kişinin ödenmemiş borçları sebebiyle 30.12.2016 ve 30.01.2017 tarihlerinde tasfiyeye alındığı, Bankanın alacaklarının tahsilatı için gerekli bilgilerin Banka alacaklarının tahsilatına ilişkin avukatlık hizmetlerinin gerçekleştirilmesine ilişkin olarak İcra Takibi Öncesi Tahsilat Hizmeti Sözleşmesi kapsamında Bankanın sözleşmeli hukuk bürosuna aktarıldığı,
  • Yasal Takip Sisteminin Bankanın yasal takip sürecinde olan müşterilerinin bilgilerine sözleşmeli avukatların erişebildiği ve numara ekleme çıkarma yapabildikleri bir sistem olduğu, ilgili kişiye ait telefon numarasının bu sisteme 'Diğer Telefonu’ olarak kaydedildiği, sözleşmeli avukatlar tarafından verilen hizmetlerde müşteri teyidinin yapılmadan müşteriye ait hiçbir bilginin verilmemesinin ana kuralları olduğu, Avukatın da beyan ettiği gibi teyit edilmeyen numaralar ile yapılan tüm iletişimlerde kişisel veriler ile ilgili her türlü tedbir alınarak hareket edilmesi gerektiği, 
  • Bu kapsamda Banka tarafından tasfiye dosyası aktarılan tüm hukuk bürolarına 02.09.2019 ve 21.11.2019 tarihlerinde borçluya, kefiller ve diğer tüm taraflara (rehin maliki, çeki senet cirantaları, keşidecileri, aval verenleri vb., ayni ve/veya şahsi olarak takip ve/veya davalara muhatap olan tüm ilgililer) ait kişisel verilerin 3. şahıslar ile paylaşılmaması, borçlu ve kefiller başta olmak üzere yukarıda yer verilen tüm taraflar ile iletişim kurulan tüm kanallarda kişisel verilerin gizliliğinin korunması yönünde gerekli tedbirlerin alınması hususlarında hassasiyet gösterilmesi konularında gerekli bilgilendirmelerin yapıldığı,
  • İlgili kişinin Bankaya yapmış olduğu başvuru kapsamında Avukata ait hukuk bürosu ile irtibata geçilerek, ilgili kişinin hangi numaralardan arandığı, hangi telefonlara SMS gönderildiği hususlarında detaylı bilgi talep edilmesi sonrası, hukuk bürosundan ilgili kişinin daha önceden kendilerini arayarak kız kardeşinin cep telefonuna SMS ve arama gitmesinden dolayı şikayetini ilettiği, telefonu kardeşinin kullandığı ve kardeşi ile bilgilerinin paylaşıldığını iddia ettiği, söz konusu numaranın iletişim bilgilerinde yer aldığı ancak bu numara ile görüşme yapılmadığı, 3. şahsın sadece gönderilen SMS'lerden bilgi sahibi olmuş olabileceği iletilse de ilgili kişinin şikayetinin devam ettiği, numaranın Yasal Takip Sisteminden silindiği bilgisinin alındığı, söz konusu numaranın avukatlık bürosu tarafından Yasal Takip Sisteminden 22.11.2019 tarihinde kaldırıldığı

ifade edilmiştir. 

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 09/02/2021 tarihli ve 2021/115 sayılı Kararı ile,

  • Somut olayda, Avukatın Banka ile arasındaki vekâlet ilişkisine istinaden tarafınca Bankanın gecikmiş alacaklarının gerek yasal gerekse de idari takibini gerçekleştirdiği, vekalet ilişkisi çerçevesinde tarafınca ulaşılması beklenen müşterilere ait tüm iletişim numaralarının müvekkili Banka tarafından "irtibat bilgisi" olarak iletildiği, dilekçesi ekinde yer alan belgelerden de incelemeye konu iletişim numarasının bizzat Banka tarafından işlerin takibinde kullanılan Yasal Takip Sistemine kaydedilmiş olduğunun anlaşıldığı, müşterilerin Bankayı sistemlerinde kayıtlı olan iletişim numarasından farklı bir numara ile aramaları durumunda, ilgili numaranın sistemlerine alternatif numara olarak kaydedildiği, müşterilerin ödemelerinin gecikmesi durumunda, müşterilerine sistemde kayıtlı numaralarından ulaşılamadığında alternatif numaraların arandığının anlaşıldığı; bu çerçevede, Bankanın kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olduğu ve veri sorumlusu sıfatını haiz olduğu;  
  • İlgili kişinin kız kardeşine ait olan numarayı asla iletişim numarası olarak kullanmadığı şeklindeki iddiasına ilişkin olarak Bankanın müşterilerinin sistemlerinde kayıtlı olan iletişim numarasından farklı bir numara ile aramaları durumunda ilgili numaranın sistemlerine alternatif numara olarak kaydedildiği, müşterilerin ödemelerinin gecikmesi durumunda, müşterilerine sistemde kayıtlı numaralarından ulaşılamadığında, alternatif numaralar aranarak, hiçbir kişisel bilgi paylaşılmaksızın müşterilerinin Bankayı araması hususunda not bırakıldığı savunması ve Kanunun 3 üncü maddesinde unsurları belirtilen açık rızanın kişinin sahip olduğu verinin işlenmesine, kendi isteği ile hukuka uygun şekilde onay vermesi anlamını taşıdığı dikkate alındığında ilgili kişinin kız kardeşine ait olan telefon numarasının Bankanın sistemlerine kayıt edilmesi işleminin ilgili kişinin açık rızasına dayanılarak yapıldığı sonucuna varılamayacağı, diğer taraftan Kanunun 5 inci maddesinde yer alan diğer işleme şartlarından birine dayanılarak da yapılmadığı, bu kapsamda, ilgili kişinin kız kardeşine ait telefon numarasının Banka tarafından hukuka aykırı olarak işlendiğinin değerlendirildiği,
  • Bankanın alacaklarının borçlu müşteriler aleyhinde icra takibine geçilmeden müşterilerle uzlaşarak tahsil edilebilmesi amacıyla icra takibi öncesinde tahsilat hizmeti aldığı ve kişisel verileri aralarında sözleşme imzaladıkları hukuk bürolarına aktardığını ifade ettiği; bu çerçevede, Bankanın müşterilerine ilişkin kişisel verileri hukuk bürolarına aktarmasının Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” veya (e) bendinde yer alan “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” çerçevesinde olduğu; dolayısıyla Bankanın alacaklarının borçlu müşterilerden tahsilini sağlamak üzere Avukata hukuka uygun şekilde erişim yetkisi verildiğinin değerlendirildiği; ancak Kanun hükümleri gereğince açık rıza aranmaksızın işlenecek kişisel verilerin borçluya ait olması gerektiği, bu kapsamda somut olayda Banka ile bağı olmayan ve bahse konu icra işlemine konu kişisel verisi bulunmayan ilgili kişinin kız kardeşinin cep telefonu numarasına erişim yetkisi verildiğinin anlaşıldığı, ancak Bankanın kendi bünyesinde oluşturduğu Yasal Takip Sisteminde yer alan ilgili kişinin kişisel verileri haricinde kız kardeşinin telefon numarasını Avukat ile paylaşmasının Kanun kapsamında gerçekleştirilebilecek bir kişisel veri işleme faaliyeti olmadığı ve hukuka aykırı olduğunun değerlendirildiği, bu durumun Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine aykırılık teşkil ettiği kanaatine varıldığı,
  • Avukatın ise Avukatlık Kanunundan kaynaklanan yükümlülükleri ve yürütmekte olduğu icra işlemleri bakımından İcra İflas Kanunu ve ikincil mevzuat düzenlemelerinden kaynaklanan hukuki yükümlülüklerini yerine getirmek amacıyla Bankanın verdiği talimatlar çerçevesinde onun adına kişisel verileri işlediği ve somut olayda veri işleyen sıfatını haiz olduğu,
  • Avukatın söz konusu Yasal Takip Sisteminde “diğer telefonu” olarak kayıtlı olan telefon numarasının ilgili kişinin kız kardeşinin telefon numarası olup olmadığını ilk anda bilecek durumda olmadığı, zira sistemde bu telefon numarasının ilgili kişi haricinde kime ait olduğunun belirtilmediği, ilgili kişinin kız kardeşine sırasıyla 01.07.2019, 18.09.2019, 19.09.2020 ve 13.11.2019 tarihinde SMS’ler gönderildiği, 21.11.2019 tarihinde otomatik aramanın gittiği ve ilk otomatik arama sonrasında numaranın ilgili kişiye ait olmadığının anlaşıldığı ve veri sorumlusuna konu hakkında bilgi verilerek numaranın kayıtlardan çıkarıldığı 

değerlendirmelerinden hareketle;

  • Banka tarafından ilgili kişinin kız kardeşinin cep telefonu numarasının Yasal Takip Sistemine kaydedilmesi işleminin ilgili kişinin açık rızasının alınması şartına dayanılarak yapılmadığı anlaşıldığından söz konusu kişisel verinin elde edilmesinin Kanunun 5 inci maddesine aykırı olduğu; diğer taraftan Bankanın söz konusu kişisel veriyi elde etmesinin akabinde kendi bünyesinde oluşturduğu Yasal Takip Sisteminde yer alan ilgili kişinin kişisel verileri haricinde kız kardeşinin telefon numarasını Avukat ile paylaşmasının hukuka aykırı olduğu değerlendirilmekte olup, bu durumun Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine aykırılık teşkil ettiği kanaatine varıldığından Banka hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 175.000 TL idari para cezası uygulanmasına,
  • Avukatın söz konusu Yasal Takip Sisteminde “diğer telefonu” olarak kayıtlı olan telefon numarasının ilgili kişinin kız kardeşinin telefon numarası olup olmadığını ilk anda bilecek durumda olmadığı, zira sistemde bu telefon numarasının ilgili kişi haricinde kime ait olduğunun belirtilmediği, ilgili kişinin kız kardeşine sırasıyla 01.07.2019, 18.09.2019, 19.09.2020 ve 13.11.2019 tarihinde SMS’ler gönderildiği, 21.11.2019 tarihinde otomatik aramanın gittiği ve ilk otomatik arama sonrasında numaranın ilgili kişiye ait olmadığının anlaşıldığı ve veri sorumlusuna konu hakkında bilgi verilerek numaranın kayıtlardan çıkarıldığı dikkate alındığında avukat hakkında yapılacak bir işlem olmadığına

karar verilmiştir.

11.08.2020: “İlgili kişinin, bilet satın almamasına karşın bir havayolu şirketinden uçak bileti satın aldığına dair SMS alması”
Karar Tarihi : 11/08/2020
Karar No : 2020/608
Konu Özeti : İlgili kişinin, herhangi bir şekilde bilet satın almamasına karşın bir havayolu şirketinden uçak bileti satın aldığına dair SMS alması

Kuruma intikal eden şikâyet dilekçesinde özetle; ilgili kişinin 05********4 numaralı cep telefonuna 01.07.2019 tarihinde bir Havayolu Şirketi tarafından Umman’dan İzmir aktarmalı İstanbul’a uçak bileti satın alındığına dair bir SMS gönderildiği, ilgili kişinin mesajı görür görmez veri sorumlusunu aradığı ancak görüşme sağlayamadığı, bunun üzerine çevrimiçi şikâyet formu doldurduğu, bu başvurusunu müteakiben veri sorumlusu tarafından aranarak belirtilen biletin iptal edildiğinin kendisine söylendiği, ilgili kişinin bunun üzerine adını ve cep telefonu numarasını kullanarak kimin söz konusu uçak biletini satın aldığının tarafına yazılı olarak bildirilmesini talep ettiği ancak herhangi bir yanıt alamadığı belirtilmiş olup veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup verilen cevabî yazıda özetle;

  • İlgili kişi adına 02.01.2020 tarihinde oluşturulmuş bir üyelik hesabı olduğunun görüldüğü, şikâyet tarihi olan 20.08.2019’a kadar ilgili kişiye ait herhangi bir üyelik hesabı ve bu hesap altında üyelik bilgisinin kayıtlarında yer almadığı,
  • Şikâyete konu PNR kapsamında yer alan ilgili kişiye ait tek kişisel verinin cep telefonu bilgisi olduğu, söz konusu PNR kaydına bu veri girişinin de bileti satın alan mobil uygulaması kullanıcısı tarafından yapıldığı, belirtilen ilgili kişinin telefon numarasının zorunlu veri girişi alanına değil tercihe bağlı olarak sunulan “ücretli SMS bildirimi” alanına bu kullanıcı tarafından girildiği ve SMS içeriğinin iletimi için yalnızca telefon numarasının hat operatörü ile paylaşıldığı,
  • PNR ile ilgili kişinin telefon numarasının sistemsel olarak eşleşmediği, mobil uygulama üzerinden bilet satışında ad, soyadı, cinsiyet, doğum tarihi, telefon numarası, e-posta ve ülke bilgisi girilmesinin zorunlu olduğu diğer yandan SMS bilgilendirme hizmetinin ise zorunlu olmadığı, dolayısıyla ilgili kişiye ait kimlik bilgilerinin ilgili PNR kapsamında işlenmediği,
  • İlgili kişiye ait kişisel verilerin üçüncü kişilerle paylaşımının veya üçüncü kişilerce bu verilere erişimin söz konusu olmadığı,
  • Bilet satın alımı sırasında girilen T.C. kimlik numaralarının doğruluğunun MERNİS üzerinden eşleştirilerek teyit edilmesine ilişkin bir sistem bulunmadığı ancak girilen numaranın mevcut bir numara olup olmadığını anlayan (Ulaştırma ve Altyapı Bakanlığı Sivil Havacılık Genel Müdürlüğü düzenlemeleri ile uyumlu olarak) bir algoritma kullanıldığı

ifade edilmiştir.

Bu savunma üzerine Kurum tarafından veri sorumlusundan, mobil uygulama vasıtasıyla alınan bilete ait PNR numarasının, ilgili kişinin iletişim bilgileri ile eşleşmediği hususunu tevsik edici mahiyette bilgi ve belgelerin Kuruma sunulması istenilmiş olup veri sorumlusu tarafından verilen yanıtta; ilgili kişiye ait olmayan biletleme işlemindeki uçuş rezervasyonu oluşturulurken işlemi yapan kişi tarafından bilet bilgilerinin ücretli SMS olarak iletilmesi tercihinin işaretlendiği ancak ücretli SMS’in gönderileceği telefon numarasının rezervasyonda kayıtlı iletişim numarasından farklı olarak girildiği, bu numaranın da ilgili kişiye ait telefon numarası olduğu hususu belirtilmiş ve bu hususa dayanak olan bilgi ve belgeler Kuruma ulaştırılmıştır.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 11/08/2020 tarihli ve 2020/608 sayılı Kararı ile; 

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun 3 üncü maddesinin (1) numaralı fıkrasının (d) bendi gereğince “kişisel verinin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde tanımlandığı, bu kapsamda ilgili kişiye ait telefon numarasının, adı- soyadı ve TC kimlik numarası ile eşleştirilerek saklandığından ve kimliği belirlenebilir gerçek bir kişiye ulaşılması sonucu doğurduğundan kişisel veri niteliğinde olduğu, ancak somut olayda ilgili kişiye ait telefon numarasının kendisine ait herhangi bir kayıtla eşleşmediği aksine sehven yazılmış olan numaranın bileti satın alan kişi tarafından veri sorumlusu sistemlerine girildiğinin anlaşıldığı,
  • Söz konusu bilgi ve belgelerin incelenmesi neticesinde, veri sorumlusu kanalları üzerinden bilet almakta olan 05*******2 telefon numarasının kullanıcısı gerçek kişinin satın aldığı biletle ilişkili olarak ilgili kişiye ait 05********4 telefon numarasını veri sorumlusu ile paylaştığının anlaşıldığı, bu kapsamda veri sorumlusunun müşterilerine alınan biletlere ilişkin SMS hizmeti sunarken başka bir telefon numarasına SMS gönderilmesi seçeneği de sunduğu görülmüş olup alınan bilete ilişkin müşteri bilgilerinin ilgili kişiye ait olmadığı,
  • değerlendirmelerinden hareketle;
  • Veri sorumlusu tarafından ilgili kişinin iletişim bilgilerinin başka bir kullanıcı tarafından sisteme girilmesi suretiyle ve kastı bulunmaksızın işlendiği; ayrıca söz konusu manuel veri girişlerine cevaz veren sisteme girilen telefon numaralarının kime ait olduğunun belirlenmesine ilişkin sistemsel bir eşleştirme yahut veri tabanı bulunmadığı dikkate alındığında Kanunun 12 nci maddesinde yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alma yükümlülüğünü ihlal ettiği yönünde bir tespitte bulunulamadığından konuya ilişkin Kanun kapsamında tesis edilecek bir işlem olmadığına,
  • İlgili kişiler tarafından Kanun çerçevesinde yapılan başvurulara süresi içinde ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe uygun bir şekilde cevap vermesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

30.06.2020: “Ölenin sağlık verisinin yasal mirasçısı tarafından talep edilmesi”
Karar Tarihi : 30/06/2020
Karar No : 2020/507
Konu Özeti : Ölenin sağlık verisinin yasal mirasçısı tarafından talep edilmesi

Kuruma intikal eden şikayette; ilgili kişinin vefat eden babasının mirasçısı olduğunu gösterir mirasçılık belgesi ile Kişisel Sağlık Verileri Hakkında Yönetmeliğin 11 inci maddesi uyarınca babasına ait kayıtlı her türlü sağlık verisinin tarafına iletilmesini ilgili kamu kurumundan talep ettiği fakat talebinin 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 8 inci maddesi ile 5502 sayılı Sosyal Güvenlik Kurumu Kanununun 35 inci maddesinin beşinci fıkrası dayanak gösterilerek ve 4721 sayılı Türk Medeni Kanununa ilişkin sükna hakkı, intifa hakkı ve nafaka alacağının devredilmediği belirtilerek reddedildiği, ancak bu hususların talebi ile hiçbir ilgisinin olmadığı, ölen kişinin verisinin mirasçısına verilmesi ile ilgili açık mevzuat olmadığı sürece, idarenin emsal yolu ile sınırlama getirmesinin hukuka aykırı olduğu, kişinin tıbben ve hukuken ölümüyle gerçek kişiliğinin sona ermesi ile birlikte, ölenin sağlığında sahip olduğu tüm mal varlığı, hukuki hakları, borçları ve yükümlülüklerinin mirası reddetmemiş mirasçılara geçtiği, hukuki varlığı sona eren ölen bir kişinin 6698 sayılı Kanuna dayanılarak gerçek kişi ve ilgili kişi kavramları ile ilişkilendirilmesinin fiilen ve hukuken söz konusu olmadığı, Kişisel Sağlık Verileri Hakkında Yönetmeliğin 11 inci maddesi göz önüne alındığında verilerin sadece yargı yolu ile alınması gerektiğine ilişkin açık bir düzenleme, yöntem ya da kısıtlama bulunmadığı,  veri sorumlusu kamu kurumu tarafından verilen yanıtta Kişisel Sağlık Verileri Hakkında Yönetmeliğin yalnızca Sağlık Bakanlığını bağladığının ifade edildiği ancak, bir yönetmeliğin yalnızca onu çıkaran Bakanlığı bağlayabileceğinin düşünülemeyeceği, bu yönetmeliğin vatandaşı doğrudan ilgilendiren ve idarenin uygulaması gereken açık bir düzenleme olduğu hususları belirtilerek söz konusu verilerin tarafına verilmesi talep edilmiştir. 

İlgili kişinin dilekçesi ekinde yer alan veri sorumlusu kamu kurumu tarafından ilgili kişiye verilen cevap yazısında; 

  • 5502 sayılı Kanunun 35 inci maddesinin beşinci fıkrasında; “Bu Kanun ve diğer mevzuatla verilen görevleri yerine getirmek amacıyla işlediği kişisel veriler ile ticari sır niteliğinde olan verileri, veri sahibinin noter onaylı muvafakati veya e-devlet uygulaması üzerinden kimlik teyidi ile verilen izni olmadan gerçek veya tüzel kişilerle paylaşamaz. … Kurum, kişisel sağlık verilerini kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi  ve bakım hizmetlerinin yürütülmesi, verilen sağlık hizmetlerinin uygunluğunun ve yerindeliğinin takibi ve finansmanının planlanması amacıyla talebi halinde Sağlık Bakanlığı ile paylaşır….” hükümlerine yer verildiği, 
  • Ayrıca veri sorumlusu kamu kurumunun hukuk müşavirliğinden alınan görüşte;“… bir kişinin yaşamı sırasında üçüncü kişilerden bir çok hak ve alacağı olabilir. Bu haklardan intifa hakkı, sükna hakkı, nafaka alacağı gibi hak ve alacaklar hak sahibi kişinin ölümü ile kendiliğinden sona erer. Bu nedenle kendiliğinden sona eren bu tür hak ve alacaklar mirasçılara geçmez. … Bu itibarla, ölen kişinin mirasçılarına kişisel verilerinin… verilmesinin hukuken mümkün olmadığı ancak dava konusu yapılması durumunda mahkeme kanalıyla istenmesi halinde … verilmesinin uygun olacağı”na ilişkin mütalaa verildiği, 
  • Sağlık Bakanlığı tarafından çıkarılan Yönetmelik hükümlerinin normlar hiyerarşisi yönünden Sağlık Bakanlığını bağladığı, bu nedenlerle ilgili kişinin babasına ilişkin kişisel sağlık verilerinin ancak yargı makamları tarafından istenmesi halinde verilebileceğinin 

ifade edildiği görülmüştür. 

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun 30/06/2020 tarihli ve 2020/507 sayılı Kararı ile,

  • Kanunun “Tanımlar” başlıklı 3 üncü maddesinde; “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi; “kişisel verilerin işlenmesi”nin ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı, 
  • Kanunun gerekçesinde; sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgilerin değil, aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgilerin de bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade ettiğinden kişisel veri olarak tanımlandığı, diğer bir ifadeyle,  kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıyan veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsadığı, bu sebeple, isim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi verilerin dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel veriler olarak değerlendirildiği,
  • 4721 sayılı Türk Medeni Kanununun 28 inci maddesinde ise kişiliğin çocuğun sağ olarak tamamıyla doğduğu anda başladığı ve ölümle sona erdiği hükmünün yer aldığı,
  • 21/06/2019 tarihli ve 30808 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren Kişisel Sağlık Verileri Hakkında Yönetmeliğin,  “Ölünün sağlık verilerine erişim” başlıklı 11 inci maddesinin birinci fıkrasının; “Ölmüş bir kimsenin sağlık verilerini almaya, veraset ilamını ibraz etmek suretiyle murisin yasal mirasçıları münferit olarak yetkilidir.” hükmünü amir olduğu, 
  • Söz konusu olaya benzer nitelikte bir başvuruya ilişkin olarak Kişisel Verileri Koruma Kurulunun vermiş olduğu 18/09/2019 tarih ve 2019/273 sayılı Kararı ile; 

    -6698 sayılı Kişisel Verilerin Korunması Kanununun 3 üncü maddesinde ilgili kişinin “kişisel verileri işlenen gerçek kişi” olarak tanımlandığı, 4721 sayılı Türk Medeni Kanununun 28 inci maddesinde ise kişiliğin çocuğun sağ olarak tamamıyla doğduğu ve ölümle sona erdiği hükmüne yer verildiği dikkate alındığında başvuranın vefat eden eşine ilişkin kayıtları veri sorumlusundan talep etmesinin 6698 sayılı Kanunda yer alan ilgili kişi tanımı kapsamında değerlendirilemeyeceğine,
    -Öte yandan 21.06.2019 tarihli ve 30808 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Kişisel Sağlık Verileri Hakkında Yönetmeliğin,  “Ölünün sağlık verilerine erişim” başlıklı 11 inci maddesinin 1 inci fıkrasında “Ölmüş bir kimsenin sağlık verilerini almaya, veraset ilamını ibraz etmek suretiyle murisin yasal mirasçıları münferit olarak yetkilidir” hükmü kapsamında … vefat eden eşi … yasal mirasçısı olarak söz konusu verileri Kişisel Sağlık Verileri Hakkında Yönetmelik kapsamında adı geçen klinikten talep edebileceği hususunda başvuru sahibinin bilgilendirilmesine…karar verilmiştir.
    ” 

değerlendirmelerinden hareketle, 

  • İlgili kişinin vefat eden babasının yasal mirasçısı olarak söz konusu verileri Kişisel Sağlık Verileri Hakkında Yönetmelik kapsamında talep edebileceğine ancak Kuruma yapmış olduğu başvurunun Kanun kapsamında değerlendirilemeyeceğine karar verilmiştir
25.06.2020: “İlgili kişinin bir kargo şirketine karşı açtığı işe iade davasında, kişisel verisi olan kamera görüntülerinin kargo şirketi tarafından mahkemeye sunulması”
Karar Tarihi : 25/06/2020
Karar No : 2020/494
Konu Özeti : İlgili kişinin bir kargo şirketine karşı açtığı işe iade davasında, kendisine ait kamera görüntülerinin kargo şirketi tarafından mahkemeye sunulması

Kuruma intikal eden şikayette; ilgili kişinin veri sorumlusu kargo şirketi nezdinde çalıştığı, iş akdinin sonlandırılmasından sonra açtığı işe iade davasının görülmesi sırasında veri sorumlusunun ilgili kişiye ait kamera görüntülerini mahkemeye sunduğu, kamera görüntülerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında kişisel veri niteliğini haiz olduğu ve Kanunun 5 inci maddesi uyarınca kişisel verilerin ilgili kişinin açık rızası olmadan işlenemeyeceği, bu hususa ilişkin olarak ilgili kişinin bir açık rıza beyanının bulunmadığı, konuya yönelik olarak veri sorumlusuna yapılan başvuruya cevaben veri sorumlusu tarafından ilgili kişinin kişisel verilerinin önceden ilgili kişi tarafından imzalanmış bir bilgilendirme metni kapsamında işlendiğinin belirtilmiş olmasına rağmen kendisinin böyle bir açık rıza beyanının bulunmadığı belirtilerek veri sorumlusu kargo şirketi nezdinde Kanun kapsamında gerekli yaptırımların uygulanarak hukuka aykırı olarak elde edilen kişisel verilerin silinmesi talep edilmiştir. 

Şikayet dilekçesi ekinde yer alan veri sorumlusu tarafından ilgili kişiye verilen cevapta; ilgili kişinin daha önceden imzaladığı bilgilendirme metni kapsamında aktarma merkezinde kamera kaydının yapıldığına ilişkin ilgili kişinin bilgilendirildiği, veri sorumlusu tarafından kamera kayıtlarının ilgili kişinin imzaladığı bu aydınlatma bildirimine istinaden hukuken geçerli sebeplere dayanılarak işlendiği, söz konusu kamera görüntülerinin ilgili kişinin çalışma arkadaşına hakaret içerikli sözlerde bulunarak fiziksel şiddet uygulaması sonucu iş akdinin feshedilmesine ilişkin delil olarak mahkemeye sunulduğu belirtilmiştir. 

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun 25/06/2020 tarihli ve 2020/494 sayılı kararı ile,

  • Kanunun amacının; kişisel verilerin işlenmesinin disiplin altına alınması ile temel hak ve özgürlüklerin korunması, kişinin mahremiyet hakkı ile bilgi güvenliğinin korunması ve ayrıca kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olduğu,  
  • Kanunun kapsamına ilişkin 2 nci maddesi uyarınca; Kanun hükümlerinin, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanacağı, 
  • Kanunun “Tanımlar” başlıklı 3 üncü maddesinde; “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi; “ilgili kişi”nin kişisel verisi işlenen gerçek kişi, “veri sorumlusu”nun kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi; “kişisel verilerin işlenmesi”nin ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı, 
  • Kanunun 5 inci maddesinde kişisel verilerin işlenme şartlarına yer verilmiş olduğu; buna göre maddenin (1) numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinden birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun hükme bağlandığı,
  • Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde, kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği ve buna göre, kişisel verilerin ancak; “a) Hukuka ve dürüstlük kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ile d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” ilkelerine uygun işlenebileceği,
  • İlgili kişinin Kuruma ilettiği şikayet başvurusundan, bahsi geçen kamera görüntülerinin ilgili kişinin çalışma arkadaşına hakaret içerikli sözlerde bulunarak fiziksel şiddet uygulaması sonucu iş akdinin haklı nedenle feshedildiğine dair delil olmak üzere işveren vekili tarafından mahkemeye sunulduğunun anlaşıldığı, 
  • Veri sorumlusu tarafından ilgili kişinin başvurusuna cevap olarak iletilen ihtarname örneğinde, ilgili kişinin imzaladığı kişisel veriler hakkında bilgilendirme metni gereğince aktarma merkezinde kamera kaydı alındığına ilişkin olarak ilgili kişiye bilgilendirme yapıldığı, ilgili kişinin imzaladığı bu aydınlatma bildirimine göre veri sorumlusunca kamera kayıtlarının hukuken geçerli sebeplere dayanılarak işlendiği ve Kanunun 5 inci maddesinin (2) numaralı fıkrasının (e) bendindeki; “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hukuki sebebi uyarınca taraflar arasında görülen işe iade davasında, iş akdinin haklı nedenle fesih sebebinin kanıtlanması amacıyla mahkemeye sunulduğunun açıklandığı,
  • 6100 sayılı Hukuk Muhakemeleri Kanununun “Dava dilekçesinin içeriği” başlıklı 119 uncu maddesinin;
     “(1) Dava dilekçesinde aşağıdaki hususlar bulunur: 
    a) Mahkemenin adı. 
    b) Davacı ile davalının adı, soyadı ve adresleri. 
    c) Davacının Türkiye Cumhuriyeti kimlik numarası. 
    ç) Varsa tarafların kanuni temsilcilerinin ve davacı vekilinin adı, soyadı ve adresleri. 
    d) Davanın konusu ve malvarlığı haklarına ilişkin davalarda, dava konusunun değeri. 
    e) Davacının iddiasının dayanağı olan bütün vakıaların sıra numarası altında açık özetleri.
    f) İddia edilen her bir vakıanın hangi delillerle ispat edileceği. 
    g) Dayanılan hukuki sebepler. 
    ğ) Açık bir şekilde talep sonucu. 
    h) Davacının, varsa kanuni temsilcisinin veya vekilinin imzası.
    (2) Birinci fıkranın (a), (d), (e), (f) ve (g) bentleri dışında kalan hususların eksik olması hâlinde, hâkim davacıya eksikliği tamamlaması için bir haftalık kesin süre verir. Bu süre içinde eksikliğin tamamlanmaması hâlinde dava açılmamış sayılır.

    hükmünü haiz olduğu,
  • 6100 sayılı Kanunun “Cevap dilekçesinin içeriği” başlıklı 129 uncu maddesinde; 
    (1) Cevap dilekçesinde aşağıdaki hususlar bulunur: 
    a) Mahkemenin adı. 
    b) Davacı ile davalının adı, soyadı ve adresleri; davalı yurt dışında ise açılan dava ile ilgili işlemlere esas olmak üzere yurt içinde göstereceği bir adres. 
    c) Davalının Türkiye Cumhuriyeti kimlik numarası. 
    ç) Varsa, tarafların kanuni temsilcilerinin ve davacı vekilinin adı, soyadı ve adresleri. 
    d) Davalının savunmasının dayanağı olan bütün vakıaların sıra numarası altında açık özetleri.
    e) Savunmanın dayanağı olarak ileri sürülen her bir vakıanın hangi delillerle ispat edileceği. 
    f) Dayanılan hukuki sebepler. 
    g) Açık bir şekilde talep sonucu. 
    ğ) Davalının veya varsa kanuni temsilcisinin yahut vekilinin imzası.
    (2) 121 inci madde hükmü cevap dilekçesi hakkında da uygulanır.
    ” 
    hükmünün yer aldığı, 
  • Bu kapsamda Kuruma iletilen şikayet başvurusundan, 6100 sayılı Hukuk Muhakemeleri Kanunu uyarınca hangi unsurları barındırması gerektiği belirlenen cevap dilekçesinde veri sorumlusunun savunmaya yönelik dayandığı vakıaları beyan dilekçesiyle mahkemeye sunduğunun anlaşıldığı, bu çerçevede Kanunun 8 inci maddesine uygun olarak Kanunun 5 inci maddesinin (2) numaralı fıkrasının (e) bendindeki;  “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hukuki sebebi uyarınca söz konusu kamera kaydının mahkemeye sunulmasının hukuka uygun bir veri işleme faaliyeti olduğu, 
  • İlgili kişinin veri sorumlusu kargo şirketi tarafından açık rızası alınmaksızın kamera kaydının alındığı iddiası karşısında; veri sorumlusunun daha önceden, ilgili kişinin imzaladığı kişisel veriler hakkında bilgilendirme metni gereğince aktarma merkezinde kamera kaydı alındığına ilişkin olarak ilgili kişiye bilgilendirme yapıldığı, ilgili kişinin imzaladığı bu aydınlatma bildirimine göre veri sorumlusunca kamera kayıtlarının hukuken geçerli sebeplere dayanılarak işlendiği” beyanı çerçevesinde değerlendirme yapıldığında; veri sorumlusunun ilgili kişinin açık rızasının alındığını tevsik edici belgeyi sunmadığı,  ancak veri sorumlusunun kargo şirketi olduğu göz önüne alındığında; Bilgi Teknolojileri ve İletişim Kurulunun 2016/DK – YED/517 sayılı kararı ile onaylanan “Posta Gönderilerine İlişkin Güvenlik Tedbirlerine Yönelik Usul ve Esaslar” düzenlemesinin “Posta gönderilerinin görüntüleme cihazları ile kontrolü” başlıklı 6 ncı maddesinin ikinci fıkrasında yer alan, “Hizmet sağlayıcılarının posta gönderilerini kabul merkezlerinde kamera sistemi kurularak kayıtlar, gerektiğinde ilgili mercilere sunulmak üzere en az bir (1) ay süreyle saklanır.” hükmü gereğince veri sorumlusu kargo şirketinin, Kanunun 5 inci maddesinin ikinci fıkrasının (a) bendinde yer alan; “Kanunlarda açıkça öngörülmesi” hukuki sebebine uygun olarak işleme yaptığı

değerlendirmelerinden hareketle, söz konusu şikayet ile ilgili olarak Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.  

13.02.2020: “İlgili kişinin, veri sorumlusu bir banka nezdindeki kişisel verileri olan hesap ve kiralık kasa bilgilerinin aktarılması”
Karar Tarihi : 13/02/2020
Karar No : 2021/118
Konu Özeti : İlgili kişinin veri sorumlusu bir banka nezdindeki kişisel verileri olan kiralık kasa bilgilerinin aktarılması

Kuruma intikal eden şikayet dilekçesinde özetle; ilgili kişiye karşı İcra ve İflas Kanunu hükümlerine aykırı ve haksız bir şekilde icra takibine geçildiği, Tebligat Kanununa aykırı tebligat hileleri yapılarak ilgili kişi adına ödeme emrinin kesinleştirildiği, bunun üzerine şikayete konu bankaya birinci haciz ihbarnamesi gönderildiği ve Bankanın şubelerinden birinde yer alan kiralık kasasına fiili haciz uygulandığı, ayrıca icra takibinde borçlu konumunda olan ilgili kişinin iş yaptığı kişi ve şirketler, çalışma arkadaşları, ortak olduğu şirketler, şirket bilgilerinin resmi olmayan yollarla ele geçirildiği, kimse tarafından bilinmeyen kişisel verisi olan banka hesap ve kiralık kasa bilgisinin paylaşıldığı hususları belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 11 inci maddesi kapsamında ilgili kişinin hesap ve kiralık kasa bilgilerinin işlenip işlenmediği, işlenme amacı ve bu amaca uygun kullanılıp kullanılmadığı, yurt içi ve yurt dışındaki üçüncü kişilere aktarma yapılıp yapılmadığı hususlarının tespiti ile hukuka aykırılıklar nedeniyle veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenmiş olup verilen cevabî yazıda;

  • İlgili kişi hakkında İstanbul …. İcra Dairesince 2019/… sayılı dosya ile icra takibinin başlatıldığı, icra takibi sürecinde borçluların bankalar nezdindeki hak ve alacakları üzerine haciz tatbik etmek üzere İcra ve İflas Kanununun (İİK) 89 uncu maddesi uyarınca bankalara haciz ihbarnameleri gönderilmesi yönteminin uygulandığı, bu kapsamda yirmi iki banka ile birlikte kendi bankalarına da birinci haciz ihbarnamesi gönderildiği, bankalarının üçüncü kişi konumunda bulunduğu, icra takibinin haksız olduğu savının muhatabının kendileri olmadığı, bankanın icra takiplerinin haklılık ve hukukilik denetimini yapmak gibi bir sorumluluğunun bulunmadığı, bankanın borçlunun alacaklı tarafından bilinen bir hesabı olmaması halinde, sistemde kayıtlı bankalara icra dosyasından ihbarname gönderilebildiği, ilgili kişinin hesap bilgilerinin, takip alacaklısına banka tarafından iletilmesinin söz konusu olmadığı, birinci haciz ihbarnamesine cevap verildiği, birinci haciz ihbarnamesine cevap verilmesinin her gün binlercesi yapılan işlemlerden olduğu, ilgili kişinin hesaplarının yer aldığı banka şubesi çalışanlarının anılan işlem süreçlerine katılmadığı, kiralık kasa haczi ve çilingir marifetiyle açılma işlemleri için alacaklı tarafından altı banka nezdinde talepte bulunulduğu ve İcra Müdürlüğü tarafından iki bankada haciz kararı verildiği, İcra İflas Kanununun 367 nci maddesi uyarınca Bankanın yasal yükümlülüklerini yerine getirdiği

ifadelerine yer verilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 13/02/2020 tarih ve 2020/118 sayılı kararı ile;

  • Kanunun amacının kişisel verilerin işlenmesinin disiplin altına alınması ile temel hak ve özgürlüklerin korunması, kişinin mahremiyet hakkı ile kişisel veri güvenliğinin korunması ve ayrıca kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olduğu,
  • Diğer taraftan; kişisel verilerin işlenme şartlarının belirlendiği Kanunun 5 inci maddesinin (1) numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmadan işlenemeyeceği hüküm altına alınmış olmakla birlikte, (2) numaralı fıkrasında, sayılan hallerde ilgili kişinin açık rızası olmadan kişisel verilerinin işlenmesine imkân tanındığı,
  • İcra Dairelerinin 2004 sayılı İcra ve İflas Kanununun 1 inci maddesinde düzenlenen kanunen yetkili mercilerden olduğu, haciz işleminin, belli bir para alacağının ödenmesini sağlamak için borçluya ait mal ve haklara icra dairesi tarafından el konulması olarak tanımlandığı, haciz işlemlerini, alacaklının haciz istemi üzerine yetkili icra dairelerinin yerine getirdiği, somut olayda, haciz işleminin yetkili İcra Dairesi tarafından gerçekleştirildiği, yine, ilgili kişiye ödeme emrinin tebliğinin İcra Dairesi tarafından 7201 sayılı Tebligat Kanununa göre yapıldığı,
  • Bu anlamda ilgili kişinin şikâyet başvurusunda belirttiği gibi haksız bir şekilde icra takibine geçildiği, haczin haksız olduğu ve tebligatın Tebligat Kanunu hükümlerine aykırı yapıldığı iddialarının veri sorumlusu tarafından yapılmış işlemlere ilişkin olmadığı, İcra Dairesi tarafından yasal olarak yapılmış işlemler ile ilgili olduğu, veri sorumlusu bankanın icra ve iflas hukuku bağlamında üçüncü kişi konumunda olduğu,
  • Yine şikâyetçinin başvurusunda belirttiği söz konusu İcra Hukuk Mahkemesinin haciz işleminden sonraki tarihte, tebligatın usulsüz olduğu ve itiraz ile takibin kaldırılması kararı dolayısıyla icra takibinin ve haczin yasal dayanağı olmadığı iddiasının, şikâyet edilen veri sorumlusunun yasal yükümlülüğünden kaynaklanan kiralık kasa bilgisinin paylaşılmasına ilişkin olmadığı, Kurumun görev alanı ve kişisel verilerin korunması mevzuatı kapsamında bulunmadığı,
  • Öte yandan, 2004 sayılı İcra ve İflas Kanununun “Borçlunun mevcudu hakkında malümat vermek mecburiyeti” başlıklı 367 nci maddesinin “İcra veya İflas dairelerinin borçlunun mevcuduna dair isteyeceği bütün malümatı hakiki ve hükmi her şahıs derhal vermeğe ve talep halinde mevcudu bu dairelere teslime mecburdur.” hükmü nedeniyle veri sorumlusunun borçlunun kişisel verilerini İcra Dairesine vermekle yükümlü olduğu, diğer bir ifade ile bankanın, bankacılık işlemleri anlamında ilgili kişinin kişisel verilerini işlediği, bu kapsamda veri sorumlusu sıfatını haiz olduğu ve kişisel veri olan hesap ve kiralık kasa bilgilerini İcra ve İflas Kanununun ilgili hükmü dolayısıyla İcra Dairesine aktardığı,
  • Veri sorumlusunun cevap yazısında da belirttiği üzere, uygulamada haciz işleminin aşamalarından haciz ihbarnamesi gönderilmesinde icra daireleri tarafından mevzuata uygun olarak borçlunun alacaklı tarafından bilinen bir hesabının olmaması halinde, sistemde kayıtlı tüm bankalara haciz ihbarnameleri gönderildiği ve veri sorumlusunun ihbarname gönderilen ilgili bankalardan biri olduğu,
  • Yine, İcra İflas Kanununun “Taşınır ve taşınmaz malların haczi” başlıklı 85 inci maddesinde “Borçlunun kendi yedinde veya üçüncü şahısta olan taşınır mallarıyla taşınmazlarından ve alacak ve haklarından alacaklının ana, faiz ve masraflar da dahil olmak üzere bütün alacaklarına yetecek miktarı haczolunur.” hükmünün yer aldığı,
  • Aynı Kanunun 89 uncu maddesi uyarınca da malı elinde bulunduran üçüncü şahsın bundan böyle taşınır malı ancak icra dairesine teslim edebileceği, bu çerçevede ve ilgili Kanunun 367 nci maddesi hükmü nedeniyle, somut olayda veri sorumlusunun kiralık kasa bilgilerini icra dairesine aktarmasının ve haciz işlemi yapılmasının Kanunda açıkça öngörülen bir yükümlülük olduğunun anlaşıldığı,
  • Veri sorumlusunun cevap yazısından, ilgili kişi tarafından öne sürüldüğü şekliyle kiralık kasa bilgisinin veri sorumlusu nezdinde bankacılık ve kişisel verilerin korunması mevzuatına aykırı bir biçimde elde edildiği iddiasına karşılık; alacaklı vekili, icra memuru ve veri sorumlusunun Şube yöneticisi, Operasyon yetkilisi ve diğer personelin ilk kez haciz işlemi sırasında karşılaştığının, alacaklı vekili ve memur tarafından ilgili kişinin Şube nezdinde kiralık kasası olup olmadığının sorulması üzerine sistem üzerinden tespit yapıldığının ve polis nezaretinde kiralık kasanın çilingir marifetiyle açıldığının anlaşıldığı, bu noktada İcra ve İflas Kanununa ve yasal usule uygun hareket edildiği

değerlendirmelerinden hareketle;

  • Tebligat ve icra iflas mevzuatı yönünden inceleme yapıldığında, veri sorumlusu olarak şikâyet edilen bankanın, İcra Dairesince ödeme emrinin tebliğ edilmesi ve kiralık kasaya haciz konulması işlemleri nedeniyle kişisel verilerin korunması mevzuatından kaynaklanan bir sorumluluğunun bulunmadığı ve icra ve iflas hukuku bakımından üçüncü kişi konumunda olduğu,
  • Kişisel veri olan hesap ve kiralık kasa bilgisinin veri sorumlusu nezdinde bankacılık ve kişisel verilerin korunması mevzuatına aykırı bir biçimde elde edildiğini gösteren bir bulguya rastlanılmadığı,
  • Veri sorumlusu tarafından, ilgili kişinin kişisel verisi olan hesap ve kiralık kasa bilgilerinin, 2004 sayılı İcra İflas Kanununun 89 uncu ve 367 nci madde hükümleri çerçevesinde Kanunun 5 inci maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan “hukuki yükümlülüğün yerine getirilmesi” şartına dayalı olarak Kanunun 8 inci maddesine uygun olarak icra iflas mevzuatı çerçevesinde aktarıldığı

hususları dikkate alındığında mezkûr iddialarla ilgili olarak Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

13.02.2020: “İlgili kişilerin kişisel verileri olan banka hesap hareketlerinin, mevduat bilgilerinin, para yatırma ve çekme işlemlerinin açık rızaları olmaksızın vergi müfettiş yardımcısı tarafından hukuka aykırı olarak işlenmesi”
Karar Tarihi : 13/02/2020
Karar No : 2020/120
Konu Özeti : İlgili kişilerin kişisel verileri olan banka hesap hareketlerinin, mevduat bilgilerinin, para yatırma ve çekme işlemlerinin açık rızaları olmaksızın vergi müfettiş yardımcısı tarafından hukuka aykırı olarak işlenmesi

Kuruma intikal eden şikayet dilekçesinde özetle; ilgili kişilerin çalışmakta olduğu mükellef kurum hakkında Vergi Müfettiş Yardımcısı tarafından yapılmış olan bir vergi incelemesi sonucunda düzenlenen “Vergi Tekniği Raporunda” (Rapor) kendileri ile ilgili bir vergi incelemesi olmamasına rağmen şahıslarına ait kişisel veri olan banka hesap hareketlerinin, mevduat bilgilerinin, para yatırma ve çekme işlemlerinin rızaları olmaksızın hukuka aykırı olarak işlendiği belirtilerek, veri sorumlusu ile ilgili olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir. 

Bu kapsamda, başlatılan inceleme çerçevesinde veri sorumlusu Bakanlıktan şikâyete konu Raporda adı geçen şikâyetçilerin yapılan vergi incelemesinin konusu olup olmadığı; şikâyetçilerin şahıslarının vergi incelemesinin konusu olmamasına rağmen banka hesap hareketlerine, mevduat bilgilerine, para yatırma ve çekme işlemlerine bakılmış olması halinde bunun hangi yasal gerekçelerle yapıldığı hususlarının açıklanması istenilmiştir. Veri sorumlusundan alınan cevabi yazıda;

  • Vergi Denetim Kurulu Maltepe Küçük ve Orta Ölçekli Mükellefler Grup Başkanlığının görevlendirme yazılarında, mükellef şirketin 2012 ila 2016 yılları arası ihracat teslimleri nedeniyle KDV iadesi yönünden incelenmesinin istendiği,
  • Herhangi bir hazine zararı doğmaması adına kapsamlı bir araştırma yapıldığı ve yapılan araştırmada, mükellefin banka hesaplarında normal hayata ve ticari icaplara uymayan şekilde, banka şubesinden yüklü miktarlarda elden para yatırma işlemlerinin tespit edildiği; söz konusu işlemleri mükellefin %100 ortağı olan şahıs ve bu şahıs tarafından kurumu temsile vekil tayin edilen şikayetçi ilgili kişilerin gerçekleştirdiği,
  • İlgili kişiler tarafından yatırılan paraların yine aynı gün içinde çek keşide edilmek suretiyle borcun ödenmesinde kullanıldığı; yapılan araştırmada, çekin mükellef şirket tarafından borçluya verildiği gün birçok firma tarafından, tek elden çıkmış gibi ciro edildiği ve aynı gün para yatırılan banka şubesinden, herhangi bir mükellefiyeti olmayan alakasız kişiler tarafından tahsil edildiğinin tespit edildiği,
  • Ciro silsilesinde yer alan firmalar hakkında olumsuz tespitler bulunması üzerine 213 sayılı Vergi Usul Kanununun 3 üncü maddesi gereğince olayın gerçek mahiyetini ortaya çıkarmak üzere 178 sayılı Maliye Bakanlığının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararnamenin 39 uncu maddesi ile 31/10/2011 tarihli ve 28101 sayılı Resmi Gazetede yayımlanan Vergi Denetim Kurulu Yönetmeliğinin 80 inci maddesine dayanılarak hazırlanan “Vergi İncelemeleri ile İlgili Bilgi Taleplerinde Uyulacak Usul ve Esaslara İlişkin Yönerge”nin 6 ncı maddesi hükmü gereğince ilgili kişilerin, sadece mükellef kurumun çek ödemesi olarak kullandığı bankalarda bulunan hesapları hakkında bilgi talebinde bulunulduğu,
  • Banka hesaplarının incelenmesi neticesinde şüphelerin yerinde olduğunun görüldüğü, mükellef şirketin çekleri tahsil edilir iken, tahsil edilen tutarlar bazında, ilgili kişiler tarafından şahsi banka hesaplarına kimi zaman aynı tutar kimi zaman ise farklı tutarların geri yatırıldığının tespit edildiği ve pek çok çekin tahsilatı sırasında ilgili kişilerin aynı şubede bulunup işlem gerçekleştirdiğinin anlaşıldığı,
  • Bakanlık Vergi Müfettişlerinin, yürüttükleri vergi incelemeleri ile ilgili bilgi istemelerinin esas olduğu, müfettiş tarafından istenen bilgilerin gerek mükellef şirket tarafından adı geçen iki şahsa vekâlet verilmesi gerek incelenen mükellefin işlemlerinde önemli bir yer teşkil etmesi nedenleriyle, incelemenin dışına çıkılması ve ilgisiz kişilerin banka hesaplarının istenmesi anlamını taşımadığı, diğer bir deyişle yapılan işlemin yasal olduğu

ifadelerine yer verilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 13/02/2020 tarih ve 2020/120 sayılı Kararı ile,

  • 213 sayılı Vergi Usul Kanununun (213 sayılı Kanun) “Vergi Kanunlarının uygulanması ve ispat” başlıklı 3 üncü maddesinin B fıkrasına göre,  vergiyi doğuran olay ve bu olaya ilişkin her türlü işlemin yemin dışındaki her türlü delille ispatlanabileceği, olayın özelliğine göre mutat olmayan bir durumun iddia olunması halinde ispat külfetinin iddia edende olduğu
  • 213 sayılı Kanunun “İncelemeye yetkililer” başlıklı 135 inci maddesine göre vergi incelemesinin; vergi müfettişleri, vergi müfettiş yardımcıları, ilin en büyük mal memuru veya vergi dairesi müdürleri tarafından yapıldığı,
  • Benzer şekilde, 213 sayılı Kanunun “İncelemede uyulacak esaslar” başlıklı 140 ıncı maddesinin yedinci fıkrası çerçevesinde vergi raporlarının hukuka aykırı olmaması bakımından katı ve çok aşamalı prosedürlerin öngörüldüğü,
  • Yine, anılan maddenin on birinci fıkrasının; “Bu maddede belirlenen esaslar çerçevesinde, vergi incelemelerinde uyulacak diğer usul ve esaslar, komisyonların teşekkülü ile çalışma usul ve esasları ve Merkezi Rapor Değerlendirme Komisyonu tarafından doğrudan değerlendirmeye tabi tutulacak vergi inceleme raporlarının tutarları, Maliye Bakanlığınca çıkarılan yönetmelikle belirlenir.” hükmünü; 178 sayılı “Maliye Bakanlığının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname”nin “Bakanlığın düzenleme görev ve yetkisi” başlıklı 39 uncu maddesi ise; “Bakanlık, kanunla yerine getirmekle yükümlü olduğu hizmetleri tüzük, yönetmelik, tebliğ, genelge ve diğer idari metinlerle düzenlemekle görevli ve yetkilidir.” hükmünü amir olduğu, 
  • Anılan düzenlemelere dayanılarak yayımlanan “Vergi İncelemelerinde Uyulacak Usul ve Esaslar Hakkında Yönetmelik”in (Yönetmelik) amacının, vergi incelemelerinde uyulacak usul ve esasları düzenlemek olduğu, Yönetmeliğin “Vergi inceleme görevinin verilmesi” başlıklı 6 ncı maddesi uyarınca; 
    (1) Vergi inceleme görevi yazı ile verilir. İnceleme görevi yazılarında; nezdinde inceleme yapılacak kişilere ve konulara ilişkin bilgilere, incelemenin türüne, gerekçesine, dönemine ve süresine ilişkin hususlara yer verilir. İnceleme görev yazısı ekinde yer alan belgeler, elektronik ortamda inceleme yapmaya yetkili olanlara gönderilebilir.
    (…)
    (3) Vergi incelemesi, sadece inceleme görev yazısında belirtilen konu ve döneme ilişkin olarak yapılır. İnceleme konusu ve dönemi ile ilgili olmayan herhangi bir hususa ilişkin mükelleften bilgi ve belge talebinde bulunulamaz. Yürütülmekte olan incelemeler sırasında, görevlendirme yazısında belirtilenden farklı bir konu veya döneme ilişkin eleştiriyi gerektiren hususların tespiti durumunda söz konusu durum inceleme görevini verenlere bildirilir. Görevlendirme yazısında yer alan inceleme konusuna giren tespitlerin, bu yazıda yer almayan farklı vergi türlerine ilişkin olarak da rapor yazılmasını gerektirmesi durumunda, bu husus yeni bir görevlendirme gerektirmez.
    (4) Yürütülmekte olan incelemeler sırasında farklı bir mükellef nezdinde inceleme yapılma ihtiyacı duyulduğunda durum gerekçeleri ile birlikte bağlı olunan birime bildirilir. (…)
    ” hükmünün düzenlendiği,
  • Diğer bir deyişle, vergi incelemesi esnasında görevlendirmede yer alandan farklı bir konu veya döneme ilişkin eleştiriyi gerektiren hususlar tespit edilirse, herhangi bir yeni görevlendirmeye gerek olmaksızın bu durum inceleme görevini verene bildirilerek o konuya ilişkin araştırma yapılabileceği, kaldı ki, Vergi Müfettiş Yardımcısı tarafından düzenlenen cevabi yazıda yapılan kişisel veri işleme faaliyetinin inceleme kapsamında kaldığının ifade edildiği,
  • Yönetmeliğin “İnceleme tutanakları” başlıklı 16 ncı maddesinde; 
    MADDE 16 – (…)
    (4) Tutanakta yer alan hususların vergi kanunları karşısında yapılması muhtemel işlemler bakımından ispatlama vasıtası olduğu ve yapılması muhtemel işlemlerin neler olduğu mükellefe izah edilir.
    (5) Vergi incelemesi yapmaya yetkili olanlar, ilgilileri tutanakları imzalamaları için zorlayamazlar. İlgililer tutanakları imzalamaktan çekindikleri takdirde tutanakta bahis konusu edilen olaylar ve hesap durumlarını ihtiva eden defter ve belgeler, nezdinde inceleme yapılandan rızasına bakılmaksızın alınır ve inceleme neticesinde tarh edilen vergiler ve kesilen cezalar kesinleşinceye kadar geri verilmez. İlgililer her zaman bu tutanakları imzalayarak defter ve belgeleri geri alabilirler.
    (6) Suç delili olan defter ve belgeler mükellefin rızasına bakılmaksızın alıkonulur. (…)
    ” 
    hükmüne yer verildiği,
  • Bu kapsamda, mükellef tutanakları imzalamaktan imtina etse dahi tutanakta yer alan olayları ve hesap durumlarını içeren defter ve belgelerin mükellefin rızası olmaksızın alıkonulacağı, benzer şekilde, suç delili niteliğinde olan defter ve belgelerin de mükellefin rızası olmaksızın alıkonulabileceği,
  • Öte yandan, Yönetmeliğin 17 nci maddesinin birinci fıkrasının (c) bendinde “vergilendirme ile ilgili olaylar ve/veya hesap durumları”nın vergi inceleme tutanaklarında yer alacağı hususunun da düzenlendiği,
  • Söz konusu Rapor bakımından yapılan işlemlerin kişisel veri işleme faaliyeti olduğu ve bu kapsamda Bakanlığın veri sorumlusu; vergi müfettiş yardımcısının ise Bakanlığın çalışanı olduğu, Kanunun 5 inci maddesinin (1) numaralı fıkrasında;  kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği; (2) numaralı fıkrasında belirtilen şartlardan birinin varlığı halinde ise, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun hükme bağlandığı, vergi incelemesine ilişkin olarak bu incelemenin amacı ve gerçekleştirilmesine yönelik 213 sayılı Kanunda ve ilgili Yönetmelikte detaylı düzenlemelere yer verildiği, bu çerçevede, somut olay bakımından yapılan incelemede işlenen kişisel verilerin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartı kapsamında işlendiğinin değerlendirildiği, 
  • Öte yandan, Kanunun “İstisnalar” başlıklı 28 inci maddesinin ikinci fıkrasının (c) bendinde kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması halinde, Kanunun veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16 ncı maddelerinin uygulanmayacağının hükme bağlandığı,
  • Bu kapsamda incelemeye konu edilen yazı bağlamında Kanunun “İstisnalar” başlıklı 28 inci maddesinin (2) numaralı fıkrasının (c) bendinin uygulanıp uygulanmayacağı değerlendirildiğinde kamu kurumu niteliğini haiz Bakanlığın, 213 sayılı Kanunun verdiği yetkiye dayanarak denetleme görevi kapsamında kişisel verileri işlediğinin anlaşıldığı, somut olayda veri işleme şartları bulunmakla birlikte kısmi istisna olarak sayılan Kanunun 28 inci maddesinin (2) numaralı fıkrasının (c) bendinin uygulanacak olması dolayısıyla söz konusu kişisel veri işleme faaliyetleri bakımından Kanunun veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, veri sorumluları siciline kayıt yükümlülüğünü düzenleyen 16 ncı ve zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci maddelerinin uygulama alanı bulmayacağı ancak veri sorumlusunun Kanunun diğer hükümleri ile bağlı olacağı,
  • Ayrıca, Kanunun “Genel ilkeler” başlıklı 4 üncü maddesinde ise, kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği ve kişisel verilerin işlenmesinde maddede; “a) Hukuka ve dürüstlük kurallarına uygun olma. b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.” şeklinde sayılan ilkelere uyulmasının zorunlu olduğunun düzenleme altına alındığı, anılan madde hükmünden açıkça anlaşılacağı üzere, kişisel verilerin işlenmesinde her hal ve şartta Kanunun 4 üncü maddesinde sayılan genel ilkelere uyulmasının hukuki bir gereklilik olduğu, 
  • Bakanlığın cevabi yazısı ve eki evrakta, üç farklı görevlendirme yazısına istinaden, mükellef kurumun 2012 ila 2016 yılları arası ihracat teslimleri nedeniyle KDV iadesi yönünden incelenmesi sürecinde; mükellef kurumun banka hesaplarında normal hayata ve ticari icaplara uymayan şekilde, banka şubesinden yüklü miktarlarda elden para yatırma işlemlerinin gerçekleştirildiğinin ve bu işlemlerin de mükellef kurumun %100 ortağı olan şahıs tarafından kurumu temsile vekil tayin edilen ilgili kişiler tarafından gerçekleştirildiğinin tespit edilmesi üzerine, 213 sayılı Kanunun 3 üncü maddesi gereğince olayın gerçek mahiyetini ortaya çıkarmak amacıyla, adı geçen kişilerin sadece mükellef kurumun çek ödemesi olarak kullandığı bankalarda bulunan hesaplarının inceleme sürecine dâhil edildiğinin belirtildiği, bu çerçevede, başvuran ilgili kişilerin kişisel verilerinin hukuka ve ölçülülük ilkesine uygun olarak işlendiği,
  • 213 sayılı Kanunun “Vergi mahremiyeti” başlıklı 5 inci maddesi uyarınca vergi muameleleri ve incelemeleri ile uğraşan memurların görevleri dolayısıyla, mükellefin ve mükellefle ilgili kimselerin şahıslarına, muamele ve hesap durumlarına, işlerine, işletmelerine, servetlerine veya mesleklerine ilişkin olmak üzere öğrendikleri sırları veya gizli kalması lazım gelen diğer hususları ifşa edemeyecekleri ve kendilerinin veya üçüncü şahısların nef'ine kullanamayacakları hususunun hüküm altına alındığı, ayrıca, bahsi geçen yasağın bu kişiler görevlerinden ayrılsalar dahi devam edeceği de aynı hüküm altında vurgulandığı, ilgili düzenlemeden de görüleceği üzere, inceleme kapsamında mükellefle ilgili kimselerin hesap durumlarının elde edilebileceği gibi; bu görevi ifa eden memurların da konuya ilişkin sır saklama yükümlülüğü bulunduğu, başvuran ilgili kişilerin mükellef kurumun %100 ortağı olan kişi tarafından kendilerine vekâlet verilmesi suretiyle şirketi temsile haiz olmaları nedeniyle bu kişilerin “mükellefle ilgili kimseler” kapsamında değerlendirileceği, dolayısıyla, başvuranlara ait kişisel veri olan hesap numaralarının incelemeye konu olabileceği 

değerlendirmelerinden hareketle,

  • Vergi Usul Kanunu ve sair mevzuat hükümleri de incelendiğinde, şikâyete konu veri işleme faaliyetinde; vergi incelemesi kapsamında mükellefle ilgili kimselerin hesap durumlarının elde edilebileceği, bu nedenle ilgili kişilerin mükellefin %100 ortağı tarafından kendilerine vekâlet verilmesi suretiyle şirketi temsile haiz olmaları nedeniyle bu kişilerin “mükellefle ilgili kimseler” kapsamında değerlendirilebileceğine, bu noktada tüm mükellef şirket çalışanlarının değil şirketi temsile yetkili kişilerin mükellefin çek ödemesi olarak kullandığı banka hesaplarıyla sınırlı olarak kişisel verilerinin işlenmesinin ölçülülük ilkesine uygun olduğuna, bu çerçevede, Kanunun 28 inci maddesinin (2) numaralı fıkrasının (c) bendi uyarınca yapılan kişisel veri işleme faaliyetinin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (ç) bendi kapsamında veri sorumlusunun hukuki yükümlülüğü çerçevesinde yerine getirildiğine ve şikâyete konu kişisel verilerin açık rıza olmaksızın işlenebileceğine karar verilmiştir.
30.01.2020: “Veri sorumlusu bankanın ilgili kişiye ait kredi kartı ekstresinde yer alan kişisel verileri yanlış e-posta hesabına göndermesi”
Karar Tarihi : 30/01/2020
Karar No : 2020/78
Konu Özeti : Veri sorumlusu bankanın ilgili kişiye ait kredi kartı ekstresinde yer alan kişisel verileri yanlış e-posta hesabına göndermesi

İlgili kişinin Kuruma intikal eden şikayetinde özetle; müşterisi olduğu bankanın, kendisine ait kredi kartının ekstresini kendisine ait olmayan bir e-posta adresine göndererek şahsına ait bilgileri üçüncü kişilerle paylaştığı, veri sorumlusuna konuya ilişkin hem e-posta hem de dilekçe ile başvuruda bulunduğu, başvuru tarihinin üzerinden bir ay geçmiş olmasına rağmen kendisine yazılı bir dönüş yapılmadığı belirtilerek veri sorumlusu hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) çerçevesinde gerekli işlemlerin yapılması talep edilmiştir.

