Mevzuat ve Kurul Kararları

Türkiye ve Dünyada

Bilişim, Hukuk, Mevzuat, Kanun, Yönetmelik, Genelge, Tebliğ

MEVZUAT ve KVK KURUL KARARLARI

6698 sayılı KVKK KVKK Rehberleri Dünyada ve AB’de KVK AB KVK Mevzuatı EDPB ve DPWP Raporları ICO Raporları Uluslararası Raporlar Standartlar Akademik Tezler Mevzuat ve Kurul Kararları Yargıtay Kararları Yayınlanan Diğer Raporlar Videolar Eğitimler Diğer Kaynaklar KVK – Ana Sayfa

TÜRKİYE – KİŞİSEL VERİLERİN KORUNMASI MEVZUATI

Kişisel Veriler’e İlişkin tüm mevzuata (kanun, yönetmelik, kurul kararı, tebliğ) ve ilan edildiği Resmi Gazete bilgilerine erişmek için buraya tıklayınız

KİŞİSEL VERİLERİ KORUMA KURUMU
KURUL KARARLARI ve DUYURULAR

Resmi Gazete’de yayımlanan KVKK Kurul Kararlarının tamamına buradan erişilebilir. Ayrıca Kurul tarafından yayımlanan kararlara buradan, karar özetlerineburadanve duyurulara buradan erişebilirsiniz.


Duyurular: 01/10/2020: Sicil Kayıt Yükümlülüğü Hakkında Kamuoyu Duyurusu

Bilindiği üzere 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) göre kişisel verileri işleyen gerçek ve tüzel kişilerin Veri Sorumluları Siciline (Sicil) kayıt olması gereken tarihler Kişisel Verileri Koruma Kurulunca (Kurul) ilan edilmiştir.

Başkanlığımızca Hazine ve Maliye Bakanlığından elde edilen 2019 yılı verilerine göre yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olduğu görülmesine rağmen 01.10.2020 tarihi itibariyle henüz Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) kayıt başvurusunda bulunmayan veya başvuruda bulunduğu halde bildirimini tamamlamayan veri sorumlularının olduğu tespit edilmiştir.

Bu tesbite istinaden Kişisel Verileri Koruma Kurulu tarafından yapılan inceleme ve değerlendirme sonucunda; COVID-19 ile mücadele kapsamında fiili, teknik ya da hukuki imkânsızlık nedeniyle bazı veri sorumlularının Sicile kayıt yükümlülüğünü yerine getiremediği göz önüne alınarak, Veri Sorumluları Sicili Hakkında Yönetmeliğin 8 inci maddesi uyarınca ve Kanunun Geçici 1 inci maddesiyle Kurula verilmiş olan yetki çerçevesinde, Sicile kayıt yükümlülüğünü yerine getirmemiş olan veri sorumlularına bu durumun bir yazı ile bildirilmesi Kurulun 01.10.2020 tarihli ve 2020/760 sayılı kararı ile uygun bulunmuştur.

Söz konusu yazıyla Kurul tarafından kendilerine bildirilen süre içerisinde, ilgili veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri gerekmektedir.

Kamuoyuna saygıyla duyurulur.

NOT: VERBİS’e kayıt işlemleri halen devam etmektedir.

Duyuru Adresi: https://www.kvkk.gov.tr/Icerik/6819/SICILE-KAYIT-YUKUMLULUGU-HAKKINDA-KAMUOYU-DUYURUSU

26/06/2020: Aydınlatma Yükümlülüğünün Yerine Getirilmesi Hakkında Kamuoyu Duyurusu

AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ HAKKINDA KAMUOYU DUYURUSU

6698 sayılı Kişisel Verilerin Korunması Kanunu, Kanuna ilişkin ikincil mevzuat ve Kişisel Verileri Koruma Kurulunun vermiş olduğu kararlar çerçevesinde, veri sorumlularının bir takım yükümlülükleri bulunmaktadır. Bu yükümlülüklerden birisi de, Kanunun 10 uncu maddesinde yer alan aydınlatma yükümlülüğüdür.

Aydınlatma yükümlülüğü, veri sorumluları için bir yükümlülük olmakla birlikte kişisel verisi işlenen gerçek kişiler için de bir haktır. İlgili kişinin, işlenen kişisel verileri hakkında bilgilendirilmesini ifade eden aydınlatma yükümlülüğü, kişisel veri işlemenin hukuka uygun şekilde yerine getirilebilmesi için olmazsa olmaz bir şarttır.

Aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişinin talebine bağlı bir yükümlülük değildir. Ayrıca veri sorumlusu, kişisel veri işlerken ilgili kişinin açık rızasının ya da diğer kişisel veri işleme şartlarından birinin bulunması durumlarının her birinde aydınlatma yükümlülüğünü yerine getirmelidir. Çünkü aydınlatma yükümlülüğü, gerek açık rıza gerekse de Kanunda sayılan diğer kişisel veri işleme şartlarından bağımsız olarak her durumda yerine getirilmesi gereken bir yükümlülüktür.

Kurumumuza yapılan ihbar ve şikayet başvuruları üzerine ilgili veri sorumlularınca Kuruma iletilen bilgi ve belgeler üzerinden veya Kurulca inceleme ve araştırma yapılması öngörülen diğer dokümanlar üzerinden yapılan değerlendirme sonucunda;

  • Aydınlatmanın, veri sorumlusu tarafından kişisel verilerin ilgili kişiden elde edilmesi sırasında yapılmadığı, sonradan yapıldığı veya hiç yapılmadığı,
  • Aydınlatma içeriğinin, 6698 sayılı Kanunun 10 uncu maddesinde sayılan hususları kapsar nitelikte olmadığı,
  • Aydınlatmada; kişisel veri işleme amacının, işleme faaliyeti ile sınırlı, belirli, açık veya meşru olmadığı, gelecekte gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadelerin kullanıldığı,
  • Aydınlatmanın asgari unsurlarından olan “hukuki sebep” ile “işleme amacı”nın aynı anlamda kullanıldığı veya hukuki sebep unsuruna hiç yer verilmediği,
  • Aydınlatma amacıyla kullanılan metinlerde anlaşılır, açık ve sade bir dil kullanılmadığı, genel nitelikte, farklı anlaşılmaya müsait, eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verildiği,
  • Aydınlatma sürecinde, aktarım amacına ve aktarılan alıcı grubu ya da gruplarına yeterince yer verilmediği,
  • Aydınlatma metinlerinin, genellikle işleme faaliyeti ile sınırlı olmayan, veri sorumlusu için genel veri işleme belgesi niteliğinde olan “gizlilik politikaları” veya “veri işleme politikaları” olduğu,
  • Aydınlatma metinlerinin, ilgili kişi tarafından kolayca erişilebilecek bir platformda sunulmadığı,
  • Katmanlı aydınlatma yöntemi tercih edildiğinde, ilgili kişilerin ayrıntılı bilgi için başka bir mecraya yönlendirilmesinden önce, ilk aşamada temel bilgilerin sunulmadığı, detaylı aydınlatmaya erişim için uygun yol ve yöntemlerin izlenmediği, genellikle gizlilik politikaları veya veri işleme politikalarına yönlendirildiği,
  • Açık rıza ve aydınlatmanın aynı metin veya platformda aynı başlık altında birlikte sunulduğu,
  • Aydınlatma yapıldığına dair onayın talep edildiği ve onayın verilmemesi durumunda hizmetin sunulmadığı

gibi eksiklik ve mevzuata aykırılıkların bulunduğu tespit edilmiştir.

Söz konusu eksiklik ve mevzuata aykırılıklar nedeniyle veri sorumlularının Kanunda belirtilen yaptırımlarla karşılaşmamaları için aydınlatma yükümlülüğünü yerine getirirken aşağıdaki hususlara da özellikle dikkat etmesi gerekmektedir:

a) Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.

b) Aydınlatma yükümlülüğü, kişisel verilerin ilgili kişiden elde edilmesi esnasında veri sorumlusu veya yetkilendirdiği kişilerce yerine getirilmelidir.

c) Aydınlatma yükümlülüğü kapsamında yapılacak bilgilendirmenin asgari olarak, Kanunun 10 uncu maddesinde yer alan “veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile Kanunun 11 inci maddesinde sayılan ilgili kişi hakları” hususları içermesi gerekmektedir.

d) 10.03.2018 tarihli Resmi Gazetede yayımlanan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e göre; kişisel verilerin fiili imkânsızlık veya ilgili kişiye ulaşılamaması nedeniyle ilgili kişiden elde edilmemesi durumunda ise, kişisel verilerin elde edilmesinden itibaren makul bir süre içerisinde veya kişisel verinin ilgili kişiyle iletişim amacıyla kullanılacak olması durumunda ilk iletişim kurulması esnasında, kişisel verilerin aktarılacak olması halinde ise, en geç kişisel verilerin ilk kez aktarımının yapılacağı esnada ilgili kişiye yönelik aydınlatma yükümlülüğünün yerine getirilmesi gerekmektedir.

e) Aydınlatma yükümlülüğü yerine getirilirken açıklanacak olan kişisel veri işleme amacının, işleme faaliyeti ile sınırlı, belirli, açık ve meşru olması gerekmektedir. Gelecekte gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadeler kullanılmamalıdır.

f) Aydınlatma yükümlülüğü yerine getirilirken kullanılacak metinlerde anlaşılır, açık ve sade bir dil kullanılmalıdır. Ayrıca genel nitelikte, muğlak, eksik, yanıltıcı ve yanlış bilgilere yer verilmemelidir.

g) “İşleme amacı” ile “hukuki sebep”in aydınlatma yükümlülüğü yerine getirilirken ilgili kişilere yapılacak bildirimde yer alması gereken ayrı ayrı unsurlar olduğu ve veri toplamanın “hukuki sebebi” ifadesiyle, kişisel verilerin Kanunun 5 ve 6 ncı maddelerinde belirtilen işleme şartlarından hangisine dayanılarak işlendiğinin kastedildiği unutulmamalıdır.

h) İşleme faaliyeti ile sınırlı olmayan, veri sorumlusu için genel veri işleme belgesi niteliğinde olan gizlilik politikaları veya veri işleme politikaları, aydınlatma metinleri olarak kullanılmamalıdır.

i) Aydınlatmanın kolayca erişilebilir ve fark edilebilir olmasına dikkat edilmeli, ilgili kişilerin aydınlatmaya erişimini zorlaştıracak yöntemler kullanılmamalıdır.

j) Kişisel verilerin aktarımının söz konusu olduğu durumlarda, aktarımın amacına ve aktarılan alıcı grubu ya da gruplarına aydınlatmada ayrıca yer verilmelidir.

k) Katmanlı aydınlatma yöntemi tercih ediliyorsa, ilgili kişilerin ayrıntılı bilgi için başka bir mecraya yönlendirilmesinden önce, ilk aşamada temel bilgilerin (örneğin veri sorumlusunun kimliği ve veri işlemenin amacı) sunulduğundan emin olunmalı, yönlendirilen metinlerin işleme faaliyeti ile sınırlı içeriğe sahip olduğuna dikkat edilmelidir.

Bu kapsamda veri sorumlularının, aydınlatma yükümlülüğünü yerine getirirken 6698 sayılı Kanun, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Tebliği ile Kurum internet sayfasında yayımlanmış olan Kurul kararları ve Kurumumuzca hazırlanmış olan Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberine göre hareket edilmesi gerekmektedir.

Kamuoyuna saygıyla duyurulur.

23/06/2020: VERBİS’e Kayıt Sürelerinin Uzatılması Hakkında Duyuru

Tüm dünyada olduğu gibi ülkemizde de etkisini gösteren Covid-19 virüs salgını nedeniyle bazı işyerlerinin fiziksel olarak kapalı olduğu veya uzaktan / dönüşümlü çalışma modeli uygulandığı, bu nedenle veri sorumlularınca kişisel veri işleme envanteri hazırlama çalışmalarının yapılamadığı ve Veri Sorumluları Siciline (Sicil) kayıt yükümlülüğünün süresinde yerine getirilemediği gerekçesiyle Sicile kayıt sürelerinin uzatılmasına ilişkin Türkiye Odalar ve Borsalar Birliği (TOBB) ile muhtelif sektör temsilcileri tarafından Kuruma intikal ettirilen taleplerin değerlendirilmesi neticesinde Kişisel Verileri Koruma Kurulunun 23/06/2020 tarihli ve 2020/482 sayılı Kararı ile;

  • Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 30.09.2020 tarihine,
  • Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.03.2021 tarihine,
  • Kamu kurum ve kuruluşu veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.03.2021 tarihine,

kadar uzatılmasına,

  • Anılan kararın Kurum internet sayfasında duyurulması ve Resmi Gazete’de yayımlanmasına

oybirliği ile karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

10/04/2020: Bağlayıcı Şirket Kuralları Hakkında Duyuru

Kişisel verilerin yurt dışına aktarılması, 6698 sayılı Kişisel Verilerin Korunması Kanununun (6698 sayılı Kanun) 9 uncu maddesi ile düzenlenmektedir. Anılan madde hükmüne göre, kişisel verinin aktarılacağı ülkede yeterli korumanın bulunmaması durumunda kişisel veriler, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu’nun (Kurul) izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

Bilindiği üzere Kurul, Türkiye’de yerleşik veri sorumlusu tarafından yeterli veri koruması bulunmayan ülkelerde yerleşik veri sorumlusuna/veri işleyene kişisel verilerin aktarımında, ilgili tarafların yeterli bir korumayı yazılı olarak taahhüt etmelerine imkân sağlayan yöntemlerden birini “Taahhütnameler” olarak belirlemiş ve taraflarca hazırlanarak Kurul onayına sunulacak Taahhütnamelerde bulunması gereken asgari unsurları da belirleyerek ilan etmişti. Bu kapsamda söz konusu taahhütnamelerin Kurul tarafından onaylanması akabinde yurt dışına veri aktarımı mümkün olabilmektedir.

Bununla birlikte söz konusu taahhütnameler, genellikle şirketler arasında gerçekleştirilecek iki taraflı veri aktarımlarını kolaylaştırmakla birlikte çok uluslu şirket toplulukları arasında yapılacak veri aktarımları bakımından uygulama pratiğini sağlamakta yetersiz kalabilmektedir. Bu nedenle Kurul tarafından, söz konusu şirketler arasında gerçekleştirilecek uluslararası veri aktarımlarında kullanılmak üzere diğer bir yöntem olarak da “Bağlayıcı Şirket Kuralları” belirlenmiştir.

Bağlayıcı Şirket Kuralları, yeterli korumanın bulunmadığı ülkelerde faaliyet gösteren çok uluslu grup şirketleri için kişisel verilerin yurt dışına aktarımında kullanılan ve yeterli bir korumanın yazılı olarak taahhüt edilmesini sağlayan veri koruma kurallarıdır. Bu kapsama giren şirketlerin, ilgili formu doldurup gerekli talimatları izleyerek Kuruma, Bağlayıcı Şirket Kuralları başvurusu yapması gerekmektedir.

6698 sayılı Kanunun 9 uncu maddesinin (2) numaralı fıkrasının (b) bendi gereğince, söz konusu başvurular Kurul’un iznine tabidir.

Veri Sorumluları İçin Bağlayıcı Şirket Kuralları Başvuru Formu

Veri Sorumluları İçin Bağlayıcı Şirket Kurallarında Bulunması Gereken Temel Hususlara İlişkin Yardımcı Doküman

09/04/2020: Covid-19 ile Mücadelede Konum Verisinin İşlenmesi ve Kişilerin Hareketliliklerinin İzlenmesi Hakkında Bilinmesi Gerekenler

Dünya genelinde yayılma gösteren Covid-19 (Koronavirüs) virüsünün neden olduğu hastalıktan korunmak adına ülkemiz de dâhil olmak üzere tüm devletlerin çeşitli önlemlere ve tedbirlere başvurdukları bilinmektedir. Bu noktada, karantina, sosyal mesafe ve sosyal izolasyon gibi geleneksel tedbirlerin yanında, teknolojik imkanlardan yararlanıldığı da görülmektedir.

Bu kapsamda, çeşitli ülkelerde koronavirüsün yayılımını önlemek amacıyla; mobil uygulamalar vb. yöntemlerle; bu hastalığı taşıyan veya taşıma riski bulunan kişilerle temasa geçenlerin tespit edilmesi, virüsün yayılma haritası çıkartılarak tedavi ve karantina uygulanması, karantinaya alınanların kontrolü, sokağa çıkma yasağının uygulanması, kalabalık yerlerin tespiti gibi amaçlarla ilgili kişilerin sağlık, konum ve iletişim bilgileri gibi kişisel verileri işlenmektedir.

Salgın hastalık vb. durumlarda toplum sağlığının korunması ve böylece kamu düzeni ile kamu güvenliğinin sağlanmasını teminen yetkili kurum ve kuruluşlarca bu tür yöntemlere başvurulması yasal olarak mümkündür. Böyle durumlarda kişisel verilerin güvenliğinin gözetilmesi gerektiği de tartışmasızdır.

Bu çerçevede, konum verilerinin ve kişilerin hareketliliklerinin izlenmesi gibi kişisel verilerin işlenmesinin hukuka uygun olması için, bu faaliyetlerin veri koruma hukukuna egemen olan temel ilkeler çerçevesinde gerçekleştirilmesi gerekmekte olup konunun hukukumuz açısından değerlendirilmesinde fayda görülmüştür.

Konum verisi, Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelikte “Kamuya açık elektronik haberleşme hizmeti kullanıcısına ait bir cihazın coğrafi konumunu belirleyen ve elektronik haberleşme şebekesinde veya elektronik haberleşme hizmeti aracılığıyla işlenen belirli veri” olarak tanımlanmakta olup, gerçek kişileri belirlenebilir kılan konum verisinin 6698 sayılı Kişisel Verilerin Korunması Kanunu (6698 sayılı Kanun) kapsamında kişisel veri olduğu açıktır.

Konum verisinin ilgili kişi ile ilişkilendirilerek kullanılmasının gerekli olduğu durumlarda;

6698 sayılı Kanunun 28 inci maddesinin (1) numaralı fıkrasının (ç) bendinde, kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi halinde Kanun hükümlerinin uygulanmayacağı düzenlenmiştir.

Bu noktadan hareketle salgın hastalık gibi kamu düzeni ve kamu güvenliğini tehdit eden durumlarda bu tehdidi ortadan kaldırabilmek amacıyla salgın hastalık teşhisi konmuş kişilerin bulaşıcılığının sürdüğü dönemde izolasyonlarının temin edilmesine, genel nüfusun konum verilerinin işlenmesi suretiyle kalabalık alanların tespit edilmesine ve bu kapsamda önlemler geliştirilmesine yönelik olarak yetkili kamu kurum ve kuruluşları tarafından gerçekleştirilecek veri işleme faaliyetleri Kanunun 28 inci maddesinin (1) numaralı fıkrasının (ç) bendi kapsamında değerlendirilmektedir.

Bu çerçevede, Covid-19’un sebebiyet verdiği salgın hastalığın kamu güvenliğini ve kamu düzenini tehdit etmesi sebebiyle hastalığın yayılımını engellemek amacıyla konum verisinin anılan madde hükmü kapsamına giren kamu kurum ve kuruluşları tarafından işlenmesinin önünde bir engel bulunmamaktadır.

Diğer taraftan kişilerin konum verilerinin sağlık durumlarıyla ilişkilendirilmek suretiyle işlenmesi sürecinde söz konusu verilerin üçüncü kişilerce ele geçirilmesi halinde ilgili kişiler bakımından ciddi zararlar ortaya çıkabileceği dikkate alınarak, ilgili kurum ve kuruluşların kişisel verilerin güvenliğini sağlamaya yönelik gerekli her türlü teknik ve idari tedbirleri almaları ve bu verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde söz konusu kişisel verilerin silinmesi veya yok edilmesi unutulmamalıdır.

09/01/2020 (Kamuoyu Duyurusu): Şikayetlerin Elektronik Ortamda Kurula İletilmesine İlişkin Duyuru

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun 15. maddesinde “Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.” hükmü yer almakta olup, bu kapsamda Kurumumuza intikal eden şikayetler Kişisel Verileri Koruma Kurulunca sonuçlandırılmaktadır.

Bu süreçte, vatandaşlarımızın başvurularının daha hızlı ve etkin bir şekilde Kurumumuza iletebilmeleri ve takip edebilmelerini teminen “KVKK Şikayet Modülü” 09.01.2020 tarihi itibariyle hizmete açılmış olup, söz konusu Modüle https://sikayet.kvkk.gov.tr  internet bağlantısından ulaşılabilmektedir.

Kamuoyuna saygıyla duyurulur.

Şikayet Modülü Kılavuzu

06/01/2020 (Kamuoyu Duyurusu): Kişisel Veri İhlali Bildirimlerinin Elektronik Ortamda Kurula İletilmesine İlişkin Duyuru

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasında veri sorumlusunun;

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu, (5) numaralı fıkrasında ise, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildireceği, Kurulun, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükme bağlanmıştır.

Bu kapsamda 24.01.2019 tarih ve 2019/10 sayılı Kurul kararı ile Kurula yapılacak veri ihlal bildiriminde kullanılmasına karar verilen “Kişisel Veri İhlal Bildirim Form”unun https://ihlalbildirim.kvkk.gov.tr/ internet bağlantısı yoluyla da Kurula iletilebilmesi mümkün hale getirilmiştir.

Kamuoyuna saygıyla duyurulur.

Kişisel Veri İhlali Bildirim Formu Kılavuzu

08/11/2019 (Kamuoyu Duyurusu): Aydınlatma Metinlerinde GDPR’a yapılan atıflara ilişkin

KAMUOYU DUYURUSU

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun ‘Veri Sorumlusunun Aydınlatma Yükümlülüğü’ başlıklı 10 uncu maddesi (1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.” hükmünü amirdir.

Kurumumuzca yapılan incelemelerde başta medya kuruluşları olmak üzere muhtelif kurum/kuruluş/firma vb veri sorumlularının internet sayfalarında sunulan aydınlatma metinlerinde kişisel verilerin işlenmesi hususunda uygulanan politika ve kurallara yönelik açıklamalarda doğrudan Avrupa Genel Veri Koruma Tüzüğüne (GDPR) atıf yapıldığı görülmektedir.

Bu kapsamda Kişisel Verileri Koruma Kurulunun 30.10.2019 tarih ve 2019/315 sayılı Kararı uyarınca; bahse konu veri sorumluları tarafından aydınlatma yükümlülüğünün yerine getirilmesi amacıyla hazırlanan metinlerde GDPR’a uyum sağlandığına yönelik ifadelere yer verilmesinin, veri sorumlularının 6698 sayılı Kişisel Verilerin Korunması Kanununa karşı yükümlülüklerini ortadan kaldırmadığının, bu itibarla GDPR’a yapılan atıfların yanı sıra söz konusu aydınlatma metinlerinde belirtilen politika ve kuralların öncelikle 6698 sayılı Kişisel Verilerin Korunması Kanununa uygun olduğunun belirtilmesi gerektiğinin hatırlatılmasında fayda görülmektedir.

Diğer taraftan veri sorumlularınca yayımlanan aydınlatma metinlerinde Kanunun 10 uncu maddesi ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin 4 üncü maddesi hükümlerine uygun şekilde;

  • Veri sorumlusunun ve varsa temsilcisinin kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi (Kanunun 5 ve 6 ncı maddesinde yer alan işleme şartlarından hangisine dayanıldığının açıkça belirtilmesi)
  • İlgili kişinin Kanunun 11 inci maddesinde sayılan diğer hakları

hususlarına açıkça yer verilmesi, muğlak ve belirsiz ifadelerden mutlak surette kaçınılması gerekmektedir.

Kamuoyuna saygıyla duyurulur.

06/11/2019 (Kamuoyu Duyurusu): Kişisel Verilerin Korunması Kanunu Uyum Sürecine İlişkin Duyuru

Kişisel Verilerin Korunması Kanunu Uyum Sürecine İlişkin Duyuru

 

6698 sayılı Kişisel Verilerin Korunması Kanunu, bununla ilişkili ikincil mevzuat ve Kişisel Verileri Koruma Kurulu’nun vermiş olduğu kararlar çerçevesinde veri sorumlularının yükümlülükleri belirlenmiştir. Bu kapsamda, veri sorumlularının hukuka uygun veri işleme “Veri Sorumluları Sicil Bilgi Sistemine” (VERBİS) kayıt, buna bağlı olarak “Kişisel Veri İşleme Envanteri” ile “Saklama ve İmha Politikası” hazırlama ve kişisel veri güvenliğine ilişkin teknik ve idari tedbirleri almak gibi yükümlülükleri bulunmaktadır.

Veri işleme faaliyetinin yukarıda belirtilen mevzuatlara uyumlu olarak gerçekleştirilmesi için veri sorumlularının ve veri işleyenlerin bu yükümlülüklerin kaynağı olan başta kişisel verilerin işlemesinin genel ilkeleri olmak üzere kişisel veri koruma alanında genel bir bilgi sahibi olması gerektiği yadsınamaz. Bu sebeple, Kişisel Verileri Koruma Kurumu tarafından veri sorumlularının bu yükümlülüklere uyumunu kolaylaştırmak amacıyla birçok rehber, kılavuz ve doküman hazırlanmış ve www.kvkk.gov.tr adresinde paylaşılmıştır. Kurum, ayrıca, ilgili kişileri ve veri sorumlularını aydınlatmak ve hızlı bir şekilde sorularının cevaplanması amacıyla “VERİ Koruma Hattı” (ALO 198) adı ile bir bilgi danışma hattı kurmuştur. Bu çalışmalar, Kurum tarafından düzenli olarak yapılan farkındalık artırma ve bilgilendirme faaliyetleri vasıtasıyla da farklı platformlarda desteklenmektedir.

Kurul, şikâyet üzerine ya da re’sen yaptığı incelemelerde veri sorumlularının bu yükümlülükleri yerine getirip getirmediğini hukuki ve teknik açıdan birçok unsuru içeren geniş bir perspektiften değerlendirmekte ve karar vermektedir. Bu noktada Kurulun, sadece Kanun ve ikincil mevzuatta belirtilen yükümlülüklere uyumu göz önünde bulundurduğunun ve bu uyum çalışmalarının veri sorumlusu bünyesinde ya da dışarıdan destek almak suretiyle yürütülüp yürütülmediği konusunda bir değerlendirmede bulunmadığının belirtilmesi gerekmektedir.

Nihayetinde, veri sorumlularının tabi olduğu yükümlülüklerin çeşitliliği gereği bu yükümlülüklerin ancak disiplinler arası ortak bir çalışmanın neticesinde yerine getirilebilir olduğu hususu da göz önünde bulundurulmalıdır.

Kurum tarafından gerçekleştirilen yukarıda belirtilen çalışmaların neticesinde vatandaşlar ile özel sektör ve kamu kurumlarının temsilcileri arasında kişisel verilerin korunması alanındaki bilgi birikimi son dönemde hızla artmakta ve bu durum kamuoyunda genel farkındalık düzeyine katkı sağlamaktadır.

Önümüzdeki dönemde Kurum; ülkemizdeki farkındalık seviyesi, veri sorumluları-veri işleyenler-ilgili kişilerin beklentileri, kişisel verilerin korunması alanında mevcut uygulama örnekleri, kamu kurumlarının yetki ve görevleri çerçevesindeki rolleri gibi unsurları da göz önüne alarak veri sorumluları ve veri işleyenlerin kurumsal kapasitelerinin arttırılması yoluyla yükümlülüklerini yerine getirmesini kolaylaştıran ve ilgili kişilere kişisel verilerinin işlenmesi sürecinde güven veren bir sertifikalandırma mekanizması üzerinde çalışmalarını sürdürmektedir. Kurum, bu çalışma ile ilgili detayları önümüzdeki dönemde kamuoyu ile paylaşacaktır.

Kamuoyuna saygı ile duyurulur.

24/01/2019 – 2019/9: Veri Sorumlusuna Başvuru ve Kurula Şikayet Sürelerinin Hesaplanmasına İlişkin

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Veri Sorumlusuna Başvuru” başlıklı 13 üncü maddesinin (1) numaralı fıkrasında ilgili kişinin Kanunun uygulanmasına yönelik taleplerini yazılı olarak veya Kişisel Verileri Koruma Kurulunun (Kurul) belirlediği diğer yöntemlerle veri sorumlusuna iletmesi, (2) numaralı fıkrasında ise veri sorumlusunun başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırması gerektiği hükme bağlanmıştır.

Öte yandan, Kanunun “Kurula Şikâyet” başlıklı 14 üncü maddesinin (1) numaralı fıkrasında da başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişinin, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabileceği ifade edilmiştir.

Bu kapsamda, Kurumumuza intikal eden şikâyet başvurularının incelenmesi neticesinde veri sorumlusuna başvuru yolunu tüketen ilgili kişiler tarafından Kurula şikâyette bulunulması sürecinde Kanunda yer alan sürelerin yorumlanmasında farklılıklar olduğu görülmüştür. Bu itibarla Kanunun 14 üncü maddesinin (1) numaralı fıkrası uyarınca;

  • İlgili kişi tarafından yapılan başvuruya veri sorumlusunca 30 gün içinde bir cevap verilmesi halinde ilgili kişinin veri sorumlusunun cevabını müteakip 30 gün içerisinde şikâyette bulunabileceği, bu itibarla söz konusu hallerde ilgili kişinin veri sorumlusuna başvurduğu tarihten itibaren 60 günlük süresinin bulunmadığı,
  • İlgili kişi tarafından yapılan başvuruya veri sorumlusunca bir cevap verilmediği durumda ise ilgili kişinin veri sorumlusuna başvurduğu tarihten itibaren 60 gün içinde Kurula şikâyette bulunabileceği,
  • İlgili kişi tarafından yapılan başvuruya veri sorumlusunca Kanunda tanınan 30 günlük süre sonrasında bir cevap verilmesi halinde ilgili kişinin, Kanunda veri sorumlusuna tanınan 30 günlük süre sonrasında verilecek cevabı beklemekle yükümlü olmadığı ve veri sorumlusuna tanınan sürenin dolması ile birlikte Kurula şikâyette bulunabileceği göz önüne alınarak, ilgili kişinin veri sorumlusunun kendisine cevap verdiği tarihten itibaren 30 gün değil, veri sorumlusuna başvurduğu tarihten itibaren 60 gün içinde Kurula şikâyette bulunabileceği

hususlarının Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/9 sayılı Kararı ile kamuoyuna duyurulması uygun görülmüştür.

Kamuoyuna saygıyla duyurulur.


Kurul Kararları: 23/06/2020 – “Kişilerin Ad ve Soyadı ile Arama Motorları Üzerinden Yapılan Aramalarda Çıkan Sonuçların İndeksten Çıkarılması” Kişilerin Ad ve Soyadı ile Arama Motorları Üzerinden Yapılan Aramalarda Çıkan Sonuçların İndeksten Çıkarılmasına Yönelik Talepler ile ilgili olarak Kişisel Verileri Koruma Kurulunun 23/06/2020 Tarihli ve 2020/481 Sayılı Kararı
Karar Tarihi : 23/06/2020
Karar No : 2020/481
Konu Özeti : Kişilerin Ad ve Soyadı ile Arama Motorları Üzerinden Yapılan Aramalarda Çıkan Sonuçların İndeksten Çıkarılmasına Yönelik Talepler

Kurumumuza intikal eden muhtelif başvurularda, ilgili kişilerin medya kuruluşlarına ait çeşitli internet sitelerinde yer alan haberlerde geçen isim ve soy isimlerinin ya da haberlerin 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) hükümleri kapsamında silinmesinin talep edildiği, bunun yanı sıra bazı başvurularda ise söz konusu gazete arşivlerinin arama motorları tarafından indekslenmeyecek şekilde teknik düzenlemeye tabi tutulması hususunda gerekli kararların alınmasının istenildiği görülmekte olup Kurumumuza intikal eden bu yöndeki taleplerin “Unutulma Hakkı” kapsamında bir bütün olarak Kurulumuzca değerlendirilmesi gereği hasıl olmuştur.

Unutulma hakkının çeşitli yargı kararları ve uluslararası kurumların organlarının görüşleri doğrultusunda literatürde, “bireyin geçmişte hukuka uygun olarak yayılmış ve doğru nitelikteki bilgilerinin zamanın geçmesine bağlı olarak erişimden kaldırılmasını ya da gündeme getirilmemesini talep edebilmesi” olarak tanımlandığı görülmektedir.

Bilindiği üzere Anayasa’nın 20 nci maddesine 2010 Anayasa değişikliği ile eklenen “… Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” hükmü ile bireylere kişisel verilerin silinmesini talep etme hakkı tanınmaktadır.

Öte yandan, Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde kişisel verilerin işlenmesinde uyulması zorunlu ilkeler arasında doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme ve kişisel verilerin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi sayılmış, ayrıca Kanunun 11 inci maddesinin birinci fıkrasının (e) bendinde ilgili kişiye kişisel verilerin silinmesini veya yok edilmesini isteme hakkının tanındığı, 7 nci maddesinde ise kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesinin düzenlendiği, mezkur hükümde; Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği, bu hususta diğer kanunlarda yer alan hükümlerin saklı olduğu ve buna ilişkin usul ve esasların ise yönetmelikle düzenleneceğinin hükme bağlandığı görülmektedir.

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 8 inci maddesinde kişisel verilerin silinmesinin kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi olarak tanımlandığı ve veri sorumlusunun bunu sağlamaya yönelik olarak gerekli her türlü teknik ve idari tedbirleri almakla yükümlü olduğu belirtilmektedir.

Diğer taraftan Kanunun yürürlüğe girmesinden önce dahi “unutulma hakkı”nın yargı kararlarına konu olduğu, internet haber arşivinde bulunan bir haberin içeriğinin yayından kaldırılması talebine ilişkin olarak Anayasa Mahkemesi’nin 03.03.2016 tarihli ve 2013/5653 Başvuru Numaralı Kararında, “bireyin geçmişte haber yapılmış ve gerçeğe aykırılığı ileri sürülmemiş davranışlarının artık hatırlanmasının engellenmesi”nin hukuki mesele olarak ortaya konulduğu, internet haber arşivlerindeki kişisel verilere erişimin engellenerek kişilerin yaptıklarının unutulmasının sağlanması yönündeki talebin unutulma hakkı olarak nitelendirildiği, ayrıca kararda; “Başvuru tarihi itibarıyla söz konusu haberin yaklaşık on dört yıl önceki bir olaya ilişkin olduğu ve böylelikle güncelliğini yitirdiği açıktır. İstatistiki ve bilimsel amaçlar yönünden de yukarıda ifade edilen gerekçelerle bu bilgilere internet ortamında kolaylıkla ulaşılmayı gerekli kılan bir neden bulunmamaktadır. Bu bağlamda kamu yararı bakımından siyasi veya medyatik bir kişiliğe sahip olmayan başvurucu hakkında internet ortamında yayınlanan haberlerin kolaylıkla ulaşılabilirliğinin başvurucunun itibarını zedelediği açıktır.” denilmek suretiyle unutulma hakkının nasıl ele alınması gerektiğine ilişkin kriterler belirlenerek haberlerin kişinin Anayasa’nın 17 nci maddesinde güvence altına alınan şeref ve itibarın korunması hakkını ihlal ettiğine karar verilmiştir.

Kararda ayrıca unutulmayı etkin kılacak yöntemlerden de söz edildiği, buna göre, 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun’un 9 uncu maddesinde erişimin engellenmesinin kapsamının kişilik hakkının ihlalinin gerçekleştiği yayın, kısım, bölüm ile ilgili olarak (URL vb.) içeriğe erişimin engellenmesi yöntemiyle verileceği ve zorunlu olmadıkça internet sitesinde yapılan yayının tümüne yönelik erişimin engellenmesine karar verilemeyeceği belirtilmiş olup buna ek olarak, “… alınacak tedbirlerin kişinin şeref ve itibarına yönelik müdahaleleri unutulma hakkı gereğince engellemek için arşivde arama yapmaya imkân tanıyan haber ile kişi arasında ilişki kuran kişisel verilerin silinmesi, haberin anonim hâle getirilmesi, haber içeriğinin bir kısmına erişimin engellenmesi gibi birçok yöntem benimsenebilir. Bu bağlamda yargının görevinin, İnternet ortamının sağladığı kolaylıkla zamanla kişilerin itibarına yönelik müdahale oluşturan haberleri tamamen ortadan kaldırarak geçmişte meydana gelmiş olayların yeniden yazılmasını sağlamak olmadığı dikkate alınmalıdır. İnternet haber arşivinin bir bütün olarak basın özgürlüğünün koruması altında olduğu unutulmamalıdır…” denilmek suretiyle kişisel verilerin silinmesine ve anonim hale getirilmesine yapılan atıfla erişimin kısmi olarak engellenmesi ve kişi ile haber arasında bağlantının koparılması yollarıyla söz konusu hakla basın özgürlüğü arasında nasıl denge kurulabileceğinin gösterildiği, burada Kanunun yürürlüğe girmesinden önce silme ve anonim hale getirmenin unutulma hakkını hayata geçirmeye yönelik bir yöntem olarak ifade edilmesinin önemli olduğu, zira Yüksek Mahkeme kararında unutulma hakkına bir üst kavram olarak yaklaşıldığı, silme ve anonim hale getirmeyi ise bu hakkı tesis etmeye yönelik bir yol olarak sunulduğu anlaşılmaktadır.

Yine davacının isminin rumuzlanmadan bir kitapta yer almasına ilişkin olarak verilmiş olan Yargıtay Hukuk Genel Kurulu’nun 17.06.2015 tarihli E:2014/4-56, K:2015/1679 sayılı Kararında unutulma hakkının; üstün bir kamu yararı olmadığı sürece, dijital hafızada yer alan geçmişte yaşanılan olumsuz olayların bir süre sonra unutulmasını, başkalarının bilmesini istemediği kişisel verilerin silinmesini ve yayılmasının önlenmesini isteme hakkı olarak ifade edildiği, bireyin geçmişinde yaşadığı olumsuz etkilerden kurtularak geleceğini şekillendirebilmesinin bireyin yararına olduğu gibi toplumun kalitesinin gelişmişlik seviyesinin yükselmesine de etkisinin tartışılmaz olduğu ifade edilerek unutulma hakkının gereği gibi sağlanmasının bireye faydası olduğu kadar topluma da faydası olduğunun vurgulandığı, bunun da ötesinde kararda unutulma hakkı tanımlarına bakıldığında her ne kadar dijital veriler için düzenlenmiş ise de, bu hakkın özellikleri ve bu hakkın insan haklarıyla arasındaki ilişkisi dikkate alındığında; yalnızca dijital ortamdaki kişisel veriler için değil, kamunun kolayca ulaşabileceği yerde tutulan kişisel verilere yönelik olarak da kabul edilmesi gerektiğinin ifade edildiği görülmektedir.

Unutulma hakkına ilişkin olarak Kanunun yürürlüğe girmesinin ardından verilen Yargıtay 19. Ceza Dairesi’nin 05.06.2017 tarihli E:2016/15510, K:2017/5325 sayılı kararında; bir internet sitesinde yer alan haberin güncellik değerini yitirdiği, dolayısıyla haberin o tarihte “gerçeklik ve doğruluk” kriterlerini karşılamasının artık bir önemi kalmadığı, adı geçen habere istenildiği zaman ulaşılmasının, toplum açısından yanlış algılamaya yol açabileceği, haberin yayında kalmasının toplumun ilerlemesi, gelişmesi için bir katkı sağlamayacağı, kamu yararına toplum hafızasında yer etmesi gibi bir etkisi olmadığı, haberin içeriğini oluşturan kişilerin toplumu temsil ve topluma hizmet etme gayesiyle seçilmiş veya atanmış siyasilerden olmadığı gibi, topluma kendini anlatma ve toplumu aydınlatma gayesiyle eser veren sanatçılardan veya aydınlardan da olmaması nedeniyle suç geçmişlerine dair bilgilerin kamuyu ilgilendirmediği belirtilerek unutulma hakkının ifade ve basın özgürlüğüne üstün tutulduğu, ayrıca kararda Kanuna atıf yapılmasa da unutulma hakkının kişisel verilerin korunması hakkı içinde ele alındığı anlaşılmaktadır.

Uluslararası hukukta unutulma hakkı Birleşmiş Milletler, Avrupa Konseyi ve Avrupa Birliği sistemleri yönünden ele alındığında öncelikle ilk iki sistem içinde mevzuat düzeyinde unutulma hakkının tanımlanmadığı, ancak anılan kurumların mevzuatlarında yer alan özel hayata saygı, şöhretin korunması, kişisel bilgilerin gizliliği gibi bazı haklar üzerinden unutulma hakkına ilişkin sonuçlara ulaşılan kararlara ya da raporlara rastlandığı görülmektedir. Öte yandan;

Avrupa Birliği Adalet Divanının (ABAD) 2014 yılında verdiği Google İspanya kararında özetle; arama motorunda yapılan aramada çıkan sonuçların “geçersiz, eksik, tamamen ilgisiz veya sonradan ilgisiz hale gelmiş” ise arama motorları tarafından internet ortamına yüklenen amacını aşan söz konusu kişisel verilerin ve buna ilişkin sonuç listesinde yer alan bilgilerin silinmesi gerektiğinin belirtildiği, kararda ayrıca ilke olarak kişinin özel hayatının gizliliği hakkının, arama motorunun ekonomik çıkarı ile söz konusu kişi adına yapılan arama üzerine kamunun bilgiye erişim hakkının diğer bir ifadeyle bilgi alma hakkının üzerinde olduğu, bu kuralın yalnızca kamunun bilgiyi öğrenmede üstün bir yararı bulunmakta ise uygulanmayacağının ifade edildiği,
29. Madde Çalışma Grubu’nun ABAD’ın mezkur kararının uygulanmasına ilişin rehber ilkelerinde de kavramsal olarak “unutulma hakkı”nın kullanılmadığı, burada daha çok indeksten çıkarılma hakkı, arama motoru sonuçlarındaki linklerin gizlenmesi gibi kavramlar üzerinden konunun ele alındığı,
25 Mayıs 2018 tarihinde yürürlüğe giren Avrupa Genel Veri Koruma Tüzüğü’nün (Tüzük) “Silme hakkı (‘Unutulma Hakkı’)” başlıklı 17 nci maddesindeki düzenlemenin incelenmesinden, unutulma hakkının ayrıca tanımlanmadığı ve “silme” yükümlülüğü kapsamında değerlendirildiği, bu hakkın kullanımı bakımından Kanunun ilgili hükümlerine benzer şekilde veri işleme şartlarının ortadan kalkmış olması durumuna atıfta bulunulduğu ve bu hakkın istisnalarına (yasal yükümlülük, kamu yararına gerçekleştirilen bir görevin yerine getirilmesi, halk sağlığı alanındaki kamu yararı, kamu yararına arşivleme, bilimsel veya tarihi araştırma amaçları, istatistiki amaçlar, yasal iddialarda bulunulması, bu iddiaların uygulanması veya savunulması) yer verildiği
görülmektedir.

Bu kapsamda, unutulma hakkının uygulanmasında mevzuatımızda kavramsal olarak söz konusu hakka yer verilmese bile hukukumuzda bu hakkı sağlamaya yönelik araçların bulunduğunun açık olduğu, bu araçların örneğin, 5651 sayılı Kanunun özel hayatın gizliliği nedeniyle içeriğe erişimin engellenmesi yönündeki düzenlemesi olabileceği gibi Kanunun silmeyi düzenleyen 7 nci maddesi de olabileceği, bu itibarla, yukarıda yer verilen açıklamalardan hareketle, unutulma hakkının, Anayasanın 20 nci maddesinin üçüncü fıkrası hükmü ile 6698 sayılı Kanunun 4 üncü, 7 nci ve 11 inci maddelerinde ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 8 inci maddesinde yer verilen düzenlemelerle iç hukukumuz açısından karşılanabileceği ve ayrı bir hak olarak tanımlanmasına gerek olmadığı; öte yandan unutulma hakkını sağlamaya yönelik olarak veri işleme faaliyetinin durdurulması, silme, yok etme veya anonim hâle getirme ile indeksten çıkarma işleminden somut olaya göre en uygun olan araca karar verilebileceği, zira unutulma hakkı içinde pek çok hakkı barındıran bir üst kavramken, sayılanların bu hakkı tesis etmeye yönelik araçlar olarak ele alındığında Kanunla hedeflenen gayenin gerçekleşmesine de katkı sunulabileceği değerlendirilmektedir.

Bu çerçevede, Kurumumuza intikal eden medya kuruluşlarına ait çeşitli internet sitelerinde yer alan haberlerde yer verilmek suretiyle işlenen kişisel verilerinin kaynaktan silinmesine yönelik başvurular, bu basın organlarının veri sorumlusu olduğu noktasından hareketle Kanunun ilgili hükümleri çerçevesinde Kurulca değerlendirilerek karara bağlanmakla birlikte, kişilerin unutulma hakkı kapsamında ad ve soyadları üzerinden arama motorlarından yapılan aramalarda çıkan sonuçların indeksten çıkarılmasına yönelik talepleri kapsamında Kanunda ve ilgili alt düzenlemelerde herhangi bir açık hükme yer verilmediğinden, bu nitelikteki başvuruların ne şekilde ele alınacağı hususunun değerlendirilmesi gereği ortaya çıkmaktadır.

Yukarıda yer verilen değerlendirmeler çerçevesinde;

Kurumumuza intikal eden başvurulara konu “Unutulma Hakkı”nın bir üst kavram olarak ele alınmak suretiyle Anayasanın 20 nci maddesinin üçüncü fıkrası hükmü ile 6698 sayılı Kanunun 4 üncü, 7 nci ve 11 inci maddelerinde ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 8 inci maddesinde yer verilen düzenlemeler çerçevesinde değerlendirildiği,
Yine Kurumumuza yapılan başvurularda yer verilen arama motorlarından ad ve soyadı ile yapılan aramalarda kişinin kendisiyle bağlantılı sonuçlara ulaşılmamasını isteme hakkının indeksten çıkarılma talebi olarak nitelendirildiği,
Bu kapsamda, arama motorlarının, üçüncü taraflara ait internette topladıkları verilerin işlenmesinin amaç ve vasıtalarını belirledikleri göz önünde bulundurularak Kanunun 3 üncü maddesinde yer verilen tanım çerçevesinde veri sorumlusu olarak kabul edildiği,
Arama motorunun işletmecisinin otomatik, düzenli ve sistematik olarak internette yayınlanan bilgiyi bulduğu, daha sonra kendi indeksleme programları çerçevesinde alıp, kaydedip, organize ettiği kişisel verileri arama sonuçlarının listesi formunda düzenlediği, sunucuları üzerinde sakladığı, belirli durumlarda açıkladığı ve kullanıcılarına sunduğu dikkate alındığında arama motorları tarafından gerçekleştirilen faaliyetlerin Kanunun 3 üncü maddesi kapsamında ‘kişisel veri işleme” faaliyeti olarak değerlendirildiği,
Bu kapsamda, Kanunun başvuru ve şikâyet hakkına ilişkin hükümlerinde belirtilen usul ve süreler esas alınarak ilgili kişilerin, arama sonuçlarının indeksten çıkarılmasına yönelik talepleri ile ilgili olarak öncelikle arama motorlarına başvuruda bulunmaları, veri sorumlusu arama motorlarının söz konusu talepleri reddetmeleri veya başvuru sahibine cevap vermemeleri halinde ilgili kişilerce Kurula şikâyette bulunabilecekleri,
İlgili kişilerce yapılacak başvurunun şekli ve istenilecek bilgi ve belgelerin arama motorları tarafından belirleneceği,
İlgili kişinin arama motorları üzerinden kendi adı ve soyadı ile yapacağı bir arama sonucunda gösterilen sonuçların indeksten çıkarılmasına yönelik taleplerin değerlendirilmesinde, ilgili kişinin temel hak ve özgürlükleri ile kamunun söz konusu bilgiyi edinmesinden sağlayacağı menfaatler arasında bir denge testi yapılması, yarışan menfaatlerden hangisinin ağır bastığının gözetilmesi ve bu değerlendirme yapılırken öncelikli olarak aşağıda belirtilen linkte yer verilen açıklamaların dikkate alınması ancak bu konudaki şikâyetlerin değerlendirme sürecinde dikkate alınacak kriterlerin bunlarla sınırlı olmayacağı, her somut olay özelinde Kurulca ilave ölçütlerin de gündeme gelebileceği,
İlgili kişilerin, arama motorları üzerinden kendi ad ve soyadları ile yapılacak aramalar neticesinde gösterilen sonuçların indeksten çıkarılmasına yönelik taleplerinin veri sorumlusu arama motorları tarafından reddedilmesi veya taleplerine cevap verilmemesi halinde Kurula başvuruda bulunulurken aynı zamanda doğrudan yargı yoluna başvurmalarının da mümkün bulunduğu
hususlarının kamuoyuna duyurulmasına,

Bu kararda yer alan usul ve esasların arama motoru işleticisi şirketlere bildirilmesi ve ilgili kişilerce internet siteleri üzerinden unutulma hakkının uygulanabilmesini teminen iletişim kanallarının ülkemiz vatandaşları tarafından da kullanılabilmesine yönelik gerekli aksiyonların alınmasının sağlanmasına

karar verilmiştir.
Kişilerin Ad ve Soyadı ile Arama Motorları Üzerinden Yapılan Aramalarda Çıkan Sonuçların İndeksten Çıkarılmasına İlişkin Değerlendirmede Dikkate Alınacak Kriterler 23/06/2020 – “Veri Sorumluları Siciline Kayıt Tarihlerinin Uzatılması” “Veri Sorumluları Siciline Kayıt Tarihlerinin Uzatılması İle İlgili Kişisel Verileri Koruma Kurulunun 23/06/2020 Tarihli ve 2020/482 Sayılı Kararı
Karar Tarihi : 23/06/2020
Karar No : 2020/482
Konu Özeti : Veri Sorumluları Siciline kayıt tarihlerinin uzatılması

Tüm dünyada olduğu gibi ülkemizde de etkisini gösteren Covid-19 virüs salgını nedeniyle bazı işyerlerinin fiziksel olarak kapalı olduğu veya uzaktan / dönüşümlü çalışma modeli uygulandığı, bu nedenle veri sorumlularınca kişisel veri işleme envanteri hazırlama çalışmalarının yapılamadığı ve Veri Sorumluları Siciline (Sicil) kayıt yükümlülüğünün süresinde yerine getirilemediği gerekçesiyle Sicile kayıt sürelerinin uzatılmasına ilişkin Türkiye Odalar ve Borsalar Birliği (TOBB) ile muhtelif sektör temsilcileri tarafından Kuruma intikal ettirilen taleplerin değerlendirilmesi neticesinde;

Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 30.09.2020 tarihine,
Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.03.2021 tarihine,
Kamu kurum ve kuruluşu veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.03.2021 tarihine,
kadar uzatılmasına, Anılan kararın Kurum internet sayfasında duyurulması ve Resmi Gazete’de yayımlanmasına
oybirliği ile karar verilmiştir. 22/04/2020 – “Veri Sorumluları Siciline Kayıt Yükümlülüğünden İstisna Tutulacak Veri Sorumluları”
Karar Tarihi : 22/04/2020
Karar No : 2020/315
Konu Özeti : Dernek, vakıf ve sendikaların Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulması

 

6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesi gereği Veri Sorumluları Siciline kayıt yükümlülüğüne istisna getirilen 02.04.2018 tarihli ve 2018/32 sayılı Kurul kararının 3 üncü maddesinde yer alan dernek, vakıf ve sendikalarla ilgili istisna hususundaki başvurular üzerine Kurul tarafından yapılan değerlendirme sonucunda;

  • Sicile kayıt yükümlülüğüne istisna getirilen 02.04.2018 tarihli ve 2018/32 sayılı Kurul kararının 3 üncü maddesinde yer alan “04/11/2004 tarihli ve 5253 sayılı Dernekler Kanununa göre kurulmuş derneklerden, 20/02/2008 tarihli ve 5737 sayılı Vakıflar Kanununa göre kurulmuş vakıflardan ve 18/10/2012 tarihli 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler.” ifadesinin “yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalar” olarak değiştirilmesinin,
  • Anılan Kararın Kurum internet sayfası ve Resmi Gazetede yayımlanmasının

kabulüne oybirliği ile karar verilmiştir.

18/10/2019 – muhtelif yollarla elde edilen veriler üzerinden vatandaşların kimlik ve iletişim bilgileri gibi kişisel verilerinin sorgulanmasına imkân tanıyan yazılım/program/uygulamaların kullanılması Hk

21.11.2019 Tarih 30955 sayılı Resmi Gazete

Kişisel Verileri Koruma Kurumuna intikal eden ihbarlar kapsamında avukatlar/hukuk büroları ile finans, gayrimenkul danışmanlık, sigorta vb. sektörlerde faaliyet gösteren bazı kişi ve kuruluşlar tarafından muhtelif yollarla elde edilen veriler üzerinden vatandaşların kimlik ve iletişim bilgileri gibi kişisel verilerinin sorgulanmasına imkân tanıyan yazılım/program/uygulamaların kullanılmakta olduğu tespit edilmiştir. Yapılan değerlendirme sonucunda bu durumun, 6698 sayılı Kişisel Verilerin Korunması Kanununun veri sorumlularının veri güvenliğine ilişkin yükümlülüklerini düzenleyen 12 nci maddesi hükümlerine aykırılık oluşturduğu dikkate alınarak, yaşanabilecek veri güvenliği ihlallerinin önüne geçilmesini teminen;

– Bu mahiyetteki yazılımları/programları/uygulamaları kullandığı tespit edilenler hakkında Türk Ceza Kanunu kapsamında gerekli adli işlemlerin tesisi için konunun, 5271 sayılı Ceza Muhakemesi Kanununun 158 inci maddesi hükmü uyarınca ihbaren ilgili Cumhuriyet Başsavcılıklarına bildirileceği,

– Kişisel Verileri Koruma Kurulunun görev alanına giren yönüyle de veri sorumluları hakkında 6698 sayılı Kişisel Verilerin Korunması Kanununun 18 inci maddesi hükmü çerçevesinde idari işlem tesis edileceği

hususlarında kamuoyunun bilgilendirilmesine,

– 6698 sayılı Kişisel Verilerin Korunması Kanununun 15 inci maddesinin altıncı fıkrası hükmü uyarınca alınan bu ilke kararının Resmi Gazete ile Kurumun internet sitesinde yayımlanmasına

oybirliği ile karar verilmiştir.

18/09/2019 – 2019/271: “Veri sorumlusu tarafından ilgili kişiye yapılan veri ihlali bildiriminde yer alması gereken asgari unsurlar” hakkında

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasında veri sorumlusunun;

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu, (5) numaralı fıkrasında ise, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildireceği, Kurulun, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükme bağlanmıştır.

Kişisel Verileri Koruma Kurulunun (Kurul) 24.01.2019 tarih ve 2019/10 sayılı kararı ile veri ihlali bildiriminin “Veri sorumlusunca söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılmasına” karar verilmiştir.

Söz konusu hüküm ve Kurul kararı kapsamında Kuruma intikal eden veri ihlal bildirimlerinin değerlendirilmesi sürecinde; kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde veri sorumlusunun bu durumu Kurula ve ihlalden etkilenmiş kişilere bildirmesinde amacın, ihlal nedeniyle bu kişiler hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesi veya en aza indirilmesine imkan verecek önlemler alınmasını sağlamak olduğu dikkate alındığında veri sorumlularının söz konusu ihlale ilişkin ilgili kişilere yapacağı bildirimlerde hangi unsurların bulunması gerektiğinin açıkça düzenlenmesi gerekliliği doğmuştur.

Bu kapsamda Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/271 sayılı Kararı ile;

Veri sorumlusu tarafından ilgili kişiye yapılacak olan ihlal bildiriminin açık ve sade bir dille yapılması ve asgari olarak;

  • İhlalinin ne zaman gerçekleştiği,
  • Kişisel veri kategorileri bazında (kişisel veri / özel nitelikli kişisel veri ayrımı yapılarak) hangi kişisel verilerin ihlalden etkilendiği,
  • Kişisel veri ihlalinin olası sonuçları,
  • Veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler,
  • İlgili kişilerin veri ihlali ile ilgili bilgi almalarını sağlayacak irtibat kişilerinin isim ve iletişim detayları ya da veri sorumlusunun web sayfasının tam adresi, çağrı merkezi vb. iletişim yolları

unsurlarına yer verilmesi gerektiğine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

03/09/2019 – 2019/265: “VERBİS Kayıt Sürelerinin Uzatılması” hakkında
Karar Tarihi : 03/09/2019
Karar No : 2019/265
Konu Özeti :VERBİS Kayıt Sürelerinin Uzatılması

 

Türkiye Odalar ve Borsalar Birliği (TOBB) ile muhtelif sektör temsilcileri tarafından Kuruma intikal ettirilen Veri Sorumluları Siciline (Sicil) kayıt sürelerinin uzatılmasına ilişkin taleplerin değerlendirilmesi neticesinde;

  • Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2019 tarihine kadar uzatılmasına,
  • Bu kararın Kurum internet sayfasında duyurulması ve Resmî Gazete’de yayımlanmasına

oybirliği ile karar verilmiştir.

02/05/2019 – 2019/125: “Yeterli korumanın bulunduğu ülkelerin tayininde kullanılmak üzere oluşturulan form” hakkında
Karar Tarihi : 02/05/2019
Karar No : 2019/125
Konu Özeti :Yeterli korumanın bulunduğu ülkelerin tayininde kullanılmak üzere oluşturulmuş form

 

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 9 uncu maddesinde; kişisel verilerin, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağı, kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulunun (Kurul) izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın söz konusu verilerin yurt dışına aktarılabileceği düzenlenmiştir. Ayrıca maddede yeterli korumanın bulunduğu ülkelerin Kurulca belirlenerek ilan edileceği ve söz konusu ülkelerin ilanında değerlendirilecek hususlar hüküm altına alınmıştır.

Bu kapsamda Kanunun 9 uncu maddesi uyarınca yeterli korumanın bulunduğu ülkelerin Kurulca belirlenmesinde kullanılmak üzere Kurulun 02/05/2019 tarih ve sayılı 2019/125 sayılı Kararında kabul edilen ilgili kriterlere aşağıda belirtilen bağlantı üzerinden erişim sağlanabilir.

Yeterli Korumaya Sahip Ülkelerin Belirlenmesinde Esas Alınacak Kriterler

24/01/2019 – 2019/10: Kişisel Veri İhlali Bildirim Usul Ve Esaslarına İlişkin

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasında veri sorumlusunun;

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  • Kişisel verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu, (5) numaralı fıkrasında ise, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kuruluna (Kurul) bildireceği, Kurulun, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükme bağlanmıştır.

Veri ihlal bildirimlerinde, Kurula ve ihlalden etkilenmiş kişilere bildirim yapılmasındaki amacın, ihlal nedeniyle bu kişiler hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesi veya en aza indirilmesine imkan verecek önlemler alınmasını sağlamak olduğu, öte yandan 6698 sayılı Kanuna kaynak teşkil eden Avrupa Birliğinin 95/46/EC sayılı Direktifini ilga eden Avrupa Genel Veri Koruma Tüzüğünde de veri ihlal bildirimlerine ilişkin olarak Direktifin aksine detaylı düzenlemelere yer verildiği dikkate alındığında Kurul tarafından bu konuda alınacak kararlar arasında herhangi bir uyumsuzluğa mahal verilmemesi ve uygulamada bir standartlaşma sağlanabilmesini teminen; Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10 sayılı Kararı ile;

  • Kanunun 12 nci maddesinin (5) numaralı fıkrasının “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir….” hükmünde yer alan “en kısa sürede” ifadesinin 72 saat olarak yorumlanmasına ve bu kapsamda veri sorumlusunun bu durumu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirmesine, veri sorumlusunca söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılmasına,
  • Veri sorumlusu tarafından Kurula haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurula açıklanmasına,
  • Kurula yapılacak bildirimde aşağıda yer verilen “Kişisel Veri İhlal Bildirim Form”unun kullanılmasına,
  • Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgilerin gecikmeye mahal verilmeksizin aşamalı olarak sağlanmasına,
  • Veri sorumlusu tarafından veri ihlallerine ilişkin bilgilerin, etkilerinin ve alınan önlemlerin kayıt altına alınması ve Kurulun incelemesine hazır halde bulundurulmasına,
  • Veri işleyen nezdinde bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri işleyenin bu konuda herhangi bir gecikmeye yer vermeksizin veri sorumlusuna bildirimde bulunmasına,
  • Veri ihlalinin yurtdışında yerleşik veri sorumlusu nezdinde yaşanması halinde, bu ihlalin sonuçlarının Türkiye’de yerleşik ilgili kişileri etkilemesi ve ilgili kişilerin sunulan ürün ve hizmetlerden Türkiye’de faydalanmaları durumunda, bu veri sorumlusu tarafından da aynı esaslar çerçevesinde Kurula bildirimde bulunulmasına,
  • Veri ihlali gerçekleşmesi halinde veri sorumlusu tarafından kendi nezdinde kimlere raporlama yapılacağı, Kanun kapsamında yapılacak bildirimler ile veri ihlalinin olası sonuçlarının değerlendirilmesi hususunda, kendi nezdindeki sorumluluğun kimde olduğunun belirlenmesi gibi konuları içeren bir veri ihlali müdahale planı hazırlanarak belirli aralıklarla bu planın gözden geçirilmesine

karar verilmiştir.

Kişisel Veri İhlali Bildirim Formu

Kamuoyuna saygıyla duyurulur.

27.05.2019 – 2019/52: Kurul kararının yerine getirilmemesi hakkında
Karar Tarihi : 05/03/2019
Karar No : 2019/52
Konu Özeti :Kurul kararının yerine getirilmemesi hakkında

2019/23 sayılı Kurul kararının şirkete tebliği sonrasında Şirket internet sitesi üzerinde muhtelif tarihlerde herhangi bir form numarasının son iki hanesinin değiştirilmesi suretiyle farklı form numaraları ile yapılan sorgulamalarda;

  • Başka cihazlara ait sorgulamaların halen gerçekleştirilebildiği ve başka bir güvenlik doğrulamasının da yapılmadığı,
  • Yapılan sorgulama sonucunda açılan sayfada kişilerin isim ve soy isimleri, IMEI numaraları ile cihazın sevk edildiği adresin baş ve son harfleri hariç maskelendiği, IMEI numaralarının, sorgulama yapılan ilk sayfada maskelenmiş şekilde gösterilmekle birlikte, aynı sayfada yer alan “Cihaz Kayıt Görüntüleri için Tıklayınız” linki seçildiğinde açılan yeni pencerede kamera görüntülerine ulaşabilmek için yönlendirilen linkin uzantısında IMEI numaralarının halen açık şekilde gösterildiği, söz konusu sayfada numaranın kime ait olduğuna ilişkin tanımlayıcı bir bilgiye yer verilmediği ancak, sorgu sayfasının aşağısında yer alan “Kargonuzu Görüntülemek İçin Tıklayınız” linki seçildiğinde gönderinin yapıldığı kargo firmasına yapılan yönlendirme ile ulaşılan sayfada gönderiyi teslim alan kişinin adı ve soyadı açıkça yer aldığından gönderiyi kendisi teslim alan müşteriler açısından IMEI numaraları ile cihaz sahibinin eşleştirilmesinin mümkün olabileceği,

görülmüş olup, söz konusu sorgulamalara ilişkin ekran çıktıları alınmış ve tutanağa bağlanmıştır.

Bu itibarla,

  • 2019/23 sayılı Kurul Kararı çerçevesinde Şirkete tebliğ edilen “…söz konusu aykırılığın ivedilikle giderilmesi, bahse konu aykırılığın giderildiği hususunun Kurula tevsiki sağlanıncaya kadar işbu Kararda yer alan linklerin kullanımının derhal durdurulması…” şeklindeki talimatın Şirket tarafından Kurul Kararına uygun olarak yerine getirilmediği dikkate alındığında, Kanunun 15 inci maddesine aykırı olarak uyarınca Kurul tarafından verilen kararı yerine getirmeyen Şirket hakkında Kanunun 18 inci maddesi çerçevesinde 50.000 TL idari para cezası uygulanmasına,
  • Öte yandan, Şirkete ait internet sitesinde herhangi bir sorgu numarasının son iki hanesini değiştirmek suretiyle başka cihaz ve sahiplerine ilişkin sorgulamaların halen yapılabildiği dikkate alındığında, asıl güvenlik açığının giderilmediği bu kapsamda, cihaz takibi için sorgulama yapılabilmesine imkan veren sistemin değiştirilmesi, diğer taraftan halihazırda sorgulama yapılan sisteme erişimin ivedilikle kapatılması hususunda Şirketin talimatlandırılmasına

karar verilmiştir.

05/12/2018 – 2018/143 : Sağlık Verilerinin Kanunun 6 ncı Maddesinde Yer Alan İşleme Şartlarından Birine Dayanmadan Üçüncü Kişilere Aktarımı Hakkında

Yayım Tarihi: 18.02.2019

Doktor kontrolünde ilaç kullanan ilgili kişinin, özel nitelikli bu sağlık verisinin ilaçların temin edildiği eczane tarafından her hangi bir işleme şartına dayanmadan üçüncü kişiyle paylaşılması hususunda Kuruma yapılan şikâyet başvurusu hakkında;

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6 ncı maddesinin (1) numaralı fıkrasında kişilerin sağlık verilerinin özel nitelikli kişisel veri olduğu belirtilmiştir. Mezkur maddenin (2) numaralı fıkrasında özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesi yasaklanmış bununla birlikte, (3) numaralı fıkrada özel nitelikli kişisel verilerin açık rıza aranmadan işlenebileceği diğer haller sayılmıştır. Buna göre sağlık verilerinin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebileceği belirtilmiştir. Kanunun “Kişisel verilerin aktarılması” başlıklı 8 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın aktarılamayacağı hükme bağlanmış olup, anılan maddenin (2) numaralı fıkrasında ise kişisel verilerin açık rıza aranmaksızın aktarılabileceği haller Kanunun 5 inci maddesinin (2) numaralı fıkrası ile 6 ncı maddesinin (3) numaralı fıkrasına atıfta bulunmak suretiyle belirlenmiştir.

Öte yandan, Kanunun 12 nci maddesinin (1) numaralı fıkrası, veri sorumlusunun;

  1. Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  2. Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  3. Kişisel verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğunu düzenlemektedir. Anılan maddenin (4) numaralı fıkrasında ise veri sorumluları ile veri işleyen kişilerin öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacının dışında kullanamayacağı hükmüne yer verilmiştir.

Bu kapsamda, doktor kontrolünde ilaç kullanan ilgili kişinin sağlığı ile ilgili özel nitelikli kişisel verilerinin, ilaçları temin ettiği eczane tarafından 6698 sayılı Kişisel Verilerin Korunması Kanununun 8 inci maddesinde sayılan şartlar sağlanmadan üçüncü kişiyle paylaşılmasının Kanunun 12 nci maddesinin (4) numaralı fıkrasına aykırılık teşkil etmesi nedeniyle veri sorumlusu eczane hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmıştır.

26/07/2018 – 2018/91: Kişisel Verilere Hukuka Aykırı Erişilmesini Önleme Hakkında

Yayım Tarihi: 18.02.2019

Bir hazır giyim firmasının internet sitesi üzerinden üyelik bilgileri ile alışveriş yapan kişinin teslimat adresi, ad, soyadı, adres ve telefon numarası gibi kişisel bilgilerinin şirkete ait bu internet sitesi üzerinden alışveriş yapan üçüncü kişilerce erişilebilir hale gelmesi sebebiyle Şirkete başvuruda bulunarak kişisel verilerinin sistemlerinden silinmesini, yok edilmesini, ulaşılamaz hale getirilmesini, yurtiçi ve yurt dışında başka bir kurumla paylaşıldı ise o kurumlar nezdinde de silinmesini ve yok edilmesini talep etmesi üzerine Şirketten aldığı cevabı yetersiz bulması neticesinde Kuruma yapılan başvuru hakkında;

6698 sayılı Kişisel Verilerin Korunması Kanununun 7 nci maddesi “(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. (2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır” hükmünü amirdir.

Kanunun “İlgili Kişinin Hakları” başlıklı 11 inci maddesinin (1) numaralı fıkrasında ise herkesin, veri sorumlusuna başvurarak kendisiyle ilgili; yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme hakları düzenlemektedir.

Diğer yandan, Kanunun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (1) numaralı fıkrasında veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu hüküm altına alınmıştır.

Bir hazır giyim firmasının internet sitesi üzerinden üyelik bilgileri ile alışveriş yapan kişinin teslimat adresi, ad, soyadı, adres ve telefon numarası gibi kişisel bilgilerinin şirkete ait bu internet sitesi üzerinden alışveriş yapan üçüncü kişilerce erişilebilir hale gelmesi sebebiyle Şirkete başvuruda bulunarak kişisel verilerinin sistemlerinden silinmesini, yok edilmesini, ulaşılamaz hale getirilmesini, yurtiçi ve yurt dışında başka bir kurumla paylaşıldı ise o kurumlar nezdinde de silinmesini ve yok edilmesini talep etmesi üzerine Şirketten aldığı cevabı yetersiz bulması neticesinde Kuruma yapılan başvuru kapsamında;

– Şikâyetçinin kişisel verilerinin alışveriş işlemleri için girildiği, ancak anılan bilgilerin aynı zamanda başka müşterilerin alışverişe ilişkin işlemleri sırasında görülebilir hale geldiği, Şirket tarafından Kuruma sunulan savunma ve belgelerde, şirketin şikâyete konu durumdan olayla birlikte haberdar olduğu, olayın sistemsel bir hatadan kaynaklandığının tespit edildiği, ilgili departmanlar arasında istişarelerde bulunularak başka müşterilerin de mağduriyet yaşamamaları amacıyla bir takım önlemlerin alındığı ve derhal uygulama sürümünün çıkarıldığı hususlarına ilişkin açıklamaları birlikte değerlendirildiğinde Şirket tarafından bahsi geçen mağduriyet öncesinde Kanunun 12 nci maddesinin (1) numaralı fıkrası kapsamında kişisel verilerin muhafaza edilmesi ve kişisel verilere hukuka aykırı erişilmesini önleme amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirlerin alınamadığı sonucuna varıldığından; Şirket hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmasına,

– Şikâyetçinin her türlü kişisel verisinin Şirket sistemlerinden silinmesi, yok edilmesi, ulaşılamaz hale getirilmesi, yurtiçi ve yurt dışında başka bir kurumla paylaşıldı ise o kurumlar nezdinde de silinmesi ve yok edilmesi talebiyle ilgili olarak Şirketin taraflarınca yapılan işlemler hakkında açıklamalarını, tevsik edici belgelerle birlikte Kanunun 15 inci maddesinin (5) numaralı fıkrası gereğince kararın tebliğinden itibaren 30 gün içerisinde Şikâyetçiye iletmesi yönünde talimatlandırılmasına

karar verilmiştir.

28/06/2018 – 2018/69: Sicil Dosyalarındaki Kişisel Verilerin İmha Edilmesi Hakkında

Yayım Tarihi: 18.02.2019

Devlet memurlarının, memuriyet döneminde haklarında açılmış inceleme-soruşturma dosyalarına ilişkin evrakların imha edilmesi talebinin veri sorumlusu kamu kurumunca yerine getirilmemesi üzerine Kuruma yapılan başvuru hakkında;

6698 sayılı Kişisel Verilerin Korunması Kanununun 7 nci maddesinde “(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. (2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır” hükümlerine yer verilmiştir.

Öte yandan, 657 sayılı Kanunun “Memur Bilgi Sistemi, Özlük Dosyası” başlıklı 109 uncu maddesinde “Memur Bilgi Sistemi, Özlük Dosyası” başlıklı 109 uncu maddesinde her memur için bir özlük dosyasının tutulacağı ve bu dosyada memurun mesleki bilgileri, mal bildirimleri; varsa inceleme, soruşturma, denetim raporları, disiplin cezaları ile ödül ve başarı belgelerine ilişkin bilgi ve belgelerin konulacağı hükmüne; Kamu Personeli Genel Tebliğinin (Seri No: 2) “D” bölümünde ise görevleri herhangi bir şekilde sona eren memurların özlük dosyalarının kurumlarınca saklanacağı hükmüne yer verilmiştir.

