Kişisel Veriler'e İlişkin tüm mevzuata (kanun, yönetmelik, kurul kararı, tebliğ) ve ilan edildiği Resmi Gazete bilgilerine erişmek için buraya tıklayınız

KİŞİSEL VERİLERİ KORUMA KURUMU tarafından yayımlanan
DUYURULAR, KURUL KARARLARI ve KARAR ÖZETLERİ

Resmi Gazete'de yayımlanan KVKK Kurul Kararlarının tamamına buradan erişilebilir. Ayrıca Kurul tarafından yayımlanan kararlara buradan, karar özetlerineburadanve duyurulara buradan erişebilirsiniz.

Duyurular:

27/03/2023: “Vekaleten Yapılacak Şikayetlerin Elektronik Ortamda Kurula İletilmesine İlişkin Kamuoyu Duyurusu”

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 15. maddesinde “Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.” hükmü yer almakta olup, bu kapsamda Kurumumuza intikal eden şikayetler Kişisel Verileri Koruma Kurulu tarafından sonuçlandırılmaktadır.

Halihazırda şikayet dilekçeleri Kişisel Verileri Koruma Kurulu’na elden, posta veya kargo yoluyla iletilebildiği gibi www.kvkk.gov.tr adresinde hizmete sunulan “Şikayet Modülü” aracılığıyla elektronik ortamda da iletilebilmektedir.

Bu kapsamda, vekaleten yapılacak şikayetlerin daha hızlı ve etkin bir şekilde Kurumumuza iletilebilmeleri ve takip edebilmelerini teminen 27.03.2023 tarihi itibariyle “Şikayet Modülü” sistemi avukatların da vekaleten yapacakları şikayetleri iletebileceği şekilde güncellenmiş olup, söz konusu şikayet modülüne https://sikayet.kvkk.gov.tr internet bağlantısından ulaşılabilmektedir.

Kamuoyuna saygıyla duyurulur.

09/02/2023: “Depremden Etkilenen İlgili Kişilere Ve Veri Sorumlularına Yönelik Kamuoyu Duyurusu”

06.02.2023 tarihinde Kahramanmaraş’ın Pazarcık ve Elbistan ilçeleri merkezli olarak gerçekleşen iki büyük deprem felaketi nedeniyle 08.02.2023 tarihli Resmî Gazetede yayımlanan 6785 sayılı Cumhurbaşkanı Kararı ile Anayasanın 119 uncu maddesi ile 2935 sayılı Olağanüstü Hal Kanununun 3 üncü maddesinin birinci fıkrasının (a) bendine göre Adana, Adıyaman, Diyarbakır, Gaziantep, Hatay, Kahramanmaraş, Kilis, Malatya, Osmaniye ve Şanlıurfa illerinde 08.02.2023 Çarşamba günü saat 01.00’dan itibaren üç ay süreyle olağanüstü hâl ilan edilmesine karar verilmiştir.

Deprem bölgesindeki arama-kurtarma çalışmaları devam ederken kamu kurumları, kendi sorumluluk alanlarıyla ilgili ilave tedbirler almakta ve kamuoyuna duyurmaktadır. Bu itibarla Kurumumuz tarafından 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında şikâyet, ihbar, veri ihlal bildirimleri ve diğer yükümlülükler hakkında veri sorumluları ve ilgili kişilerce dikkate alınması gereken sürelere ilişkin olarak açıklama yapılması gereği ortaya çıkmıştır.

Bu çerçevede, Kişisel Verileri Koruma Kurulu tarafından

Deprem sebebiyle olağanüstü hâl ilan edilen illerde bulunan veya diğer illerde bulunmakla birlikte depremden etkilenen ilgili kişiler ya da veri sorumluları,
Deprem sebebiyle olağanüstü hâl ilan edilen il barolarına bağlı olarak görev yapan veya diğer il barolarına bağlı olarak görev yapmakla birlikte depremden etkilenen avukatlar tarafından temsil edilen ilgili kişiler ya da veri sorumluları

açısından Kanunda ve ilgili alt düzenlemelerde yer alan sürelerin değerlendirilmesinde depremin sebep olduğu olağanüstü koşulların gözetileceği hususu kamuoyuna saygıyla duyurulur.

24/08/2022: “Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber Taslağı” Kamuoyu Duyurusu

“Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber Taslağı” Hakkında Kamuoyu Duyurusu

6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6 ncı maddesinde genetik verileriler özel nitelikli kişisel veriler olarak sayılmaktadır. Genetik verilerin işlenmesi ortaya çıkardığı bilgiler açısından son derece hassas bir veri hüviyetine sahip olup toplumun tamamını da etkileyebilecek ulusal stratejik sonuçlara sebep olabilmektedir. Bu nedenle genetik verilerin işlenmesinin belirli kural ve prosedürlere bağlanması, bunun yanında toplumsal alanda da farkındalık oluşturulması gerekmektedir. Zira ilgili kişilerin genetik verilerinin işlenmesi yalnızca kendilerini değil, aralarında genetik irtibat olan akrabalarını, gelecek nesillerini ve hatta ulusal güvenlik ile ekonomiyi de etkileyebilecektir.

Bu çerçevede genetik verilerin işlenme süreçlerinin önemi dikkate alınarak Kişisel Verileri Koruma Kurumu tarafından “GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER TASLAĞI” hazırlanmıştır.

Kurulun 16.08.2022 tarih ve 2022/848 sayılı Kararı ile Rehber Taslağı’na ilişkin kamuoyunun görüşlerinin alınması öngörülmüş olup bu kapsamda Rehber Taslağı’na ilişkin görüş ve değerlendirmelerin 24.09.2022 tarihine kadar yazı ile Kuruma ve/veya e-posta ile genetikveri@kvkk.gov.tr elektronik posta adresine gönderilmesi mümkündür.

Rehber Taslağı için lütfen tıklayınız...

Belirtilen tarihten sonra intikal edecek görüşler değerlendirmeye alınmayacaktır.

Kamuoyuna saygıyla duyurulur.

16/06/2022: “Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesine İlişkin Rehber Taslağı” Kamuoyu Duyurusu

“Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesine İlişkin Rehber Taslağı” Hakkında Kamuoyu Duyurusu

Günümüzde müşteri bağlılığını geliştirmeye yönelik sadakat programları pek çok işletme tarafından uygulanmakta ve bu programlar yoluyla veri sorumluları tarafından ilgili kişilerin muhtelif kişisel verileri işlenmektedir.

Sadakat programları yoluyla işlenen kişisel verilerin değerlendirilmesi amacıyla Kişisel Verileri Koruma Kurumu tarafından “Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesine İlişkin Rehber Taslağı” hazırlanmıştır.

Kurulun 18.05.2022 tarih ve 2022/514 sayılı Kararı ile Rehber Taslağı’na ilişkin kamuoyunun görüşlerinin alınması öngörülmüş olup bu kapsamda Rehber Taslağı’na ilişkin görüş ve değerlendirmelerin 16.07.2022 tarihine kadar yazı ile Kuruma ve/veya e-posta ile sadakat@kvkk.gov.tr elektronik posta adresine gönderilmesi mümkündür.

Belirtilen tarihten sonra intikal edecek görüşler değerlendirmeye alınmayacaktır.

Kamuoyuna saygıyla duyurulur.

Rehber Taslağı için lütfen tıklayınız.

21/04/2022: VERBİS'e kayıt ve Bildirim Yükümlülüğü'ne İlişkin Kamuoyu Duyurusu

Bilindiği üzere 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 16’ncı maddesinde “(1) Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulur. (2) Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır.” hükmü ile Geçici 1 inci maddesinin (2) numaralı fıkrasında “Veri sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır.” hükmü yer almaktadır.

Bu hükme istinaden Kurulun 11/03/2021 tarihli ve 2021/238 sayılı Kararı ile; yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının, yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının, kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşu veri sorumlularının Sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için 31.12.2021 tarihine kadar süre verilmiştir.

Kanun’un 18’inci maddesinin (1) numaralı fıkrasında yer alan “(ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir.” hükmü ile aynı maddenin (3) numaralı fıkrasında yer alan “Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.” hükmü gereği Sicile kayıt ve bildirim yükümlülüğünü yerine getirmeyen veri sorumluları hakkında Kurul tarafından re’sen idari yaptırım uygulanabilecektir.

Bu kapsamda Sicile kayıt ve bildirim yükümlülüğünü yerine getirmediği tespit edilen veri sorumluları hakkında Kanun’un 18’inci maddesi uyarınca idari yaptırım uygulanmasına başlanmıştır.

Kamuoyuna saygıyla duyurulur.

15/02/2022: Kullanıcı Güvenliğine İlişkin Veri Sorumluları Tarafından Alınması Tavsiye Edilen Teknik ve İdari Tedbirlere İlişkin Kamuoyu Duyurusu

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasında “ veri sorumlusunun;

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu” hükme bağlanmıştır.

Mezkûr Kanunun amir hükmü kapsamında Son zamanlarda Kişisel Verileri Koruma Kurumuna intikal eden veri ihlal bildirimleri değerlendirilmiştir. Bu kapsamında; finans, e-ticaret, sosyal medya ve oyun gibi muhtelif sektörlerde faaliyet gösteren veri sorumlularının internet sitelerine giriş için kullanılan kullanıcı hesap bilgilerinin (kullanıcı adı ve parolalar) bazı internet sitelerinde herkese açık şekilde yayınlandığı görülmüştür. Söz konusu kullanıcı hesaplarını elde eden üçüncü kişilerce anılan veri sorumlularının internet sitelerine kullanıcıların haberi olmadan aktif bir şekilde giriş yapıldığı ve ilgili kişilere ait verilerin bu kapsamda görüntülenebildiği tespit edilmiştir.

Ayrıca farklı zamanlarda, veri sorumluları sistemlerinden veya son kullanıcı bilgisayarlarındaki güvenlik açıkları kullanılarak elde edilen kişisel verilerin, hukuka aykırı bir şekilde paylaşıldığı ve ekonomik bir değer karşılığında satışa sunulabildiği görülmektedir. Bununla birlikte ilgili kişilere ait bu veriler elden ele dolaşarak kötü niyetli kişilerce arşivlenerek daha büyük veri setleri halinde yeniden pazarlanabilmektedir.

Veri sorumluları ve veri işleyenler tarafından veri güvenliği kapsamında alınacak teknik ve idari tedbirlerin olası veri ihlal durumlarını ve ilgili kişiler üzerinde oluşturabileceği riskleri minimize edeceği muhakkaktır. Bu kapsamda yaygın olarak yaşanan ve veri ihlallerinin oluşmasına neden olan “aynı kullanıcı adı ve parolanın farklı platformlarda kullanılması, belirli zaman aralıklarında parola değişiminin yapılmaması, iki kademeli kimlik doğrulama vb. giriş yöntemlerinin kullanılmaması” gibi teknik ve idari tedbir eksikliklerinin kişisel veri ihlallerine neden olabildiği görülmektedir.

Yukarıda belirtilen ve yaygın olarak yaşanan veri ihlallerini önlemek veya meydana gelmesi halinde ilgili kişiler üzerinde olumsuz sonuç doğurma olasılığının azaltılmasını teminen, veri sorumluları tarafından bir takım önlemlerin alınmasına ihtiyaç duyulmaktadır.

Bu kapsamda veri sorumlularının;

Çift kademeli kimlik doğrulama (two-factor authentication) sistemlerini kurmaları ve kullanıcılarına üyelik başvurusu aşamasından itibaren alternatif güvenlik önlemi olarak sunmaları,
Kullanıcıların hesaplarına sık erişim sağlayan cihazlar haricinde farklı cihazlar üzerinden giriş yapılması durumunda, giriş bilgilerinin e-posta/sms vb. yöntemlerle ilgili kişilerin iletişim adreslerine iletilmesinin sağlanması,
Uygulamaların HTTPS (Hypertext Transfer Protocol Secure - Hiper Metin Aktarma Güvenli İletişim Kuralı) ile veya aynı güvenlik seviyesini sağlayacak bir şekilde koruma altına alınması,
Kullanıcı parolalarının, siber saldırı yöntemlerine karşı korunmasını teminen, güvenli ve güncel karma (hashing) algoritmaların kullanılması,
IP (Internet Protocol Address) adresinden yapılacak başarısız giriş denemesi sayısının sınırlandırılması,
İlgili kişilerin en az son 5 adet başarılı ve başarısız giriş denemeleri ile ilgili bilgilerini görüntüleyebilmelerinin sağlanması,
İlgili kişilere aynı parolanın birden fazla platformda kullanılmaması gerektiğinin hatırlatılması,
Veri sorumluları tarafından parola politikasının oluşturulması ve kullanıcılara ait parolaların belirli aralıklarla değiştirilmesinin sağlanması veya bu hususun ilgili kişilere hatırlatılması,
Yeni oluşturulan parolaların, eski parolalarla (en az son üç parolayla) aynı olmasının engellenmesi, kullanıcı hesaplarına girişlerde bilgisayar ile insan davranışlarını ayırt edici güvenlik kodu gibi teknolojilerin (CAPTCHA, dört işlem vb.) kullanılması, erişime izin verilen IP adreslerinin sınırlandırılması,
Veri sorumlularının sistemlerine giriş yapılan parolaların uzunluğunun asgari 10 karakter olması, büyük-küçük harf, rakam ve özel karakterlerin bir arada kullanılmasına yönelik güçlü parola oluşturulmasının sağlanması,
Veri sorumlularının sistemlerine giriş için üçüncü parti yazılımlar veya servisler kullanılıyorsa bu yazılımların ve servislerin güvenlik güncelleştirmelerinin düzenli olarak gerçekleştirilmesi ve gerekli kontrollerin yapılması

gibi teknik ve idari tedbirlerden kendi risk değerlendirmelerini yaparak uygun olanlarını almaları tavsiye edilmektedir.

17/12/2021: Mağazalarda Alışveriş Sırasında İlgili Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesine İlişkin Kamuoyu Duyurusu

Kurumumuza intikal eden muhtelif sayıda şikâyet ve ihbarda, mağazalarda gerçekleştirilen alışverişi müteakip kasa işlemleri esnasında ilgili kişilere SMS ile doğrulama kodu gönderildiği ve ödemelerinin tamamlanması ya da bilgilerinin güncellenmesi için gerekli olduğu gerekçesi ile söz konusu kodun kasa görevlisine bildirilmesinin istenildiği, ancak bahse konu işlemin akabinde ilgili kişilere söz konusu mağaza faaliyetleri ile ilgili ticari elektronik ileti gönderildiği iddialarına yer verildiği görülmektedir. Kişisel Verileri Koruma Kurulu tarafından söz konusu şikayet ve ihbarlara yönelik yapılan incelemelerde ilgili kişilere ödeme işlemleri esnasında doğrulama kodu gönderilen SMS içeriklerinde ya da SMS gönderimi öncesinde veri sorumlusunca herhangi bir aydınlatma yapılmadığı ve/veya söz konusu kodun ödeme işlemlerinin tamamlanması ya da bilgilerinin güncellenmesi için gerekli olduğu gerekçesi ile istenilmesine rağmen veri sorumlusu tarafından bu yolla ticari elektronik ileti gönderimine ilişkin açık rıza alınması suretiyle ilgili kişilerin yanıltıldığı tespit edilmiştir.

Bilindiği üzere, kişisel verilerin işlenmesi 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 5 inci maddesinde düzenlenmiş olup, buna göre Kanunun 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği hükme bağlandıktan sonra (2) numaralı fıkrasında ise ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu işleme şartları sayılmıştır.

Kanunun 3 üncü maddesinde ise açık rıza; “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmış olup, söz konusu tanımdan açık rızanın taşıması gereken üç unsurunun bulunduğu görülmektedir. Öncelikle, alınan açık rızanın belirli bir konuya ilişkin ve o konu ile sınırlı olması, diğer bir ifade ile veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması gerekmektedir. Eğer birden çok kategoriye ilişkin verinin işlenmesine dair açık rıza beyanında bulunulacaksa, açık rızanın hangi verilerin ve ne amaçlarla işleneceği gibi, işlemenin farklı noktaları açısından da verilmiş olması zorunluluk arz etmektedir. Öte yandan, açık rıza bir irade beyanı olup, kişinin özgür bir şekilde rıza gösterebilmesi için neye rıza gösterdiğini de bilmesi, bu anlamda kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olması gerekmektedir. Son olarak kişinin irade beyanı olan rıza, kişinin yaptığı davranışın bilincinde ve kendi kararı olması halinde geçerlilik kazanacaktır. Kişinin iradesini sakatlayacak her türlü fiil, kişisel verilerin işlenmesi için verdiği açık rızayı da sakatlayacaktır. Cebir, tehdit, hata ve hile gibi iradeyi sakatlayan hallerde, kişinin özgür biçimde karar vermesi mümkün değildir. Dolayısıyla, bu gibi durumlarda bir özgür irade açıklamasından bahsedilemeyecektir. Ayrıca, açık rızanın özgür irade ile açıklanması gerektiğinden, ilgili kişinin açık rızasının alınması, bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmemelidir.

Öte yandan Kanunun 10 uncu maddesi çerçevesinde, kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi tarafından, ilgili kişilere maddede sayılan hususlarda bilgi verilmek suretiyle aydınlatma yükümlülüğünün yerine getirilmesi gerekmektedir. Bu kapsamda, aydınlatma yükümlülüğü gerek açık rıza gerekse de Kanundaki diğer kişisel veri işleme şartlarından bağımsız olarak yerine getirilmesi gereken bir yükümlülüktür. Bununla birlikte, kişisel veri işleme faaliyetinin ilgili kişinin açık rızasına dayanarak gerçekleştirilmesi durumunda, veri sorumlusu tarafından aydınlatma yükümlülüğü ile açık rıza alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.

Bu kapsamda, Kişisel Verileri Koruma Kurulu tarafından yapılan incelemeler neticesinde;

Kişilerin telefonuna gönderilecek olan SMS’in amacının ne olduğu ve bu SMS ile iletilen kodun verilmesi halinde ne gibi sonuçlar doğuracağı hususunun, katmanlı aydınlatmanın bir gereği olarak ilk aşamada veri sorumlusunun mağazalarda yetkilendirdiği kişiler tarafından ilgili kişilere açık ve anlaşılır bir biçimde aktarılması, ayrıca aydınlatma yükümlülüğünün yerine getirilebilmesini teminen yine söz konusu SMS içeriklerinde de gerekli kanalların sağlanması,
Mağazalarda gerçekleştirilen alışverişler ile ilgili ödeme esnasında ilgili kişilere SMS ile doğrulama kodu gönderilerek üyelik sözleşmesi, kişisel verileri işleme izni, ticari elektronik ileti onayı vb. birbirinden farklı işleme faaliyetlerinin tek bir eylemle gerçekleştirilmesine yönelik uygulamalara son verilmesi, söz konusu işleme faaliyetlerine yönelik seçenek sunulmak suretiyle ayrı ayrı açık rıza alınması,
Bunun yanı sıra, veri sorumlularınca açık rıza alınması ve aydınlatma yükümlülüğü işlemlerinin birlikte gerçekleşmesine neden olabilecek durumlardan kaçınılması,
Ticari elektronik ileti gönderimi için açık rıza alınmasını teminen SMS doğrulama kodu gönderilmesine yönelik bir uygulamaya gidilmesi halinde ise söz konusu işlemde alınacak açık rızanın tüm unsurları kapsaması

önem arz etmektedir.

Kamuoyuna saygıyla duyurulur.

07/12/2021: İş Vaadi Konulu TCK Kapsamındaki Kişisel Veri İhlallerine İlişkin Kamuoyu Duyurusu

Son zamanlarda, ilgili kişilerin muhtelif kanallardan veya sosyal medya üzerinden evde paketleme vb. konulu iş ilanlarına başvuruda bulundukları, başvuru neticesinde bu kişilerden T.C. kimlik kartı fotoğraflarının ve belirtilen IBAN hesap numarasına para gönderilmesi ve hemen ardından para iadesi işlemi yapılmasının talep edildiği, akabinde ise iş vaadinde bulunan işletmelere ya da kişilere ulaşılamadığı dolayısıyla kimlik bilgilerinin dolandırıcıların eline geçtiği yönünde Kurumumuza çok sayıda ihbar ve şikâyet intikal etmektedir.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 17’nci maddesinde kişisel verilere ilişkin suçlar bakımından 5237 sayılı Türk Ceza Kanunu’nun 135 ila 140’ıncı madde hükümlerinin uygulanacağı hükmü yer almaktadır. Bu kapsamda 5237 sayılı Türk Ceza Kanunu uyarınca hukuka aykırı olarak kişisel verileri kaydeden, kişisel verileri hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişiler hakkında hapis cezası uygulanacağı belirtilmiştir. Bu çerçevede bahsi geçen dolandırıcılık amaçlı olduğu anlaşılan iş vaadi konulu benzer şikâyetlere konu iddiaların Türk Ceza Kanunu hükümleri uyarınca suç unsuru barındırabileceği ve 6698 sayılı Kanun’un 15’inci maddesi gereğince yargı mercilerinin görevine giren konularla ilgili olan dilekçelerin incelenemeyeceği hükme bağlandığından ilgili kişilerin konuya ilişkin gerekli hukuksal işlemlerin tesisini teminen yargı yoluna başvurmaları gerekmektedir.

Diğer taraftan, Kurumumuza aynı konuda gelen başvurularda yaşanan artış nedeniyle Kişisel Verileri Koruma Kurulu’nun 02/12/2021 tarihli ve 2021/1236 sayılı Kararı ile vatandaşların farkındalık düzeyinin arttırılmasını teminen kamuoyu duyurusunda bulunulmasına karar verilmiştir. Bu minvalde, vatandaşların telafisi güç maddi veya manevi zararlarla karşılaşmamasını teminen güvenilir olmayan gerçek veya tüzel kişilerin iş ilanlarına itibar etmemeleri ve kişisel verilerini paylaşmamaları yönünde azami dikkat ve özen göstermesi önem arz etmektedir.

Kamuoyuna saygıyla duyurulur.

07/12/2021: Veri Koruma Görevlisi Belgelendirme Programı (sertifikasyon)

Kurumumuz tarafından Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ kapsamında yapılacak olan sertifikasyon faaliyetine ilişkin olarak Veri Koruma Görevlisi Belgelendirme Programı hazırlanmıştır. 25.11.2021 tarihli ve 2021/1178 sayılı Kişisel Verileri Koruma Kurulu Kararı ile Veri Koruma Görevlisi Belgelendirme Programı'nın yürürlüğe konulmasına ve Kurumumuzun internet sayfasında yayımlanmasına oy birliği ile karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

Veri Koruma Görevlisi Belgelendirme Programı için tıklayınız..

05/11/2021: Belediyeler

Kurumumuza iletilen çeşitli ihbarlarda belediyelerin internet üzerinden emlak vergisi veya beyan bilgisini sorgulama sayfalarında yalnızca TC kimlik numarası girilerek vatandaşın emlak bilgilerine ulaşılmasının kişisel verilerin korunması açısından sorun teşkil ettiği ifade edilmiş, konunun 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında incelenmesi talep edilmiştir.

Söz konusu talepler kapsamında Kişisel Verileri Koruma Kurulu (Kurul) tarafından alınan 25/02/2021 tarih ve 2021/140 sayılı Karar ile “…bazı belediyeler tarafından internet üzerinden verilen vergi ödeme hizmetlerinin üyelik ve şifre ya da çift doğrulama yolu ile sisteme giriş yapılması sureti ile gerçekleştirildiği ve bu uygulamaların Kanuna uygun olduğu, ancak bazı belediyeler tarafından sunulan hızlı sorgulama ya da borç ödeme uygulamalarında sadece tek bir bilgi girilerek kişilerin borç bilgisine ulaşılabildiği; her ne kadar kişiye ait isim ya da mülke ilişkin bilgilere erişim mümkün olmasa da borca ilişkin bilgiye erişim sağlanabildiği anlaşılmış olup, bu durumun Kanunun 12 nci maddesinin 1 numaralı fıkrasının (b) bendinde yer alan kişisel verilere hukuka aykırı olarak erişilmesini önlemek hükmüne aykırı olduğu değerlendirilmekle birlikte bahse konu uygulamalara ilişkin olarak belirli bir belediye hakkında Kurumumuza iletilmiş herhangi bir şikayet bulunmadığı dikkate alındığında bir hak mahrumiyetinin oluşmadığı, ancak Kanuna aykırı uygulamaların devam ediyor olması nedeniyle konu hakkında Çevre ve Şehircilik Bakanlığına ve Türkiye Belediyeler Birliğine bilgi verilmesine

- Diğer taraftan Belediyelerce sunulan söz konusu uygulamaların yeniden düzenlenmesi hususunda Belediyelere 3 (üç) ay süre verilmesine ve Kanunun 18 inci maddesinde yer alan yaptırımlara ilişkin hükümlerin Belediyelere hatırlatılmasına…”

karar verilmiştir. İlgili Karar kapsamında 09.04.2021 tarih ve 52863 sayılı yazımız ile tüm büyükşehir belediyelerine, il belediyelerine, ilçe belediyelerine ve belde belediyelerine “söz konusu uygulamaları yürüten belediyelerin bu yazı tarihinden itibaren 3 ay içerisinde bu uygulamaları sonlandırmaları ve Kanuna aykırı veri işleme faaliyetlerini durdurmalarına” karar verildiği, “Kanuna aykırı veri işleme faaliyetini sürdüren Belediyeler hakkında Kanunun 18 inci maddesi kapsamında idari işlem uygulanacağı” hususları iletilmiştir.

Bilindiği üzere, Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) kapsamında kişisel verilere gerekmesi halinde uzaktan erişim için iki kademeli kimlik doğrulama kontrolünün uygulanması önerilmektedir. Bu kapsamda başkalarının kolayca ulaşabileceği örneğin kişinin TC kimlik numarası ve doğum günü bilgisinin sorgulanarak erişim imkânı veren sistemler tek kademeli doğrulama olarak kabul edilirken, kişinin TC kimlik numarasının yanı sıra kişiye özel oluşturulmuş şifre ya da kişinin daha önce bildirmiş olduğu telefon numarasına iletilen SMS kodu ile erişim sağlanan sistemler iki kademeli doğrulama olarak kabul edilmektedir. Bu çerçevede 1398 adet büyükşehir belediyesi ile bağlı ilçeleri, il belediyeleri ile bağlı ilçe ve belde belediyelerinin internet siteleri üzerinden verdikleri emlak vergisi borç sorgulama ve ödeme-hızlı ödeme sistemlerinde yapılan incelemede çift faktörlü doğrulamaya bakılırken ilk doğrulamanın TC kimlik no, ad soyad, vergi no gibi verilerle yapılırken ikincil düzeydeki doğrulamanın kişiye özel oluşturulmuş üyelik, SMS ya da e-postaya iletilen şifre gibi bir sistemle gerçekleştirilip gerçekleştirilmediği, ikincil düzeyde kişiye ait başkalarının da erişebileceği telefon no, doğum tarihi, anne baba adı gibi bilgiler yerine sadece kişiye özel olarak belirlenecek ve sadece ilgili kişinin erişebileceği verilerin istendiği sistemlerin varlığı incelenmiştir.

Kurulun 25.02.2021 tarih ve 2021/140 sayılı Kararı ile belirlenen 3 aylık sürenin dolmasını müteakip yapılan inceleme neticesinde Kurulun 21.10.2021 tarih ve 1077 sayılı Kararı ile Belediyelere iletilen yazılar uyarınca bazı belediyelerin gerekli değişiklikleri yaptığı, ancak birçok Belediyenin ilgili Karar çerçevesinde gerekli güvenlik tedbirlerini almadığı ve halihazırda emlak vergisi borç sorgulama ve ödeme hizmetleri sunumunda “tek faktörlü doğrulama” uyguladığı tespit edilmiş olup, Kanunun 12 nci maddesinin 1 numaralı fıkrasının (b) bendinde yer alan kişisel verilere hukuka aykırı olarak erişilmesini önlemek hükmüne aykırı uygulamalara devam ettiği anlaşılan belediyeler ile ilgili olarak 25.02.2021 tarih ve 2021/140 sayılı Kurul Kararının gereğinin yerine getirilmediği değerlendirmesinden hareketle bahse konu aykırılığa sebebiyet verenler hakkında Kanunun 18 inci maddesinin (3) numaralı fıkrası kapsamında disiplin hükümlerine göre işlem yapılması ve sonucundan Kurula bilgi verilmesi hususunda ilgili belediyelerin talimatlandırılmasına karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

28/09/2021: COVID-19 PCR TEST SONUCU VE AŞI BİLGİSİ UYGULAMALARI

Kurumumuza gerek yazılı olarak gerek ALO 198 çağrı hattı vasıtasıyla intikal eden PCR testi ve/veya aşı bilgisi taleplerine ilişkin 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) çerçevesinde nasıl bir yol izlenmesi gerektiğine ilişkin olarak Kurumumuz görüşlerinin talep edilmesi üzerine, konunun ülke genelinde gerçekleştirilecek yaygın bir uygulamaya inhisar edeceği dikkate alınarak, Kanun kapsamında bir değerlendirme yapılmasını teminen Kişisel Verileri Koruma Kurulu’nun gündemine alınmasına karar verilmiş ve Kurul’un 28/09/2021 tarihli ve 2021/980 sayılı Kararı ile aşağıda yer verilen değerlendirmenin Kurum resmi internet sitesinde yayınlanmasına karar verilmiştir.

Dünya genelinde çeşitli varyantlarının da etkisiyle yayılma hızı giderek artış gösteren Covid-19 virüsünün neden olduğu hastalıklardan korunmak adına, değişen koşulları da dikkate almak suretiyle ülkemizin de aralarında bulunduğu tüm devletler, çeşitli tedbirler almaya devam etmekte olup; karantina, sosyal mesafe ve sosyal izolasyon gibi temel tedbirlerin alınmasının yanı sıra, yapılan bilimsel çalışmalar neticesinde Covid-19 aşıları geliştirilerek kullanıma sunulmuştur. Covid-19 aşısının, koronavirüsün yayılımını önlediği, hastalığın etkilerini de önemli ölçüde azalttığı bilinmekte olup; bu bilimsel gerçeklikten hareketle devletler, kamu sağlığının korunmasını teminen işyerleri de dâhil olmak üzere toplu halde bulunulacak alanlarda, Covid-19 aşı bilgisi ve/veya PCR testi sonuçlarının işlenmesi zorunluluğu getirmektedirler.

Nitekim ülkemizde de İçişleri Bakanlığınca 81 İl Valiliğine gereği, ilgili Bakanlıklara da bilgi için gönderilen 20.08.2021 tarihli yazıda; salgının toplum sağlığı ve kamu düzeni açısından oluşturduğu riskin asgari seviyeye düşürülmesi için konser, sinema, tiyatro ve toplu ulaşım araçları gibi insanların toplu olarak bulunduğu faaliyetlere katılım sağlamak isteyen kişilere Covid-19 aşı bilgisi ve/veya negatif sonuçlu PCR test bilgisinin bildirilmesi zorunluluğu getirilmiştir.

Çalışma ve Sosyal Güvenlik Bakanlığının 81 İl Valiliğine gereği için, ilgili Bakanlıklara da bilgi için gönderdiği 02.09.2021 tarihli yazıda ise işyerlerinde karşılaşılabilecek sağlık ve güvenlik risklerine yönelik koruyucu ve önleyici tedbirler kapsamında; Covid-19 aşısı olmayan işçilerden zorunlu olarak haftada bir kez PCR testi yaptırmalarının işyeri/işveren tarafından istenebileceği ve test sonuçlarının gerekli işlemler yapılmak üzere kayıt altında tutulacağı ifade edilmiştir.

Öncelikle belirtmek gerekir ki; kişilerin tahlil, görüntüleme, test, rapor, aşı durumu gibi sağlık durumlarına ilişkin bilgileri Kanunun 6 ncı maddesine göre kişisel sağlık verisi niteliğini haiz olup, özel nitelikli kişisel veri kategorisinde bulunmaktadır. Bu sebeple, söz konusu bilgilerin Kanunun 6 ncı maddesinde yer verilen işleme şartlarına uygun olarak işlenmesi gerekmektedir.

Öte yandan, Covid-19 salgınının dünya çapındaki gerek sağlık, gerek sosyal hayat gerek ekonomi üzerindeki etkileri dikkate alındığında, bu salgınla mücadele kapsamında aşı durumu ve PCR test sonucu gibi Covid-19’a ilişkin kişisel sağlık verilerinin; kamu sağlığının, kamu güvenliğinin ve kamu düzeninin korunması amacıyla işlenmesi gerekliliğinin ortaya çıkması kaçınılmazdır.

Bilindiği üzere Kanunun 28 inci maddesinin birinci fıkrasının (ç) bendinde, “Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi” halinde Kanun hükümlerinin uygulanmayacağı düzenlenmiştir.

Bu noktadan hareketle salgın hastalık gibi kamu güvenliği ve kamu düzenini tehdit eden durumlarda bu tehdidi ortadan kaldırabilmek amacıyla salgın hastalığın bulaşıcılığının önüne geçilebilmesini teminen kanunla yetki verilmiş kamu kurum ve kuruluşlarınca yürütülen faaliyetler kapsamında kişisel verilerin işlenmesinin de Kanunun 28 inci maddesinin birinci fıkrasının (ç) bendi kapsamında değerlendirilmesi gerektiği düşünülmektedir.

Bu kapsamda Covid-19’un sebebiyet verdiği salgın hastalığın kamu güvenliği ve kamu düzenini tehdit etmesi sebebiyle hastalığın yayılımını engellemek amacıyla Covid-19 aşı bilgisi ve/veya negatif sonuçlu PCR test bilgisinin anılan madde hükmü kapsamına giren kamu kurum ve kuruluşlarınca yürütülen önleyici ve koruyucu faaliyetler kapsamında işlenmesinin önünde bir engel bulunmadığı, dolayısıyla söz konusu kişisel veri işleme faaliyetlerinin Kanunun 28 inci maddesinin birinci fıkrasının (ç) bendi kapsamında gerçekleştirilebileceği, bununla birlikte, Covid-19 salgını kapsamında yürütülen kamu güvenliğini ve kamu düzenini koruma amacına yönelik faaliyetler dışında kalan ya da bu amacı aşan nitelikteki kişisel veri işleme faaliyetlerinin Kanun kapsamında yer alacağı değerlendirilmektedir.

Kamuoyuna saygıyla duyurulur.

09/02/2021: TAAHHÜTNAME BAŞVURUSU HAKKINDA DUYURU

Veri sorumlusu TEB Arval Araç Filo Kiralama Anonim Şirketi tarafından yurtdışına kişisel veri aktarımı yapılması hususundaki Taahhütname başvurusu Kişisel Verileri Koruma Kurulu tarafından 6698 sayılı Kişisel Verilerin Korunması Kanununun 9 uncu maddesinin 2 nci fıkrasının (b) bendi kapsamında değerlendirilmiş ve söz konusu veri aktarımına 09.02.2021 tarihinde Kurul tarafından izin verilmiştir.

12/01/2021: WHATSAPP UYGULAMASI HAKKINDA KAMUOYU DUYURUSU

Bilindiği üzere; 7 Nisan 2016 tarihli Resmi Gazete’de yayınlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 2 nci maddesinde “Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır” hükmü yer almaktadır.

Kişisel verilerin işlenebilmesi için ise, Kanunun 5 inci ve 6 ncı maddelerinde yer alan işleme şartlarından herhangi birinin mevcut olması gerekmektedir. Kanunun 5 inci maddesinin (2) numaralı fıkrasına göre; “kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması,” işleme şartlarından herhangi birinin varlığı halinde kişisel veriler işlenebilecektir. Bu şartların bulunmadığı durumlarda ise kişisel veriler ancak ilgili kişinin açık rızası alınmak suretiyle işlenebilecektir.

Kanunun 3 üncü maddesinde açık rıza; “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlanmış olup, buna göre açık rızanın üç unsuru bulunmaktadır:

Belirli bir konuya ilişkin olması,
Rızanın bilgilendirmeye dayanması,
Özgür iradeyle açıklanması.

Söz konusu unsurlar açısından değerlendirildiğinde açık rıza, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile hukuka uygun şekilde onay vermesi anlamını taşımaktadır. Açık rızanın bir diğer önemi de veri sorumlusuna, gerçekleştireceği kişisel veri işleme faaliyeti konusunda yol göstermesidir. Kişi açık rıza açıklaması ile aslında veri sorumlusuna kendi hukuksal değerine ilişkin verdiği kararı bildirmiş olmaktadır. Açık rıza, ilgili kişinin işlenmesine izin verdiği verinin sınırlarını, kapsamını, gerçekleştirilme biçimini ve süresini de belirlemesini sağlayabilmektedir. Bu anlamda açık rıza, rıza veren kişinin olumlu irade beyanını içermelidir.

Kişisel verilerin işlenmesine açık rıza vermek, kişiye sıkı sıkıya bağlı bir hak olduğundan verilen açık rıza geri alınabilir. Bu bağlamda kişisel verilerin geleceğini belirleme hakkı ilgili kişiye ait olup, kişi dilediği zaman veri sorumlusuna vermiş olduğu açık rızasını geri alabilir. Ancak, geri alma işlemi ileriye yönelik sonuç doğuracağından, açık rızaya dayalı olarak gerçekleştirilen tüm faaliyetler geri alma beyanının veri sorumlusuna ulaştığı andan itibaren veri sorumlusu tarafından durdurulmalıdır. Bir diğer deyişle, geri alma beyanı veri sorumlusuna ulaştığı andan itibaren hüküm doğurur.

Kişisel verilerin işlenmesinde hukuki sebep olarak “açık rıza”nın belirlenmesinin söz konusu olduğu ve verilen hizmetin açık rıza şartına bağlandığı hususlara ilişkin olarak 2 Ağustos 2018 tarihinde Kurum internet sayfasında, Kişisel Verileri Koruma Kurulunun (Kurul) 16.02.2018 tarihli ve 2018/19 sayılı Kararının özeti yayınlanmıştır. Söz konusu Kurul kararında da belirtildiği üzere, öncelikle kişisel verilerin işlenmesi sırasında ilgili kişilerden alınan açık rıza, veri sorumluları tarafından bir hizmetin ifası için ön şart olarak ileri sürülemeyecektir.

Kanunun 4 üncü maddesi uyarınca kişisel verilerin, hukuka ve dürüstlük kurallarına uygun, belirli, açık ve meşru amaçlarla ve işlenme amacı ile bağlı, sınırlı ve ölçülü olma ilkelerine uygun olarak işlenmesi, hangi kişisel verilerin işleneceği veya hangi amaçlarla kimlere aktarılacağı hususlarında gerekli bilgilendirmenin yapılmış olması ve her bir işleme/aktarma faaliyetine yönelik seçenek sunulmak suretiyle ayrı ayrı açık rıza alınması gerekmektedir.

Diğer taraftan, Kanunun “Kişisel verilerin yurt dışına aktarılması” başlıklı 9 uncu maddesinde; kişisel verilerin, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağı; ancak anılan hükmün ikinci fıkrası uyarınca Kanunun 5 inci maddesinin ikinci fıkrası ile özel nitelikli kişisel veriler bakımından 6 ncı maddesinin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması, yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul izninin bulunması kaydıyla kişisel verilerin ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabileceği düzenlenmiştir.