Söz konusu şikâyeti takip eden süreçte ilgili kişinin Kuruma intikal eden ek dilekçesinde ise özetle; veri sorumlusu bankanın kendisine ait aynı kredi kartının ekstresini, kendisine ait olmayan bir e-posta adresine tekrar göndererek şahsına ait bilgileri tekrar üçüncü kişilerle paylaştığı, kendisinin Kuruma göndermiş olduğu dilekçe aracılığıyla veri sorumlusundan şikâyetçi olduğu belirtilerek veri sorumlusu hakkında Kanun çerçevesinde gerekli işlemlerin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • İlgili kişinin talebine istinaden tarafına kredi kartı tahsis edildiği, müşterinin ayrıca “…. Adi Ortaklığı” firma unvanı ile firma ortağı olarak veri sorumlusunun ticari müşterisi olduğu, şikâyet yazısında üçüncü bir kişinin e-postası olarak ifade edilen y…@gmail.com e-posta adresinin, aynı zamanda veri sorumlusunun kayıtlarında müşterinin ortağı olduğu firmanın iletişim adresi olduğu, firmanın talimatı doğrultusunda firmaya ve ortaklarına tahsis edilen ticari kredi kartlarının ekstrelerinin söz konusu e-posta adresine gönderilmekte olduğu,
  • Mevcut durumda ilgili kişinin kredi kartı ekstrelerinin veri sorumlusu nezdinde kayıtlı h…@gmail.com e-posta adresine gönderilmekte olduğu, ilgili kişinin şikâyetinde belirttiği kredi kartı ekstresinin, y…@gmail.com e-posta adresine gönderilmesine ilişkin yapılan inceleme sonucunda; ilgili şube personelleri tarafından, başvuru sahibinin ortağı olduğu firma ve kendi adına düzenlenen ticari kredi kartlar için e-ekstre gönderimine yönelik tanımlamalar yapılırken, sehven müşterinin bireysel ürünü olan kredi kartı ekstresi için de e-ekstre talimatının güncellendiğinin belirlendiği, bu nedenle e-ekstre ortağı olduğu firma üzerinde tanımlı olan y…@gmail.com e-posta adresine gönderildiği, başvuru sahibinin şube aracılığıyla ulaşan talebi doğrultusunda e-posta adresinin güncelleme işleminin yapıldığı ve kendisinin sonraki dönemlere ait kredi kartı ekstrelerinin h…@gmail.com e-posta adresine yönlendirildiği,
  • İlgili kişinin şikâyet başvurularının veri sorumlusu tarafından işleme alındığı ve ilgili birime yönlendirildiği, e-posta adres değişikliğinin ne şekilde yapıldığının belirlenmesinden sonra, ilgili kişinin şube personelleri tarafından telefonla aranarak konu hakkında bilgilendirildiği, ancak e-posta güncelleme işleminin sehven atlandığının anlaşıldığı, şube tarafından e-ekstre gönderiminin h…@gmail.com e-posta adresine yapılması yönünde oluşturulan talep doğrultusunda gerekli güncellemenin yapıldığı ve başvuru sahibinin e-posta adresine ekstrenin gönderileceğine ilişkin bilgilendirmenin yapıldığının belirlendiği,

ifade edilmiştir.

Konuya ilişkin olarak yapılan incelemede, Kişisel Verileri Koruma Kurulunun 30/01/2020 tarihli ve 2020/78 sayılı Kararı ile;

  • Kanunun 3 üncü maddesinin birinci fıkrasının (d) bendi uyarınca kişisel verinin; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi, (e) bendi uyarınca kişisel verilerin işlenmesinin; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem, (ç) bendi uyarınca ilgili kişinin; kişisel verisi işlenen gerçek kişi, (ı) bendi uyarınca veri sorumlusunun; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi olarak tanımlandığı,
  • Kanunun “Genel ilkeler” başlıklı 4 üncü maddesinde ise, kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği ve buna göre kişisel verilerin işlenmesinde “a) Hukuka ve dürüstlük kurallarına uygun olma. b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.” şeklinde sayılan ilkelere uyulmasının zorunlu olduğunun düzenleme altına alındığı, anılan madde hükmünden açıkça anlaşılacağı üzere, kişisel verilerin işlenmesinde her hal ve şartta Kanunun 4 üncü maddesinde sayılan genel ilkelere uyulmasının hukuki bir gereklilik olduğu,
  • Kişisel verilerin işlenme şartlarının düzenlendiği Kanunun 5 inci maddesinin (1) numaralı fıkrasında; kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin, (2) numaralı fıkrasında ise belirtilen şartlardan kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinden birinin varlığı durumunda, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun hükme bağlandığı,
  • İlgili kişilerin açık rızasının alınacağı hallerde, rızanın belirli bir konuya ilişkin olması, bilgilendirmeye dayanması ve özgür iradeyle açıklanması gerektiği, veri işlemek üzere verilen açık rızanın geçerli olması için, açık rızanın öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak verilmesinin zorunluluk arz ettiği, bu doğrultuda veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması bununla birlikte, açık rıza bir irade beyanı olduğundan, kişinin özgür bir şekilde rıza gösterebilmesi için, neye rıza gösterdiğini de bilmesi gerektiği, kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olmasının önem arz ettiği, bu sebeple, bilgilendirmenin, veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmesi ve mutlaka verinin işlemesinden de önce yapılması gerektiği, diğer yandan, açık rızanın geçerlilik kazanabilmesi için kişinin yaptığı davranışın bilincinde ve kendi kararı olmasının şart olduğu, açık rızanın özgür iradeyle açıklanması gerektiğinden, herhangi bir ürün ve/veya hizmetin sunumunun (ya da herhangi bir üründen ve/veya hizmetten yararlandırılması) ilgili kişi tarafından açık rıza verilmesi şartına bağlanamayacağı, tarafların eşit konumda olmadığı veya taraflardan birinin diğeri üzerinde etkili olduğu durumlarda rızanın özgür iradeyle verilip verilmediğinin dikkatle değerlendirilmesi gerektiği,
  • Kanunun “kişisel verilerin işlenmesi” başlıklı 5 inci maddesi ve “kişisel verilerin aktarılması” başlıklı 8 inci maddesi hükümleri çerçevesinde; tarafların Kuruma iletmiş oldukları yazılarında yer alan beyanları incelendiğinde; veri sorumlusunun, ilgili kişinin kendisine ait olan kredi kartı ekstresini kendisine ait olmayan bir mail adresine (y…@gmail.com) göndermek suretiyle ilgili kişiye ait kişisel verilerin veri sorumlusu tarafından üçüncü kişilerle paylaşıldığı iddiasına aksi yönde bir beyanının olmadığı, şube personellerinin sehven başvuru sahibinin bireysel ürünü olan kredi kartı ekstresinin, başvuru sahibinin e-ekstre ortağı olduğu firma üzerinde tanımlı olan y…@gmail.com e-posta adresine gönderilmesi yönünde talimatlandırma yaptığının ifade edildiğinin görüldüğü, şikâyete konu olayda veri sorumlusunun ilgili kişinin kredi kartı ekstresinde yer alan kişisel verilerini, kendisine ait olmayan bir e-posta adresine göndermek suretiyle Kanunun 5 inci maddesinde düzenlenen kişisel veri işleme şartlarından biri bulunmaksızın üçüncü kişilerle paylaştığı ve bu yönüyle Kanunun 8 inci madde hükmüne aykırı bir kişisel veri aktarımı gerçekleştirdiği sonucuna varıldığı,
  • Ayrıca ilgili kişinin, veri sorumlusunun Genel Müdürlüğüne konuya ilişkin hem e-posta hem de dilekçe aracılığıyla başvuruda bulunduğunu, ancak belirtilen tarihin üzerinden bir ay geçmiş olmasına rağmen kendisine yazılı bir dönüş yapılmadığını iddia ettiği, veri sorumlusunun, başvuru sahibinin, şube personelleri tarafından telefonla aranarak konu hakkında bilgilendirildiğini ifade ettiği görülmekle beraber bu noktada Kanunun “Veri sorumlusuna başvuru” başlıklı 13 üncü maddesinin üçüncü fıkrasında yer alan; “Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.” hükmünden hareketle, ilgili kişinin, veri sorumlusu Banka tarafından telefonla aranmak suretiyle bilgilendirilmesinin Kanunun ilgili hükmü kapsamında usulüne uygun bir bildirim niteliğini haiz olmadığı

değerlendirmelerinden hareketle;

  • Veri sorumlusunun, ilgili kişinin şikâyet talebine yönelik cevabını, başvuru sahibini telefonla aramak suretiyle bildirmesinin Kanunun “Veri sorumlusuna başvuru” başlıklı 13 üncü maddesinin üçüncü fıkrası kapsamında usulüne uygun bir bildirim niteliğini haiz olmadığına, bu kapsamda Kanunun 15 inci maddesinin beşinci fıkrasında yer alan; “Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.” hükmü uyarınca da ilgili kişilerin başvurularının değerlendirilmesi ve yanıtlanmasında Kanun 13 üncü maddesi ve ilgili Veri Sorumlusuna Başvuru Usul ve Esasları Hakkındaki Tebliğ hükümlerine azami dikkat ve özeni göstermesi hususunda veri sorumlusunun talimatlandırılmasına,
  • Veri sorumlusu Bankanın ilgili kişinin bireysel ürünü olan kredi kartı ekstresindeki kişisel verilerini, Kanunda saylan işleme şartları olmaksızın bireysel mail adresi yerine e-ekstre ortağı olduğu firma üzerinde tanımlı olan e-posta adresine göndermek suretiyle Kanunun 8 inci maddesine aykırı bir kişisel veri aktarımı gerçekleştirmiş olduğu ve bu yönüyle veri sorumlusu Bankanın Kanunun 12 nci maddesinin birinci fıkrası kapsamında kişisel verilerin hukuka aykırı işlenmesini önlemek ve muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine ulaşıldığından Kanunun 18 inci maddesinin birinci fıkrasının (b) bendi hükmü uyarınca hakkında 60.000 TL idari para cezası uygulanmasına

karar verilmiştir.

11.02.2020: “Veri sorumlusu sağlık firması tarafından eski çalışanı olan ilgili kişinin kişisel verilerinin rızası alınmaksızın aktarımı”
Karar Tarihi : 11/02/2020
Karar No : 2020/108
Konu Özeti : Veri sorumlusu sağlık firması tarafından eski çalışanı olan ilgili kişinin kişisel verilerinin rızası alınmaksızın aktarımı hakkında

Kuruma intikal eden şikayette özetle; 

  • İlgili kişinin sağlık alanında faaliyet gösteren veri sorumlusu şirket bünyesinde belirli tarihler arasında çalıştığı ve çalışma ilişkisini veri sorumlusu ile mutabık kalarak sonlandırmak suretiyle başka bir şirkette işe başladığı, 
  • İlgili kişinin yeni işe başladığı şirketin yetkilileri ile yapılan toplantıda, veri sorumlusu tarafından ilgili kişinin çocuklarının ve eşinin uzun bir süredir Almanya’da yaşadıkları ve ilgili kişinin de bu ülkeye taşınacağı, Türkiye’de fazla kalmayacağı gibi bilgilerin kendileri ile paylaşıldığı, ayrıca, ilgili kişinin aldığı maaş, prim ve özel ödeme koşullarına riayet etmeksizin veri sorumlusu eski çalıştığı şirketten ayrıldığı gibi iddiaların kendilerine iletildiği belirtilerek ilgili kişinin cevabının talep edildiği,
  • İlgili kişi hakkındaki bu bilgilerin veri sorumlusu eski çalıştığı şirket tarafından talep olmaksızın, ilgili kişinin yeni işe başladığı şirkete önce telefon ardından iki adet e-posta vasıtasıyla aktarıldığının öğrenildiği, 
  • Bunun üzerine konuyla ilgili olarak veri sorumlusu şirkete ihtarname gönderildiği, ilgili kişinin yeni çalışmaya başladığı şirketin bir talebi olmamasına rağmen ilgili kişinin ailesi ve veri sorumlusu ile olan maddi ilişkilerinin, veri sorumlusu tarafından söz konusu şirkete aktarılmasına esas teşkil eden bir sebep bulunmaması veya ilgili kişinin çıkarları ve makul beklentilerinin göz önüne alınmamasının, bu konuda herhangi bir haklı gerekçeye dayanılmamasının, “hukuka ve dürüstlük kurallarına uygun olma” ilkesine aykırılık teşkil ettiği, yine söz konusu şirket ile ilgili kişinin açık rızası olmaksızın kişisel verilerinin paylaşılmasındaki amacın anlaşılamadığı ve tüm şartlar göz önüne alındığında hukuken korunan meşru bir amaç güdülmediğinin de aşikâr olduğu, bu durumun “belirli, açık ve meşru amaçlar için işlenme ilkesi”  ile uyumlu olmadığı, Kişisel Verilerin Korunması Kanununun (Kanun) 8 inci maddesinde ilgili kişinin açık rızası olmaksızın kişisel verilerin üçüncü kişilere aktarılamayacağının hüküm altına alındığı, bu kapsamda ilgili kişinin kendisi ve ailesine ilişkin kişisel verilerinin üçüncü kişilerle paylaşılmasına yönelik açık veya zımni rızasının bulunmadığı, 
  • İlgili kişinin rızası alınmaksızın yapılan bu veri aktarımının veri sorumlusu tarafından Kanunun 5 inci maddesinde sayılan kişisel veri işleme şartlarından “ilgili kişinin kendisi tarafından alenileştirilmiş olma” koşuluna dayandırıldığı, ancak ilgili kişinin rızası olmaksızın paylaşılan kişisel verilerin ilgili kişi tarafından herhangi bir şekilde kamuoyuna açıklanmış yani ilgili kişi tarafından alenileştirilen ve böylelikle herkes tarafından bilinebilecek hale getirilmiş bir bilgi niteliğini haiz olmadığı, söz konusu yeni işe başladığı şirket yetkililerinin ilgili kişinin çocukları ve eşinin yurt dışında yaşayıp yaşamadıklarını ve özel ödeme koşullarına ilişkin veri sorumlusu eski şirketin iddialarını teyit etmeye yönelik sorular sormalarının da söz konusu kişisel verilerin aleni olmadığının ve herkesçe bilinmediğinin göstergesi olduğu, ayrıca alenileştirmenin gerçekleştirilebilmesi için alenileştirme iradesinin varlığının gerektiği ancak ilgili kişinin bu yönde bir iradesinin bulunmadığı, 
  • Öte yandan Kanunun 12 nci maddesi kapsamında, veri sorumlusunun Kanunun kendisine yüklediği sorumluluklara aykırı davranarak, kişisel verilere erişme yetkisi olanlar tarafından yetkilerin kötüye kullanılması ile işlenme amacı dışında ilgili kişinin ve ailesinin kişisel verilerini üçüncü kişilerle paylaşması suretiyle Kanunu ihlal ettiği ve bu ihlallerin gerçekleşmesini önlemek için uygun güvenlik düzeyini temin etmeye yönelik gerekli herhangi bir teknik ve idari tedbir almadığı 

belirtilerek, konuya ilişkin gerekli yaptırımların uygulanması talep edilmiştir.

Başlatılan inceleme çerçevesinde söz konusu iddialara ilişkin veri sorumlusundan (eski işveren) savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • İlgili kişinin hem veri sorumlusuna hem de Kuruma yaptığı başvuru dikkate alındığında şirketlerinin olağan iş süreçlerine ilişkin veri işlemesine yönelik bir uyuşmazlık bulunmadığı, şikâyet konusunun eski çalışana (ilgili kişiye) ilişkin kişisel verilerin yeni işvereni ile paylaşılıp paylaşılmadığı ve paylaşılmış ise bu paylaşımın hukuki gerekçesi üzerinde toplandığı,
  • Bu kapsamda, ilgili kişinin yeni işvereni ile gerçekleştirdiği toplantıda gündeme gelen; eşinin ve çocuklarının yurtdışında yaşadığı ve kendisinin de bu ülkeye taşınacağı, ilgili kişinin maaş ve özel ödeme koşullarına riayet etmeksizin veri sorumlusu bünyesinden ayrıldığı şeklindeki bilgilerin neredeyse hiç birinin veri sorumlusu tarafından yeni işveren ile paylaşılmadığı,
  •  Pek çok sektörde olduğu gibi ilgili sektörde de yer alan insanların birbirlerini tanıdığı, sektörde yer alan şirketlere veya çalışanlara ilişkin gelişmelerin insanlar arasında konuşulabildiği, bu minvalde ilgili kişinin kendisi ile ilgili bilgileri sektörde yer alan diğer insanlara aktarmış olabileceği de göz önünde bulundurulduğunda; söz konusu toplantıda ilgili kişiye yöneltilen soruların, bu sorulara dayanak oluşturan verilerin ve bu verilerin kimden ne şekilde elde edildiğinin veri sorumlusunun bilgisi dâhilinde olmadığı, söz konusu verilerin şirketleri tarafından yeni işverene sağlandığı iddiasının tahmine dayalı ve şirketlerini zan altında bırakan bir iddia olduğu, ilgili kişi tarafından bu iddiaların gerçekliğini ortaya koyacak bilgi ve belgelerin tereddütsüz bir şekilde sunulması gerektiği,
  • Bununla birlikte; ilgili kişinin yeni şirketinde çalışmaya başladığına ilişkin duyurunun yeni işveren şirketin kurumsal hesabından duyurulduğu, söz konusu duyuruda ilgili kişinin daha önce veri sorumlusu bünyesinde direktör seviyesinde çalıştığı bilgisine yer verildiğinin fark edildiği, bu verilerin ilgili kişinin kendi iradesiyle ve iradesine uygun olarak alenileştirilen ve bu vesileyle tüm tarafların bilgisinde olan bilgiler olduğu, ancak bu bilginin gerçeği yansıtmadığı, ilgili kişinin veri sorumlusu nezdinde hiçbir dönemde bu seviyede üst düzey bir pozisyonda çalışmadığı, bu nedenle ilgili kişinin gerçeğe aykırı beyanlarının sebep olduğu bu durumdan yeni işverenin e-posta yoluyla haberdar edildiği,
  • Veri sorumlusu tarafından yeni işveren ile paylaşıldığı belirtilen bu bilgiler (ilgili kişinin şirketlerinde daha önce direktör seviyesinde çalışmadığı ve işten ayrılış sebebi) dışında ilgili kişiye ilişkin kişisel verilerin yeni işvereni ile paylaşılmasının söz konusu olmadığı, 
  • İlgili kişinin,  veri sorumlusunun adını kullanarak etik olmayan, hukuka ve gerçeğe aykırı bir bilgi ile işvereni nezdinde kendisi lehine haksız bir menfaat sağlaması, veri sorumlusunun haklarını ve menfaatlerini ihlal etmesi nedeniyle; ilgili kişinin yeni işvereni ile yapılan bilgi paylaşımı ile yalnızca gerçeğe aykırı olarak beyan edildiği anlaşılan hususların açıklığa kavuşması, bu durumun düzeltilmesi ve hukuki etkilerinin ortadan kaldırılmasının amaçlandığı,
  • İlgili kişinin yeni işvereni ile sınırlı bir veri paylaşımı olduğu ve bu bilgi paylaşımının yapılmasında;
    • Veri sorumlusunun adı kullanılarak etik olmayan, hukuka ve gerçeğe aykırı bilginin düzeltilmesi ve ihlalin kaldırılması bakımından şirketleri için,
    • Gerçeğe aykırı beyan ile menfaat temini nedeni ile mevzuattan kaynaklanan haklarının kullanılabilmesi bakımından yeni işveren için,
    • Gerçeğe aykırı beyan ile menfaat elde edilemeyeceği ve bu durumun aykırılık olarak kabul edilmesi bakımından 
  • kamusal anlamda korunmaya değer daha üstün bir menfaat bulunduğu,
  • Söz konusu üçüncü kişilere veri aktarımının hukuki dayanağını Kanunun 5 inci maddesinin (2) numaralı fıkrasında belirtilen kişisel veri işleme şartlarından  “(e) bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” ve “(f) ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlemesinin zorunlu olması” nın oluşturduğu,
  • Veri sorumlusu tarafından alınan idari ve teknik tedbirlere yönelik açıklamalar kapsamında; bünyelerinde irtibat kişisinin atandığı, veri envanterinin hazırlandığı, kişisel verilerin korunmasına yönelik farkındalığı arttırmak için veri sorumlusu içerisinde tüm çalışanlara eğitimler verildiği, konuyla ilgili çok sayıda politika ve dokümanın hayata geçirildiği, savunma ekinde de yer verilen idari ve teknik tedbirler listesinde yer alan pek çok tedbirin uygulandığı

ifadelerine yer verilmiştir.

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 11/02/2020 tarihli ve 2020/108 sayılı Kararı ile,

  • İlgili kişi ve veri sorumlusu (eski işveren) arasında üçüncü kişilere veri aktarımından kaynaklanan şikâyetin temelini, ilgili kişinin eski işyerinde çalıştığı son iş pozisyonunu yeni işyerine yönetici pozisyonu olan “Etik Direktörü” olarak belirtmek suretiyle yanlış beyanda bulunması, ayrıca eski işyerine işten ayrılma sebebini yurtdışına taşınması olarak ifade etmesinin oluşturduğu,
  • İlgili kişinin “çocuklarının ve eşinin uzun bir süredir yurtdışında yaşadıkları ve ilgili kişinin de bu ülkeye taşınacağı, Türkiye’de fazla kalmayacağı gibi bilgilerin paylaşıldığı, ayrıca, ilgili kişinin veri sorumlusundan aldığı maaş, prim ve özel ödeme koşullarına riayet etmeksizin veri sorumlusu bünyesinden ayrıldığı” iddialarını doğrulayacak herhangi bir bilgi, belge ve benzeri dokümanın ilgili kişi tarafından Kuruma sunulmadığı, yalnızca veri aktarımının telefon görüşmesi ve iki adet e-posta ile gerçekleştiği bilgisinin verildiği,
  • Söz konusu e-posta yazışmalarının, şikâyet edilen veri sorumlusu tarafından savunma yazısı ekinde sunulmuş olduğu ve yazışmalardan, yalnızca ilgili kişinin eski işvereni şirkette hangi tarihler arasında hangi iş pozisyonlarında çalıştığı ve yeni işverenin ilgili kişinin işten ayrılma nedenine ilişkin soruya cevaben ailevi nedenlerden dolayı yurtdışına taşınacağı bilgisinin verildiğinin anlaşıldığı,
  • İlgili kişinin eski işyerinde çalıştığı tarihler ve iş pozisyonları ile işten ayrılma sebebine ilişkin olarak, veri sorumlusu ile yeni işvereninin İnsan Kaynakları Departmanları arasında e-posta yazışmaları yoluyla sınırlı bir veri aktarımının yapıldığının anlaşıldığı,
  • İlgili kişinin veri sorumlusuna ayrılma nedenini “ailevi sebeplerden dolayı yurtdışına taşınma” ve yeni işverenine de daha önce çalıştığı iş pozisyonunu “Etik Direktörü” olarak beyan etmiş olması dikkate alındığında; her iki işverenin de yanlış bilgilerle yanıltılmış olması nedeniyle, veri sorumlusunun bu bilgilerle ilgili düzeltme yapmasının kişinin makul beklentisine aykırı olmadığı ve temel hak ve hürriyetlerini de ihlal etmediği sonucuna varıldığı,
  • Ayrıca veri sorumlusu tarafından ilgili kişinin şirketlerinde çalıştığı iş pozisyonuna ilişkin gerçeği yansıtmayan bilginin düzeltilmesi, şirket itibarının korunması, şirketlerinin adı kullanılarak yanlış bilgi üzerinden menfaat temin edilmesinin önlenmesi, gerçeğe aykırı beyandan ötürü şirket alacağının tahsil edilmesi yönünde hukuki sürecin başlatılması, ilgili kişinin daha önce çalıştığı işyerindeki iş pozisyonu için yeni işverenini yanıltması sonucunda yeni işverenin mevzuattan kaynaklanan haklarını kullanabilmesi ve iş yaşamında dürüstlük ve etik ilkelerin teşvik edilmesi amacıyla gerçekleştirilen söz konusu veri aktarımının hukuki gerekçesinin, Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendinde öngörülen “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.” kişisel veri işleme şartına dayandığı kanaatine varıldığı, 
  • Diğer taraftan yeni işvereninin, ilgili kişinin kendi şirketlerinde işe başlamasına ilişkin kurumsal web sitesinde yaptığı duyuruda, ilgili kişinin yeni görevi, eğitim durumu ve daha önce çalıştığı işyerleri ve iş pozisyonlarının belirtildiği, yapılan web araştırması sonucunda, yeni işveren tarafından alenileştirilen bu bilgilerin ilgili kişinin kendisi tarafından da profesyonel sosyal iletişim ağı hesabında herkesin erişimine açık bir şekilde alenileştirildiğinin belirlendiği, bu doğrultuda veri sorumlusu tarafından ilgili kişinin açık rızası alınmaksızın gerçekleştirilen veri aktarımının Kanunun 5 inci maddesinin (2) numaralı fıkrasının (d) bendinde öngörülen “ilgili kişinin kendisi tarafından alenileştirilmiş olma” kişisel veri işleme şartına uygun olduğunun değerlendirildiği,
  • Veri aktarımı olarak gerçekleşen söz konusu veri işleme faaliyetinin; yanlış bilginin düzeltilmesi gibi haklı bir gerekçeye dayandığı, veri aktarımının amacının belirli, açık ve meşru olduğu ve belirtilen amaç ile sınırlı olduğu ve ilgili kişi tarafından iddia edildiği üzere “hukuka ve dürüstlük kurallarına uygun olma” ve “belirli, açık ve meşru amaçlar için işlenme ilkesi” ne aykırılık teşkil etmediğinin değerlendirildiği,
  • Ayrıca 4857 sayılı İş Kanununun 25/II-a maddesi gereğince “işçinin iş sözleşmesi yapıldığı sırada bu sözleşmenin esaslı noktalarından biri için gerekli vasıflar veya şartlar kendisinde bulunmadığı halde bunların kendisinde bulunduğunu ileri sürerek yahut gerçeğe uygun olmayan bilgiler veya sözler söyleyerek işvereni yanıltması”nın haklı nedenle derhal fesih sebebi olarak hüküm altına alındığı, yine aynı Kanunun 426 ncı maddesinde “İşveren, işçinin isteği üzerine her zaman, işin türünü ve süresini içeren bir hizmet belgesi vermekle yükümlüdür. İşçinin açıkça istemde bulunması hâlinde, hizmet belgesinde onun iş görmedeki becerisi ile tutum ve davranışları da belirtilir. Hizmet belgesinin zamanında verilmemesinden veya belgede doğru olmayan bilgiler bulunmasından zarar gören işçi veya işçiyi işe alan yeni işveren, eski işverenden tazminat isteyebilir.” hükümlerinin yer aldığı,
  • Bu hükümler her ne kadar doğrudan yeni işvereni ve çalışanı ilgilendiriyor gibi görünse de, eski işveren için de talep olmasına gerek olmaksızın sorumluluk doğurduğu kanaatine varılmış olup veri sorumlusunun eski çalışanının kendi şirketinde çalıştığı iş pozisyonuyla ilgili yanlış bilgiyi düzelterek yeni işvereni bilgilendirme sorumluluğu hissetmesinin, makul ve olağan bir davranış olduğu sonucuna ulaşıldığı,
  • Diğer taraftan iş etiği açısından bakıldığında, aynı sektörde faaliyet göstermelerinin doğal sonucu olarak, veri sorumlusunun eski çalışanı hakkındaki yanlış bilgiden haberdar olduğu halde doğru bilgiyi yeni işvereni ile paylaşmamasının ahlak, iyi niyet ve dürüstlük kurallarına da uygun olmayacağının değerlendirildiği,
  • İlgili kişinin “kişisel verilere erişme yetkisi olanlar tarafından yetkilerini kötüye kullanmak suretiyle ve işlenme amacı dışında ilgili kişinin ve ailesinin kişisel verilerini üçüncü kişilerle paylaşarak Kanunu ihlal ettiği ve bu ihlallerin gerçekleşmesini önlemek için uygun güvenlik düzeyini temin etmeye yönelik gerekli herhangi bir teknik ve idari tedbir almadığı” yönündeki iddiası dikkate alındığında; e-posta yazışmaları yoluyla gerçekleşen veri aktarımının eski işveren ile yeni işverenin insan kaynakları müdürleri arasında yapılması ve insan kaynakları departmanının temel görevlerinden birisinin de kişilerin özlük dosyalarını tutmak olması nedeniyle veri sorumlusunun Kanunun 12 inci maddesi uyarınca veri güvenliğine ilişkin yükümlülüklerini ihlal etmediği 

değerlendirmelerinden hareketle;    

  • Şikâyete konu kişisel veri işleme faaliyetinin hem kişisel verilerin korunması hem de iş mevzuatının ilgili maddelerine aykırılık teşkil etmediği, veri sorumlusu tarafından gerçeği yansıtmayan bilginin düzeltilmesi, şirket itibarının korunması, şirket adı kullanılarak yanlış bilgi üzerinden menfaat temin edilmesinin önlenmesi, ilerde oluşabilecek hukuki etkilerinin ortadan kaldırılması, iş yaşamında dürüstlük ve etik ilkelerin teşvik edilmesi amacıyla gerçekleştirildiği belirtilen söz konusu veri aktarımının Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesinin (2) numaralı fıkrasının (f) bendi uyarınca “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlemesinin zorunlu olması” kişisel veri işleme şartına dayandığı, bu kapsamda Kanunun “Kişisel verilerin aktarılması” başlıklı 8 inci maddesi kapsamında söz konusu veri aktarımının hukuka aykırı bir veri işleme olmadığı sonucuna varıldığından veri sorumlusu hakkında herhangi bir müeyyide uygulanmasına yer olmadığına,
  • Bununla birlikte Kanunun “İlgili kişinin hakları” başlıklı 11 inci maddesi uyarınca, ilgili kişinin kişisel verilerinin rızası dışında üçüncü kişilere aktarımına ilişkin talebinin veri sorumlusu tarafından yeterli düzeyde karşılanamadığı, bu çerçevede ilgili kişinin talebi doğrultusunda “belirli tarihler arasında veri sorumlusu İnsan Kaynakları Departmanı çalışanları tarafından kanunlarda açıkça öngörülmesi ve Kanun kapsamında veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması durumları haricinde, ilgili kişiye ait kişisel verilerin ilgili kişinin açık rızası dışında herhangi bir iletişim aracı vasıtasıyla herhangi bir gerçek ve/veya tüzel kişiye aktarılıp aktarılmadığı; böyle bir aktarım yapıldıysa, yapılan bu aktarımın hangi amaçla yapıldığını, aktarımın içeriğini, aktaran ve aktarılan kişileri de gösterir orijinal metnin kopyasını içeren bilgi, belge vb. dokümanın” Kuruma sunulduğu üzere ilgili kişiye de sunulması ve akabinde söz konusu bilgi, belge vb. dokümanın ilgili kişiye sunulduğuna dair Kuruma bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına 

karar verilmiştir.

03.02.2021: “Veri sorumlusu sabit telefon hizmeti sağlayan işletmeci tarafından bir hastanenin müşterilerinin kişisel verilerinin hukuka aykırı olarak işlenmesi”
Karar Tarihi : 03/02/2021
Karar No : 2021/84
Konu Özeti : Veri sorumlusu sabit telefon hizmeti sağlayan işletmeci tarafından ilgili kişilerin iletişim verilerinin hukuka aykırı olarak işlenmesi

Kuruma intikal eden bir şikâyette; başvuru sahibi Hastanenin, kendilerine başvuran hastalarla iletişim kurmak amacıyla kayıt altına alınan telefon numaraları üzerinden hastalara SMS gönderilmesi için sabit telefon hizmeti sağlayan bir işletmeci (1. STH) ile anlaşma yaptığı, söz konusu anlaşma kapsamında hastanelerinde tedavi gören hastalara ait telefon numaralarının 1. STH ile paylaşıldığı ve içeriği hastaneleri tarafından belirlenen SMS metinlerinin 1. STH tarafından hastalara gönderildiği, bununla birlikte hastaneleri nezdinde kayıtlı bulunan hastalara ait telefon numaralarına, öncesinde hastanelerinde çalışan ancak görevinden ayrılan bir doktora hasta sağlamak adına doktorun ismi ve soyismi başlığı altında geçiş yaptığı yeni hastanenin isim ve iletişim bilgileri ile başka bir STH’ye (2. STH) ait numara taşınabilirliği yönlendirme kodunu içerir SMS’lerin gönderildiği yönünde kendilerine pek çok şikâyet ulaştığından hareketle Hastanelerinde tedavi gören hastalara ait çok sayıda telefon numarasının 1. STH tarafından 2. STH ile işbirliği yapmak suretiyle hukuka aykırı olarak işlendiği iddiaları ile anılan STH’ler hakkında Kanun çerçevesinde gerekli işlemlerin tesis edilmesi talep edilmiştir.

Konuya ilişkin başlatılan inceleme neticesinde veri sorumlusu STH’lerden savunmaları istenilmiş olup, 1. STH’nin cevabi yazısında özetle; söz konusu iddiaların gerçeği yansıtmadığı, olayla hiçbir şekilde bilgilerinin ve bağlantılarının olmadığı; 2. STH’nin cevabi yazısında ise özetle kendilerinin başvuruya konu olayda yalnızca SMS trafiğini taşıma konusunda servis sağlayıcı hizmeti sunmakta oldukları, kendilerinin geçmişte olan bu işlemle ilgili yapmış oldukları incelemeler sonrasında şikâyete konu kişisel veri işleme faaliyetinin geçmişte alt bayileri olan ve şu an bayileri olmayan 1. STH üzerinden gerçekleştiği, gönderilen SMS’lerin numaralarının kime ait olduğu, nereden temin edildiği sorumluluğunun hem aboneye ait hem de alt bayilerinin sorumluluğunda olduğundan dolayı bu konuda sorumlu tutulamayacakları ve bu hususun Bayi Sözleşmesinde “Bayi Yükümlülükleri” bölümünde de belirlendiği ifade edilmiştir.

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 03/02/2021 tarihli ve 2021/84 sayılı Kararı ile,

  • 5/11/2014 tarihli ve 29166 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanunun “Tanımlar” başlıklı 2 nci maddesinin birinci fıkrasının (c) bendinde ticari elektronik iletinin; “Telefon, çağrı merkezleri, faks, otomatik arama makineleri, akıllı ses kaydedici sistemler, elektronik posta, kısa mesaj hizmeti gibi vasıtalar kullanılarak elektronik ortamda gerçekleştirilen ve ticari amaçlarla gönderilen veri, ses ve görüntü içerikli iletiler”, (ç) bendinde hizmet sağlayıcının; “Elektronik ticaret faaliyetinde bulunan gerçek ya da tüzel kişi” (d) bendinde aracı hizmet sağlayıcının; “Başkalarına ait iktisadi ve ticari faaliyetlerin yapılmasına elektronik ticaret ortamını sağlayan gerçek ve tüzel kişi,” olarak tanımlanmış olduğu,
  • Mezkur kanunun “Aracı hizmet sağlayıcıların yükümlülükleri” başlıklı 9 uncu maddesinin birinci fıkrasında; “Aracı hizmet sağlayıcılar, hizmet sundukları elektronik ortamı kullanan gerçek ve tüzel kişiler tarafından sağlanan içerikleri kontrol etmek, bu içerik ve içeriğe konu mal veya hizmetle ilgili hukuka aykırı bir faaliyetin ya da durumun söz konusu olup olmadığını araştırmakla yükümlü değildir.” hükmünün yer aldığı, bu doğrultuda 2. STH’nin bir aracı hizmet sağlayıcı olarak değerlendirilmesi halinde, aracı hizmet sağlayıcının, haberleşme altyapısını kullanan hizmet sağlayıcısı tarafından sağlanan içeriği kontrol etmekle, bu içerik ve içeriğe konu mal veya hizmetle ilgili hukuka aykırı bir faaliyetin ya da durumun söz konusu olup olmadığını araştırmakla yükümlü kılınmamasından dolayı, somut şikâyet kapsamında, 2. STH yönünden Kanuna aykırılığın bulunmadığı,
  • Öte yandan aralarındaki anlaşma çerçevesinde Hastane ile 1. STH arasında, Hastanenin hastalarına SMS metinlerinin gönderilmesi faaliyeti kapsamında bir veri sorumlusu-veri işleyen ilişkisinin mevcut olduğu, Kanunun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin dördüncü fıkrasında “Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.” hükmünün yer aldığı, 1. STH’nin Kanun hükümlerine aykırı olarak başvuru sahibi Hastanenin hastalarına ait iletişim verilerini işleme amacı dışında kullanmak suretiyle mezkûr Kanun hükmünde öngörülen yükümlülüğe aykırı hareket etmiş olduğu,
  • Hastane müşterilerine ait telefon verilerinin 1. STH tarafından sağlandığı, 1. STH’nin sadece iletim görevini yerine getirmeyip kendi veri tabanını oluşturduğu, veri tabanında yer alan kişilere ticari elektronik ileti alma hususunda onaylarının bulunup bulunmadığına bakmaksızın hizmet verdiği ve bu yönüyle veri sorumlusu niteliğini haiz olduğu,
  • 1. STH’nin Kanunun 5 inci maddesinde hüküm altına alınan işleme şartlarını sağlamaksızın telefon numaralarına reklam içerikli ileti yönlendirmek suretiyle ilgili madde hükmüne aykırı hareket ettiği ve hastane müşterilerinin telefon numaralarını amacı dışında kullanarak Kanunun 12 nci maddesinin dördüncü fıkrasında öngörülen yükümlülüğe aykırı davrandığı kanaatine varıldığı

değerlendirmelerinden hareketle;

Hastane müşterilerinin kişisel verilerinin 1. STH tarafından hukuka aykırı bir biçimde işlendiği ve 1. STH’nin Kanunun 12 nci maddesinin birinci fıkrasının (a) bendi çerçevesinde kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı sonucuna varıldığından Kanunun 18 inci maddesinin birinci fıkrasının (b) bendi uyarınca 1. STH hakkında 125.000 TL idari para cezası uygulanmasına

karar verilmiştir.

09.02.2021: “İlgili kişinin telefon numarası bilgisinin farklı veri sorumluları tarafından hukuka aykırı olarak işlenmesi”
Karar Tarihi : 09/02/2021
Karar No : 2021/111
Konu Özeti : İlgili kişinin telefon numarası bilgisinin farklı veri sorumluları tarafından hukuka aykırı olarak işlenmesi

İlgili kişiden alınan şikâyet dilekçesinde özetle; cep telefonuna, kendisine ait herhangi bir içerik barındırmayan fakat yakınına ait bir borca ilişkin iki adet kısa mesaj (SMS) gönderildiği; konuya ilişkin olarak ilgili hukuk bürosuna ve alacak sahibi şirkete başvuruda bulunduğu ancak tarafına verilen yanıtların birbiri ile çelişkili ve yetersiz olduğu ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin olarak Kurul Kararı ile başlatılan inceleme çerçevesinde SMS’leri gönderen Hukuk Bürosu Avukatından ve alacak sahibi Şirketten savunması istenilmiştir. 

Bu çerçevede alacak sahibi Şirketten alınan cevabi yazıda özetle;

  • Şirket bünyesinde yapılan inceleme sonucunda, Şirketin müşteri bilgilerini derlediği, temel veri tabanı programında, ilgili kişiye ait GSM numarası ile yapılan sorgulamada şikâyetçi adına herhangi bir abonelik kaydının bulunmadığının görüldüğü, ilgili kişinin başvurusu haricinde geçmişte ilgili kişi ile herhangi bir temaslarının bulunmadığı, ilgili kişinin yakını olduğu anlaşılan aboneyle ise aralarında icra süreci devam eden bir borç ilişkisinin olduğu, 
  • İlgili kişiye ait GSM numarasının, programlarında ve Yasal Takip Sisteminde (YTS) kayıtlı olmayıp YTS sisteminin not kısmında yazıldığı, netice olarak ilgili kişiye ait irtibat bilgilerinin ilgili kişinin başvurusundan önce Şirketin sistemlerinde bulunmadığı,
  • İlgili kişiye verilen yanıtta da belirttikleri üzere Şirket tarafından gerçekleştirilen olağan borç tahsilatında iki adımlı bir sürecin yürütüldüğü ve farklı hukuk ofislerinden bu kapsamda destek alındığı, ilk adımda faturası üç ay üst üste ödenmemiş olan üyeliklerin sahiplerine borç hatırlatması yapılması ve borç tahsilat sürecinde onlara yol gösterilmesi amacıyla dış kaynak hizmet sağlayıcı hukuk ofislerinden (İdari Hukuk Büroları) destek alındığı, 
  • Dış kaynak hizmet sağlayan hukuk ofislerinin, kendilerine “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” kanuni veri işleme şartına dayalı olarak aktarılan ad, soyadı, birikmiş borç miktarı ve iletişim bilgilerine istinaden Şirkete borcu bulunan kişiler ile temas kurduğu ve borç hatırlatmaları yaptığı, ilgili hatırlatmalar sonucunda da borçların ödenmemesi durumunda ikinci adıma geçildiği, bu çerçevede söz konusu üyeliklere ilişkin borçların tahsil edilmesi amacıyla icra takiplerinin başlatılması ve bu süreçlerin takibi amacıyla yine dış kaynak hizmet sağlayıcı hukuk ofislerinin (İcra Hukuk Büroları) devreye girdiği ve icra takibi başlatılacağı hakkında borçlu üyelere bildirimler yapıldığı,
  • İlgili kişiye ait olduğu tespit edilen GSM numarasının Şirkete ait programda kayıtlı olmadığı ve söz konusu irtibat bilgisinin kısa mesaj gönderimi yapan ilgili Hukuk Bürosuna Şirket tarafından sağlanmadığı,
  • Nitekim Hukuk Bürosu tarafından ulaşılan ilgili kişinin irtibat bilgisinin ne şekilde elde edildiğine ilişkin incelemenin başvuru üzerine gerçekleştirildiği, bu incelemeler sonucunda ilgili kişiye ait olduğu beyan edilen GSM numarasının dosya idari takip sürecindeyken Şirketin dış hizmet sağlayıcısı olan diğer bir Hukuk Bürosu tarafından YTS sistemine bu Hukuk Bürosunun iş akdi feshedilmiş personeli tarafından alınan not ile girildiğinin görüldüğü,
  • Söz konusu büroların Şirketin dış kaynak hizmet sağlayıcıları olarak hizmet vermelerine rağmen, borç hatırlatma ve borçların icra takibi hizmetleri kapsamındaki veri işlemelerine ilişkin Şirketten doğrudan talimat almadığı, bu hizmetler kapsamında gerçekleştirdikleri veri işleme faaliyetleri açısından Şirketin veri işleyeni konumunda değil bağımsız birer veri sorumlusu durumunda oldukları,
  • Öte yandan Şirketin dış kaynak hizmet sağlayıcılarının müşteriler ile olan etkileşimlerinde Kanun başta olmak üzere tüm kişisel verilerin korunması mevzuatına uygun davranmalarına ilişkin her türlü hatırlatmanın düzenli olarak yapıldığı ve gerekli her türlü teknik ve idari tedbirin alındığı, bu kapsamda hukuk bürolarından aylık olarak talep edilen konuşma kayıtlarının Şirket tarafından incelendiği, abone dışındaki bir yakınına borç bilgilendirmesi yapılması durumunda uyarı ve bilgilendirme yapıldığı

ifade edilmiştir.

İlgili kişiye kısa mesaj gönderim işlemini yapan ilgili Hukuk Bürosu Avukatından alınan cevabi yazıda ise özetle; 

•    Kendisinin ilgili Şirketin bireysel üyelerinin faturalarından kaynaklanan ve bu üyeler tarafından ödenmemiş alacaklarının tahsili konusunda Şirketin icra takiplerini başlatmak suretiyle avukatlığını yaptığı,

  • Şirketin bireysel üyelerinin ödenememiş faturalarından kaynaklanan alacaklarını, sözleşmeli avukatlar aracılığıyla takip edebilmek amacıyla; dosyaları Yasal Takip Sistemine yükleyerek bu sistem üzerinden Avukatlık Bürolarına gönderdiği, 
  • Şirketin alacaklarını tahsil etmek üzere özetle iki aşamalı bir süreci sözleşmeli avukatları aracılığı ile uyguladığı, bu süreçlerin ‘idari takip aşaması’ ve ‘icra takip aşaması’ olduğu, idari takip aşamasına geçilmeden önce üyelere ait bilgilerin müvekkil Şirket bilgi sisteminden YTS’ye aktarıldığı, idari takip aşamasında alacakların iki ay içinde telefon, mektup ya da SMS ile tahsil edilmesinin amaçlandığı, iki ay içerisinde dosya tahsilatla kapatılamamışsa, dosyanın o avukattan alınarak müvekkil Şirket merkezine çekilerek ilgili avukatlara icra takibi başlatmaları için gönderildiği, icra takibini yapan avukatın daha evvel o dosyayı idari takip aşamasında takip eden avukat olabileceği gibi icra takibi aşamasında başka bir avukatın da belirlenebileceği, sürecin tüm dosyalarda YTS üzerinden yürütüldüğü,
  • Şikayete konu dosyanın Şirket tarafından Bürolarına ilk kez 13/11/2018 tarihinde atandığı, dolayısıyla büro tarafından bu dosyanın varlığından 13/11/2018 tarihinde önce haberdar olma, dosyada herhangi bir işlem yapma, veri girme, bir not ya da telefon işlenmesinin teknik ve fiziki olarak imkansız olduğu, 
  • Dosyanın taraflarına icra takibi başlatılması için gönderilmeden önce idari takip süreci için diğer bir Avukatlık Bürosuna gönderildiği, şikayete neden olan GSM numarasının bu Avukatlık Bürosu çalışanı tarafından 16/07/2018 tarihinde YTS’ye işlendiği, yani bu verinin dosyanın bürolarına gelmesinden yaklaşık 4 ay önce işlendiği, bu hususun YTS’de kayıt altına alındığı,
  • Bilahare şikayetçi şahsın bu numaranın kendisine ait olduğunu Bürolarına bildirdiği 25/07/2019 tarihinde borçlu ile ilgisi olmadığı nazara alınarak büro çalışanı tarafından silindiği, bu itibarla bürolarına daha gelmeden dosyaya işlenmiş olan bir veriden dolayı büronun sorumlu tutulmasının mümkün olmadığı, 
  • Bu numaraya SMS gönderilme sebebinin dosyada numaranın işlenmiş olarak bürolarına gönderilmesi olduğu, numaranın YTS’ye neden işlendiğini bilmelerinin mümkün olmadığı, borçlu olan abone tarafından irtibat numarası olarak verilmiş veya sonradan şikâyetçiye devrolunmuş bir numara da olabileceği,
  • Bürolarına bir borçluya ait dosyada “Diğer GSM Nosu” olarak şikayetçinin numarasının işlenmiş vaziyette gelmesinden sonra bu GSM numarasına dosyanın ilk geldiği tarihlerde borçlunun ismi belirtilerek ve borçluya gönderildiği düşüncesi ile iki tane SMS iletildiği, telefonla bir görüşme yapılmadığı, yaklaşık bir yıl sonra GSM numarasının kendisine ait olduğunu söyleyen şahsın şikayet dilekçesinin tarafına geldiği gün bu yanlış kaydın taraflarınca silindiği, bu verinin yurtiçinde ve/veya yurtdışında hiç kimse ile paylaşılmadığı

ifade edilmiştir. 

İlgili kişinin başvurusu ile ilgili olarak şikâyetine konu olan ilgili Şirket ve Hukuk Bürosu Avukatından alınan cevap yazıları ve ilgili dokümanların incelenmesi neticesinde; ilgili kişiye ait GSM numarasının, dosya ‘idari takip süreci’ndeyken diğer bir Hukuk Bürosu çalışanı tarafından temin edildiği ve Yasal Takip Sistemine büro çalışanı personel tarafından kaydedildiği bilgisinin edinilmesi üzerine söz konusu kaydı gerçekleştiren Hukuk Bürosundan ayrıca savunma, bilgi ve belge talep edilmiştir. İlgili Hukuk Bürosu Avukatından alınan cevabi yazıda ise özetle;

  • İlgili kişiye ilişkin dosyanın şu an ofisin sisteminde kayıtlı olmadığı, bahsi geçen dosyanın Şirket tarafından YTS kullanılarak atandığı, bu dosyaların ofisinde yer alan personellerce sistemde yer alan telefon numaraları kullanılarak arandığı ve fatura borçlarının ödenmesinin sağlandığı,
  • Şikâyete konu olan dosyanın da bu şekilde taraflarına 2018 yılında atanmış bir dosya olduğu, Hukuk Bürolarında kaldığı süre boyunca borçluya sistemde yer alan telefonlarla ulaşılmaya çalışıldığı, dosyanın şu an kendisinin uhdesinde olmadığı için ne gibi işlemler yapıldığını görmesinin mümkün olmadığı, 
  • Müvekkil Şirket tarafından, ilgili kişiye ait telefon numarasının ofislerince sisteme kayıt edildiği bilgisinin tarafına iletildiği, Şirketin verdiği bilgiye göre eski bir personelin sisteme şikâyete konu olan numarayı işlediğini öğrenmiş bulunduğu, bu tespit sonucu eski çalışanı ile irtibata geçtiği,
  • Eski çalışanının; 2018 yılının Haziran, Temmuz aylarında gerçekleşen olayda kişiyi hatırlamadığını, kişinin telefonu sistemde kayıtlı ise veya tarafınca kayıt edildiyse 118 sorgu gibi kamuya açık portallardan ya da borçlu şahıs veya yakınlarının paylaşması sonucu bu bilgiye ulaşmış olabileceğini, şikâyetçinin telefon numarasının müvekkil Şirketin borçlusu tarafından bürolarınca paylaşılabileceğini ve bu şekilde işlenebileceğini söylediği,
  • Çalışanı tarafından şikâyetçiye ait telefon numarasının irtibat numarası olarak kayıt edilmediği, şahsın telefon numarasının kimse ile paylaşılmadığı, sadece kurumun yaptığı işlemi bilmesi adına not alındığı,
  • Söz konusu GSM numarasının tarafınca işlenmediği, ofisinde çalışan personelin Şirkete ait sisteme giriş yaptığı ve borçlular ile yaptıkları görüşmelere istinaden bir takım notlar alabildiği, bu numaranın da eski çalışanın beyanına göre 118 sorgu siteleri gibi kamuya açık portallardan edinilmiş ya da borçlu şahsın kendisi tarafından personele verilmiş olabileceği, bu numaranın sadece müvekkil firmayı dosyada yapılan işlem açısından bilgilendirme amaçlı olarak görüşme yapıldığına ilişkin not düşüldüğü

ifade edilmiştir. 