Buna ek olarak, 16.05.1988 tarihli ve 19816 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren Devlet Arşiv Hizmetleri Hakkında Yönetmelik’in “Tarifler” başlıklı 3 üncü maddesinin

– (a) bendinde “Arşiv malzemesi: Türk Devlet ve Millet hayatını ilgilendiren ve en son işlem tarihi üzerinden otuz yıl geçmiş veya üzerinden onbeş yıl geçtikten sonra kesin sonuca bağlanmış olup, birinci maddede belirtilen kuruluşların işlemleri sonucunda teşekkül eden ve onlar tarafından muhafazası gereken, Türk Milletinin geleceğine tarihi, siyasî, sosyal, hukukî ve teknik değer olarak intikal etmesi gereken belgeler ve Devlet hakları ile milletlerarası hakları belgelemeye, korumaya, bunlarla ilgili işlem ve münasebetler bakımından tarihî, hukukî, idarî, askeri, iktisadî, dinî, ilmî edebî estetik, kültürel biyografik, jeneolojik ve teknik herhangi bir konuyu aydınlatmaya, düzenlemeye, tespite yarayan, ayrıca ait olduğu devrin ahlâk, örf ve âdetlerini veya çeşitli sosyal özelliklerini belirten her türlü yazılı evrak, defter, resim, plan, harita, proje, mühür, damga, fotoğraf, film, ses ve görüntü bandı, baskı ve benzeri belgeleri ve malzemeyi”,

– (b) bendinde “Arşivlik malzeme: Yukarıdaki bentte sayılan her türlü belge ve malzemeden zaman bakımından henüz arşiv malzemesi vasfını kazanmayanlarla, son işlem tarihi üzerinden yüzbir yıl geçmemiş memuriyet sicil dosyaları, Devletin gerçek ve tüzel kişilerle veya yabancı devlet ve milletlerarası kuruluşlarla akdettiği ikili ve çok taraflı milletlerarası antlaşmalar, tapu tahrir defterleri, tapu ve nüfus kayıtları, aynı özellikteki vakfiyelerden ait oldukları kamu kurum ve kuruluşları ile il, ilçe, köy ve belediyelere ait sınır kâğıtları gibi belgeleri”,

– (c) bendinde “Birim arşivi: Kurum ve kuruluşların görev ve faaliyetleri sonucu kendiliğinden teşekkül eden ve bu kuruluşların çeşitli birimlerinde, aktüalitesini kaybetmemiş olarak aktif bir biçimde ve günlük iş akımı içinde kullanılan arşivlik malzemenin belirli bir süre saklandığı arşiv birimlerini (Mükelleflerin taşra, bölge ve yurt dışı kuruluşlarında bulunan arşivler de birim arşivi sayılır.)”,

– (d) bendinde “Kurum arşivi: Kurum ve kuruluşların, merkez teşkilâtları içinde yer alan ve arşiv malzemesi ile arşivlik malzemenin, birim arşivlerine nazaran daha uzun süreli saklandığı merkezî arşivleri”,

– (e) bendinde ise “Mükellefler: 28/9/1988 tarihli ve 3473 sayılı Muhafazasına Lüzum Kalmayan Evrak ve Malzemenin Yok Edilmesi Hakkında Kanun Hükmünde Kararnamenin Değiştirilerek Kabulü Hakkında Kanunun 1 inci maddesinde sayılan kurum ve kuruluşları”

şeklinde tanımlanmıştır.

Bu çerçevede, 3473 sayılı Muhafazasına Lüzum Kalmayan Evrak ve Malzemenin Yok Edilmesi Hakkında Kanun Hükmünde Kararnamenin Değiştirilerek Kabulü Hakkında Kanunun “Amaç ve Kapsam” başlıklı 1 inci maddesinde “Bu Kanunun amacı, genel ve katma bütçeli dairelerle (saklama, ayıklama ve imha işlemleri kendi mevzuatına tabi olmak kaydıyla Cumhurbaşkanlığı, Türkiye Büyük Millet Meclisi, Genelkurmay Başkanlığı, Milli Savunma Bakanlığı, İçişleri Bakanlığı, (Ek ibare: 1/2/2000 – 4516/1 md.) Dışişleri Bakanlığı ve Milli İstihbarat Teşkilatı hariç) mahalli idareler, üniversiteler ve bunlara bağlı sabit ve döner sermayeli kuruluşlar, kamu iktisadi teşebbüsleri, özel kanunlarla kurulan kamu bankaları ve teşekkülleri elinde bulunan ve arşivlerinde arşiv malzemesi ve arşivlik malzeme niteliği taşımayan, muhafazasına lüzum görülmeyen, yok edilecek evrak ve her türlü malzemenin, ayıklama ve imha işlemlerine dair usul ve esasları düzenlemektir.” hükmü yer almakta olup, bu tanımdan hareketle genel bütçe kapsamındaki kamu idarelerinden olan Bakanlık da mükellef olarak değerlendirilmektedir.

Buna ek olarak, Devlet Arşiv Hizmetleri Hakkında Yönetmelik’in “Birim ve Kurum Arşivleri” başlıklı 5 inci maddesinde mükelleflerin, belirli bir süre saklayacakları arşivlik malzeme için birim arşivlerini, daha uzun bir süre saklayacakları arşiv malzemesi veya arşivlik malzeme için kurum arşivlerini kuracakları ve ellerinde bulunan arşivlik malzemelerin birim arşivlerinde 1-5 yıl süre ile saklanacağı ile “Kurum Arşivine Devredilecek Malzemenin Ayrılması” başlıklı 19 uncu maddede de birim arşivinde saklanma süresini tamamlayan arşivlik malzemenin, “Kurum Arşivine Devredilecek” olanlar şeklinde ayrılacağı hüküm altına alınmıştır.

Devlet memurlarının, memuriyet döneminde haklarında açılmış inceleme-soruşturma dosyalarına ilişkin evrakların imha edilme talebinin veri sorumlusu kamu kurumunca yerine getirilmemesi üzerine Kuruma yapılan başvuru kapsamında, imha edilmesi talep edilen kişisel bilgilerin, ilgili kişinin devlet memuru olduğu dönemde hakkında açılmış inceleme-soruşturma dosyalarına ilişkin evraklar olması ve bu itibarla söz konusu evrakların, 657 sayılı Kanun gereğince özlük dosyalarında saklanması gerektiği, Kamu Personeli Genel Tebliğine (Seri No: 2) göre özlük dosyalarının dördüncü bölümünde yer alacağı ile görevi herhangi bir şekilde sona eren memurların özlük dosyalarının kurumlarınca saklanacağı ve Devlet Arşiv Hizmetleri Hakkında Yönetmeliğe göre son işlem tarihi üzerinden yüz bir yıl geçmemiş memuriyet sicil dosyaları içerisinde yer aldığı hususlarından hareketle, 6698 sayılı Kanunun 7 inci maddesinde belirtildiği üzere kişisel verilerin işlenmesini gerektiren sebeplerin de henüz ortadan kalkmaması dolayısıyla şikayetçinin talebinin veri sorumlusu tarafından karşılanmamasının uygun olduğuna karar verilmiştir.

16/10/2018 – 2018/119: Veri sorumluları ve veri işleyenler tarafından ilgili kişilerin e-posta adreslerine veya SMS ya da çağrı ile cep telefonlarına reklam bildirimleri/aramaları yönlendirilmesinin önüne geçilmesini teminen ilke kararı alınması
Karar Tarihi : 16/10/2018
Karar No : 2018/119
Konu Özeti : Veri sorumluları ve veri işleyenler tarafından ilgili kişilerin e-posta adreslerine veya SMS ya da çağrı ile cep telefonlarına reklam bildirimleri/aramaları yönlendirilmesinin önüne geçilmesini teminen ilke kararı alınması

 

6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) hükümlerine aykırı olarak ilgili kişilerin açık rızaları alınmaksızın e-posta adreslerine veya SMS veya çağrı ile cep telefonlarına reklam bildirimleri/aramaları geldiği hususunda Kişisel Verileri Koruma Kurumuna (Kurum) intikal eden çok sayıda başvuru ile bu kapsamda yürütülmekte olan incelemeler çerçevesinde ulaşılan tespitler dikkate alınarak;

– İlgili kişilerin rızalarını almadan veya Kanunun 5 inci maddesinin (2) numaralı fıkrasında hüküm altına alınan işleme şartlarını sağlamadan, telefon numaralarına SMS göndermek, arama yapmak veya e-posta adreslerine posta göndermek suretiyle reklam içerikli ileti yönlendiren veri sorumluları ile veri sorumluları adına reklam içerikli mesaj/e-posta göndermek veya arama yapmak amacıyla ilgili kişilerin açık rızaları bulunmaksızın bu verileri kullanan veri işleyenlerin söz konusu veri işleme faaliyetlerini Kanunun 15 inci maddesinin (7) numaralı fıkrası uyarınca derhal durdurması gerektiği,

– Kanunun 12 nci maddesi kapsamında veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu ve kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, anılan tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumlu olduğu,

– Belirtilen şekilde söz konusu faaliyetlerde bulunan veri sorumluları hakkında Kanunun 18 inci maddesi hükümleri çerçevesinde işlem tesis edileceği,

– Bahse konu şekilde işlenen kişisel verilerin hukuka aykırı olarak elde edilmiş olabileceği de göz önüne alınarak 5237 sayılı Türk Ceza Kanununun “Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme” başlıklı 136 ncı maddesi çerçevesinde ilgili veri sorumluları hakkında gerekli hukuki işlemlerin tesisi için konunun 5271 sayılı Ceza Muhakemesi Kanununun 158 inci maddesi uyarınca ihbaren ilgili Cumhuriyet Başsavcılığına bildirileceği

hususlarında kamuoyunun bilgilendirilmesine ve bu İlke Kararının Kurumun internet sitesi ile Resmi Gazetede yayımlanmasına oy birliği ile karar verilmiştir.

19/07/2018 – 2018/88: Sicile kayıt yükümlülüğünün başlama tarihleri
Karar Tarihi : 19/07/2018
Karar No : 2018/88
Konu Özeti : Sicile kayıt yükümlülüğünün başlama tarihleri

 

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 16 ncı maddesinin (2) numaralı fıkrasında yer alan “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.” hükmü ile Kanunun Geçici 1 inci maddesinin 2 nci fıkrasında yer alan “Veri sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır.” hükmü göz önünde bulundurularak;

– Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.10.2018 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.09.2019 tarihine kadar süre verilmesinin kabulüne,

– Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.10.2018 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.09.2019 tarihine kadar süre verilmesinin kabulüne,

– Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.01.2019 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 31.03.2020 tarihine kadar süre verilmesinin kabulüne,

– Kamu kurum ve kuruluşu veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.04.2019 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.06.2020 tarihine kadar süre verilmesinin kabulüne

– Bu kararın Kurum internet sayfası ile Resmi Gazetede yayımlanmasına

oybirliği ile karar verilmiştir.

19/07/2018 – 2018/87: Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanların Sicile kayıt yükümlülüğünden istisna tutulması

Yayım Tarihi: 18.08.2018

6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin (2) numaralı fıkrasında yer alan “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.” hükmü ile 30 Aralık 2017 tarih ve 30286 sayılı Resmî Gazetede yayımlanarak yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmeliğin “İstisna Kriterleri” başlıklı 16 ncı maddesi göz önünde bulundurularak; 02.04.2018 tarihli ve 2018/32 sayılı Kurul Kararı ile istisna tutulan veri sorumlularına ilave olarak, yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanların; Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulmasına ve bu kararın Kurum internet sayfası ile Resmi Gazetede yayımlanmasına oybirliği ile karar verilmiştir.

05/07/2018 – 2018/75: Arabulucuların Veri Sorumluları Siciline Kayıt Zorunluluğundan İstisna Tutulması
Karar Tarihi : 05/07/2018
Karar No : 2018/75
Konu Özeti : Adalet Bakanlığı Hukuk İşleri Genel Müdürlüğü Arabuluculuk Daire Başkanlığından alınan Arabulucuların Veri Sorumluları Siciline kayıt zorunluluğundan istisna tutulmasına ilişkin 25/05/2018 tarih ve 9235 sayılı görüş talebi

Adalet Bakanlığı Hukuk İşleri Genel Müdürlüğü Arabuluculuk Daire Başkanlığından alınan Arabulucuların Veri Sorumluları Siciline kayıt zorunluluğundan istisna tutulmasına ilişkin 25.05.2018 tarih ve 9235 sayılı taleplerinin incelenmesi neticesinde;

6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin (2) numaralı fıkrasında yer alan “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.” hükmü ile 30 Aralık 2017 tarih ve 30286 sayılı Resmî Gazetede yayımlanarak yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmeliğin “İstisna Kriterleri” başlıklı 16 ncı maddesi göz önünde bulundurularak; Arabulucular bakımından Veri Sorumluları Siciline kayıt yükümlülüğüne istisna getirilmesine ve Kararın Resmi Gazete ile Kurumun internet sayfasında yayımlanmasına oy birliği ile karar verilmiştir.

28/06/2018 – 2018/68: Gümrük Müşavirlerinin Sicile Kayıt İstisnası Hakkında görüş talebi
Karar Tarihi : 28/06/2018
Karar No : 2018/68
Konu Özeti : Gümrük Müşavirlerinin Sicile Kayıt İstisnası Hakkında görüş talebi

 

Ankara, Bursa, İstanbul, İzmir ve Mersin Gümrük Müşaviri Derneklerinin 25.05.2018 tarihli yazısında belirtilen, Kişisel Verileri Koruma Kurulunun 15.05.2018 tarihli Resmi Gazetede yayımlanan ve bazı veri sorumlularının Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulabileceğine ilişkin olarak verdiği karara istinaden gümrük müşavirleri ve yetkilendirilmiş gümrük müşavirlerinin de istisna kapsamına alınmasına ilişkin taleplerinin incelenmesi neticesinde;

6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin (2) numaralı fıkrasında yer alan “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.” hükmü ile 30 Aralık 2017 tarih ve 30286 sayılı Resmî Gazetede yayımlanarak yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmeliğin “İstisna Kriterleri” başlıklı 16 ncı maddesi göz önünde bulundurularak 4458 sayılı Gümrük Kanunu uyarınca faaliyet gösteren gümrük müşavirleri ve yetkilendirilmiş gümrük müşavirleri bakımından Veri Sorumluları Siciline kayıt yükümlülüğüne istisna getirilmesine ve Kararın Resmi Gazete ile Kurumun internet sayfasında yayımlanmasına oy birliği ile karar verilmiştir.

31/05/2018 – 2018/63: Veri sorumlusu nezdindeki kişisel verilere erişim yetkisi bulunan personelin yetkisi ve amacı dışında söz konusu verileri işlemesi hususunun değerlendirilmesi
Karar Tarihi : 31/05/2018
Karar No : 2018/63
Konu Özeti :Veri sorumlusu nezdindeki kişisel verilere erişim yetkisi bulunan personelin yetkisi ve amacı dışında söz konusu verileri işlemesi hususunun değerlendirilmesi

 

Veri sorumlusu nezdinde bulundukları pozisyon veya görev itibariyle kişisel verilere erişime yetkisi olanlar tarafından, yetkilerini aşarak ve işleme amacı dışında söz konusu verilerin işlendiği hususunda Kuruma intikal eden ihbar ve şikayetlere ilişkin yapılan değerlendirme sonucunda, uygulamada yaşanan problemlerin önüne geçilebilmesini teminen;

      Bir veri sorumlusu nezdinde bulundukları pozisyon veya görev itibariyle kişisel verilere erişme yetkisi olanlar tarafından, yetkileri aşmak ve/veya yetkilerini kötüye kullanmak suretiyle, kişisel amaçlara veya nedenlere bağlı olarak işleme amacı dışında söz konusu kişisel verilerin işlenmesi ve/veya bu verilerin üçüncü kişilerle paylaşılması 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil edeceğinden, bu kapsamdaki eylemlerin önlenmesi amacıyla veri sorumlularınca uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirin alınması gerektiği hususunda veri sorumlularının bilgilendirilmesine,

      Kanunun 15 nci maddesinin (6) numaralı fıkrası uyarınca alınan bu ilke kararının Resmi Gazete ile Kurumun internet sitesinde yayımlanmasına,

oy birliği ile karar verilmiştir.

02/04/2018 – 2018/32: Veri Sorumluları Siciline Kayıt Yükümlülüğünden İstisna Tutulacak Veri Sorumluları
Karar Tarihi : 02/04/2018
Karar No : 2018/32
Konu Özeti : 6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin ikinci fıkrası ile Veri Sorumluları Sicili Hakkında Yönetmeliğin 16 ncı maddesi uyarınca Veri Sorumluları Siciline kayıt yükümlülüğüne getirilecek istisnaların belirlenmesi

 

6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin ikinci fıkrası ile 30/12/2017 tarihli ve 30286 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmeliğin 16 ncı maddesine istinaden Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulacak veri sorumlularının ekte yer verildiği şekilde belirlenmesine ve Kararın Resmi Gazete ile Kurumun internet sitesinde yayımlanmasına karar verilmiştir.

02/04/2018 tarih ve 2018/32 sayılı Karar Eki Liste

  1. Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler.
  2. 18/01/1972 tarihli ve 1512 sayılı Noterlik Kanunu uyarınca faaliyet gösteren noterler.
  3. 04/11/2004 tarihli ve 5253 sayılı Dernekler Kanununa göre kurulmuş derneklerden, 20/02/2008 tarihli ve 5737 sayılı Vakıflar Kanununa göre kurulmuş vakıflardan ve 18/10/2012 tarihli 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler.
  4. 22/04/1983 tarihli ve 2820 sayılı Siyasi Partiler Kanununa göre kurulmuş siyasi partiler.
  5. 19/3/1969 tarihli ve 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar
  6. 1/6/1989 tarihli ve 3568 sayılı Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu uyarınca faaliyet gösteren Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler.
31/01/2018 – 2018/10: “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler”in görüşülmesi.
Karar Tarihi : 31/01/2018
Karar No : 2018/10
Konu Özeti : “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler”in görüşülmesi.

 

Kanunun 6 ncı maddesinin (4) numaralı fıkrası ile 22 nci maddesinin (1) numaralı fıkrasının (ç) bendi kapsamında hazırlanan “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” in ekte yer verilen şekilde kabulüne ve Resmi Gazetede yayımlanmasına oy birliği ile karar verilmiştir.

 

Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 6 ncı maddesinin (4) numaralı fıkrasında, “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” hükmü yer almaktadır.

Bu çerçevede, Kanunun 22 nci maddesinin (1) numaralı fıkrasının (ç) ve (e) bentleri uyarınca özel nitelikli kişisel veri işleyen veri sorumluları tarafından alınması gereken yeterli önlemler Kişisel Verileri Koruma Kurulu tarafından aşağıdaki şekilde belirlenmiştir:

1- Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi,

2- Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,

a) Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,

b) Gizlilik sözleşmelerinin yapılması,

c) Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması,

ç) Periyodik olarak yetki kontrollerinin gerçekleştirilmesi,

d) Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması,

3- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise

a) Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,

b) Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,

c) Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,

ç) Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,

d) Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,

e) Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması,

4- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise

a) Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması,

b) Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi,

5- Özel nitelikli kişisel veriler aktarılacaksa

a) Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,

b) Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması,

c) Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,

ç) Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerekir.

6- Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmalıdır.

21/12/2017 – 2017/61: Rehberlik Hizmeti Veren İnternet Sitelerinde/Uygulamalarda Kişisel Verilerin Korunması
Karar Tarihi : 21/12/2017
Karar No : 2017/61
Konu Özeti : Rehberlik Hizmeti Veren İnternet Sitelerinde/Uygulamalarda Kişisel Verilerin Korunması

 

6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) hükümlerine aykırı olarak ilgili kişilerin açık rızalarını almaksızın isimden telefon numarası veya telefon numarasından isim sorgulanması şeklinde rehberlik hizmeti veren internet siteleri ve uygulamalara ilişkin olarak Kişisel Verileri Koruma Kurumuna intikal eden ihbar ve şikâyetler kapsamında yapılan değerlendirme sonucunda; çeşitli uygulamalar, internet siteleri veya sosyal medya hesapları üzerinden kişisel verileri toplayarak bu verilerin paylaşımını sağlayan, isim sorgulandığında telefon numarası bilgisine, telefon numarası sorgulandığında da isim bilgisine erişme ve başkalarının telefon rehberinde nasıl kayıtlı olunduğunu öğrenme gibi konularda hizmet veren birçok uygulamanın ve internet sitesinin bulunduğu tespit edilmiştir.

Kanunun 3 üncü maddesinin (1) numaralı fıkrasının (e) bendinde “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” kişisel verilerin işlenmesi olarak düzenlenmiş olup sayılan eylemlerden birinin gerçekleştirilebilmesi için öncelikle Kanunun 5 ve 6 ncı maddelerinde sayılan işlenme şartlarından birinin bulunması, ayrıca Kanun ile öngörülen diğer yükümlülüklerin yerine getirilmesi gerekmektedir.

Bu kapsamda;

– Kanunda ve ilgili mevzuatta dayanağı bulunmaksızın ilgili kişilerin iletişim bilgilerinin paylaşımını yapan internet siteleri ve mobil uygulamalar tarafından gerçekleştirilen veri işleme faaliyetinin Kanunun 15 inci maddesinin (7) numaralı fıkrası uyarınca derhal durdurulması gerektiği,

– Belirtilen şekilde söz konusu faaliyetlerde bulunan internet sitelerinin/uygulamaların faaliyetlerine son vermediğine ilişkin bilgi edinilmesi halinde bu internet sitelerine/uygulamalara erişimin engellenmesi adına gereğinin yapılmasını teminen yetkili kurumlara başvuruda bulunulacağı, öte yandan kişisel verilerin hukuka aykırı olarak elde edilmiş olabileceği de dikkate alınarak, 5237 sayılı Türk Ceza Kanununun “Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme” başlıklı 136 ncı maddesi çerçevesinde ilgili internet siteleri/uygulamalar hakkında gerekli hukuki işlemlerin tesisi için konunun Ceza Muhakemesi Kanununun 158 inci maddesi uyarınca ihbaren Cumhuriyet Başsavcılığına bildirileceği

hususlarında kamuoyunun bilgilendirilmesine,

– Kanunun 15 inci maddesinin (6) numaralı fıkrası uyarınca alınan bu ilke kararının Resmi Gazete ile Kurumun internet sitesinde yayımlanmasına ve bu karara uymayanlar hakkında Kanunun 18 inci maddesi kapsamında işlem yapılacağına

oy birliği ile karar verilmiştir.

21/12/2017 – 2017/62: Banko, Gişe, Masa gibi Hizmet Alanlarında Kişisel Verilerin Korunması
Karar Tarihi : 21/12/2017
Karar No : 2017/62
Konu Özeti : Banko, Gişe, Masa gibi Hizmet Alanlarında Kişisel Verilerin Korunması

 

Banko, gişe ve masa gibi vatandaşa hizmet sunulan alanlarda yaşanan kişisel veri güvenliği ihlallerine ilişkin olarak Kişisel Verileri Koruma Kurumuna intikal eden ihbarlar kapsamında yapılan değerlendirme sonucunda, uygulamada yaşanan problemlerin önüne geçilmesini teminen;

– Bankacılık ve sağlık sektörleri başta olmak üzere birden fazla çalışan ile birlikte bitişik düzende hizmet veren posta ve kargo hizmetleri, turizm acenteleri, zincir mağazaların müşteri hizmetleri bölümleri, çeşitli abonelik işlemlerinin yapıldığı kuruluşlar ile belediye, vergi ve nüfus ile ilgili işlemler gibi hizmetlerin verildiği kamu ve özel sektör kurum ve kuruluşlarının, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesi uyarınca kişisel verilerin korunması ile ilgili olarak; banko/gişe/masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda birbirlerine yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymasını, görmesini, öğrenmesini veya ele geçirmesini engelleyecek nitelikte gerekli teknik ve idari tedbirleri almasına,

– Kanunun 15 inci maddesinin (6) numaralı fıkrası uyarınca alınan bu ilke kararının Resmi Gazete ile Kurumun internet sitesinde yayımlanmasına ve bu karara uymayanlar hakkında Kanunun 18 inci maddesi kapsamında işlem yapılacağına

oy birliği ile karar verilmiştir.


Karar Özetleri: 22.07.2020: “Site Yönetimlerine ilişkin 6698 sayılı Kişisel Verilerin Korunması Kanunu ile 634 sayılı Kat Mülkiyeti Kanunu çerçevesinde Değerlendirmeleri” Site Yönetimlerine ilişkin 6698 sayılı Kişisel Verilerin Korunması Kanunu ile 634 sayılı Kat Mülkiyeti Kanunu çerçevesinde Kişisel Verileri Koruma Kurulu’nun 22.07.2020 tarihli ve 2020/560 sayılı Kararı’nda yer alan değerlendirmeler
Karar Tarihi : 22/07/2020
Karar No : 2020/560
Konu Özeti : Site Yönetimlerine ilişkin 6698 sayılı Kişisel Verilerin Korunması Kanunu ile 634 sayılı Kat Mülkiyeti Kanunu çerçevesinde Kişisel Verileri Koruma Kurulu’nun 22.07.2020 tarihli ve 2020/560 sayılı Kararı’nda yer alan değerlendirmeler

Kişisel Verileri Koruma Kurulu’na (Kurul) iletilen bir şikâyet dilekçesi ile ilgili olarak iddialara konu Site Yönetimi hakkında başlatılan res’en inceleme neticesinde Kurul tarafından alınan 22.07.2020 tarih ve 2020/560 sayılı kararda şikayet ve resen inceleme konusu hususlara ilişkin yapılan değerlendirmelerin yanı sıra Site Yönetimlerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) karşısındaki durumuna ilişkin değerlendirmelere de yer verilmiş olup buna göre söz konusu kararda;

6698 sayılı Kanun’nun “Tanımlar”ı düzenleyen 3’üncü maddesinde veri sorumlusunun, “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi”yi ifade ettiği,
Öte yandan, 634 sayılı Kat Mülkiyeti Kanunu’nun; 27’nci maddesinin, “Ana gayrimenkul, kat malikleri kurulunca yönetilir ve yönetim tarzı, kanunların emredici hükümleri saklı kalmak şartıyla bu kurul tarafından kararlaştırılır.” hükmünü, 28’inci maddesinin birinci fıkrasının, “Yönetim planı yönetim tarzını, kullanma maksat ve şeklini yönetici ve denetçilerin alacakları ücreti ve yönetime ait diğer hususları düzenler. Yönetim planı, bütün kat maliklerini bağlayan bir sözleşme hükmündedir.” hükmünü, aynı maddenin dördüncü fıkrasının, “Yönetim planı ve bunda yapılan değişiklikler, bütün kat malikleriyle onların külli ve cüzi haleflerini ve yönetici ve denetçileri bağlar.” hükmünü, 32’nci maddesinin, “Ana gayrimenkul kat malikleri kurulu tarafından, sözleşme, yönetim planı ve kanun hükümleri uyarınca verilecek kararlara göre yönetilir. Bütün kat malikleriyle külli ve cüzi halefleri, yönetici ve denetçiler, kat malikleri kurulunun kararlarına uymakla yükümlüdürler. Ana gayrimenkulün kullanılmasından veya yönetiminden dolayı kat malikleri arasında veya bunlarla yönetici ve denetçiler arasında veya denetçilerle yöneticiler arasında çıkan anlaşmazlıklar, kat malikleri kurulunca çözülür ve karara bağlanır…” hükmünü, 34’üncü maddesinin birinci fıkrasının, “Kat malikleri, ana gayrimenkulün yönetimini kendi aralarından veya dışardan seçecekleri bir kimseye veya üç kişilik bir kurula verebilirler; bu kimseye (Yönetici), kurula da (Yönetim kurulu) denir.” hükmünü, aynı maddenin beşinci fıkrasının, “Yönetici her yıl kat malikleri kurulunun kanuni yıllık toplantısında yeniden atanır; eski yönetici tekrar atanabilir.” hükmünü amir olduğu,
Bu hükümlere göre; gayrimenkulün bütünü için söz sahibi olan birim kat malikleri kurulu olup kat malikleri kurulunun, yönetici de dâhil kat maliklerini bağlayan bir sözleşme hüviyetinde olan yönetim planının içeriği ve kapsamını belirleyen merci olduğu ve yöneticinin görevinin, kat malikleri kurulunun aldığı kararlar çerçevesinde, bu kararları uygulayıcı olarak faaliyet göstermekten ibaret bulunduğu,
Aynı şekilde, 634 sayılı Kanun’un 35’inci maddesi gereği, yöneticinin görevlerinin yönetim planında belirtildiği ve yönetim planında aksine hüküm olmadıkça yöneticiye tevdi edilen vazifelerden bir tanesinin de kat malikleri kurulunca verilen kararların yerine getirilmesi olduğu,
Aynı Kanun’un 38’inci maddesinin birinci fıkrasında yöneticinin kat maliklerine karşı aynen bir vekil gibi sorumlu olduğunun belirtilmiş olduğu ve bahse konu Kanun’un 40’ıncı maddesinin, yöneticinin kaide olarak vekilin haklarına sahip olduğu hükmünü haiz olduğu,
Öte yandan, bahse konu Kanun’un 41’inci maddesinde, kat malikleri kurulunun, yöneticinin bu görevdeki davranışlarını devamlı olarak denetleyeceği ve haklı bir sebebin ortaya çıkması hâlinde yöneticiyi her zaman değiştirebileceği düzenlemesine yer verildiği,
Yöneticinin devamlı olarak kat malikleri kurulunun denetimi altında olduğu, kat malikleri kuruluna hesap vermesinin ve haklı sebebin varlığı hâlinde her zaman değiştirilebilmesinin, ana gayrimenkul üzerindeki asıl söz sahibinin kat malikleri kurulu olduğunu gösterdiği,
Ayrıca, 634 sayılı Kanun’un 35’inci maddesinin birinci fıkrasında yöneticinin görevlerinin sayıldığı, aynı maddenin ikinci fıkrası uyarınca; yönetici ataması yapılmayan gayrimenkullerde birinci fıkrada sayılan işlerin yapılması noktasında kat maliklerinin müştereken sorumlu tutulduğu, müştereken sorumluluğun söz konusu olduğu hâllerde birden fazla kişinin; bir borcun ödenmesinde ve zararın giderilmesinde kendi payları oranında sorumluluğu paylaştığı,
Yine 634 sayılı Kanun’un 34’üncü maddesinin ikinci fıkrasının; “Ana gayrimenkulün sekiz veya daha fazla bağımsız bölümü varsa, yönetici atanması mecburidir.” hükmünü amir olduğu, kat mülkiyetine konu gayrimenkulün bağımsız bölüm sayısının sekizden az olması durumunda yönetici atama zorunluluğunun bulunmadığının görüldüğü, sekiz bağımsız bölümden az bağımsız bölüme sahip bir gayrimenkulde yöneticinin atanmaması ihtimalinin varlığından da anlaşılacağı üzere; yöneticinin yahut yönetim kurulunun her hal ve şartta karşımıza çıkan bir yapı olmadığı, buna karşın kat malikleri kurulunun, bu kurulu oluşturan şahıslardan bağımsız olarak tamamen gayrimenkulün bağımsız bölümlerinin varlığından kaynaklanan bir yapı görünümü arz ettiği, sekiz bağımsız bölümden fazla olsun ya da olmasın her gayrimenkulün bağımsız bölümleri üzerinde kurulan mülkiyet sonucu oluşan kat malikleri kurulunun, mülkiyet hakkından kaynaklanan bir topluluk olduğu,
634 sayılı Kanun’un 20’nci maddesinin birinci fıkrası uyarınca, kat maliklerinin ortak giderlere kendi arsa payları oranında katılmakla yükümlü olduğu, aynı maddenin ikinci fıkrasında ise, gider ve avans payını ödemeyen kat maliki hakkında diğer kat maliklerinden her biri yahut yönetici tarafından dava açılabileceğinin ve icra takibi başlatılabileceğinin teminat altına alındığı,
Bununla birlikte, 634 sayılı Kanun’un 66’ncı maddesi uyarınca toplu yapının, “Bir veya birden çok imar parseli üzerinde, belli bir onaylı yerleşim plânına göre yapılmış veya yapılacak, alt yapı tesislerini, ortak kullanım yerlerini, sosyal tesis ve hizmetleri ile bunların yönetimi bakımından birbirleriyle bağlantılı birden çok yapıyı” ifade ettiği, bahse konu Kanun’un 69’uncu maddesinin, blok yapıların her birinin, o blokta bulunan bağımsız bölüm maliklerinden oluşan blok kat malikleri kurulunca yönetileceği hükmünü haiz olduğu,
Bu çerçevede, gerek veri sorumlusunun 6698 sayılı Kanun’da yer alan tanımının gerekse 634 sayılı Kanun’da yer alan düzenlemelerin bir arada değerlendirilmesinden; kat mülkiyetine konu olan gayrimenkulün bütünü için kararlar alan, işlerin nasıl yürütüleceğini belirleyen birimin kat malikleri kurulu olduğu, bununla birlikte; kat malikleri kurulunun tüzel kişiliği haiz olmaması dolayısıyla 6698 sayılı Kanun’un 3’üncü maddesindeki veri sorumlusu tanımının içerdiği kriterlerin tamamını taşımadığının görüldüğü, zira anılan tanımdan hareketle veri sorumlusu sıfatının bir gerçek yahut tüzel kişiye ait olabileceği sonucunun çıktığı, kat malikleri kurulunun tüzel kişiliğinin bulunmadığı hususunun çeşitli Yargıtay kararlarında da açıkça ifade edildiği (Yargıtay 1. Hukuk Dairesi T. 29.03.2004, E. 2004/3091, K. 2004/3556: “Davada gerçek ve tüzel kişiler ya da bunların yasal temsilcileri taraf olma ehliyetine sahiptir. Apartman kat malikleri kurulunun (Yönetiminin) tüzel kişiliği ve bu nedenle taraf ehliyeti yoktur.” Yargıtay 1. Hukuk Dairesi E. 2007/10090, K. 2007/11914: “Davada gerçek ve tüzel kişiler ya da bunların yasal temsilcileri taraf olma ehliyetine sahiptir. Apartman kat malikleri kurulunun (Yönetimin) tüzel kişiliği bu nedenle taraf ehliyeti yoktur.”),
Ancak, durum böyle olsa bile 634 sayılı Kanun’un 35’inci maddesinde, yöneticinin, ana gayrimenkulün tamamını ilgilendiren tebligatı kabul etme yetkisi olduğunun belirtildiği ve kat malikleri kurulunun vekili olarak görev yapan yöneticinin bir gerçek kişi yahut bu konuda hizmet sunan şirketlerden profesyonel hizmet satın alınması durumunda ise tüzel kişi olabileceği,
Bununla birlikte, her ne kadar yönetici kat malikleri kurulunun verdiği kararlarla bağlı olup bu kararlara uygun hareket etmek zorunda olsa da, her somut olay bakımından yöneticinin yahut yönetim kurulunun kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan bir rol üstlenmiş olması halinde ayrıksı durumların çıkabileceği, örneğin, bir site yönetiminin ayrı bir tüzel kişilik tarafından yürütülüyor olması durumunda, kişisel verilerin işlenmesi noktasında bu tüzel kişiliğin de veri sorumlusu olabileceği,
Tüm bu açıklamalar doğrultusunda; Kanun’un “veri sorumlusu”na ilişkin getirdiği tanımın, hayatın olağan akışına uygunluğunun sağlanması ve pratikte ortaya çıkan sorunların çözülebilmesi adına geniş yorumlanması gerektiği; bu kapsamda her ne kadar tüzel kişiliği haiz olmasa da kural olarak apartman, site ve benzeri yapılar bakımından veri sorumlusu olarak kat malikleri kurulunun kabul edilebileceği, kat malikleri kurulunun ise Kanun’un veri sorumlusuna yüklediği yükümlülüklerin yerine getirilmesi bakımından bir kişiyi görevlendirebileceği, görevlendirilen bu kişinin yönetici olmasının mümkün olduğu gibi başka bir kat malikinin yahut iradi temsilcinin de olabileceği değerlendirilmekle beraber, uygulamada istisnai durumların da ortaya çıkabileceği gözetilerek nihai olarak kişisel veri işleme faaliyetinde veri sorumlusu sıfatını haiz olanların belirlenmesi için; her somut hadise açısından kişisel veri işlenmesine ilişkin kararları alan, veri kayıt sistemlerini kuran, uhdesinde bulunduran ve yöneten birimlerin tespit edilmesinin gerektiği
değerlendirmelerine yer verilmiştir. 16.07.2020: “Aynı gerçek kişinin, yurt dışında yerleşik birden fazla veri sorumlusu için irtibat kişisi olarak atanması hakkındaki görüş talebi” “Aynı gerçek kişinin, yurt dışında yerleşik birden fazla veri sorumlusu için irtibat kişisi olarak atanması hakkındaki görüş talebi” ile ilgili olarak Kişisel Verileri Koruma Kurulunun 16.07.2020 tarihli ve 2020/542 sayılı Karar Özeti
Karar Tarihi : 16/07/2020
Karar No : 2020/542
Konu Özeti : Aynı gerçek kişinin, yurt dışında yerleşik birden fazla veri sorumlusu için irtibat kişisi olarak atanması talebi hakkında.

Kurumumuza gelen muhtelif başvurular ve kamuoyunda yer alan tartışmalarda; Türkiye’de yerleşik olmayan veri sorumlularınca 6698 sayılı Kişisel Verilerin Korunması Kanunu (6698 sayılı Kanun) ve ikincil mevzuat kapsamında Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) kaydı gerçekleştirilirken, aynı veri sorumlusu temsilcisinin birden fazla yurt dışında yerleşik veri sorumlusu adına girişinin yapılabildiği ancak aynı irtibat kişisinin birden fazla yurt dışında yerleşik veri sorumlusu adına girişinin yapılamadığı ve her bir yurt dışında yerleşik veri sorumlusu için farklı bir gerçek kişinin atanması gerektiğinden bu hususta zorlukla karşılaşıldığı belirtilerek bir gerçek kişinin, aynı veri sorumlusu temsilcisi tarafından yurt dışında yerleşik birden fazla veri sorumlusu için irtibat kişisi olarak atanabilmesi hususunda görüş ve teknik düzenleme yapılmasının talep edilmesi üzerine Kişisel Verileri Koruma Kurulunca (Kurul) yapılan değerlendirme neticesinde alınan 16.07.2020 tarih ve 2020/542 sayılı kararın özetine aşağıda yer verilmektedir.

Bilindiği üzere Veri Sorumluları Siciline (Sicil) kayıt yükümlülüğünün yerine getirilmesi esnasında veri sorumlularına rehberlik etmek amacıyla hazırlanarak Kurum internet sayfasında yayımlanan “Sorularla Veri Sorumluları Sicil Bilgi Sistemi” dokümanında 41 ve 42 nci sorulara verilen cevaplarda; bir gerçek kişinin aynı anda birden fazla veri sorumlusu tarafından irtibat kişisi olarak atanamayacağı, bir veri sorumlusunun da aynı anda birden fazla irtibat kişisi atayamayacağı ifade edilmiştir.

Ayrıca Türkiye’de yerleşik grup şirketlerinde ortak irtibat kişisi atanması hakkında görüş talebiyle ilgili olarak 18.10.2019 tarihli ve 2019/299 sayılı Kurul kararında irtibat kişisinin, veri sorumlusunun Sicile kayıt yükümlülüğünü yerine getirebilmesi için kişisel veri işleme envanteri ve kişisel veri işleme faaliyetlerine ait doğru, güncel ve güvenilir bilgiye haiz olmasının gerektiği, veri sorumlusunun Kanun ve ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak Kurumla iletişimi sağlamak amacıyla atandığı, Sicile bildirilen bilgilerde değişiklik olması halinde bu değişikliğin meydana geldiği tarihten itibaren en geç 7 gün içinde VERBİS’te değişiklik yapması gerektiği, bu değişikliği süresinde sisteme girebilmesi için veri sorumlusunun kişisel veri işleme faaliyetlerini yakından takip etmesi gerektiğinden bir gerçek kişinin aynı anda sadece bir veri sorumlusu tarafından irtibat kişisi olarak atanabilmesinin uygun olduğu belirtilmiştir.

Öte yandan Sicile ilişkin usul ve esasları düzenleyen Veri Sorumluları Sicili Hakkında Yönetmeliğin (Yönetmelik) 4 üncü maddesinde veri sorumlusu temsilcisi, “Türkiye’de yerleşik olmayan veri sorumlularını bu Yönetmeliğin 11 inci maddesinin üçüncü fıkrasında belirtilen konularda asgari temsile yetkili Türkiye’de yerleşik tüzel kişi ya da Türkiye Cumhuriyeti vatandaşı gerçek kişiyi ifade eder.” şeklinde, irtibat kişisi de “Türkiye’de yerleşik olan gerçek ve tüzel kişiler için veri sorumlusu tarafından, Türkiye’de yerleşik olmayan gerçek ve tüzel kişiler için de veri sorumlusu temsilcisi tarafından, Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile iletişimi sağlamak amacıyla Sicile kayıt esnasında bildirilen gerçek kişi” şeklinde tanımlanmıştır.

Aynı Yönetmeliğin 11 inci maddesi ikinci fıkrasında, “Türkiye’de yerleşik olmayan veri sorumlusunun, veri sorumlusu temsilcisi atanmasına ilişkin yetkili organı veya kişisi tarafından alınacak kararın tasdikli örneği, kayıt başvurusu sırasında veri sorumlusu temsilcisi tarafından Kuruma sunulur.” hükmü yer almış, üçüncü fıkrasında ise Türkiye’de yerleşik olmayan veri sorumlusunun, veri sorumlusu temsilcisi atamasına ilişkin atama kararında asgari olarak bulunması gereken hususlar sayılmıştır.

Buna göre, Türkiye’de yerleşik olmayan veri sorumluları için; Kurum tarafından yapılan tebligat veya yazışmaları onun adına tebellüğ veya kabul etmek, Kurum tarafından veri sorumlusuna yöneltilen talepleri veri sorumlusuna iletmek, veri sorumlusundan gelecek cevabı Kuruma iletmek, ilgili kişilerin Kanunun 13 üncü maddesinin birinci fıkrası uyarınca veri sorumlusuna yönelteceği başvuruları veri sorumlusu adına almak ve veri sorumlusuna iletmek, ilgili kişilere veri sorumlusunun cevabını iletmek ve veri sorumlusu adına Sicile ilişkin iş ve işlemleri yapmak görevleri Yönetmelikle veri sorumlusu temsilcisine verilmiştir.

Söz konusu görevleri yerine getirmekte olan veri sorumlusu temsilcilerine ilişkin Kurul tarafından yapılan değerlendirme sonucunda; Türkiye’de yerleşik bir tüzel kişi veya Türkiye Cumhuriyeti vatandaşı ve Türkiye’de yerleşik bir gerçek kişi olması, Türkiye’de yerleşik olmayan veri sorumlusu adına Sicile ilişkin iş ve işlemleri yapması, VERBİS’te güncelleme yapması ve veri sorumlusu adına Kurum ve ilgili kişilerle iletişimi sağlaması gerektiğinden hem kişisel verilerin korunması mevzuatı konusunda hem de yurtdışında yerleşik veri sorumlularıyla iletişimi sağlayabilecek düzeyde uzmanlaşmış gerçek veya tüzel kişilerin tespit edilerek veri sorumlusu temsilcisi olarak atamasının zorluğu göz önüne alınarak aynı gerçek veya tüzel kişinin Türkiye’de yerleşik olmayan birden fazla veri sorumlusu tarafından veri sorumlusu temsilcisi olarak atanabilmesine imkân sağlanmıştır.

Bu kapsamda Türkiye’de yerleşik olmayan veri sorumluları adına gerek ilgili kişiler gerekse de Kurumla iletişimi sağlayacak asıl muhatabın veri sorumlusu temsilcisi olması, Türkiye’de yerleşik olmayan veri sorumluları için veri sorumlusu temsilcisi tarafından atanacak irtibat kişilerinin VERBİS işlemlerini gerçekleştirecek kişi olması nedeniyle aynı gerçek kişinin Türkiye’de yerleşik olmayan birden fazla veri sorumlusu için irtibat kişisi olarak atanması Kurul tarafından uygun bulunmuştur.

Yukarıda yer verilen açıklamalar doğrultusunda Kişisel Verileri Koruma Kurulunca yapılan değerlendirme sonucunda;

Bir gerçek kişinin, yurt içinde yerleşik birden fazla veri sorumlusu için irtibat kişisi olarak atanmasının uygun olmadığına,
Bir gerçek kişinin, yurt dışında yerleşik birden fazla veri sorumlusu için irtibat kişisi olarak atanmasının uygun bulunduğuna
karar verilmiştir. 28.07.2020: “Kişisel verilerin 108 sayılı Sözleşme dayanak gösterilerek yurt dışına aktarılması hakkında”

“Kişisel verilerin 108 sayılı Sözleşme dayanak gösterilerek yurt dışına aktarılması hakkında” Kişisel Verileri Koruma Kurulunun 22/07/2020 tarih ve 2020/559 sayılı Karar Özeti
Karar Tarihi : 22/07/2020
Karar No : 2020/559
Konu Özeti : Kişisel verilerin 108 sayılı Sözleşme dayanak gösterilerek yurt dışına aktarılması hakkında karar

Otomotiv sektöründe faaliyet gösteren veri sorumlusu tarafından reklam/bilgilendirme amaçlı gönderilen bir kısa mesaj (SMS) hakkında ilgili kişinin şikayeti üzerine yürütülen inceleme sürecinde, veri sorumlusundan alınan savunma yazısında şirketleri tarafından pazarlama amacıyla işlenmesi yönünde rıza alınmış kişisel verilerin veri işleyen konumunda bulunan yurt dışındaki bir firmaya aktarılmasının ve sadece söz konusu hizmetin yerine getirilmesi amacıyla bu firma tarafından işlenmesinin, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 5 inci maddesinin (2) numaralı fıkrasının (f) bendi doğrultusunda “veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” şartı kapsamında değerlendirildiğinin ifade edilmesine rağmen, aynı savunmada veri sorumlusunun “veri gizliliği metni”nin Şikayetçi tarafından onaylandığı diğer bir ifade ile verilerinin yurtdışına aktarımına rıza verildiğine yönelik bir önceki ifadesi ile çelişen açıklamaların yer aldığı tespit edilmiştir. Bu duruma istinaden Kişisel Verileri Koruma Kurulu’nun (Kurul) 08.07.2019 tarihli ve 2019/203 sayılı Kararı ile veri sorumlusu hakkında müşterilerinin kişisel verilerini yurtdışındaki veri tabanlarında saklaması ile ilgili olarak Kanunun 15 inci maddesinin (1) numaralı fıkrası kapsamında resen inceleme başlatılmasına karar verilmiştir.

Bu itibarla, 6698 sayılı Kanunun ilgili maddeleri hakkında veri sorumlusuna bilgi verilerek kişisel verilerin yurtdışına aktarılmasının Kanunun 9 uncu maddesindeki hangi hukuki gerekçeye dayandırıldığına dair açıklamaları ile konuya ilişkin tüm bilgi, belge ile kayıtların tarafımıza gönderilmesi talep edilmiştir. Konuya ilişkin veri sorumlusundan alınan savunma yazısında ise özetle;

Şirket tarafından gerçekleştirilen dijital pazarlama iletişimlerinde web tabanlı bir yazılımın kullanıldığı, söz konusu yazılımın web tabanlı olması nedeniyle yazılım üzerinden müşterilerine e-posta/sms gönderimi yapılabilmesi için müşterilerin verilerinin sunucuları Avrupa Birliği üyesi bir ülkede bulunan bulut veri tabanına SFTP kullanılarak (Dış Kaynak Firma) aktarıldığı,
Müşterilere ilişkin; (1) müşteri bilgisinin, (2) kendilerine e-posta ve SMS gönderim bilgisi dolayısıyla pazarlama bilgisinin ve (3) iletişim bilgisinin, dış kaynak firmaya aktarıldığı, Şirket tarafından yurtdışına herhangi bir özel nitelikli kişisel verinin ise aktarılmadığı,
Kişisel verileri yurtdışındaki dış kaynak firma’ya aktarılan müşterilerden açık rızanın alındığı, söz konusu açık rızanın 2018 yılından itibaren güncellenmiş Müşteri Kişisel Verilerinin İşlenmesine İlişkin Aydınlatma Metni ve Rıza Metni ile alındığı,
Veri işleyen konumundaki dış kaynak firmaya bu verilerin aktarılmasındaki hukuki gerekçenin ise Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendinde düzenlenen veri sorumlusu olarak Şirketin meşru menfaati için veri işlemesinin zorunlu olması şartına dayandığı,
6698 sayılı Kanunun 9 uncu maddesinde kişisel verilerin a) ilgili kişinin açık rızası ile ya da b) yeterli korumanın bulunması veya ilgili ülkede yeterli koruma bulunmuyorsa Kurulun izninin alınması suretiyle Kanunun 5 inci maddesinin (2) numaralı fıkrası ile 6 ncı maddesinin (3) numaralı fıkrasında belirtilen veri işleme şartlarına dayalı olarak yurtdışına aktarılabileceğinin düzenlendiği, Kurulun yabancı ülkede yeterli koruma bulunup bulunmadığına Kanunun 9 uncu maddesinin (4) numaralı fıkrasında yer alan hususlar çerçevesinde karar vereceğinin düzenlendiği, ancak Kurul tarafından bir yabancı ülkede yeterli koruma bulunup bulunmadığına henüz karar verilmemiş olduğu, bunun yanı sıra aynı maddenin (5) ve (6) numaralı fıkrasında kişisel verilerin yurtdışına aktarılmasında uluslararası sözleşmeler ile diğer kanun hükümlerinin saklı olduğunun ortaya konulduğu,
“Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi”nin (108 sayılı Sözleşme) iç hukuka aktarıldığı, tüm Avrupa Birliği üye devletlerinin 108 sayılı Sözleşmeye taraf olduğu, Türkiye’nin 108 sayılı Sözleşmenin taraflarına ilişkin “… Sözleşme’nin onaylanmasının geçerliliği bulunmayan “Kıbrıs Cumhuriyeti”nin anılan sözleşmeye taraf olan Güney Kıbrıs Rum Yönetimi tarafından temsil edildiği iddiasının herhangi bir biçimde kabulü anlamına gelmeyeceğini ve Türkiye’de sözde Kıbrıs Cumhuriyeti ile işbu Sözleşme kapsamında herhangi bir temasta bulunma yükümlülüğü getirmeyeceğini” beyan ettiği, bu beyan dışında 108 sayılı Sözleşme’nin taraflarına ilişkin Türkiye tarafından herhangi bir beyanda bulunulmadığı; Anayasanın 90 ıncı maddesinin son fıkrası uyarınca “usulüne göre yürürlüğe konulmuş Milletlerarası Antlaşmaların kanun hükmünde” olduğunun kabul edildiği, ayrıca ilgili fıkranın devamı hükmünde usulüne göre yürürlüğe konulmuş temel hak ve özgürlüklere ilişkin Milletlerarası antlaşmalarla kanunların aynı konuda farklı hükümler içermesi nedeniyle çıkabilecek uyuşmazlıklarda Milletlerarası antlaşma hükümlerinin esas alınacağı düzenlemesine yer verildiği dolayısıyla kişilerin temel hak ve özgürlüklerinden olan kişisel verilerin korunması hakkına ilişkin 108 sayılı Sözleşme ile diğer kanunlar arasında çıkan uyuşmazlıklarda 108 sayılı Sözleşmenin esas alınması gerektiği kanısında olunduğu,
108 sayılı Sözleşme’nin 12 nci maddesi uyarınca 108 sayılı Sözleşmenin taraflarına gerçekleştirilecek kişisel veri aktarımlarının (a) ve (b) bentlerinde sıralanan istisnalardan biri sağlanmadan yasaklanmaması veya özel izne tabi tutulmamasının 108 sayılı Sözleşmenin getirdiği açık kurallardan biri olduğu, Türkiye tarafından gerçekleştirilmiş herhangi bir sınırlandırma veya özel izne tabi tutulmaya ilişkin herhangi bir işlem bulunmadığı, bu kapsamda Kanunun 9 uncu maddesinin (5) ve (6) numaralı fıkraları da dikkate alındığında 108 sayılı Sözleşmenin 12 nci maddesine dayanılarak 108 sayılı Sözleşmenin Taraflarına veri aktarımı yapılmasına ilişkin herhangi bir hukuki sınırlandırma ve/veya engelin bulunmadığı kanısında olunduğu,
“Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesine Ek Denetleyici Makamlar ve Sınıraşan Veri Akışına İlişkin Protokol”un 2 nci maddesinin (1) numaralı fıkrasında sınır aşan kişisel veri aktarımlarına ilişkin olarak taraf olmayanlara yapılacak aktarımlarda yeterli koruma sağlanıp sağlanmadığının değerlendirmesinin yapılacağının düzenlendiği, bu doğrultuda ilgili maddenin mefhumu muhalifinden taraf olanlara yönelik yeterli koruma değerlendirilmesinin yapılamayacağının anlaşıldığı, ek protokolün 2 nci maddesinin (2) numaralı fıkrasında ise (1) numaralı fıkraya hangi koşullarda çekince getirilebileceğinin düzenlendiği, buna karşın ülkemizin ilgili düzenleme hakkında herhangi bir beyanda bulunmadığı,
Şirketin hukuki gerekçeler (6698 sayılı Kanunun 9 uncu maddesinin (5) ve (6) numaralı fıkraları ile 108 sayılı Sözleşmenin 12 nci maddesi) kapsamında 6698 sayılı Kanunun 9 uncu maddesinin (2) numaralı fıkrasının atfı ile 5 inci maddenin (2) numaralı fıkrasının (f) bendinde yer alan “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki gerekçesine dayanılarak gerekli tüm idari ve teknik tedbirler alınmak suretiyle veri işleyen konumundaki dış kaynak firmaya hukuka uygun olarak veri aktarımının yapıldığı
hususlarına yer verilmiştir. Resen inceleme konusu kapsamında veri sorumlusundan alınan bilgi ve belgelerin ilgili mevzuat çerçevesinde incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 22/07/2020 tarih ve 2020/559 sayılı Kararında aşağıdaki değerlendirmelere yer verilmiştir.

1. Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin birinci fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, ikinci fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümleri yer almaktadır.

Bu kapsamda kişisel veri işleme faaliyetinin öncelikli olarak açık rıza dışındaki işleme şartlarından birine dayanıp dayanmadığı değerlendirilmeli, eğer bu faaliyet Kanunda belirtilen açık rıza dışındaki şartlardan en az birine dayalı olarak gerçekleştirilemiyorsa, bu durumda veri işleme faaliyetinin devamı için kişinin açık rızasının alınması yoluna gidilmelidir. Açık rıza alınmasına gerek olmayan hallerden biri de resen incelemeye konu veri sorumlusu tarafından da belirtildiği üzere Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendinde yer alan “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” şeklinde belirtilen durumdur. Anılan bendin uygulanabilmesi için kişisel verilerin korunmasına ilişkin temel ilkelere uyulması, veri sorumlusunun meşru menfaati ile ilgili kişinin temel hak ve özgürlüklerinin gözetilmesi ve yarışan menfaatler arasında yapılacak olan değerlendirmenin sonucunda kişisel verilerin belirtilen fıkra kapsamında işlenip işlenemeyeceğine karar verilmesi gerekmektedir.

Bu minvalde, Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendinin uygulanabilmesi için iki aşamalı bir testin ele alınması gerekir. Yapılacak olan ilk değerlendirmede veri sorumlusunun meşru menfaatinin varlığı tespit edilmeli, ikinci olarak da, bu menfaatin ilgili kişinin temel hak ve özgürlüklerine zarar verip vermediği belirlenmelidir. Ancak, resen incelemeye taraf olan veri sorumlusu tarafından açık rıza dışındaki kişisel veriler açısından yurt dışına aktarımda Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendindeki işleme şartı dayanak gösterilirken meşru menfaatin ne olduğu hakkında ve bu menfaati ile kişilerin temel hak ve özgürlükleri arasında bir denge testi uygulanıp uygulanmadığına ilişkin herhangi bir açıklamaya yer verilmediğinden, kişisel verilerin veri sorumlusu tarafından yurt dışına aktarılmak suretiyle işlenmesinde geçerli bir meşru menfaatin bulunduğu kanaati hasıl olmamıştır.

2. Bununla birlikte, 6698 sayılı Kanunun 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde tanımına yer verilen “açık rıza”nın özgür irade ile açıklama, bilgilendirmeye dayanma ve belirli bir konuya ilişkin olma şeklinde üç unsuru bulunmaktadır. Bu kapsamda eğer birden çok kategoriye ilişkin verinin işlenmesine dair açık rıza beyanında bulunulacaksa, açık rızanın hangi verilerin hangi amaçlarla işleneceği gibi hususlara ilişkin verilmiş olması gerekmektedir. Veri sorumlusunun, veriyi kullanımı sonrasında gerçekleştireceği ikincil işlemler için ise (örneğin yurtdışına veri aktarımı gibi) ayrıca açık rıza alması gerekmektedir. Bununla birlikte, kişisel veri işleme faaliyeti, Kanunda bulunan açık rıza dışındaki şartlardan birine dayanıyorsa, ilgili kişiden açık rıza alınması yoluna gidilmeyecektir. Nitekim, veri işleme faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılması, aldatıcı ve hakkın kötüye kullanımı niteliğinde olacaktır.

Veri sorumlusunun, Kurula verdiği savunma yazısında, kişisel verilerin işlenmesinin hukuki sebebinin “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” şartına dayandığını belirtmekle birlikte; ilgili kişilere sunduğu aydınlatma ve rıza metninde “… Şirketimiz tarafından sunulan ürün ve hizmetlerin sizlerin beğeni, kullanım alışkanlıkları ve ihtiyaçlarınıza göre özelleştirerek sizlere önerilmesi ve tanıtılması, kabulünüz kapsamında paylaşmış olduğunuz iletişim bilgilerinize reklam, promosyon vb ticari elektronik ileti gönderilmesi, saklanmasını ve … gönderim sağlanması için hizmet aldığı üçüncü kişilerle paylaşılması amaçlarıyla işbu metni kabul etmeniz halinde vermiş olduğunuz açık rızanız kapsamında işlenebilecektir.” şeklinde bir bilgilendirmede bulunduğu dikkate alındığında, kişisel veri işleme faaliyetinin asıl olarak ve yalnızca ilgili kişilerin açık rızalarına dayanılarak geçekleştirildiği izlenimine neden olduğu değerlendirilmiştir.

Bahse konu savunma yazısının devamında ise, yurt dışına veri aktarımının 6698 sayılı Kanunun 9 uncu maddesinin (2) numaralı fıkrasının atfı ile 5 inci maddenin (2) numaralı fıkrasının (f) bendinde yer alan “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki gerekçesine dayanılarak dış kaynak firmaya yapıldığı; pazarlama iletişimlerine izin vermiş kişilere/müşterilere e-posta/sms gönderimi yapılabilmesi için müşteri verilerinin sunucuları Avrupa Birliği üyesi ülkede bulunan bir bulut veri tabanına aktarıldığı ifadelerine yer verildiği görülmüştür. Ancak, aydınlatma metninde ve açık rıza metninde ilgili kişiler tarafından pazarlama amaçlı ileti gönderilmesine rıza verilmesi halinde bu kişisel verilerin yurtdışına bulunan bir firmaya aktarılacağına ilişkin herhangi bir açıklamaya yer verilmediğinden yurtdışına veri aktarımının veri sorumlusunun Kanunun 5 inci maddesinin (2) numaralı fıkrasında belirtilen açık rıza dışındaki meşru menfaatleri kapsamında mı yoksa, ilgili kişilerin açık rızalarına istinaden mi gerçekleştirildiğinin anlaşılır olmadığı ya da söz konusu kişisel verilerin hangilerinin meşru menfaat çerçevesinde hangilerinin ise ilgili kişilerin açık rızalarına istinaden işlendiğinin açıkça belirtilmemiş olduğu kanaatine varılmıştır.

3. Kanunun “Kişisel Verilerin Yurt Dışına Aktarılması” başlıklı 9 uncu maddesinde de kişisel verilerin ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağı ancak, kişisel verilerin 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede; a) Yeterli korumanın bulunması, b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu’nun (Kurul) izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabileceği hükümleri düzenlenmektedir. Anılan maddenin devamında ise,

“(3)Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.

(4) Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci fıkranın (b) bendi uyarınca izin verilip verilmeyeceğine; a) Türkiye’nin taraf olduğu uluslararası sözleşmeleri, b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu, c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini, ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını, d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri, değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir.

(5) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.

(6) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” hükümlerine yer verilmiştir.

Veri sorumlusu tarafından Kurula sunulan bilgi, belge ve açıklamaların incelenmesi neticesinde, veri sorumlusunun dijital pazarlama iletişimlerinde web tabanlı bir yazılım kullandığı, söz konusu yazılım üzerinden müşterilerine e-posta/sms gönderimi yapılabilmesi için müşteri verilerini (müşterilere ilişkin; (1) müşteri bilgisi, (2) kendilerine e-posta ve SMS gönderim bilgisi dolayısıyla pazarlama bilgisi ve (3) iletişim bilgilerini) sunucuları Avrupa Birliği üyesi bir ülkede bulunan ,bulut veri tabanına aktardığı anlaşılmıştır.

108 Sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesinin (108 sayılı Sözleşme) “Kişisel Verilerin Sınır Ötesi Akışı ve İç Hukuk” başlıklı 12 nci maddesinde ise;

“(1) Otomatik işleme konu olan veya otomatik işleme konu olmak üzere toplanmış olan kişisel verilerin her türlü yoldan ulusal sınırların ötesine transferinde aşağıdaki hükümler uygulanır.

(2) Bir Taraf, münhasıran özel yaşamın korunması amacıyla kişisel verilerin diğer bir Tarafa sınır ötesi akışını yasaklayamaz veya özel müsaadeye tabi tutamaz.

(3) Bununla birlikte her bir Taraf, 2. fıkradaki hükümlere aşağıdaki durumlarda istisnalar getirebilir:

(a) Kendi mevzuatının, belli kişisel veri veya otomatik kişisel veri dosyası kategorileri için, bu verilerin veya dosyaların doğasından kaynaklanan özel düzenlemeler içermesi, diğer Tarafın düzenlemelerinin ise eşdeğer bir koruma içermemesi durumunda;

(b) Bu transferin bir Tarafın ülkesinden, bir diğer Taraf üzerinden Taraf olmayan bir devletin ülkesine yapılması durumunda, bu bendin başında atıfta bulunulan Tarafın mevzuatının boşluklarından yararlanmak üzere yapılacak bu tür transferleri engellemek amacıyla” hükümleri yer almaktadır.

Veri sorumlusu Kurula verdiği savunmasında; müşteri bilgilerinin dış firmaya aktarılmasındaki hukuki gerekçenin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendi kapsamındaki “veri sorumlusunun meşru menfaati için veri işlemenin zorunlu olması” olduğu, Kanunun 9 uncu maddesindeki gerekçesine ilişkin olarak ise; tüm Avrupa Birliği üye devletlerinin iç hukukumuza aktarılan 108 sayılı Sözleşmeye taraf olduğu, Anayasanın 90 ıncı maddesi uyarınca “usulüne göre yürürlüğe konulmuş Milletlerarası Antlaşmaların kanun hükmünde” olduğunun kabul edildiği ve Milletlerarası antlaşmalarla kanunların aynı konuda farklı hükümler içermesi nedeniyle çıkabilecek uyuşmazlıklarda Milletlerarası antlaşma hükümlerinin esas alınacağı düzenlemesine yer verildiği, bu doğrultuda kişilerin temel hak ve özgürlüklerinden olan kişisel verilerin korunması hakkına ilişkin 108 sayılı Sözleşme ile diğer kanunlar arasında çıkan uyuşmazlıklarda 108 sayılı Sözleşmenin esas alınması gerektiği kanısında olunduğu, Kanun hükmünde olan 108 sayılı Sözleşmenin, serbest aktarım ilkelerini benimseyen 12 inci maddesinin (3) numaralı fıkrasının (a) ve (b) bentleri istisnasına dayanılan herhangi bir sınırlandırma veya özel izne tabi tutulmaya ilişkin şu zamana kadar Türkiye tarafından yapılan herhangi bir işlem bulunmadığı, bu kapsamda Kanunun 9 uncu maddesinin (5) ve (6) numaralı fıkraları da dikkate alındığında 108 sayılı Sözleşmenin 12 nci maddesine dayanılarak 108 sayılı Sözleşmenin Taraflarına veri aktarımı yapılmasına ilişki herhangi bir hukuki sınırlandırma ve/veya engelin bulunmadığı kanısında olunduğu, bununla birlikte “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesine Ek Denetleyici Makamlar ve Sınıraşan Veri Akışına İlişkin Protokol”un 2 nci maddesinin (2) numaralı fıkrasında (1) numaralı fıkraya hangi koşullarda çekince getirilebileceğinin düzenlendiği, buna karşın ülkemizin ilgili düzenleme hakkında herhangi bir beyanda bulunmadığı, Kurul tarafından yeterli koruma sağlayan ülkelere ilişkin somut değerlendirmenin de henüz yapılmamış olduğu, bu minvalde 108 sayılı Sözleşme’nin Taraflarından olan bir ülkede bulunan Dış Kaynak Firmaya yapılan kişisel veri aktarımının 108 sayılı Sözleşme ve ilgili Ek Protokol’de belirtilen hukuki gerekçelerle yapıldığı ifade edilmiştir.

Öncelikle, 108 sayılı Sözleşmenin 12 nci maddesinde, Sözleşmeye taraf devletlerin yalnızca özel hayatın korunması gerekçesiyle diğer taraf devletlere gerçekleşecek kişisel veri aktarımlarını yasaklayamayacaklarını veya özel bir izin öngörmek suretiyle kısıtlayamayacaklarının öngörüldüğünü belirtmek yerinde olacaktır. 108 sayılı Sözleşmeye İlişkin Açıklayıcı Rapor’un (Açıklayıcı Rapor) ikinci fıkrasında, bu düzenlemenin amacının Sözleşmeye taraf ülkelerin kişisel verilerin korunması bakımından yeterli düzeyde güvenceleri sağladığı yönündeki ön kabulden hareketle taraf ülkeler arasında veri akışının kolaylaştırılması olduğu, bununla birlikte, bu hükmün taraf devletler arasındaki veri akışının bildirime tabi kılınmasına veya tarafların iç hukuklarında belirli durumlarda yurt içinde veya sınır aşan nitelikte aktarımları yasaklamaya yönelik düzenlemeler yapabilme imkanını ortadan kaldırmadığı öngörülmektedir. Bahse konu Açıklayıcı Raporda Sözleşmenin 12 nci maddesinin Avrupa Birliği’ndeki (AB) uygulamasına ilişkin olarak ise, AB’nin gerek mülga 95/46/AT sayılı Direktif gerek 27/04/2016 tarih ve 2016/679 sayılı Avrupa Parlamentosu ve Konsey Tüzüğü (Genel Veri Koruma Tüzüğü-GVKT) hükümleri uyarınca 108 sayılı Sözleşmeye taraf olan ülkeleri herhangi bir başka değerlendirmede bulunmadan yeterli korumaya sahip ülke olarak nitelendirmediği ve Sözleşmeye taraf olmayı yalnızca yeterlilik değerlendirmesinde dikkate alacağı bir kriter olarak kabul ettiği hususlarına yer verildiğini de belirtmekte fayda görülmektedir.

Bu kapsamda, Kanunun 9 uncu maddesinin ikinci fıkrasında öngörülen düzenleme uyarınca, Kurul tarafından güvenli ülke olarak ilan edilmemiş ülkelere ilgili kişinin açık rızası olmaksızın yapılacak kişisel veri aktarımlarının ancak Kanunun 5 inci maddesinin ikinci fıkrasında veya 6 ncı maddesinin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve tarafların yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurul tarafından aktarıma izin verilmesi halinde gerçekleşmesine imkan tanındığını belirtmek yerinde olacaktır.

4. Kanunun 9 uncu maddesinin 4 üncü fıkrasının (a) bendinde, Kurulun veri aktarımına izin verip vermeyeceğine ilişkin değerlendirmede ülkemizin taraf olduğu uluslararası sözleşmelerin de dikkate alınacağı hükme bağlanmıştır. Kişisel verilerin aktarılacağı ülkenin 108 sayılı Sözleşmeye taraf olması Kurulun değerlendirmesine esas teşkil edecek unsurlardan sadece bir tanesini oluşturmakta olup bu durum yeterli korumanın bulunduğu ülkelerin Kurulca belirlenmesinde kullanılmak üzere Kurulun 02.05.2019 tarihli ve 2019/125 sayılı Kararında da kabul edilen kriterler arasında yer almaktadır. Bununla birlikte anılan maddede aktarıma konu kişisel verilerin niteliği ile işlenme amaç ve süresi, aktarımın yapılacağı ülkedeki veri koruma mevzuatı ve uygulaması ve bu ülkedeki veri sorumlusu veya veri işleyenin taahhüt edeceği önlemler gibi özellikle kişisel verilerin etkin bir biçimde korunmasını sağlamaya yönelmiş hususlar ve ülkemiz ile aktarımın yapılacağı ülke arasında veri aktarımına ilişkin karşılıklılık durumu da Kurulun değerlendirmesinde göz önünde bulundurulan diğer hususlardır.

Bu minvalde, sözleşmeye taraf devletlerin iç hukuklarında belirli durumlarda yurt dışına veri aktarımını yasaklamaya yönelik düzenleme yapabileceğine dair “108 sayılı Sözleşmeye İlişkin Açıklayıcı Rapor”da yer alan açıklama ile Kurulun yurt dışına veri aktarımına izin vermesine ilişkin yapacağı değerlendirmede gerek 108 sayılı Sözleşme gibi ülkemizin taraf olduğu uluslararası sözleşmeleri gerek kişisel verilerin korunması veya özel hayatın gizliliğini koruma amacını taşımadan aktarımın yapılacağı ülke ile karşılıklılık halini dikkate alacağına ilişkin Kanunun 9 uncu maddesinde yer verilen düzenleme göz önünde bulundurulduğunda 6698 sayılı Kanunda öngörülen kişisel veri aktarım rejiminin 108 sayılı Sözleşme ile uyumlu olduğu değerlendirilmektedir.

5. Kanunun 9 uncu maddesinin (6) numaralı fıkrasında ise “Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” hükmüne yer verilmektedir. Bilindiği üzere, Anayasanın 90 ıncı maddesinde yer alan düzenleme uyarınca yürürlüğe konulmuş uluslararası antlaşmaların kanun hükmünde olduğu, bu anlamda 108 sayılı Sözleşmenin de hukukumuzda kanun niteliğini haiz olduğu, Anayasanın 90 ıncı maddesine 5170 sayılı Kanunun 7 nci maddesi ile yapılan ekleme ile temel hak ve özgürlüklere ilişkin uluslararası antlaşmalarla kanunların aynı konuya ilişkin farklı düzenlemeleri öngörmesi halinde uluslararası antlaşma hükümlerinin esas alınacağı öngörülmektedir. Ancak, bu maddenin gerekçesinde “uygulamada usulüne göre yürürlüğe konulmuş insan haklarına ilişkin milletlerarası antlaşmalar ile kanun hükümlerinin çelişmesi halinde ortaya çıkacak bir uyuşmazlığın varlığı halinde hangisine öncelik verileceği konusundaki tereddütlerin giderilmesi amacıyla 90 ıncı maddenin son fıkrasına hüküm eklenmektedir” açıklamasına yer verildiği, bunun uygulanabilmesi için de söz konusu uluslararası antlaşma hükümlerinin doğrudan uygulanabilir olması gerektiği, diğer bir ifadeyle antlaşma hükmünün “yeterince açık, kesin, koşulsuz ve uygulaması için devletin ilave bir tedbir almasını gerektirmeyecek nitelikte” olması gerektiği belirtildiğinden, doğrudan uygulanabilir olmayan daha soyut ve genel bir uluslararası antlaşma hükmü ile bir kanun hükmü arasında oluşacak bir uyuşmazlığın Anayasanın 90 ıncı maddesinin beşinci maddesinde yer alan düzenleme bağlamında bir çatışma teşkil etmeyeceği ve bu sebeple Anayasanın anılan hükmünün uygulama alanı bulmayacağı dolayısıyla genel nitelikteki uluslararası antlaşma hükmü ile kanun hükmünün çelişmesi halinde çelişen kanun hükmünün esas alınarak uygulanması gerektiği değerlendirilmektedir.

108 Sayılı Sözleşmenin 4 üncü maddesinin birinci fıkrası da “her Taraf, kendi iç hukukunda işbu bölümde yer alan verilerin korunmasına ilişkin temel ilkelere işlerlik kazandırmak amacıyla gerekli önlemleri alır” hükmünü içermektedir. Diğer bir ifadeyle Sözleşme hükümleri taraf devletlerin iç hukukunda doğrudan hüküm ve sonuç doğurmamakta, ulusal veri koruma düzenlemelerine hakim olması gereken temel ilkeleri ve bu düzenlemeler vasıtasıyla ilgili kişilere sağlanacak güvenceye ilişkin usul ve esasları belirlemektedir. “108 sayılı Sözleşmeye İlişkin Açıklayıcı Rapor”da da, Sözleşmenin doğrudan uygulanabilir nitelikte olmadığı ve bu sebeple taraf devletlerin veri koruma hükümlerini iç hukuklarına dahil etmekle yükümlü kılındıkları ifade edilmektedir. Dolayısıyla 108 sayılı Sözleşmenin 12 nci maddesinin ikinci fıkrasında yer alan ve tarafların münhasıran özel hayatın gizliliğinin korunması amacıyla diğer bir taraf ülkeye kişisel veri aktarımını yasaklayamayacağına veya izin koşuluna bağlayamayacağına ilişkin hükmünün doğrudan uygulanabilir nitelikte olmadığı, bu minvalde söz konusu hükmün ne Kanunun 9 uncu maddesinin (6) numaralı fıkrası ne de Anayasanın 90 ıncı maddesinin (5) numaralı fıkrası uyarınca öncelikle uygulama alanı bulamayacağı; diğer taraftan Kanunun 9 uncu maddesinde öngörülen düzenlemenin 108 sayılı Sözleşmenin 12 nci maddesine de aykırılık teşkil etmediği ve bu itibarla her iki düzenlemenin birbirini tamamlayıcı nitelikte olduğu dikkate alındığında, 108 sayılı Sözleşmeye taraf olmanın AB uygulamasında olduğu gibi 6698 sayılı Kanun kapsamında güvenli ülke statüsü tayini bakımından tek başına yeterli olmadığı ancak Kurul tarafından yapılacak değerlendirmede olumlu bir unsur teşkil edeceğini belirtmekte fayda görülmektedir.