WhatsApp Inc. tarafından, WhatsApp uygulamasını kullanmak isteyen kullanıcıların kişisel verilerinin işlenmesine ve yurtdışında bulunan üçüncü taraflara aktarılmasına rıza verilmesini içerecek şekilde kullanım şartlarının güncellendiği, bu kapsamda rıza vermeyen kullanıcıların uygulamayı kullanamayacağına ve hesaplarının silineceğine dair kullanıcılara bilgilendirme iletildiği tespit edilmiştir.

Söz konusu bilgilendirme metninde yönlendirme yapılan Gizlilik Politikasında ise, hangi verilerin hangi amaçlarla işleneceği ifade edilmekle birlikte, işlenen kişisel verilerin WhatsApp Inc. tarafından yurtdışında yerleşik bulunan hizmet aldığı ve hizmet verdiği Facebook grup şirketleri, tedarikçileri, iş ortakları, hizmet sağlayıcıları ve diğer üçüncü taraf veri sorumluları gibi net olarak belirli olmayan taraflara teknik destek, teslimat ve diğer hizmetleri sağlamak, araştırma yapmak, pazarlama ve anket vb. gibi yine belirli olmayan amaçlarla aktarılacağının ifade edilmekte olduğu görülmektedir.

Kişisel verilerin, yurtdışında yerleşik bir veri sorumlusu olan WhatsApp Inc. tarafından işlenmesine ve yurtdışında yerleşik başka veri sorumlularına aktarılmasına ilişkin açık rıza alınması hususunda yapılan ön değerlendirme sonucunda;

Kullanıcılardan kişisel verilerinin işlenmesine ve yurtdışında yerleşik üçüncü taraflara aktarılmasına yönelik rıza alınması işleminin ayrıştırılmadığı ancak kullanıcıların kişisel verilerinin işlenmesine rıza verirken yurtdışında başka bir veri sorumlusuna aktarılmasına rıza vermeyebileceği dikkate alındığında söz konusu uygulamanın kullanım yaygınlığı da göz önünde bulundurularak bu durumun Kanunda belirlenen açık rızanın unsurlarından “özgür iradeyle açıklanması” açısından bir ihlal oluşturup oluşturmadığı,
Yurtdışında bulunan başka bir şirkete aktarım yapılmak şartıyla uygulamanın kullanılmasına izin verilmesinin Kanunun 4 üncü maddesinde sayılan ilkelerden “hukuka ve dürüstlük kurallarına uygun olma”, “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkeleri açısından bir ihlale sebebiyet verip vermediği,
Sunulan hizmetin açık rıza şartına bağlanmış olmasının verilen açık rızayı sakatlayabileceği bu durumun da kişisel verilerin hukuka aykırı işlenmesi sonucunu doğurabileceği dikkate alındığında Whatsapp Inc. tarafından yapılan güncelleme ile hizmetin rıza şartına bağlanması durumunun ortaya çıkıp çıkmadığı,
WhatsApp Inc. tarafından yurtdışında yerleşik veri sorumlularına yapılacak aktarım hususunda Kanunun 9 uncu maddesi hükümlerine aykırılık olup olmadığı

hususları açısından, Kişisel Verileri Koruma Kurulunun 12.01.2021 tarihli ve 2021/28 sayılı Kararı ile WhatsApp Inc. hakkında resen inceleme başlatılmasına karar verilmiştir.

Sürece ilişkin olarak 08.02.2021 tarihinde Kurul tarafından yeni bir değerlendirme yapılacaktır.

Kamuoyuna saygıyla duyurulur.

https://www.kvkk.gov.tr/Icerik/6856/WHATSAPP-UYGULAMASI-HAKKINDA-KAMUOYU-DUYURUSU

16/12/2020: “Alenileştirme” Hakkında Kamuoyu Duyurusu

Bilindiği üzere kişisel verilerin işlenme şartları 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 5 ve 6 ncı maddelerinde düzenlenmiş olup, Kanunun 5 inci maddesi kapsamında yer verilen işleme şartlarından biri de kişisel verinin, “ilgili kişinin kendisi tarafından alenileştirilmiş olması”dır.

Temel itibarıyla “alenileştirme” kavramı, ilgili kişinin kişisel verilerinin, kendisi tarafından kamuoyuna açıklanması olarak ifade edilmektedir. Bununla birlikte Kanun kapsamında “alenileştirme”, kişisel verinin herhangi bir şekilde kamuoyuna sunulmasından daha dar bir anlama sahip olup; ilgili kişinin alenileştirme iradesi ve alenileştirme amacı ile yakın ilişki içerisinde bulunmaktadır.

Bu çerçevede, kişisel verinin, aleni kabul edilebilmesi için öncelikle ait olduğu kişinin aleni olmasını istemesi, başka bir ifade ile bu yönde bir iradesinin var olması gerekir. Bu anlamda tek başına kişisel verinin kamuoyuna açık hale gelmesi, örneğin herkesin görebileceği bir yerde olması ya da herkesin erişimine açık durumda bulunması alenileştirilmiş olması bakımından yeterli olmamakta; eylemin, ilgili kişinin iradesi ile de desteklenmesi gerekmektedir. Kişinin iradesi dışında bir sebeple kişisel verinin kamuoyuna açıklandığı durumlarda Kanun kapsamında bir alenileştirmeden söz etmek mümkün olmayacaktır.

Öte yandan, kişisel verinin alenileştirilmiş olarak kabul edilebilmesi için ilgili kişinin ne amaç ile kişisel verilerini alenileştirdiğinin de tespit edilmesi gerekmektedir. Nitekim alenileştirme eylemi; ilgili kişilerin, kişisel verilerini kamuoyu ile paylaşması amacı ile sınırlıdır. Veri sorumlularının; ilgili kişinin alenileştirme amacından farklı ya da bu amacı aşan şekilde kişisel veri işleme faaliyetinde bulunmaları, başkaca bir işleme şartına dayanılmadığı sürece, Kanuna aykırılık oluşturacaktır. Diğer bir deyişle verinin ilgili kişi tarafından alenileştirilmiş olması, veri sorumluları tarafından her türlü amaçla gerçekleştirilecek işleme faaliyetini hukuka uygun hale getirmeyecektir. Örneğin bir internet sitesi aracılığıyla aracını satışa çıkaran bir kişinin bu sitede paylaşmış olduğu iletişim bilgileri sadece aracı satın almak veya bu ilanla ilgili bilgi almak amacı ile kullanılabilecek olup, bunun dışında bir amaçla kullanılması Kanuna aykırılık teşkil edecektir.

Yine benzer şekilde ilgili kişilerin sosyal medya hesapları gibi mecralar üzerinden elde edilen ad-soyad, telefon numarası, e-posta adresi vb. kişisel verilerinin veri sorumluları tarafından reklam amacıyla SMS/e-posta gönderilmesi suretiyle alenileştirme amacı dışında işlenmesi gibi faaliyetler Kanunun 5 inci maddesinin (2) numaralı fıkrasının (d) bendi kapsamında değerlendirilemeyecek olup, konuya ilişkin olarak daha önce alınan Kişisel Verileri Koruma Kurulunun 07.11.2019 tarih ve 2019/331 sayılı Kararına https://kvkk.gov.tr/Icerik/6623/2019-331 uzantısından erişilmesi mümkün bulunmaktadır.

Bu sebeple Kanunun 5 inci maddesinin (2) numaralı fıkrasının (d) bendi kapsamında gerçekleştirilecek kişisel veri işleme faaliyetlerinde ilgili kişilerin alenileştirme iradesinin varlığı ve alenileştirme amacının tespit edilmesi ve her durumda Kanunun 4 üncü maddesinde yer alan Genel İlkelere uyum hususuna özen gösterilmesi önem arz etmektedir.

Kamuoyuna saygıyla duyurulur.

https://www.kvkk.gov.tr/Icerik/6843/-ALENILESTIRME-HAKKINDA-KAMUOYU-DUYURUSU

26/10/2020: YURTDIŞINA VERİ AKTARIMI KAMUOYU DUYURUSU

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) 07.04.2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanmıştır. Kanunun 32 nci maddesi uyarınca Kanunun 8 inci, 9 uncu, 11 inci, 13 üncü, 14 üncü, 15 inci, 16 ncı, 17 nci ve 18 inci maddeleri yayımı tarihinden altı ay sonra, diğer maddeleri ise yayımı tarihinde yürürlüğe girmiştir. Bununla birlikte, Kanunun “Geçiş hükümleri” başlıklı Geçici 1 inci maddesinin üçüncü fıkrasında Kanunun yayımı tarihinden önce işlenmiş olan kişisel verilerin, yayımı tarihinden itibaren 2 yıl içerisinde Kanun hükümlerine uygun hale getirileceği düzenlenmiştir. Bu anlamda, kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenleyen Kanuna uyum için makul bir süre hem Kanunda yer alan düzenlemelerle hem de Kurumumuzun işbirliğine dayalı anlayışı ile kişisel veri işleme faaliyetinde bulunan ilgililere tanınmıştır.

Kurumumuz faaliyete geçtiği günden bu yana, kişisel verilerin korunmasına yönelik farkındalık yaratmak ve ilgililerin iş süreçlerini Kanuna uygun olarak yeniden tasarlayabilmeleri adına Ülkemizin her bölgesine yayılan organizasyonlar gerçekleştirmekte, ilgili meslek örgütleri ve sivil toplum kuruluşları ile sürekli olarak bilgi alışverişinde bulunmakta, veri sorumluları ile veri işleyenleri yönlendirmekte ve ilgili paydaşlardan gelen talepleri uygun düştüğü ölçüde karşılamaktadır. Bu kapsamda, eğitim programları düzenlenmekte ve Kanuna etkili bir uyumun sağlanabilmesi için işleme faaliyetinde bulunan aktörlere kolaylık sağlanmaya çalışılmaktadır. Ayrıca yine önemle ifade etmek gerekir ki, başta Türkiye Odalar ve Borsalar Birliği ve muhtelif sektör temsilcileri olmak üzere çeşitli paydaşların talebi doğrultusunda Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğünün yerine getirilmesi için tanınan süre kapsamlı uyum sürecinin gerektirdiği özen, Sicile kayıt uygulamasıyla kişisel verileri işlenen ilgili kişiler bakımından sağlanması amaçlanan şeffaflığın tam anlamıyla gerçekleşmesi gereği ve COVID-19 salgınının etkileri dikkate alınarak üç kere uzatılmıştır. Yine, COVID-19 salgını sürecinde uzaktan ve/veya dönüşümlü çalışma uygulamalarının neden olabileceği zorluklar; her bir başvuru ya da veri ihlal bildirimi özelinde, veri sorumlularının uymakla yükümlü oldukları sürelerin değerlendirilmesi açısından Kişisel Verileri Koruma Kurulu (Kurul) tarafından göz önünde bulundurulmuştur.

Kurumumuz, Anayasada öngörülen özel hayatın gizliliği ile temel hak ve özgürlüklerin korunması kapsamında, Ülkemizde kişisel verilerin korunmasını sağlamanın ve buna yönelik farkındalık oluşturarak bilinç düzeyini geliştirmenin yanında, veri temelli ekonomide özel ve kamusal aktörlerin uluslararası rekabet kapasitelerini artırıcı bir ortam oluşturmayı da misyon olarak benimsemektedir. Kişisel verilerin hukuka uygun, bireylerin kontrolünden ödün vermeden ve şeffaf bir biçimde işlenmesi sonucu elde edilecek katma değer büyük bir önem arz etmektedir. Nitekim Kurumumuz da bu farkındalığa sahip olarak kişisel verilerin korunması ve dijital dönüşümün çok yoğun bir şekilde yaşandığı günümüzün gereklerine uygun olarak kişisel verilerin önemli bir parçasını teşkil ettiği verimi yüksek ve avantajlı iş süreçlerinin sürdürülebilmesi arasında bir denge gözetmektedir. Ancak takdir edilecektir ki, Kurumumuz Kanunda öngörülen görev ve yetkileri çerçevesinde faaliyetlerini sürdürmektedir. Bu anlamda, kişisel verilerin Kanunda yer verilen usul ve esaslara uygun olarak işlenmesinin sağlanması ve zorunlu izin ve/veya yetkilendirme süreçlerinin işletilmesi Kurumumuzun asli yükümlülüğüdür. Ancak bu noktada belirtilmesinde fayda görülmektedir ki, ilgili mevzuat hükümleri çerçevesinde Kurumumuz çağdaş hukuk düzenlerinde yürürlükte bulunan kişisel verilerin korunması ile ilgili düzenlemeler ve bunlara ilişkin uygulama ile aynı doğrultuda etkinlik göstermektedir.

Öte yandan, çeşitli özel sektör temsilcileri ve akademik kuruluşlardan Kanun ve ilgili ikincil mevzuatın uygulanmasına ve Kurumumuzun yürüttüğü faaliyetlere ilişkin birtakım eleştirilerde bulunulduğu görülmektedir. Söz konusu eleştiriler, çoğulcu bir yaklaşımla kişisel verilerin korunması alanında daha uygulanabilir modellerin oluşturulması imkânını tanıması bakımından Kurumumuz tarafından olumlu karşılanmakla birlikte, ilgililer nezdinde oluşabilecek yanlış anlaşılmaların giderilmesi gerektiği değerlendirilmektedir. Bu Kamuoyu Duyurusu da kişisel verilerin yurt dışına aktarılması özelinde Kurumumuzun çalışmalarını ve bakış açısını ortaya koyarak bu yanlış anlaşılmaların önüne geçilmesi amacıyla yayınlanmaktadır.

a) Kişisel Verilerin Yurt Dışına Aktarımına İlişkin Kanunda Öngörülen Düzenleme

Kişisel verilerin yurt dışına aktarımına ilişkin usul ve esaslar, Kanunun 9 uncu maddesinde düzenlenmekte olup; söz konusu maddede, kişisel verilerin ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağı; ancak Kanunun 5 inci maddesinin ikinci fıkrası ile özel nitelikli kişisel veriler bakımından 6 ncı maddesinin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması halinde; yeterli korumanın bulunmaması durumunda ise Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabileceği hükme bağlanmıştır.

Kişisel verilerin yurt dışına aktarılması, Kanunun 3 üncü maddesinde yer verilen “kişisel verilerin işlenmesi” tanımında da açıkça belirtildiği üzere bir işleme faaliyetidir. Yani, kişisel verilerin yurt dışına aktarılmasının değiştirme, yeniden düzenleme, kaydetme, depolama ve muhafaza etme gibi diğer kişisel veri işleme faaliyetlerinden bir farkı bulunmamaktadır. Nitekim özel olarak Kanunun 9 uncu maddesinde düzenlenmiş olsa da ilgili hükümde Kanunun 5 inci ve 6 ncı maddelerinde düzenlenmiş kişisel verilerin işlenme şartlarına atıf yapılmaktadır.

Diğer taraftan belirtmek gerekir ki, kişisel verilerin yurt dışına aktarımının ayrı bir hükümde düzenlenmiş olmasının ve kişisel veri işleme şartlarından birinin varlığına ek olarak diğer bazı şartların aranmasının sebebi ilgili kişinin kişisel verilerinin aktarıldığı ülkede de etkin olarak korunabilmesinin sağlanmasıdır. Bu düzenlemeyle yurt dışına aktarılmış kişisel verilerle ilgili olarak, ilgili kişinin sahip olduğu hakları etkin bir şekilde ve Kanunun uygulamasına mümkün olabilecek en yakın seviyede kullanabilmesi ile aktarım yapılacak tarafın başta veri güvenliği olmak üzere ilgili kişiyi korumaya yönelik güvencelerin sağlanması hususunda yükümlü kılınması amaçlanmaktadır. Bu bağlamda, kişisel verilerin yurt dışına aktarımına ilişkin düzenlemeler ve bu düzenlemeler çerçevesinde Kurumumuz tarafından benimsenen yaklaşım ve yürütülen faaliyetler küreselleşme ve teknolojik gelişmeler sonucu her an daha da artan bir miktarda gerçekleşen sınır ötesi aktarımları engellemeyi değil; temel hak ve özgürlüklerin korunması temelinde öngörülebilir ve şeffaf bir aktarım rejimini oluşturmayı hedeflemektedir.

b) Yeterli Koruma Bulunan Ülkelerin (Güvenli Ülkelerin) Belirlenmesi

b-1) İlgili Ülkede Yeterli Koruma Bulunup Bulunmadığına İlişkin Değerlendirme

Kanunun 9 uncu maddesinin üçüncü fıkrasında yeterli korumanın bulunduğu ülkelerin Kurul tarafından belirlenerek ilan edileceği düzenleme altına alınmıştır. Bununla birlikte, anılan maddenin dördüncü fıkrasında, Kurulun yabancı ülkede yeterli koruma bulunup bulunmadığına; Türkiye’nin taraf olduğu uluslararası sözleşmeleri, kişisel verilerin aktarılacağı ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu, kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını değerlendirmek suretiyle karar vereceği hükme bağlanmıştır. Nitekim Kurulun 02.05.2019 tarihli ve 2019/125 sayılı kararı ile de, yeterli korumanın bulunduğu ülkelerin tayininde kullanılmak üzere oluşturulan form Kurumumuz resmi internet sitesinde yayımlanmış olup, söz konusu forma göre yeterli korumanın bulunduğu ülkelerin belirlemesinde, karşılıklılık durumu, ilgili ülkenin kişisel verilerin işlenmesine ilişkin mevzuatı ve uygulaması, bağımsız veri koruma otoritesinin bulunup bulunmadığı, kişisel verilerin korunması ile ilgili uluslararası antlaşmalara taraf olma ile uluslararası kuruluşlara üye olma durumu, Ülkemizin üye olduğu küresel ve bölgesel örgütlere üye olma durumu ve ilgili ülke ile yürütülen ticaret hacmi gibi kriterlerin dikkate alınacağı belirtilmiştir.

Kurul tarafından yeterli koruma bulunup bulunmadığına ilişkin yapılacak değerlendirme; çeşitli ve birbirinden oldukça farklı ulusal hukuk düzenlerinin varlığı, değerlendirmeye konu ülkede genel nitelikte bir veri koruma düzenlemesinin bulunmaması veya yalnızca belirli alanları kapsayan düzenlemelerin bulunması ve federal devletlerde eyaletler arasındaki farklılıklar göz önünde bulundurulduğunda titizlikle yürütülmesi gereken yoğun ve uzun bir süreç sonrasında sonuçlandırılabilecektir (Madde 29 Çalışma Grubu, Working Document Transfers of personal data to third countries : Applying Articles 25 and 26 of the EU data protection directive, s. 26, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/1998/wp12_en.pdf ). Öte yandan, “yaşayan” birer doküman olarak nitelendirilebilecek yeterlilik kararları, periyodik gözden geçirmelere tabi tutulacak ve değişen koşullara göre söz konusu yeterlilik kararları değiştirilebilecek, askıya alınabilecek veya kaldırılabilecektir. Dolayısıyla, güvenli ülke statüsü tayini, ilgili ülke ile yakın işbirliği ve diyalog mekanizmalarının kurulmasını içeren, kapsamlı ve çok boyutlu değerlendirmelerin yapılması ile sağlanan koruma düzeyinin sürekliliğinin takip edilmesini gerektiren dinamik bir süreci ifade etmektedir (Avrupa Komisyonu, COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL Exchanging and Protecting Personal Data in a Globalised World, s. 8-9, https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52017DC0007&from=EN).

b-2) Güvenli Ülke Statüsünün Karşılıklı Olarak Tanınmasının Önemi

Kanunun 9 uncu maddesinin dördüncü fıkrasının (b) bendi uyarınca Kurul, yabancı ülkede yeterli koruma bulunup bulunmadığına ilişkin yapacağı değerlendirmede ilgili ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu dikkate alacaktır. Bu noktada belirtmek gerekir ki, Dışişleri Bakanlığı ile güvenli ülke statüsü tayinine ilişkin yapılan bütün yazışmalarda mütekabiliyet hususu ön plana çıkmakta ve yürütülecek müzakerelerin her hal ve şartta karşılıklı yeterlilik kararı verilmesi üzerine olması gerektiği vurgulanmaktadır.

Öte yandan, kişisel verilerin korunması bakımından güvenli ülke statüsünün değerlendirmeye konu ülke ile karşılıklı olarak tanınması Ülkemizde faaliyet gösteren veri sorumlusu ve veri işleyenlerin kişisel verilerin güvenli, maliyetsiz ve hızlı bir biçimde aktarım olanağından aynı şekilde yararlanabilmeleri, ekonomik kazanç sağlayabilmeleri ve bu anlamda tek taraflı bir tanımanın yaratacağı asimetri nedeniyle dezavantajlı konumda bulunmamaları için de büyük bir önem arz etmektedir.

b-3) Kurumumuz Tarafından Yürütülen Güvenli Ülke Statüsü Tayini Çalışmaları

Hâlihazırda güvenli ülke statüsü tayini için diğer devletlerden Kurumumuza iletilmiş herhangi bir talep bulunmamakla birlikte, mevcut ve potansiyel ticari ilişkiler, coğrafi ve/veya kültürel bağlar ve siyasi/diplomatik ilişkiler dikkate alınarak çeşitli ülkelerle görüşmeler gerçekleştirilmekte ve bu kapsamda çalışmalar yoğun bir şekilde sürdürülmektedir. Diğer taraftan, diğer kamu kurum ve kuruluşları, sivil toplum kuruluşları, meslek örgütleri ve diğer paydaşlar tarafından hakkında yeterlilik kararı verilmesinin yararlı olacağı değerlendirilen ülkelere ilişkin önerilerde bulunulması halinde Kurumumuz çalışmalarını uygun düştüğü ölçüde yönlendirmektedir. Ayrıca belirtmek gerekir ki, güvenli ülke statüsü tayinine ilişkin çalışmalar Adalet Bakanlığı, Dışişleri Bakanlığı ve Ticaret Bakanlığı ile yakın iş birliği içerisinde yürütülmektedir. Bu çerçevede; Kurumumuz tarafından güvenli ülke statüsü tayini ile ilgili olarak muhtelif ülkelerle görüşmelerimiz devam etmekte olup, Avrupa Birliği (AB) ile hem resmi hem de gayri resmi nitelikte yapılan görüşmeler kapsamında gerek karşılıklı yeterlilik kararı verilmesi gerek Ülkemizde yürürlükte olan kişisel verilerin korunması mevzuatının AB müktesebatına uygun olarak güncellenmesi konularında istişarelerde bulunulmaktadır. Bununla birlikte, Kurumumuz üye devletler adına yeterlilik kararı vermeye yetkili Avrupa Komisyonunun ve Avrupa Komisyonuna yeterli koruma değerlendirmesi hususunda görüş veren Avrupa Veri Koruma Kurulunun konuya ilişkin çalışmalarını ve dokümanlarını yakından takip etmekte ve bu süreçte tesis edilen yeterlilik kararlarını inceleyerek potansiyel müzakereler için hazırlıklarını tamamlamaktadır. Bu kapsamda, Kurumumuz; ilgili diğer kamu kurum ve kuruluşları ile koordinasyon içerisinde Avrupa Komisyonu ile karşılıklı güvenli ülke görüşmelerinin yürütülebilmesi için gerekli her türlü tedbiri almış durumdadır.

b-4) Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi (108 sayılı Sözleşme)

b-4-1) 108 sayılı Sözleşmenin 12 nci maddesinin Ülkemizdeki uygulamasına ilişkin olarak:

Bilindiği üzere, 108 sayılı Sözleşmenin “Kişisel verilerin sınır ötesi akışı ve iç hukuk” başlıklı 12 nci maddesi,

“1) Otomatik işleme konu olan veya otomatik işleme konu olmak üzere toplanmış kişisel verilerin her türlü yoldan ulusal sınırların ötesine transferinde aşağıdaki hükümler uygulanır.

2) Bir Taraf, münhasıran özel yaşamın korunması amacıyla kişisel verilerin diğer bir Tarafa sınır ötesi akışını yasaklayamaz veya özel müsaadeye tabi tutamaz.

3) Bununla birlikte her bir Taraf, 2 nci fıkradaki hükümlere aşağıdaki durumlarda istisna getirebilir:

a) Kendi mevzuatının, belli kişisel veri veya otomatik kişisel veri dosyası kategorileri için, bu verilerin veya dosyaların doğasından kaynaklanan özel düzenlemeler içermesi, diğer Tarafın düzenlemelerinin ise eşdeğer bir koruma içermemesi durumunda;

b) Bu transferin bir Tarafın ülkesinden, bir diğer taraf üzerinden Taraf olmayan bir devletin ülkesine yapılması durumunda, bu bendin başında atıfta bulunulan Tarafın mevzuatının boşluklarından yararlanmak üzere yapılacak bu tür transferleri engellemek amacıyla.”

hükmünü amir bulunmakta olup, düzenlemede Sözleşmeye taraf devletlerin yalnızca özel hayatın korunması gerekçesiyle diğer taraf devletlere gerçekleşecek kişisel veri aktarımlarını yasaklayamayacakları veya özel bir izin mekanizması öngörmek suretiyle kısıtlayamayacakları öngörülmüştür. 108 sayılı Sözleşmeye ilişkin Açıklayıcı Raporda da (Rapor) hükmün ikinci fıkrasında yer alan düzenlemenin amacının, Sözleşmeye taraf ülkelerin kişisel verilerin korunması bakımından yeterli düzeyde güvenceleri sağladığı yönündeki ön kabulden hareketle taraf ülkeler arasında veri akışının kolaylaştırılması olduğu belirtilmiştir. Bununla birlikte, hükmün taraf devletler arasındaki veri akışının bildirime tabi kılınmasına veya tarafların iç hukuklarında belirli durumlarda yurt içinde veya sınıraşan nitelikte aktarımları yasaklamaya yönelik düzenlemeler yapabilme imkânını ortadan kaldırmadığı açıklaması da yapılmıştır (Avrupa Konseyi, Explanatory Report to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, Paragraf 67. https://rm.coe.int/CoERMPublicCommonSearchServices/DisplayDCTMContent?documentId=09000016800ca434).

Öte yandan, Kanunun 9 uncu maddesinin dördüncü fıkrasının (a) bendinde Kurulun veri aktarımına izin verip vermeyeceğine ilişkin yapacağı değerlendirmede Ülkemizin taraf olduğu uluslararası sözleşmelerin dikkate alınacağı hükme bağlanmıştır. Bu anlamda, kişisel verilerin aktarılacağı ülkenin 108 sayılı Sözleşmeye taraf olmasının Kurulun değerlendirmesine esas teşkil edecek unsurlardan biri olduğu anlaşılmaktadır. Nitekim 108 sayılı Sözleşmeye taraf olma durumu, yeterli korumanın bulunduğu ülkelerin Kurulca belirlenmesinde kullanılmak üzere Kurulun 02/05/2019 tarihli ve 2019/125 Kararında kabul edilen kriterler arasında da yer almaktadır. Bununla birlikte, maddede aktarıma konu kişisel verilerin niteliği ile işlenme amaç ve süresi, aktarımın yapılacağı ülkedeki veri koruma mevzuatı ve uygulaması ve bu ülkedeki veri sorumlusu veya veri işleyenin taahhüt edeceği önlemler gibi özellikle kişisel verilerin etkin bir biçimde korunmasını sağlamaya yönelmiş hususlar ile Ülkemiz ile aktarımın yapılacağı ülke arasında veri aktarımına ilişkin karşılıklılık durumunun da Kurulun değerlendirmesinde göz önünde bulunduracağı düzenlenmiştir.

Bu çerçevede, yukarıda belirtildiği üzere, sözleşmeye taraf devletlerin iç hukuklarında belirli durumlarda yurt dışına veri aktarımını yasaklamaya yönelik düzenleme yapabileceğine ilişkin Raporda yer alan açıklama ve Kurulun yabancı ülkede yeterli koruma bulunup bulunmadığına ilişkin yapacağı değerlendirmede hem 108 sayılı Sözleşme gibi Ülkemizin taraf olduğu uluslararası sözleşmeleri hem de kişisel verilerin korunması veya özel hayatın gizliliğini koruma amacını taşımadan aktarımın yapılacağı ülke ile karşılıklılık halini değerlendireceğine ilişkin Kanunun 9 uncu maddesinde yer verilen düzenleme dikkate alındığında Kanunda öngörülen kişisel veri aktarım rejiminin 108 sayılı Sözleşme ile uyumlu olduğu açıktır.

b-4-2) 108 sayılı Sözleşmenin 12 nci maddesinin AB’deki uygulamasına ilişkin olarak:

AB hem mülga 95/46/AT sayılı Direktif hem de Gerçek Kişilerin Kişisel Verilerin İşlenmesi Bakımından Korunması ve Bu Verilerin Serbest Dolaşımı Hakkında ve 95/46/AT sayılı Direktifi Yürürlükten Kaldıran 27/04/2016 tarihli ve (AB) 2016/679 sayılı Avrupa Parlamentosu ve Konsey Tüzüğü (Genel Veri Koruma Tüzüğü-GVKT) hükümleri uyarınca 108 sayılı Sözleşmeye taraf olan ülkeleri herhangi başka bir değerlendirmede bulunmadan yeterli korumaya sahip ülke olarak nitelendirmemekte ve Sözleşmeye taraf olmayı yalnızca yeterlilik değerlendirmesinde dikkate alacağı bir kriter olarak kabul etmektedir. Nitekim 108 sayılı Sözleşmeye taraf olsa dahi bir ülkenin ancak yeterli koruma sağlayıp sağlamadığına ilişkin hakkında yapılacak ayrı bir değerlendirme sonrasında güvenli ülke olarak ilan edildiği görülmektedir(Örnek: İsviçre). Öte yandan AB, 108 sayılı Sözleşmeye ek Denetleyici Makamlar ve Sınıraşan Veri Akışına İlişkin Protokolün yürürlüğe girmesinden sonra da Sözleşmeye ve Protokole taraf ülkeler için aynı süreci işletmiştir (Örnek: Andorra).

Kurulun “Kişisel verilerin 108 sayılı Sözleşme dayanak gösterilerek yurt dışına aktarılması” hakkında 22.07.2020 tarihli ve 2020/559 sayılı Kararında yukarıdaki değerlendirmeler çerçevesinde 108 sayılı Sözleşmenin 12 nci maddesi hükmünü gerekçe göstererek Kanunun 9 uncu maddesinin ikinci fıkrası uyarınca aktarım tarafları arasında düzenlenmiş yazılı bir taahhütnamenin ve Kurulun izninin bulunmaması nedeniyle yurt dışına kişisel veri aktarımı gerçekleştiren bir veri sorumlusu hakkında idari para cezasına hükmedilmiştir. Ancak belirtilmesinde fayda görülmektedir ki, söz konusu karar birtakım eleştirilerde ifade edildiği gibi yurt dışına veri aktarımını imkânsız hale getirmemektedir. Kararla, Ülkemizin taraf olduğu 108 sayılı Sözleşme ve Sözleşmeye Ek Protokolün uygulamasına Kurumumuzun yaklaşımı açıklanmakta ve 108 sayılı Sözleşmeye taraf olma durumunun Kurumumuz tarafından güvenli ülke statüsü tayini için yeterli olmadığı vurgulanarak veri sorumlularının Kanunun 9 uncu maddesi uyarınca yazılı bir korumayı taahhütte bulunarak kişisel veri aktarımlarını gerçekleştirmeleri gerektiği belirtilmektedir.

c) Yeterli Koruma Bulunmayan Ülkelere Kişisel Veri Aktarımı

Kanunun 9 uncu maddesinin ikinci fıkrasının (b) bendi kapsamında yeterli korumanın bulunmadığı ülkelere aktarımın gerçekleştirilebilmesi için aktarım taraflarının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun aktarıma izin vermesi gerekmektedir. Kurul öncelikle, yurt dışına kişisel veri aktarımında veri sorumlusu tarafından hazırlanacak taahhütnamelerde yer alacak asgari unsurları belirlemiştir. Daha sonrasında ise çok uluslu şirket topluluklarını oluşturan şirketler arasında gerçekleştirilecek topluluk içi aktarımlarda Bağlayıcı Şirket Kuralları alternatif bir yeterli koruma sağlama yolu olarak belirlenmiştir.

c-1) Taahhütnameler

Kurumumuz tarafından hem veri sorumlusundan veri sorumlusuna hem de veri sorumlusundan veri işleyene gerçekleştirilecek yurt dışına kişisel veri aktarımlarında kullanılmak üzere iki tür taahhütname hazırlanmıştır. Ancak, Kurumumuza veri sorumluları tarafından yapılan başvurularda taahhütnamelerin ekinde yer alan söz konusu kişisel veri aktarımının dayandığı işleme şartına, amacına, aktarıma konu veri kategorilerine, veri konusu kişi grubuna veya gruplarına, aktarım yapılacak tarafın alacağı idari ve teknik tedbirlere ve saklama süresi gibi unsurlar ile ilgili açıklamaların aktarıma izin verilip verilmeyeceğine ilişkin değerlendirmeye esas teşkil edilebilecek detayda ve açıklıkta olmadığı görülmüştür. Ayrıca, yapılan başvuruların idari makamlara yapılacak başvurularda riayet edilmesi gereken usul ve esaslara uygun olmadan gerçekleştirildiği tespit edilmiştir. Bunun üzerine bahse konu taahhütnamelerin hazırlanmasında veri sorumluları tarafından dikkat edilmesi gereken gerek usule gerek esasa ilişkin hususlar ile ilgili detaylı bir kamuoyu duyurusu hazırlanarak Kurumumuzun resmi internet sitesinde yayımlanmıştır.

Diğer taraftan belirtmek gerekir ki, yurt dışına kişisel veri aktarımı gerçekleştirmek amacıyla yapılan başvurular, Kurumumuzun ilgili tüm birimleri tarafından hem hukuki hem teknik boyutlarıyla titizlikle incelenmekte ve mümkün olan en kısa süre içerisinde başvuruculara geri dönüş yapılarak eksikliklerin tamamlanması veya düzeltmelerin yapılması için ek süre tanınmaktadır. Bu anlamda, başvurucular desteklenmekte ve iş süreçlerinin aksamaması adına gerekli yönlendirmeler yapılmaktadır. Dolayısıyla, Kurumumuzun taahhütnamelerin onaylanması ve aktarıma izin verilmesi sürecinde zorlaştırıcı bir yaklaşım benimsediği eleştirisi gerçeği yansıtmamaktadır.

c-2) Bağlayıcı Şirket Kuralları

Kurumumuz tarafından veri sorumlularının organizasyonlarının ve iş süreçlerinin farklılık gösterdiği dikkate alınarak kişisel verilerin yurt dışına aktarılabilmesi için uygun güvencelerin oluşturulması gereğini karşılayacak alternatif bir yöntem olarak Bağlayıcı Şirket Kuralları oluşturulmuştur. Bu kapsamda, çok uluslu grup şirketleri arasında yapılacak aktarımlarda kullanılabilecek Bağlayıcı Şirket Kurallarına ilişkin başvuru formu ve Bağlayıcı Şirket Kurallarında bulunması gereken temel hususlara ilişkin yardımcı doküman yayımlanarak ilgililerin kullanımına sunulmuştur. Çok uluslu grup şirketlerinin, kendilerine özgü yapılarına, ihtiyaçlarına ve faaliyet gösterdikleri sektörün gereklerine uygun olarak hazırladıkları ve birbirleri arasında gerçekleştirilecek yurt dışına veri aktarımlarında uymayı taahhüt ettikleri kuralların Kurul tarafından uygun bulunması halinde Kanunun 9 uncu maddesinin ikinci fıkrasının (b) bendinde düzenlenmiş yeterli korumayı taahhüt etme yükümlülüklerini yerine getirmiş olacaklardır. Ayrıca belirtmek gerekir ki, söz konusu yöntem AB’de kişisel verilerin korunmasında temel düzenleme niteliği haiz Genel Veri Koruma Tüzüğünde de hakkında yeterlilik kararı verilmemiş ülkelere yapılacak aktarımlarda kullanılabilecek uygun güvenlik düzeyini sağlama yöntemlerinden biri olarak öngörülmektedir.

d) Kişisel Verilerin Yurt Dışına Aktarımına İlişkin Diğer Kanunlarda Öngörülen Düzenlemeler

Kanunun 4 üncü maddesinin birinci fıkrası “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünü amirdir. Bu anlamda, Kanun çerçeve düzenleme niteliğini haiz olarak yurt dışına aktarım dâhil olmak üzere kişisel verilerin işlenmesine ilişkin temel usul ve esasları belirlemekte; sektörlere ilişkin farklı düzenlemelerin bulunması halinde bu düzenlemeleri tamamlayıcı bir rol üstlenmektedir. Diğer bir deyişle, farklı alanlarda sürdürülen kişisel veri işleme faaliyetlerinin tabi olduğu kanuni düzenlemeler Kanun ile beraber uygulanmakta ve bu şekilde söz konusu faaliyetlerin kendine özgü yapısından kaynaklanan gereklilikler de yerine getirilmiş olmaktadır. Kurumumuz da bütüncül bir bakış açısıyla hem mevzuatı tümüyle göz önünde bulundurarak hem de söz konusu kişisel veri işleme faaliyeti özelinde dikkate alınması gereken diğer unsurları tespit ederek faaliyetlerini yürütmektedir.

Yine Kanunun 9 uncu maddesinin altıncı fıkrasında “Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” düzenlemesine yer verilmiştir. Anayasanın 90 ıncı maddesinin beşinci fıkrasında ise; “Usulüne göre yürürlüğe konulmuş milletlerarası antlaşmalar kanun hükmündedir. (…)” denilmek suretiyle milletlerarası antlaşmaların usulüne uygun olarak iç hukukumuza dâhil edilmesi halinde kanun hükmünde sayılacağı açıkça düzenlenmiştir. Bu çerçevede, kanunlarda ve usulüne göre yürürlüğe konulmuş milletlerarası antlaşmalarda kişisel verilerin yurt dışına aktarımına ilişkin bir düzenlemenin mevcut olması halinde, bu düzenlemeye göre hareket edilecektir. Nitekim Kurulun bankacılık sektörüne ilişkin olarak vermiş olduğu bir kararında 5411 sayılı Bankacılık Kanununun 73 üncü maddesinde öngörülen düzenleme çerçevesinde yapacağı aktarımların Kanunun diğer hükümleri ile bağlı kalınmak şartıyla Kanunun 9 uncu maddesinin altıncı fıkrası uyarınca gerçekleştirilebileceği ifade edilmiştir.

SONUÇ

Kişisel verilerin korunmasını isteme hakkı, Anayasanın “Temel Haklar ve Ödevler” başlıklı ikinci kısmının “Kişinin Hakları ve Ödevleri” başlıklı ikinci bölümünde yer alan 20 nci maddenin üçüncü fıkrasında,

“IV. Özel hayatın gizliliği ve korunması

A. Özel hayatın gizliliği

Madde 20 – …

(Ek fıkra: 7/5/2010-5982/2 md.) Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.”