Bu çerçevede, konuya ilişkin olarak yapılan incelemede, Kişisel Verileri Koruma Kurulunun 09/02/2021 tarihli ve 2021/111 sayılı Kararı ile,

  • Kanunun “Tanımlar” başlıklı 3 üncü maddesinde  “veri sorumlusu” nun kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlandığı, Kişisel Verilerin Korunması Kanununa İlişkin Uygulama Rehberinde de belirtildiği üzere veri sorumlusunun işleme faaliyetinin neden ve nasıl yapılacağı sorularına cevap veren kişi olduğu,  bu doğrultuda, somut bir olayda veri sorumlusu belirlenirken kişisel verilerin toplanması ve toplama yöntemi, toplanacak kişisel veri türleri, toplanan verilerin hangi amaçlarla kullanılacağı, hangi bireylerin kişisel verilerinin toplanacağı, toplanan verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kiminle paylaşılacağı ve verilerin ne kadar süreyle saklanacağına kimin karar verdiği hususlarının dikkate alındığı,  
  • Karara konu somut olayda, alacaklı Şirketin abonelerine ait borçların tahsilatına ilişkin olarak iki aşamalı bir süreci sözleşmeli avukatlar aracılığı ile uyguladığı, bu süreçlerin ‘idari takip aşaması’ ve ‘icra takip aşaması’ olarak adlandırıldığı, idari takip aşamasına geçilmeden önce üyelere ait bilgilerin Şirket tarafından Yasal Takip Sistemi adı verilen sisteme aktarıldığı ve alacağın tahsilini sağlamak üzere yapılan işlemlerin bu sistem aracılığıyla gerçekleştirildiği, 
  • Söz konusu olayda ilk Hukuk Bürosu avukatının ‘idari takip süreci’nde yer aldığı ve bu süre zarfında da ilgili kişiye ait iletişim bilgisinin Hukuk Bürosu çalışanı tarafından temin edilerek YTS isimli sisteme işlendiğinin gerek şirket gerek SMS gönderimi işlemini yapan ikinci Hukuk Bürosu Avukatı tarafından beyan edildiği,  bununla birlikte Kuruma sunulan evraklarda da ilk Hukuk Bürosu çalışanı tarafından ilgili kişiye ait iletişim bilgisinin işlendiğinin tevsik edildiği, 
  • Bu kapsamda somut olayda ilgili kişiye ait telefon numarası Şirket tarafından alacağın tahsilini sağlamak üzere ilk Hukuk Bürosuna aktarılmadığı halde söz konusu Hukuk Bürosu çalışanı tarafından numaranın borçlu kişinin yakınına ait olduğunu belirli kılacak şekilde  ‘not’ olarak kaydedildiği, dolayısıyla borçlu kişinin yakını olması nedeniyle ilgili kişiye ait telefon numarasının YTS sistemine işlendiğinin anlaşıldığı, 
  • Bu anlamda veri sorumlusu belirlenirken kişisel verilerin toplanması ve toplama yöntemi, hangi bireylerin kişisel verilerinin toplanacağı gibi hususları belirleyen konumunda olup olmadığı dikkate alındığında ilk Hukuk Bürosu çalışanının ilgili sistemde borçlu kişiye ait olmayan ve YTS sisteminde bulunmayan numarayı bir şekilde temin ederek işlediği anlaşıldığından ilk Hukuk Bürosu Avukatının olay özelinde veri sorumlusu olduğu
  • Diğer taraftan ikinci Hukuk Bürosu Avukatından alınan cevap yazısı ve ekinde yer alan belgeler incelendiğinde; “… ilk avukatlık bürosunun YTS’ye girmiş olduğu verilerle birlikte …” sonraki aşamanın gerçekleştirilmesi için ikinci Hukuk Bürosuna gönderildiği, numaranın YTS sisteminde kişinin yakınına ait olduğu notu ile işlendiği ve bu bilginin de ikinci Hukuk Bürosu Avukatı ile paylaşıldığı anlaşıldığından, bahse konu telefon numarasının borçlu kişiye ait olmadığı bilgisinin mevcut ve açıkça belirli olduğu halde kullanılarak SMS gönderildiği hususu dikkate alındığında SMS gönderimi işlemini yapan ikinci Hukuk Bürosu Avukatının da YTS isimli kayıt sistemi çerçevesinde kişisel veri işleme faaliyetinde bulunduğu dolayısıyla veri sorumlusu olduğu
  • Bu çerçevede kişisel verilerin işlenme amaç ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yürütülmesinden sorumlu olan Şirketin ve Şirket tarafından yürütüldüğü anlaşılan YTS isimli kayıt sistemine kendilerine tevdi edilen dosyalara ek veri girişinde bulunmak suretiyle kendi amaçları doğrultusunda etki yapan ve işleme faaliyetinin amaç ve araçlarının belirlenmesi sürecine katılan ilk Hukuk Bürosu Avukatının ve ilgili verileri amaçları doğrultusunda kullanmak suretiyle işleyen ikinci Hukuk Bürosu Avukatının sürecin belli aşamalarında veri işleme faaliyetine katıldığının anlaşıldığı, bu çerçevede Şirket ile birlikte ilgili hukuk büroları avukatlarının da veri sorumlusu olduğu sonucuna varıldığı, 
  • Diğer taraftan 6698 sayılı Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde kişisel verilerin, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği ile kişisel verilerin işlenmesinde hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uyulmasının zorunlu olduğunun düzenlendiği, kişisel veri işleme faaliyeti gerçekleştirilirken, veri işleme şartı sağlansa dahi kişisel verilerin işlenmesine ilişkin genel ilkelerin tüm kişisel veri işleme faaliyetlerinin özünde bulunması ve bu ilkelere uygun olarak kişisel veri işleme faaliyetlerinin gerçekleştirilmesinin gerektiği, söz konusu şikâyete konu olayda veri sorumlusu Şirket tarafından borç takibi yapılabilmesi amacıyla kullanılan sisteme ilk Avukat tarafından girilen verilerin doğruluğu ve güncelliği noktasında gerekli denetim ve kontroller yapılmaksızın dosyanın ikinci bir avukat ile paylaşıldığı anlaşıldığından söz konusu davranışın genel ilkelerden biri olan doğru ve gerektiğinde güncel olma ilkesine aykırılık teşkil ettiği,
  • Öte yandan, Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin birinci fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, ikinci fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • İlgili kişinin kişisel verilerinin açık rızası olmaksızın işlendiği iddiası ile ilgili olarak ilk Hukuk Bürosu Avukatından alınan cevap yazısında; ilgili kişinin telefon numarasının nasıl temin edildiği konusunda 118 sorgu gibi kamuya açık portallardan edinilmesi ya da borçlu şahıs veya yakınlarının paylaşması sonucu bu bilgiye ulaşılmış olunabileceği açıklamalarına yer verildiği, dolayısıyla ileri sürülen olasılıkların açık rıza dışındaki işleme şartlarına ilişkin bir hukuki dayanak oluşturmadığı, aynı zamanda hukuki anlamda somut zemine oturan açıklamalar olmadığının anlaşıldığı, bu kapsamda Kanunun 5 inci maddesinin ikinci fıkrasında yer alan açık rıza dışındaki kişisel veri işleme şartlarından herhangi biri geçerli olmadığı halde kişisel veri niteliğinde olan ilgili kişiye ait iletişim bilgisinin, yakınının borcu olması dolayısıyla Avukat tarafından işlendiği sonucuna varıldığı,
  • Diğer taraftan Hukuk Bürolarının ortak kullanımda olan YTS sisteminde ilgili kişiye ait telefon numarasının kişinin yakınına ait olduğu bilgisinin mevcut olmasına rağmen ikinci Hukuk Bürosu Avukatı tarafından ilgili kişiye SMS göndermek suretiyle Kanunun 5 inci maddesinde yer alan kişisel veri işleme şartlarından herhangi biri söz konusu olmadığı halde ayrıca işlendiği bu itibarla, avukat tarafından kişisel verilerin hukuka aykırı işlenmesini önlemek adına gerekli dikkat ve özen yükümlülüğünün yerine getirilmeyerek hukuka aykırı kişisel veri işleme faaliyetinde bulunulduğu,

değerlendirmelerinden hareketle;

  • İlgili kişinin telefon numarasının ilk Hukuk Bürosu çalışanı tarafından temin edilmesi ve işlenmesine ilişkin olarak, veri sorumlusu Avukat tarafından ileri sürülen hususların Kanunun 5 inci maddesinin ikinci fıkrasında yer alan açık rıza dışındaki kişisel veri işleme şartlarından herhangi birine dayanak teşkil etmediği dolayısıyla veri sorumlusu Avukatın Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin birinci fıkrasının (a) bendinde öngörülen yükümlülüğü yerine getirmediği kanaatine varıldığından, veri sorumlusu Avukat hakkında, Kanunun 18 inci maddesinin birinci fıkrasının (b) bendi uyarınca 50.000 TL idari para cezası uygulanmasına, 
  • Şirket tarafından borç takibi yapılabilmesi amacıyla kullanılan sisteme ilk Avukat tarafından girilen verilerin Kanunun 4 üncü maddesi gereğince doğruluğu ve güncelliğini sağlama noktasında gerekli denetim ve kontroller yapılmaksızın ikinci Avukat ile paylaşılması sebebiyle veri sorumlusu Şirketin gerekli teknik ve idari tedbirleri almadığı dolayısıyla Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin birinci fıkrasında yer alan yükümlülüğünü yerine getirmediği kanaatine varıldığından, veri sorumlusu Şirket hakkında Kanunun 18 inci maddesinin birinci fıkrasının (b) bendi uyarınca 115.000 TL idari para cezası uygulanmasına,
  • YTS sisteminde bulunan telefon numarasının, kişinin yakınına ait olduğu bilgisi mevcut olmasına rağmen veri sorumlusu Avukat tarafından ilgili kişiye SMS göndermek suretiyle Kanunun 5 inci maddesinde yer alan kişisel veri işleme şartlarından herhangi biri söz konusu olmadığı halde işlendiği bu itibarla, veri sorumlusu avukat tarafından Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin birinci fıkrasının (a) bendinde öngörülen yükümlülüğün yerine getirilmediği kanaatine varıldığından, veri sorumlusu Avukat hakkında, Kanunun 18 inci maddesinin birinci fıkrasının (b) bendi uyarınca, 50.000 TL idari para cezası uygulanmasına

karar verilmiştir.

28.05.2020: “Bir kargo firmasında çalışan ilgili kişinin iş akdinin haksız feshedilmesi sonrası özlük dosyası kapsamında yer alan kişisel verilerinin birer suretinin tarafına verilmesi talebine veri sorumlusu tarafından cevap verilmemesi”
Karar Tarihi : 28/05/2020
Karar No : 2020/435
Konu Özeti : Bir kargo firmasında çalışan ilgili kişinin iş akdinin haksız feshedilmesi sonrası özlük dosyası kapsamında yer alan kişisel verilerinin birer suretinin tarafına verilmesine yönelik talebine veri sorumlusu tarafından cevap verilmemesi

İlgili kişiden alınan şikayet dilekçesinde özetle;

  • Bir kargo firmasında denetim uzmanı olarak görev yaparken iş akdinin haksız,  geçersiz ve tazminatsız olarak feshedildiği; tehdit, baskı ve türlü vaatlerde bulunularak tarafından ileri tarihli istifa dilekçesinin alınması sonrası özlük dosyası kapsamında yer alan kişisel verilerinin birer suretini 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 11 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında veri sorumlusu kargo firmasından talep etmesine rağmen, tarafına 30 gün içerisinde herhangi bir cevap verilmediği ifade edilerek Kanuna aykırı uygulaması nedeniyle veri sorumlusu hakkında yaptırım uygulanması ve özlük dosyası kapsamında yer alan kişisel verilerinin birer suretinin tarafına verilmesi amacıyla veri sorumlusunun talimatlandırılması talep edilmiştir.

Konuya ilişkin olarak başlatılan inceleme çerçevesinde veri sorumlusu kargo firmasından alınan savunmada;

  • İlgili kişi tarafından noter kanalıyla yapılan başvurunun Kanunun 11 inci maddesi kapsamında bir başvuru olmadığı bu nedenle cevap verilmediği, ilgili kişinin …. 1. Noterliğinden keşide edilen ihtarnamesi incelendiğinde; “İhtarın Konusu; tarafınızca iş akdim feshedilmeden önce tarafımdan almış olduğunuz 30.09.2019 tarihli önlü arkalı yazılı savunmamın tarafınızca tarafıma zorla imzalatılan 18.10.2019 tarihli istifa dilekçemin ve iş akdimin 17.10.2019 tarihinde tarafınızca feshi gerçekleştirildikten sonra aynı gün elden vermiş olduğum 17.10.2019 tarihli istifa dilekçemin birer örneğinin KVKK madde 11/1-b kapsamında tarafıma ibrazına ilişkin ihtarnamemdir.” şeklindeki talebinde veri sorumlusundan kişisel verilerine ilişkin bilgi talep etmediği, kendisi tarafından veri sorumlusuna verilen belgelerin birer örneğini talep ettiği, Kanunun 11 inci maddesinde ilgili kişinin haklarının düzenlendiği, ilgili kişinin veri sorumlusuna başvurarak kendisinden sadır olan belgelerin birer örneğini alabileceğine veya belge örneklerini isteyebileceğine ilişkin bir hakkın da madde metninde düzenlenmediği, bu nedenle ilgili kişinin başvurusu her ne kadar 11 inci maddeye dayandırılsa da başvuruda yer alan talebin Kanunda düzenlenen haklara ilişkin olmadığı, başvuru Kanunda düzenlenmeyen bir konu olan belge örneği talebi içerdiği için talebinin Kanunun 11 inci maddesi kapsamında karşılanmasının mümkün olmadığı,
  • Ayrıca, ilgili kişi tarafından veri sorumlusuna başvurularak örneği talep edilen veri sorumlusuna vermiş olduğu dilekçelerin Kanun kapsamında “tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla” işlenen bir veri de olmadığı,
  • İlgili kişi tarafından veri sorumlusuna noter aracılığıyla yapılan başvurusunun veri sorumlusuna ulaşma tarihinin 26.11.2019 olduğu, ilgili kişi tarafından ihtarname keşide edildikten 8 gün sonra henüz cevap verme süresi dolmadan bu defa 04.12.2019 tarihinde arabulucuya başvurularak konunun yargıya intikal ettirildiği, 
  • İlgili kişinin Kanunun 11 inci maddesi kapsamında düzenlenen “bilgiye erişim hakkını” kullanmak amacında olmadığı, bu yolla kendisine delil elde etmek amacında olduğu, kıdem ve itibar tazminatı ile sair işçilik alacaklarının kendisine ödenmesi amacıyla … 26. İş Mahkemesinde açılan dava dosyasına sunulan dava dilekçesinin 9. sayfasındaki 33 nolu paragrafta açık bir şekilde; “Kaldı ki, müvekkilimizden daha öncesinde alınan istifa dilekçesinin ve savunmasının işbu davada delil olarak kullanılabilmesi için müvekkilimiz davalı tarafa başvurmuş ve kendilerine …. Noterliği nezdinde … tarihli ve … yevmiye no.lu ihtarı keşide ederek işbu belgelerin kendisine verilmesini talep etmiştir.” hususunun ikrar edildiği, 
  • Türkiye Cumhuriyeti Anayasasının 38 inci maddesinin 5 inci fıkrasında “Hiç kimsenin kendisini ve kanunda gösterilen yakınlarını suçlayan bir beyanda bulunmaya veya bu yolda delil göstermeye zorlanmayacağı”nın hükme bağlandığı, taraflarının “susma hakkı” olarak da ifade edilen bu hakkı kullandığı, 
  • İlgili kişinin cevap verilmeyen …. . Noterliğinden keşide edilen ihtarnamede taraflarına karşı suç isnadında bulunulduğu ve kendisinden zorla imza alındığının iddia edildiğinin de izahtan vareste olduğu, bu nedenle ilgili kişinin başvurusunun Dilekçe Hakkının Kullanılması Kanununa da aykırı olduğu,
  • İlgili kişinin Kuruma 30.12.2019 tarihinde başvurduğu, bu tarihten önce ilgili kişinin 04.12.2019 tarihinde arabulucuya başvurduğu, Kişisel Verileri Koruma Kurulunun 24.12.2018 tarih ve 2018/156 sayılı Karar özetinde; “6698 sayılı Kişisel Verilerin Korunması Kanununun 15 inci maddesinin (2) numaralı fıkrasında 01.11.1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesinde “Yargı mercilerinin görevine giren konularla ilgili olan ihbar veya şikayetlerin incelemeye alınamayacağının hükme bağlandığı, şikayete konu iddiaların Türk Ceza Kanunu hükümleri uyarınca suç unsuru barındırdığı ve bunların da bireysel suç niteliğinde olduğu, bu kapsamda ilgili kişi tarafından da konunun yargıya intikal ettirilmiş olduğu dikkate alındığında söz konusu başvurunun Kanun kapsamında değerlendirilemeyeceğine” karar verildiği, ilgili kişi tarafından şikayet konusu yapılan hususun yargı mercilerinin görevine giren konularla ilgili olduğu, bu nedenle şikayetin reddinin gerektiği

beyanlarına yer verilmiştir.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 28/05/2020 tarih ve 2020/435 sayılı Kararı ile;

  • Kanunun “Tanımlar” başlıklı 3 üncü maddesinde “kişisel veri”nin kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlandığı, Kanunun gerekçesinde, sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgilerin değil, aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgilerin de bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade ettiğinden kişisel veri olarak tanımlandığı, diğer bir ifadeyle,  kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıyan veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsadığı,
  • Bu çerçevede öncelikli olarak, veri sorumlusundan alınan cevap yazısında ilgili kişinin kişisel verilerine ilişkin bilgi talep etmediği, ilgili kişinin veri sorumlusuna verdiği belgelerin birer örneğini talep ettiği iddiasına yer verilmiş olmakla birlikte Kanunun büyük ölçüde esas alınarak hazırlandığı 95/46/EC sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifinin 29 uncu maddesi uyarınca kurulmuş olan Madde 29 Çalışma Grubunun, kişisel veri kavramına ilişkin 20/06/2007 tarihinde yayınladığı görüşünde “Bir doktorun yazdığı ilaç reçetesinde yer alan bilgiler, doktor açısından kişisel veridir. İster kişiye özgü reçete olsun, ister belirli bir grup hastaya yazılan reçetelerden çıkartılan genel bilgi formatında olsun, ilgili hastalar ister belirli ister anonim olsun, doktorun kimliği belirlenebilir olduğu müddetçe reçete bilgileri doktor açısından kişisel veridir.” örneğine yer verildiği, bu minvalde, kişisel veri kavramının kimliği belirli veya belirlenebilir olmak şartıyla, bir kişiye ilişkin bütün bilgileri ifade ettiği,
  • Dolayısıyla, veri sorumlusunun ilgili kişiden 30.09.2019 tarihinde aldığı yazılı savunma ve 18.10.2019 ile 17.10.2019 tarihli istifa dilekçelerinin içerik itibariyle kişiye ilişkin bilgiler içerdiği ve bu bilgilerin ilgili kişiyi belirli veya belirlenebilir kıldığı, bu kişisel veriler sayesinde ilgili kişiye ulaşılabilir olduğu hususu göz önünde bulundurulduğunda bu bilgilerin kişisel veri niteliğinde olduğu sonucuna varıldığı,
  • Kanunun 3 üncü maddesinde ayrıca “ilgili kişi”nin kişisel verisi işlenen gerçek kişi; “veri sorumlusu”nun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi; “veri işleyen”in, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi; “kişisel verilerin işlenmesi”nin ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı,
  • Bu minvalde, şikayet başvurusunda bulunan kişinin ilgili kişi, kargo firmasının veri sorumlusu, ilgili kişiye ait istifa dilekçesinin özlük dosyası kapsamında muhafaza edilmesinin ise veri işleme faaliyeti olduğu,
  • Kanunun 4 üncü maddesinin (2) numaralı fıkrasında kişisel verilerin işlenmesinde uyulması zorunlu ilkelerin “a) hukuka ve dürüstlük kurallarına uygun olma, b) doğru ve gerektiğinde güncel olma, c) belirli, açık ve meşru amaçlar için işleme, ç) işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, d) ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” şeklinde düzenlendiği,
  • Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Anayasanın 20 nci maddesinin (3) numaralı fıkrasında “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” hükmüne yer verildiği,
  • Kanunun 11 inci maddesinde ise “(1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; a) Kişisel veri işlenip işlenmediğini öğrenme, b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.” hükmünün düzenlendiği, 
  • Kanunun 13 üncü maddesinin (1) numaralı fıkrasında da ilgili kişinin, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna ileteceği, aynı maddenin (2) numaralı fıkrasında ise veri sorumlusunun başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandıracağının düzenlendiği, bununla birlikte Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin (Tebliğ) 6 ncı maddesinin (2) numaralı fıkrasında da “Veri sorumlusu, başvuruyu kabul eder veya gerekçesini açıklayarak reddeder.” hükmüne yer verildiği,
  • Yukarıda anıldığı üzere Anayasanın 20 nci maddesinin (3) numaralı fıkrasında yer verilen düzenleme ile “… kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme…” hakkına sahip olduğu, Kanunun 11 inci maddesinin (1) numaralı fıkrasının (b) bendi çerçevesinde ise ilgili kişilerin kişisel verileri işlenmişse buna ilişkin bilgi talep etme hakkına sahip olduğunun düzenlendiği,  bu çerçevede, ilgili kişinin veri sorumlusundan kişisel veri niteliğinde olan yazılı savunmasını ve istifa dilekçelerini Kanunun 11 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında talep ettiği, yukarıda anılan mevzuat kapsamında ilgili kişinin kişisel verilerine erişme hakkının olduğu ve bu hakkını veri sorumlusuna karşı ileri sürebileceğinin değerlendirildiği, 
  • Ayrıca, veri sorumlusunun cevap yazısında; Türkiye Cumhuriyeti Anayasasının 38 inci maddesinin 5 inci fıkrasında “hiç kimsenin kendisini ve kanunda gösterilen yakınlarını suçlayan bir beyanda bulunmaya veya bu yolda delil göstermeye zorlanmayacağının” hükme bağlandığı, taraflarının “susma hakkı” olarak da ifade edilen bu hakkını kullandığı iddialarına yer verildiği görülmekle beraber Anayasa Mahkemesinin 2011/41 Esas sayılı ve 2012/25 Karar sayılı kararında “Anayasa'nın 38. maddesinde suç ve cezalara ilişkin temel ilkelere yer verilmiş, beşinci fıkrasında 'Hiç kimse kendisini ve kanunda gösterilen yakınlarını suçlayan bir beyanda bulunmaya veya bu yolda delil göstermeye zorlanamaz.' denilmiştir. İnsan hakları arasında yer alan, manevi işkenceyi meneden, insan haysiyetinin ve kişi dokunulmazlığının teminatı olan bu düzenlemeye, ceza yasalarında sanığın 'susma hakkı' olarak yer verilmiştir.” denildiği, dolayısıyla Anayasanın 38 inci maddesinin (5) numaralı fıkrasının Anayasa Mahkemesinin anılan kararından da anlaşılacağı üzere gerçek kişileri esas alan bir düzenleme olduğu ve temel insan hakları arasında bir hak olarak değerlendirildiğinin anlaşıldığı,
  • Veri sorumlusunun cevap yazısında; ilgili kişinin Kuruma 30.12.2019 tarihinde başvurduğu, bu tarihten önce ilgili kişinin 04.12.2019 tarihinde arabulucuya başvurduğu, bu anlamda Kişisel Verileri Koruma Kurulunun 24.12.2018 tarih ve 2018/156 sayılı karar özetine atıf yapılmak suretiyle ilgili kişi tarafından şikayet konusu yapılan hususun yargı mercilerinin görevine giren konularla ilgili olduğu, bu nedenle şikayetin reddinin gerektiği iddialarına yer verildiği, ancak ilgili kişinin Kurumu muhatap başvurusunda, veri sorumlusundan Kanunun 11 inci maddesi kapsamında özlük dosyasında yer alan yazılı savunmasının ve istifa dilekçelerini talep ettiğini belirterek, Kurumdan söz konusu kişisel verilerinin birer suretinin tarafına ibraz edilmemiş olması nedeniyle veri sorumlusu hakkında yaptırım uygulanmasını ve özlük dosyası kapsamında yer alan kişisel verilerinin birer suretinin tarafına verilmesini talebinde bulunduğunun anlaşıldığı, esasen Kuruma intikal eden şikayetin konusunun kişisel verilere ilişkin olduğu ve suç unsuru da barındırmadığı sonucuna varıldığı,
  • İlgili kişinin veri sorumlusuna karşı açmış olduğu davanın konusunun ise “Fazlaya ilişkin her türlü talep ve dava hakkımız saklı kalmak ile şimdilik; 100 TL kıdem tazminatı, 100 TL ihbar tazminatı, 100 TL maaşından kesilen yıllık izin alacağının faizleri ile birlikte davalı şirketten alınarak müvekkile ödenmesi talebine ilişkindir.” şeklinde olduğunun anlaşıldığı, bu minvalde, açılan davanın kişisel verilere ilişkin bir dava olmaması sebebiyle konunun kişisel verilere ilişkin olan yönünün Kurum tarafından ele alınmasında bir sakınca olmadığı 

değerlendirmelerinden hareketle, 

  • İlgili kişinin başvurusunun, Kanunda düzenlenen haklara ilişkin olmadığı ve başvurunun Kanunda düzenlenmeyen bir konu olan belge örneği talebi içerdiği için Kanunun 11 inci maddesi kapsamında karşılanmasının mümkün olmadığı gerekçesiyle veri sorumlusu tarafından 30 günlük yasal süre içerisinde cevaplandırılmadığı dikkate alındığında, ilgili kişiye ait kişisel veri niteliğindeki bilgilerini içeren 30.09.2019 tarihli savunma yazısı ile 18.10.2019 tarihli ve 17.10.2019 tarihli istifa dilekçelerinin birer örneğinin ilgili kişiye verilmesi hususunda Kanunun 15 inci maddesinin (5) numaralı fıkrası kapsamında veri sorumlusunun talimatlandırılmasına,
  • Veri sorumlusunun, ilgili kişiler tarafından Kanun kapsamında yapılan başvurulara yasal süresi içerisinde cevap vermesi noktasında azami dikkat ve özeni göstermesi gerektiği hususunda talimatlandırılmasına

karar verilmiştir.

22.05.2020: “Hakkında hüküm verildiği suçtan dolayı cezası infaz edilen ilgili kişiye ait haberin yayımlandığı gazetenin internet sitesinden kaldırılması talebi”
Karar Tarihi : 22/05/2020
Karar No : 2020/414
Konu Özeti : Hakkında hüküm verildiği suçtan dolayı cezası infaz edilen ilgili kişiye ait haberin yayımlandığı gazetenin internet sitesinden kaldırılması talebi

İlgili kişinin vekilinden alınan şikayet dilekçesinde özetle;

Müvekkilinin yurtdışında başına gelen bir olay nedeniyle internet yayınlarında adı ve soyadının geçtiği, Google arama motorunda adı ve soyadının aratılması sonucunda veri sorumlusu Gazetenin internet sitesinin linkine ulaşıldığı, söz konusu haberde müvekkilinin hüküm giydiği suça ilişkin bilgilerin yer aldığı ve haberin 2009 Haziran dönemine ait olması sebebiyle yaklaşık 10 yıl öncesine ilişkin olduğu, söz konusu cezanın tamamının infaz edildiği, ulaşılan haberler nedeniyle müvekkilinin iş hayatı ve ailesinin bu durumdan olumsuz etkilendiği, veri sorumlusu Gazeteye başvurulduğu; ancak başvurusunun aynı gün reddedildiği ifade edilerek kişisel verileri ve özel nitelikli kişisel verilerini ihlal eden tarafların hukuka aykırı davranışlarına son verilerek haberlerin kaldırılması, ilgili kurumlara 6698 sayılı Kişisel Verilerin Korunması Kanunu  (Kanun) kapsamında idari para cezası verilmesi, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması nedeniyle veri işlenmesinin ve verinin yurt dışına aktarılmasının durdurulması, ilgili kurumlar hakkında Savcılığa suç duyurusunda bulunulması talep edilmektedir.

Konuya ilişkin olarak başlatılan inceleme çerçevesinde veri sorumlusu Gazeteden savunma sunması talep edilmiş, veri sorumlusu Gazetenin savunmasında,

  • Kanunun ‘İstisnalar’ başlıklı 28 inci maddesinin birinci fıkrasının (c) bendinde yer alan “Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi” ifadeleri ile kişisel verilerin ‘ifade özgürlüğü’ kapsamında işlenmesinin ‘hukuka uygunluk’ nedeni olarak değerlendirileceğinin açıkça ifade edildiği,
  • Türkiye Cumhuriyeti Anayasasının 26 ncı maddesinin birinci fıkrasında “Herkes, düşünce ve kanaatlerini söz, yazı, resim veya başka yollarla tek başına veya toplu olarak açıklama ve yayma hakkına sahiptir. Bu hürriyet resmî makamların müdahalesi olmaksızın haber veya fikir almak ya da vermek serbestliğini de kapsar.” şeklinde düzenlemenin yer aldığı, dolayısıyla haber alma ve vermenin ifade özgürlüğünün bir parçası olarak değerlendirildiği ve Anayasa tarafından doğrudan koruma altına alındığı,
  • Bu açıklamalar doğrultusunda, şikâyet konusu yazının ‘kamunun haber alma hakkı’ kapsamında kaleme alındığı, kanun koyucu tarafından veri işleme kuralları istisnaları arasında olan ‘ifade özgürlüğü’ içerisinde değerlendirilmesi gerektiği,
  • Şikâyet eden vekiline gönderilen cevabi yazıda yer alan yayın ilkelerine ilişkin olarak; basın ve genel manada medyanın yasama, yürütme ve yargıdan sonra 4. güç olarak değerlendirildiği ve AİHM Kararlarında ifade edildiği üzere ‘Demokrasinin Bekçi Köpeği’ olarak kabul edildiği, basın kuruluşlarının genel yargı denetimi dışında bir iç denetim mekanizması kapsamında ‘yayın ilkeleri oluşturarak’ bunları uyguladığı ve yürüttüğü, 
  • İlgili kişinin kişisel verilerinin internet sitesinden kaldırılmamasına ilişkin gerekçelerin ‘kamunun haber alma hakkı’ içerisinde yer alan ‘basın özgürlüğü’ çerçevesinde kaleme alınması ve ‘hukuka uygunluk nedeni’ içermesi ile bağlantılı olduğu,
  • İlgili medya grubunun bünyesinde yer alan bütün yayın organları ile ilgili her gün onlarca ‘içerikten çıkarma, değiştirme’ taleplerinin taraflarına iletildiği, okuyucuların haberde bahsi geçen olgular tamamen görünürde gerçeğe uygun olsa dahi kişisel olarak rahatsız edici olduğu gerekçesi ile yayından kaldırma taleplerinin bulunduğu, medyanın kamuoyu üzerindeki haber verme hak ve görevi doğrultusunda özellikle yaşanan adli süreçler ile ilgili yapılan bu haberlerin, gelişigüzel ve üstün kamuoyu yararı dikkate alınmadan sadece ilgilisi tarafından rahatsız edici bulunduğu için kaldırılması dolayısıyla orta ve uzun vadede medyanın işlevsiz kalması anlamına geleceği ve kamunun haber alma hakkının zarar görebileceği,
  • İlgilisi tarafından içeriğin kaldırılması talepli hususlar değerlendirilirken üstün kamu yararının dikkate alındığı ve bu husus çerçevesinde her somut olay için ayrı bir değerlendirmenin yapıldığı, şikayete konu olayda ise ilgili kişinin gerçekleştirmiş olduğu eylemin tarafsız bir mahkeme tarafından araştırıldığı ve nihayetinde mahkumiyet kararı verilerek bu kararın kamuya açık bir şekilde ilan edildiği, dolayısıyla gizli bir bilginin taraflarınca ifşa edilmesinin söz konusu olmadığı gibi haberde bahsi geçen bilgilerin tamamının yargı makamları kararı ile kesinlik kazandığı, haber tarihi üzerinden belli bir zaman geçmiş olması gerekçesine dayanarak içeriklerin kaldırılması halinde medya kuruluşlarının arşivlerinin tamamen eriyeceği ve kamu denetimi için önemli olan toplumsal belleğin ortadan kalkacağı,
  • Yayınların kaldırılması ile ilgili olarak 5651 sayılı Kanun ile ‘erişim engelleme’nin mümkün kılındığı, ilgili Kanun kapsamında bir içeriğin ‘kişilik haklarını ihlal ettiğini’ iddia eden şahsa, bağımsız ve tarafsız mahkemeler aracılığıyla her somut olay için ayrı değerlendirme yapılması ve hakimler tarafından uygun görüldüğü takdirde erişim engelleme kararının verilmesini sağlayabilecek Sulh Ceza Hakimlikleri aracılığıyla talepte bulunma hakkının ihdas edildiği, bu minvalde alınacak kararların taraflarına tebliği sonrasında erişim engelleme kararının 4 saat içerisinde taraflarınca uygulandığı,

açıklamalarına yer verilmiş ve bu kapsamda, kamu yararı içeren bir haber ile ilgili olarak ilgili kişinin yargı yoluna başvurmayıp kanuni muvazaa yoluna giderek Kurula başvurmasının yargı denetiminden kaçması ve  hakkını kötüye kullanmış olmasına sebebiyet verdiği ifade edilerek bu açıklamalar ve ilgili mevzuat doğrultusunda; Anayasa Mahkemesi’nin 03.03.2016 tarih ve 2013/5653 sayılı Kararında “…her ne kadar kişisel verilerin ancak Kanunla veya kişinin açık rızası ile işlenebileceği belirtilmiş ise de Anayasada tanımlanan ifade ve basın özgürlükleri kapsamında yapılan bir haberin anılan sınırların istisnası olacağı açıktır...”…“…Unutulma hakkının internet gazete arşivlerindeki her türlü haber yönünden uygulanmasını beklemek mümkün değildir…”..“…internette tutulan arşivlerin, ifade ve basın özgürlükleri kapsamında olduğu açıktır. Dolayısıyla internette yayımlanan ve gazetecilik faaliyeti kapsamında kabul edilen bir haber arşivinin yayından kaldırılması basın özgürlüğüne yönelik bir müdahale teşkil eder.” şeklinde yer aldığı, bu çerçevede şikayet sonucu başlatılan soruşturma neticesinde tarafları hakkında “6698 sayılı Kanuna aykırı bir işlemin bulunmadığı” yönünde karar verilmesi talep edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 22/05/2020 tarih ve 2020/414 sayılı Karar ile;

  • Kanunun “Tanımlar” başlığını taşıyan 3 üncü maddesinde kişisel verinin “kimliği belirli ya da belirlenebilir gerçek kişiye ilişkin her türlü bilgi”,  ilgili kişinin “kişisel verileri işlenen her türlü gerçek kişi”, veri sorumlusunun ise “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlandığı,
  • Diğer taraftan, Kanunun “İlgili Kişinin Hakları” başlıklı 11 inci maddesinde herkesin, veri sorumlusuna başvurarak kendisiyle ilgili; kişisel verilerinin işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme, kişisel verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerinin silinmesini veya yok edilmesini isteme, kişisel verilerinin düzeltilmesi veya silinmesi/yok edilmesi ile ilgili yapılan işlemlerin kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme ve kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme hakkına sahip olduğunun hükme bağlandığı,
  • Kanunun 28 inci maddesinin birinci fıkrasının (c) bendine göre ise “Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi” halinde Kanun hükümlerinin uygulanmayacağının düzenlendiği,
  • İfade özgürlüğünün bir yansıması olan basın özgürlüğü ile kişilik hakları karşı karşıya geldiğinde haberin;
    a) Kamu ilgi ve yararı taşıması, 
    b) Gerçek ve güncel olması, 
    c) Özü ile biçimi arasındaki denge
    kriterleri kapsamında değerlendirilmesi suretiyle hangi hakka üstünlük tanınması gerektiğinin belirlenmesinin önem arz ettiği,
  • Bu kapsamda öncelikle kamu yararının tespitinde, haberin kişilerin gereksiz merak duygularına mı yoksa yüksek ahlaki ve hukuki değerlerin korunmasına mı hizmet ettiğinin değerlendirilmesinin uygun olacağı,  bu anlamda, toplumsal ilgi uyandıran, kamuoyu üzerinde düşünmeye ve tartışmaya sevk eden, belli bir sorunun aydınlanmasına ve buna çözüm yollarının gösterilmesine hizmet eden olayların açıklamasında kamu yararının bulunduğu, örneğin, yasa dışı uygulamaların, rüşvet ve yolsuzlukların kamuoyuna iletilmesinde, eleştirilmesinde kamu yararı bulunduğu, öte yandan, kamu ilgi ve yararı kriteri kapsamında siyasetçiler ve kamu görevlilerine dair yapılan haberler bakımından basın özgürlüğüne yapılan sınırlamaların daha dar yorumlanmasının uygun olacağının değerlendirildiği,
  • Bu çerçevede, basın özgürlüğüne yapılan sınırlamanın daha dar yorumlanabilmesine olanak sağlayacak olan ilgili kişinin toplum tarafından tanınır, bilinir olma gibi siyasetçi, ünlü veyahut kamu görevlisi olma kriterlerinden birini taşıdığına dair herhangi bir bilgiye yapılan incelemelerde rastlanılmamış olmakla birlikte bahse konu olaya konu haberin kamu ilgi ve yararının yasa dışı uygulamalar, rüşvet ve yolsuzlukların kamuoyuna iletilmesi gibi değerlendirilebilecek olan insan kaçakçılığı suçunu işleyen failler hakkında olduğunun görüldüğü, bu kapsamda, haberin yayınlanması ile toplumun bilgilendirilmesi ve bu durumdan haberdar edilmesinin toplumsal bir faydaya yol açabileceğinin mümkün göründüğü, dolayısıyla, söz konusu haber her ne kadar toplum tarafından tanınır olmayan bir vatandaş hakkında olmuş olsa dahi bu haberin kamuya duyurulmasında kamunun ortak menfaatinin bulunduğu sonucuna varıldığı,
  • Karşı karşıya gelen hakların değerlendirilmesi açısından haberin gerçek ve güncel olması ikinci kriter olarak sayılmış olup gerçeklik unsurunun, somut gerçeğe değil, olayın, haberin verildiği andaki beliriş biçimine uygunluk olarak anlaşılması gerektiği, haberin güncel olmasının ise somut olayın açıklandığı tarihlerde kamu yararının bulunması esasına dayandığı, üzerinden süre geçmiş ve açıklanmasında artık kamu yararı bulunmayan bir olayın yayımlanmasında haber verme hakkından söz edilemeyeceğinden, burada kişilik hakkına üstünlük tanınması gerekeceği, geçmişteki bir olayın gündeme getirildiği haberin, hukuka uygun kabul edilebilmesi için kamu yararı taşıması gerektiği,
  • Bahse konu şikâyet başvurusunun, haberin ve veri sorumlusunun cevabi yazısının incelenmesi neticesinde; gerçeklik unsuruna ilişkin olarak ilgili kişinin şikâyet başvurusunda yer alan  “Müvekkilinin 2009 yılında İngiltere’de 3 sene hapis cezası ile cezalandırıldığı, Haziran 2009’da cezaevine girip Ekim 2010’da çıktığı, 1,5 yıl cezaevinde kalması sonrasında İngiliz Yasaları doğrultusunda kontrollü tahliye şeklinde kalan cezasını cezaevi dışında tamamladığı ve Nisan 2012 itibariyle müvekkile verilen cezanın tamamının infaz edildiği…” ifadelerinden de anlaşılacağı üzere habere konu olayın yargı tarafından verilen kararla kanıtlanmış olduğu, öte yandan, haberin güncel olması kriterinin değerlendirilmesi kapsamında mevcut şartlar altında bahse konu haberin gündemde kalması hususunda ve kamunun bu haberi alma konusunda menfaatinin devam ettiği dolayısıyla hukuka uygunluk sebebi sayılabilecek kamu yararının söz konusu haberde bulunduğu sonucuna varıldığı,
  • Biçim ve öz arasındaki denge kriteri açısından ise haberde kullanılan dil, ifade ve resimlerin haberin veriliş biçiminin gerektirdiği ölçüde olması, haberin verilişinde gerekli, ilgili ve yararlı olmayan beyan ve değerlendirmelerde bulunulmaması gerektiği, haberin özü ile biçimi arasında denge gözetilmesi gerekliliği bulunduğu,
  • Söz konusu haberde, biçim ve öz arasındaki denge kriteri açısından ise kullanılan dil, ifade ve resimlerin haberin veriliş biçiminin gerektirdiği ölçüde olduğu, haberin verilişinde gerekli, ilgili ve yararlı olmayan beyan ve değerlendirmelerde bulunulmadığı sonucuna varıldığı,

değerlendirmelerinden hareketle;

  • İlgili kişinin kendisine ilişkin verinin söz konusu habere konu edilerek yayımlanmasında hâlihazırda kamu yararı bulunduğu ve bu itibarla çatışan haklar bakımından ifade özgürlüğünün kişilik haklarına üstün geldiği sonucuna varıldığı ve söz konusu başvurunun Kanunun 28 inci maddesinin birinci fıkrasının (c) bendi çerçevesinde değerlendirilmesi nedeniyle ilgili kişinin şikayeti ile ilgili olarak Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.
20.05.2020: “İlgili kişinin tahlil sonuçlarının veri sorumlusu hastane tarafından hukuka aykırı şekilde üçüncü kişilere aktarılması”
Karar Tarihi : 20/05/2020
Karar No : 2020/407
Konu Özeti : İlgili kişinin tahlil sonuçlarının veri sorumlusu Hastane tarafından hukuka aykırı şekilde üçüncü kişilere aktarılması

İlgili kişinin şikâyetinde özetle; şikayete konu hastanenin Tüp Bebek bölümüne tahlil için başvurduğu, tahlil sonuçlarının e-posta yoluyla kendisine iletildiği, ancak aynı e-postanın başka bir e-posta adresine ve tanımadığı bir kişiye daha gönderildiğini fark ettiği, veri sorumlusu Hastanenin “Kişisel Verilerin Korunması ve İşletilmesi Politikası” kapsamında kişisel verilerinin muhafazasında gerekli tedbirleri almadığı, kişisel verilerinin işlenme amacının gereklilikleri doğrultusunda üçüncü kişilere aktarılmasında ilgili mevzuata ve alt düzenlemelere uygun davranmadığı, bu sebeple veri sorumlusundan ihtarname ile bilgi talebinde bulunduğu, söz konusu talebine ilişkin veri sorumlusu tarafından hatanın kabul edildiğini içeren bir cevap verildiği belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde şikayet dilekçesinde yer alan iddialara ilişkin veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • İlgili kişinin hastanenin Tüp Bebek Bölümüne tahlil için başvurduğu, tahlil sonuçlarının aynı gün aynı test için hastalarını hastane laboratuvarına yönlendirmiş olan başka bir doktorun özel asistanına ve hastaların kendilerine e-posta olarak iletildiği,
  • Özel ve genel nitelikteki kişisel verilerin muhafazasını sağlamak amacıyla Kanunun 12 nci maddesi kapsamında hukuka uygun güvenlik düzeyini temin etmeye yönelik hangi idari ve teknik tedbirlerin alındığına ilişkin olarak; sistemdeki bilgilerin hasta temsilcilerine görmesine kapatılması kararı alındığı, hekimlerin sadece kendi hasta bilgilerine, hemşirelerin görev yaptıkları servislerde yatan hasta bilgilerine erişebilmesi kararı alındığı, tıbbi sekreterlik ve anlaşmalı kurumlar birimi çalışanlarına gerektiğinde erişim için özel yetkilendirme yapılacağı

ifade edilerek, Hastane tarafından veri sorumlusu olarak mesul müdürün gösterildiği Veri Sorumlusu Tanıtım Formu Kurumumuza intikal ettirilmiştir.

Konuya ilişkin olarak yapılan incelemede, Kişisel Verileri Koruma Kurulunun 20/05/2020 tarihli ve 2020/407 sayılı Kararı ile,

  • Kanunun “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6 ncı maddesinin (1) numaralı fıkrasında özel nitelikli kişisel verilerin “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” olarak sayıldığı, bu minvalde ilgili kişinin tahlil sonuçlarının sağlıkla ilgili özel nitelikli kişisel veri olduğu,
  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanunun 6 ncı maddesinde düzenlenen özel nitelikli kişisel verilerin işlenmesine ilişkin ise; “(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.” hükümlerine yer verildiği, anılan maddenin (4) numaralı fıkrasında da, “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” hükmünün yer aldığı, bu çerçevede, Kanunun 22 nci maddesinin (1) numaralı fıkrasının (ç) ve (e) bentleri uyarınca Kişisel Verileri Koruma Kurulunun 31/01/2018 tarihli ve 2018/10 sayılı Kararı ile “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” belirlenerek Resmi Gazetede yayımlandığı,
  • Kanunun 8 inci maddesinde “(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. (2) Kişisel veriler; a) 5 inci maddenin ikinci fıkrasında, b) Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması halinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir.” hükümlerine yer verildiği, bu çerçevede, kişisel verilerin herhangi bir veri sorumlusu tarafından üçüncü bir tarafla paylaşılması da dahil olmak üzere işlenmesinin ancak açık rızanın bulunması ya da Kanunda belirtilen açık rıza dışı diğer hallerin varlığında mümkün bulunduğu,  
  • Bu çerçevede başvuruya konu olayda, ilgili kişinin veri sorumlusu Hastanede bulunan tahlil sonuçlarının sağlığa ilişkin özel nitelikli kişisel veri olduğu dikkate alındığında, bahse konu tahlil sonuçlarının üçüncü bir taraf olarak, hastaneden bağımsız şekilde çalışan ve ayrı bir gerçek kişi veri sorumlusu olarak değerlendirilen doktorun asistanına mail atılmak suretiyle aktarılmasında Kanunun 8 inci maddesi kapsamında herhangi bir hukuki dayanak söz konusu olmadığından ve veri sorumlusu Hastane tarafından da söz konusu aktarımın sehven yapıldığının beyan edilmiş olmasından hareketle ilgili kişinin kişisel verilerinin hukuka aykırı olarak aktarıldığı kanaatine varıldığı

değerlendirmelerinden hareketle;

  • Veri sorumlusu Hastane tarafından Kuruma iletilen Veri Sorumlusu Tanıtım Formunda veri sorumlusu olarak mesul müdürün gösterildiği ve bu kişiye ilişkin bilgilerin söz konusu forma işlendiği görüldüğünden, 6698 sayılı Kanunun 3 üncü maddesinde veri sorumlusunun, “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olduğu, tüzel kişilerin, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendilerinin “veri sorumlusu” olduğu, ilgili düzenlemelerde belirtilen hukuki sorumluluğun da tüzel kişinin şahsında doğacağı, bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından bir farklılık gözetilmediği, bahse konu hüküm çerçevesinde Hastanenin bizatihi veri sorumlusu olduğunun Hastaneye hatırlatılmasına,
  • Veri sorumlusu Hastane tarafından, ilgili kişinin özel nitelikli kişisel verisinin 6698 sayılı Kanunun 8 inci maddesinde belirtilen ilgili kişinin açık rızası ya da 6 ncı maddede düzenlenen işleme şartlarından biri olmadığı halde üçüncü kişilere aktarılmak suretiyle hukuka aykırı olarak işlenmesi sebebiyle, Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin birinci fıkrasına yönelik yükümlülüğünü yerine getirmediği kanaatine varılan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına

karar verilmiştir. 

20.05.2020: “İşverenin, işçisine ait kişisel verileri ve özel nitelikli kişisel verileri; aydınlatma yükümlülüğünü yerine getirmeden ve hukuka aykırı işlemesi”
Karar Tarihi : 20/05/2020
Karar No : 2020/404
Konu Özeti : İşverenin, işçisine ait kişisel verileri ile özel nitelikli kişisel verileri; aydınlatma yükümlülüğünü yerine getirmeden ve hukuka aykırı işlemesi

Kuruma intikal eden şikâyet dilekçesinde özetle, 

  • İlgili kişinin çalışmakta olduğu veri sorumlusu şirketten 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 11 maddesi kapsamındaki hakları kapsamında bilgi talebinde bulunduğu, söz konusu talebine yeterli cevap alamadığı,
  • Veri sorumlusu tarafından kendisine kişisel verilerinin işlenme amacıyla ilgili olarak genel nitelikli bir bilgilendirme yapıldığı, verilerin işlenme ve saklanma süreçlerine ilişkin bilgi verilmediği, 
  • Veri sorumlusunun cevap yazısında çalışanların bordro bilgileri ve disiplin süreçlerine ilişkin bilgilerin HR Yazılım Programında tutulduğunu; tüm özlük bilgilerinin … Arşiv ve Dokümantasyon Programında tutulduğunu; performans değerlendirme süreçleri, disiplin süreçleri, masraf bilgilerine ait verilerin … Yazılım aracılığı ile elektronik ortamda tutulduğu bilgisinin verildiği, ancak bu programa kimlerin erişiminin olduğu, yetki matrisi olup olmadığına dair bilgilendirmenin yapılmadığı, ayrıca adı geçen programlarda saklanan verilerin ne kadar süre sonra silindiğine dair bilgi verilmediği, tüm çalışanların erişim yetkisi olan İntranet ağında bulunan “Veri Güvenliği Politikası”nda da bu bilgilere yer verilmediği,
  • Veri sorumlusu tarafından çalışanlarından elektronik ortamda KVKK Çalışma Muvafakatnamesi alındığı, söz konusu muvafakatnamenin çok geniş kapsamlı olduğu ve yeterli aydınlatmanın yapılmadığı, verilecek rızanın “battaniye rıza” olduğu, kendisinin bu muvafakatnameye onay vermekten imtina ettiği ancak onay vermek durumunda bırakıldığı,
  • Tüm çalışanların parmak izinin alındığı, çalışanların bu veriyi vermek zorunda bırakıldığı, parmak izi alındığı sırada çalışanların açık rızalarının alınmadığı ve aydınlatma yükümlülüğünün de yerine getirilmediği, biyometrik verilerin üçüncü taraf bir şirket ile paylaşılıp paylaşılmadığı, yeterli güvenlik önlemleri ile saklanıp saklanmağı hususlarında tarafına bilgi verilmediği 

belirtilerek hukuka aykırı uygulamaları nedeniyle veri sorumlusu hakkında gerekli yaptırımların uygulanması talep edilmiştir.

Başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • İlgili kişinin hangi kişisel verilerinin hangi amaçlara dayanılarak işlendiğine dair detaylı bilginin ilgili kişiye verdikleri cevapta da yer aldığı,
  • Şirketin kişisel verilerin gizliliğine ve güvenli şekilde saklanmasına önem verdiği, fiziki dosyaların yalnızca yetkili kişilerin erişimine açık olan kilitli dolaplarda ya da fiziki arşivlerde tutulduğu, fiziki olarak aktarılması gereken evrakların gizlilik dereceli belge olarak gönderildiği, elektronik ortamda tutulan kişisel verilerin ise sadece belirli kişilerin erişimine açık klasörlerde ve /veya şifreli yazılımlarda saklandığı, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin hukuka aykırı işlenmesinin önlenmesi, bilgi ve veri güvenliği ile alakalı mevzuatlar hakkında eğitimlerin verildiği, şirket içinde rastgele ve periyodik denetimler yapılarak bu ortamlara yetkisiz giriş ve çıkışların engellendiği,
  • Açık rıza metinlerinde hangi kişisel verilerin hangi meşru amaçlarla işleneceği, kimlere hangi amaçlarla aktarılabileceği, hukuki sebepleri, toplama yöntemi, kişisel verilere ilişkin olarak çalışanların haklarının neler olduğunun detaylı olarak anlatıldığı,
  • Hukuki dayanakların yerine getirilebilmesi için, çalışan muvafakatnamesinin ve açık rıza metninin her çalışandan ıslak imzalı şekilde temin edildiği; şayet çalışan tarafından onay verilmezse özlük dosyasının tamamlanmamış kabul edildiği,
  • Çalışanların “http://......com/” adresinden kişisel verilerin güvenli olarak saklanmasına ilişkin politika, prosedür ve kılavuzlara ulaşabildikleri, aynı şekilde yetki dereceleri matrisinin çalışanların erişimine açık olan  bu adreste yayınlandığı, matriste herhangi bir değişiklik söz konusu olduğunda güncelleme duyurularının site üzerinden yapıldığı,
  • Çalışan ve aday çalışanlarının her birine KVKK Aydınlatma Metni ve Açık Rıza metninin tebliğ edildiği ve çalışanların bu metinleri imza karşılığı olarak veri sorumlusuna teslim ettiği,
  • Çalışanların parmak izlerinin acil durum yönetimi sürecinin yürütülmesi, fiziksel mekan güvenliği ve yetkili kurum ve kuruluşlara bilgi verilmesi amaçlarıyla kullanıldığı, parmak izlerinin kriptografik yöntemlerle muhafaza edildiği, bu sebeple bu verilerin biyometrik veri niteliği taşımadığı,
  • Özel nitelikli verilerin işlenmesi kapsamında veri sorumlusu tarafından, taşınabilir bellek, CD veya VCD ile bunların taşınması gerektiğinde kriptografik yöntemlerle şifreleme yapıldığı, fiziken taşınması gerektiğinde ise gizlilik dereceli belge olarak gönderildiği,
  • Veri sorumlusu tarafından Kanunun 12 nci maddesi kapsamında kişisel verilerin uygun güvenlik düzeyini temin etmek amacıyla çalışanlara kişisel verilerin hukuka aykırı işlenmesinin önlenmesi, bilgi ve veri güvenliği ile alakalı mevzuatlar hakkında eğitimlerin verildiği, çalışanlara gizlilik sözleşmesi imzalatıldığı, güvenlik prosedür ve politikalarına uymayan çalışanlara disiplin prosedürünün uygulandığı, çalışanlar için veri güvenliği hükümlerini içeren disiplin düzenlemelerinin mevcut olduğu, çalışanlar için veri güvenliği ile ilgili olarak eğitim ve farkındalık çalışmaları yapıldığı, aydınlatma yükümlülüğünün yerine getirildiği, erişim loglarının düzenli olarak tutulduğu, şirket içi rastgele denetimler yapıldığı, bilgi güvenliği, kullanımı, saklanması imhası konularında şirket politikaları hazırlandığı ve uygulandığı, verilerin saklandığı ortamlar için arttırılmış güvenlik önlemleri alındığı, bu alanlara yetkisiz giriş ve çıkışların önlendiği, ağ ve uygulama güvenliği sağlandığı, kişisel veri içeren evrakların fiziken gönderilmesi gerektiğinde gizlilik dereceli belgeler olarak gönderildiği, bulutta depolanan kişisel verilerin güvenliğinin yalnızca yetkili kişilerin ulaşabileceği biçimde ayarlandığı

ifade edilmiştir.

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 20/05/2020 tarihli ve 2020/404 sayılı Kararı ile;

  • Kanunun “Veri Sorumlusunun Aydınlatma Yükümlülüğü” başlıklı 10 uncu maddesinin “(1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.” hükmünü amir olduğu,
  • Aydınlatma yükümlülüğünün gerek açık rıza alınacağı durumlarda gerek Kanundaki diğer kişisel veri işleme şartlarından bağımsız olarak yerine getirilmesi gereken bir yükümlülük olduğu, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin (Tebliğ) 5 inci maddesinin birinci fıkrasının (e) bendi uyarınca aydınlatma yükümlülüğünün yerine getirilip getirilmediğinin ispatının veri sorumlusuna ait bulunduğu, veri sorumlusu tarafından aydınlatma yükümlülüğü yerine getirilirken; öncelikle veri sorumlusunun kimliğine, kişisel verilerin hangi amaçlarla işlendiğine, kişisel verilerin kimlere ve hangi amaçlarla aktarılabileceğine, elde edilecek kişisel verilerin toplanma yöntemlerine, işlemenin hukuki sebeplerine ve ilgili kişinin Kanunun 11 inci maddesindeki haklarına aydınlatma metninde yer verilmesi gerektiği,
  • Veri sorumlusu tarafından Kuruma gönderilen savunma yazısında çalışan ve aday çalışanlarının her birine KVKK Aydınlatma Metni ve Açık Rıza metninin tebliğ edildiği ve çalışanların bu metinleri imza karşılığı olarak veri sorumlusuna teslim ettiği ifade edilmekle birlikte yazıları ekinde aydınlatma metnine yer verilmediği, öte yandan ilgili kişinin şikayet dilekçesi ekinde yer verilen “Kişisel Verilerin İşlenmesine İlişkin Çalışan Muvafakatnamesi”nin hem aydınlatma metni hem de açık rıza metni olarak düzenlendiği kabul edildiğinde; Tebliğin 5 inci maddesinin birinci fıkrasının (f) bendinde yer alan “Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.” hükmü gereği şekli olarak aydınlatmanın usulüne uygun yapıldığından söz edilemeyeceği,
  • Diğer taraftan, bu metnin içerik olarak da açık rıza kapsamında ilgili kişiyi bilgilendirdiğinden ya da aydınlatma yükümlülüğünü yerine getirdiğinden söz edilemeyeceği zira, metinde çeşitli kişisel veri kategorileri sıralandıktan sonra “(…) sayılan kişisel veriler dahil olmak üzere ancak bunlarla sınırlı olmaksızın (…)” ifadesine yer verildiği ve hangi kişisel verilerin işleneceği (kategorik olarak) hususunun muğlak bırakıldığı, işlenecek veri kategorileri sıralandıktan sonra veri işleme amaçları da art arda sıralanmak suretiyle hangi veri kategorisinin hangi amaçla işleneceğine dair herhangi bir açıklamaya yer verilmediği, metinde “…. uygun gördüğü diğer üçüncü kişilere ve/veya yurt dışında paylaşılabileceği” ifadesinin yer aldığı bu kapsamda kimlere aktarım yapılacağının muğlak bir şekilde veri sorumlusuna bırakıldığı, ayrıca metinde biyometrik veri niteliğini haiz olan parmak izinin veri kategorileri içerisinde dahi sayılmadığı, 
  • “Açık rıza” kavramının Kanunun 3 üncü maddesinin birinci fıkrasının (a) bendinde; “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlandığı, ilgili kişilerin açık rızasının alınacağı hallerde; rızanın belirli bir konuya ilişkin olması, bilgilendirmeye dayanması ve özgür iradeyle açıklanması gerektiği, veri işlemek üzere verilen açık rızanın geçerli olması için, açık rızanın öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak verilmesi ve veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması gerektiği, bununla birlikte; açık rıza bir irade beyanı olduğundan, kişinin özgür bir şekilde rıza verebilmesi için, neye rıza gösterdiğini de bilmesi ve kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olması gerektiği, bu sebeple bilgilendirmenin, veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde, mutlaka verinin işlenmesinden önce yapılması gerektiği, ayrıca açık rızanın geçerlilik kazanabilmesi için kişinin yaptığı davranışın bilincinde ve kendi kararı sonucunda olması ve açık rızanın özgür iradeyle açıklanması gerektiğinden, herhangi bir hususun ilgili kişi tarafından açık rıza verilmesi şartına bağlanmaması, tarafların eşit konumda olmadığı veya taraflardan birinin diğeri üzerinde etkili olduğu durumlarda rızanın özgür iradeyle verilip verilmediğinin dikkatle değerlendirilmesi gerektiği, örneğin işçi-işveren ilişkisinde, işçiye rıza göstermeme imkânının etkin bir biçimde sunulmadığı veya rıza göstermemenin işçi açısından muhtemel bir olumsuzluk doğuracağı durumlarda, rızanın özgür iradeye dayandığının kabul edilemeyeceği,
  • Somut olayda, veri sorumlusu tarafından açık rıza metninin onaylanması için çalışanlara e-postalar gönderildiği, metni imzalamayan çalışanların listesinin tutulduğu, bu listelerin başkaca çalışanlara gönderilmesi suretiyle metni imzalamayan çalışanların metni imzalamalarının sağlanmasının talep edildiğinin anlaşıldığı, bununla birlikte çalışan tarafından onayın verilmemesi sebebiyle özlük dosyasının tamamlanmamış kabul edildiği durumlarda; işçiye rıza göstermeme imkânının etkin bir biçimde sunulmamasından ötürü verilen rızanın, geçerli bir açık rıza beyanı olarak değerlendirilemeyeceği, öte yandan, işçinin eşine ve çocuğuna ait kişisel verilerin işlenmesi için açık rıza vermesinin geçerlilik taşımayacağı,
  • Yine ilgili kişinin dilekçesinde; “ (…) parmak izinin alındığını, çalışanların bu veriyi vermek zorunda bırakıldığını, parmak izi alındığı sırada ilgili kişilerin açık rızalarının alınmadığını ve aydınlatma yükümlülüğünün de yerine getirilmediğini, biyometrik verilerin üçüncü taraf bir şirket ile paylaşılıp paylaşılmadığı, yeterli güvenlik önlemleri ile saklanıp saklanmağı hususlarında tarafına bilgi verilmediğinin (…)” dile getirildiği, veri sorumlusunun ise, “ (…) çalışanların parmak izlerinin acil durum yönetimi sürecinin yürütülmesi, fiziksel mekan güvenliği ve yetkili kurum ve kuruluşlara bilgi verilmesi amaçlarıyla kullanıldığını, parmak izlerinin kriptografik yöntemlerle muhafaza edildiğini, bu sebeple bu verilerin biyometrik veri niteliği taşımadığını (…)” belirttiği, biyometrik verilerin hash yöntemi ile saklandıklarında biyometrik veri olma niteliklerini kaybetmedikleri, bu bakımdan açık rızanın bulunmadığı hallerde biyometrik verilerin ancak Kanunun 6 ncı maddesinde öngörülen kanunlarda öngörülme şartı doğrultusunda işlenebileceği, bununla birlikte söz konusu verinin işlenme amacının da Kanunun genel ilkeleri arasında yer alan “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine de aykırı olduğu, örneğin fiziksel mekan güvenliğinin sağlanabilmesi için giriş esnasında manyetik kart sistemi, RFID etiketi, cep telefonuna gönderilecek bir SMS’in sisteme girilmesi gibi alternatif yollar ile sağlanması mümkünken çalışanların biyometrik veri niteliğindeki parmak izi verisinin alınmasının Kanunun 4 üncü maddesinin (2) numaralı fıkrasında yer alan “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi ile bağdaşmadığı, bu çerçevede “acil durum yönetimi sürecinin yürütülmesi, fiziksel mekan güvenliği ve yetkili kurum ve kuruluşlara bilgi verilmesi amaçları”nın farklı yollarla da hasıl olması mümkünken söz konusu veri işleme faaliyeti ile orantısız bir veri işleme yapıldığının değerlendirildiği,
  • İşlenen kişisel verilerin aktarıldığı üçüncü kişiler arasında “Bu bölümde sayılan şirketlerin yerini alabilecek diğer şirketler” benzeri ifadelerin yer alması halinde, işlenecek kişisel verilerin tam olarak nereye aktarılacağının rıza verecek ilgili kişi tarafından tam olarak bilinemeyebileceğinden, bu şekilde verilen rızanın açık rıza olarak değerlendirilmesinin mümkün olmayacağı,
  • Öte yandan kişisel verilerin yurtdışında mukim üçüncü kişilere aktarılması durumunda Kanunun 9 uncu maddesi uygulama alanı bulacağı, “Kişisel verilerin yurtdışına aktarılması” başlıklı 9 uncu maddesinde kişisel verilerin, ilgili kişinin açık rızası olmaksızın yurtdışına aktarılamayacağı; kişisel verilerin, Kanunun 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması, yeterli korunmanın bulunmaması durumunda ise Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabileceğinin hükme bağlandığı, bu çerçevede yurtdışına veri aktarımlarında açık rızanın olmadığı hallerde 9 uncu maddede öngörülen prosedürün işletilmesi gerektiği,
  • Ayrıca, veri sorumlusunun “bulutta depolanan kişisel verilerin güvenliğini yalnızca yetkili kişilerin ulaşabileceği biçimde ayarlandığı” ifadesi ele alındığında daha önce Kurul tarafından alınan 31.05.2019 tarihli ve 2019/157 sayılı l Kararı ile; “Google firmasına ait G-mail e-posta hizmeti altyapısının kullanılması durumunda gönderilen ve alınan e-postaların dünyanın çeşitli yerlerinde bulunan veri merkezlerinde tutulması söz konusu olacağından, böyle bir durumda kişisel verilerin yurt dışına aktarılmış olacağına ve veri sorumlularının söz konusu uygulamayı 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Kişisel verilerin yurt dışına aktarılması” başlıklı 9 uncu maddesi hükümlerine uygun olarak gerçekleştirmesine;“Server”ları yurt dışında bulunan veri sorumlularından/veri işleyenlerden temin edilen saklama hizmetlerinin de Kanunun 9 uncu maddesi hükümlerine uygun olarak gerçekleştirilmesine” karar verildiği, bu kapsamda serverları yurt dışında bulunan hizmetlerin kullanımının yurt dışına kişisel veri aktarımı olduğu ve Kanunun 9 uncu maddesine uygun hareket edilmesi gerektiği,
  • Yukarıda yer alan açıklamalar doğrultusunda, veri sorumlusunun çalışanlarının açık rızaları olmaksızın kişisel verilerini ve özel nitelikli kişisel verilerini işlediği ve bu verileri yine çalışanlarının açık rızası olmaksızın yurtiçi ve /veya yurtdışına aktardığının anlaşıldığı, Kanunun 12 nci maddesinin birinci fıkrasında; veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ile kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu hükme bağlandığı, ancak veri sorumlusunun Kanunla kendisine yüklenmiş olan bu yükümlülükleri yerine getirmediği

değerlendirmelerinden hareketle;

  • Aydınlatma yükümlülüğünü yerine getirmediği kanaatine varıldığından veri sorumlusu hakkında Kanunun 18 inci maddesinin birinci fıkrasının (a) bendi uyarınca 50.000 TL idari para cezası uygulanmasına,
  • Veri sorumlusunun çalışanlarının ve yakınlarının açık rızaları olmaksızın kişisel verilerini ve özel nitelikli kişisel verilerini işlediği, işlediği özel nitelikli kişisel veriler bakımından Kanunun 4 üncü maddesinde yer alan genel ilkelerden ölçülülük ilkesine aykırı hareket ettiği ve bu verileri yine çalışanlarının açık rızası olmaksızın yurtiçi ve /veya yurtdışına aktardığı görüldüğünden, Kanunun 12 nci maddesinin birinci fıkrasında yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ile kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı hareket ettiği kanaatine varılan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 200.000 TL idari para cezası uygulanmasına 

karar verilmiştir.