Bu itibarla, öncelikle 108 sayılı Sözleşmenin başlı başına kişisel verilerin yurt dışına aktarımına cevaz vermediği, veri sorumlusunun yurt dışına veri aktarımı yaparken Kanunun 9 uncu maddesinde belirtilen şartları sağlamaması halinde hukuka aykırı bir veri işlemenin gündeme geleceği, bu minvalde açık rıza alınmasını gerektiren kişisel verilerin yurtdışına veri aktarımının yapılabilmesi için ilgili kişinin açık rızasının alınması; Kanunda belirtilen diğer kişisel veri işleme şartlarına dayanılarak yurtdışına veri aktarımının yapılabilmesi için ise Kanunun 5 inci maddesinin (2) numaralı fıkrasında ve 6 ncı maddesinin (3) numaralı fıkrasında belirtilen şartlardan birinin varlığı, tarafların yeterli bir korumayı taahhüt etmeleri ve Kurul tarafından izin verilmesi halinde yurt dışına kişisel veri aktarımının gerçekleşebileceğini belirtmek gerekmektedir.

Veri sorumlusunun Kurumumuza verdiği bilgi, belge ve açıklamalardan, ilgili kişilerin pazarlama amacıyla işlenen kişisel verilerini açık rıza kapsamında, bunun dışında kalan kişisel verilerinin ise 6698 sayılı Kanunun 9 uncu maddesinin (2) numaralı fıkrasının atfı ile 5 inci maddenin (2) numaralı fıkrasının (f) bendinde yer alan “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki gerekçesi kapsamında 108 sayılı sözleşmenin 12 nci maddesine dayanılarak aktarıldığı anlaşılmıştır. Ancak, veri sorumlusu 108 sayılı sözleşme kapsamında aktarım yaptığını ifade ederken ilgili dış kaynak firmaya aktarım yapılabilmesine ilişkin taahhütname hazırlandığına/hazırlanacağına dair herhangi bir bilgiyi Kurula sunmamıştır. Kurum kayıtlarında da veri sorumlusu tarafından Karar tarihi itibariyle taahhütnameye ilişkin herhangi bir başvuruya rastlanmamıştır.

Sonuç itibariyle, veri sorumlusu tarafından gerek açık rızanın usulüne uygun ayrı bir metin olarak düzenlenmemiş olması gerek yurt dışına aktarım yapılacağının ilgili kişilere açık ve anlaşılır şekilde beyan edilmemiş olması; öte yandan açık rıza dışındaki işleme şartlarına bağlı olarak gerçekleşecek yurt dışına aktarımlarda ise veri sorumlusu tarafından meşru menfaate ilişkin denge testinin yapılmamış olması ve aktarım yapılan ilgili firma ile yazılı taahhütname yapılarak Kurulun izni alınmak üzere taahhütnamenin bir örneğinin Kurumumuza iletilmemiş olması sebepleriyle, bahse konu aktarımın Kanunun 9 uncu maddesinde belirtilen şartları sağlamadığı dolayısıyla hukuka aykırı bir veri işlemenin mevcut olduğu kanaatine varılmıştır.

6. Diğer taraftan, Kanunun “Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi” başlıklı 7 nci maddesinde, “(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. (2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır. (3) Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.” hükmü yer almaktadır. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 7 nci maddesinde de Kanunun 5 inci ve 6 ncı maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi gerektiği düzenlemesine yer verilmektedir.

Bu kapsamda, veri sorumlusu tarafından yurt dışına veri aktarımı konusunda ilgili kişilerden hukuka uygun bir açık rıza alınmamış olduğu, açık rıza dışındaki işleme şartlarından ise geçerli bir meşru menfaatin bulunduğuna dair denge testinin yapılmamış olduğu, bununla birlikte yurt dışına aktarımda Kanunun 9 uncu maddesine uygun olarak taahhütname hazırlanmamış ve Kurulun izni alınmak üzere Kurumumuza iletilmemiş olduğu dolayısıyla yurt dışına veri aktarmak suretiyle hukuka aykırı veri işlemenin söz konusu olduğu kanaatine varıldığından, veri sorumlusunun yurt dışına veri aktarımında geçerli bir hukuki işleme şartının bulunmaması sebebiyle Kanunun 7 nci maddesinin (1) numaralı fıkrası ve ilgili Yönetmelik uyarınca, bu kişisel verilerin silinmesi veya yok edilmesi gerektiği kanaatine varılmıştır.

7. Öte yandan, bilindiği üzere Kanunun “Veri Sorumlusunun Aydınlatma Yükümlülüğü” başlıklı 10 uncu maddesi, veri sorumlusu veya yetkilendirdiği kişinin, kişisel verilerin elde edilmesi sırasında ilgili kişilere “a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları” konusunda bilgi vermekle yükümlü olduğunu içermektedir. “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ”de de (Aydınlatma Tebliği) veri sorumluları veya yetkilendirdiği kişiler tarafından aydınlatma yükümlülüğü kapsamında uyulacak usul ve esaslar belirlenmiştir.

Resen incelemeye konu olayda, veri sorumlusunun açık rıza alımında 2018 yılından itibaren güncellenmiş Aydınlatma Metni ve Rıza Metnini kullandığı görülmüş olup bahse konu metnin incelenmesi neticesinde;

Aydınlatma metninin Kanunun 10 uncu maddesi ve Aydınlatma Tebliğinde belirtilen detayda düzenlenmediği,
Aydınlatma Tebliği’nin 5 inci maddesinin (f) bendinde kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiği düzenlenmektedir. Veri sorumlusunun açık rıza şartına dayalı olarak gerçekleştirilecek veri işleme faaliyetinin, aydınlatma metninin içerisinde ayrı bir başlık altında ancak aydınlatma metni ile birlikte düzenlenmiş olduğu görüldüğünden, söz konusu uygulamanın Tebliğ’in 5 inci maddesine aykırılık oluşturduğu,
Aydınlatma Tebliği’nin 5 inci maddesinin (h) bendinde; “Kanunun 10 uncu maddesinin birinci fıkrasının (ç) bendinde yer alan “hukuki sebep” ten kasıt, aydınlatma yükümlülüğü kapsamında kişisel verilerin Kanunun 5 ve 6 ncı maddelerinde belirtilen işleme şartlarından hangisine dayanılarak işlendiğidir. Aydınlatma yükümlülüğünün yerine getirilmesi esnasında hukuki sebebin açıkça belirtilmesi gerekmektedir” hükmüne yer verilmiştir. Veri sorumlusunun düzenlediği aydınlatma metninde ise kişisel verilerin toplanmasının hukuki gerekçesinin Kanunun 5 ve 6 ncı maddelerinde belirtilen işleme şartları olduğu şeklinde genel nitelikte ifadeye yer verildiği ancak bahse konu hukuki gerekçenin Tebliğ’de belirtildiği üzere Kanunun 5 inci ve 6 ncı maddelerindeki işleme şartlarından hangisine dayandığının açıkça belirtilmediği,
Aydınlatma Tebliği’nin anılan maddesinin (j) bendinde; “Aydınlatma yükümlülüğü yerine getirilirken eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmemelidir.” hükmüne yer verilmiştir. Veri sorumlusunun aydınlatma metninde ise, kişisel verilerin ticari ileti gönderilmesi için hizmet alınan üçüncü kişilerle paylaşılması amaçlarıyla açık rıza kapsamında işleneceğine yer verilmiş olduğu ancak bahsedilen üçüncü kişinin yurtdışında bulunan … isimli firma olduğundan bahsedilmediği, diğer bir ifadeyle bu verilerin yurt dışına aktarılacağına ilişkin açıklamaya yer verilmediği, kişisel verilerin yurtdışına aktarılmasına ilişkin eksik ve yanıltıcı bilgi verilmesi sebebiyle, ilgili kişinin neye rıza gösterdiği ve rızasının sonuçları hakkında tam bir bilgi sahibi olamadığı,
Aydınlatma Tebliği’nin anılan maddesinin (a) bendinde; “İlgili kişinin açık rızasına veya Kanundaki diğer işleme şartlarına bağlı olarak kişisel veri işlendiği her durumda aydınlatma yükümlülüğü yerine getirilmelidir.”, (f) bendinde ise; “Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.” hükümlerine yer verilmiştir. Ancak, veri sorumlusunun aydınlatma metni ve açık rıza alınmasını tek metinde düzenlediği dolayısıyla ilgili kişiye tercihte bulunma seçeneğini sunmadığı
anlaşıldığından veri sorumlusunun Aydınlatma Tebliği’ne uyumda da yeterli dikkat ve özeni göstermediği kanaatine varılmıştır.

Sonuç itibariyle;

1. Veri sorumlusunun, kişisel verilerin yurtdışına aktarılması ile ilgili olarak yurtdışına veri aktarımı konusunu düzenleyen Kanunun 9. maddesinde belirtilen hususlara uygun bir veri aktarımı gerçekleştirilmediği ayrıca 108 sayılı Sözleşmeye taraf olmanın AB uygulamasında olduğu gibi 6698 sayılı Kanun kapsamında güvenli ülke statüsü tayini bakımından tek başına yeterli olmadığı ancak Kurul tarafından yapılacak değerlendirmede olumlu bir unsur teşkil edeceği, dolayısı ile gerekli şartlar sağlanmadan kişisel verilerin yurt dışına aktarılması suretiyle hukuka aykırı bir kişisel veri işleme faaliyeti gerçekleştirildiği, bu sebeple Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin birinci fıkrasının (a) bendinde öngörülen “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğünün yerine getirilmediği kanaatine varıldığından, tüzel kişi veri sorumlusu hakkında, Kanunun “Kabahatler” başlıklı 18 inci maddesinin birinci fıkrasının (b) bendi uyarınca 900.000 TL idari para cezası uygulanmasına,

2. Öte yandan, hukuka aykırı olarak yurtdışına aktarılan söz konusu kişisel verilerin 6698 sayılı Kanunun 7 inci maddesine uygun olarak silinmesi/yok edilmesi ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,

3. Veri sorumlusunun, aydınlatma metnini 6698 sayılı Kanunun 10 uncu maddesi ve bu maddeye dayanarak çıkarılan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin 5 inci maddesinde belirtilen hükümlere uygun olacak şekilde güncellemesi ile aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerini ayrı ayrı yerine getirmesi gerektiği yönünde talimatlandırılmasına

karar verilmiştir.

28.05.2020: “İlgili kişinin kişisel verilerinin, hakkında icra takibi yapan avukat tarafından hukuka aykırı olarak işlenmesi ve açıklanmasına ilişkin şikayet” “İlgili kişinin kişisel verilerinin, hakkında icra takibi yapan avukat tarafından hukuka aykırı olarak işlenmesi ve açıklanmasına ilişkin şikayet” ile ilgili Kişisel Verileri Koruma Kurulunun 28/05/2020 Tarihli ve 2020/429 Sayılı Karar Özeti
Karar Tarihi : 28/05/2020
Karar No : 2020/429
Konu Özeti : İlgili kişinin kişisel verilerinin, hakkında icra takibi yapan avukat tarafından hukuka aykırı olarak işlenmesi ve açıklanması ile ilgili şikayet

İlgili kişiden alınan şikayet dilekçesinde özetle;

Kamu görevlisi olarak görev yaptığı ilde kamuya ait bir sosyal tesiste konakladığı; banka borcundan dolayı, hakkında bankanın vekili olan avukat tarafından icra takibi başlatıldığı; 27.11.2018 tarihinde kendisiyle birlikte aynı sosyal tesiste ikamet etmekte olan sayısını tam olarak bilmediği iş arkadaşlarının kendi üzerlerine kayıtlı cep telefonlarına ve ilgili kişinin ağabeyi üzerine kayıtlı cep telefonuna ilgili kişinin adını ve haciz talimatını içeren kısa mesajlar gönderildiği; konuya ilişkin olarak ayrıca Cumhuriyet Başsavcılığına başvurduğu belirtilerek avukat hakkında gereğinin yapılması talep edilmiştir.
Konuya ilişkin olarak 01.10.2019 tarih ve 2019/293 sayılı Kurul Kararı ile başlatılan inceleme çerçevesinde avukattan savunma sunması talep edilmiş, veri sorumlusu avukat savunmasında, İkrar veya kabul anlamına gelmemek kaydı ile; şikayetçinin kişisel e-posta hesabı yerine içerisinde ofise günlük gelen yüzlerce e-postanın bulunduğu e-posta adresine gönderdiğini iddia ettiği başvurunun okunma ihtimalinin olmadığı, konudan Kurumumuzun savunma talepli yazısının tebellüğ edildiği tarihte haberdar olunduğu, bu nedenle 30 günlük yasal sürenin dolmasına karşın cevap alınamadığı iddiasının doğru olmadığı,
İlgili kişinin müvekkil Banka ile imzaladığı bireysel bankacılık hizmetleri sözleşmesine istinaden kredi kullandığı, kredi sözleşmesi kurulurken kimlik, adres, telefon ve maaş bilgilerini rızası ile paylaştığı,
Kullandığı kredinin taksitlerini vadenin dolmasına ve akabindeki ihtara rağmen yerine getirmekten kaçındığı için hakkında takip kararı alındığı; çıkarılan ödeme emrinin adresinde bulunamadığı için Adres Kayıt Sistemindeki adres Mahalle Muhtarlığına; Tebligat Yasasının 21 inci maddesi gereğince tebliğ edildiği, süresinde itiraz olunmadığından takibin kesinleştiği, dosyanın derdest olduğu,
Takibin üzerinden 5 yılı/60 ayı aşkın süre geçmesine ve aleyhindeki yasal takibe rağmen şikayetçinin aldığı krediyi ödemekten kaçınması ve bundan rahatsızlık duymaması; ancak gönderilen borç hatırlatma mesajından rahatsızlık duymasındaki samimiyetin düşündürücü olduğu; ayrıca söz konusu SMS’lerin, ilgili kişinin kendisini telefondan arayarak bizzat bilgi istemesi üzerine rızası ile gönderildiği,
5 yıllık süreçte farklı telefon numaraları üzerinden kendileriyle iletişime geçen ve aradığı değişik hatlar nedeni ile sistemde adına birden fazla bağlantı numarası olan şikayetçinin güncel bilgi talebi sonrasında sistemde kayıtlı numaralarına 27.11.2018 günü SMS gönderilmesini şikayet etmesinin hakkın kötüye kullanılması olduğu, – T.C. kimlik numarasına göre abonelik sorgulaması yapıldığında; beyanın doğruluğunun anlaşılacağı ve şikayetçi adına hayatın olağan akışına aykırı sayıda GSM hattı olduğunun ortaya çıkarılabileceği,
Şikayetçinin dilekçesine yazmakla birlikte alenileştirdiği T.C. kimlik numarasına göre telefon operatörlerinin borç sorgulama sayfasına girildiğinde; adına toplam 16 adet hat olduğunun görüldüğü, hatırlatma mesajının gönderildiği hat ve Cumhuriyet Savcılığında ifade verirken bildirdiği hat dikkate alındığında adına kayıtlı 18 hat bulunduğu,
07.04.2016 tarihli Resmi Gazetede yayımlanmasına ve avukat olmasına karşın ancak hakkında yapılan şikayet üzerine inceleme fırsatı bulduğu 6698 sayılı Kişisel Verilerin Korunması Kanunundan kamuoyunun henüz haberdar olmadığı; toplumda “kişisel veri” ve bunun korunmasına ilişkin bilincin oluşması için ilgililer tarafından yapılması gerekli çalışmaların yeterli olmadığı,
Kamuoyunun, 6698 sayılı Kanunu son yıllarda kanun koyucu tarafından ihdas olunan ve uygulaması artık yerleşen 6502 sayılı Tüketicinin Korunması Hakkında Kanun, 4054 sayılı Rekabetin Korunması Hakkındaki Kanun, 6112 sayılı Radyo ve Televizyonların Kuruluşu Hakkındaki Kanun, 5411 sayılı Bankacılık Kanunu, 6325 sayılı Hukuk Uyuşmazlıklarında Arabuluculuk Kanunu, Enerji Piyasası Düzenlenme Kanunu ve benzeri kanunlar kadar içselleştirmiş olmadığı,
Müeyyideleri oldukça ağır bu Kanuna ilişkin bilgilendirme ve uygulamaların zaman içerisinde Kurum Başkanı ve mensupları tarafından kamuoyuna aktarılacağı muhakkak olsa da; bu sürecin henüz tamamlanmadığının bir vakıa olduğu,
“Kanunu bilmemek mazeret sayılmaz” ilkesi genel bir kural olsa da; hukuk sistemimize tamamen yabancı ve uygulama için geçiş süresi tanınan bu Kanun ve onun uygulayıcısı Kurumun konulara daha toleransla yaklaşması gerektiği, Kuruma ait web sayfasında yayımlanan kararların sayısı ve içeriğinin bu iddiayı doğrulayacak istikamette olduğu,
Nitekim; Kurulun “Veri Sorumluları Siciline Kayıt Yükümlülüğü”ne ilişkin 27.12.2019 tarih ve 2019/387 sayılı süre uzatım kararından; kendi hukuk büroları statüsünde olanların; sicile kayıt zorunluluk süresinin 30.09.2020 tarihine ötelendiği,
Konunun Kurumun görev/inceleme alanından çıktığı, şöyle ki, 6698 sayılı Kişisel Verilerin Korunması Kanununun (3071 sayılı yasaya atıfta bulunan) 15 inci maddesinin (2) numaralı fıkrasındaki “Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesinde belirtilen şartları taşımayan ihbar ve şikayetler incelemeye alınamaz” şeklindeki düzenlemenin belirttiği üzere 01.11.1984 gün 3071 sayılı yasanın madde 6(b) fıkrası gereğince; yargı mercilerinin görevine giren konularla ilgili dilekçelerin istisna kabul edilerek yasanın kapsamı dışına bırakıldığı,
Şikayet dilekçesinin kapsamından da anlaşılacağı üzere; şikayetçinin aynı konuda aynı gerekçelerle 29.11.2018 tarihinde Cumhuriyet Başsavcılığına başvurarak şikayetçi olması sonucu; Adalet Bakanlığından alınan soruşturma izni ile “özel hayatın gizliliğini ihlal etmek, kişilerin huzur ve sükununu bozmak” suçlarından hakkında 2019/3709 sayılı evrak üzerinden yürütülen soruşturmanın devam ettiği, vaki şikayet üzerine konunun yargıya intikal etmiş olduğu ve soruşturmanın devam ettiği dikkate alındığında konunun kurumun görev/kapsama alanından çıktığı,
Nitekim bu hususun Kurulun 24.12.2018 gün ve 2018/156 sayılı kararında, “… şikayete konu iddiaların Türk Ceza Kanunu hükümleri uyarınca suç unsuru barındırdığı ve bunların da bireysel suç niteliğinde olduğu, bu kapsamda ilgili kişi tarafından da konunun yargıya intikal ettirilmiş olduğu dikkate alındığında, söz konusu başvurunun Kanun kapsamında değerlendirilemeyeceğine ……” denilmek suretiyle açıkça ifade edildiği,
Bu yüzden dosyanın; konu hakkında karar verilmesine yasal olanak bulunmadığı gerekçesi ile kapatılmasının gerektiği,
USULE İLİŞKİN OLARAK

Başvuru yolunun henüz tüketilmediği,

info@… adresine gönderildiği iddia edilen e-postadan 02.01.2019 tarihinde değil ancak Kurumun savunma talep ettiği yazının tebliğ günü olan 16.12.2019 tarihinde haberdar olunduğundan; 6698 sayılı Kişisel Verilerin Korunması Kanununun 14/2 maddesindeki “…. 13. madde uyarınca başvuru yolu tüketilmeden şikayet yoluna başvurulamaz…” hükmü karşısında; bu konu ile ilgili şikayetin cevap verilmediği takdirde 17.01.2020 tarihinden itibaren yapılabileceği ve ilgiliye de 13.01.2020 tarihinde yasal süre içerisinde yanıt verildiği gözetilerek; henüz başvuru yolu tüketilmediği için yersiz şikayetin reddine karar verilmesi gerektiği,
Şikayetin süresinde yapılmadığı, Şikayetçinin 02.01.2019 tarihinde gönderildiğini iddia ettiği e-postanın gönderilme günü ile Kuruma şikayet dilekçesi verdiği 06.02.2019 tarihi arasında 1 ay 4 gün yani 34 günlük sürenin geçtiği; 6698 sayılı Kişisel Verilerin Korunması Kanununun 14/1 maddesindeki “…. Başvuruya cevap verilmemesi hallerinde; ilgili kişi veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz gün içinde Kurula şikayette bulunabilir ………….” şeklinde düzenleme dikkate alındığında; 30 günlük yasal süre içinde başvuruda bulunmadığı anlaşılan şikayetçinin usulsüz başvurusunun reddine kadar verilmesi gerektiği,
Şikayetin reddedilmiş sayılması gerektiği, Kurumun; uymak zorunda olduğu varoluş yasasının 15 inci maddesinin (4) numaralı fıkrasındaki “….. şikayet üzerine kurul talebi inceleyerek ilgililere bir cevap verir. Şikayet tarihinden itibaren 60 gün içerisinde cevap verilmezse talep reddedilmiş sayılır….” şeklindeki düzenleme göz önüne alındığında; Şikayet dilekçesinin Kuruma verildiği 06.02.2019 tarihi ile Kurumun inceleme kararı verdiği 01.10.2019 tarihi arasında 7 ay 25 gün geçtiği ve yasal 60 günlük süre içerisinde şikayetçiye cevap verilmediği anlaşıldığından; talebin reddedilmiş sayılması gerektiği,
ESASA İLİŞKİN OLARAK, Verinin işlenmesinin açık rızaya dayandığı,
Şikayetçi ile Banka arasında sözleşme düzenlenirken şikayetçinin rızasıyla kimlik, adres, telefon ve maaş bilgilerini paylaşmış olduğu ve bunların banka kayıtlarına işlendiği,
Kredi sözleşmesinde öngörülen vadenin dolmasına ve akabinde çekilen ihtara rağmen geri ödemesi gerçekleştirilmeyen gecikmiş borcun tahsili açısından alacaklı bankanın adına vekalet vermesinin ardından icra takibi aşamasına geçildiği,
Kesinleşen icra takibinin ardından tahsilat aşamaları ilerletilirken; geri ödeme yapmayan borçlunun durumunun sorgulandığı ve müvekkil Bankaya olan ve ödenmeyen borç dışında başka dosyaların da olduğu, şikayetçi hakkında çok sayıda icra takibi bulunduğunun tespit edildiği,
İcra İflas Kanununun temel ilkelerinden birisinin, “Alacağın tahsili için yapılacak işlemlerde borçlunun, borcunu arttıracak giderlerden kaçınılması” ilkesi olduğu; diğer yandan avukatın müvekkilin çıkarlarını gözetmek zorunda olduğu, bu açıdan bakıldığında mezkur dosyada olduğu gibi “bırakınız krediden kaynaklanan alacağını tahsil etme üstüne bir de durmadan icraya gider yatırarak sürekli masraf yapılmasını olabildiğince engellemek” sorumluluğu altında olduğu,
Bu sorumluluğun yasal dayanağını oluşturan Avukatlık Kanununun 35/A maddesinde; “Avukatlar dava açılmadan veya dava açılmış olup da henüz duruşma başlamadan önce kendilerine intikal eden iş ve davalarda, tarafların kendi iradeleriyle istem sonucu elde edebilecekleri konularla inhisar etmek kaydıyla, müvekkilleriyle birlikte karşı tarafı uzlaşmaya davet edebilirler.” hükmünün düzenlendiği,
Metinden de anlaşılacağı üzere; avukatın, müvekkilinin haklarını himaye etmek amacı ile müvekkilinin de rızasını alarak karşı taraf ile iletişime geçebileceği, müvekkil bankanın tarafına sağlıklı iletişim kurma izni ile şikayetçinin borcunu icra takip masrafları ile arttırmaktan ziyade; kendisini Avukatlık Kanununun 35/A maddesi uyarınca uzlaşmaya yani belirli indirimler yaparak borcunu ödemede kolaylık sağlamaya davet etmesinin hukuka uygun olduğu,
Kaldı ki; uzlaşma sağlanmasının alacaklı olan müvekkil bankadan ziyade borçlu şikayetçinin lehine olduğu; zira; borçlu adına kayıtlı tapu ve araçlara haciz şerhi eklenip satış talep edilerek, üzerine kayıtlı tüm mal varlığını satma imkanı kanun nezdinde tarafına verilmişken; bu yola tevessül edilmeyecek kişileri borçları yüzünden daha fazla mağduriyet yaşatmamak adına, hiçbir malın satışı talep edilmeyip iletişim yolu ile borca taksitlendirmeler yaparak tahsilat sağlanmaya çalışıldığı,
Takibin her aşamasında borçlu ile iletişime geçme hak ve imkanının mevcut olduğu; belli bir süre sonra -ki bu dosyada takibin açılmasından 3 yıl yani 36 ay sonra- şikayetçi borçluyu öncelikli olarak telefonla arama ve yanıt verilmediğinden mesaj gönderme sureti ile ilgilisini haberdar etme yönteminin tercih edildiği ve böylelikle İcra İflas Kanunundaki borçlu üzerindeki külfetin gereksiz yere artırılmasını engelleyen amir hükme uygun davranıldığı,
Bu meyanda; genel olarak 5411 sayılı Bankacılık Kanunu ve 6098 sayılı Türk Borçlar Kanununun hükümleri çerçevesinde; alacaklı banka ve hukuk bürosu arasında akdedilen vekâlet ilişkisi gereğince alacakların tahsili çalışmalarına devam edildiği; ayrıca Avukatlık Kanununun 35/A maddesindeki yasal yükümlülük dikkate alınarak borçlulara ödemede sağlanacak kolaylıkların ve borcun ödenmemesi halinde karşı karşıya kalınabilecek hukuki risklerin bildirilmesi açısından SMS gönderilmesi yönteminin uygun olacağının düşünüldüğü,
– Devlet memuru olan şikayetçinin; maaş ve diğer sosyal haklarına ve aracına, iş yerine icra dairesi aracılığıyla sürekli haciz talebi gönderilmesinin mi, yoksa uzun aralıklarla telefonundan aranması veya SMS gönderilmesinin mi çıkarına olacağının, hangi durumda kişinin itibar güvenilirliğinin sarsılacağının Kurulun takdirinde olduğu,
Derdest olan dosyada; İcra Müdürlüğü’nün borçlunun verilerini işlemiş olması dikkate alınarak; üstelik arandığında görüşmeyi kabul ederek onaylaması ve bilgi talep etmesi üzerine ödemede sağlanacak kolaylıklar ve ödenmemesi halinde karşılaşabileceği hukuki risklerin SMS ile şikayetçi borçluya bildirildiği,
Şikayetçi borçlunun; banka ile bireysel kredi sözleşmesi imzalanırken veri işlemeye gösterdiği rızanın açık olduğu ve bu anlamda hukuka uygun olduğu,
Ayrıca Kanunun geçiş hükümlerini düzenleyen; Geçici 1 inci maddesinin (3) numaralı fıkrasında yer verilen “Ancak bu kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması halinde, bu kanuna uygun kabul edilir” şeklindeki hüküm dikkate alındığında bu süre içerisinde aksine beyanda bulunduğunu kanıtlayamayan şikayetçinin rızasının devam ettiğinin kabul edilmesi gerektiği,
Bu bağlamda şikayet hakkının bulunmadığı ve yersiz şikayetin reddine karar verilmesi gerektiği,
Kanunun 5 inci maddesinin 2 numaralı fıkrasının (e) bendi dikkate alındığında; işlenen veri açısından şikayetçi borçlunun açık rızasına da gerek bulunmadığı,
Şikayetçi borçlunun, bu verinin işlenmesine dair Banka ile imzalanan sözleşme sırasında verdiği ve tanınan bir yıllık geçiş süreci içinde de geri almadığı rızasına istinaden, geciktirilen geri ödeme nedeni ile alacağını tahsil etmek isteyen bankanın cebri icrada bulunabilmesi yani sözleşmeden doğan alacak hakkını kullanabilmesi için icra dosyasında borçlunun verilerinin işlenmesinin zorunlu olduğu,
Nitekim bu hususun Kurulun 31.05.2019 tarih ve 2019/159 sayılı kararında, “…. Şikayetçinin ilgili bankalardan kullanmış olduğu kredi borçlarının yeni alacaklısı olması, bu kapsamda 6098 sayılı kanunun 186. maddesi çerçevesinde borçlunun önceki alacaklılara karşı borcunu ifa etmesinin engellenmesi ve taraflarınca şikayetçiye sağlanacak kolaylıklar ile borcun ödenmemesi durumunda şikayetçinin maruz kalabileceği hukuki risklerin bildirilmesi amacıyla işlenmiş olmasının 6698 sayılı Kanunun 5 inci maddesinin (2) numaralı fıkrasının (e) bendi kapsamında şikayetçinin açık rızası olmaksızın gerçekleşebilir olması nedeniyle veri sorumlusu hakkında yapılacak bir işlem bulunmadığına…” denilmek suretiyle açıkça ifade edildiği,
Rıza var kabul edildiğinden şikayetin reddine karar verilmesi gerektiği,
Verilmiş rızaya dayanarak işlenen verinin; 6698 sayılı Kişisel Verilerin Korunması Kanununun çizdiği çerçeve içinde kalınarak kullanılması halinde; hukuka aykırılıktan söz etmenin mümkün olmadığı,
Müvekkil bankanın bireysel kredi sözleşmesinden doğan meşru alacağını tahsil edebilmek amacıyla icra müdürlüğü tarafından işlenmiş veri kullanılarak, şikayetçi-borçluya üstelik kendi talebi ile SMS gönderilmesinin hukuka uygun olduğu,
Hiçbir şekilde ikrar anlamına gelmemek kaydıyla, 27.11.2018 tarihinde borçluya ait olduğu düşünülen hatlara, tek seferde yalnızca bir SMS gönderildiği,
Bu durumun, işlenmiş verinin, yasal ve somut bir alacağı tahsil edebilme amacı ile ölçülü ve sınırlı bir şekilde kullanıldığını yani Kanunda aranan dürüstlük kurallarına uyulduğunu ispatladığı,
Sonuç olarak gönderilen SMS’lerin, meşru temelli, makul sayıda ve ölçülü içerikte olup dürüstlük kuralları gözetilerek iletildikleri anlaşılacağından yersiz şikayetin reddine karar verilmesi gerektiği,
Şikayetçinin aradan geçen 5 yıllık sürede farklı GSM hatlarından büroyu birden fazla kez aradığı ve kendisi ile çok sayıda görüşme gerçekleştirildiği,
Ofis çalışanları tarafından, işin doğasına uygun olarak gelen aramaların ilgili kişinin bilgisine işlenmekte olduğu ve gerekli zamanlarda bu numaradan ulaşıldığı,
Şikayet dilekçesinde, ekran çıktıları sunulan hatların bu tipten olabileceği gibi, sıkça rastlanan şekilde borçluların; hukuk bürosunu arkadaşlarına ait hatlardan aramaları veyahut nadiren de olsa ekonomik durumları hakkında kendilerine referans olacak arkadaşlarının numaralarını bildirmeleri yüzünden kayıtlarına girebildiği,
Bireysel kredi sözleşmesinde şikayetçi borçlu dışında buna kefalet veren biri olmadığından, yani meslektaşlarından veya ağabeyinden borcu hukuken tahsil etme şansı bulunmadığından; adı geçenlere SMS göndermekte (yapılan masrafın dışında) bir çıkarları olmadığı, bu açıdan bakıldığında adı geçenlere kasıtlı olarak SMS gönderildiğini iddia etmenin abesle iştigal olduğu, yegane amaçlarının borçluya ulaşmak ve onu bilgilendirmek olduğu; mesaj atılan iş arkadaşlarının ve ağabeyinin kullandığı cep telefonlarını araştırarak bulma ve SMS gönderme gibi özel bir kasıtla hareket edilmediği,
Yukarıda da açıklandığı üzere, T.C. kimlik numarasına göre abonelik araştırıldığında, hayatın olağan akışına aykırı sayıda GSM hattının adına kayıtlı olduğundan şüphe duyulan şikayetçinin, ofis arkadaşlarına ait hatlardan araması veyahut ekonomik durumu hakkında referans olmaları için meslektaşlarının numaralarını bildirmiş olmasının kuvvetle muhtemel olduğu,
Ayrıca GSM hattının adına kayıtlı kişi dışında, aile fertlerinden bir başkası tarafından kullanılmasına Türkiye’de sıkça rastlandığının gözden kaçırılmaması gerektiği,
Ofislerinde, …Takip Sistemi ve 118 80 bilinmeyen numaralar ile internet üzerinden herkesin kolaylıkla ulaşabildiği kimlik, adres ve telefon bilgileri sorgulayan…. dışında program kullanılmadığı, bu hususta yerinde inceleme yapılmasının da mümkün olduğu,
Kurumumuzun yazısı ekinde gönderilen “Veri Sorumlusu Tanıtım Formu”nun 30.09.2020 tarihine kadar yasal süresi içerisinde doldurularak “Veri Sorumluları Siciline Kayıt Yükümlülüğü”nün yerine getirileceği
belirtilerek, konunun yargıya intikal etmiş olması, usule ilişkin itirazları, Kurul aksi kanaatte ise esasa ilişkin açıklamaları dikkate alınarak yersiz olarak nitelendirdiği şikayetin reddedilmesi talep edilmiştir. Avukatın savunmasında ayrıca, şikayetçinin T.C. kimlik numarasına göre adına kayıtlı cep telefonu aboneliklerinin olanak varsa sorgulanması yoksa iletişim şirketlerine yazı yazılması; bu minvalde 01.11.2018 – 31.12.2018 tarihleri arasında adına kayıtlı hattı arayanlar listesinin de GSM şirketinden getirtilmesi ve yapılacak incelemede değerlendirilmesi Kurumumuzdan talep edilmiştir.

Öte yandan, inceleme süreci devam ederken ilgili kişiden alınan ek beyanda, Kurumumuzun savunma istemesinden sonra şikayet ettiği veri sorumlusu avukat tarafından kendisine iletilen cevapta şahsına ait bir çok numaranın olduğu ve kişisel verilerini içeren mesajların atıldığı numaraların kendisine ait olduğunu düşündüğü ve bu amaçla bilgilendirme amaçlı mesaj attıklarını iddia ettiği, şahsına ait tüm hat dökümlerini abonelik başlangıç ve bitiş tarihleri ile tarafımıza sunduğu, kişisel verilerinin paylaşıldığı tarihte şahsına ait tek bir hattın olduğunun görüleceği; kişisel verilerinin banka ile yapmış olduğu sözleşme kapsamında alenileştirilmiş olduğu açıklamasının doğru olmadığı; mesaj atılan numaraların şahsına ait olduğunu düşündüğünü belirtmiş olmasına rağmen yazısı ekinde sunulan ekran görüntülerinden anlaşılacağı üzere ve Savcılıkta ifade veren iş arkadaşlarına gönderilen mesajlarda o dönem beraber görev yaptığı bir başka iş arkadaşının borç bilgilerinin de paylaşılmış olduğunun görülebileceği, hukuk bürosu çalışanları, söz konusu mesaj atılan numaraların şahsına ait olduğunu düşünüyor ise diğer kişinin borç bilgilerini neden aynı numaralara mesaj gönderdiklerinin sorgulanması gerektiği belirtilmiştir.

Bahse konu şikayet başvurusu ve ek beyanlar, ilgili kişinin iddiaları, veri sorumlusundan alınan bilgi ve belgeler ve ilgili mevzuat hükümleri çerçevesinde değerlendirilmesi neticesinde Kişisel Verileri Koruma Kurulunca alınan 28.05.2020 tarih ve 2020/429 sayılı Kararda aşağıdaki değerlendirmelere yer verilmiştir.

Şikayete konu olayda, bankaya borcu olan ve bu borca ilişkin işlemlerin yürütülmesini teminen kişisel verileri banka tarafından avukata aktarılan ve avukat tarafından kişisel verileri işlenen şikayetçinin “ilgili kişi”, Banka adına icra işlemlerini yürüten ve bu işlemle ilgili olmak üzere ilgili kişinin kişisel verilerini işlemesi gereken avukatın “veri sorumlusu”, ilgili kişinin bankaya olan borcunu tahsil edebilmek için avukat tarafından ilgili kişinin iletişim bilgileri ve diğer ilgili bilgilerinin işlenmesi eyleminin ise “veri işleme faaliyeti” olduğu değerlendirilmektedir. Diğer yandan Kanunda, kişisel veriler sınırlı sayma yöntemi ile belirlenmemiş, bir verinin kişisel veri olması için belirli ya da belirlenebilir gerçek kişiye ilişkin olma kriteri getirilmiştir. Bu bağlamda, ilgili kişinin ağabeyine ve iş arkadaşlarına gönderilen mesajın içeriği incelendiğinde, ilgili kişinin açık adını, borçlu olduğu bankayı ve icra dosyası borcuna ilişkin bilgileri ihtiva eden kısa mesajın, ilgili kişiye ait kişisel veri niteliğindeki bilgileri içerdiği anlaşılmaktadır.

Usule İlişkin Değerlendirme

Veri sorumlusunun iddiası, ilgili kişinin 02.01.2019 tarihli e-postasından haberdar olunmadığı, şikayetin varlığından Kurumumuzun bilgi belge talebi yazısı ile haberdar olunduğu, bu durumda ilgili kişiye cevap verme süresinin Kurumumuz yazısının tebellüğ tarihinden itibaren başladığı yönündedir. Ancak, Kanunun 13 üncü maddesinin (2) numaralı fıkrası, “Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır” hükmünü amir olup, bu hükümde belirtilen 30 günlük sürenin Kurum yazısının tebellüğ tarihinden başlaması mümkün değildir.

Usule ilişkin bir diğer iddia, e-posta tarihinin 02.01.2019, Kurula şikayet tarihinin 06.02.2019 olduğu, bu durumun ise Kanunun 14 üncü maddesinin (1) numaralı fıkrası hükmüne uygun olmadığı yönündedir. Bilindiği üzere, Kanunun “Kurula şikâyet” başlıklı 14 üncü maddesi, “Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.” hükmünü amirdir. Şikayete konu olayda başvuruya cevap verilmediği için başvurudan itibaren 60 günlük süre kuralı geçerli olacaktır ki, ilgili kişinin Kurumumuza başvurusu, veri sorumlusuna başvuru tarihinden sonra 34 üncü günde yapılmış olup, Kanunda belirlenen 60 günlük yasal süre içerisinde yapılmış bir başvurudur.

Son olarak, veri sorumlusu şikayetin üzerinden uzun zaman geçmiş olduğunu belirtmekte ve Kanunun 15 inci maddesinde yer alan “….. şikayet üzerine Kurul talebi inceleyerek ilgililere bir cevap verir. Şikayet tarihinden itibaren 60 gün içerisinde cevap verilmezse talep reddedilmiş sayılır….” hükmüne dayanarak şikayetin reddedilmiş sayılmasını talep etmektedir. Ancak, Kurumumuzun 03.04.2019 tarih ve 4485 sayılı yazısı ile, konuya ilişkin incelemenin sürdüğü ve sonuçlanmasını müteakip tarafına bilgi verileceği hususu ilgili kişiye tebliğ edilmiş olup, bu bilgilendirmenin yapılması hususunda Kanunun ilgili maddesinde belirtilen süre gözetilmiştir. Ayrıca, dosyaya ilişkin alınan 2019/293 sayılı ilk Kurul Kararı da ilgili kişiye tebliğ edilmiş olup, dosyanın safahat bilgileri ilgili ile paylaşılmıştır.

Bu değerlendirmeler ışığında, veri sorumlusunun usule ilişkin itirazlarının reddedilmesi kanaatine varılmıştır.

Esasa İlişkin Değerlendirme

Kanunun 5 inci maddesi, kişisel verilerin işlenme şartlarını düzenlemekte olup, maddenin (1) numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği hüküm altına alınmış, (2) numaralı fıkrada ise, kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için veri işlemenin zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaati için veri işlenmesinin zorunlu olması hallerinde ilgili kişinin açık rızası olmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükme bağlanmıştır.

Somut olayda, veri sorumlusu bir avukat olup, vekili olduğu Banka adına, Bankanın haklarını ve menfaatlerini korumak amacıyla hareket ettiği, bu anlamda Avukatlık Kanunundan kaynaklanan yükümlülükleri ve yürütmekte olduğu icra işlemleri bakımından İcra İflas Kanunu ve ikincil mevzuat düzenlemelerinden kaynaklanan hukuki yükümlülüklerini yerine getirmek amacıyla borçluya ait bilgileri, kanuna uygun olarak işleme ve ilgili birim/mercilere bildirme yetkisi olduğu ve bu bağlamda işlediği kişisel verileri Kanunun 5 inci maddesinin (2) numaralı fıkrası çerçevesinde ilgili kişinin açık rızası olmaksızın işlemesinin kanuna uygun olduğu değerlendirilmektedir.

Ancak Kanun hükümleri gereğince açık rıza aranmaksızın işlenecek kişisel verilerin borçluya ait olması gerekmektedir. Bu kapsamda ne banka ile ne de avukat ile bağı olan ve bahse konu icra işlemine konu kişisel verisi bulunmayan ilgili kişinin ağabeyi ve iş arkadaşlarının telefon numaralarının işlenmesi ve akabinde şikayetçi ilgili kişiye ait kişisel verilerin bu üçüncü kişilere ifşası Kanunun 5 inci maddesinin (2) numaralı fıkrası hükümleri kapsamında gerçekleştirilebilecek bir kişisel veri işleme faaliyeti değildir. Somut olayda Avukat tarafından ilgili kişiye ait borç bilgilerinin ağabeyi ve iş arkadaşlarına kısa mesaj olarak gönderilmesi eylemi bakımından, ilgili kişinin ağabeyinin ve iş arkadaşlarının telefon numarasının hangi surette elde edildiği ve bu telefon numaralarının işlenmesinde Avukatın hangi hukuki gerekçeye dayandığının da değerlendirilmesi gerekmektedir. Avukat tarafından yapılan savunmada, şikayetçinin süreç içerisinde farklı GSM hatlarından büroyu birden fazla kez aradığı ve kendisi ile çok sayıda görüşme gerçekleştirildiği, ofis çalışanları tarafından, işin doğasına uygun olarak gelen aramaların ilgili kişinin bilgisine işlenmekte olduğu ve gerekli zamanlarda bu numaradan ulaşıldığı, şikayet dilekçesinde, ekran çıktıları sunulan hatların bu tipten olabileceği gibi, sıkça rastlanan şekilde borçluların; hukuk bürosunu arkadaşlarına ait hatlardan aramaları veyahut nadiren de olsa ekonomik durumları hakkında kendilerine referans olacak arkadaşlarının numaralarını bildirmeleri yüzünden kayıtlarına girebildiği şeklindeki açıklamasının, söz konusu üçüncü kişilerin telefon numaralarının avukat tarafından işlenmesi bakımından Kanunun 5 inci maddesi kapsamında bir dayanak teşkil etmeyeceğinden, ilgili kişinin ağabeyi ve iş arkadaşlarının telefon numarasının avukat tarafından işlenmesi suretiyle kısa mesaj gönderilmesinin hukuka uygun olmadığı kanaatine varılmaktadır.

Ayrıca, veri sorumlusunun savunmasında, borçluya ait olduğu düşünülen telefon hatlarına aynı gün, yani 27.11.2018 tarihinde tek seferde yalnızca bir SMS gönderildiği belirtilmektedir. İlgili kişinin iş arkadaşlarının Cumhuriyet Başsavcılığında verdikleri ifadelerde kendilerine 27.11.2018 tarihinde SMS gönderildiği belirtilmekle birlikte, ilgili kişinin ağabeyi tarafından verilen ifadenin ekinde yer alan ekran görüntüsü çıktılarında söz konusu SMS’lerin bu kişiye muhtelif tarihlerde pek çok kez gönderildiği anlaşılmaktadır. Diğer yandan, ilgili kişinin iş arkadaşlarının telefon ekran görüntüsünde, ilgili kişi dışında bir başka şahsın borç bilgilerinin de avukata/hukuk bürosuna ait olduğu anlaşılan numaradan bu kişiler ile paylaşıldığı görülmektedir.

Kanunun 12 nci maddesinde yer alan hüküm gereğince veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar.

Veri sorumlusu avukat tarafından, ilgili kişinin ağabeyi ve iş arkadaşlarının telefon numaralarının varsayımlara dayanan ve tam olarak ispatlanamayan bir şekilde elde edilmesi, akabinde şikayetçi ilgili kişiye ait borç bilgilerinin yani kişisel verilerin bu numaralarla paylaşılması Kanun hükümlerine aykırılık teşkil etmekte olup, bu suretle veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önleme, kişisel verilere hukuka aykırı olarak erişilmesini önleme ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmediği kanaatine varılmaktadır.

Öte yandan, veri sorumlusu avukatın savunmasında, ilgili kişinin hayatın olağan akışına aykırı şekilde fazla sayıda telefon hattı aboneliğine sahip olduğu belirtilerek, bu durumun, ilgili kişinin dilekçesine yazmak suretiyle alenileştirdiği T.C. kimlik numarası kullanılarak GSM operatörlerinin borç sorgulama sayfalarından tespit edildiği belirtilmiş ve bu sorgulamalara ilişkin internet sayfası çıktıları da savunmaya eklenmiştir. Öncelikle, veri sorumlusu avukatın görevi gereği edindiği veya ilgili kişinin veri sorumlusu avukata başvurmak amacıyla kendisine bildirmiş olduğu kişisel verilerin alenileştirilmiş veri olduğunu söylemek mümkün değildir. Kişisel Verilerin Korunması Kanununa İlişkin Uygulama Rehberinde de belirtildiği üzere, alenileştirmeden söz edilebilmesi için ilgili kişinin alenileştirme iradesinin bulunması ve ayrıca verinin alenileştirme amacı dışında kullanılmaması gerekmektedir. Ancak, avukatın başka bir vesile ile işlediği kişisel verileri kullanarak ilgili kişinin GSM aboneliklerini ve borçlarını sorgulaması bu bağlamda değerlendirilemeyecektir. Diğer yandan, bilindiği üzere, Kanunun genel ilkeler başlıklı 4 üncü maddesinde, kişisel verilerin işlenmesinde uyulması gereken ilkeler düzenlenmiş olup, maddenin (2) numaralı fıkrasında kişisel verilerin işlenmesinde “(c) belirli, açık ve meşru amaçlar için işleme, (ç) işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine uyulması gerektiği hükme bağlanmıştır. Veri sorumlusunun icra işlemlerinde kullanmak üzere edindiği veya ilgili kişi tarafından kendisine bildirilen T.C. kimlik numarasını kullanarak GSM hattı sorgulaması yapmak suretiyle ikinci bir hukuka aykırı veri işleme eylemine sebebiyet verdiği değerlendirilmektedir.

Kanuna uyum konusunda genel değerlendirme

Veri sorumlusu avukat tarafından Kurumumuza iletilen savunmada, 6698 sayılı Kanun ve uygulamalarına ilişkin yanlış tespit ve değerlendirmeler olduğu anlaşılmış olup, bu hususta genel bir değerlendirme yapılması gereği hasıl olmuştur.

Kanunun kamuoyu tarafından bilinmediği, içselleştirilmediği şeklindeki açıklamaya karşılık olarak, Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarihinde yürürlüğe girmiş; geçiş hükümleri Kanunun Geçici 1 inci maddesinde düzenlenmiştir. Geçici 1 inci maddenin (3) numaralı fıkrasında “Kanunun yayımı tarihinden önce işlenmiş kişisel verilerin Kanunun yayımı tarihinden itibaren iki yıl içinde Kanuna uygun hale getirileceği belirtilmek suretiyle uyum için gerekli süre de hüküm altına alınmıştır. Söz konusu iki yıllık geçiş süresinin 7 Nisan 2018 tarihi itibari ile dolduğu dikkate alındığında, içinde bulunduğumuz tarih itibariyle, mesleği gereği mevzuat konularına hakim olması gereken veri sorumlusu avukatın söz konusu açıklamasının kabul edilebilir olmadığı değerlendirilmektedir.

Öte yandan, Kurulca alınan karar sayısının az olduğu değerlendirmesine karşılık olarak, Kurul tarafından alınan her Kararın değil, sadece yayımlanmasına Kurulca karar verilen Kararların, Kanunun 12 nci maddesinin (5) numaralı fıkrası ile yine Kanunun 23 üncü maddesinin (5) numaralı fıkrası hükümlerine istinaden yayımlandığını belirtmekte fayda görülmektedir.

Öte yandan, veri sorumlusu avukat, Kurumun savunma talebi yazısı ekinde matbu olarak tüm veri sorumlularına iletilen Veri Sorumlusu Tanıtım Formunu doldurmamış, savunmasında yasal süre olan 30.09.2020 tarihi itibariyle formun doldurulacağı ve VERBİS’e kayıt yükümlülüğünün yerine getirileceğini belirtmiştir. Bilindiği üzere, Kanunun “Veri Sorumluları Sicili” başlıklı 16 ncı maddesinin (2) numaralı fıkrasında Kurul tarafından Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebileceği düzenlenmiş olup, söz konusu hükmün verdiği yetki çerçevesinde Kurul tarafından alınan 02.04.2018 tarih ve 2018/32 sayılı Karar uyarınca “19/3/1969 tarihli ve 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar” VERBİS’e kayıt yükümlülüğünden istisna tutulmuştur. Bu anlamda, veri sorumlusunun bir avukat olduğu dikkate alındığında, avukatlık mesleği dışında bir veri sorumluluğu bulunup bulunmadığı ve VERBİS’e kayıt yükümlülüğü olup olmadığı tarafınca ayrıca değerlendirilmelidir.

Öte yandan, veri sorumlusunun savunmasında, ofislerinde kullandıkları bazı yazılımlardan söz edilmekte olup, bu hususta Kurul tarafından alınan “Hukuka Aykırı Olarak Elde Edilen Veriler Üzerinden Vatandaşların Kimlik ve İletişim Bilgileri Gibi Kişisel Verilerinin Sorgulanmasına İmkân Tanıyan Yazılım/Program/Uygulamalara Yönelik” 18/10/2019 tarihli ve 2019/308 sayılı İlke Kararının veri sorumlusunca dikkate alınması gerektiği değerlendirilmektedir.

Bu minvalde, veri sorumlusu avukatın savunmasında 6698 sayılı Kanun ve uygulamalarına ilişkin yer alan yanlış tespit ve değerlendirmeler dikkate alındığında, Kanuna uyum konusunda azami dikkat ve özenin gösterilmesi hususunda veri sorumlusunun talimatlandırılmasının uygun olacağı sonucuna ulaşılmıştır.

Konunun yargıya intikal etmiş olmasına ilişkin değerlendirme

Gerek ilgili kişi tarafından sunulan belgeler gerek veri sorumlusu avukatın savunması ve sunduğu belgeler, konunun ilgili kişi tarafından yargıya intikal ettirilmiş olduğunu göstermektedir. 1136 sayılı Avukatlık Kanununun “Soruşturmaya yetkili Cumhuriyet Savcısı” başlıklı 58 inci maddesinde, “Avukatların avukatlık veya Türkiye Barolar Birliği ya da baroların organlarındaki görevlerinden doğan veya görev sırasında işledikleri suçlardan dolayı haklarında soruşturma, Adalet Bakanlığının vereceği izin üzerine, suçun işlendiği yer Cumhuriyet savcısı tarafından yapılır” hükmü düzenlenmiş olup, avukat hakkındaki işlemin bu hüküm çerçevesinde yürütüldüğü anlaşılmaktadır. Ancak, ilgili Cumhuriyet Başsavcılığı tarafından hazırlanan Adalet Bakanlığı Ceza İşleri Genel Müdürlüğünü muhatap fezlekenin “Netice ve Kanaat” bölümünde avukatın “kişilerin huzur ve sükununu bozma, görevi kötüye kullanma ve özel hayatın gizliliğini ihlal suçlarını işlediği hususunda yeterli şüpheye ulaşıldığı” ifadesi yer almakta olup, avukatın savunması ekinde de görüleceği üzere söz konusu suçlar arasında kişisel verilere ilişkin suçlar bakımından bir değerlendirmeye gidilmemiş olup, bu anlamda şikayete konu eylemde hukuka aykırı bir kişisel veri işleme faaliyeti olduğu değerlendirildiğinden konunun Kurulun görev ve yetki alanında olduğu sonucuna varılmaktadır. Ayrıca, ilgili kişinin ağabeyinin ve kendisiyle aynı yerde ikamet eden iş arkadaşlarının iletişim bilgilerinin kaydedilmesi ve bu kişilere SMS gönderilmesi şeklinde gerçekleşen kişisel veri işleme faaliyeti bakımından konunun yargıya intikal etmediği ve bu hukuka aykırı kişisel veri işleme faaliyetinin de Kurulun yetki ve görev alanında bulunduğu dikkate alındığında söz konusu şikayete ilişkin yapılan inceleme neticesinde Kurul tarafından Kanunda yer alan müeyyidelerin uygulanmasının önünde bir engel olmadığı değerlendirilmektedir.

Sonuç olarak,

Bankaya olan borcuna ilişkin bilgilerin, icra işlemlerini yürüten avukat tarafından kendisi gibi kamu sosyal tesisinde konaklamakta olan iş arkadaşlarına ve ağabeyine SMS aracılığıyla gönderilmesi üzerine, ilgili avukatlık bürosuna başvuran ancak bir cevap alamayan ilgili kişinin şikayetinin incelenmesi neticesinde;

1. Veri sorumlusunun usule ilişkin itirazlarının yersiz olması nedeniyle reddedilmesine,

2. Veri sorumlusu avukat tarafından, ilgili kişinin ağabeyi ve iş arkadaşlarının telefon numaralarının varsayımlara dayanan ve tam olarak ispatlanamayan bir şekilde elde edilmesi, akabinde şikayetçi ilgili kişiye ait borç bilgilerinin yani kişisel verilerin bu numaralarla paylaşılmasının; ayrıca ilgili kişinin T.C. kimlik numarası kullanılmak suretiyle GSM aboneliklerinin ve borçlarının sorgulanmasının Kanun hükümlerine aykırılık teşkil ettiği, bu suretle kişisel verilerin hukuka aykırı olarak işlenmesini önleme ve kişisel verilere hukuka aykırı olarak erişilmesini önleme yükümlülüğünü yerine getirmediği ve genel ilkelere aykırı hareket ettiği dikkate alındığında, veri sorumlusunca yürütülen veri işleme faaliyetinin Kanunun 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil etmesi nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca hakkında 125.000 TL idari para cezası uygulanmasına,

3. Veri sorumlusu avukatın savunmasında 6698 sayılı Kanun ve uygulamalarına ilişkin yer alan yanlış tespit ve değerlendirmeler dikkate alındığında, Kanuna uyum konusunda azami dikkat ve özenin gösterilmesi hususunda talimatlandırılmasına

karar verilmiştir.

23.06.2020: “Ülkemizde temsilciliği bulunan bir yabancı bankanın 6698 sayılı Kanun kapsamında veri sorumlusu sayılıp sayılmayacağı ve Veri Sorumluları Siciline kayıt yükümlülüğü hakkındaki görüş talebi” “Ülkemizde temsilciliği bulunan bir yabancı bankanın 6698 sayılı Kanun kapsamında veri sorumlusu sayılıp sayılmayacağı ve Veri Sorumluları Siciline kayıt yükümlülüğü hakkındaki görüş talebi” ile ilgili olarak Kişisel Verileri Koruma Kurulunun 23.06.2020 tarihli ve 2020/471 sayılı Karar Özeti
Karar Tarihi : 23/06/2020
Karar No : 2020/471
Konu Özeti : Ülkemizde temsilciliği bulunan bir yabancı bankanın, verdiği hizmetler kapsamında kişisel verilerin işlenmesi bakımından 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca veri sorumlusu statüsünü taşıyıp taşımayacağı ve Sicile kayıt yükümlülüğü hakkında

Kurumumuza iletilmiş olan; hizmet verdikleri tüzel kişiler bünyesinde çalışan gerçek kişilere ait kişisel verileri işlemekte olan ve ülkemizde temsilciliği bulunan bir yabancı bankanın, yürüttüğü bu işleme faaliyetleri sebebiyle 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) göre veri sorumlusu sıfatını haiz olup olmayacağı ve Veri Sorumluları Siciline (Sicil) kayıt yükümlülüğünün bulunup bulunmadığı hususundaki görüş talebinin Kişisel Verileri Koruma Kurulunca değerlendirilmesi neticesinde verilen kararın özetine aşağıda yer verilmektedir.

Bankacılık Düzenleme ve Denetleme Kurulunun iznine bağlı olarak açılabilen ve Bankacılık Düzenleme ve Denetleme Kurumunun resmi internet sitesinde bir liste halinde yayımlanan yabancı bankaların Türkiye temsilciliklerinde, 01/04/2008 tarihli ve 26834 sayılı Resmi Gazetede yayımlanan Türkiye’de Açılan Temsilciliklerin Faaliyetlerine İlişkin Usul ve Esaslar Hakkında Tebliğin “Yasaklar” başlıklı 9 uncu maddesinin birinci fıkrası uyarınca bağlı bulunulan banka veya bir başka banka veya finansal kuruluş adına mevduat veya katılım fonu kabul edilememekte, kredi kullandırılamamakta veya 5411 sayılı Bankacılık Kanununun 4 üncü maddesinde belirtilen diğer bankacılık faaliyetleri gerçekleştirilememektedir.

Öte yandan, anılan Tebliğin “Faaliyetlerin kapsamı” başlıklı 4 üncü maddesinde temsilciliklerde bağlı bulunulan banka adına, bankanın ve sunduğu hizmetlerin tanıtımı, Türkiye’de kurulu kredi kuruluşları veya finansal kuruluşlarla olan ilişkilerin güçlendirilmesi, piyasa araştırması yapılması ve toplanan bilgilerin merkeze raporlanması faaliyetlerinin yürütülebileceği düzenlenmiştir.

Görüş talebinde bulunan bankanın, sağladığı finansman hizmetleri kapsamında Türkiye’de mukim ilgili kişilerin kişisel verilerini işlediği anlaşılmaktadır. Bu kapsamda, mezkûr bankanın temsilciliğinin ülkemizde gerçekleştirdiği faaliyetler, bu bankanın bankacılık faaliyetleri çerçevesinde gerçekleştirdiği kişisel veri işleme faaliyetlerinden ayrı tutulamayacaktır. Zira, anılan Tebliğin 4 üncü maddesinde de belirtildiği üzere temsilciliğin, bankanın sunduğu hizmetler hakkında ülkemizde tanıtım faaliyetlerinde bulunması ve piyasa araştırması yaparak bağlı bulunduğu bankaya elde ettiği bilgileri aktarması mümkündür. Bu etkinliklerin, yurt dışında yerleşik bankanın faaliyetlerine katkı yapacağı açıktır. Bu sebeple, temsilciliğin faaliyetlerinin bankanın kişisel veri işleme faaliyetleri ile sıkı bir bağlantı içerisinde olduğunun kabul edilmesi gerekmektedir.

Aynı doğrultuda Avrupa Veri Koruma Kurulunun Genel Veri Koruma Tüzüğünün (GVKT) yer bakımından uygulama kapsamına ilişkin 3/2018 sayılı Kılavuz İlkelerinde de, örneğin üçüncü ülkede yerleşik bir şirketin tanıtım ve piyasa araştırması ile ilgili faaliyette bulunan bir ofisinin Birlik sınırları içerisinde yerleşik olması ve bu ofisin faaliyetlerinin veri sorumlusu sıfatını haiz üçüncü ülkede yerleşik şirketin gelirlerini arttırmasını sağlaması halinde GVKT hükümlerinin yurt dışında yerleşik veri sorumlusunun kişisel veri işleme faaliyetlerine uygulanacağı ifade edilmiştir.

Diğer taraftan, temsilciliği aracılığıyla ülkemizdeki sürekli mevcudiyeti karşısında, bankanın yurtdışında yerleşik olması ve bütün kişisel veri işleme faaliyetlerini yurtdışında gerçekleştirdiği gerekçesiyle bu veri işleme faaliyetleri bakımından Kanunun uygulama alanı bulmayacağının kabulü Kanunun amacıyla bağdaşmayacaktır.

Özellikle kişisel veri işleme süreçlerinin şeffaf bir biçimde yürütülmesine yönelik olarak Kanunun 16 ncı maddesinde öngörülen Sicile bildirim ve kayıt yükümlülüğü ile, ilgili kişilerin kişisel verileri üzerinde en üst düzeyde kontrolünün sağlanmasının amaçlandığı göz önünde bulundurulduğunda yurtdışında yerleşik veri sorumlusu bankanın işleme faaliyetleri bakımından Kanuna tabi olması gerektiği ve bu kapsamda Sicile kayıt yükümlülüğünün bulunduğu değerlendirilmektedir.

Ayrıca belirtmek gerekir ki, 30.12.2017 tarihli ve 30286 sayılı Resmi Gazetede yayımlanan Veri Sorumluları Sicili Hakkında Yönetmeliğin 5 inci maddesinin birinci fıkrasının (b) bendinde ülkemizde yerleşik olmayan veri sorumlularının kişisel veri işlemeye başlamadan önce temsilcileri vasıtasıyla Sicile kaydolmak zorunda oldukları hükme bağlanmıştır.

Öte yandan, Kurulun 24/01/2019 tarihli ve 2019/10 sayılı Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin Kararında da “Veri ihlalinin yurtdışında yerleşik veri sorumlusu nezdinde yaşanması halinde, bu ihlalin sonuçlarının Türkiye’de yerleşik ilgili kişileri etkilemesi ve ilgili kişilerin sunulan ürün ve hizmetlerden Türkiye’de faydalanmaları durumunda, bu veri sorumlusu tarafından da aynı esaslar çerçevesinde Kurula bildirimde bulunulmasına (…) karar verilmiştir.” ifadesine yer verilmiştir.

Yukarıda yer verilen açıklamalar doğrultusunda Kişisel Verileri Koruma Kurulunca yapılan değerlendirme sonucunda;

kişisel verilerin korunmasını isteme hakkının Anayasanın 20 nci maddesinin üçüncü fıkrasında düzenlenmiş bir temel hak ve özgürlük olduğu,
veri koruma düzenlemelerinin yer bakımından uygulama alanının belirlenmesinde, bireylere en üst düzeyde ve en geniş kapsamda korumayı sağlayan bir yaklaşımın benimsenmesi gerektiği,
görüş talebinde bulunan yabancı bankanın temsilciliği vasıtasıyla ülkemizdeki sürekli mevcudiyeti
hususları göz önünde bulundurulduğunda, mezkûr bankanın kişisel veri işleme faaliyetleri açısından 6698 sayılı Kanunun uygulama alanı bulacağına ve bu kapsamda söz konusu yabancı bankanın veri sorumlusu sıfatını haiz olduğuna ve Sicile kayıt yükümlülüğünün bulunduğuna karar verilmiştir. 07.05.2020: “İlgili kişiye ait Medula Eczane çıktılarının eczacının eşi tarafından kullanılması hakkında” “İlgili kişiye ait Medula Eczane çıktılarının eczacının eşi tarafından kullanılması” hakkında Kişisel Verileri Koruma Kurulunun 07/05/2020 Tarihli ve 2020/355 Sayılı Karar Özeti
Karar Tarihi : 07/05/2020
Karar No : 2020/355
Konu Özeti : İlgili kişiye ait Medula Eczane çıktılarının eczacının eşi tarafından kullanılması suretiyle İl Sağlık Müdürlüğüne dilekçe sunulması hususunda Kuruma intikal eden ihbar başvurusu

İl Sağlık Müdürlüğü tarafından Kişisel Verileri Koruma Kurumuna yapılmış olan ihbarda özetle;

İl Sağlık Müdürlüğüne verilen bir dilekçede, dilekçe sahibinin “bir eczacının sağlık problemleri nedeniyle bu mesleği icra edecek bilgi, beceri yeteneğine sahip bulunmadığı, bu nedenle yeni adresinde eczane açılmasına izin verilmemesinin halk sağlığı açısından da yararlı olacağı” hususlarını beyan ederek dilekçe ekinde de şikayet ettiği eczacı adına tanı ve ilaç bilgilerinin bulunduğu Medula Eczane çıktılarına yer verdiği,
Dilekçe sahibinin eşinin eczacı olduğu göz önünde bulundurulduğunda, ilgili kişiye ait Medula Eczane çıktılarına eşinin eczanesinden ulaşılmış olacağı güçlü bir ihtimal olduğundan veri sorumlusu konumunda bulunan eczane hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gerekli değerlendirmenin yapılmasını teminen konunun Kişisel Verileri Koruma Kurumuna bildirilmesinin mütalaa edildiği
belirtilmiştir.

İlgili kişiye ait Medula Eczane çıktılarının, dilekçe sahibinin eşinin eczanesinden alınarak kullanılması hakkındaki ihbar başvurusunun incelenmesi neticesinde

İhbara konu olan Medula Sisteminin, Sağlık Hizmeti Sunucularının Faturalarının İncelenmesine ve Bedellerinin Ödenmesine İlişkin Usul ve Esaslar Hakkında Yönetmelik’te sağlık hizmeti kullanım verisi toplamak ve bu verilere dayanarak faturalama işlemini gerçekleştirmek amacıyla Sosyal Güvenlik Kurumu (SGK) tarafından uygulanan ve işletilen elektronik bilgi sistemi olarak tanımlandığı,
Medula Eczanenin ise, Genel Sağlık Sigortası hak sahiplerinin SGK ile sözleşmeli eczanelerden almış oldukları ilaçlara ait reçete bilgilerinin SGK tarafından belirlenmiş kurallara uygunluğunu on-line olarak denetleyerek elektronik ortamda kayda alınmasını ve faturalanmasını sağlayan bir bilgi teknolojileri servisi olduğu,
SGK ile sözleşmeli olan eczanelerin bu sistemi kullanmaya yetkili olduğu, kişilerin T.C. kimlik numaraları ile sisteme giriş yaparak kişilere ait hem kişisel verilere hem de özel nitelikli kişisel verilere erişebildikleri göz önünde bulundurulduğunda eczacıların Medula sistemi kapsamında veri işleme faaliyetinde bulunabildikleri
değerlendirilmiş, Sosyal Güvenlik Kurumu’ndan alınan bilgiler doğrultusunda ise ihbara konu Medula Eczane çıktılarının şikayet sahibinin eşinin eczanesinden alındığı tespit edilmiş olup, Kurulun 07/05/2020 tarihli ve 2020/355 sayılı Kararı ile;

Kanunun 4 üncü maddesinin (2) numaralı fıkrasında kişisel verilerin işlenmesinde uyulması zorunlu ilkelerin “a) hukuka ve dürüstlük kurallarına uygun olma, b) doğru ve gerektiğinde güncel olma, c) belirli, açık ve meşru amaçlar için işleme, ç) işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, d) ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” şeklinde düzenlendiği,

Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı

Kanunun 6 ncı maddesinin (2) numaralı fıkrasında özel nitelikli kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (3) numaralı fıkrasında “Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.” hükümlerinin düzenlendiği,

Öte yandan, Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin (1) numaralı fıkrasında veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğunun hükme bağlandığı dikkate alınarak;

Dilekçe sahibinin İl Sağlık Müdürlüğünü muhatap dilekçesi eki Medula Eczane çıktılarını eşinin eczanesinden temin ettiği dikkate alındığında Eczanenin SGK ile yaptığı sözleşme çerçevesinde kullandığı Medula sistemine üçüncü kişilerin erişimini önlemek üzere gerekli güvenlik tedbirlerini almadığı dolayısıyla Eczane hakkında Kanunun 12 nci maddesinin (1) numaralı fıkrasına muhalefet etmesi nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 60.000 TL idari para cezası uygulanmasına,
İl Sağlık Müdürlüğüne yaptığı başvurusunda ilgili kişiye ait Medula eczane çıktılarına yer veren eczacının eşi hakkında ise ilgili kişiye ait verileri ele geçirerek kullanması sebebiyle Türk Ceza Kanununun 136 ncı maddesinde belirtilen “Verileri hukuka aykırı olarak verme veya ele geçirme” suçunun oluştuğu kanaatine varıldığından bu kişi hakkında savcılığa ihbaren bildirimde bulunulmasına
karar verilmiştir. 30.04.2020: “Kurumumuza Bir Şahıs Tarafından Vekaleten İntikal Ettirilen Usulen Eksik Nitelikteki Çok Sayıda Başvuru Hakkında”

Kurumumuza Bir Şahıs Tarafından Vekaleten İntikal Ettirilen Usulen Eksik Nitelikteki Çok Sayıda Başvuru Hakkında Kişisel Verileri Koruma Kurulunun 30/04/2020 Tarihli ve 2020/325 Sayılı Karar Özeti
Karar Tarihi : 30/04/2020
Karar No : 2020/325
Konu Özeti : Bir şahıs tarafından Kurumumuza vekaleten intikal ettirilen usulen eksik nitelikteki çok sayıda başvuru hakkında değerlendirme

Kurumumuza bazı ilgili kişiler adına bir şahıs tarafından vekaleten, bazı ilgili kişiler tarafından ise asaleten intikal ettirilen aynı biçim, içerik ve adres bilgisine sahip çok sayıda başvuruda özetle; 01/01/2018 tarihinde çıkarılan Avrupa Uyum Yasaları içerisinde “Otomatik Bilgi Paylaşımı” adı altında 116 ülke ile anlaşmalar yapıldığı ve bu anlaşmalar içinde Türkiye’nin de yer aldığı, bununla birlikte 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 9’uncu maddesinde açıkça kişisel verilerin ilgili kişilerin açık rızası alınmadan yurtdışına aktarılamayacağının hükme bağlandığı ifade edilerek adına başvuru yapılan kişilerin özel bilgilerinin Avrupa ülkeleri ile paylaşılmasından tedirgin olmalarından ötürü dilekçelerinin dikkate alınması ve ilgili kişilerin emeklilikleri hakkında kendileri ve vekil tayin ettiği kişiler dışında kimseye bilgi verilmemesi talep edilmiştir.

Söz konusu her bir başvuruya cevaben, Kurumumuzca Kanun kapsamında inceleme yapılabilmesi için Kanun’un “Veri Sorumlusuna Başvuru” başlıklı 13’üncü maddesinin (1) numaralı fıkrasındaki, “İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir” hükmü gereği öncelikli olarak veri sorumlusuna başvurulması gerektiği; Kanun’un “Kurula Şikâyet” başlıklı 14’üncü maddesinde ise, “Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir. (2) 13 üncü madde uyarınca başvuru yolu tüketilmeden şikâyet yoluna başvurulamaz.” hükümlerine yer verildiği ve bu çerçevede Kanun kapsamındaki taleplerine ilişkin ilgili kişilerin emeklilik hakkındaki kişisel verileri açısından öncelikli olarak veri sorumlusu niteliğini haiz T.C. Aile, Çalışma ve Sosyal Hizmetler Bakanlığı Sosyal Güvenlik Kurumuna başvurmaları gerektiğinin açıklanmasına rağmen, gerek vekaleten gerek iletişim bilgisi olarak vekalet verilen şahsın iş adresi belirtilmek suretiyle diğer gerçek kişilerce imzalı aynı içerikteki usulen eksik nitelikteki başvuruların Kurumumuza gönderilmesine ısrarla devam edilmiştir.

Bu kapsamda, başvurulara cevaben iletilen yazılarımız dikkate alınmaksızın aynı nitelikteki başvuruların Kurumumuza gönderilmesine devam edilmesi sebebiyle vekaleten başvuruda bulunmaya devam eden şahsı muhatap yazımızda, kamu idaresinin yersiz ve boş yere meşgul edilmesine sebebiyet veren ve dilekçe hakkının kötüye kullanılmasını teşkil eden bu nitelikteki yazıların Kurumumuza gönderilmemesi gerektiği, aksi halde yargı yoluna başvurulacağı belirtildiği halde usulü şartlar tamamlanmaksızın aynı nitelikte başvuruların Kurumumuza gönderilmeye devam edildiği görülmüştür.

Anayasamızın “Dilekçe, Bilgi Edinme ve Kamu Denetçisine Başvurma Hakkı” başlıklı 74’üncü maddesinde, “Vatandaşlar ve karşılıklılık esası gözetilmek kaydıyla Türkiye’de ikamet eden yabancılar kendileriyle veya kamu ile ilgili dilek ve şikayetleri hakkında, yetkili makamlara ve Türkiye Büyük Millet Meclisine yazı ile başvurma hakkına sahiptir. Kendileriyle ilgili başvurmaların sonucu gecikmeksizin, dilekçe sahiplerine yazılı olarak bildirilir…” düzenlemesi yer almaktadır. Bu kapsamda, dilekçe hakkının nasıl kullanılacağı 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun ile düzenlenmektedir.