şeklinde düzenlenerek bir temel hak ve özgürlük olarak tanınmıştır. Bu anlamda, Kurumumuz her geçen gün daha fazla tehdit altında olan bir temel hak ve özgürlüğün korunması amacına hizmet etmektedir. Diğer ülkelerde faaliyet gösteren veri koruma otoriteleri gibi Kurumumuz da bu bilince sahip olarak kişisel veri işleme faaliyetinde bulunan aktörleri eğitici ve yönlendirici çalışmalarda bulunmakla birlikte gereken durumlarda bir kanun uygulayıcısı olarak bu aktörler hakkında idari yaptırım da tesis etmekte olup, Kurumumuzun sürdürdüğü faaliyetler bireyleri en üst düzeyde korumaya yönelmiş bulunmaktadır. Bununla birlikte, teknolojik gelişmeler sonucu ortaya çıkan olanaklardan Ülkemizin de faydalanabilmesi adına söz konusu gelişmeler takip edilerek kişisel verilerin korunması hukukuna uygun şekilde uygulamaların geliştirilmesine de katkı sağlanmaya çalışılmaktadır. Bu kapsamda, kişisel verilerin yurt dışına aktarılmasına ilişkin olarak Kurumumuzca yürütülen güvenli ülke çalışmaları devam etmektedir. Bu noktada önemle ifade etmek gerekir ki, kamuoyunda sorun olarak görülen yurt dışına veri aktarımında Kurul’un iznini öngören süreç, Kanunun 9 uncu maddesinde emredici bir şekilde hükme bağlanan düzenlemenin bir sonucudur.

Kamuoyuna saygı ile duyurulur.

https://www.kvkk.gov.tr/Icerik/6828/YURTDISINA-VERI-AKTARIMI-KAMUOYU-DUYURUSU

01/10/2020: Sicil Kayıt Yükümlülüğü Hakkında Kamuoyu Duyurusu

Bilindiği üzere 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) göre kişisel verileri işleyen gerçek ve tüzel kişilerin Veri Sorumluları Siciline (Sicil) kayıt olması gereken tarihler Kişisel Verileri Koruma Kurulunca (Kurul) ilan edilmiştir.

Başkanlığımızca Hazine ve Maliye Bakanlığından elde edilen 2019 yılı verilerine göre yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olduğu görülmesine rağmen 01.10.2020 tarihi itibariyle henüz Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) kayıt başvurusunda bulunmayan veya başvuruda bulunduğu halde bildirimini tamamlamayan veri sorumlularının olduğu tespit edilmiştir.

Bu tesbite istinaden Kişisel Verileri Koruma Kurulu tarafından yapılan inceleme ve değerlendirme sonucunda; COVID-19 ile mücadele kapsamında fiili, teknik ya da hukuki imkânsızlık nedeniyle bazı veri sorumlularının Sicile kayıt yükümlülüğünü yerine getiremediği göz önüne alınarak, Veri Sorumluları Sicili Hakkında Yönetmeliğin 8 inci maddesi uyarınca ve Kanunun Geçici 1 inci maddesiyle Kurula verilmiş olan yetki çerçevesinde, Sicile kayıt yükümlülüğünü yerine getirmemiş olan veri sorumlularına bu durumun bir yazı ile bildirilmesi Kurulun 01.10.2020 tarihli ve 2020/760 sayılı kararı ile uygun bulunmuştur.

Söz konusu yazıyla Kurul tarafından kendilerine bildirilen süre içerisinde, ilgili veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri gerekmektedir.

Kamuoyuna saygıyla duyurulur.

NOT: VERBİS’e kayıt işlemleri halen devam etmektedir.

Duyuru Adresi: https://www.kvkk.gov.tr/Icerik/6819/SICILE-KAYIT-YUKUMLULUGU-HAKKINDA-KAMUOYU-DUYURUSU

26/06/2020: Aydınlatma Yükümlülüğünün Yerine Getirilmesi Hakkında Kamuoyu Duyurusu

AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ HAKKINDA KAMUOYU DUYURUSU

6698 sayılı Kişisel Verilerin Korunması Kanunu, Kanuna ilişkin ikincil mevzuat ve Kişisel Verileri Koruma Kurulunun vermiş olduğu kararlar çerçevesinde, veri sorumlularının bir takım yükümlülükleri bulunmaktadır. Bu yükümlülüklerden birisi de, Kanunun 10 uncu maddesinde yer alan aydınlatma yükümlülüğüdür.

Aydınlatma yükümlülüğü, veri sorumluları için bir yükümlülük olmakla birlikte kişisel verisi işlenen gerçek kişiler için de bir haktır. İlgili kişinin, işlenen kişisel verileri hakkında bilgilendirilmesini ifade eden aydınlatma yükümlülüğü, kişisel veri işlemenin hukuka uygun şekilde yerine getirilebilmesi için olmazsa olmaz bir şarttır.

Aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişinin talebine bağlı bir yükümlülük değildir. Ayrıca veri sorumlusu, kişisel veri işlerken ilgili kişinin açık rızasının ya da diğer kişisel veri işleme şartlarından birinin bulunması durumlarının her birinde aydınlatma yükümlülüğünü yerine getirmelidir. Çünkü aydınlatma yükümlülüğü, gerek açık rıza gerekse de Kanunda sayılan diğer kişisel veri işleme şartlarından bağımsız olarak her durumda yerine getirilmesi gereken bir yükümlülüktür.

Kurumumuza yapılan ihbar ve şikayet başvuruları üzerine ilgili veri sorumlularınca Kuruma iletilen bilgi ve belgeler üzerinden veya Kurulca inceleme ve araştırma yapılması öngörülen diğer dokümanlar üzerinden yapılan değerlendirme sonucunda;

Aydınlatmanın, veri sorumlusu tarafından kişisel verilerin ilgili kişiden elde edilmesi sırasında yapılmadığı, sonradan yapıldığı veya hiç yapılmadığı,
Aydınlatma içeriğinin, 6698 sayılı Kanunun 10 uncu maddesinde sayılan hususları kapsar nitelikte olmadığı,
Aydınlatmada; kişisel veri işleme amacının, işleme faaliyeti ile sınırlı, belirli, açık veya meşru olmadığı, gelecekte gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadelerin kullanıldığı,
Aydınlatmanın asgari unsurlarından olan “hukuki sebep” ile “işleme amacı”nın aynı anlamda kullanıldığı veya hukuki sebep unsuruna hiç yer verilmediği,
Aydınlatma amacıyla kullanılan metinlerde anlaşılır, açık ve sade bir dil kullanılmadığı, genel nitelikte, farklı anlaşılmaya müsait, eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verildiği,
Aydınlatma sürecinde, aktarım amacına ve aktarılan alıcı grubu ya da gruplarına yeterince yer verilmediği,
Aydınlatma metinlerinin, genellikle işleme faaliyeti ile sınırlı olmayan, veri sorumlusu için genel veri işleme belgesi niteliğinde olan “gizlilik politikaları” veya “veri işleme politikaları” olduğu,
Aydınlatma metinlerinin, ilgili kişi tarafından kolayca erişilebilecek bir platformda sunulmadığı,
Katmanlı aydınlatma yöntemi tercih edildiğinde, ilgili kişilerin ayrıntılı bilgi için başka bir mecraya yönlendirilmesinden önce, ilk aşamada temel bilgilerin sunulmadığı, detaylı aydınlatmaya erişim için uygun yol ve yöntemlerin izlenmediği, genellikle gizlilik politikaları veya veri işleme politikalarına yönlendirildiği,
Açık rıza ve aydınlatmanın aynı metin veya platformda aynı başlık altında birlikte sunulduğu,
Aydınlatma yapıldığına dair onayın talep edildiği ve onayın verilmemesi durumunda hizmetin sunulmadığı

gibi eksiklik ve mevzuata aykırılıkların bulunduğu tespit edilmiştir.

Söz konusu eksiklik ve mevzuata aykırılıklar nedeniyle veri sorumlularının Kanunda belirtilen yaptırımlarla karşılaşmamaları için aydınlatma yükümlülüğünü yerine getirirken aşağıdaki hususlara da özellikle dikkat etmesi gerekmektedir:

a) Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.

b) Aydınlatma yükümlülüğü, kişisel verilerin ilgili kişiden elde edilmesi esnasında veri sorumlusu veya yetkilendirdiği kişilerce yerine getirilmelidir.

c) Aydınlatma yükümlülüğü kapsamında yapılacak bilgilendirmenin asgari olarak, Kanunun 10 uncu maddesinde yer alan “veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile Kanunun 11 inci maddesinde sayılan ilgili kişi hakları” hususları içermesi gerekmektedir.

d) 10.03.2018 tarihli Resmi Gazetede yayımlanan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e göre; kişisel verilerin fiili imkânsızlık veya ilgili kişiye ulaşılamaması nedeniyle ilgili kişiden elde edilmemesi durumunda ise, kişisel verilerin elde edilmesinden itibaren makul bir süre içerisinde veya kişisel verinin ilgili kişiyle iletişim amacıyla kullanılacak olması durumunda ilk iletişim kurulması esnasında, kişisel verilerin aktarılacak olması halinde ise, en geç kişisel verilerin ilk kez aktarımının yapılacağı esnada ilgili kişiye yönelik aydınlatma yükümlülüğünün yerine getirilmesi gerekmektedir.

e) Aydınlatma yükümlülüğü yerine getirilirken açıklanacak olan kişisel veri işleme amacının, işleme faaliyeti ile sınırlı, belirli, açık ve meşru olması gerekmektedir. Gelecekte gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadeler kullanılmamalıdır.

f) Aydınlatma yükümlülüğü yerine getirilirken kullanılacak metinlerde anlaşılır, açık ve sade bir dil kullanılmalıdır. Ayrıca genel nitelikte, muğlak, eksik, yanıltıcı ve yanlış bilgilere yer verilmemelidir.

g) “İşleme amacı” ile “hukuki sebep”in aydınlatma yükümlülüğü yerine getirilirken ilgili kişilere yapılacak bildirimde yer alması gereken ayrı ayrı unsurlar olduğu ve veri toplamanın “hukuki sebebi” ifadesiyle, kişisel verilerin Kanunun 5 ve 6 ncı maddelerinde belirtilen işleme şartlarından hangisine dayanılarak işlendiğinin kastedildiği unutulmamalıdır.

h) İşleme faaliyeti ile sınırlı olmayan, veri sorumlusu için genel veri işleme belgesi niteliğinde olan gizlilik politikaları veya veri işleme politikaları, aydınlatma metinleri olarak kullanılmamalıdır.

i) Aydınlatmanın kolayca erişilebilir ve fark edilebilir olmasına dikkat edilmeli, ilgili kişilerin aydınlatmaya erişimini zorlaştıracak yöntemler kullanılmamalıdır.

j) Kişisel verilerin aktarımının söz konusu olduğu durumlarda, aktarımın amacına ve aktarılan alıcı grubu ya da gruplarına aydınlatmada ayrıca yer verilmelidir.

k) Katmanlı aydınlatma yöntemi tercih ediliyorsa, ilgili kişilerin ayrıntılı bilgi için başka bir mecraya yönlendirilmesinden önce, ilk aşamada temel bilgilerin (örneğin veri sorumlusunun kimliği ve veri işlemenin amacı) sunulduğundan emin olunmalı, yönlendirilen metinlerin işleme faaliyeti ile sınırlı içeriğe sahip olduğuna dikkat edilmelidir.

Bu kapsamda veri sorumlularının, aydınlatma yükümlülüğünü yerine getirirken 6698 sayılı Kanun, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Tebliği ile Kurum internet sayfasında yayımlanmış olan Kurul kararları ve Kurumumuzca hazırlanmış olan Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberine göre hareket edilmesi gerekmektedir.

Kamuoyuna saygıyla duyurulur.

23/06/2020: VERBİS'e Kayıt Sürelerinin Uzatılması Hakkında Duyuru

Tüm dünyada olduğu gibi ülkemizde de etkisini gösteren Covid-19 virüs salgını nedeniyle bazı işyerlerinin fiziksel olarak kapalı olduğu veya uzaktan / dönüşümlü çalışma modeli uygulandığı, bu nedenle veri sorumlularınca kişisel veri işleme envanteri hazırlama çalışmalarının yapılamadığı ve Veri Sorumluları Siciline (Sicil) kayıt yükümlülüğünün süresinde yerine getirilemediği gerekçesiyle Sicile kayıt sürelerinin uzatılmasına ilişkin Türkiye Odalar ve Borsalar Birliği (TOBB) ile muhtelif sektör temsilcileri tarafından Kuruma intikal ettirilen taleplerin değerlendirilmesi neticesinde Kişisel Verileri Koruma Kurulunun 23/06/2020 tarihli ve 2020/482 sayılı Kararı ile;

Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 30.09.2020 tarihine,
Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.03.2021 tarihine,
Kamu kurum ve kuruluşu veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.03.2021 tarihine,

kadar uzatılmasına,

Anılan kararın Kurum internet sayfasında duyurulması ve Resmi Gazete’de yayımlanmasına

oybirliği ile karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

10/04/2020: Bağlayıcı Şirket Kuralları Hakkında Duyuru

Kişisel verilerin yurt dışına aktarılması, 6698 sayılı Kişisel Verilerin Korunması Kanununun (6698 sayılı Kanun) 9 uncu maddesi ile düzenlenmektedir. Anılan madde hükmüne göre, kişisel verinin aktarılacağı ülkede yeterli korumanın bulunmaması durumunda kişisel veriler, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu’nun (Kurul) izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

Bilindiği üzere Kurul, Türkiye’de yerleşik veri sorumlusu tarafından yeterli veri koruması bulunmayan ülkelerde yerleşik veri sorumlusuna/veri işleyene kişisel verilerin aktarımında, ilgili tarafların yeterli bir korumayı yazılı olarak taahhüt etmelerine imkân sağlayan yöntemlerden birini “Taahhütnameler” olarak belirlemiş ve taraflarca hazırlanarak Kurul onayına sunulacak Taahhütnamelerde bulunması gereken asgari unsurları da belirleyerek ilan etmişti. Bu kapsamda söz konusu taahhütnamelerin Kurul tarafından onaylanması akabinde yurt dışına veri aktarımı mümkün olabilmektedir.

Bununla birlikte söz konusu taahhütnameler, genellikle şirketler arasında gerçekleştirilecek iki taraflı veri aktarımlarını kolaylaştırmakla birlikte çok uluslu şirket toplulukları arasında yapılacak veri aktarımları bakımından uygulama pratiğini sağlamakta yetersiz kalabilmektedir. Bu nedenle Kurul tarafından, söz konusu şirketler arasında gerçekleştirilecek uluslararası veri aktarımlarında kullanılmak üzere diğer bir yöntem olarak da “Bağlayıcı Şirket Kuralları” belirlenmiştir.

Bağlayıcı Şirket Kuralları, yeterli korumanın bulunmadığı ülkelerde faaliyet gösteren çok uluslu grup şirketleri için kişisel verilerin yurt dışına aktarımında kullanılan ve yeterli bir korumanın yazılı olarak taahhüt edilmesini sağlayan veri koruma kurallarıdır. Bu kapsama giren şirketlerin, ilgili formu doldurup gerekli talimatları izleyerek Kuruma, Bağlayıcı Şirket Kuralları başvurusu yapması gerekmektedir.

6698 sayılı Kanunun 9 uncu maddesinin (2) numaralı fıkrasının (b) bendi gereğince, söz konusu başvurular Kurul’un iznine tabidir.

Veri Sorumluları İçin Bağlayıcı Şirket Kuralları Başvuru Formu

Veri Sorumluları İçin Bağlayıcı Şirket Kurallarında Bulunması Gereken Temel Hususlara İlişkin Yardımcı Doküman

09/04/2020: Covid-19 ile Mücadelede Konum Verisinin İşlenmesi ve Kişilerin Hareketliliklerinin İzlenmesi Hakkında Bilinmesi Gerekenler

Dünya genelinde yayılma gösteren Covid-19 (Koronavirüs) virüsünün neden olduğu hastalıktan korunmak adına ülkemiz de dâhil olmak üzere tüm devletlerin çeşitli önlemlere ve tedbirlere başvurdukları bilinmektedir. Bu noktada, karantina, sosyal mesafe ve sosyal izolasyon gibi geleneksel tedbirlerin yanında, teknolojik imkanlardan yararlanıldığı da görülmektedir.

Bu kapsamda, çeşitli ülkelerde koronavirüsün yayılımını önlemek amacıyla; mobil uygulamalar vb. yöntemlerle; bu hastalığı taşıyan veya taşıma riski bulunan kişilerle temasa geçenlerin tespit edilmesi, virüsün yayılma haritası çıkartılarak tedavi ve karantina uygulanması, karantinaya alınanların kontrolü, sokağa çıkma yasağının uygulanması, kalabalık yerlerin tespiti gibi amaçlarla ilgili kişilerin sağlık, konum ve iletişim bilgileri gibi kişisel verileri işlenmektedir.

Salgın hastalık vb. durumlarda toplum sağlığının korunması ve böylece kamu düzeni ile kamu güvenliğinin sağlanmasını teminen yetkili kurum ve kuruluşlarca bu tür yöntemlere başvurulması yasal olarak mümkündür. Böyle durumlarda kişisel verilerin güvenliğinin gözetilmesi gerektiği de tartışmasızdır.

Bu çerçevede, konum verilerinin ve kişilerin hareketliliklerinin izlenmesi gibi kişisel verilerin işlenmesinin hukuka uygun olması için, bu faaliyetlerin veri koruma hukukuna egemen olan temel ilkeler çerçevesinde gerçekleştirilmesi gerekmekte olup konunun hukukumuz açısından değerlendirilmesinde fayda görülmüştür.

Konum verisi, Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelikte “Kamuya açık elektronik haberleşme hizmeti kullanıcısına ait bir cihazın coğrafi konumunu belirleyen ve elektronik haberleşme şebekesinde veya elektronik haberleşme hizmeti aracılığıyla işlenen belirli veri” olarak tanımlanmakta olup, gerçek kişileri belirlenebilir kılan konum verisinin 6698 sayılı Kişisel Verilerin Korunması Kanunu (6698 sayılı Kanun) kapsamında kişisel veri olduğu açıktır.

Konum verisinin ilgili kişi ile ilişkilendirilerek kullanılmasının gerekli olduğu durumlarda;

6698 sayılı Kanunun 28 inci maddesinin (1) numaralı fıkrasının (ç) bendinde, kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi halinde Kanun hükümlerinin uygulanmayacağı düzenlenmiştir.

Bu noktadan hareketle salgın hastalık gibi kamu düzeni ve kamu güvenliğini tehdit eden durumlarda bu tehdidi ortadan kaldırabilmek amacıyla salgın hastalık teşhisi konmuş kişilerin bulaşıcılığının sürdüğü dönemde izolasyonlarının temin edilmesine, genel nüfusun konum verilerinin işlenmesi suretiyle kalabalık alanların tespit edilmesine ve bu kapsamda önlemler geliştirilmesine yönelik olarak yetkili kamu kurum ve kuruluşları tarafından gerçekleştirilecek veri işleme faaliyetleri Kanunun 28 inci maddesinin (1) numaralı fıkrasının (ç) bendi kapsamında değerlendirilmektedir.

Bu çerçevede, Covid-19’un sebebiyet verdiği salgın hastalığın kamu güvenliğini ve kamu düzenini tehdit etmesi sebebiyle hastalığın yayılımını engellemek amacıyla konum verisinin anılan madde hükmü kapsamına giren kamu kurum ve kuruluşları tarafından işlenmesinin önünde bir engel bulunmamaktadır.

Diğer taraftan kişilerin konum verilerinin sağlık durumlarıyla ilişkilendirilmek suretiyle işlenmesi sürecinde söz konusu verilerin üçüncü kişilerce ele geçirilmesi halinde ilgili kişiler bakımından ciddi zararlar ortaya çıkabileceği dikkate alınarak, ilgili kurum ve kuruluşların kişisel verilerin güvenliğini sağlamaya yönelik gerekli her türlü teknik ve idari tedbirleri almaları ve bu verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde söz konusu kişisel verilerin silinmesi veya yok edilmesi unutulmamalıdır.

09/01/2020 (Kamuoyu Duyurusu): Şikayetlerin Elektronik Ortamda Kurula İletilmesine İlişkin Duyuru

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun 15. maddesinde “Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.” hükmü yer almakta olup, bu kapsamda Kurumumuza intikal eden şikayetler Kişisel Verileri Koruma Kurulunca sonuçlandırılmaktadır.

Bu süreçte, vatandaşlarımızın başvurularının daha hızlı ve etkin bir şekilde Kurumumuza iletebilmeleri ve takip edebilmelerini teminen “KVKK Şikayet Modülü” 09.01.2020 tarihi itibariyle hizmete açılmış olup, söz konusu Modüle https://sikayet.kvkk.gov.tr internet bağlantısından ulaşılabilmektedir.

Kamuoyuna saygıyla duyurulur.

Şikayet Modülü Kılavuzu

06/01/2020 (Kamuoyu Duyurusu): Kişisel Veri İhlali Bildirimlerinin Elektronik Ortamda Kurula İletilmesine İlişkin Duyuru

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasında veri sorumlusunun;

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu, (5) numaralı fıkrasında ise, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildireceği, Kurulun, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükme bağlanmıştır.

Bu kapsamda 24.01.2019 tarih ve 2019/10 sayılı Kurul kararı ile Kurula yapılacak veri ihlal bildiriminde kullanılmasına karar verilen “Kişisel Veri İhlal Bildirim Form”unun https://ihlalbildirim.kvkk.gov.tr/ internet bağlantısı yoluyla da Kurula iletilebilmesi mümkün hale getirilmiştir.

Kamuoyuna saygıyla duyurulur.

Kişisel Veri İhlali Bildirim Formu Kılavuzu

08/11/2019 (Kamuoyu Duyurusu): Aydınlatma Metinlerinde GDPR'a yapılan atıflara ilişkin

KAMUOYU DUYURUSU

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun ‘Veri Sorumlusunun Aydınlatma Yükümlülüğü’ başlıklı 10 uncu maddesi “(1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.” hükmünü amirdir.

Kurumumuzca yapılan incelemelerde başta medya kuruluşları olmak üzere muhtelif kurum/kuruluş/firma vb veri sorumlularının internet sayfalarında sunulan aydınlatma metinlerinde kişisel verilerin işlenmesi hususunda uygulanan politika ve kurallara yönelik açıklamalarda doğrudan Avrupa Genel Veri Koruma Tüzüğüne (GDPR) atıf yapıldığı görülmektedir.

Bu kapsamda Kişisel Verileri Koruma Kurulunun 30.10.2019 tarih ve 2019/315 sayılı Kararı uyarınca; bahse konu veri sorumluları tarafından aydınlatma yükümlülüğünün yerine getirilmesi amacıyla hazırlanan metinlerde GDPR’a uyum sağlandığına yönelik ifadelere yer verilmesinin, veri sorumlularının 6698 sayılı Kişisel Verilerin Korunması Kanununa karşı yükümlülüklerini ortadan kaldırmadığının, bu itibarla GDPR’a yapılan atıfların yanı sıra söz konusu aydınlatma metinlerinde belirtilen politika ve kuralların öncelikle 6698 sayılı Kişisel Verilerin Korunması Kanununa uygun olduğunun belirtilmesi gerektiğinin hatırlatılmasında fayda görülmektedir.

Diğer taraftan veri sorumlularınca yayımlanan aydınlatma metinlerinde Kanunun 10 uncu maddesi ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin 4 üncü maddesi hükümlerine uygun şekilde;

Veri sorumlusunun ve varsa temsilcisinin kimliği,
Kişisel verilerin hangi amaçla işleneceği,
Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
Kişisel veri toplamanın yöntemi ve hukuki sebebi (Kanunun 5 ve 6 ncı maddesinde yer alan işleme şartlarından hangisine dayanıldığının açıkça belirtilmesi)
İlgili kişinin Kanunun 11 inci maddesinde sayılan diğer hakları

hususlarına açıkça yer verilmesi, muğlak ve belirsiz ifadelerden mutlak surette kaçınılması gerekmektedir.

Kamuoyuna saygıyla duyurulur.

06/11/2019 (Kamuoyu Duyurusu): Kişisel Verilerin Korunması Kanunu Uyum Sürecine İlişkin Duyuru

Kişisel Verilerin Korunması Kanunu Uyum Sürecine İlişkin Duyuru

6698 sayılı Kişisel Verilerin Korunması Kanunu, bununla ilişkili ikincil mevzuat ve Kişisel Verileri Koruma Kurulu’nun vermiş olduğu kararlar çerçevesinde veri sorumlularının yükümlülükleri belirlenmiştir. Bu kapsamda, veri sorumlularının hukuka uygun veri işleme “Veri Sorumluları Sicil Bilgi Sistemine” (VERBİS) kayıt, buna bağlı olarak “Kişisel Veri İşleme Envanteri” ile “Saklama ve İmha Politikası" hazırlama ve kişisel veri güvenliğine ilişkin teknik ve idari tedbirleri almak gibi yükümlülükleri bulunmaktadır.

Veri işleme faaliyetinin yukarıda belirtilen mevzuatlara uyumlu olarak gerçekleştirilmesi için veri sorumlularının ve veri işleyenlerin bu yükümlülüklerin kaynağı olan başta kişisel verilerin işlemesinin genel ilkeleri olmak üzere kişisel veri koruma alanında genel bir bilgi sahibi olması gerektiği yadsınamaz. Bu sebeple, Kişisel Verileri Koruma Kurumu tarafından veri sorumlularının bu yükümlülüklere uyumunu kolaylaştırmak amacıyla birçok rehber, kılavuz ve doküman hazırlanmış ve www.kvkk.gov.tr adresinde paylaşılmıştır. Kurum, ayrıca, ilgili kişileri ve veri sorumlularını aydınlatmak ve hızlı bir şekilde sorularının cevaplanması amacıyla “VERİ Koruma Hattı” (ALO 198) adı ile bir bilgi danışma hattı kurmuştur. Bu çalışmalar, Kurum tarafından düzenli olarak yapılan farkındalık artırma ve bilgilendirme faaliyetleri vasıtasıyla da farklı platformlarda desteklenmektedir.

Kurul, şikâyet üzerine ya da re’sen yaptığı incelemelerde veri sorumlularının bu yükümlülükleri yerine getirip getirmediğini hukuki ve teknik açıdan birçok unsuru içeren geniş bir perspektiften değerlendirmekte ve karar vermektedir. Bu noktada Kurulun, sadece Kanun ve ikincil mevzuatta belirtilen yükümlülüklere uyumu göz önünde bulundurduğunun ve bu uyum çalışmalarının veri sorumlusu bünyesinde ya da dışarıdan destek almak suretiyle yürütülüp yürütülmediği konusunda bir değerlendirmede bulunmadığının belirtilmesi gerekmektedir.

Nihayetinde, veri sorumlularının tabi olduğu yükümlülüklerin çeşitliliği gereği bu yükümlülüklerin ancak disiplinler arası ortak bir çalışmanın neticesinde yerine getirilebilir olduğu hususu da göz önünde bulundurulmalıdır.

Kurum tarafından gerçekleştirilen yukarıda belirtilen çalışmaların neticesinde vatandaşlar ile özel sektör ve kamu kurumlarının temsilcileri arasında kişisel verilerin korunması alanındaki bilgi birikimi son dönemde hızla artmakta ve bu durum kamuoyunda genel farkındalık düzeyine katkı sağlamaktadır.

Önümüzdeki dönemde Kurum; ülkemizdeki farkındalık seviyesi, veri sorumluları-veri işleyenler-ilgili kişilerin beklentileri, kişisel verilerin korunması alanında mevcut uygulama örnekleri, kamu kurumlarının yetki ve görevleri çerçevesindeki rolleri gibi unsurları da göz önüne alarak veri sorumluları ve veri işleyenlerin kurumsal kapasitelerinin arttırılması yoluyla yükümlülüklerini yerine getirmesini kolaylaştıran ve ilgili kişilere kişisel verilerinin işlenmesi sürecinde güven veren bir sertifikalandırma mekanizması üzerinde çalışmalarını sürdürmektedir. Kurum, bu çalışma ile ilgili detayları önümüzdeki dönemde kamuoyu ile paylaşacaktır.

Kamuoyuna saygı ile duyurulur.

24/01/2019 - 2019/9: Veri Sorumlusuna Başvuru ve Kurula Şikayet Sürelerinin Hesaplanmasına İlişkin

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Veri Sorumlusuna Başvuru” başlıklı 13 üncü maddesinin (1) numaralı fıkrasında ilgili kişinin Kanunun uygulanmasına yönelik taleplerini yazılı olarak veya Kişisel Verileri Koruma Kurulunun (Kurul) belirlediği diğer yöntemlerle veri sorumlusuna iletmesi, (2) numaralı fıkrasında ise veri sorumlusunun başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırması gerektiği hükme bağlanmıştır.

Öte yandan, Kanunun “Kurula Şikâyet” başlıklı 14 üncü maddesinin (1) numaralı fıkrasında da başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişinin, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabileceği ifade edilmiştir.

Bu kapsamda, Kurumumuza intikal eden şikâyet başvurularının incelenmesi neticesinde veri sorumlusuna başvuru yolunu tüketen ilgili kişiler tarafından Kurula şikâyette bulunulması sürecinde Kanunda yer alan sürelerin yorumlanmasında farklılıklar olduğu görülmüştür. Bu itibarla Kanunun 14 üncü maddesinin (1) numaralı fıkrası uyarınca;

İlgili kişi tarafından yapılan başvuruya veri sorumlusunca 30 gün içinde bir cevap verilmesi halinde ilgili kişinin veri sorumlusunun cevabını müteakip 30 gün içerisinde şikâyette bulunabileceği, bu itibarla söz konusu hallerde ilgili kişinin veri sorumlusuna başvurduğu tarihten itibaren 60 günlük süresinin bulunmadığı,
İlgili kişi tarafından yapılan başvuruya veri sorumlusunca bir cevap verilmediği durumda ise ilgili kişinin veri sorumlusuna başvurduğu tarihten itibaren 60 gün içinde Kurula şikâyette bulunabileceği,
İlgili kişi tarafından yapılan başvuruya veri sorumlusunca Kanunda tanınan 30 günlük süre sonrasında bir cevap verilmesi halinde ilgili kişinin, Kanunda veri sorumlusuna tanınan 30 günlük süre sonrasında verilecek cevabı beklemekle yükümlü olmadığı ve veri sorumlusuna tanınan sürenin dolması ile birlikte Kurula şikâyette bulunabileceği göz önüne alınarak, ilgili kişinin veri sorumlusunun kendisine cevap verdiği tarihten itibaren 30 gün değil, veri sorumlusuna başvurduğu tarihten itibaren 60 gün içinde Kurula şikâyette bulunabileceği

hususlarının Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/9 sayılı Kararı ile kamuoyuna duyurulması uygun görülmüştür.

Kamuoyuna saygıyla duyurulur.

Kurul Kararları:

İLKE KARARI: 21/04/2022 -Belediyelerin ödeme ve borç sorgulama hizmetleri

Belediyelerin ödeme ve borç sorgulama hizmetleri hakkında Kişisel Verileri Koruma Kurulunun 21/04/2022 Tarihli ve 2022/388 sayılı İlke Kararı

Karar Tarihi	:	21/04/2022
Karar No	:	2022/388
Konu Özeti	:	Belediyelerin ödeme ve borç sorgulama hizmetleri hakkında İlke Kararı

Kişisel Verileri Koruma Kurumuna iletilen çeşitli ihbarlarda belediyelerin çevrimiçi olarak sunmuş olduğu emlak vergisi ödeme/hızlı ödeme veya borç sorgulama sayfalarında yalnızca TC kimlik numarası girilerek vatandaşın emlak bilgilerine ulaşılmasının kişisel verilerin korunması açısından sorun teşkil ettiği ifade edilerek, konunun 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında incelenmesi talep edilmiştir.

Bilindiği üzere Kanunun 12 nci maddesinin (1) numaralı fıkrasında “Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmünü amirdir. Anılan maddenin (4) numaralı fıkrasında veri sorumluları ile veri işleyen kişilerin öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacının dışında kullanamayacağı; (5) numaralı fıkrasında ise işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildireceği, Kurulun, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükümlerine yer verilmiştir.

Bu kapsamda, kişisel verilerin işlenmesi sürecinde veri sorumlularının alması gereken teknik ve idari tedbirler konusunda uygulamada açıklık sağlanması ve iyi uygulama örnekleri oluşturması amacıyla Kişisel Verileri Koruma Kurulu tarafından hazırlanarak Kurum internet sayfasında yayımlanan Kişisel Veri Güvenliği Rehberinde (Teknik ve İdari Tedbirler) kişisel verilere gerekli durumlarda uzaktan erişilmesi halinde iki kademeli kimlik doğrulama kontrolünün uygulanması güvenliğin sağlanması adına alınması gereken tedbirler arasında sayılmaktadır. Bu itibarla kişisel verilere uzaktan erişilmesi halinde 3. kişilerin kolayca ulaşamayacağı şekilde iki aşamalı sorgulama sistemi kullanılması gerekli olup, örneğin kişinin TC kimlik numarası ve doğum günü bilgisinin sorgulanarak erişim imkânı veren sistemler tek kademeli doğrulama olarak belirlenirken, kişinin TC kimlik numarasının yanı sıra kişiye özel oluşturulmuş şifre ya da kişinin daha önce bildirmiş olduğu telefon numarasına iletilen SMS kodu ile erişim sağlanan sistemler iki kademeli doğrulama olarak kabul edilmektedir.

Kişisel Veri Güvenliği Rehberi’nin “Teknik ve İdari Tedbirler Mevcut Risk ve Tehditlerin Belirlenmesi” başlıklı 2.1 maddesinde de “Kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerekmektedir. Bu riskler belirlenirken; kKişisel verilerin özel nitelikli kişisel veri olup olmadığı, mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği, güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği dikkate alınmalıdır. Bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra; söz konusu risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri; maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda değerlendirilmeli, gerekli teknik ve idari tedbirler planlanarak uygulamaya konulmalıdır.” ifadelerine yer verilmektedir. Buna bağlı olarak kişilerin bilgilerine kolayca erişilmesi riskini barındıran tek kademe doğrulama sistemlerinin yerine bu riski önemli ölçüde azaltacak ya da ortadan kaldıracak iki faktörlü doğrulama yöntemleriyle sorgulamaların uygulamaya konulması önem arz etmektedir.

Bu çerçevede belediyeler tarafından emlak vergisi ödeme/hızlı ödeme veya borç sorgulama vb sayfalar aracılığıyla çevrimiçi olarak sunmuş oldukları hizmetler kapsamında Kanunun 12 nci maddesinde yer alan yükümlülüklerin yerine getirilmesi ve herhangi bir veri ihlalinin önlenmesi amacıyla; çift faktörlü doğrulama için ilk doğrulamanın TC kimlik no, ad soyad, vergi no, sicil no gibi verilerle yapılırken ikincil düzeydeki doğrulamanın kişiye özel oluşturulmuş SMS ya da e-postaya iletilen şifre gibi bir sistemle gerçekleştirilmesi, ikincil düzeyde kişiye ait başkalarının da erişebileceği telefon no, doğum tarihi, anne baba adı, sicil no gibi bilgiler yerine sadece kişiye özel olarak belirlenecek ve sadece ilgili kişinin erişebileceği verilerin istendiği sistemler ya da üyelik sistemi ile söz konusu hizmetlerin sunulmasının uygun olacağı değerlendirilmektedir.

Bu değerlendirmeler ışığında;

Belediyelerin emlak vergisi ödeme/hızlı ödeme ve borç sorgulama hizmetlerinde üyelik ve şifre ya da çift faktörlü doğrulama kullanmak sureti ile Kanunun 12 nci maddesi kapsamında gerekli teknik ve idari tedbirleri alması gerektiğine,
Söz konusu önlemleri almayan belediyeler hakkında iletilecek şikayet/ihbarlar doğrultusunda ilgili belediye hakkında Kanunun 18 inci maddesi hükümleri çerçevesinde işlem tesis edileceği hususunda kamuoyunun bilgilendirilmesine,
Belediyelerin emlak vergisi ödeme/hızlı ödeme ve borç sorgulama hizmetlerinde Kanunun 12 nci maddesi kapsamında “üyelik ve şifre” ya da “çift faktörlü doğrulama” kullanılması gerektiği hususunda Kanunun 15 inci maddesinin (6) numaralı fıkrası kapsamında İlke Kararı alınarak Resmi Gazetede ve Kurumun internet sayfasında yayımlanmasına

oybirliği ile karar verilmiştir.

İLKE KARARI: 23/12/2021 - Araç kiralama sektöründeki kara liste uygulamaları

Karar Tarihi : 23/12/2021

Karar No : 2021/1304

Toplantı Sıra Sayısı : 2021/59

Konu Özeti : Araç kiralama sektöründeki kara liste uygulamaları hakkında İlke Kararı

Toplantıya Katılan Üyeler

Başkan : Prof. Dr. Faruk BİLİR

Üyeler : İsmail AYDIN, Bayram ARSLAN, Hasan AYDIN, Şaban BABA,

Murat KARAKAYA, Dr. Ayşenur KURTOĞLU, Dr. Cengiz PAŞAOĞLU

Kişisel Verileri Koruma Kurumuna intikal eden ihbarlar kapsamında Kanunun 15'inci maddesi çerçevesinde Kişisel Verileri Koruma Kurulu (Kurul) tarafından yürütülen incelemeler sonucunda araç kiralama sektöründe "kara liste" yazılımlarına/programlarına/uygulamalarına başvurulduğu anlaşılmıştır.

Araç kiralama sektöründe kullanılan bahse konu "kara liste" uygulamaları ile,

Araç kiralama yazılımcısı ve satıcısı kişilerin araç kiralama firmalarına (veya araç kiralama işi yapan gerçek kişilere) "kara liste" özelliği de içeren araç kiralama yazılımları sundukları,
Araç kiralama firmaları tarafından söz konusu yazılımlara kendi müşterileri olan araç kiralayan gerçek kişilerin kişisel verilerinin işlendiği; işlenen bu veriler arasında araçların kullanım sürecinde meydana gelen olumsuzlukları veya araç kiralama firmasının yorumlarını da içeren "kara liste" bilgilerinin yer aldığı,
Bu bilgilerin araç kiralama firmaları tarafından sonraki kiralamalar için karar verirken kullanılmak üzere işlendiği,
Öte yandan bahse konu yazılımların, bir araç kiralama firmasının kendi girdiği verileri diğer araç kiralama firmalarına da açmasına da olanak veren sistemler olarak tasarlandığı,
Dolayısıyla araç kiralama firmasından yazılıma, yazılımdan ise söz konusu yazılımı kullanan diğer araç kiralama firmalarına kara listeye ilişkin veri akışı/paylaşımı sağlayan bir sistem oluşturulduğu, araç kiralayan ilgili kişilerin kişisel verilerinin de böylece karşılıklı olarak paylaşılmakta olduğu,
Genel olarak yazılım şirketleri tarafından sunulan hizmetin, SaaS (Software as a Service) şeklinde olduğu, SaaS hizmetinin gereği olarak veri tabanı ve yazılımın yönetiminin yazılım şirketlerinde olup araç kiralama firmalarında ve gerektiğinde teknik destek ve geliştirme sağlayabilmesi için yazılım şirketlerinde admin yetkisine sahip kullanıcıların atandığı, sunulan hizmet türü hazır bir SaaS hizmeti olduğundan kaynak kod halinde sunulmadığı, araç kiralama firmalarının yazılım kodlarına müdahalesine izin verilmediği, bu sebeple araç kiralama firmalarının yetkilerinin içerik sağlamakla sınırlı olduğu,
Araç kiralayan bir gerçek kişinin, müşterisi olduğu araç kiralama firmasına kiralama sözleşmesi kapsamında gerekli olan kişisel verilerini sağlarken, bu süreçte firmaya sağladığı verilerin, firma ile yaşadığı olumlu/olumsuz ilişkinin, araca verdiği zarar, ödeme sürecinde yaşanan sorunlar gibi kişisel verilerinin kara liste özelliği içeren yazılımlar vasıtasıyla müşterisi olduğu araç kiralama firması haricinde bilinmeyen sayıda kullanıcı ile paylaşıldığına dair bilgi sahibi olmadığı anlaşılmıştır.