20.05.2020: “İlgili kişinin, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili özel nitelikli kişisel verilerinin özlük dosyasından çıkarılması talebi”
Karar Tarihi : 20/05/2020
Karar No : 2020/396
Konu Özeti : İlgili kişinin, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili özel nitelikli kişisel verilerinin özlük dosyasından çıkarılması talebi

Kuruma intikal eden şikâyet dilekçesinde özetle, ilgili kişinin memuriyete ilk giriş tarihinden önce hakkında verilmiş olan ceza kararının özlük dosyasında yer aldığı, verilen kararda yer alan beş yıllık denetim süresinin dolduğu ve davanın düşmesine karar verildiği, kararın adli sicil kaydından silindiği, bu itibarla özlük dosyasında yer alan mezkûr karar ve ilgili dosyanın kaldırılarak imha edilmesi için veri sorumlusu çalıştığı kuruma yapmış olduğu başvurunun reddedildiği; ancak söz konusu dosyanın açık rızası dâhilinde, resmi olarak güvenlik soruşturması yapılmadan, kurumunda çalışmaya ilk başladığı tarihte İl Yazı İşleri Müdürünün kendisine sözlü olarak güvenlik soruşturması yapması ve mahkeme sürecinin devam etmesi sebebiyle mahkeme kararını getirmesinin gerekmesi üzerine özlük dosyasına konulduğu, anılan verinin muhafazasını gerektiren bir sebebin bulunmadığı belirtilerek özlük dosyasında yer alan mahkeme dosyasının kaldırılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • İlgili kişinin atamasının yapılabilmesini teminen başvuru belgelerinin istendiği, bu kapsamda sunulan belgeler arasında yer alan “Güvenlik Soruşturması ve Arşiv Araştırması Formu”nda “Hakkınızda Verilmiş Bulunan Mahkûmiyet Hükmü veya Halen Devam Eden Ceza Davası Bulunup Bulunmadığı” kısmının “Var” olarak beyan edilmesi nedeniyle, ilgili kişi hakkında verilmiş hükümler veya devam eden cezaların 657 sayılı Devlet Memurları Kanununun 48 inci maddesinde yer alan şartlara engel teşkil edip etmediğinin tespiti amacıyla, söz konusu mahkeme kararlarının ilgili kişinin kendi isteği ile … Asliye Ceza Mahkemesinden talep edilerek atamasının yapılıp yapılamayacağı hususunun incelenmesini teminen Kurumuna sunulduğu,
  • İlgili kararın atamaya engel teşkil edip etmediği hususunda gerekli değerlendirmenin yapılarak atamanın gerçekleştirildiği ve ilgili kişinin görevine başladığı, söz konusu kararların atama onayı ile ilişkilendirildiği ve Kamu Personeli Genel Tebliğinin (Seri No: 2) “Özlük Dosyasının Tutulmasına İlişkin Usul ve Esaslar” başlıklı D maddesinin 5 inci fıkrasının birinci bendi gereğince özlük dosyasına konulduğu, işlemin 2013 yılında gerçekleştiği; ancak 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 07.04.2016 tarihinde yürürlüğe girdiği

ifade edilmiştir.

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 20/05/2020 tarihli ve 2020/396 sayılı Kararı ile;

  • Kanunun 3 üncü maddesinin birinci fıkrasının (d) bendi uyarınca kişisel verinin; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, (e) bendi uyarınca kişisel verilerin işlenmesinin; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,  (ç) bendi uyarınca ilgili kişinin; kişisel verisi işlenen gerçek kişiyi, (ı) bendi uyarınca veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişiyi ifade ettiği,
  • Bu çerçevede, şikâyete konu başvuruyu yapan kişinin gerçek kişi olduğu ve bu itibarla, ilgili kişi sıfatını haiz bulunduğu; ilgili kişinin Kuruma yapmış olduğu başvuruya konu ettiği mahkeme kararlarının kişiyi belirli kılma niteliğinin bulunması sebebiyle kişisel veri olduğu; söz konusu mahkeme kararlarının Kanunun 6 ncı maddesi kapsamında özel nitelikli kişisel veri niteliğini haiz bulunduğu,
  • Kanunun 6 ncı maddesinin birinci fıkrasında kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerinin özel nitelikli kişisel veri olduğu, ikinci fıkrasında özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğu, üçüncü fıkrasında, birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel verilerin kanunlarda öngörülen hallerde, sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceğinin hükme bağlandığı,
  • İlgili kişinin, başvurusunda resmi dayanağı olmaksızın yapıldığını iddia ettiği güvenlik soruşturması evrakının 2013 yılına ait olduğu, söz konusu tarihte 03.11.1994 sayılı Resmi Gazetede yayımlanan 4045 sayılı “Güvenlik Soruşturması, Bazı Nedenlerle Görevlerine Son Verilen Kamu Personeli ile Kamu Görevine Alınmayanların Haklarının Geri Verilmesine ve 1402 Numaralı Sıkıyönetim Kanununda Değişiklik Yapılmasına İlişkin Kanun” un yürürlükte bulunduğu, anılan Kanunun 1 inci maddesi uyarınca güvenlik soruşturması işleminin yapılabilmesinin ön koşulunun; ilgili personelin ya kamu kurum veya kuruluşlarında “gizlilik dereceli birim” olarak nitelendirilen birimlerde ya da düzenlemede sınırlı olarak sayılan kurumlarda yahut görevlerde çalıştırılacak olması durumlarından birisinin gerçekleşmesi olduğu,
  • İlgili kişiye güvenlik soruşturması ve arşiv araştırması işleminin yapılabilmesinin, konuya ilişkin temel düzenleme vasfı taşıyan 4045 sayılı “Güvenlik Soruşturması, Bazı Nedenlerle Görevlerine Son Verilen Kamu Personeli ile Kamu Görevine Alınmayanların Haklarının Geri Verilmesine ve 1402 Numaralı Sıkıyönetim Kanununda Değişiklik Yapılmasına İlişkin Kanun” kapsamında, ilgili kişinin “gizlilik dereceli birim” olarak ifade edilen birimlerde çalıştırılacak olması koşuluyla; 4045 sayılı Kanuna dayalı olarak çıkarılan “Güvenlik Soruşturması ve Arşiv Araştırması Yönetmeliği” kapsamında ise “…ilk defa veya yeniden kamu hizmeti ve görevlerine atanacakları…” ifadesi kapsamında mümkün olabileceği, bunun dışındaki olasılıklarda ise şikâyete konu olay tarihinde yürürlükte bulunan mevzuata aykırılık teşkil edeceğinin değerlendirildiği, bu açıdan bakıldığında, 4045 sayılı Kanun hükümleri uyarınca ilgili kişinin atanmış olduğu kadronun, kanunda “yetkili olmayan kişilerin bilgi sahibi olmaları halinde devlet güvenliğinin, ulusal varlığın ve bütünlüğün, iç ve dış menfaatlerin zarar görebileceği veya tehlikeye düşebileceği bilgi ve belgelerin bulunduğu gizlilik dereceli birimler” şeklinde ifade edilen birimler arasında yer alıp almadığı hususunun, Kanuna uygun bir kişisel veri işleme faaliyetinin gerçekleştirilip gerçekleştirilmediği noktasında önem arz ettiğinin görüldüğü,
  • Öte yandan, “Güvenlik Soruşturması ve Arşiv Araştırması Yönetmeliği”nin “Tanımlar” başlığını taşıyan 4 üncü maddesinde “gizlilik dereceli birim” kavramının tanımına yer verildiği, düzenlemeden, “gizlilik dereceli birim ve kısım” olarak ifade edilen kavramın, gizlilik dereceli bilgi ve belgeler ile bağlantılı olduğunun anlaşıldığı; bu noktada, herhangi bir kamu kurum ve kuruluşunda görev yapmakta olan personelin, hukuki anlamda olmasa da, fiili olarak gizlilik dereceli birim ve kısımda çalışıyor olarak kabul edildiği/varsayıldığının değerlendirildiği,
  • İlgili kişinin 657 sayılı Devlet Memurları Kanununun 48 inci maddesinde yer verilen şartlar arasında gösterilen “Kamu haklarından mahrum bulunmamak” ve “Türk Ceza Kanununun 53 üncü maddesinde belirtilen süreler geçmiş olsa bile; kasten işlenen bir suçtan dolayı bir yıl veya daha fazla süreyle hapis cezasına ya da affa uğramış olsa bile devletin güvenliğine karşı suçlar, Anayasal düzene ve bu düzenin işleyişine karşı suçlar, zimmet, irtikâp, rüşvet, hırsızlık, dolandırıcılık, sahtecilik, güveni kötüye kullanma, hileli iflas, ihaleye fesat karıştırma, edimin ifasına fesat karıştırma, suçtan kaynaklanan malvarlığı değerlerini aklama veya kaçakçılık suçlarından mahkûm olmamak.” koşullarının adayda bulunup bulunmadığının tespit edilebilmesini teminen birtakım belgelerin, aday tarafından veri sorumlusuna sunulmasının gerektiği; ancak atamaya esas teşkil eden belgelerin neler olduğuna ilişkin olarak 657 sayılı Kanunda herhangi bir hükmün yer almadığı, bununla birlikte; özel nitelikli kişisel veri niteliğini haiz bulunan “Ceza Mahkûmiyeti ve Güvenlik Tedbirleri” bilgisinin 657 sayılı Kanun uyarınca atamayı yapacak kuruma sağlanması hususunda adli sicil bilgisinin talep edilmesinin, Kanuna aykırılık teşkil etmediğinin değerlendirildiği,
  • Diğer taraftan ilgili kişinin, 657 sayılı Devlet Memurları Kanunundaki koşulları taşıyıp taşımadığının araştırılması noktasında yeterli olduğu düşünülen adli sicil kaydının, bilgi ve belge talepli Kurum yazısına veri sorumlusu tarafından gönderilen cevap ve ekinde yer almadığının görüldüğü, bu itibarla, söz konusu mahkeme kararlarının; adli sicil kaydı istenmeksizin/verilmeksizin, doğrudan mahkeme kararlarının talep edilmesi/verilmesi şeklinde gerçekleştiği; bununla birlikte durumun ilgili kişinin bilgisi ve talebi doğrultusunda gerçekleşmesi sebebiyle, Kanunun yürürlüğe girdiği tarihten önce gerçekleşen söz konusu olgunun, olayın gerçekleştiği tarihte yürürlükte bulunan mevzuat bakımından hukuka aykırılık içermediğinin değerlendirildiği, 
  • Söz konusu kararların, güvenlik soruşturması işlemi neticesinde elde edilen (istihbari vb.) kararlar olmadığı, atama işlemlerinin gerçekleştirilmesini teminen ilgili kişi tarafından veri sorumlusuna sunulan evraklar arasında yer alması sebebiyle özlük dosyasına girdiğinin taraf beyanlarından anlaşıldığı,
  • 657 sayılı Devlet Memurları Kanununun 109 uncu maddesinin dördüncü fıkrası gereğince özlük dosyalarının tutulma esasları ile özlük dosyalarında yer alacak belgelere ilişkin usul ve esasların Devlet Personel Başkanlığınca (DPB) belirlendiği, bu sebeple, konuya ilişkin olarak memurların ilk veya naklen atanmalarına ilişkin belgeler ile memurun adaylık ve asli memurluğa atanmasına ilişkin belgelerin neler olduğu, kamu kurumlarının/kuruluşlarının memurlardan ilk işe başlamaları sırasında istedikleri bilgi ve belgelerin neler olduğu ile bu belgelerin her kurum/kuruluşta farklılık gösterip gösteremeyeceği hususları ile “yargı organlarınca memur hakkında verilmiş karar örnekleri” ifadesinin yargı organlarınca memurun çalışma hayatına ilişkin verilmiş karar örneklerini mi yoksa memur hakkında verilmiş tüm karar örneklerini mi kastettiği hususuna ilişkin olarak Kurumca, Devlet Personel Başkanlığından görüş talep edildiği ve Devlet Personel Başkanlığının Kuruma gönderdiği cevabi yazıda; 2 Seri No’lu Kamu Personeli Genel Tebliğinin “Özlük dosyalarının tutulma esasları ile özlük dosyalarında yer alacak belgelere ilişkin usul ve esaslar” başlıklı bölümüne ilişkin düzenlemelere yer verildikten sonra, “Mezkûr Tebliğde memurun özlük dosyasının sekiz bölümden oluştuğu belirtilmekte, bölümlerde hangi konulara ilişkin belgelerin yer alması gerektiği hususu düzenlenmekte olup, özlük dosyasında yer alan her bir bölüme ilişkin belgelerin tek tek zikredilmesinin mümkün bulunmadığı, kurumlarca lüzum görülen tüm belgelerin ilgili bölümlere konulmasının uygun olacağı, dosyanın dördüncü bölümünde memurun yalnızca çalışma hayatına ilişkin değil yargı organlarınca memur hakkında verilen tüm karar örneklerinin bulunması gerektiği değerlendirilmektedir” denilmekle birlikte, bahsi geçen kişisel verinin Kanunun 6 ncı maddesi kapsamında özel nitelikli kişisel veri olması ve ilgili kişinin, şikâyet başvurusuna konu etmiş olduğu mahkeme kararlarının işlenmesine ilişkin olarak hâlihazırda açık rızasının bulunmaması hususları birlikte değerlendirildiğinde, söz konusu verilerin işlenmesinde Kanunun 6 ncı maddesinin üçüncü fıkrasında yer alan “…sağlık ve cinsel hayat dışındaki veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilir…” düzenlemesi uyarınca kişisel verinin işlenebilmesinde “kanunlarda öngörülme” prensibi doğrultusunda hareket edileceği ve söz konusu ifadenin, “maddi kanun” biçiminde anlaşılması gerektiği, bu doğrultuda, DPB’nin Kurum görüş talebine verdiği cevap ve 2 Seri No’lu Kamu Personeli Genel Tebliği hükümleri uyarınca sözü edilen kararların özlük dosyasından çıkarılmasına yer olmadığının değerlendirildiği,
  • Diğer taraftan, Kanunun 7 nci maddesinde “(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. (2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır” hükümlerine yer verildiği, konuya ilişkin olarak 657 sayılı Kanunun “Memur Bilgi Sistemi, Özlük Dosyası” başlıklı 109 uncu maddesinde her memur için bir özlük dosyasının tutulacağı ve bu dosyada memurun mesleki bilgileri, mal bildirimleri; varsa inceleme, soruşturma, denetim raporları, disiplin cezaları ile ödül ve başarı belgelerine ilişkin bilgi ve belgelerin konulacağı; özlük dosyalarının tutulma esasları ile özlük dosyalarında yer alacak belgelere ilişkin usul ve esasların Devlet Personel Başkanlığınca belirleneceğinin belirtildiği; Kamu Personeli Genel Tebliğinin (Seri No: 2) “D” bölümünde ise özlük dosyasının sekiz bölümden oluştuğu ve bölümlerde yer alan konulara ilişkin bilgi ve belgelerin saklanacağı hükümlerine yer verildiği,
  • Öte yandan, 16.05.1988 tarihli ve 19816 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren mülga “Devlet Arşiv Hizmetleri Hakkında Yönetmelik”in “Tarifler” başlıklı 3 üncü maddesinde “arşiv malzemesi” ve “arşivlik malzeme” kavramlarının;
    a) Arşiv malzemesi: Türk Devlet ve Millet hayatını ilgilendiren ve en son işlem tarihi üzerinden otuz yıl geçmiş veya üzerinden onbeş yıl geçtikten sonra kesin sonuca bağlanmış olup, birinci maddede belirtilen kuruluşların işlemleri sonucunda teşekkül eden ve onlar tarafından muhafazası gereken, Türk Milletinin geleceğine tarihi, siyasî, sosyal, hukukî ve teknik değer olarak intikal etmesi gereken belgeler ve Devlet hakları ile milletlerarası hakları belgelemeye,  korumaya, bunlarla ilgili işlem ve münasebetler bakımından tarihî, hukukî,  idarî, askeri, iktisadî, dinî, ilmî edebî estetik, kültürel biyografik,  jeneolojik ve teknik herhangi bir konuyu aydınlatmaya, düzenlemeye, tespite yarayan, ayrıca ait olduğu devrin ahlâk, örf ve âdetlerini veya çeşitli sosyal özelliklerini belirten her türlü yazılı evrak, defter, resim, plan, harita,  proje, mühür, damga, fotoğraf, film, ses ve görüntü bandı, baskı ve benzeri belgeleri ve malzemeyi,
    b) Arşivlik malzeme: Yukarıdaki bentte sayılan her türlü belge ve malzemeden zaman bakımından henüz arşiv malzemesi vasfını kazanmayanlarla, son işlem tarihi üzerinden yüzbir yıl geçmemiş memuriyet sicil dosyaları, Devletin gerçek ve tüzel kişilerle veya yabancı devlet ve milletlerarası kuruluşlarla akdettiği ikili ve çok taraflı milletlerarası antlaşmalar, tapu tahrir defterleri, tapu ve nüfus kayıtları, aynı özellikteki vakfiyelerden ait oldukları kamu kurum ve kuruluşları ile il, ilçe, köy ve belediyelere ait sınır kâğıtları gibi belgeleri, …” ifade ettiğinin belirtildiği, bu kapsamda son işlem tarihi üzerinden yüz bir yıl geçmemiş olan memuriyet sicil dosyalarının, “arşivlik malzeme” olarak kabul edildiği ve yüz bir yıl boyunca saklandığı, ancak söz konusu düzenlemenin, 16.07.2018 tarihli ve 30480 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren 11 sayılı “Devlet Arşivleri Başkanlığı Hakkında Cumhurbaşkanlığı Kararnamesi”ne dayalı olarak çıkarılan ve 18.10.2019 tarihli ve 30922 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren “Devlet Arşiv Hizmetleri Hakkında Yönetmelik”in 32 nci maddesi uyarınca yürürlükten kaldırıldığı, mülga yönetmelikte düzenlenen “arşiv malzemesi” ve “arşivlik malzeme” kavramları, Devlet Arşiv Hizmetleri Hakkında Yönetmelik’te “arşiv belgesi” ve “arşivlik belge” olarak düzenleme altına alındığı, mezkûr kavramların,

    Tanımlar 
    MADDE 4- (1) Bu Yönetmelikte geçen;
    b) Arşiv belgesi: Son işlem tarihi üzerinden yirmi yıl geçmiş veya on beş yıl geçtikten sonra kesin sonuca bağlanmış bulunan ve günlük iş akışı içinde işlevi bulunmayan, varsa tâbi olduğu diğer mevzuatlar ile saklama planlarındaki saklama sürelerini tamamlayan, üretim biçimleri, donanım ortamları ne şekilde olursa olsun geleceğe, tarihi, siyasi, sosyal, kültürel, hukuki, idari, askeri, iktisadi, dini, ilmi, edebi, estetik, biyografik, jeneolojik ve teknik herhangi bir değer olarak intikal etmesi gereken ve bir bilgiyi içeren yazılmış, çizilmiş, resmedilmiş, görüntülü, sesli veya elektronik ortamlarda üretilmiş belgeyi, 
    c) Arşivlik belge: Süre bakımından arşiv belgesi vasfını kazanmayan veya bu süreyi doldurmasına rağmen güncelliğini kaybetmeyen, hizmetin yürütülmesi açısından işlevi olan belgeyi, …ifade eder

    şeklinde düzenlendiği, mülga Yönetmelikte arşivlik malzeme olarak kabul edilen memuriyet sicil dosyalarının, yeni Yönetmelik kapsamında arşivlik belge olarak değerlendirilmediği ve memuriyet sicil dosyalarına ve bunların yüz bir yıl saklanacağına ilişkin düzenlemeye yer verilmediği, buna karşın, süre bakımından arşiv belgesi vasfını kazanamayan belgelerin arşivlik belge kabul edilmesi sebebiyle memuriyet özlük dosyalarının da bu kapsamda yer aldığı ve bunların imha işlemine tabi tutulmadığı

değerlendirmelerinden hareketle;

  • Şikâyete konu kişisel verinin özel nitelikli kişisel veri olduğu ve ilgili kişinin söz konusu mahkeme kararlarının özlük dosyasında yer almasına ilişkin hâlihazırda açık rızasının bulunmadığı; bununla birlikte, Kanun bakımından söz konusu kişisel verinin işlenmesine ilişkin “kanunilik” unsurunun öğretide ifade edilen “maddi kanun” olarak değerlendirilmesi gerektiği kanaatine varıldığından DPB’nin Kurum görüş talebine verdiği cevap ve 2 Seri No’lu Kamu Personeli Genel Tebliği hükümleri uyarınca mer’i mevzuat bakımından sözü edilen kararların özlük dosyasından çıkarılmasına yer olmadığına karar verilmiştir.
15.05.2020: “Bir tıp merkezinin internet sitesinde video tanıtım bölümü içerisinde görsel ve işitsel kişisel verileri işlenen ilgili kişinin başvurusuna veri sorumlusu tıp merkezi tarafından cevap verilmemesi”
Karar Tarihi : 14/05/2020
Karar No : 2020/379
Konu Özeti : Bir Tıp Merkezinin internet sitesinde pazarlama amaçlı olarak “Video Tanıtım” bölümü içerisinde görsel ve işitsel kişisel verileri işlenen ilgili kişinin başvurusuna veri sorumlusu Tıp Merkezi tarafından cevap verilmemesi

İlgili kişiden alınan şikayet dilekçesinde özetle; bir Tıp Merkezinin internet sitesinde pazarlama amaçlı olarak “Video Tanıtım” bölümü içerisinde görsel ve işitsel kişisel verilerinin işlendiği, akdedilen iş sözleşmesi sona ermiş olduğundan kullanılan bu verilerin işleme amacı veya konusunun kalmadığı gerekçesiyle veri işlemenin durdurulmasını ve verilerin kaldırılmasını talep ettiğini, bu çerçevede veri sorumlusuna başvurduğu, bildirimde bulunmasına rağmen yasal sürede ilgili kişiye bilgi verilmediği, internet sitesindeki videoların silinmediği ifade edilerek veri sorumlusu Tıp Merkezine ait internet sitesinde bulunan kişisel verilerinin silinmesi ve başkaca işlenen kişisel verilerinin bulunup bulunmadığı, hangi verilerinin hangi amaçla işlendiği hususlarında tarafına bilgi verilmesi talep edilmiştir.  

Konuya ilişkin başlatılan inceleme çerçevesinde savunmasının alınmasına yönelik Kurum yazısı veri sorumlusuna 01.08.2019 tarihinde tebliğ edilmiş ancak veri sorumlusu tarafından Kurula herhangi bir savunma ve bilgi/belge iletilmemiştir. İlgili kişinin başvurusunda belirtilen ve veri sorumlusuna ait internet sitesi adresine girildiğinde, veri sorumlusu Tıp Merkezinin kim tarafından kurulduğuna ilişkin bilgi ve Merkezi Sicil Kayıt Sisteminde kayıtlı bulunduğu tespit edilmiş olup, eldeki bilgi ve belgeler çerçevesinde yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 14/05/2020 tarih ve 2020/379 sayılı Kararı ile;  

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Tanımlar” başlıklı 3 üncü maddesinin (1) numaralı fıkrasının (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”; (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde, kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılma sı ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun ise, “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlandığı,
  • Bu çerçevede şikâyete konu olayda, ilgili kişiye ait görüntülerin kişisel veri niteliğinde olduğu,  şikâyet başvurusunda bulunanın gerçek kişi olması nedeniyle ilgili kişi sıfatını haiz olduğu, kişisel verilerin hangi amaçla ve araçla işleneceğini belirleyip veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olduğu için Tıp Merkezinin veri sorumlusu olduğu, veri sorumlusu tarafından reklam yapmak amacıyla ilgili kişinin görüntülerinin kullanılmasının kişisel veri işleme faaliyeti olduğu ,  
  • Kanunun  “Veri Sorumlusuna Başvuru” başlıklı 13 üncü maddesinin (2) numaralı fıkrasında yer alan “Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır.” hükmü ile “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ” gereği; ilgili kişinin veri sorumlusuna başvurduğu, başvurusunda veri sorumlusu tarafından kişisel verilerinin, işleme amacı veya konusu kalmadığından silinmesi ve ilgili kişinin başkaca işlenen kişisel verilerinin bulunup bulunmadığı, hangi verilerinin hangi amaçla işlendiği hususlarında tarafına bilgi verilmesinin talep edildiği, ilgili kişinin, başvurusunun veri sorumlusuna tebliğ edildiği 15.01.2019 tarihi itibariyle 30 günlük yasal süre içerisinde veri sorumlusundan herhangi bir cevap alamadığının anlaşıldığı, bu nedenle veri sorumlusu tarafından ilgili kişinin başvurusunu cevaplama yükümlülüğünün yerine getirilmediği,
  • Öte yandan Kurulun savunma, bilgi/belge talebini içeren resmi yazısının veri sorumlusuna 01.08.2019 tarihinde tebliğ edilmesine rağmen söz konusu tarih itibariyle veri sorumlusu tarafından Kurula herhangi bir savunma ve bilgi/belge iletilmediği, 
  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinde;
    (1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: 
    a) Kanunlarda açıkça öngörülmesi.
    b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
    c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
    ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
    d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
    e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
    f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
    ” hükmünün yer aldığı,
  • Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin (1) numaralı fıkrasında “Veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmüne yer verildiği, 
  • Kanunun “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi” başlıklı 7 nci maddesinin (1) numaralı fıkrasında yer alan “Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.” hükmü gereği veri sorumlusu tarafından ilgili kişiye ait kişisel verilerin işlenmesini gerektiren herhangi bir sebebin bulunmaması halinde ilgili kişinin başvurusunda belirttiği talep doğrultusunda tüm kişisel verilerinin silinmesi veya yok edilmesi gerektiği

değerlendirmelerinden hareketle;

  • Kanunun 11 inci maddesi uyarınca, ilgili kişinin tüm kişisel verilerinin silinmesi veya yok edilmesi talebinin, işlenmesini gerektiren sebep ortadan kalktığı halde; Kanunun 7 nci maddesinin (1) numaralı fıkrası gereği veri sorumlusu tarafından yerine getirilmediği, kişinin silme talebinin üzerinden makul süre geçmesine rağmen söz konusu kişisel veri işleme faaliyetine Kanunun 5 inci maddesinde yer alan şartlarından herhangi birine dayanmaksızın devam edildiği, bu durumun ise Kanuna aykırılık teşkil ettiği, bu kapsamda Kanunun 12 nci maddesinin (1) numaralı fıkrası hükümleri gereğince, kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 75.000 TL idari para cezası uygulanmasına,
  • Kanunun 7 nci maddesinin (1) numaralı fıkrası uyarınca ilgili kişinin talebi doğrultusunda işlenmesini gerektiren herhangi bir sebep bulunmaması durumunda veri sorumlusu tarafından ilgili kişiye ait işlenen tüm kişisel verilerin silinmesi veya yok edilmesi ve tevsik edici belgelerin ilgili kişiye ve Kurula gönderilmesi hususunda veri sorumlusunun talimatlandırılmasına,
  • Kanunun 13 üncü maddesi kapsamında başvuruda bulunan ilgili kişilere cevap verilmesine ilişkin gerekli özeni göstermesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

05.05.2020: “İlgili kişinin kendisine iletilmesi gereken cevap yazısının veri sorumlusu tarafından resmi yazı şeklinde, çalıştığı birime gönderilmesi”
Karar Tarihi : 05/05/2020
Karar No : 2020/336
Konu Özeti : İlgili kişinin kendisine iletilmesi gereken cevap yazısının veri sorumlusu tarafından resmi yazı şeklinde, çalıştığı birime gönderilmesi

İlgili kişiden alınan şikâyet dilekçesinde özetle; daha önce personeli olduğu veri sorumlusu Üniversitenin Sanat Tarihi Bölümüne iletmiş olduğu dilekçesinin akıbeti hakkında 4982 sayılı Bilgi Edinme Hakkı Kanunu kapsamında veri sorumlusundan kendisine bilgi verilmesini talep ettiği, bu kapsamdaki talebine ilişkin cevabın, doğrudan ve sadece kendisine verilmesi gerekirken başvurusunun halihazırda görevli olduğu aynı Üniversitenin Meslek Yüksekokulu Müdürlüğüne, tüm taraflara açık biçimde yazılmış ve personele iletilen alelade resmi yazı şeklinde iletildiği, üçüncü kişilerin erişimine açılan kişisel bilgilerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında korunmasına yönelik olarak veri sorumlusundan gerekli tedbirleri almasını talep ettiği ancak yasal süre içinde gerekli tedbirlerin alınmadığı ve tarafına cevap verilmediği belirtilerek 6698 sayılı Kanun kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • İlgilinin başvurusunda yazı içeriğinde kendisine ait ad, soyad, unvan ve sicil numarasına yer verilerek kişisel bilgilerinin üçüncü kişilerin erişimine açıldığının belirtildiği ancak ilgilinin zaten Üniversiteye bağlı bir birimde görevli olduğundan bu bilgilerin çalıştığı birimde bulunması zorunlu olan bilgiler olduğu, dolayısıyla kişisel bilgilerinin üçüncü kişilerin erişimine açıldığı iddiasının gerçek durumla bağdaşmadığının düşünüldüğü,
  • İlgili kişinin gönderdiği dilekçenin geldiği sistem üzerinden bağlantı kurularak, dilekçesine herhangi bir kasıt olmaksızın cevapla butonu ile yanıt verildiği için doğrudan çalıştığı birime gitmesine neden olunduğu, 
  • Bu çerçevede kişilik haklarının korunması ilkesi doğrultusunda zedeleyici/yıpratıcı bir tutum sergilenmesinin söz konusu olmadığı

ifade edilmiştir.

Konuya ilişkin olarak yapılan incelemede, Kişisel Verileri Koruma Kurulunun 05/05/2020 tarihli ve 2020/336 sayılı Kararı ile,

  • Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin (Tebliğ) “Başvuru Usulü” başlıklı 5 inci maddesinde, ilgili kişinin Kanunun 11 inci maddesinde belirtilen hakları kapsamında taleplerini yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna ileteceği ve Tebliğin 6 ncı maddesinde de veri sorumlusunun bu tebliğ kapsamında yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlü olduğu, veri sorumlusunun başvuruyu kabul edeceği veya gerekçesini açıklayarak reddedeceği ve cevabımı ilgili kişiye yazılı olarak veya elektronik ortamda bildireceğinin hüküm altına alındığı, 
  • Nitekim veri sorumlusunun Kanunun 13 üncü maddesi kapsamında kendisine yapılan başvuruya cevap vermemesinin Tebliğin 6 ncı maddesinde yer alan başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırma yükümlülüğüne aykırı olduğu değerlendirildiğinden ilgili veri sorumlusu tarafından 6698 sayılı Kanun kapsamında kendilerine yapılan başvurulara Tebliğe uygun olarak cevap verilmesi hususunda azami dikkat ve özenin gösterilmediği,
  • Diğer taraftan, Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin birinci fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, ikinci fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı, 
  • Kişisel verilerin işlenmesi faaliyetinin Kanunun 3 üncü maddesinde kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı, bu çerçevede başvuruya konu olayda ilgili kişinin Bilgi Edinme Hakkı Kanunu kapsamında veri sorumlusuna başvurusuna verilen yanıtın, ilgili kişinin çalıştığı birime gönderilmesi suretiyle kişisel verilerinin açıklanmasında Kanunun 5 inci maddesi kapsamında herhangi bir hukuki dayanak söz konusu olmadığından veri sorumlusu tarafından Kanunun 12 inci maddesinin (1) numaralı fıkrası kapsamında  kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerin alınmadığı kanaatine varıldığı,
  • 6698 sayılı Kanunun 18 inci maddesinin birinci fıkrasının (b) bendinde Kanunun 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verileceği ile aynı maddenin üçüncü fıkrasında birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılacağı ve sonucunun Kurula bildirileceğinin hükme bağlandığı,

değerlendirmelerinden hareketle;

  • Veri sorumlusunun 6698 sayılı Kanunun 13 üncü maddesi kapsamında kendisine yapılan başvuruya cevap vermemesinin Tebliğin 6 ncı maddesinde yer alan başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırma yükümlülüğüne aykırı olduğu değerlendirildiğinden veri sorumlusunun 6698 sayılı Kanun kapsamında kendilerine yapılan başvurulara Tebliğe uygun olarak cevap verilmesi hususunda azami dikkat ve özenin gösterilmesi konusunda talimatlandırılmasına,
  • Veri sorumlusunun söz konusu uygulaması neticesinde yetkisi olmayan kişiler tarafından ilgili kişinin verilerine erişildiği dikkate alındığında veri sorumlusunca kişisel verilerin muhafazasına yönelik veri güvenliğine ilişkin gerekli yükümlülüklerin yerine getirilmediği kanaatine ulaşıldığından, veri sorumlusunun Kanunun 12 nci maddesinin birinci fıkrasına aykırılık teşkil eden uygulaması nedeniyle sorumlular hakkında Kanunun 18 inci maddesinin üçüncü fıkrası çerçevesinde işlem yapılmasına ve işlemin sonucu hakkında Kurula bilgi verilmesine

karar verilmiştir. 

05.05.2020: “İlgili kişinin araç kiralama hizmeti alması esnasında kişisel verilerinin işlenmesine dair açık rıza vermemesi üzerine kiralama hizmetinden yararlandırılmaması”
Karar Tarihi : 05/05/2020
Karar No : 2020/335
Konu Özeti : İlgili kişinin araç kiralama hizmeti alması esnasında kişisel verilerinin işlenmesine dair açık rıza vermemesi üzerine kiralama hizmetinden yararlandırılmaması hakkındaki şikayeti

İlgili kişiden alınan 25/05/2018 tarihli şikâyet dilekçesinde özetle; veri sorumlusu araç kiralama şirketinin hizmet noktasında, yetkilisi olduğu şirket adına kısa süreli araç kiralamak istediği, araç kiralama sözleşmesi ve ilgili belgelerin yetkili tarafından imzalanmasının talep edildiği, imzalanması talep edilen evrakları incelendiğinde önceki kiralamalardan farklı olarak kişisel verilerinin işlenmesine dair açık rıza verdiğine ilişkin evrakın da içinde bulunduğunu tespit ettiği, bunun üzerine kişisel verilerinin işlenmesine rıza göstermek istemediğini, bu nedenle de ilgili evrakı imzalamayacağını çalışana beyan etmesi üzerine araç kiralama işleminin gerçekleştirilmediği, konuyla ilgili olarak veri sorumlusuna yetkilisi olduğu şirket tarafından 23/03/2018 tarihinde başvuruda bulunduğu, veri sorumlusu tarafından 29/03/2018 tarihinde cevap verildiği ancak taleplerine yönelik hiçbir cevap veya çözüm önerisi yer almadığı gerekçesiyle 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir. 

Bununla birlikte,  veri sorumlusuna yapılan başvuruların ilgili kişinin yetkilisi olduğu Şirket veya Şirket çalışanları tarafından yapıldığı, veri sorumlusunun da Şirketi muhatap alarak cevap verdiği görüldüğünden Kanunun ilgili maddeleri hakkında bilgi verilerek Kanun kapsamında mağduriyet yaşamış olan Şirket yetkilisinin Kanunda belirtilen usul çerçevesinde öncelikle kendi adına veri sorumlusuna başvuruda bulunması sonrasında ise ilgili kişinin başvurusunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde ise; Kişisel Verileri Koruma Kuruluna (Kurul) şikâyette bulunulması durumunda konunun incelemeye alınabileceği hususunda bilgi verilmiştir.  

Bu minvalde ilgili kişi tarafından Kuruma iletilen 26/09/2018 tarihli şikayette, Kurumumuz yazısının ardından veri sorumlusuna ilgili kişi adına 03/08/2018 tarihinde başvuruda bulunulduğu ancak 30 günlük yasal süre içinde herhangi bir cevap verilmediği ifade edilerek daha önce Kuruma intikal eden 25/05/2018 tarihli şikayete konu aynı hususlara yer verilmiştir. 

Söz konusu iddialara ilişkin olarak veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • Şirketin araç kiralama sektöründe öncü konumda olmakla birlikte tekel niteliğinde olmadığı, müşterilerin serbest piyasa kapsamında dilediği başka araç kiralama şirketinden kiralama yapma olanağının bulunduğu,
  • İlgili kişinin veri sorumlusuna 23/03/2018 tarihinde yazılı başvuruda bulunduğu, tarafına derhal yazılı cevap verildiği, şikayete konu edilen 03/08/2018 tarihli yazının içeriği ile ilgili kişinin 23/03/2018 tarihinde gönderdiği ve veri sorumlusu tarafından cevaplanan yazının içeriğinin birebir aynı olduğu, bu nedenle ilgili kişinin tekraren aynı talepleri iletmesinin masraf açısından taraflarınca uygun olmadığının değerlendirilerek cevap verilmediği,  
  • Araç kiralama sektörünün giderek büyümesi ve kiralık araç sayılarındaki artış ile birlikte özellikle uyuşturucuya ilişkin suçlar, gasp, hırsızlık ve terörle ilintili suçlarda kiralık araçların kullanımının yaygınlaşması üzerine kanun koyucunun yasal düzenlemeye giderek kiralanan tüm araçların Kiralık Araç Bildirim Sistemine (KABİS) girişini zorunlu hale getirdiği, 
  • 6638 sayılı Kanun ile değişik 1774 sayılı Kimlik Bildirme Kanununun ilgili hükümlerinin 04/04/2015 tarihinde yürürlüğe girdiği,
  • 1174 sayılı Kimlik Bildirme Kanunu Ek Madde 3’te “Araç kiralama şirketlerinin sorumlu işleticileri ve yöneticileri, kiralanan araç bilgileri ile aracı kiralayanların kimlik bilgileri ve kira sözleşmesi kayıtlarını usulüne uygun şekilde günü gününe tutmak ve bu kapsamda mevcut bilgi, belge ve kayıtları genel kolluk kuvvetlerinin her an incelemelerine hazır bulundurmak zorundadırlar. Ancak araç kiralayanın kamu kurum veya kuruluşu olması hâlinde sadece kamu kurum veya kuruluşuyla yapılan sözleşme ile araç bilgileri sisteme kaydedilir. Araç kiralama esnasında gerçeğe aykırı kimlik kullananlar ile birinci fıkra kapsamında elde edilen bilgi ve kayıtları, hukuka aykırı olarak kullanan, bir başkasına veren, yayan veya ele geçiren kişi, 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanunu hükümlerine göre cezalandırılır. Birinci fıkrada belirtilen yükümlülüklere aykırı hareket edenlere beş bin Türk Lirası, gerçeğe aykırı kayıt tutan veya bilgi verenlere on bin Türk Lirası idari para cezası, mülki idare amirlerince verilir. Bu Kanuna göre verilen idari para cezaları tebliğinden itibaren 1 ay içinde ödenir. İşlenen bir suçun gizlenmesi amacıyla bilgilerin yok edilmesi hâlinde işletme ruhsatı iptal edilir. Bu fıkraya göre idari yaptırımların uygulanması ceza soruşturması ve kovuşturması yapılmasına engel değildir.” şeklinde düzenleme yapıldığı,
  • Bu düzenlemeye aykırı hareket eden, araç kiralamalarını sisteme girmeyen, istendiğinde bilgileri paylaşmayanlar hakkında cezai yaptırımlar öngörüldüğü, buna göre bu bilgilerin araç kiralama şirketi olarak alınmasının zorunlu olduğu, bu bilgilerin bilişim sisteminde arşivlenmesi maksadıyla yüklüce masraf ve gider yapıldığı, ayrıca bunlara veri paylaşım izni verilmediği takdirde fiilen araç kiralaması yapılmasının mümkün olmayacağı,
  • Şirketin müşteriler ile imzaladığı sözleşmelerden kaynaklanan ilişkilerden doğan kanuni zorunlulukları uyarınca bu evrakları saklama ve yargı makamlarınca celbi talep edildiğinde ibraz etme yükümlülüğünün bulunduğu, 
  • Şirketin bu şekilde kanuni zorunlulukları bulunması nedeniyle şirketin veri işleyen sıfatını haiz olduğu kiralama hizmetine ilişkin kişisel verileri temin etmesi ve saklaması gerektiği, 
  • Bu nedenle 6698 sayılı Kanununa aykırı olarak hareket etmemek saikiyle ilgili kişinin kiralama hizmetinden yararlandırılmadığı,
  • Taraflarının 6698 sayılı Kanuna uygun hareket ettiği ve bu hususta da ilgili kişinin 29/03/2018 tarihli dilekçesine istinaden bilgilendirildiği, açıklanan tüm bu sebeplerle araç kiralaması yapmak isteyip kanunen zorunlu kişisel verilerinin işlenmesine muvafakat etmeyen ilgili kişi bakımından bu tutumun fiili ve hukuki imkansızlıklar nedeniyle mesnedi bulunmadığı

ifade edilmiştir. 

Konuya ilişkin olarak yapılan incelemede, Kişisel Verileri Koruma Kurulunun 05/05/2020 tarihli ve 2020/335 sayılı Kararı ile,

  • Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in (Tebliğ) “Başvuru Usulü” başlıklı 5 inci maddesinde, ilgili kişinin Kanunun 11 inci maddesinde belirtilen hakları kapsamında taleplerini yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna ileteceği ve Tebliğin 6 ncı maddesinde de veri sorumlusunun bu Tebliğ kapsamında yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlü olduğu, veri sorumlusunun başvuruyu kabul edeceği veya gerekçesini açıklayarak reddedeceği ve cevabımı ilgili kişiye yazılı olarak veya elektronik ortamda bildireceğinin hüküm altına alındığı, 
  • Veri sorumlusunun tarafından Kuruma verilen cevap yazısında şikayete konu edilen 03/08/2018 tarihli yazının içeriği ile ilgili kişinin 23/03/2018 tarihinde gönderdiği dilekçe içeriğinin birebir aynı olduğu, veri sorumlusu tarafından ilk dilekçeye verilen cevabın karşı tarafa iletilmesi konusunda ilgili masrafların taraflarınca karşılandığı, ilgili kişinin tekraren aynı talepleri iletmesinin masraf açısından taraflarınca uygun olmadığı değerlendirildiğinden cevap verilmediğinin ifade edildiği ancak, Tebliğin “Ücret” başlıklı 7 nci maddesinde, ilgili kişinin başvurusuna yazılı olarak cevap verilecekse on sayfaya kadar ücret alınmayacağı, on sayfanın üzerindeki her sayfa için ise 1 Türk Lirası işlem ücreti alınabileceğinin belirtildiği, 
  • Bununla birlikte başvuruların içeriği benzer olsa da 23/03/2018 tarihli başvurunun ilgili kişinin yetkilisi olduğu tüzel kişilik adına, 03/08/2018 tarihli ikinci başvurunun ise ilgili kişinin kendisi adına yapılmış olduğu dikkate alındığında, içerik açısından aynı olsa dahi başvuran kişiler açısından farklı olması sebebiyle iki başvurunun aynı nitelikte olmadığı bu sebeple ayrı bir başvuru olarak veri sorumlusu tarafından cevaplanması gerekirken herhangi bir cevap verilmediğinden veri sorumlusunun Kanun kapsamında kendisine yapılan başvurulara Tebliğe uygun olarak hareket etmediği,
  • Diğer taraftan Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin birinci fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, ikinci fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanunun 5 inci maddesi çerçevesinde kişisel veri işleme şartları mevcut olsa dahi, kişisel verilerin işlenmesinde aynı zamanda, Kanunun 4 üncü maddesinde yer alan hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine de uygun hareket edilmesi gerektiği,
  • Şikayete konu somut olayla ilgili olarak 1174 sayılı Kimlik Bildirme Kanununun Ek 3 üncü maddesinin  “Araç kiralama şirketlerinin sorumlu işleticileri ve yöneticileri, kiralanan araç bilgileri ile aracı kiralayanların kimlik bilgileri ve kira sözleşmesi kayıtlarını usulüne uygun şekilde günü gününe tutmak ve bu kapsamda mevcut bilgi, belge ve kayıtları genel kolluk kuvvetlerinin her an incelemelerine hazır bulundurmak zorundadır” hükmünü haiz olduğu, bu anlamda aracı kiralayan kişinin kişisel verilerinin ve kiralanan aracın bilgilerinin veri sorumlusu tarafından Emniyet Genel Müdürlüğü tarafından hazırlanan Kiralık Araç Bildirim Sistemine (KABİS) kaydının zorunlu olduğu, dolayısıyla Kanunun 5 inci maddesinin ikinci fıkrasının  (a) bendinde yer alan “Kanunlarda açıkça öngörülmesi” hükmü ve verilen hizmetin ifası amacıyla aynı fıkranın (c) bendinde yer alan “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” hükmü gereğince kişisel verilerinin işlendiğinin anlaşıldığı, 
  • Ancak ilgili kişinin başvurusunun ekinde yer alan ve veri sorumlusu tarafından imzalatılmak istenen yazının;
     “… olarak Kişisel verilerin korunması mevzuatına uygun hareket edebilmemizi teminen size hizmet sağlayabilme ve hizmetlerimizi geliştirebilme doğrultusunda yürüttüğümüz operasyonlarımız kapsamında mevzuatın istisna kıldığı haller haricinde kişisel verilerinizin işlenmesi ve aktarılması hususunda açık rızanızı almamız gerekmektedir.
    … Kişisel verilerinizin yasa gereği sözleşmenin ifası için gerektiği ölçüde işlenmesi ve aktarılması halleri haricinde, işbu onayınız ile Şirketimize vereceğiniz kişisel verilerinizin yukarıda belirtilen bilgiler kapsamında işleneceğine, yurtiçi ve yurtdışındaki üçüncü kişilere aktarılacağına rıza göstermektesiniz. ” 
      
    şeklinde olduğu dikkate alındığında; Kanunun 5 inci maddesinin ikinci fıkrasının söz konusu olmadığı diğer hallerde açık rıza alınması yoluna gidilmesi yolunun seçildiği,  şikayete konu olayda da açık rıza verilmemesi halinde hizmetten yararlandırılmadığı dolayısıyla hizmetin açık rıza şartına dayandırıldığının anlaşıldığı, 
  • Kanunun 3 üncü maddesinde açık rızanın, “belirli bir konuya ilişkin”, “bilgilendirmeye dayanan” ve “özgür iradeyle açıklanan” rıza şeklinde tanımlandığı,  kişinin irade beyanı olan rızanın, kişinin yaptığı davranışın bilincinde ve kendi kararı olması halinde geçerlilik kazanacağından kişinin iradesini sakatlayacak her türlü fiilin, kişisel verilerin işlenmesi için verdiği açık rızayı da sakatlayacağı, bu anlamda açık rızanın özgür irade ile açıklanması gerektiğinden ilgili kişinin açık rızasının alınmasının bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmemesi gerektiği, kişisel verilerin veri sorumlusu tarafından Kanunun 5 inci maddesinin ikinci fıkrası kapsamında işlendiği haller haricinde kişisel verilerin işlenmesi ve yurtdışına aktarımın sağlanması amacıyla açık rıza almasının ayrıca açık rızanın hizmetin dolayısıyla sözleşmenin bir koşulu olarak dayatılmasının söz konusu olduğunun görüldüğü bununla birlikte diğer kişisel veri işleme şartlarının varlığı söz konusu iken açık rıza alınmasının, ilgili kişinin yanıltılması ve yanlış yönlendirilmesi dolayısıyla veri sorumlusunca hakkın kötüye kullanılması anlamına da geldiği

değerlendirmelerinden hareketle;

  • Veri sorumlusuna başvuruların içeriği benzer olsa da 23/03/2018 tarihli başvurunun tüzel kişilik adına, 03/08/2018 tarihli ikinci başvurunun ise ilgili kişi adına yapıldığı dolayısıyla iki başvurunun aynı nitelikte olmadığı değerlendirildiğinden ve ilgili kişi tarafından ayrıca e-posta üzerinden başvurularının da mevcut olduğu göz önüne alındığında veri sorumlusunun Kanun kapsamında kendisine yapılan başvurulara Tebliğe uygun olarak cevap vermesi yönünde talimatlandırılmasına,
  • Araç kiralama hizmeti alımı esnasında veri sorumlusu tarafından Kanunun 5 maddesinin ikinci fıkrasında yer alan işleme şartları dışındaki haller kapsamında hizmetten faydalanmak isteyen kişilerin kişisel verilerinin işlenmesi amacıyla toptan bir şekilde açık rıza alımı yoluna gidildiği, hizmetin ifası için gerekli olmamasına rağmen kişisel verilerin talep edildiği ve açık rıza verilmemesi durumunda da kişilere hizmet verilmediği dikkate alındığında; hukuka aykırı veri işleme faaliyetinin söz konusu olduğu bu durumun ayrıca Kanunun 4 üncü maddesinde yer alan hukuka ve dürüstlük kurallarına uygun olma ilkesine de aykırılık teşkil etmesi nedeniyle, veri sorumlusunun Kanunun 12 nci maddesinin birinci fıkrasının (a) bendinde öngörülen “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğünü yerine getirmediği kanaatine varıldığından, veri sorumlusu hakkında Kanunun 18 inci maddesinin birinci fıkrasının (b) bendi uyarınca 50.000 TL idari para cezası uygulanmasına

karar verilmiştir. 

22.04.2020: “Türkiye Ticaret Sicili Gazetesinde açık bir şekilde ilan edilmeyen kişisel verilerin, talepleri üzerine kamu kurum ve kuruluşlarıyla paylaşılması”
Karar Tarihi : 22/04/2020
Karar No : 2020/307
Konu Özeti : Türkiye Ticaret Sicili Gazetesinde açık bir şekilde ilan edilmeyen şirket ortakları ve yetkililerine ait şahsi kimlik numaraları, şahsi adresleri gibi kişisel verilerinin paylaşılması hk.

a) Bilindiği üzere, 6102 sayılı Türk Ticaret Kanununun (6102 sayılı Kanun) 24 üncü maddesinin ikinci fıkrasında yer alan “Ticaret sicili, Bakanlığın gözetim ve denetiminde ticaret sicili müdürlükleri ve şubeleri tarafından tutulur.” şeklindeki hüküm ile ticaret sicilinin ticaret sicil müdürlükleri tarafından tutulduğu belirtilmiştir. 1 Numaralı Cumhurbaşkanlığı Kararnamesinin “İç Ticaret Genel Müdürlüğü” başlıklı 446 ncı maddesinin birinci fıkrasının (ı) bendi ve Ticaret Sicili Yönetmeliğinin 13 üncü maddesi uyarınca da ticaret sicili işlemleri Merkezi Sicil Kayıt Sistemi (MERSİS) üzerinden gerçekleştirilmekte ve buna ilişkin sicil kayıtları MERSİS’te tutulmaktadır. 

6102 sayılı Kanunun 24 üncü maddesine ait gerekçe metninde, MERSİS’in ticaret sicili kayıtlarının güvenli ve birbirinin yedeği olacak şekilde olmasını sağlayacağı ve ticaret sicili kayıtlarının aleniyetine imkân tanıyacağı belirtilmiştir. Bu anlamda, MERSİS ile getirilen aleniyetle gerçek anlamda şeffaflık sağlanarak kayıtlardaki yolsuzlukların, aykırılıkların ve düzensizliklerin önüne geçilmesi hedeflenmiştir. 

b) Bilindiği üzere,  ticaret sicili alenidir; diğer bir deyişle herkes ticaret sicilinin içeriğini ve dairede saklanan bütün senet ve belgeleri inceleyebilmekte, bunların onaylı suretlerini alabilmekte, bir hususun sicilde kayıtlı olup olmadığına dair onaylı belgenin verilmesini isteyebilmektedir. Nitekim, 6102 sayılı Kanunun 35 inci maddesinde,

(1) Tescil işleminin dayanakları olan dilekçe, beyanname, senetler, belgeler ve ilanları içeren gazeteler, üzerlerine sicil defterinin tarih ve numaraları yazılarak sicil müdürlüğünce saklanır. 
(2) Herkes ticaret sicilinin içeriğini ve müdürlükte saklanan tüm senet ve belgeleri inceleyebileceği gibi giderini ödeyerek bunların onaylı suretlerini de alabilir. Bir hususun sicilde kayıtlı olup olmadığına dair onaylı belge de istenebilir. 
(3) Tescil edilen hususlar, Kanun veya Kanunun 26 ncı maddesine göre çıkarılacak yönetmelikte aksine bir hüküm bulunmadıkça ilan olunur. 
(4) İlan, Türkiye genelinde sicil kayıtlarının ilanına özgü Türkiye Ticaret Sicili Gazetesi ile yapılır.
” 
düzenlemesine yer verilmek suretiyle ticaret sicili kayıtlarının aleni bir şekilde tutulduğu ve herkes tarafından sicil kayıtlarının onaylı suretlerinin alınabileceği hükme bağlanmıştır. Yine, Ticaret Sicili Yönetmeliğinin 15 inci maddesinde; “(1) Herkes, sicilin içeriğini ve müdürlükte saklanan tüm senet ve belgeleri inceleyebilir. Bu inceleme elektronik ortamda ve/veya müdürlükte yapılabilir.(…)”  hükmüne yer verilmiştir. Mezkûr hükümle ticaret sicilinin herkes tarafından incelenebileceği ve kayıtların incelenme usulünün ne şekilde gerçekleştirilebileceğine ilişkin hususlar düzenlenmiştir. 

c) Bilindiği üzere, Kanunun 3 üncü maddesinin birinci fıkrasının (d) bendi uyarınca kişisel verikimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, (e) bendi uyarınca kişisel verilerin işlenmesi; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade etmektedir. Buna göre tacirlerin ya da şirket hissedarlarının isim, kimlik, adres ve benzeri bilgileri üzerinde Müdürlükler tarafından yapılan işlemlerin kişisel veri işleme faaliyeti olduğu açıktır.