Öte yandan, 4271 sayılı Türk Medeni Kanunu’nun “Dürüst Davranma” başlıklı 2’nci maddesi, “Herkes, haklarını kullanırken ve borçlarını yerine getirirken dürüstlük kurallarına uymak zorundadır. Bir hakkın açıkça kötüye kullanılmasını hukuk düzeni korumaz.” hükmünü haizdir. Söz konusu hüküm, bir kamu düzeni kuralı olarak ele alınan ve genel olarak bir hakkın açıkça öngörüldüğü amaç dışında ve başkalarını zarara sokacak şekilde kullanılması olarak açıklanabilecek hakkın kötüye kullanılmasının hukuk düzenince himaye edilmeyeceğini ifade etmektedir. Bu bağlamda, 3071 sayılı Kanun’da öngörülen dilekçe hakkının kullanılma usulü ile 6698 sayılı Kanun’da öngörülen şikayet başvurusu usulünün amacına açıkça aykırı olan ve Kurumumuzun başvuruyu gereği gibi değerlendirmesini engelleyen davranışlar, başvuru hakkının kötüye kullanılması olarak değerlendirilmektedir.

Bu kapsamda, vekaleten yapılan başvurulara cevaben, gerekli usulü şartı taşımaması sebebiyle incelenemeyeceğinin ve başvuruların öncelikle Sosyal Güvenlik Kurumuna yapılması gerektiği hususunun Kurumumuzca pek çok defa bildirilmesine rağmen, hala ilgili kişiler adına vekaleten başvuruda bulunulmasının, bu başvurular neticesinde vekili olunan kişiler lehine bir durum yaratıyormuş gibi gözükmek suretiyle ilgili kişilerden vekalet sözleşmesi adı altında haksız kazanç sağlanabileceği ve bu durumun da Türk Ceza Kanunu kapsamında suç teşkil edebileceği ve vekaleten başvuruda bulunan şahsın Kurumumuza başvurularını yönlendirmeye devam ettiği hususu göz önüne alınarak; Kurulun 30/04/2020 tarih ve 2020/325 sayılı Kararı ile;

Bugüne kadar Kuruma intikal eden ve Karar tarihi itibariyle cevap verilmemiş vekaleten gönderilen başvurular ve aynı adres üzerinden gelen muhtelif kişilere ait başvurular ile bundan sonra Kuruma intikal edecek bu içerikle benzer nitelikteki diğer başvuruların değerlendirmeye alınmamasına ve konunun vekalet eden kişi açısından ilgili Kurumlara bildirilmesine

karar verilmiştir.

05.05.2020: “Bir bankanın veri ihlal bildirimi hakkında”
Karar Tarihi : 05/05/2020
Karar No : 2020/344
Konu Özeti : Bir bankanın veri ihlali hakkında Karar

 

Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;

  • Bankanın Uyum ve İç Kontrol Grubu tarafından düzenli gerçekleştirilen iç kontrol faaliyetleri kapsamında, 2 ayrı şubesinde toplam 3 personel tarafından, Türkiye Bankalar Birliği Risk Merkezince Bankaya sağlanan bireysel nitelikteki kredi bilgilerini içeren KKB sorgu ekranlarından şüpheli sorgulamaların yapıldığının gözlemlendiği,
  • Bu işlemlerin detaylı incelenmesi talebiyle konunun Teftiş Kurulu Başkanlığına ihbar edildiği,
  • Teftiş Kurulu soruşturması sonucunda; Bireysel Müşteri ilişkileri Yöneticisi, Bireysel Müşteri İlişkileri Yönetici Yardımcısı, İşletme Müşteri İlişkileri Yönetici Yardımcısı unvanlarında çalışan ve olaya sebep olan 3 personelin görev ve iş tanımları gereği KKB sorgulama ekranına yetkileri bulunduğu, ancak söz konusu 3 personelin kendilerine tanımlanan KKB sorgulama yetkilerini Bankanın erişim ve bilgi güvenliği politikalarına aykırı şekilde amacı dışında kullandığı,
  • Banka müşterisi olmayan toplam 7.706 kişinin bireysel nitelikteki kredi bilgilerine hukuka aykırı erişildiği,
  • 3 personelin söz konusu sorgulamalara konu olan kişilerin TCKN’lerini şahsi telefonları üzerinden üçüncü kişi/kişilerden temin ettikleri, personelin söz konusu verileri bankanın sistemlerini kullanarak aktardığına ilişkin bir bulgu olmadığı ancak şahsi telefonları üzerinden elektronik haberleşme programları kullanarak Banka dışına aktarmış olabileceği

ifadelerine yer verildiğinden hareketle yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 05.05.2020 tarih ve 2020/344 sayılı Kararı ile;

  • İhlalden 25.288 kişinin etkilendiği, etkilenen kişilerden 17.582’sinin Banka müşterisi olduğu, 7.706 kişinin Banka müşterisi olmadığı dikkate alındığında özellikle Banka müşterisi olmayan kişilere ait KKB sorgulamaları için Banka tarafından zamanında gerekli teknik ve idari tedbirlerin almadığının değerlendirildiği,
  • Kişisel Veri Güvenliği Rehberinde teknik tedbirler arasında yer alan “Kişisel Veri Güvenliğinin Takibi” başlığı altında belirtilen hususların aksine, Bankanın şubelerinden birinde ihlale sebep olan personelin ihlal fiillerinin 10.07.2017 tarihinde başlamasına rağmen; bu ihlal fiilinin 08.07.2019 tarihinde tespit edildiği; benzer şekilde Bankanın başka bir şubesindeki ihlal fiillerinin başlangıç tarihleriyle tespit tarihleri arasında 18 ay gibi oldukça uzun bir süre bulunduğu, bu durumun kişisel veri güvenliği takibi noktasında veri sorumlusu tarafından güvenlik yazılımı mesajlarının, erişim kontrolü kayıtlarının ve diğer raporlama araçlarının düzenli olarak kontrol edilmediğinin göstergesi olduğu,
  • Kişisel Veri Güvenliği Rehberinde idari tedbirler arasında yer alan “Çalışanların Eğitilmesi ve Farkındalık Çalışmaları” başlığı altında ifade edilen, veri sorumlusu nezdinde çalışan herkesin hangi konumda çalıştığına bakılmaksızın kişisel veri güvenliğine ilişkin rol ve sorumluluklarının, görev tanımlarında belirlenmesi ve çalışanların bu konudaki rol ve sorumluluğunun farkında olmasının sağlanması gerektiği, ancak bunun veri sorumlusu tarafından sağlanmadığının görüldüğü,
  • Veri sorumlusu tarafından ihlal öncesi yapılması gereken kullanıcı yetki ve rollerine yönelik kontrollerin ve düzenlemelerin ihlal sonrasında gerçekleştirilmiş olmasının gerekli idari tedbirlerin zamanında alınmadığının göstergesi olduğu,
  • Veri sorumlusu tarafından ihlal öncesi yapılması gereken KKB sorgulama limitlendirilmesi gibi kritik önemi haiz tedbirlerin ihlal sonrasında gerçekleştirilmiş olmasının gerekli teknik tedbirlerin yeterince alınmadığının göstergesi olduğu

dikkate alınarak, Kanunun 12 nci maddesinin (1) numaralı fıkrasına uygun olarak gerekli teknik ve idari tedbirleri almadığı kanaatine varılan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 1.000.000 TL idari para cezası uygulanmasına

karar verilmiştir.

16.04.2020: “Bir oyun şirketinin veri ihlal bildirimi hakkında”
Karar Tarihi : 16/04/2020
Karar No : 2020/286
Konu Özeti : Bir oyun şirketinin veri ihlal bildirimi hakkında karar

 

Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;

  • Oyun şirketinin oyuncu verilerine yasal olmayan yollarla hackerlar tarafından iki farklı yerden hukuka aykırı erişim gerçekleştirildiği,
  • Hackerların, şirketin bulut sistemlerine, belirli olmayan kaynaklardan temin ettikleri kimlik bilgileri kullanarak erişmiş olduğu,
  • Hackerların, oyuncu verilerine erişim sağladıklarının log kayıtlarından tespit edildiği, bu yetkisiz erişimin tespit edilmesinden sonra sistemde oyuncu giriş bilgilerinin değiştirildiği,
  • Türkiye’de ihlalden etkilenen kişi sayısının 39,995 olduğu,
  • İhlalden etkilenen kişi kategorilerinin kullanıcılar olduğu,
  • Etkilenen kişisel verilerin, isim, soy isim, posta kodu, mahalle ve/veya ikamet ettiği şehir, doğum tarihi, e-posta adresi, fotoğraf, oyuncu kullanıcı adı ve şifresi, telefon numarası ve Facebook tanımlayıcısı da dâhil, özel nitelikli olmayan kimlik, irtibat ve konum bilgileri olduğu,
  • Belirtilen verilerin tamamının olayın kapsamına her aşamada dahil olmadığı, örneğin, Türkiye’de yerleşik 39.995 kişi içerisinden 1.527 kişinin telefon numaralarına ve 51 kişinin doğum tarihine erişim sağlandığının düşünüldüğü,
  • Türkiye’de yerleşik kişilere e-posta yoluyla bildirimde bulunulduğu, ifadelerine yer verilmiştir.

ifadelerine yer verilmiştir.

Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 16.04.2020 tarih ve 2020/286 sayılı Kararı ile;

  • Türkiye’de ihlalden etkilenen kişi sayısının 39.995 olduğu,
  • Etkilenen kişisel verilerin, isim, soy isim, posta kodu, mahalle ve/veya ikamet ettiği şehir, doğum tarihi, e-posta adresi, fotoğraf, kullanıcı adı ve şifresi, telefon numarası ve Facebook tanımlayıcısı da dâhil, özel nitelikli olmayan kimlik, irtibat ve konum bilgileri olduğu,
  • Bir bulut sistemi bulunan veritabanına saldırganlar tarafından erişim sağlanmasının yapılan zafiyet testlerin yetersiz olmasının ve gerekli önlemlerin alınmadığının göstergesi olduğu,
  • Veri sorumlusu tarafından ihlal öncesi alınması gereken teknik tedbirlerin (güvenlik ajanının ağ sistemine konuşlandırılması, kötü niyetli IP adreslerinin sistemden engellenmesi, oyuncu hesaplarının yetkisiz erişimlerden korunması için gerekli önlemlerin alınması, hackerlar tarafından kullanılan mekanizmaların ve IP’lerin gözlenmesi için 7×24 gerçek zamanlı gözetleme sistemini de içeren, geliştirilmiş gözetleme ve alarm sistemlerinin faaliyete geçirilmesi) ihlal sonrası devreye alınmasının gerekli teknik ve idari tedbirlerin alınmadığının göstergesi olduğu

hususları dikkate alındığında,

  • Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik tedbirleri almayan Şirket hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 1.000.000 TL,
  • Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” (24.01.2019 tarih ve 2019/10 sayılı Kurul kararında belirtilen 72 saatlik süre içerisinde) bildirimde bulunma yükümlülüğüne aykırı hareket eden Şirket hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL

olmak üzere toplam 1.100.000 TL idari para cezası uygulanmasına

karar verilmiştir.

03.03.2020: “Risk Merkezindeki verilerin muhtelif faktoring şirketleri tarafından ihlal edildiğinin ihbar edilmesine ilişkin”
Karar Tarihi : 03/03/2020
Karar No : 2020/191, 2020/192, 2020/193, 2020/194
Veri Sorumlusu : Muhtelif faktoring şirketleri
Konu Özeti : Risk Merkezindeki verilerin muhtelif faktoring şirketleri tarafından ihlal edildiğine ilişkin ihbar hakkında

 

Kuruma intikal eden ihbarda özetle; sorgu adetlerinde ilgi çekici değişim gözlemlenen Risk Merkezi üyeleri hakkında Risk Merkezi Yönetimi tarafından yapılan inceleme neticesinde, üyelerin bazı çalışanları tarafından Risk Merkezinden yapılan sorgulamaların kanunen yetkili olmayan kişilerle paylaşıldığının ve/veya amaç dışı kullanıldığının tespit edildiği belirtilmiştir. Konu hakkında başlatılan inceleme çerçevesinde;

  • 5411 sayılı Bankacılık Kanununun “Risk Merkezi” başlıklı Ek 1 inci maddesinde;

(1) Türkiye Bankalar Birliği nezdinde, kredi kuruluşları ile Kurulca uygun görülecek finansal kuruluşların müşterilerinin risk bilgilerini toplamak ve söz konusu bilgileri bu kuruluşlar ile gerçek veya tüzel kişilerin kendileriyle ya da onay vermeleri koşuluyla gerçek kişiler ve özel hukuk tüzel kişileri ile de paylaşılmasını sağlamak üzere Risk Merkezi kurulmuştur.

(2) Kredi kuruluşları ile Kurulca uygun görülecek finansal kuruluşlar, Risk Merkezine üye olmak zorundadır. Üye kuruluşlar, Risk Merkezince istenilen, müşterileri ile ilgili her türlü bilgiyi vermekle yükümlüdür. Risk Merkezi, bu yükümlülüğe uymayanlara bilgi akışını durdurmaya yetkilidir.

(…)

(4) Risk Merkezi yönetimi, Risk Merkezinin kuruluş amaçları doğrultusunda özel hukuk tüzel kişileri ile kamu kurum ve kuruluşlarından, kamu kurumu niteliğinde meslek kuruluşları ve bunların üst kuruluşlarından bilgi talep etmeye ve bunlarla Kurulun uygun görüşüne istinaden bilgi alış-verişine yönelik sözleşmeler imzalamaya yetkilidir. Özel hukuk tüzel kişileri ile kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları ve bunların üst kuruluşları Risk Merkezi yönetimi tarafından talep edilen bilgileri vermekle yükümlüdürler. Kredi kuruluşları ile Kurulca uygun görülecek finansal kuruluşların müşterilerinin onay vermesi koşuluyla, Risk Merkezi ile bilgi alış-verişi sözleşmesi imzalayan özel hukuk tüzel kişileri ile kamu kurum ve kuruluşlarına kamu kurumu niteliğinde meslek kuruluşları ve bunların üst kuruluşlarına verilecek, müşterilerin bu kuruluşlar nezdindeki risk bilgileri Kanunun 73 üncü maddesinin dördüncü fıkrası kapsamında değerlendirilir.

(…)

(9) Risk Merkezinin bütün işlem ve kayıtları gizlidir. Sır sahibinin bilgilerinin açıklanması konusunda açık rızasının bulunması durumunda belirlediği kişiye risk bilgileri verilir. Kişinin rızasına dayanan bilgilerin verilmesine ilişkin usul ve esaslar, Kurulun ve Merkez Bankasının uygun görüşü, Türkiye Katılım Bankaları Birliğinin ve Kurulun belirleyeceği kurum ve kuruluşların görüşü alınarak Türkiye Bankalar Birliğince belirlenir ve Resmi Gazetede yayımlanır.

(10) Risk Merkezi nezdinde bulunan sır niteliğindeki bilgileri, bu konuda kanunen yetkili kılınan mercilerden başkalarına açıklayanlar, hukuka aykırı olarak kendisi ya da başkası yararına kullananlar, yayanlar, verenler, aktaranlar veya ele geçirenler hakkında 159 uncu madde hükümleri uygulanır. Bu fıkrada tanımlanan suçların bir tüzel kişinin faaliyeti çerçevesinde işlenmesi halinde, ilgili tüzel kişi hakkında Türk Ceza Kanununun tüzel kişilere özgü güvenlik tedbirlerine hükmolunur.

(11) Risk Merkezi, nezdindeki her türlü bilgi alış-verişini 73 üncü maddenin dördüncü fıkrası uyarınca en az beş banka tarafından kurulmuş şirketler aracılığı ile ve bu şirketlerle yapılacak sözleşmeler çerçevesinde de gerçekleştirebilir.

hükmüne yer verilmiş, bu çerçevede, Risk Merkezi tanımlanarak anılan merkezde yapılacak işlemler, sır saklama yükümlülüğü ve gizlilik gibi hususlara ilişkin ayrıntılar ilgili madde kapsamında düzenlenmiştir.

5411 sayılı Kanun’un 159 uncu maddesi ise sırların açıklanmasına ilişkin düzenlemeleri içermektedir. İlgili hüküm kapsamında;

(1)Bu Kanunun 73 üncü maddesinin birinci ve üçüncü fıkralarında belirtilen yükümlülüğe uymayanlar için bir yıldan üç yıla kadar hapis ve bin günden ikibin güne kadar adlî para cezası hükmolunur. Banka ve müşterilere ait sırları açıklayan üçüncü kişiler hakkında da aynı cezalar uygulanır.

(2) Yukarıdaki fıkrada belirtilen kimseler sırları kendileri ya da başkaları için yarar sağlamak amacıyla açıklamış olursa verilecek cezalar altıda bir oranında artırılır. Ayrıca, fiilin önemine göre sorumluların bu Kanun kapsamına giren kuruluşlarda görev yapmaları, iki yıldan aşağı olmamak üzere geçici veya sürekli olarak yasaklanır.

denilmek suretiyle anılan kanuna aykırı olarak sırları ifşa edenler hakkında ağır yaptırımlar öngörülmüş olup; sırların kendileri ya da başkaları için yarar sağlamak amacıyla açıklanmış olması durumunda da cezaların altıda bir oranında artırılacağı vurgulanmıştır.

Benzer şekilde, 5411 sayılı Kanunun 73 üncü maddesi sır yükümlülüğünü düzenlemektedir. “Sırların saklanması” başlıklı 73 üncü madde;

“ (1) Kurul başkan ve üyeleri ile Kurum personeli, Fon Kurulu başkan ve üyeleri ile Fon personeli görevleri sırasında öğrendikleri bankalara ve bunların bağlı ortaklık, iştirak, birlikte kontrol edilen ortaklıkları ve müşterilerine ait sırları bu Kanuna ve özel kanunlarına göre yetkili olanlardan başkasına açıklayamaz ve kendilerinin veya başkalarının yararlarına kullanamazlar. Kurumun dışarıdan destek hizmeti aldığı kişi ve kuruluşlar ile bunların çalışanları da bu hükme tâbidir. Bu yükümlülük görevden ayrıldıktan sonra da devam eder.

(…)

(3) Sıfat ve görevleri dolayısıyla bankalara veya müşterilerine ait sırları öğrenenler, söz konusu sırları bu konuda kanunen açıkça yetkili kılınan mercilerden başkasına açıklayamazlar. Bu yükümlülük görevden ayrıldıktan sonra da devam eder. (…)

(4) Kurumun gözetim ve denetimine tabi kuruluşların, bunların ortaklarına, bağlı ortaklık, iştirak, birlikte kontrol edilen ortaklıklarının faaliyetlerine veya müşterilerine ilişkin yabancı ülke kanunlarına göre denetime yetkili ve Kurum muadili mercilerin taleplerinin Kurumca karşılanması, gizlilik sözleşmesi yapılması ve sadece belirtilen amaçlar ile sınırlı kılınması koşuluyla bankaların ve finansal kuruluşların, kendi aralarında doğrudan doğruya ya da risk merkezi veya en az beş banka ya da finansal kuruluş tarafından kurulacak şirketler vasıtasıyla yapacakları her türlü bilgi ve belge alışverişinin yanı sıra doğrudan veya dolaylı pay sahipliği yoluyla sermayelerinin yüzde onunu ve daha fazlasını temsil eden paylarının satışı amacıyla muhtemel alıcıların yapacakları değerleme çalışmalarında ya da sermayelerinin yüzde on veya daha fazlasına sahip olan yurt içinde veya yurt dışında yerleşik kredi kuruluşu ile finansal kuruluşlar da dâhil ana ortaklıkların konsolide finansal tablo hazırlama çalışmalarında, risk yönetimi ve iç denetim uygulamalarında veya kredileri de dâhil varlıklarının ya da bunlara dayalı menkul kıymetlerin satışı amacıyla yapılacak değerleme çalışmalarında ya da değerleme, derecelendirme veya destek hizmeti alınması ile bağımsız denetim faaliyetlerinde ve gerekli tedbirlerin alınması kaydıyla hizmet alımlarına yönelik işlemlerde kullanılmak üzere bilgi ve belge taleplerinin karşılanması sırasında banka ya da müşteri sırrı niteliğindeki bilgilerin öğrenilmesi sır saklama yükümlülüğü dışındadır.

hükmünü amirdir. Anılan maddenin dördüncü fıkrasında yer alan hüküm ile sır saklama yükümlülüğünün istisna olduğu durumlar, “sadece belirlenen amaçlar ile sınırlı kılınması koşuluyla” söz konusu olmaktadır. Yani, amacı dışında işlenecek her türlü veri, istisna kapsamı dışında değerlendirilecektir. Nitekim söz konusu ihbara konu olan eylemlerde de ihlale sebebiyet verdiği iddia olunan kişiler, belirtilen amaçlar ile sınırlı kalmaksızın birçok gerçek ve tüzel kişiye ilişkin verilere erişmiş; üstelik bazıları bu verileri de yetkisiz üçüncü kişilere aktarmışlardır. Anılan sebeplerle, söz konusu eylemlerin 5411 sayılı Kanunu da ihlal ettiği değerlendirilmektedir.

  • Benzer şekilde, Türkiye Bankalar Birliği Risk Merkezi Yönetmeliği (Risk Merkezi Yönetmeliği), TBB Risk Merkezinin kuruluşuna, faaliyetine ve çalışmasına, Türkiye Bankalar Birliği Risk Merkezi yönetiminin oluşumuna, toplanmasına ve karar almasına, Türkiye Bankalar Birliği Risk Merkezine verilen bilgilerin kapsam, biçim ve içeriğine ve bunların paylaşılmasına, paylaşılacak bilgilerin kapsam ve içeriğine, ücretlendirilmesine ve üyelerce ödenecek aidatların belirlenmesine ilişkin usul ve esasları düzenlemektedir. Risk Merkezi Yönetmeliği’nin “Tanımlar” başlıklı 3 üncü maddesinin birinci fıkrasının (j) bendi uyarınca üye; “kredi kuruluşları ile Türkiye Bankalar Birliği Risk Merkezine Kurul tarafından üye olması uygun görülen her bir finansal kuruluş” olarak tanımlanmıştır. Bu kapsamda, ihbara konu olan faktoring şirketlerinin her biri üye niteliğini haizdir. Yine, Risk Merkezi Yönetmeliği’nin “Risk Merkezi üyelerinin sorumlulukları” başlıklı 17 nci maddesinin birinci fıkrasının (b) ve (c) bentleri kapsamında üyeler, Risk Merkezi ile gizlilik sözleşmesi yapmak ve Risk Merkezinden temin ettiği her türlü bilgi ve belgenin gizliliğinin sağlanmasına yönelik her türlü önlemi almak ve Risk Merkezinden temin ettiği bilgileri yalnızca kendi iç işlemlerinde kullanmak, diğer üyeler dahil herhangi bir gerçek ve tüzel kişi ile paylaşmamak ile sorumlu tutulmuştur. Ayrıca, “Gizlilik” başlıklı 19 uncu madde uyarınca;

(1) Risk Merkezinin tüm işlem ve kayıtları gizlidir. Risk Merkezinden temin edilen bilgiler yalnızca bilgiyi alan üyenin kendi iç işlemlerinde kullanılabilir, diğer üyeler dahil herhangi bir gerçek ve tüzel kişi ile paylaşılamaz.

(2) Risk Merkezi nezdinde bulunan sır niteliğindeki bilgileri, bu konuda kanunen yetkili kılınan mercilerden başkalarına açıklayanlar, hukuka aykırı olarak kendisi ya da başkası yararına kullananlar, yayanlar, verenler, aktaranlar veya ele geçirenler hakkında Kanunun 159 uncu maddesi hükümleri uygulanır.

hükmü düzenlenmiştir. Bu doğrultuda, Risk Merkezi’nde bulunan sır nitelikli bilgilerin kanunen yetkili kılınan mercilerden başkalarına açıklanması durumunda 5411 sayılı Kanunun 159 uncu maddesinde öngörülen yaptırımların uygulanacağı belirtilmiştir.

Ayrıca, “Türkiye Bankalar Birliği Risk Merkezi Üyelerinin Müşterilerinin Risk Merkezi Nezdindeki Bilgilerinin Kendilerine ya da Onay Vermeleri Koşuluyla Belirledikleri Gerçek veya Tüzel Kişilere Verilmesine İlişkin Esas ve Usuller Hakkında Yönetmelik” kapsamında, TBB Risk Merkezi üyelerinin müşterilerinin TBB Risk Merkezi nezdindeki bilgilerinin, kendilerine ya da onay vermeleri koşuluyla belirledikleri gerçek veya tüzel kişilere verilmesini teminen başvuru ve onay verme sürecine ilişkin esas ve usuller düzenlemektedir. Diğer bir ifade ile, Risk Merkezindeki bilgilerin ne şekilde sorgulanabileceği ve temin edilebileceği hususları da ayrı bir yönetmelik kapsamında düzenlenmektedir.

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Genel ilkeler” başlıklı 4 üncü maddesinde, kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği ve kişisel verilerin işlenmesinde maddede; “a) Hukuka ve dürüstlük kurallarına uygun olma. b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.” şeklinde sayılan ilkelere uyulmasının zorunlu olduğu düzenleme altına alınmıştır. Bu ilkelerden kişisel verilerin “belirli, açık ve meşru amaçlar için işlenme” ilkesi, kişisel veri işleme faaliyetlerinin ilgili kişi tarafından açık bir şekilde anlaşılır olmasını, kişisel veri işleme faaliyetinin hangi hukuki işleme şartına dayalı olarak gerçekleştirildiğinin tespit edilmesini, kişisel veri işleme faaliyetinin ve gerçekleştirilme amacının belirliliğini sağlayacak detayda ortaya konulmasını sağlar. Amacın meşru olması, veri sorumlusunun işlediği verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelmektedir. Bir diğer önemli ilke olan “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması” ilkesine göre, işlenen veriler belirlenen amaçların gerçekleştirilmesine elverişli olmalı, amacın gerçekleştirilmesiyle ilgili olmayan veya sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik veri işleme yoluna gidilmemelidir. Burada önemli olan, amacı gerçekleştirmeye yönelik yeterli verinin temin edilmesi, bunun dışındaki amaç için gerekli olmayan veri işlemeden kaçınılmasıdır. Ölçülülük ilkesi ise, veri işleme ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması yani veri işlemenin, amacı gerçekleştirecek ölçüde olması demektir. Anılan madde hükmünden açıkça anlaşılacağı üzere, kişisel verilerin işlenmesinde her hal ve şartta Kanunun 4 üncü maddesinde sayılan genel ilkelere uyulması hukuki bir gerekliliktir. Kanundaki düzenlemede yer alan “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması” ilkeleri ile 5411 sayılı Kanunun 73 üncü maddesinin dördüncü fıkrasında yer verilen “sadece belirlenen amaçlar ile sınırlı kılınması koşuluyla” şartı benzerlik göstermektedir. Dolayısıyla, somut olay değerlendirilirken anılan kişisel verilerin işlenmesine ilişkin ilkeler özellikle önem teşkil edecektir.
  • Kanunun 3 üncü maddesinin birinci fıkrasının (d) bendi uyarınca kişisel veri; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, (e) bendi uyarınca kişisel verilerin işlenmesi; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi, (ç) bendi uyarınca ilgili kişi; kişisel verisi işlenen gerçek kişiyi, (ı) bendi uyarınca veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişiyi ifade etmektedir. Buna göre, ihbara konu olan faktoring şirketleri veri sorumlusu niteliğini haiz olup ihlal iddiasına konu eylemler bakımından şirket çalışanı kişisel veri işleme faaliyetinde bulunmuştur. Bu veri işleme faaliyetinin de yetki sınırını aşmak suretiyle hukuka aykırı bir şekilde gerçekleştiği değerlendirilmektedir.
  • Kanunun 12 nci maddesinin beşinci fıkrasında ise, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildireceği, Kurulun, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükme bağlanmıştır. Ayrıca, Kurumumuz resmi internet sitesinde yayımlanan 24.01.2019 tarih ve 2019/10 sayılı Kurul kararıyla “en kısa sürede” ibaresinin “72 saat” olarak yorumlanmasına ve bu kapsamda veri sorumlusunun bu durumu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirmesine, veri sorumlusunca söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılmasına karar verilmiştir.

Bu itibarla;

Risk Merkezi üzerinden yapılan sorgu adetlerinde dikkat çekici değişiklik gözlenen Faktoring Şirketleri hakkında Kurulumuza yapılan ihbarın incelenmesi neticesinde, ihbara konu kişisel veri işleme faaliyetlerinde; Kanunun 4 üncü maddesinde sayılan genel ilkelere riayet edilmediği; söz konusu faaliyetlerin Kanunun 12 inci maddesinin birinci fıkrasında düzenlenen kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak yükümlülüklerine aykırılık teşkil ettiği tespit edilmiş ve veri ihlalinin süresi, veri ihlalinden etkilenen kişi sayısı, ihlale ilişkin bildirimde bulunulmaması dikkate alınarak; Kişisel Verileri Koruma Kurulunun 03/03/2020 tarih ve 2020/191, 2020/192, 2020/193, 2020/194 kararları ile söz konusu 4 şirket hakkında

  • Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli tedbirleri almadıkları gerekçesiyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi çerçevesinde toplam 950.000 TL,
  • Kanunun 12 nci maddesinin (5) numaralı fıkrası uyarınca ihlale ilişkin Kuruma ve ilgili kişilere bildirim yapılmadığı gerekçesiyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi çerçevesinde toplam 450.000 TL

idari para cezası uygulanmasına karar verilmiştir.

12.03.2020: “Bir internet servis sağlayıcısının veri ihlal bildirimi hakkında”
Karar Tarihi : 12/03/2020
Karar No : 2020/213
Konu Özeti : Bir internet servis sağlayıcısının veri ihlali hakkında Karar

 

Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;

  • Şirketin müşterilerinin paket değişikliği, fatura ödeme, arıza bildirimi gibi abonelik işlemlerini yapmalarına olanak sağlayan ve kendilerine tanımlanan kullanıcı adı ve şifre ile giriş yapabildikleri bir Online İşlem Merkezi bulunduğu,
  • Şirketin fatura ödeme sisteminde online (çevrimiçi) işlemlerde fatura ödemesi yapılamadığı ve sorunun Şirkete müşteriler tarafından bildirildiği,
  • Müşterinin ödeme yaptığı sırada ekranda “fatura seçilmesi gerektiği” uyarısı belirdiği,
  • Sorun giderilmek üzere çalışma yapılırken bir güvenlik açığının ortaya çıktığı,
  • Güvenlik açığı sebebiyle müşterilerin kredi kartı bilgilerinin üçüncü taraflarca görüntülendiği,
  • İhlalin kök nedeninin uygulamaya bilgi kaydı (log) üreten özelliklerin eklenerek “debug” ile düzeltilmesi girişiminin olduğu,
  • 69 kişiye ait kart bilgisinin 649 adet Şirket müşterisi tarafından görüntülendiğinin tespit edildiği,

ifadelerine yer verilmiştir.

Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 12.03.2020 tarih ve 2020/213 sayılı Kararı ile;

  • Yazılım geliştiricilere sözlü olarak aktarılmış olan değişiklik talebinin test ortamında değil de gerçek ortamda yapılmasının, uygulamada yapılan değişikliklerin canlıya (gerçek/çalışır ortam) alma süreçleri ile ilgili prosedürlerin uygulanmadığının göstergesi olduğu bu durumun ise teknik ve idari tedbir eksikliği olduğu,
  • Test süreçlerinin yetersizliği veri sorumlusunun kendisi tarafından belirtilmiş olup bu durumun uygulama güvenliği açısından veri sorumlusunun gerekli teknik ve idari tedbirleri almadığının göstergesi olduğu,
  • Sistem ara yüzlerinde kişisel verilerin ya hiç gösterilmediğinin ya da maskelendiğinin şirket tarafından belirtilmiş olmasına rağmen müşterilere ait kimlik ve finans verilerinin yapılan hata sonucunda görüntülenebilmesinin teknik bir eksiklik olduğu,
  • Veri sorumlusunun bir veri güvenliği politikasının bulunduğu ancak bu politikanın yürürlük tarihinin veri ihlalinin gerçekleştiği tarihten sonra olduğu 

dikkate alınarak, 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan Şirket hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 300.000 TL idari para cezasının uygulanmasına karar verilmiştir.

27.02.2020: “Amazon Turkey Perakende Hizmetleri Limited Şirketi hakkındaki başvuru ile ilgili”
Karar Tarihi : 27/02/2020
Karar No : 2020/173
Veri Sorumlusu : Amazon Turkey Perakende Hizmetleri Limited Şirketi
Konu Özeti : Amazon Turkey Perakende Hizmetleri Limited Şirketince işlenen kişisel veriler hakkında yapılan başvuru

 

Kurumumuza intikal eden bir ihbar dilekçesinde ve eklerinde özetle;

  • 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun (6563 sayılı Kanun) uyarınca hizmet sağlayıcı ve aracı hizmet sağlayıcı niteliğinde olan www.amazon.com.tr üzerinden yürütülen faaliyetlerin kişisel verilerin korunması mevzuatına uygun olması gerektiği; ancak ilgili site üzerinden yürütülen faaliyetler ile mevzuatın ihlal edildiği,
  • Amazon.com.tr internet sitesi ve bağlı uygulamalar aracılığıyla sunulan hizmetlere ilişkin olarak ne üyelik hesabı oluşturulurken ne de alışveriş yapılırken, reklam, kampanya veya promosyon amacıyla elektronik ticari ileti gönderebilmek için açık rıza alınmadığı, açık rıza dışında bir işleme nedeninin varlığına ilişkin açıklama yapılmadığı,
  • Sitenin “Kullanım ve Satış Şartları” sayfasının girişinde “Amazon Europe Core SARL, Amazon Turkey Perakende Hizmetleri Limited Şirketi ve/veya iştirakleri (“Amazon”), Amazon.com.tr’ yi (internet sayfası) ziyaret ettiğinizde veya burada alışveriş yaptığınızda, Amazon ürünlerini veya hizmetlerini kullandığınızda, mobil Amazon uygulamalarını kullandığınızda veya yukarıdakilerle bağlantılı olarak Amazon tarafından sunulan hizmetleri kullandığınızda (toplu olarak “Amazon Hizmetleri”) size internet sayfası özellikleri ve diğer ürünler ve hizmetler sunmaktadır. Amazon Hizmetleri aracılığıyla kişisel bilgilerinizin nasıl toplandığını ve işlendiğini anlayabilmek adına lütfen Gizlilik Bildirimimizi ve Çerezler Bildirimimizi inceleyin.” ifadesine yer verildiği,
  • Elektronik İletişimler başlıklı birinci maddede “Herhangi bir Amazon Hizmeti’ni kullandığınızda veya masaüstünüzden veya mobil cihazınızdan bize e-postalar, SMS veya diğer iletişimler gönderdiğinizde bizimle elektronik olarak iletişim kurmuş olursunuz. Sizinle, örneğin e-posta, SMS, uygulama içi anlık iletişimler gibi çeşitli şekillerde veya internet sayfasında e-posta mesajları veya iletişimler göndererek veya yayınlayarak veya Mesaj Merkezimiz gibi diğer Amazon Hizmetleri aracılığıyla elektronik olarak iletişim kuracağız. Sözleşmesel amaçlı olarak, bizden elektronik olarak iletişim almaya onay vermektesiniz ve size elektronik olarak temin ettiğimiz tüm sözleşmelerin, bildirimlerin, açıklamaların ve diğer iletişimlerin, uygulanan kanunlar farklı bir iletişim şeklini öngörmediği sürece, söz konusu iletişimlerin yazılı olmasına ilişkin her türlü yasal gerekliliğe uygunluk gösterdiğini kabul etmektesiniz.” ifadesinin kullanıldığı,
  • Bu ifadeler birlikte değerlendirildiğinde, amazon.com.tr sitesini sadece ziyaret eden bir kişinin ilgili hükümleri kabul ettiği ve sadece internet sitesini ziyaret etmekle elektronik olarak iletişim almaya onay verdiği şeklinde bir uygulamaya gidildiğinin görüldüğü,
  • Amazon hizmetini kullanmak suretiyle elektronik iletişime onay vermiş sayılmanın ve bu nedenle kullanıcılara elektronik ticari ileti göndermenin 6698 sayılı Kanunun 5’inci maddesinin 2’inci fıkrasında yer alan “bir sözleşmenin kurulması ve ifasıyla doğrudan doğruya ilgili olması kaydıyla gerekli olma” şeklindeki hukuka uygunluk sebebi kapsamında değerlendirilemeyeceği,
  • Alışveriş yapabilmek için zorunlu olan üye hesabı oluşturulması amacıyla “Kullanım ve Satış Şartları”nı kabul ederek elektronik iletişim izni verilmiş sayılmanın özgür irade ile verilmiş bir açık rıza olarak değerlendirilemeyeceği, nitekim Kişisel Verileri Koruma Kurumu (Kurum) internet sitesinde yer verilen karar özetleri bölümünde, “Açık rızanın Hizmet Şartına Bağlanması” başlığı altında hizmetin açık rıza şartına bağlanmış olmasının açık rızayı sakatlayacağının belirtildiği,
  • amazon.com.tr “Gizlilik Bildirimi” sayfasının “Amazon Kişisel Bilgilerinizi Paylaşıyor mu?” kısmının “Kişisel Bilgilerin Türkiye Dışına Aktarılması” alt başlığı altında “Kişisel bilgilerinizi saklamak ve işbu Gizlilik Bildirimi’nde açıklanan amaçlar çerçevesinde işlemek için Avrupa Birliği’ne ve Avrupa Birliği’nden Amerika Birleşik Devletleri’ne aktarabiliriz.” şeklindeki ifadeden kişisel verilerin yurt dışına aktarıldığının anlaşıldığı; ancak hâlihazırda amazon.com.tr internet sitesi ve bağlı mobil uygulamalar aracılığı ile sunulan hizmetlere ilişkin ne üyelik hesabı oluşturulurken ne de alışveriş yapılırken, kişisel verilerin yurt dışına aktarılması için açık rıza alınmadığı,
  • Yurt dışına aktarıma ilişkin olarak Kurul izni alınmamış ise, herhangi bir açık rıza da alınmadığından 6698 sayılı Kanunun 9’uncu maddesinin ihlal edilmiş olacağı, bunun da Kurulca yapılacak inceleme ile ortaya çıkarılabileceği

ifade edilerek, yukarıda belirtilen hususlar doğrultusunda konunun Kurumumuzca incelenmesi ve gereğinin yapılması talep edilmektedir.

Söz konusu başvuruya ilişkin olarak Kişisel Verileri Koruma Kurulunun 16.05.2019 tarih ve 2019/140 sayılı Kararı ile resen inceleme başlatılmasına karar verilmiş olup, Kurumumuz tarafından 27.06.2019 tarihli dilekçede belirtilen iddialar ile ilgili olarak gerekli incelemelerin yapılabilmesini teminen veri sorumlusundan söz konusu iddialar karşısındaki savunması ve savunmasına esas bilgi ve belgeler istenilmiştir.

Veri sorumlusundan 17.07.2019 tarihinde alınan yazıda ise özetle;

  • Hukuka aykırı olarak ticari elektronik ileti gönderildiğine ilişkin iddiaların dayanaktan yoksun olduğu, herhangi bir kanıtlayıcı belgeye dayanmadığı ve başvuranın söz konusu taleplerini Ticaret Bakanlığına iletmesi gerektiği,
  • Kurulun ticari elektronik iletiler gibi ilke kararlarını ve Kurulun bu alandaki yetkisini kabul etmek ve saygı göstermekle birlikte, konuya ilişkin usul ve esasların münferiden elektronik ticarete ilişkin mevzuat kapsamında düzenlenmiş olduğu, ihbar edenin bu mevzuat kapsamındaki şikayet mekanizmasını kullanmak yerine şikayetini varsayımsal tahminlere dayandırarak Kurumumuza iletmiş olduğu,
  • Amazon Turkey’in, müşterilerinin kişisel verilerini yürürlükteki mevzuata uygun işlemek konusunda şeffaflık sağlamak amacıyla “Kullanım Koşulları” ve “Gizlilik Bildirimi” metinlerini sunduğu,
  • Yalnız hesap oluşturulmasından sonra kayıtlı müşterilerle Amazon ürün ve hizmetlerine ilişkin elektronik iletişim kurulduğu; Amazon hesabı oluşturulduğunda ilgili müşterinin “Amazon Hesabınızı Oluşturun” sekmesine tıklayarak “Gizlilik Bildirimi”ni de kabul ettiği (“Hesap oluşturarak işbu Gizlilik Bildirimi’nde belirtilen uygulamaları kabul etmektesiniz.”); aynı şekilde kayıtlı bir müşteri site üzerinden sipariş verdiğinde kendisine “Gizlilik Bildirimi”nin kabul edildiğine dair tekrar hatırlatma yapıldığı (“Sipariş verdiğinizde Amazon.com.tr’nin Gizlilik Bildirimini, Kullanım ve Satış Koşullarını ve Çerez Bildirimini kabul etmiş olursunuz.”),
  • Amazon Turkey’in ayrıca kayıtlı müşterilerine ticari elektronik ileti almak istedikleri alanları kolayca seçmeleri, sınırlandırmaları veya diledikleri zaman ticari elektronik ileti almayı reddetmeleri için imkan sağladığı,
  • Kayıtlı müşterilerin kişisel verilerinin Türkiye dışına aktarıldığından/aktarılabileceğinden sadece haberdar olmadığı ayı zamanda “Gizlilik Bildirimi”ni onaylayarak bu hususu kabul etmiş olduğu,
  • Amazon Turkey’in yurt dışına veri aktarım taahhütnameleri ile ilgili yazışmaların Kurumumuzla sürdürülmekte olduğu,
  • Yukarıda yer alan açıklamalar ışığında Amazon Turkey’in kişisel verileri yurtdışına hukuka aykırı aktardığı, e-ticaret mevzuatına aykırı hareket ettiği iddialarının asılsız olduğu ve varsayımlara dayandığı

ifade edilerek, ihbarın dayanaktan yoksun olması nedeniyle reddedilmesi gerektiği belirtilmiştir.

Öte yandan, konuya ilişkin olarak Kurumumuza ihbarda bulunan şahsın Ticaret Bakanlığı’na yapmış olduğu Amazon.com.tr uygulamalarının elektronik ticaret ve kişisel verilerin korunması mevzuatı hükümlerine aykırılık teşkil ettiği yönündeki başvurusu Bakanlığın 17.04.2019 tarihli 43541135 sayılı yazısı ile “konunun KVKK çerçevesinde değerlendirilmesi” talebiyle Kurumumuza iletilmiştir.

Kurumumuza intikal eden ihbar, ilgili kişinin iddiaları, veri sorumlusundan alınan bilgi ve belgeler ve ilgili mevzuat hükümleri çerçevesinde aşağıda başlıklar halinde değerlendirilmiştir.

  1. 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 5’inci maddesinin (1) numaralı fıkrası hükmü gereğince kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemezMaddenin (2) numaralı fıkrasında ise, ilgili kişinin açık rızası olmaksızın kişisel verilerin hangi hallerde işlenebileceği düzenlenmiştir.

Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmeliğin 5’inci maddesinin (1)’nci fıkrası hükmü gereğince hizmet sağlayıcının, mal ve hizmetlerini tanıtmak, pazarlamak, işletmesini tanıtmak ya da kutlama ve temenni gibi içeriklerle tanınırlığını artırmak amacıyla alıcıların elektronik iletişim adreslerine gönderdiği ticari elektronik iletiler için kendisi tarafından önceden onay alınır. Onay, reddetme hakkı kullanılıncaya kadar geçerlidir. Bu madde kapsamında alınacak onayın ise yine Yönetmeliğin 7’inci maddesinin (1)’inci fıkrası hükmü gereğince yazılı olarak veya her türlü elektronik iletişim aracıyla alınabilmesi öngörülmüştür. Onayda ise alıcının ticari elektronik ileti gönderilmesini kabul ettiğine dair olumlu irade beyanı, adı ve soyadı ile elektronik iletişim adresi yer alır. Yine bu doğrultuda Yönetmeliğin 12’inci maddesinin (2)’nci fıkrası gereğince kişisel verilerin; üçüncü kişilerle paylaşılabilmesi, işlenebilmesi ve başka amaçlarla kullanılabilmesi için ilgili kişiden önceden onay alınması gerekir.

Kişilerin iletişim bilgilerinin pazarlama amaçlı iletiler göndermeden önce veya en geç elektronik ileti gönderme onayının alındığı sırada işlenmesinin Kanunun 5’inci maddesinde yer alan işleme şartlarından açık rıza kapsamında olduğu değerlendirilmekte olup, ilgili kişilerin açık rızaları veya Kanunun 5’inci maddesinin 2’nci fıkrasında yer alan işleme şartlarından herhangi biri olmaksızın e-postalarına veya telefonlarına iletiler gönderilmesi Kişisel Verileri Koruma Kurulunun 16.10.2018 tarih ve 2018/119 sayılı İlke Kararında da düzenlenerek belirtilen şekilde faaliyette bulunan veri sorumluları hakkında Kanunun 18’inci maddesi kapsamında işlem tesis edileceği hususu belirtilmiştir.

Veri Sorumlusunun iddiası, ticari elektronik iletilerin Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik hükümleri kapsamında değerlendirilmesi gerektiği ve söz konusu mevzuat kapsamında şikayet mekanizmasının Ticaret Bakanlığının sorumluluğunda olduğu, şikayet başvurusunda bulunabilmek için gerekli hususların Kurumumuza intikal ettirilen başvuruda yer almadığı ve bu konudaki sorumluluğun da Kurumumuzda olmadığı yönündedir.

Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmeliğin amacı, 1’inci maddede, “elektronik iletişim araçlarıyla yapılan ticari iletişime dair bilgi verme yükümlülüklerine ve ticari elektronik iletilerde uyulması gereken hususlara ilişkin usul ve esasları düzenlemek” olarak belirlenmiş olup, yönetmeliğin tanımlar başlıklı 4’üncü maddesinde ticari elektronik ileti, “Telefon, çağrı merkezleri, faks, otomatik arama makineleri, akıllı ses kaydedici sistemler, elektronik posta, kısa mesaj hizmeti gibi vasıtalar kullanılarak elektronik ortamda gerçekleştirilen ve ticari amaçlarla gönderilen veri, ses ve görüntü içerikli iletiler” olarak tanımlanmıştır.

Ticari elektronik iletiye ilişkin ayrı bir mevzuat bulunmakla birlikte, telefon numarası, e-posta adresi gibi bilgilerin bir veri kayıt sisteminde depolanması suretiyle kişilere ticari nitelikli iletiler gönderilmesi, bir kişisel veri işleme faaliyetine işaret etmektedir. Dolayısıyla ticari nitelikli bir elektronik iletinin ticari elektronik ileti gönderilmesine ilişkin mevzuata uygun olarak gönderilmesi gerekmekle birlikte, bu mesajların iletilmesi için kullanılan iletişim kanallarının kişisel veri niteliğinde olması nedeniyle ticari elektronik iletilerin gönderilmesi süreçlerinin aynı zamanda kişisel verilerin korunması mevzuatına da uygun olması gerekmektedir. Bu bağlamda, Kurulun konuya ilişkin almış olduğu ilke kararı, ticari elektronik iletilerin gönderilmesine ilişkin değil, kişisel verilerin işlenmesi süreçlerine ilişkin bir karardır.

Somut olayda, veri sorumlusu hakkında Kurumumuza ihbarda bulunan şahıs tarafından Kurumumuzun yanı sıra Ticaret Bakanlığına da başvuruda bulunulmuş olup, Ticaret Bakanlığı söz konusu başvuruyu “kişisel verilerin korunması mevzuatı kapsamında değerlendirilmek üzere” Kurumumuza intikal ettirmiş olup, bu durumun, söz konusu başvurunun kişisel verilerin korunması düzenlemeleri bağlamında ele alınması gerekliliğini ortaya koyduğu değerlendirilmektedir.

Diğer yandan, Kurumumuz tarafından veri sorumlusu şirkete yönelik başlatılan inceleme, Kurumumuza intikal eden ihbarın değerlendirilmesini müteakip, Kanunun 15’inci maddesinin 1 numaralı fıkrasında verilen yetki çerçevesinde Kurulun resen başlatmış olduğu bir incelemedir.

Tarafımızca yapılan incelemede, www.amazon.com.tr sayfasında bir üyelik profili oluşturulmak suretiyle, iletişim bilgisinin pazarlama amaçlı iletiler gönderilmesi amacıyla işlenmesi hususunda ilgili kişilerin açık rızasının alınıp alınmadığı kontrol edilmiş olup, üyelik yapılabilmesi için gerekli bilgilerin girilmesi sırasında herhangi bir açık rıza alınmadığı, üyelik sürecinin tamamlanmasının ardından girilen “Hesabım” sekmesinde “İletişim Tercihleri” bölümünde Genel Ayarlar” başlığında, “e-postalar şu anda ……. E-posta adresine gönderiliyor” açıklamasının yer aldığı, “Promosyon E-postaları” başlığına tıklandığında ise “haberdar olmak istediğiniz tüm iletişim kategorilerini seçin” ifadesine yer verilmekle birlikte, 10 adet başlığın önceden tıklanmış olarak ekranda belirdiği, bu bölümün en altında ise “lütfen bana artık pazarlama e-postaları göndermeyin” kutucuğunun yer aldığı görülmektedir.

Kanunun Tanımlar başlıklı 3’üncü maddesinin 1 numaralı fıkrasının (a) bendinde açık rıza, belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür irade ile açıklanan rıza” olarak tanımlanmıştır. Kanunda yer verilen tanım çerçevesinde veri sorumluları tarafından ilgili kişilerden alınacak açık rıza beyanlarında opt-out yani bireyin önceden onayını almaksızın kişisel verilerinin işlenmesine otomatik onay verdiklerinin kabul edildiği ve kişilere bu onayı kaldırmaları yönünde imkân veren bir sistemin değil, opt-in yani bireyin bilinçli eylemi ile kişisel verilerinin işlenmesine onay vereceği bir sistemin kullanılması gerekmektedir.

Veri sorumlusunca Gizlilik Bildiriminde yapılan açıklamada, “Amazon.com.tr’yi ziyaret ederek işbu Gizlilik Bildiriminde belirtilen uygulamaları kabul etmekte ve onaylamaktasınız” ifadesinin yer aldığı, böylece ilgili kişilerin kişisel verilerinin işlendiğinden sadece haberdar olmadığı ayı zamanda “Gizlilik Bildirimi”ni onaylayarak bu hususu kabul etmiş olduğu iddiası yer almaktadır. Ancak, üyelik oluşturulurken herhangi bir aşamada açık rıza alınması yoluna gidilmediği tarafımızca yapılan incelemede tespit edilmiştir. Gizlilik bildirimindeki ifade, aydınlatma yapılırken aynı zamanda kişilerden açık rıza alınması yoluna gidildiği izlenimini yaratmaktadır. Bilindiği üzere açık rıza dışında işleme nedenlerinin varlığı halinde açık rıza alınması yoluna gidilmesi, dürüstlük kuralına aykırılık şeklinde yorumlandığı gibi, diğer yandan açık rıza gerektiren veri işleme süreçleri bakımından da aydınlatmanın yapılması ile açık rızanın alınmasının birlikte yapılması yürürlükteki mevzuata uygun kabul edilmemektedir. Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin 5’inci maddesinin 1’inci fıkrasının (f) bendinde, kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiği düzenlenmiştir. Bu kapsamda veri sorumlusunca web sitesinde yayımlanan “Gizlilik Bildirimi”, birçok bilgi içermesi, veri işlemeye ilişkin genel bir bilgilendirme olması nedeniyle kişisel verilerin işlenmesine ilişkin ilgili kişilere aydınlatma yapıldığı ve açık rıza alındığı anlamına gelmemektedir.

Bu kapsamda, veri sorumlusunun ilgili kişilerin iletişim bilgilerini işlemek suretiyle ticari elektronik ileti göndermek hususunda ilgili kişilerin açık rızasını almadığı, açık rıza dışında da bir işleme nedenine dayanmadığı dikkate alındığında Kanunun 12’nci maddesinde yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alma yükümlülüğünü yerine getirmediği kanaatine varılmaktadır.

  1. Yine Kanunun 4’üncü maddesinin 2 numaralı fıkrası hükmü gereğince kişisel verilerin işlenmesinde “hukuka ve dürüstlük kurallarına uygun olma”, “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine uyulması zorunludur.

Veri sorumlusu, “Gizlilik Bildirimi” metninde “Belirli bilgileri vermemeyi tercih edebilirsiniz, ancak bu durumda Amazon Hizmetlerinin çoğundan yararlanamazsınız.” ya da “Çerezlerimizi engellerseniz veya reddederseniz alışveriş sepetinize ürün ekleyemez, satın alma aşamasına geçemez veya oturum açmanızı gerektiren herhangi bir Amazon hizmetini kullanamazsınız.” diyerek kişisel verilerin işlenmesini hizmet şartına bağlamaktadır. Kurumumuzun internet sayfasında da yayımlanan kararıda sözleşmenin taraflarına ait kişisel veri işlenmesi durumunda ayrıca açık rıza alınması ve de açık rızayı üyeliğin ve hizmetin dolayısıyla sözleşmenin bir koşulu olarak dayatılmasının; diğer kişisel veri işleme şartlarının varlığı durumunda açık rıza alınmasının ilgili kişinin yanıltılması ve yanlış yönlendirilmesi dolayısıyla veri sorumlusunca hakkın kötüye kullanılması anlamına geleceği ve ayrıca hizmetin açık rıza şartına bağlanmış olmasının açık rızayı sakatlayacağı dikkate alındığında, bu durumun Kanunun 4’üncü maddesinde yer alan hukuka ve dürüstlük kurallarına uygun olma ve işlenme amacı ile bağlı, sınırlı ve ölçülü olma ilkelerine aykırılık teşkil ettiği değerlendirilmektedir.

Amazon.com.tr’nin topladığını beyan ettiği veriler ise şunlardır: “ad, adres, telefon numarası, ödeme bilgileri; yaş; konum bilgisi; satın alımların gönderildiği kişiler; 1-Tık ayarlarında listelenen kişiler (adresler ve telefon numaraları dâhil); arkadaşların ve diğer kişilerin e-posta adresleri; veri sorumlusuna gönderilen değerlendirmelerin ve e-postaların içeriği; profildeki kişisel bilgiler ve fotoğraflar; Amazon hizmetleri ile bağlantılı olarak saklanan resimler ve video, kimlik ve duruma ilişkin bilgiler ve belgeler; kurumsal ve finansal bilgiler; kredi geçmişi bilgileri; KDV numaraları.” İlgili kişinin arkadaşlarının bilgileri, kendisi bakımından kişisel veri olmakla birlikte ayrıca bu bireylere ait birer kişisel veri niteliğini de taşımaktadır. Böylece üye ile Amazon.com.tr arasında bir sözleşmenin ifası veya üyenin açık rızası kapsamında, üyenin temas kişilerine ait e-posta adresleri de bu kişilerin açık rızalarına dayanmaksızın işlenmektedir. Öte yandan “kredi geçmişi bilgileri, duruma ilişkin bilgiler, kurumsal ve finansal bilgiler” Kanunda yer alan genel ilkeler bağlamında değerlendirildiğinde, bu verilerin orantılı ve sınırlı bilgiler olmadığı, işlenen verilerin ilgili kişiler tarafından en azından öngörülebiliyor olması gerekmekte olup veri sorumlusunca “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine aykırı hareket edildiği değerlendirilmektedir.

  1. Kanunun 8 inci maddesinde (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. (2) Kişisel veriler; 5’inci maddenin ikinci fıkrasında, yeterli önlemler alınmak kaydıyla, 6’ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir. (3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” hükmü düzenlenmiştir.

Veri sorumlusunun “Gizlilik Bildirimi” incelendiğinde ‘Amazon Kişisel Bilgilerinizi Paylaşıyor mu?’ başlığı altında açıklanan şekillerde paylaşım yapıldığı belirtilerek son maddede “Yukarıda belirtilenler haricinde, hakkınızdaki kişisel bilgiler üçüncü taraflarla paylaşıldığında, bir bildirim alacaksınız ve bu bilgileri paylaşmamayı seçme şansınız olacaktır.” ifadesine yer verilmiştir. Metinde yer aldığı şekilde ilgili kişinin kişisel verilerini paylaşmamayı tercih etme şansının mümkün olması, ancak ilgili kişinin açık rızasına istinaden verilerinin işlenmesi halinde geçerli olabilecektir. Çünkü Kanunun 8’inci maddesinin 2 ve 3 numaralı fıkraları kapsamında gerçekleştirilen veri aktarımı işlemlerinde ilgilinin açık rızası aranmayacağı gibi (Kanunun 5’inci maddesinin 2 numaralı fıkrası, 6’ncı maddesinin 3 numaralı fıkrası ve diğer kanunlarda öngörülen hallerde yapılan işlemeler), bu durumlarda ilgili kişinin verilerini paylaşmamayı tercih etme şansı da bulunmayacaktır. Öte yandan, açık rızanın en geç aktarma faaliyeti gerçekleştiği sırada alınması lazımdır, bundan sonra alınacak açık rıza mevzuata uygun kabul edilemez. Dolayısıyla, aktarım faaliyetinin gerçekleşmesinden sonra rızanın geri alınabileceğinin söylenmesi kanun lafzının tersine yorumlanması olarak değerlendirilmektedir. Açık rıza alınmadan aktarılan verilerin rıza geri alındıktan sonra akıbetinin ne olacağının bilinmemesi de ayrı bir tartışma konusudur. Dolayısıyla kişisel verilerin aktarılmasına ilişkin gizlilik bildiriminde yer alan muğlak ifadeler, aktarıma ilişkin Kanun hükümlerine aykırı hareket edildiği kanaati uyandırmaktadır.

  1. Kanunun 9’uncu maddesi, “(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. (2) Kişisel veriler, 5’inci maddenin ikinci fıkrası ile 6’ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede; yeterli korumanın bulunması, yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir. (3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.” hükmünü içermektedir.

Yapılan incelemede veri sorumlusunun yurtdışına veri aktarımını sağlamak amacıyla Kurulun onayını almak üzere taahhütname mektuplarını Kurula sunduğu görülmüştür. Ancak Kurulun henüz bu yönde bir karar vermediği ve yeterli korumaya sahip ülkelerin de henüz belirlenmediği değerlendirildiğinde kişisel verilerin yurtdışına aktarılması için tek yöntem ilgilinin açık rızasının alınması olarak değerlendirilmektedir.

Veri sorumlusundan alınan yazıda hali hazırda mevzuata uygun olarak yurtdışına veri aktarım faaliyeti yapıldığı belirtilmiş olsa da “Amazon Hesabınızı Oluşturun” sekmesine tıklayarak “Gizlilik Bildirimi”nin de kabul edildiği (“Hesap oluşturarak işbu Gizlilik Bildirimi’nde belirtilen uygulamaları kabul etmektesiniz.”); aynı şekilde kayıtlı bir müşteri, site üzerinden sipariş verdiğinde kendisine “Gizlilik Bildirimi”nin kabul edildiğine dair tekrar hatırlatma yapıldığı (“Sipariş verdiğinizde Amazon.com.tr’nin Gizlilik Bildirimini, Kullanım ve Satış Koşullarını ve Çerez Bildirimini kabul etmiş olursunuz”) belirtilerek ilgili kişilerin rızasının alındığı veri sorumlusunca iddia edilmekle birlikte, zımni irade beyanı ile onay alınmasının mevzuata uygun kabul edilemeyeceği değerlendirilmektedir. Kanun çerçevesinde açık rıza, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile ya da karşı taraftan gelen istek üzerine, onay vermesi anlamını taşımaktadır. Açık rıza, ilgili kişinin, işlenmesine izin verdiği verinin sınırlarını, kapsamını ve süresini de belirlemesini sağlayacaktır. Belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki açık rızalar “battaniye rızalar” olarak kabul edilmekte ve hukuken geçersiz sayılmaktadır. Bu kapsamda “Gizlilik Bildirimi”ne onay verildiği yönünde yapılacak bilgilendirme ile “veri işleme” kapsamına giren bütün fiillerin (çerezlerle izleme, aktarma, paylaşma, depolama vb.) tek bir rıza beyanı ile onaylanmasının hukuka uygun olmadığı mütalaa edilmektedir. Mevcut hukuki düzenlemeler çerçevesinde veri sorumlusunun kişisel verilerin yurtdışına aktarılması konusunda Kanunun 9’uncu maddesinin 1 numaralı fıkrasında yer aldığı üzere ilgili kişilerin açık rızasını alması gerektiği, ancak veri sorumlusunun yurt dışına aktarıma ilişkin bir açık rıza alma yoluna gitmediği, yalnızca amazon hizmetlerinin kullanılması suretiyle gizlilik bildiriminde yer alan hususların kabul edilmiş olduğu varsayımının Kanuna uygun bir açık rıza olarak nitelendirilemeyeceği, bu durumun Kanunun 12’nci maddesinde yer alan veri güvenliğine ilişkin yükümlülüklere aykırılık oluşturduğu kanaatine varılmıştır.

  1. Kanunun 10’uncu maddesinde yer alan hüküm gereğince, “kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, 11’inci maddede sayılan diğer hakları konusunda bilgi vermekle yükümlüdür.

Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin 5’inci maddesinin 1’inci bendinin f fıkrasına göre “Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.

Veri sorumlusunun internet sitesindeki “Kullanım ve Satış Şartları” metni incelendiğinde Amazon Europe Core SARL, Amazon Turkey Perakende Hizmetleri Limited Şirketi ve/veya iştirakleri (“Amazon”), Amazon.com.tr (internet sayfası) ziyaret edildiğinde veya buradan alışveriş yapıldığında; Amazon ürünleri, hizmetleri, mobil Amazon uygulamaları veya yukarıdakilerle bağlantılı olarak Amazon tarafından sunulan hizmetler kullanıldığında (toplu olarak “Amazon Hizmetleri”) ilgili kişilere internet sayfası özelliklerinin, diğer ürünlerin ve hizmetlerin sunulduğu beyan edilmiştir.

Anlaşıldığı üzere yapılan işleme faaliyeti site ziyaret edildiğinde başlamaktadır. Öyle ki çerezler hakkında hazırlanan metinde siteyi ziyaret eden kişilerin tarayıcılarını veya cihazını tanımak, ilgileri hakkında daha fazla bilgi sahibi olmak; gerekli özellik, hizmetleri sağlamak ve aşağıda sayılanların da aralarında bulunduğu ek amaçlar için çerezlerin, piksellerin ve diğer teknolojilerin (hep birlikte “çerezler” olarak anılacaktır) kullanıldığı beyan edilmiştir. Bu durumda sitede gerekli metinlere yer verildiği savından yola çıkılarak Kanunda hüküm altına alınan aydınlatma yükümlülüğünün yerine getirildiği sonucuna varmak mümkün değildir. Siteyi ilk defa ziyaret eden bir kişinin daha henüz veri sorumlusu ile bir sözleşme ilişkisi içine girip girmeyeceğinin ya da kişisel verilerinin işlenmesine açık rızası olup olmayacağının belirli olmaması düşünüldüğünde yalnızca siteye girmiş olması ile verilerinin işlenmesi yönünde açık iradesini beyan ettiği düşünülemeyecektir. Farklı veri işleme araçları kullanılarak site ziyareti ile birlikte veri işlenmeye başlanması için aydınlatmanın öncelikle web sitesine giriş aşamasında yapılması gerekmektedir. Ancak site girişinde farklı araçlarla (ör. Çerezler) kişisel verilerin işlendiğine dair bir bilgilendirme sunulmamakla birlikte (ör. pop-up mesajlar) yapılan işleme için izin verilmesine dair bir istem de mevcut değildir (ör. Sitemizde gezinmeye devam etmek için çerez bildirimimize onay vermelisiniz). Bu durum hem işleme faaliyetindeki açık rıza şartına hem aydınlatma yükümlülüğüne aykırılık teşkil etmekte olup, web sitesine girişle birlikte kişisel verilerin işlenmeye başlamasına karşın aydınlatmanın yapılmaması, veri sorumlusunun çerezler vasıtasıyla işlenen söz konusu kişisel verilere ilişkin aydınlatma yükümlülüğünü Kanunun 10’uncu maddesinde ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğde düzenlendiği şekilde yerine getirmediği kanaatini oluşturmuştur.

www.amazon.com.tr’ye ilişkin yürütülen resen inceleme neticesinde yukarıda yer verilen değerlendirmeler sonucunda

  • Veri sorumlusunun ilgili kişilerin iletişim bilgilerini işlemek suretiyle ticari elektronik ileti göndermek hususunda ilgili kişilerin açık rızasını usulüne uygun olarak almadığı, açık rıza dışında da bir işleme nedenine dayanmadığı, diğer yandan üyenin temas kişilerine ait e-posta adreslerinin de bu kişilerin açık rızalarına dayanmaksızın işlendiği, ayrıca veri sorumlusu tarafından Kanunun 4’üncü maddesinde yer alan genel ilkelere aykırı hareket edildiği,
  • Veri sorumlusunun “Gizlilik Bildirimi”nde ‘Amazon Kişisel Bilgilerinizi Paylaşıyor mu?’ başlığı altında “Yukarıda belirtilenler haricinde, hakkınızdaki kişisel bilgiler üçüncü taraflarla paylaşıldığında, bir bildirim alacaksınız ve bu bilgileri paylaşmamayı seçme şansınız olacaktır.” ifadesine yer verildiği, metinde yer aldığı şekilde ilgili kişinin kişisel verilerini paylaşmamayı tercih etme şansının mümkün olmasının, ancak ilgili kişinin açık rızasına istinaden verilerinin işlenmesi halinde geçerli olabileceği, ancak usulüne uygun bir açık rıza alınmadığı dikkate alındığında, kişisel verilerin aktarılmasına ilişkin Kanun hükümlerine aykırı hareket edildiği,
  • Kişisel verilerin yurt dışına aktarılması konusunda Kanunun 9’uncu maddesinde yer alan yeterli korumanın bulunduğu ülkelerin Kurulca henüz belirlenmediği, veri sorumlusunun yazılı taahhüdünün Kurum tarafından onaylanmadığı da dikkate alındığında, veri sorumlusunun kişisel verilerin yurtdışına aktarılması konusunda Kanunun 9’uncu maddesinin (1) numaralı fıkrasında yer aldığı üzere ilgili kişilerin açık rızasını alması gerektiği, ancak veri sorumlusunun yurt dışına aktarıma ilişkin usulüne uygun bir açık rıza alma yoluna gitmediği, yalnızca amazon hizmetlerinin kullanılması suretiyle gizlilik bildiriminde yer alan hususların kabul edilmiş olduğu varsayımının Kanuna uygun bir açık rıza olarak nitelendirilemeyeceği

dikkate alındığında veri sorumlusu tarafından Kanunun 12’nci maddesinin (1) numaralı fıkrasındaki yükümlülüklerin yerine getirilmemesinden dolayı Kanunun 18’inci maddesinin (1) numaralı maddesinin (b) bendi kapsamında 1.100.000 TL idari para cezası uygulanmasına,

  • Veri sorumlusunca web sitesinde yayımlanan “Gizlilik Bildirimi”nin, birçok bilgi içermesi, veri işlemeye ilişkin genel bir bilgilendirme olması nedeniyle kişisel verilerin işlenmesine ilişkin ilgili kişilere aydınlatma yapıldığı anlamına gelmediği göz önünde bulundurulduğunda ihbar edilen web sitesine girişle birlikte çerezler vasıtasıyla kişisel verilerin işlenmeye başlamasına karşın, çerezler, üyelik girişi gibi veri işlemenin başladığı hiçbir aşamada aydınlatma yükümlülüğünün, Kanunun 10’uncu maddesinde ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğde düzenlenen usul ve esaslara uygun olarak yerine getirilmediği kanaati oluştuğundan Kanunun 10’uncu maddesinde düzenlenen Aydınlatma Yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kanunun 18’inci maddesinin (1) numaralı fıkrasının (a) bendi uyarınca 100.000 TL idari para cezası uygulanmasına,
  • Veri sorumlusunun yukarıda tespit edilen ihlaller göz önünde bulundurularak kişisel veri işleme süreçlerini ve bununla uyumlu şekilde “Gizlilik Bildirimi”, “Kullanım ve Satış Şartları” ve “Çerez Bildirimi” metinlerini güncelleyerek web sitesini ve uygulamalarını Kanuna uygun hale getirerek sonucundan Kurula bilgi vermesi yönünde talimatlandırılmasına,
  • Söz konusu Kararın Kanunun 23’üncü maddesinin (5) numaralı fıkrası çerçevesinde Kurumun internet sayfasında yayımlanmasına

karar verilmiştir.

27.02.2020: “Spor salonu hizmeti sunan veri sorumlusunun, üyelerinin giriş-çıkış kontrolünü biyometrik veri işleyerek yapması ile ilgili”
Karar Tarihi : 27/02/2020
Karar No : 2020/167
Konu Özeti : Spor salonu hizmeti sunan sorumlusunun, üyelerinin giriş-çıkış kontrolünü biyometrik veri işleyerek yapması ile ilgili Kişisel Verileri Koruma Kurulunun Kararı

 

Spor salonu hizmeti sunan şirketin (veri sorumlusu), üyelerinin giriş-çıkış kontrolünde el okutma sistemine geçilmesi gibi biyometrik verileri içeren bazı özel nitelikli kişisel verileri işlemesi ve bu bilgilerin güvenli şekilde muhafaza edildiğinden şüphe duyulması üzerine ilgili kişilerce Kuruma intikal ettirilen şikâyetin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 27/02/2020 tarih ve 2020/167 sayılı Kararı ile;

  • 6698 sayılı Kanunun “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6 ncı maddesinde kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerinin özel nitelikli kişisel veri olarak belirlendiği, özel nitelikli kişisel veriler arasında yer alan biyometrik veri tanımına ise Kanunda yer verilmemekle birlikte, 25.05.2018 tarihinde yürürlüğe giren Avrupa Genel Veri Koruma Tüzüğünde (GDPR) biyometrik verinin; “yüz görüntüleri veya daktiloskopik veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel veriler” olarak tanımlandığı,

GDPR’ın Recital bölümünün 51 inci maddesinde de biyometrik verilerle ilgili açıklamalara yer verildiği ve fotoğrafların işlenmesinin doğrudan biyometrik veri olarak nitelendirilemeyeceği, yalnızca gerçek bir kişinin benzersiz bir şekilde tanımlanmasına veya doğrulanmasına izin veren belirli bir teknik yöntemle işlendiğinde, bu verilerin biyometrik verilerin tanımı kapsamında kabul edileceği açıklamalarına yer verildiği, dolayısıyla bir verinin biyometrik veri kapsamında değerlendirilebilmesi için o verinin sadece o kişiyi tanımlayabilme ya da doğrulayabilme özelliğine sahip olmasının kriter alındığının değerlendirildiği,

Danıştay 15. Dairesinin 2014/4562 Esas sayılı kararında ise biyometrik yöntemlerin, ölçülebilir fizyolojik ve bireysel özellikleri aracılığıyla gerçekleştirilen ve otomatik şekilde doğrulanabilen kimlik denetleme tekniklerini ifade ettiği belirtilerek, bu yöntemler arasında parmak izi tanıma, avuç içi tarama, el geometrisi tanıma, iris tanıma, yüz tanıma, retina tanıma, DNA tanıma gibi yöntemlerin bulunduğunun ifade edildiği

hususlarından hareketle bir spor tesisine giriş esnasında el ve parmak izinin taranması suretiyle kişilerin kimlik doğrulamasının yapılması hususunda adı geçen veri sorumlusunun özel nitelikli kişisel veri niteliğindeki biyometrik veri işleme faaliyetinde bulunduğunun değerlendirildiği,

  • Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde de, kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin ancak hukuka ve dürüstlük kurallarına uygun şekilde, belirli, açık ve meşru amaçlar kapsamında, doğru ve gerektiğinde güncel olma şartıyla, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceğinin düzenlendiği,

Bu ilkelerden, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesinin, işlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olması, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını gerektirdiği, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik olarak veri işlenmesi yoluna gidilmemesi gerektiği,

Ölçülülük ilkesinin ise, veri işleme faaliyeti ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması, diğer bir ifadeyle veri işlemenin amacı gerçekleştirecek ölçüde olması anlamına geldiği, bu kapsamda, kişisel veri işleme faaliyetinin gerçekleşmesi için gerekli olmayan kişisel verilerin toplanmaması ve/veya işlenmemesi gerektiği, veri sorumlusunun amacı çerçevesinde ölçülülük ilkesine uygun olarak ilgili kişiden minimum düzeyde bilgi talep etmesi, bunun dışındaki amaç için gerekli olmayan veri işlemeden kaçınması gerektiği, kişisel verilerin işlenmesinin ilgili kişinin iznine bağlı olarak gerçekleştirilse ve belirli bir amaca bağlı olsa bile açık rızanın, aşırı miktarda veri toplanmasını meşrulaştırmayacağı, buna göre kişisel verilerin yalnızca belirli amaçlar için ve gerektiği kadar toplanması, amacın gerektirdiği yerlerde kullanılması ve amaç için gerekli olandan uzun süre tutulmaması gerektiği,

dikkate alındığında spor salonuna giriş için veri sorumlusu tarafından uygulanan “el ve parmak izi taraması” sisteminin, üyelerin açık rızası olsa bile hizmetten faydalanmak için üyelere sunulmasının, kişisel verilerin işlenmesinde ölçülülük ilkesi ışığında ilgili kişilerden minimum düzeyde veri talep etme ilkesi ile uyumlu olmadığı değerlendirilmiş olup, bu itibarla;

  • Spor kulübüne giriş ve çıkışların kontrolü amacıyla getirilen avuç içi izinin taranması suretiyle kişilerin kimlik doğrulamasının yapılmasının, biyometrik veri kapsamında değerlendirilmeyeceği ve bu sistemin yanı sıra dileyen üyelerin kart göstermek suretiyle tesisten faydalandıkları iddia edilse de avuç içi tarama sisteminin biyometrik veri tanımını karşıladığı, bu sistemin yanı sıra seçimlik hak sunulsa bile biyometrik veri içeren bir sistemin tesis giriş ve çıkışlarında kullanılmasının Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinin (2) numaralı fıkrasının (ç) bendindeki ölçülülük ilkesine aykırı olduğu kanaatine varılması nedeniyle Şirketin söz konusu uygulamasının Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine aykırılık teşkil ettiği sonucuna varıldığından, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında veri sorumlusu hakkında 225.000 TL idari para cezası uygulanmasına,
  • Veri sorumlusu tarafından bugüne kadar işlenen ve muhafaza edilen el, parmak ve avuç izi ile ilgili verilerin Kanunun 7 nci maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun olarak ivedilikle yok edilmesi, eğer ilgili özel nitelikli verilerin üçüncü kişilere aktarılması söz konusu ise, yok etmeye yönelik işlemlerin bu verilerin aktarıldığı üçüncü kişilere ivedilikle bildirilmesinin sağlanması ve biyometrik veri ile giriş çıkış işlemleri yapılmasının ve biyometrik veri işlemenin durdurulması hususunda veri sorumlusunun talimatlandırılmasına,
  • İlgili kişinin veri sorumlusuna bünyesinde bulunan kişisel verilerinin silinmesi talebine istinaden, talebin yerine getirildiğine ve söz konusu kişisel verilerin silindiğine ilişkin ilgili kişinin bilgilendirilmesi ve söz konusu silme işlemine ilişkin tevsik edici bilgi ve belgelerin Kurumumuza iletilmesi hususunda Şirketin talimatlandırılmasına,
  • Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerinin de hatırlatılması suretiyle veri sorumlusunun Aydınlatma Metninin usulüne uygun olarak güncellenmesi hususunda talimatlandırılmasına

karar verilmiştir.