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun (Kanun) "Tanımlar" başlıklı 3'üncü maddesinin 1 numaralı fıkrasının (ç) bendinde ilgili kişi, "kişisel verisi işlenen gerçek kişi", (d) bendinde kişisel veri, "kimliği belirli veya belirlenebilir gerçek kişi ve ilişkin her türlü bilgi", (e) bendinde kişisel verilerin işlenmesi, "Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem", (ı) bendinde veri sorumlusu, "kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi" olarak tanımlanmıştır.

"Kişisel Verilerin İşlenme Şartları" başlıklı Kanun'un 5'inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükme bağlanmıştır.

Kanunun 8'inci maddesinde "(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. (2) Kişisel veriler; 5'inci maddenin ikinci fıkrasında, yeterli önlemler alınmak kaydıyla, 6'ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması halinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir. (3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır." hükmü düzenlenmiştir.

Öte yandan, Kanun 'un 11'inci maddesi ilgili kişinin haklarını düzenlemekte olup maddenin 1 (g) bendi, "işlenen kişisel verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme" hakkını içermektedir.

Kanunun 12 inci maddesinde ise, veri sorumlularının kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda oldukları hüküm altına alınmıştır.

1774 sayılı Kimlik Bildirme Kanununun ilgili maddeleri gereğince araç kiralama faaliyetinin kolluk kuvvetlerine bildirilme zorunluluğu bulunmaktadır. Dolayısıyla, araç kiralama firmalarının Kiralık Araç Bildirim Sistemine (KABİS) veri girişi yapmaları bağlamında kişisel veri işlemeleri, Kanunun 5'inci maddesinin 2 numaralı fıkrasının (a) bendinde yer alan "Kanunlarda açıkça öngörülmesi" işleme şartı ile (ç) bendinde yer alan "veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması" işleme şartları kapsamında değerlendirilebilecektir.

Ayrıca, araç kiralama işi taraflar arasında akdedilen bir sözleşme kapsamında gerçekleştirilmekte olduğundan Kanunun 5'inci maddesinin 2 numaralı fıkrasının (c) bendinde yer alan "bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması" işleme şartı kapsamında ilgili kişilerin kişisel verilerinin araç kiralama firmalarınca işlenmesi mümkündür.

Kara liste benzeri veri kayıtları bakımından ise kişisel verilerin işletme faaliyetleri ile sınırlı olmak üzere işlenmesi ile yazılım firmaları aracılığıyla diğer veri sorumlularına açılmasının farklılık arz edeceği değerlendirilmektedir. Kanun'un 5'inci maddesinin 2 numaralı fıkrasının (f) bendinde "ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması" işleme şartı düzenlenmiş olup ilgili kişinin temel hak ve özgürlükleri ile veri sorumlusunun meşru menfaatleri arasında yapılacak denge testi sonucunda meşru menfaatin baskın gelmesi durumunda, işletme faaliyetleri ile sınırlı olmak kaydıyla, başka bir ifadeyle veri sorumlusu bünyesinde olmak üzere kara liste kaydı yapılmasının somut olaya göre ayrıca değerlendirilmek koşuluyla uygulanabilir olabileceği; ancak işlenen kişisel verilerin aynı yazılımı kullanan diğer veri sorumlularına (diğer araç kiralama firmalarına) açılması halinde ilgili kişinin temel hak ve özgürlüklerinin ihlal edilmeme şartının karşılanamayacağı değerlendirilmektedir.

Ayrıca bir araç kiralama firmasının işlediği kişisel verileri yazılım vasıtasıyla bilinmeyen sayıda araç kiralama firması ile paylaşmasının Kanunun 4'üncü maddesinde düzenlenen Genel İlkelerden "hukuka ve dürüstlük kurallarına uygun olma", "belirli, açık ve meşru amaçlar için işlenme", "amaçla bağlantılı, sınırlı ve ölçülü olma" ilkelerine aykırılık teşkil edeceği değerlendirilmektedir.

Öte yandan, ihbara konu kara liste uygulamalarında araç kiralama firmaları, gerçek kişi müşterilerden kişisel verileri ilk elden toplayan veri sorumlularıdır. Ancak, kara liste kaydına erişimin bir firma ile sınırlı kalmadığı, yazılıma aktarılan kişisel verilere yazılımı kullanan diğer araç kiralama firmalarının da erişim sağlayabildiği ve veri üzerinde hakimiyetleri olduğu dikkate alındığında, kara liste kaydını kendi menfaatleri doğrultusunda kullanan araç kiralama şirketleri ile yazılım şirketlerinin ortak veri sorumluluğunun ortaya çıkacağı değerlendirilmektedir. Ortak veri sorumlularına ilişkin sorumluluk ve kusur miktarlarının belirlenmesi açısından her halükarda olay bazında veri işleme süreçlerinin incelenmesi; kusurun ve söz konusu veri üzerindeki kontrolün kimde olduğunun tespiti gerekecektir. Ortak veri sorumluları arasında kusurluluk belirlenirken işlenen verinin ilk ve son kullanıcısının kim olduğu; veri girişini kimin yaptığı; hangi amaçla söz konusu verinin girildiği; verinin değiştirilmesine veya silinmesine yahut aktarılmasına kimin karar verdiği; veriyi toplayan dışında kalan veri sorumlularının bu veri ile hangi faaliyetleri gerçekleştirdiği vb. etkenlere dikkat edilecektir.

Araç kiralama sektöründe kara liste uygulamalarının ilgili kişinin hakları bakımından da değerlendirilmesi gerekmektedir. Kara liste kapsamında kişisel veri işlenmesi kişilerin Kanun'un 11 'inci maddesinden kaynaklanan haklarını gereği gibi kullanabilmelerinin önünde engel teşkil edecektir. Şöyle ki, bu tür bir veri işleme kara liste uygulamalarının doğası gereği, kişi hakkında olumsuz bir sonuca ulaşılmasını, bu olumsuz sonucun kara listeye işlenmesini ve kişi hakkında bu olumsuz sonuca göre karar verilmesini içereceği için, yapılan profilleme neticesinde ilgili kişi hakkında olumsuz bir sonuç ortaya çıkacak; ancak araç kiralayan ilgili kişinin kişisel verilerinin paylaşıldığı diğer araç kiralama firmalarının kim olduğunu bilebilecek durumda olmaması nedeniyle, Kanunun 11 'inci maddesinden kaynaklanan haklarını bu veri sorumluları nezdinde ileri sürebilmesi güçleşecektir.

Tüm bu değerlendirmeler ışığında;

Kanunun 4'üncü maddesinde düzenlenen genel ilkelere, Kanun'un 5'inci maddesinde düzenlenen işleme şartlarına ve Kanunun 8'inci maddesinde düzenlenen aktarıma ilişkin hükümlere aykırı olarak araç kiralama sektöründe kara liste uygulamaları kapsamında kişisel verilerin işlenmesi halinde, söz konusu veriler üzerinde hakimiyeti bulunan araç kiralama şirketlerinin yazılım şirketleri ile ortak veri sorumlusu olarak değerlendirileceklerine,
Hukuka aykırı bu gibi uygulamalara son verilerek, araç kiralama sektöründe kişisel veri işleme süreçlerinin Kanuna uygun olmasını teminen Kanun'un 12'nci maddesinde düzenlenen gerekli teknik ve idari tedbirlerin veri sorumlularınca alınması gerektiğine,
Söz konusu önlemleri almaksızın ve Kanun hükümlerine aykırı şekilde araç kiralama sektöründe kara liste uygulamasına başvuran veri sorumluları hakkında Kanunun 18 inci maddesi hükümleri çerçevesinde işlem tesis edileceği hususunda kamuoyunun bilgilendirilmesine,

6698 sayılı Kişisel Verilerin Korunması Kanununun 15 inci maddesinin altıncı fıkrası hükmü uyarınca alınan bu İlke Kararının Resmi Gazete ile Kurumun İnternet sitesinde yayımlanmasına

oybirliği ile karar verilmiştir.

09/06/2021 - Vakıf, Dernek ve Sendikalara Ait İktisadi İşletmelerin Sicile Kayıt Yükümlülüğü

Karar Tarihi	:	09/06/2021
Karar No	:	2021/571
Konu Özeti	:	Vakıf, Dernek ve Sendikalara Ait İktisadi İşletmelerin Sicile Kayıt Yükümlülüğüne İlişkin Kararın Resmi Gazete’de Yayımlanması

I. Kararın Konusu ve Hukuki Dayanağı

6698 sayılı Kişisel Verilerin Korunması Kanununun (6698 sayılı Kanun) 16 ncı maddesinin ikinci fıkrasında yer alan “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.” hükmüne göre kural olarak kişisel veri işleyen gerçek ve tüzel kişilerin Veri Sorumluları Siciline (Sicil) kayıt yükümlülüğü bulunmakla birlikte Kişisel Verileri Koruma Kurulu (Kurul) tarafından bu yükümlülüğe istisna getirilebilmektedir.

Bu kapsamda, Kurulun 22/04/2020 tarihli ve 2020/315 sayılı Kararı ile değişik 02/04/2018 tarihli ve 2018/32 sayılı Kararı uyarınca “yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalar” için Sicile kayıt yükümlülüğüne istisna getirilmiştir.

Bununla birlikte, Kurumumuza iletilen bazı yazılı ve şifahi görüş taleplerinde; vakıf, dernek veya sendikalara ait iktisadi işletmelerin Sicile kayıt yükümlülüğü hususunda tereddütler yaşandığının ifade edilmesi üzerine yapılan değerlendirme sonucunda;

22/04/2020 tarihli ve 2020/315 sayılı Karar ile değişik 02/04/2018 tarihli 2018/32 sayılı Kurul Kararında yer alan “yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalar” ifadesinin “yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalardan kendisine bağlı herhangi bir iktisadi işletmesi bulunmayanlar” olarak değiştirilmesinin,
Yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalardan kendisine bağlı herhangi bir iktisadi işletmesi bulunanların Sicile kayıt olmaları ile Sicile kayıtları esnasında yalnızca iktisadi işletmelerin faaliyetlerine ilişkin bilgi girişi yapmalarının,
Anılan Kararın Kurum internet sayfası ve Resmi Gazetede yayımlanmasının

gerektiği kanaatine varılmıştır.

II. Sonuç

Kurumumuza iletilen bazı yazılı ve şifahi görüş taleplerinde; vakıf, dernek veya sendikalara ait iktisadi işletmelerin Sicile kayıt yükümlülüğü hususunda tereddütler yaşandığının ifade edilmesi üzerine Kurul tarafından yapılan değerlendirme sonucunda;

22/04/2020 tarihli ve 2020/315 sayılı Karar ile değişik 02/04/2018 tarihli 2018/32 sayılı Kurul Kararında yer alan “yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalar” ifadesinin “yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalardan kendisine bağlı herhangi bir iktisadi işletmesi bulunmayanlar” olarak değiştirilmesine,
Yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalardan kendisine bağlı herhangi bir iktisadi işletmesi bulunanların Sicile kayıt olmaları ile Sicile kayıtları esnasında yalnızca iktisadi işletmelerin faaliyetlerine ilişkin bilgi girişi yapmalarının gerektiğine,
Anılan Kararın Kurum internet sayfası ve Resmi Gazetede yayımlanmasına

oybirliği ile karar verilmiştir.

11/03/2021 - Veri Sorumluları Siciline Kayıt Tarihlerinin Uzatılması

Karar Tarihi	:	11/03/2021
Karar No	:	2021/238
Konu Özeti	:	Veri Sorumluları Siciline kayıt tarihlerinin uzatılması

Dünyada olduğu gibi ülkemizde de etkisini gösteren salgın nedeniyle Sicile kayıt yükümlülüğünün yerine getirilmesi hususunda zorluklar yaşandığı gerekçesiyle Sicile kayıt sürelerinin uzatılmasına ilişkin birçok veri sorumlusu veya bunların bağlı olduğu üst kuruluşlar ile bazı kamu kurumları ve kamu kurumu niteliğindeki meslek kuruluşları tarafından Kuruma intikal ettirilen taleplerin değerlendirilmesi neticesinde;

Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine,
Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine,
Kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşu veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine

kadar uzatılmasına,

Anılan kararın Kurum internet sayfasında duyurulması ve Resmi Gazetede yayımlanmasına

oybirliği ile karar verilmiştir.

İLKE KARARI: 22/12/2020 - Veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına Kanuna aykırı şekilde gönderilen üçüncü kişilere ait kişisel veriler

Karar Tarihi	:	22/12/2020
Karar No	:	2020/966
Konu Özeti	:	Veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına Kanuna aykırı şekilde gönderilen üçüncü kişilere ait kişisel veriler hakkında İlke Kararı

Kişisel Verileri Koruma Kurumuna intikal eden şikâyet ve ihbarlar kapsamında; e-ticaret, telekomünikasyon, ulaşım, turizm gibi muhtelif sektörlerde faaliyet gösteren veri sorumlularınca, fatura, ekstre, rezervasyon belgesi gibi kişisel veri içeren dokümanların sms ve/veya e-posta vasıtasıyla gönderimini teminen ilgili kişilerden telefon numarası ve/veya e-posta adreslerini beyan etmelerinin istenildiği, bununla birlikte ilgili kişiler tarafından söz konusu bilgilerin beyanında yanlışlık olabildiği veya yine ilgili kişilerce üçüncü kişilere ait bilgilerin beyan edilmesi neticesinde, ilgili kişilere ait verileri içeren bahse konu dokümanların üçüncü kişilere iletildiği görülmektedir.

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun 4 üncü maddesinin (1) numaralı fıkrasında kişisel verilerin ancak bu kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği hüküm altına alınmış ve (2) numaralı fıkrasında kişisel verilerin işlenmesinde “a) Hukuka ve dürüstlük kuralına uygun olma b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.” ilkelerine uyulmasının zorunlu olduğu düzenleme altına alınmıştır.

Bu ilkeler arasında yer alan kişisel verilerin doğru ve gerektiğinde güncel bir şekilde tutulması, veri sorumlusunun çıkarına uygun olduğu gibi ilgili kişinin temel hak ve özgürlüklerinin korunması açısından da gerekli olup, veri sorumlusunun eğer kişisel verilere dayalı olarak ilgili kişiye dair bir sonuç oluşturuyor ve doğuruyorsa kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması noktasında aktif özen yükümlülüğü bulunmaktadır. Bunun dışında veri sorumlusunun her zaman ilgili kişinin bilgilerinin doğru ve gerektiğinde güncel olmasını temin edecek kanalları açık tutması önem arz etmektedir. Aksi takdirde, kişilerin, güncel olmayan veya yanlış tutulan kişisel verileri nedeniyle maddi ve manevi zarar görmesi gündeme gelebilecektir. Bu anlamda, kişisel verilerin doğru ve gerektiğinde güncel tutulabilmesini temin etmek amacıyla; kişisel verilerin elde edildiği kaynakların belirli olması ve kişisel verilerin toplandığı kaynağın doğruluğunun tespit edilmesi ile kişisel verilerin doğru olmamasından kaynaklı ilgili kişiler açısından olumsuz sonuçlar ortaya çıkmasının önlenmesi kapsamında ilgili kişilerce beyan edilen iletişim bilgilerinin doğrulanmasına yönelik ( telefon numarası ve/veya e-posta adresine doğrulama kodu/linki gönderilmesi vb.) makul önlemler alınması gerekli görülmektedir.

Öte yandan, Kanunun 12 inci maddesinde veri sorumlularının kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda oldukları hüküm altın alınmıştır.

Bu kapsamda; veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına, 6698 sayılı Kişisel Verilerin Korunması Kanununa aykırılık oluşturacak şekilde üçüncü kişilerin kişisel verilerini içeren ekstre, fatura vb. belgelerin gönderilmesinin önlenmesini teminen; Kanunun 12 nci maddesinin (1) numaralı fıkrası gereğince veri sorumluları tarafından kendilerine bildirilen iletişim bilgilerinin doğruluğunu teyit edecek mekanizmaların oluşturulması adına gerekli idari ve teknik tedbirlerin alınması hususunda Kanunun 15 inci maddesinin 6 numaralı fıkrası uyarınca İlke Kararı alınmasına ve söz konusu İlke Kararının Kurumun internet sayfasında ve Resmi Gazetede ilan edilmesine oybirliği ile karar verilmiştir.

İlke Kararının Yayımlandığı Resmî Gazete’nin
Tarihi	Sayısı
15/01/2021	31365

23/06/2020 - Kişilerin Ad ve Soyadı ile Arama Motorları Üzerinden Yapılan Aramalarda Çıkan Sonuçların İndeksten Çıkarılması

Kişilerin Ad ve Soyadı ile Arama Motorları Üzerinden Yapılan Aramalarda Çıkan Sonuçların İndeksten Çıkarılmasına Yönelik Talepler ile ilgili olarak Kişisel Verileri Koruma Kurulunun 23/06/2020 Tarihli ve 2020/481 Sayılı Kararı

Karar Tarihi : 23/06/2020
Karar No : 2020/481
Konu Özeti : Kişilerin Ad ve Soyadı ile Arama Motorları Üzerinden Yapılan Aramalarda Çıkan Sonuçların İndeksten Çıkarılmasına Yönelik Talepler

Kurumumuza intikal eden muhtelif başvurularda, ilgili kişilerin medya kuruluşlarına ait çeşitli internet sitelerinde yer alan haberlerde geçen isim ve soy isimlerinin ya da haberlerin 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) hükümleri kapsamında silinmesinin talep edildiği, bunun yanı sıra bazı başvurularda ise söz konusu gazete arşivlerinin arama motorları tarafından indekslenmeyecek şekilde teknik düzenlemeye tabi tutulması hususunda gerekli kararların alınmasının istenildiği görülmekte olup Kurumumuza intikal eden bu yöndeki taleplerin “Unutulma Hakkı” kapsamında bir bütün olarak Kurulumuzca değerlendirilmesi gereği hasıl olmuştur.

Unutulma hakkının çeşitli yargı kararları ve uluslararası kurumların organlarının görüşleri doğrultusunda literatürde, “bireyin geçmişte hukuka uygun olarak yayılmış ve doğru nitelikteki bilgilerinin zamanın geçmesine bağlı olarak erişimden kaldırılmasını ya da gündeme getirilmemesini talep edebilmesi” olarak tanımlandığı görülmektedir.

Bilindiği üzere Anayasa’nın 20 nci maddesine 2010 Anayasa değişikliği ile eklenen “... Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” hükmü ile bireylere kişisel verilerin silinmesini talep etme hakkı tanınmaktadır.

Öte yandan, Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde kişisel verilerin işlenmesinde uyulması zorunlu ilkeler arasında doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme ve kişisel verilerin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi sayılmış, ayrıca Kanunun 11 inci maddesinin birinci fıkrasının (e) bendinde ilgili kişiye kişisel verilerin silinmesini veya yok edilmesini isteme hakkının tanındığı, 7 nci maddesinde ise kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesinin düzenlendiği, mezkur hükümde; Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği, bu hususta diğer kanunlarda yer alan hükümlerin saklı olduğu ve buna ilişkin usul ve esasların ise yönetmelikle düzenleneceğinin hükme bağlandığı görülmektedir.

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 8 inci maddesinde kişisel verilerin silinmesinin kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi olarak tanımlandığı ve veri sorumlusunun bunu sağlamaya yönelik olarak gerekli her türlü teknik ve idari tedbirleri almakla yükümlü olduğu belirtilmektedir.

Diğer taraftan Kanunun yürürlüğe girmesinden önce dahi “unutulma hakkı”nın yargı kararlarına konu olduğu, internet haber arşivinde bulunan bir haberin içeriğinin yayından kaldırılması talebine ilişkin olarak Anayasa Mahkemesi’nin 03.03.2016 tarihli ve 2013/5653 Başvuru Numaralı Kararında, “bireyin geçmişte haber yapılmış ve gerçeğe aykırılığı ileri sürülmemiş davranışlarının artık hatırlanmasının engellenmesi”nin hukuki mesele olarak ortaya konulduğu, internet haber arşivlerindeki kişisel verilere erişimin engellenerek kişilerin yaptıklarının unutulmasının sağlanması yönündeki talebin unutulma hakkı olarak nitelendirildiği, ayrıca kararda; “Başvuru tarihi itibarıyla söz konusu haberin yaklaşık on dört yıl önceki bir olaya ilişkin olduğu ve böylelikle güncelliğini yitirdiği açıktır. İstatistiki ve bilimsel amaçlar yönünden de yukarıda ifade edilen gerekçelerle bu bilgilere internet ortamında kolaylıkla ulaşılmayı gerekli kılan bir neden bulunmamaktadır. Bu bağlamda kamu yararı bakımından siyasi veya medyatik bir kişiliğe sahip olmayan başvurucu hakkında internet ortamında yayınlanan haberlerin kolaylıkla ulaşılabilirliğinin başvurucunun itibarını zedelediği açıktır.” denilmek suretiyle unutulma hakkının nasıl ele alınması gerektiğine ilişkin kriterler belirlenerek haberlerin kişinin Anayasa’nın 17 nci maddesinde güvence altına alınan şeref ve itibarın korunması hakkını ihlal ettiğine karar verilmiştir.

Kararda ayrıca unutulmayı etkin kılacak yöntemlerden de söz edildiği, buna göre, 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun'un 9 uncu maddesinde erişimin engellenmesinin kapsamının kişilik hakkının ihlalinin gerçekleştiği yayın, kısım, bölüm ile ilgili olarak (URL vb.) içeriğe erişimin engellenmesi yöntemiyle verileceği ve zorunlu olmadıkça internet sitesinde yapılan yayının tümüne yönelik erişimin engellenmesine karar verilemeyeceği belirtilmiş olup buna ek olarak, “... alınacak tedbirlerin kişinin şeref ve itibarına yönelik müdahaleleri unutulma hakkı gereğince engellemek için arşivde arama yapmaya imkân tanıyan haber ile kişi arasında ilişki kuran kişisel verilerin silinmesi, haberin anonim hâle getirilmesi, haber içeriğinin bir kısmına erişimin engellenmesi gibi birçok yöntem benimsenebilir. Bu bağlamda yargının görevinin, İnternet ortamının sağladığı kolaylıkla zamanla kişilerin itibarına yönelik müdahale oluşturan haberleri tamamen ortadan kaldırarak geçmişte meydana gelmiş olayların yeniden yazılmasını sağlamak olmadığı dikkate alınmalıdır. İnternet haber arşivinin bir bütün olarak basın özgürlüğünün koruması altında olduğu unutulmamalıdır...” denilmek suretiyle kişisel verilerin silinmesine ve anonim hale getirilmesine yapılan atıfla erişimin kısmi olarak engellenmesi ve kişi ile haber arasında bağlantının koparılması yollarıyla söz konusu hakla basın özgürlüğü arasında nasıl denge kurulabileceğinin gösterildiği, burada Kanunun yürürlüğe girmesinden önce silme ve anonim hale getirmenin unutulma hakkını hayata geçirmeye yönelik bir yöntem olarak ifade edilmesinin önemli olduğu, zira Yüksek Mahkeme kararında unutulma hakkına bir üst kavram olarak yaklaşıldığı, silme ve anonim hale getirmeyi ise bu hakkı tesis etmeye yönelik bir yol olarak sunulduğu anlaşılmaktadır.

Yine davacının isminin rumuzlanmadan bir kitapta yer almasına ilişkin olarak verilmiş olan Yargıtay Hukuk Genel Kurulu’nun 17.06.2015 tarihli E:2014/4-56, K:2015/1679 sayılı Kararında unutulma hakkının; üstün bir kamu yararı olmadığı sürece, dijital hafızada yer alan geçmişte yaşanılan olumsuz olayların bir süre sonra unutulmasını, başkalarının bilmesini istemediği kişisel verilerin silinmesini ve yayılmasının önlenmesini isteme hakkı olarak ifade edildiği, bireyin geçmişinde yaşadığı olumsuz etkilerden kurtularak geleceğini şekillendirebilmesinin bireyin yararına olduğu gibi toplumun kalitesinin gelişmişlik seviyesinin yükselmesine de etkisinin tartışılmaz olduğu ifade edilerek unutulma hakkının gereği gibi sağlanmasının bireye faydası olduğu kadar topluma da faydası olduğunun vurgulandığı, bunun da ötesinde kararda unutulma hakkı tanımlarına bakıldığında her ne kadar dijital veriler için düzenlenmiş ise de, bu hakkın özellikleri ve bu hakkın insan haklarıyla arasındaki ilişkisi dikkate alındığında; yalnızca dijital ortamdaki kişisel veriler için değil, kamunun kolayca ulaşabileceği yerde tutulan kişisel verilere yönelik olarak da kabul edilmesi gerektiğinin ifade edildiği görülmektedir.

Unutulma hakkına ilişkin olarak Kanunun yürürlüğe girmesinin ardından verilen Yargıtay 19. Ceza Dairesi’nin 05.06.2017 tarihli E:2016/15510, K:2017/5325 sayılı kararında; bir internet sitesinde yer alan haberin güncellik değerini yitirdiği, dolayısıyla haberin o tarihte “gerçeklik ve doğruluk” kriterlerini karşılamasının artık bir önemi kalmadığı, adı geçen habere istenildiği zaman ulaşılmasının, toplum açısından yanlış algılamaya yol açabileceği, haberin yayında kalmasının toplumun ilerlemesi, gelişmesi için bir katkı sağlamayacağı, kamu yararına toplum hafızasında yer etmesi gibi bir etkisi olmadığı, haberin içeriğini oluşturan kişilerin toplumu temsil ve topluma hizmet etme gayesiyle seçilmiş veya atanmış siyasilerden olmadığı gibi, topluma kendini anlatma ve toplumu aydınlatma gayesiyle eser veren sanatçılardan veya aydınlardan da olmaması nedeniyle suç geçmişlerine dair bilgilerin kamuyu ilgilendirmediği belirtilerek unutulma hakkının ifade ve basın özgürlüğüne üstün tutulduğu, ayrıca kararda Kanuna atıf yapılmasa da unutulma hakkının kişisel verilerin korunması hakkı içinde ele alındığı anlaşılmaktadır.

Uluslararası hukukta unutulma hakkı Birleşmiş Milletler, Avrupa Konseyi ve Avrupa Birliği sistemleri yönünden ele alındığında öncelikle ilk iki sistem içinde mevzuat düzeyinde unutulma hakkının tanımlanmadığı, ancak anılan kurumların mevzuatlarında yer alan özel hayata saygı, şöhretin korunması, kişisel bilgilerin gizliliği gibi bazı haklar üzerinden unutulma hakkına ilişkin sonuçlara ulaşılan kararlara ya da raporlara rastlandığı görülmektedir. Öte yandan;

Avrupa Birliği Adalet Divanının (ABAD) 2014 yılında verdiği Google İspanya kararında özetle; arama motorunda yapılan aramada çıkan sonuçların “geçersiz, eksik, tamamen ilgisiz veya sonradan ilgisiz hale gelmiş” ise arama motorları tarafından internet ortamına yüklenen amacını aşan söz konusu kişisel verilerin ve buna ilişkin sonuç listesinde yer alan bilgilerin silinmesi gerektiğinin belirtildiği, kararda ayrıca ilke olarak kişinin özel hayatının gizliliği hakkının, arama motorunun ekonomik çıkarı ile söz konusu kişi adına yapılan arama üzerine kamunun bilgiye erişim hakkının diğer bir ifadeyle bilgi alma hakkının üzerinde olduğu, bu kuralın yalnızca kamunun bilgiyi öğrenmede üstün bir yararı bulunmakta ise uygulanmayacağının ifade edildiği,
29. Madde Çalışma Grubu’nun ABAD’ın mezkur kararının uygulanmasına ilişin rehber ilkelerinde de kavramsal olarak “unutulma hakkı”nın kullanılmadığı, burada daha çok indeksten çıkarılma hakkı, arama motoru sonuçlarındaki linklerin gizlenmesi gibi kavramlar üzerinden konunun ele alındığı,
25 Mayıs 2018 tarihinde yürürlüğe giren Avrupa Genel Veri Koruma Tüzüğü’nün (Tüzük) “Silme hakkı (‘Unutulma Hakkı’)” başlıklı 17 nci maddesindeki düzenlemenin incelenmesinden, unutulma hakkının ayrıca tanımlanmadığı ve “silme” yükümlülüğü kapsamında değerlendirildiği, bu hakkın kullanımı bakımından Kanunun ilgili hükümlerine benzer şekilde veri işleme şartlarının ortadan kalkmış olması durumuna atıfta bulunulduğu ve bu hakkın istisnalarına (yasal yükümlülük, kamu yararına gerçekleştirilen bir görevin yerine getirilmesi, halk sağlığı alanındaki kamu yararı, kamu yararına arşivleme, bilimsel veya tarihi araştırma amaçları, istatistiki amaçlar, yasal iddialarda bulunulması, bu iddiaların uygulanması veya savunulması) yer verildiği
görülmektedir.

Bu kapsamda, unutulma hakkının uygulanmasında mevzuatımızda kavramsal olarak söz konusu hakka yer verilmese bile hukukumuzda bu hakkı sağlamaya yönelik araçların bulunduğunun açık olduğu, bu araçların örneğin, 5651 sayılı Kanunun özel hayatın gizliliği nedeniyle içeriğe erişimin engellenmesi yönündeki düzenlemesi olabileceği gibi Kanunun silmeyi düzenleyen 7 nci maddesi de olabileceği, bu itibarla, yukarıda yer verilen açıklamalardan hareketle, unutulma hakkının, Anayasanın 20 nci maddesinin üçüncü fıkrası hükmü ile 6698 sayılı Kanunun 4 üncü, 7 nci ve 11 inci maddelerinde ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 8 inci maddesinde yer verilen düzenlemelerle iç hukukumuz açısından karşılanabileceği ve ayrı bir hak olarak tanımlanmasına gerek olmadığı; öte yandan unutulma hakkını sağlamaya yönelik olarak veri işleme faaliyetinin durdurulması, silme, yok etme veya anonim hâle getirme ile indeksten çıkarma işleminden somut olaya göre en uygun olan araca karar verilebileceği, zira unutulma hakkı içinde pek çok hakkı barındıran bir üst kavramken, sayılanların bu hakkı tesis etmeye yönelik araçlar olarak ele alındığında Kanunla hedeflenen gayenin gerçekleşmesine de katkı sunulabileceği değerlendirilmektedir.

Bu çerçevede, Kurumumuza intikal eden medya kuruluşlarına ait çeşitli internet sitelerinde yer alan haberlerde yer verilmek suretiyle işlenen kişisel verilerinin kaynaktan silinmesine yönelik başvurular, bu basın organlarının veri sorumlusu olduğu noktasından hareketle Kanunun ilgili hükümleri çerçevesinde Kurulca değerlendirilerek karara bağlanmakla birlikte, kişilerin unutulma hakkı kapsamında ad ve soyadları üzerinden arama motorlarından yapılan aramalarda çıkan sonuçların indeksten çıkarılmasına yönelik talepleri kapsamında Kanunda ve ilgili alt düzenlemelerde herhangi bir açık hükme yer verilmediğinden, bu nitelikteki başvuruların ne şekilde ele alınacağı hususunun değerlendirilmesi gereği ortaya çıkmaktadır.

Yukarıda yer verilen değerlendirmeler çerçevesinde;

Kurumumuza intikal eden başvurulara konu “Unutulma Hakkı”nın bir üst kavram olarak ele alınmak suretiyle Anayasanın 20 nci maddesinin üçüncü fıkrası hükmü ile 6698 sayılı Kanunun 4 üncü, 7 nci ve 11 inci maddelerinde ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 8 inci maddesinde yer verilen düzenlemeler çerçevesinde değerlendirildiği,
Yine Kurumumuza yapılan başvurularda yer verilen arama motorlarından ad ve soyadı ile yapılan aramalarda kişinin kendisiyle bağlantılı sonuçlara ulaşılmamasını isteme hakkının indeksten çıkarılma talebi olarak nitelendirildiği,
Bu kapsamda, arama motorlarının, üçüncü taraflara ait internette topladıkları verilerin işlenmesinin amaç ve vasıtalarını belirledikleri göz önünde bulundurularak Kanunun 3 üncü maddesinde yer verilen tanım çerçevesinde veri sorumlusu olarak kabul edildiği,
Arama motorunun işletmecisinin otomatik, düzenli ve sistematik olarak internette yayınlanan bilgiyi bulduğu, daha sonra kendi indeksleme programları çerçevesinde alıp, kaydedip, organize ettiği kişisel verileri arama sonuçlarının listesi formunda düzenlediği, sunucuları üzerinde sakladığı, belirli durumlarda açıkladığı ve kullanıcılarına sunduğu dikkate alındığında arama motorları tarafından gerçekleştirilen faaliyetlerin Kanunun 3 üncü maddesi kapsamında ‘kişisel veri işleme” faaliyeti olarak değerlendirildiği,
Bu kapsamda, Kanunun başvuru ve şikâyet hakkına ilişkin hükümlerinde belirtilen usul ve süreler esas alınarak ilgili kişilerin, arama sonuçlarının indeksten çıkarılmasına yönelik talepleri ile ilgili olarak öncelikle arama motorlarına başvuruda bulunmaları, veri sorumlusu arama motorlarının söz konusu talepleri reddetmeleri veya başvuru sahibine cevap vermemeleri halinde ilgili kişilerce Kurula şikâyette bulunabilecekleri,
İlgili kişilerce yapılacak başvurunun şekli ve istenilecek bilgi ve belgelerin arama motorları tarafından belirleneceği,
İlgili kişinin arama motorları üzerinden kendi adı ve soyadı ile yapacağı bir arama sonucunda gösterilen sonuçların indeksten çıkarılmasına yönelik taleplerin değerlendirilmesinde, ilgili kişinin temel hak ve özgürlükleri ile kamunun söz konusu bilgiyi edinmesinden sağlayacağı menfaatler arasında bir denge testi yapılması, yarışan menfaatlerden hangisinin ağır bastığının gözetilmesi ve bu değerlendirme yapılırken öncelikli olarak aşağıda belirtilen linkte yer verilen açıklamaların dikkate alınması ancak bu konudaki şikâyetlerin değerlendirme sürecinde dikkate alınacak kriterlerin bunlarla sınırlı olmayacağı, her somut olay özelinde Kurulca ilave ölçütlerin de gündeme gelebileceği,
İlgili kişilerin, arama motorları üzerinden kendi ad ve soyadları ile yapılacak aramalar neticesinde gösterilen sonuçların indeksten çıkarılmasına yönelik taleplerinin veri sorumlusu arama motorları tarafından reddedilmesi veya taleplerine cevap verilmemesi halinde Kurula başvuruda bulunulurken aynı zamanda doğrudan yargı yoluna başvurmalarının da mümkün bulunduğu
hususlarının kamuoyuna duyurulmasına,

Bu kararda yer alan usul ve esasların arama motoru işleticisi şirketlere bildirilmesi ve ilgili kişilerce internet siteleri üzerinden unutulma hakkının uygulanabilmesini teminen iletişim kanallarının ülkemiz vatandaşları tarafından da kullanılabilmesine yönelik gerekli aksiyonların alınmasının sağlanmasına

karar verilmiştir.

Kişilerin Ad ve Soyadı ile Arama Motorları Üzerinden Yapılan Aramalarda Çıkan Sonuçların İndeksten Çıkarılmasına İlişkin Değerlendirmede Dikkate Alınacak Kriterler

23/06/2020 - Veri Sorumluları Siciline Kayıt Tarihlerinin Uzatılması

"Veri Sorumluları Siciline Kayıt Tarihlerinin Uzatılması İle İlgili Kişisel Verileri Koruma Kurulunun 23/06/2020 Tarihli ve 2020/482 Sayılı Kararı

Karar Tarihi : 23/06/2020
Karar No : 2020/482
Konu Özeti : Veri Sorumluları Siciline kayıt tarihlerinin uzatılması

Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 30.09.2020 tarihine,
Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.03.2021 tarihine,
Kamu kurum ve kuruluşu veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.03.2021 tarihine,
kadar uzatılmasına,

Anılan kararın Kurum internet sayfasında duyurulması ve Resmi Gazete’de yayımlanmasına
oybirliği ile karar verilmiştir.

22/04/2020 - Veri Sorumluları Siciline Kayıt Yükümlülüğünden İstisna Tutulacak Veri Sorumluları

Karar Tarihi	:	22/04/2020
Karar No	:	2020/315
Konu Özeti	:	Dernek, vakıf ve sendikaların Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulması

6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesi gereği Veri Sorumluları Siciline kayıt yükümlülüğüne istisna getirilen 02.04.2018 tarihli ve 2018/32 sayılı Kurul kararının 3 üncü maddesinde yer alan dernek, vakıf ve sendikalarla ilgili istisna hususundaki başvurular üzerine Kurul tarafından yapılan değerlendirme sonucunda;

Sicile kayıt yükümlülüğüne istisna getirilen 02.04.2018 tarihli ve 2018/32 sayılı Kurul kararının 3 üncü maddesinde yer alan “04/11/2004 tarihli ve 5253 sayılı Dernekler Kanununa göre kurulmuş derneklerden, 20/02/2008 tarihli ve 5737 sayılı Vakıflar Kanununa göre kurulmuş vakıflardan ve 18/10/2012 tarihli 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler.” ifadesinin “yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalar” olarak değiştirilmesinin,
Anılan Kararın Kurum internet sayfası ve Resmi Gazetede yayımlanmasının

kabulüne oybirliği ile karar verilmiştir.

İLKE KARARI: 18/10/2019 - Muhtelif yollarla elde edilen veriler üzerinden vatandaşların kimlik ve iletişim bilgileri gibi kişisel verilerinin sorgulanmasına imkân tanıyan yazılım/program/uygulamaların kullanılması

21.11.2019 Tarih 30955 sayılı Resmi Gazete

Kişisel Verileri Koruma Kurumuna intikal eden ihbarlar kapsamında avukatlar/hukuk büroları ile finans, gayrimenkul danışmanlık, sigorta vb. sektörlerde faaliyet gösteren bazı kişi ve kuruluşlar tarafından muhtelif yollarla elde edilen veriler üzerinden vatandaşların kimlik ve iletişim bilgileri gibi kişisel verilerinin sorgulanmasına imkân tanıyan yazılım/program/uygulamaların kullanılmakta olduğu tespit edilmiştir. Yapılan değerlendirme sonucunda bu durumun, 6698 sayılı Kişisel Verilerin Korunması Kanununun veri sorumlularının veri güvenliğine ilişkin yükümlülüklerini düzenleyen 12 nci maddesi hükümlerine aykırılık oluşturduğu dikkate alınarak, yaşanabilecek veri güvenliği ihlallerinin önüne geçilmesini teminen;

- Bu mahiyetteki yazılımları/programları/uygulamaları kullandığı tespit edilenler hakkında Türk Ceza Kanunu kapsamında gerekli adli işlemlerin tesisi için konunun, 5271 sayılı Ceza Muhakemesi Kanununun 158 inci maddesi hükmü uyarınca ihbaren ilgili Cumhuriyet Başsavcılıklarına bildirileceği,

- Kişisel Verileri Koruma Kurulunun görev alanına giren yönüyle de veri sorumluları hakkında 6698 sayılı Kişisel Verilerin Korunması Kanununun 18 inci maddesi hükmü çerçevesinde idari işlem tesis edileceği

hususlarında kamuoyunun bilgilendirilmesine,

- 6698 sayılı Kişisel Verilerin Korunması Kanununun 15 inci maddesinin altıncı fıkrası hükmü uyarınca alınan bu ilke kararının Resmi Gazete ile Kurumun internet sitesinde yayımlanmasına

oybirliği ile karar verilmiştir.