Bu kapsamda, tescil ve ilanı öngörülen bilgiler, kişisel veri de içerdiği ve bu verilere herkes tarafından kolaylıkla ulaşılabildiği için bu verilerin kötü niyetli kullanımını engellemek amacıyla gerek 6102 sayılı Kanunda gerek Ticaret Sicili Yönetmeliğinde birtakım düzenlemeler öngörülmüştür. 6102 sayılı Kanunun 24 üncü maddesinin (5) numaralı fıkrasında, ticaret sicili kayıt işlemlerinin elektronik ortamda yapılması için toplanması ve işlenmesi gerekli olan kişisel verilerin, kişisel verilerin korunması ve bilgi güvenliğinin sağlanmasına ilişkin mevzuata uygun bir şekilde korunacağı hükme bağlanmış; Ticaret Sicili Yönetmeliğinin “Sicil kayıtlarına erişim hakkı” başlıklı 15 inci maddesinde de,

(1) Herkes, sicilin içeriğini ve müdürlükte saklanan tüm senet ve belgeleri inceleyebilir. Bu inceleme elektronik ortamda ve/veya müdürlükte yapılabilir. (2) Defterler ve belgeler, sicil dairesinin bulunduğu kısımdan dışarıya çıkarılamaz. Bunların incelenmesinde müdür, kişisel verilerin korunmasına ilişkin hükümler çerçevesinde gerekli tedbirleri almak zorundadır. İnceleme esnasında müdürün vereceği talimatlara uyulması zorunludur. Aksi takdirde müdür defter ve belgeleri derhal kaldırabilir.  (3) Elektronik ortamda yapılacak olan incelemelerde de kişisel verilerin korunmasını ve bilgi güvenliğini sağlayacak tedbirler alınır.

düzenlemesine yer verilmiştir. Yine anılan Yönetmeliğin “İlan” başlıklı 41 inci maddesinde bu Yönetmelik uyarınca tescil edilen gerçek kişilerin kimlik numaralarının ilan edilmeyeceği hususu düzenlenmiştir. Nitekim Türkiye Ticaret Sicili Gazetesinde yapılan ilanlarda T.C. kimlik numaraları maskelenmek suretiyle yayımlanmakta, gerçek kişilerin yerleşim yeri adresleri olarak yalnızca il ve ilçe bilgisi ilan edilmektedir. 

Bu kapsamda önemle belirtmek gerekir ki, her ne kadar aleniyet gereği herkes ticaret sicilinin içeriğini ve müdürlükte saklanan tüm senet ve belgeleri inceleyebilecek olsa da, bu durumun anılan bilgilerin kişisel verilerin korunmasına ilişkin mevzuattan muaf olması anlamına gelmeyeceği; aynı şekilde, aleniyet kapsamında işlenen kişisel verilerin aleniyetin amacıyla örtüşmesi gerektiği ve aleniyet amacı dışında kalan durumlarda bu verilerin işlenmesinin hukuka aykırı olacağı değerlendirilmektedir.

d) Diğer taraftan, Müdürlükler nezdinde tutulan kişisel verilerin çeşitli kamu kurum ve kuruluşlarıyla paylaşılması bir “aktarım” faaliyeti olup, Kanunda yer alan kişisel verilerin işlenmesi tanımında da düzenlendiği üzere, kişisel verilerin aktarımı da bir kişisel veri işleme faaliyetidir. Bu çerçevede, kişisel verilerin yurt içinde aktarımını düzenleyen Kanunun “Kişisel verilerin aktarılması” başlıklı 8 inci maddesinde; kişisel verilerin, ilgili kişinin açık rızası olmaksızın aktarılamayacağı; ancak Kanunun 5 inci maddesinin ikinci fıkrasında ve özel nitelikli kişisel veriler bakımından yeterli önlemler alınmak kaydıyla 6 ncı maddesinin üçüncü fıkrasında belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabileceği, ayrıca kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümlerin saklı tutulduğu hüküm altına alınmıştır. Bu anlamda, ticaret sicili müdürlükleri nezdinde tutulan kişisel verilerin başka kamu kurum ve kuruluşlarıyla paylaşılmasında bir başka ifadeyle diğer kamu kurum ve kuruluşlarına aktarılmasında da 6698 sayılı Kanunun 8 inci maddesine uygun hareket edilmesi gerektiği açıktır.      

Kişisel verilerin işlenme şartlarının düzenlendiği Kanunun 5 inci maddesinin birinci fıkrasında ise,  kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği; ikinci fıkrasında belirtilen şartlardan birinin varlığı halinde ise, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükme bağlanmıştır. Anılan işleme şartlarından “Kanunlarda açıkça öngörülmesi”, veri sorumlusunun herhangi bir kanundaki düzenlemeye dayanarak kişisel veri işleyebilmesini ifade etmektedir. Örneğin, 6102 sayılı Kanunun 35 inci maddesine göre sicilin içeriğinin ve müdürlükte saklanan tüm senet ve belgelerin herkes tarafından incelenebileceği hüküm altına alınarak sicilin aleniyetine yönelik düzenlemeler yer almaktadır. Yine, 5490 sayılı Nüfus Hizmetleri Kanununun (5490 sayılı Kanun) “Gizlilik” başlıklı 9 uncu maddesi;

(1) Nüfus kayıtları ve bu kayıtların tutulmasına dayanak olan belgeler gizlidir. Bunlar, yetkili ve sorumlu memurlar ile teftiş ve denetim yetkisi olanlar dışında kimse tarafından görülüp incelenemez. Mahkemeler bu hükmün dışındadır. (2) Nüfus kayıtlarına bu bilgileri işleyen memurlar ve Kimlik Paylaşımı Sistemi kapsamında nüfus kayıtlarından faydalanan diğer görevliler de bu gizliliğe uymak zorundadırlar. Bu yükümlülük, kamu görevlilerinin görevlerinden ayrılmalarından sonra da devam eder.” 

hükmünü amirdir. Benzer şekilde, 5490 sayılı Kanunun “Nüfus kayıt örneğini almaya yetkili olanlar” başlıklı 44 üncü maddesi; 

(1) Nüfus kayıt örneklerini; a) Bakanlık, (…) (ç) Adlî makamlar, (…) nüfus müdürlüklerinden doğrudan almaya yetkilidirler. 
(2) Birinci fıkrada sayılanlar dışında kalan kurumlar ve tüzel kişiler, yazılı olarak başvurmak ve istem nedenini açıkça belirtmek suretiyle Bakanlık veya mülkî idare amirinin emri ile nüfus kayıt örneğini alabilirler. Bakanlık bu madde hükümlerini işletmek üzere Kimlik Paylaşımı Sistemi kurar. 
(…)

hükmünü amirdir. Belirtmek gerekir ki, anılan Kanunun 7039 sayılı Kanunla değişiklik yapılan 45 inci maddesinde de, yerleşim yeri ve diğer adres bilgilerini de içeren Kimlik Paylaşım Sisteminin kullanılmasına ilişkin usul ve esaslar hükme bağlanmıştır.  Görüleceği üzere, kimlik bilgilerinin ve yerleşim yeri bilgilerinin paylaşımına ilişkin usul ve esasları belirleyen kanun olan 5490 sayılı Nüfus Hizmetleri Kanunu, bu verilerin paylaşımı noktasında özel düzenleme niteliğini haizdir.

Bu kapsamda, Nüfus Hizmetleri Kanununa göre kimlik bilgilerini paylaşmaya yetkili merci nüfus müdürlükleri olup, bu verilerin ticaret sicil müdürlüklerinden istenmesi hususunun Nüfus Hizmetleri Kanununa aykırı olduğu, bir başka ifadeyle, talep edilecek kişisel verilerin özel düzenleme niteliğini haiz ilgili mevzuat hükümlerinde belirtilen yetkili kamu kurumlarından temin edilmesi gerektiği değerlendirilmektedir.

e) Öte yandan, Kanunun “Genel ilkeler” başlıklı 4 üncü maddesinde, kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği ve kişisel verilerin işlenmesinde maddede sayılan ilkelere uyulmasının zorunlu olduğu düzenleme altına alınmıştır. Anılan madde hükmünden açıkça anlaşılacağı üzere, kişisel verilerin işlenmesinde her hal ve şartta Kanunun 4 üncü maddesinde sayılan genel ilkelere uyulması hukuki bir gerekliliktir. Bu ilkelerden “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması” ilkesine göre, işlenen veriler belirlenen amaçların gerçekleştirilmesine elverişli olmalı, amacın gerçekleştirilmesiyle ilgili olmayan veya sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik veri işleme yoluna gidilmemelidir. Burada önemli olan, amacı gerçekleştirmeye yönelik yeterli verinin temin edilmesi, bunun dışındaki amaç için gerekli olmayan veri işlemeden kaçınılmasıdır. 

Sonuç olarak, yukarıda yer verilen açıklamalar çerçevesinde;

  • Müdürlük tarafından tutulan ticaret sicilinin kişisel verileri içerdiği ve sicilde yer alan kişisel veriler bakımından Müdürlüğün kişisel veri işleme faaliyetini gerçekleştirdiği; 
  • Ticaret sicilinin aleni olmasının sicilde yer alan kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu hükümlerinden muaf olacağı anlamını taşımadığı,
  • Bu kapsamda Müdürlük tarafından kamu kurum ve kuruluşlarına gerçekleştirilecek aktarımların Kanunun 8 inci maddesinde yer alan düzenlemeye uygun biçimde yapılması ve sicilde aleni olarak işlenen verilerin işlenmesi noktasında aleniyet amacına bağlı kalınması gerektiği; 
  • Aktarımı talep edilen kişisel verilerin, bu verileri işleme faaliyetinin özel olarak düzenlendiği ilgili mevzuatlarca yetkili kılınmış kuruluşlardan talep edilmesi,
  • Her türlü kişisel veri işleme faaliyetinde özellikle Kanunun 4 üncü maddesinde yer alan “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi ve veri güvenliğine ilişkin gerekli her türlü teknik ve idari tedbirlerin alınması yükümlülüğünün birlikte gözetilmesi gerektiği

değerlendirilmektedir.

02.04.2020: “Veri sorumlusu eğitim kurumu tarafından şikayetçinin çocuklarının özel nitelikli kişisel verilerinin hukuka aykırı olarak işlenmesi hakkında”
Karar Tarihi : 02/04/2020
Karar No : 2020/255
Konu Özeti : Veri sorumlusu eğitim kurumu tarafından ilgili kişilerin özel nitelikli kişisel verilerinin hukuka aykırı olarak işlenmesi

Kuruma intikal eden şikâyette;  şikayetçinin velisi bulunduğu çocuklarının veri sorumlusuna ait okulda eğitim gördüğü, gerek bu öğrencilere gerekse de diğer öğrencilerin okulda eğitim gördükleri sırada velilerinden herhangi bir şekilde izin alınmadan, aydınlatma yükümlülüğü yerine getirilmeden veya açık rızaları alınmadan CAS (Cognitive Assessment System) Uygulama ve Değerlendirme testinin yapıldığı, CAS testinin klinik ve nörolojik değerlendirme yeteneği ile geniş yelpazede gelişimsel değerlendirme yapabilen güncel bir ölçek olduğu, çocukların bu test için Kişisel Verilerin Korunması Kanununun (Kanun) 6 ncı maddesi ile belirlenmiş özel nitelikli kişisel verilerinin kullanıldığı ve işlendiği, aynı madde hükmünce ilgili kişilerin veya velisinin açık rızası bulunmadan bu verilerin işlenmesinin kesinlikle yasaklandığı, veri sorumlusunun uzun süredir şikayetçinin velayeti altında bulunan çocuklara eğitim vermekte iken hiçbir kayıt işleminde kişisel verilerin işlenmesinden bahsetmediği, Kanunun 10 uncu maddesi hükümlerince aydınlatma yükümlülüğünün yerine getirilmediği, veri sorumlusuna başvuruda bulunulduğu ancak yeterli bir cevap alınamadığı bu çerçevede Kurula şikâyette bulunulduğu belirtilerek, veri sorumlusunun Kanunun 18 inci maddesi uyarınca aydınlatma yükümlülüğü ve veri güvenliğine ilişkin yükümlülüklerini ihlal fiillerinden dolayı cezalandırılması, işlenen verilerin Kanunun 7 nci maddesi doğrultusunda silinmesi, yok edilmesi veya anonim hale getirilmesi ve yapılan yargılama masrafları vs. tüm giderlerin karşı tarafa yükletilmesine karar verilmesi talep edilmiştir.

Konuya ilişkin başlatılan inceleme neticesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • Öncelikle şikayetçinin iddialarının aksine sadece bir çocuğuna bahse konu testin uygulandığı,
  • Şikayete konu edilen testin hukuki dayanağının; eğitim kurumlarında sunulacak rehberlik hizmetlerinin amaç, ilke, faaliyet ve çalışma yöntemlerini düzenleyen “Milli Eğitim Bakanlığı Rehberlik Hizmetleri Yönetmeliği” (10 Kasım 2017 tarihli ve 30326 sayılı R. G.) olduğu, söz konusu Yönetmeliğin 6 ncı maddesi uyarınca rehberlik hizmetlerinin eğitsel rehberlik, mesleki rehberlik ve kişisel/sosyal rehberlik olarak üç temel alana ayrıldığı,
    • Bu kapsamda eğitsel rehberliğin “bireyin yetenek, ilgi, ihtiyaç, değer, kişilik özellikleri, imkân ve koşullarıyla uyumlu eğitsel kararlar alması; eğitime ilişkin olumlu tutum geliştirmesi ve hayat boyu öğrenme sürecinde bireyin gelişimine destek olunması amacıyla bireye ve ailesine sunulan hizmet” (Madde 6 (1) (a)); kişisel/sosyal rehberliğin ise “bireyin bilişsel, sosyal, duygusal, ahlaki ve davranışsal gelişimini desteklemek amacıyla kendini tanıması; karar verme ve problem çözme gibi sosyal beceriler ile yaşam becerilerini geliştirmesi ve sorumluluk sahibi bir birey olarak hayatına devam edebilmesi için bireye ve ailesine sunulan hizmet” (Madde 6 (1) (c)) olarak tanımlandığı,  
    • Aynı Yönetmeliğin 8 inci maddesinin (1) numaralı fıkrasının (b) bendinde “İlkokul kademesinde rehberlik hizmetleri; öğrencinin okula uyum sağlamasına, eğitim ortamlarına ve öğrenmeye yönelik olumlu tutum geliştirmesine; öğrenmeyi öğrenme ve öğrendiklerini aktarmaya yönelik bilişsel becerileri kazanmasına; etkili öğrenmeye yönelik stratejiler geliştirme, duyguları tanıma, kendini ifade etme gibi sosyal beceriler ile zorlu yaşam olaylarıyla baş etme becerileri kazanmasına; kişilik gelişimini ve mesleki gelişimlerini desteklemeye yönelik olarak eğitsel, mesleki ve kişisel/sosyal rehberlik hizmetleri kapsamında yürütülür.” hükmünün yer aldığı,
    • Bu çerçevede eğitim kurumlarında sunulan rehberlik hizmetinin amacının ölçme değerlendirme araçları ve diğer yöntemleri kullanarak öğrencilerin durumlarının tespit edilip desteklenmesi gereken alanlarda çalışma yürütmek olduğu,
    • Rehberlik hizmetlerinin yerine getirilebilmesi ve amaçlarının sağlanabilmesi için “bireyin tanınması” nın zorunlu olduğu ve öğretmenlerin görevleri arasında olduğu, Yönetmeliğin 9 uncu maddesinin (1) numaralı fıkrasına göre bireyi tanımanın, “bireyin kendi ilgi, yetenek, değer, tutum ve kişilik özelliklerini keşfetmesini ve gerçekçi kararlar almasını sağlamak amacıyla rehberlik öğretmeni, sınıf rehber öğretmeni ve diğer öğretmenler tarafından yürütülen bilgi toplama süreci” olarak tanımlandığı ve aynı maddenin aynı fıkrasının (c) bendine göre bireyin tanınması sürecinde farklı ölçme araçlarının, yöntemlerinin ve tekniklerinin kullanılmasının mümkün olduğu,
    • Yönetmelik ile “rehberlik ve araştırma merkezleri ile rehberlik servislerinin bireyi tanıma, tanılama, tarama ve inceleme çalışmalarında kullanabilecekleri çeşitli test, anket ve envanterler”in psikolojik ölçme araçları olarak tanımlandığı ve Yönetmeliğin 10 uncu maddesinde rehberlik hizmetlerinde bireyi tanıma çalışmalarında kullanılacak psikolojik ölçme araçlarının sağlanmasına ilişkin amaç ve uygulama ilkelerinin belirlendiği,
  • Bu çerçevede testin amacının rehberlik faaliyeti kapsamında öğrenciye eğitsel, kişisel, sosyal rehberlik hizmeti ile sınırlı olduğu, yürütülen faaliyetin hukuka uygun, belirli, açık ve meşru olduğu, testin uygulanmasına ilişkin velilerin bilgisi ve onayının bulunduğu,
  • Öğrencinin velisi ile veri sorumlusunun rehberlik servisi arasında yapılan rehberlik görüşmesinde; öğrencinin öfkeli ve kaygılı olduğu, konuşurken heyecanlandığı, ikinci defa tekrarlamak istemediği, arkadaşları tarafından alay edilebildiği, içe dönük yapısı olduğu gibi konularda dikkatli olunması gerektiği hususunda veli tarafından bilgilendirme yapıldığı, bunun üzerine rehberlik hizmetine başlandığı, akabinde veri sorumlusunun rehberlik servisi ile öğrencinin velileri (anne ve baba) arasında çeşitli tarihlerde rehberlik görüşmelerinin devam ettiği ve bu görüşmelere ilişkin velilerin imzasını da içeren Bireysel Görüşme Formlarının düzenlendiği,
  • CAS testinin öğrencinin velisinin bilgisi ve onayı ile başlanan rehberlik faaliyeti çerçevesinde öğrencinin durumunu tespit etmek, öğrenciyi tanımak, öğrencinin yetenek ve ilgi alanlarını belirleyerek öğrencinin bilişsel ve akademik gelişmesini sağlayabilmek amacıyla uygulandığı ve şikayetçinin başvurusuna verilen cevapta da bunun belirtildiği,
  • Testin sonucuna ilişkin değerlendirmelerin öğrencinin velisi ile paylaşıldığı, veli ile yapılan e-posta yazışmalarında veli tarafından kendisine iletilen söz konusu test değerlendirmelerinin öğrenciyi takip eden psikiyatrist ile de paylaşıldığının belirtilmesinin ve rehberlik birimine öğrencinin tedavisi ile ilgili bilgi verilmesinin, velinin CAS testinin uygulandığından haberdar olduğunu gösterdiği, 
  • Uygulanan testin milli eğitim mevzuatı çerçevesinde, rehberlik faaliyetlerinde uygulanmasına cevaz verilen psikolojik bir ölçme aracı olduğu ve öğrenciye ilişkin kişisel verilerin işlenmediği ve üçüncü şahıslarla paylaşılmadığı, söz konusu test kitapçığının Kuruma iletildiği,
  • Testin Milli Eğitim Bakanlığının Rehberlik Hizmetleri mevzuatı çerçevesinde, rehberlik hizmetleri amaçları doğrultusunda uygulandığı ve veri sorumlusu eğitim kurumunun mevzuat ile tanımlanmış görev ve yetkilerini aşmadığı, testin uygulanmasında Kanuna aykırı davranılmadığı 

belirtilmiştir.

19.03.2020: “İlgili kişinin, bir Valilikte görev yapmakta iken, Valilik çalışanı tarafından hukuka aykırı olarak elde edildiği iddia edilen kişisel verilerinin Valiliğe dijital ortamda sunulması”
Karar Tarihi : 19/03/2020
Karar No : 2020/226
Konu Özeti : İlgili kişinin, bir Valilikte görev yapmakta iken, Valilik çalışanı tarafından hukuka aykırı olarak elde edildiği iddia edilen kişisel verilerinin Valiliğe dijital ortamda sunulması

Kuruma intikal eden şikâyet başvurusunda, ilgili kişinin, veri sorumlusu bir Valilikte görev yapmakta iken, veri sorumlusunun bir çalışanı tarafından hukuka aykırı olarak elde edildiği iddia edilen kişisel verilerinin veri sorumlusuna dijital ortamda sunulduğu, söz konusu verilere dayanılarak ilgili kişi hakkında 657 sayılı Devlet Memurları Kanunu gereğince disiplin soruşturması başlatıldığı ve disiplin cezası aldığı, başka bir ilde alt kadroya atandığı, 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında İçişleri Bakanlığına müracaat ederek Kanuna aykırı olarak gerçekleştirilen disiplin soruşturması sonucunda tarafına verilen disiplin cezalarının ve atama işleminin iptali ve hukuka aykırı olarak elde edilen ve üçüncü şahıslara aktarılan kişisel verilerinin yok edilmesi talebinde bulunduğu, İçişleri Bakanlığının bu talebi veri sorumlusuna gönderdiği, veri sorumlusu tarafından disiplin cezalarının kaldırılması ve atama işleminin iptali ile ilgili talebe karşılık yetersiz bir cevap verildiği iddia edilerek gereğinin yapılması talep edilmiştir.

Konuya ilişkin olarak yapılan değerlendirme neticesinde Kişisel Verileri Koruma Kurulunun 19/03/2020 tarih ve 2020/226 sayılı Kararı ile,

  • Kanunun 15 inci maddesinin (1) numaralı fıkrasında Kişisel Verileri Koruma Kurulunun şikayet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapacağı; aynı maddenin (2) numaralı fıkrasında ise 1/11/1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesinde belirtilen
    a) Belli bir konuyu ihtiva etmeyen,                            
    b) Yargı mercilerinin görevine giren konularla ilgili olan,                
    c) 4 üncü maddede gösterilen şartlardan (dilekçe sahibinin adı soyadı ve imzası ile iş veya ikametgâh adresi) herhangi birini taşımayan 
    ihbar veya şikâyetlerin incelemeye alınmayacağının hükme bağlandığı,
  • Öte yandan, Kanunun 17 nci maddesinin (1) numaralı fıkrasında, kişisel verilere ilişkin suçlar bakımından 26.09.2004 tarih ve 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümlerinin uygulanacağı belirtilmekte olup, Türk Ceza Kanununun 135 inci maddesinde hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verileceği, 136 ncı maddesinde ise kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişinin, iki yıldan dört yıla kadar hapis cezası ile cezalandırılacağının hükme bağlandığı, 
  • Diğer taraftan, Kanunun istisnalar başlıklı 28 inci maddesinin (2) numaralı fıkrasında, bu Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16 ncı maddelerinin aynı fıkranın (c) bendinde yer alan kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması durumunda uygulanmayacağının belirtildiği

değerlendirmelerinden hareketle;

  • Kişisel verileri hukuka aykırı olarak elde eden Valilik çalışanı açısından şikâyete konu iddiaların esasen Türk Ceza Kanunu hükümleri uyarınca değerlendirilmesi gerektiğinden 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesi de dikkate alınarak söz konusu başvurunun Kanun kapsamında değerlendirilemeyeceğine,
  • Veri sorumlusunun işlediği kişisel verilerin disiplin soruşturma veya kovuşturması kapsamında Kanunun 28 inci maddesinin (2) numaralı fıkrasının (c) bendi kapsamında işlendiğinden bu aşamada Kanun çerçevesinde yapılacak bir işlem bulunmadığına,
  • Öte yandan işlenen veriler ve yürütülen soruşturma sonucunda ilgili kişi hakkında uygulanan yaptırımların ise 657 sayılı Kanun gereğince özlük dosyalarında saklanması gerektiği, Kamu Personeli Genel Tebliğine (Seri No: 2) göre görevi herhangi bir şekilde sona eren memurların özlük dosyalarının kurumlarınca saklanacağı ve Devlet Arşiv Hizmetleri Hakkında Yönetmeliğe göre son işlem tarihi üzerinden yüz bir yıl geçmemiş memuriyet sicil dosyaları içerisinde yer aldığı dikkate alınarak, ilgili kişinin veri sorumlusu nezdindeki bahse konu verilerinin silinmesi talebinin de 6698 sayılı Kanunun 7 inci maddesinde belirtildiği üzere kişisel verilerin işlenmesini gerektiren sebeplerin henüz ortadan kalkmaması dolayısıyla veri sorumlusu tarafından karşılanmasının mümkün olmadığına

karar verilmiştir.

12.03.2020: “Ses kayıt özelliği bulunan güvenlik kamerası kullanılması”
Karar Tarihi : 12/03/2020
Karar No : 2020/212
Konu Özeti : Bir kamu kurumu olan veri sorumlusu tarafından ses kayıt özelliği bulunan güvenlik kamerası kullanılması hk.

6698 sayılı Kişisel Verilerin Korunması Kanununun 3 üncü maddesinin birinci fıkrasının (d) bendi uyarınca “kişisel veri”; “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi” ifade etmektedir. Aynı maddenin birinci fıkrasının (e) bendi uyarınca “kişisel verilerin işlenmesi” ise; “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi”, (ç) bendi uyarınca “ilgili kişi”; “kişisel verisi işlenen gerçek kişiyi”, (ı) bendi uyarınca “veri sorumlusu”; “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişiyi” ifade etmektedir. Görüldüğü üzere; Kanun kişisel veri işleme faaliyetini tanımlarken örnek olması adına birtakım işlemden bahsetmiş fakat işleme faaliyetini bunlarla sınırlı tutmamıştır. Bu anlamda, kişisel veriler üzerinde gerçekleştirilecek her türlü eylem, kişisel veri işleme faaliyeti olarak kabul edilecek ve Kanun kapsamında değerlendirilecektir. 

Kanunun 5 inci maddesinde ise kişisel verilerin işlenme şartlarına yer verilmiş olup; bu maddenin birinci fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, ikinci fıkrasında belirtilen şartlardan (-Kanunlarda açıkça öngörülmesi, -Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, -Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, -Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, -İlgili kişinin kendisi tarafından alenileştirilmiş olması, -Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, -İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması) birinin varlığı halinde ise, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükme bağlanmıştır.

Kanunun “Genel ilkeler” başlıklı 4 üncü maddesinde, kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği ve kişisel verilerin işlenmesinde maddede; “-Hukuka ve dürüstlük kurallarına uygun olma. -Doğru ve gerektiğinde güncel olma. -Belirli, açık ve meşru amaçlar için işlenme. -İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. -İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.” şeklinde sayılan ilkelere uyulmasının zorunlu olduğu düzenleme altına alınmıştır. Anılan madde hükmünden açıkça anlaşılacağı üzere, kişisel verilerin işlenmesinde her hal ve şartta Kanunun 4 üncü maddesinde sayılan genel ilkelere uyulması hukuki bir gerekliliktir. Bu ilkelerden kişisel verilerin “belirli, açık ve meşru amaçlar için işlenme” ilkesi, kişisel veri işleme faaliyetlerinin ilgili kişi tarafından açık bir şekilde anlaşılır olmasını, kişisel veri işleme faaliyetinin hangi hukuki işleme şartına dayalı olarak gerçekleştirildiğinin tespit edilmesini, kişisel veri işleme faaliyetinin ve gerçekleştirilme amacının belirliliğini sağlayacak detayda ortaya konulmasını sağlar. Amacın meşru olması, veri sorumlusunun işlediği verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelmektedir. Bir diğer önemli ilke olan “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması” ilkesine göre, işlenen veriler belirlenen amaçların gerçekleştirilmesine elverişli olmalı, amacın gerçekleştirilmesiyle ilgili olmayan veya sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik veri işleme yoluna gidilmemelidir. Burada önemli olan, amacı gerçekleştirmeye yönelik yeterli verinin temin edilmesi, bunun dışındaki amaç için gerekli olmayan verilerin işlenmesinden kaçınılmasıdır. Ölçülülük ilkesi ise, veri işleme ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması yani veri işlemenin, amacı gerçekleştirecek ölçüde olması demektir.

Bu kapsamda kişisel verilerin korunması hakkı, Anayasanın “Özel hayatın gizliliği” başlıklı 20 nci maddesinin üçüncü fıkrasında; “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” şeklinde hüküm altına alınmıştır. Bu düzenleme ile kişisel verilerin korunması hakkına anayasal bir nitelik kazandırılmış olup; bir temel hak ve özgürlük olan bu hakkın sınırlandırılması da ancak Anayasanın 13 üncü maddesine uygun bir şekilde gerçekleştirilecektir. Nitekim, Anayasanın 13 üncü maddesi; “Temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca Anayasanın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir. Bu sınırlamalar, Anayasanın sözüne ve ruhuna, demokratik toplum düzeninin ve lâik Cumhuriyetin gereklerine ve ölçülülük ilkesine aykırı olamaz.” hükmünü amirdir. Görüldüğü üzere; bir temel hak ve özgürlüğün sınırlandırılmasının söz konusu olduğu hallerde; hakkın özüne dokunulmaması ve sınırlamanın Anayasanın sözüne, ruhuna, demokratik toplum düzenine, laik Cumhuriyetin gerekleri ile ölçülülük ilkesine aykırı olmaması gerekmektedir. 

Bu hususa ilişkin olarak Anayasa Mahkemesinin 28/09/2017 tarihli ve 2016/125 E. 2017/143 K. sayılı kararında da; “…

24. Anayasa’nın 20. maddesinin üçüncü fıkrasında ise “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” hükmü yer almaktadır.

25. 108 sayılı Sözleşme’nin 9. maddesinde de devlet güvenliği, kamu güvenliği, devletin ekonomik menfaatlerinin korunması ve suçlarla mücadele edilmesi, ilgilinin veya üçüncü kişilerin hak ve özgürlüklerinin korunması ile verilerin istatistiki veya bilimsel amaçlarla kullanılması durumlarında kişisel verilerin korunmasına sınırlamalar getirilebileceği belirtilmektedir.

26. Ancak bu sınırlama yapılırken temel hak ve özgürlüklerin sınırlandırılması rejimini belirleyen Anayasa’nın 13. maddesine de uyulması gerekmektedir. Anayasa’nın 13. maddesinde “Temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca Anayasanın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir. Bu sınırlamalar, Anayasanın sözüne ve ruhuna, demokratik toplum düzeninin ve lâik Cumhuriyetin gereklerine ve ölçülülük ilkesine aykırı olamaz.” denilmektedir. Anayasa’nın 13. maddesi uyarınca özel hayatın gizliliği ve kişisel verilerin korunması hakları, yalnızca kanunla ve demokratik bir toplumda gerekli olduğu ölçüde sınırlanabilir. Ayrıca getirilen bu sınırlamalar hakkın özüne dokunamayacağı gibi Anayasa’nın sözüne ve ruhuna, demokratik toplum düzeninin gereklerine ve ölçülülük ilkesine aykırı olamaz.

27. Temel hak ve özgürlükler özlerine dokunulmaksızın yalnızca Anayasa’da öngörülen sebeplerle ve ancak kanunla sınırlanabilir. Dokunulamayacak “öz”, her temel hak ve özgürlük açısından farklılık göstermekle birlikte kanunla getirilen sınırlamanın hakkın özüne dokunmadığının kabulü için temel hakların kullanılmasını ciddi surette güçleştirip amacına ulaşmasına engel olmaması ve etkisini ortadan kaldırıcı bir nitelik taşımaması gerekir. 

 28. Temel hak ve özgürlüklerin özlerine dokunulmaksızın yapılan sınırlamaların ise demokratik toplum düzeninin gerekleri ile ölçülülük ilkesine aykırı olamayacağı belirtilmiştir. Öze dokunma yasağını ihlal etmeyen müdahaleler yönünden gözetilmesi öngörülen “demokratik toplum düzeninin gerekleri” kavramı, öncelikle ilgili hak yönünden getirilen sınırlamaların zorunlu ve istisnai tedbir niteliğinde olmalarını gerektirmektedir. “Demokratik toplum düzeninin gerekleri”nden olma, bir sınırlamanın demokratik bir toplumda zorlayıcı bir toplumsal ihtiyacın karşılanması amacına yönelik olmasını ifade etmektedir.

29. Anayasa’nın 13. maddesinde ifade edilen “ölçülülük ilkesi”, temel hak ve özgürlüklerin sınırlandırılmasına ilişkin başvurularda dikkate alınması gereken bir diğer ilkedir. Demokratik toplum düzeninin gerekleri ve ölçülülük ilkeleri, iki ayrı kriter olarak düzenlenmiş olmakla birlikte bu iki kriter arasında sıkı bir ilişki vardır. Temel hak ve özgürlüklere yönelik herhangi bir sınırlamanın başvurulabilecek en son çare ya da alınabilecek en son önlem olarak temel haklara en az müdahaleye olanak veren ölçülü bir sınırlama niteliğinde olup olmadığının incelenmesi gerekir.

30. Demokratik toplum kişilerin temel hak ve özgürlüklerinin en geniş şekilde güvence altına alındığı bir düzeni gerektirir. Demokrasilerde devlete düşen görev temel hak ve özgürlükleri korumak ve geliştirmek, bunların etkili şekilde kullanılmasını sağlayacak tedbirleri almaktır. Bu kapsamda devlet, özellikle temel hak ve özgürlükleri ortadan kaldıracak veya bunlara ölçüsüz müdahale teşkil edecek tutumlardan kaçınmalı ve başkalarından gelebilecek tehditlere karşı bireyleri korumalıdır.

31. Özel hayatın gizliliği ve kişisel verilerin korunması hakkı, temel hak ve özgürlükler arasında önemli bir yer alır. Özel hayatın gizliliğinin korunması, bu hayatın başkalarının gözleri önüne serilmemesi demektir. Kişinin özel hayatının, yalnız kendisi veya kendisinin bilmesini istediği kimseler tarafından bilinmesini isteme hakkı, kişinin temel haklarından biridir ve bu niteliği nedeniyle insan haklarına ilişkin beyanname ve sözleşmelerde yer almış; demokratik ülkelerin mevzuatında açıkça belirlenen istisnalar dışında devlete, topluma ve diğer kişilere karşı korunmuştur. Kişisel verilerin korunması hakkı ise özel hayatın gizliliği hakkının özel bir biçimi olarak bireyin hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı amaçlamaktadır. Kişisel verilerin korunmasını isteme hakkına sağlanan anayasal güvencenin yaşama geçirilebilmesi için bu hakkı ilgilendiren yasal düzenlemelerin açık, anlaşılabilir ve kişilerin söz konusu haklarını kullanabilmelerine elverişli olması gerekir. Ancak böyle bir düzenleme ile kişilerin özel hayatlarını ilgilendiren veri ve bilgilerin resmî makamların keyfî müdahalelerine karşı korunması mümkün olabilir.

” açıklamalarına yer verilmiştir. 

Bu açıklamalardan da anlaşılacağı üzere, temel hak ve özgürlük niteliğini haiz kişisel verilerin korunması hakkının sınırlandırılmasının, demokratik bir toplumda gerekli olduğu ölçüde, hakkın kullanımının ciddi surette güçleştirilip amacına ulaşmasının engellenmemesi ve etkisinin ortadan kaldırılmaması şartıyla mümkün olmasının yanı sıra, Devlet’in de bu tür hakları ortadan kaldıracak veya bu haklara ölçüsüz müdahale teşkil edecek tutumlardan kaçınması gerekmektedir. Dolayısıyla, kişisel verilerin korunması hakkını sınırlayan hükümlerin, hakkın kullanımını ciddi surette güçleştirip amacına ulaşmasını engelleyecek ve etkisini ortadan kaldıracak şekilde geniş yorumlanmaması, aksine bu hükümlerin bir Anayasal hakkın istisnası olduğu bilinci ile dar yorumlanması gerektiği değerlendirilmektedir.

Bu açıklamalar çerçevesinde, sesli kamera kaydının hukuka uygun bir kişisel veri işleme faaliyeti olarak değerlendirilebilmesi için Anayasada belirtilen temel hak ve özgürlüklerin sınırlanmasında gözetilmesi gereken ilkelere uygun olması gerekmektedir. Bu kapsamda söz konusu kayıt ile beklenen faydanın ses kaydı olmaksızın görüntü kaydı ile elde edilebileceği hallerde ses kaydının da yapılması, gerçekleştirilecek kişisel veri işleme faaliyeti ile ulaşılmak istenen amaç arasındaki dengenin bozulmasına yol açacağından ölçülülük ilkesine aykırılık teşkil edecektir. Bu anlamda, gözetim sistemlerinde görüntü kaydı ile birlikte ses kayıt sisteminin de kullanılmasının sadece görüntü kaydına göre çok daha müdahaleci olacağı açıktır. Diğer taraftan, kameralar vasıtasıyla görüntü ile birlikte ses kaydı yapılması, bireylerde her açıdan gözetim altında tutuldukları endişesi yaratabilecek olup, kişilerin kamusal alanda bile özel bir kısım diyaloglarının ya da yaşantı kesitlerinin bulunabileceği de dikkate alındığında bu yönde bir uygulamanın hakkın özüne zarar vereceği değerlendirilmektedir. Ayrıca belirtmek gerekir ki, güvenlik amacıyla kamu kurumunun halk girişine takılması yönünde ihtiyaç bulunduğu belirtilerek ses kaydı yapan kameraların kullanılması, benzer nitelikteki her türlü ortam açısından da gerekli olduğu yönünde genel bir değerlendirmeye neden olabileceğinden, kişisel verilerin korunması hakkına yönelik oldukça geniş nitelikte bir istisna oluşması sonucunu doğurabilecektir ki, bu hususun da hakkın özüne zarar vereceği değerlendirilmiştir.

27.02.2020: “İlgili kişinin oturmakta olduğu binaya, komşusu tarafından kamera yerleştirilerek kayıt ve izleme gerçekleştirilmesi hakkında”
Karar Tarihi : 27/02/2020
Karar No : 2020/187
Konu Özeti : İlgili kişinin oturmakta olduğu binaya, komşusu tarafından kamera yerleştirilerek kayıt ve izleme gerçekleştirilmesi hakkında

Kuruma intikal eden şikâyet dilekçesinde özetle; ilgili kişinin oturmakta olduğu bina içerisine komşusu tarafından 2 tanesi dışarıyı, 1 tanesi apartman girişini, 1 tanesi kat arasını gösterecek şekilde 4 tane kamera yerleştirildiği, bu kameralarla kayıt ve izleme gerçekleştirildiği, kişilerin huzur ve sükûnunu bozma, hukuka aykırı olarak kişisel verileri kaydetme, özel hayatın gizliliğini ihlal etme suçlarının işlendiği, kameraları yerleştiren komşu hakkında savcılığa da şikâyette bulunulduğu ifade edilerek gereğinin yapılması, şahsın cezalandırılması ve kamera görüntülerinin tarafına iadesi talep edilmektedir.

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun 27/02/2020 tarihli ve 2020/187 sayılı kararı ile;

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 15 inci maddesinin birinci fıkrasında Kişisel Verileri Koruma Kurulunun, şikayet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapacağı; aynı maddenin ikinci fıkrasında ise; 1/11/1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesinde belirtilen; 
        a)    Belli bir konuyu ihtiva etmeyen, 
        b)    Yargı mercilerinin görevine giren konularla ilgili olan,
        c)    4 üncü maddede gösterilen şartlardan  (dilekçe sahibinin adı soyadı ve imzası ile iş veya ikametgâh adresi) herhangi birini taşımayan
    ihbar veya şikâyetlerin incelemeye alınmayacağının hükme bağlandığı,
    Kanunun 17 nci maddesinin birinci fıkrasında kişisel verilere ilişkin suçlar bakımından 26/09/2004 tarih ve 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümlerinin uygulanacağının belirtildiği,
  • Türk Ceza Kanununun 135 inci maddesinde hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verileceğinin, 136 ncı maddesinde ise kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişinin, iki yıldan dört yıla kadar hapis cezası ile cezalandırılacağının hükme bağlandığı,

hususlarından hareketle,

  • İlgili kişinin, komşusu hakkındaki hukuka aykırı olarak kamera taktırılması ve görüntü kaydı alınmasına ilişkin şikâyetlerinin Türk Ceza Kanunu hükümleri çerçevesinde suç unsuru barındırabileceği ve bu çerçevede 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesi dikkate alınarak söz konusu şikâyetin Kanun kapsamında değerlendirilemeyeceğine karar verilmiştir. 
27.02.2020: “İlgili kişinin cep telefonunun özel bir hastane tarafından izinsiz aranması”
Karar Tarihi : 27/02/2020
Karar No : 2020/172
Konu Özeti : İlgili kişinin cep telefonunun özel bir hastane tarafından izinsiz aranması

İlgili kişinin şikâyet başvurusunda, Hastane tarafından şahsına ait cep telefonunu, Hastane adına bir şahsın aradığı ve Hastanenin reklamını yapmaya çalıştığı, fakat kendisinin bu tip reklamlardan rahatsız olması sebebiyle konuşmak istemediğini dile getirerek telefonu kapattığı, akabinde, Hastanenin e-posta adresine yazılı olarak 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) istinaden başvurarak bilgi talep ettiği, kendisini Hastanenin bir çalışanının aradığı ve bu konuyu konuşmak istediğini söylediği, ancak kendisinin sözlü değil de yazılı cevap talep etmesi üzerine kendisine e-posta yolu ile cevap verildiği, konu ile alakalı olarak gelen bu cevabı yeterli bulmayınca Kuruma şikâyet hakkının gündeme geldiği belirtilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde Hastaneden savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • İlgili kişinin, tarafları nezdinde SMS gönderimine ilişkin herhangi bir açık rızasının bulunmadığı,
  • İlgili kişinin kişisel verilerinin hiçbir şekilde taraflarınca işlenmediği
  • İlgili kişinin kişisel verilerinin yurt içinde ve yurt dışında hiç kimseye aktarılmadığı, çünkü ilgili kişinin kişisel verilerinin bünyelerinde işlenmediği,
  • Reklam içerikli telefon aramalarından herhangi bir şekilde haberlerinin olmadığı, ilgili kişinin kişisel verilerinin bünyelerinde bulunmadığı, bu nedenle herhangi bir kişiden temin de edilmediği,
  • Arama yapan numaranın taraflarına ait bir hat olmadığı, ilgili kişinin başvurusuna ilişkin kayıtlarında ilgili kişiye ait herhangi bir bilgi, arama vb. bilgi, belgenin mevcut olmadığı, ilgili kişiye yapılan aramanın Hastaneleri bilgisi dâhilinde gerçekleştirilmediğinden ilgili kişinin şikâyetine konu iddialarının muhatabının da taraflarının olmadığı, bu nedenle ilgili kişinin kişisel verilerinin bünyelerinde bulunmadığı yani hiçbir zaman işlenmediği ve yurt içi ve yurt dışında herhangi bir kuruma aktarılmadığı

ifade edilmiştir.

Bununla birlikte, şikâyete konu telefon numarası arandığında hattın Hastanenin checkup departmanına ait olduğu ve çalışanların diğer müşterilere hizmet vermekte olması nedeniyle kısa sürede arayana dönüş sağlanacağını belirten sesli bir mesajla açıldığının görüldüğü, Hastanenin internet sitesinin iletişim bölümünde yer alan numara arandığında ise karşı tarafça  şikâyete konu telefon numarasının da Hastanenin checkup merkezi olarak açıldığı yönünde bilgi verildiğinden, Hastaneyi, muhatap ikinci bir yazı ile şikâyete konu telefon numarasının hangi şirkete ait olduğu, checkup hizmetleri başta olmak üzere hasta yönlendirme, reklam ve tanıtım vb. konularda çeşitli firmalardan hizmet alıp almadığı, alıyorsa bu hizmetlere ilişkin sözleşme örnekleri ile sözleşme kapsamında yapılan aramalarda veya SMS gönderiminde kullanılan telefon numaralarının nasıl temin edildiği hususlarındaki açıklamaların tevsik edici belge ve bilgilerle birlikte Kuruma iletilmesi talep edilmiştir.

Hastane tarafından Kuruma iletilen cevap yazısında özetle:

  • Şikâyete konu telefon numarasının taraflarına ait olmadığı ancak yaptıkları inceleme sonrasında ilgili numaranın ……Sağlık ve Danışmanlık Hizmetlerinin kullandığı bir numara olduğunun tespit edildiği, ilgili firma ile yapılan sözleşmenin ekte sunulduğu,
  • Sözleşmenin, Firma ile taraflarının üçüncü kişilere checkup hizmetinin pazarlanması ve satışı ile Hastanenin checkup hizmetini ilgili Firmanın bulmuş olduğu müşterilere sağlamasına ilişkin olduğu, ilgili sözleşmenin 4. maddesinde Firmanın müşteri bulurken Kanundan ve sözleşmeden kaynaklanan yükümlülüklere riayet etme zorunluluğunun bulunduğu, sözleşmede bahse konu maddeye aykırı davranılması halinde doğacak tüm zarardan Firmanın sorumlu olduğunun belirtildiği,
  • Müşterilerin Hastane tarafından bulunmadığı bu nedenle ilgili kişinin herhangi bir bilgisinin bünyelerinde bulunmadığı, Firmanın ilgili kişinin bilgilerini ne şekilde bulduğu, bulup bulmadığı vb. konularda taraflarının bilgilendirilmediği,
  • Hastane bünyesinde ilgili kişinin bilgilerinin bulunması ve gerekli onayı almış olması halinde taraflarının bu kişiyi direkt arayacağı ve checkup ile ilgili bilgileri bildireceği, başka bir firmanın checkup hizmeti için taraflarına hasta yönlendirmesi halinde komisyon aldığı dikkate alındığında Hastanenin kendi bünyesinde bulunan bilgileri bir başka firma ile paylaşmasının da hukuki ve mantıken açıklanabilecek yönünün de bulunmadığı, 
  • Firmanın, Hastaneye bağlı bir firma veya Hastanenin checkup departmanının da olmadığı, Firmanın sadece taraflarına kanuna uygun olarak hasta bulmakta olduğu, Firmanın kendisini Hastanenin checkup departmanı gibi yani kendilerine bağlı bir firma gibi tanıttığının tespit edilmesi halinde konu ile ilgili de Firma ile hukuki girişimlere başlanılacağı,
  • Hastanenin kişisel verilerini kullanacağı her kişiden açık yazılı onay aldığı, ilgili kişinin taraflarında kayıtlı hiçbir bilgisinin bulunmadığı gibi hiçbir zaman taraflarından tedavi hizmeti almadığı, Firmanın ilgili kişi ile temasa geçti ise hukuka uygun olarak mı yoksa uygun olmadan mı temasa geçtiğinin taraflarınca bilinmediği, Firmanın hukuka ve sözleşmeye uygun olarak taraflarına hasta yönlendirme hizmeti vermekte olduğu sözleşme gereğince de hasta temin etme hususunda hukuka aykırı bir işlem yapması halinde Firmanın sorumlu olacağının açıkça düzenlendiği

açıklamalarına yer verilmiştir.

Müteakiben, söz konusu iddialara ilişkin Firmadan savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • İlgili kişiye ilişkin Hastane adına arama yapıldığı, taraflarının hastanelerin hastalarıyla olan randevu takibini yapmakta olduğu, ancak ilgili kişinin Hastanenin hastası olmayıp yanlışlıkla arandığı, durumun fark edilmesi ile telefon görüşmesinin sonlandırıldığı, bünyelerinde kişisel verilerin tutulmadığı, çalışılan hastanelerin tuttuğu kişisel verilerin ilgili hastanenin yazılı onayı ile kullanılarak randevuların düzenlediği, bu nedenlerle yurt içine ya da yurt dışına herhangi bir kişisel veri aktarımının söz konusu olmadığı, bu açıklamalar doğrultusunda şikâyetin reddine karar verilmesinin talep edildiği

ifade edilmiştir.

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 27/02/2020 tarih ve 2020/172 sayılı Kararı ile,

  • Öncelikle, ilgili kişinin aranması ile ilgili olarak sorumluluğun kimde olduğunun tespit edilmesi amacıyla Hastane ile Firma arasındaki sözleşme incelenmiş olup inceleme neticesinde;
    • Sözleşme konusunun, Hastanenin bünyesinde sunulan checkup panelinin Firma tarafından üçüncü kişilere pazarlanması ve satışı ile yapılan satıştan sonra Hastanenin bu hizmeti karşılaması ve aradaki ticari işlemleri kapsadığı,
    • Firmanın bu satışı ilgili kanunlar çerçevesinde elektronik posta, posta, kapıdan dağıtım, kapıdan satış, internet üzerinden satış, telefonla satış, medya üzerinden satış ve sair yollarla yapabileceği,
    • Firmanın kendisi için tasarlanmış checkup panelini piyasa şartları çerçevesinde Hastaneden yazılı onay almak suretiyle kendisinin belirleyebileceği, satışı artırmak için gerekli noktalarda kampanyalar ve aktiviteler düzenleyebileceği,
    • Hastanenin sözleşmede belirtilen ürünlerle ilgili SMS gönderme yetkisini de Firmaya verdiği,
    • Firmanın bu sözleşme devam ettiği sürece bu ürünü ister web sitesi aracılığı ile ister kapıdan satış yöntemi ile, ister kurumsal satış şekliyle, isterse tele marketing yoluyla, yazılı, işitsel ve görsel medya yoluyla veya başka bir yolla pazarlayabileceği ve satabileceği
    • Satış esnasında kanundan ya da sözleşmeden kaynaklı yükümlülüklere riayet etmemesi sebebiyle doğacak tüm zararlar nedeniyle Hastanenin Firmaya rücu hakkına sahip olduğu,
    • “Gizlilik Yasağı” başlıklı sözleşme maddesi altında Hastanenin müşteri verilerini Firmanın kullanımına açabileceği, Firmanın hem Hastanenin eski müşterilerine hem de kendi oluşturacağı yeni müşterilere checkup panelini satacağı, Firmanın Hastaneden aldığı datayı üçüncü kişilerle paylaşamayacağı, dağıtamayacağı, yayınlayamayacağı,   böyle bir durumun tespiti halinde Hastanenin sözleşmeyi derhal fesih hakkının bulunduğu ve bu sebeple uğrayacağı maddi zararın karşılanmasını Firmadan talep edebileceği, benzer şekilde Hastanenin de Firmanın Hastaneye kazandırdığı yeni hastaları başka çağrı merkezleri ile paylaşamayacağı, bu durumda da Firmanın zararının tazmin edilmesini talep hakkı bulunduğu hususlarının düzenlendiği, 
    • Firma teknik altyapısının SSL protokollerini desteklediği ve firewall ile IP Authentication yöntemi kullanılarak giriş yapıldığı ve sadece yöneticilerin erişebildiği server’ların kullanıldığı, müşteri bilgilerine yalnızca yetkilendirilmiş kişilerin erişebildiği,
    • Müşteri temsilcilerinin sadece otomatik çağrı sistemi üzerinden ekranına gelen “aranan numara” bilgisini görmekte olduğu ve kişisel bilgilere erişemedikleri,
    • Tüm arama, satış, backoffice, teslim ve takip adımlarının giriş ve yönetiminin dijital ortamda yapıldığı, ofiste müşteri bilgi güvenliğini tehlikeye sokacak gereksiz matbu formların kullanılmadığı

şartlarına yer verildiğinin görüldüğü,

  • Kanunun 3 üncü maddesinde “veri sorumlusu”nun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak “veri işleyen”in ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlandığı, veri sorumlusunun, veri işleme faaliyetinin genel anlamda “neden” ve “nasıl” yapıldığını belirleyen kişi olduğu, diğer bir ifadeyle, “hangi kişisel verilerin toplanacağı, kişisel verilerin hangi amaçlarla işleneceği, hangi kişilerin kişisel verisinin toplanacağı, kişisel verilerin kimlere, hangi amaçla aktarılacağı, kişisel verilerin hangi süre ile saklanacağı” konularındaki kararların ancak veri sorumlusu tarafından alınabildiği, ancak veri sorumlusunun, akdedeceği bir sözleşme ile “kişisel verilerin toplanmasında hangi bilişim sistemlerinin kullanılacağı, kişisel verilerin nasıl saklanacağı, veri güvenliğinin sağlanmasının detayları, kişisel verilerin bir şirketten diğerine aktarılmasında hangi yöntemin kullanılacağı, veri saklama periyoduna uyulmasını sağlamak için kullanılacak yöntemin ne olduğu, kişisel verilerin silinmesinde hangi yöntemin kullanılacağı” gibi konularda karar alma yetkisini veri işleyene bırakabildiği,
  • Kurum tarafından yayımlanan Kişisel Verilerin Korunması Kanunu Hakkında Sıkça Sorulan Sorular rehberinde de çağrı merkezinin veri işleyen olduğu; “… veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına faaliyet gösteren, dışarıdan hizmet alınması suretiyle çağrı merkezi hizmeti veren bir şirket bu faaliyet kapsamında veri işleyen olarak kabul edilecektir. Burada önemli olan, veri işleyenin bu kapsamdaki kişisel veri işleme faaliyetlerini veri sorumlusundan aldığı talimatlar doğrultusunda gerçekleştirmesidir.” şeklinde açıklandığı,
  • Bununla birlikte Madde 29 Çalışma Grubu’nun WP 169 sayılı Veri Sorumlusu ve Veri İşleyen Hakkında Görüşünde de çağrı merkezinin veri işleyen olduğunun “Veri sorumlusu bazı işlerini çağrı merkezine bırakır ve çağrı merkezine veri sorumlusunun müşterilerini veri sorumlusunun kimliğini kullanarak arama talimatı verir. Bu durumda müşterilerin beklentileri ve veri sorumlusunun kendisini dış kaynak firması aracılığıyla sunma şekli dış kaynak firmasının veri sorumlusu adına bir veri işleyen olarak hareket ettiği sonucunu doğurur.” şeklindeki örnekle açıklandığı,
  • Firmanın Hastane adına hareket ederek hem hastanenin eski müşterilerine hem de kendi bulduğu müşterilere checkup panelini pazarlayan bir çağrı merkezi olduğunun anlaşıldığı, sözleşmede bulunan, Firmanın bu satışı ilgili kanunlar çerçevesinde elektronik posta, posta, kapıdan dağıtım, kapıdan satış, internet üzerinden satış, telefonla satış, medya üzerinden satış ve sair yollarla yapabileceği;  bu ürünü ister web sitesi aracılığı ile, ister kapıdan satış yöntemi ile, ister kurumsal satış şekliyle, isterse tele marketing yoluyla, yazılı, işitsel ve görsel medya yoluyla veya başka bir yolla pazarlayabileceği ve satabileceği; sözleşmede belirtilen ürünlerle ilgili SMS gönderebileceği hükümleri ile satış esnasında kanundan ya da sözleşmeden kaynaklı yükümlülüklere riayet etmemesi sebebiyle doğacak tüm zararlar nedeniyle Hastanenin Firmaya rücu hakkına sahip olduğu hükmü dikkate alındığında Hastanenin checkup hizmetinin pazarlanması ve satışı için Firmaya yetki verdiği; bu kapsamda yeni müşterilerin nereden bulunacağı ve bu müşterilere ürünlerin hangi yollarla pazarlanacağına ilişkin karar verme yetkisinin Firmaya bırakıldığı, bu sebeple Hastanenin checkup panelinin Hastanenin kayıtlarında bulunan müşterilerine pazarlanmasına yönelik kişisel veri işlenmesinde Firma veri işleyen olarak değerlendirilirken; Hastane kayıtlarında bulunmayan ancak Firmanın kendisi tarafından bulunan yeni müşterilerin pazarlama amacıyla aranarak kişisel verilerinin işlenmesinde Firmanın veri sorumlusu olduğu kanaatine varıldığı,
  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin birinci fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin, ikinci fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, Hastanenin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Hastanenin meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğunun hükme bağlandığı,
  • Firmadan alınan yazıda ilgili kişinin Hastanenin müşterisi olmadığı, kendileri tarafından yanlışlıkla arandığı belirtilmiş olmakla birlikte Hastane ve Firma arasında imzalanan sözleşme gereğince Hastaneye ait ürünün Hastane adına pazarlanması ve satışı için Firmaya yetki verilmiş olsa da; Firmanın sözleşmede yer alan  “Satış esnasında kanundan ya da sözleşmeden kaynaklı yükümlülüklere riayet etmemesi sebebiyle doğacak tüm zararlar nedeniyle Hastanenin Firmaya rücu hakkına sahip olduğu” hükmü ile “Firmanın Hastaneden aldığı datayı üçüncü kişilerle paylaşamayacağı, dağıtamayacağı, yayınlayamayacağı,   böyle bir durumun tespiti halinde Hastanenin sözleşmeyi derhal fesih hakkının bulunduğu ve bu sebeple uğrayacağı maddi zararın karşılanmasını Firmadan talep edebileceği”  hükmüne muhalefet ederek Hastane tarafından kendisine bildirilmemiş olan ilgili kişinin cep telefonuna erişmesi ve kişinin cep telefon numarasını, Kanunun 5 inci maddesinde belirtilen açık rıza ya da diğer işleme şartlarından herhangi biri geçerli olmadığı halde aramak suretiyle işlemesinin Kanunun 5 inci maddesine aykırı olduğu

değerlendirmelerinden hareketle;

  • İlgili kişinin kişisel verisi olan cep telefonu numarasının veri sorumlusu Firma tarafından reklam amacıyla aranması suretiyle kullanılmasının, kişisel verilerin korunması mevzuatı açısından bir veri işleme faaliyeti olduğu,  bu işlemenin Kanunun 5 inci maddesinde düzenlenen işleme şartlarından herhangi birine dayanılarak yapılmaması sebebiyle de Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin (1) numaralı fıkrasının (a) bendinde öngörülen “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğünün yerine getirilmediği kanaatine varıldığından, incelemeye konu olay açısından veri sorumlusu olarak kabul edilen Firma hakkında, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi hükmü uyarınca 50.000 TL idari para cezası uygulanmasına karar verilmiştir.
27.02.2020: “İlgili kişinin kullanımına izin vermediği kredi kartı bilgilerinin veri sorumlusu araç kiralama şirketi tarafından kullanılması hakkında”
Karar Tarihi : 27/02/2020
Karar No : 2020/166
Konu Özeti : İlgili kişinin kullanımına izin vermediği kredi kartı bilgilerinin veri sorumlusu araç kiralama şirketi tarafından kullanılması

Kuruma intikal eden şikayette; ilgili kişi ile veri sorumlusu araç kiralama şirketi arasında imzalanan araç kiralama sözleşmesi kapsamında ilgili kişinin 1 günlük süreyle araç kiraladığı ve söz konusu sözleşme uyarınca araç kiralama bedeli ve provizyonun çekilmesi için ...22 ile biten kredi kartının kullanımına onay verildiği, kiralama süresi içerisinde 1 kez HGS kullandığı ve kiralama süresi sona erdiğinde aracı teslim ettikten sonra telefonuna gelen SMS ile söz konusu HGS bedelinin …67 ile biten başka bir kredi kartından tahsil edilmeye çalışıldığını fark ettiği, bunun üzerine müşteri temsilcisini aradığında “araç kira bedeli ödemesi hangi kredi kartı ile yapılmış ise HGS bedelinin de aynı kredi kartından yapılması gerektiği” bilgisini edindiği, yaşadığı olay ile ilgili olarak kişisel veri güvenliğinin ihlal edildiği gerekçesi ile tarafına açıklama yapılması için müşteri hizmetleri ile birçok kez görüşme yaptığı ve konuya ilişkin şikâyetlerini elektronik posta yolu ile de müşteri hizmetlerine bildirdiği, müşteri hizmetleri tarafından konunun hukuk birimine yönlendirildiğinin belirtildiği ancak olayın üzerinden 2 ay geçmesine rağmen kendisine son yazışma tarihinden itibaren hiç bir geri dönüş yapılmadığı, bu durumun 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 13 üncü maddesine aykırılık teşkil ettiği, sözleşmede belirtilen …22 ile biten kredi kartı yerine, hiçbir şekilde onayının ve bilgisinin bulunmadığı belirtilerek, kullanımına izin vermediği …67 ile biten diğer kredi kartı bilgilerini alan ve kullanan veri sorumlusu araç kiralama şirketi hakkında gerekli yaptırımın uygulanarak kendisine bilgi verilmesi talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • İlgili kişinin …67 ile biten kredi kartı bilgilerinin araç kiralama sözleşmesinden önce yapılan başka bir kiralama sözleşmesinde ilgili kişi tarafından kendilerine bildirildiği ve kira sözleşmesi gereği, sözleşme ile bildirilen kredi kartından yine kiracının yazılı onayı ile “bu sözleşmeyi imza etmekle arka sayfada belirtilmiş olan  … standart kiralama kural ve koşullarını okuduğumu ve kabul ettiğimi beyan ederim. Aracın aylık kullanım limitinin 3.000 km olup aşıldığı takdirde ücretlendirmeyi, bu kiralamadan doğan ve doğacak olan her türlü ödemenin …  bildirdiğim kredi kartımdan tahsil edilmesini kabul ve beyan ederim.” diyerek kira sözleşmesindeki bu onayı ile kredi kartı veri işlemi olduğu,
  • Araç kiralama sözleşmesi gereği tahsil edilmek istenen bedelin bir önceki sözleşmede bildirilen kredi kartından çekilmesi işleminin hukuki dayanağını; kira sözleşmesinin “Madde 2 – Ödeme” başlığı altında yer alan “kiracı tarafından bildirilen kredi kartından tahsilat yapılamadığı durumlarda; kiracının kiralayan ile yapmış olduğu başkaca araç kiralama sözleşmelerinde bildirdiği kredi kartı ve/veya nakit hesaplarından, kiralayanın tahsil etme hakkı saklıdır” şartının oluşturduğu, bu nedenle daha önceki kira sözleşmelerinde bildirilen kredi kartlarının mevcut sözleşme şartı gereği daha sonraki kiralamalarında kullanıldığı, ilgili kişi tarafından kullanılmaması talep edildiğinde ise kullanılmadığı,
  • Veri sorumlusu tarafından kişisel veri işlenmesinin hukuki gerekçelerinin;
    • 6698 sayılı Kanun Madde 5 (2) (c) – “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” ve
    • 6698 sayılı Kanun Madde 5 (2) (f) – “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlemesinin zorunlu olması” olduğu,
  • •    İlgili kişinin araç kiralama sözleşmesi kapsamında aracı kiraladığı süre içerisinde oluşan HGS geçiş ücretinin bir önceki kira sözleşmesinde bildirdiği …67 ile biten kredi kartından tahsil edilme girişiminde bulunulduğu ancak bu karttan bir çekim olmadığı, aynı gün içinde araç kiralama sözleşmesi ile bildirilen …22 ile biten kredi kartından çekimin yapıldığının tespit edildiği, 
  • Kişinin  …67 ile biten kredi kartının kullanılmaması yönünde şirketlerine başvuru yaptığı, kişiye müşteri hizmetleri tarafından hukuk biriminden bilgi iletileceğinin bildirildiği ancak müşteri hizmetlerinin bir anlık dalgınlığı nedeniyle sehven konunun hukuk birimine aktarılmadığının tespit edildiği,
  • Kira sözleşmelerinde yer alan açık hüküm sebebiyle şirketin tahsilat yapma hakkı olmasına rağmen kişinin bu talebinin özel kabul edilerek ve Kanun önemsenerek sistemde bulunan tüm kredi kartı bilgilerinin silindiği, silme işleminin Kanuna uygun olarak gerçekleştirildiği, silme işlemine ilişkin olarak şirketin genel müdürü ve yazılım yetkilileri arasındaki e-posta yazışmalarının ekte sunulduğu, yedeklemeler ile de silme işleminin iptal edildiğinin ispat edildiği; yedekleme verisinin içerisinde başka kişisel veriler olduğu için Kuruma iletilemediği, aynı şekilde veri silme işlemine ilişkin veri tabanı görüntülerinin de başkaca kişisel veriler bulunması sebebiyle sunulamadığı, 
  • Yine kira sözleşmelerinin içerisinde kişiye ait başkaca kişisel verilerin bulunması sebebiyle şu an sunulamadığı ancak Kurumun talebi halinde bu dokümanların sunulmaya hazır olunduğu belirtilerek veri sorumlusu tarafından ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla kredi kartı bilgisinin kira sözleşmesi gereği kullanıldığı ve meşru menfaatler çerçevesinde işlem yapıldığı, ayrıca kişinin talebi üzerine 7 gün içerisinde veri tabanından tüm kredi kartı bilgileri silindiği

ifadelerine yer verilmiştir.