06.02.2020: “Bir Bankanın Potansiyel Müşteri Kazanımı Amacıyla İlgili Kişinin Kişisel Verilerini Hukuka Aykırı Şekilde İşleyerek Hesap Açmasına İlişkin Olarak Kurula Yapılan Başvuru Hakkında”
Karar Tarihi : 06/02/2020
Karar No : 2020/103
Konu Özeti :Bir Bankanın potansiyel müşteri kazanımı amacıyla ilgili kişinin kişisel verilerini hukuka aykırı şekilde işleyerek hesap açmasına ilişkin olarak Kurula yapılan başvuru hakkında

 

İlgili kişinin 2018 yılı sonunda bir Banka şubesinde mevduat hesabı açtırmak istediğinde aynı Bankanın başka bir ildeki şubesinde Ocak 2016’da açılan bir ticari hesabının olduğu, anne kızlık soyadı dahil tüm kimlik bilgilerinin bahsi geçen Banka şubesindeki hesapta görüldüğü bilgisini edinmesi karşısında, adına hesap açılan şubenin bulunduğu yere daha önce hiç gitmemiş olması ve yine hiç ticari faaliyet yürütmemesine rağmen Banka nezdinde kişisel verilerinin hukuka aykırı olarak işlenmesi suretiyle adına hesap açılması hakkında Kişisel Verileri Koruma Kuruluna ilettiği şikayet başvurusunun Bankadan alınan bilgi ve belgelerle birlikte incelenmesi neticesinde:

Veri sorumlusu Bankanın, potansiyel müşteri kazanımı amacıyla yapılan bir çalışmada üçüncü bir taraftan temin edilen liste vasıtasıyla ilgili kişinin bilgilerine ulaştığı ve müşteri numarasının oluşturulduğu ancak, Temel Bankacılık Hizmet Sözleşmesi imzalanmadan müşteri numarası aktif hale gelemeyeceğinden ilgili kişinin müşteri numarasının da aktif bir hesap haline gelmediği beyanı karşısında;

Müşteri numarasının oluşturulduğunun iddia edildiği Ocak 2016’da 07/04/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) yürürlükte olmamakla birlikte, Bankanın ilgili kişiye vermiş olduğu 2018 yılına ait cevap içeriğinden ilgili kişinin verilerinin halen veri sorumlusu nezdinde bulunduğu anlaşıldığından ilgili kişiye yönelik kişisel veri işleme faaliyetinin Kanunun 5 inci maddesinin (1) numaralı fıkrasında yer alan açık rıza şartı yerine getirilmeksizin ve (2) numaralı fıkrada sayılan hallerden biri mevcut olmaksızın gerçekleştirilmiş olması sebebiyle Bankanın Kanuna aykırı veri işleme faaliyetinde bulunduğu, öte yandan Kanunun Geçici 1 inci maddesinin (3) numaralı fıkrasına aykırı şekilde ilgili kişiye ait kişisel verilerin derhal silinmediği, yok edilmediği veya anonim hale getirilmediği, bu nedenle veri sorumlusu Bankanın Kanunun 4 üncü maddesindeki genel ilkelere de aykırı bir şekilde ilgili kişinin kişisel verileri olan kimlik ve adres bilgilerini işlediği,

hususları dikkate alınarak; anılan Bankanın Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendindeki kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli idari ve teknik tedbirlerin alınması yükümlülüğüne aykırı hareket ettiği kanaatine varıldığından hakkında Kanunun 18 inci maddesinin (b) bendi kapsamında 210.000 TL idari para cezası uygulanmasına

karar verilmiştir.

06.02.2020: “Bir uçak bileti satış firması olan veri sorumlusu hakkındaki şikayetle ilgili”
Karar Tarihi : 06/02/2020
Karar No : 2020/86
Konu Özeti :Bir uçak bileti satış firması olan veri sorumlusu hakkındaki şikayet başvurusu.

 

İlgili kişinin “….com” internet adresi üzerinden hizmet veren bir uçak bileti satış firması olan veri sorumlusunun sistemlerinde ….@outlook.com şeklinde kayıtlı olan üyelik e-posta adresinin …@gmail.com olarak güncellenmesini talep ettiği; ancak söz konusu talebinin, üyelik e-posta adresleri üzerinde değişiklik işlemi yapılamadığı ve kullanılmak istenilen e-posta adresiyle yeni bir üyelik başlatılabileceği gerekçe gösterilerek reddedilmesi nedeniyle Kurumumuza yaptığı Eylül 2018 tarihli başvuru ile ilgili yürütülen incelemede veri sorumlusu tarafından Kurumumuza iletilen savunma yazısında, ilgili kişinin başvurusunun, esasen sisteminde kayıtlı olmayan bir e-posta adresinden gönderildiği ve bu başvurunun tebliğde sayılan yöntemlerin herhangi biri ile gerçekleşmemiş olması sebebiyle reddedildiği açıklamasında bulunulmuş olup, bu kapsamda ilgili kişinin başvurusunun veri sorumlusunun cevabı ile birlikte değerlendirilmesi neticesinde 01/03/2019 tarih ve 2019/48 sayılı Kişisel Verileri Koruma Kurulu Kararı ile

  • Mevzuatla belirlenen usule uygun olmayan başvurusu nedeniyle kişinin kimliğinin tanımlanamadığı noktasından hareketle, ilgili kişinin talebini reddeden veri sorumlusunun bu eylemine ilişkin olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) hükümleri kapsamında yapılacak bir işlem bulunmadığına,
  • Bununla birlikte, veri sorumlusu tarafından ilgili kişinin başvurusunun Kuruma yapılan açıklamada olduğu gibi sistemlerinde kayıtlı olmayan bir e-posta adresi üzerinden yapılması nedeniyle kişinin kimliğinin belirlenemediği gerekçesiyle değil üyelik e-posta adresleri üzerinde değişiklik işlemi yapılamadığı gerekçesiyle reddedilmesi karşısında veri sorumlusunun, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ kapsamında ilgili kişi tarafından yapılan bir başvuruyu dürüstlük kuralına uygun olarak sonuçlandırmadığı dikkate alınarak, bundan böyle Tebliğ kapsamında ilgili kişiler tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri alması hususunda Şirketin talimatlandırılmasına

karar verilmiş olup, bu karar ilgili kişiye ve veri sorumlusuna tebliğ edilmiştir.

Müteakiben, ilgili kişinin aynı veri sorumlusu hakkındaki ikinci şikayet başvurusunda özetle,

  • İlgili kişinin 12.04.2019 tarihinde KEP hesabını kullanarak veri sorumlusunun KEP adresi olan “…@….kep.tr” adresine e-posta göndererek sistemlerinde kayıtlı “…@outlook.com” adresinin “…@gmail.com” olarak güncellenmesini talep ettiği,
  • Kayıtlı elektronik posta aracılığıyla gönderilen e-postanın aynı gün içerisinde veri sorumlusu tarafından okunduğu ancak 30 gün içerisinde ilgili kişiye veri sorumlusu tarafından cevap verilmediği

belirtilerek, 6698 sayılı Kanun kapsamında gereğinin yapılması talep edilmiştir.

Veri sorumlusu savunmasında özetle;

  • “…@gmail.com” adlı e-posta adresinden müvekkili firmaya bir e-posta gönderilerek bu e-postada sisteme kayıtlı bir kullanıcı olan ilgili kişinin bir takım kişisel verisini yazarak sistemdeki e-posta adresinin güncellenmesini talep ettiği,
  • İlgili kişinin, veri sorumlusuna ilk başvurusunun, veri sorumlusunun sisteminde kayıtlı olmayan bir e-posta adresinden gönderilen ve kayıtlı bir kullanıcının hesap yönetimini talep eden bir e-posta olduğundan şikayete konu başvurunun tebliğde sayılan yöntemlerin herhangi biri ile gerçekleşmemiş olduğunu, bu sebeple söz konusu e-posta adresi değişikliği talebinin işleme alınmadığı,
  • Daha sonra ilgili kişinin KEP adresi yoluyla 12.04.2019 tarihinde veri sorumlusuna tekrar başvuruda bulunduğu ancak yoğunluk sebebi ile başvurunun bir süre sonra gözden kaçtığı, ilgili kişinin talebi fark edildiğinde yerine getirilerek e-posta adresinin talebi doğrultusunda güncellendiği ve bu güncellemenin ilgili kişiye de bildirildiği, ilgili kişinin “…@gmail.com” e-posta adresiyle sisteme giriş yapabilmekte olduğu

belirtilmiştir.

Konunun incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 06.02.2020 tarih ve 2020/86 sayılı Kararı ile;

  • Kanunun 13 üncü maddesi ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin 6 ncı maddesinde veri sorumlusunun ilgili kişi başvurularını etkin bir şekilde sonuçlandırma yükümlülüğünün düzenlediği, veri sorumlusu tarafından ilgili kişinin başvurularına cevap verilmemesi ya da cevabın yetersiz bulunması halinde ilgili kişiye Kurula şikayet hakkı tanınmışsa da sadece başvuruya cevap verilmemesi sebebiyle veri sorumlusuna uygulanabilecek bir idari yaptırım türüne Kanunda yer verilmediği,
  • Ancak, somut olaydaki başvurunun, ilgili kişinin veri sorumlusuna yaptığı ikinci başvuru olduğu, ilk başvuru sonrasındaki şikayet doğrultusunda Kurul tarafından alınan 01/03/2019 tarihli ve 2019/48 sayılı Kararda veri sorumlusunun, Tebliğ kapsamında ilgili kişiler tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri alması hususunda talimatlandırılmasına karar verildiği,
  • Şikayet dilekçesi ekinde sunulan KEP delilinden veri sorumlusunun ilgili kişinin başvurusunu, kendisine iletilmesinden yedi dakika sonra okuduğunun anlaşıldığı, Kurulun talimatına rağmen ilgili kişinin KEP adresinden yaptığı ikinci başvurusunun cevaplandırılmadığı, başvurunun cevaplandırılmamasının ise veri sorumlusunun savunmasında, yoğunluk sebebiyle gözden kaçtığı şeklinde gerekçelendirildiği, buna göre, veri sorumlusu tarafından başvuruların etkin, hukuka ve dürüstlük kuralına uygun cevaplandırılması için gerekli idari tedbirlerin alınmadığı ve Kurul tarafından verilen talimata uygun davranılmadığı

değerlendirilmiş olup, Kanunun 15 inci maddesinin (5) numaralı fıkrası hükümlerine aykırı hareket eden veri sorumlusu hakkında Kanunun 18 inci maddesinin 1 inci fıkrasının (c) bendi uyarınca 50.000 TL idari para cezası uygulanmasına karar verilmiştir.

27.01.2020: “İlgili kişiye rızası bulunmamasına rağmen bir gayrimenkul şirketi tarafından SMS aracılığıyla gönderilen reklam ve bildirimler hakkında”
Karar Tarihi : 27/01/2020
Karar No : 2020/67
Konu Özeti :İlgili kişiye rızası bulunmamasına rağmen bir gayrimenkul şirketi tarafından SMS aracılığıyla gönderilen reklam ve bildirimler hakkında

Kurumumuz intikal eden bir başvuruda ilgili kişi tarafından kendisine bir gayrimenkul şirketi tarafından SMS aracılığıyla gönderilen reklam ve bildirimlere ait açık rızasının bulunmadığı ve bu kapsamda gereğinin yapılması talebini içeren başvurusu ile ilgili Kurumumuzca istenilen savunmasına istinaden veri sorumlusundan alınan yazıda;

  • Kayıtlarında tutulan kişisel verilerin ad, soyadı ve cep telefonu numarasından ibaret olduğu,
  • Kayıtlarında tutulan kişisel verilerin ilgili kişiyle reklam, kampanya ve tanıtım amaçlı olarak irtibata geçilmesi amacıyla işlendiği,
  • Kişisel verilerin internet üzerinden herkese açık bilgi kaynaklarından temin edildiği
  • Ancak şu an söz konusu bilgi kaynaklarına ulaşılamadığı, bu linklerin şu an aktif olmadığını ve kaldırıldığını tahmin ettikleri, ilgili kişinin yapmış olduğu başvuru neticesinde, kişisel verilerin sistemden derhal silindiğini ve kendisiyle bir daha iletişime geçilmediği

ifade edilmiştir.

Yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 27/01/2020 tarih ve 2020/67 sayılı Kararı ile;

  • Kişisel verilerin işlenme şartlarının düzenlendiği Kanunun 5 inci maddesinin birinci fıkrasında; kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, ikinci fıkrasında belirtilen şartlardan (-Kanunlarda açıkça öngörülmesi, -Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, -Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, -Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, -İlgili kişinin kendisi tarafından alenileştirilmiş olması, -Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, -İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması) birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun hükme bağlandığı,
  • Somut olayda Kurumun bilgi, belge talebine ilişkin olarak veri sorumlusu tarafından verilmiş olan cevap yazısında, ilgili kişiye ait kişisel verilerin herkese açık bilgi kaynaklarından elde edildiği ve ilgili kişinin açık rızasının bulunmadığının anlaşıldığı,
  • Kanunun 5 inci maddesinin 2 nci fıkrasının (d) bendinde yer alan alenileştirme ilkesi gereğince, ilgili kişinin kendisi tarafından alenileştirilen, bir başka ifadeyle herhangi bir şekilde kamuoyuna açıklanmış olan kişisel verileri işlenebileceği, bu duruma örnek olarak ise bir kişinin belirli hallerde kendisiyle iletişime geçilmesi amacıyla iletişim bilgilerini kamuya açık şekilde ilan etmesinin verilebileceği,
  • Alenileştirmenin gerçekleştirilebilmesi için alenileştirme iradesinin ne olduğuna bakılması gerektiği, zira bir kişinin kişisel verisinin herkesin görebileceği bir yerde olmasının aleni olmasını sağlamayacağı, alenileştirme durumunda kişisel verinin alenileştirme amacı kapsamında kullanılması gerektiği, somut olayda, alenileştirme bulunuyor olsa dahi ilgili kişinin reklam faaliyetleriyle ilgili kendisiyle iletişim kurulması amacıyla söz konusu kişisel verileri alenileştirmemiş ise, gerçekleştirilecek olan kişisel veri işleme faaliyetinin hukuka uygun olmayacağının değerlendirildiği,
  • Somut olayda işlenen kişisel verilere yönelik olarak ilgili kişinin açık rızasının alınmadığı, açık rızanın aranmadığı diğer hallerin ise bulunmadığı, bu kapsamda ilgili kişinin kişisel verilerinin Kanunun 5 inci maddesinde yer alan şartlar yerine getirilmeden reklam içerikli iletiler gönderilmesi amacıyla kullanılmasının Kanunun 12 nci maddesinin 1 inci fıkrasının (a) bendine aykırılık teşkil ettiği

hususlarından hareketle veri sorumlusu hakkında Kanunun 18 inci maddesinin 1 inci fıkrasının (b) bendi uyarınca 50.000 TL idari para cezası uygulanmasına

karar verilmiştir. 

27.01.2020: “Ulaşım hizmeti sunan bir mobil uygulama kapsamında işlenen kişisel veriler hakkında”
Karar Tarihi : 27/01/2020
Karar No : 2020/65
Konu Özeti :Bir mobil uygulama kapsamında işlenen kişisel veriler hakkında Kuruma yapılan başvuru.

İlgili kişinin, ulaşım hizmeti sunan bir platform vasıtasıyla yaptığı yolculukların şoförler tarafından puanlandığını öğrenmesi, kendi yolculuklarına ait bu puanlara kendisi tarafından erişilememesi ve bu tip bir puanlama yapılacağı hususunda veri sorumlusunun aydınlatma metninde herhangi bir bilginin yer almaması neticesinde, veri sorumlusu statüsüne sahip ulaşım hizmeti sunan platforma 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 11 inci maddesinin 1 inci fıkrasının (b) bendinde yer alan “Kişisel veri işlenmişse buna ilişkin bilgi talep etme” hakkından hareketle, Kanunun 13 üncü maddesine istinaden yaptığı başvurunun cevapsız kaldığı iddialarına ilişkin Kuruma intikal eden dilekçeye istinaden veri sorumlusunun savunması istenilmiş, alınan cevabi yazıda;

  • Veri sorumlusu tarafından kullanıcıya ait verilerin uygulamaya kayıt esnasında toplanarak üyelik sözleşmesinin kurulması ve ifasıyla doğrudan doğruya ilişkisi olması sebebiyle işlendiğini, http:/www……com/gizlilik-politikası adresinde yer alan kişiselveriler@….com e-posta adresine ilgili kişiler tarafından taleplerin iletilebileceğini belirten veri sorumlusu tarafından bu taleplerin en kısa süre cevaplandığını,
  • İlgili kişi tarafından kullanılan uygulamada ortalama puanın 5 üzerinden kaç olduğunun sorulduğuna ve “sehven süresi içinde talebe cevap verilmemiş olsa da” sonrasında yazılı olarak dönüş yapıldığı

ifade edilmiştir.

Konunun incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 27/01/2010 tarih ve 2020/65 sayılı Kararı ile;

1- Kanunun 13 üncü maddesinin 2 inci fıkrasında “Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyet gerektirmesi halinde, Kurulca belirlenen tarifedeki ücret alınabilir” hükmüne ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin” 6 ıncı maddesinin (1) numaralı fıkrasındaki “Veri sorumlusu bu Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlüdür.” hükmüne yer verildiği,

  • Veri sorumlusunun “Kullanım Koşulları” başlıklı dokümanında yer alan hükümlere istinaden ilgili kişinin talebini süresi içinde cevaplamayan veri sorumlusunun Kanun kapsamında yöneltilen başvuruları gerek bu Kanunun 15 inci maddesinin 5 inci fıkrasına istinaden gerekse kendisi tarafından duyurulan koşullara uygun olarak zamanında, tam ve eksiksiz olarak cevaplaması hususunda talimatlandırılmasına,

2- Bu noktada ikinci olarak, bahse taşıma/ulaşım hizmeti ile ilgili kişinin iddia ettiği ve veri sorumlusunun daha sonra Kurumun bilgi ve belge talebine yönelik yazısına cevaben gönderdiği yazı ve ekinde belirttiği üzere ilgili kişilerin puanlaması işleminin sözleşmenin kurulması veya ifasıyla doğrudan doğruya bir ilişkisinin olup olmadığının incelenmesi gerektiği,

  • Müşterilerin/yolcuların yaptığı seyahatlerin şoförler tarafından puanlanmasına ve bu puanların ortalamasının alınmasına dayanan veri işleme faaliyetinin, Kanunun 5 inci maddesinin 2 inci fıkrasının (c) bendinde yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” şartı kapsamında sözleşmenin ifasına ilişkin ana kurucu öğe olmadığı veya sözleşmenin ifasıyla doğrudan doğruya bir ilişkisinin var olmaması sebebiyle ve bu veri işleme faaliyetinin aynı maddede belirtilen diğer veri işleme şartlarından herhangi birine dayanmadığı dikkate alındığında veri sorumlusunun Kanunun 12 inci maddesinin 1 inci fıkrasının a bendinde yer alan “veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır” hükmüne aykırı hareket ettiği kanaatine varıldığından hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının b bendine istinaden 100.000 TL idari para cezası uygulanmasına,

3- İlgili kişinin veri sorumlusunun Aydınlatma Metninde müşteriler/yolcular hakkında bir puanlama yapıldığına dair her hangi bir bilginin bulunmadığına dair iddiasına ilişkin olarak, “Kişisel Verilerin Korunması Hakkında Bilgilendirme” başlıklı dokümanının incelendiği, “Kişisel Verilerin Korunması Hakkında Bilgilendirme” başlıklı bu dokümanda, “….’nin kişisel verilerinizi işleme amacı:

• Kimliğinizi doğrulamak

• Müşteri desteği sağlamak ve sorun gidermek

• Servis güncellemeleri ve hatalar hakkında sizi bilgilendirmek

• Uygulama ve kampanyalar hakkında sizi bilgilendirmek

• Sürücünün yolculukla ilgili olarak size ulaşması gereken durumlarda sizi arayabilmesini sağlamaktır…

şeklinde açıklandığı,

  • Veri işleme amaçları arasında yolcuların puanlanıp sürücüler tarafından bunun görülebileceğine ilişkin bir açıklama bulunmadığı,
  • “Kullanım Koşulları” dokümanında ise “Veri sorumlusu Sıfatıyla İşlenen Veriler” başlıklı maddesinde bu verilerin

• Tanımlama bilgileri (ad, soyad, cep telefonu numarası, e-posta adresi).

• Kullandığınız mobil aygıtın işletim sistemi versiyonu bilgisi.

• Kullandığınız mobil aygıttan edinilen konum bilgileri.

• Yolculuk sonunda sürücüye verilen oylama bilgisi ve yorumlar.

• Uygulama içindeki “Öneri ve Şikâyet” bölümünde iletilen yorumlar.”

olarak sayıldığı,

  • Bu sebepten dolayı, ne aydınlatma metninde (Kişisel Verilerin Korunması Hakkında Bilgilendirme) ne de kullanıcı sözleşmesinde (Kullanım Koşulları) müşterilerin puanlanmasına ilişkin bir bilgilendirme bulunmadığı,
  • Bu durumda, müşterilerin puanlanmasına dayanan veri işleme faaliyetinin Kanunun 4 maddesinde belirtilen kişisel verilerin işlenmesine ilişkin genel ilkelerden ilk olarak “Hukuka ve Dürüstlük Kurallarına Uygun Olma” ilkesine aykırılık teşkil ettiği, zira veri sorumlusunun sözü geçen kişisel veri işleme faaliyetine ilişkin olarak ilgili kişi ile hiçbir bilgi paylaşmadığı, konu “Belirli, Açık ve Meşru Amaçlar İçin İşlenme” ilkesi bakımından değerlendirildiğinde, veri sorumlusun aydınlatma metninde ve kullanım koşullarına ilişkin metinde belirtilen amaçların müşterilerin puanlanmasına dayanan kişisel veri işleme faaliyetinin asıl amacının ne olduğunu açıklayamadığı,
  • Bu kapsamda, söz konusu uygulamanın yüklenmesi akabinde üye olunması esnasında ilgili kişilere bir aydınlatma gerçekleştirilmediği ve ilgili kişinin yolculuklarının şoförler tarafından değerlendirilerek çıkarılacak bir puanlamaya dayalı veri işleme faaliyetine, internet sitesinde yer alan veri sorumlusunun aydınlatma metni yerine geçen “Kişisel Verilerin Korunması Hakkında Bilgilendirme” dokümanında ve Kullanım Koşulları başlıklı belgede yer verilmemesi sebebiyle, Kanunun 10 uncu maddesinde yer alan “Veri Sorumlusunun Aydınlatma Yükümlülüğü”nü yerine getirmemiş olduğu kanaatine varılmasından ötürü Kanunun 18 inci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında veri sorumlusu hakkında 10.000 TL idari para cezası uygulanmasına,

4- Puanlamaya dayalı veri işleme faaliyetine devam edebilmesi için veri sorumlusunun Kanunun “Kişisel Verilerin İşlenmesi Şartları” başlıklı 5 inci maddesinde kapsamında uygun bir veri işleme şartı belirlemesi, buna istinaden aydınlatma metnini güncellemesi ve sayılan hususları tamamladığına ilişkin destekleyici belge ve kayıtları Kanunun 15 inci maddesinin 5 numaralı fıkrası hükümlerine istinaden 30 gün içinde Kurula sunması hususunda talimatlandırılmasına

karar verilmiştir.

27.01.2020: “Bir Sigorta Acentesinin müşterilerine ait kişisel verileri herkese açık sosyal medya platformlarında müşterilerinden habersiz olarak ve reklam amacıyla paylaşması hakkında”
Karar Tarihi : 27/01/2020
Karar No : 2020/58
Konu Özeti :Bir Sigorta Acentesinin müşterilerine ait kişisel verileri herkese açık sosyal medya platformlarında müşterilerinden habersiz olarak ve reklam amacıyla paylaşması hakkında

 

Kurumumuza intikal eden bir ihbarda, bir Sigorta Acentesinin müşterilerine ait kişisel verileri herkese açık sosyal medya platformlarında müşterilerinden habersiz olarak reklam amacıyla paylaştığı, bu hususta poliçe sahiplerinin izninin olmadığı belirtilerek gerekli yasal işlemin yapılması talep edilmiş, ihbarı destekler nitelikte olan, ilgili sosyal medya paylaşımlarına ayrıca dilekçe ekinde yer verilmiştir.

Konuya ilişkin Veri Sorumlusu Sigorta Acentesinden ihbarda yer verilen iddialara ilişkin savunması istenilmiş, alınan cevabi yazıda

  • Müşterilere ait kişisel verilerin herkese açık sosyal medya hesapları üzerinden paylaşıldığı ancak bu paylaşımlar yapılırken program özelliği ya da kağıt gibi vasıtalarla kişisel verilerin gizlenmeye çalışıldığı ancak kimi paylaşımlarda bu hususun dikkatsizlik ve acelecilik gibi nedenlerle gözden kaçırıldığı,
  • Kurumumuzca yazısı alındıktan sonra gözden kaçan ilgili paylaşımların silindiği,
  • Ayrıca poliçe kayıtlarının tutulduğu sistemde, kullanılan sistemin özelliği gereği, kimlik numaraları kapatıldığı için hiçbir zaman kimlik numaralarını içeren paylaşım yapılmadığı,
  • Konuya ilişkin eksikliğin bilgisizlikten kaynaklandığı ve belirtilmesi halinde gerekli düzeltmeleri yapabilecekleri

belirtilmiştir.

Yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 27/01/2020 tarih ve 2020/58 sayılı Kararı ile,

  • Veri sorumlusu Sigorta Acentesinin yaptığı sosyal medya paylaşımlarda müşterilerinin adları, adresleri ve maskelenmiş biçimde kimlik numaralarının yer aldığı, bunların dışında bazı hallerde kişisel veri niteliği arz edebilecek plaka numaraları ile birlikte aracın rengi, markası ve modeli, müşterinin ödemesi gereken prim, toplam prim gibi ayrıntılara da yer verildiği,
  • Veri sorumlusu tarafından ilgili paylaşımların şahsi Facebook hesabından ve “…….sigorta” adıyla açtığı ve poliçe paylaşımlarıyla birlikte çeşitli özel gün kutlamaları ve şahsi fotoğraflarını da paylaştığı, hesabın açıklama kısmında kendi adına da yer verdiği Instagram hesabından yapıldığı,
  • Kişisel verilerin işlenme şartlarının düzenlendiği 6698 sayılı Kişisel Verilerin Korunması Kanununun 5 inci maddesinin birinci fıkrasında; kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, ikinci fıkrasında belirtilen şartlardan (-Kanunlarda açıkça öngörülmesi, -Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, -Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, -Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, -İlgili kişinin kendisi tarafından alenileştirilmiş olması, -Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, -İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması) birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun hükme bağlandığı,
  • Öte yandan, Kanunun 12 nci maddesinin birinci fıkrasında; veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ile kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğunun ifade edildiği,
  • Bu doğrultuda veri sorumlusunun müşterilerine ait kişisel verileri, onların açık rızası olmaksızın paylaştığının anlaşıldığı ve bu çerçevede Kanunun 12 nci maddesi ile veri sorumlusuna yüklenmiş olan yükümlülükleri yerine getirmediği kanaatine varıldığı

hususlarından hareketle müşterilerine ait kişisel verileri herkese açık sosyal medya platformlarında müşterilerinden habersiz olarak ve reklam amacıyla paylaşan veri sorumlusu hakkında Kanunun 18 inci maddesinin birinci fıkrasının (b) bendinde kapsamında 22.500 TL idari para cezasının uygulanmasına

karar verilmiştir.

16.01.2020: “İlgili kişiye ait verilerin veri sorumlusu bir banka tarafından rızası olmaksızın babası ile paylaşılması karşısında kişinin Bankadan tazminat talep etmesi hakkında”
Karar Tarihi : 16/01/2020
Karar No : 2020/43
Konu Özeti :İlgili kişiye ait verilerin bir banka tarafından rızası olmaksızın babası ile paylaşılması karşısında Bankadan tazminat talep etmesi hakkında

Kurumumuza intikal eden bir başvuruda ilgili kişiye ait verilerin bir Banka tarafından rızası olmaksızın babası ile paylaşıldığı, veri sorumlusu Banka tarafından düzenlenen belgede babasına, ilgili kişi ile risk grubu oluşturduğu ve ilgili kişinin kredi aksamaları bulunması sebebiyle kendisine kredi kullandırılmadığına ilişkin bir yazı verildiği, ilgili kişi tarafından veri sorumlusuna başvuru dilekçesi gönderilerek oluşan manevi zararın tazmini için 30.000 TL’nin ilgili banka hesabına ödenmesi aksi takdirde yasal yollara başvurularak alacağın tahsili yoluna gidileceğinin belirtildiği bununla birlikte Banka tarafından 30 gün içinde başvuruya yönelik bir cevap alınamadığı, bu nedenle de Kurumumuza başvuru yapma gereğinin hasıl olduğu belirtilmiştir.

Konuya ilişkin veri sorumlusu Bankanın savunması istenilmiş, alınan cevabi yazıda;

  • İlgili şubenin yaptığı istihbarat sorgulamasının, ilgili kişi ile aynı evde ikamet eden ve 5411 sayılı Bankacılık Kanununun 49 uncu maddesi kapsamında adı geçen ile aynı risk grubunda yer alan oğlunun kredi aksamaları bulunması sebebiyle olumsuz olarak sonuçlandığı, müşteriye de istihbarat olumsuzluğu sebebiyle kredi talebinin uygun görülmediği yönünde şifahi olarak bilgi verildiği,
  • 5411 sayılı Bankacılık Kanununun “Risk Grubu” başlıklı 49 uncu maddesinde yer alan “Bir gerçek kişi ile eşi ve çocukları, bunların yönetim kurulu üyesi veya genel müdürü oldukları veya bunların ya da bir tüzel kişinin birlikte veya tek başlarına, doğrudan ya da dolaylı olarak kontrol ettikleri ya da sınırsız sorumlulukla katıldıkları ortaklıklar bir risk grubunu oluşturur. … Bu maddenin uygulanmasında aralarında birinin ödeme güçlüğüne düşmesinin diğer bir veya birkaçının ödeme güçlüğüne düşmesi sonucunu doğuracak boyutta kefalet, garanti veya benzeri ilişkiler bulunan gerçek ve tüzel kişiler ilgili risk gruplarına dahil edilir.” hükmü gereğince ilgili kişinin babasının kredi talebinin reddedilmesinin sebebinin aynı evde ikamet ettiği ve aynı risk grubunda yer alan oğlunun kredilerindeki aksamalar olduğu ve oğluna ilişkin genel nitelikteki aksama bilgisinin babasının kredi talebinin reddedilmesi olarak gösterilmesinin zorunlu olduğunun değerlendirildiği,
  • Diğer yandan, 6698 sayılı Kişisel Verilerin Korunması Kanununun 5 inci maddesinin 2 nci fıkrasının (a) bendinde de belirtildiği üzere kanunlarda açıkça öngörülmesi durumunda ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu,
  • Ayrıca Banka internet sitesi aracılığıyla kamuoyuna duyurulan “…..Bankası Kişisel Verilerin Korunmasına ve İşlenmesine İlişkin Aydınlatma (Bilgilendirme) Metni”nin “Risk Gruplarının Tespiti ve Değerlendirilmesine İlişkin Özel Durum” başlıklı bölümünde de risk grubu kapsamına girecek kişiler –müşteri olmasalar dahi- bankacılık mevzuatına göre bir risk grubuna kullandırılacak kredi sınırlarının tespiti için dahil olunacak risk grubunun belirlenebilmesi, izlenebilmesi, raporlanabilmesi, kontrol edilmesi amacıyla kişisel verilerin işlenebileceği açıkça belirtilip, ilan edilerek ilgili kişilerin bu hususta da aydınlatılması yoluna gidildiği,
  • Dolayısıyla müşterinin kredisinin reddine dayanak oluşturacak bilgiyle sınırlı olarak aynı risk grubunda bulunanlara ilişkin aksama bilgisinin detay içermeyecek şekilde verilmesinin 6698 sayılı Kanun kapsamında veri ihlali olmadığının düşünüldüğü

belirtilmiştir.

Konuya ilişkin yapılan inceleme neticesinde alınan Kişisel Verileri Koruma Kurulunun 16/01/2020 tarih ve 2020/43 sayılı Kararı ile;

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun “kişisel verilerin işlenme şartları” 5’inci maddesi gereğince kural olarak kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemeyeceği, ancak;

a) Kanunlarda açıkça öngörülmesi,

b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

d) İlgili kişinin kendisi tarafından alenileştirilmiş olması,

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

hallerinde ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkün olduğu,

  • Risk grubunun 5411 sayılı Bankacılık Kanununda tanımlandığı, 5411 sayılı Bankacılık Kanunu ve ilgili diğer mevzuat hükümleri çerçevesinde “Risk Grubu” içerisinde yer alan kişilerin kişisel verilerinin, ancak bankacılık faaliyetleri kapsamında, kendi bankası bünyesinde kullanılmak ve Risk Merkezine aktarılmak amacıyla işlenmesinin, 6698 sayılı Kişisel Verilerin Korunması Kanununun 5 inci maddesinin ikinci fıkrasının (ç) bendi uyarınca bankaların hukuki yükümlülüklerinin yerine getirilmesi kapsamında olduğunun değerlendirilmesi gerektiği,
  • Kişisel Verilerin Korunması Kanununun 12 nci maddesinde “veri güvenliğine ilişkin yükümlülükler” belirlenmiş olup, maddenin 1 numaralı fıkrasında, veri sorumlusunun, (a) “kişisel verilerin hukuka aykırı olarak işlenmesini önlemek”, (b) “kişisel verilere hukuka aykırı olarak erişilmesini önlemek”, (c) “kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak” zorunda olduğunun düzenlendiği, aynı maddenin 4 numaralı fıkrasında ise, veri sorumluları ile veri işleyenlerin, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağının hüküm altına alındığı,
  • Bankacılık Kanununun 76 ncı maddesinde “bankalar, müşterilerinin, verilen hizmetlerden kaynaklanan her türlü sorularına cevap verecek bir sistem kurmakla ve bu hizmetle ilgili bilgiyi müşterilerine bildirmekle yükümlüdür. Bankalar, kredi sözleşmelerinin onaylı bir örneğini müşterilerine vermek zorundadır. Talepleri hâlinde müşteri ile yapılan diğer işlemlere ilişkin her türlü belgenin bir örneği de müşterilere verilir.” hükmü düzenlenmiş olmakla birlikte Bankanın, söz konusu borç bilgisini paylaşmasının, kanun gereğince hizmetle ilgili bilgiyi müşterilerine bildirme yükümlülüğünü yerine getirmesi olarak değerlendirilmesinin uygun olmayacağı,
  • Zira Bankacılık Kanununun 73 üncü maddesinin (3) numaralı fıkrası gereğince “Sıfat ve görevleri dolayısıyla bankalara veya müşterilerine ait sırları öğrenenler, söz konusu sırları bu konuda kanunen açıkça yetkili kılınan mercilerden başkasına açıklayamazlar.” hükmü düzenlenmiş olup aynı husus Bankacılık Kanununun 159’uncu maddesinde de “Bu Kanunun 73’üncü maddesinin birinci ve üçüncü fıkralarında belirtilen yükümlülüğe uymayanlar için bir yıldan üç yıla kadar hapis ve bin günden ikibin güne kadar adlî para cezası hükmolunur. Banka ve müşterilere ait sırları açıklayan üçüncü kişiler hakkında da aynı cezalar uygulanır” şeklinde düzenlendiği,
  • Aynı zamanda Bankacılık Kanununun Ek 1’inci maddesinde “Risk Merkezi nezdinde bulunan sır niteliğindeki bilgileri, bu konuda kanunen yetkili kılınan mercilerden başkalarına açıklayanlar, hukuka aykırı olarak kendisi ya da başkası yararına kullananlar, yayanlar, verenler, aktaranlar veya ele geçirenler hakkında 159’uncu madde hükümleri uygulanır. Bu fıkrada tanımlanan suçların bir tüzel kişinin faaliyeti çerçevesinde işlenmesi halinde, ilgili tüzel kişi hakkında Türk Ceza Kanununun tüzel kişilere özgü güvenlik tedbirlerine hükmolunur.” düzenlemesine yer verildiği,
  • Söz konusu verilerin kanuna aykırı olarak üçüncü kişilerle paylaşılması durumunda bu fiili gerçekleştiren kişiler için Türk Ceza Kanununun 136’ncı maddesi gereğince kişisel verilerin hukuka aykırı olarak verilmesi suçunun vücut bulacağı, ayrıca Türk Ceza Kanununun 239/1’inci maddesinde “Sıfat veya görevi, meslek veya sanatı gereği vakıf olduğu ticari sır, bankacılık sırrı veya müşteri sırrı niteliğindeki bilgi veya belgeleri yetkisiz kişilere veren veya ifşa eden kişi, şikayet üzerine, bir yıldan üç yıla kadar hapis ve beş bin güne kadar adlî para cezası ile cezalandırılır.” hükmü gereğince somut olayda müşteri sırrının ifşasının da söz konusu olacağı

hususlarından hareketle,

  • İlgili kişinin başvurusunda manevi zarara uğradığı yönünde bir iddia ve buna ilişkin bir tazminat talebinin söz konusu olduğu dikkate alınarak, Kanunun 14 üncü maddesinin (3) numaralı fıkrasında yer alan “Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır.” hükmü çerçevesinde, söz konusu talebini genel mahkemeler huzurunda kullanması gerektiğinden, bu hususta Kanun kapsamında Kurul tarafından tesis edilecek bir işlem bulunmadığına,
  • Diğer yandan, ilgili kişinin vekili tarafından yapılan şikayet başvurusu yalnızca tazminat talebine yanıt verilmemiş olmasını içermekte ise de, yapılan incelemede Kanunun 12 nci maddesi hükümlerinin ihlal edildiği kanaati oluştuğundan veri sorumlusu bünyesinde söz konusu ihlale neden olanlar hakkında Kanunun 18 inci maddesinin hükmü kapsamında işlem tesis edilmesine,
  • İlgili kişinin tarafına ait borç bilgilerinin rızası ve bilgisi dışında üçüncü kişilerle paylaşıldığı iddiası, sair mevzuat kapsamında hukuka aykırı bir fiil olduğundan ve bu fiiller Bankacılık Kanunu ve Türk Ceza Kanununun ilgili hükümlerinde de düzenlenmiş olduğundan, ilgili Banka ve personel hakkında Bankacılık Kanunu ve Türk Ceza Kanunu kapsamında işlem tesis edilmesi hususunun değerlendirilmesini teminen konunun Bankacılık Düzenleme ve Denetleme Kurumuna intikal ettirilmesine

karar verilmiştir.

16.01.2020: “İlgili kişinin kişisel verilerinin hukuka aykırı işlendiği iddiası kapsamında veri sorumlusu bankadan talep ettiği tazminat talebinin karşılanmaması hakkında”
Karar Tarihi : 16/01/2020
Karar No : 2020/41
Konu Özeti :İlgili kişinin kişisel verilerinin hukuka aykırı işlendiği iddiası kapsamında veri sorumlusu Bankadan talep ettiği tazminat talebinin karşılanmaması hakkında

Kurumumuza intikal eden bir şikayet başvurusunda kişinin bir Bankaya kredi borcu olduğu, muhtelif nedenlerle borcunu ödeyemediği ve Bankanın yasal takip başlattığı, 2018’in ikinci yarısında sigortalı olarak bir işe girdiği ve sigortası başlar başlamaz cep telefonundan arandığında cevap vermesine rağmen Bankanın iş yerini aradığı ve aile bilgilerinin sorgulandığı, ödeme yapıp yapmayacağının iş yeri sekreterine defaten sorulduğu, aramalardan sonra aynı yıl içinde iş akdinin firma tarafından sonlandırıldığı belirtilerek konuyla ilgili Bankaya mail yoluyla başvurduğu ve 100.000 TL maddi manevi tazminat isteminde bulunduğu belirtilmiş ve Kurumumuzca gereğinin yapılması talep edilmiştir.

Konuya ilişkin yapılan değerlendirme neticesinde 16/01/2020 tarih ve 2020/41 sayılı Kişisel Verileri Koruma Kurulu Kararı ile;

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun 11 inci maddesinin (1) numaralı fıkrasında ilgili kişinin haklarının düzenlendiği buna göre herkesin veri sorumlusuna başvurarak kendisiyle ilgili;

a) Kişisel veri işlenip işlenmediğini öğrenme,

b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

d) Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,

e) 7’inci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,

f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması haline zararın giderilmesini talep etme

haklarına sahip olduğu,

  • İlgili kişinin veri sorumlusuna başvurusunun 11 inci madde kapsamında bir talep içermediği ve Kuruma şikayetinde de iddialarını kanıtlayıcı bir belge de sunmadığının görüldüğü,
  • Ayrıca zarara uğradığı ve buna yönelik bir tazminat talebi söz konusuysa, Kanunun 14’üncü maddesinin (3) numaralı fıkrasında yer alan “Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır.” hükmü çerçevesinde, söz konusu talebini genel mahkemeler huzurunda kullanması gerektiği,

hususlarını göz önünde bulundurarak Kanun kapsamında yapılacak bir işlem bulunmadığına

karar verilmiştir.

16.01.2020: “İlgili kişinin dergi aboneliği işlemleri ile ilgili bir çağrı merkezine vermiş olduğu telefon numarasının, anılan çağrı merkezi tarafından bir gıda şirketinin reklamının yapılması amacıyla aranması hakkında”
Karar Tarihi : 16/01/2020
Karar No : 2020/34
Konu Özeti :İlgili kişinin dergi aboneliği işlemleri ile ilgili bir çağrı merkezine vermiş olduğu telefon numarasının anılan çağrı merkezi tarafından bir gıda şirketinin reklamının yapılması amacıyla aranması hakkında

Kurumumuza intikal eden şikayette ilgili kişinin bir gıda şirketi adına 053.….. nolu telefonundan arandığını, şirketin internet sitesinin “bize ulaşın” bölümünden kişisel verisinin nasıl elde edildiğine ilişkin başvuruda bulunduğunu ancak kendisine herhangi bir geri dönüşte bulunulmadığını, bunun üzerine ticari işletmeye aynı taleple yazılı olarak da başvurduğunu, çağrı merkezi işiyle iştigal eden bir gerçek kişiden gelen cevabi yazıda;

  • Kendisinin 2008 yılından beri yetki aldığı firmaların ürünlerinin çağrı merkezi işi ile uğraştığını, 2013-2014-2015 yıllarında bir spor kulübünün kendisine verdiği yetki uyarınca dergi abonesi olan kişilerin abonelik süresini uzatmaya yönelik arama hizmeti gerçekleştirdiğini,
  • Şikayetçinin söz konusu spor dergisi abonesi olması dolayısıyla server sisteminde telefon bilgisinin yer aldığı, ilgili kişinin telefon bilgisinin dergi aboneliğinin gerçekleştiği tarihte 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanununun 10. maddesine uygun olarak saklandığı, veri sorumlusunun 2017 yılından bu yana bir gıda markasıyla çeşitli doğal gıda ürünlerinin internet üzerinden satış ve pazarlama işini yürüttüğü,
  • Veri sorumlusunun kullanmakta olduğu server arama sisteminin hata sonucu ilgili kişinin numarasının silinmesine karşın sistemin numarayı aradığının tespit edildiği, yapılan yanlışlık akabinde ilgili kişiye yazılı özür cevabı verilerek Kanunun 7 inci maddesi uyarınca kişisel verisinin geri dönülmez şekilde yok edildiği

bilgisinin verildiği, bu çerçevede söz konusu dergiye yapmış olduğu aboneliği kapsamında sisteme kaydedilen verilerin amacı dışında kullanıldığı ifade edilerek 6698 sayılı Kanun kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin yapılan incelemede Kişisel Verileri Koruma Kurulunun 16/01/2020 tarih ve 2020/34 sayılı Kararı ile,

  • 6698 sayılı Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde, kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, bu çerçevede, kişisel verilerin ancak,

a)Hukuka ve dürüstlük kurallarına uygun şekilde,

b) Belirli, açık ve meşru amaçlar kapsamında,

c) Doğru ve gerektiğinde güncel olma şartıyla,

ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve

d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

ilkelerine uygun işlenebileceği,

  • Kanunun kişisel verilerin işlenme şartlarına ilişkin 5 inci maddesinin (1) numaralı fıkrasında “Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez”, (2) numaralı fıkrasında ise “Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: a) Kanunlarda açıkça öngörülmesi. b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması”. hükümlerine yer verildiği,
  • Kanunun 7 nci maddesinin (1) numaralı fıkrasında, bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği, yok edileceği veya anonim hale getirileceğinin hükme bağlandığı,
  • Kanunun Geçiş Hükümlerine ilişkin Geçici 1 inci maddesinin 3 üncü fıkrasında “(3) Bu Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilir. Bu Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinir, yok edilir veya anonim hâle getirilir. Ancak bu Kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması hâlinde, bu Kanuna uygun kabul edilir.” hükmüne yer verildiği,
  • Kanunun yürürlük tarihinden önce ilgili kişi tarafından spor dergisi aboneliği sırasında paylaşılan kişisel verilerin o dönemde söz konusu spor kulübü adına dergi abonesi olan kişilerin abonelik süresini uzatmaya yönelik arama hizmeti gerçekleştiren kişi (veri sorumlusu) tarafından işlendiği, veri sorumlusu tarafından kayıtlarında yer alan bilgilerin başka bir tarihte yine veri sorumlusu tarafından bu kez bir başka Şirket adına işlenerek arandığı, dolayısı ile verinin ilk işlenme amacından farklı olarak başka bir amaç için kullanıldığı yani kişisel verilerin Kanunun 4 üncü maddesinde yer alan verinin işlendikleri amaçla bağlantılı ve sınırlı olma ilkesine aykırı hareket edildiği kanaatine varıldığı,
  • Öte yandan Kanunun Geçiş Hükümlerine ilişkin Geçici 1 inci maddesinin 3 üncü fıkrasında yer alan “Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilir” hükmü kapsamında söz konusu verilerin Kanunun yayınlanma tarihinden sonraki iki yıl içerisinde Kanuna uygun hale getirilmesi amacıyla; spor dergisi aboneliği için çağrı merkezi hizmeti vermeye ilişkin veri sorumlusu ile ilgili spor kulübü arasında imzalanan sözleşmenin 2015 yılında bitmesinin ardından söz konusu verilerin işlenme amaçları ortadan kalktığından verilerin silinmesi gerektiği, verinin veri sorumlusu tarafından farklı amaçlarla işlenmesinin sürdürmesi amaçlanıyor ise de ilgili kişinin işlenme amaçlarına ilişkin açık rızasının alınması gerektiği ancak bu işlemlerin gerçekleştirilmediğinin anlaşıldığı,
  • Her ne kadar veri sorumlusu tarafından ilgili kişinin numarasının silinmesine karşın sistemin numarayı bir hata sonucu aradığı beyan edilse de ilgili kişinin numarasının aranmasının silinme işleminin gerektiği gibi gerçekleştirilmediğinin göstergesi olduğu ve bu kapsamda veri sorumlusunun Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine yer alan “kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” hükmüne aykırı davrandığının değerlendirildiği

hususlarından hareketle veri sorumlusu hakkında, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 18.000 TL idari para cezası uygulanmasına

karar verilmiştir.

07.11.2019: “Telekomünikasyon sektöründe faaliyet gösteren veri sorumlusu tarafından şikayetçiye, ad ve soyadı benzerliği olan başka bir abonesinin fatura bilgilerinin e-posta yoluyla iletilmesi hakkında”
Karar Tarihi : 07/11/2019
Karar No : 2019/333
Konu Özeti :Telekomünikasyon sektöründe faaliyet gösteren veri sorumlusu tarafından şikayetçiye, ad ve soyadı benzerliği olan başka bir abonesinin fatura bilgilerinin e-posta yoluyla iletilmesi hakkında

Kurumumuza intikal eden bir şikayet başvurusunda özete;

  • İlgili kişinin bir telekomünikasyon firması adına kayıtlı 053……87 numaralı hattı için e-faturalı aboneliği kapsamında …….@gmail.com e-posta adresini kullandığı, 2018 yılı Ağustos ayından itibaren kendi faturaları ile birlikte isim benzerliği dolayısıyla başka bir abonenin faturalarının da tarafına e-posta ile gönderildiği,
  • Kişisel verilerinin işlenme sürecinde ortaya çıkan bu hatanın düzeltilmesi, kişisel verilerinin hangi amaçlarla işlendiği, yurt içi ve yurt dışında verilerinin aktarıldığı üçüncü kişiler hakkındaki bilgi taleplerini içeren e-postasını veri sorumlusuna göndererek başvuruda bulunduğu, aynı gün içinde tarafına gönderilen e-postada talebi ile ilgili olarak bir iş günü içerisinde yanıt verileceğinin ifade edilmesine rağmen herhangi bir cevap verilmediği,
  • Öte yandan başvurusunun akabinde yanlış e-fatura gönderiminin tekrar gerçekleştiği

belirtilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.

Bu çerçevede Kurumumuz tarafından veri sorumlusunun konuya ilişkin savunması istenilmiş, alınan cevabi yazıda özetle;

  • Şikayetçi ile şirketlerinin aynı isme sahip bir başka abonesinin fatura detaylarının şikayetçi kişiye iletilmesi konusuna ilişkin olarak Şirketlerinin imtiyaz sözleşmesi kapsamında mobil elektronik haberleşme hizmeti veren bir işletme olduğu, bu kapsamda Bilgi Teknolojileri ve İletişim Kurumu’nun (BTK) düzenlemelerine tabi olduğu,
  • BTK Tüketici Hakları Yönetmeliğinin (THY) “Abone sözleşmelerinin kuruluşu ve içeriği” başlıklı 7 inci maddesinin (1) numaralı fıkrasının “İşletmecinin dönemsel ya da sürekli olarak bir hizmeti yerine getirmeyi veya mal teminini üstlendiği durumlarda tarafların birbirine uygun karşılıklı rızası ile abonelik sözleşmesi yapılır. Abonelik sözleşmeleri, elle atılan imza ve güvenli elektronik imza ile yapılabilir.” şeklinde düzenlendiği, bu çerçevede Şirketlerinin aboneleri ile yaptığı Mobil Abonelik Sözleşmesi’ne göre aboneler tarafından iletilen bilgiler kapsamında hizmetlerin sunulduğu,
  • Bununla birlikte THY’nin “Fatura gönderme yükümlülüğü” başlıklı 19 uncu maddesinin (1) numaralı fıkrasının “İşletmeciler, abonenin ispatlanabilir beyanı doğrultusunda; mali mevzuata uygun olarak düzenlenen faturayı posta veya elektronik posta yöntemlerinden birisini kullanarak veya asgari olarak fatura tutarı ve son ödeme tarihini içeren fatura bilgilerini kısa mesaj yöntemi ile son ödeme tarihinden önce abonelere ulaşacak şekilde ücretsiz olarak göndermekle yükümlüdür. Fatura veya fatura bilgisinin, elektronik posta veya kısa mesaj ile gönderilmesi durumunda söz konusu gönderme işlemi son ödeme tarihinden en az yedi gün önce aboneye ulaşacak şekilde ücretsiz olarak gönderilir.” şeklinde düzenlendiği, bu çerçevede ilgili maddeye göre faturasını e-posta ile almak isteyen abonelerin kendi beyanları doğrultusunda ilettikleri e-posta adreslerine faturalarının elektronik ortamda gönderildiği,
  • Şikayet konusuna ilişkin yapmış oldukları inceleme doğrultusunda Şikayetçi ile isim benzerliği bulunan Şirketlerinin başka bir abonesi olan kişinin Mobil Abonelik Sözleşmelerinin ayrı ayrı incelendiği ve her iki abonenin de sözleşmelerinde aynı e-posta adresini beyan ettiklerinin görüldüğü,
  • Aboneleri tarafından Şirkete iletilmiş olan e-posta adreslerine faturaları, THY’nin 19 uncu maddesinin (1) numaralı fıkrası gereğince “Fatura gönderme yükümlülüğü”nün yerine getirilmesi amacıyla elektronik posta yöntemiyle iletilmiş olduğu ve Şirket tarafından mevzuata uygun hareket edildiği,
  • Diğer taraftan şikayetin giderilmesi amacıyla müşteri memnuniyeti çerçevesinde ve ilgililerin iletişim bilgilerinin güncel tutulmasını teminen Şirketin abonesi olan ve aynı e-posta adresini beyan eden diğer kişi ile birçok kez iletişime geçilmeye çalışıldığı ancak hattında bulunan kısıtlama sebebi ile kendisine ilk etapta ulaşılamadığı, daha sonra devam eden aramalarda bahsi geçen kişiye bir kez ulaşılabildiği ve e-posta adresine ilişkin şikayet konusu durum aktarılarak mevzuata uygun bir şekilde güncelleme yapması gerektiği konusunda bilgi verildiği, gelinen aşamada abonenin söz konusu güncellemeyi yapmaması ve şikayet konusu durumun devam etmesi nedeni ile konunun çözüme kavuşturulması amacıyla ilgili e-posta adresinin sistemden kaldırılarak Şikayetçiye ilgili e-postaların gitmesinin sonlandırıldığı,
  • İlgili kişi tarafından yapılan başvuruya ilişkin olarak Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in “Başvuru usulü” başlıklı 5 inci maddesinin “(1) İlgili kişi, Kanunun 11 inci maddesinde belirtilen hakları kapsamında taleplerini, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna iletir.

(2) Başvuruda;

a) Ad, soyad ve başvuru yazılı ise imza,

b) Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası,

c) Tebligata esas yerleşim yeri veya iş yeri adresi,

ç) Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,

d) Talep konusu,

bulunması zorunludur.

(3) Konuya ilişkin bilgi ve belgeler başvuruya eklenir.

(4) Yazılı başvurularda, veri sorumlusuna veya temsilcisine evrakın tebliğ edildiği tarih, başvuru tarihidir.

(5) Diğer yöntemlerle yapılan başvurularda; başvurunun veri sorumlusuna ulaştığı tarih, başvuru tarihidir.” şeklinde düzenlendiği,

  • Şirket tarafından Kişisel Verilerin Korunması Kanununun “Veri sorumlusuna başvuru” başlıklı 13 üncü maddesinde düzenlenen yükümlülükler kapsamında hassasiyetle gereği gibi etkin, hukuka ve dürüstlük kurallarına uygun olarak işlemleri sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirlerin alındığı,
  • Başvuruda Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 5 inci maddesine uygun biçimde zorunlu olarak yer verilmesi gereken başta TC Kimlik Numarası olmak üzere tebligata esas yerleşim yeri veya işyeri adresi, varsa bildirme esas elektronik posta adresi, telefon ve faks numarası gibi kendisini doğrulamaya yarayacak olan herhangi bir bilgi vermediği ve bu çerçevede, kimlik teyidinin yapılamadığı, teknik anlamda güvenli olmaması sebebi ile e-posta ortamında cevap verilmesinin veri güvenliği açısından risk arz edeceğinin değerlendirildiği ve somut olaydaki şekilde birden fazla abonenin aynı e-posta adresini kullanabilmesinden mütevellit veri güvenliğinin sağlanmasını teminen Kurumumuz düzenlemelerine de aykırı şekilde gerçekleştirilmiş olan bu başvuruya dönüş yapılamadığı

ifadelerine yer verilmiştir.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 07/11/2019 tarih ve 2019/333 sayılı Kararı ile;

  • Veri sorumlusunun Şikayetçi ile aynı isme sahip bir başka Şirket abonesinin fatura detaylarının Şikayetçi kişiye iletilmesi konusuna ilişkin açıklamaları Kanun ve ilgili alt düzenleme hükümleri çerçevesinde değerlendirildiğinde; her iki müşteri ile yapılan Abonelik Sözleşmeleri incelendiğinde aynı e-posta adresinin iki kişi tarafından da beyan edildiği, Şikayetçinin 2013 yılına ait Abonelik Sözleşmesinin el yazısı ile doldurulduğu, diğer müşterinin 2018 yılına ait Abonelik Sözleşmesinin ise elektronik ortamda doldurulduğu, iki kişinin aynı e-posta adresini almasının teknik açıdan mümkün olmadığı, kayıt sırasında bir yazım yanlışı yapılmasının ihtimal dahilinde olduğu,
  • Müşteri memnuniyeti çerçevesinde Şirketin diğer abonesi ile hangi tarihlerde iletişime geçilmeye çalışıldığı ve hangi tarihte kendisiyle görüşüldüğünün belirtilmediği, bahsi geçen müşterinin e-posta adresine ilişkin şikayet hakkındaki bilgilendirme sonrası herhangi bir güncelleme yapmaması sebebi ile şikayet konusu e-postanın hangi tarihte sistemlerinden kaldırıldığı bilgilerinin tarafımıza gönderilen cevap metninde paylaşılmadığının tespit edildiği,
  • Bu çerçevede bir müşterinin abonelik kaydı oluşturulurken sistemde kayıtlı bulunan bir e-posta adresi yazıldığında bu e-postanın hali hazırda kayıtlı bir müşteri için var olduğu uyarısının kayıt yapılan sistem tarafından verilmemesi dolayısıyla veri sorumlusunun veri güvenliğine ilişkin gerekli teknik tedbirleri almadığı, sistemindeki verilerin doğru ve gerektiğinde güncel olmadığı ve müşterilerinin verilerini başka müşteriler ile paylaşabildiğinden bünyesinde barındırdığı kişisel verilerin güvenliğini sağlayamadığı kanaatine varıldığı,
  • Veri sorumlusunun ilgili kişinin başvurusuna cevap vermemesi ile ilgili olarak halihazırda veri kayıt sisteminde kayıtlı olan bir abonenin Abonelik Sözleşmesi yapılması sırasında beyan ettiği e-posta adresi üzerinden yaptığı başvurusu için kimlik teyidi yapılamadığı gerekçesinin kabul edilebilir olmadığı, iki abonenin de aynı e-posta ile kayıtlı olmasından ötürü karışıklık yaşanabileceği kanaatine varılmış olsa da şikayet başvurusuna Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe uygun başvuru koşulları hatırlatılarak verilecek bir cevap ile kimlik teyidinin vatandaşı mağdur etmeden yapılabileceğinin değerlendirildiği,
  • Ayrıca kişinin yaptığı başvuruya ilişkin olarak veri sorumlusunun e-posta adresinden talebin bir iş günü içerisinde cevaplanacağına ilişkin Şikayetçiye gönderilen cevap postasının hemen altında yer verilen “Etkileşim Kanallarımız” başlıklı bölümde yer verilen e-posta adresi üzerinden ve yine daha önce veri sorumlusuna bildirilen e-posta adresi ile şikayet başvurunda bulunduğundan ötürü veri sorumlusunun e-posta ortamından gelecek şikayet taleplerinin alınması ve cevap verilmesinin veri güvenliği açısından risk içereceğinden dolayı cevap verilmediğine ilişkin savunmasının yukarıda yer verilen bilgiler ışığında gerçekçi bir savunma niteliği taşımadığı kanaatine varıldığı,
  • Veri sorumlusunun ilgili kişinin başvurusuna “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ”e uygun olmadığı gerekçesi ile cevap verilmemesinin Tebliğin 6’ncı maddesinde yer alan hukuka uygunluk ve dürüstlük kuralı ile bağdaşmayacağı

sonucuna varılmış olup, bu kapsamda;

  • Şikayetçiye, ad ve soyadı benzerliği olan başka bir abonenin fatura bilgilerinin e-posta yoluyla iletilmesinin Kanunun 12 nci maddesinin (1) numaralı fıkrasına aykırı olduğu kanaatine varılmasından ötürü, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca veri sorumlusu hakkında 50.000 TL idari para cezası uygulanmasına,
  • Bununla birlikte “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ”in hükümlerine uyum konusunda azami dikkat ve özenin gösterilmesi ve bu karar çerçevesinde abonelerin kişisel verilerinin güvenliğine ilişkin gerekli tüm idari ve teknik tedbirlerin alınması hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

01.10.2019: “Veri sorumlusu tarafından ilgili kişiye gönderilen reklam amaçlı SMS’ler hakkında”
Karar Tarihi : 01/10/2019
Karar No : 2019/297
Konu Özeti :Veri sorumlusu tarafından ilgili kişiye gönderilen reklam amaçlı SMS’ler hakkında

 

Kurumumuza iletilen bir şikayet başvurusunda özetle :

  • Otomotiv sanayi sektöründe faaliyet gösteren veri sorumlusu tarafından ilgili kişinin numarasına reklam içerikli SMS gönderildiği, kendisinin bu şekilde yapılan reklamlardan rahatsızlık duyduğu ve kişisel verilerinin açık rızası olmaksızın işlendiğini düşünmesi sebebiyle 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) çerçevesinde veri sorumlusuna başvurduğu veri sorumlusunun başvuruya yazılı olarak cevap verdiği, kendisinin bu cevabı yeterli bulmadığı, bu anlamda kişisel verilerinin açık rızası olmaksızın işlendiği düşünerek Kurula şikayette bulunmuştur.

Kurul tarafından eldeki bilgi ve belgeler değerlendirilerek;

  • 6698 sayılı Kanunun Geçici 1 inci maddesinin (3) numaralı fıkrasında, “Bu Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilir. Bu Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinir, yok edilir veya anonim hâle getirilir. Ancak bu Kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması hâlinde, bu Kanuna uygun kabul edilir.” hükmüne yer verildiği,
  • Buna ilaveten, 15/07/2015 tarihli Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik’in Geçici 1/2 maddesinde, “Kanunun yürürlük tarihinden önce, hizmet sağlayıcı ve alıcı arasında doğrudan mal veya hizmet teminine yönelik işlemler sırasında alıcının elektronik iletişim adresini vermesi ile oluşturulan veri tabanlarının onaylı olduğu kabul edilir. Bu şekilde verildiği kabul edilen onay; acente, özel yetkili ya da bayi işletme için verilmiş ise sözleşmenin diğer tarafı için de verilmiş kabul edilir.” hükmünün yer aldığı,
  • Başvuruya konu olay incelendiğinde; veri sorumlusu tarafından, 2012 yılında ilgili kişinin başvurusunda belirttiği telefon numarasından Firma Merkezini arayarak motosikleti için İngilizce kullanım kılavuzu talep ettiğinin, bu talebiyle beraber şahsıyla e-posta, SMS ve telefon ile iletişime geçilmesine izin verdiğinin, ayrıca ilgili kişinin 2013 yılında motosikleti için Firmadan yedek parça ve servis hizmeti satın aldığının, bu duruma ilişkin olarak fatura cari kaydının bulunduğunun görüldüğü,
  • Firmanın, ilgili kişinin başvurusuna cevaben, söz konusu iddialarını tevsik etmek üzere satın alınan ürün ve hizmetin fatura bilgisini gösterir ekran görüntülerinin sunulduğunun, ilgili kişinin başvuru dilekçesinde de Firmanın iddialarının doğru olmadığına yönelik bir beyanının olmadığı,
  • Açıklanan mevzuat hükümleri uyarınca, veri sorumlusu tarafından ilgili kişiye verilen cevapta belirtildiği üzere ilgili kişinin kişisel verilerinin, 2012 yılında Firma Merkezini arayarak motosikleti için İngilizce kullanım kılavuzu talep etmesi ve bu talebiyle beraber şahsıyla e-posta, SMS ve telefon ile iletişime geçilmesine izin vermesi, ayrıca ilgili kişinin 2013 yılında motosikleti için Firmadan yedek parça ve servis hizmeti satın almasına binaen işlendiğinin beyan edilmesi ve başvuru sahibince aksinin iddia edilmemesi sebebiyle, bahsi geçen satın alma işleminin Kanunun yürürlüğe girmesinden önce gerçekleştiği anlaşıldığından şikayete ilişkin 6698 sayılı Kanun kapsamında yapılacak herhangi bir işlem bulunmadığına

karar verilmiştir.

18.09.2019: “Ölü kişilerin verilerine yakınlarının erişim talebi hakkında”
Karar Tarihi : 18/09/2019
Karar No : 2019/273
Konu Özeti :Ölü kişilerin verilerine yakınlarının erişim talebi hakkında

 

Ölü bir kişinin eşinin Kurumumuza yaptığı başvurusunda özetle;

  • 2018 yılında vefat eden eşinin yasal mirasçısı olarak eşinin İstanbul’da tedavi görmüş olduğu Klinikten tüm medikal ve diğer bilgilerini talep ettiğini, bu talebini içeren bir mektubu taahhütlü posta ile bahse konu Kliniğe ilettiğini, postanın karşı tarafça alındığını, ancak kendisine bir yanıt verilmediğini,
  • Bunun üzerine bahse konu taleplerini içeren bir epostayı Kliniğin elektronik ortamdaki adresine ilettiğini ve yanıt olarak resmi olmayan yollarla kendisi ile veri paylaşılamayacağının iletildiğini

ifade ederek, eşinin başvurusunda yer alan verilerine erişim talebinde bulunmuştur.

Konuya ilişkin yapılan değerlendirme neticesinde Kişisel Verileri Koruma Kurulunun 18/09/2019 tarih ve 2019/273 sayılı Kararı ile;

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 3 üncü maddesinde ilgili kişinin “kişisel verileri işlenen gerçek kişi” olarak tanımlandığı,
  • 4721 sayılı Türk Medeni Kanununun 28 inci maddesinde ise kişiliğin, çocuğun sağ olarak tamamıyla doğduğu anda başladığı ve ölümle sona erdiği hükmünün yer aldığı,
  • Kanunun 11. maddesine göre ilgili kişinin kendisi ile ilgili kişisel veriler hakkında bilgi talep edebileceği,

hususları bir bütün olarak değerlendirildiğinde; talep edilen kişisel verilerin talep eden gerçek kişiye ilişkin olmaması ve ölmüş kişiye ait olması sebebiyle talebin, Kanunun 11. maddesi kapsamında bir talep olarak değerlendirilmeyeceği, kanısına varıldığından bu hususta 6698 sayılı Kanunun kapsamında yapılacak bir işlemin olmadığına

karar verilmiştir.

08.07.2019: “Veri sorumlusunun, web sitesinde kişisel verilerin işlenmesini hizmet şartı olarak talep ettiği ve aydınlatma yükümlülüğünü usulüne uygun yerine getirmediği iddiaları hakkında”
Karar Tarihi : 08/07/2019
Karar No : 2019/206
Konu Özeti :Veri sorumlusunun, web sitesinde kişisel verilerin işlenmesini hizmet şartı olarak talep ettiği ve aydınlatma yükümlülüğün usulüne uygun yerine getirmediği iddiaları hakkında

Kurumumuza intikal eden ihbar başvurusunda özetle, veri sorumlusunun hizmet sunduğu web sayfasına girildiğinde, giriş yapılması için zorunlu bir alan çıktığı ve e-posta adresinin talep edildiği, istenilen kişisel veriler verilmeden ana sayfaya geçiş imkânının bulunmadığı ve bu bakımdan söz konusu kişisel verinin verilmesinin bir hizmet şartı olarak talep edildiği; kişisel veri talebi sırasında aydınlatma yükümlülüğü kapsamında sunulan metnin, işlenen kişisel verileri ve hukuki sebeplerini açıkça ortaya koymadığı iddia edilmekte olup, konuya ilişkin olarak başlatılan resen inceleme çerçevesinde alınan 08/07/2019 tarih ve 2019/206 sayılı Kurul Kararı ile;

1- 6698 sayılı Kişisel Verilerim Korunması Kanunu çerçevesinde açık rızanın, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile ya da karşı taraftan gelen istek üzerine, onay vermesi anlamını taşıdığı, kişinin açık rıza açıklaması ile aslında veri sorumlusuna kendi hukuksal değerine ilişkin verdiği kararı bildirdiği ve açık rıza açıklamasının, ilgili kişinin, işlenmesine izin verdiği verinin sınırlarını, kapsamını ve gerçekleştirilme biçimini de belirlemesini sağlayacağı, açık rızanın bu anlamda, rıza veren kişinin “olumlu irade beyanı”nı içermesi gerektiği,

Kanunun 3 üncü maddesinde yer verilen açık rıza tanımı kapsamında açık rızanın “belirli bir konuya ilişkin olması, rızanın bilgilendirmeye dayanması ve özgür iradeyle açıklanması” şeklinde üç unsurunun bulunduğu,

Açık rızanın özgür irade ile açıklanması gerektiğinden, ilgili kişinin açık rızasının alınmasının, bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmemesi gerektiği, Kurumumuza intikal eden ihbarda bahse konu web sayfasının, kişisel verinin işlenmesini bir hizmet şartı olarak talep ettiğinin iddia edildiği,

Bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının açık rıza şartına dayandırılmasının, açık rızanın özgür iradeyle açıklanmış olması kuralına aykırılık teşkil edecek olmakla birlikte, incelemeye konu web sitesinin, site bünyesinde kullanıcılara sunulan çeşitli alanlardaki mal ve hizmetlerin doğrudan tedarikçisi/sağlayıcısı niteliğinde olmadığı; farklı illerde, farklı sektörlerde ve farklı hizmet sağlayıcıları tarafından sunulan çeşitli hizmetlerin, indirimli fiyatlar üzerinden üyeler tarafından satın alınmasını sağlayan bir aracı firma/hizmet sağlayıcı rolü üstlendiğinin görüldüğü,

Bu çerçevede söz konusu Sitenin, farklı illerde, farklı sektörlerde ve farklı hizmet sağlayıcıları tarafından sunulan çeşitli hizmetler açısından üyelerine artı bir menfaat/avantaj sağladığı; siteye üye olmak istemeyen müşterilerin, söz konusu site bünyesinde yer almakla birlikte, farklı illerde, farklı sektörlerde ve farklı hizmet sağlayıcıları tarafından sunulan çeşitli hizmetlere erişim, bu ürünleri ya da hizmetleri satın alma imkânlarının da ortadan kaldırılmadığı;

Bu anlamda iddiaya konu hususta, bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının açık rıza şartına dayandırılmasından ziyade Site bünyesinde sunulan indirimli fiyatların ve avantajların yalnızca üye olanlara sunulmasının söz konusu olduğu

değerlendirmelerinden hareketle, iddiaya konu hususa ilişkin olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında tesis edilecek herhangi bir işlem bulunmadığına,

2- İkinci olarak Kanunun 10 uncu maddesi hükmü uyarınca, kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişinin, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları konusunda bilgi vermekle yükümlü olduğu,

“Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ”in; 5 inci maddesinin birinci fıkrasının

(f) bendinde; “Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.” hükmünün,

(g) bendinde; “Aydınlatma yükümlülüğü kapsamında açıklanacak kişisel veri işleme amacının belirli, açık ve meşru olması gerekir. Aydınlatma yükümlülüğü yerine getirilirken, genel nitelikte ve muğlak ifadelere yer verilmemelidir. Gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadeler kullanılmamalıdır.” hükmünün,

(ğ) bendinde; “Aydınlatma yükümlülüğü kapsamında ilgili kişiye yapılacak bildirimin anlaşılır, açık ve sade bir dil kullanılarak gerçekleştirilmesi gerekmektedir.” hükmünün,

(h) bendinde; “Kanunun 10 uncu maddesinin birinci fıkrasının (ç) bendinde yer alan “hukuki sebep” ten kasıt, aydınlatma yükümlülüğü kapsamında kişisel verilerin Kanunun 5 ve 6 ncı maddelerinde belirtilen işleme şartlarından hangisine dayanılarak işlendiğidir. Aydınlatma yükümlülüğünün yerine getirilmesi esnasında hukuki sebebin açıkça belirtilmesi gerekmektedir.” hükmünün,

(j) bendinde ise; “Aydınlatma yükümlülüğü yerine getirilirken eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmemelidir.” hükmünün

yer aldığı,

İhbara konu web adresi üzerinden erişim sağlanan “GİZLİLİK ve KVK Politikamız” başlıklı metin, söz konusu mevzuat düzenlemeleri çerçevesinde incelendiğinde;

Web sitesinin ilgili kişiler hakkında işlediği ad, soyadı, doğum tarihi, cep telefonu numarası, e-posta, cinsiyet, adres, sosyal medya hesaplarıyla bağlanılması durumunda üyenin o kanallar aracılığıyla paylaşılmasına onay verdiği bilgilerin, üyenin tüm alışveriş bilgilerinin, yani hangi üye işyeri, alışveriş noktası ve zamanı, ne kadar ödeme yaptığı, hangi kampanyadan faydalandığı, aldığı indirim tutarı, alışverişindeki ürün bilgileri, uygulama üzerindeki gezinme ve tıklama bilgilerinin, uygulamayı açtığı lokasyon bilgilerinin, “ilgili mevzuat”tan kaynaklanan yasal yükümlülük çerçevesinde mi yoksa ilgili kişilerin açık rızalarına istinaden mi işlendiğinin ya da söz konusu kişisel verilerin hangilerinin “ilgili mevzuat”tan kaynaklanan yasal yükümlülük çerçevesinde hangilerinin ise ilgili kişilerin açık rızalarına istinaden işlendiğinin açıkça belirtilmemiş olduğu,

İlgili kişilerin kişisel verilerin işlenmesinin hukuki sebebi olarak “ilgili mevzuattan kaynaklanan yasal yükümlülük”ten bahsedildikten sonra, aydınlatma metninin devamında, “… söz konusu amaç ve yasal yükümlülüklerini yerine getirebilmeyi sağlayacak kişisel verilerinizi … sizlerden talep etmektedir. Bu kişisel veriler veri sorumlusunun sunmuş olduğu hizmetlerden yararlanabilmeniz adına, açık rızanıza istinaden, … işlenecek ve saklanacaktır.” şeklinde bir bilgilendirmede bulunularak, kişisel veri işleme faaliyetinin asıl olarak ve yalnızca ilgili kişilerin açık rızalarına dayanılarak geçekleştirildiği izlenimine neden olunduğu,

Oysa kişisel veri işleme faaliyetinin, Kanunda bulunan açık rıza dışındaki şartlardan birine dayanıyorsa, bu durumda ilgili kişiden açık rıza alınmasına gerek bulunmadığı ve veri işleme faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılmasının, aldatıcı ve hakkın kötüye kullanımı niteliğinde olacağı; nitekim ilgili kişi tarafından verilen açık rızanın geri alınması halinde veri sorumlusunun diğer kişisel veri işleme şartlarından birine dayalı olarak veri işleme faaliyetini sürdürmesinin hukuka ve dürüstlük kurallarına aykırı işlem yapılması anlamına geleceği,

dikkate alındığında, bahse konu web adresi üzerinden erişim sağlanan “GİZLİLİK ve KVK Politikamız” başlıklı metnin, “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ”e uygun düzenlenmediği, bu kapsamda söz konusu metnin Tebliğde yer verilen hükümler dikkate alınmak suretiyle güncellenmesi, ayrıca aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiği yönünde Şirketin talimatlandırılmasına

karar verilmiştir.