18/09/2019 - 2019/271: Veri sorumlusu tarafından ilgili kişiye yapılan veri ihlali bildiriminde yer alması gereken asgari unsurlar

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasında veri sorumlusunun;

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak

Kişisel Verileri Koruma Kurulunun (Kurul) 24.01.2019 tarih ve 2019/10 sayılı kararı ile veri ihlali bildiriminin “Veri sorumlusunca söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılmasına” karar verilmiştir.

Söz konusu hüküm ve Kurul kararı kapsamında Kuruma intikal eden veri ihlal bildirimlerinin değerlendirilmesi sürecinde; kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde veri sorumlusunun bu durumu Kurula ve ihlalden etkilenmiş kişilere bildirmesinde amacın, ihlal nedeniyle bu kişiler hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesi veya en aza indirilmesine imkan verecek önlemler alınmasını sağlamak olduğu dikkate alındığında veri sorumlularının söz konusu ihlale ilişkin ilgili kişilere yapacağı bildirimlerde hangi unsurların bulunması gerektiğinin açıkça düzenlenmesi gerekliliği doğmuştur.

Bu kapsamda Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/271 sayılı Kararı ile;

Veri sorumlusu tarafından ilgili kişiye yapılacak olan ihlal bildiriminin açık ve sade bir dille yapılması ve asgari olarak;

İhlalinin ne zaman gerçekleştiği,
Kişisel veri kategorileri bazında (kişisel veri / özel nitelikli kişisel veri ayrımı yapılarak) hangi kişisel verilerin ihlalden etkilendiği,
Kişisel veri ihlalinin olası sonuçları,
Veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler,
İlgili kişilerin veri ihlali ile ilgili bilgi almalarını sağlayacak irtibat kişilerinin isim ve iletişim detayları ya da veri sorumlusunun web sayfasının tam adresi, çağrı merkezi vb. iletişim yolları

unsurlarına yer verilmesi gerektiğine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.

03/09/2019 - 2019/265: VERBİS Kayıt Sürelerinin Uzatılması

Karar Tarihi	: 03/09/2019
Karar No	: 2019/265
Konu Özeti	:VERBİS Kayıt Sürelerinin Uzatılması

Türkiye Odalar ve Borsalar Birliği (TOBB) ile muhtelif sektör temsilcileri tarafından Kuruma intikal ettirilen Veri Sorumluları Siciline (Sicil) kayıt sürelerinin uzatılmasına ilişkin taleplerin değerlendirilmesi neticesinde;

Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2019 tarihine kadar uzatılmasına,
Bu kararın Kurum internet sayfasında duyurulması ve Resmî Gazete’de yayımlanmasına

oybirliği ile karar verilmiştir.

02/05/2019 - 2019/125: Yeterli korumanın bulunduğu ülkelerin tayininde kullanılmak üzere oluşturulan form

Karar Tarihi	: 02/05/2019
Karar No	: 2019/125
Konu Özeti	:Yeterli korumanın bulunduğu ülkelerin tayininde kullanılmak üzere oluşturulmuş form

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 9 uncu maddesinde; kişisel verilerin, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağı, kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulunun (Kurul) izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın söz konusu verilerin yurt dışına aktarılabileceği düzenlenmiştir. Ayrıca maddede yeterli korumanın bulunduğu ülkelerin Kurulca belirlenerek ilan edileceği ve söz konusu ülkelerin ilanında değerlendirilecek hususlar hüküm altına alınmıştır.

Bu kapsamda Kanunun 9 uncu maddesi uyarınca yeterli korumanın bulunduğu ülkelerin Kurulca belirlenmesinde kullanılmak üzere Kurulun 02/05/2019 tarih ve sayılı 2019/125 sayılı Kararında kabul edilen ilgili kriterlere aşağıda belirtilen bağlantı üzerinden erişim sağlanabilir.

Yeterli Korumaya Sahip Ülkelerin Belirlenmesinde Esas Alınacak Kriterler

24/01/2019 - 2019/10: Kişisel Veri İhlali Bildirim Usul Ve Esaslarına İlişkin

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasında veri sorumlusunun;

Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
Kişisel verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu, (5) numaralı fıkrasında ise, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kuruluna (Kurul) bildireceği, Kurulun, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükme bağlanmıştır.

Veri ihlal bildirimlerinde, Kurula ve ihlalden etkilenmiş kişilere bildirim yapılmasındaki amacın, ihlal nedeniyle bu kişiler hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesi veya en aza indirilmesine imkan verecek önlemler alınmasını sağlamak olduğu, öte yandan 6698 sayılı Kanuna kaynak teşkil eden Avrupa Birliğinin 95/46/EC sayılı Direktifini ilga eden Avrupa Genel Veri Koruma Tüzüğünde de veri ihlal bildirimlerine ilişkin olarak Direktifin aksine detaylı düzenlemelere yer verildiği dikkate alındığında Kurul tarafından bu konuda alınacak kararlar arasında herhangi bir uyumsuzluğa mahal verilmemesi ve uygulamada bir standartlaşma sağlanabilmesini teminen; Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10 sayılı Kararı ile;

Kanunun 12 nci maddesinin (5) numaralı fıkrasının “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir….” hükmünde yer alan “en kısa sürede” ifadesinin 72 saat olarak yorumlanmasına ve bu kapsamda veri sorumlusunun bu durumu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirmesine, veri sorumlusunca söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılmasına,
Veri sorumlusu tarafından Kurula haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurula açıklanmasına,
Kurula yapılacak bildirimde aşağıda yer verilen “Kişisel Veri İhlal Bildirim Form”unun kullanılmasına,
Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgilerin gecikmeye mahal verilmeksizin aşamalı olarak sağlanmasına,
Veri sorumlusu tarafından veri ihlallerine ilişkin bilgilerin, etkilerinin ve alınan önlemlerin kayıt altına alınması ve Kurulun incelemesine hazır halde bulundurulmasına,
Veri işleyen nezdinde bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri işleyenin bu konuda herhangi bir gecikmeye yer vermeksizin veri sorumlusuna bildirimde bulunmasına,
Veri ihlalinin yurtdışında yerleşik veri sorumlusu nezdinde yaşanması halinde, bu ihlalin sonuçlarının Türkiye’de yerleşik ilgili kişileri etkilemesi ve ilgili kişilerin sunulan ürün ve hizmetlerden Türkiye’de faydalanmaları durumunda, bu veri sorumlusu tarafından da aynı esaslar çerçevesinde Kurula bildirimde bulunulmasına,
Veri ihlali gerçekleşmesi halinde veri sorumlusu tarafından kendi nezdinde kimlere raporlama yapılacağı, Kanun kapsamında yapılacak bildirimler ile veri ihlalinin olası sonuçlarının değerlendirilmesi hususunda, kendi nezdindeki sorumluluğun kimde olduğunun belirlenmesi gibi konuları içeren bir veri ihlali müdahale planı hazırlanarak belirli aralıklarla bu planın gözden geçirilmesine

karar verilmiştir.

Kişisel Veri İhlali Bildirim Formu

Kamuoyuna saygıyla duyurulur.

27.05.2019 - 2019/52: Kurul kararının yerine getirilmemesi hakkında

Karar Tarihi	: 05/03/2019
Karar No	: 2019/52
Konu Özeti	:Kurul kararının yerine getirilmemesi hakkında

2019/23 sayılı Kurul kararının şirkete tebliği sonrasında Şirket internet sitesi üzerinde muhtelif tarihlerde herhangi bir form numarasının son iki hanesinin değiştirilmesi suretiyle farklı form numaraları ile yapılan sorgulamalarda;

Başka cihazlara ait sorgulamaların halen gerçekleştirilebildiği ve başka bir güvenlik doğrulamasının da yapılmadığı,
Yapılan sorgulama sonucunda açılan sayfada kişilerin isim ve soy isimleri, IMEI numaraları ile cihazın sevk edildiği adresin baş ve son harfleri hariç maskelendiği, IMEI numaralarının, sorgulama yapılan ilk sayfada maskelenmiş şekilde gösterilmekle birlikte, aynı sayfada yer alan “Cihaz Kayıt Görüntüleri için Tıklayınız” linki seçildiğinde açılan yeni pencerede kamera görüntülerine ulaşabilmek için yönlendirilen linkin uzantısında IMEI numaralarının halen açık şekilde gösterildiği, söz konusu sayfada numaranın kime ait olduğuna ilişkin tanımlayıcı bir bilgiye yer verilmediği ancak, sorgu sayfasının aşağısında yer alan “Kargonuzu Görüntülemek İçin Tıklayınız” linki seçildiğinde gönderinin yapıldığı kargo firmasına yapılan yönlendirme ile ulaşılan sayfada gönderiyi teslim alan kişinin adı ve soyadı açıkça yer aldığından gönderiyi kendisi teslim alan müşteriler açısından IMEI numaraları ile cihaz sahibinin eşleştirilmesinin mümkün olabileceği,

görülmüş olup, söz konusu sorgulamalara ilişkin ekran çıktıları alınmış ve tutanağa bağlanmıştır.

Bu itibarla,

2019/23 sayılı Kurul Kararı çerçevesinde Şirkete tebliğ edilen “...söz konusu aykırılığın ivedilikle giderilmesi, bahse konu aykırılığın giderildiği hususunun Kurula tevsiki sağlanıncaya kadar işbu Kararda yer alan linklerin kullanımının derhal durdurulması...” şeklindeki talimatın Şirket tarafından Kurul Kararına uygun olarak yerine getirilmediği dikkate alındığında, Kanunun 15 inci maddesine aykırı olarak uyarınca Kurul tarafından verilen kararı yerine getirmeyen Şirket hakkında Kanunun 18 inci maddesi çerçevesinde 50.000 TL idari para cezası uygulanmasına,
Öte yandan, Şirkete ait internet sitesinde herhangi bir sorgu numarasının son iki hanesini değiştirmek suretiyle başka cihaz ve sahiplerine ilişkin sorgulamaların halen yapılabildiği dikkate alındığında, asıl güvenlik açığının giderilmediği bu kapsamda, cihaz takibi için sorgulama yapılabilmesine imkan veren sistemin değiştirilmesi, diğer taraftan halihazırda sorgulama yapılan sisteme erişimin ivedilikle kapatılması hususunda Şirketin talimatlandırılmasına

karar verilmiştir.

05/12/2018 - 2018/143 : Sağlık Verilerinin Kanunun 6 ncı Maddesinde Yer Alan İşleme Şartlarından Birine Dayanmadan Üçüncü Kişilere Aktarımı Hakkında

Yayım Tarihi: 18.02.2019

Doktor kontrolünde ilaç kullanan ilgili kişinin, özel nitelikli bu sağlık verisinin ilaçların temin edildiği eczane tarafından her hangi bir işleme şartına dayanmadan üçüncü kişiyle paylaşılması hususunda Kuruma yapılan şikâyet başvurusu hakkında;

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6 ncı maddesinin (1) numaralı fıkrasında kişilerin sağlık verilerinin özel nitelikli kişisel veri olduğu belirtilmiştir. Mezkur maddenin (2) numaralı fıkrasında özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesi yasaklanmış bununla birlikte, (3) numaralı fıkrada özel nitelikli kişisel verilerin açık rıza aranmadan işlenebileceği diğer haller sayılmıştır. Buna göre sağlık verilerinin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebileceği belirtilmiştir. Kanunun “Kişisel verilerin aktarılması” başlıklı 8 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın aktarılamayacağı hükme bağlanmış olup, anılan maddenin (2) numaralı fıkrasında ise kişisel verilerin açık rıza aranmaksızın aktarılabileceği haller Kanunun 5 inci maddesinin (2) numaralı fıkrası ile 6 ncı maddesinin (3) numaralı fıkrasına atıfta bulunmak suretiyle belirlenmiştir.

Öte yandan, Kanunun 12 nci maddesinin (1) numaralı fıkrası, veri sorumlusunun;

Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
Kişisel verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğunu düzenlemektedir. Anılan maddenin (4) numaralı fıkrasında ise veri sorumluları ile veri işleyen kişilerin öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacının dışında kullanamayacağı hükmüne yer verilmiştir.

Bu kapsamda, doktor kontrolünde ilaç kullanan ilgili kişinin sağlığı ile ilgili özel nitelikli kişisel verilerinin, ilaçları temin ettiği eczane tarafından 6698 sayılı Kişisel Verilerin Korunması Kanununun 8 inci maddesinde sayılan şartlar sağlanmadan üçüncü kişiyle paylaşılmasının Kanunun 12 nci maddesinin (4) numaralı fıkrasına aykırılık teşkil etmesi nedeniyle veri sorumlusu eczane hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmıştır.

26/07/2018 - 2018/91: Kişisel Verilere Hukuka Aykırı Erişilmesini Önleme Hakkında

Yayım Tarihi: 18.02.2019

Bir hazır giyim firmasının internet sitesi üzerinden üyelik bilgileri ile alışveriş yapan kişinin teslimat adresi, ad, soyadı, adres ve telefon numarası gibi kişisel bilgilerinin şirkete ait bu internet sitesi üzerinden alışveriş yapan üçüncü kişilerce erişilebilir hale gelmesi sebebiyle Şirkete başvuruda bulunarak kişisel verilerinin sistemlerinden silinmesini, yok edilmesini, ulaşılamaz hale getirilmesini, yurtiçi ve yurt dışında başka bir kurumla paylaşıldı ise o kurumlar nezdinde de silinmesini ve yok edilmesini talep etmesi üzerine Şirketten aldığı cevabı yetersiz bulması neticesinde Kuruma yapılan başvuru hakkında;

6698 sayılı Kişisel Verilerin Korunması Kanununun 7 nci maddesi “(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. (2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır” hükmünü amirdir.

Kanunun “İlgili Kişinin Hakları” başlıklı 11 inci maddesinin (1) numaralı fıkrasında ise herkesin, veri sorumlusuna başvurarak kendisiyle ilgili; yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme hakları düzenlemektedir.

Diğer yandan, Kanunun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (1) numaralı fıkrasında veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu hüküm altına alınmıştır.

- Şikâyetçinin kişisel verilerinin alışveriş işlemleri için girildiği, ancak anılan bilgilerin aynı zamanda başka müşterilerin alışverişe ilişkin işlemleri sırasında görülebilir hale geldiği, Şirket tarafından Kuruma sunulan savunma ve belgelerde, şirketin şikâyete konu durumdan olayla birlikte haberdar olduğu, olayın sistemsel bir hatadan kaynaklandığının tespit edildiği, ilgili departmanlar arasında istişarelerde bulunularak başka müşterilerin de mağduriyet yaşamamaları amacıyla bir takım önlemlerin alındığı ve derhal uygulama sürümünün çıkarıldığı hususlarına ilişkin açıklamaları birlikte değerlendirildiğinde Şirket tarafından bahsi geçen mağduriyet öncesinde Kanunun 12 nci maddesinin (1) numaralı fıkrası kapsamında kişisel verilerin muhafaza edilmesi ve kişisel verilere hukuka aykırı erişilmesini önleme amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirlerin alınamadığı sonucuna varıldığından; Şirket hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmasına,

- Şikâyetçinin her türlü kişisel verisinin Şirket sistemlerinden silinmesi, yok edilmesi, ulaşılamaz hale getirilmesi, yurtiçi ve yurt dışında başka bir kurumla paylaşıldı ise o kurumlar nezdinde de silinmesi ve yok edilmesi talebiyle ilgili olarak Şirketin taraflarınca yapılan işlemler hakkında açıklamalarını, tevsik edici belgelerle birlikte Kanunun 15 inci maddesinin (5) numaralı fıkrası gereğince kararın tebliğinden itibaren 30 gün içerisinde Şikâyetçiye iletmesi yönünde talimatlandırılmasına

karar verilmiştir.

28/06/2018 - 2018/69: Sicil Dosyalarındaki Kişisel Verilerin İmha Edilmesi Hakkında

Yayım Tarihi: 18.02.2019

Devlet memurlarının, memuriyet döneminde haklarında açılmış inceleme-soruşturma dosyalarına ilişkin evrakların imha edilmesi talebinin veri sorumlusu kamu kurumunca yerine getirilmemesi üzerine Kuruma yapılan başvuru hakkında;

6698 sayılı Kişisel Verilerin Korunması Kanununun 7 nci maddesinde “(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. (2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır” hükümlerine yer verilmiştir.

Öte yandan, 657 sayılı Kanunun “Memur Bilgi Sistemi, Özlük Dosyası” başlıklı 109 uncu maddesinde “Memur Bilgi Sistemi, Özlük Dosyası” başlıklı 109 uncu maddesinde her memur için bir özlük dosyasının tutulacağı ve bu dosyada memurun mesleki bilgileri, mal bildirimleri; varsa inceleme, soruşturma, denetim raporları, disiplin cezaları ile ödül ve başarı belgelerine ilişkin bilgi ve belgelerin konulacağı hükmüne; Kamu Personeli Genel Tebliğinin (Seri No: 2) “D” bölümünde ise görevleri herhangi bir şekilde sona eren memurların özlük dosyalarının kurumlarınca saklanacağı hükmüne yer verilmiştir.

Buna ek olarak, 16.05.1988 tarihli ve 19816 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren Devlet Arşiv Hizmetleri Hakkında Yönetmelik’in “Tarifler” başlıklı 3 üncü maddesinin

- (a) bendinde “Arşiv malzemesi: Türk Devlet ve Millet hayatını ilgilendiren ve en son işlem tarihi üzerinden otuz yıl geçmiş veya üzerinden onbeş yıl geçtikten sonra kesin sonuca bağlanmış olup, birinci maddede belirtilen kuruluşların işlemleri sonucunda teşekkül eden ve onlar tarafından muhafazası gereken, Türk Milletinin geleceğine tarihi, siyasî, sosyal, hukukî ve teknik değer olarak intikal etmesi gereken belgeler ve Devlet hakları ile milletlerarası hakları belgelemeye, korumaya, bunlarla ilgili işlem ve münasebetler bakımından tarihî, hukukî, idarî, askeri, iktisadî, dinî, ilmî edebî estetik, kültürel biyografik, jeneolojik ve teknik herhangi bir konuyu aydınlatmaya, düzenlemeye, tespite yarayan, ayrıca ait olduğu devrin ahlâk, örf ve âdetlerini veya çeşitli sosyal özelliklerini belirten her türlü yazılı evrak, defter, resim, plan, harita, proje, mühür, damga, fotoğraf, film, ses ve görüntü bandı, baskı ve benzeri belgeleri ve malzemeyi”,

- (b) bendinde “Arşivlik malzeme: Yukarıdaki bentte sayılan her türlü belge ve malzemeden zaman bakımından henüz arşiv malzemesi vasfını kazanmayanlarla, son işlem tarihi üzerinden yüzbir yıl geçmemiş memuriyet sicil dosyaları, Devletin gerçek ve tüzel kişilerle veya yabancı devlet ve milletlerarası kuruluşlarla akdettiği ikili ve çok taraflı milletlerarası antlaşmalar, tapu tahrir defterleri, tapu ve nüfus kayıtları, aynı özellikteki vakfiyelerden ait oldukları kamu kurum ve kuruluşları ile il, ilçe, köy ve belediyelere ait sınır kâğıtları gibi belgeleri”,

- (c) bendinde “Birim arşivi: Kurum ve kuruluşların görev ve faaliyetleri sonucu kendiliğinden teşekkül eden ve bu kuruluşların çeşitli birimlerinde, aktüalitesini kaybetmemiş olarak aktif bir biçimde ve günlük iş akımı içinde kullanılan arşivlik malzemenin belirli bir süre saklandığı arşiv birimlerini (Mükelleflerin taşra, bölge ve yurt dışı kuruluşlarında bulunan arşivler de birim arşivi sayılır.)”,

- (d) bendinde “Kurum arşivi: Kurum ve kuruluşların, merkez teşkilâtları içinde yer alan ve arşiv malzemesi ile arşivlik malzemenin, birim arşivlerine nazaran daha uzun süreli saklandığı merkezî arşivleri”,

- (e) bendinde ise “Mükellefler: 28/9/1988 tarihli ve 3473 sayılı Muhafazasına Lüzum Kalmayan Evrak ve Malzemenin Yok Edilmesi Hakkında Kanun Hükmünde Kararnamenin Değiştirilerek Kabulü Hakkında Kanunun 1 inci maddesinde sayılan kurum ve kuruluşları”

şeklinde tanımlanmıştır.

Bu çerçevede, 3473 sayılı Muhafazasına Lüzum Kalmayan Evrak ve Malzemenin Yok Edilmesi Hakkında Kanun Hükmünde Kararnamenin Değiştirilerek Kabulü Hakkında Kanunun “Amaç ve Kapsam” başlıklı 1 inci maddesinde “Bu Kanunun amacı, genel ve katma bütçeli dairelerle (saklama, ayıklama ve imha işlemleri kendi mevzuatına tabi olmak kaydıyla Cumhurbaşkanlığı, Türkiye Büyük Millet Meclisi, Genelkurmay Başkanlığı, Milli Savunma Bakanlığı, İçişleri Bakanlığı, (Ek ibare: 1/2/2000 - 4516/1 md.) Dışişleri Bakanlığı ve Milli İstihbarat Teşkilatı hariç) mahalli idareler, üniversiteler ve bunlara bağlı sabit ve döner sermayeli kuruluşlar, kamu iktisadi teşebbüsleri, özel kanunlarla kurulan kamu bankaları ve teşekkülleri elinde bulunan ve arşivlerinde arşiv malzemesi ve arşivlik malzeme niteliği taşımayan, muhafazasına lüzum görülmeyen, yok edilecek evrak ve her türlü malzemenin, ayıklama ve imha işlemlerine dair usul ve esasları düzenlemektir.” hükmü yer almakta olup, bu tanımdan hareketle genel bütçe kapsamındaki kamu idarelerinden olan Bakanlık da mükellef olarak değerlendirilmektedir.

Buna ek olarak, Devlet Arşiv Hizmetleri Hakkında Yönetmelik’in “Birim ve Kurum Arşivleri” başlıklı 5 inci maddesinde mükelleflerin, belirli bir süre saklayacakları arşivlik malzeme için birim arşivlerini, daha uzun bir süre saklayacakları arşiv malzemesi veya arşivlik malzeme için kurum arşivlerini kuracakları ve ellerinde bulunan arşivlik malzemelerin birim arşivlerinde 1-5 yıl süre ile saklanacağı ile “Kurum Arşivine Devredilecek Malzemenin Ayrılması” başlıklı 19 uncu maddede de birim arşivinde saklanma süresini tamamlayan arşivlik malzemenin, “Kurum Arşivine Devredilecek” olanlar şeklinde ayrılacağı hüküm altına alınmıştır.

Devlet memurlarının, memuriyet döneminde haklarında açılmış inceleme-soruşturma dosyalarına ilişkin evrakların imha edilme talebinin veri sorumlusu kamu kurumunca yerine getirilmemesi üzerine Kuruma yapılan başvuru kapsamında, imha edilmesi talep edilen kişisel bilgilerin, ilgili kişinin devlet memuru olduğu dönemde hakkında açılmış inceleme-soruşturma dosyalarına ilişkin evraklar olması ve bu itibarla söz konusu evrakların, 657 sayılı Kanun gereğince özlük dosyalarında saklanması gerektiği, Kamu Personeli Genel Tebliğine (Seri No: 2) göre özlük dosyalarının dördüncü bölümünde yer alacağı ile görevi herhangi bir şekilde sona eren memurların özlük dosyalarının kurumlarınca saklanacağı ve Devlet Arşiv Hizmetleri Hakkında Yönetmeliğe göre son işlem tarihi üzerinden yüz bir yıl geçmemiş memuriyet sicil dosyaları içerisinde yer aldığı hususlarından hareketle, 6698 sayılı Kanunun 7 inci maddesinde belirtildiği üzere kişisel verilerin işlenmesini gerektiren sebeplerin de henüz ortadan kalkmaması dolayısıyla şikayetçinin talebinin veri sorumlusu tarafından karşılanmamasının uygun olduğuna karar verilmiştir.

İLKE KARARI: 16/10/2018 - 2018/119: Veri sorumluları ve veri işleyenler tarafından ilgili kişilerin e-posta adreslerine veya SMS ya da çağrı ile cep telefonlarına reklam bildirimleri/aramaları yönlendirilmesinin önüne geçilmesini teminen ilke kararı alınması

Karar Tarihi	: 16/10/2018
Karar No	: 2018/119
Konu Özeti	: Veri sorumluları ve veri işleyenler tarafından ilgili kişilerin e-posta adreslerine veya SMS ya da çağrı ile cep telefonlarına reklam bildirimleri/aramaları yönlendirilmesinin önüne geçilmesini teminen ilke kararı alınması

6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) hükümlerine aykırı olarak ilgili kişilerin açık rızaları alınmaksızın e-posta adreslerine veya SMS veya çağrı ile cep telefonlarına reklam bildirimleri/aramaları geldiği hususunda Kişisel Verileri Koruma Kurumuna (Kurum) intikal eden çok sayıda başvuru ile bu kapsamda yürütülmekte olan incelemeler çerçevesinde ulaşılan tespitler dikkate alınarak;

- İlgili kişilerin rızalarını almadan veya Kanunun 5 inci maddesinin (2) numaralı fıkrasında hüküm altına alınan işleme şartlarını sağlamadan, telefon numaralarına SMS göndermek, arama yapmak veya e-posta adreslerine posta göndermek suretiyle reklam içerikli ileti yönlendiren veri sorumluları ile veri sorumluları adına reklam içerikli mesaj/e-posta göndermek veya arama yapmak amacıyla ilgili kişilerin açık rızaları bulunmaksızın bu verileri kullanan veri işleyenlerin söz konusu veri işleme faaliyetlerini Kanunun 15 inci maddesinin (7) numaralı fıkrası uyarınca derhal durdurması gerektiği,

- Kanunun 12 nci maddesi kapsamında veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu ve kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, anılan tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumlu olduğu,

- Belirtilen şekilde söz konusu faaliyetlerde bulunan veri sorumluları hakkında Kanunun 18 inci maddesi hükümleri çerçevesinde işlem tesis edileceği,

- Bahse konu şekilde işlenen kişisel verilerin hukuka aykırı olarak elde edilmiş olabileceği de göz önüne alınarak 5237 sayılı Türk Ceza Kanununun “Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme” başlıklı 136 ncı maddesi çerçevesinde ilgili veri sorumluları hakkında gerekli hukuki işlemlerin tesisi için konunun 5271 sayılı Ceza Muhakemesi Kanununun 158 inci maddesi uyarınca ihbaren ilgili Cumhuriyet Başsavcılığına bildirileceği

hususlarında kamuoyunun bilgilendirilmesine ve bu İlke Kararının Kurumun internet sitesi ile Resmi Gazetede yayımlanmasına oy birliği ile karar verilmiştir.

19/07/2018 - 2018/88: Sicile kayıt yükümlülüğünün başlama tarihleri

Karar Tarihi	: 19/07/2018
Karar No	: 2018/88
Konu Özeti	: Sicile kayıt yükümlülüğünün başlama tarihleri

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 16 ncı maddesinin (2) numaralı fıkrasında yer alan “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.” hükmü ile Kanunun Geçici 1 inci maddesinin 2 nci fıkrasında yer alan “Veri sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır.” hükmü göz önünde bulundurularak;

- Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.10.2018 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.09.2019 tarihine kadar süre verilmesinin kabulüne,

- Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.10.2018 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.09.2019 tarihine kadar süre verilmesinin kabulüne,

- Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.01.2019 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 31.03.2020 tarihine kadar süre verilmesinin kabulüne,

- Kamu kurum ve kuruluşu veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.04.2019 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.06.2020 tarihine kadar süre verilmesinin kabulüne

- Bu kararın Kurum internet sayfası ile Resmi Gazetede yayımlanmasına

oybirliği ile karar verilmiştir.

19/07/2018 - 2018/87: Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanların Sicile kayıt yükümlülüğünden istisna tutulması

Yayım Tarihi: 18.08.2018

6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin (2) numaralı fıkrasında yer alan “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.” hükmü ile 30 Aralık 2017 tarih ve 30286 sayılı Resmî Gazetede yayımlanarak yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmeliğin “İstisna Kriterleri” başlıklı 16 ncı maddesi göz önünde bulundurularak; 02.04.2018 tarihli ve 2018/32 sayılı Kurul Kararı ile istisna tutulan veri sorumlularına ilave olarak, yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanların; Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulmasına ve bu kararın Kurum internet sayfası ile Resmi Gazetede yayımlanmasına oybirliği ile karar verilmiştir.

05/07/2018 - 2018/75: Arabulucuların Veri Sorumluları Siciline Kayıt Zorunluluğundan İstisna Tutulması

Karar Tarihi	: 05/07/2018
Karar No	: 2018/75
Konu Özeti	: Adalet Bakanlığı Hukuk İşleri Genel Müdürlüğü Arabuluculuk Daire Başkanlığından alınan Arabulucuların Veri Sorumluları Siciline kayıt zorunluluğundan istisna tutulmasına ilişkin 25/05/2018 tarih ve 9235 sayılı görüş talebi

Adalet Bakanlığı Hukuk İşleri Genel Müdürlüğü Arabuluculuk Daire Başkanlığından alınan Arabulucuların Veri Sorumluları Siciline kayıt zorunluluğundan istisna tutulmasına ilişkin 25.05.2018 tarih ve 9235 sayılı taleplerinin incelenmesi neticesinde;

6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin (2) numaralı fıkrasında yer alan “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.” hükmü ile 30 Aralık 2017 tarih ve 30286 sayılı Resmî Gazetede yayımlanarak yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmeliğin “İstisna Kriterleri” başlıklı 16 ncı maddesi göz önünde bulundurularak; Arabulucular bakımından Veri Sorumluları Siciline kayıt yükümlülüğüne istisna getirilmesine ve Kararın Resmi Gazete ile Kurumun internet sayfasında yayımlanmasına oy birliği ile karar verilmiştir.

28/06/2018 - 2018/68: Gümrük Müşavirlerinin Sicile Kayıt İstisnası Hakkında görüş talebi

Karar Tarihi	: 28/06/2018
Karar No	: 2018/68
Konu Özeti	: Gümrük Müşavirlerinin Sicile Kayıt İstisnası Hakkında görüş talebi

Ankara, Bursa, İstanbul, İzmir ve Mersin Gümrük Müşaviri Derneklerinin 25.05.2018 tarihli yazısında belirtilen, Kişisel Verileri Koruma Kurulunun 15.05.2018 tarihli Resmi Gazetede yayımlanan ve bazı veri sorumlularının Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulabileceğine ilişkin olarak verdiği karara istinaden gümrük müşavirleri ve yetkilendirilmiş gümrük müşavirlerinin de istisna kapsamına alınmasına ilişkin taleplerinin incelenmesi neticesinde;

6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin (2) numaralı fıkrasında yer alan “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.” hükmü ile 30 Aralık 2017 tarih ve 30286 sayılı Resmî Gazetede yayımlanarak yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmeliğin “İstisna Kriterleri” başlıklı 16 ncı maddesi göz önünde bulundurularak 4458 sayılı Gümrük Kanunu uyarınca faaliyet gösteren gümrük müşavirleri ve yetkilendirilmiş gümrük müşavirleri bakımından Veri Sorumluları Siciline kayıt yükümlülüğüne istisna getirilmesine ve Kararın Resmi Gazete ile Kurumun internet sayfasında yayımlanmasına oy birliği ile karar verilmiştir.

İLKE KARARI: 31/05/2018 - 2018/63: Veri sorumlusu nezdindeki kişisel verilere erişim yetkisi bulunan personelin yetkisi ve amacı dışında söz konusu verileri işlemesi hususunun değerlendirilmesi

Karar Tarihi	: 31/05/2018
Karar No	: 2018/63
Konu Özeti	:Veri sorumlusu nezdindeki kişisel verilere erişim yetkisi bulunan personelin yetkisi ve amacı dışında söz konusu verileri işlemesi hususunun değerlendirilmesi

Veri sorumlusu nezdinde bulundukları pozisyon veya görev itibariyle kişisel verilere erişime yetkisi olanlar tarafından, yetkilerini aşarak ve işleme amacı dışında söz konusu verilerin işlendiği hususunda Kuruma intikal eden ihbar ve şikayetlere ilişkin yapılan değerlendirme sonucunda, uygulamada yaşanan problemlerin önüne geçilebilmesini teminen;

- Bir veri sorumlusu nezdinde bulundukları pozisyon veya görev itibariyle kişisel verilere erişme yetkisi olanlar tarafından, yetkileri aşmak ve/veya yetkilerini kötüye kullanmak suretiyle, kişisel amaçlara veya nedenlere bağlı olarak işleme amacı dışında söz konusu kişisel verilerin işlenmesi ve/veya bu verilerin üçüncü kişilerle paylaşılması 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil edeceğinden, bu kapsamdaki eylemlerin önlenmesi amacıyla veri sorumlularınca uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirin alınması gerektiği hususunda veri sorumlularının bilgilendirilmesine,

- Kanunun 15 nci maddesinin (6) numaralı fıkrası uyarınca alınan bu ilke kararının Resmi Gazete ile Kurumun internet sitesinde yayımlanmasına,

oy birliği ile karar verilmiştir.

02/04/2018 - 2018/32: Veri Sorumluları Siciline Kayıt Yükümlülüğünden İstisna Tutulacak Veri Sorumluları

Karar Tarihi	: 02/04/2018
Karar No	: 2018/32
Konu Özeti	: 6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin ikinci fıkrası ile Veri Sorumluları Sicili Hakkında Yönetmeliğin 16 ncı maddesi uyarınca Veri Sorumluları Siciline kayıt yükümlülüğüne getirilecek istisnaların belirlenmesi

6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin ikinci fıkrası ile 30/12/2017 tarihli ve 30286 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmeliğin 16 ncı maddesine istinaden Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulacak veri sorumlularının ekte yer verildiği şekilde belirlenmesine ve Kararın Resmi Gazete ile Kurumun internet sitesinde yayımlanmasına karar verilmiştir.

02/04/2018 tarih ve 2018/32 sayılı Karar Eki Liste

Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler.
18/01/1972 tarihli ve 1512 sayılı Noterlik Kanunu uyarınca faaliyet gösteren noterler.
04/11/2004 tarihli ve 5253 sayılı Dernekler Kanununa göre kurulmuş derneklerden, 20/02/2008 tarihli ve 5737 sayılı Vakıflar Kanununa göre kurulmuş vakıflardan ve 18/10/2012 tarihli 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler.
22/04/1983 tarihli ve 2820 sayılı Siyasi Partiler Kanununa göre kurulmuş siyasi partiler.
19/3/1969 tarihli ve 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar
1/6/1989 tarihli ve 3568 sayılı Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu uyarınca faaliyet gösteren Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler.

31/01/2018 - 2018/10: Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler

Karar Tarihi	: 31/01/2018
Karar No	: 2018/10
Konu Özeti	: “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler”in görüşülmesi.

Kanunun 6 ncı maddesinin (4) numaralı fıkrası ile 22 nci maddesinin (1) numaralı fıkrasının (ç) bendi kapsamında hazırlanan “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” in ekte yer verilen şekilde kabulüne ve Resmi Gazetede yayımlanmasına oy birliği ile karar verilmiştir.

Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 6 ncı maddesinin (4) numaralı fıkrasında, “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” hükmü yer almaktadır.

Bu çerçevede, Kanunun 22 nci maddesinin (1) numaralı fıkrasının (ç) ve (e) bentleri uyarınca özel nitelikli kişisel veri işleyen veri sorumluları tarafından alınması gereken yeterli önlemler Kişisel Verileri Koruma Kurulu tarafından aşağıdaki şekilde belirlenmiştir:

1- Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi,

2- Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,

a) Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,

b) Gizlilik sözleşmelerinin yapılması,

c) Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması,

ç) Periyodik olarak yetki kontrollerinin gerçekleştirilmesi,

d) Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması,

3- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise

a) Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,

b) Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,

c) Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,

ç) Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,

d) Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,

e) Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması,

4- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise

a) Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması,

b) Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi,

5- Özel nitelikli kişisel veriler aktarılacaksa

a) Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,

b) Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması,

c) Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,

ç) Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerekir.

6- Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmalıdır.

İLKE KARARI: 21/12/2017 - 2017/61: Rehberlik Hizmeti Veren İnternet Sitelerinde/Uygulamalarda Kişisel Verilerin Korunması

Karar Tarihi	: 21/12/2017
Karar No	: 2017/61
Konu Özeti	: Rehberlik Hizmeti Veren İnternet Sitelerinde/Uygulamalarda Kişisel Verilerin Korunması

6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) hükümlerine aykırı olarak ilgili kişilerin açık rızalarını almaksızın isimden telefon numarası veya telefon numarasından isim sorgulanması şeklinde rehberlik hizmeti veren internet siteleri ve uygulamalara ilişkin olarak Kişisel Verileri Koruma Kurumuna intikal eden ihbar ve şikâyetler kapsamında yapılan değerlendirme sonucunda; çeşitli uygulamalar, internet siteleri veya sosyal medya hesapları üzerinden kişisel verileri toplayarak bu verilerin paylaşımını sağlayan, isim sorgulandığında telefon numarası bilgisine, telefon numarası sorgulandığında da isim bilgisine erişme ve başkalarının telefon rehberinde nasıl kayıtlı olunduğunu öğrenme gibi konularda hizmet veren birçok uygulamanın ve internet sitesinin bulunduğu tespit edilmiştir.

Kanunun 3 üncü maddesinin (1) numaralı fıkrasının (e) bendinde “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” kişisel verilerin işlenmesi olarak düzenlenmiş olup sayılan eylemlerden birinin gerçekleştirilebilmesi için öncelikle Kanunun 5 ve 6 ncı maddelerinde sayılan işlenme şartlarından birinin bulunması, ayrıca Kanun ile öngörülen diğer yükümlülüklerin yerine getirilmesi gerekmektedir.

Bu kapsamda;

- Kanunda ve ilgili mevzuatta dayanağı bulunmaksızın ilgili kişilerin iletişim bilgilerinin paylaşımını yapan internet siteleri ve mobil uygulamalar tarafından gerçekleştirilen veri işleme faaliyetinin Kanunun 15 inci maddesinin (7) numaralı fıkrası uyarınca derhal durdurulması gerektiği,

- Belirtilen şekilde söz konusu faaliyetlerde bulunan internet sitelerinin/uygulamaların faaliyetlerine son vermediğine ilişkin bilgi edinilmesi halinde bu internet sitelerine/uygulamalara erişimin engellenmesi adına gereğinin yapılmasını teminen yetkili kurumlara başvuruda bulunulacağı, öte yandan kişisel verilerin hukuka aykırı olarak elde edilmiş olabileceği de dikkate alınarak, 5237 sayılı Türk Ceza Kanununun “Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme” başlıklı 136 ncı maddesi çerçevesinde ilgili internet siteleri/uygulamalar hakkında gerekli hukuki işlemlerin tesisi için konunun Ceza Muhakemesi Kanununun 158 inci maddesi uyarınca ihbaren Cumhuriyet Başsavcılığına bildirileceği

hususlarında kamuoyunun bilgilendirilmesine,

- Kanunun 15 inci maddesinin (6) numaralı fıkrası uyarınca alınan bu ilke kararının Resmi Gazete ile Kurumun internet sitesinde yayımlanmasına ve bu karara uymayanlar hakkında Kanunun 18 inci maddesi kapsamında işlem yapılacağına

oy birliği ile karar verilmiştir.