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 27/02/2020 tarihli ve 2020/166 sayılı Kararı ile,

  • İlgili kişinin 1 günlük araç kiralamak amacıyla veri sorumlusunun web sayfası üzerinden rezervasyon yaptığı, rezervasyon sırasında kiralama ücretinin ön provizyon olarak,  kira sözleşmesi kapsamında kendisinin kullanımına rıza gösterdiği ve onay verdiği …22 ile biten kredi kartından tahsil edildiği, söz konusu kiralama süresi içerisinde ortaya çıkan HGS ücretinin (4.13 TL) ise veri sorumlusu tarafından ilgili kişinin daha önceki farklı bir kiralama sözleşmesi kapsamında kullanımına onay verdiği …67 ile biten kredi kartından tahsil edilmeye çalışıldığı ancak söz konusu kredi kartının internetten alışveriş işlemlerine kapalı olduğu için işlemin gerçekleştirilemediği, bu nedenle söz konusu HGS ücretinin yine aynı gün içinde, mevcut sözleşmesinde bildirdiği …22 ile biten kredi kartından tahsil edildiği, 
  • Veri sorumlusu tarafından ilgili kişi ile yapılan araç kiralama sözleşmesinde yer alan “kiracı tarafından bildirilen kredi kartından tahsilat yapılamadığı durumlarda; kiracının kiralayan ile yapmış olduğu başkaca araç kiralama sözleşmelerinde bildirdiği kredi kartı ve/veya nakit hesaplarından, kiralayanın tahsil etme hakkı saklıdır” maddesine dayanılarak HGS ücretinin ilgili kişi ile yapılan daha önceki bir sözleşme kapsamında bildirilen kredi kartından tahsil edilmeye çalışıldığının belirtildiği, ancak veri sorumlusu tarafından mevcut sözleşme kapsamında yer alan “bu sözleşmeyi imza etmekle arka sayfada belirtilmiş olan … standart kiralama kural ve koşullarını okuduğumu ve kabul ettiğimi beyan ederim. Aracın aylık kullanım limitinin 3.000 km olup aşıldığı takdirde ücretlendirmeyi, bu kiralamadan doğan ve doğacak olan her türlü ödemenin …  bildirdiğim kredi kartımdan tahsil edilmesini kabul ve beyan ederim” maddesi gereği; ilgili kişinin kullanımına onay verdiği kredi kartının geçerliliğinin ön provizyon bedeli alınarak onaylandığı ve bu karttan kiralama ücreti ve diğer ücretlerin tahsilatının yapılabildiği, bu nedenle somut vakada, söz konusu sözleşme maddesinde belirtilen “kiracı tarafından bildirilen kredi kartından tahsilat yapılamaması” durumu gerçekleşmediği için, veri sorumlusunun 4.13 TL olan HGS bedelini daha önceki araç kiralama sözleşmesi kapsamında bildirilen farklı bir kredi kartından tahsil etmeye çalışmasının gerekçesi ve hukuki dayanağını bu maddenin oluşturamayacağı,
  • Ayrıca hem ilgili kişinin müşteri temsilcisi ile yaptığı görüşme sonucunda edindiği “araç kira bedeli ödemesi, hangi kredi kartı ile yapılmış ise HGS bedelinin de aynı kredi kartından yapılması gerektiği” bilgisi, hem de veri sorumlusunun web sayfasında yer alan “Araç Kiralama Koşulları” metninde ödemeye ilişkin başlıklar altında yapılan açıklamalar dikkate alındığında; ödemenin mevcut sözleşme kapsamında bildirilen ve kullanımına onay verilen kredi kartından tahsil edileceğinin anlaşıldığı, araç kira sözleşmesinde yer aldığı iddia edilen “daha önce yapılan bir sözleşme kapsamında bildirilen başkaca bir kredi kartından da tahsil edilebileceği” bilgisine yer verilmediği,
  • Diğer taraftan, “Tüketici Sözleşmelerindeki Haksız Şartlar Hakkında Yönetmelik”in (17.06.2014 tarihli ve 29033 sayılı R.G. ) “Haksız Şart” başlıklı 5 inci maddesinde “(1) Tüketici ile kurulan sözleşmelerde yer alan bir şartın haksız şart olarak kabul edilebilmesi için; a) Tüketiciyle müzakere edilmeden sözleşmeye dahil edilmesi, b) Tarafların sözleşmeden doğan hak ve yükümlülüklerinde dürüstlük kuralına aykırı düşecek biçimde tüketici aleyhine dengesizliğe neden olması, unsurlarının bir arada bulunması gerekir. (2) Bir sözleşme şartının önceden hazırlanması ve standart sözleşmede yer alması nedeniyle tüketicinin sözleşmenin içeriğine etki edememesi durumunda, o sözleşme şartının tüketiciyle müzakere edilmediği kabul edilir. Sözleşmeyi düzenleyen, bir standart şartın münferiden müzakere edildiğini iddia ediyorsa bunu ispatla yükümlüdür” ve “Haksız Şartların Sözleşmeye Etkisi” başlıklı 7 nci maddesinin 1. fıkrasında ise “Tüketiciyle kurulan sözleşmelerde yer alan haksız şartlar kesin olarak hükümsüzdür. Ancak sözleşmenin haksız şartlar dışındaki hükümleri geçerliliğini korur. Bu durumda sözleşmeyi düzenleyen, kesin olarak hükümsüz sayılan şartlar olmasaydı diğer hükümlerle sözleşmeyi yapmayacak olduğunu ileri süremez” hükümlerinin yer aldığı, bu çerçevede söz konusu kira sözleşmesinde yer alan “kiracı tarafından bildirilen kredi kartından tahsilat yapılamadığı durumlarda; kiracının kiralayan ile yapmış olduğu başkaca araç kiralama sözleşmelerinde bildirdiği kredi kartı ve/veya nakit hesaplarından, kiralayanın tahsil etme hakkı saklıdır” hükmünün somut vaka itibariyle ilgili kişi aleyhine bir durum oluşturduğu ve ilgili kişinin makul beklentisini ve çıkarlarını göz önüne almayarak dürüstlük kurallarına aykırılık teşkil ettiği,
  • Veri sorumlusunun savunmasında, kira sözleşmelerinin içeriğinde ilgili kişiye ilişkin başkaca kişisel verilerin bulunması sebebiyle şu an sunulamadığı, ancak Kurumun talebi halinde sunulmaya hazır olunduğunun belirtildiği, buna istinaden Kurumun ek bilgi/belge talebini içeren resmi yazısının tebliğ tarihi itibariyle veri sorumlusu tarafından Kuruma herhangi bir bilgi/belge iletilmediği, Kurum tarafından ek bilgi belge kapsamında talep edildiği halde veri sorumlusu tarafından gönderilmeyen söz konusu kira sözleşmesinin, tüketici ile hizmet sunucu arasındaki sözleşmelere ilişkin genel uygulamalar da dikkate alınarak, ilgili kişi ile müzakere edilmeksizin tek taraflı olarak hazırlandığı ve matbu bir şekilde ilgili kişiye sunulduğu kanaatine varıldığı,
  • Tüm bu nedenlerle sözleşmede yer alan söz konusu maddenin uygulanmasına yer olmadığı ve ayrıca “haksız şart” niteliğine uyduğu değerlendirilmekte olup veri sorumlusunun ilgili kişinin eski sözleşmesinde yer alan kredi kartı bilgilerini kullanmaya devam etmesini, ilgili sözleşme hükmünü işaret ederek “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” kişisel veri işleme şartına dayandırmasının uygun olmadığı,
  • Aynı şekilde somut olayda, veri sorumlusunun mevcut durumda ön provizyon işlemi ile geçerliliğini ve limitini onayladığı ilgili kişinin sözleşme kapsamında kullanımına izin verdiği kredi kartı bilgisine sahip olduğu ve ödemeyi bu kredi kartından tahsil edebileceği halde daha önce elde ettiği başka bir kredi kartı bilgisini kullanmaya çalışması ve ilgili kişiye ait toplam üç kredi kartına ilişkin bilgilerin daha sonra kullanılabileceği düşüncesiyle sisteminde saklaması faaliyetine ilişkin olarak; menfaatlerin yarışabilir olmadığı, kişinin hem ilgili kişi hem de tüketici olarak zayıf konumda olan taraf olduğu, dolayısıyla temel hak ve hürriyetlerinin ihlale açık olduğu ve ilerde söz konusu veri işleme faaliyetinden (haber verilmeksizin kredi kartından tahsilat/ çekim vb. yapılabilmesi suretiyle) zarar görebileceği hususları dikkate alınarak yapılan değerlendirme ile, söz konusu veri işleme faaliyetinin “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” kişisel veri işleme şartına dayandırılmasının da uygun olmadığı, söz konusu veri işlemenin açık rızaya veya diğer kişisel veri işleme şartlarından herhangi birine dayandırılamayacağı ve hukuka aykırı bir veri işleme olduğu kanaatine varıldığı,
  • Söz konusu veri işleme faaliyetinin; kira sözleşmesinin yukarıda bahsi geçen ilgili hükmünün haksız şart niteliğine uyması ve somut vakanın kişinin makul beklentisi dışında aleyhine bir sonuç ortaya çıkarması nedeniyle “hukuka ve dürüstlük kurallarına uygun olma”; kiralama süreci sonrasında araç tesliminin gerçekleşmesi ve bütün bedellerin tahsil edilmesiyle birlikte sözleşmenin sona ermesi, veri işleme amacının ortadan kalkması ve mevcutta olmayan ve sonradan gerçekleşmesi düşünülen amaçlarla kişisel veri işlenmeye devam edilmesi nedeniyle “işledikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırılık teşkil ettiği, 

değerlendirmelerinden hareketle;

  • İlgili kişinin veri sorumlusu ile daha önce yaptığı araç kiralama sözleşmesi kapsamında kullanımına onay verdiği kredi kartı bilgilerinin; veri sorumlusu tarafından daha sonra gerçekleştirilmesi düşünülen amaçlar doğrultusunda kullanılmak üzere sistemde saklanarak, haksız şart niteliği gösteren sözleşme hükmüne dayanmak suretiyle somut vakada kişinin makul beklentisine ve çıkarına aykırı olumsuz bir durum oluşturarak haklı bir gerekçe olmaksızın kullanılmasına ilişkin kişisel veri işleme faaliyetinin Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesinde yer alan şartlardan herhangi birine dayandırılamayacağı ve Kanunun “Genel ilkeler” başlıklı 4 üncü maddesi uyarınca “hukuka ve dürüstlük kurallarına uygun olma” ile “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırılık teşkil ettiği kanaatine varılmış olup bu itibarla, Kanunun 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülüklerini yerine getirmemiş olması nedeniyle veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 75.000 TL idari para cezası uygulanmasına karar verilmiştir.
18.02.2020: “Veri sorumlusu tarafından ilgili kişilerin kişisel verilerinin hukuka aykırı şekilde internet gazetesi üzerinden yayımlanması hakkında”
Karar Tarihi : 18/02/2020
Karar No : 2020/145
Konu Özeti : Veri sorumlusu tarafından ilgili kişilerin kişisel verilerinin hukuka aykırı şekilde internet gazetesi üzerinden yayımlanması

Kuruma intikal eden şikâyette;  ilgili kişilerin yönetim kurulu üyesi olduğu bir şirket hakkında şikâyette bulunulan veri sorumlusu ….Medya Yayıncılık A.Ş.’ye bağlı olarak yayın yapan …Medya isimli internet gazetesi üzerinden asılsız ve gerçeğe aykırı beyanlarda bulunulduğu, ilgili kişilerin yönetim kurulu üyesi olduğu şirket tarafından noter aracılığı ile veri sorumlusuna tekzip ihtarnamesinin gönderildiği, veri sorumlusunun ilgili kişiler tarafından gönderilen ihtarnamenin fotoğrafını çekmek suretiyle yeni bir haber şeklinde olduğu gibi yayımladığı, ilgili ihtarnamenin sonunda ilgili kişilerin T.C. kimlik numaralarının, nüfus kayıt bilgilerinin, anne-baba isimlerinin ve adres bilgilerinin yer aldığı, ilgili ihtarnamenin fotoğrafının çekilip olduğu gibi haberin içinde yayımlanması nedeniyle ilgili kişilerin kişisel bilgilerinin hukuka aykırı bir şekilde kamuya ifşa edildiği, kişisel verilerin hukuka aykırı şekilde yayımlanması nedeniyle veri sorumlusuna tekrar ihtarname gönderildiği ve bunun üzerine ihtarnamenin kişisel verilere ilişkin kısmının haber metninden çıkarıldığı ancak 10 gün boyunca ilgili kişilere ait kişisel verilerin hukuka aykırı şekilde yayımlanarak kamuya ifşa edildiği, veri sorumlusunun ilgili kişilerin şahsi kimlik bilgilerini kamuya açık alanda kasten yayımlayarak Kişisel Verilerin Korunması Kanununa (Kanun) aykırı davrandığı hususları belirtilerek T.C. kimlik numaraları, nüfus bilgileri, anne baba ismi ve adres bilgisi gibi kişisel verilerini hukuka aykırı şekilde internet gazetesi üzerinden yayımlayan böylece güvenliklerini tehlikeye düşürdüğü kadar ilgili kişilere ait kişisel verileri rızaları ve bilgileri dışında kullanarak üçüncü kişilerce dolandırılmalarına sebebiyet verecek işlemlerin önünü açan veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • İlgili kişilerin yönetim kurulu üyesi oldukları şirketin anonim şirkete dönüşmek üzere genel kurula gittiği, haberi yapan ve aynı zamanda ilgili yayın grubunun da yöneticisi olan kişinin ilgili sektörü takip eden bir gazeteci olarak söz konusu genel kurul toplantısını izlemek istediği ancak toplantıyı izlemesine izin verilmediği, toplantıda iki farklı düşüncede grubun olduğu, 
  • Genel kurulun muhalif kanadının toplantı ile ilgili kendisine bilgi verdikleri, isimleri belli bir kesimin görüşlerini yayın grubunda yayınladığı, sonrasında olayın diğer tarafı, muhalif kesimin iddialarını cevaplamak için kendisine noter kanalıyla açıklama metinlerini gönderdikleri, bu açıklamaların cevap hakkı niteliğinde olması nedeniyle, zorunlu olmamasına rağmen etik gazetecilik anlayışı çerçevesinde açıklamaların önemli bölümlerinin yayın grubunun internet sitesinde kullanıldığı, 
  • Kendilerinin 10 satırlık haber yaptıkları, şirket yöneticilerinin ise 4-5 sayfalık açıklama metni gönderdiği, bunları baştan yazmanın çok zaman alacağından dolayı kendilerine “açıklamalarını mail yolu ile göndermeleri halinde tümünün yayımlanacağının” bildirildiği, noter kanalıyla gelmeye devam eden açıklamaların aynen eksiksiz olarak kullanılmasının istendiği, bu yüzden kendilerinin de metnin tamamını internet sitelerinde yayımladıkları, kaldırılması talebi üzerine hemen kaldırdıkları, bu açıklamanın kimlik bilgilerini içerdiği, bunu fark ettikleri anda hemen kaldırdıkları, 
  • Bu bilgilerin sitede kullanıldığına dair karşı tarafın bir kanıtının olmadığı, kendilerinde de bu ekran görüntüsünün bulunmadığı, kendilerinin kullanmadıklarını söylemeleri halinde karşı tarafın hiçbir kanıtının olmadığı; diğer yandan konunun yargıya gittiği, mahkeme huzuruna çıktığı ve beraat ettiği

ifadelerine yer verilmiştir.

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 18/02/2020 tarihli ve 2020/145 sayılı Kararı ile,

  • Kanunun “Tanımlar” başlıklı 3 üncü maddesinde; “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi, “veri sorumlusu”nun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi ve “kişisel verilerin işlenmesi”nin, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı,
  • Bu minvalde, ilgili kişilerin şikayet konusu tekzip ihtarnamesinde yer alan ad, soyadı, T.C. kimlik numaraları, nüfus kayıt bilgileri, anne-baba isimleri, adres bilgilerinin birer kişisel veri, veri sorumlusu medya şirketinin, kişilere ait bu verilerin internet gazetesinde yayımlanması işleminin de kişisel veri işleme faaliyeti olduğu,
  • Kanunun 4 üncü maddesinin (2) numaralı fıkrasında kişisel verilerin işlenmesinde uyulması zorunlu ilkelerin “a) hukuka ve dürüstlük kurallarına uygun olma, b) doğru ve gerektiğinde güncel olma, c) belirli, açık ve meşru amaçlar için işleme, ç)işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, d) ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” şeklinde düzenlendiği,
  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin, (2) numaralı fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Öte yandan, Kanunun 28 inci maddesinin (1) numaralı fıkrasının (c) bendinde “Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi” halinde Kanun hükümlerinin uygulanmayacağının belirtildiği,
  • 5187 sayılı Basın Kanununun 14 üncü maddesinde ise “Süreli yayınlarda kişilerin şeref ve haysiyetini ihlâl edici veya kişilerle ilgili gerçeğe aykırı yayım yapılması halinde, bundan zarar gören kişinin yayım tarihinden itibaren iki ay içinde göndereceği suç unsuru içermeyen, üçüncü kişilerin hukuken korunan menfaatlerine aykırı olmayan düzeltme ve cevap yazısını; sorumlu müdür hiçbir düzeltme ve ekleme yapmaksızın, günlük süreli yayınlarda yazıyı aldığı tarihten itibaren en geç üç gün içinde, diğer süreli yayınlarda yazıyı aldığı tarihten itibaren üç günden sonraki ilk nüshada, ilgili yayının yer aldığı sayfa ve sütunlarda, aynı puntolarla ve aynı şekilde yayımlamak zorundadır” düzenlemesine yer verildiği,
  • Sorumlu müdürün,  Basın Kanunundan kaynaklı olarak düzeltme metnini veya cevap yazısını hiçbir düzeltme ve ekleme yapmaksızın yayımlama yükümlülüğünün bulunduğu, ancak bu amaç yerine getirilirken sorumlu müdürün bu amaçla bağlantılı, sınırlı ve ölçülü olacak şekilde hareket etmesi beklendiği, diğer bir ifadeyle,  düzeltme metni yayımlanırken, haberle ve metnin içeriğiyle ilgisi olmayan ve yayımlanması halinde kişilerin kişilik haklarının zarara uğramasına sebep olacak kişisel verileri içeren kısımların yayımlanması, amaç ile orantılı olarak değerlendirilmediğinden söz konusu düzeltme metninin kişilik haklarını ihlal ederek internet sitesinde yayımlanmasının, Kanunun 28 inci maddesinin (1) numaralı fıkrasının (c) bendi kapsamında değerlendirilmeyerek şikâyetin incelemeye alındığı,
  • Veri sorumlusunun bahse konu olan tekzip ihtarnamesini yayımlamasının, 5187 sayılı Basın Kanununun 14 üncü maddesinde yer alan yükümlülüğünü yerine getirmek amacıyla Kanunun 5 inci maddesinin 2 numaralı fıkrasının (ç) bendinde yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması” hükmü doğrultusunda hukuka uygun olduğu, ancak ilgili ihtarnamenin kişisel verilere ilişkin bölümünü herhangi bir güvenlik önlemi almaksızın olduğu gibi yayımlanmasının, daha sonra bu bölüm internet sitesinden kaldırılmış olsa dahi Kanunun genel ilkeler başlıklı 4 üncü maddesinde düzenlenen “amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi ile bağdaşmadığı dikkate alındığında bu durumun veri sorumlusu tarafından kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerin alınmadığının göstergesi olduğu

değerlendirmelerinden hareketle;

  • Veri sorumlusunun bahse konu tekzip ihtarnamesinin yayımlamasının, Kanunun 5 inci maddesinin 2 numaralı fıkrasının (ç) bendinde yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması” hükmü kapsamında hukuka uygun olduğu, ancak ilgili ihtarnamenin kişisel verilere ilişkin bölümünün olduğu gibi yayımlanmasının, daha sonra bu bölümü internet sitesinden kaldırmış olsa dahi, Kanunun genel ilkeler başlıklı 4 üncü maddesinde düzenlenen “amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi ile bağdaşmadığı dikkate alındığında bu durumun Şirketin kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığına işaret ettiği ve bu kapsamda Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendinde öngörülen yükümlülüğünü yerine getirmediği kanaatine varılan veri sorumlusu hakkında Kanunun 18 inci maddesinin birinci fıkrasının (b) bendi hükmü uyarınca 55.000 TL idari para cezası verilmesine karar verilmiştir.
18.02.2020: “Veri sorumlusu işveren tarafından, iş sözleşmesi tek taraflı olarak feshedilen ve işe iade davası açan ilgili kişiye ait özlük dosyasında yer alan sağlık raporunun dava savunmasında kullanılmak suretiyle mahkemeye sunulması”
Karar Tarihi : 18/02/2020
Karar No : 2020/138
Konu Özeti : Özlük dosyasında yer alan sağlık raporunun veri sorumlusu tarafından dava savunmasında kullanılmak üzere mahkemeye sunulması

 

Kuruma intikal eden şikâyette özetle, ilgili kişinin iş akdinin tek taraflı feshi nedeniyle veri sorumlusu işveren hakkında açtığı işe iade davasında, dava içeriği ile ilgili olmamasına rağmen özlük dosyasında yer alan kendisine ait özel nitelikli kişisel verilerinin mahkemenin talebi olmadığı hâlde dava dosyasına sunulduğu, sağlık durumu hakkında özellikle ilgili sağlık kurumu tarafından bir tanı konulmamış olmasına rağmen sağlık raporlarında yer alan “uzman” veya “bilirkişi” gibi ifadelerin büyük harfler içine alınarak psikolojik tanı koymaya yetkili bir kurum veya kişi sıfatı ile raporların davaya konu edilmesinin kişilik haklarının ihlal edilmesine sebebiyet verdiği ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) uyarınca veri sorumlusu hakkında gerekli işlemlerin tesis edilmesi talep edilmiştir. 

Konuya ilişkin olarak Kurul Kararı ile başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • İşverenin 6331 sayılı İş Sağlığı ve Güvenliği Kanununun 15 inci maddesine göre çalışanın sağlık muayenelerini yapmasını sağlamak zorunda olduğu, İş Sağlığı ve Güvenliği Yönetmeliğinin 7 nci maddesinde yer alan hüküm uyarınca işten ayrılma tarihinden itibaren en az 15 yıl süreyle çalışanların kişisel sağlık dosyalarının saklanacağı, bu sebeple çalışanın sağlık verilerinin anılan Kanun ve Yönetmelik hükümlerince işlendiği, 
  • Söz konusu raporların herhangi bir gerekçe ile talep edilmeksizin izin taleplerinin bir mazereti olarak bizzat ilgili kişinin kendisi tarafından ibraz edildiği, ilgili kişinin tüm uyarılara rağmen görev ve sorumluluklarının gereğini yerine getirmemesi ile birlikte işyerinde sergilediği olumsuz tutum ve beyanlar nedeniyle işyerinin çalışma düzenine ve iş huzurunun bozulmasına sebebiyet verdiği, bu nedenle 4857 sayılı İş Kanununun 25 inci maddesi uyarınca iş akdinin feshedildiği,
  • Mahkeme tarafından ilgili kişiye ait özlük dosyasının tüm içeriğinin kendilerine gönderilmesinin istendiği, bu bağlamda mahkeme tarafından talep edilen özlük dosyasının tüm içeriğinin şikâyete konu sağlık raporları da dâhil olmak üzere herhangi bir bilgi ve belge ayırt edilmeksizin mahkeme ile paylaşıldığı, mahkeme emrinin yerine getirilmesini müteakip şikâyete konu raporların şirket savunması ve iş akdi feshi sebebine ilişkin maddi vakıaların ispatı amacıyla hukuka ve dürüstlük kurallarına uygun ve işlendiği amaç ile bağlantılı, sınırlı ve ölçülü olarak cevap dilekçesine de eklenerek mahkemeye sunulduğu

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde: Kişisel Verileri Koruma Kurulunun 18/02/2020 tarih ve 2020/138 sayılı Kararı ile;

  • Kanunun 3 üncü maddesinin (1) numaralı fıkrasının (ç) bendi uyarınca “ilgili kişi” tanımlaması, kişisel verisi işlenen gerçek kişiyi ifade ederken; (ı) bendi uyarınca “veri sorumlusu” tanımlamasının, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi; (e) bendi uyarınca da “kişisel verilerin işlenmesi” tanımlamasının, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade ettiği,
  • Kanunun “Genel ilkeler” başlıklı 4 üncü maddesi hükmü uyarınca kişisel verilerin, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği ve kişisel verilerin işlenmesinde
    a) Hukuka ve dürüstlük kurallarına uygun olma.
        b) Doğru ve gerektiğinde güncel olma.
        c) Belirli, açık ve meşru amaçlar için işlenme.
        ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
    d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
    ” ilkelerine uyulmasının zorunlu olduğu,
  • Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesi hükmü uyarınca da kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemeyeceği ancak, 
    a) Kanunlarda açıkça öngörülmesi.
    b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
    c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
    ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
    d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
    e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
    f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
    ” şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu, 
  • Kanunun 6 ncı maddesinin (1) numaralı fıkrasında ise kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerinin özel nitelikli kişisel veri olduğu, (2) numaralı fıkrasında özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğu, (3) numaralı fıkrasında, birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel verilerin kanunlarda öngörülen hallerde, sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceğinin hükme bağlandığı,
  • 4857 sayılı İş Kanununun işçi özlük dosyası başlıklı 75 inci maddesine göre; işverenin çalıştırdığı her işçi için bir özlük dosyası düzenlediği, bu dosyada, işçinin kimlik bilgilerinin yanında, bu kanun ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları istendiği zaman yetkili memur ve mercilere göstermek zorunda olduğu, ayrıca idari para cezası başlıklı 104 üncü maddesinde Kanunun 75 inci maddesinde belirtilen işçi özlük dosyalarını düzenlemeyen işveren veya işveren vekiline idari para cezası verileceği, ancak sağlık raporlarının işçiye ait özlük dosyasının içerisinde yer alıp alamayacağı hususuna ilişkin ise gerek 4857 sayılı İş Kanununda gerekse 6331 sayılı İş Sağlığı ve Güvenliği Kanununda özel bir hüküm bulunmadığı,
  • Diğer yandan 6100 sayılı Hukuk Muhakemeleri Kanununun 219 uncu maddesinin 1 inci fıkrası uyarınca, tarafların, kendilerinin veya karşı tarafın delil olarak dayandıkları ve ellerinde bulunan tüm belgeleri mahkemeye ibraz etmek zorunda olduğu, bununla birlikte, anılan Kanunun 220 nci maddesinin 3 üncü fıkrası uyarınca, belgeyi ibraz etmesine karar verilen tarafın, kendisine verilen sürede belge ibraz edilmez ve aynı sürede, delillerle birlikte ibraz edilmemesi hakkında kabul edilebilir bir mazeret gösterilmez ya da belgenin elinde bulunduğu inkâr edilirse, mahkemenin, duruma göre belgenin içeriği konusunda diğer tarafın beyanını kabul edebileceği,
  • 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun “İncelenemeyecek Dilekçeler” başlıklı 6 ncı maddesinde, Türkiye Büyük Millet Meclisine veya yetkili makamlara verilen veya gönderilen dilekçelerden yargı mercilerinin görevine giren konularla ilgili olanların incelenemeyeceğinin hüküm altına alındığı,
  • Somut olayda mahkemenin davaya ilişkin olarak yazmış olduğu müzekkerede davalı veri sorumlusundan davacı ilgili kişiye ait özlük dosyasının tüm içeriğinin tasdikli bir suretinin gönderilmesini istediğinin görüldüğü

değerlendirmelerinden hareketle 

  • 6698 sayılı Kanunun 28 inci maddesinin (1) numaralı fıkrasının (d) bendinde yer alan “Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi” hükmü ile 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun’un “İncelenemeyecek Dilekçeler” başlıklı 6 ncı maddesinin (b) bendi dikkate alındığında konuya ilişkin Kurul tarafından tesis edilecek bir işlem bulunmadığına karar verilmiştir.
13.02.2020: “Veri sorumlusu havayolu şirketi bünyesindeki çalışanın ilgili kişiye ait kişisel verileri 6698 sayılı Kişisel Verilerin Korunması Kanununa aykırı şekilde şirket kayıtlarından elde etmesi”
Karar Tarihi : 13/02/2020
Karar No : 2020/124
Konu Özeti : Veri sorumlusu bünyesindeki çalışanın ilgili kişiye ait kişisel verileri 6698 sayılı Kişisel Verilerin Korunması Kanununa aykırı şekilde şirket kayıtlarından elde etmeleri hakkında.

İlgili kişi tarafından Kuruma intikal ettirilen şikâyette özetle, veri sorumlusu bünyesindeki çalışanın ilgili kişiye ait uçuş bilgilerini şirket kayıtlarından elde ettiği, bunu da bir başka çalışanla paylaştığı, bu çalışanın da söz konusu bilgileri ilgili kişiye ilettiği, aralarındaki husumet nedeniyle ilgili kişinin her uçuş sonrası aranarak verileri elde eden çalışan tarafından rahatsız edildiği, durumun veri sorumlusuna e-posta ile bildirildiği, ancak, aramalara devam edilmesi üzerine noter aracılığıyla veri sorumlusuna ihtarname gönderildiği, veri sorumlusunun vermiş olduğu cevapta çalışanın kişisel verileri elde ettiğinin tespit edildiği, fakat çalışan hakkında bir işlem yapılmadığının belirtildiği, daha sonrasında, aramaların devam ettiği, ilgili kişinin hakaret ve tehditlere maruz kaldığı, bunun üzerine, yetkili makamlara bildirimde bulunduğu, ancak yaptığı başvurular çerçevesinde veri sorumlusu tarafından verilen cevabın ve alınan aksiyonların yetersiz olduğu belirtilerek konunun 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında incelenmesi talep edilmiş ve yazı ekinde ayrıca her iki çalışan ile gerçekleştirdiği kişisel telefonuna ait whatsapp konuşma görüntüleri, telefon çağrı geçmişi kayıtları ve PNR bilgileri sunulmuştur.

Kuruma intikal eden şikayet dilekçesi ekinde yer alan veri sorumlusunun ilgili kişiye verdiği cevapta özetle,

  • Kişisel verileri elde eden çalışanın görevi gereği yolcu bilgilerine erişim yetkisinin olduğu, bu çalışanın bilgiye erişim kayıtlarının incelenmesi neticesinde gerekli yaptırımların uygulandığı,
  • Şikâyete konu kişiler arası görüşmelerin içeriğinin tespit edilemediği,
  • Değerlendirmeler sonucunda, ilgili kişiye ait kişisel verilerin bazı ek kontroller uygulanmadan güvenlik amacıyla görüntülenmesini engelleyecek ek tedbirlerin uygulamaya alındığı, Kanunda belirtilen amaçlar ve yasal dayanaklara istinaden veri sorumlusu tarafından saklanan ilgili kişiye ait kişisel verilerin herhangi bir yetkisiz erişime konu olmadığı, kişisel verilerin gerekli teknik ve idari tedbirler uygulanarak muhafaza edildiği

ifade edilmiştir.

Başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • İlgili kişinin ilk olarak çalışanlar hakkında veri sorumlusuna dolandırıcılık ve haksız menfaat iddiasıyla şikâyette bulunduğu,
  • Şikâyetin aynı gün iç denetim birimlerine iletildiği ve konu hakkında soruşturma başlatıldığı, ilgili kişi ve çalışanlarla yapılan görüşmeler ile veri sorumlusunun kayıtlarının incelenmesi sonucunda hiçbir aşamada dolandırıcılık, tehdit ve benzeri bir eylem tespit edilemediği,
  • Ardından ilgili kişinin göndermiş olduğu ihtarnamenin veri sorumlusuna ulaştığı, şikâyetçi olduğu kişilere ait özel hayatın gizliliğini ihlal eder nitelikteki bazı görsel kayıtların da bizzat ilgili kişi tarafından veri sorumlusuna iletildiği, gerçek kişiler arasındaki bu durumun birden fazla adli sürece konu olduğu ve devam ettiği, bununla birlikte, kişilerin karşılıklı olarak 6284 sayılı Ailenin Korunması ve Kadına Karşı Şiddetin Önlenmesine Dair Kanun kapsamında adli tedbir talep ettiği, bu durumda ilgili kişilerin birbirlerine ait kimlik ve iletişim bilgilerine şirketlerinin müdahalesi ve kayıtları dışında sahip oldukları ve veri sorumlusunun ilgili kişi ile çalışanlar arasındaki kişisel ilişkilerin tarafı olmadığı, bu nedenle, veri sorumlusunun yürüttüğü incelemenin PNR kayıtlarına erişim ve bunların kullanımı üzerine olduğu,
  • İlgili kişinin çalışanlar tarafından arandığının tevsiki için bildirdiği telefon numarasının veri sorumlusuna ait olmadığı ve telefon görüşmelerinin içeriğine yönelik şikâyetlerin soruşturma kapsamında değerlendirilmediği,
  • Yapılan incelemeler neticesinde veri sorumlusu çalışanının ilgili kişiye ait PNR kayıtlarına yönelik sistemde arama yaptığının tespit edildiği,
  • …. yöneticisi olan çalışanın uçuş operasyonlarına yönelik emniyet risklerini, güvenlik tehditlerini ve üst düzey yönetim adına güvenlik yönetim sistemi operasyonunun günlük işleyişini yönetmek ve izlemekten sorumlu olduğu, 
  • Erişim yetkisinin kişinin görev tanımı gereği ve 2920 sayılı Türk Sivil Havacılık Kanununun 40 ıncı maddesi dördüncü fıkrasında yer alan “Havayolu ile seyahat edecek kişilerin bilgileri kişilerin seyahatini kolaylaştırmak veya güvenlik ve risk değerlendirmesi yapmak amacıyla Kanun çerçevesinde toplanabilir, kaydedilebilir, işlenebilir, paylaşılabilir, havacılık güvenliği ve emniyetini sağlamak üzere değerlendirilerek gereken tedbirler alınabilir” hükmü doğrultusunda tanımlamış olması nedeniyle hukuka aykırı bir erişimin söz konusu olmadığı,
  • Değerlendirmeler sonucunda ilgili kişiye ait kişisel verilerin saklanması ve erişim yetkilerinin tanımlanması konusunda hukuka aykırı bir durum olmadığı,
  • Yürütülen soruşturma kapsamında görev gereği erişim yetkisi bulunan kişisel verileri kişisel çıkarlar doğrultusunda görüntülemenin Kanunda yer alan ilkelere aykırı olduğu, bununla birlikte, Kanuna aykırı olarak görüntülenen kişisel verilerin yetkisiz üçüncü kişiler ile paylaşılmadığı,
  • Kişisel verilerin iş amacı dışında kullanılması sonucu oluşan bir zarar tespit edilmediği,
  • Kişisel verilerin veri sorumlusu tarafından işlenmesine devam edilmesi nedeniyle ilgili kişinin temel hak ve hürriyetlerine yönelik veya mevcut bir durum nedeniyle ilgili kişi haricindeki yolculara ait kişisel verilere yönelik herhangi bir ihlal tespit edilmediği,
  • Kanuna aykırı olarak kişisel verileri görüntüleyen çalışan hakkında yazılı uyarı verildiği ve yetkilerinin iptal edilerek görevleri kapsamındaki tüm sorgulama taleplerinin ayrı bir departman üzerinden gerçekleştirilmesinin sağlandığı,
  • Veri sorumlusu bünyesinde farkındalığın artırılması adına çalışanlara yönelik çevrim içi eğitim gerçekleştirildiği,
  • İç denetim birimleri tarafından yapılan kontroller sonucunda şikâyet bildiriminin yapılmasından sonra herhangi bir sorgulama gerçekleştirilmediği, bu nedenle, alınan tedbirlerin olumlu sonuç doğurduğu,
  • İlgili kişinin, 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı maddeleri kapsamında kişisel verilerin hukuka aykırı olarak ele geçirildiği iddiasıyla suç duyurusunda bulunduğu ve soruşturmanın halen devam ettiği,
  • Çalışanlara yönelik veri güvenliği konusunda belirli aralıklarla eğitim ve farkındalık çalışmaları yürütüldüğü, bu kapsamda, soruşturması yapılan çalışanların eğitimlerini başarı ile tamamladığı

ifade edilmiştir.

Söz konusu iddiaların incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 13/02/2020 tarih ve 2020/124 sayılı Kararında;

  • Kişisel Verilerin Korunması Kanununun 12 inci maddesinin veri sorumlusunun veri güvenliğine ilişkin yükümlülüklerini düzenlendiği, buna göre “(1) Veri sorumlusu; 
    a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, 
    b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, 
    c) Kişisel verilerin muhafazasını sağlamak, 
    amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. 
    (2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.
    (3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. 
    (4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
    ” hükmüne yer verildiği, 
  • Somut olayda,  veri sorumlusunun yürüttüğü soruşturma kapsamında kişisel verileri elde eden çalışanın ifadesine başvurulduğu, bu doğrultuda, şikâyete konu çalışanın, ilgili kişinin kişisel verilerinin paylaşıldığı diğer çalışanın uçuşlarına katılacağı düşünerek, sistem üzerinden arama gerçekleştirdiğini kabul ettiği, diğer taraftan, ilgili kişi ile arasında hâlihazırda dava durumu söz konusu olduğu, mahkeme sürecinin başladığı, bunun yanı sıra, ilgili kişiye hiçbir müdahalede bulunulmadığı, 
  • Dilekçe ekinde yer verilen söz konusu Whatsapp konuşma ve telefon çağrı geçmişi görüntülerinin veri sorumlusu çalışanlarına ait olup olmadığı konusunda herhangi bir bilginin bulunmadığı, bununla birlikte, veri sorumlusunun soruşturma raporuna göre kişisel verileri elde eden çalışanın bu iddiaları kabul etmediği dikkate alındığında, ilgili kişinin telefonunda yer alan kişisel telefon kayıtlarının tevsik edici belge olarak değerlendirilemeyeceği,
  • Diğer taraftan, veri sorumlusu tarafından şikâyete konu olan kişiler arası görüşmelerin içeriğinin tespit edilemediği, telefon görüşmelerine ilişkin şikâyetlerin olaya konu olan kişiler arasındaki bireysel ilişkilerin geçmişinden kaynaklanma ihtimalinin yüksek olduğunun belirtildiği, 
  • Erişim yetkisinin görev tanımı gereği ve 2920 sayılı Türk Sivil Havacılık Kanununun 40 ıncı maddesinin dördüncü fıkrasında yer alan “Havayolu ile seyahat edecek kişilerin bilgileri kişilerin seyahatini kolaylaştırmak veya güvenlik ve risk değerlendirmesi yapmak amacıyla Kanun çerçevesinde toplanabilir, kaydedilebilir, işlenebilir, paylaşılabilir, havacılık güvenliği ve emniyetini sağlamak üzere değerlendirilerek gereken tedbirler alınabilir” hükmü doğrultusunda tanımlandığı,
  • Her ne kadar çalışanlar eğitimlere tabi tutulmuş ve bu eğitimleri başarıyla tamamlamış olsalar da olay öncesinde eğitimlerin seyrek düzenlenmiş olduğu, 
  • Ayrıca, çalışanın görev tanımı gereği yetkisi çerçevesinde PNR sorgulaması gerçekleştirdiği ancak Kasım 2018 tarihinde bir adet, Aralık 2018 tarihinde on iki adet, Ocak 2019 tarihinde beş adet, Mart 2019 tarihinde on adet sorgulama yapıldığı, veri sorumlusunun PNR sorgulama sayısına bir sınırlama getirmediği veya gözetim mekanizması geliştirmemiş olduğunun anlaşıldığı, veri sorumlusu tarafından her ne kadar log kayıtları tutuluyor olsa da, bu kayıtlarda sıra dışı aktivitelerin gözlemlenebilir olması ve bu kayıtların analiz edilmesi ile kişisel verilerin hukuka aykırı işlenmesinin ve erişilmesinin tespitinin önem arz ettiği dolayısıyla, veri sorumlusunun Kanunun 12 nci maddesi kapsamında aldığı idari ve teknik tedbirlerin yeterli olmadığı,
  • Çalışanın yetkisini kötüye kullandığını kabul ettiği, bu nedenle, hakkında yazılı uyarı verildiği ve yetkilerinin iptal edildiği, sorgulama işlemlerinin ayrı bir Genel Müdür Yardımcılığına bağlı farklı bir departmana verildiği ve bunun sonucunda sunulan log kayıtlarında PNR sorgulamasının yapılmadığının anlaşıldığı, öte yandan, kişisel verilerin hukuka aykırı olarak işlenmemesine yönelik özel koruyucu düzenlenmelere yer verildiği, ancak, soruşturma sonucu çalışanın yetkilerine ilişkin yaptırımların yeterli ve caydırıcı olmadığı, bu tür zafiyetlerin yaşanma riski göz önünde bulundurularak, alınması gereken tedbirlerin geliştirilmesi gerektiği,
  • Kanunun 17 nci maddesi (1) numaralı fıkrası uyarınca ise kişisel verilere ilişkin suçlar bakımından 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümlerinin uygulandığı, veri sorumlusunun savunma yazısında, ilgili kişinin, çalışanlar ile birlikte veri sorumlusu hakkında 5237 sayılı Kanunun 135 ila 140 ıncı maddeleri kapsamında suç duyurusunda bulunduğu ve soruşturmanın halen devam ettiği, bu doğrultuda, 5237 sayılı Kanun kapsamında yürütülmekte olan bir soruşturmanın bulunması sebebiyle, 5237 sayılı Kanununun ilgili hükümleri çerçevesinde işlem tesis edilmesini teminen 5271 sayılı Ceza Muhakemesi Kanununun 158 inci maddesi hükmü uyarınca konunun Cumhuriyet Başsavcılığına bildirilmesine gerek olmadığı 

değerlendirilmiş olup bu doğrultuda, veri sorumlusu tarafından kişisel verilere erişim ile ilgili sınırlama getirilmemesi ve çalışanlara verilen eğitimin yetersiz olması sebebiyle Kanunun 12 nci maddesinde yer alan veri güvenliğinin sağlanmasına yönelik gerekli idari ve teknik tedbirlerin alınmadığı kanaatine varıldığından Kanunun 18 inci maddesinin birinci fıkrasının (b) bendi çerçevesinde veri sorumlusu hakkında 100.000 TL idari para cezası uygulanmasına

karar verilmiştir.

17.09.2020: “İcra Müdürlükleri tarafından ilgili kişilerin yakınlarına haciz ihbarnamesi gönderilmesi”
Karar Tarihi : 17/09/2020
Karar No : 2020/710
Konu Özeti : İcra dosyasının tarafı olan ilgili kişilerin icra takibi ile ilgisi bulunmayan akrabalarına İcra Müdürlükleri tarafından haciz ihbarnamesi gönderilmesi

 

Kuruma intikal eden şikâyet başvurusunda, ilgili kişiler hakkında yürütülen icra takibi esnasında söz konusu icra takibi ile ilgisi bulunmayan, borçlu durumunda olmayan akrabalarının kişisel bilgilerinin araştırılması, adres ve kimlik bilgilerinin İcra Müdürlüğünün görevi kapsamında bulunmadığı halde tespit edilmesi ve bu çerçevede kişisel verilerinin hukuka aykırı bir şekilde akrabaları ile paylaşılmasının 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) aykırılık teşkil ettiği ifade edilerek İcra Müdürlükleri hakkında gereğinin yapılması talep edilmiştir.

Bahse konu şikâyet dilekçesi ve eklerinin incelenmesinden ilgili kişiler tarafından veri sorumlusuna kişisel verilerinin hukuka aykırı bir şekilde akrabaları ile paylaşılması hakkında bilgi talebi ile başvuruda bulunulduğu, veri sorumlusunun cevabi yazısında ise, “Alacaklı vekili tarafından bildirilen üçüncü şahıslara İcra ve İflas Kanunu (İİK)  89/1 Haciz ihbarnamesi gönderilmiş olup, haciz ihbarnamesi alacaklı ve borçlu dışında bulunan bütün üçüncü şahısları kapsamakta olduğundan Müdürlüğümüzce yapılan işlemde hukuka aykırılık bulunmamaktadır…” ifadelerine yer verildiği görülmüştür.

Konuya ilişkin olarak yapılan değerlendirme neticesinde Kişisel Verileri Koruma Kurulunun 17/09/2020 tarih ve 2020/710 sayılı Kararı ile,

  • Kanunun  “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin, (2) numaralı fıkrasında ise kişisel verilerin kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın işlenmesinin mümkün olduğunun hüküm altına alındığı,
  • İcra ve İflas Hukuku gereğince iflası talep edilen borçluya ilişkin hak ve borçların ancak yetkili devlet organlarına başvuru yoluyla ve yasal düzenlemelerde gösterilen usuller çerçevesinde cebrî olarak takip edilebildiği, haczin, kural olarak kesinleşmiş bir icra takibinin konusu olan belli bir para alacağının ödenmesini sağlamak için bu yolda talepte bulunan alacaklı lehine, söz konusu alacağı karşılayacak miktar ve değerdeki borçluya ait mal ve haklara icra dairesi tarafından hukuken el konulması olarak tanımlandığı, söz konusu mal ve hakların borçlunun elinde olabileceği gibi üçüncü bir kişide de bulunabileceği, borçluya ait olmakla beraber üçüncü kişilerde bulunan hak ve alacakların haczinin İcra ve İflas Kanununun (İİK) 89 uncu maddesinde düzenlendiği,
  • Anılan maddede; “Hamiline ait olmayan veya cirosu kabil bir senetle müstenit bulunmayan alacak veya sair bir talep hakkı veya borçlunun üçüncü şahıs elindeki taşınır bir malı haczedilirse icra memuru; borçlu olan hakiki veya hükmi şahsa bundan böyle borcunu ancak icra dairesine ödeyebileceğini ve takip borçlusuna yapılan ödemenin muteber olmadığını veya malı elinde bulunduran üçüncü şahsa bundan böyle taşınır malı ancak icra dairesine teslim edebileceğini, malı takip borçlusuna vermemesini, aksi takdirde malın bedelini icra dairesine ödemek zorunda kalacağını bildirir (Haciz ihbarnamesi). Bu haciz ihbarnamesinde, ayrıca 2, 3 ve 4 üncü fıkra hükümleri de üçüncü şahsa bildirilir. Üçüncü şahıs; borcu olmadığı veya malın yedinde bulunmadığı veya haciz ihbarnamesinin tebliğinden önce borç ödenmiş veya mal istihlak edilmiş veya kusuru olmaksızın telef olmuş veya malın borçluya ait olmadığı veya malın kendisine rehnedilmiş olduğu veya alacak borçluya veya emrettiği yere verilmiş olduğu gibi bir iddiada ise, keyfiyeti, haciz ihbarnamesinin kendisine tebliğinden itibaren yedi gün içinde icra dairesine yazılı veya sözlü olarak bildirmeye mecburdur. Üçüncü şahıs, haciz ihbarnamesinin kendisine tebliğinden itibaren yedi gün içinde itiraz etmezse, mal yedinde veya borç zimmetinde sayılır ve kendisine gönderilen haciz ihbarnamesine süresinde itiraz etmediği, bu nedenle de malın yedinde veya borcun zimmetinde sayıldığı ikinci bir ihbarname ile bildirilir. Bu ikinci ihbarnamede ayrıca, üçüncü şahsın ihbarnamenin kendisine tebliğinden itibaren yedi gün içinde ikinci fıkrada belirtilen sebeplerle itirazda bulunması, itirazda bulunmadığı takdirde zimmetinde sayılan borcu icra dairesine ödemesi veya yedinde sayılan malı icra dairesine teslim etmesi istenir. İkinci ihbarnameye süresi içinde itiraz etmeyen ve zimmetinde sayılan borcu icra dairesine ödemeyen veya yedinde sayılan malı icra dairesine teslim etmeyen üçüncü şahsa on beş gün içinde parayı icra dairesine ödemesi veya yedinde sayılan malı teslim etmesi yahut bu süre içinde menfi tespit davası açması, aksi takdirde zimmetinde sayılan borcu ödemeye veya yedinde sayılan malı teslime zorlanacağı bildirilir. Bu bildirimi alan üçüncü şahıs, icra takibinin yapıldığı veya yerleşim yerinin bulunduğu yer mahkemesinde süresi içinde menfi tespit davası açtığına dair belgeyi bildirimin yapıldığı tarihten itibaren yirmi gün içinde ilgili icra dairesine teslim ettiği takdirde, hakkında yürütülen cebri icra işlemleri menfi tespit davası sonunda verilen kararın kesinleşmesine kadar durur. Bu süre içinde 106 ncı maddede belirtilen süreler işlemez. Bu davada üçüncü şahıs, takip borçlusuna borçlu olmadığını veya malın takip borçlusuna ait olmadığını ispat etmeye mecburdur. Üçüncü şahıs açtığı bu davayı kaybederse, mahkemece, dava konusu şeyin yüzde yirmisinden aşağı olmamak üzere bir tazminata mahkûm edilir. Bu fıkraya göre açılacak menfi tespit davaları maktu harca tabidir…” hükmüne yer verildiği,
  • Borçlunun üçüncü kişilerdeki mal ve alacakları için İcra Müdürlüğünce el koyma imkânı bulunduğundan, üçüncü kişilerin bünyesinde bulunan mal ve alacakların haczinde, haczin etkisiz bırakılmasının önlenmesi amacıyla İİK’nın 89 uncu maddesinde yer alan kuralların düzenlendiği, bu hususta ilgili maddenin İcra Müdürlüğü tarafından uygulanabilecek usulü ve alacaklı ile üçüncü kişinin başvurabileceği imkânları düzenlediği, İİK’nın 89 uncu maddesinin borçlunun üçüncü kişilerdeki mal ve alacaklarının nasıl haczedileceğinden ziyade, yapılan haczin korunmasına yönelik muhafaza tedbirlerini düzenlediği, borçlunun üçüncü kişilerdeki alacağı kavramına; maaş veya ücreti, borçlunun bir bankadaki mevduatı, üçüncü kişiye ödünç vermiş olduğu para, satmış olduğu malın satış bedeli, kiraladığı taşınmazın kira bedeli, borçlunun bir şirketteki kâr veya tasfiye payı, taraf bulunduğu cari hesap sözleşmesinde diğer taraftan alacaklı olduğu hesap bakiyesinin örnek olarak gösterilebildiği,
  • Benzer nitelikte bir olayda, Yargıtay 12. Hukuk Dairesinin 15.04.2013 tarihli ve E:2013/5621 K:2013/14186 sayılı kararında, " ... Buna göre kural olarak icra müdürünün haciz talebini yerine getirme konusunda herhangi bir takdir yetkisi bulunmadığının kabulü gerekir. ... Görüldüğü gibi burada tanınan takdir yetkisi, İİK’nın 82. maddesi kapsamında malın haczi kabil olup olmadığı ile sınırlı olup, icra müdürünün bunun dışında, örneğin malın 3. kişiye ait olduğu ya da somut olayda olduğu gibi haciz ihbarnamesi gönderilmesi istenen kişilerin borçluya nazaran 3. kişi sayılamayacakları gerekçesi ile haciz talebinin veya haciz ihbarı gönderilmesi isteminin yerine getirilmesi konusunda herhangi bir takdir yetkisinin bulunmadığı tartışmasızdır. Haczi talep edilen malın üçüncü kişiye ait olduğunun iddia edilmesi halinde istihkak prosedürünün uygulanacağı ya da kendisine haciz ihbarı gönderilen kişinin 3. kişi olmadığı yönündeki iddiasını İİK’nın 16. maddesi uyarınca şikayet yoluyla icra mahkemesinde ileri sürebileceği tabidir. ..." şeklinde açıklamalara yer verilerek, haciz ihbarnamesi gönderilmesi istenen kişilerin borçluya nazaran üçüncü kişi sayılamayacakları gerekçesi ile haciz ihbarı gönderilmesi isteminin yerine getirilmesi konusunda İcra Müdürünün herhangi bir takdir yetkisinin bulunmadığı hususunun vurgulandığı

değerlendirmelerinden hareketle;

  • İlgili kişilerin kişisel verilerinin üçüncü kişilerle paylaşılması hususuna ilişkin olarak; İcra ve İflas Kanununun 89 uncu maddesi kapsamında borçlunun üçüncü kişilerdeki alacağının tahsili amacıyla alacaklı tarafından bildirilen gerçek veya tüzel kişilere İcra Müdürlüklerince birinci haciz ihbarnamesi gönderilmesinde hukuken engel bulunmadığına, İcra Müdürlükleri nezdinde gerçekleştirilen ilgili kişilerin kişisel verilerinin işlenmesi faaliyetinin Kanunun 5 inci maddesinin (2) numaralı fıkrası kapsamında ‘Kanunlarda açıkça öngörülme’ şartına dayanılarak gerçekleştirildiğine, bu çerçevede söz konusu başvuruya ilişkin olarak Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.
03.09.2020: “Bir sigorta şirketinin ilgili kişiye vereceği hizmeti açık rıza şartına bağlaması sebebiyle Kuruma iletilen şikâyet”
Karar Tarihi : 03/09/2020
Karar No : 2020/667
Konu Özeti : Bir sigorta şirketinin ilgili kişiye vereceği hizmeti açık rıza temini şartına bağlaması

 

Kuruma intikal eden şikâyet dilekçesinde özetle; ilgili kişinin veri sorumlusu bir sigorta şirketine başvurarak ailesi adına düzenlettiği sağlık sigortası poliçesini yeniletmek istediği; ancak veri sorumlusunun kendisinden poliçeyi yenilemek için açık rıza almak istediği ifade edilmiş olup bu durumun 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) aykırı olduğu gerekçesi ile veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Başvurunun değerlendirilmesi neticesinde Kişisel Verileri Koruma Kurulunun 03/09/2020 tarihli ve 2020/667 sayılı Kararı ile;

  • Kanunun “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6 ncı maddesinin (1) numaralı fıkrasında özel nitelikli kişisel verilerin “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” olarak sayıldığı, özel nitelikli verilerin işlenmesine ilişkin ise; “(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.” hükümlerine yer verildiği,
  • Bu kapsamda; sağlık sigortası poliçesinin özel nitelikli kişisel veri niteliğini haiz sağlık verilerini içerdiği, poliçede yer alan sağlık verilerinin ise Kanunun 6 ncı maddesinin (3) numaralı fıkrası kapsamında işlenemeyeceği, veri işlemenin ancak ilgili kişiden açık rıza alınması yoluyla gerçekleştirilebileceği ve bu nedenle ilgili kişiden açık rıza alınması talebinin Kanuna aykırılık teşkil etmediği

değerlendirmelerinden hareketle söz konusu şikâyet ile ilgili olarak Kanun kapsamında tesis edilecek bir işlem bulunmadığına karar verilmiştir.