16.05.2019: “Bir şirket sahibinin, çalışanının Whatsapp yazışmalarını hukuka aykırı olarak elde etmesi hakkında”
Karar Tarihi : 16/05/2019
Karar No : 2019/138
Konu Özeti :Bir şirket sahibinin, çalışanının Whatsapp yazışmalarını hukuka aykırı olarak elde etmesi hakkında

 

Şikâyetçinin rızası dışında kendisine ait Whatsapp yazışmalarının, çalıştığı şirketin sahibi tarafından hukuka aykırı olarak elde edilmesi ve üçüncü kişilerle paylaşılmasına ilişkin iddiaları ile ilgili olarak şikayette bulunması üzerine yapılan inceleme neticesinde; Kişisel Verileri Koruma Kurulunun 16/05/2019 tarih ve 2019/138 sayılı Kararı ile;

  • Kanunun 15 inci maddesinin (1) numaralı fıkrasında Kişisel Verileri Koruma Kurulunun, şikayet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapacağı; aynı maddenin (2) numaralı fıkrasında ise 1/11/1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesinde belirtilen a) Belli bir konuyu ihtiva etmeyen, b) Yargı mercilerinin görevine giren konularla ilgili olan, c) 4 üncü maddede gösterilen şartlardan (dilekçe sahibinin adı soyadı ve imzası ile iş veya ikametgâh adresi) herhangi birini taşımayan ihbar veya şikâyetlerin incelemeye alınmayacağının hükme bağlandığı,
  • Diğer taraftan, Kanunun 17 nci maddesinin (1) numaralı fıkrasında kişisel verilere ilişkin suçlar bakımından 26.09.2004 tarih ve 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümlerinin uygulanacağı belirtilmekte olup, Türk Ceza Kanununun 136 ncı maddesinde kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişinin, iki yıldan dört yıla kadar hapis cezası ile cezalandırılacağının hükme bağlandığı

değerlendirilmelerinden hareketle;

  • Şikayet edilenin Whatsapp grubunun kullanıcılarından biri olan bir çalışanının işyerindeki bilgisayarı üzerinden yazışmaları okuyup, fotoğraflarını çekmesinin ve/veya ekran görüntülerini kaydetmesinin TCK kapsamında değerlendirilmesi gerektiği,
  • Şikayet edilen tarafından rızası dışında kendisine ait Whatsapp yazışmalarının hukuka aykırı olarak elde edilmesi ve üçüncü kişilerle paylaşılmasına ilişkin iddiaları ile ilgili olarak; Şikayetçi tarafından Türk Ceza Kanununun ilgili hükümleri kapsamında İstanbul Anadolu Cumhuriyet Başsavcılığına suç duyurusunda bulunulduğu ve sürecin devam ettiği

dikkate alındığında, Kanunun 15 inci maddesinin (1) numaralı fıkrası çerçevesinde ilgili başvurunun Kanun kapsamında değerlendirilemeyeceğine

karar verilmiştir.

14.01.2020: “Bir banka tarafından ilgili kişinin kredi kartının rızası dışında üçüncü kişilere teslim edilmesine ilişkin”
Karar Tarihi : 16/01/2020
Karar No : 2020/32
Konu Özeti :İlgili kişinin kredi kartının rızası dışında üçüncü kişilere teslim edilmesi.

 

İlgili kişi tarafından Kurumumuza intikal eden şikayet dilekçesinde; yenilenen kredi kartının rızası dışında üçüncü kişilere teslim edilerek kişisel bilgilerinin açığa çıkmasına neden olunduğu belirtilmekte olup, Banka hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında gereğinin yapılması talep edilmiştir.

Yapılan incelemede kişinin yenilenen kredi kartının Banka sisteminde kayıtlı bulunan birinci adresine Kurye tarafından dağıtıma çıkarıldığı ancak kişiye ulaşılamadığı, kayıtlı telefon numarasına da Kurye Şirketi tarafından bilgilendirme SMS’lerinin gönderildiği ancak telefon numarasının servis dışı olması sebebiyle SMS’lerin kişiye iletilemediği, birinci adrese teslimat sağlanamadığından Banka sisteminde kayıtlı bulunan ikinci adrese dağıtıma gidildiği ve kartın burada bir kişiye teslim edildiği ancak teslim statüsünün hatalı olması sebebiyle kişiye SMS ile bilgilendirme yapılmadığı, daha sonra kişinin müşteri iletişim merkezi ile yaptığı görüşmelerde kredi kartının aslında birinci adrese teslim edildiğinin sisteme işlendiği, bu adresin doğru olduğu ancak teslim edilen kişinin tanınmıyor olmasının beyan edilmesi üzerine kartın güvenlik altına alınarak kapatıldığı, kartın aslında kişinin ikinci adresi olan eski işyeri adresine teslim edildiği anlaşılmıştır.

Söz konusu başvuru hakkında Kişisel Verileri Koruma Kurulu’nun 16/01/2020 tarih ve 2020/32 sayılı kararı ile,

  • Bankanın ilgili kişi tarafından gerekli adres güncellemelerinin yapılmadığına dair savunması karşısında, her ne kadar ilgili kişi bilgileri güncellememiş olsa da kurye tarafından emtianın teslim edilmesi sırasında yeterli kontrolün yapılmadığı, Bankanın da ilgili kişiye ait verilerin güncelliğini sağlamak açısından yeterli ve makul çabayı göstermediği,
  • Bankanın ilgili kişinin kredi kartına ilişkin bilgileri kendi veri kayıt sisteminde kendi belirlediği amaçlar ve vasıtalar ile tutmakta olduğundan veri sorumlusu olduğu, Bankanın bu verileri yine müşterisine sunmakta olduğu hizmet kapsamında kredi kartının asıl kart sahibine teslimini gerçekleştirmesi amacı ile aralarında imzalanan sözleşme kapsamında Kurye ile paylaştığı, söz konusu bu bilgilerin kartın teslimi için gerekli olan ad, soyad, adres gibi bilgileri içerdiği, kredi kartı numarası, son kullanma tarihi CCV numarası gibi kredi kartına ilişkin diğer bilgilerin ise kapalı zarfta yer aldığı ve Kurye firmasının bu bilgilere erişimi olmadığı dolayısı ile bu verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydı ile Kurye tarafından işlenemeyeceği, bu bakımdan Kurye’nin zarfın içerisinde yer alan bilgiler açısından veri sorumlusu olmadığı,
  • Kurye’nin Karayolu Taşıma Yönetmeliği çerçevesinde gönderici ve alıcılara ilişkin ad ve soyad, unvan, gerçek kişilerde T.C. kimlik numarası bilgilerini tam ve doğru şekilde kaydetme yükümlülüğüne sahip olduğu, kurye firmalarının yükümlülükleri kapsamında sunacakları hizmeti tam ve doğru bir şekilde yerine getirmek amacı ile bu verileri kendi sistemlerine kaydetmekte olduğu, bu açıdan Kurye’nin bağlı olduğu mevzuat çerçevesinde işlediği kişisel veriler bağlamında veri sorumlusu olduğu,
  • Öte yandan somut olayda Banka ile Kurye arasında imzalanan sözleşme kapsamında Kuryenin kredi kartının teslim edilebileceği kişilerin tespitinde sözleşmede yer alan hükümlere aykırı davranmış olduğu, bu hususun Banka ve Kurye arasında 6098 sayılı Borçlar Kanunu çerçevesinde çözüme bağlanması gereken bir durum olduğu,
  • Somut olay açısından Bankanın kart teslimi sırasında kişisel verilerin muhafazasını sağlamaya yönelik yükümlülükleri doğrultusunda yeterli idari ve teknik tedbirleri almadığı, ilgili kişiye ait verilerin güncelliğini sağlamak açısından yeterli ve makul çabayı göstermediği,

değerlendirilmiş olup, bu durumun Kanunun 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil ettiği kanaatine varılması nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında Banka hakkında 50.000 TL idari para cezasına hükmedilmesine

karar vermiştir.

14.01.2020: “Bir Eğitim Kurumu tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmaksızın işlenmesi ve ilgili numaraya reklam/bilgilendirme içerikli mesaj gönderilmesi”
Karar Tarihi : 14/01/2020
Karar No : 2020/20
Konu Özeti :Eğitim Kurumu tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmaksızın işlenmesi ve ilgili numaraya reklam/bilgilendirme içerikli mesaj gönderilmesine ilişkin şikayet hakkında

 

İlgili kişinin şahsına ait cep telefonuna açık rızası olmaksızın bir eğitim kurumu tarafından bilgilendirme/reklam amaçlı mesaj gönderilmesi üzerine veri sorumlusuna yaptığı başvuruya yanıt alamaması nedeniyle Kişisel Verileri Koruma Kuruluna ilettiği şikayet başvurusunun incelenmesi neticesinde; Kişisel Verileri Koruma Kurulunun 14/01/2020 tarih ve 2020/20 sayılı Kararı ile

Eğitim Kurumundan konuya ilişkin gerekli bilgi ve belgelerin istenilmesine ilişkin Kurumumuz yazısının işyerinde daimi çalışana teslim edilmesine rağmen, veri sorumlusu tarafından gerek ilgili kişiye gerek Kurumumuza bahse konu başvuru kapsamında herhangi bir cevap verilmediği dikkate alınarak, mevcut bilgi ve belgeler bir bütün halinde değerlendirildiğinde; Eğitim Kurumu tarafından ilgili kişinin açık rızası veya Kanunun 5 inci maddesinin (2) numaralı fıkrasında sayılan diğer işleme şartları olmaksızın cep telefonuna reklam amaçlı mesaj gönderilmesi suretiyle kişisel verilerinin işlenmesi nedeniyle, Kanun’un 12 nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılan Eğitim Kurumu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 50.000 TL idari para cezası uygulanmasına

karar verilmiştir.

14.01.2020: “İlgili kişi ile veri sorumlusu şirket arasında gerçekleştirilen telefon görüşmelerine ilişkin kayıtların ilgili kişiye verilmesi yönündeki talebin reddedilmesi hakkında”
Karar Tarihi : 14/01/2020
Karar No : 2020/13
Konu Özeti :Sermaye piyasası mevzuatı çerçevesinde, veri sorumlusu şirket ile ilgili kişi arasında imzalanan aracılık sözleşmesine ilişkin işlemlerle bağlantılı olarak ilgili kişiyle yapılmış olan telefon görüşmesi kayıtlarına erişim talebinin reddedilmesi hakkında.

 

İlgili kişi tarafından Kuruma yapılan şikâyet başvurusunda sermaye piyasası mevzuatı çerçevesinde alım-satıma aracılık faaliyeti kapsamında, veri sorumlusu ile imzalanan sözleşme uyarınca işlenen kişisel verilerinden, ilgili kişi ile yapılan telefon görüşmesi kayıtlarının tarafına verilmesi talebinde bulunulduğu ancak, söz konusu telefon görüşmelerine ilişkin kayıtların taraflarına verilmesi yönündeki talebinin reddedildiği belirtilerek, konunun 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında incelenmesi talep edilmiştir.

Söz konusu iddiaların incelenmesi neticesinde Kişisel Verileri Korum Kurulunun 14/01/2020 tarih ve 2020/13 sayılı Kararı ile;

Türkiye Cumhuriyeti Anayasasının “Özel hayatın gizliliği” başlıklı 20 nci maddesinin üçüncü fıkrası hükmüne göre; herkesin, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına ve bu anlamda bireylerin temel olarak, kendileri ile ilgili kişisel verilerin ilgisiz üçüncü kişilerin eline geçmemesi konusunda gerekli tedbirlerin alınmasını isteme hakkına sahip olduğu, bu hakkın; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsadığı, bu anlamda bireylerin, hangi amaçla hangi kişisel verilerinin kullanıldığını öğrenme hakkına sahip olduğu gibi söz konusu kişisel verilerde herhangi bir yanlışlık bulunması halinde bu durumun düzeltilmesini ya da verilerinin silinmesini isteme hakkına da sahip olduğuna

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 11 inci maddesinin birinci fıkrasının (b) bendi hükmü kapsamında ilgili kişinin, kendisiyle ilgili kişisel veriler işlenmişse buna ilişkin bilgi talep etme hakkının, söz konusu veriye erişim hakkını da kapsadığına ve erişim hakkının, bilgi talep etme hakkını tamamlayarak ilgili kişinin, kişisel verileri üzerindeki haklarını kullanabilmesi için, kişisel verilerinin ne şekilde işlendiğine dair tam olarak bilgi sahibi olmasına imkân sağladığına,

Ancak bu hakkın, kişisel verilerin işlendiği veri kayıt sisteminin/kayıt ortamının doğrudan kendisine erişimi, bu kayıt ortamının kendisinin ilgili kişiye teslimini veya doğrudan verinin kendisinin “elde edilme”sini değil; veri sorumlusunun veri güvenliğine ilişkin yükümlülükleri de dikkate alınarak, işlenen kişisel verilerin, teknik/fiziki imkânların el verdiği ölçüde ve verinin muhtevasına/içeriğine ilgili kişi tarafından makul bir şekilde ulaşılabilmesine imkân tanınmasını kapsadığına,

Şikâyetçi ilgili kişinin, veri sorumlusu tarafından işlenen kişisel verilerinin içeriğine, içeriğin tam olarak anlaşılmasına imkan tanıyacak şekilde erişim hakkı ile veri sorumlusunun, teknolojik olarak müdahale ve tahrif edilerek aleyhe kullanılabilecek olan ve şikayetçi dışındaki kişilerin de hassas nitelikli verisini içeren konuşma kayıtlarının kaydedildiği kayıt ortamının kendisinin, ancak yasal makamlar tarafından talep edildiği taktirde teslim edilebileceği yönündeki, makul kabul edilebilecek açıklaması arasındaki dengenin, şikayetçi ilgili kişi tarafından veri sorumlusundan talep edilen ses kayıtlarına ilişkin kayıt ortamlarının doğrudan ilgili kişiye teslimi suretiyle değil; ancak, talep edilen ses kayıtlarının dökümlerine, verilerin içeriğinin ilgili kişi tarafından tam olarak anlaşılmasına imkan tanıyacak şekilde, erişim hakkı sağlanarak gerçekleştirilebileceğine,

Bu çerçevede, Kanunun 15 inci maddenin 5 inci fıkrasında yer alan; “Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.” hükmü uyarınca, şikâyet başvurusuna konu telefon görüşmesi kayıtlarına ilişkin dökümün, veri sorumlusu tarafından veri güvenliğine ilişkin yükümlülükler de dikkate alınarak, ilgi kişiye gönderilmesine ve tesis edilen işlemler hakkında da Kurula bilgi verilmesine

karar verilmiştir.

14.01.2020: “Kişisel verilerin veri sorumlusu bir avukat tarafından kısa mesaj yoluyla üçüncü kişilere ifşa edilmesi hakkında”
Karar Tarihi : 14/01/2020
Karar No : 2020/26
Konu Özeti : Kişisel verilerin bir avukat tarafından kısa mesaj yoluyla üçüncü kişilere ifşa edilmesi hakkında

İlgili kişiden alınan şikayet dilekçesinde ve eklerinde özetle;

  • Bankaya olan borcundan dolayı veri sorumlusu avukat tarafından İcra Dairesinde icra takibi başlatıldığı,
  • İcra takibi başlatılmasından itibaren söz konusu avukatlık bürosu çalışanları tarafından münferit zamanlarda haciz işlemlerinin başladığına ilişkin arandığı ve mesajlar aldığı,
  • Aynı içerikteki mesajın yıllardır görüşmediği kardeşine de gönderilmesi üzerine kardeşinin aldığı ekran görüntüsünü kendisine yolladığı,
  • Bunun üzerine kişisel verilerinin üçüncü kişilerle paylaşılıp paylaşılmadığını öğrenmek adına kendisine ait mail adresinden veri sorumlusu avukata e-posta gönderdiği,
  • Avukatın verdiği cevapta Bankacılık Kanunu ve diğer mevzuatlar gereği borçluya ait telefon numarası veya ikamet adresi bilgilerinin tespit edilememesi ve ulaşılamaması durumunda başkaca tespit ettikleri telefon numarası veya adreslere bilgilendirme mesajı ve bilgilendirme mektubu gönderildiğinin belirtildiği, ancak veri sorumlusunun cevabında yer verilen şahsına ait bir telefon numarasına ulaşılmadığı bilgisinin doğru olmadığı, adına kayıtlı ve kullanmakta olduğu iki adet telefon numarası daha bulunduğu, bu numaralardan hiçbirine bilgilendirme mesajı gelmezken kardeşine ait telefon numarasına mesaj gitmesinin tarafını rencide etmeye yönelik olduğu,
  • Ayrıca kardeşine gönderilen mesaja ilişkin ekran görüntüsünün mevcut olmasına rağmen, veri sorumlusu tarafından gönderilen mailin devamında kendisinin kullanmış olduğu telefon numarası dışında hiçbir kişi veya kuruluş ile irtibata geçilmediği yönünde beyanda bulunulduğu

ifade edilerek, yukarıda belirtilen hususlar doğrultusunda konunun Kurumumuzca incelenmesi ve gereğinin yapılması talep edilmiştir.

Kurumumuz tarafından dilekçede belirtilen iddialar ile ilgili olarak veri sorumlusundan savunması istenilmiş, alınan cevabi yazıda özet olarak;

  • Avukatlık mesleği itibariyle kişilerin kişisel verilerinin öğrenilmesinin veri işleme faaliyeti olmadığı ve hukuk bürosu olarak kimsenin verilerinin kendilerince işlenmediği,
  • Kişisel Verilerin Korunması Kanununun 28 inci maddesinin 1 numaralı fıkrasının (d) bendi hükmü gereğince avukatların da yargı makamı sayılması ve kanun kapsamından istisna tutulması gerektiği,
  • İlgili kişinin T.C. kimlik numarası, adres, malvarlığı vb. bilgilerinin bankaya verilmesi suretiyle alenileştirilmiş olduğu,
  • İlgili kişinin kardeşine SMS gönderim tarihinden önce ilgili kişinin yakını olduğunu söyleyen bir şahsın ofise geldiği ve borçla ilgili bilgi almak istediği, bu şahsa ilgili kişiye ulaşabilecekleri başka bir yöntem olup olmadığı sorulduğunda şikayete konu telefon numarasını verdiği ve ilgili numaranın da sistemlerine böylece girdiği, zaten ilgili kişinin kardeşiyle iletişime geçilmesinin akabinde talep üzerine telefon numarasının sistemden çıkarıldığı,
  • Şikayetçinin müşteri sırrı kapsamındaki bilgi ve belgelerinin yasal mevzuat uyarınca yetkilendirilmiş kişi ve kurumlar hariç olmak üzere üçüncü kişiler ile paylaşılmamasına dair bankaya talimat vermemiş olduğu,
  • Gönderilen SMS’in kullanılan kredi türü yahut borç miktarı gibi bir bilgiyi içermediği, tamamen borçluyu borcu ödemeye ve müvekkil banka ile uzlaşmaya davet etmekten ibaret olduğu,

ifade edilerek, Kişisel Verilerin Korunması Kanunu kapsamında hareket ederek, kişiye ilişkin hiçbir bilgi ve belge paylaşımı yapmadığı belirtilmiştir.

Konuya ilişkin Kurulca yapılan inceleme neticesinde alınan 14/01/2020 tarih ve 2020/26 sayılı Karar ile;

  • Şikayete konu olayda, Bankaya borçlu olan ve bu borca ilişkin işlemlerin yürütülmesini teminen kişisel verileri Banka tarafından avukata aktarılan ve avukat tarafından kişisel verileri işlenen “ilgili kişi”, Banka adına icra işlemlerini yürüten ve bu işlemle ilgili olmak üzere ilgili kişinin kişisel verilerini işleyen avukatın “veri sorumlusu”, ilgili kişinin bankaya olan borcunu tahsil edebilmek için avukat tarafından ilgili kişiye ait iletişim bilgileri ve diğer ilgili bilgilerinin işlenmesi eyleminin ise veri işleme faaliyeti olduğu,
  • Diğer yandan, Kanunda, kişisel verilerin sınırlı sayma yöntemi ile belirlenmediği, bir verinin kişisel veri olması için belirli ya da belirlenebilir gerçek kişiye ilişkin olma kriteri getirildiği, bu bağlamda, ilgili kişinin kardeşine gönderilen mesajın içeriği incelendiğinde, ilgili kişinin açık adını, borçlu olduğu bankayı ve icra dosyası borcuna ilişkin bilgileri ihtiva eden kısa mesaj içeriğinin, ilgili kişiye ait kişisel veri niteliğindeki bilgileri içerdiği,
  • Somut olayda, veri sorumlusu bir avukat olup, vekili olduğu Banka adına, Bankanın haklarını ve menfaatlerini korumak amacıyla hareket ettiği, bu anlamda Avukatlık Kanunundan kaynaklanan yükümlülükleri ve yürütmekte olduğu icra işlemleri bakımından İcra İflas Kanunu ve ikincil mevzuat düzenlemelerinden kaynaklanan hukuki yükümlülüklerini yerine getirmek amacıyla borçluya ait bilgileri, kanuna uygun olarak işleme ve ilgili birim/mercilere bildirme yetkisi olduğu ve bu bağlamda işlediği kişisel verilerin Kanunun 5 inci maddesinin 2 numaralı fıkrası çerçevesinde ilgili kişinin açık rızası olmaksızın işlemesinin kanuna uygun olacağı,
  • Ancak Kanun hükümleri gereğince açık rıza aranmaksızın işlenecek kişisel verilerin borçluya ait olması gerektiği, bu kapsamda ne banka ile ne de avukat ile bağı olan ve herhangi bir hukuksal işleme konu kişisel verisi bulunmayan ilgili kişinin kardeşinin telefon numarasının kanuna aykırı olarak ele geçirilmesinin akabinde ilgili kişiye ait kişisel verilerin üçüncü bir kişiye ifşasının Kanunun 5 inci maddesi hükümleri kapsamında değerlendirilemeyeceği,
  • Avukat tarafından yapılan savunmada, büroya gelen kimliği belirsiz bir kişiden numaranın temin edildiği açıklamasının, Kanunun 5 inci maddesi kapsamında bir dayanak teşkil etmeyeceğinden, ilgili kişinin kardeşinin telefon numarasının avukat tarafından işlenmesi suretiyle kısa mesaj gönderilmesinin hukuka uygun olmadığı,
  • Veri sorumlusu avukat tarafından her ne kadar ilgili kişinin kardeşine ait telefon numarasının büroya gelen ve kimliği bilinmeyen bir kişi tarafından verildiği, bunun ilgili kişiye ait olmadığının tespitini takiben talep üzerine numaranın silindiği beyan edilmiş olsa da sair mevzuat gereğince ilgili kişiye ait olup olmadığı bilinmeyen bir numaranın yine kimliği bilinmeyen bir kişi vasıtasıyla edinilmesi üzerine, ilgili kişiye ait verinin bu numarayla paylaşılmasının Kanun hükümlerine aykırılık teşkil ettiği ve bu suretle kişisel verilerin hukuka aykırı olarak işlenmesini önleme ve kişisel verilere hukuka aykırı olarak erişilmesini önleme yükümlülüğünü yerine getirmeyen veri sorumlusunun Kanunun 12 nci maddesinde düzenlenen veri güvenliğine ilişkin yükümlülüklere aykırı davrandığı,
  • Avukat tarafından yapılan savunmada, Avukatlık Kanununun 1 inci maddesi gereği, avukatların yargının kurucu unsuru olduğu ve bu bağlamda mesleki faaliyetleri gereği elde edilen bilgilerin kişisel verilerin işlenmesi olarak tanımlanmasının hukuken mümkün olmaması gerektiği yönünde ifadelere yer verildiği, Kanunun 28 inci maddesi kapsamında bir istisnadan söz edebilmek için, veri işlemenin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olması; ayrıca veri işlemenin yargı makamları veya infaz mercilerince işlenmesi gerektiği, maddede belirtilen yargı makamlarının tanımlaması yapılmamış olsa da, Devletin yasama ve yürütme faaliyetleri dışında kalan yargı organlarının bu kapsama girdiği, ayrıca, şikayete konu olayda, kişinin borcuna dair bilgilerin kardeşinin telefonuna kısa mesaj olarak iletilmesi; yani borcunu ödemeye ikna etmek amacıyla caydırıcı bir unsur oluşturmak niyetiyle bir yakınıyla paylaşılmasının, Kanunun 28 inci maddesinde sayılan soruşturma, kovuşturma, yargılama ve infaz işlemlerine ilişkin bir işlem olarak kabul edilmesinin mümkün olmadığı

değerlendirildiğinden, ilgili kişiye ait olup olmadığı bilinmeyen bir numaranın yine kimliği bilinmeyen üçüncü bir kişi vasıtasıyla edinilmesi ve ilgili kişiye ait verinin bu numaranın sahibi üçüncü kişi ile paylaşılması nedeniyle Kanunun 12 nci maddesinde düzenlenen veri güvenliğine ilişkin yükümlülüklere aykırı hareket eden veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 50.000 TL idari para cezası uygulanmasına

karar verilmiştir.

26.12.2019: Aday Puanlarının Rıza Alınmaksızın, İnternet Sitesinde Paylaşılması Hakkındaki Görüş Talebi Hk
Karar Tarihi : 26/12/2019
Karar No : 2019/389
Konu Özeti : Öğretim görevlisi ve araştırma görevlisi kadrolarına yapılacak atamalarda adaylardan talep edilen kişisel veri niteliğindeki bilgilerin internet ortamında yayımlanması uygulaması hakkında

 

Kurumumuza iletilen; öğretim görevlisi ve araştırma görevlisi kadrolarına yapılacak atamalarda uygulanacak “Öğretim Üyesi Dışındaki Öğretim Elemanı Kadrolarına Yapılacak Atamalarda Uygulanacak Merkezi Sınav ile Giriş Sınavlarına İlişkin Usul ve Esaslar Hakkında Yönetmelik” (Yönetmelik) hükümleri doğrultusunda değerlendirme puanlarının, veri sorumlusunun internet sitesi aracılığıyla kamuoyuyla paylaşılmasının 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) uygun olup olmadığı konusundaki görüş talebinin incelenmesi neticesinde;

Öncelikli olarak belirtilen ilanın, mevzuatta öngörülen süre kadar; böyle bir düzenleme yoksa veri sorumlusu tarafından işlendiği amaç için gerekli olduğu değerlendirilen süre ile sınırlı olması gerektiği, bununla birlikte söz konusu kişisel verilerin, internet ortamında ya da diğer fiziki ortamlarda ilanı halinde üçüncü kişiler tarafından tüm unsurlarıyla bilinir hale gelmesinde bir yarar bulunmadığı dikkate alındığında,

  • İnternet ortamında yayımlanan kişisel verilerin tamamen kaybolmadığı göz önüne alındığında değerlendirme puanlarının, Kanunun 4 üncü maddesinde yer alan genel ilkelere uyumlu şekilde, yalnızca akademik kadrolara müracaat eden ilgili kişilerce görüntülenebildiği bir yöntemle ve kimlik doğrulaması yapılmak suretiyle sorgulamasına imkân verecek şekilde ilan edilmesi gerektiğine,
  • İlgili kişiler ile sınav puanları arasındaki bağlantının, maskeleme (kişisel verilerin belli alanlarının kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin çizilmesi, boyanması ve yıldızlanması gibi işlemler) yöntemleriyle kaldırılmasının uygun olacağına, bu kapsamda adaylara ait ad- soy ad, T.C. kimlik numarası gibi verilerin, kişiyi belirli ya da belirlenebilir kılabilme özelliğinin ortadan kaldırılabilmesi adına, anılan bilgilerin açık şekilde yazılması yerine, kişinin kendisinin anlayabileceği şekilde harflerin ya da rakamların “A**** B**** , 11*******11” şeklinde yıldızlanarak yukarıda sözü edilen yöntemlerle yayımlanabileceğine,
  • Kanunun 10 uncu maddesinde hükme bağlanan aydınlatma yükümlülüğü kapsamında, üniversiteler tarafından söz konusu kişisel veri işleme faaliyetine ilişkin olarak ilgili kişilerin aydınlatılması gerektiğine

karar verilmiştir.

09.12.2019: Bir gazete tarafından ilgili kişinin özel nitelikli kişisel verileri hakkında haber yapılmasına ilişkin
Karar Tarihi : 09/12/2019
Karar No : 2019/372
Konu Özeti :Bir gazete tarafından ilgili kişinin özel nitelikli kişisel verileri hakkında haber yapılması

Kurumumuza intikal eden bir şikayet dilekçesinde;

  • Bir Gazetede şikayet sahibinin oğluna yönelik yer alan köşe yazısında, babasının kanser tedavisi nedeniyle bir süre önce görevine ara verdiğine ilişkin bir habere yer verildiği dolayısı ile ilgili kişinin özel nitelikli kişisel verisi olan sağlık verilerinin rızası dışında işlendiği ve üçüncü kişilerle paylaşıldığı,
  • İlgili kişinin bu tarihe kadar kanser tedavisi gördüğünü bilmediği, rahatsızlığından ötürü psikolojisinin ve moralinin bozulması istenmediğinden bu bilginin ailesi tarafından kendisinden saklandığı, ancak haber tarihinden sonra ilgili kişinin geçmiş olsun dilekleri ile arandığı, hastalığını öğrenerek ölüm korkusu yaşadığı, ilgili kişinin kanser olduğunu Gazeteden ve üçüncü kişilerden öğrenmesinden dolayı içine kapandığı ve ailesiyle iletişimini kestiği, ölüm korkusu nedeniyle ayrıca psikolojik tedavi görmeye başladığı ve kanser tedavisini reddettiği

ifade edilerek Kanun çerçevesinde Kurumumuzca yasal işlemlerin yapılması talep edilmiştir.

Söz konusu başvuru hakkında Kişisel Verileri Koruma Kurulu’nun 01.07.2019 tarih ve 2019/186 sayılı kararı ile, özel nitelikli kişisel veri niteliğindeki sağlık verisinin söz konusu köşe yazısına konu edilerek yayımlanmasında halihazırda kamu yararı bulunmadığı, bu itibarla çatışan haklar bakımından kişilik haklarının ifade özgürlüğüne üstün geldiği kanaatine varıldığından, konunun 6698 sayılı Kanunun 28 inci maddesinin (1) numaralı fıkrasının (c) bendi çerçevesinde değerlendirilemeyeceğine ve bu itibarla söz konusu başvurunun 6698 sayılı Kanunun 15 inci maddesinin (1) numaralı fıkrası çerçevesinde incelemeye alınmasına karar verilmiş olup yapılan inceleme çerçevesinde Kişisel Verileri Koruma Kurulunun 09/12/2019 tarih ve 2019/372 sayılı kararı ile;

  • Gazete tarafından Kanunun 6 ncı maddesinde sayılan şartlardan birine dayanmaksızın ilgili kişinin özel nitelikli kişisel verilerinin, köşe yazısında paylaşılmasının Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine aykırılık teşkil ettiği kanaatine varıldığından, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında söz konusu Gazete hakkında 125.000 TL idari para cezasının uygulanmasına,

karar vermiştir.

26.11.2019: Bir Banka Nezdinde Gerçekleşen Veri İhlali ile İlgili
Karar Tarihi : 26/11/2019
Karar No : 2019/352
Konu Özeti :Bir banka nezdinde gerçekleşen veri ihlali hakkında Karar

 

Bir Bankanın, Kurum kayıtlarına intikal eden Kişisel Veri İhlali Bildirim Formu ile yazısında;

  • Banka personelinin iki farklı tarihte üç farklı müşterinin kritik bilgilerini (nüfus cüzdanı, bakiye, kimlik, iletişim vb. bilgileri) şahsi e-posta adresine iletildiği, ilgili müşterilerden birinin hesabından sahte belgelerle para çekildiği, somut olarak veri sızdırdığı belirlenememekle birlikte ilgili müşterilerden farklı üç başka müşterinin bilgilerinin de (nüfus cüzdanı, bakiye, kimlik, iletişim vb. bilgileri) aynı personel tarafından mesnetsiz olarak görüntülendiği,
  • Personelin en az 6 müşterinin verilerini Banka dışarısına çıkartarak yüksek miktarlı dolandırıcılık eylemlerine aracı olduğu ve menfaat sağlamış olmasının da kuvvetle muhtemel olduğu kanaatine ulaşıldığı,
  • İhlalden etkilenen kişi sayısının 6 (altı), kayıt sayısının 24 (yirmi dört) olduğu,
  • İhlalin sonucunda personelin usulsüz eylemleri nedeni ile Banka ile iş akdinin feshedildiği, personel ve olaya karışan tüm şahıslar hakkında dolandırıcılık ve zimmet suçlarından Savcılığa suç duyurusunda bulunulduğu,
  • Bu kapsamda, müşterilerin hesaplarından kendi bilgileri dışında işlem gerçekleştirildiği ve müşteri zararı oluştuğu, müşterilerin tüm zararlarının Banka tarafından tazmin edildiği

belirtilmiştir.

Bankanın, Kurum kayıtlarına intikal eden veri ihlal bildiriminin incelenmesi neticesinde Kurulun 26/11/2019 tarih ve 2019/352 sayılı Kararı ile;

  • Çalışanlar tarafından Banka dışına gönderilen e-postalara ilişkin Veri Sızıntısı Tespit/Önleme Sisteminin mevcut olduğunun belirtilmesine rağmen söz konusu ihlale neden olan kurumsal e-postadan kişisel veri sızıntısının olduğu ve alınan tedbirlerin bu ihlali engellemeye yeterli olmadığı,
  • Bankanın teknik tedbir olarak belirttiği “Kredi Kartı numarası içeren e-postaların Banka dışına gönderilmek istenmesi durumunda, kart sayısı belirli bir adedin üzerinde ise bu e-postanın karantinaya alındığı ve gönderilemediği”, tedbirinin bu tür ihlaller konusunda kötü niyetli kişilerce kolayca aşılabilecek düzeyde olduğu,
  • İhlalden etkilenen kişilerin nüfus cüzdanı, bakiye, kimlik, iletişim, kredi kartı numarası vb. bilgilerinin sızdırıldığı ve bu bilgiler aracılığıyla sahte belge hazırlanarak yüksek miktarlı dolandırıcılık eylemlerine aracı olunduğu,
  • Belirtilen tedbirlerin müşteri bilgisi olmadan yüksek miktarlı para çekim işlemlerine ve sahte belge düzenlemeye engel teşkil etmediği,

hususları dikkate alındığında;

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari ve tedbirleri almayan veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 70.000 TL,
  • Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” (24.01.2019 tarih ve 2019/10 sayılı Kurul kararında belirtilen 72 saatlik süre) bildirimde bulunma yükümlülüğüne uygun hareket etmeyen veri sorumlusu hakkında Kanunun 18’nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 30.000 TL

olmak üzere toplam 100.000 TL idari para cezası uygulanmasına,

karar verilmiştir.

27.12.2019: Veri Sorumluları Siciline Kayıt Yükümlülüğüne İlişkin Kurulca Belirlenen Tarihler Hakkında
Veri Sorumluları Kayıt Yükümlülüğü Başlangıç Tarihi Kayıt Yükümlülüğü Son Tarihi
Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları 01.10.2018 30.06.2020
Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları 01.10.2018 30.06.2020
Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları 01.01.2019 30.09.2020
Kamu kurum ve kuruluşu veri sorumluları 01.04.2019 31.12.2020

Karar No : 2019/387
Konu Özeti :Veri Sorumluları Siciline kayıt tarihlerinin düzenlenmesi

Bilindiği üzere 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 16 ncı maddesi gereği, kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır.

Veri Sorumluları Sicili, Kişisel Verileri Koruma Kurulu (Kurul) gözetiminde Başkanlık tarafından kamuya açık olarak tutulmaktadır. Bu amaçla oluşturulan ve kısa adı VERBİS olan Veri Sorumluları Sicil Bilgi Sistemine, kayıt yükümlülüğü kapsamındaki veri sorumlularınca işlemekte oldukları kişisel verilerle ilgili bilgi girişi yapılması gerekmektedir.

Veri Sorumluları Sicilinin kamuya açık olarak tutulması; kişisel verisi işlenen gerçek kişilere, kendi verileri üzerinde kontrolün sağlanabilmesi imkânı sunduğundan VERBİS, şeffaflık ve hesap verebilirlik özelliği ile ön plana çıkmaktadır.

Sicile kayıt yükümlülüğü, kişisel veri işlemekte olan gerçek veya tüzel kişiler için Kanunla getirilmiş bir yükümlülük olup bu yükümlülüğe uyulmaması halinde yaptırım öngörülmüş olmakla birlikte asıl hedeflenen; kişisel verilerin işlenmesinde şeffaflığın sağlanması, veri sorumlularının Kanuna uyumu konusunda özen göstermeleri, kişisel veri işlenmesinin disiplin altına alınması, kişisel verisini işlediği kişilere hesap verebilmesi, kişisel verilerin gelişigüzel işlenmesinin önüne geçilmesi ve bu konuda bir kültür ve farkındalık oluşmasının sağlanmasıdır.

Kayıt yükümlülüğünün yerine getirilmesi ile ilgili tarihler de Kanunun geçici 1. maddesine istinaden Kurul tarafından belirlenerek aşağıdaki gibi ilan edilmiştir:

  Veri Sorumluları Başlama tarihi Verilen süre Son tarih
1 Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan veri sorumluları 01.10.2018 15 ay 31.12.2019
2 Yurtdışında yerleşik veri sorumluları 01.10.2018 15 ay 31.12.2019
3 Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları 01.01.2019 15 ay 31.03.2020
4 Kamu kurum ve kuruluşu veri sorumluları 01.04.2019 15 ay 30.06.2020

VERBİS üzerinden yapılan değerlendirme sonucunda, bazı veri sorumlularınca söz konusu başvuru formlarının Başkanlığımıza iletilmesi ile yükümlülüğün yerine getirilmiş olduğu düşünülerek bildirim yapılmadığı gözlemlenmektedir. İrtibat kişisi tarafından “Sicile kayıt” butonu ile giriş yapılarak bildirimin tamamlanması ve sistem üzerinden iletilmediği takdirde Sicile kayıt ve bildirim yükümlülüğünün yerine getirilmemiş olacağının bilinmesinde fayda görülmektedir.Bilindiği üzere, Kanunun 16 ncı maddesinde istisna kapsamında olmayan veri sorumluları için getirilmiş olan yükümlülük, kayıt ve bildirim yükümlülüğünün yerine getirilmesidir. Bu kapsamda veri sorumlularının, önce VERBİS’e giriş yaparak başvuru formunu sistem üzerinden oluşturması ve bu formu Kuruma kargo / posta / elden iletilmesi veya Kayıtlı Elektronik Posta (KEP) aracılığıyla iletmesi gerekli görülmektedir. Başvuru formunun iletilmesi üzerine Kurum tarafından kendisine iletilen “kullanıcı adı” ve “parola” ile VERBİS’e giriş yaparak bildirimi gerçekleştirmesi gerekmektedir.

Öte yandan veri sorumlularınca, Kurul kararında öngörülen sürede kayıt ve bildirim yükümlülüğünü yerine getirmek amacıyla son günlerde yoğun bir şekilde başvuru ve VERBİS üzerinden bildirim iletildiği gözlemlenmektedir.

Veri sorumlularına, 6698 sayılı Kanunla Sicile kayıt ve bildirim yükümlülüğü getirilmiş olmasının amacı;

  • Kişisel verilerin işlenmesinde şeffaflığın,
  • Kişisel verilerin gelişigüzel işlenmesinin önüne geçilerek bu alanda veri sorumlularının kişisel veri işlemesi faaliyetlerinin disiplin altına alınmasının,
  • Kişisel verilerin korunması alanında toplumun tüm kesimlerinde kültür ve farkındalık oluşmasının, veri sorumlularının kişisel verisini işlediği kişilere hesap verebilmesinin,
  • Veri sorumlularının Kanuna uyumunun,
  • İstisna kapsamında olmayan tüm veri sorumlularının Sicile kaydolmasının

sağlanmasıdır.

Bu amaçlardan da anlaşılacağı üzere Sicile kayıt ve bildirim yükümlülüğü, sadece süresinde VERBİS’e kayıt olunmasını değil, bununla birlikte VERBİS’e beyan edilen bilgilerin tüm kişisel veri işleme faaliyetlerini kapsayacak şekilde doğru, güncel ve güvenilir bilgilerin de beyan edilmesini kapsamaktadır.

VERBİS veri tabanı üzerinden özellikle son günlerde iletilen bildirimlerle ilgili olarak yapılan araştırmada, bazı bildirimlerde işlendiği beyan edilen kişisel verilerle işleme amaçlarının, aktarım gerçekleştirildiği beyan edilen alıcı/alıcı gruplarının, veri konusu kişi gruplarının, alınan teknik ve idari tedbirlerin, özel nitelikli kişisel veriler için alınması gereken yeterli önlemlerin, yurtdışına veri aktarımının ve saklamaya ilişkin beyan edilen sürelerin örtüşmediği, bu konuda ciddi yanlışlıkların ve Kanuna/yönetmeliklere aykırılıkların olduğu görülmektedir.

Bu durumun nedenlerinden birisinin de Kanunun 18 inci maddesinde öngörülen yaptırımlarla karşılaşmamak adına Kurul tarafından belirlenen süre içerisinde bir kayıt gerçekleştirmek olduğu anlaşılmaktadır.

Kanunun 16 ncı maddesinde Sicile ilişkin bazı hükümler yer almış olup diğer usul ve esasların da yönetmelikle düzenleneceği ifade edilmiştir. Buna istinaden 31.12.2017 tarihli Resmi Gazetede yayımlanarak yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmeliğin 5 inci maddesinde;

“ç) Sicile kayıtla yükümlü olan veri sorumluları, Kişisel Veri İşleme Envanteri hazırlamakla yükümlüdür. Sicil başvurularında Sicile açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanır.

d) Kanunun 10 uncu maddesinde veri sorumluları için belirtilen aydınlatma yükümlülüğünde, Kanunun 13 üncü maddesinde belirtilen ilgili kişi başvurularının yanıtlanmasında ve ilgili kişiler tarafından açıklanacak açık rızanın kapsamının belirlenmesinde kişisel veri işleme envanterine dayalı olarak Sicile sunulan ve Sicilde yayınlanan bilgiler esas alınır.

e) Veri sorumluları, Sicile sunulan ve Sicilde yayınlanan bilgilerin eksiksiz, doğru, güncel ve hukuka uygun olmasından sorumludur. Veri sorumlularının Sicile kaydolması Kanun kapsamındaki diğer yükümlülüklerini ortadan kaldırmaz.”

hükümleri yer almıştır.

Buna göre, veri sorumlularının VERBİS’e kayıt ve bildirim yükümlülüğünü yerine getirirken öncelikle kişisel veri işlenmekte olan tüm süreçleri içerecek şekilde kişisel veri işleme envanteri hazırlanması ve VERBİS’e bildirim yapılırken gelişigüzel değil söz konusu envanter baz alınarak giriş yapılması gerekmektedir.

Ayrıca, Kanunun 16 ncı maddesinde Sicile girilen bilgilerde meydana gelen değişikliklerin derhâl Başkanlığa bildirileceği hükmü ile Veri Sorumluları Sicili Hakkında Yönetmeliğin 13 üncü maddesinde yer alan “Veri sorumluları, Sicilde kayıtlı bilgilerde değişiklik olması halinde meydana gelen değişiklikleri, değişikliğin meydana geldiği tarihten itibaren yedi gün içerisinde VERBİS üzerinden Kuruma bildirir.” hükmü gereği gerekli güncellemelerin belirtilen sürede yapılması gerekmektedir.

Veri sorumlularınca Sicile kayıt ve bildirim yükümlülüğünün yerine getirilmesi amacıyla VERBİS’e girilen bilgiler üzerinden Kurul tarafından yapılan araştırma ve değerlendirme sonucunda;

a) Sicile kayıt ve bildirim yükümlülüğünün yerine getirilmesi kapsamında;

  • Bazı veri sorumlularının sadece kayıt başvuru formunu ilettiğinin görüldüğü, Kanunun 16 ncı maddesinde yer alan yükümlülüğün kayıt ve bildirimi kapsadığı, bu nedenle Kurumca iletilen “kullanıcı adı” ve “parola” ile VERBİS’e giriş yapılarak kişisel veri işleme faaliyetlerine ilişkin bildirimin tamamlanması gerektiğinin,
  • Sicile kayıt ve bildirim yükümlülüğünün asıl amacının kişisel veri işlemede şeffaflık, kişisel verilerin gelişigüzel işlenmesinin önüne geçilerek kişisel veri işleme faaliyetlerinin disiplin altına alınması, bu alanda kültür ve farkındalık oluşması, veri sorumlularının kişisel verisini işlediği kişilere hesap verebilmesi, veri sorumlularının Kanuna uyumu ve istisna kapsamında olmayan tüm veri sorumlularının Sicile kaydolmasının sağlanması olduğunun,
  • Sicile kayıt ve bildirim yükümlülüğünün sadece Kanunda öngörülen yaptırımlarla karşılaşmamak adına süresi içerisinde bir kayıt gerçekleştirmek olarak anlaşılmaması gerektiğinin, bu amaca yönelik kayıt ve bildirimlerin Kanuna aykırılık teşkil edebileceğinin,
  • Özellikle son zamanlarda VERBİS’e iletilen bildirimler incelendiğinde, birçok bildirimde kişisel veriler ile işleme amaçları, alıcı/alıcı grupları, veri konusu kişi grupları, alınan teknik ve idari tedbirler, yeterli önlemler, yurtdışına veri aktarımı ve saklama sürelerinin örtüşmediği, bu konuda ciddi yanlışlıklar ve mevzuata aykırılıklar olduğunun görüldüğünün,
  • VERBİS’e beyan edilen bilgilerin doğru ve güncel olması gerektiğinin, bu bilgilerden ilgili veri sorumlusunun sorumlu olduğunun,
  • Sicile kayıtla yükümlü olan veri sorumlularının Veri Sorumluları Sicili Hakkında Yönetmelik gereği kişisel veri işleme envanteri hazırlamak zorunda olduğunun ve VERBİS’e girilen bilgilerin bu envantere dayalı olarak hazırlanması gerektiğinin,
  • Veri sorumlularının VERBİS’e kayıt ve bildirim yükümlülüğünü yerine getirirken öncelikle kişisel veri işlenmekte olan tüm süreçleri içerecek şekilde kişisel veri işleme envanteri hazırlaması ve VERBİS’e bildirim yapılırken gelişigüzel değil mutlaka söz konusu envanter baz alınarak giriş yapılması gerektiğinin,
  • Sicilde kayıtlı bilgilerde değişiklik olması halinde meydana gelen değişiklikleri, değişikliğin meydana geldiği tarihten itibaren yedi gün içerisinde VERBİS üzerinden Kuruma bildirilmesi gerektiğinin

tüm veri sorumlularına hatırlatılmasına,

b) Yukarıda yer verilen açıklamalar doğrultusunda kişisel veri işleme envanteri hazırlamadan gelişigüzel VERBİS’e kayıt ve bildirim gerçekleştiren veri sorumluları ile envanter hazırlama süreçlerini tamamlayamadığı için süresinde kayıt ve bildirim yükümlülüğünü yerine getiremeyecek olan veri sorumluları dikkate alınarak, VERBİS’e girilmiş olan bilgilerde herhangi bir hata veya Kanuna aykırılık varsa bu durumun bir an önce düzeltilmesi için gerekli çalışmaların yapılabilmesini teminen 6698 sayılı Kanunun Geçici 1 inci maddesi gereği;

  • Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumlularına Sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için verilen sürenin 30.06.2020 tarihine,
  • Yurtdışında yerleşik gerçek ve tüzel kişi sorumlularına Sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için verilen sürenin 30.06.2020 tarihine,
  • Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek veya tüzel kişi sorumlularına Sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için verilen sürenin 30.09.2020 tarihine,
  • Kamu kurum ve kuruluşu veri sorumlularına Sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için verilen sürenin 31.12.2020 tarihine,

kadar uzatılmasına,

c) Bu kararın Kurum internet sayfasında duyurulması ve Resmî Gazete’de yayımlanmasına

karar verilmiştir.

https://www.kvkk.gov.tr/Icerik/6631/Veri-Sorumlulari-Siciline-Kayit-Yukumlulugune-Iliskin-Kurulca-Belirlenen-Tarihler-Hakkinda-2019-387-Sayili-Kurul-Karar-Ozeti

26.11.2019: Dernek, Vakıf Ve Sendikaların Veri Sorumluları Siciline Kayıt Yükümlülüğü İstisnası Hakkında
Karar Tarihi : 26.11.2019
Karar No : 2019/353
Konu Özeti :Vakıf ve derneklerin Sicile kayıt yükümlülüğünden istisna tutulduğu 2018/32 sayılı Kurul Kararında yer alan “… yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler” ifadesinin kapsamıyla ilgili bilgi talebi hakkında başvuru

Bilindiği üzere 6698 sayılı Kanunun 16 ncı maddesinin ikinci fıkrasında “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.” hükmü yer almaktadır.

Buna göre, genel kural olarak kişisel veri işleyen gerçek ve tüzel kişilerin Veri Sorumluları Siciline (Sicil) kayıt yükümlülüğü bulunmakla birlikte bu yükümlülüğe Kişisel Verileri Koruma Kurulu (Kurul) tarafından istisna getirilebilmektedir.

Maddenin verdiği yetkiye dayanarak Sicile kayıt yükümlülüğüne istisna getirilen veri sorumluları ile ilgili olarak alınan 2018/32 sayılı Kurul Kararının 3 üncü maddesinde; “04/11/2004 tarihli ve 5253 sayılı Dernekler Kanununa göre kurulmuş derneklerden, 20/02/2008 tarihli ve 5737 sayılı Vakıflar Kanununa göre kurulmuş vakıflardan ve 18/10/2012 tarihli 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler” ifadesi yer almaktadır.

Anılan Kurul kararında yer alan “yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler” ifadesinde veri konusu kişi grubu sınırlı sayma yöntemiyle belirlenmiş olup bu durumda dernek ve vakıflardan sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler Sicile kayıt yükümlülüğünden istisna kapsamında değerlendirilmiştir.

Söz konusu vakıf, dernek ve sendikaların Sicile kayıt yükümlülüğünden istisna tutulduğu 2018/32 sayılı Kurul Kararında yer alan “… yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler” ifadesinin kapsamı ile ilgili bilgi almak amacıyla Kuruma yapılan başvurunun incelenmesi neticesinde Kurul tarafından;

2018/32 sayılı Kurul Kararının 3 üncü maddesinde yer alan “04/11/2004 tarihli ve 5253 sayılı Dernekler Kanununa göre kurulmuş derneklerden, 20/02/2008 tarihli ve 5737 sayılı Vakıflar Kanununa göre kurulmuş vakıflardan ve 18/10/2012 tarihli 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler” ifadesinin, “kendisine bağış yapılanları” da kapsadığı ve bu hususun “faaliyet alanlarıyla sınırlı” ifadesine dâhil olarak yorumlanması gerektiğine,

karar verilmiştir.

07.11.2019: “Bir doktor tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmaksızın işlenmesi ve ilgili numaraya reklam/bilgilendirme içerikli mesaj gönderilmesi” hakkında
Karar Tarihi : 07/11/2019
Karar No : 2019/332
Konu Özeti : Bir doktor tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmaksızın işlenmesi ve ilgili numaraya reklam/bilgilendirme içerikli mesaj gönderilmesine ilişkin şikayet hakkında

İlgili kişinin şahsına ait cep telefonuna açık rızası olmaksızın bir doktor tarafından bilgilendirme/reklam amaçlı mesaj gönderilmesi üzerine veri sorumlusuna yaptığı başvuruya yanıt alamaması nedeniyle Kişisel Verileri Koruma Kuruluna ilettiği şikayet başvurusunun incelenmesi neticesinde, Şikayete konu olayın değerlendirilmesi amacıyla Kişisel Verileri Koruma Kurumu’nun bilgi, belge ve savunma talep edilen yazısına da veri sorumlusu Doktor tarafından cevap verilmemesi sonucunda;

6698 sayılı Kişisel Verilerin Korunması Kanununun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerine yer verildiği dikkate alınarak,

İlgili kişinin veri sorumlusu Doktor hakkındaki başvurusunda yer alan iddialar ile ilgili olarak Kurulun 11/04/2019 tarihli ve 2019/98 sayılı Kararı ile başlatılan inceleme kapsamında veri sorumlusundan konuya ilişkin gerekli bilgi ve belgelerin istenilmesine ilişkin Kurumumuzun 18/06/2019 tarihli yazısının 20/06/2019 tarihinde aynı konutta bir yakınına teslim edilmesine rağmen, bugüne kadar herhangi bir cevap verilmediği de dikkate alınarak, veri sorumlusu Doktor tarafından ilgili kişinin açık rızası veya Kanunun 5 inci maddesinin (2) numaralı fıkrasında sayılan diğer işleme şartları olmaksızın cep telefonuna reklam amaçlı mesaj gönderilmesi suretiyle kişisel verilerinin işlenmesi nedeniyle adı geçen veri sorumlusu hakkında Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılmasından ötürü, anılan veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 50.000 TL idari para cezası uygulanmasına

karar verilmiştir.

07.11.2019: ““lgili kişi tarafından alenileştirilen kişisel verinin, alenileştirme amacı dışında işlenmesi” hakkında
Karar Tarihi : 07/11/2019
Karar No : 2019/331
Konu Özeti : İlgili kişi tarafından alenileştirilen cep telefonu numarasının, bir sigorta şirketi tarafından alenileştirme amacı dışında işlenmesi hk.

İlgili kişinin bir Sigorta Şirketi (Şirket) tarafından açık rızası alınmadan sigortacılık faaliyetleri konusunda aranması hususunda Kurula yapmış olduğu şikâyet başvurusu ile ilgili olarak Şirketten alınan yazısında, Şikayetçinin ad, soyadı ve telefon bilgisinin finansal güvence danışmanlarınca teklif araması yapılmadan önce gerçekleştirilen araştırmalar sonucunda …uzantılı internet sitesinden bulunduğu, Şikayetçinin taraflarınca ulaşılan ad, soyad ve telefon numarası bilgisinin belirtilen sitede halka açık bir şekilde yer aldığı şeklindeki savunmasının değerlendirilmesi sonucunda,

Şikâyetçinin kişisel verilerine kendisi tarafından daha önce alenileştirilen internet sitesinden ulaşılması halinde dahi Şirket tarafından Şikâyetçinin bu bilgilerinin internet sitesinde bulunma ve alenileştirilme amacıyla kullanılmadığı, diğer bir deyişle Şikâyetçinin mesleki yetkinliğinden faydalanmak için kendisine ulaşılmaya çalışılmadığı, aksine Şirket faaliyetlerine ilişkin randevu talebi ile Şikâyetçinin arandığı anlaşıldığından, Şirket tarafından gerçekleştirilen veri işleme faaliyetinin 6698 sayılı Kişisel Verilerin Korunması Kanununun 5 inci maddesinin (2) numaralı fıkrasının (d) bendi çerçevesinde değerlendirilemeyeceği kanaatine varılmış olup, bu kapsamda Şirketin kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almayarak Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine aykırı davranmış olması nedeniyle Şirket hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına

karar verilmiştir.

18.09.2019: “Sevinç Eğitim Kurumlarının kişisel veri işleme şartları olmaksızın ilgili kişinin cep telefonuna reklam amaçlı kısa mesaj göndermesi” hakkında
Karar Tarihi : 18/09/2019
Karar No : 2019/276
Veri Sorumlusu : Sevinç Eğitim Kurumları
Konu Özeti : Bir eğitim kurumunun kişisel veri işleme şartları olmaksızın ilgili kişinin cep telefonuna reklam amaçlı kısa mesaj göndermesine ilişkin yapılan şikayet hk.

Bir eğitim kurumunun kişisel veri işleme şartları olmaksızın ilgili kişinin cep telefonuna reklam amaçlı kısa mesaj göndermesine ilişkin yapılan şikayet hk.

Bu çerçevede;

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun “Tanımlar” başlıklı 3 üncü maddesinde; kişisel verilerin işlenmesi, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı,
  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • 28.09.2018 tarihli ve 2018/112 sayılı Kurul Kararına istinaden Sevinç Eğitim Kurumları nezdinde yapılan yerinde inceleme esnasında istenilen ve 05.08.2019 tarihine kadar Kuruma gönderilmesi tebliğ edilen bilgi ve belgelerin eğitim kurumu tarafından Kuruma iletilmediği de dikkate alındığında,

anılan eğitim kurumu tarafından Şikayetçinin açık rızası veya Kanunun 5 inci maddesinin (2) numaralı fıkrasında sayılan diğer işleme şartları olmaksızın cep telefonuna reklam amaçlı mesaj gönderilmesi suretiyle kişisel verilerinin işlenmesi nedeniyle anılan eğitim kurumunun Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılması sebebiyle, Sevinç Eğitim Kurumları hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi hükmü gereğince 50.000 TL idari para cezası uygulanmasına karar verilmiştir.

01.10.2019: “Bir operatör şirketinin, ilgili kişinin internet sitesi üzerinden yapmış olduğu başvurusunu kimlik teyidi yapamadığı gerekçesiyle reddetmesine ilişkin olarak Kurula yapılan başvuru” hakkında
Karar Tarihi : 01/10/2019
Karar No : 2019/296
Konu Özeti : Bir operatör şirketinin ilgili kişinin internet sitesi üzerinden yapmış olduğu başvurusunu kimlik teyidi yapamadığı gerekçesiyle reddetmesine ilişkin olarak Kurula yapılan başvuru hakkında

İlgili kişinin bireysel olarak faturalı telekomünikasyon ve buna bağlı hizmetler aldığı Operatör Şirketine (Şirket) internet sitesi üzerinden yapmış olduğu başvurusunun, Şirketin internet sitesinde bulunan KVKK başvuru formunun doldurularak noter aracılığıyla veya elektronik imzalı e-posta ile iletilmediğinden bahisle kimlik teyidi yapılamadığı gerekçesiyle reddedilmesi sonucu Kişisel Verileri Koruma Kuruluna ilettiği şikayet başvurusunun incelenmesi neticesinde,

Şikayete konu olayda veri sorumlusundan alınan bilgiler ışığında; Şirketin internet sitesinde yer alan Gizlilik Politikasında ilgili kişi tarafından Şirkete yapılacak başvurunun KVKK talep formunun doldurularak Şirket adresine “noter kanalı vb. yollarla” gönderilmesi gerektiği doğrultusunda bilgilendirme mahiyetinde açıklamada bulunulduğu ve söz konusu formun Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e (Tebliğ) uygun bir formatta sunulduğu, Şirketin yapılacak başvurularda belirtilen şekilde başvuruyu aramasının nedeni olarak kişilerin kimlik tespitinin amaçlandığı, Şirket tarafından başvuran kişi ile bilgisi talep edilenin aynı kişi olup olmadığı hususunda Tebliğ’de belirtilen yöntemlere ek bir kontrol mekanizması daha oluşturulduğu, ilgili kişinin başvurusunun Şirket tarafından belirtilen yöntem üzerinden değil Şirketin müşteri hizmetlerine elektronik ortamda yapıldığı, ilgili kişinin başvurusunu ilettiği formda ise Şirketin başvuru amacına yönelik oluşturduğu KVKK talep formunun aksine kimlik teyidini sağlayacak TC kimlik numarası, adres gibi bilgilerin istenmediği, yalnızca ad soyad, telefon, e-posta adresi gibi bilgilerin zorunlu olarak yer aldığı ve bu sebeplerle bahsi geçen şikayet başvurusunun Tebliğ’e uygun olmadığı anlaşılmış olup,

6698 sayılı Kanun’un “Veri Sorumlusuna Başvuru” başlıklı 13’üncü maddesinin (1) numaralı fıkrasında, ilgili kişinin bu Kanun’un uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna ileceği, bu kapsamda Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in “Başvuru Usulü” başlıklı 5’inci maddesinde, ilgili kişinin Kanun’un 11’inci maddesinde belirtilen hakları kapsamında taleplerini yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna ileteceği ve Tebliğ’in 6’ncı maddesinde veri sorumlusunun bu tebliğ kapsamında yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlü tutulduğu hükümlerine yer verildiği dikkate alınarak;

  • Şirketçe kimlik teyidi sağlamak amacıyla yalnızca noter kanalı veyahut e-imza ile başvuruda bulunabileceğinin bildirilmesi sonucu Kanun’da ya da Tebliğ’de öngörülmeyen maddi bir külfet getirilmesinin ve ilgili kişinin bu şekilde yanlış yönlendirilmesi suretiyle söz konusu KVKK talep formunu doldurarak usule uygun bir başvuru yapma hakkının engellenmesinin Tebliğ’in 6’ncı maddesinde sayılan hukuka uygunluk ve dürüstlük kuralı ile bağdaşmayacağı dikkate alındığında, Tebliğ hükümlerine uyum konusunda azami dikkat ve özenin gösterilmesi hususunda Şirketin talimatlandırılmasına,
  • İlgili kişiye ise 6698 sayılı Kanun’un 11’inci maddesi kapsamında ilgili kişinin hakları ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in ilgili maddelerinin hatırlatılmasına

karar verilmiştir.

01.10.2019: “Bir havayolu taşımacılık şirketinin (veri sorumlusu) sunduğu sadakat programını kullanan ilgili kişinin kullanıcı adı ve parola bilgilerini değiştirme talebi karşısında ilgili kişiden arkalı önlü kimlik görüntüsü talep eden veri sorumlusu” hakkında
Karar Tarihi : 01/10/2019
Karar No : 2019/294
Konu Özeti : Bir havayolu taşımacılık şirketinin (veri sorumlusu) sunduğu sadakat programını kullanan ilgili kişinin kullanıcı adı ve parola bilgilerini değiştirme talebi karşısında ilgili kişiden arkalı önlü kimlik görüntüsü talep eden, ilgili kişinin kimlik görüntülerinin silinmesi talebine ise verilerin sistemlerinde tutulmadığı ve üçüncü kişilerle paylaşılmadığı yanıtını veren veri sorumlusu hakkında yapılan şikayet hk.

 

Bir havayolu taşımacılık şirketinin (veri sorumlusu) sunmuş olduğu sadakat programını kullanırken kullanıcı adı ve parola bilgilerini değiştirme talebiyle veri sorumlusuna başvuran ilgili kişiye, arkalı önlü kimlik görüntüsünü iletmesi halinde talebinin yerine getirileceği cevabının verilmesi, o sırada bilet bilgilerine erişmek için kimlik görüntüsünü elektronik olarak ileten, ancak daha sonra veri sorumlusuna başvurmak suretiyle kimlik görüntülerinin silinmesi ve kişisel verileri üçüncü kişilere aktarıldıysa, verilerin aktarılan üçüncü kişilerin kayıtlarından da silinmesi talebine kişisel verilerinin sistemlerinde tutulmadığı ve üçüncü kişilerle paylaşılmadığı yanıtını alan ilgili kişinin Kuruma yaptığı başvurunun incelenmesi neticesinde,

  • İlgili kişinin kimlik görüntüsünde yer alan bilgilerin “kan grubu” ve “din” bilgilerini de içermesi nedeniyle arkalı önlü kimlik görüntüsünde yer alan verilerin özel nitelikli kişisel veri niteliğinde olduğu, bu nedenle Kanunun 5 inci ve 6 ncı maddelerinde düzenlenen hükümlerin birlikte dikkate alınması gerektiği, söz konusu verilerin özel nitelikli verileri de ihtiva etmesi nedeniyle ilgili kişinin açık rızası olmadan gerçekleştirilen veri işleme faaliyetinin hukuka aykırı bir işleme olduğu,
  • Başvuruya konu olay Genel İlkeler bakımından değerlendirildiğinde,
    • Arkalı önlü kimlik görüntüsünün işlenmesinin, Kanunun 5 inci ve 6 ncı maddeleri kapsamında kişisel verilerin işlenme şartlarına uygun olmayan bir işleme faaliyeti olduğu değerlendirildiğinden, hukuka uygunluk ilkesine aykırı olduğu; öte yandan veri sorumlusunun kimlik görüntüsünün muhafaza edilmesine rağmen kayıt altına alınmadığı yönünde ilgili kişiye cevap vermesinden dolayı şeffaf olmadığı, bu nedenlerle de dürüstlük kuralına aykırı veri işleme faaliyetinde bulunduğu,
    • Veri sorumlusunun kimlik görüntülerini işlemesinde hangi hukuki işleme şartına dayandığı hususunun ilgili kişiye verilen cevapta ve kurumumuza intikal eden yazıda belirtilmediği, bu nedenle veri sorumlusunun veri işleme faaliyetinin belirli, açık ve meşru amaçlar için işlenme ilkesine aykırı olduğu,
    • Kimlik doğrulama işlemi için daha az verinin işlenmesinin mümkün olduğundan hareketle veri sorumlusunun somut olayda işlediği kimlik görüntüsünün işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırı olduğu,
    • Veri sorumlusunun kimlik görüntüsünü işlediği gibi, kimlik doğrulama işlemi bittikten sonra bu verileri silmediği, Kurumumuzca bilgi belge talep edilmesi üzerine sildiğini beyan ettiği gerçeğinden yola çıkarak, veri sorumlusunun veri işleme faaliyetinin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkesine de aykırı olduğu,
  • İlgili kişinin, amacın ortadan kalktığı gerekçesi ile kişisel verilerini içeren nüfus cüzdanı görüntüsünün silinmesi veya yok edilmesi ile kişisel verilerinin silinmesi veya yok edilmesi işlemlerinin kişisel verilerinin aktarıldığı üçüncü kişilere de bildirilmesini talep ettiği, veri sorumlusunun ise güvenlik sebebi ile alınan kimlik kartı, pasaport ya da kimlik görüntüsü gibi bilgilerin kayıt altına alınmadığı ve üçüncü kişiler ile paylaşılmadığı şeklinde elektronik posta vasıtasıyla yanıt verdiği, ancak daha sonra Kurumumuzun bilgi ve belge talep etmesi üzerine veri sorumlusu tarafından yapılan incelemede ilgili kişi ile iletişim halinde olan çağrı merkezi ekibi tarafından ilgili kişinin ilk başvurusu işleme alınırken kimlik doğrulama sürecinin Şirket kurallarına uygun olarak yürütülmediği, kimlik görüntülerinin alınmasına dair şikayetin içeriğinin doğru tahlil edilemediği, ilgili kişinin, kimlik görüntülerinin kaydedilmediği ve üçüncü kişilerle paylaşılmadığı şeklinde hatalı bilgilendirildiği ve yazılı çalışma kurallarının aksine talep değerlendirme, görüş ve destek birimlerinin yeterli bilgisi olmadan şikayetlerin yanıtlandığının tespit edildiği, ilgili kişinin iletmiş olduğu kimlik görüntülerinin şikayet modülü yazılım firmasının sunucuları üzerinde bulundurulduğu, kimlik görüntülerinin silinmediğinin tespit edildiği, dolayısıyla inceleme neticesinde işlem yapan çağrı merkezi personelinin başvuru sahibi ilgili kişiyi kişisel verilerinin saklandığı yerler ve paylaşıldığı üçüncü kişiler hakkında yanlış bilgilendirdiğinin ve bilgi eksikliği nedeniyle verilerinin silinmesine ve veri işleyenleri öğrenmeye yönelik taleplerini işleme almadığının tespit edildiğinin belirtildiği, bu nedenle veri sorumlusunun, ilgili kişinin veri sorumlusuna başvuru hakkına riayet etmediği, diğer bir deyişle, veri sorumlusunun ilgili kişinin başvurusuna hukuka ve dürüstlük kuralına uygun bir yanıt vermediği,
  • Diğer yandan, veri sorumlusunun, Kanun kapsamındaki başvurusuna cevap verebilmek amacıyla ilgili kişinin kimliğinin teyidi noktasında ek bilgi istemesinin yerinde olduğu değerlendirilmekle birlikte, ilgili kişinin din ve kan grubu gibi özel nitelikli kişisel verilerini de içeren arkalı önlü kimlik görüntüsünün talep edilmesinin, Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde düzenlenen “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine uygun olmadığı gibi, Kanunun özel nitelikli kişisel verilerin işlenmesini düzenleyen 6 ncı maddesine de uygun olmadığı, zira veri sorumlusunun da yapığı savunmada, somut olayda çağrı merkezi ekibi tarafından yazılı çalışma kurallarına aykırı şekilde kimlik belgesi talep edildiğini belirterek, olaya ilişkin ikrarda bulunduğu,
  • Yukarıda açıklandığı üzere somut olayda işlenen kimlik görüntüsüne yönelik olarak ilgili kişinin açık rızasının alınmadığı, açık rızanın aranmadığı diğer hallerin bulunmadığı, genel ilkelere uyulmadığı ve ilgili kişinin haklarına riayet edilmediği gerekçesiyle veri işleme faaliyetinin hukuka aykırı olduğu, bu çerçevede kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olan veri sorumlusunun veri güvenliğine ilişkin yükümlülüğüne aykırı davrandığı

tespit edilmiş olup, bu itibarla,

  • Kanunun 12 inci maddesinin (1) numaralı fıkrasında yer alan veri güvenliğine ilişkin yükümlülükleri yerine getirmediği değerlendirilen Veri Sorumlusu hakkında Kanunun 18 inci maddesinin 1 numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına,
  • Veri sorumlusunun Kurumumuza ilettiği yazıda, kişisel verilerinin silindiği hususunda ilgili kişinin bilgilendirileceğini belirtmiş olmasına rağmen, inceleme sürecinde bu bilgilendirmenin yapıldığına dair taraflardan gelen herhangi bir bildirim olmadığı dikkate alındığında, ilgili kişinin kimlik görüntüsünü içeren kişisel ve özel nitelikli kişisel verilerinin veri sorumlusu ve veri işleyenlerin sistemlerinden silindiği bilgisinin ilgili kişiye bildirilerek Kurumumuza bilgi verilmesi, önceden bildirildi ise bunu tevsik edecek bilgi ve belgelerin Kurumumuza iletilmesi konusunda veri sorumlusunun talimatlandırılmasına,
  • Kişisel verileri işlenen müşterilerin bundan sonraki taleplerinde benzer karışıklıklara meydan vermemek amacıyla, sadakat kart uygulaması ve diğer hizmetlerin sunulması sürecinde kendi adına veya bir başkası adına kişisel verilere ilişkin talepte bulunan kişilerin kimliklerinin teyit edilmesi noktasında uygulanacak yöntem ve bu durumda işlenecek kişisel verilere ilişkin kurumsal düzenlemeleri Kanun kapsamında gözden geçirerek, ilgili birimleri ile veri işleyenleri bilgilendirmesi hususunda veri sorumlusunun talimatlandırılmasına,

karar verilmiştir.