İLKE KARARI: 21/12/2017 - 2017/62: Banko, Gişe, Masa gibi Hizmet Alanlarında Kişisel Verilerin Korunması

Karar Tarihi	: 21/12/2017
Karar No	: 2017/62
Konu Özeti	: Banko, Gişe, Masa gibi Hizmet Alanlarında Kişisel Verilerin Korunması

Banko, gişe ve masa gibi vatandaşa hizmet sunulan alanlarda yaşanan kişisel veri güvenliği ihlallerine ilişkin olarak Kişisel Verileri Koruma Kurumuna intikal eden ihbarlar kapsamında yapılan değerlendirme sonucunda, uygulamada yaşanan problemlerin önüne geçilmesini teminen;

- Bankacılık ve sağlık sektörleri başta olmak üzere birden fazla çalışan ile birlikte bitişik düzende hizmet veren posta ve kargo hizmetleri, turizm acenteleri, zincir mağazaların müşteri hizmetleri bölümleri, çeşitli abonelik işlemlerinin yapıldığı kuruluşlar ile belediye, vergi ve nüfus ile ilgili işlemler gibi hizmetlerin verildiği kamu ve özel sektör kurum ve kuruluşlarının, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesi uyarınca kişisel verilerin korunması ile ilgili olarak; banko/gişe/masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda birbirlerine yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymasını, görmesini, öğrenmesini veya ele geçirmesini engelleyecek nitelikte gerekli teknik ve idari tedbirleri almasına,

oy birliği ile karar verilmiştir.

Karar Özetleri:

22.Mart.2023: “Bir avukatlık ortaklığı tarafından borçlu ilgili kişiye kısa mesaj gönderilmesi suretiyle kişisel verilerinin işlenmesi”

Karar Tarihi	:	22/03/2023
Karar No	:	2023/437
Konu Özeti	:	Bir avukatlık ortaklığı tarafından borçlu ilgili kişiye kısa mesaj gönderilmesi suretiyle kişisel verilerinin işlenmesi

Bir Avukatlık Ortaklığı tarafından vekili olduğu Şirket ve ilgili kişi arasındaki abonelik ilişkisi kapsamında, borcun takibi ve hatırlatılması amacıyla ilgili kişiye beş kez kısa mesaj gönderilmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyeti ile ilgili olarak Kuruma intikal eden şikâyet dilekçesinde özetle;

Veri sorumlusu olarak Avukatlık Ortaklığı tarafından Şirketten elde edilen kişisel veriler hakkında ilgili kişiyle iletişime geçildiği ilk anda aydınlatma yükümlülüğünün yerine getirilmemesi ve ayrıca çağrı merkezi vasıtasıyla yapılan görüşme bağlamında ses kaydı hakkında ses kaydı gerçekleşmeden önce aydınlatma yükümlülüğünün yerine getirilmemesi nedeniyle 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 18’inci maddesinin birinci fıkrasının (a) bendi uyarınca veri sorumlusu hakkında yaptırım uygulanması,
Toplamda beş kez aynı konu ve içerikle ilgili kişiye kısa mesaj gönderilmesi nedeniyle Kanunun 18’inci maddesinin birinci fıkrasının (b) bendi uyarınca veri sorumlusu hakkında yaptırım uygulanması,
Veri sorumlusunun “hukuka aykırı olarak elde edilen veriler üzerinden vatandaşların kimlik ve iletişim bilgileri gibi kişisel verilerin sorgulanmasına imkân tanıyan yazılım/program/uygulama” kullanıp kullanmadığı hususunda denetim yapılması

talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup verilen cevapta özetle;

Kurulun şikâyeti değerlendirmeye alarak taraflarından savunma, bilgi ve belge ibrazı talep etmesinin usul ve yasaya aykırı olduğu, ilgili kişi tarafından Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 5’inci maddesinde öngörülen veri sorumlusuna başvuru usulüne uygun bir başvuru yapılmadığı ve Avukatlık Ortaklığının, veri işleyen olması nedeniyle ilgili kişinin Avukatlık Ortaklığına başvuru hakkı bulunmadığı,
Şirket ile Avukatlık Ortaklığı arasındaki hukuki ilişkinin mahiyetine ilişkin olarak; Avukatlık Ortaklığının, Şirket ile arasında bulunan hizmet sözleşmesi ve vekalet ilişkisi kapsamında, alacakların tahsili için yasal takip hizmeti verdiği, Avukatlık Ortaklığının, Şirket tarafından abonelerin borçlarının tahsilat süreçlerinin yürütülmesi konusuyla sınırlı olarak yetkilendirildiği, Şirket tarafından yönetilmekte olan sisteme sınırlı erişim hakkına sahip olduğu, Avukatlık Ortaklığının söz konusu sistem üzerinden sınırlı şekilde görüntülenen/erişilen kişisel veriler ve bu veriler kullanılarak Şirket borçlularıyla gerçekleştirilen telefon ve kısa mesaj ile iletişim kurma faaliyetlerine ilişkin olarak Kanun’un 3’üncü maddesinin birinci fıkrasının (ğ) bendi uyarınca “veri işleyen” konumunda olduğu, Şirket ile Avukatlık Ortaklığı arasında münakid Sözleşmenin ilgili maddesi uyarınca Avukatlık Ortaklığının veri işleyen olduğu, hal böyleyken gerek taraflar arasında akdedilen Sözleşme hükümleri gerek vekalet ilişkisi gerek ise Kanun hükümleri uyarınca işlemekte oldukları kişisel verilere ilişkin olarak veri işleyen sıfatı ile sorumlu olduklarının son derece açık olduğu,
Kişisel verilerin veri sorumlusu tarafından işlenmesinin hukuki dayanağına ilişkin olarak; müvekkilleri Şirketin gecikmiş alacaklarının tahsili amacı ile icra işlemlerini yürütmek üzere Avukatlık Ortaklığı ile kurulan vekalet ilişkisi ve Bilgi Teknolojileri ve İletişim Kurumu (BTK) tarafından yayımlanan Borç ve Alacak Bilgilerinin Sorgulanmasına İlişkin Usul ve Esasların yerine getirilmesi kapsamında icra takibi öncesi ve sonrasında borçlularla iletişim kurularak borç bilgisi, haciz bilgisi, faiz indirimi kampanyası ve ödeme kanalı gibi konularda bilgilendirme yapıldığı ve mümkün oldukça borçların uzlaşma ile tahsilatının sağlandığı,
Diğer taraftan, borcun yasal yollara başvurulmadan ve borçlunun durumu ağırlaştırılmaksızın, mevzuata uygun ve Şirket ile Avukatlık Ortaklığı arasındaki vekalet ilişkisi ve sözleşmeler kapsamında tahsil edilebilmesi için 2004 sayılı İcra İflas Kanunu’nun temel ilkelerinden birisi olan “Alacağın tahsili için yapılacak işlemlerde borçlunun, borcunu arttıracak giderlerden kaçınılması” prensibi doğrultusunda hareket edilmesi gerektiği,
Alacağın kısa sürede tahsili ile abonelerin/borçluların takip hukukundan kaynaklanan vekalet ücreti, faiz, harç ve masraf gibi borcun ferilerine ve haciz işlemlerine maruz kalmadan indirimli şekilde ödeme yapabilmesine olanak sağlanması ile dosya borcunun artmasının önüne geçilmesi, borçluların lehine olarak taksitlendirme imkanı ve banka, kredi kartı gibi ödeme kanalları hakkında açıkça bilgi verilmesi, ödemenin yapılmaması halinde alacağın tahsili amacıyla hakkında icra takibi başlatılacağının ve/veya başlatıldığının abonelere/borçlulara bildirilmesi, diğer bir deyişle borcun ödenmemesi durumunda maruz kalınabilecek hukuki riskler hakkında açıkça bilgi verilmesi, Şirketin talebi ve onayı doğrultusunda sulh görüşmelerinin gerçekleştirilmesi, ileride doğabilecek uyuşmazlıklarda bu bilgilendirmelerin delil olarak kullanılması adına aramaların gerçekleştirilebildiği ve kısa mesaj gönderilebildiği,
Hukuka aykırı olarak kişisel veri elde etmek amacıyla herhangi bir yazılım/program/uygulama kullanılıp kullanılmadığına ilişkin olarak; Avukatlık Ortaklığı tarafından kişisel veri elde edilmesi amacıyla yasa dışı herhangi bir yazılım/uygulama, program yahut başka şekilde elde edilmiş veri kullanılmadığı, ilgili kişinin, “internet sitelerinin borçların ödenmesine özgülendiği” bu amaçla hukuka aykırı olarak çeşitli yazılımlarla borçlu verisi topladıkları iddialarının tamamen kötü niyetli olarak öne sürüldüğü, ilgili kişinin bu asılsız ve dayanağı olmayan iddiaları ile Avukatlık Ortaklığını zan altında bırakma çabası içinde olduğu, Avukatlık Ortaklığının web sitesinde borçluların borcunu kolayca ödemesi için ödeme kanallarının ve yöntemlerinin bulunduğu bir sekmenin mevcut olduğu ve web sitesinden borçlulara Türkiye Barolar Birliği tarafından sunulan BaroKart sistemi üzerinden taksitli borç ödeme imkanı, banka hesapları ve Şirketin ödeme kanalları, talep, itiraz, şikâyet yolları hakkında bilgi verildiği, web sitesinde yapılan bilgilendirmelerin Kanun ve buna ilişkin mevzuat ile bir ilgisi bulunmadığı, web sitesi üzerinden bir veri toplanmasının da söz konusu olmadığı, Avukatlık Ortaklığının mevcut olayda kişisel verilerin korunması hukuku çerçevesinde yasal mevzuatı ihlal edici nitelikte hiçbir icrai yahut ihmali davranışta bulunmadığı,
Bu kapsamda, Avukatlık Ortaklığı olarak vekili oldukları Şirket adına, Şirketin haklarını ve menfaatlerini korumak amacıyla hareket ettikleri ve bu anlamda Avukatlık Kanunu’ndan kaynaklanan yükümlülükleri ve yürütmekte oldukları icra işlemleri bakımından İcra ve İflas Kanunu ile diğer mevzuattan kaynaklanan hukuki yükümlülüklerini yerine getirmek amacıyla ilgili kişiye ait kişisel verileri, Kanunun 5’inci maddesinin ikinci fıkrasında yer alan “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” ve “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki sebepleri çerçevesinde işledikleri,
Avukatlık Ortaklığının kişinin borç bilgilerini müvekkilleri Şirketten temin ettiği; takip öncesi bilgilendirmeden maksadın yasal takip başlatmadan evvel makul bir süre bekleyerek karşı yanı borcuna eklenecek masraflardan korumayı amaçladığı, ilgili kişinin Avukatlık Ortaklığı tarafından kendisine beş kez kısa mesaj atıldığını ve Avukatlık Ortaklığının kendisini taciz ettiğini beyan ettiği, ancak kendisine ayda yalnızca 1 kereye mahsus olmak üzere, hafta içi, mesai saatleri içerisinde bilgilendirme dışında hiçbir ibare olmayan kısa mesaj gönderildiği, Türk Borçlar Kanunu’na, BTK Usul ve Esaslarına ve Kanunun 5’inci maddesinin ikinci fıkrasının (e) bendi kapsamında açık rıza aranmaksızın bilgilendirme haklarına dayalı olarak Avukatlık Ortaklığınca bilgilendirme saikiyle hareket edildiği

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 22/03/2023 tarihli ve 2023/437 sayılı Kararı ile;

Kanun’un 3 üncü maddesinin birinci fıkrasının (ı) bendi uyarınca veri sorumlusunun; “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi”yi ifade ettiği, bu çerçevede, kişisel verilerin işlenmesine ilişkin kararları alma, işleme faaliyetinin amacı, bu faaliyetin ne zaman başlayacağı, kimler tarafından gerçekleştirileceği ve benzeri hususlarda karar verme yetkisinin veri sorumlusuna ait olduğu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen veri sorumlusunun, veri işleme faaliyetinin temel araçlarını ve amaçlarını, veri işlemenin “neden” ve “nasıl” olacağını belirlediği, diğer bir deyişle, teknik ve organizasyona ait araçların belirlenmesi, veriye kimin erişeceği, hangi verilerin işleneceği, bu verilerin ne kadar süre tutulacağı, ne şekilde saklanacağı gibi veri işlemeye ilişkin temel unsurların veri sorumlusu tarafından belirlendiği, her ne kadar Avukatlık Ortaklığı ile Şirket arasındaki Sözleşmede Avukatlık Ortaklığının “veri işleyen” statüsünü haiz olduğu öngörülmüş ve ilgili kişinin şikâyetine konu kişisel veriler Şirket tarafından Avukatlık Ortaklığına aktarılmış olsa da kişisel verilerin korunması mevzuatı ve uygulanması bağlamında Avukatlık Ortaklığının sahip olduğu sıfatın fiili durumun şartları gözetilerek belirlenmesi gerektiği,
Avukatlık Ortaklığının yetkilerinin, Şirket ile arasındaki vekalet ilişkisi ve Sözleşme kapsamında Şirketin alacaklarının tahsil ve takip işlemlerinin yürütülmesi ile sınırlı olsa dahi Şirket tarafından kendisine aktarılan kişisel veriler üzerinde gerçekleştirilecek işleme faaliyetlerini yönettiğinin görüldüğü, bu itibarla, avukatlık faaliyetleri çerçevesinde Avukatlık Ortaklığının kişisel veri işleme faaliyetleri bakımından serbestçe karar verme yetkisine sahip olduğu, ilgili kişinin şikâyetine konu kişisel verilerinin işlenme amaç ve vasıtalarını belirlediği ve veri sorumlusu olarak kabul edilmesi gerektiği,
Veri sorumlusu tarafından avukatlık faaliyetleri kapsamında Şirketin alacaklarının borçlu ilgili kişiden tahsil edilebilmesi ve ilgili kişiye sağlanacak kolaylıklar ile borcun ödenmemesi durumunda ilgili kişinin maruz kalabileceği hukuki risklerin bildirilmesi amacıyla Kanunun 5’inci maddesinin ikinci fıkrasının (e) bendinde öngörülen “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” işleme şartına dayanılarak kısa mesaj göndermek suretiyle ilgili kişinin kişisel verilerinin işlenmesinin mümkün olduğu;
Bununla birlikte, şikâyete konu somut olayda veri sorumlusu tarafından benzer içerikli 5 kısa mesajın, yaklaşık 1 aylık periyotlarla ilgili kişiye gönderildiği, veri sorumlusunun Kurumu muhatap cevabi yazısında da belirtildiği üzere söz konusu mesajların, ayda yalnızca 1 kereye mahsus olmak üzere, hafta içi, mesai saatleri içerisinde ilgili kişiye gönderildiği, bu kapsamda, söz konusu işleme faaliyetinin Kanunun 4’üncü maddesinin ikinci fıkrasının (a) bendinde yer alan “hukuka ve dürüstlük kurallarına uygun olma” ve (ç) bendinde yer alan “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine de aykırılık teşkil etmediği

değerlendirmelerinden hareketle,

Veri sorumlusu tarafından ilgili kişinin telefon numarasının işlenmesi suretiyle gerçekleşen kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinin ikinci fıkrasının (e) bendinde yer alan bir hakkın tesisi, korunması veya kullanılması için veri işlemenin zorunlu olması hükmü kapsamında hukuka uygun olduğu değerlendirildiğinden söz konusu şikâyet kapsamında yapılacak bir işlem bulunmadığına,
İlgili kişinin, veri sorumlusunun Şirketten elde ettiği kişisel veriler hakkında ilgili kişiyle iletişime geçildiği ilk anda aydınlatma yükümlülüğünün yerine getirilmemesi ve ilgili kişinin kendisine gönderilen kısa mesajlar hakkında bilgi almak üzere veri sorumlusunun çağrı merkezini araması sırasında alınan ses kaydı hakkında ses kaydı gerçekleşmeden önce aydınlatma yükümlülüğünün yerine getirilmemesi nedeniyle Kanun’un 18’inci maddesinin birinci fıkrasının (a) bendi uyarınca cezalandırılması talebine ilişkin olarak ilgili kişinin veri sorumlusuna başvurusunda söz konusu iddialara ilişkin bir açıklama veya talebin bulunmadığı anlaşıldığından Kanun kapsamında yapılacak bir işlem bulunmadığına,
İlgili kişinin, veri sorumlusu nezdinde hukuka aykırı olarak elde edilen veriler üzerinden vatandaşların kimlik ve iletişim bilgileri gibi kişisel verilerin sorgulanmasına imkân tanıyan yazılım/program/uygulama kullanıp kullanmadığı hususunda denetim yapılması talebine ilişkin olarak veri sorumlusunun cevabi yazısında ilgili kişinin bu iddiasının reddedilmiş olduğu ve ilgili kişi tarafından da iddiasını tevsik edici nitelikte herhangi bir bilgi, belge veya kaydın Kuruma iletilmemiş olduğu dikkate alındığında bahse konu talep hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına

karar verilmiştir.

22.Mart2023: “Tüketici Finansman Kredisiyle Alışveriş İmkânı Sunan Şirket Tarafından İlgili Kişilerden e-Devlet Şifrelerinin Talep Edilmesi”

Karar Tarihi	:	22/03/2023
Karar No	:	2023/426
Konu Özeti	:	Tüketici Finansman Kredisiyle Alışveriş İmkânı Sunan Şirket Tarafından İlgili Kişilerden e-Devlet Şifrelerinin Talep Edilmesi

Kuruma intikal ettirilen bir ihbar dilekçesinde özetle;

Tüketici finansman kredisiyle alışveriş imkânı sunan Şirketten senetle televizyon alındığı sırada kendisinden e-Devlet şifresinin talep edildiği,

Kuruma intikal ettirilen bir diğer ihbar dilekçesinde ise özetle;

Şirketin ihbar edenden e-Devlet şifresini istediği, ihbar edenin ısrarlar sonucunda şifre almadığını söyleyerek talebi reddettiği,
İhbar edenin kendisi dışında birçok vatandaştan da e-Devlet şifrelerinin alındığının bilindiği

hususları belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gerekli işlemlerin yapılması talep edilmiştir.

Konuya ilişkin başlatılan resen inceleme çerçevesinde ihbar edilen veri sorumlusu Şirketin savunması talep edilmiş olup veri sorumlusunun ilk ihbar dilekçesine ilişkin cevabî yazısında özetle;

İhbar edenin veri sorumlusu ile tüketici finansman sözleşmesi akdetmiş olduğu, kredi puanı yetersiz görüldüğünden ve işyerinde sigorta girişinin yeni yapıldığını belirtmesi üzerine son altı aylık güncel sigorta hizmet dökümü belgesi ile şubeye müracaat edilmesinin istendiği ve fakat ihbar eden kişi tarafından sözleşmenin iptal edildiği,
İhbar edenin ürün satın almak için başvuruda bulunduğu, işlem yapmak amacıyla açık rızası ile irtibat numarasını bildirmiş olduğu, Şirketin Tüketici Finansman Kredisi kullanılmasına ilişkin ihbar edenin yeni işe başladığını beyan etmesi üzerine işe başlama kaydının sigorta hizmet dökümü üzerinden teyit edilmesi amacıyla müşterinin en yakın şubeye davet edildiği ve sigorta kayıtlarının beyan edilmesinin talep edildiği, bu bilgilerin e-Devlet sistemi üzerinden temin edileceğinin sabit olduğu, şirketin ihbar edenin e-Devlet şifresini talep etmediği, ilgili kişinin e-Devlet şifresinin bilinmediği, müracaat anında müşterinin sigorta hizmet dökümünü görüntülemek, işe başladığını teyit etmek ve öğrenebilmek adına kendi rızası olduğu takdirde ve kendi cep telefonundan kendisinin görebileceği şekilde e-Devlet üzerinden talep edilen kayıtların gösterilmesinin talep edildiği, müşteri/ihbar edenin ilgili kayıtları paylaşmadığı ve sözleşmenin iptalini talep ettiği,
İhbar edenin kişisel verilerinin işlenmesinin gerekçelerinin ise; şirketin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, tüketici sözleşmesinin kullanımı açısından sigorta hizmet dökümü bilgisinin talep edilmesinin zorunluluğu, bir hakkın tesisi, kullanılması veya korunması için bilgi talebi olması, şirketin meşru menfaatleri için bilgi talebinin gerekli olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait bilgi talebinin gerekli olması olduğu

belirtilmiştir.

Aynı konuya ilişkin veri sorumlusu Şirketin ikinci ihbar dilekçesine ilişkin cevabî yazısında ise özetle;

Somut olayda ihbar edenin veri sorumlusu ile taksitli satış sözleşmesi akdettiği, sonrasında bozuk olan ürün yerine yeni ürünün ilgili kişiye teslim edildiği, ardından bu üründe de arıza olunca ürün satış işleminin iptal olduğu ve ücret ödemesinin ihbar edene iade edildiği,
Veri sorumlusunun, ilgili mevzuat çerçevesinde yükümlülüklerini yerine getirmek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almış olduğu,
Müşterilerden/ilgili kişilerden e-Devlet şifresi talep edildiği yönündeki iddiaların gerçek dışı olduğu, veri sorumlusunun Kanun gereğince, tüketici işlemleri sırasında herhangi bir veri tutmadığı; kimlik aslının ve iletişim bilgilerinin ilgili kişilerden kontrol amacıyla alındığı ve yapılan kontrollerin ardından kimlik aslının geri verilip suretinin dahi sistemlerde kayıt altına alınmadığı,
İddia edildiği gibi e-Devlet şifresi ile taksitli satış sözleşmesi arasında bir illiyet bağının olmadığı, e-Devlet şifresi ile satış sözleşmesi arasında birbiri ile ilişkili bir işlemin söz konusu olmadığı, e-Devlet şifresi ile yapılacak bir işlemin de bulunmadığı,
Kişisel verilerin korunması ve işlenmesi konusunda azami düzeyde teknik ve idari tedbirleri alan veri sorumlusunun, e-Devlet gibi kişiye ait özel bir alanı kullandığı iddiasının Şirket politikası ve uygulamaları ile ters düşeceği, bu açıdan hiçbir müşteriden herhangi bir şifre talep etme durumunun söz konusu olmadığı, somut durumlar karşısında Şirket açısından herhangi bir cezai yaptırım oluşturabilecek bir durumun söz konusu olmadığı

belirtilmiştir.

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 22/03/2023 tarihli ve 2023/426 sayılı Kararı ile;

Kişilerin kendilerine ait ad-soyadı, iletişim numarası gibi tüketici işlemlerinde kullanılan bilgilerin veri sorumlusunun veri kayıt sisteminde işlenmesinden ötürü, Kanunun 2’nci maddesinde yer alan hüküm dikkate alındığında Kuruma yapılan ihbarların Kanun kapsamında olduğu,
Kanunun 3’üncü maddesinin birinci fıkrasının (ç) bendi gereği Şirket’in veri kayıt sisteminde kişisel verileri tutulan ihbarda bulunanların ilgili kişi, (ı) maddesi gereği ilgili kişilerin kişisel verilerinin işlenme amaç ve vasıtalarını belirleyen, veri kayıt sisteminin tutulmasından ve yönetilmesinden sorumlu tüzel kişi olan Şirket’in ise veri sorumlusu olduğu,
Kişisel verilerin işlenme şartlarının Kanun’un 5’inci maddesinde düzenlendiği; buna göre maddenin birinci fıkrasında; kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, ikinci fıkrasında -Kanunlarda açıkça öngörülmesi, -Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, -Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, -Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, -İlgili kişinin kendisi tarafından alenileştirilmiş olması, -Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, -İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinden birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun düzenlendiği,
İlgili kişinin Kuruma sunduğu ihbar dilekçesinde Şirketten senetle televizyon alındığı ve kendisinden e-Devlet şifresinin talep edildiğinin ifade edildiği, başvuru ekinde yer alan ve Şirket tarafından ilgili kişinin cep telefonu numarasına gönderildiği anlaşılan kısa mesajda “E-devlet şifreniz ile beraber en yakın şubemize gelmenizi rica ederiz. (Sipariş no, kayıt tarihi:16.01.2022, ürünler başlıkları ile)” ifadelerinin yer aldığının görüldüğü,
Veri sorumlusunun savunmasında; ihbar edenin Şirket ile tüketici finansmanı sözleşmesi akdetmiş olduğu, kredi puanı yetersiz görüldüğünden ve işyerinde sigorta girişinin yeni yapıldığını belirtmesi üzerine son altı aylık güncel sigorta hizmet dökümü belgesi ile şubeye müracaat etmesinin istendiği ve ilgili kişi tarafından sözleşmenin iptal edildiği, tüketici sözleşmesinin kullanımı açısından sigorta hizmet dökümü bilgisinin talep edilmesinin zorunlu olduğu, bu bilgilerin e-Devlet sistemi üzerinden temin edileceği, e-Devlet şifresinin talep edilmediği, müracaat anında müşterinin sigorta hizmet dökümünü görüntülemek, işe başladığını teyit etmek ve öğrenebilmek adına şifreyi kendi rızası olduğu takdirde ve kendi cep telefonundan kendisinin görebileceği şekilde e-Devlet üzerinden girmek suretiyle talep edilen kayıtların gösterilmesinin istendiği, ilgili kişinin kayıtları paylaşmadığı ve sözleşmenin iptalini talep ettiği hususlarını belirtmiş olduğu,
İlgili kişi ve veri sorumlusunun beyanları ile Kuruma sunulan belgelerden; ilgili kişinin veri sorumlusu ile tüketici finansmanı (kredisi) sözleşmesi yaptığı, ilgili kişiye iletilen kısa mesajda ilgili kişinin e-Devlet şifresi ile beraber şubeye çağırıldığı, ilgili kişinin ise e-Devlet şifresinin kullanılmasına yönelik rızası olmadığından sözleşmeyi iptal etmek istediğinin anlaşılmakta olduğu,
Kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerektiği, bu riskler belirlenirken kişisel verilerin özel nitelikli kişisel veri olup olmadığı, mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği, güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliğinin dikkate alınması gerektiği, bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra söz konusu risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatiflerinin maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda değerlendirilmesi ve gerekli teknik ve idari tedbirlerin planlanarak uygulamaya konulması gerektiği,
Bununla birlikte Kişisel Veri Güvenliği Rehberi’nde veri sorumlularınca alınabilecek idari tedbirlerin; “kişisel veri işleme envanteri hazırlanması, kurumsal politikalar (erişim, bilgi güvenliği, kullanım, saklama ve imha vb.), sözleşmeler (veri sorumlusu-veri sorumlusu, veri sorumlusu-veri işleyen arasında), gizlilik taahhütnameleri, kurum içi periyodik ve/veya rastgele denetimler, risk analizleri, iş sözleşmesi, disiplin yönetmeliği (kanuna uygun hükümler ilave edilmesi), kurumsal iletişim (kriz yönetimi, kurul ve ilgili kişiyi bilgilendirme süreçleri, itibar yönetimi vb.), eğitim ve farkındalık faaliyetleri (bilgi güvenliği ve kanun), veri sorumluları sicil bilgi sistemine (VERBİS) bildirim” şeklinde örnek teşkil etmesi amacıyla ifade edildiği,
Bu kapsamda, ihbara konu edilen e-Devlet şifresi istenmesi beyanına ilişkin gerek resen inceleme kapsamındaki ihbarlar gerekse veri sorumlusuna ilişkin kamuya açık kaynaklarda yer alan şikayetler ele alındığında veri sorumlusunun kişisel veri işleme faaliyetlerinin kontrolünü sağlayamadığına, dolayısıyla gerekli teknik ve idari tedbirleri almadığına ilişkin güçlü bir kanaat oluştuğu, bilhassa senetli alışverişlerde müşterilerin e-Devlet şifrelerinin temin edilmesi suretiyle ilgili kişilerin e-Devlet kapısında yer alan kendileriyle ilgili her türlü bilgiye veri sorumlusunca erişilebilme tehlikesi ile karşı karşıya kalacakları; ayrıca veri sorumlusunun ihbara konu olayda veri güvenliğinin sağlandığına yönelik yeterli bilgi ve belgeyi de sunamadığı,
Öte yandan veri sorumlusunun e-Devlet şifrelerinin talep edilmesine ilişkin savunmasında, bir taraftan ilgili kişiler ile akdettiği tüketici kredisi sözleşmesi sebebiyle işe başlama kaydının sigorta hizmet dökümü üzerinden teyit edilmesi amacıyla müşteriyi en yakın şubeye davet ettiğini belirtirken diğer taraftan e-Devlet şifresi ile taksitli satış sözleşmesi arasında bir illiyet bağının olmadığını, e-Devlet şifresi ile satış sözleşmesi arasında birbiri ile ilişkili bir işlemin söz konusu olmadığını, e-Devlet şifresi ile yapılacak bir işlemin de bulunmadığını ifade etmiş olduğu,
Resen inceleme kapsamındaki iki dosyaya ilişkin veri sorumlusunca -aynı konu kapsamında- Kuruma sunulan bilgi ve belgelerin bütünlük ve tutarlılık içinde olmadığı, kişisel verilerin işlenmesi suretiyle kurulan sözleşmelere ilişkin hususların Kanun kapsamında ifade edilemediği,
Veri sorumlusu tarafından yürütülen veri işleme faaliyetlerinde ilgili kişilerden e-Devlet şifresi talep edilmesine ilişkin kamuoyuna yansıyan çok sayıda şikayet olduğu, resen inceleme dosyalarında veri sorumlusu tarafından e-Devlet şifresi hakkında sunulan beyanların da birbiri ile tutarlı bir çerçevede olmadığı, veri sorumlusunun ülkemizde çok sayıda mağazası olan - tüketici finansman kredisiyle alışveriş imkânı sunan/taksitle satış yapan- bir şirket olduğu, Kuruma sunulan ihbarlar dışında taksitli satışlarda ilgili kişilerden e-Devlet şifresi istendiğine ilişkin şifahi bilgiler de edinildiği, e-Devlet şifresinin ele geçirilmesi durumunun veri güvenliğine yönelik ciddi riskler ortaya çıkarabileceği hususlarının tümünün idari teknik tedbirleri alma noktasında eksikliği olduğu kanaatine varılan veri sorumlusu hakkında uygulanacak idari yaptırımda artırım sebepleri olarak ele alınabileceği,
İnternette yer alan açık kaynaklarda, veri sorumlusundan yapılan taksitli alışverişlerde ilgili kişilerin e-Devlet şifrelerinin alındığına dair pek çok şikayet olduğunun görülmesi, konuya ilişkin Kuruma da intikal eden farklı şikayetler olması, e-Devlet şifrelerinin talep edildiği her olayda tüm müşterilerin e-Devlet şifrelerini kendi telefonlarından açıp göstermesinin söz konusu olmayabileceği dikkate alındığında Şirket bilgisayarları aracılığıyla görüntüleme yapılmış olmasının mümkün olduğu

değerlendirmelerinden hareketle;

İlgili kişilerin e-Devlet şifrelerine erişim sağlandığı yönünde güçlü bir kanaat oluştuğu, ilgili kişilerin e-Devlet şifreleri talep edilerek hassas nitelikli olanlar da dahil pek çok kişisel veriye erişim sağlanabileceği sonucuna varıldığından veri sorumlusundan yapılan taksitli alışverişlerde e-Devlet şifrelerinin talep edilmesinin Kanun’un 5’inci maddesinde yer alan herhangi bir veri işleme şartına dayanmaması nedeniyle Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerini yerine getirmediği değerlendirilen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 400.000 TL idari para cezası uygulanmasına,
Hukuka aykırı işlendiği değerlendirilen kişisel verilerin Kanun’un 7’nci maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca imha edilerek sonucundan Kurula bilgi verilmesine

karar verilmiştir.

05.Ocak.2023: “Bir kargo firmasının çapraz barkodlama hatası nedeniyle kişisel verilerin hukuka aykırı olarak paylaşımına sebep olması”

Karar Tarihi	:	05/01/2023
Karar No	:	2023/4
Konu Özeti	:	Bir kargo firmasının çapraz barkodlama hatası nedeniyle kişisel verilerin hukuka aykırı olarak paylaşımına sebep olması

İlgili kişinin şikayetinde özetle; bir e-ticaret firmasından satın aldığı ürünü tarafına teslim edecek kargo firmasının siparişi ilgili kişiye teslim etmesini müteakip ilgili kişi tarafından kargo paketinin üzerinde kendisi dışında isim benzerliği bulunan başka bir kişiye (üçüncü kişi) ait adres ve iletişim bilgilerinin yer aldığını gördüğü, veri sorumlusu kargo firmasına 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında başvuruda bulunarak kendisi dışında üçüncü kişiye ait kişisel verilerin hangi hukuki gerekçeyle tarafına gönderildiği, benzer şekilde kendisine ait kişisel verilerin de üçüncü kişilere aktarılıp aktarılmadığı ve aktarıldıysa hangi hukuki nedenlere dayanılarak aktarıldığı hususlarına ilişkin bilgi talep ettiği, veri sorumlusu tarafından verilen cevabi yazıda söz konusu durumun barkodlama işlemi sırasında gerçekleşen bir hata sonucunda meydana geldiğinin ve ilgili kişiye ait gönderinin üçüncü kişiden iade alınarak gönderici firmaya teslim edildiğinin belirtildiği, söz konusu beyanlardan hareketle veri sorumlusunun yapmış olduğu çapraz kargo gönderimi hatası nedeniyle ilgili kişiye teslim edilmesi gereken kargo paketinin üçüncü kişiye gönderildiği ve bu suretle ilgili kişiye ait kişisel verilerin üçüncü kişi ile paylaşıldığı sonucuna varıldığı, bu itibarla veri sorumlusunun hem ilgili kişiye hem de üçüncü kişiye ait kişisel verileri Kanun’un 8’inci maddesine aykırı olarak aktardığı belirtilerek gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması talep edilmiş olup veri sorumlusundan alınan cevabi yazıda özetle;

Şikâyete konu olayın meydana geliş şekline ilişkin olarak; veri sorumlusu tarafından ilgili kişiye gönderilmek üzere faturalandırılan gönderinin acente personeli tarafından toplu şekilde barkodlama işlemi yapılırken aynı isimli başka bir müşteriye ait gönderi ile isim benzerliği nedeniyle karıştırıldığının ve çapraz barkodlama hatası yapıldığının tespit edildiği, bu nedenle bir diğer müşterileri olan üçüncü kişinin kargosunun ilgili kişiye, ilgili kişinin kargosunun ise üçüncü kişiye teslim edilmek üzere barkodlandığı ve bu şekilde ulaştırıldığı, işlemin fark edilmesiyle birlikte şikâyetçi müşteriye ait gönderinin diğer müşterileri olan üçüncü kişiden alınarak gönderici firmaya iade edildiği,
Gerçekleştirilen bu eylemin sistematik bir hata olmadığı, veri sorumlusunun acente çalışanları tarafından manuel olarak gerçekleştirilen barkodlama işlemi sırasında bir kereye mahsus olmak üzere sehven ortaya çıkan bir olay olduğu,
Veri sorumlusunun müşterilerine ait kişisel verileri yalnızca taşıma hizmetinin ifası için ilgili birimlerle, ifa yardımcılarıyla, Bilgi Teknolojileri ve İletişim Kurumu, talep halinde Ulaştırma Denizcilik ve Haberleşme Bakanlığı ve kanunen kişisel verileri talep etmeye yetkili kamu kurumları ile paylaştığı,
Bu çerçevede ilgili kişinin ve yine veri sorumlusundan hizmet alan hiçbir müşterinin kişisel verisinin istenmeden yaşanan münferit olay dışında üçüncü kişilerle paylaşılmadığı, bu güvenliğin sağlanabilmesi için idari ve teknik pek çok önlemin alındığı, söz konusu tedbirlerin günün gerekleri ve yürürlükteki mevzuat uyarınca gerekli oldukça geliştirildiği ve güncellendiği,
Veri sorumlusunun taşıma hizmeti kapsamında belli bilgileri kargo/gönderi üzerine yazmasının Karayolu Taşıma Kanunu’nun 43’üncü maddesi gereğince bir yükümlülük olduğu, dolayısıyla alıcıların isim ve adres bilgilerinin kargo üzerinde yazdığı,
Veri sorumlusunun belli taşıyıcılık faaliyetlerini, akdettiği acentelik sözleşmeleri vasıtasıyla yürüttüğü, şikâyete konu işlemin de bir acentenin istihdam ettiği personel tarafından yapıldığı,
Veri sorumlusunun hizmetlerin güvenliği konusunda hassas davrandığı ve mezkûr vakıada da kasıtlı bir eyleminin bulunmadığı, kargo dağıtım süreçlerinde istemeden de olsa yaşanan bu gibi aksaklıkların önüne geçilebilmesi için acentelere ve ilgili tüm birim personeline gerekli bildirimlerin sıklıkla gerçekleştirildiği, çalışanlara yükümlülükleriyle ilgili düzenli eğitimlerin verildiği ve farkındalık çalışmaları yapıldığı, nitekim söz konusu acentenin çalışanlarına da kişisel verilerin korunmasına ilişkin muhtelif tarihlerde eğitimler verildiği, belirli aralıklarla hatırlatma SMS’leri gönderildiği,
Veri sorumlusu tarafından kişisel verilerin korunmasına yönelik bilgilendirme ve aydınlatmaların yerine getirildiği, firmalarının bilgi ve kişisel veri güvenliği konusunda da uluslararası standartları haiz bir kurum olduğu, kişisel verilerin korunmasının ve ilgili yasal mevzuata uyumun öncelikli önem verdiği değer ve politikalar arasında olduğu, bu konunun en önemli bölümlerinden birini müşterilerinin kişisel verilerinin korunmasının oluşturduğu,
İzah ettikleri üzere yaşanan olayda veri sorumlusunun kasıtlı bir eyleminin bulunmadığı, tekrarlanmaması için gerekli hassasiyet ve özenin gösterileceği

bildirilmiştir.