30.06.2020: “Bazı avukatların avukat sorgulama siteleri ile ilgili ihbar başvuruları”
Karar Tarihi : 30/06/2020
Karar No : 2020/508
Konu Özeti : Bazı avukatların, avukat sorgulama siteleri ile ilgili ihbar başvuruları

 

Kuruma intikal eden ihbarlarda, ihbar başvurusu sahiplerinin muhtelif avukat sorgulama sitelerinde taraflarına ait ad soyadı, kayıtlı bulundukları baro, baro ve Türkiye Barolar Birliği (TBB) sicil numaraları, e-posta adresleri ve fotoğraflarının yayımlandığı, söz konusu verilerin rızaları olmaksızın hukuka aykırı olarak elde edildiği, bahsi geçen internet sitelerince gerek taraflarına gerek çok sayıda avukata ait kişisel verilerin hukuka aykırı olarak elde edildiği ve bu suretle paylaşıldığı, söz konusu internet sitelerinde ve bu siteler ile ilişkili bulunan kurum/kuruluş ya da alan adında yer alan tüm profillerin kaldırılması gerektiği yönünde ihbarda bulunularak gereğinin yapılması talep edilmiştir.

Konuya ilişkin yapılan değerlendirmede, Kişisel Verileri Koruma Kurulunun 30/06/2020 tarih ve 2020/508 sayılı Kararı ile,

  • 1136 sayılı Avukatlık Kanununun “Baroya yazılma istemi” başlıklı 6 ncı maddesinin, “4 üncü maddedeki koşulları taşıyanlar başvurdukları yer barosu levhasına yazılmalarını dilekçe ile isteyebilirler.” hükmünü, “Avukatlık yetkilerinin başkaları tarafından kullanılmaması” başlıklı 63 üncü maddesinin “… Baro levhasında yazılı bulunmayanlar avukatlık unvanını da taşıyamazlar…” hükmünü haiz olduğu, Avukatlık Kanununun “Levhaya yazılma yükümlülüğü” başlıklı 66 ncı maddesi uyarınca, her avukatın bölgesi içinde sürekli olarak avukatlık edeceği yerin baro levhasına yazılmakla yükümlü olduğu, dolayısıyla avukatlık görevini ifa edecek kişiler için baro levhasına yazılmanın kanuni bir yükümlülük olduğu, bu yükümlülüğü yerine getirmeden avukatlık görevini icra etmenin mümkün olmadığı,
  • Avukatlık Kanununun “Avukatlar listesi” başlıklı 75 inci maddesinde, “Baro yönetim kurulu üç yılda bir bölgesi içinde bulunan ve baro levhasında yazılı olan bütün avukatların bir listesini son yılın 31 Aralık tarihine kadar düzenler. Listeye her avukatın alfabe sırasıyla adı, soyadı, büro ve konut adresi yazılır. Birlikte çalışan avukatların büroları ve avukatlık ortaklıkları listede ayrıca belirtilir. Levhadaki değişiklikler her yıl sonunda düzenlenecek ek listede gösterilir. Bu listenin düzenlenme şekli Türkiye Barolar Birliğince tespit edilir. Listenin düzenlenmesinden sonra baro levhasına yazılanlara yeni listenin düzenlenmesine kadar kullanılacak geçici bir belge verilir. Listeden Anayasa Mahkemesine, Yüksek Mahkemelere, Adalet Bakanlığına, Türkiye Barolar Birliğine, diğer barolara, baronun bölgesi içinde bulunan mahkemelerle Cumhuriyet Savcılıklarına, en büyük idare amirine, diğer yargı mercilerine, noterlere ve icra ve iflas dairelerine yeteri kadar gönderilir.” düzenlemesinin yer aldığı, bu kapsamda, baro levhasının, her baronun bünyesinde bulunan avukatlar listesinin TBB ya da baroların internet sayfalarında yayımlanan tezahürü olduğu kanaatine varıldığı,
  • Buna ek olarak TBB ve il barolarının internet sayfalarında yayımlanan avukat bilgilerinin genel olarak; fotoğraf (biyometrik veya normal), baro sicil numarası, birlik sicil numarası, ad, soyadı, adres, iş telefonu, fax numarası, cep telefonu, web adresi, e-posta adresi olduğu, bununla birlikte, yayımlanan bilgilerin barodan baroya farklılık gösterdiği ve bu yönde tek tip bir uygulama olmadığı, hangi bilgilerin yayımlanacağına ilişkin yukarıda ifade edilen hükümler dışında doğrudan bir yasal düzenleme bulunmadığının anlaşıldığı,
  • Baroya yazılma istemiyle birlikte baroya iletilen bilgilerin baro levhasında doğrudan yayımlandığı fakat daha sonradan avukatların söz konusu baroya başvurarak bu bilgileri güncelleme ya da sildirme imkânı olduğunun anlaşıldığı, 
  • TBB Başkanlığının 08.04.2016 tarihli 2016/24 numaralı duyurusunda, avukatlıkla birleşmeyen bir işte çalıştığını ve bu nedenle avukatlık yapmayacağını belirten talep sahiplerinin sadece adına avukatlık ruhsatnamesi düzenlenmesini talep edebileceği ve baro levhasına yazılma talebinin olmadığını belirten bir dilekçe alınması gerektiğinin görüldüğü, 
  • Söz konusu sitelerden birçoğunda ‘Bu siteye ulaşılamıyor’ ibaresinin yer aldığının görüldüğü, erişilebilen siteler incelendiğinde; internet sitelerinin ana sayfasında il barolarına ait butonlar olduğu, söz konusu butonlara basıldığında o ilde kayıtlı avukatlar listesine ilçelere göre ayrılmış şekilde ulaşılabildiği, ilçe ismine tıklandığında ise adresi o ilçede görünen avukat isimlerinin listesinin çıktığı, herhangi bir avukat ismine tıklandığında söz konusu profilin altında “Bu sayfada bulunan bilgiler … levhasından alınmıştır” şeklinde o avukat hangi il barosuna kayıtlı ise o baro levhasının belirtildiği, internet sitelerinin ana sayfasında “Hakkımızda, Gizlilik, Hukuki Uyarı, Avukat Sorgula, İcra Iban Numaraları, Avukat Ekle, İletişim” sekmelerinin yer aldığı, kullanıcıların bahsi geçen internet sitelerine giriş yaptıktan sonra arama butonuna herhangi bir isim yazmasıyla otomatik olarak https://cse.google.com.tr/cse/ uzantılı Google özel arama motoru (Google Custom Search) linkinin açıldığı ve ismin bu link üzerinde aratıldığı, internet sitelerinin “Gizlilik” bölümündeki “Kişisel Verilerin Korunması” başlığı altında, 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) uyarınca, veri sorumlusu sıfatıyla, mevzuatın izin verdiği durumlarda yurt içinde ve dışında üçüncü kişilere aktarılabileceği, “Kişisel Verilerin İşlenme Amaçları” başlığı altında sitenin, avukatların iletişim bilgilerinin müvekkiller veya avukat arayışında olan kişiler tarafından daha kolay bulunabilmesini amaçladığı, bu doğrultuda avukat bilgilerinin güncel tutulmaya çalışıldığı, yanlış ya da hatalı bilgiler için “Avukat Düzelt” ya da “Sorun Bildir” butonuyla kişilere düzeltme ve sorun bildirme imkanı tanındığı ve “Kişisel Verilerin Toplanma Yöntemleri ve Hukuki Sebepleri” başlığı altında, avukatların kişisel verilerinin baroların internet sitelerinden, sosyal medya veya diğer kamuya açık mecralardan ve kendi istekleri ile ekleme yaptıkları ‘Avukat ekle’ sayfasından elde edildiği, kişisel verilerin Kanunun ilgili maddelerinde (4,5,6) belirtilen şartlar çerçevesinde bu bildirimin Kişisel Verilerin İşlenme Amaçları bölümünde sayılan amaçlar için toplandığı, işlendiği, aktarıldığı ve saklandığının belirtildiği,
  • Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde, kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlanmış olup kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, bu çerçevede, kişisel verilerin ancak, hukuka ve dürüstlük kurallarına uygun şekilde, belirli, açık ve meşru amaçlar kapsamında, doğru ve gerektiğinde güncel olma şartıyla, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun olarak işlenebileceği,
  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin birinci fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, ikinci fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanunun “İstisnalar” başlıklı 28 inci maddesinin ikinci fıkrasında, bu Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16 ncı maddelerinin aynı fıkranın (b) bendinde yer alan ilgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi durumunda uygulanmayacağının belirtildiği,
  • Kişisel Verilerin Korunması Kanununa İlişkin Uygulama Rehberinin ‘Kişisel Verilerin İlgili Kişi Tarafından Alenileştirilmiş Olması’ başlığı altında; “İlgili kişinin kendisi tarafından alenileştirilen, bir başka ifadeyle herhangi bir şekilde kamuoyuna açıklanmış olan kişisel verileri işlenebilecektir. Bu duruma örnek olarak ise bir kişinin belirli hallerde kendisiyle iletişime geçilmesi amacıyla iletişim bilgilerini kamuya açık şekilde ilan etmesi verilebilir. Kurumsal internet sitelerinde, çalışanların işyeri telefon numaraları ve kurumsal elektronik posta adreslerinin üçüncü kişilerin erişimine açık şekilde paylaşılması halinde de alenileştirmeden söz edilebilir.” ifadelerinin yer aldığı

değerlendirmelerinden hareketle;

  • Bahsi geçen internet sitelerinden; birçoğuna ulaşılamadığı, erişilebilen sitelerde ise ilgili kişilerden sadece birinin profilinin bulunduğu, bu profilde ise yalnızca ilgili kişinin e-posta adresinin yer aldığı ve bu bilginin, ilgili kişinin kayıtlı olduğu ilin baro levhası ve TBB resmi internet sitesindeki profilinde de yer aldığı ve bahsi geçen sitelerin ilgili kişinin e-posta adresini TBB resmi internet sitesinden çekmiş olabileceği hususunda ilgili kişinin kendisi tarafından alenileştirilen kişisel verilerinin işlenebileceği kanaatine varıldığı ve işlenen kişisel verinin Kanunun 4 üncü maddesindeki genel ilkelere aykırı bir işleme faaliyeti olmadığına,
  • Bahsi geçen internet sitelerinde; il baroları levhalarında ve TBB internet sitelerinde yayımlanan bilgilerden farklı bir bilgi yayımlanmadığı, yayımlanan bilgilerin il baroları levhalarında ve TBB internet sitesinde yayımlanma amacından farklı bir amaçla yayımlandığına ilişkin bir tespit yapılamadığı, söz konusu kişisel verileri düzeltme veya silme imkânlarının ilgili kişilere tanındığı göz önünde bulundurulmakla mevcut ihbar başvuruları hakkında Kanunun 5 inci maddesinde yer verilen kişisel verilerin işlenme şartlarına aykırı bir durumun gerçekleşmediği kanaatine varıldığından Kanun kapsamında yapılacak bir işlem bulunmadığına

karar verilmiştir.

30.10.2019: “Bilimsel amaçlarla kayıt altına alınan bilimsel veri niteliğindeki kan, serum ve doku örneklerinin ihmal sonucu bozulması ve sonrasında imha edilmesi hakkındaki ihbar”
Karar Tarihi : 30/10/2019
Karar No : 2019/316
Konu Özeti : Bilimsel amaçlarla kayıt altına alınan bilimsel veri niteliğindeki kan, serum ve doku örneklerinin ihmal sonucu bozulması ve sonrasında imha edilmesi hakkındaki ihbar

 

Bir hastanede çalışan doktordan alınan ihbar dilekçesinde özetle; hastanede çalıştığı dönemde idarenin önerisi ile kronik hastalıklar ile ilgili yan dal polikliniklerini kurarak hasta verilerini, poliklinik bilgisayarı ve hastane veri sistemine klinik olarak, uzmanlar ve yan asistanları ile kaydetmeye başladıkları, ayrıca hastane idaresinin bilgisinde, etik kurul onayları alınmış ve bazılarında bilimsel araştırma projelendirmelerinde projelendirilmiş olarak, hastalara ait kan, serum ve doku örneklerini de -80 derecede derin soğutucuda toplamaya başladıkları, geçici görevinin bitmesi sonucu hastaneden ayrıldıktan sonra ilgili Hastane başhekimlerine veriler hakkında bilgi verildiği, ancak bilgilendirmelere rağmen ülkemizdeki tek doku ve kan bilimsel materyallerinin olduğu -80 derece dondurucuların gözden uzak klimasız bir odaya aktarıldığı, sonrasında da erimiştir denilerek ve kıymetli doku materyallerinin bilimsel hayata tekrar kazandırılıp kazandırılmayacağının araştırılmadan tutanak altında çöpe atıldığı dolayısıyla bilimsel verilerin korunmasında ihmalkar davranıldığı ve 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinde belirtilen veri güvenliğine ilişkin yükümlülüklerin yerine getirilmediği belirtilerek Kanun kapsamında gereğinin yapılması talep edilmiştir. 

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • İhbarda bulunan doktorun görev yaptığı dönemde de bundan sonraki süreçte de hasta kayıtlarının devamlılık esasına dayanılarak Gastroenteroloji Polikliniğinde tutulmaya devam edildiği ve hastaların takip ve tedavilerinin halen devam ettiği, bu hastaların Gastroenteroloji Kliniğine başvuruda bulunan, teşhis ve tedavileri yapılmış ve halen tedavi takipleri yapılan hastalar olduğu, kayıtlarının Sağlık Bakanlığının talimatları doğrultusunda elektronik olarak tutulduğu, hasta mahremiyeti esası ile hasta bilgilerinin, takip eden doktorlar ve ailesi dışında kimse ile paylaşılmadığı,
  • Buzdolaplarının 08.03.2018 tarihinde arıza verene kadar herhangi bir şekilde kullanılmadığı, arıza tutanaklarının tutulduğu, arıza esnasında Başhekimliğin bilgilendirildiği, buzdolaplarındaki materyallerin eridiğinin görüldüğü ve ilgili branşlara bu örneklerin kullanılıp kullanılamayacağının sorulduğu, bu işlemlerin de tutanak altına alındığı, bu esnada buzdolaplarının nasıl alındığının bilinmediği, Başhekimliğin bilgisinin olmadığı ve demirbaş kaydının alınmadığının görüldüğü, Başhekimliğin durumdan haberdar edilip onamları alınarak buzdolabı içindekilerin imha edildiği, Başhekimlik talimatı ile buzdolaplarının biyokimya laboratuvarına teslim edildiği,
  • Örneklerin Hastane yöneticiliğinin bilgisi ve talimatı doğrultusunda imha edildiği,  hasta bilgilerinin ve tarafına teslim edilen bilimsel çalışmalarda kullanılmak üzere hastalar tarafından bilgilendirilmiş onam formlarının olmaması ve örneklerin bozulmuş olması nedeniyle kimlik bilgileri ile eşleştirme yapılmasının da bilimsel bir anlamının olmadığı,
  • Örneklerin arıza nedeniyle erimiş olması nedeniyle bunlarla ilgili analiz yapılmadığı, yapılsa dahi bilimsel etik kuralları gereği hasta onamları olmaması nedeniyle hükümsüz olacağı, bu örneklerin başka araştırmalarda kullanılmadığı, örneklerin hastaların tedavisini etkilemek veya değiştirmek amacıyla değil olası bilimsel çalışmalar için toplandığının tahmin edildiği, toplanan örneklerin etik kurul onayları ve belgelendirilmiş onamları ile ilgili herhangi bir devir teslim yapılmadığı 

ifade edilmiştir.

Konuya ilişkin olarak yapılan incelemede Kişisel Verileri Koruma Kurulunun 30/10/2019 tarihli ve 2019/316 sayılı Kararı ile,

  • “Bilimsel veri, kan ve doku bankası” olarak adlandırılan ve dilekçe ekinde yer alan doküman ve resimlerden hastalara ilişkin örnekler üzerinde çeşitli barkodların olduğunun görülmesi ile doku ve kan bankasındaki listede bu örneklerin, isim ve ependorf (tüp) sayılarına göre dolaplara yerleştirildiğinin anlaşılması nedeniyle anılan örneklerin hasta kişilerin kimliğine ulaşılmasını sağlayabilecek olmasından hareketle kişisel veri, bu verilerin belirli kriterlere göre sınıflandırılarak kayda alınması işleminin ise kişisel veri işleme faaliyeti olarak değerlendirildiği, 
  • Bununla birlikte, Kanunun “İstisnalar” başlıklı 28 inci maddesinin (1) numaralı fıkrasının (c) bendi uyarınca kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi durumunda, bu Kanun hükümlerinin uygulanmayacağı

değerlendirmelerinden hareketle;

  • Hastalardan alınan kan, serum ve doku örneklerinin bilimsel amaçlarla kaydedildiği Kanunun 28 inci maddesi kapsamında bu verilerin işlenmesinin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmediği ya da suç teşkil etmediği değerlendirildiğinden şikâyet hakkında bu aşamada yapılacak bir işlem olmadığına karar verilmiştir.
     
06.02.2020: “Geçmiş sağlık verilerinin düzeltilmesine/silinmesine yönelik şikâyetler”
Karar Tarihi : 06/02/2020
Karar No : 2020/93
Konu Özeti : Geçmiş sağlık verilerinin düzeltilmesine/silinmesine yönelik şikâyetler

 

İlgili kişilerden alınan şikâyet dilekçelerinde özetle; geçmişte çeşitli sebeplerle kaydedilen sağlık raporlarının ve özellikle psikiyatrik hastalık tanılarının yaşamlarında sorun teşkil ettiği ve girmiş oldukları ve/veya girmeyi planladıkları çeşitli sınavların bu kayıtlardan dolayı olumsuz sonuçlandığı ve/veya sonuçlanacağı, ancak bu rapor/tanıların gerçeği yansıtmadığı ifadelerine yer verilerek söz konusu kişisel verilerin sağlık kayıtlarından düzeltilmesi ya da silinmesi talep edilmiştir.

Konuya ilişkin olarak başlatılan inceleme çerçevesinde veri sorumlusu Bakanlıktan alınan yazıda;

  • Anayasanın 20 nci maddesinde kişisel verilerin korunmasını isteme hakkının kişisel verilerin silinmesini talep etme hakkını da kapsadığı ifade edilse de kişisel verilerin korunmasına ilişkin usul ve esaslarının kanunla düzenleneceğinin öngörüldüğü ve buna ilişkin usul ve esasların 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) ile belirlendiği,
  • Kanunun 7 nci maddesi hükmünden de anlaşılacağı üzere Anayasanın 20 nci maddesinde yer alan kişisel verilerin silinmesini talep etme hakkının mutlak hak olmayıp bu hakkın ileri sürülmesinin belirli şartların varlığına bağlandığı, Kanun ve ikincil düzenlemelerle belirlenen bu şartların dayanağının yine Anayasanın 20 nci maddesinin son fıkrasında bulunan “Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” hükmü olduğu,
  • Buna ilaveten, 28.10.2017 tarihli ve 30224 sayılı Resmi Gazetede yayınlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 12 nci maddesinde 
    “ 1) İlgili kişi, Kanunun 13 üncü maddesine istinaden veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;
    a) Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir. b) Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder. c) Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.” hükmünün bulunduğu, dolayısıyla kişisel veri işleme şartlarının tamamının ortadan kalkmadığı gerekçesiyle ilgili kişilerin kişisel verilerinin silinmesi taleplerinin veri sorumlusu tarafından reddedilebileceği, bu Yönetmelik ile de bunun hüküm altına alındığı,
  • Anılan mevzuat hükümleri çerçevesinde kişilere kendi verilerini silme hakkının verilmediğinin değerlendirildiği, bu hususun Kanun ve ikincil düzenlemelerden de anlaşıldığı, veri silme taleplerinin ilgili kişi tarafından veri sorumlusuna iletilebileceği ve ancak belirli şartların varlığı halinde kişisel verilerin silinebileceğinin düzenlendiği,
  • Bu kapsamda, kişilerin sağlık geçmişlerinde yer alan psikiyatrik tanıların silinmesi halinde kamu güvenliği ve kamu düzeni bakımından çok ciddi tehditlerin gündeme gelebileceği, kişilerin kendilerine konulan psikiyatrik tanılar nedeniyle alamadıkları sürücü ehliyeti ve silah ruhsatı gibi belgeleri almaya hak kazanabilecekleri, gerçekte var olmasına ya da var olmadığı ispat edilmemiş olmasına rağmen silinen rahatsızlıkların etkileri ile istenmeyen olayların yaşanabileceğinin değerlendirildiği
  • Kanunun tam muafiyet hallerinin düzenlendiği 28 inci maddesinin birinci fıkrasında kamu güvenliği ve kamu düzenine yer verildiği ve önemlerine binaen bu şartlardan herhangi birisinin varlığı durumunda Kanunun uygulanmayacağına yer verildiği,
  • Ayrıca Kanunun 6 ncı maddesinin üçüncü fıkrasında yer alan “…Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.” hükmü kapsamında, sağlığa ilişkin verilerin tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi amacıyla ilgili kişilerin açık rızaları olmaksızın Bakanlıklarınca işlenebileceği, bu durumda verilerin işlenme sebeplerinin açık rıza değil, Kanunun 6 ncı maddesinin üçüncü fıkrasında yer alan amaçlar olduğu,
  • Sonuç olarak, ilgili kişilerin sağlık geçmişlerinde yer alan psikiyatrik tanıların, Bakanlıklarınca resen veya ilgili kişinin başvurusu üzerine kamu güvenliği ile kamu düzeni bakımından büyük bir tehdit doğuracağı ve bu sebeple ilgili tanıların silinmesinin uygun olmayacağının değerlendirildiği,
  • Diğer taraftan, Bakan Yardımcılığının 17.05.2019 tarihli Makam Oluru kapsamında sehven konulan tanıların silinmesi için tanı girişi yapan hekimin tanının hatalı kaydedildiğini bildiren yazısı, tanı girişinin yapıldığı sağlık tesisinin başhekim onaylı resmi yazısı veya hatalı kaydedildiği belirtilen tanının silinmesine ilişkin ilgili il sağlık müdürlüğünün ya da ilgili Genel Müdürlük yazısının Genel Müdürlüklerine iletilmesi gerektiği; 
  • Sehven kaydedildiği kanıtlanmamış tanılar için ise ilgili il sağlık müdürlüğüne başvurulması ve bünyesinde kurulan bir komisyon ya da ilgili il sağlık müdürlüğü tarafından görevlendirilen hekim vasıtası ile hatalı kaydedildiği iddia edilen tanının araştırılması, araştırma sonucunda tanının hatalı kaydedildiği sonucuna ulaşılması halinde düzenlenecek raporda “ilgili tanının kişide bulunup bulunmadığının” net şekilde ifade edilmesi ya da bu hususta bir eğitim araştırma hastanesinden alınacak heyet raporu ile birlikte sağlık tesisinin bağlı bulunduğu il sağlık müdürlüğüne başvuru yapılması gerektiği; bu sürecin takip edilmesi sonucunda sehven konulan tanılarla belirli bir muayene neticesinde konulmasına karşın kişi üzerindeki etkisi devam etmeyen tanıların silinmesinin mümkün bulunduğu 

belirtilmiştir.

Bahse konu şikayet başvurularının incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 06/02/2020 tarih ve 2020/93 sayılı Kararı ile;

  • 6698 sayılı Kanunun amacı kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olup, Kanunun 3 üncü maddesinde kişisel verinin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi şeklinde tanımlandığı,
  • Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde, kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, bu çerçevede, kişisel verilerin ancak, 
    a)Hukuka ve dürüstlük kurallarına uygun şekilde, 
    b)Belirli, açık ve meşru amaçlar kapsamında, 
    c)Doğru ve gerektiğinde güncel olma şartıyla, 
    ç)İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve
    d)İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
     ilkelerine uygun işlenebileceği,
  • Kanunun 6 ncı maddesinde ise özel nitelikli kişisel verilerin işlenme şartları düzenlenmiş olup, anılan maddenin;
    (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. 
    (2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. 
    (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. 
    (4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
    ” şeklinde hüküm altına alındığı,
  • Kanunun 7 nci maddesinin (1) numaralı fıkrasında, bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği, yok edileceği veya anonim hale getirileceğinin hükme bağlandığı,
  • Kişisel Verilerin Silinmesi Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin kişisel verilerin silinmesine ilişkin 7 nci maddesinin (1) numaralı fıkrasında Kanunun 5 inci ve 6 ncı maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi gerektiği; 8 inci maddesinin (1) numaralı fıkrasında kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi olarak tanımlanırken (2) numaralı fıkrasında veri sorumlusunun, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlü olduğunun düzenlendiği, 
  • Yönetmeliğin 12 nci maddesinin (1) numaralı fıkrasında ise ilgili kişinin, Kanunun 11 inci ve 13 üncü maddelerine istinaden veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde; kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusunun talebe konu kişisel verileri sileceği, yok edeceği veya anonim hale getireceği, ayrıca veri sorumlusunun, ilgili kişinin talebini en geç otuz gün içinde sonuçlandıracağı ve ilgili kişiye bilgi vereceğinin belirlendiği,
  • Kanunun 11 inci maddesinde ise ilgili kişilerin hakları sıralanmış olup, maddede  “Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; a) Kişisel veri işlenip işlenmediğini öğrenme, b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir” hükmüne yer verildiği,
  • 21.06.2019 tarihli ve 30808 sayılı Resmi Gazetede yayınlanan Kişisel Sağlık Verileri Hakkında Yönetmeliğin 4 üncü maddesinin birinci fıkrasının (k) bendinde kişisel verilerin imha edilmesinin;  kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi şeklinde tanımlandığı,
  • Anılan Yönetmeliğin “Kişisel Sağlık Verilerinin Düzeltilmesi” başlıklı 13 üncü maddesinin;
    (1) İlgili kişi, kendisi hakkında sehven oluşturulan sağlık verilerinin düzeltilmesi hususunda sağlık verisinin oluşturulduğu sağlık hizmeti sunucusunun bağlı bulunduğu il sağlık müdürlüğüne başvurur. İl sağlık müdürlüğü, ilgili sağlık hizmeti sunucusunda yapacağı araştırma neticesinde sağlık verisinin sehven oluşturulduğu bilgisine ulaşırsa resmi yazı ile Genel Müdürlüğe başvurur ve sehven oluşturulan sağlık verisinin düzeltilmesini ister.
    (2) Genel Müdürlük tarafından tesis edilecek işlem, sağlık hizmeti sunucusunun kendi veri tabanında da gerçekleştirilir.
    (3) Genel Müdürlük, sağlık hizmeti sunucuları tarafından oluşturulan sağlık verilerinin kendileri tarafından düzeltilebileceği tarihi belirler ve bu tarihi ihtiyaca göre günceller. Genel Müdürlükçe belirlenen bu tarihten sonra oluşturulan sağlık verileri ilgili sağlık hizmeti sunucusu tarafından; bu tarihten önce oluşturulan sağlık verileri ise ilgili il sağlık müdürlüğünün talebi üzerine Genel Müdürlükçe düzeltilir.” ve kişisel sağlık verilerinin imha edilmesi başlıklı 14 üncü maddesinin “(1) Kişisel verilerin imha edilmesinde, Kanunun 7 nci maddesi ile Kurum tarafından hazırlanarak 28/10/2017 tarihli ve 30224 sayılı Resmî Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine riayet edilir.
    ” hükmünü amir olduğu

değerlendirmelerinden hareketle;

  • İlgili kişilerin kişisel sağlık verilerinin düzeltilmesi talepleri hususunda, Kişisel Sağlık Verileri Hakkında Yönetmeliğin 13 üncü maddesi kapsamında ilgili il sağlık müdürlüklerine başvuruda bulunmaları ve il sağlık müdürlükleri tarafından başvurularına olumsuz cevap verilmesi sebebiyle Kurula yaptıkları şikâyetler kapsamında; kişisel sağlık verilerinin işlenme şartlarının “kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi” şartının ortadan kalkmaması sebebiyle kaydedilen sağlık verilerinin bu amaca hizmet ettiği dikkate alındığında bahse konu şikâyetler ile ilgili olarak Kanun kapsamında yapılacak bir işlem olmadığına,
  • İlgili kişilerin kişisel sağlık verilerinin silinmesine ilişkin talepleri hususunda kişisel sağlık verilerinin işlenme şartlarından “kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi” şartının ortadan kalkmaması sebebiyle kaydedilen sağlık verilerinin bu amaca hizmet ettiği dikkate alındığında bu verilerin Bakanlık tarafından Kanunun 6 ncı maddesinin üçüncü fıkrası kapsamında işlendiği ve söz konusu işleme şartlarının ortadan kalkmaması nedeniyle Kanun kapsamında yapılacak bir işlem olmadığına

karar verilmiştir.

30.01.2020: “Veri sorumlusu ve veri işleyenin tespitinde göz önünde bulundurulması gereken hususlar ile aydınlatma yükümlülüğünün kim tarafından yerine getirileceği”
Karar Tarihi : 30/01/2020
Karar No : 2020/71
Konu Özeti : Veri sorumlusu ve veri işleyenin tespitinde göz önünde bulundurulması gereken hususlar ile aydınlatma yükümlülüğünün kim tarafından yerine getirileceği

 

  1. Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 3 üncü maddesinin birinci fıkrasının (ı) bendi uyarınca veri sorumlusu; “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi”yi ifade etmektedir. Bu çerçevede, kişisel verilerin işlenmesine ilişkin kararları alma, işleme faaliyetinin amacı, bu faaliyetin ne zaman başlayacağı kimler tarafından gerçekleştirileceği ve benzeri hususlarda karar verme yetkisi veri sorumlusuna aittir. Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen veri sorumlusu,  veri işleme faaliyetinin temel araçlarını ve amaçlarını; veri işlemenin “neden” ve “nasıl” olacağını belirlemektedir. Diğer bir deyişle, teknik ve organizasyona ait araçların belirlenmesi, veriye kimin erişeceği, hangi verilerin işleneceği, bu verilerin ne kadar süre tutulacağı, ne şekilde saklanacağı gibi veri işlemeye ilişkin temel unsurlar veri sorumlusu tarafından belirlenmektedir. Bununla birlikte veri sorumlusu, kişisel verilerin korunmasına yönelik mevzuata uyumla ilgili tedbirlerin alınmasından, veri işleyeni denetimden ve ilgili kişilerin haklarını kullanabilmesini sağlamaktan sorumludur. Veri sorumlusunun özerk ve bağımsız olması da önem arz etmektedir. Veri sorumlusu kimseden emir ve talimat almayan, bilakis bir başka kişiye veri işletmesi halinde bu hususta emir ve talimat veren, veri işleme süreçlerinin her anında serbestçe karar verme yetkisine sahip olan gerçek veya tüzel kişilerdir. 

29’uncu Madde Çalışma Grubu’nun   veri sorumlusu ve veri işleyene yönelik yayınlamış olduğu 1/2010 sayılı tavsiye kararı uyarınca da veri sorumlusunun belirlenmesine yönelik çeşitli kriterler getirilmiştir. Benzer şekilde, Avrupa Veri Koruma Denetmeni tarafından 7 Kasım 2019 tarihli “2018/1725 Numaralı Tüzük Kapsamında Veri Sorumlusu, Veri İşleyen ve Müşterek Veri Sorumlusu Kılavuzu” yayımlanmıştır. Bu kılavuz, 29’uncu Madde Çalışma Grubu tavsiye kararı ile de örtüşmektedir. İlgili düzenlemelerde de Kanunla benzer veri sorumlusu tanımı yapılarak veri sorumlusu kavramı irdelenmiştir. Sayılan ulusal ve Avrupa Birliğinde mevcut tüm düzenlemelerin değerlendirilmesi ışığında, veri sorumlusunun tespiti için aşağıdaki hususlara kimin karar verdiği belirleyici olmakta, bu kapsamda söz konusu kriterlerin çoğunu gerçekleştirenler, veri sorumlusu olarak değerlendirilmektedir.

  • Kişisel verilerin toplanması ve toplama yöntemi,
  • Toplanacak kişisel veri türleri,
  • Hangi bireylerin kişisel verilerinin toplanacağı,
  • Kişisel verinin işlenmesine ve kimin işleyeceğine karar verme,
  • İşleme faaliyetinin temel unsurlarına karar verme (hangi kişisel verilerin toplanacağı, toplanan verilerin hangi amaçlarla kullanılacağı ve ne şekilde işleneceği, verilerin ne kadar süreyle saklanacağı, veri saklama politikasının ne şekilde olacağı, verilere kimlerin erişme yetkisi olacağı, alıcıların kim olacağı gibi hususlar işlemenin temel unsurlarına örnek olarak gösterilebilir)
  • Toplanan verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kiminle paylaşılacağı, 
  • Kişisel verilerin işlenmesinde üst düzeyde, herhangi bir emir ve talimat almadan karar verebilme,
  • İlgili kişilerle doğrudan muhatap olma,
  • Kendi adına veri işleme faaliyetini yürütecek bir veri işleyen atama,
  • İşleme faaliyetinden menfaat sağlama.
  1. Veri işleyen ise,  Kanunun 3 üncü maddesinin birinci fıkrasının (ğ) bendinde “Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi” olarak tanımlanmıştır. Veri işleyenin faaliyetleri, veri işlemenin daha çok teknik kısımları ile ilgilidir. Kişisel verilerin işlenmesine ilişkin kararların alınması yetkisi ise veri sorumlusuna aittir. Veri işleyen, veri sorumlusu adına kişisel verileri işlemekte olup, veri sorumlusunun belirlemiş olduğu temel amaç ve araçlar ve veri sorumlusunun verdiği yetki doğrultusunda veri işleme faaliyetini gerçekleştirmektedir. Diğer bir deyişle veri işleyen, veri sorumlusunun çıkarlarını gözeten, kendisine verilen belirli görevleri aldığı talimatlar doğrultusunda yerine getirmekle yükümlü olan taraftır. Bu çerçevede, veri işleyenin verileri hukuka uygun olarak işlemesi veri sorumlusunun vermiş olduğu emir ve talimatlara uyduğu ölçüde gerçekleşecektir. 

Belirtmekte fayda görülmektedir ki, veri sorumlusunun yetki vermesi halinde, veri işleyen veri işleme faaliyetleri esnasında önemli ölçüde bir özerkliğe sahip olabilir ve bu doğrultuda işleme faaliyetinin temel olmayan öğelerini de tanımlayabilir. Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi veri işleyen tarafından işlenmesi halinde; alınan her türlü teknik ve idari tedbirler hususunda bu kişilerle birlikte müştereken sorumludur. Bununla birlikte veri sorumlusu, yapacağı kişisel veri işleme sözleşmesi ile;

  • Kişisel verilerin toplanması için hangi bilgi teknolojileri sistemlerinin veya diğer metotların kullanılacağı, 
  • Kişisel verilerin hangi yöntemle saklanacağı, 
  • Kişisel verilerin korunması için alınacak güvenlik önlemlerinin detayları, 
  • Kişisel verilerin aktarımının hangi yöntemle yapılacağı, 
  • Kişisel verilerin saklanmasına ilişkin sürelerin doğru uygulanabilmesi için kullanılacak metot, 
  • Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi yöntemleri 

hususlarında karar verme yetkisini veri işleyene bırakabilir. Yani, özellikle bazı teknik konularda veri sorumlusunun menfaatlerine bağlı kalmak ve talimatlarına uymak koşuluyla, veri işleyen de bazı konularda karar verme yetkisini haiz olabilir. Diğer taraftan, veri işleyenin tespiti için genel itibariyle; 

  • Kişisel veri işlemek için başkasından talimat alınması,
  • Kişisel verilerin kişilerden toplanması sürecinde karar verme yetkisine sahip olmamak,
  • Kişisel verilerin kullanım amaçlarının belirlenmemesi,
  • Verilerin ne şekilde ifşa olabileceğine, kimlerin bu verilere erişebileceğine karar verme yetkisine sahip olmamak,
  • Veri saklama sürecine karar verme yetkisine sahip olmamak,
  • Veri işlemenin sonuçlarından sorumlu olmaması, 
  • Veri sorumlusu ile yapılacak sözleşme gibi yasal bağlayıcılığı olan anlaşmalar çerçevesinde veri sorumlusunun verdiği yetkiler çerçevesinde kişisel verilerin işlenmesine yönelik birtakım karar verme mekanizmalarının söz konusu olup olmadığı

hususları değerlendirilmek suretiyle yukarıda sayılanların çoğunun bulunması halinde veri işleme faaliyetini gerçekleştiren veri işleyen olarak kabul edilecektir. 

  1. Öte yandan, Kanunun muhtelif hükümlerinde veri sorumlusuna birtakım yükümlülükler getirilmiştir. Bu yükümlülükler başlıca “aydınlatma yükümlülüğü, veri güvenliğine ilişkin yükümlülükler, ilgili kişiler tarafından yapılan başvuruların cevaplanması ve Kişisel Verileri Koruma Kurulunun (Kurul) kararlarının yerine getirilmesi yükümlülüğü, veri sorumluları siciline kaydolma yükümlülüğü” olarak sayılabilir. Kanun koyucu kişisel verileri işlenen ilgili kişilere bu verilerinin kim tarafından, hangi amaçlarla ve hukuki sebeplerle işlenebileceği, kimlere hangi amaçlarla aktarılabileceği hususunda bilgi talep etme hakkı tanımakta ve bu hususları, veri sorumlusunun aydınlatma yükümlülüğü kapsamında ele almaktadır. Buna göre veri sorumlusu, Kanunun 10 uncu maddesi çerçevesinde kişisel verilerin elde edilmesi sırasında bizzat veya yetkilendirdiği kişi aracılığıyla aşağıdaki bilgileri ilgili kişiye sağlamakla yükümlüdür:
  • Veri sorumlusunun ve varsa temsilcisinin kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  • 11 inci maddede sayılan diğer hakları.

Veri Sorumluları Siciline kayıt yükümlülüğünün bulunması durumunda aydınlatma yükümlülüğü çerçevesinde ilgili kişiye verilecek bilgiler, Sicile açıklanan bilgilerle uyumlu olmalıdır. Aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişinin onayına tabi değildir. Tek taraflı bir beyanla aydınlatma yükümlülüğü yerine getirilebilir. Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı ise veri sorumlusuna aittir. Ayrıca belirtmek gerekir ki, Kanunun 10 uncu maddesinde yer alan aydınlatma yükümlülüğü “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ” (Aydınlatma Tebliği) hükümlerine uygun olarak yerine getirilmelidir. Her ne kadar aydınlatma yükümlülüğü veri sorumlusuna ait olsa da veri işleyene verdiği talimatlar doğrultusunda veri işleyen tarafından da aydınlatma yükümlülüğünün yerine getirilebileceği değerlendirilmektedir. Nitekim, Kanunun 10 uncu maddesinde “kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi aracılığıyla” denilmek suretiyle veri sorumlusuna aydınlatma yükümlülüğü konusunda iki seçenek tanınmıştır. Diğer bir deyişle, aydınlatma yükümlülüğünün bizzat veri sorumlusu tarafından mı yoksa yetkilendireceği kişi tarafından mı yerine getirileceği konusunda Kanun, veri sorumlusuna seçim hakkı tanımıştır.

Sonuç olarak; Kanunun 10 uncu maddesinde düzenlenen “aydınlatma yükümlülüğü” bizzat veri sorumlusu tarafından veya veri sorumlusunun yetkilendirdiği bir kişi tarafından yerine getirilebilir. Veri sorumlusu tarafından yetkilendirilen kişi de veri işleyen olabilir. 

27.01.2020: “İlgili kişinin irtibat numarasının bir elektrik dağıtım şirketi tarafından herhangi bir işleme şartına dayanılmaksızın işlenmesi”
Karar Tarihi : 27/01/2020
Karar No : 2020/66
Konu Özeti : İlgili kişinin irtibat numarasının herhangi bir veri işleme şartına dayanmaksızın işlenmesi

 

Kuruma intikal eden bir şikâyette özetle; ilgili kişinin irtibat numarasına, bir elektrik dağıtım firması tarafından kendisine ait olmayan birkaç elektrik abone numarasına ilişkin farklı konularda bilgilendirme amaçlı SMS’ler gönderildiği, söz konusu aboneliklere dair bilgilendirme mesajı almak istemediği, kendisine ait irtibat numarasının söz konusu sözleşmelerin iletişim bilgilerinden silinmesi ve başvurusunun sonucu hakkında yazılı olarak haberdar edilmesi konusunda veri sorumlusuna abone numarası sayısı kadar başvuruda bulunulduğu, ancak veri sorumlusu tarafından başvuru kapsamında herhangi bir işlem yapılmadığı ve kendisine cevap verilmediği, buna karşın irtibat numarasına hâlen bilgilendirme mesajı gönderildiği belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gerekli işlemin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda; incelemeye konu talep değerlendirilmiş olup ilgili kişi adına kayıtlı olan irtibat numarasında güncelleme yapıldığı ifade edilmiş ancak bu durumu tevsik edici herhangi bir doküman gönderilmemiştir.

İlgili kişinin şikayeti, veri sorumlusunun savunması ve ilgili mevzuat hükümlerinin birlikte incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 27/01/2020 tarih ve 2020/66 sayılı Kararı ile;

  • Kanunun 3 üncü maddesinin (1) numaralı fıkrasının (d) bendi uyarınca kişisel verinin; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, (e) bendi uyarınca kişisel verilerin işlenmesinin; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,  (ç) bendi uyarınca ilgili kişinin; kişisel verisi işlenen gerçek kişiyi, (ı) bendi uyarınca veri sorumlusunun; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişiyi ifade ettiği,
  • Yukarıda aktarılan “kişisel veri” tanımına istinaden cep telefonu numarasının kimliği belirli bir gerçek kişiye ulaşılmasını sağladığından, şikâyette bulunanın ilgili kişi sıfatını ve şikâyet edilen elektrik dağıtım şirketinin veri sorumlusu sıfatını haiz olduğu,
  • Kanunun “İlgili Kişinin Hakları” başlıklı 11 inci maddesinde, “herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
    a)Kişisel veri işlenip işlenmediğini öğrenme,
    b)Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
    c)Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
    ç)Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
    d)Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
    e)7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
    f)(d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
    g)İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
    ğ)Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.
    ” hükmüne yer verildiği,
  • İlgili kişinin veri sorumlusuna yaptığı başvuruda talebi, her ne kadar cep telefonu numarasının kendisine ait olmayan aboneliklere yönelik veri işleme faaliyetlerine ilişkin olarak silinmesi olarak belirtilse de, yukarıda aktarılan Kanunun 11 inci maddesi bağlamında bu talebin “kişisel verilerin eksik ya da yanlış işlenmiş olması halinde düzeltilmesini isteme” hakkıyla örtüştüğü, zira Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 8 inci maddesinin (1) numaralı fıkrasında kişisel verilerin silinmesinin, “kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir” şeklinde tanımlandığı bu bakımdan, ilgili kişinin veri sorumlusunun dağıtımını üstlendiği elektrik hizmetinden yararlanmaya devam eden bir sözleşmesinin olup olmadığı bilinemediğinden ve veri sorumlusunun, kendisinden istenilen bilgi ve belge talebinde bu hususta bir açıklama yapmadığından talebin Kanun kapsamındaki silme işlemi değil “...düzeltilmesini isteme” olarak değerlendirilmesi kanaatine varıldığı,
  • Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin 6 ncı maddesinin (1) numaralı fıkrasında “Veri sorumlusu bu Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlüdür.” (2) numaralı fıkrasında “Veri sorumlusu, başvuruyu kabul eder veya gerekçesini açıklayarak reddeder.” (5) numaralı fıkrasında “Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyet gerektirmesi hâlinde, 7 nci maddede belirtilen ücret alınabilir. Başvurunun, veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.” düzenlemelerine yer verildiği,
  • Veri sorumlusunun ilgili kişinin Tebliğ hükümlerine göre yaptığı başvuruya kendisine tanınan 30 günlük süre içerisinde cevap vermediğinden Tebliğin 6 ncı maddesinin (2) ve (5) numaralı fıkralarına aykırılık ortaya çıktığı, ilgili kişinin başvurusuna neden cevap verilmediğinin veri sorumlusuna gönderilen bilgi, belge yazısında sorulduğu, ancak veri sorumlusunun bu hususta herhangi bir cevap vermediği,
  • Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde ise kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, bu çerçevede, kişisel verilerin ancak;  hukuka ve dürüstlük kurallarına uygun şekilde,  belirli, açık ve meşru amaçlar kapsamında, doğru ve gerektiğinde güncel olma şartıyla, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceği,
  • Kanunun kişisel verilerin işlenme şartlarının belirlendiği 5 inci maddesinin (1) numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmadan işlenemeyeceği hüküm altına alınmış olmakla birlikte, (2) numaralı fıkrasında, kişisel verilerin
    a)Kanunlarda açıkça öngörülmesi,
    b)Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
    c)Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
    ç)Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
    d)İlgili kişinin kendisi tarafından alenileştirilmiş olması,
    e)Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
    f)İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
     şartlarından birinin varlığı halinde ilgili kişinin açık rızası aranmaksızın işlenebileceğinin hükme bağlandığı,
  • İlgili kişinin irtibat numarasının kendisine ait olmayan aboneliklerde kullanıldığına dair veri sorumlusu tarafından Kuruma herhangi bir açıklama yapılmadığı, ayrıca Kuruma intikal eden cevabi yazısında belirttiği hususa dair destekleyici bir doküman sunulmadığı, bu sebeple ilgili kişinin irtibat numarasının işlenmesine ilişkin Kanunun 5 inci maddesinde belirtilen kişisel veri işleme şartlarının bulunup bulunmadığının tespitine imkân tanınmadığı, ancak mezkûr cevabi yazıda ilgili kişi adına sistemde kayıtlı olan telefon numarasında güncelleme yapıldığı açıklamasından hareketle, veri sorumlusu tarafından ilgili kişinin irtibat numarasının kişisel veri işleme faaliyetine dâhil edildiği,
  • Kanunda belirtilen veri işleme ilkelerinden “Doğru ve Gerektiğinde Güncel Olma İlkesi” uyarınca, veri sorumlusunun her zaman ilgili kişinin bilgilerinin doğru ve güncel olmasını temin edecek kanalları açık tutması gerektiği, bu ilkenin aslında kişisel verilerin düzeltilmesini isteme hakkıyla ilişkili olduğu, bu bakımdan, ilgili kişinin dilekçe ile yaptığı başvuruların işleme alınmasında zorluk çıkarılması ve kabul edildikten sonra süresi içinde ilgili kişiye talebine ilişkin olarak dönüş yapılmamasının bu ilkeye aykırı olarak hareket edildiğinin ve ilgili kişinin hakkını kullanamamasına yol açtığının bir göstergesi olduğu

değerlendirmelerinden hareketle 

  • Kanunun 13 üncü maddesinin (2) numaralı fıkrasında “Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyet gerektirmesi halinde, Kurulca belirlenen tarifedeki ücret alınabilir”   hükmü ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin 6 ncı maddesinin (1) numaralı fıkrasındaki “Veri sorumlusu bu Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlüdür.” hükmüne istinaden ilgili kişinin başvurusunu süresi içinde cevaplamayan veri sorumlusunun Kanun kapsamında yöneltilen başvuruları zamanında, tam ve eksiksiz olarak cevaplaması hususunda talimatlandırılmasına,
  • Mevcut bilgi ve belgeler bir bütün olarak değerlendirildiğinde; veri sorumlusu tarafından ilgili kişinin cep telefonu numarasının, Kanunun 4 üncü maddesinde belirtilen “Belirli, açık ve meşru amaçlar için işlenme” ilkesi göz önünde bulundurulduğunda, Kanunun 5 inci maddesinde belirtilen kişisel veri işleme şartlarına dayanmadan işlendiği, bu hususun ise veri güvenliğine ilişkin yükümlülüklerin düzenlendiği Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendinde yer alan “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır” hükmüne aykırılık teşkil ettiği değerlendirildiğinden, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendine istinaden veri sorumlusu hakkında 100.000 TL idari para cezası uygulanmasına,
  • İlgili kişinin talebinin yerine getirildiğine yönelik veri sorumlusunun, gerekli bilgi, belge ve kayıtları ilgili kişiye iletmesi ve yine söz konusu hususları yerine getirdiğine dair bilgi, belge ve kayıtları Kanunun 15 inci maddesinin (5) numaralı fıkrası uyarınca 30 gün içinde Kurula sunması hususunda talimatlandırılmasına 

karar verilmiştir.

01.12.2020: “Belediyede memur olarak görev yapan ilgili kişinin, veri sorumlusu bünyesinde işe giriş çıkış takibinin biyometrik veri işlenerek yapılması”
Karar Tarihi : 01/12/2020
Karar No : 2020/915
Konu Özeti : Belediyede memur olarak görev yapan ilgili kişinin, veri sorumlusu bünyesinde işe giriş çıkış takibinin biyometrik veri işlenerek yapılması

 

Kurula intikal eden şikâyette ilgili kişi tarafından veri sorumlusu bünyesinde 657 sayılı Devlet Memurları Kanunu kapsamında çalışan memur olduğu, veri sorumlusu bünyesinde personel giriş çıkışlarının takibi için parmak izi okuma cihazları ile kişisel verilerinin, her personel için parmak izi bilgilerinin alındığı ve sisteme tanıtıldığı, bu konudaki uygulama için kendisine ait olan parmak izi bilgilerinin veri sorumlusunun kayıt sisteminden, kağıt ortamından ve elektronik ortamdan silinmesi ve kendisine bilgi verilmesi talebiyle veri sorumlusuna başvuru yaptığı; kendisine verilen cevapta sistemlerinden bu bilgilerin silinemeyeceğinin beyan edildiği, parmak izi bilgilerinin onayı olmadan işlenemeyeceği ve resmi başvuru yapmasına rağmen verilerinin silinmesi isteğinin kabul edilmediği belirtilmiştir.

Başlatılan inceleme çerçevesinde söz konusu iddialara ilişkin olarak veri sorumlusunun savunması istenilmiş olup alınan cevabi yazıda 

  • Tüm birimlerde tutulan kişisel veriler üzerinde Kanun kapsamında çalışmalara 2018 yılında başlandığı, irtibat kişilerinin belirlenerek personelin bu konu hakkında eğitim, e-posta ve duyuru panolarına asılan aydınlatma metinleriyle bilgilendirildiği ve kişisel verilerin korunması ve işlenmesine dair politika ve prosedürlerin hazırlandığı, ayrıca yapılan işlemlerin tamamlanması ve devamında işletilmesi, 6698 sayılı Kanuna ve standartlara uygun yapıldığının ölçülebilmesi hususunda Bağımsız Denetim Firması tarafından denetlenerek BS10012-2009 Veri Koruma ve Kişisel Bilgi Yönetim Standardı Sertifikası ile belgelendirildikleri,
  • Başkanlığa ait Kültür Merkezleri, Bilgi Evleri, Spor Salonları vb faaliyet gösteren çok sayıda tesisin bulunduğu, iştirak personeli dahil olmak üzere 2302 kişinin istihdamının sağlandığı, kişisel verilerin korunmasına yönelik yapılacak başvuru ve taleplerin usulüne ilişkin …… Belediyesi Kişisel Verilerin İşlenmesi Duyuru Aydınlatma Metninin, Başkanlığın resmi web sitesi üzerinden ilan edildiği, ….. Belediyesi Kişisel Verilerin Korunması Başvuru Formunun doldurularak hangi yöntemlerle başvuru yapılacağının duyurulduğu, Başkanlık personeline ise hizmet içi eğitimlerle konuya ilişkin bilgilendirmenin yapıldığı,
  • İlgili kişiye ait başvuruda Kişisel Verilerin Korunması Başvuru Formunun bulunmaması, başvurunun veri sorumlusu görevini yürütmekte olan personele ulaştırılmaması ve çalıştığı Müdürlüğe verilmiş olan dilekçenin İnsan Kaynakları ve Eğitim Müdürlüğüne Bilgi ve Belge Talebi konulu başvuru olarak gönderilmesi nedeniyle ilgiliye ait başvurunun Kanun kapsamında değerlendirilmediği, buna bağlı olarak verilen cevap yazısında kamu kaynaklarını etkin ve verimli kullanabilmek amacıyla personelin işe giriş çıkışlarının takibi için parmak izinin kullanıldığı herhangi bir şaibeye mahal vermeden verinin temin edildiği ve üçüncü kişilerle paylaşılmasının teknik olarak mümkün olmadığının bildirildiği, alınan parmak izi şablonunun silinemeyeceğine dair herhangi bir ifadenin ise kullanılmadığı,
  • Başkanlıkça uygulanmakta olan PDKS sistemi gereği personelden alınan parmak izlerinin salt mesai kontrollerinde kullanıldığı, mesai kontrolü için ayrıca sicil numarası ve şifreli giriş, ıslak imzalı form yöntemlerinin kullanıldığı, covid-19 salgını sebebiyle halihazırda müdürlüklerde personel kontrolünün listelerin ıslak imzalanması metodu ile sağlandığı, parmak izi sisteminin devre dışı olduğu, parmak izi tanıma algoritmasının temel işlevinin parmak izinin çıkartılması ve karakterlerin eşleştirilmesi olduğu, parmak izinin çıkartılmasıyla kastedilenin parmak izinin temel karakteristik verilerinin şifrelenip karakteristik bir şablon haline getirilmesi olduğu, bir şablon haline getirilen parmak izinin daha sonra hiçbir şekilde görüntüsünün alınamadığı ve işlem yapılamadığı, kullanılan şifrelenmiş parmak izi şablonunun özel bir algoritma olduğu ve üçüncü kişilere tamamen kapalı olduğu, parmak izi şablonunun formatının teknik belgeler veya ürün kaynak kodları vasıtasıyla dahi herhangi biri tarafından öğrenilmesi veya başkalarının bilgisine açılmasının mümkün olmadığı

ifade edilmiştir. 