18.09.2019: Bir bankanın, ilgili kişinin cep telefonu numarasını bankaya veriliş amacı dışında kullanması hakkında
Karar Tarihi : 18/09/2019
Karar No : 2019/277
Konu Özeti : İlgili kişinin, kişisel verisi olan cep telefonu numarasının bir banka tarafından veriliş amacı dışında kullanılması hakkında

 

Şikâyetçinin bir banka çalışanının kendisini arayarak eşinin müdürü olduğu Şirket ile ilgili olarak eşine ulaşamadığını ve eşiyle iletişime geçebilmesi konusunda kendisine yardımcı olmasını talep ettiği, bunun üzerine müşterisi olarak Bankaya kendisiyle ilgili işlemlerde kullanılması için vermiş olduğu iletişim bilgilerine amacı dışında nasıl ve neden ulaşıldığı hakkında bilgi almak için Bankaya başvuru yaptığı ve Bankanın kendisine yazılı bir cevap vermediği iddiasıyla yapılan başvurusunun incelenmesi sonucunda;

Şikâyetçinin talebini Bankaya e-posta yoluyla ilettiği ancak Bankadan cevap verilmediği yönündeki iddiası ile ilgili olarak Bankanın Şikâyetçinin e-posta adresine mesaj gönderdiği ve gönderilen mesajda “… paylaşımınız hakkında detaylı bilgilendirme yapabilmek amacıyla iletişim numaranız üzerinden size ulaşmayı denedik ancak yanıt alamadık. İşleminiz ile ilgili detayları …Hizmet Hattı’nı arayarak öğrenebilirsiniz…” ifadelerine yer verilerek şikayetçinin bilgilendirilmesi yoluna gidildiği görülmüştür.

Bu çerçevede;

  • Banka tarafından, Şikâyetçiye gönderilen e-posta mesajında başvurusuna ilişkin detayları Banka Hizmet Hattını arayarak öğrenebileceğine dair bilgilendirme yoluna gidilmesinin, veri sorumlusunca Şikâyetçiye başvurusunda talep ettiği hususları açıklayıcı nitelikte yazılı veya elektronik ortamda bir cevap olarak değerlendirilemeyeceği kanaatine ulaşılmış olduğundan, Şikâyetçinin başvurusuna Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ hükümlerine uygun cevap verilmemiş olması nedeniyle Bankaya Kanun ve Tebliğ hükümlerine uyum hususunda azami dikkat ve özenin gösterilmesi konusunda hatırlatmada bulunulmasına,,
  • Şikâyetçinin müşterisi olduğu Bankaya kendisine ait iş ve işlemlerde ulaşılması adına vermiş olduğu telefon numarası bilgisinin, eşine ulaşılmasında yardımcı olunabilmesi adına işlenmesinin, 6698 sayılı Kanunun 4 üncü maddesinin (2) numaralı fıkrasının (c) ve (ç) bentlerinde yer alan kişisel verilerin işlenmesinde “belirli, açık ve meşru amaçlar için işlenme ve işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine uyulması zorunluluğuna aykırı olduğu ve bu çerçevede Kanunun 12 nci maddesinin birinci fıkrasının (a) bendi uyarınca veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığını göstermesi nedeniyle Banka hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına

karar verilmiştir.

23.07.2019: “Yurtdışında yerleşik Tüzel kişilerin Türkiye’deki Şubeleri ile İrtibat Bürolarının Sicile Kayıt Yükümlülüğü Hakkındaki Görüş Talebi Hakkında”
Karar Tarihi : 23/07/2019
Karar No : 2019/225
Konu Özeti : Yurtdışında Yerleşik Tüzel Kişilerin Türkiye’deki Şubeleri ile İrtibat Bürolarının Veri Sorumlusu Sıfatını Taşıyıp Taşımayacağı ve Sicile Kayıt

 

Kurumumuza iletilen; yurtdışında yerleşik tüzel kişilerin Türkiye’de işlemekte oldukları kişisel veriler nedeniyle;

  • yurtdışında yerleşik tüzel kişiler,
  • yurtdışında yerleşik tüzel kişilerin Türkiye’deki şubeleri ve
  • yurtdışında yerleşik tüzel kişilerin Türkiye’deki irtibat bürolarının

6698 sayılı Kanuna göre veri sorumlusu sıfatına haiz olup olmayacağı, Sicile kayıt yükümlülüğü ve istisna kriterleri açısından değerlendirilmesi konusundaki görüş talebinin incelenmesi neticesinde;

Yurtdışında yerleşik tüzel kişiler açısından;

6698 sayılı Kişisel Verilerin Korunması Kanununda (Kanun) veri sorumlusu, “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlanmış olup bunlar gerçek kişiler olabileceği gibi kamu kurumları, şirketler, dernekler veya vakıflar gibi tüzel kişiler de olabilecektir.

Bu kapsamda bir kişisel veri işleme etkinliğinde veri sorumlusunun tespiti için veri sorumlusu tanımında yer alan kişisel verilerin işleme amaçlarını ve vasıtalarını belirleme, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olma ve ayrı bir gerçek veya tüzel kişi olma kriterleriyle birlikte, kişisel verilerin ilk aşamada elde edilmesi ve bunun yasal dayanağı, hangi kişisel verilerin hangi amaçla işleneceği ve kişisel veri elde etme yöntemleri, işlenecek kişisel veri türleri, kimlerin kişisel verilerinin işleneceği, ilgili kişinin erişimi ve diğer hakların kullanılıp kullanılmadığı, kişisel verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kimlerle paylaşılacağı ve kişisel verilerin ne kadar süre muhafaza edileceği gibi hususlarda kimin karar verdiği dikkate alınabilecektir.

Bunlara ek olarak, merkez şirketten bağımsız olarak tabi olunan hukuki yükümlülükler, merkezden bağımsız olarak doğrudan kişisel verileri işlenen kişilere uygulanan kendi hüküm ve şartlarının mevcudiyeti gibi unsurlar da veri sorumlusunu belirlemek bakımından önem arz etmektedir.

Bununla birlikte ifade etmek gerekir ki, yurt içinde ve yurt dışında faaliyet gösteren ticari işletmeler, Türkiye’deki iş ilişkilerini yürütmek açısından çeşitli seçeneklere sahiptir. Bu seçeneklerden birisi şube açmak, diğeri de irtibat bürosu kurmaktır.

Bu açıdan ilgili seçenekler değerlendirilirken faaliyet çerçevesinin belirlenmesi önem taşımaktadır. Uygulamada genellikle, şirketler yürüttükleri faaliyetlerin kapsamı arttıkça işlerini merkezden yönetmek yerine, kuracakları yarı bağımsız birimler yani şubeler aracılığı ile mahallinden yönetmeyi tercih etmektedirler.

Yurtdışında yerleşik tüzel kişilerin Türkiye’deki şubeleri açısından;

6102 sayılı Türk Ticaret Kanununun (TTK) “Tescil” başlıklı 40 ıncı maddesinin üçüncü fıkrasında “Merkezi Türkiye’de bulunan ticari işletmelerin şubeleri de bulundukları yerin ticaret siciline tescil ve ilan olunur. Ticaret unvanına ve imza örneklerine ilişkin birinci ve ikinci fıkra hükümleri bu işletmelere de uygulanır. Kanunda aksine hüküm bulunmadıkça merkezin bağlı olduğu sicile geçirilen kayıtlar şubenin bağlı bulunduğu sicile de tescil olunur. Ancak, bu hususta şubenin bulunduğu yer sicil müdürlüğünün ayrı bir inceleme zorunluluğu yoktur.” hükmü, 4 üncü fıkrasında ise “Merkezleri Türkiye dışında bulunan ticari işletmelerin Türkiye’deki şubeleri, kendi ülkelerinin kanunlarının ticaret unvanına ilişkin hükümleri saklı kalmak şartıyla, yerli ticari işletmeler gibi tescil olunur. Bu şubeler için yerleşim yeri Türkiye’de bulunan tam yetkili bir ticari mümessil atanır. Ticari işletmenin birden çok şubesi varsa, ilk şubenin tescilinden sonra açılacak şubeler yerli ticari işletmelerin şubeleri gibi tescil olunur” hükmü yer almaktadır.

5174 Sayılı Türkiye Odalar ve Borsalar Birliği ile Odalar ve Borsalar Kanununun 9 uncu maddesinin 2 nci fıkrasında ise “Bir merkeze bağlı olduğu halde, ister merkezin bulunduğu odanın, ister başka odanın çalışma alanı içinde olan müstakil sermayesi ve müstakil muhasebesi bulunan ve/veya muhasebesi merkezde tutulduğu ve müstakil sermayesi bulunmadığı halde kendi başına sınaî faaliyet ve ticarî muamele yapan yerler ve satış mağazaları bu Kanunun uygulanması bakımından şube sayılır” denilerek odalara kayıt zorunluluğunun kapsamı belirlenirken şubenin tanımına da yer verilmiştir.

5411 sayılı Bankacılık Kanununun 3 üncü maddesine göre de şube; “elektronik işlem cihazlarından ibaret birimleri hariç olmak üzere, bankaların bağımlı bir parçasını oluşturan ve bu kuruluşların faaliyetlerinin tamamını veya bir kısmını kendi başına yapan, sabit ya da seyyar bürolar gibi her türlü iş yeri” olarak ifade edilmiştir.

Ticaret Sicili Yönetmeliğinin 118 inci maddesinin 1 inci fıkrasında ise şube, “bir ticari işletmeye bağlı olup ister merkezinin bulunduğu sicil çevresi içerisinde isterse başka bir sicil çevresinde olsun, bağımsız sermayesi veya muhasebesi bulunup bulunmadığına bakılmaksızın kendi başına sınai veya ticari faaliyetin yürütüldüğü yerler ve satış mağazaları” olarak tanımlanmıştır.

Bu çerçevede, bir yerin şube sayılabilmesi için merkeze bağımlı olma, dış ilişkilerde bağımsızlık, yer ve yönetim ayrılığı gibi kriterlere de bakmak gerekir.

Merkeze bağımlı olmak, şubenin merkeze ticari bir işletmenin parçası olarak bağlı olması anlamına gelmekte olup şube ile merkezin aynı gerçek veya tüzel kişiye ait olması gerekir. Bu bağlılık nedeniyle şubenin, merkezden ayrı bir işletme politikası olamaz, şubenin kâr ve zararı merkeze aittir. Şube aracılığıyla elde edilen hakların, üstlenilen borçların sahibi de şube değil merkezdir. Ayrıca şube, ancak merkez nam ve hesabına üçüncü kişilerle iş ve işlem yaptığından şube tarafından yürütülen faaliyetten doğan hak ve yükümlülüklerin muhatabı da merkez, bir diğer ifade ile işletme sahibi olmaktadır. Bu bağlamda, merkez ile şube iktisadi bir bütün oluşturarak ortak bir işletme politikası yürütmektedir.

Dış ilişkide bağımsızlık, şubenin merkezin yaptığı işlemler türünden işlemleri üçüncü kişilerle kendi başına yapma yetkisine sahip olmasını ifade etmektedir. Yer ayrılığı ilkesine göre, şube ticari işletmenin genişleyen faaliyetlerinin mahallinden daha kolay biçimde yürütülmesi amacıyla açıldığında merkez ile şube arasında kural olarak yer ayrılığı olmalıdır. Ancak bu hususu çok dar ve kesin biçimde yorumlamamak gerekir.

Yönetim ayrılığı ise, şubenin kendi başına ticari işlem yapmaya yetkili olduğundan merkezden ayrı bir yönetime sahip olması gerekliliğini ifade etmektedir.

Öte yandan, Avrupa Birliği Genel Veri Koruma Tüzüğünün (GDPR) 3 üncü maddesinin (1) numaralı fıkrasında “Bu Tüzük, işlemenin Birlik dahilinde gerçekleştiğine bakılmaksızın, kişisel verilerin bir veri sorumlusunun veya veri işleyenin Birlik dahilindeki işletmesinin faaliyetleri kapsamında işlenmesine uygulanır.” düzenlemesine yer verilmiştir.

Söz konusu hükme göre, Avrupa Birliği’nde (AB) bulunan şubenin / irtibat bürosunun kendisinin veri işleyip işlemediği önemli değildir. Yabancı şirket, AB’de bulunan şubesinin / irtibat bürosunun faaliyetleri çerçevesinde veri işleme gerçekleştirdiği takdirde GDPR hükümlerine tabi olmaktadır. Bu kapsamda, AB’de bulunan işletme ile AB dışında bulunan veri sorumlusunun veri işlemesi arasında açık bir bağ olduğunun tespit edilmesi halinde, AB dışında bulunan veri sorumlusunun GDPR hükümlerine tabi olacağı sonucuna varılmaktadır. Burada, AB dışında bulunan şirketlerin, veri sorumlusu / veri işleyen olarak GDPR hükümlerine tabi olmasına ilişkin bir kriter olarak “işletme” kavramı dikkat çekmektedir. Yani GDPR’ın sınır aşan şekilde uygulanmasına ilişkin olarak, yabancı veri sorumlusu / veri işleyen bir girişimin / oluşumun (şirket vb.), AB’de bulunan işletmesi aracılığıyla (bu işletmenin faaliyetleri çerçevesinde) GDPR hükümlerine tabi olması sonucu doğabilmektedir.

Yine GDPR’ın 4 üncü maddesinin 7 inci fıkrasında veri sorumlusu (kontrolör); “yalnız başına veya başkalarıyla birlikte kişisel verilerin işlenmesine ilişkin amaçlar ve yöntemleri belirleyen gerçek veya tüzel kişi, kamu kuruluşu, kurumu veya diğer herhangi bir organdır; söz konusu işleme amaçları ve yöntemlerinin Birlik ya da üye devlet hukukuna göre belirlenmesi durumunda, kontrolör veya kontrolörün belirlenmesine özgü kriterler Birlik ya da üye devlet hukukuna göre belirlenebilir” şeklinde 6698 sayılı Kanunda yer alan veri sorumlusu tanımı ile benzer şekilde ve daha kapsamlı olarak tanımlanmıştır. Bu çerçevede veri sorumlusu, kişisel verileri elinde bulundurması dolayısıyla bu sıfatı kazanmakta, kişisel verilerin işlenme amaçlarını ve vasıtalarını belirlemekle veri sorumlusu haline gelmektedir.

Bu açıdan değerlendirildiğinde, her ne kadar Sicile kayıt yükümlülüğü için 6698 sayılı Kanuna göre veri sorumlusu sıfatını haiz olması yani tüzel ya da gerçek kişi olması kriterini de taşıması gerekmekte ise de, yurt dışında yerleşik tüzel kişilerin Türkiye’deki şubelerinin ayrı bir tüzel kişilikleri bulunmasa da TTK 40 ıncı maddesine göre şubelerin yerli ticari işletmeler gibi tescil oldukları ve GDPR’ın 4 üncü maddesindeki veri sorumlusu olma kriterleri arasında “tüzel kişi” olmanın şart olarak öngörülmediği göz önünde bulundurulduğunda, kişisel veri işleme süreçleri bakımından merkezden bağımsız bir şekilde Türkiye’de veri sorumlusu kriterlerine uygun olarak hareket eden bu şubelerin veri sorumlusu sayılacağı değerlendirilmektedir.

Yurtdışında yerleşik tüzel kişilerin Türkiye’deki irtibat büroları açısından;

4875 sayılı Doğrudan Yabancı Yatırımlar Kanununda yabancı yatırımlar ile ilgili düzenlenmeler bulunmakta olup bu doğrultuda, doğrudan yabancı yatırıma ilişkin esaslar arasında, yatırım planlanan ülkeye irtibat bürosu kurma da yer almaktadır.

4875 sayılı Doğrudan Yabancı Yatırımcılar Kanunu Uygulama Yönetmeliğinin 6 ncı maddesinin 1 inci fıkrasında “Bakanlık, yabancı ülke kanunlarına göre kurulmuş şirketlere, Türkiye’de ticari faaliyette bulunmamak kaydıyla irtibat bürosu açma izni vermeye ve bu izinlerin süresini uzatmaya yetkilidir.” düzenlemesine yer verilmiştir.

Yukarıda yer verilen açıklamalar çerçevesinde yapılan değerlendirme sonucunda;

  1. Türkiye’de doğrudan veya şubeleri aracılığıyla kişisel veri işleme faaliyetinde bulunan yurt dışında yerleşik veri sorumlularının Sicile kayıt olmalarının gerektiğine,
  2. Yurt dışında yerleşik tüzel kişilerin Türkiye’deki şubelerinin, Kanunda yer alan veri sorumlusu tanımı gereği kişisel verilerin işleme amaçlarını ve vasıtalarını belirlemesi ve veri kayıt sisteminin kurulması ile yönetilmesinden sorumlu olması halinde yurt dışında yerleşik tüzel kişiden ayrı olarak Türkiye’de yerleşik veri sorumlusu olarak değerlendirileceğine, bu durumda olan yurt dışında yerleşik tüzel kişilerin Türkiye’deki şubeleri için Kişisel Verileri Koruma Kurulunun 2018/88 sayılı ve 2019/265 sayılı kararlarında yer alan “yıllık çalışan sayısı” ve “yıllık mali bilanço toplamı” kriterleri açısından yapılacak değerlendirme sonucunda Sicile kayıt yükümlülüğü bulunup bulunmadığına karar verileceğine, bu durumda olmayan yurt dışında yerleşik tüzel kişilerin Türkiye’deki şubelerinin ise Sicile kayıt yükümlülüğünün bulunmadığına,
  3. Türkiye’de irtibat bürosu açılabilmesi için şirket tüzel kişiliklerinin yabancı ülke kanunlarına göre kurulması ve kurulan irtibat bürolarının Türkiye’de ticari faaliyette bulunmaması gerektiği, irtibat bürolarının ticari faaliyet dışında haberleşme, fizibilite araştırması yapma, sosyal ve kültürel alanlarda bazı çalışmaları yürütme, şirketler arasında birleşme ve devirler için ön hazırlık yapma, tanıtım ve reklam, ülkedeki iş olanaklarının yakından takip etme ve bu konular hakkında merkez firmaya bilgi verme amacı doğrultusunda açılan bürolar olması ve şube özelliği bulunmadığı hususu dikkate alındığında söz konusu irtibat bürolarının Sicile kayıt olma yükümlülüğünün bulunmadığına,

karar verilmiştir.

27.08.2019: Bir turizm şirketinin veri ihlali hakkında Karar
Karar Tarihi : 27/08/2019
Karar No : 2019/255
Konu Özeti :Bir turizm şirketinin veri ihlali hakkında Karar

Şirket tarafından Kurumumuza iletilen bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 27.08.2019 tarih ve 2019/255 sayılı Kararı ile;

  • Şirket yetkilileri ve bilgi işlem uzmanlarının incelemeleri neticesinde Şirketin Local Area Network (LAN-Yerel Alan Ağı) üzerinden, ilgili şifrelerin ele geçirilmesi yoluyla yetkisiz şifre girişi ile siber saldırı yapıldığı ve söz konusu olayın Şirketin Genel alanlarda bulunan bir çalışan bilgisayarı üzerinden çalışan ağına sızılarak gerçekleştirilmesi şeklinde olduğu,
  • Etkilenen kişisel verilerin;
    • Personel Verileri: Ad, soyad, TC kimlik numarası, doğum tarihi, medeni durum, eş çalışma bilgisi, çocuk sayısı, anne adı, baba adı, adresi, GSM numarası, banka hesap bilgileri
    • Müşteri Verileri: Ülke/eyalet, uyruk, doğum tarihi(DB-Veri tabanı seviyesinde şifreli), ad, soyad, telefon numarası, eposta adresi, mektup adresi, kredi kart numarası ve son kullanım tarihi(DB-Veri tabanı seviyesinde şifreli), firma ise vergi numarası, TC/Pasaport No(DB-Veri tabanı seviyesinde şifreli), cinsiyet

    olduğu,

  • Etkilenen kişisel veriler arasında özel nitelikli kişisel veri bulunmadığı,
  • Genel alanlarda bulunan bir çalışan bilgisayarına Şirket çalışanı olmayan yetkisiz 3. kişilerce erişilebilmesinin idari bir tedbirsizlik olduğu,
  • Genel alanlarda bulunan, sunuculara erişimi olan çalışan network bağlantılarının ihlal gerçekleştikten sonra kapatıldığı ve bu hususun da sunucu güvenliği noktasında bir aksaklık teşkil ettiği,
  • Güvenlik duvarının ihlal gerçekleştikten sonra yenilenmesinin sağlandığı ve güvenlik duvarının güncel durumda bulunmamasının teknik bir eksiklik olduğu,
  • Çalışanların ihlal gerçekleştikten sonra güvenlik eğitiminin sağlandığı ve daha önce böyle bir eğitim almadıkları anlaşılmış olup bu durumun da kişisel veri güvenliği sağlanması ve farkındalığı noktasında idari bir eksikliğin göstergesi olduğu,
  • İhlali gerçekleştiren kişinin önce Şirket içindeki sunuculara erişim sağladığı, daha sonra dikkat çekmemek için Şirketten ayrıldığı ve bir sunucuya yüklediği uzaktan erişim yazılımı ile işlemlerini gerçekleştirdiği,
  • Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının Şirket IT sistemleri tarafından fark edilmemesinin teknik bir eksiklik olduğu, – Sunucu üzerindeki verilerin geri getirilemez şekilde ihlali gerçekleştiren kişi tarafından yok edildiği,
  • Söz konusu olayın Bilgi İşlem Birimine Şirketin diğer birimlerinde çalışanlar tarafından bildirilmesinin Şirketin Bilgi İşlem Biriminin ve Bilgi Sistemlerinin düzgün olarak çalışmadığı ve işlemediğinin bir göstergesi olduğu

dikkate alınarak;

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasında yer alan “..veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmü ile, (3) numaralı fıkrasında yer alan “Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.” hükmü çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari ve tedbirleri almayan Şirket hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 400.000 TL idari para cezası uygulanmasına,

Şirket tarafından tespit edilen ihlale ilişkin ilgili kişilere bildirim yapılmadığı ve Kuruma yapılan bildirimin Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” bildirimde bulunma yükümlülüğüne aykırılık teşkil etmesi nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına

karar verilmiştir.

27.08.2019: S Şans Oyunları A.Ş.’nin veri ihlali hakkında Karar
Karar Tarihi : 27/08/2019
Karar No : 2019/254
Konu Özeti :S Şans Oyunları A.Ş.’nin veri ihlali hakkında Karar

S Şans Oyunları Şirket’inin Kurum kayıtlarına 17.09.2018, 27.09.2018, 11.10.2018 ve 02.05.2019 tarihlerinde giren yazılarda özetle;

  • S Şans Oyunları A.Ş.’nin Spor Toto Teşkilat Başkanlığı’ndan almış olduğu izin doğrultusunda sanal bayi olarak www.tuttur.com alan adlı web sitesinde faaliyet gösterdiği,
  • Veri sızıntısından, şirketin üyelerinden birinin, 14.09.2018 tarihinde taraflarına ulaşarak bazı kullanıcılara ait telefon numaralarının ve şifrelerini kaybetmeleri durumunda SMS firması tarafından yollanan üye numaralarının yer aldığı bir Excel listesinin internet ortamındaki illegal sitelerde dolaştığı bilgisini paylaşmasıyla haberdar oldukları,
  • Veri ihlalinin gerçekleşme tarihinin bilinmediği,
  • İhlalden etkilenen kişi sayısının belirlenemediği,
  • İhlalden etkilenen ilgili kişi gruplarının şirket üyeleri/müşteriler olduğu,
  • İhlalden etkilenen kişisel veri kategorilerinin kullanıcıların ad ve soyadları ile cep telefonu numaraları olduğu,
  • Söz konusu listede yer alan SMS’lerin incelenmesinde ise 2015 Mart ile 2017 Ocak tarihleri arasında sistemden gönderilen kısa mesajlar olduğunun tespit edildiği

ifadelerine yer verilmiştir.

Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 27.08.2019 tarih ve 2019/254 sayılı Kararı ile;

  • İhlalin gerçekleşme tarihinin belirlenememesinin, veri sorumlusunun gerekli gözetim, denetim ve kontrolleri yapmadığının göstergesi olduğu,
  • İhlale konu olan Excel listesinde yer alan verilerin ne zaman sistemden çekildiği ve ne zaman veri işleyene aktarıldığının tespit edilememesinin teknik ve idari bir kusur olduğu,
  • Listede yer alan üyelerin %90’ının sisteme hiç giriş yapmadığının Şirket tarafından beyan edilmiş olmasına rağmen ihlalden etkilenen kişi sayısının tespit edilememesinin teknik ve idari tedbirlerin tam olarak alınmadığının veya uygulanamadığının göstergesi olduğu,
  • Şirketin veri ihlaliyle alakalı olarak ilgili kişilere bildirim yapma hususunda faaliyete geçemediği, bu durumun idari tedbirlerin tam olarak alınmadığının veya uygulanamadığının göstergesi olduğu,

Şirket tarafından ihlalin tespit edilememesi, veri sorumlusunun beyanında olduğu üzere ihlalin veri işleyen nezdinde gerçekleşme ihtimali olsa dahi veri sorumlusu açısından Kanun hükümleri çerçevesinde gerekli her türlü teknik ve idari tedbirleri alma konusunda yükümlülüklerini ortadan kaldırmadığı dikkate alındığında , 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (1) numaralı fıkrasında ifade edilen teknik ve idari ve tedbirleri almayan Şirket hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 150.000 TL idari para cezası uygulanmasına,

Kanunun 12 nci maddesinin (5) numaralı fıkrası kapsamında ilgili kişilere bildirim yapılmaması sebebiyle adı geçen Şirket hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 30.000 TL idari para cezası uygulanmasına,

karar verilmiştir.

18.09.2019: Facebook “Başkasının Gözünden Gör” uygulaması üzerinden gerçekleşen veri ihlali hakkında Karar
Karar Tarihi : 18/09/2019
Karar No : 2019/269
Konu Özeti : Facebook “Başkasının Gözünden Gör” uygulaması üzerinden gerçekleşen veri ihlali hakkında Karar

Facebook temsilcisi tarafından Kurumumuza gönderilen 14.10.2018 tarihli e-posta ile Facebook sisteminin birbirinden farklı üç özelliği olan “başkasının gözünden gör”, “doğum günü kutlayıcı” ve “video yükleyicinin” etkileşimi sonucunda oluşan bir hatadan kaynaklanan veri ihlaline ilişkin bilgi verilmiştir. Facebook temsilcisinin göndermiş olduğu e-postada özetle;

  • Facebook Inc. nezdinde 14-28 Eylül 2018 tarihleri arasında access token (erişim jetonları) kullanılmak suretiyle Facebook platformları üzerinden çeşitli Facebook hesabı bilgilerinin ele geçirildiği,
  • 25 Eylül 2018 tarihinde saldırganların erişim jetonları elde etmek için sistemleri üzerindeki üç hata arasındaki kompleks etkileşimden doğan bir zafiyetten faydalandıklarının tespit edildiği,
  • Erişim jetonlarının, aynı dijital bir anahtar gibi, Facebook platformları üzerinden çeşitli bilgilerin elde edilebilmesi için kullanıldığı,
  • İncelemeler sonucunda, ilgili zafiyetin Facebook’un kodu içerisinde 21 Temmuz 2017 tarihinde meydana geldiğinin tespit edildiği, ancak erişim jetonlarına yetkisiz olarak erişilmesine sebep olan bu saldırının 14 Eylül 2018 tarihinde başladığı kanaatini taşıdıkları, zira (25 Eylül 2018 tarihinde gerçekleştirilen incelemeler kapsamında) beklentinin üzerinde bir “View As” (Başkasının Gözünden Gör) trafiği artışının bu tarihte başladığının tespit edildiği,
  • 28 Eylül 2018 tarihinde kod üzerindeki zafiyetin düzeltilerek saldırının durdurulduğu, bununla birlikte ihlal hakkındaki incelemelerin devam ettiği,
  • İlgili zafiyetin, üç ayrı hatanın birbiri ile etkileşiminin bir sonucu olarak meydana geldiği, buna göre etkileşen üç hatanın; 1) “Başkasının Gözünden Gör” ara yüzünün, kullanıcıların kendi profillerinin başkaları tarafından nasıl görüntülendiğini görebildiği bir gizlilik özelliği olduğu, “Başkasının Gözünden Gör” özelliğinin yalnızca bir görüntüleme arayüzü olarak tasarlandığı, ancak kişilerin Facebook’a içerik yüklemesini sağlayan bir kutucuk (composer) üzerinden (spesifik olarak, kişilerin arkadaşlarının doğum günlerini kutlamalarını sağlayan versiyon üzerinden) “Başkasının Gözünden Gör” arayüzünde video yüklenmesi imkanının yanlışlıkla sağlandığı, 2) Video yükleyicisinin Temmuz 2017’de hayata geçirilen yeni bir versiyonunun (ilk hata sebebiyle uygulamaya konulan yeni arayüz), hatalı bir şekilde, Facebook mobil uygulamasının izinlerini taşıyan bir erişim jetonu oluşturduğu, bu erişim jetonunun sayfanın HTML kodunda görüntülenmekte olduğu, 3) Video yükleyicisinin “Başkasının Gözünden Gör” ekranının bir parçası olarak görüntülendiğinde, görüntüleyene ait erişim jetonu yerine görüntülediğiniz kullanıcıya ait erişim jetonunu oluşturduğu, ve bu üç hatanın bir araya gelmesi ile ilgili zafiyetin ortaya çıkığı, kişinin bir arkadaşının gözünden profilini görüntülemesini sağlayan “Başkasının Gözünden Gör” özelliğini kullanırken, uygulama kodunun kişilerin başkalarının doğum gününü kutlamalarını sağlayan kutucuğu kaldırmadığı, video yükleyicisinin yaratmaması gerekirken bir erişim jetonu yarattığı ve yaratılan erişim jetonunun kullanıcının kendisine değil görüntülenen kişiye ait olduğu,
  • İlgili erişim jetonunun ise sayfanın HTML kodu üzerinden görüntülenebildiği, saldırganların bu erişim jetonunu buradan elde etikleri, daha sonra saldırganların bu erişim jetonunu kullanarak bir diğer hesaba eriştikleri ve aynı adımları izleyerek bu hesapla ilişkili olan diğer hesapların erişim jetonlarını ele geçirdikleri,

ifadelerine yer verilmiştir.

Facebook temsilcisi tarafından gönderilen 14.10.2018 tarihli e-postada bilgilendirmenin takip eden hafta içinde yazılı olarak Kurula arz edileceğinin ifade edilmesine rağmen 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (5) numaralı fıkrasında yer alan “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir….” hükmü uyarınca Facebook tarafından Kurul’a herhangi bir bildirim yapılmamıştır. Bunun üzerine Kurul, Kanun’un 15 nci maddesinin (1) numaralı fıkrasında yer alan “Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.” hükmü kapsamında resen inceleme yapma kararı almıştır.

Kurul tarafından yapılan inceleme neticesinde,

  1. Veri ihlalinin, Facebook sisteminin birbirinden farklı üç özelliği olan Başkasının Gözünden Gör modu, Doğum Günü Kutlayıcı ve Video Yükleyicinin etkileşimi sonucunda oluşan bir zafiyetten kaynaklandığı, bu durumun bir kullanıcının kendi profilini Başkasının Gözünden Gör modunda görüntülediğinde;
    • Gelen ekranda kullanıcının doğum gününün görünür olduğu arkadaşlarına doğum günü mesajı gönderme opsiyonunun verildiği,
    • Doğum günü mesajı gönderme opsiyonunun Video Yükleyici ile kullanıldığı takdirde, Başkasının Gözünden Gör modu için video yükleyicisinin bir erişim jetonu ürettiği,
    • Bu erişim jetonunun doğum günü mesajının gönderileceği kullanıcının arkadaşına ait olduğu,
    • Üretilen bu erişim jetonu sonucunda karşı tarafın profil bilgilerini elde etmek üzere kullanılabildiği,

    göz önünde bulundurulduğunda, bu tip hataların test aşamasında tespit edilerek değişiklik yayına alınmadan evvel düzeltilmesi gerektiği dikkate alınarak Şirketin bahse konu veri ihlali kapsamında Kanunun 12 inci maddesinin (1) numaralı fıkrasında belirtilen teknik ve idari tedbirleri almakta kusurlu olduğu,

  2. İlgili zafiyetin 21 Temmuz 2017 tarihinden 27 Eylül 2018 tarihine kadar yaklaşık 14 ay boyunca devam etmesinin gerekli denetim ve kontrollerin yapılmadığının göstergesi olduğu, bu durumun ise 6698 sayılı Kanunun 12 inci maddesinin (1) ve (3) numaralı fıkralarında belirtilen tedbirlerin alınması hususunda Facebook’un kusurlu olduğunu gösterdiği,
  3. İlgili zafiyetten kaynaklı olarak ihlalin 14 – 27 Eylül 2018 tarihleri arasında 13 gün boyunca gerçekleştiği Şirket tarafından belirtilmiş olup,
    • 27 Eylül 2018 tarihinde güvenlik açığına yönelik yama geliştirildiği ancak 25 Eylül 2018 tarihinde Facebook tarafından ihlalin tespit edilmesine rağmen 2 gün boyunca ihlalin devam ettiği,
    • 28 Eylül 2018 tarihinde geçici olarak “Başkasının Gözünden Gör” özelliğinin bütünüyle devre dışı bırakıldığı, bahse konu devre dışı bırakma işleminin tespitten itibaren 3 gün sonra yapılmış olduğu,
    • Potansiyel olarak etkilendikleri belirlenen hesaplara ait erişim jetonlarının (yaklaşık 90 milyon) 27 Eylül 2018 tarihinden başlayarak 29 Eylül 2018 tarihine kadar devre dışı bırakıldığı,
    • 14 Eylül 2018 tarihinde başlamış olan olağandışı bir aktivite sonrası ihlalin tespit edilmiş olduğu, olağandışı aktivitenin olmadığı 21 Temmuz 2017 – 14 Eylül 2018 tarihleri arasında da veri ihlalinin gerçekleşmiş olabileceği

    göz önüne alındığında, ihlale zamanında müdahale edilmediği ve bu konuda teknik ve idari tedbirlerin alınmasında eksikliklerin göstergesi olduğu, bu durumun ise veri sorumlusunun Kanunun 12 inci maddesinin (1) numaralı fıkrasında belirtilen teknik ve idari tedbirleri almakta kusurlu olduğunu gösterdiği,

  4. İhlalinden etkilenen ve Facebook’u Türkçe olarak kullanan 280.959 kullanıcıdan;
    • 133.510 kullanıcının (Grup 1) temel profil bilgilerine (isim, telefon numarası veya eposta bilgileri) ulaşıldığı,
    • 143.974 kullanıcı (Grup 2) için yukarıda yer alan temel profil bilgilerine ek olarak, aşağıda yer alan bilgilere de erişilmiş olunabileceği (ilgili alanlarda kullanıcı tarafından bilgi sağlanmış olması şartıyla);
      • Kullanıcı adı, Ad [profilinde kullanıcı tarafından belirlenmiş olan takma ad (eğer mevcutsa)]
      • Cinsiyet [kullanıcı tarafından profilde belirlendiği üzere]
      • Yerel ayarlar [kullanıcı tarafından seçilen dil]
      • İlişki durumu [kullanıcı tarafından profilde belirlendiği üzere]
      • Din bilgisi [kullanıcı tarafından profilde tanımlandığı üzere]
      • Memleket [kullanıcı tarafından profilde belirlendiği üzere]
      • Konum [yaşanılan şehir, kullanıcı tarafından profilde belirlendiği üzere]
      • Doğum günü [kullanıcı tarafından profilde belirlendiği üzere]
      • Cihazlar [kullanıcı tarafından Facebook’a erişmek için kullanılan cihazlar – alanlar işletim sistemi (örn. iOS) ve donanım (örn. iPhone) bilgilerini içermektedir]
      • Eğitim geçmişi [kullanıcı tarafından profilde belirlendiği üzere]
      • İş geçmişi [kullanıcı tarafından profilde belirlendiği üzere]
      • Web sitesi [kullanıcı tarafından profilinde yer alan web sitesi alanına girilmiş olan sayfa adları]
      • Kimlik doğrulama [bu, Facebook’un ilgili kullanıcının söylediği kişi olduğuna dair kuvvetli göstergelere sahip olduğunu gösteren bir işareti ifade eder]
      • Kullanıcının son zamanlarda bulunduğunu bildirdiği yerlerin listesi [bu yerler gönderilerin içinde geçen yer isimlerinden belirlenmektedir (önemli bir yapı ya da bir restoran gibi) ve bir cihazdan sağlanan konum bilgisi değildir]
      • Facebook’ta son zamanlarda yapılan aramalar
      • Kullanıcının takip ettiği 500’e kadar başlıca hesaplar
    • 3.475 kullanıcının (Grup 3) ise ilk iki grubun erişilen veri türlerine ilave olarak profil sayfalarındaki verilerinin de riske maruz kaldığı,

    göz önünde bulundurulduğunda, Facebook kullanıcılarına ait kişisel verileri ile özel nitelikli kişisel verilerine bu zafiyeti kullanan kişiler tarafından erişilebildiği, bu durumun “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 tarihli ve 2018/10 sayılı Kararının (3) numaralı maddesine ve Kanunun 12 inci maddesinin (1) numaralı fıkrasına aykırılık teşkil ettiği,

  5. İhlalden etkilenen kişilere ait çok sayıda kişisel verilerin elde edildiği dikkate alındığında, bu verilere yetkisiz bir şekilde erişenler tarafından ilgili kişiler hakkında profilleme yapılabileceği ve bu faaliyetlerin bu kişilerin aleyhine bir sonuç oluşturabileceği,
  6. Veri ihlali hakkında Facebook tarafından Kurum’a bildirim yapılmadığı,

tespit edilmiş olup, bu kapsamda

  • Şirketin bahse konu veri ihlali kapsamında Kanunun 12 inci maddesi (1) numaralı fıkrasında belirtilen teknik ve idari tedbirlerde kusurunun bulunması nedeniyle, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca Şirket hakkında 1.150.000 TL,
  • Söz konusu veri ihlalinin 25 Eylül 2018 tarihinde tespit edilmesine rağmen Kanunun 12 nci maddesinin (5) numaralı fıkrası gereğince veri ihlali hakkında Kuruma bildirim yapılmadığı hususu da dikkate alınarak, Şirket hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 450.000 TL,

idari para cezası uygulanmasına,

oy birliğiyle karar verilmiştir.

17.07.2019: “Dubsmash Inc.’in veri ihlal bildirimi hakkında bilgilendirme”
Karar Tarihi : 17/07/2019
Karar No : 2019/222
Konu Özeti :Dubsmash Inc.’in veri ihlal bildirimi hakkında bilgilendirme

Kurum kayıtlarına 08.04.2019 ve 25.06.2019 tarihlerinde intikal eden, Dubsmash Inc.’i temsil eden Lewis Brisbois Bisgaard & Smith LLP’nin yazlarında özetle;

  • 8 Şubat 2019 tarihinde Dubsmash’in, gazeteci olduğunu iddia eden bir kişiden gelen e-posta vasıtasıyla veri ihlalinden haberdar olduğu, söz konusu gazetecinin ise karanlık ağda (Darknet) Dubsmash kullanıcılarının kişisel bilgilerine sahip olduğunu iddia eden bir kişi tarafından haberdar edildiği,
  • İddiaları soruşturmak için bir dijital adli tıp firması ile anlaşıldığı ve inceleme başlatıldığı, 11 Şubat 2019’da Dubsmash’ın kullanıcı bilgilerini içeren veri tabanı kopyasının satın alındığı,
  • Satın alınan veri tabanında bulunan kişilerin sayısına dayanarak, olayın Kasım 2018’de meydana geldiğinden şüphelenildiği,
  • Dubsmash’ın incelemesi sonucunda, halka açık profilinde ilişkili ülke olarak Türkiye’yi tanımlayan 679.269 kişiye ait bilgilerin satın alınan veri tabanında yer aldığı,
  • İhlalin tekrar yaşanmaması, güvenlik tedbirlerinin güçlendirilmesi, ağ ve sistemlerin güvenli olması da dahil olmak üzere gerekli adımların atıldığı,
  • Dubsmash’ın kullanıcı sorularına cevap vermek için bir çağrı merkezi kurduğu, çağrı merkezi için yerli ve uluslararası telefon numaraları sağlandığı,

ifadelerine yer verilmiştir.

Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 17.07.2019 tarih ve 2019/222 sayılı Kararı ile;

  • Lewis Brisbois Bisgaard & Smith LLP’nin, Dubsmash Inc (ABD)’nin yasal temsilcisi olduğuna dair tevsik edici belgenin Kurum’a iletilmediği,
  • Hem IOS hem de Android işletim sistemlerinde çalışabilen uygulamanın dünya çapında yaklaşık 162 milyon civarındaki kullanıcı hesabına ait bilgilerinin Darknet web’te satıldığı,
  • Bu bilgiler arasında kullanıcıların kullanıcı adı, şifreler, doğum tarihi, telefon numarası, e-mail adresi, ülkesi/dili gibi gerçek kişiye ait verilerin olduğu,
  • Bu verilerin Kasım 2018 Şubat ayından beri satışta olduğunun tahmin edildiği,
  • Veri ihlalinin nasıl gerçekleştiğinin bilinmediği, – Veri ihlalinden bir gazeteci vasıtasıyla haberdar olmasının Dubsmash’ın teknik ve idari tedbirler bakımından kusurlu olduğunu gösterdiği,
  • Dubsmash’in büyük çaptaki bu veri ihlaline rağmen kullanıcılarını bu konuda bilgilendirmediği,
  • Dubsmash kullanıcılarının ancak belli bazı sitelerden verilerinin ihlal edilip edilmediğini öğrenebildikleri

hususları dikkate alınarak,

  • Kanunun 12 nci maddesinin (1) numaralı fıkrasında yer alan veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılan Şirket hakkında, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca, 680.000 TL,
  • 08.02.2019 tarihinde tespit edilen veri ihlalinin 27.02.2019 tarihinde Kuruma bildirildiği dikkate alındığında, Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer alan “en kısa sürede bildirim” yükümlülüğüne aykırılık teşkil eden uygulaması nedeniyle Şirket hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 50.000 TL,

olmak üzere toplam 730.000 TL idari para cezası uygulanmasına,

  • İhlalden, halka açık profilinde ilişkili ülke olarak Türkiye’yi tanımlayan 679.269 kişinin etkilendiği dikkate alındığında, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrasında yer alan “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmü gereğince söz konusu ihlalin Kurumun internet sitesinde ilan edilmesine

karar verilmiştir.

08.07.2019: “Bir yatırım şirketi tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmadan işlenmesi ve reklam/bilgilendirme amaçlı aranması hakkında Kuruma yaptığı başvuru ile ilgili”
Karar Tarihi : 01/08/2019
Karar No : 2019/204
Konu Özeti :Bir yatırım şirketi tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmadan işlenmesi ve reklam/bilgilendirme amaçlı aranması hakkında Kurula yaptığı başvuru

İlgili kişinin şahsına ait cep telefonunun açık rızası olmaksızın bir yatırım ve menkul değerler şirketi tarafından bilgilendirme/reklam amaçlı aranması üzerine veri sorumlusuna yaptığı başvuruya yeterli yanıt alamaması nedeniyle Kişisel Verileri Koruma Kuruluna ilettiği şikayet başvurusunun incelenmesi neticesinde,

Şikayete konu olayda veri sorumlusundan alınan bilgiler ışığında; Şikayetçinin müşterisi olduğu personelin daha önce başka bir yatırım şirketinde çalıştığı, bu şirketin faaliyetlerine son verilip kapatılmasının ardından 2017 yılında bahse konu personelin yine aynı alanda faaliyet gösteren veri sorumlusu şirkette çalışmaya başladığı, dolayısıyla şikayetçinin telefon numarası bilgisine bu şekilde vakıf olunduğu ve sonrasında veri sorumlusunun bir personeli tarafından ilgili kişinin reklam ve bilgilendirme amacıyla arandığı anlaşılmış olup,

6698 sayılı Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerine yer verildiği dikkate alınarak,

  • Şikayete konu başvuru, veri işleme şartları açısından değerlendirildiğinde Şirketin Şikayetçinin telefon numarasını işlemesinin 6698 sayılı Kanunun 5 inci maddesinde sayılan şartlardan herhangi birine dayanmaması nedeniyle Şirketin hukuka aykırı bir veri işleme faaliyetinde bulunduğu sonucuna ulaşıldığından, Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine aykırı hareket etmesi nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi gereğince Şirket hakkında 75.000 TL idari para cezası uygulanmasına,
  • Şirketin beyanlarında yer alan; Şikayetçinin Şirketin bir pazarlama personelinin başka bir şirkette çalışırken müşterisi olması nedeniyle, bu personelin yeni işyeri olan Şirkete bu verileri aktardığına ilişkin iddialarına ilişkin olarak; Şikayetçinin Türk Ceza Kanununun 136 ncı maddesi hakkında bilgilendirilmesine,
  • Şikayetçinin Şirketi muhatap başvurusunda yer alan kişisel verilerinin kimlerden ne şekilde elde edildiğine dair bilgi talebine Şirketçe cevap verilmemiş olması nedeniyle Şirketin Kanuna uyum konusunda gerekli hassasiyeti ve özeni göstermesi yönünde uyarılmasına ve söz konusu hususlarda Şirketin Kurumu muhatap yazısında belirtildiği şekliyle Şikayetçiye bilgi vermesi yönünde talimatlandırılmasına

karar verilmiştir.

01.07.2019: “Öğrencilerin kişisel verisi niteliğindeki sınav sonuçlarını internet ortamında yayımlayan Mimar Sinan Güzel Sanatlar Üniversitesi’nin uygulaması hakkında Kuruma yapılmış olan başvuru hakkında”
Karar Tarihi : 01/07/2019
Karar No : 2019/188
Konu Özeti : Öğrencilerin kişisel verisi niteliğindeki sınav sonuçlarını internet ortamında yayımlayan Mimar Sinan Güzel Sanatlar Üniversitesi’nin uygulaması hakkında Kuruma yapılmış olan başvuru hakkında

Mimar Sinan Güzel Sanatlar Üniversitesinde sınava girmiş kişilerin sınav sonuçlarının Yükseköğretim Kurulunun sınav sonuçlarına ilişkin düzenlemeleri çerçevesinde alenen duyurulduğu ve sonuçların internette aramaya açık biçimde yayınlandığı, arama motorlarında sorgulama yapıldığında bu sonuçlara kolayca ulaşılabildiği, üniversite bitirilmiş ve aradan yıllar geçmiş olsa dahi sonuçların üçüncü kişilerin erişimine açık olduğu, ancak bu uygulamanın 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) aykırılık teşkil ettiği belirtilerek, söz konusu uygulamanın düzeltilmesi, üniversitedeki sınav sonuçlarının kullanıcı adı-şifre ile giriş yapılan güvenli bir sistem ile açıklanması talebine ilişkin Kurumumuza intikal eden bir başvuru ile ilgili olarak;

Kişisel Verileri Koruma Kurulu (Kurul) Kararı ile başlatılan incelemeye istinaden veri sorumlusu Mimar Sinan Güzel Sanatlar Üniversitesi’ne iletilen bilgi belge talebi yazısına Kanunda belirtilen yasal süre içinde yanıt verilmediği de dikkate alınarak yapılan değerlendirme neticesinde;

  • Yükseköğretim Kuruluna iletilen bilgi talebi yazısına cevaben Kurumumuza gönderilen yazıda üniversitelerin sınav sonuçlarını ne şekilde duyurması ve bu sonuçları ne kadar süre ile erişime açık tutması gerektiğine ilişkin düzenlenmelerin Üniversitelerin kendi mevzuatlarında yer aldığı ve konuya ilişkin karar verme yetkisinin de Üniversitelerde olduğu sonuç ve kanaatine varıldığının ifade edildiği,
  • “Mimar Sinan Güzel Sanatlar Üniversitesi Lisansüstü Öğretim Yönetmeliği” nin 8 inci maddesinin “Lisansüstü programlara kabul edilen öğrencilerin listesi enstitü yönetim kurulu kararı ile kesinleşir ve enstitü müdürlüğü tarafından duyurulur.” şeklinde düzenlendiği,
  • Söz konusu düzenlemenin somut olayda Mimar Sinan Güzel Sanatlar Üniversitesi tarafından sonuçların internette aramaya açık biçimde yayınlanarak, üniversite bitirilmiş ve aradan yıllar geçmiş olsa dahi sonuçların üçüncü kişilerin erişimine açık ve arama motorlarında sorgulama yapıldığında bu sonuçlara kolayca ulaşılabilir tarzda bir duyuru yönteminin benimsenerek yerine getirildiği, ancak söz konusu duyuru yönteminin Kanun hükümleri çerçevesinde değerlendirildiğinde kişisel veriler bağlamında mahremiyet odaklı olmayıp, sınava giren bireylerin kişisel verilerinin herhangi bir işleme şartına dayanmaksızın üçüncü kişilerin de kolaylıkla ulaşabileceği şekilde açıklandığı kanaatine varıldığı,
  • Bu kapsamda, sınav sonuç duyuru sisteminin Üniversite tarafından tekrar gözden geçirilerek kimlik doğrulama yöntemi şeklinde sadece sınava giren bireyin kendi TC Kimlik numarası ve doğrulama kodu ile yalnızca kendi sonuç verilerine ulaştığı, ÖSYM’nin sonuç açıklama yöntemi gibi bir düzenleme ile kişisel verilerin paylaşımında mahremiyet odaklı bir anlayışı uygulamaya koyması gerektiği,

değerlendirmelerinden hareketle;

  • Mimar Sinan Güzel Sanatlar Üniversitesi’ne Kurumumuzca iletilen bilgi belge talebi yazısının Kanunda belirtilen yasal süre içinde yanıtlanmaması suretiyle ilgili Kurul Kararının gereğinin yerine getirilmemesinin Kanunun 15 inci maddesinin (3) numaralı fıkrasına aykırılık oluşturduğu dikkate alınarak, kamu kuruluşu olarak değerlendirilen Mimar Sinan Güzel Sanatlar Üniversitesinde görev yapan sorumlular hakkında Kanunun 18 inci maddesinin (3) numaralı fıkrası çerçevesinde disiplin hükümlerine göre işlem yapılmasına,
  • Öte yandan Mimar Sinan Güzel Sanatlar Üniversitesi sınav sonuç duyuru sisteminin tekrar tasarlanarak kimlik doğrulama yönteminin benimsendiği, sadece sınava giren bireyin kendi TC Kimlik numarası ve doğrulama kodu ile yalnızca kendi sonuç verilerine ulaştığı bir duyuru sisteminin kullanılması yönünde Üniversitenin talimatlandırılmasına

karar verilmiştir.

31.05.2019: “İlgili kişiye ait telefon numarasına kendisine ait olmayan içeriğin gönderilmesi ile ilgili”
Karar Tarihi : 31/05/2019
Karar No : 2019/166
Konu Özeti : İlgili kişiye ait telefon numarasına kendisine ait olmayan içeriğin gönderilmesi ile ilgili Kurul kararı

İlgili kişinin, şahsına ait telefon numaralarına gönderilen ve kendisine ait olmayan içerik barındıran kısa mesaj (SMS) nedeniyle veri sorumlusuna başvurduğu; veri sorumlusu tarafından verilen cevapta, bu gönderimin personel hatasından kaynaklandığı ve başka bir aboneye ait giriş yapılırken 1 rakam hatası sonucunda ilgili kişiye SMS gönderildiği tespit edilerek yanlışlığın derhal düzeltildiğinin belirtildiği; ancak, kendisine gönderilen SMS’te kişisel verileri yer alan kişinin yeğeni olduğunu ve yeğeninin telefon numarası ile kendisine ait telefon numarasının 1 rakam değişikliği / yanlışlığı ile karıştırılmasının mümkün olmadığını belirterek veri sorumlusu hakkında gereğinin yapılmasını talep ettiği başvurusunun incelenmesi neticesinde,

Gerek bir şirketler grubuna borçlu olduğu belirtilen ve şikayetçinin yeğeni olduğu anlaşılan şahsa ait ad, soyad ve hizmet numarasının şikayetçiye ait hatta gönderilmesi, gerekse şikayetçiye ait telefon numarasının, Kanunda düzenlenen işleme şartlarından herhangi birine dayanmadan işlenmesi şeklindeki tek bir harekete bağlı iki farklı veri işleme faaliyeti sonucunda Kanunun 12 nci maddesinin birinci fıkrasının (a) bendinde öngörülen “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğünü yerine getirmediği anlaşılan veri sorumlusu avukat hakkında, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 50.000 TL idari para cezası uygulanmasına

karar verilmiştir.

31.05.2019: “Spor salonu hizmeti sunan veri sorumlularının, üyelerinin giriş-çıkış kontrolünü biyometrik veri işleyerek yapması ile ilgili”
Karar Tarihi : 25/03/2019 ve 31/05/2019
Karar No : 2019/81 ve 2019/165
Konu Özeti : Spor salonu hizmeti sunan veri sorumlularının, üyelerinin giriş-çıkış kontrolünü biyometrik veri işleyerek yapması ile ilgili Kurul Kararları

Konu Özeti

Spor salonu hizmeti sunan iki ayrı şirketin (veri sorumluları), üyelerinin giriş-çıkış kontrolünde el-avuç okutma sistemine geçilmesi, kaydı tutulan üyelere ait vesikalık fotoğraf, son ziyaret saati gibi bilgilerin herkesin görebileceği bir TV ekranında yansıtılması gibi biyometrik verileri de içeren bazı özel nitelikli kişisel verileri işlemesi ve bu bilgilerin güvenli şekilde muhafaza edildiğinden şüphe duyulması üzerine ilgili kişilerce Kuruma intikal ettirilen muhtelif ihbar ve şikayetlerin incelenmesi neticesinde yapılan değerlendirmede:

1- 6698 sayılı Kanunun “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6 ncı maddesinde kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerinin özel nitelikli kişisel veri olarak belirlendiği, özel nitelikli kişisel veriler arasında yer alan biyometrik veri tanımına ise Kanunda yer verilmemekle birlikte, 25.05.2018 tarihinde yürürlüğe giren Avrupa Genel Veri Koruma Tüzüğünde (GDPR) biyometrik verinin; “yüz görüntüleri veya daktiloskopik veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel veriler” olarak tanımlandığı,

GDPR’ın Recital bölümünün 51 inci maddesinde de biyometrik verilerle ilgili açıklamalara yer verildiği ve fotoğrafların işlenmesinin doğrudan biyometrik veri olarak nitelendirilemeyeceği, yalnızca gerçek bir kişinin benzersiz bir şekilde tanımlanmasına veya doğrulanmasına izin veren belirli bir teknik yöntemle işlendiğinde, bu verilerin biyometrik verilerin tanımı kapsamında kabul edileceği açıklamalarına yer verildiği, dolayısıyla bir verinin biyometrik veri kapsamında değerlendirilebilmesi için o verinin sadece o kişiyi tanımlayabilme ya da doğrulayabilme özelliğine sahip olmasının kriter alındığının değerlendirildiği,

Danıştay 15. Dairenin 2014/4562 Esas sayılı kararında ise biyometrik yöntemlerin, ölçülebilir fizyolojik ve bireysel özellikleri aracılığıyla gerçekleştirilen ve otomatik şekilde doğrulanabilen kimlik denetleme tekniklerini ifade ettiği belirtilerek, bu yöntemler arasında parmak izi tanıma, avuç içi tarama, el geometrisi tanıma, iris tanıma, yüz tanıma, retina tanıma, DNA tanıma gibi yöntemlerin bulunduğunun ifade edildiği

hususlarından hareketle bir spor tesisine giriş esnasında el ve parmak izinin taranması suretiyle kişilerin kimlik doğrulamasının yapılması hususunda adı geçen veri sorumlusunun özel nitelikli kişisel veri niteliğindeki biyometrik veri işleme faaliyetinde bulunduğunun değerlendirildiği,

2- a) Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde de, kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin ancak hukuka ve dürüstlük kurallarına uygun şekilde, belirli, açık ve meşru amaçlar kapsamında, doğru ve gerektiğinde güncel olma şartıyla, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceği,

Bu ilkelerden, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesinin, işlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olması, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını gerektirdiği, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik olarak veri işlenmesi yoluna gidilmemesi gerektiği,

Ölçülülük ilkesinin ise, veri işleme faaliyeti ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması, diğer bir ifadeyle veri işlemenin amacı gerçekleştirecek ölçüde olması anlamına geldiği, bu kapsamda, kişisel veri işleme faaliyetinin gerçekleşmesi için gerekli olmayan kişisel verilerin toplanmaması ve/veya işlenmemesi gerektiği, veri sorumlusunun amacı çerçevesinde ölçülülük ilkesine uygun olarak ilgili kişiden minimum düzeyde bilgi talep etmesi, bunun dışındaki amaç için gerekli olmayan veri işlemeden kaçınması gerektiği, kişisel verilerin işlenmesinin ilgili kişinin iznine bağlı olarak gerçekleştirilse ve belirli bir amaca bağlı olsa bile açık rızanın, aşırı miktarda veri toplanmasını meşrulaştırmayacağı, buna göre kişisel verilerin yalnızca belirli amaçlar için ve gerektiği kadar toplanması, amacın gerektirdiği yerlerde kullanılması ve amaç için gerekli olandan uzun süre tutulmaması gerektiği,

Nitekim Danıştayın 2017/816 Esas sayılı kararında, davalı idarenin toptancı hali biriminde görev yapan personelin mesai takibinin sağlanması amacıyla başlatılan yüz tarama sistemi uygulamasına son verilmesi talebinin ilgili İdare Mahkemesinde reddedilmesi işleminin iptali istemiyle açılan davada, davalı idarenin tüm birimlerinin mesai takibinde anılan yöntemin kullanılmadığı, uygulamanın gerçekleştirildiği birimin konumu ve vardiyalı çalışma sistemi sebebiyle personelin kontrol ve denetiminde güçlük yaşanması karşısında bahse konu uygulamaya geçildiği, yüz tanıma sisteminde personelin yüz görüntüsünün sayısal kodlara çevrilerek karşılaştırma yapmak suretiyle çalıştığı göz önünde bulundurulduğunda yapılan uygulamanın veri kaydetme olarak nitelendirilemeyeceği gerekçesiyle hukuka aykırı bulunmadığı sonucuna varılan davaya konu işlemin iptali istemiyle açılan davanın İdare Mahkemesince reddi yönündeki kararı hukuka uygun bulunmadığı,

Yine Danıştayın 2014/2242 Esas sayılı, 2014/4562 Esas sayılı kararlarında da “parmak izi ya da yüz tarama sistemi” gibi biyometrik yöntemlerin, kamusal alan da olsa “özel hayatın gizliliği” ilkesi kapsamında bulunduğu ve toplanan verilerin ileride başka bir şekilde kullanılamayacağına dair bir güvencenin mevcut olmadığı göz önünde tutularak hukuka aykırı bir işlem olarak değerlendirildiği,

Benzer şekilde, Avrupa İnsan Hakları Mahkemesi de 4 Aralık 2008 tarihli S. ve Marper / Birleşik Krallık kararında kişilere ait parmak izi, hücre örneği ve DNA profillerinin saklanmasının, başvurucuların özel yaşamının gizliliği hakkına yönelik orantısız, aşırı bir müdahale olduğu ve demokratik bir toplumda gerekli bir müdahale olarak kabul edilemeyeceğini vurgulayarak uygulamanın Avrupa İnsan Hakları Sözleşmesinin 8 inci maddesini ihlal ettiğine hükmettiği,

Öte yandan, Article 29 Working Party tarafından hazırlanan WP193 sayılı “Opinion 3/2012 on Developments in Biometric Technologies” başlıklı dokümanda, yer alan örnekte bir fitness kulübüne ya da spor salonuna sadece üyelerin girişini ve ilgili hizmetlere erişimini sağlamak için tüm müşterilerin ve personelin parmak izinin depolanarak işlenmesi, kulübe erişimi kolaylaştırma ve abonelikleri yönetme ihtiyacı ile orantısız olarak değerlendirildiği ve böyle bir uygulama yerine, basit bir kontrol listesi ya da RFID etiketlerinin kullanımı ya da biyometrik verilerin işlenmesini gerektirmeyen bir manyetik bantlı kart gibi farklı önlemler kullanılarak da aynı ihtiyaçların karşılanabileceği ifadelerine yer verildiği

dikkate alındığında spor salonuna giriş için veri sorumluları tarafından uygulanan “el ve parmak izi taraması” sisteminin, hizmetten faydalanmak için zorunlu ve tek yol olarak üyelere sunulmasının, kişisel verilerin işlenmesinde ölçülülük ilkesi ışığında ilgili kişilerden minimum düzeyde veri talep etme ilkesi ile uyumlu olarak değerlendirilmediği,

b) Bunlara ek olarak, Spor kulüplerinde giriş çıkış kontrolünün sağlanması hususunda özel nitelikli kişisel verilerin işlenmesinin kanunlarda açıkça öngörülmediği dikkate alındığında veri sorumluları tarafından el ve parmak izinin işlenmesi için ilgili kişilerin açık rızalarının alınması yoluna gidildiği iddiası ile ilgili olarak;

Kanunun “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6 ncı maddesinin (1) numaralı fıkrasında özel nitelikli kişisel veriler “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” olarak sayıldığı ve özel nitelikli kişisel verilerinin aynı maddede

“(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.”

hükümlerine yer verildiği

Spor kulüplerinde giriş çıkış kontrolünün sağlanması hususunda özel nitelikli kişisel verilerin işlenmesinin kanunlarda açıkça öngörülmediği dikkate alındığında veri sorumluları tarafından avuç izinin işlenmesi için ilgili kişilerin açık rızalarının alınması yoluna gidildiğinin anlaşıldığı,

6698 sayılı Kanunun 3 üncü maddesinde açık rızanın “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlandığı, tanımdan da anlaşılacağı üzere açık rızanın, “Belirli bir konuya ilişkin olması”, “Rızanın bilgilendirmeye dayanması” ve “Özgür iradeyle açıklanması” şeklinde üç unsuru bulunduğu, veri işlemek üzere verilen açık rızanın geçerli olması için, açık rızanın öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak verilmesi gerektiği, bu doğrultuda veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması gerektiği, bununla birlikte, açık rıza bir irade beyanı olduğundan, kişinin özgür bir şekilde rıza gösterebilmesi için, neye rıza gösterdiğini de bilmesini zorunlu olduğu, kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olması gerektiği, bu sebeple, bilgilendirmenin, veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmesi ve mutlaka verinin işlemesinden de önce yapılması gerektiği, diğer yandan, açık rızanın geçerlilik kazanabilmesi için kişinin yaptığı davranışın bilincinde ve kendi kararı olması gerektiği, aksi durumlarda, kişinin iradesini sakatlayacak cebir, tehdit, hata ve hile gibi hallerde açık rıza da sakatlanacağından kişinin özgür biçimde karar vermesinden de söz edilemeyeceği,

Bu bağlamda, herhangi bir ürün ve/veya hizmetin sunumunun, açık rıza verme ön şartına bağlanmaması gerektiği ve eğer yapılan seçimin sonuçları, kişisel veri sahibinin seçim özgürlüğünü etki altında bırakıyorsa, bu durumda rızanın özgürce verildiğini söylemenin mümkün bulunmadığı,

dikkate alındığında bahse konu somut olayda, üyelere sunulan online üyelik sözleşmesinde, özel nitelikli kişisel veri olan avuç içi izinin alınmasına onay verilmesinin sözleşmenin kurulması için zorunlu bir şart olarak sunulduğu ve kurala uyulmaması halinde firmaya fesih hakkı tanınmış olduğu hususları birlikte değerlendirildiğinde üyelerin kulüplere girişlerde avuç içi izi bilgilerinin alınmasına rıza göstermemeleri halinde söz konusu hizmetten yararlanamayacakları dikkate alındığında, üyeler tarafından verilen açık rızaların özgür iradeye dayalı olduğunu söylemenin mümkün bulunmadığı bu kapsamda veri sorumlusu tarafından hizmetin sunulmasının açık rıza şartına bağlandığının değerlendirildiği

bu itibarla ilgili veri sorumluları hakkında,

  • Spor kulübünde giriş çıkış kontrolünün yapılabilmesi ve kulüp hizmetlerinden faydalanmak isteyen kişilere ilişkin giriş kontrolünün alternatif yollar ile sağlanması mümkün iken kişilerin biyometrik veri niteliğindeki avuç içi izi verisinin alınmasının 6698 sayılı Kişisel Verilerin Korunması Kanununun 4 üncü maddesinin (2) numaralı fıkrasında yer alan “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi ile bağdaşmadığı, öte yandan özel nitelikli kişisel verilerin Kanun kapsamında ancak ilgili kişilerin açık rızasına ya da Kanunun 6 ncı maddesinin (3) numaralı fıkrasında sayılan şartlar çerçevesinde işlenebileceği, bu kapsamda adı geçen veri sorumlusu tarafından avuç içi izi verisinin işlenmesi için kişilerden açık rızalarının alınması yoluna gidildiği ancak açık rıza verilmemesi durumunda kulüp hizmetlerinden yararlanamadıkları dikkate alındığında üyelerden alınan açık rızanın Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine aykırılık teşkil etmesi nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına,
  • Kişisel Verileri Koruma Kurulunun 21/12/2017 tarih ve 2017/62 sayılı “Banko, Gişe, Masa Gibi Hizmet Alanlarında Kişisel Verilerin Korunması”na ilişkin Kararı çerçevesinde üyelere ait kişisel bilgilerin üçüncü kişiler tarafından görülmesini önleyecek gerekli teknik ve idari tedbirleri almadığı kanaatine varılan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (c) bendi kapsamında idari para cezası uygulanmasına,
  • Spor Kulübünde giriş çıkış kontrolünün ve kulüp içerisindeki güvenliğin temini noktasında kulüp hizmetlerinden faydalanmak isteyen kişilere ilişkin giriş kontrollerinin biyometrik verileri işlemenin haricinde alternatif yollar ile sağlanması, biyometrik veri ile giriş çıkış işlemleri yapılmasının ve biyometrik veri işlemenin ivedilikle durdurulması hususunda veri sorumlularının talimatlandırılmasına;
  • Veri sorumluları tarafından bugüne kadar işlenen ve muhafaza edilen el, parmak ve avuç izi ile ilgili verilerin Kanunun 7 nci maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun olarak ivedilikle yok edilmesi, eğer ilgili özel nitelikli verilerin üçüncü kişilere aktarılması söz konusu ise, yok etmeye yönelik işlemlerin bu verilerin aktarıldığı üçüncü kişilere ivedilikle bildirilmesinin sağlanması hususunda veri sorumlularının talimatlandırılmasına

karar verilmiştir.

31.05.2019: “Bir anonim şirketin (veri sorumlusu) ilgili kişinin açık rızası dışı elektronik ticari ileti göndermesine ilişkin”
Karar Tarihi : 31/05/2019
Karar No : 2019/162
Konu Özeti : Bir anonim şirketin (veri sorumlusu) ilgili kişinin açık rızası dışı elektronik ticari ileti göndermesine ilişkin şikâyet hakkında
  • Veri sorumlusu tarafından şikâyetçiye ait telefon numarasına reklam amaçlı bir kısa mesajın (SMS) gönderilmesi üzerine ilgili kişinin kişisel verilerinin nasıl ve nereden temin edildiğini bilmemesi ve buna ilişkin olarak da kişisel verilerinin açık rızası olmaksızın kullanılması dolayısıyla veri sorumlusundan 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) istinaden bilgi talebinde bulunduğu ancak yasal süre içerisinde tarafına herhangi bir cevap verilmediği,
  • Kanun kapsamında veri sorumlusuna yaptığı başvuruya yasal süresi içerisinde cevap verilmemesi neticesinde de Kurula şikâyette bulunduğu ve bu başvurusunda (1) Veri sorumlusu nezdinde kendisine reklam/bildirim içerikli SMS gönderimi konusunda herhangi bir açık rızasının olup olmadığı, (2) kişisel verilerinin işlenip işlenmediği, işlenmişse ne amaçla işlendiği, (3) kişisel verilerinin yurt içinde kimlere aktarıldığı, (4) kişisel verilerinin yurt dışına aktarılıp aktarılmadığı, aktarılmış ise kimlere aktarıldığı, (5) gelen SMS’lerden Şirketin haberdar olup olmadığı hususlarında bilgi almak istediği,

şeklindeki talepler birlikte incelenmiş ve yapılan inceleme neticesinde,

– Şikâyetçinin kişisel verisi olan cep telefonu numarası bilgisinin Şirket tarafından kendisine reklam içerikli mesaj gönderilmesi suretiyle kullanılmasının, kişisel verilerin korunması mevzuatı açısından bir veri işleme faaliyeti olduğu, veri işlemenin ise Kanunun 5 ve 6. maddelerinde yer alan işleme şartlarında birine dayanması gerektiğini, ancak şikayet konusu mesaj gönderiminin herhangi bir işleme şartına dayanmadığı değerlendirildiğinden , kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı için veri sorumlusu hakkında Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendinde aykırı davranmış olması nedeniyle Şirket hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 50.000 TL idari para cezası uygulanmasına

karar verilmiştir.

31.05.2019: “Bir varlık yönetim şirketinin ilgili kişiye aynı konu ile ilgili birden çok mesaj gönderimine ilişkin”
Karar Tarihi : 31/05/2019
Karar No : 2019/159
Konu Özeti : Bir varlık yönetim şirketinin ilgili kişiye aynı konu ile ilgili birden çok mesaj gönderimine ilişkin Kurul kararı

İlgili kişinin,

• Veri sorumlusu varlık yönetim şirketi tarafından ilgili kişiye ait telefon numarasına açık rızası olmaksızın kısa mesajların (SMS) gelmesi ve SMS’lerde ret bildiriminin bulunmaması, ayrıca Şirketin, kişisel verilerini nereden, kimlerden ve nasıl temin ettiğini bilmemesi,

• 6698 sayılı Kişisel Verilerin Korunması Kanununun (6698 sayılı Kanun) ilgili maddelerine istinaden veri sorumlusuna yapmış olduğu başvurusuna herhangi bir cevap alamaması sebebiyle Kişisel Verileri Koruma Kuruluna (Kurul) şikayette bulunması üzerine yapılan inceleme neticesinde,

  • Şikayetçinin yapmış olduğu ve veri sorumlusu tarafından teslim alınan bilgi talebi başvurusuna 30 günlük yasal süre içerisinde cevap verilmediği iddiasına ilişkin olarak, veri sorumlusundan alınan cevabi yazı ekinde ilgili kişiye cevap verdiği, bu cevabi yazının Şikayetçi tarafından teslim alındığının veri sorumlusu tarafından Gönderi Takibi ile tevsik edildiği ve yazısında Şikayetçinin bilgi talebinde bulunduğu tüm hususlara cevap verdiği dikkate alınarak veri sorumlusu hakkında yapılacak bir işlem olmadığına,
  • Şikayetçinin geri ödemesi gerçekleştirilmeyen tahsili gecikmiş alacakların ilgili bankalar ile veri sorumlusu arasında akdedilmiş bulunan sözleşmeler kapsamında 5411 sayılı Bankacılık Kanunu (5411 sayılı Kanun) ve 6098 sayılı Türk Borçlar Kanunu (6098 sayılı Kanun) hükümleri çerçevesinde veri sorumlusu şirketçe devir ve temlik alındığı, Şikayetçinin kişisel verisi olan telefon numarası verisinin veri sorumlusunun, Şikayetçinin ilgili bankalardan kullanmış olduğu kredi borçlarının yeni alacaklısı olması, bu kapsamda 6098 sayılı Kanunun 186 ncı maddesi çerçevesinde borçlunun önceki alacaklılara karşı borcunu ifa etmesinin engellenmesi ve taraflarınca Şikayetçiye sağlanacak kolaylıklar ile borcun ödenmemesi durumunda Şikayetçinin maruz kalabileceği hukuki risklerin bildirilmesi amacıyla işlenmiş olmasının 6698 sayılı Kanunun 5 inci maddesinin (2) numaralı fıkrasının (e) bendi kapsamında Şikayetçinin açık rızası olmaksızın gerçekleşebilir olması nedenleriyle veri sorumlusu hakkında yapılacak bir işlem bulunmadığına,
  • Ancak 6698 sayılı Kanun kapsamında kişisel verilerin kullanılmasının da bir veri işleme faaliyeti olduğu, bu anlamda Şirket tarafından ilgili kişinin telefon numarasına aynı içerikteki mesajların farklı tarihlerde birden fazla gönderilmesinin veri sorumlusunun sahip olduğu hakkı kötüye kullanımı olarak değerlendirilmesi ve bu durumun Kanunun 4 üncü maddesinin (2) numaralı fıkrasının (a) bendinde yer alan kişisel verilerin işlenmesinin hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırılık teşkil etmesi, hususları göz önünde bulundurularak, Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendinde yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemeye yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 20.000 TL idari para cezası uygulanmasına

karar verilmiştir.