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 05/01/2023 tarihli ve 2023/4 sayılı Kararı ile;

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi”, (ğ) bendinde veri işleyenin “veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi” olarak tanımlandığı,
Kanun’un, kişisel verilerin işlenmesine ilişkin "Genel İlkeler"i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında, "Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir." hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin; a) hukuka ve dürüstlük kurallarına uygun olma, b) doğru ve gerektiğinde güncel olma, c) belirli, açık ve meşru amaçlar için işlenme, ç) işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, d) ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme şeklinde sayıldığı,
Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükmünün yer aldığı,
Kanun’un 12’nci maddesinin (1) numaralı fıkrası gereğince veri sorumlusunun; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğunun, (5) numaralı fıkrası gereğince de işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildirmesi gerektiğinin hükme bağlandığı,
İlgili kişiye ait isim, soy isim ve adres bilgilerinin ilgili kişiyi belirli veya belirlenebilir kılmaya yeterli olduğu, bu yüzden, bahsi geçen bilgilerin Kanun’un 3’üncü maddesindeki tanım uyarınca “kişisel veri” niteliğini haiz olduğu, ilgili kişiye ait mezkûr kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması, kullanılmasının engellenmesi ve sair fiillerin Kanun’un 3’üncü maddesindeki tanım kapsamında birer “kişisel verilerin işlenmesi” faaliyeti olduğu,
Veri sorumlusu ile acente arasında akdedildiği belirtilen “acentelik sözleşmesi” de dâhil olmak üzere taraflarca dosyaya sunulan bilgi ve belgelerin, somut olayda mezkûr acentenin Kanun hükümleri karşısında “veri sorumlusu” olarak kabul edilebilmesine yetecek nitelikte olmadığı, zira taraflar arasında akdedilen acentelik sözleşmesinde söz konusu acentenin faaliyetlerini veri sorumlusunun nam ve hesabına yürüttüğünün açık bir şekilde düzenlenmiş olduğu, bu şartlarda acentenin, Kanun’un 3’üncü maddesinde yapılan tanımlar itibarıyla ancak “veri işleyen” sıfatını haiz olduğu,
Veri sorumlusunun uhdesinde bulunan/işlenen kişisel verilerin güvenliğini sağlamak için gerekli her türlü teknik ve idari tedbiri almak konusunda Kanun’un 12’nci maddesinin (1) numaralı fıkrasından kaynaklanan bir zorunluluğu bulunduğu, bu yüzden, veri sorumlusunun savunmasında almış olduğunu beyan ettiği kişisel verilerin korunmasına ilişkin tedbirlerin Kanun’un 12’nci maddesinin (1) numaralı fıkrasının birer gereği olduğu,
Somut olayda, ilgili kişiye ait isim, soy isim ve adres kişisel verilerinin, veri sorumlusunca türleri/nitelikleri dikkate alındığında ancak Kanun’un 5’inci maddesinde yer alan şartlardan en az birine dayanılarak ve 4’üncü maddesinde zikredilen genel ilkelere uygun olarak işlenebileceği,
İlgili kişiye ait isim, soy isim ve adres kişisel verilerinin veri sorumlusu tarafından üçüncü şahısla paylaşılmasından ibaret olan kişisel veri işleme faaliyetinin yeni/müstakil bir kişisel veri işleme faaliyeti olduğu ve söz konusu kişisel veri işleme faaliyeti açısından da Kanun’un 5’inci maddesinde yer alan şartlardan en az birine dayanılmış olması gerektiği,
Veri sorumlusunun 4925 sayılı Karayolu Taşıma Kanunu’nun 43’üncü maddesine atıf yaptığı savunmasından, veri sorumlusunca ilgili kişi hakkında yürütülen kişisel veri işleme faaliyetlerinde Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (a) bendindeki “kanunlarda açıkça öngörülmesi” hukuki şartına dayanıldığının anlaşıldığı, buna karşın, yapılan inceleme neticesinde, veri sorumlusunun atıf yaptığı 4925 sayılı Karayolu Taşıma Kanunu’nun toplamda 38 (otuz sekiz) maddeden ibaret olduğunun görüldüğü; bu yüzden de 4925 sayılı Karayolu Taşıma Kanunu içerisinde veri sorumlusunun beyan ettiği 43’üncü maddenin tespit edilemediği, ayrıca, taşıma hizmeti kapsamında alıcıların isim ve adres bilgilerinin kargo üzerine yazılmasını gerektiren bir yükümlülüğün mevzuatta öngörülmüş olmasının, veri sorumlularının somut olayda olduğu gibi kişisel verileri hatalı olarak işlediği (aslında kargoyla alakası olmayan ilgili kişilerin kişisel verilerinin kargo paketi üzerine yazıldığı) durumlarda geçerli bir kişisel veri işleme sebebi/şartı olarak kabul edilemeyeceği, dolayısıyla, somut olayda veri sorumlusu tarafından ilgili kişinin kişisel verilerinin “çapraz barkodlama hatası” yapılarak üçüncü bir kişi ile paylaşılması suretiyle yürütülen kişisel veri işleme faaliyetinde Kanun’un 5’inci maddesinde düzenlenen herhangi bir hukuki şartına dayanılmadığı sonucuna ulaşıldığı,
Veri sorumlularının uhdelerinde bulunan/işlenen kişisel verilerin güvenliğini sağlamak için gerekli her türlü teknik ve idari tedbiri almak konusunda Kanun’un 12’nci maddesinin (1) numaralı fıkrasından kaynaklanan zorunluluğa uymamaları halinde, ortaya bir veya daha fazla “kişisel veri ihlali” çıkmasının ihtimal dâhilinde olduğu, kişisel veri ihlali durumlarında ise veri sorumluları tarafından Kanun’un 12’nci maddesinin (5) numaralı fıkrasında düzenlenen “veri ihlal bildirimi” yolunun işletilmesi ve “ilgili kişilere ve Kurula bildirim yükümlülüğü”ne uyulması gerektiği,
Bu çerçevede ilgili kişinin kişisel verilerinin üçüncü kişiyle paylaşılmasının yeni bir kişisel veri işleme faaliyeti olduğu, buna karşın söz konusu kişisel veri işleme faaliyetinin Kanun’da yer alan herhangi bir işleme şartına dayanmadığı, veri sorumlusunun anılan fiilinin ise Kanun’un kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerin alınmasını zorunlu kılan 12’nci maddesinin (1) numaralı fıkrasına aykırılık teşkil ettiği, öte yandan söz konusu durumun bir veri ihlali olmasına karşın veri sorumlusunun Kanun’un 12’nci maddesinin (5) numaralı fıkrası kapsamında Kurula veri ihlal bildiriminde bulunmadığı

değerlendirmelerinden hareketle;

İlgili kişinin kişisel verilerinin üçüncü kişi ile paylaşılmasının yeni bir veri işleme faaliyeti olduğu, söz konusu veri işlemenin Kanun’da yer alan herhangi bir işleme şartına dayanmadığı, veri sorumlusunun anılan fiilinin Kanun’un veri güvenliğine ilişkin yükümlülüklerin düzenlendiği 12’nci maddesinin (1) numaralı fıkrasının (a) bendi hükmüne aykırılık teşkil ettiği, öte yandan söz konusu durumun bir veri ihlali olmasına karşın veri sorumlusunun Kanun’un 12’nci maddesinin (5) numaralı fıkrası kapsamında Kurula veri ihlal bildiriminde bulunmadığı da dikkate alındığında; Kanun’un 12’nci maddesinde yer alan yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendine istinaden 75.000 TL idari para cezası uygulanmasına

karar verilmiştir.

19.Ocak.2023: “İlgili kişinin borç bilgisinin ortağı olduğu şirketin kurumsal numaralarına kısa mesaj olarak gönderilmesi”

Karar Tarihi	:	19/01/2023
Karar No	:	2023/78
Konu Özeti	:	İlgili kişinin borç bilgisinin ortağı olduğu şirketin kurumsal numaralarına kısa mesaj olarak gönderilmesi

İlgili kişinin Kuruma intikal eden dilekçesinde özetle;

İlgili kişi ile GSM operatörü veri sorumlusu arasında mobil internet hattına ilişkin yapılan sözleşmenin ilgili kişi tarafından iptal edilmesi sonucu tarafına borç çıkarıldığı,
İlgili kişi adına çıkarılan borcun tahsili için GSM operatörünün bir avukatlık ortaklığına yetki verdiği, avukatlık ortaklığı tarafından borcun tahsilini sağlamak amacıyla ilgili kişinin ortağı olduğu şirkete ait 4 farklı cep telefonu numarasına ilgili kişinin soyadını maskeleyerek fakat adının açıkça görüneceği şekilde borçlu olduğu miktar hakkında icra takibi başlatılacağı bilgilerini içeren bir kısa mesaj gönderildiği,
Bahsi geçen mesajlar nedeniyle, ilgili kişinin ortağı olduğu şirket hatlarını kullanan çalışanların konu ile ilgileri bulunmamasına karşın ilgili kişinin borç bilgilerinden haberdar olduğu, ayrıca şirkette ilgili kişiyle aynı ada sahip başkaca kimse bulunmadığından soyadı maskelenmiş olsa dahi bahsi geçen kısa mesajda kimliğinin bilinir kılındığı,
Konuya ilişkin olarak avukatlık ortaklığına ve GSM operatörüne başvurduğu, verilen cevaplarda bilgi amaçlı gönderilen kısa mesajın maskelenerek paylaşıldığı belirtilmiş ise de ilgili kişiye ait kişisel verilerin, ilgili kişinin ortağı olduğu şirket hatlarına hangi amaçla iletildiğinin açıklanamadığı

ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Söz konusu iddialara ilişkin başlatılan inceleme çerçevesinde öncelikle ilgili avukatlık ortaklığından savunması istenilmiş olup alınan cevabi yazıda özetle;

GSM operatörü tarafından kendilerinin abonelerin borçlarının tahsilat süreçlerinin yürütülmesi konusuyla sınırlı olarak hizmet sözleşmesi ve vekâlet ilişkisi kapsamında yetkilendirildiği, GSM operatörü tarafından yönetilmekte olan sisteme sınırlı erişim hakkına sahip oldukları, bu doğrultuda taraflarının söz konusu sistem üzerinden sınırlı şekilde görüntülenen/erişilen kişisel veriler ve bu veriler kullanılarak gerçekleştirilen kısa mesaj gönderme faaliyetlerine ilişkin olarak Kanun’un 3’üncü maddesinin (1) numaralı fıkrasının (ğ) bendi uyarınca veri işleyen konumunda olduğu, ilgili kişinin avukatlık ortaklığına başvuru hakkı bulunmadığı ve şikâyetinin usulden reddinin gerektiği,
Nitekim söz konusu şirket ile aralarında imzalanan sözleşmede de avukatlık ortaklığının veri işleyen sıfatı ile sorumlu olacağına ilişkin hükme yer verildiği,
Avukatlık ortaklığı olarak vekili oldukları şirket adına, müvekkillerinin haklarını ve menfaatlerini korumak amacıyla ve bu anlamda Avukatlık Kanunu'ndan doğan yükümlülüklerini ve yürütmekte olduğu icra işlemleri bakımından 2004 sayılı İcra ve İflas Kanunu ile diğer mevzuattan kaynaklanan hukuki yükümlülüklerini yerine getirmek amacıyla borçluya ait kişisel verileri 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 5’inci maddesinin (2) numaralı fıkrasında yer alan "Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması" ve "İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması" hukuki sebepleri çerçevesinde işledikleri,
Belirtilen 4 farklı telefon numarasının ilgili kişinin iletişim numarası olarak avukatlık ortaklığına veri sorumlusu GSM operatörü tarafından iletildiği ve avukatlık ortaklığının da "veri işleyen" sıfatıyla bu numaralara bilgilendirme kısa mesajı gönderdiği, bu bağlamda avukatlık ortaklığının söz konusu şirket tarafından erişim imkânı sağlanan borçlulara ait iletişim numaralarının kaynağını sorgulama yetkisinin bulunmadığı,
İlgili kişinin iletişim numarası olarak bildirilen numaralara yalnızca bir kez kısa mesaj gönderimi yapıldığı, bu kısa mesajın içeriğinde ise ilgili kişiye ilişkin kişisel verilerin paylaşılmadığı ve ilgili kişinin isminin maskelenerek paylaşıldığı

ifade edilmiştir.

Söz konusu iddialara ilişkin başlatılan inceleme çerçevesinde veri sorumlusu GSM operatöründen de savunması istenilmiş olup alınan cevabi yazıda özetle;

Veri sorumlusu olarak avukatlık ortaklığı ile hukuki ilişkileri kapsamında ve borcun tahsili amacıyla yalnızca ilgili kişi borçluya ilişkin kimlik, iletişim ve borç bilgilerini içeren verilerin paylaşıldığı,
Şikâyete konu telefon numaralarının ilgili kişinin ortağı olduğu şirket adına kayıtlı kurumsal numaralar olduğu

ifade edilmiştir.

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 19/01/2023 tarih ve 2023/78 sayılı kararı ile;

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi”, (ğ) bendinde veri işleyenin “veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi” olarak tanımlandığı,
Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesinde, kişisel verilerin ancak bu Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, buna göre, kişisel verilerin ancak; a) Hukuka ve dürüstlük kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ile d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceği,
Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükmünün yer aldığı,
Şikâyete konu olayda avukatlık ortaklığı tarafından sunulan savunmada veri sorumlusu müvekkilleri ile aralarındaki sözleşme gereği veri sorumlusu sıfatını haiz olmadıkları belirtilmişse de veri sorumlusu sıfatını tayin etmede Kanun çerçevesinde yapılacak değerlendirme için bu sözleşmede yer alan nitelendirmenin esas alınamayacağı; bununla birlikte ilgili kişiye ilişkin kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan, ilgili kişinin ortağı olduğu şirkete ait iletişim numaralarını borcun tahsili amacı ile avukatlık ortaklığı ile paylaşan GSM operatörü şirketin, “veri sorumlusu”; veri sorumlusunun verdiği talimat çerçevesinde ilgili kişiye ait olduğu belirtilen iletişim numaralarına borcun tahsili amacıyla kısa mesaj gönderen avukatlık ortaklığının ise veri işleyen olarak tanımlanabileceği,
Her ne kadar avukatlık ortaklığı tarafından ilgili kişi borçlunun soyadının yıldızlı bir şekilde yazıldığı ifade edilse de adının tamamı ve soyadının baş harfinin yer alması ile mesajın ilgili kişinin ortağı olduğu şirkete ait telefon numaralarına gönderilmesinin ilgili kişiyi belirlenebilir kıldığı,
Kanun’da, kişisel verilerin sınırlı sayma yöntemi ile belirlenmediği, bir verinin kişisel veri olması için belirli ya da belirlenebilir gerçek kişiye ilişkin olma kriteri getirildiği; bu kapsamda, ilgili kişinin şirket hattı olan cep telefonu numaralarına gönderilen adı, soyadı, borçlu olduğu firma ve hakkında icra takip işlemlerinin başlatılacağı bilgilerini ihtiva eden kısa mesajın ilgili kişiye ait kişisel verileri içerdiğinin anlaşıldığı,
Avukatlık ortaklığının savunmasında, veri sorumlusu ile arasındaki vekâlet ilişkisine binaen müvekkilinin alacaklarının takibini gerçekleştirdiği, ilgili kişiye ilişkin tüm iletişim numaralarının veri sorumlusu tarafından irtibat bilgisi olarak paylaşıldığının belirtildiği; veri sorumlusunun savunmasında ise alacağın tahsili için zorunlu olan veriler dışında avukatlık ortaklığına başkaca kişisel veri aktarılmadığının, şikâyete konu GSM numaralarının ilgili kişinin ortağı olduğu şirket adına kayıtlı kurumsal numaralar olduğunun ifade edildiği,
İlgili kişinin ortağı olduğu şirkete ait kurumsal iletişim numaralarının Kanun’un 5’inci maddesinin (1) numaralı fıkrası kapsamında veri sorumlusu ile arasındaki bireysel sözleşmelere ilişkin iletişim numarası olarak da kullanılabileceğine dair ilgili kişinin açık rızasının alındığını tevsik eden bilgi ve belgeye savunma ekinde rastlanmadığı,
Her ne kadar Kanun kapsamında tüzel kişiye ait telefon numaraları kişisel veri olmasa da veri sorumlusu tarafından ilgili kişinin ortağı olduğu şirkete ait kurumsal telefon numaralarının ilgili kişinin iletişim numarası olarak avukatlık ortaklığı ile paylaşılmasının, Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (b) bendine aykırı olarak ilgili kişiye ilişkin kişisel verilerin doğru bir şekilde işlenmediği şeklinde değerlendirileceği, bu nedenle avukatlık ortaklığı tarafından ilgili kişiye ilişkin kişisel verileri içeren kısa mesajların şirkete ait iletişim numaralarına gönderilmesi neticesinde borca konu işlemle ilgisi olmayan üçüncü kişi şirket çalışanları ile ilgili kişiye ilişkin kişisel veri olan borç bilgisinin Kanun’un 5’inci maddesinde yer alan herhangi bir işleme şartı bulunmaksızın paylaşıldığı

değerlendirmelerinden hareketle;

İlgili kişinin ortağı olduğu Şirkete ait kurumsal iletişim numaralarının, veri sorumlusu ile arasındaki bireysel sözleşmelerde de iletişim numarası olarak kullanılmasının veri sorumlusu tarafından Kanun’un 4’üncü maddesinde yer alan Genel İlkelerden “doğru ve gerektiğinde güncel” olma ilkesine aykırılık teşkil ettiği anlaşılmış olup, bu hukuka aykırı veri işleme faaliyeti nedeniyle avukatlık ortaklığı tarafından ilgili kişiye ilişkin kişisel verileri içeren kısa mesajların şirkete ait iletişim numaralarına gönderilmesi neticesinde, borca konu işlemle ilgisi olmayan üçüncü kişi şirket çalışanları ile ilgili kişiye ilişkin kişisel veri olan borç bilgisinin Kanun’un 5’inci maddesinde yer alan herhangi bir işleme şartı bulunmaksızın paylaşıldığı gözetildiğinde; Kanun’un 12’nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülüklerini yerine getirmediği kanaatine varılan veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 85.000 TL idari para cezası uygulanmasına,
Veri sorumlusu tarafından verilen talimat çerçevesinde borcun tahsili amacıyla ilgili kişiye ilişkin olduğu belirtilen telefon numaralarına bir adet kısa mesaj gönderen ve sınırlı yetkisi çerçevesinde söz konusu numaralara ilişkin doğrulama imkânı olmayan veri işleyen avukatlık ortaklığı hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına

karar verilmiştir.

23.Aralık.2022: “Bir internet sitesinde yer alan çerezlere ilişkin aydınlatma ve açık rıza metinlerinin sunulmaması”

Karar Tarihi	:	23/12/2022
Karar No	:	2022/1358
Konu Özeti	:	Bir internet sitesinde yer alan çerezlere ilişkin aydınlatma ve açık rıza metinlerinin sunulmaması

İlgili kişinin Kuruma intikal eden şikayetinde özetle; bir oyun platformunun internet sayfasına giriş yapıldığında çerez işleme süreçleriyle ilgili kullanıcılara aydınlatma yapılmadığı ve zorunlu olmayan çerezler için açık rıza alınmadığı, siteye üye olan kullanıcılardan kimlik ve iletişim bilgilerinin talep edildiği ancak aydınlatma ve açık rıza metinlerinin sunulmadığı, ilgili şirkete başvuru yapılmakla birlikte yeterli bir cevap alınamadığı ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde sitenin işletilmesinden sorumlu veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

Söz konusu internet sitesinin şirkete ait olduğu ancak Türkiye’deki operasyonlarından başka bir şirketin sorumlu olduğu,
KVKK aydınlatma metnine sitede paylaşılan link aracılığı ile ulaşılabildiği ve bu metinde kişisel verilerin hangi amaçlarla işlendiğine dair kapsamlı bir açıklama sunulduğu,
Sitede satıcılar için satış yapma ön şartı olan telefon ve kimlik onay zorunluluğu olduğu, bu bilgilerin satıcıların kendi kabulleri ile siteye girildiği ve yalnızca satış esnasında oluşan komisyon sözleşmesi sebebiyle alındığı, alınan bilgilerin yalnızca sözleşme kapsamında doğacak hukuki sorumluluk kaynaklı olarak talep edildiği ve satıcılar tarafından siteye iletildiği,
İlgili kişinin site üzerinde bir sanal hesap satım işlemi gerçekleştirmesi neticesinde komisyon sözleşmesinden doğan sorumluluğun yanı sıra alıcının satış sonrası uğrayabileceği zararlardan doğacak rücu hakkından dolayı muhtemel hukuki sorumluluğa karşı bu verilerin işlenmesinin veri sorumlusu açısından zaruri olduğu,
Bu kapsamda internet sitesinde işlenen kişisel verilerin Kanun’un 5’inci maddesinin (2) numaralı fıkrasında yer alan “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” ile “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartlarına dayanılarak işlendiği,

ifade edilmiştir.

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun 23/12/2022 tarih ve 2022/1358 sayılı Kararı ile;

Kanun’un 5’inci maddesinin kişisel verilerin işlenme şartlarını düzenlediği, maddenin (1) numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin hüküm altına alındığı, (2) numaralı fıkrada ise, kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için veri işlemenin zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaati için veri işlenmesinin zorunlu olması hallerinde ilgili kişinin açık rızası olmaksızın kişisel verilerin işlenmesinin mümkün olduğunun hükme bağlandığı,
Kanun’un “Veri Sorumlusunun Aydınlatma Yükümlülüğü” başlıklı 10’uncu maddesinin (1) numaralı fıkrasında kişisel verilerin elde edilmesi sırasında veri sorumlusunun veya yetkilendirdiği kişinin, ilgili kişilere; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve 11 inci maddede sayılan diğer hakları konusunda bilgi vermekle yükümlü olduğunun belirtildiği,
Kanun’un “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12’nci maddesinin (1) numaralı fıkrasının ise; veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almakla yükümlü olduğu hükmünü içerdiği,
Öte yandan, bir internet sitesinin düzgün çalışması için zorunlu çerezler vasıtasıyla kişisel verilerin işlenmesinde kişilerin açık rızasına gerek duyulmayacak iken; reklam, pazarlama ve performans amacıyla çalışan çerezlerin kullanılmasının ilgili kişinin açık rızasına tabi olduğu, “kesinlikle gerekli çerezler”in internet sitesinin düzgün çalışması için gerekli çerezler olduğu, ilgili kişinin açık rızası olmaksızın Kanun’un 5’inci maddesinin (2) numaralı fıkrasında ve Kanun’un 6’ncı maddesinin (3) numaralı fıkrasında yer alan işleme şartlarından birine dayanılarak kişisel veri işleme faaliyeti gerçekleştirilebileceği, “kesinlikle gerekli çerezler” statüsünde olmayan çerezler ile kişisel veri işleme faaliyeti gerçekleştirilmesi ve Kanun’un 5’inci maddesinin (2) numaralı fıkrası ile 6’ncı maddesinin (3) numaralı fıkrasında yer alan işleme şartlarından birinin bulunmaması durumunda ilgili kişinin açık rızasına başvurulması gerektiği, veri sorumlusunun, internet sitesinde ve mobil uygulamalarında yer alan ve sitenin/uygulamanın düzgün çalışmasını sağlayan kesinlikle gerekli çerezler dışında yer alan işlevsel çerezler, performans-analitik çerezler, reklam/pazarlama çerezlerinin çalıştırılmasına ilişkin olarak açık rıza dışında bir veri işleme şartı bulunmuyor ise internet sitesini/mobil uygulamaları ziyaret eden kullanıcılardan internet sitesine/mobil uygulamaya giriş anında ilgili kişilerin iradi aktif hareketiyle söz konusu çerezlerin çalışmasına onay vermesini, dolayısıyla varsayılan ayar olarak çerezlerin çalışmamasını öngören “opt-in” mekanizmasına göre açık rıza alması gerektiği,
İlgili kişinin iddiaları kapsamında yapılan incelemede sitenin ziyaret edilerek çok sayıda çerezin mevcut olduğunun görüldüğü bu çerçevede herhangi bir aydınlatma yapılmadığı, zorunlu olmayan ve kullanıcı hareketlerini reklam veya istatistik gibi amaçlar için takip eden çerezler için veri sorumlusu tarafından açık rıza alma yoluna gidilmediğinin tespit edildiği,
Ayrıca veri sorumlusunun bahse konu internet sayfasında işlemekte olduğu çerez verilerine yönelik olarak kullanıcıların siteye ilk ziyareti sırasında Kanun’un 10’uncu maddesi uyarınca aydınlatma yükümlülüğünü yerine getirmesi gerektiği, sitede yer alan üyelik formu sayfasına KVKK Aydınlatma Metninin eklendiği ve link bağlantısı ile site ziyaretçilerine sunulduğu ancak metnin Kanun’da ve Tebliğde yer alan zorunlu unsurları taşımadığı ve kullanıcı verilerinin yurt dışına aktarıldığı

değerlendirmelerinden hareketle;

Veri sorumlusu tarafından internet sayfasında herhangi bir işleme şartına dayanmadan reklam ve pazarlama amacı gibi zorunlu olmayan çerezler vasıtasıyla kişisel veri işlendiği, bu durumun ise Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklere aykırılık teşkil ettiği dikkate alındığında veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 300.000 TL idari para cezası uygulanmasına,
Sitede çerezlerle işlenen kişisel veriler bakımından Kanun’un 10’uncu maddesi ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in ilgili hükümlerine uygun biçimde ilgili kişilere yönelik aydınlatma yükümlülüğünün yerine getirilmesi ve sonucundan Kurula bilgi vermesi yönünde veri sorumlusunun talimatlandırılmasına,
Kullanıcılara sunulan kayıt formunun doldurulması sırasında işlenen kişisel verilerle ilgili olarak sitede aydınlatma metninin sunulmakta olduğu anlaşılmış olmakla birlikte söz konusu aydınlatma metninde tespit edilen eksikliklerin Kanun’un 10’uncu maddesi ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in ilgili hükümlerine uygun biçimde düzenlenerek sonucundan Kurula bilgi vermesi yönünde veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

23.Aralık.2022: “Spor salonu işletmecisi olan veri sorumlusunun, özel nitelikli kişisel veri niteliğini haiz kan grubu verisini ilgili kişinin açık rızasını almaksızın işlemesi”

Karar Tarihi	:	23/12/2022
Karar No	:	2022/1357
Konu Özeti	:	Spor salonu işletmecisi olan veri sorumlusunun, özel nitelikli kişisel veri niteliğini haiz kan grubu verisini ilgili kişinin açık rızasını almaksızın işlemesi

İlgili kişinin Kuruma intikal eden şikâyetinde özetle; bir spor salonunun işletmecisi olan veri sorumlusunun spor salonundan hizmet alan kişilerin sağlık verilerini (detaylı yağ, kilo ve performans ölçümü, kan grubu, yıllık hastane ziyaret sayısı, içilen sigara bilgisi vb.), biyometrik verilerini (salona girişte alınan parmak izi) ve kamera görüntülerini işlediği ancak bu verilerle ilgili olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında aydınlatma yapılmadığı ve kişilerin açık rızalarının alınmadığı, ilgili kişinin kişisel verilerinin işlenmesine ilişkin soru ve taleplerini içeren e-postanın veri sorumlusu tarafından yasal süre içerisinde cevaplandırılmadığı, ilgili kişilere ait kişisel verileri içeren kartlara spor salonunda görevli herkesçe erişilebildiği ve bu bilgilerin güvenliğinin sağlanmadığı, sağlık verilerinin de aralarında bulunduğu bu kartların zaman zaman kaybolduğu ve kimlerin eline geçtiğinin belirsiz olduğu, spor salonu görevlilerinin kamera kayıtlarını izlediği ve ilgili kişilerin salon içerisindeki davranışlarıyla bu kayıtların eşleştirilmesi suretiyle yorum yapılabildiği belirtilerek veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

İlgili kişinin iddialarının asılsız olduğu ve spor salonunda uygulanan COVID-19 tedbirlerine uymamak amacıyla şikâyette bulunduğu,
İlgili kişinin spor salonunda hizmet almak üzere üyelik sözleşmesi imzaladığı ve bu sözleşmede yer alan kişisel verileri dışında başka verisinin işlenmediği,
Üyelik sözleşmesinin ilk sayfasında yer alan “SMS pazarlama faaliyetlerini istiyorum” kısmına, ilgili kişinin “Okudum, anladım, onaylıyorum” şeklinde imzalı onay verdiği ve bu suretle söz konusu verilerin işlenmesinin kendisi tarafından da kabul edilmiş olduğu,
Spor salonu üyelerinin kendi talepleri olmadıkça boy ve kilo gibi verilerinin alınmadığı, nitekim sözleşmede “anılan spor salonunun üyelere yönelik bir kilo kaybetme, kilo artışı veya sağlığının iyileştirilmesi gibi konularda herhangi bir yazılı veya sözlü taahhüdü bulunmamaktadır.” ibaresinin yer aldığı,
Dolayısıyla veri sorumlusunun, üyelerin kilo ve boy gibi verilerini kaydetmediği, zira bu hususlarda bir yükümlülüğünün bulunmadığı, aksi bir durumun yalnızca üyenin talebi ve rızası ile mümkün olduğu ancak somut olayda ilgili kişiye ait bu nitelikte bir veri girişinin bulunmadığı

ifade edilmiştir.

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun (Kurul) 23/12/2022 tarih ve 2022/1357 sayılı Kararı ile;

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükmünün yer aldığı,
Kanun’un “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6’ncı maddesinin (2) numaralı fıkrasında özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğunun; (3) numaralı fıkrasında ise, birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel verilerin, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebileceğinin; sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceğinin düzenlendiği,
Kanun’un 10’uncu maddesinin (1) numaralı fıkrasında kişisel verilerin elde edilmesi sırasında veri sorumlusunun veya yetkilendirdiği kişinin, ilgili kişilere; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile 11’inci maddede sayılan diğer haklar konusunda bilgi vermekle yükümlü olduğunun düzenlendiği,
Kanun’un 12’nci maddesinin (1) numaralı fıkrası gereğince veri sorumlusunun; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğunun hükme bağlandığı,
İlgili kişinin şikayetinde, üyeliği kapsamında özel nitelikli kişisel verileri dahil olmak üzere veri sorumlusu tarafından işlenen diğer kişisel verilerine yönelik Kanun’un 10’uncu maddesi kapsamında aydınlatmada bulunulmadığı ve sağlık verileri ile biyometrik veriler için de açık rıza alınmadığını iddia ettiği, ilgili kişi tarafından şikâyete ek olarak üyelik sözleşmesinin bazı sayfalarının bir örneğinin de Kuruma sunulduğu, bu çerçevede şikâyete konu olaydaki sözleşme incelendiğinde, işlenen kişisel verilere ilişkin herhangi bir aydınlatmanın yer almadığının görüldüğü, bu çerçevede Kanun’un 10’uncu maddesinde yer verilen yükümlülüğün yerine getirilmesi amacıyla üyelik sözleşmesi kapsamında işlenen kişisel veriler için sözleşme metninden ayrı olarak aydınlatma metninin veri sorumlusunca sunulması gerektiği,
Diğer yandan sözleşmenin ilk sayfasında ilgili kişinin kimlik verilerinin yanı sıra sağlık verisi olan kan grubu bilgisinin de yer aldığı, özel nitelikli kişisel veri olarak sağlık verisi kategorisinde yer alan kan grubu bilgisinin spor salonu tarafından işlenmesi Kanun’un 6’ncı maddesinin (2) numaralı fıkrası uyarınca ilgili kişilerin açık rızası ile mümkün olmakla birlikte buna ilişkin bir açık rıza metninin sunulmadığı görüldüğünden veri sorumlusunun Kanun’da yer alan işleme şartına dayanmaksızın kişisel veri işlediğinin anlaşıldığı,
Veri sorumlusunun savunmasında beyan edildiği üzere, sözleşme metninde yer alan “SMS pazarlama faaliyetlerini istiyorum” kısmına onay verilmesinin ilgili kişi tarafından kişisel verilerinin işlenmesine açık rıza verildiği anlamına gelmediği, bu ifadenin yalnızca pazarlama faaliyetleri kapsamında ilgili kişinin kişisel verisinin işlenmesiyle sınırlı bir beyandan ibaret olduğu, bununla birlikte ilgili kişilerin tercihlerinin metne yansıtılmasını teminen söz konusu seçenekle birlikte “SMS pazarlama faaliyetlerini istemiyorum” seçeneğinin de üyelik sözleşmesinde sunulması gerektiği,
Diğer yandan ilgili kişinin, yağ ve kilo performans ölçümleri, hastane ziyaret sıklığı, boy uzunluğu vb. verilerinin yanı sıra salon girişinde biyometrik veri olan parmak izinin alındığına yönelik iddiasını tevsik edememesi nedeniyle bu hususta herhangi bir tespitte bulunulamadığı,
İlgili kişinin, spor salonu içerisinde üyelere ait bilgi kartlarının herkes tarafından kolayca ulaşılabilir durumda bulunduğu, bu kartların uygun biçimde saklanmadığı ve zaman zaman kaybolduğu, salon içerisindeki güvenlik kamerası görüntülerine yetkisiz kişilerce erişilebildiği ve ilgili kişinin birtakım davranışlarının bu görüntülerle eşleştirildiği yönündeki iddialarına ilişkin tevsik edici bilgi ve belge sunamadığı ve veri sorumlusundan alınan savunmada da bu iddiaların reddedildiği,
Şikâyet konusu olaya ilişkin olarak ilgili kişi tarafından veri sorumlusuna gönderilen e-postaya herhangi bir cevap verilmediğinin bu anlamda veri sorumlusunun, kendisine yapılan başvuruyu Kanun’un 13’üncü maddesinin (2) numaralı fıkrası kapsamında sonuçlandırma yükümlülüğüne uygun davranmadığının görüldüğü,

değerlendirmelerinden hareketle;

Spor salonu üyeliği için özel nitelikli kişisel veri niteliğindeki kan grubu verisinin işlendiği ve bu işleme için açık rıza alınmadığı dikkate alındığında Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında, veri sorumlusunca işletilen spor salonunun üyelik sözleşmesi kapsamında çok sayıda üyenin kişisel verilerinin işlendiği, bunlar arasında özel nitelikli kişisel verilerin de bulunmasının kullanıcıların mahremiyeti açısından önemli bir risk arz ettiği, veri sorumlusunca ilgili kişi başvurusunun cevapsız bırakıldığı, ve spor salonu işletmeciliğinin yanı sıra turizm ve otel işletmeciliği ile inşaat taahhüt gibi birçok sektörde faaliyet gösteren veri sorumlusunun ekonomik durumu da dikkate alınarak Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 100.000 TL idari para cezası uygulanmasına,
Aydınlatma ve açık rıza metinlerinin üyelere sunulan sözleşme metni içerisinde değil ayrıca düzenlenmesi, açık rızanın ilgili kişilere her bir faaliyet açısından onay verme ve vermeme seçeneklerini içerecek şekilde sunulması, aydınlatma metninin Kanun’un 10’uncu maddesinin yanı sıra Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in ilgili hükümlerine uygun şekilde düzenlenmesi ve yapılan işlemlerin sonucundan Kurulu bilgilendirmesi hususunda veri sorumlusunun talimatlandırılmasına,
İlgili kişinin Kanun’un 11’inci maddesi uyarınca bilgi edinme talebinin cevapsız bırakıldığı anlaşıldığından bundan sonra söz konusu olabilecek ilgili kişi başvurularının uygun biçimde cevaplandırılmasında gerekli hassasiyetin gösterilmesi hususunun veri sorumlusuna hatırlatılmasına,
İlgili kişilere ait bilgi kartlarında yer alan verilerin yanı sıra güvenlik kameraları ile işlenen görsel kayıtların güvenliğinin sağlanmadığı yönündeki şikâyet ile ilgili olarak eldeki mevcut bilgi ve belgeler kapsamında bu şekilde bir veri ihlali yaşandığı yönünde bir tespitte bulunulamamış olup bu hususta yapılacak bir işlem bulunmadığına

karar verilmiştir.