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 01/12/2020 tarihli ve 2020/915 sayılı Kararı ile,

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Tanımlar” başlıklı 3 üncü maddesinde “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi; “veri sorumlusu”nun kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi; “kişisel verilerin işlenmesi”nin ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı, 
  • Özel nitelikli kişisel veriler arasında yer alan biyometrik veri tanımına Kanunda yer verilmemekle birlikte, 25.05.2018 tarihinde yürürlüğe giren Avrupa Genel Veri Koruma Tüzüğünde (GDPR) biyometrik verinin; “yüz görüntüleri veya daktiloskopik veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel veriler” olarak tanımlandığı,
  • GDPR’nin Recital bölümünün 51 inci maddesinde de fotoğrafların işlenmesinin doğrudan biyometrik veri olarak nitelendirilemeyeceği, yalnızca gerçek bir kişinin benzersiz bir şekilde tanımlanmasına veya doğrulanmasına izin veren belirli bir teknik yöntemle işlendiğinde, bu verilerin biyometrik verilerin tanımı kapsamında kabul edileceğine yönelik açıklamalara yer verildiği, dolayısıyla bir verinin biyometrik veri kapsamında değerlendirilebilmesi için o verinin sadece o kişiyi tanımlayabilme ya da doğrulayabilme özelliğine sahip olmasının kriter alındığının değerlendirildiği, yine Danıştay 15. Dairesinin 2014/4562 Esas sayılı kararında biyometrik yöntemlerin, ölçülebilir fizyolojik ve bireysel özellikleri aracılığıyla gerçekleştirilen ve otomatik şekilde doğrulanabilen kimlik denetleme tekniklerini ifade ettiği belirtilerek, bu yöntemler arasında parmak izi tanıma, avuç içi tarama, el geometrisi tanıma, iris tanıma, yüz tanıma, retina tanıma, DNA tanıma gibi yöntemlerin bulunduğunun ifade edildiği dikkate alındığında, işe giriş çıkışlarda personelin parmak izinin taranması suretiyle kişilerin kimlik doğrulamasının yapılması hususunda adı geçen veri sorumlusunun özel nitelikli kişisel veri niteliğindeki biyometrik veri işleme faaliyetinde bulunduğu,
  • Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde yer alan ilkelerden, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi çerçevesinde işlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olması, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasının gerektiği; ölçülülük ilkesinin ise, veri işleme faaliyeti ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması, diğer bir ifadeyle veri işlemenin amacı gerçekleştirecek ölçüde olması gerektiğine işaret ettiği; bu kapsamda, kişisel veri işleme faaliyetinin gerçekleşmesi için gerekli olmayan kişisel verilerin toplanmaması ve/veya işlenmemesi gerektiği, veri sorumlusunun amacı çerçevesinde, ölçülülük ilkesine uygun olarak ilgili kişiden minimum düzeyde bilgi talep etmesi, bunun dışındaki amaç için gerekli olmayan veri işlemeden kaçınması gerektiği, 
  • Kişisel verilerin işlenmesi ilgili kişinin iznine bağlı olarak gerçekleştirilse ve belirli bir amaca bağlı olsa bile açık rızanın aşırı miktarda veri toplanmasını meşrulaştırmayacağı, buna göre kişisel verilerin yalnızca belirli amaçlar için ve gerektiği kadar toplanması ve amacın gerektirdiği yerlerde kullanılması gerektiği, 
  • Öte yandan, Danıştay 5. Dairenin 2013/5342 E. ve 2013/9525 K. sayılı Kararında “personelden kişisel veri alınması kapsamında olan "parmak izi tarama sistemi" ile mesai takibi uygulamasının, kamusal alanda da olsa "özel hayatın gizliliği" ilkesi kapsamında bulunduğunun anlaşılması karşısında; uygulamanın sınırlarını usul ve esaslarını gösteren bir yasal dayanağının bulunmaması, toplanan verilerin ileride başka bir şekilde kullanılamayacağına dair bir güvencenin mevcut olmaması göz önüne alındığında, yukarıda belirtilen temel haklar ve Anayasal ilkelerle bağdaşmayan dava konusu işlemde hukuka uyarlık, davanın reddi yolunda verilen İdare Mahkemesi kararında hukuki isabet bulunmadığı anlaşılmıştır.” şeklinde hüküm tesis edilmiş olup bu kapsamda, mesai kontrolü için parmak izi alınması gibi çoğunlukla üstün güvenlik önlemi alınmasına ihtiyaç duyulan alanlarda kullanılan yöntem yerine alternatif yollara başvurulabileceği, dolayısıyla veri sorumluları bünyesinde mesai kontrolü amaçlı giriş ve çıkışlar için parmak izi okutma sisteminin kurulmasının Kanunun “Genel İlkeler” başlıklı 4 üncü maddesi kapsamında ele alınması gerektiği, üstün güvenlik önlemi alınmasına ihtiyaç duyulmayan alanlarda yalnızca mesai kontrolü amacıyla parmak izi alınmasına yönelik uygulamaların mezkur maddenin (ç) bendindeki ölçülülük ilkesine aykırı olduğu, 
  • Somut olayda ilgili kişinin veri sorumlusu tarafından kendisine ait olan parmak izi bilgilerinin hukuka aykırı olarak işlenmesine ilişkin şikâyeti ile ilgili veri sorumlusunun PDKS sistemi gereği personelden alınan parmak izlerinin salt mesai kontrollerinde kullanıldığı, parmak izi tanıma algoritmasının temel işlevinin parmak izinin çıkartılması ve karakterlerin eşleştirilmesi olduğu, parmak izinin çıkartılmasıyla kastedilenin parmak izinin temel karakteristik verilerinin şifrelenip karakteristik bir şablon haline getirilmesi olduğu, bir şablon haline getirilen parmak izinin daha sonra hiçbir şekilde görüntüsünün alınamadığı ve işlem yapılamadığı şeklindeki açıklamaları çerçevesinde veri sorumlusu bünyesinde çalışan personellerden işe giriş ve çıkışlarda parmak izlerinin kullanıldığının açıkça kabul edildiği, ilgili kişinin parmak izinin açık rızasına dayanılarak alınıp alınmadığı hususunun anlaşılamadığı; ancak işe giriş ve çıkışlarda söz konusu kişisel verisinin işlenmesinin devam etmesi noktasında ilgili kişinin onayı olmadan parmak izinin işlenemeyeceği hususunda şikayeti bulunduğu dikkate alındığında ilgili kişinin parmak izi kullanılarak mesai kontrolü yapılması hususunda açık rızasının olmadığı kanaatine varıldığı,
  • Öte yandan veri sorumlusu tarafından mesai kontrolü için parmak izi, sicil numarası ve şifreli giriş, ıslak imzalı form yöntemlerinin kullanıldığı, covid-19 salgını sebebiyle halihazırda müdürlüklerde personel kontrolünün ıslak imzalama metodu ile sağlandığı, parmak izi sisteminin devre dışı olduğuna yönelik savunması dikkate alındığında işe giriş ve çıkış kontrollerinin biyometrik verileri işlemenin haricinde alternatif yollar ile sağlanabildiği, dolayısı ile üstün güvenlik önlemleri alınmasını gerektirecek bir durumun da olmadığının görüldüğü, bu kapsamda veri sorumlusu bünyesinde mesai kontrolü amaçlı giriş ve çıkışlar için parmak izi okutma sisteminin kurulmasının Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinin (ç) bendindeki ölçülülük ilkesine aykırı olduğu kanaatine varıldığı ve veri sorumlusunun söz konusu uygulamasının Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine aykırılık teşkil ettiği, 
  • Öte yandan, ilgili kişinin Kanunun 7 nci ve 11 inci maddesi çerçevesinde veri sorumlusuna başvurmasına rağmen veri sorumlusu tarafından, söz konusu başvurunun Kişisel Verilerin Korunması Başvuru Formu ile yapılmaması, başvurunun veri sorumlusu görevini yürütmekte olan personele ulaştırılmaması ve çalıştığı Müdürlüğe verilmiş olan dilekçenin İnsan Kaynakları ve Eğitim Müdürlüğüne Bilgi ve Belge Talebi konulu başvuru olarak gönderilmesi nedeniyle ilgiliye ait başvurunun Kanun kapsamında değerlendirilmediği, buna bağlı olarak da verilen cevabi yazıyla kamu kaynaklarının etkin ve verimli kullanabilmek amacıyla personelin işe giriş çıkışlarının takibi için parmak izinin kullanıldığı, herhangi bir şaibeye mahal vermeden temin edildiği ve üçüncü kişilerle paylaşılmasının teknik olarak mümkün olmadığının bildirildiği, alınan parmak izi şablonunun silinemeyeceğine dair herhangi bir ifadenin kullanılmadığı şeklinde savunma yapıldığı görülmekle birlikte, ilgili kişinin Kanuna atıf yapıp taleplerini açıkça belirten ve tarafına talepleriyle ilgili bilgi verilmesine yönelik isteğini de içeren ıslak imzalı dilekçesini veri sorumlusuna sunduğu, bu anlamda ilgili kişinin kişisel verilerinin silinmesi yönünde talepte bulunduğu, öte yandan söz konusu evraka sayı numarası verildiğinin açık olduğu ancak veri sorumlusunun ilgili kişinin başvurusunu Kanun kapsamında değerlendirmeyip kişisel verisinin silinmesi hususunda herhangi bir ifadeye yer vermeyerek ilgili kişinin talebini cevaplamadığı, bu durumun dürüstlük kuralı ile bağdaşmadığı

değerlendirmelerinden hareketle;

  • Veri sorumlusu bünyesinde mesai kontrolü amacıyla biyometrik veri olan parmak izinin işlenmesinin Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinin (ç) bendindeki amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırı olduğu, öte yandan söz konusu veri işleme faaliyetinin hukuka uygun bir veri işleme şartına dayanmadığı dikkate alındığında veri sorumlusunun söz konusu uygulamasının Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine aykırılık teşkil ettiği değerlendirildiğinden Kanunun 18 inci maddesinin 3 üncü fıkrası hükmüne göre söz konusu veri sorumlusu bünyesinde görev yapan kişiler hakkında disiplin hükümlerinin işletilmesine ve sonucunun Kurula bildirilmesine,
  • Veri sorumlusu tarafından bugüne kadar işlenen ve muhafaza edilen parmak izi ile ilgili verilerin Kanunun 7 nci maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun olarak ivedilikle imha edilmesi, eğer ilgili özel nitelikli kişisel verilerin üçüncü kişilere aktarılması söz konusu ise, imha edilmesine yönelik işlemlerin bu verilerin aktarıldığı üçüncü kişilere ivedilikle bildirilmesinin sağlanması, işe giriş ve çıkış işlemlerinin salgın dönemi dışında da geçerli olmak üzere alternatif yollarla sağlanması, biyometrik veri ile giriş çıkış işlemleri yapılması uygulamasına son verilmesi ve mevcut sistemin kaldırılması hususlarında veri sorumlusunun talimatlandırılmasına, 
  • Öte yandan söz konusu sistemin kaldırıldığı ve kişisel verilerin imha edildiğini tevsik edici bilgi ve belgelerin Kurula gönderilmesi konusunda veri sorumlusunun talimatlandırılmasına,
  • Veri sorumlusunun ilgili kişinin başvurusunu Kanun kapsamında değerlendirmeyip kişisel verisinin imhası hususunda herhangi bir ifadeye de yer vermemesinin dürüstlük kurallarıyla bağdaşmadığı, ilgili kişinin veri sorumlusu bünyesinde bulunan kişisel verilerinin imhası talebine istinaden, talebin yerine getirildiğine ve söz konusu kişisel verilerin imha edildiğine ilişkin ilgili kişinin bilgilendirilmesi ve söz konusu imha işlemine ilişkin tevsik edici bilgi ve belgelerin Kurula iletilmesi hususu ile ilgili kişilerin taleplerine Kanun kapsamında cevap verilmesi konusunda azami dikkat ve özenin gösterilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

08.12.2020: “Unutulma hakkı kapsamında ilgili kişinin arama motorunda adı ve soyadı ile bağlantılı sonuçların kaldırılması talebi”
Karar Tarihi : 08/12/2020
Karar No : 2020/927
Konu Özeti : Üniversitede öğretim üyesi olarak görev yapmakta olan bir kişinin aynı üniversitede açılan akademik kadroya aile yakınının alınmasında usulsüzlük bulunduğu hususunda yapılan haberlerin arama motorunda ilgili kişinin adı ve soyadı ile arama yapıldığında listelenmemesine yönelik talebi

 

İlgili kişinin şikâyet başvurusunda özetle; üniversitede öğretim üyesi olarak görev yaptığı, görev yapmış olduğu bölümde akademik kadro ilanı verildiği, kadro için sınavların usulüne uygun şekilde yapıldığı ve kadro için aile yakınının sınavlarda başarılı olduğu, ancak sosyal medyada bu kadro işe alımı ile ilgili doğru olmayan haberlerin yapıldığı ve üniversitenin tepkiler üzerine soruşturma başlattığı, soruşturma sonucunda bir usulsüzlük olmadığının üniversite tarafından tespit edildiği, haberlerin kaldırılması talebi ile arama motoruna başvuruda bulunduğu ancak arama motoru tarafından URL’ler hakkında herhangi bir işlem yapılmamasına karar verildiği ve ilgili kişinin kaldırma talebini söz konusu siteyi kontrol eden web yöneticisine gönderebileceği bilgisinin tarafına iletildiği, dolayısıyla arama motoru tarafından ilgili kişinin talebinin karşılanmadığı, bu kapsamda yapılan haberlerin aile yakınının ve kendisinin kamuda görev yapmasını ve hayatını olumsuz yönde etkilediği belirtilerek söz konusu içeriklerin arama motorunda indekslenmeyecek şekilde teknik düzenlemeye tabi tutulması talep edilmektedir. 

Bahse konu şikayet başvurusuna ilişkin olarak ilgili mevzuat hükümleri çerçevesinde yapılan değerlendirme neticesinde Kişisel Verileri Koruma Kurulu tarafından alınan 08/12/2020 tarih ve 2020/927 sayılı Kararda aşağıdaki değerlendirmelere yer verilmiştir;

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olup Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.

Kanunun “Tanımlar” başlıklı 3 üncü maddesinde kişisel verinin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, veri sorumlusunun kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, kişisel verilerin işlenmesinin ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade ettiği belirtilmiştir.

Kanunun “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi” başlıklı 7 inci maddesinin birinci fıkrası “Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.” hükmünü haizdir.
    
Kanunun “İlgili Kişinin Hakları” başlıklı 11 inci maddesinin birinci fıkrasında “Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; a) Kişisel veri işlenip işlenmediğini öğrenme, b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.” hükmü yer almaktadır. 

Öte yandan, Kişisel Verileri Koruma Kurulunun “Kişilerin Ad ve Soyadı ile Arama Motorları Üzerinden Yapılan Aramalarda Çıkan Sonuçların İndeksten Çıkarılmasına Yönelik Talepler”e ilişkin olarak almış olduğu 23.06.2020 tarih ve 2020/481 sayılı Kararı ile; 

  • Arama motorlarının, üçüncü taraflara ait internette topladıkları verilerin işlenmesinin amaç ve vasıtalarını belirledikleri göz önünde bulundurularak Kanunun 3 üncü maddesinde yer verilen tanım çerçevesinde veri sorumlusu olarak kabul edilmesine,
  • Arama motorunun işletmecisinin otomatik, düzenli ve sistematik olarak internette yayınlanan bilgiyi bulduğu, daha sonra kendi indeksleme programları çerçevesinde alıp, kaydedip, organize ettiği kişisel verileri arama sonuçlarının listesi formunda düzenlediği, sunucuları üzerinde sakladığı, belirli durumlarda açıkladığı ve kullanıcılarına sunduğu dikkate alındığında arama motorları tarafından gerçekleştirilen faaliyetlerin Kanunun 3 üncü maddesi kapsamında ‘kişisel veri işleme” faaliyeti olarak değerlendirilmesine,
  • Kanunun başvuru ve şikâyet hakkına ilişkin hükümlerinde belirtilen usul ve süreler esas alınarak ilgili kişilerin, arama sonuçlarının indeksten çıkarılmasına yönelik talepleri ile ilgili olarak öncelikle arama motorlarına başvuruda bulunmaları, veri sorumlusu arama motorlarının söz konusu talepleri reddetmeleri veya başvuru sahibine cevap vermemeleri halinde ilgili kişilerce Kurula şikâyette bulunabileceklerine,
  • İlgili kişinin arama motorları üzerinden kendi ad ve soyadı ile yapacağı bir arama sonucunda gösterilen sonuçların indeksten çıkarılması gerektiğine yönelik yapılacak değerlendirmede, ilgili kişinin temel hak ve özgürlükleri ile kamunun söz konusu bilgiyi edinmesinden sağlayacağı menfaatler arasında bir denge testi yapılması, yarışan menfaatlerden hangisinin ağır bastığının gözetilmesi ve bu değerlendirme yapılırken öncelikli olarak karar ekinde yer verilen açıklamaların dikkate alınması ancak bu konudaki şikâyetlerin değerlendirme sürecinde dikkate alınacak kriterlerin bunlarla sınırlı olmayacağı, her somut olay özelinde Kurulca ilave ölçütlerin de gündeme gelebileceğine,
  • İlgili kişilerin, arama motorları üzerinden kendi ad ve soyadları ile yapılacak aramalar neticesinde gösterilen sonuçların indeksten çıkarılmasına yönelik taleplerinin veri sorumlusu arama motorları tarafından reddedilmesi veya taleplerine cevap verilmemesi halinde Kurula başvuruda bulunulurken aynı zamanda doğrudan yargı yoluna başvurmalarının da mümkün bulunduğuna

karar verilmiştir.

Kişilerin ad ve soyadı ile arama motorları üzerinden yapılan aramalarda çıkan sonuçların indeksten çıkarılmasına ilişkin değerlendirmede dikkate alınacak ve her somut olay üzerinde incelenecek kriterler de Kurulun bahse konu Kararı ile belirlenmiş olup bunlar; ilgili kişinin kamusal yaşamda önemli bir rol oynaması, arama sonuçlarının öznesinin çocuk olması, bilginin içeriğinin doğruluğu, bilginin kişinin çalışma hayatı ile ilgisi, bilginin ilgili kişi hakkında hakaret, onur kırıcı, iftira niteliğine sahip olması, bilginin özel nitelikli kişisel veri niteliği taşıması, bilginin güncelliği, bilginin kişi hakkında önyargıya sebep olması, bilginin kişi açısından risk doğurması, bilginin kişinin kendisi tarafından yayımlanma durumu, içeriğin gazetecilik faaliyeti kapsamında işlenen verileri kapsaması, bilgilerin yayınlanmasında yasal zorunluluk olması, bilginin ceza gerektiren bir suçla ilgili olması şeklinde belirlenmiştir. 

Bu kapsamda, ilgili kişinin arama motorundan adı ve soyadı ile bağlantılı sonuçların kaldırılmasına yönelik talebinin değerlendirilmesi neticesinde;

  • İlgili kişinin kamu üniversitesinde görev yapmakta olduğu, başvuru konusu hususlarda ilgili kişinin aile yakınının işe alınması ile ilgili usulsüzlük iddiaları sonucunda üniversite tarafından soruşturma açıldığı bilgisinin doğru olduğu, söz konusu bağlantılarda yer alan haberin ilgili kişinin çalışma yaşamına ilişkin olduğu ve ilgili kişinin hâlihazırda aynı işi yaptığı, bilgilerin özel nitelikli kişisel veri niteliği taşımadığı, yapılan haberlerin 2020 tarihli olduğu, dolayısıyla güncel olduğu, bilginin kişi açısından risk doğurmadığı ve içeriklerin gazetecilik faaliyeti kapsamında değerlendirilebileceği, öte yandan, bilginin kişi hakkında ön yargıya sebep olabileceği ancak bunun kanıtlanabilir nitelikte olmadığı, ilgili kişiye ilişkin bilgilerin yayınlanmasında yasal zorunluluk bulunmadığı, bilginin kişinin kendisi tarafından yayımlanmadığı, bilginin ceza gerektiren bir suçla ilgili olmadığı hususları göz önünde bulundurularak ilgili kişi hakkında yayınlanan içeriklerin arama motorundan kaldırılması yönündeki talebine ilişkin olarak veri sorumlusu tarafından yapılan işlemin 23.06.2020 tarih ve 2020/481 sayılı Kurul Kararı ekinde yer alan kriterler açısından yerinde olduğuna, bu kapsamda söz konusu şikayet ile ilgili olarak Kanun kapsamında tesis edilecek bir işlem bulunmadığına,
  • Diğer taraftan ilgili kişinin haber içeriğinin gerçeği yansıtmadığına yönelik iddialarının ise yargı mercileri nezdinde ileri sürülmesi gerektiğine

karar verilmiştir.

27.01.2020: “Veri sorumlusu hastanede uygulanan beyaz kod kapsamında ilgili kişinin işlenen kişisel verileri”
Karar Tarihi : 27/01/2020
Karar No : 2020/63
Konu Özeti : Beyaz Kod uygulaması kapsamında işlenen kişisel veriler

 

İlgili kişi tarafından Kuruma yapılan şikâyette özetle, babasının tedavisi için gittikleri hastanede hastane görevlileri ile arasında yaşadığı tartışma sonucunda barkot alamadan hastaneden ayrılmak durumunda kaldığı, bahse konu hastane görevlilerinin yaşanan tartışma olayından 1 yıl 3 ay sonra tutanak tuttuğu, daha sonra bu tutanak aracılığıyla savcılığa suç duyurusunda bulunulduğu, bu sebeple adli para cezasına mahkûm edildiği ve vekâlet ücreti ödemek zorunda kaldığı, hastane görevlilerinin kamu gücünü kullanarak ilgili kişinin açık rızası olmaksızın adı, soyadı ve T.C. kimlik numarası bilgilerini hastane verilerinden alarak olay yeri tutanağına işlediği, bu durumun 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) aykırılık teşkil ettiği belirtilerek, konunun incelenmesi talep edilmiştir.

Şikâyet dilekçesi ekinde yer alan veri sorumlusunun konuya ilişkin yapmış olduğu başvuru çerçevesinde ilgili kişiye verdiği cevapta özetle,

  • Hasta kayıt sürecinde yaşanan olay ile ilgili olarak tutanak tutulduğu, Sağlık Bakanlığının Hukuk Müşavirliğinin Hukuki Yardım ve Beyaz Kod Uygulamasına dair 2016/3 Genelgesine göre işlem başlatılarak, Cumhuriyet Savcılığına bildirim yapıldığı,
  • Ayrıca Kanunun 6 ncı maddesi gereğince, kişisel verilerin sadece sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından paylaşıldığı

ifade edilmiştir.

Başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • Hastanede yaşanan tartışma sonucunda veri giriş elemanı tarafından Beyaz Kod verildiği, bu sebeple, Beyaz Kod tutanağının tutulduğu, söz konusu tutanak tutulurken ilgili kişinin kimlik bilgilerinin tutanağa işlendiği, kimlik bilgileri işlenmeden Beyaz Kod tutanağının tutulmasının mümkün olmadığı,
  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin ikinci fıkrasında yer alan hüküm ile söz konusu kişisel verilerin işlenmesinin mümkün olduğu

ifade edilmiştir.

Söz konusu iddiaların incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 27/01/2020 tarih ve 2020/63 sayılı Kararında;

  • Kişisel verilerin işlenme şartlarının düzenlendiği Kanunun 5 inci maddesinin birinci fıkrasında; kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin, ikinci fıkrasında ise kişisel verilerin kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde ilgili kişinin açık rızası aranmaksızın işlenmesinin mümkün olduğunun hükme bağlandığı,
  • Taraflar arası yaşanan tartışma sonucunda veri sorumlusu nezdinde Beyaz Kod uygulaması kapsamında hastane görevlileri tarafından ilgili kişiye ait kişisel verilerin işlendiği,
  • Öte yandan, 2/11/2011 tarih ve 28103 mükerrer sayılı Resmi Gazetede yayımlanan Sağlık Alanında Bazı Düzenlemeler Hakkında Kanun Hükmünde Kararnamenin "Hukuki Yardım" başlıklı 54 üncü maddesinin birinci fıkrasında, "Bakanlık ve bağlı kuruluşlarında; sağlık hizmeti sunumu sırasında veya bu görevlerden dolayı personele karşı işlenen suçlar sebebiyle ceza hukuku kapsamında yürütülmekte olan işlemler ve davalarda personelin talebi üzerine Bakanlık ve bağlı kuruluşlarınca hukukî yardım yapılır. Bakanlık ve bağlı kuruluşları merkez ve taşra teşkilatı ile döner sermaye teşkilatı kadrolarında bulunan hukuk birimi amirleri, hukuk müşavirleri ve avukatlar, ayrıca vekâletname ibraz etmeksizin ilgili personeli vekil sıfatı ile temsil eder. Bu yardımın usûl ve esasları Bakanlıkça belirlenir." hükmünün yer aldığı,
  • Bununla birlikte, Sağlık Bakanlığı Hukuk Müşavirliğinin Hukuki Yardım ve Beyaz Kod Uygulamasına dair 2016/3 Genelgesi ile Beyaz Kod uygulamasına başlandığı, bu doğrultuda, sağlık personelinin hukuki yardımdan faydalanabilmesi adına "Beyaz Kod Kullanım Kılavuzu 2.0" kapsamında, şiddete maruz kalan çalışanın, adli süreçlerde kanıt teşkil etmesi açısından olaya tanık olan diğer personel ile birlikte, olayı anlatan ve belgeleyen bir tutanak düzenlemesi gerektiğinin ifade edildiği,
  • Uygulamada yürütme organının Anayasada öngörülmüş düzenleyici işlemlere ek olarak, genel, soyut ve objektif hukuk kuralları öngörebildiği, bu tür düzenleyici işlemlere “adsız düzenleyici işlemler” denildiği, genelgelerin de bunlardan biri olduğu

değerlendirmelerinden hareketle,

  • İlgili kişi ile hastane görevlileri arasında yaşanan tartışma neticesinde yaşanan olayla ilgili hastane görevlilerince tutanak tutulduğu, sonrasında hastane görevlilerince ilgili kişi hakkında Savcılığa suç duyurusunda bulunulduğu, bu kişilerce kamu gücü kullanılarak açık rızası olmaksızın ad, soyad ve T.C. kimlik numarası bilgilerinin hastane verilerinden alınarak olay yeri tutanağına 1 yıl 3 ay sonra işlendiği, bu şekilde temel hak ve özgürlüklerinin ihlal edildiği gerekçesiyle hastaneye başvurduğu; hastanenin vermiş olduğu cevapta ise, ilgili kişinin babasının tedavisinin eksiksiz planlanıp yapıldığı, olay ile ilgili tutanağın 1 yıl 3 ay sonra değil, olayla aynı gün tutulduğu, Sağlık Bakanlığı Hukuk Müşavirliği Hukuki Yardım ve Beyaz Kod Uygulamasına dair 2016/3 Genelgesine göre işlem başlatılarak Cumhuriyet Savcılığına bildirildiği; ayrıca Kanunun 6 ncı maddesi uyarınca kişisel verilerin, hastane kapsamında sır saklamakla yükümlü bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından paylaşıldığı yanıtları karşısında ilgili kişinin Kuruma yaptığı şikâyet başvurusunun, veri sorumlusundan alınan bilgi ve belgeler ve yukarıda belirtilen hukuki gerekçeler çerçevesinde incelenmesi sonucunda; söz konusu kişisel verilerin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (ç) bendi uyarınca veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi kapsamında işlendiği kanaati oluştuğundan, söz konusu şikâyete ilişkin Kanun kapsamında yapılacak bir işlem olmadığına karar verilmiştir.
27.01.2020: “İlgili kişinin ortağı olduğu şirkette kullandığı e-posta adresine izinsiz ve hukuka aykırı olarak erişildiği iddiası”
Karar Tarihi : 27/01/2020
Karar No : 2020/59
Konu Özeti : İlgili kişinin ortağı olduğu şirkette kullandığı e-posta adresine izinsiz ve hukuka aykırı olarak erişilmesi

 

Kuruma intikal eden bir şikâyette, ilgili kişinin ortağı bulunduğu …….Ltd. Şti bünyesinde kullanmakta olduğu (ismininbaşharfivesoyadı)@şirketadı.com.tr şeklindeki ve kişisel verilerinin de bulunduğu kişisel e-posta hesabına izinsiz ve hukuka aykırı olarak erişildiği, erişim ayarlarının değiştirildiği, söz konusu e-posta hesabına ait tüm verilerin silinmesi ve kaldırılması konusunda bu e-posta hesabının bulunduğu IP adreslerinin sahibi veri sorumlusu … Menkul Kıymetler AŞ’den noter kanalıyla talepte bulunulduğu; ancak, talebin reddedildiği belirtilerek, söz konusu hususlara ilişkin 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde e-posta hesabının bulunduğu IP adreslerinin sahibi veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • Şikâyet edilen veri sorumlusunun Genel Müdürünün aynı zamanda ilgili kişinin ortak olduğu …..Ltd. Şti’nin diğer ortağı ve yetkili müdürü olduğu,
  • Ticari işlerin takip edilmesi için ortağı olduğu şirketin müdürü sıfatıyla söz konusu e-posta adresinin ilgili kişiye tahsis edildiği, ortağı olduğu şirkete ait işlemlerin ilgili kişi tarafından takip edilmekte olmasına rağmen ilgili kişinin gerçekleştirdiği işlem ve kayıtlar hakkında hiçbir bilgi vermemesi, genel kurul davetine de icabet etmemesi üzerine şirket Genel Müdürünün, ilgili kişinin gerçekleştirdiği işlemleri ve yazışmalarını bulmak amacıyla şirket e-posta sunucusundan şirkete ait info@şirketadı.com.tr e-posta adresinin yazışmalarına bakıldığı, Asliye Ticaret Mahkemesinin dosyasına konu ve şirket gelirlerinin suiistimaline ilişkin e-posta yazışmalarına, ilgili kişinin hesabına erişilmek suretiyle değil ilgili kişinin kendisinin talebiyle önceden dâhil edildiği e-posta hesabının sunucu yedeklerinden ulaşıldığı,
  • E-posta ve eki kayıtları, yevmiye defteri ve fatura kayıtları ile şirketin gelirlerinin yatırıldığı banka kayıtlarının karşılaştırılması sonucunda, ilgili kişinin geçmiş yıllarda müdürlük görevini kötüye kullanarak şirket gelirlerinden bir kısmını muhtelif banka hesaplarına transfer ettiğinin tespiti üzerine Asliye Ticaret Mahkemesi nezdinde dava açıldığı,
  • E-posta hesabının bulunduğu IP adreslerinin sahibi veri sorumlusu şirket genel müdürü hakkında, ilgili kişinin söz konusu e-posta hesabının izinsiz olarak ele geçirildiği ve söz konusu hesaptaki kişisel bilgilerinin tümünün alenileştirildiği ve başkaca kişilerle paylaşıldığı, böylece ilgili kişinin 6698 sayılı Kanun kapsamındaki haklarının açıkça ihlal edildiği yönünde Savcılığa yaptığı şikâyet başvurusuna ilişkin olarak, “şirket ortakları tarafından şirkete ilişkin iş ve işlemler için kullanıldığında şüphe bulunmayan maillerin kişisel içerik taşımayacağı, şirket serverlarından elde edilen bilgilerin hukuk ve ceza yargılamasına delil olarak sunulmasının suç teşkil etmeyeceği, müştekinin şirket iş ve işlemleri dışındaki kişisel verilerinin başkaca bir ortamda kullanıldığı, yayıldığı vb. bir iddiasının da bulunmadığı, yine şirket mail içeriklerinden özel hayatına ilişkin bilgi ve veri elde edildiğine dair bir iddiasının da bulunmadığı, iddia edilen suçların ise unsurları itibariyle oluşmadığı” gerekçesiyle kovuşturma yapılmasına yer olmadığına karar verildiği,
  • Mülkiyeti, ortağı olduğu şirkete ait olan ve faturası şirket tarafından ödenen e-posta hesabının ilgili kişiye, şirkete ait işlemlerin takibi ile sözleşme ve ödeme işlemleri için tahsis edildiği ve kişisel bir e-posta hesabı olmadığı,
  • İddia edildiği gibi, söz konusu şirket uzantılı e-posta adresine hukuka aykırı bir erişimin gerçekleşmediğinin gerek Asliye Ticaret Mahkemesinin gerekse Savcılığın kararları ile sabit olduğu ve “server yedek” kayıtlarından elde edilen e-postaların, ilgili kişinin müdürlükten azil, şirketi uğrattığı zararın tazmini ve ticari kayyım atanması talepli açılan davalarda delil olarak yalnızca Mahkemeye ve suç duyurusu esnasında da Savcılığa sunulduğu,
  • İlgili kişinin, müdürlük yetkisinin tedbiren kaldırılması ve yerine yönetici kayyım atanması sonrasında söz konusu adresine erişildiği ve erişim ayarlarının değiştirildiği iddiasının gerçeğe aykırı olduğu ve Kurumu yanıltmaya yönelik olduğu; bu yöndeki iddianın Mahkeme ve Savcılık tarafından reddedildiği,
  • İlgili kişinin söz konusu e-posta adresine ait tüm verilerin yedekleriyle kopyalarının silinmesi yönündeki talebinin, şirket mailini kullanarak şirket aleyhine işlemiş olduğu zarar doğurucu, şirket gelirlerini zimmete geçirme ve suç teşkil eden fiillerine ilişkin delilleri Mahkemede ortadan kaldırma, bu delilleri karartma, hukuken geçersiz kılabilme amacına dönük olduğundan reddedildiği ve bunun hukuka uygun olduğu,
  • Şikayet edilen e-posta hesabının bulunduğu IP adreslerinin sahibi şirketin Kanun ve Türk Ceza Kanunu (TCK) uyarınca işlediği bir suç veya kabahatinin bulunmadığı, TCK’nın 26/1 maddesi gereğince, hakkını kullanan kimseye ceza verilemeyeceği; şikayet edilen şirket genel müdürünün, aynı zamanda ilgili kişinin ortak olduğu şirketin de ortağı ve yetkili müdürü olması sebebiyle, Türk Ticaret Kanununun 626 ncı maddesi hükmü uyarınca müdürlük görevini yerine getirebilmek ve şirket menfaatini korumak için şirkete ait sözleşme ve müşteri yazışmalarını denetlemek yükümlülüğünün bulunduğu, şirketin diğer müdürü olan ilgili kişinin hesap vermekten kaçınması üzerine, şirket uzantılı mail adresinin yedek kayıtlarının denetlenmesinin Kanuna ve hukuka uygun olduğu

belirtilmiştir.

İlgili kişinin şikayeti, veri sorumlusunun savunması ve ilgili mevzuat hükümlerinin birlikte incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 27/01/2020 tarih ve 2020/59 sayılı Kararı ile;

  • Kanunun 4 üncü maddesinde kişisel verilerin işlenmesinde uyulacak genel ilkelerin, 5 inci ve 6 ncı maddelerinde de kişisel veriler ile özel nitelikli kişisel verilerin işlenme şartlarının belirlendiği, bu çerçevede, ad, soyad, adres, telefon numarası, Türkiye Cumhuriyeti kimlik numarası, doğum tarihi gibi kişisel verilerin herhangi bir veri sorumlusu tarafından işlenmesinin ancak açık rızanın bulunması ya da Kanunda belirtilen açık rıza dışı diğer hallerin varlığında mümkün bulunduğu,
  • Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesi hükmü uyarınca, kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemeyeceği; ancak kişisel verilerin

a) Kanunlarda açıkça öngörülmesi.

b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” şartlarından birinin varlığı halinde ilgili kişinin açık rızası aranmaksızın işlenebileceğinin hükme bağlandığı

değerlendirmelerinden hareketle;

  • Kişinin ortağı olduğu şirkete ilişkin hakların korunması amacıyla söz konusu e-posta adresine ilişkin sunucu yedek kayıtlarından elde edilen kişisel verilerin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (e) bendinde yer alan “…. bir hakkın tesisi, kullanılması ve korunması kapsamında veri işlemenin zorunlu olması” kapsamında işlendiği ve kişisel veriler kullanılarak Asliye Ticaret Mahkemesi nezdinde açılan dava nedeniyle gerçekleştirilen kişisel veri işleme faaliyetinin ise Kanunun 28 inci maddesinin 1 numaralı fıkrasının (d) bendi hükmü kapsamında olduğu değerlendirildiğinden söz konusu şikayet ile ilgili Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.
26.12.2019: “Kişisel Veri Güvenliği Rehberinde geçen “personel gizlilik sözleşmesi” imzalatılmasının 657 sayılı Devlet Memurları Kanununa tabii olarak çalışanlar için gerekli olup olmadığı”
Karar Tarihi : 26/12/2019
Karar No : 2019/393
Konu Özeti : 657 sayılı Devlet Memurları Kanununa tabii olarak çalışanlara “Personel Gizlilik Sözleşmesi” imzalatılması hakkında.

 

• Bilindiği üzere Anayasanın 128 inci maddesi; “Devletin, kamu iktisadi teşebbüsleri ve diğer kamu tüzelkişilerinin genel idare esaslarına göre yürütmekle yükümlü oldukları kamu hizmetlerinin gerektirdiği asli ve sürekli görevler, memurlar ve diğer kamu görevlileri eliyle görülür. Memurların ve diğer kamu görevlilerinin nitelikleri, atanmaları, görev ve yetkileri, hakları ve yükümlülükleri, aylık ve ödenekleri ve diğer özlük işleri kanunla düzenlenir. Ancak, malî ve sosyal haklara ilişkin toplu sözleşme hükümleri saklıdır.” hükmünü, 129 uncu maddesi ise; “Memurlar ve diğer kamu görevlileri Anayasa ve kanunlara sadık kalarak faaliyette bulunmakla yükümlüdürler.” hükmünü amirdir. Anılan Anayasa maddeleri, kamu hizmetlerinin Devlet memurları ve diğer kamu görevlileri eliyle yürütüleceğini, memurların bu görevleri yürütürken Anayasa ve kanunlara sadık kalma zorunluluğunu haiz olduğunu ve memurlara ilişkin haklar ve yükümlülüklerin kanunla düzenleneceğini açıkça hükme bağlamıştır. Konuya ilişkin ayrıntılı düzenlemelere ise 657 sayılı Devlet Memurları Kanununda yer verilmiştir.

• 657 sayılı Kanunun “Kapsam” başlıklı 1 inci maddesine göre, bu Kanunun kapsamına; Genel ve Katma Bütçeli Kurumlar, İl Özel İdareleri, Belediyeler, İl Özel İdareleri ve Belediyelerin kurdukları birlikler ile bunlara bağlı döner sermayeli kuruluşlarda, kanunlarla kurulan fonlarda, kefalet sandıklarında veya Beden Terbiyesi Bölge Müdürlüklerinde çalışan memurlar girmektedir. Sözleşmeli ve geçici personel için ise, 657 sayılı Kanunda belirtilen özel hükümler uygulanacaktır. 657 sayılı Kanunun 2 nci maddesi gereğince, bu Kanunun amacı; Devlet memurlarının hizmet şartlarını, niteliklerini, atanma ve yetiştirilmelerini, ilerleme ve yükselmelerini, ödev, hak, yüküm ve sorumluluklarını, aylıklarını ve ödeneklerini ve diğer özlük işlerini düzenlemektir. 657 sayılı Kanunun “Ödevler ve Sorumluluklar” başlıklı İkinci Bölümünde, Devlet memurlarına ilişkin oldukça ayrıntılı düzenlemelere yer verilmiştir. Bu Kanunun 6 ncı maddesi; “Devlet memurları, Türkiye Cumhuriyeti Anayasasına ve kanunlarına sadakatla bağlı kalmak ve milletin hizmetinde Türkiye Cumhuriyeti kanunlarını sadakatla uygulamak zorundadırlar. Devlet memurları bu hususu "Asli Devlet Memurluğuna" atandıktan sonra en geç bir ay içinde kurumlarınca düzenlenecek merasimle yetkili amirlerin huzurunda yapacakları yeminle belirtirler ve özlük dosyalarına konulacak aşağıdaki "Yemin Belgesi"ni imzalayarak göreve başlarlar.” hükmünü; 11 inci maddesi; “Devlet memurları kanun ve diğer mevzuatta belirtilen esaslara uymakla ve amirler tarafından verilen görevleri yerine getirmekle yükümlü ve görevlerinin iyi ve doğru yürütülmesinden amirlerine karşı sorumludurlar.” hükmünü; 12 nci maddesi; “Devlet memurları, görevlerini dikkat ve itina ile yerine getirmek ve kendilerine teslim edilen Devlet malını korumak ve her an hizmete hazır halde bulundurmak için gerekli tedbirleri almak zorundadırlar.” hükmünü amirdir. Anayasanın 128 inci ve 129 uncu maddeleri ile paralellik arz eden bu hükümlerle, Devlet memurlarının görevlerini icra ederken kanun ve diğer mevzuatla bağlı oldukları açıkça düzenlenmiştir.

• Devlet memurlarının görevleri sebebiyle bir zarara sebebiyet vermeleri halini ise, 657 sayılı Kanunun 12 nci ve 13 üncü maddeleri düzenlemiş olup, anılan maddelerde; “Devlet memurunun kasıt, kusur, ihmal veya tedbirsizliği sonucu idare zarara uğratılmışsa, bu zararın ilgili memur tarafından rayiç bedeli üzerinden ödenmesi esastır.” ve “Kişiler kamu hukukuna tabi görevlerle ilgili olarak uğradıkları zararlardan dolayı bu görevleri yerine getiren personel aleyhine değil, ilgili kurum aleyhine dava açarlar. Ancak, Devlet dairelerine tevdi veya bu dairelerce tahsil veya muhafaza edilen para ve para hükmündeki değerli kağıtların ilgili personel tarafından zimmete geçirilmesi halinde, zimmete geçirilen miktar, cezai takibat sonucu beklenmeden Hazine tarafından hak sahibine ödenir. Kurumun, genel hükümlere göre sorumlu personele rücu hakkı saklıdır.” hükümleri yer almaktadır. Görüldüğü üzere; Devlet memurlarının idare nezdinde bir zarara sebebiyet vermesi halinde, bu zararın giderilmesine ilişkin açık bir kanun hükmünün olmasının yanı sıra; memurlarca kişilere zarar verilmesi hali de ayrıca düzenlenmiştir. Kişilerin bir zarara uğraması halinde, memur hakkında değil ilgili idare hakkında dava açılmakta ve daha sonra o idare ilgili memura rücu edebilmektedir. 13 üncü maddenin gerekçesinde; “Bu madde, kamu hukukuna tabi görevler bakımından idare edilenlere verilecek zararlar konusundaki sorumluluğu düzenlemekte ve bu bakımdan «idare ile memur» arasındaki sorumluluk münasebetlerini düzenleyen 11 inci maddeden farklı bir nitelik taşımaktadır. Buradaki esas, yalnız memurların görevleri dolayısıyla değil, kamu hukukuna tabi bütün görevler dolayısıyla mevcut olduğu için, bu maddede «Devlet memuru» deyimi yerine «personel» deyimi kullanılmıştır. Hususi hukuka tabi hizmetlerde çalışan personel bakımından, tabiî, hususi hukuk esasları uygulanacaktır.

Maddedeki teminat iki açıdan incelenmelidir. Her şeyden önce, idare edilenler lehine bir teminat mevcuttur. İdare edilenler, kamu hukukuna tabi görevler dolayısıyla kendilerine verilmiş olan zararlarda, doğrudan doğruya görev sahibi kurum aleyhine dâva açabilecekler ve böylece asıl ödeme kabiliyeti olan bir davalı bulmuş olacaklardır. Aksi takdirde, özellikle büyük zararlar bakımından, davayı kazansalar bile, ödeme kabiliyeti olmayan bir memurla karşı karşıya kalmaları mümkündür. Halbuki maddedeki şekliyle, her zaman için karşılarında ödeme kabiliyetine sahip bir kurum bulabileceklerdir.

İkinci teminat, memur, daha doğrusu «Kamu hukukuna tabi hizmetlerle görevli personel» bakımındandır. Bu gibi personel, görevlerini yerine getirirken, daimî bir tazminat tehdidi altında kalmayacaklar ve dolayısıyla kamu hizmetlerinin çok ağır görülmesi gibi bir sakıncayla karşılaşılmayacaktır. Ancak, daimî olarak ve ilk elden dava tehdidi altında bulunmamak, memurların tamamıyla sorumsuz hareket edebilecekleri şeklinde anlaşılmamalıdır. Bu madde ile memur, mütemadiyen mahkemelerde kendi aleyhine açılmış davalarla uğraşmaktan korunmuştur ama görevleri dolayısıyla idareye vermiş olduğu zararlardan ötürü idareye karşı olan sorumluluğu devam etmektedir. Zira, 11 inci maddedeki «Zarar», memurun gerek doğrudan doğruya idareye vereceği zararları, gerekse başkalarına zarar ika etmek ve idareyi bu zararı tazmin mecburiyetinde bırakmak suretiyle sebep olacağı zararları kapsamaktadır. Bu son durumda, 12 nci maddenin son fıkrası hükmüne göre, idarenin haksız fiil sonucundaki genel hükümler çerçevesinde sorumlu personele rücu hakkı saklı kalmaktadır.” açıklamaları yer almaktadır. Bu açıklamalardan anlaşılacağı üzere; memurun bir zarara sebep olması halinde, bu zararın tazmini için doğrudan memur aleyhine değil de idare aleyhine dava açılmasının temelinde, hem zarara uğrayanın zararını tazmin kuvvetini haiz bir kişi ile karşılaşmasının istenilmesi hem de memurun görevini ifa ederken sürekli olarak tazmin baskısı altında hissetmesinin önlenmesinin istenilmesi yatmaktadır. Bu açıklamalar doğrultusunda görülmektedir ki; gerek Anayasa gerek 657 sayılı Kanun, yukarıda yer verilen hükümleri çerçevesinde, gizlilik sözleşmesi ile ulaşılmak istenen amacı karşılayacak nitelikte düzenlemeyi haizdir.

• 657 sayılı Kanun hükümlerinin yanı sıra, Devlete ve Kişilere Memurlarca Verilen Zararların Nevi ve Miktarlarının Tespiti, Takibi, Amirlerinin Sorumlulukları, Yapılacak Diğer İşlemler Hakkında Yönetmelik’in (Yönetmelik) 4 üncü maddesi; “Memurlar görevlerini dikkat ve itina ile yerine getirmek; Devlet malını korumak ve her an hizmete hazır halde bulundurmak için gerekli tedbirleri almakla görevli ve sorumludurlar. Memurlar, bu görev ve sorumlulukların yerine getirilmemesi sebebiyle doğan zararları bu yönetmelikte belli edilen usul ve esaslar uyarınca tazminle mükelleftirler.” hükmünü amir olup; Yönetmeliğin devamında yer alan maddelerde memurlarca verilen zararların giderilme usul ve esasları ayrıntılı olarak düzenlenmiştir. Kaldı ki, Anayasanın 40 ıncı maddesinde de; “Kişinin, Resmî görevliler tarafından vaki haksız işlemler sonucu uğradığı zarar da, kanuna göre, Devletçe tazmin edilir. Devletin sorumlu olan ilgili görevliye rücu hakkı saklıdır.” denilmek suretiyle memurun tesis ettiği bir işlem dolayısıyla kişilerin bir zarara uğraması halinde, bu zararın Devlet tarafından tazmin edileceği, yani doğrudan ilgili memura başvurulmayacağı, gerekmesi halinde zararı tazmin eden Devletin ilgili memura rücu edeceği hükme bağlanmıştır. Böylelikle hem Anayasada hem 657 sayılı Kanunda hem de Yönetmelikte memurların görevleri sebebiyle bir zarara sebebiyet vermeleri hali ayrıntılı olarak düzenlenmiş olup; bu zararın giderilmesi Devlete yükletilmiştir. Bu noktada belirtmek gerekir ki, kamu kurum ve kuruluşlarında 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) ilgili maddeleri çerçevesinde kişisel verilerin işlenmesi, aktarılması vb. durumlarda bir veri güvenliği ihlali olması, bundan ötürü kişilerin yahut idarenin zarara uğraması halleri de yukarıda açıklanan hükümler çerçevesinde değerlendirilebileceğinden 657 sayılı Kanun kapsamında çalışan kişilerle ayrıca bir personel gizlilik sözleşmesinin imzalatılması suretiyle bu sorumluluğun düzenlenmesi uygun olmayacaktır.

• 657 sayılı Kanunun 16 ncı maddesinde yer alan; “Devlet memurları görevleri ile ilgili resmi belge araç ve gereçleri, yetki verilen mahaller dışına çıkaramazlar, hususi işlerinde kullanamazlar. Devlet memurları görevleri icabı kendilerine teslim edilen resmi belge, araç ve gereçleri görevleri sona erdiği zaman iade etmek zorundadırlar. Bu zorunluluk memurun mirasçılarına da şamildir.” düzenlemesi ile Devlet memurları için görevlerine ilişkin resmi belgelerin yetki verilen mahallerin dışına çıkarmaması ve görevlerinin sona ermesi ile bu belgeleri teslim etmesi zorunluluğu getirilmiştir. Böylelikle, göreve ilişkin resmi belgelerin güvenliği temin edilmek istenilmiştir.

• Bununla birlikte, gerek Kişisel Veri Güvenliği Rehberinde gerek Kişisel Verileri Koruma Kurulunun 31/01/2018 tarihli 2018/10 sayılı Kurul kararında bahsi geçen personel gizlilik sözleşmesi imzalatılması hususu, daha ziyade bir işverenin emir ve talimatları doğrultusunda iş akdine bağlı olarak çalışanlar yahut kamu kurum ve kuruluşlarında 657 sayılı Kanuna tabi olmaksızın çalışanlar için uygulanabilecektir.

• Sonuç olarak; Anayasa, 657 sayılı Kanun ve ilgili ikincil mevzuat kapsamında Devlet memurunun başlıca ödevi (yükümlülüğü) Anayasaya, kanunlara sadık kalarak görevini ifa etmektir. Dolayısıyla, kişisel verilere ilişkin tesis edilen iş ve işlemlerde de 6698 sayılı Kanun hükümlerine uygun davranma yükümlülüğü, bu yükümlülüğe aykırı davranması halinde gerek idareye gerek kişilere verdiği zararlardan ötürü sorumluluğu söz konusudur. Bir başka ifadeyle, bu kişilerin yükümlülükleri hâlihazırda 657 sayılı Kanun ve ilgili yönetmeliklerle belirlenmiş olup; 6698 sayılı Kanun ve ilgili yönetmeliklere uygun hareket etmeleri görevlerini ifa ederken uymaları gereken başlıca yükümlülüklerindendir. Yukarıda yer verilen gerekçelerle, kamu kurumu nezdinde 657 sayılı Kanun kapsamında çalışan ve kişisel veri işleyen personele kişisel verilerin korunmasına yönelik ayrıca bir gizlilik sözleşmesi imzalatılması uygun olmayacaktır. Ancak bu noktada önemle belirtmek gerekir ki, kişisel verilerin korunması hakkının bir temel hak ve özgürlük olarak yakın tarihte iç hukukumuzda düzenleme altına alınmış olduğu gözetildiğinde, 657 sayılı Kanun kapsamında çalışan personele, kişisel verilerin korunması hakkı kapsamında uymaları gereken usul ve esaslara dair bilgilendirici mahiyette bir metin tebliğ edilmesi ve bu konuda periyodik eğitimler düzenlenmesi uygun olacaktır.

24.11.2020: ““Bir sigorta şirketinin kişisel veri ihlal bildirimi”
Karar Tarihi : 24/11/2020
Karar No : 2020/905
Konu Özeti : Bir sigorta şirketinin kişisel veri ihlal bildirimi hakkında karar

 

Veri sorumlusu bir sigorta şirketinin Kuruma intikal eden yazılarında özetle;

  • Veri sorumlusunun internet sayfasının bulunduğu test sunucusunun siber saldırıya uğradığı ve bu durumun aynı tarihte veri sorumlusu tarafından tespit edildiği,
  • Test sunucusunda bulunan internet sayfasının kullanıcı giriş ekranından birden çok giriş denemesi yapılması sonucunda sisteme giriş sağlanabildiği,
  • Gerçekleşen yetkisiz erişim sonucu uygulamanın bulunduğu veri tabanının silindiği ve silinen veri tabanı yerine fidye taleplerinin bulunduğu yeni bir veri tabanının sisteme yüklendiği,
  • Veri tabanının silinmesi işleminden önce muhtemelen siber saldırıyı gerçekleştiren kişi/kişiler tarafından kopyalandığının veri sorumlusu tarafından düşünüldüğü,
  • Giriş denemeleri belirli aralıklarla yapılmış olduğundan SIEM sistemi tarafından algılanmadığı,
  • Yurtdışından çok fazla giriş denemesi gerçekleştiği ancak bunun herhangi bir anomaliye sebep vermediği,
  • İhlalden etkilenen kişi sayısının 311 olduğu,
  • İhlalden etkilenen kişisel verilerin T.C. kimlik no, isim, soy isim, e-posta, plaka bilgisi olduğu

ifadelerine yer verilmiştir.

Söz konusu kişisel veri ihlali bildiriminin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun (Kurul) 24.11.2020 tarih ve 2020/905 sayılı Kararı ile;

  • İhlale konu test sunucusunun, veri sorumlusu nezdinde yıllık olarak yapılan sızma testleri kapsamına alınmamasının söz konusu test sunucusunda gerekli kontrollerin yapılmadığının göstergesi olduğu,
  • Veri sorumlusuna ait “BT Veri Güvenlik ve Veri İhlali Prosedürü”nde tedbirler kapsamında “Periyodik aralıklarla veya ihtiyaç duyulduğunda sızma testi hizmeti alarak sistem açıklarının kontrolü sağlanmalıdır.” ifadesinin bulunmasına rağmen test sunucularının prosedürdeki tedbirlere uygun bir şekilde kontrol edilmediği, söz konusu kontrollerin uygun bir şekilde yapılmadığı,
  • Test sayfasının tüm dünyaya açık olarak ulaşılabilir olduğu, saldırganın 7 kez giriş denemesi sonucunda sisteme başarılı bir şekilde giriş yapmış olduğu, veri sorumlusu nezdinde kullanılan parolaların yeteri kadar karmaşık ve güçlü olmadığı,
  • Veri ihlali öncesinde test aşamasında kullanılan kişisel verilerin test sunucusundaki veri tabanına kaydedildiği, veri ihlali sonrasında ise mevcut teknolojinin değiştirilerek test sunucusunda kişisel verilerin kaydedilmeden test işlemlerinin yapılabildiği dikkate alındığında veri sorumlusunun kişisel verileri veri tabanına kaydetmeden test işlemlerini yapmış olması durumunda gerçekleşen siber saldırı vakasında kişisel veri ihlalinin söz konusu olmayacağının görüldüğü,
  • Veri ihlali öncesinde test sunucusuna yapılan erişimlerde sistemler arasında SSL VPN gibi güvenli iletişim sağlama yöntemlerinin kullanılmadığı, ayrıca ek güvenlik katmanı olarak erişimlerde İki Faktörlü Kimlik Doğrulama (2FA) gibi güçlü kimlik doğrulama yöntemlerinin kullanılmadığı,
  • Veri ihlalinden etkilenen kişisel veriler arasında, T.C. kimlik numarasının bulunduğu, ilgili kişiler için önem arz eden bir veri olduğundan söz konusu veri grubu işlenirken verilerin şifrelenerek muhafaza edilmesi durumunda verilere yetkisiz olarak erişilse bile veri ihlalinin ilgili kişiler üzerindeki olası olumsuz etkilerinin azaltılabileceği, ancak veri sorumlusunun böyle bir eylemde bulunmadığı dikkate alındığında kişisel verilerin gizlilik derecesine göre muhafaza edilmesi konusunda veri sorumlusu tarafından yeteri kadar özen gösterilmediği

hususları dikkate alınarak 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari ve tedbirleri almayan Şirket hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 300.000 TL,

Kurula ve ilgili kişilere yapılan bildirim ile ilgili olarak;

  • İhlalin 28.02.2020 tarihinde tespit edildiği ve 04.03.2020 tarihinde Kurula bildirildiği dikkate alındığında Kurulun 24.01.2019 tarih ve 2019/10 sayılı Kararı ile belirlenen veri ihlalinin öğrenilmesinden itibaren başlayan 72 saatlik süre içerisinde veri sorumlusunun Kurula bildirimde bulunmadığı,
  • Geç bildirimde bulunulmasına sebep olarak ilgili teknik çalışmaların (sunucu ve firewall log kayıtlarının incelenmesi işlemleri) gecikmesinin gösterildiği,
  • Veri sorumlusu tarafından veri ihlaline ilişkin veri sorumlusunun internet sitesinde duyuru yapılmış olmasının, ilgili kişilerin tespit edilmiş olması nedeniyle ilgili kişilere bildirim şeklinde kabul edilemeyeceği,
  • Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/271 sayılı Kararına uygun olarak ilgili kişilere bildirim yapılmadığı

dikkate alınarak, veri sorumlusunun 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” (24.01.2019 tarih ve 2019/10 sayılı Kurul kararında belirtilen 72 saatlik süre içerisinde) bildirimde bulunma yükümlülüğüne aykırı hareket etmesi ve 18.09.2019 tarih ve 2019/271 sayılı Kurul Kararına uygun şekilde ilgili kişilere bildirimde bulunulmamış olması nedeniyle Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca veri sorumlusu hakkında 30.000 TL

olmak üzere toplam 330.000 TL idari para cezası uygulanmasına karar verilmiştir.

09.10.2020: “Sağlık sektöründe faaliyet gösteren bir şirketin veri ihlal bildirimi”
Karar Tarihi : 09/10/2020
Karar No : 2020/787
Konu Özeti : Sağlık sektöründe faaliyet gösteren veri sorumlusu şirketin kişisel veri ihlal bildirimi hakkında

Sağlık sektöründe faaliyet gösteren bir veri sorumlusu tarafından Kuruma intikal ettirilen kişisel veri ihlali bildiriminde özetle;

  • İhlalin 30.09.2020 tarihinde başladığı,
  • İhlalin 05.10.2020 tarihinde tespit edildiği ve yine aynı tarihte sona erdiği,
  • Dünya genelinde yaygın olan ve veri sorumlusu tarafından da kullanılan bir uygulamada bulunan açıktan yararlanılarak, veri sorumlusu nezdinde söz konusu uygulamanın bulunduğu tek sunucuya zararlı bir yazılımın yüklendiğinin tespit edildiği,
  • Veriye erişim/ulaşılabilirlik bakımından ihlalin etkisinin, sunucuda bulunan uygulamanın erişiminin gerektiği “xml” formatındaki bazı dosyalara ulaşılamaması sonucunda fonksiyonlarını yerine getirememesi olduğu,
  • İhlalden etkilenen kişisel verilerin Kimlik Verisi (Ad-Soyad; Ticari Unvan, TCKN, Bağlı Olunan Vergi Dairesi), İletişim Verisi (Adres, E-Posta Adresi, Faks Numarası, Telefon Numarası), Müşteri İşlem Verisi (E-Faturanın Düzenlenme Tarihi ve Belge Numarası, Malın Nevi, Miktarı, Fiyatı ve Tutarı, Vergi Türü, Oranı ve Tutarı, Satılan Malların Teslim Tarihi ve İrsaliye Numarası, Fatura Tipi, Fatura Kayıt No. Ödeme Tarihi, Ödeme Şekli) olduğu,
  • İhlalden etkilenen kişi sayısının 200 (1 müşteri ve 199 tedarikçi); kayıt sayısının ise 1187 olduğu,
  • Fatura ilişkisi kapsamında hâlihazırda veri sorumlusunun veri kayıt sisteminde bulunan iletişim bilgileri vasıtasıyla ilgili kişilere bildirimin en geç Kişisel Verileri Koruma Kuruluna ihlal bildirimin yapıldığı tarihi takiben 3 (üç) iş günü içinde gerçekleştirileceği,
  • İhlal ile ilgili olan çalışanların son bir yıl içerisinde aldığı eğitimler hakkında;
    • ISO27001 uyumu ve sertifikası kapsamında bilgi güvenliği eğitimlerinin çalışanlar bakımından zorunlu eğitim statüsünde olduğu ve bu eğitimlerin her yıl güncel içerik ile tekrarlandığı,
    • Ayrıca işe yeni giren çalışanlar bakımından da aynı eğitimlerin oryantasyon programları kapsamında verildiği,
    • Veri sorumlusunun vermiş olduğu eğitimlerin, sunumların, katılım durumunu tevsik edici belgelerin ve log kayıtlarının münferit ekler olmak üzere veri ihlal bildirim formunun ekinde Kişisel Verileri Koruma Kurulunun bilgilerine sunulduğu,
  • İhlalden önce alınmış bulunan teknik tedbirler hususunda;
    • Ağ güvenliği ve uygulama güvenliği sağlandığı,
    • Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemlerinin alındığı,
    • Çalışanlar için yetki matrisi oluşturulduğu,
    • Erişim loglarının düzenli olarak tutulduğu,
    • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin kaldırıldığı,
    • Güncel anti-virüs sistemleri kullanıldığı,
    • Güvenlik duvarlarının kullanıldığı,
    • Kâğıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alındığı ve ilgili evrakın gizlilik dereceli belge formatında gönderildiği,
    • Kişisel verilerin yedeklendiği ve yedeklenen kişisel verilerin güvenl