31.05.2019: “Kurumsal e-posta hizmetinin, Google (gmail) üzerinden yine aynı uzantıya sahip olarak kullanılıp kullanılamayacağı ilişkin”
Karar Tarihi : 31/05/2019
Karar No : 2019/157
Konu Özeti : Kurumsal e-posta hizmetinin, Google (gmail) üzerinden yine aynı uzantıya sahip olarak kullanılıp kullanılamayacağı ilişkin başvuru hakkında

Veri sorumlusunun ücretsiz bir kurumsal e-posta hizmeti sunan açık kaynak kodlu Zimbra aracılığıyla …… uzantılı kurumsal e-posta adreslerinin, Google (gmail) üzerinden yine aynı uzantıya sahip olarak kullanılıp kullanılamayacağı hususunda Kurumumuz görüşlerini talep eden yazısının incelenmesi neticesinde Kurul tarafından,

  • Google firmasına ait G-mail e-posta hizmeti altyapısının kullanılması durumunda gönderilen ve alınan e-postaların dünyanın çeşitli yerlerinde bulunan veri merkezlerinde tutulması söz konusu olacağından, böyle bir durumda kişisel verilerin yurt dışına aktarılmış olacağına ve veri sorumlularının söz konusu uygulamayı 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Kişisel verilerin yurt dışına aktarılması” başlıklı 9 uncu maddesi hükümlerine uygun olarak gerçekleştirmesine;
  • “Server”ları yurt dışında bulunan veri sorumlularından/veri işleyenlerden temin edilen saklama hizmetlerinin de Kanunun 9 uncu maddesi hükümlerine uygun olarak gerçekleştirilmesine

karar verilmiştir.

25.06.2019: “Cathay Pasific Airway Limited’in veri ihlal bildirimi hakkında bilgilendirme”
Karar Tarihi : 16/05/2019
Karar No : 2019/144
Konu Özeti : Cathay Pasific Airway Limited’in veri ihlal bildirimi hakkında bilgilendirme

Cathay Pasific Airway Limited’in (Cathay Pasific) 25.10.2018 ve 08.03.2019 tarihlerinde Kurumuza intikal eden yazılarında özetle;

  • 13.03.2018 tarihinde bilgisayar ağları üzerinden yolcu bilgilerini içeren bilgi sistemlerine yetkisiz erişim gerçekleştiği,
  • Şirket tarafından yapılan inceleme sonucunda yetkisiz erişimin 07.05.2018 tarihinde tespit edildiği,
  • Saldırganın Cathay Pasific’in ortamına uzaktan eriştiği ve Müşteri Sadakat Sisteminin kısmi veri tabanı yedeği olarak hitap edilebilecek belgeleri ele geçirdiği,
  • Saldırgan tarafından, müşteri ödemesi ile işlem verisini görmek ve veri tabanının yedeğini dışarı almak amacıyla web sitesi yönetici konsoluna ulaşıldığı,
  • Cathay Pasific tarafından yapılan inceleme sonucunda ihlalin yetkisiz erişim nedeniyle olduğu ve kullanılan araç, taktik ve prosedürlere dayanarak iki farklı grubun saldırısı olabileceğinden şüphelenildiği,
  • Birinci Grup’un BRIO sunucusunu Müşteri Bilgi Sistemine ulaşmak için kullandığı,
  • Cathay Pasific’in Birinci Grup’un Cathay ağına zorla girişini belirleyemediği,
  • Birinci Grup’un ağ içerisinde yanlamasına hareket ettiklerinden şüphelenildiği,
  • İkinci Grup’un Müşteri Sadakat Sistemi ve Online İş Hizmeti Platformunun yedek belgelerine ve web sitesi yönetici konsoluna erişim sağlandığı,
  • Bahse konu veri ihlalinden Cathay Pacific yolcularının kişisel verilerinin yanı sıra bağlı kuruluşu Hong Kong Dragon Airlines Limited yolcuları ile Asia Miles ve Marco Polo Club üyelerinin kişisel verilerinin de etkilendiği,
  • Şirket tarafından yapılan incelemede Türkiye’de toplam 1.286 kişinin söz konusu ihlalden etkilendiği, diğer taraftan Türkiye’de toplam 155 kişinin pasaport numarasına erişildiği,
  • Yetkisiz erişim sağlanmış olan kişisel veriler arasında yolcu ismi, uyruğu, doğum tarihi, telefon numarası, elektronik posta adresi, pasaport numarası, kimlik kartı numarası, “frequent flyer” üyelik numarası, müşteri hizmetleri notları ve geçmiş seyahat bilgileri bulunduğu, öte yandan erişilen kişisel veri türü ve sayısının etkilenen her yolcu özelinde değişiklik gösterdiği,
  • Veri ihlalinden etkilenen ilgili kişilere doğrudan (e-posta vb.) ve web sitesi (“https://infosecurity.cathaypacific.com” adresi üzerinden) üzerinden ulaşmakta oldukları,
  • Türkiye’ye özel 1 (bir) aylığına müşteri hizmetleri merkezi ve ücretsiz müşteri hattı ile ilgili kişilere özel “ infosecurity@cathaypacific.com” e-posta adresi tahsis edildiği,

ifadelerine yer verilmiştir.

Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 16.05.2019 tarih ve 2019/144 sayılı Kararı ile;

  • 13.03.2018 tarihinde gerçekleşen ihlale ilişkin, şüpheli hareketlerden Cathay’ın Mart 2018 tarihinde haberdar olmasına rağmen ihlalin yaklaşık 2 ay sonra 07.05.2018 tarihinde tespit edildiği, bu durumun bir güvenlik açığı olduğu, öte yandan Şirket tarafından gerekli denetimlerin ve kontrollerin yapılmadığı,
  • Şirket tarafından ihlalden önce alındığı belirtilen güvenlik önlemleri ve bildirim ekinde gönderilen kötücül yazılımların listesi incelendiğinde; saldırganların sistemler üzerinde yatay bir şekilde hareket ederek Müşteri Sadakat Sistemi (CLS), Online İş Hizmeti Platformu (EBSP), web sitesi yönetici konsolu (iRedeem), Müşteri Bilgi Sistemi’ni (CIS) etkilenmesinin Şirket bünyesinde bulunan donanım ve yazılımların yapılandırmalarının doğru bir şekilde yapılmadığının ve alınan güvenlik önlemlerinin yetersiz olduğunun göstergesi olduğu

hususları dikkate alınarak

– 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari ve tedbirleri almayan Şirket hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 450.000 TL,

– Öte yandan Şirket tarafından 07.05.2018 tarihinde gerçekleşen siber saldırıya ilişkin Kurula 25.10.2018 tarihinde bildirim yapılmasının, ihlalden etkilenen ilgili kişilere ise 25.10.2018 tarihinden itibaren bildirim yapmaya başlanmasının, Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” bildirimde bulunma yükümlülüğüne aykırılık teşkil etmesi nedeniyle, Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca Şirket hakkında 100.000 TL,

olmak üzere toplam 550.000 TL idari para cezası uygulanmasına,

karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

25.06.2019: “Marriot International Inc.’nin veri ihlal bildirimi hakkında bilgilendirme”
Karar Tarihi : 16/05/2019
Karar No : 2019/143
Konu Özeti : Marriot International Inc.’nin veri ihlal bildirimi hakkında bilgilendirme

Marriott International Inc’in (Marriott) 04.12.2018 ve 28.03.2019 tarihlerinde Kurumumuza intikal eden yazılarında özetle;

  • 2016 yılı Eylül ayında Marriott’un önceden halka açık ve ayrı bir konaklama şirketi olan Starwood Hotels & Resorts Worldwide Inc’i (Starwood) devralma işlemi gerçekleştirdiği,
  • Starwood otel markaları arasında St. Regis, Sheraton Hotel & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton and Design Hotels’in bulunduğu,
  • Starwood misafir veritabanının tutulduğu ağa Temmuz 2014’ten beri yetkisiz erişim olduğu,
  • Starwood misafir veritabanına yetkisiz erişimin 08.09.2018’de tespit edildiği,
  • Starwood müşteri rezervasyon veri tabanının Marriott otelleri için değil sadece Starwood otellerindeki rezervasyonlar için kullanıldığı,
  • Marriott’un yaklaşık 383 milyon müşteri kaydı arasında ülke/bölge adresi Türkiye olan yaklaşık 1.24 milyon müşteri kaydının bulunduğu,
  • Saldırganın web sunucusuna bir komut istemi yüklediği ve Starwood ağına girdiğinin Marriot tarafından tespit edildiği,
  • Web sunucusuna erişimin sağlanmasının ardından, saldırgan tarafından web sunucusuna uzaktan erişim sağlayan bir truva atı (RAT) yüklendiği,
  • İhlal hakkında otel müşterilerini aydınlatmak için, özel bir web sitesinin (info.starwoodhotels.com) kurulduğu

ifadelerine yer verilmiştir.

Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 16.05.2019 tarih ve 2019/143 sayılı Kararı ile;

  • Starwood otel markaları arasında Türkiye’de faaliyet gösteren, St. Regis, Sheraton Hotel & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton and Design Hotels’in bulunduğu,
  • İhlalden etkilenen veri tabanının tutulduğu Starwood Hotels ağına 2014’ten beri yetkisiz erişim olduğu, 2016 yılı Eylül ayında Marriott’un önceden halka açık ve ayrı bir konaklama şirketi olan Starwood’u devralma işlemi gerçekleştirdikten sonra da ihlalin 19.11.2018 tarihine kadar yaklaşık 4 yıl sürmesinin çok ciddi bir güvenlik açığı olduğu ve Şirket tarafından gerekli denetimlerin ve kontrollerin yapılmadığının göstergesi olduğu,
  • İhlalden etkilenen veriler arasında müşterilere ait ad, soyad, posta adresi, telefon numarası, doğum tarihi, cinsiyet, pasaport numarası, Starwood Preferred Guest (“SPG”) hesap bilgileri, otel ödül bilgileri, otele giriş ve çıkış bilgileri, ödeme kartı numaraları ve ödeme kartı son kullanma tarihleri, rezervasyon tarihi ve iletişim tercihlerini içeren bilgilerin olduğu,
  • Sistemde şifrelenmiş ödeme kartı bilgilerinin yanında çok sayıda şifrelenmemiş ödeme kartı numaralarının da bulunmasının sistemin tasarım aşamasından itibaren doğru bir şekilde planlanmadığı ve gerekli kontrollerin yapılmadığının göstergesi olduğu, bu durumun ilgili kişiler açısından olumsuz etki oluşturabilecek bir güvenlik açığı olduğu,
  • İhlalden etkilenen müşterilere ait bilgiler arasında ülke/bölge adresi Türkiye olan yaklaşık 1.24 milyon müşteri kaydının bulunduğu, ancak aynı müşteri için birden fazla kayıt bulunduğu için ihlalden etkilenen Türk müşterilerin sayısının tam olarak tespit edilemediği,
  • Saldırganın web sunucusuna bir komut istemi yükleyerek Starwood ağına girdiğinin tespit edildiği ve web sunucusuna erişimin sağlanmasının ardından, saldırgan tarafından web sunucusuna uzaktan erişim sağlayan bir truva atı (RAT) yüklendiği, saldırganın daha sonra kimlik bilgilerini toplayan ilave araçlar yüklediği ve sonrasında Starwood ağındaki diğer cihazlara erişim sağlayabilmek için kimlik bilgilerini ve iç ağ bağlanabilirliğini kullandığının tespit edilememesinin alınan teknik ve idari tedbirlerin yetersizliğinin göstergesi olduğu,
  • 2014 yılından itibaren mevcut olan yetkisiz erişim ve komut isteminin kurulumunu gösteren web olay günlüklerinin (log kayıtları) olmasına rağmen, olayın tespit edilememesinin Şirket tarafından alınması gereken teknik ve idari tedbirlerin alınmadığının somut bir göstergesi olduğu

hususları dikkate alınarak

– 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari ve tedbirleri almayan Şirket hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 1.100.000 TL,

– Şirket tarafından 08.09.2018 tarihinde tespit edilen ihlale ilişkin Kuruma 03.12.2018 tarihinde bildirim yapılmasının, ihlalden etkilenen kişilere ise 30.11.2018 tarihinden sonra bildirimde bulunulmaya başlanmasının, Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” bildirimde bulunma yükümlülüğüne aykırılık teşkil etmesi nedeniyle, Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca Şirket hakkında 350.000 TL, 

olmak üzere toplam 1.450.000 TL idari para cezası uygulanmasına,

karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

25.06.2019: “Clickbus Seyahat Hizmetleri A.Ş.’nin veri ihlal bildirimi hakkında bilgilendirme”
Karar Tarihi : 16/05/2019
Karar No : 2019/141
Konu Özeti : Clickbus Seyahat Hizmetleri A.Ş.’nin veri ihlal bildirimi hakkında bilgilendirme

Clickbus Seyahat Hizmetleri Anonim Şirketi’nin 07.02.2019 ve 29.03.2019 tarihlerinde Kurumumuza intikal eden yazılarında özetle;

  • Clickbus tarafından Amazon Web Services (AWS) tarafından internet sistemlerinden biri üzerinde zararlı bir işlem olabileceğine ilişkin aldığı uyarı üzerine, internet platformları ile bağlantılı bazı şüpheli faaliyetlerin tespit edildiği,
  • Clickbus tarafından, bilgi sistemlerinde veri güvenliğini tehlikeye sokabilecek faaliyetlerden şüphelenilerek, alanında uzman adli bilişim uzmanlarının yardımları ile iç inceleme başlatıldığı,
  • Clickbus’ın görevlendirdiği adli bilişim uzmanlarının yaptıkları inceleme ile ilgili nihai bir rapor oluşturulduğu,
  • Clickbus’ın adli bilişim uzmanlarının yardımlarını alarak gerçekleştirdiği ön incelemede, incelenen sunucularda bazı zararlı dosyaların bulunduğu ve bazı meşru kaynak kod dosyalarının Clickbus’ın sunucularına uzaktan erişim sağlanmasına izin veren zararlı kodları içerecek şekilde modifiye edildiğinin tespit edildiği,
  • Clickbus’ın AWS sisteminde yer alan log ve sistemler üzerinde yaptığı analiz sonrasında, Clickbus kaynaklarından veri sızıntısının 25 Eylül 2018’den 25 Kasım 2018’e kadar geçen sürede gerçekleştiği sonucuna varıldığı ifadelerine yer verilmiştir.

ifadelerine yer verilmiştir.

Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 16.05.2019 tarih ve 2019/141 sayılı Kararı ile;

  • Söz konusu ihlalden Türkiye’de yerleşik 67.519 kişinin etkilendiği,
  • İhlalden etkilenmiş kişilerin farklı kategorilerde ve sayıda kişisel verileri arasında kimlik bilgileri (cinsiyet, ad, soyad, T.C. kimlik numarası, doğum tarihi), iletişim bilgileri (cep telefonu ülke kodu, cep telefonu numarası, sabit hat ülke kodu, sabit hat numarası, sabit hat uzantısı/dahilisi, e-posta adresi, sms gönderi izni, ticari elektronik ileti izni), müşteri işlemleri (ödeme anahtarı, yolculuk numarası, sepet numarası, sipariş numarası, toplam tutar, seyahat türü/kullanılacak araç, kalkış/varış yer ve saati, yolcu başına ücret referans numarası, yolcu türü, oturum simgesi, hata sebebi (uygulanabilir olduğu ölçüde hangi doğrulama adımının hataya sebep verdiği), segmentler), işlem güvenliği bilgileri (ödeme bilgileri; kart üzerinde yazan isim, kart numarası, kartın son kullanma tarihindeki ay ve yıl, kart güvenlik kodu, taksit bilgisi, indirim kodu, seyahat sigortası alınıp alınmadığına ilişkin bilgi, site kullanım koşullarının kullanılma bilgisi) verilerinin olduğu,
  • İhlalin 25 Eylül 2018’den 25 Kasım 2018’e kadar geçen dönemde 2 (iki) ay boyunca devam etmesinin Şirket tarafından gerekli denetimlerin ve kontrollerin yapılmadığının göstergesi olduğu,
  • İhlalin 21 Kasım 2018 tarihinde tespit edilmesine rağmen 25 Kasım 2018 tarihine kadar 4 (dört) gün daha devam etmesinin Şirket tarafından alınan idari tedbirlerin yeterince alınmadığının göstergesi olduğu,
  • Söz konusu yetkisiz kişi veya kişilerin ayrıca Şirketin kaynak koduna (source code) ulaşarak değişiklik yapmasının ciddi bir güvenlik açığı olduğu

hususları dikkate alınarak

– 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari ve tedbirleri almayan Şirket hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 450.000 TL,

– Öte yandan Şirket tarafından 21.11.2018 tarihinde tespit edilen siber saldırıya ilişkin Kurula 07.02.2019 tarihinde bildirim yapılmasının, ihlalden etkilenen ilgili kişilere ise 25.02.2019 tarihinde bildirim yapılmasının; Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” bildirimde bulunma yükümlülüğüne aykırılık teşkil etmesi nedeniyle Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca Şirket hakkında 100.000 TL,

olmak üzere toplam 550.000 TL idari para cezası uygulanmasına,

karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

27.05.2019: “Bir market zincirinin sadakat kart uygulamasına ilişkin ihbar ve şikayetler hakkında”
Karar Tarihi : 25/03/2019
Karar No : 2019/82
Konu Özeti :Bir market zincirinin sadakat kart uygulamasına ilişkin ihbar ve şikayetler hakkında
  • Bir marketin mağazalarından temin edilen ve bazı alışveriş/ hizmet alımlarında indirim ve puan biriktirme avantajı sağlayan sadakat kart ile ilgili internet sitesine giriş yapıldığı esnada ekranlara gelen uyarı metninde “….. Kart avantajlarından faydalanmaya devam edebilmek için Kişisel Verilerin Korunması Kanunu kapsamında veri işleme iznini vermen yeterli…iznin yoksa karşına çıkacak olan üyelik ve rıza beyanı metnini okuyarak onayla.” ya da …. Kart tarafından kişilerin cep telefonlarına gönderilen kısa mesajlarda “Kişisel Verilerin Korunması Kanunu kapsamında izninizi lütfen güncelleyiniz. İzni güncel olmayan müşterilerimiz, kişisel bilgileri silineceği için kasalarımızdan cep telefonu söyleyerek alışveriş yapamayacaklar.” şeklinde açıklamalara yer verildiği, bu anlamda açık rızanın bir ürün veya hizmetin sunulmasına ilişkin koşul olarak ileri sürüldüğünden bahisle 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gerekli işlemlerin tesis edilmesi talebiyle Kuruma yapılan şikayet,
  • Buna ilaveten Kuruma söz konusu market tarafından düzenlenen perakende satış fişlerinde, sadakat kart kullanımı ile ilgili Kanun kapsamında müşterilerden açık rıza alınması esnasında “Veri İzni Alma Uygulaması” adı altında 0,01 TL hizmet bedeli alındığı yolunda Kuruma intikal eden ihbarlar
  • Öte yandan, yukarıda yer verilen hususlara ilişkin olarak yapılan değerlendirme esnasında söz konusu sadakat karta ilişkin olarak internet sitesinde yayımlanan “…. Kart Üyelik ve Rıza Beyanı” başlıklı metinde, “Üye; Program kapsamında otomatik ve otomatik olmayan yollarla edinilen mevcut ve/veya yeni kişisel bilgilerinin (Alışveriş bilgisi, isim, soyisim, rumuz, cep telefon numaraları, e-mail adresleri, doğum tarihi, yaşadığı şehir, cinsiyet, medeni durum, eğitim düzeyi, ilgi alanları, zevk ve beğenileri gibi) ve elektronik programlar nedeniyle ulaşılabilen lokasyon bilgisinin, kişisel olmayan bilgilerinin, Program kapsamında mal ve hizmetlerini tanıtmak, üyelerini tanımak ve iletişimini arttırmak, imajını arttırmak, ürün, hizmet ve iletişimini geliştirmek, kulüplere üye kaydetmek, müşteri memnuniyeti uygulamaları ve bilgilendirmeleri yapabilmek, denetim, veri analizi, araştırma, trendleri anlama, pazarlama ve reklam hizmetlerinde de kullanılmak üzere toplanmasına, veri kayıt sisteminde muhafaza edilmesine, sayılan amaçlarla ….. Ailesi ile “yurtiçinde ve yurtdışında ilgili yasal mevzuatın öngördüğü azami süreleri aşmamak üzere paylaşılmasına ve işlenmesine izin verir. …… Ailesi olarak bahsedilen kurumlar, Yönetim Hissedarları, Yönetim Hissedarlarının ve Şirket’in bağlı şirketleri, iştirakleri, alt kuruluşları, işletmeleri, Şirketin her türlü temsilcisi, hizmet sağlayıcısı ve/veya alt yüklenicisi ve bağlı şirketleri, GSM Operatörleri /Sosyal Paylaşım Siteleri ile Şirketin hak ve/veya görevlerini devretmeyi teklif ettiği her türlü kişilerdir.” gibi genel nitelikte ifadeler

birlikte incelenmiş ve yapılan inceleme neticesinde,

  • Müşterinin Sadakat Kart Programına üye olmadığı durumda Şirketin sunduğu ürüne ve kişiye özel fırsat dünyasından faydalanamadığı ancak bu durumun hiçbir şekilde herhangi bir müşterinin Şirketin sunduğu alışveriş ortamından faydalanmasını engellemediği dolayısıyla, veri sorumlusu Şirket tarafından hizmet sunumu kapsamında Sadakat Kart Programına katılımın müşteriler açısından zorunlu tutulmadığı, söz konusu Programa üye olmayan müşterilere hizmet sunulmaması gibi bir durum ortaya çıkmadığı dikkate alındığında, Sadakat Kart Programına üye olunması sırasında kişilerin açık rızalarına başvurulması aksi takdirde söz konusu programdan yararlanılmaması hususunda Şikayetçinin Şirket tarafından bir hizmet veya ürün sunulmasının açık rıza şartına bağlandığı iddiası ile ilgili Kurumca yapılacak bir işlem bulunmadığına,
  • Şirketten alınan savunmada, öncelikle Kanuna uygun üyelik onayları teyit edilemeyen müşterilere özel olarak 07.04.2018 tarihine kadar çeşitli kanallardan duyuru yapılan kişilerin daha öncesinde rızalarının alınmadığı değil, yıpranmış, eksik, imzasız vs. gibi durumlar ile karşılaşılması nedeniyle ileride doğabilecek hukuki ihtilaflarda ispat külfeti kapsamında söz konusu rızaların yenilenmesi yoluna gidildiğinin ifade edildiği, bu çerçevede, Şirket tarafından hukuka uygun olmayan bir şekilde elde edilen kişisel verilere hukuki meşruiyet kazandırılması için ilgili kişilerden açık rıza alınması şeklinde bir yola başvurulmadığı, aksine daha önce kişisel verilerin işlenmesine yönelik alınan rızalara ilişkin matbu formlardaki muhtelif eksiklik ya da tahrifatlar nedeniyle bu rızaların iki yıl içinde Kanun hükümlerine uyumlu hale getirilmesinin amaçlandığı dikkate alındığında, Kanunun Geçici 1 inci maddesinin (3) numaralı fıkrası çerçevesinde Kurulca yapılacak bir işlem bulunmadığına,
  • “Aydınlatma Metni”nin incelenmesinden ucu açık ifadelere yer verildiği, öte yandan Sadakat Kart Programına üye olunması aşamasında elde edilen kişisel veriler ve bunların aktarıldığı taraflar hususları başta olmak üzere, “Üyelik ve Rıza Metni” ile “Aydınlatma Metni” arasındaki tutarsızlıklar bulunduğu, nitekim, elde edilen kişisel verilerin sosyal paylaşım siteleri ile paylaşılacağı hususunda kişilerin aydınlatılmasına rağmen yapılan güncelleme neticesinde “Üyelik ve Rıza Beyanı”nda bu ifadenin metinden çıkarılması ile birlikte söz konusu paylaşım için kişilerin açık rızalarının alınmadığı bir durumun oluşmasına sebebiyet verildiği,

Ayrıca, aydınlatma metninde Şirketleri tarafından özel nitelikli kişisel verilerin de (sendika/dernek/vakıf üyeliklerine ilişkin bilgiler, ceza mahkûmiyeti, güvenlik tedbirleriyle ilgili veriler, cinsel hayat, biyometrik veri ve sağlık durumunuza ilişkin bilgiler gibi) işlenebileceği ifadelerine yer verildiği görülmüş olup, Şirketin temel faaliyet alanının gıda ve ihtiyaç maddelerinin perakende olarak tüketicilere ulaştırılması olduğu, Şirkete ait tüm işyerlerinde sunulan Sadakat Kart uygulamasının ise bir pazarlama programı olarak tasarlandığı dikkate alındığında, ceza mahkûmiyeti, güvenlik tedbirleriyle ilgili veriler gibi özel nitelikli kişisel verilerin işlenmesinin veri sorumlusunun faaliyetleri kapsamında amaçla bağlantılı, sınırlı ve ölçülü olmadığı değerlendirildiğinden, “Üyelik ve Rıza Beyanı” ile “Aydınlatma Metni” arasındaki tutarsızlıkların giderilmesi ve Şirketin Aydınlatma Metninin Kanunun temel ilkeleri ve Tebliğ hükümleri de dikkate alınmak suretiyle güncellenmesi gerektiği hususunda Şirketin talimatlandırılmasına,

  • Öte yandan, Şirketin savunmasında kişisel verilerin anonim hale getirilerek sosyal paylaşım sitelerine aktarıldığı ifadelerine yer verildiğinin görüldüğü, bununla birlikte Kanunun 3 üncü maddesinde anonim hale getirmenin: kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi olarak tanımlandığı, bu kapsamda, anonim veriler diğer bir ifade ile kişiler ile ilişkilendirilemeyecek veriler üzerinden kişiye özel bir pazarlamanın gerçekleştirilemeyeceği göz önüne alındığında, Şirket uygulamasının Kanunda yer alan anonimleştirme tanımı ile bağdaşmadığına bu nedenle anonimleştirmenin Kanuna uygun olarak gerçekleştirilmesi gerektiği yönünde Şirketin talimatlandırılmasına,
  • Son olarak, Şirket tarafından düzenlenen perakende satış fişlerinde, “Veri İzni Alma Uygulaması” altında 0,01 TL hizmet bedeli alındığı iddiaları kapsamında Şirketten alınan savunmada, müşterilere kasada alışveriş yaparken gerekli bilgiyi vermek ve dilerse açık rızasını verebileceği üyelik linkini SMS gönderebilmek için alışveriş kasalarına bilgi teknolojileri sistemi kurulduğu, bir teknik problem nedeni ile bazı fişlerde çalışmadığı ve müşterilere sehven 1 kuruşluk bir bedel yansıdığı, bilgi teknolojileri hatası nedeni ile gerçekleşen bu olayda müşterilerden toplamda 91.502 fişte 910,52 TL’lik ücret alındığı ancak bu ödemelerin telafisi olarak müşterilerin kartına aynı tutarda indirim yüklendiği ve sistemsel bir hatadan kaynaklanan bu durumun derhal telafi edildiği hususları dikkate alındığında, konuya ilişkin Kanun kapsamında Kurumca yapılacak bir işlem bulunmadığına

karar verilmiştir.

27.05.2019: “Bir şahsın, kendisi ve ailesi hakkındaki kişisel bilgilere hukuk dışı yollarla erişerek rızası dışında yargıya ve üçüncü kişilere aktardığı iddiasıyla bir başka şahıs hakkında Kuruma yapmış olduğu şikayet hakkında”
Karar Tarihi : 01/03/2019
Karar No : 2019/47
Konu Özeti :Bir şahsın, kendisi ve ailesi hakkındaki kişisel bilgilere hukuk dışı yollarla erişerek rızası dışında yargıya ve üçüncü kişilere aktardığı iddiasıyla bir başka şahıs hakkında Kuruma yapmış olduğu şikayet hakkında

Başvuranın, …. isimli şahsın (şikayet edilen) kendisi ve ailesi hakkındaki bilgilere hukuk dışı yollarla erişerek, rızası dışında yargıya ve üçüncü kişilere aktardığı, bahse konu bilgilere İcra Müdürlükleri kanalıyla usulsüzce ulaştığı iddiası hakkında Kuruma yaptığı başvurusunun incelenmesi neticesinde,

  • Şikayet edilen şahsın, başvuranın ailesi hakkındaki bilgilere hukuk dışı yollarla erişerek, rızası dışında yargıya ve üçüncü kişilere aktardığı iddiaları ile ilgili olarak, kişisel verilerin paylaşımının muhtelif mercilere yazılan dilekçelerden oluştuğu ve bu anlamda şikayet edilen tarafından kısmen ya da tamamen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla gerçekleştirilen bir kişisel veri işleme faaliyetine rastlanılmadığı, bu çerçevede şikayet edilenin veri sorumlusu olarak nitelendirilmesinin mümkün bulunmadığı, diğer taraftan şikayet edilen tarafından başvuran ve ailesine ait kişisel verilerin hukuka aykırı bir şekilde elde edildiği iddiasının Türk Ceza Kanunu kapsamında bir suç niteliği taşıdığı göz önüne alındığında söz konusu iddiaya ilişkin Kanun kapsamında yapılacak bir işlem bulunmadığına,
  • Öte yandan, şikayet dilekçesinde şikayet edilenin, başvuranın kişisel verilerine İcra Müdürlükleri kanalıyla ulaştığı düşüncesinde olduğu iddiasının ilgili kişinin şahsi kanaatine dayandığı ve bu durumu tevsik edici herhangi somut bir bilgi veya belgeyle de tevsik edilmediği dikkate alındığında, söz konusu iddia ile ilgili olarak Kurulca yapılacak bir işlem bulunmadığına

karar verilmiştir.

27.05.2019: “Teknik servis hizmeti veren firmanın müşterilerine verdiği form/takip numarasının son hanelerinin değiştirilmesi yoluyla farklı kişilere ait kişisel verilere ulaşıldığı yolunda Kuruma iletilen ihbarın incelenmesi ve ihbara ilişkin alınan Kurul Kararının yerine getirilmemesi hakkında”
Karar Tarihi : 14/02/2019
Karar No : 2019/23
Konu Özeti :Teknik servis hizmeti veren firmanın müşterilerine verdiği form/takip numarasının son hanelerinin değiştirilmesi yoluyla farklı kişilere ait kişisel verilere ulaşıldığı yolunda Kuruma iletilen ihbar hakkında

Teknik servis hizmeti veren veri sorumlusu firmanın, servise cihaz girişi yapıldığına ilişkin müşterilerine bir form numarası verdiği, form numarası sorgulaması ile kişilerin kendi telefonlarının servisteki durumlarına ilişkin bilgilere ulaşabildiği ancak form numaralarının birbirini takip eden sayılar olması nedeniyle ilgili kişiye verilen sorgu numarasının bir öncesi veya bir sonrasındaki sayının girilmesi suretiyle farklı numara girişlerinde farklı kişilere ait kişisel verilere erişildiği yolundaki ihbarın incelenmesi neticesinde,

  • Veri sorumlusundan alınan bilgide, ilgili internet adresi üzerinden kişilerin servise bıraktıkları cihazları ile ilgili olarak yapılan sorgulamada cihaz sahiplerinin kişisel verilerine erişimin mümkün olmadığının belirtilmesine rağmen yapılan incelemede söz konusu internet sitesinde herhangi bir sorgu numarasının son iki hanesini değiştirmek suretiyle başka cihaz ve sahiplerine ilişkin de sorgulamalar yapılabildiği, söz konusu sorgulamalar neticesinde açılan sayfada yönlendirilen muhtelif linklerin seçilmesi suretiyle de bu kişilere ait isim, soy isim, adres ve sahip oldukları cihaz IMEI numarası bilgilerine erişim sağlanabildiği dikkate alınarak, anılan Şirket tarafından 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (1) numarala fıkrasına aykırı olarak kişisel verilerin muhafazasının sağlanmasını teminen gerekli idari ve teknik tedbirlerin alınmaması nedeniyle, söz konusu aykırılığın Karar tarihi itibariyle yapılan sorgulamalarda devam ettiği de göz önünde bulundurulduğunda, veri sorumlusu hakkında Kanunun 18 inci maddesi çerçevesinde 150.000 TL idari para cezası uygulanmasına,
  • Öte yandan, söz konusu aykırılığın giderilmesi yönünde veri sorumlusunun talimatlandırılmasına ve Kanunun 15 inci maddesinin (7) numaralı fıkrası uyarınca, söz konusu aykırılığın giderildiği hususunun Kurula tevsiki sağlanıncaya kadar işbu Kararda yer alan linklerin kullanımının durdurulmasına

karar verilmiştir.

03.04.2019: “Yargı mercilerinin görev alanına giren konularla ilgili Kuruma yapılan başvurular hakkında” Kişisel Verileri Koruma Kurulunun 24/12/2018 tarihli ve 2018/156 sayılı Kararı Özeti
Karar Tarihi : 24/12/2018
Karar No : 2018/156
Konu Özeti :Yargı mercilerinin görev alanına giren konularla ilgili Kuruma yapılan başvurular hakkında

İlgili kişinin, adı, soyadı, yerleşim yeri, boy, kilo, tip gibi kişisel bilgilerinin kullanılarak cinsel, siyasi, dini, arkadaşlık vb. içerikli yorumların ve paylaşımların yapıldığı hususu ile ilgili Kişisel Verileri Koruma Kurumuna yaptığı başvuru hakkında;

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 15 inci maddenin (1) numaralı fıkrasında Kurulun, şikayet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapacağı; aynı maddenin (2) numaralı fıkrasında ise 01.11.1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesinde belirtilen;

a) Belli bir konuyu ihtiva etmeyen,

b) Yargı mercilerinin görevine giren konularla ilgili olan,

c) 4 üncü maddede gösterilen şartlardan (dilekçe sahibinin adı soyadı ve imzası ile iş veya ikametgâh adresi) herhangi birini taşımayan

ihbar veya şikâyetlerin incelemeye alınmayacağı hükme bağlanmıştır.

Diğer yandan, Kanunun 17 nci maddesinin (1) numaralı fıkrasında kişisel verilere ilişkin suçlar bakımından 26.09.2004 tarih ve 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümlerinin uygulanacağı belirtilmekte olup, Türk Ceza Kanununun 136 ncı maddesinde ise kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişinin, iki yıldan dört yıla kadar hapis cezası ile cezalandırılacağı hükme bağlanmıştır.

Bu kapsamda, kişinin ad-soyadı, yerleşim yeri, boy, kilo, tip gibi kişisel bilgilerinin kullanılarak çeşitli içerikli internet sitelerinde hakkında yorumların ve paylaşımların yapılmasına ilişkin şikayetini içeren ve yargıya intikal etmiş olan başvurunun değerlendirilmesi neticesinde;

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun 15 inci maddenin (2) numaralı fıkrasında 01.11.1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesinde “Yargı mercilerinin görevine giren konularla ilgili olan” ihbar veya şikâyetlerin incelemeye alınmayacağının hükme bağlandığı, şikayete konu iddiaların Türk Ceza Kanunu hükümleri uyarınca suç unsuru barındırdığı ve bunların da bireysel suç niteliğinde olduğu, bu kapsamda ilgili kişi tarafından da konunun yargıya intikal ettirilmiş olduğu dikkate alındığında, söz konusu başvurunun Kanun kapsamında değerlendirilemeyeceğine,
  • Öte yandan kişiye verilecek cevapta Kişisel Verilerin Korunması Kanunu kapsamında Kuruma yapılacak başvurularda izlenilmesi gereken yolun hatırlatılmasına

karar verilmiştir.

03.04.2019: “İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkesi gereğince kişisel verilerin silinmemesi hakkında” Kişisel Verileri Koruma Kurulunun 05/12/2018 tarihli ve 2018/142 sayılı Kararı Özeti
Karar Tarihi : 05/12/2018
Karar No : 2018/142
Konu Özeti :Kişisel Verilerin Silinmesi Talebi Hakkında

Veri sorumlusu bir Bankaya ait veri kayıt sisteminde yer alan kişisel verilerin silinmesi yönündeki ilgili kişi talebinin veri sorumlusu tarafından yerine getirilmemesi sebebiyle Kuruma yapılan başvuru hakkında;

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Genel İlkeler” başlıklı 4 üncü maddesinin (2) numaralı fıkrasının (d) bendinde, kişisel verilerin ancak “İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza” edilebileceği hükme bağlanmıştır.

Diğer yandan Kanunun “Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi” başlıklı 7 nci maddesinin (1) numaralı fıkrasında, Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği, yok edileceği veya anonim hâle getirileceği hüküm altına alınmış olmakla birlikte, (2) numaralı fıkrasında kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümlerin saklı olduğu hükümleri yer almaktadır.

5411 sayılı Bankacılık Kanununun 42 nci maddesi, alınan yazıların ve faaliyetler ile ilgili belgelerin asıllarının veya bunun mümkün olmadığı hâllerde sıhhatlerinden şüpheye mahal vermeyecek kopyalarının ve yazılan yazıların makine ile alınmış, tarih ve numara sırası verilerek düzenlenecek suretlerinin, usulleri çerçevesinde ilgili banka nezdinde on yıl süreyle saklanacağı hükmünü haizdir.

Ayrıca Bankaların Muhasebe Uygulamalarına ve Belgelerin Saklanmasına İlişkin Usul ve Esaslar Hakkında Yönetmeliğin 17 nci maddesinin (1) numaralı fıkrasında da “Bankaların, müşterilerinden ve Resmî ya da özel kurum ve kuruluşlardan aldıkları mektup, telgraf, elektronik posta mesajı, ilam ve tebligatlar ile diğer yazıları ve Bankaların İç Sistemleri Hakkında Yönetmelik uyarınca hazırlayacakları raporlar da dâhil olmak üzere, faaliyetleri ile ilgili belgelerin asıllarını veya mümkün olmadığı hâllerde sıhhatlerinden şüpheye mahal vermeyecek kopyalarını ve müşterilerine ve Resmî ya da özel kurum ve kuruluşlara yazdıkları yazıların makine ile alınmış, tarih ve numara sırası verilerek düzenlenecek suretlerini istenildiğinde ibraz edilebilecek şekilde nezdlerinde on yıl süreyle saklamaları zorunludur.” hükmüne yer verilmiştir.

Bu kapsamda, veri sorumlusu banka nezdinde bulunan kişisel verilerin silinmesi ile ilgili Kuruma yapılan başvuru hakkında; 6698 sayılı Kanunun ilgili maddesi ile 5411 sayılı Bankacılık Kanununun 42 nci maddesi göz önünde bulundurulduğunda; ilgili kişinin bankalar nezdindeki son işlemi üzerinden 10 yıllık saklama süresi geçmediği dikkate alındığında, şikayetçinin talebine yönelik Kurumumuzca yapılacak bir işlem bulunmadığına

karar verilmiştir.

03.04.2019: “Tüzel kişiliğe ait elektronik ortamda yer alan verilerin başka bir tüzel kişilik tarafından talep edilmesi” hakkında Kişisel Verileri Koruma Kurulunun 19/11/2018 tarihli ve 2018/131 sayılı Kararı Özeti
Karar Tarihi : 19/11/2018
Karar No : 2018/131
Konu Özeti :Tüzel kişiliğe ait elektronik ortamda yer alan verilerin başka bir tüzel kişilik tarafından talep edilmesi hakkında

Bir tüzel kişiliğe ait elektronik ortamda yer alan verilerin veri sorumlusu tarafından başka bir veri sorumlusuna aktarılması talebi ile ilgili tüzel kişi şirket tarafından Kişisel Verileri Koruma Kurumuna (Kurum) yapılan başvuru hakkında;

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 2 nci maddesinde Kanun hükümlerinin, kişisel verileri işlenen gerçek kişiler hakkında uygulanacağı belirtilmiş, “Tanımlar” başlıklı 3 üncü maddesinin (d) bendinde de kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmıştır. Bu sebeple, gerçek kişilere ait veriler Kanun kapsamında bulunurken, tüzel kişilere ait veriler ise Kanun kapsamında bulunmamaktadır.

Kanunun ilgili kişilerin haklarının düzenlendiği 11 nci maddesine göre ise herkesin, veri sorumlusuna başvurarak kendisiyle ilgili kişisel veri işlenip işlenmediğini öğrenme ve kişisel verileri işlenmişse buna ilişkin bilgi talep etme hakkı bulunmaktadır. Ayrıca söz konusu madde metninden de bu hakların, gerçek kişiye ait kişisel verileri kapsadığı ve bu hakkın da bizzat ilgili kişi veya yasal temsilcisi tarafından kullanılabileceği anlaşılmaktadır.

Bu çerçevede,

  • Kurumumuza intikal eden söz konusu başvuruda yer alan, tüzel kişiliğe ait verilere erişilmesi yönündeki talebin Kanunun 2 nci maddesi gereğince Kanun kapsamında değerlendirilemeyeceğine,
  • Şirket ortak ve yetkilisi gerçek kişilere ilişkin verilere erişim sağlanması talebinin ise ilgili kişilerin kendileri tarafından değil Şirket tüzel kişiliği tarafından talep edilmesi sebebiyle söz konusu başvurunun Kanunun 11 ve 13 inci maddeleri kapsamında değerlendirilemeyeceğine

karar verilmiştir.

03.04.2019: “Kurul Kararının gereğinin süresi içinde yerine getirilmemesi” hakkında Kişisel Verileri Koruma Kurulunun 16/10/2018 tarihli ve 2018/118 sayılı Kararı Özeti
Karar Tarihi : 16/10/2018
Karar No : 2018/118
Konu Özeti :Kurul Kararlarının Kanunun 15 inci Maddesi Uyarınca 30 Günlük Süre İçerisinde Yerine Getirilmemesi Hakkında

İlgili kişinin, veri kayıt sisteminde mevcut bulunan kişisel verilerinin silinmesi amacıyla veri sorumlusuna yaptığı başvuruya tatminkar bir cevap alamaması üzerine Kişisel Verileri Koruma Kurumuna (Kurum) yaptığı başvuru neticesinde, konu ile ilgili Kurul tarafından alınan kararın ilgili veri sorumlusu tarafından süresinde yerine getirilmemesi hakkında;

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Şikâyet üzerine veya resen incelemenin usul ve esasları” başlıklı 15 inci maddesinin (5) numaralı fıkrası, şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurulun, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ edeceği, bu kararın da tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirileceği hükmünü haizdir.

Kanunun “Kabahatler” başlıklı 18 inci maddesinin (1) numaralı fıkrasının (c) bendinde ise Kanunun 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verileceği (3) numaralı fıkrasında ise birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılacağı ve sonucunun Kurula bildirileceği hüküm altına alınmıştır.

Şikâyetçinin Kurula yapmış olduğu başvurunun incelenmesi neticesinde alınan Kurul Kararı 02.07.2018 tarihinde veri sorumlusuna tebliğ edilmiştir. Bu kapsamda veri sorumlusunun, Kurul Kararı kapsamında 16.08.2018 tarihinde şikâyetçiye bilgi verdiği, bu hususun da 17.08.2018 tarihli yazı ile Kurula bildirildiği görülmekte olup, Şirket tarafından ilgili mevzuat hükümleri çerçevesinde en geç 01.08.2018 tarihinde yapılması gereken işlemin 16.08.2018 tarihinde yapıldığı; diğer yandan şikâyetçinin, veri sorumlusu nezdinde bulunan kişisel verilerinden asgari saklama süresi tamamlanmış olanlarının Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 11 inci maddesinin (1) numaralı fıkrası gereğince ilk periyodik imha işleminde, kalanların da yasal saklama yükümlülüğünün dolmasını müteakiben yapılacak periyodik imha işlemi dönemlerinde silinmesine ve gerçekleşecek silme işlemleri hakkında Şikâyetçiye bilgi verilmesi ayrıca, söz konusu kişisel verilerin saklama amacı dışında işlenmemesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiş olmasına rağmen Şirketin şikâyetçiyi muhatap 16.08.2018 tarihli yazısında Kurul Kararının bu maddelerine ilişkin herhangi bir açıklamada bulunmadığı tespit edilmiştir.

Bu çerçevede kamu kuruluşu olarak değerlendirilen veri sorumlusuna tebliğ edilen Kurul Kararının gereğinin Kanunun 15 inci maddesinin (5) numaralı fıkrasında belirtilen 30 günlük yasal süre içerisinde yerine getirilmemesi ve şikayetçiye gönderilen bilgilendirme yazısında Kurul Kararında belirtilen hususlara yer verilmemiş olması nedenleriyle;

  • Şirket hakkında Kanunun 18 inci maddesinin (3) numaralı fıkrası çerçevesinde işlem tesis edilmesine,
  • Şikâyetçinin, Şirket nezdinde saklanmakta olan verileri ile ilgili olarak Kurul Kararı kapsamında yapılacak iş ve işlemler hakkında bilgilendirilmesi hususunda Şirkete talimat verilmesine

karar verilmiştir.

03.04.2019: “Kimliği belirsiz kişi/kişilerin veri sorumlusu olarak kabul edilemeyeceği hakkında” Kişisel Verileri Koruma Kurulunun 13/09/2018 tarihli ve 2018/106 sayılı Kararı Özeti
Karar Tarihi : 13/09/2018
Karar No : 2018/106
Konu Özeti :Kimliği belirsiz kişi/kişilerin veri sorumlusu olarak kabul edilemeyeceği

İlgili kişinin görevi nedeniyle imzalamış olduğu evrakın kimliği belirsiz kişi/kişilerce internet ortamında paylaşılması üzerine Kuruma yapmış olduğu başvuru hakkında,

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Kapsam” başlıklı 2 nci maddesinde, Kanun hükümlerinin, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanacağı ile “Tanımlar” başlıklı 3 üncü maddesinin (1) numaralı fıkrasının (ı) bendinde veri sorumlusunun kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade ettiği belirtilmektedir.

Bu kapsamda;

Şikâyetçinin başvurusu incelendiğinde, kişinin görevi nedeniyle imzalamış olduğu bir evrakın hukuka aykırı bir şekilde elde edilip kimliği belirsiz kişi veya kişilerce internet ortamında paylaşıldığı ve aynı kullanıcı ismiyle Şikâyetçinin isim ve soy isminin baş harflerinin yazılarak kişi hakkında bir takım iftira içerikli metinlere yer verildiği anlaşılmış olup, kimliği belirsiz kişi veya kişilerin veri sorumlusu olarak tanımlanamayacağı

Kanunun “Suçlar” başlıklı 17 nci maddesinin (1) numaralı fıkrası gereği, kişisel verilere ilişkin suçlar bakımından 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümlerinin uygulanacağı

hususlarından hareketle, şikâyete konu olayın Türk Ceza Kanunu hükümleri uyarınca suç unsuru barındırması ve konuya ilişkin gerekli hukuki işlemlerin tesisini teminen konunun Şikâyetçi tarafından yargıya intikal ettirilmiş olması nedenleriyle Şikâyetçi hakkında ilgili uygulama üzerinden yapılan paylaşımlar kapsamında Kurumca yapılacak bir işlem bulunmadığına karar verilmiştir.

03.04.2019: “Veri sorumlusu tarafından aydınlatma yükümlülüğü ve açık rıza onayı alınması süreçlerinin ayrı ayrı yerine getirilmesi gerektiği ile ilgili” Kişisel Verileri Koruma Kurulunun 26/07/2018 tarihli ve 2018/90 sayılı Kararı Özeti
Karar Tarihi : 26/07/2018
Karar No : 2018/90
Konu Özeti :Veri sorumlusu tarafından aydınlatma yükümlülüğü ve açık rıza onayı alınması süreçlerinin ayrı ayrı yerine getirilmesi gerektiği ile ilgili

Online platformda iş başvurusu alan veri sorumlusu şirketler topluluğunun kişisel veri işleme süreçlerinin Kurul tarafından re’sen incelenmesini teminen yapılan başvuru neticesinde,

Online platformda iş başvurusunda bulunurken üyelik kaydı yapılmasının zorunlu olduğu, üyelik kaydı yapılması sırasında ise, aynı kutucuğun işaretlenmesi yoluyla hem aydınlatma metninin okunduğuna, hem de kişisel verilerin işlenmesi hususunda açık rıza verildiğine ilişkin onay alınması yoluna gidildiği tespit edilmiştir.

Bu kapsamda;

Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin 5 inci maddesinin (1) numaralı fıkrasının (f) bendinde kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiği hükme bağlanmıştır

Ayrıca, veri sorumlusu tarafından aydınlatma yükümlülüğünün yerine getirilmesi herhangi bir onaya bağlı değildir. Aydınlatma yükümlülüğünün yerine getirilmesindeki amaç kişisel verilerin işlenmesi noktasında ilgili kişinin bilgi sahibi olmasının temin edilmesidir. Açık rıza alınmasında amaç ise, veri sorumlusu tarafından kişisel verilerinin işlenmesinin hukuki bir gerekçeye dayandırılmasıdır. Bu sebeple, ilgili kişi aydınlatma metni sayesinde kişisel veri işleme faaliyeti ile ilgili olarak bilgi edinmiş olmakla birlikte, söz konusu metinde yazılanlara açık rıza vermek zorunda değildir.

Tüm bu hususlar bir arada değerlendirildiğinde; söz konusu uygulamanın 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) amacına ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin 5 inci maddesinin (1) numaralı fıkrasının (f) bendinde yer alan hükme uygun olmadığı, bu itibarla aydınlatma metninin okunduğuna ilişkin geri bildirim alınması ile ilgili kişilerin kişisel verilerinin işlenmesi hususunda gerekli seçimlik haklarının da tanındığı açık rıza metninin onaylandığının ispatını sağlayacak mekanizmaların ayrıştırılması hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

18.02.2019: “Sicil dosyalarındaki kişisel verilerin, işlenmelerini gerektiren sebeplerin ortadan kalkmaması sebebiyle, imha edilmemesi gerektiği hakkında” Kişisel Verileri Koruma Kurulunun 28/06/2018 Tarihli ve 2018/69 Sayılı Kararı Özeti
Karar Tarihi : 28/06/2018
Karar No : 2018/69
Konu Özeti : Sicil Dosyalarındaki Kişisel Verilerin İmha Edilmesi Hakkında

Devlet memurlarının, memuriyet döneminde haklarında açılmış inceleme-soruşturma dosyalarına ilişkin evrakların imha edilmesi talebinin veri sorumlusu kamu kurumunca yerine getirilmemesi üzerine Kuruma yapılan başvuru hakkında;

6698 sayılı Kişisel Verilerin Korunması Kanununun 7 nci maddesinde “(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. (2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır” hükümlerine yer verilmiştir.

Öte yandan, 657 sayılı Kanunun “Memur Bilgi Sistemi, Özlük Dosyası” başlıklı 109 uncu maddesinde “Memur Bilgi Sistemi, Özlük Dosyası” başlıklı 109 uncu maddesinde her memur için bir özlük dosyasının tutulacağı ve bu dosyada memurun mesleki bilgileri, mal bildirimleri; varsa inceleme, soruşturma, denetim raporları, disiplin cezaları ile ödül ve başarı belgelerine ilişkin bilgi ve belgelerin konulacağı hükmüne; Kamu Personeli Genel Tebliğinin (Seri No: 2) “D” bölümünde ise görevleri herhangi bir şekilde sona eren memurların özlük dosyalarının kurumlarınca saklanacağı hükmüne yer verilmiştir.

Buna ek olarak, 16.05.1988 tarihli ve 19816 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren Devlet Arşiv Hizmetleri Hakkında Yönetmelik’in “Tarifler” başlıklı 3 üncü maddesinin

– (a) bendinde “Arşiv malzemesi: Türk Devlet ve Millet hayatını ilgilendiren ve en son işlem tarihi üzerinden otuz yıl geçmiş veya üzerinden onbeş yıl geçtikten sonra kesin sonuca bağlanmış olup, birinci maddede belirtilen kuruluşların işlemleri sonucunda teşekkül eden ve onlar tarafından muhafazası gereken, Türk Milletinin geleceğine tarihi, siyasî, sosyal, hukukî ve teknik değer olarak intikal etmesi gereken belgeler ve Devlet hakları ile milletlerarası hakları belgelemeye, korumaya, bunlarla ilgili işlem ve münasebetler bakımından tarihî, hukukî, idarî, askeri, iktisadî, dinî, ilmî edebî estetik, kültürel biyografik, jeneolojik ve teknik herhangi bir konuyu aydınlatmaya, düzenlemeye, tespite yarayan, ayrıca ait olduğu devrin ahlâk, örf ve âdetlerini veya çeşitli sosyal özelliklerini belirten her türlü yazılı evrak, defter, resim, plan, harita, proje, mühür, damga, fotoğraf, film, ses ve görüntü bandı, baskı ve benzeri belgeleri ve malzemeyi”,

– (b) bendinde “Arşivlik malzeme: Yukarıdaki bentte sayılan her türlü belge ve malzemeden zaman bakımından henüz arşiv malzemesi vasfını kazanmayanlarla, son işlem tarihi üzerinden yüzbir yıl geçmemiş memuriyet sicil dosyaları, Devletin gerçek ve tüzel kişilerle veya yabancı devlet ve milletlerarası kuruluşlarla akdettiği ikili ve çok taraflı milletlerarası antlaşmalar, tapu tahrir defterleri, tapu ve nüfus kayıtları, aynı özellikteki vakfiyelerden ait oldukları kamu kurum ve kuruluşları ile il, ilçe, köy ve belediyelere ait sınır kâğıtları gibi belgeleri”,

– (c) bendinde “Birim arşivi: Kurum ve kuruluşların görev ve faaliyetleri sonucu kendiliğinden teşekkül eden ve bu kuruluşların çeşitli birimlerinde, aktüalitesini kaybetmemiş olarak aktif bir biçimde ve günlük iş akımı içinde kullanılan arşivlik malzemenin belirli bir süre saklandığı arşiv birimlerini (Mükelleflerin taşra, bölge ve yurt dışı kuruluşlarında bulunan arşivler de birim arşivi sayılır.)”,

– (d) bendinde “Kurum arşivi: Kurum ve kuruluşların, merkez teşkilâtları içinde yer alan ve arşiv malzemesi ile arşivlik malzemenin, birim arşivlerine nazaran daha uzun süreli saklandığı merkezî arşivleri”,

– (e) bendinde ise “Mükellefler: 28/9/1988 tarihli ve 3473 sayılı Muhafazasına Lüzum Kalmayan Evrak ve Malzemenin Yok Edilmesi Hakkında Kanun Hükmünde Kararnamenin Değiştirilerek Kabulü Hakkında Kanunun 1 inci maddesinde sayılan kurum ve kuruluşları”

şeklinde tanımlanmıştır.

Bu çerçevede, 3473 sayılı Muhafazasına Lüzum Kalmayan Evrak ve Malzemenin Yok Edilmesi Hakkında Kanun Hükmünde Kararnamenin Değiştirilerek Kabulü Hakkında Kanunun “Amaç ve Kapsam” başlıklı 1 inci maddesinde “Bu Kanunun amacı, genel ve katma bütçeli dairelerle (saklama, ayıklama ve imha işlemleri kendi mevzuatına tabi olmak kaydıyla Cumhurbaşkanlığı, Türkiye Büyük Millet Meclisi, Genelkurmay Başkanlığı, Milli Savunma Bakanlığı, İçişleri Bakanlığı, (Ek ibare: 1/2/2000 – 4516/1 md.) Dışişleri Bakanlığı ve Milli İstihbarat Teşkilatı hariç) mahalli idareler, üniversiteler ve bunlara bağlı sabit ve döner sermayeli kuruluşlar, kamu iktisadi teşebbüsleri, özel kanunlarla kurulan kamu bankaları ve teşekkülleri elinde bulunan ve arşivlerinde arşiv malzemesi ve arşivlik malzeme niteliği taşımayan, muhafazasına lüzum görülmeyen, yok edilecek evrak ve her türlü malzemenin, ayıklama ve imha işlemlerine dair usul ve esasları düzenlemektir.” hükmü yer almakta olup, bu tanımdan hareketle genel bütçe kapsamındaki kamu idarelerinden olan Bakanlık da mükellef olarak değerlendirilmektedir.

Buna ek olarak, Devlet Arşiv Hizmetleri Hakkında Yönetmelik’in “Birim ve Kurum Arşivleri” başlıklı 5 inci maddesinde mükelleflerin, belirli bir süre saklayacakları arşivlik malzeme için birim arşivlerini, daha uzun bir süre saklayacakları arşiv malzemesi veya arşivlik malzeme için kurum arşivlerini kuracakları ve ellerinde bulunan arşivlik malzemelerin birim arşivlerinde 1-5 yıl süre ile saklanacağı ile “Kurum Arşivine Devredilecek Malzemenin Ayrılması” başlıklı 19 uncu maddede de birim arşivinde saklanma süresini tamamlayan arşivlik malzemenin, “Kurum Arşivine Devredilecek” olanlar şeklinde ayrılacağı hüküm altına alınmıştır.

Devlet memurlarının, memuriyet döneminde haklarında açılmış inceleme-soruşturma dosyalarına ilişkin evrakların imha edilme talebinin veri sorumlusu kamu kurumunca yerine getirilmemesi üzerine Kuruma yapılan başvuru kapsamında, imha edilmesi talep edilen kişisel bilgilerin, ilgili kişinin devlet memuru olduğu dönemde hakkında açılmış inceleme-soruşturma dosyalarına ilişkin evraklar olması ve bu itibarla söz konusu evrakların, 657 sayılı Kanun gereğince özlük dosyalarında saklanması gerektiği, Kamu Personeli Genel Tebliğine (Seri No: 2) göre özlük dosyalarının dördüncü bölümünde yer alacağı ile görevi herhangi bir şekilde sona eren memurların özlük dosyalarının kurumlarınca saklanacağı ve Devlet Arşiv Hizmetleri Hakkında Yönetmeliğe göre son işlem tarihi üzerinden yüz bir yıl geçmemiş memuriyet sicil dosyaları içerisinde yer aldığı hususlarından hareketle, 6698 sayılı Kanunun 7 inci maddesinde belirtildiği üzere kişisel verilerin işlenmesini gerektiren sebeplerin de henüz ortadan kalkmaması dolayısıyla şikayetçinin talebinin veri sorumlusu tarafından karşılanmamasının uygun olduğuna karar verilmiştir.

18.02.2019: “Kişisel verilere hukuka aykırı erişilmesini önleme” yükümlülüğünü yerine getiremeyen veri sorumlusu hakkında Kişisel Verileri Koruma Kurulunun 26/07/2018 Tarihli ve 2018/91 Sayılı Kararı Özeti
Karar Tarihi : 26/07/2018
Karar No : 2018/91
Konu Özeti :Kişisel Verilere Hukuka Aykırı Erişilmesini Önleme Hakkında

Bir hazır giyim firmasının internet sitesi üzerinden üyelik bilgileri ile alışveriş yapan kişinin teslimat adresi, ad, soyadı, adres ve telefon numarası gibi kişisel bilgilerinin şirkete ait bu internet sitesi üzerinden alışveriş yapan üçüncü kişilerce erişilebilir hale gelmesi sebebiyle Şirkete başvuruda bulunarak kişisel verilerinin sistemlerinden silinmesini, yok edilmesini, ulaşılamaz hale getirilmesini, yurtiçi ve yurt dışında başka bir kurumla paylaşıldı ise o kurumlar nezdinde de silinmesini ve yok edilmesini talep etmesi üzerine Şirketten aldığı cevabı yetersiz bulması neticesinde Kuruma yapılan başvuru hakkında;

6698 sayılı Kişisel Verilerin Korunması Kanununun 7 nci maddesi “(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. (2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır” hükmünü amirdir.

Kanunun “İlgili Kişinin Hakları” başlıklı 11 inci maddesinin (1) numaralı fıkrasında ise herkesin, veri sorumlusuna başvurarak kendisiyle ilgili; yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme hakları düzenlemektedir.

Diğer yandan, Kanunun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (1) numaralı fıkrasında veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu hüküm altına alınmıştır.

Bir hazır giyim firmasının internet sitesi üzerinden üyelik bilgileri ile alışveriş yapan kişinin teslimat adresi, ad, soyadı, adres ve telefon numarası gibi kişisel bilgilerinin şirkete ait bu internet sitesi üzerinden alışveriş yapan üçüncü kişilerce erişilebilir hale gelmesi sebebiyle Şirkete başvuruda bulunarak kişisel verilerinin sistemlerinden silinmesini, yok edilmesini, ulaşılamaz hale getirilmesini, yurtiçi ve yurt dışında başka bir kurumla paylaşıldı ise o kurumlar nezdinde de silinmesini ve yok edilmesini talep etmesi üzerine Şirketten aldığı cevabı yetersiz bulması neticesinde Kuruma yapılan başvuru kapsamında;

– Şikâyetçinin kişisel verilerinin alışveriş işlemleri için girildiği, ancak anılan bilgilerin aynı zamanda başka müşterilerin alışverişe ilişkin işlemleri sırasında görülebilir hale geldiği, Şirket tarafından Kuruma sunulan savunma ve belgelerde, şirketin şikâyete konu durumdan olayla birlikte haberdar olduğu, olayın sistemsel bir hatadan kaynaklandığının tespit edildiği, ilgili departmanlar arasında istişarelerde bulunularak başka müşterilerin de mağduriyet yaşamamaları amacıyla bir takım önlemlerin alındığı ve derhal uygulama sürümünün çıkarıldığı hususlarına ilişkin açıklamaları birlikte değerlendirildiğinde Şirket tarafından bahsi geçen mağduriyet öncesinde Kanunun 12 nci maddesinin (1) numaralı fıkrası kapsamında kişisel verilerin muhafaza edilmesi ve kişisel verilere hukuka aykırı erişilmesini önleme amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirlerin alınamadığı sonucuna varıldığından; Şirket hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmasına,

– Şikâyetçinin her türlü kişisel verisinin Şirket sistemlerinden silinmesi, yok edilmesi, ulaşılamaz hale getirilmesi, yurtiçi ve yurt dışında başka bir kurumla paylaşıldı ise o kurumlar nezdinde de silinmesi ve yok edilmesi talebiyle ilgili olarak Şirketin taraflarınca yapılan işlemler hakkında açıklamalarını, tevsik edici belgelerle birlikte Kanunun 15 inci maddesinin (5) numaralı fıkrası gereğince kararın tebliğinden itibaren 30 gün içerisinde Şikâyetçiye iletmesi yönünde talimatlandırılmasına

karar verilmiştir.

02.08.2018: Kanuna Aykırı Şekilde Kişisel Verilerin Paylaşılması

Veri sorumlusu tarafından, bir şirketin çalışanlarına e-posta yoluyla gönderilen sözleşme örneklerinde veri sorumlusu tarafından, işveren e-posta adresi kısmına şirketin adresinin yazılması gerekirken, Kanunun 5 inci maddesinde sayılan kişisel veri işleme şartlarından herhangi birine dayanmaksızın şirket adına sürecin yönetiminden sorumlu kişinin (ilgili kişi) ev adresinin yazılması nedeniyle,

Kurul tarafından Kanunun 12 nci maddesi kapsamında veri güvenliğini sağlayamayan veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari yaptırım uygulanmasına karar verilmiştir.

02.08.2018: Kanunda Yer Alan Genel İlkelere Aykırı Şekilde Kişisel Veri İşlenmesi (Hukuka ve Dürüstlük Kurallarına Uygun Olma ile Belirli, Açık Ve Meşru Amaçlar İçin İşleme İlkelerine Aykırı Kişisel Veri İşlenmesi)

Veri sorumlusu tarafından ilgili kişinin talebi üzerine gerçekleştirilen işlemde veri sorumlusu tarafından işlemin gerektirmediği kişisel veri içeren bir belgenin müşteriden istenilmesinin;

– İlgili mevzuatta yer almaması

– Ulaşılmak istenen amaç ile bağdaşmaması nedeniyle

Kanunun 4 üncü maddesinin (2) numaralı fıkrasının (a) bendinde yer verilen hukuka ve dürüstlük kurallarına uygun olma ilkesi ile (c) bendinde yer verilen belirli, açık ve meşru amaçlar için işlenme ilkesine aykırılık teşkil ettiği dikkate alınarak, Kurulca Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde kişisel veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari yaptırım uygulanmasına karar verilmiştir.

02.08.2018: Kişisel Veri Güvenliğinin Sağlanması Amacıyla Uygun Güvenlik Düzeyini Temin Etmeye Yönelik Gerekli İdari ve Teknik Tedbirlerin Alınmaması

a) Veri sorumlusu tarafından müşterisinin (ilgili kişi) kişisel verilerinin yer aldığı bir belgenin, aynı isme sahip başka bir kişiye gönderilmesinin;

Veri sorumlusu açısından sistemsel bir açığa işaret ettiği dikkate alınarak, Kurul tarafından Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğinin sağlanması hususunda gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari yaptırım uygulanmasına karar verilmiştir.

b) Veri sorumlusunun bir çalışanının, talebi olmamasına rağmen müşterisinin (ilgili kişi) kişisel verilerini, kendisine yetki tanımlaması yapılan sistemler aracılığıyla kişisel amaçları için sorgulaması nedeniyle,

Kurul tarafından Kanunun 12 nci maddesinin (1) numaralı fıkrası gereğince veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari işlem tesis edilmesine karar verilmiştir.

02.08.2018: lgili Kişinin Kişisel Verilerinin Silinmesi Talebinin Yerine Getirilmemesi

Veri sorumlusunun, halihazırda aktif olmayan müşterisinin (ilgili kişi) kişisel verilerinin silinmesi hususundan talebini yerine getirmemesi üzerine;

Veri sorumlusunun tabi olduğu mevzuat uyarınca işlediği kişisel verileri 10 yıl boyunca muhafaza etmesi zorunluluğu bulunduğundan, Kurul tarafından aktif olmayan müşterilerin kişisel verilerinin, Kanunun 4 üncü maddesinde yer verilen genel ilkelere uygun olarak saklama amacı dışında işlenmemesi gerektiği yönünde veri sorumlusunun talimatlandırılmasına karar verilmiştir.

02.08.2018: Veri Sorumlusu Tarafından Kanunda Belirlenen Süre İçerisinde İlgili Kişiye Cevap Verilmemesi

İlgili kişinin veri sorumlusuna Kanunun 11 nci maddesinde sayılan hakları kapsamında başvuruda bulunmasına rağmen veri sorumlusunun süresinde ilgili kişiye cevap vermemesi üzerine;

Kurul tarafından veri sorumlusunun ilgili kişiye Kanunun 11 inci maddesi kapsamında talep ettiği hususlarla ilgili olarak, Kanunun 15 inci maddesinin (5) numaralı fıkrası gereğince kararın tebliğinden itibaren 30 gün içerisinde cevap vermesi, aksi takdirde Kanunun 18 inci maddesi uyarınca hakkında idari yaptırım uygulanacağı hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.

02.08.2018: İşlenme Amacının Gerektirdiğinden Fazla Kişisel Veri İşlenmesi/Aktarılması (Veri Minimizasyonu İlkesine Aykırılık)

Mahkemece veri sorumlusundan ilgili kişi hakkında bazı kişisel verilerin talep edilmesi ve veri sorumlusunun gereğinden fazla kişisel veri aktarımında bulunmasının;

– Kanunun 8 inci maddesinin (2) numaralı fıkrasında atıfta bulunulan Kanunun 5 inci maddesinin (2) numaralı fıkrasının (ç) bendinde yer verilen hukuki yükümlülüğün yerine getirilmesi için zorunlu olması kapsamında değerlendirilemeyeceği,

– Kanunun 4 üncü maddesinin (1) numaralı fıkrasının (ç) bendinde yer alan işlendikleri, amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırılık teşkil ettiği,

dikkate alınarak, Kurul tarafından Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde ilgili kişiye ait kişisel verilerin güvenliğini sağlayamayan veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari yaptırım uygulanmasına karar verilmiştir.

02.08.2018: Açık Rızanın Hizmet Şartına Bağlanması

Veri sorumlusu tarafından Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendi kapsamında sözleşmenin taraflarına ait kişisel veri işlenmesi durumunda ayrıca açık rıza alması ve de açık rızayı üyeliğin ve hizmetin dolayısıyla sözleşmenin bir koşulu olarak dayatmasının;

– Diğer kişisel veri işleme şartlarının varlığı durumunda açık rıza alınmasının ilgili kişinin yanıltılması ve yanlış yönlendirilmesi dolayısıyla veri sorumlusunca hakkın kötüye kullanılması anlamına geleceği,

– Ayrıca hizmetin açık rıza şartına bağlanmış olmasının açık rızayı sakatlayacağı,

dikkate alındığında, bu durumun Kanunun 4 üncü maddesinde yer alan hukuka ve dürüstlük kurallarına uygun olma ve işlenme amacı ile bağlı, sınırlı ve ölçülü olma ilkelerine aykırılık teşkil etmesi nedeniyle, Kurul tarafından Kanunun 12 nci maddenin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari yaptırım uygulanmasına karar verilmiştir.

02.08.2018: Kişisel Veri Güvenliği İhlalinin Geç Bildirimi

İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesinin veri sorumlusu tarafından en kısa sürede ilgilisine ve Kurula bildirimde bulunulmamasının;

Veri sorumlusunun gerçekleşen veri ihlalini ilgili kişilere 17 ay, Kurula ise 10 aylık gecikmeyle bildirmesinin Kanunda belirtilen “en kısa süre”yi aşan bir süre olduğu ve bu durumun Kanunun 12 nci maddesinin (5) numaralı fıkrası kapsamında veri güvenliği ihlali olarak değerlendirilmesi nedeniyle Kurul tarafından Kanunun 18 inci maddesi gereğince ilgili veri sorumlusu hakkında idari yaptırım uygulanmasına karar verilmiştir.

02.08.2018: İş Başvurusu Sürecinde İşlenen Kişisel Verilerin Hukuka Aykırı Şekilde Paylaşılması

a) İlgili kişi tarafından, online olarak insan kaynakları hizmeti sunan veri sorumlusuna ait bir platform üzerinden yapılan iş başvurusunun akabinde; veri sorulusunun, ilgili kişiye ait başvuru bilgisi, ad ve soyadı ile e-posta adresi bilgisini içeren kişisel verileri herhangi bir hukuki sebebe dayanmadan diğer işe başvuranlarla paylaştığı tespit edildiğinden;

Bu durumun; 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil etmesi nedeniyle anılan Şirket hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmıştır.

b) Bir şirketler topluluğu bünyesinde yer alan birden çok veri sorumlusu şirketler arasında veri aktarımı gerçekleştirilmesinin, üçüncü kişiye veri aktarımı olarak değerlendirildiği, bu itibarla aynı şirketler topluluğu bünyesinde yer alan veri sorumluları arasında gerçekleşecek veri aktarımında da 6698 sayılı Kişisel Verilerin Korunması Kanununun 8 inci maddesi hükümlerinin esas alınması gerektiği dikkate alındığında,

İş başvurusunda bulunan bir adayın açık rızası olmadan kişisel verilerinin bir şirketler topluluğu altında yer alan veri sorumluları arasında aynı veri tabanını kullanmak suretiyle paylaşılmasının Kanunun 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil etmesi nedeniyle, anılan Şirket hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmıştır.

02.08.2018: Özel Nitelikli Kişisel Verilerin Kanuna Aykırı Şekilde İnternet ve Sosyal Medya Mecralarında Paylaşılması

İlgili kişiye ait özel nitelikli kişisel veri olan sağlık raporunun, bir Hastane nezdinde hastaların tedavi sürecinde yer alan hekimler tarafından, veri sorumlusuna ait mobil olarak kullanılan bir uygulamadan alınan ekran görüntüsünün başka bir cihaz tarafından çekilmesi suretiyle internet ve sosyal medya mecralarında paylaşılması ve bu itibarla özel nitelikli bir kişisel verinin sosyal medya aracılığıyla geniş bir kitleye ifşa edilmiş olduğu dikkate alınarak, Kurulca yapılan resen inceleme neticesinde;

6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (1) numaralı fıkrasının (c) bendi kapsamında kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin edemeyen veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmıştır.

02.08.2018: Bir Gerçek Kişinin Adının Geçtiği Köşe Yazısının Silinmesi Talebi

Bir gerçek kişinin adının geçtiği bir gazetedeki köşe yazısının, kişinin hala kamuyu ilgilendiren bir konumda olduğu hususu da dikkate alınarak, ifade özgürlüğünün bir yansıması olan basın özgürlüğünün kapsamında olduğu değerlendirildiğinden 6698 sayılı Kişisel Verilerin Korunması Kanununun 28 inci maddesinin (1) numaralı fıkrasının (c) bendi uyarınca, ilgili kişinin söz konusu köşe yazısının silinmesine yönelik talebine ilişkin olarak Kurulca yapılacak herhangi bir işlem bulunmadığına karar verilmiştir.


Yorum Yaz