19.Ocak.2023: “Veri sorumlusunun çalışanlarına tahsis ettiği kurumsal e-posta adresindeki içerikleri izleme, erişme ve depolama suretiyle kişisel verileri işlemesi”

Karar Tarihi	:	19/01/2023
Karar No	:	2023/86
Konu Özeti	:	Veri sorumlusunun çalışanlarına tahsis ettiği kurumsal e-posta adresindeki içerikleri izleme, erişme ve depolama suretiyle kişisel verileri işlemesi

Kuruma intikal eden şikâyette özetle;

İlgili kişinin veri sorumlusu şirkette iş akdinin feshedildiği, fesih sebebinin şirket içi verilerin şirketin tahsis etmiş olduğu e-posta adresi üzerinden kişisel e-posta adresine gönderilmesi ve şirketin bir başka çalışanı ile gerçekleştirilen telefon görüşmesinin gizlice kayıt altına alınarak yine kişisel e-posta adresi ile avukatının e-posta adresine gönderilmesi olduğu,
Feshin geçersizliği ve istifaya zorlamak için uygulanan mobbing nedeniyle iş akdinin feshedildiği gerekçesiyle ilgili kişi tarafından işe iade davası açıldığı ve aynı zamanda 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 11’inci maddesi kapsamındaki hakları çerçevesinde veri sorumlusu şirkete başvuruda bulunulduğu,
Şirket tarafından verilen cevabın yeterli olmadığı, ilgili kişi işe başlarken şirket tarafından imzalatılan formlarda bilgisayardaki tüm hareketler ve e-posta içeriği dahil olmak üzere kişisel veri işleme süreçlerine ilişkin düzenlemelerin yer almadığı, bu anlamda iş sözleşmesi ekinde yer alan formlar/taahhütnamelerin battaniye rıza niteliğinde olduğu ve belgelerde yer alan açıklamaların muğlaklıklar içerdiği, ayrıca bu durumun Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ'in 5’inci maddesine de aykırılık oluşturduğu,
Şirketin kendi yayınladığı iş sözleşmesi eki olan “Etik Kurallar ve Disiplin Yönetmeliği”ne de aykırı davrandığı, İş Kanunu’nun 26’ncı maddesinde ve ilgili Disiplin Yönetmeliği’ndeki 6 iş günlük ve 1 yıllık hak düşürücü sürelerin geçmesine rağmen fesih tarihinden 607 gün ve 149 gün önce elde edilen e-postaların fesih tarihinde kullanılmasının şirketin e-postaları izlediğinin, süresiz depoladığının ve fesih konusu iddialarını oluşturan e-postalar üzerinde genel denetimde bulunduğunun göstergesi olduğu, söz konusu e-postaların ve ses kaydının tarafına iletilmesini talep ettiği ancak veri sorumlusu tarafından iletilmediği,
e-posta içeriklerinin izlenmesi, erişilmesi ve depolanması suretiyle kişisel verilerinin hukuka aykırı işlendiği ve söz konusu kişisel veri işleme faaliyetlerinin doğruluk, ölçülülük ilkelerine aykırılık barındırdığı, işe iade davasında şirket avukatları tarafından dava dosyasına iki adet belge sunulduğu ve üç ayrı belgenin sayfalarının değiştirilerek sanki ilgili kişiden onay alınmış, aydınlatma yapılmış veya ilgili kişi tarafından taahhüt verilmiş algısı oluşturulmaya çalışıldığı, “Bilgi Formu ve Muvafakatname” başlıklı belgenin 2. ve 3. sayfalarının başka belgelerden alındığı, dipnotu İşe Alım Süreci Aday KVKK Bilgi ve Onay Formu olan belgenin de çalışanlardan değil iş başvurusunda bulunan adaylardan alınan yazı olduğu ve bu sayfada imzasının bulunmadığı, dipnotu Çalışanlara Ait Kişisel Verilerin İşlenmesine ve Korunmasına İlişkin Bilgilendirme ve Muvafakatname olan yazının içeriğinde ise e-posta içeriklerinin izlendiğine dair bilgilendirme olmadığı,
Bu kapsamda üç belgenin sayfaları değiştirilerek işe başvuran adaylardan alınan belgenin aydınlatma metni gibi gösterilmeye çalışıldığı, muvafakatnamenin ise açık rıza metni olarak gösterilmeye çalışıldığı

ifade edilerek 6698 sayılı Kanun kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabî yazıda özetle;

İlgili kişinin şirket bünyesinde “Pazarlama ve İç İletişim Yöneticisi" olarak görev yaptığı ve iş akdinin haklı sebeple feshedildiği, tamamı ticari veri içeren şirket bilgilerini gizlilik önlemlerine aykırı davranarak kişisel e-posta adresine ilettiği, ayrıca bir şirket çalışanı ile gerçekleştirdiği telefon görüşmesini bu çalışanın bilgisi ve onayı olmaksızın gizlice kayıt altına aldığı ve yine kurumsal e-posta adresinden ilk olarak kişisel e-posta adresine sonra da üçüncü kişiye ait e-posta adresine ilettiği, şirketin bu eylemden denetim esnasında haberdar olduğu,
İlgili kişinin gerek gizlilik ve kişisel verilerin korunması mevzuatına dair bilgilendirilmiş bir yönetici olması gerekse de uzun yıllardır çalışma hayatının içinde yer alması sebebiyle anılan işlemlerin hukuka ve etik kurallara aykırı olduğunu bilecek konumda olduğu, kendisinin işveren nezdinde, kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilerine hukuka aykırı olarak erişilmesini engellemek; kişisel verilere, üçüncü kişiler tarafından erişilmesini ve paylaşılmasını da engelleyerek güvenli bir şekilde korunmasını sağlamak; kişisel verilerin üçüncü bir tarafla paylaşılması gereken süreçlerde gerek Kanun gerekse Kişisel Veri Koruma Politikası ile şirket tarafından belirlenen diğer ilke ve kararlar uyum hususunda azami özeni göstermek ve olağan iş akışı dışında değerlendirilebilecek şüpheli paylaşımları şirket içinde ilgili birimlere bildirmek hususunda görevlendirdiği kişi konumunda olduğu,
İlgili kişinin bahse konu davranışının mevzuat hükümlerine, iş sözleşmesine, kişisel verilerin korunmasına ve gizlilik taahhütlerine, doğruluk borçlarına aykırılık teşkil ettiği ve iş akdinin haklı nedenle feshedildiği, ilgili kişinin iş akdinin feshi üzerine şirket aleyhine işe iade davası ikame ettiği,
Kurumun ilgi yazısında dava dosyasına sunulan eklerin sayfalarının aldatma kastı ile değiştirildiği gibi yakışıksız bir iddianın öne sürüldüğü belirtilmekte ise de şirketlerinin bu gibi bir davranışa tevessül etmesinin mümkün olmadığı, bu iddianın ilgili kişinin ekleri fiziken karıştırmasından kaynaklandığını umdukları,
İlgili kişinin kişisel verilerinin hukuka aykırı işlendiğine yönelik iddialarına ilişkin cevaplar ile işlemenin esasına, amacına ve hukuki sebeplerine ilişkin olarak; ilgili kişinin, ticari verileri havi kaydı şirket hakimiyet alanı dışına çıkarmak ve başka bir çalışanın ses kaydını izinsiz şekilde kayda alıp kendi şahsi e-posta hesabı ile üçüncü bir kişiye aktarmak şeklinde gerçekleşen hukuka aykırı tutumunu bastırmak ve hukuki ihtilafta lehine delil yaratmak adına, şirketlerinin bu olaya vakıf olma durumunu sorgulamakta olduğu,
Buna karşın şirketlerinin ilgili kişinin verilerini otomatik olan ve/veya olmayan yöntemlerle işlemek suretiyle ilgili kişi aleyhine hiçbir dönem hukuka aykırı bir ihlal gerçekleştirmediği, nitekim şirketlerinin çalışanlarının mevzuata, şirket politikalarına, gizlilik yükümlülüklerine, bilgi güvenliği prosedürlerine, disiplin hükümlerine riayet ettiğini izlemek ve denetlemekle hem yetkili hem de görevli olduğu, mevcut çalışanları arasındaki ilişkileri gözetmek ve tüm çalışanlarının kişisel haklarını korumakla mesul olduğu, şirketlerinin iletişim sistemlerinin ve ekipmanlarının kullanımının, kurumsal e-posta hesabı üzerinden gerçekleştirilen yazışmaların güvenliğinin sağlanması, iş amacı dışındaki şahsi kullanımın tespiti, makul şüphe üzerine başlatılan disiplin soruşturmalarının karara bağlanması, bu sistem ve ekipmanların kullanımı yoluyla hukuka aykırı eylemlerin gerçekleştirilmesinin önüne geçilmesi/eylemlerin tespiti ve her halde iş yeri kurallarına uygunluğun teyidi amacıyla izlenebileceği hususunda ilgili kişinin, Çalışanlara Ait Kişisel Verilerin İşlenmesine Dair Politika, Çalışan Aydınlatma Metinleri ve muhtelif iç düzenlemeler kapsamında müteaddit kereler bilgilendirildiği,
Şirketlerinin mahrem bilgi ve sırları hakkında bilgi edinme olanağına sahip, bu bilgileri kendi veya rekabet gücü bulunan farklı bir firma adına ekonomik bir değer olarak kullanabilecek duruma gelen çalışanlarına getirilen gizlilik yükümlülüklerinin şirket iç düzenlemelerinde ve ikili sözleşmelerde yer aldığı, bu düzenlemelere uyumun şirketlerinin ticari mevcudiyetini koruması, hizmet hacmi ve piyasadaki rekabet gücünde telafisi imkânsız zararların oluşmaması yönünden hayati önem taşıdığı,
Şirketleri tarafından çalışanlarına zimmetli bilgisayar ve kurumsal e-postaların kullanımında hukuka ve işverenin haklı menfaatlerine uygun davranılması gerektiği, bu gerekliliğe paralel hükümlerin E-Posta Güvenliği Politikasında, Bilgi ve Yazılım Alışverişi Politikasında, Kabul Edilebilir Kullanım Politikasında düzenlendiği, tüm bu iç düzenlemelerinin çalışanların erişimine de açık halde tutulduğu,
Nitekim, Kurulun da şirket sunucularından şirket e-posta hesabı üzerinden gerçekleştirilen yazışmalara erişim sağlanmasında hukuka aykırılık görülmediğine dair kararlarının mevcut olduğu ve bunlarda; "şirkete ilişkin iş ve işlemler için kullanıldığında şüphe bulunmayan e-postaların kişisel içerik taşımayacağının" vurgulandığı,
Bu kapsamda iç düzenlemelere uyumun had safhada önem arz ettiği, şirket bilgilerinin, özel kalıp tasarımlarının şirket dışına aktarımı ve e-posta iletişim politikalarına uygunluğu kapsamında kişi bazında e-posta hesaplarının, şirket dışı iletişimleri ve aktarımlarının denetlenmesi yönünde örneklem tekniğiyle incelendiği, bu denetim sırasında çalışan kurumsal e-posta hesabı - çalışan şahsi e-posta trafiğinde şikayetçinin gerçekleştirdiği aktarım şüpheli görülerek, iki adet e-posta gönderisinin içeriğine girildiği ve netice ile mağaza bilgilerinin ilgili kişiye ait kurum e-posta adresinden ilgili kişinin kişisel e-posta adresine iletildiği ve şirket çalışanı ile gerçekleştirilen telefon görüşmesi kaydının yine kurumsal e-posta adresinden ilgili kişinin kişisel e-posta adresine ve üçüncü bir kişiye aktarıldığına dair bulguların elde edildiği,
Kurumsal e-posta hesabının denetimine dair veri işleme faaliyetinin 6698 sayılı Kanun’un 5’nci maddesinin (2) numaralı fıkrasının (e) bendinde yer alan; "Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması" ve (f) bendinde yer alan "İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması" veri işleme şartlarına dayalı olarak gerçekleştirildiği ve Kanun’un ilgili maddelerindeki şartları sağlayan bu işleme faaliyeti için açık rıza alınmasını gerektirir hallerin istisnası kapsamında kaldığı, kaldı ki elde edilen bulgu ve olası sonuçlarının da, işleme faaliyetinin şirketlerinin haklı menfaatlerini korumak adına belirli, açık ve meşru bir amaç dahilinde gerçekleştirdiğini ortaya koyduğu kanaatinde oldukları,
Şirket çalışanlarının e-posta adresleri üzerinde hangi işleme faaliyetlerinin, hangi veri işleme şartına dayalı olarak gerçekleştirildiği hususuna ilişkin olarak; güvenlik, iş amacı dışındaki şahsi kullanımın tespiti, makul şüphe üzerine başlatılan disiplin soruşturmalarının karara bağlanması, bu sistem ve ekipmanların kullanımı yoluyla hukuka aykırı eylemlerin gerçekleştirilmesinin önüne geçilmesi/eylemlerin tespiti ve her halde iş yeri kurallarına uygunluğun teyidi amacıyla izlenebildiği, bu işleme faaliyetine ilişkin çalışanlarına aydınlatma gerçekleştirildiği ve yine yukarıda bahsedilen muhtelif yollarla kurumsal e-postaların şahsi kullanımından kaçınılması gerekeceği, bu e-postaların denetlenebileceği hususunda bilgilendirme sağlandığı,
Ayrıca bu denetim esnasında şüpheli olmayan yazışmaların içeriğinin tetkik edilmediği, sadece içerdiği anahtar kelimeler ve ekler uyarınca hassas görülen yazışmaların incelendiği, Kurumsal Denetim Aktivite Raporunun Teknoloji birimi/unvanlı Bilgi Güvenliği Teknoloji eğitimi almış çalışanları tarafından gerçekleştirildiği ve denetim talebinin doğrudan şirket üst yönetiminden gelmesinin öncelikli koşul olduğu

ifade edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 19/01/2023 tarih ve 2023/86 sayılı kararı ile;

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi”, (ğ) bendinde veri işleyenin “veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi” olarak tanımlandığı,
Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesinde, kişisel verilerin ancak bu Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, buna göre, kişisel verilerin ancak; a) Hukuka ve dürüstlük kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ile d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceği,
Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükmünün yer aldığı,
İlgili kişinin şikâyet dilekçesinde; veri sorumlusu tarafından şirket e-posta hesaplarının içeriklerine ulaşılması suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin ve veri sorumlusu tarafından şirket e-posta hesaplarının içeriklerine ulaşılması neticesinde elde edilen kişisel verilerin fesih bildirimine konu edilmesi vasıtasıyla gerçekleştirilen kişisel veri işleme faaliyetinin hukuka aykırı olduğu iddialarının mevcut olduğu,
İşveren tarafından işçilere kullanım amacıyla tahsis edilen iletişim araçlarının denetiminde işçinin kişisel verilerinin korunması hakkı ile işverenin; kaynakların verimli kullanılmasını sağlama, ticari gizliliği ve yönetim risklerini koruma, çalışanlar tarafından suç işlenmesini önleme, cezai ve hukuki sorumluluğa karşı korunma, bilgi akışının kontrolünü sağlama amaçları arasında menfaat dengesi kurulması gerektiği,
17/09/2020 tarih ve 2016/13010 başvuru numaralı Anayasa Mahkemesi Kararı ile Avrupa İnsan Hakları Mahkemesi’nin (AİHM) 12/01/2016 tarihli “Bărbulescu v. Romanya” Kararında değerlendirilen kriterlerin somut olay açısından da dikkate alınması gerektiği, bu kararlarda özetle işverenin hangi ilkeleri göz önünde bulundurarak denetim yapabileceğine ilişkin değerlendirmelere yer verildiği, bu bağlamda, işçinin kişisel verilerinin korunması hakkı ile işverenin denetim hakkı arasında denge kurulurken; işverenin iletişimi denetlemek için önlem alma olasılığı ve bu önlemlerin uygulanması konusunda çalışanı bilgilendirip bilgilendirmediği, bu bilgilendirmenin açık ve net olarak izleme öncesinde yapılıp yapılmadığı, işveren tarafından yapılan izlemenin kapsamı ve işçinin mahremiyetine yapılan müdahalenin derecesi, iletişim akışı ve içeriklerin izlenmesi arasında bir ayrım yapılıp yapılmadığı, iletişimin bir kısmı veya tamamının mı izlendiği, izlemenin zaman açısından sınırlı olup olmadığı, sonuçlara erişimi olan kişilerin sayısı, işverenin iletişimi denetlemek ve içeriğe erişmeyi haklı çıkarmak için meşru gerekçeler sunup sunmadığı, çalışanın iletişimlerinin içeriğine doğrudan erişmekten daha az müdahaleci yöntem ve önlemlere dayalı bir denetim mekanizmasının mümkün olup olmadığı, işçi için izlemenin sonuçları ve sonuçların bilgilendirmede bulunan amaca ulaşmak için kullanılıp kullanılmadığı, işverenin izleme faaliyetlerinin müdahaleci nitelikte olması durumunda işçiye yeterli güvence sağlanıp sağlanmadığı hususlarının dikkate alınması gerektiği, her bir olay özelinde bu hususların tek tek irdelenmesi gerektiği yönünde değerlendirme yapıldığı,
Uluslararası Çalışma Örgütü’nün işçinin kişisel verilerinin korunmasına ilişkin kılavuzunda da işçiler izleniyorsa izleme nedenleri, zaman çizelgesi, kullanılan yöntem ve teknikler ile toplanacak veriler hakkında önceden bilgilendirilmesi ve işverenin işçilerin özel hayatına müdahaleyi en aza indirmesi gerektiği görüşünde olduğu,
Madde 29 Çalışma Grubu’nun iş yerinde elektronik iletişimin gözetimi hakkında çalışma belgesinde bazı ilkeler belirlediği; izlemenin işçiler için şeffaf olup olmadığı, işveren açısından bu izlemenin gerekli bulunup bulunmadığı ve daha geleneksel yöntemlerle aynı sonuca ulaşılıp ulaşılamayacağı, işlenecek olan kişisel verilerin çalışanlar açısından yasal olup olmadığı ve kişisel verilerin ulaşılması istenen amaçla orantılı olup olmadığı hususunda bir değerlendirme yapılması gerektiği,
Veri sorumlusu tarafından e-posta denetimi aracılığıyla gerçekleştirilen kişisel veri işleme faaliyeti ile ilgili olarak aydınlatma yükümlülüğünün yerine getirilmesi hususuna ilişkin Kuruma intikal ettirilen Yazılım Alışverişi Politikası, Çalışanlara Ait Kişisel Verilerin İşlenmesi ve Korunması Politikası, Çalışanlara Ait Kişisel Verilerin İşlenmesi ve Korunmasına İlişkin Bilgilendirme, E-Posta Güvenliği, Pazarlama ve İç İletişim Yöneticisi Görev Tanımları, Taahhütname başlıklı metinler incelendiğinde; e-posta yazışmalarının işveren tarafından hangi amaçlarla işlenebileceği, hangi durumlarda e-postaların izlenmesi suretiyle kişisel veri işlenebileceği bilgilerine yer verildiği, iş yeri tarafından tahsis edilen kurumsal e-posta hesabının yalnızca iş amaçlı kullanılabileceği, kişisel kullanımların en makul seviyede tutulması gerektiği hususlarına yer verildiği dikkate alındığında ilgili kişinin imzalamış olduğu metinlerde atıfta bulunulan hususların okunup anlaşıldığına ilişkin beyanda bulunmuş olduğu ve dolayısı ile bu metinlerde yer alan e-posta denetimi vasıtasıyla işlenecek kişisel verilere ilişkin veri sorumlusu tarafından ilgili kişiye karşı Kanun’un 10’uncu maddesi çerçevesinde aydınlatma yükümlülüğünün yerine getirilmiş olduğu,
Öte yandan, ilgili kişi tarafından aydınlatma ve açık rıza metinlerinde veri sorumlusunun yanıltıcı bir şekilde evrakları karıştırarak sunduğu iddiasına ilişkin olarak veri sorumlusu tarafından yanıltıcı bir izlenime sebebiyet verilmeye çalışıldığı hususunda somut bir emareye ulaşılamamış olup ilgili kişi tarafından imzalanan evrakların sahteliği hususunda bir iddia mevcut ise yargı yoluna başvurulmasının mümkün olduğu,
E-posta denetimi aracılığıyla gerçekleştirilen kişisel veri işleme faaliyetlerinin amacı ve hukuki dayanağı hususlarına ilişkin olarak; veri sorumlusunun giyim sektöründe ticari faaliyette bulunan bir şirket olduğu, iş ile ilgili ticari sır veya herhangi bir bilginin üçüncü taraflarla paylaşılmamasını isteme noktasında ve kurumsal iletişim araçlarının kişisel amaçlarla kullanılmamasının sağlanması hususunda haklı menfaati bulunduğu, ayrıca ilgili kişinin yönetici pozisyonunda görev yaptığı ve bu anlamda şirketin gizli kalmasında menfaati bulunan bilgileri haiz olabileceği dikkate alındığında, İş Kanunu’nun 25’inci maddesinde yer alan “işverenin meslek sırlarını ortaya atmak gibi doğruluk ve bağlılığa uymayan davranışlar”ın tespiti ve Türk Borçlar Kanunu’nun 396’ncı maddesinde yer alan “işverene ait teknik sistemlerin usulüne uygun kullanılması ve iş sırları gibi bilgileri hizmet ilişkisinin devamı süresince kendi yararına kullanamayacağı ve başkalarına açıklayamayacağı” hususlarının tespiti amacıyla veri sorumlusunun e-posta denetimi suretiyle kişisel verileri işlemesinde haklı menfaati bulunduğu,
Veri sorumlusunun e-posta denetimi aracılığıyla ulaşılması istenen amaç ile orantılı bir kişisel veri işleme faaliyetinde bulunup bulunmadığı ve söz konusu denetim gerçekleşmeksizin veri sorumlusunun amacına ulaşıp ulaşamayacağı hususlarına ilişkin olarak; veri sorumlusu tarafından Kuruma intikal ettirilen Bilgi Güvenliği Yönetim Sistemi Kurumsal Mail Aktivite Denetim Raporu ve elde edilen bulgulara ilişkin ekran görüntüsü incelendiğinde veri sorumlusunun şüpheli konuya sahip ve kurumsal e-posta adresinden üçüncü şahıslar ve çalışanın şahsi e-posta adresine iletilen e-postaların tespit edildiği ve sonrasında iletişimin içeriğine ilişkin bir denetim gerçekleştirildiğinin anlaşıldığı, iletişimin denetlenmesi hususunda iletişim akışı ve iletişim içeriklerinin denetlenmesi arasında bir ayrım yapılmasının önem arz ettiği, iletişim içeriklerinin denetlenmesinin daha katı gerekçelere bağlı olduğu, e-posta kullanımının denetlenmesinde işverenin amacı elverdiği kadarıyla iletişimin içeriğinden ziyade öncelikli olarak işverenin menfaatine ters düşecek şekilde bir güvenlik, sadakat ve kullanım ihlali olabilecek durumların tespiti sonrasında iletişimin içeriğine ilişkin bir denetim yapılması gerektiği, veri sorumlusunun herhangi bir ihlalin gerçekleşip gerçekleşmediğini ancak içerik denetimi ile ortaya koyabileceği dikkate alındığında veri sorumlusu tarafından yalnızca ilgili personelle ve amaca yönelik kişisel veri ile sınırlı tutularak ve yine yalnızca amaçlanan çerçevede bir kişisel veri işleme faaliyeti gerçekleştirildiği dolayısıyla söz konusu işlemenin Kanun’un Genel İlkeler başlıklı 4’üncü maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan “işlendikleri, amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine de aykırılık teşkil etmediği,
Veri sorumlusu tarafından şirket e-posta hesaplarının içeriklerine ulaşılması neticesinde elde edilen kişisel verilerin fesih bildirimine konu edilmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin hukuka aykırı olduğu iddiasına ilişkin olarak; e-posta denetimi aracılığıyla elde edilen kişisel verilerin yukarıda yapılan değerlendirmeler çerçevesinde fesih konusu olayla birebir ilişkili olduğu, veri sorumlusunun işveren sıfatı ile iş sözleşmesinin feshi ile ilgili olarak açıklama ve ispat hakkını kullandığı, bu itibarla kişisel veri niteliğindeki e-posta denetimi suretiyle elde edilen kişisel verilerin fesih bildirimine konu edilmesinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendinde yer verilen “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hükmü kapsamında gerçekleştirildiği, öte yandan, Kanun’un Genel İlkeler başlıklı 4’üncü maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan işlendikleri, amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine de aykırılık teşkil etmediği,
Öte yandan, İş Kanunu'nun 26’ncı maddesinde ve ilgili Disiplin Yönetmeliği’ndeki 6 iş günlük ve 1 yıllık hak düşürücü süreler geçmesine rağmen fesih tarihinden 607 gün ve 149 gün önce elde edilen e-postaların fesih tarihinde kullanılmasının şirketin e-postaları izlediğinin, süresiz depoladığının ve e-postalar üzerinde genel denetimde bulunduğunun göstergesi olduğu iddiaları ile ilgili olarak; İş Kanunu’nun “Derhal fesih hakkını kullanma süresi” başlıklı 26’ncı maddesinde “24 ve 25 inci maddelerde gösterilen ahlak ve iyiniyet kurallarına uymayan hallere dayanarak işçi veya işveren için tanınmış olan sözleşmeyi fesih yetkisi, iki taraftan birinin bu çeşit davranışlarda bulunduğunu diğer tarafın öğrendiği günden başlayarak altı iş günü geçtikten ve her halde fiilin gerçekleşmesinden itibaren bir yıl sonra kullanılamaz.” hükmünün yer aldığı, söz konusu maddede yer alan sürelerin fesih hakkının kullanılmasına ilişkin olarak düzenlenmiş süreler olduğu, e-posta verilerinin saklanması hususu ile ilgisinin bulunmadığı, e-posta verilerinin yaklaşık 2 yıllık bir süre ile saklanması suretiyle gerçekleştirilen kişisel verileri işleme faaliyetinin Kanun’un 4’üncü maddesinde düzenlenen genel ilkelere aykırılık barındırmadığı

değerlendirmelerinden hareketle;

İlgili kişinin imzalamış olduğu metinlerde okunup anlaşıldığına ilişkin beyanda bulunduğu, dolayısıyla bu metinlerde yer alan e-posta denetimi vasıtasıyla işlenecek kişisel verilere ilişkin veri sorumlusu tarafından ilgili kişiye karşı Kanun’un 10’uncu maddesi çerçevesinde aydınlatma yükümlülüğünün yerine getirildiği,
Şirket tarafından e-posta denetimi aracılığıyla gerçekleştirilen kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendinde yer alan “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hükmü ile (f) bendinde yer alan “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.” işleme şartları kapsamında gerçekleştirildiği,
E-posta denetimi aracılığıyla gerçekleştirilen kişisel veri işleme faaliyetinin Kanun’un Genel İlkeler başlıklı 4’üncü maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan işlendikleri, amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine de aykırılık teşkil etmediği,
İlgili kişinin e-posta ve ses kayıtlarının tarafına iletilmesi hususundaki talebini öncelikli olarak veri sorumlusuna yöneltmediği dikkate alındığında bu hususta Kanun kapsamında yapılacak bir işlem bulunmadığı,
E-posta denetimi suretiyle elde edilen kişisel verilerin fesih bildirimine konu edilmesinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendinde yer verilen “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hükmü kapsamında gerçekleştirildiği, öte yandan, Kanun’un Genel İlkeler başlıklı 4’üncü maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan işlendikleri, amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine de aykırılık teşkil etmediği değerlendirildiğinden şirket tarafından gerçekleştirilen kişisel veri işleme faaliyetinde herhangi bir hukuka aykırılık bulunmadığı

hususları dikkate alındığında veri sorumlusu hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına,

Veri sorumlusu tarafından somut olayda yanıltıcı bir izlenime sebebiyet verilmeye çalışıldığı hususunda somut bir emareye ulaşılamamış olup ilgili kişi tarafından imzalanan evrakların sahteliği hususunda bir iddia mevcut ise yargı yoluna başvurulmasının mümkün olduğunun ilgili kişiye hatırlatılmasına,

E-posta verilerinin yaklaşık 2 yıllık bir süre ile saklanması suretiyle gerçekleştirilen kişisel verileri işleme faaliyetinin Kanun’un 4’üncü maddesinde düzenlenen genel ilkelere aykırılık barındırmadığı, bu kapsamda, ilgili kişinin fesih için öne sürülen sebeplerden süresi uygun bulunmayanlar olduğuna ilişkin iddialarının yargı mercileri nezdinde ileri sürülmesi gerektiği hususunda ilgili kişinin bilgilendirilmesine

karar verilmiştir.

12.Ocak.2023: “Veri sorumlusu bir banka tarafından ilgili kişinin para transferleri ile hesap bilgilerinin üçüncü kişiye ait e-postaya gönderilmesi”

Karar Tarihi	:	12/01/2023
Karar No	:	2023/67
Konu Özeti	:	Bir banka tarafından ilgili kişinin para transferleri ile hesap bilgilerinin üçüncü kişiye ait e-postaya gönderilmesi

İlgili kişi tarafından Kuruma intikal ettirilen dilekçede özetle;

Bir banka nezdindeki hesabına ilişkin ekstre ve anlık hesap hareketlerinin, ilgili kişinin bilgisi ve rızası dışında üçüncü bir kişinin e-posta adresine gönderildiği, bu suretle ilgili kişinin tüm para transferleri ile hesap bilgilerinin, üçüncü kişiler tarafından öğrenildiği, bu sebeple güvensizlik ve tedirginlik içinde olduğu, veri sorumlusu tarafından aydınlatma yükümlülüğünün yerine getirilmediği,
Veri sorumlusuna yapılan başvuruya istinaden gönderilen cevabi yazıda üçüncü kişinin e-posta adresinin ilgili kişinin ortağı olduğu şirketin vekili tarafından 2017 yılında çek karnesi talebi için bankaya bildirildiği yönünde beyanda bulunulduğu, veri sorumlusu tarafından, 2018 yılına ilişkin bireysel emeklilik sözleşmesi teklifi ve 2020 yılına ilişkin hayat sigortası formlarında, söz konusu e-posta adresinin yer almasına karşın ilgili kişinin itiraz etmeksizin bu formlara onay verdiğinin öne sürüldüğü ve veri ihlali yaşanmadığının iddia edildiği,
Hukuken temsilci, vekil, veli veya vasi aracılığıyla gerçekleştirilen işlemlerin asil tarafından yapılmış kabul edilmesi sebebiyle bu kişilere yapılacak aydınlatmanın kanunen yeterli görüldüğü ancak şirket vekilinin, ilgili kişinin şahsi vekili olmadığı, diğer taraftan uyuşmazlığa konu olan hususta, e-posta adresinin ilgili kişinin şahsına ait olduğu varsayımında dahi, yetkisiz temsilciye yapılan aydınlatmanın hukuken geçerli olmadığı, ayrıca gönderim yapılan e-posta adresi ilgili kişiye ait olmadığından hukuken geçerli bir aydınlatmaya dayanmaksızın alınan rıza beyanının da batıl olduğu,
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 4’üncü maddesi uyarınca kişisel verilerin doğru ve güncel olması gerektiği, bu hususta veri sorumlusunun aktif özen yükümlülüğünün bulunduğu, veri sorumlusu tarafından ilgili kişinin bilgilerinin doğru ve güncel olmasını temin edecek kanalların açık tutulması gerektiği, veri sorumluları tarafından üçüncü kişilerin telefon numarası, e-posta adresi gibi kanallarına, ekstreleri vb. kişisel veri içeren belgelerin gönderilmesini önlemek ve bu iletişim adreslerinin doğruluğunu teyit etmek amacıyla veri sorumluları tarafından gerekli idari ve teknik tedbirlerin alınmasının zorunlu olduğu, veri sorumlusu tarafından sistemde kayıtlı e-posta adresinin ilgili kişiye ait olup olmadığının teyit edilmediği,
Veri sorumlusu tarafından daha sonraki tarihlerde ilgili kişiye sunulan tüm sözleşme, teklif ve formlarda e-posta iletişim bilgisinin basılı olarak yer alması nedeniyle e-posta adresindeki yanlışlığı fark etme ve düzeltme imkânının tanınmadığı

belirtilerek veri güvenliğinin ihlal edilmesi sebebiyle gereğinin yapılması talep edilmiştir.

Şikâyet dilekçesinde yer alan hususlara ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabî yazıda özetle;

İlgili kişinin ortağı olduğu şirketin banka müşterilerinden biri olduğu, ilgili kişinin ortağı olduğu şirket için 2017 yılında çek karnesi talep edildiği ve o dönem çek karnesi için Findeks üyeliği gerektiğinden firmaya Findeks üyeliği oluşturulduğu, Findeks üyeliği oluşturmak için firma yetkililerinin iletişim bilgilerinin sisteme girilmesinin zorunlu tutulması nedeniyle ilgili kişinin hesabına, şikâyete konu olan e-posta adresinin tanımlandığı, Findeks üyelik formunun firma yetkililerinin banka sistemindeki iletişim bilgileri ile doldurulduğu ve firma yetkilileri tarafından imzalandığı,
Somut olayda Findeks üyelik formunda ilgili kişiye ait iletişim bilgilerinin, ilgili kişinin ortağı olduğu şirketin vekili tarafından bankaya ibraz edildiği, söz konusu formda bu adresin açıkça ekstreler ile hesap hareketlerinin gönderildiği e-posta adresi olarak belirtildiği ve evrakın vekil tarafından imzalandığının tespit edildiği,
İlgili e-posta adresi verisinin, Findeks üyelik sözleşmesinin ifası için alınması gereken zorunlu bir bilgi olduğu, bu kapsamda söz konusu kişisel verinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendi uyarınca işlendiği, dolayısıyla “açık rıza alınmadığı” şeklindeki iddiaların yersiz olduğu,
Türkiye Bankalar Birliği öncülüğünde sektör ve Kurul tarafından hazırlanmış olan Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulamalar Kılavuz Taslağı'nda belirtildiği üzere; her bir kredi kullandırma işlemi özelinde “risk grubu”nda bulunan ilgili kişilerin tek tek aydınlatılması suretiyle değil, kolayca erişilebilecek şekilde ve sadece “Risk Grubu” faaliyetleri bakımından genel bir aydınlatma yapılabildiği,
Gayri nakdi kredi işlemi olan çek karnesi başvurusunda risk grubu içerisinde yer alan ilgili kişinin kişisel verisinin işlenmesine ilişkin aydınlatma yükümlülüğünün veri sorumlusunun internet sitesi aracılığıyla yerine getirildiği,
İlgili kişinin, e-posta adresinin silinmesi talebini bankaya iletmesi üzerine aynı gün içerisinde ilgili kişinin hesabına kayıtlı e-posta adresinin silindiği ve yeni e-posta adresinin eklendiği, EFT ve havale bilgilendirme e-postalarının ilgili kişi tarafından aktif hale getirildiği, 2020 yılında ilk EFT ve havale bilgilendirme e-postalarının gönderilmiş olduğu, bu tarihe kadar olan süreçte, söz konusu hatalı e-posta adresine gönderilen e-postalar incelendiğinde, gönderilen e-postaların müşterinin ortağı olduğu firmaya ait ekstre, EFT/havale transfer limit değişiklik bilgilerini içerdiği ve müşteriye ait herhangi bir kişisel veri içermediğinin görüldüğü, bu yüzden şikâyetçinin kişisel verilerinin hukuka aykırı şekilde üçüncü kişilerle paylaşıldığı iddiasının mesnetsiz olduğu,
İlgili kişinin onayı ve teyidi sonrası gönderilen e-postalar için Kanun’a ve Türk Ceza Kanunu’na (TCK) aykırılık iddiasının söz konusu olamayacağı, zira halihazırda Kanun’un 5’inci maddesinde yer alan hukuka uygunluk sebepleri çerçevesinde işlenmiş olan ve Kanun’un 11’inci maddesi çerçevesinde doğruluğu teyit edilmiş bir e-posta adresine gerekli tüm teknik ve idari tedbirler alınarak; veri sorumlusunun hukuki yükümlülüğü çerçevesinde, ilgili kişinin talebi doğrultusunda e-posta iletilmesinin hem Kanun hem de TCK kapsamında ihlal olarak değerlendirilemeyeceği,
İlgili kişinin kişisel verisinin yanlış ibrazından haberi olmadığı ve fark etme/düzeltme imkânı tanınmadığı iddiasının mesnetsiz olduğu,
Doktrinde de açıkça ifade edildiği gibi ana kuralın ilgili tarafından doğru veri iletilmesi olduğu ve Kanun’un 11’inci maddesinin (1) numaralı fıkrasının (d) bendinde yer alan kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesi hakkının kullanılabilmesi için veri sorumlusunun ilgili kişiye gerekli ortamı sağlama yükümlülüğünün bulunduğu,
Verinin doğruluğu ve güncelliği için ilgili kişiye her türlü imkânın sağlanarak başvuru kanalının açıldığı, ilgili kişinin imzaladığı evrakta gördüğü e-posta adresine işlem esnasında itiraz etme olanağının bulunduğu,
Veri sorumlusunun kayıtlarında yapılan incelemede, şikâyete konu olan e-posta adresine ilk e-posta gönderiminin 2018 yılında gerçekleştiği, son e-posta gönderiminin ise 2021 yılında gerçekleştiğinin tespit edildiği,
İlgili kişiye ilişkin hatalı e-posta adresine 2020 yılına kadar herhangi bir kişisel veri iletilmediği ve yalnızca tüzel kişiye ait bilgilerin iletildiği, bu yüzden Kanun kapsamında giren herhangi bir durumun söz konusu olmadığı, 2020 yılından sonra gönderilen e-postaların ise halihazırda onay ve teyit alınarak gönderildiği,
Yapılan incelemelerde gönderilen e-postaların tamamının müşterinin sisteminde kayıtlı olan adresine sistem tarafından gönderilen e-postalar olduğunun belirlendiği, söz konusu e-posta adresine sistem haricinde personel tarafından herhangi bir gönderim yapılmadığının tespit edildiği,
Tüm bu sebeplerle hukuka aykırı veri paylaşımı yapıldığı, ilgili kişiye kişisel verilerini düzeltme ve yanlışlığı fark etme imkânının tanınmadığı iddiasının gerçek dışı olduğu,
Kişisel verilerin işlenmesi noktasında her türlü önlemin alındığı, Kanun’un 4’üncü maddesinde yer alan ilkelere uygun davranıldığı ve taleplerine ilişkin olarak ilgili kişilerin her türlü kanaldan ulaşması için imkân sağlandığı

hususları bildirilmiştir.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 12/01/2023 tarih ve 2023/67 sayılı Kararı ile;

Kanun’un, kişisel verilerin işlenmesine ilişkin "Genel İlkeler"i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında, "Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir." hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin; a) hukuka ve dürüstlük kurallarına uygun olma, b) doğru ve gerektiğinde güncel olma, c) belirli, açık ve meşru amaçlar için işlenme, ç) işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, d) ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme şeklinde sayıldığı,
Kanun’un "Kişisel Verilerin İşlenme Şartları" başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu,
Kişisel verilerin işlenmesinde Kanun’un 4’üncü maddesi uyarınca temel ilkelere uyumluluğun zorunlu olduğu, “doğru ve gerektiğinde güncel olma” ilkesinin de veri sorumluları tarafından uyulması zorunlu bu temel ilkelerden bir tanesini teşkil ettiği, Kurulun 22/12/2020 tarihli ve 2020/966 sayılı İlke Kararı’nda da “doğru ve gerektiğinde güncel olma” ilkesi doğrultusunda veri sorumlusunun makul önlemler alması gerektiğinin belirtildiği, anılan İlke Kararı ile veri sorumluları tarafından kendilerine bildirilen irtibat numaralarının doğruluğunu teyit edecek mekanizmaların oluşturulması adına gerekli idari ve teknik tedbirlerin alınmasına karar verildiği, kişisel verilerin doğru ve güncel bir şekilde tutulmasının, veri sorumlusunun çıkarına uygun olduğu gibi ilgili kişinin temel hak ve özgürlüklerinin korunması açısından da gerekli olduğu, kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması noktasında aktif özen yükümlülüğünün; veri sorumlusunun bu verilere dayalı olarak ilgili kişiyle alakalı bir sonuç ortaya koyması halinde geçerli olduğunun değerlendirildiği, bunun dışında veri sorumlusunun her zaman ilgili kişinin bilgilerinin doğru ve güncel olmasını temin edecek kanalları açık tutması gerektiği,
Şikâyete konu e-posta adresinin ilk olarak ilgili kişinin ortağı olduğu şirketin vekili tarafından banka ile paylaşıldığı, sonrasında ilgili kişinin bireysel emeklilik başvurusu sırasında kendisine sunulan formda yer alan söz konusu e-posta adresini formu imzalamak suretiyle onayladığı, öte yandan ilgili kişinin başvurusu üzerine veri sorumlusunun hemen aksiyon alarak e-posta adresinde gerekli düzeltmeyi yaptığı göz önünde bulundurulduğunda, somut olaya konu olan işleme faaliyetinin hukuka uygun yürütülmesi bakımından veri sorumlusunun özen yükümlülüğü çerçevesinde hareket ettiği,
Öte yandan, hatalı e-posta adresine giden bildirimlerin kişinin hesap hareketlerinin üçüncü bir kişiye açıklanmasının yanı sıra olası dolandırıcılık olaylarında hesaptan, hesap sahibinin bilgisi dışında para çekilmesi gibi durumlardan haberdar olunamaması gibi sonuçlara yol açabileceğinin veri sorumlusu tarafından göz önünde bulundurulması gerektiği, ilgili kişi açısından para transferlerine ilişkin bilgilendirmelerin alınamamasının ve üçüncü kişiye gönderilmesinin hak kaybına sebebiyet verebileceği dikkate alındığında, veri sorumlusunun Kişisel Verileri Koruma Kurulunun “22/12/2020 tarihli ve 2020/966 sayılı İlke Kararı” doğrultusunda, banka işlemlerinde kullanılan ilgili kişilerin iletişim bilgilerinin belirli periyotlarla doğrulanması ve güncelliğinin sağlanması hususunda gerekli mekanizmaları kurması gerektiği

değerlendirmelerinden hareketle

Şikâyete konu e-posta adresinin ilk olarak ilgili kişinin ortağı olduğu şirketin vekili tarafından banka ile paylaşıldığı sonrasında ilgili kişinin bireysel emeklilik başvurusu sırasında kendisine sunulan formda yer alan söz konusu e-posta adresini formu imzalamak suretiyle onayladığı, öte yandan ilgili kişinin başvurusu üzerine veri sorumlusunun hemen aksiyon alarak e-posta adresinde gerekli düzeltmeyi yaptığı hususları dikkate alındığında şikâyet konusu ile ilgili olarak veri sorumlusu banka hakkında Kanun kapsamında yapılacak bir işlem olmadığına,
“Veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına Kanun’a aykırı şekilde gönderilen üçüncü kişilere ait kişisel veriler hakkında Kişisel Verileri Koruma Kurulunun “22/12/2020 tarihli ve 2020/966 sayılı İlke Kararı” doğrultusunda, banka işlemlerinde kullanılan ilgili kişilerin iletişim bilgilerinin belirli periyotlarla doğrulanması ve güncelliğinin sağlanması hususunda gerekli mekanizmaların kurulmasına ilişkin veri sorumlusunun uyarılmasına

karar verilmiştir.

16.Şubat.2023: “Bir belediyenin meclis toplantısı videosunun sosyal medya hesabından paylaşılması suretiyle ilgili kişinin kişisel verilerinin hukuka aykırı olarak işlenmesi”

Karar Tarihi	:	16/02/2023
Karar No	:	2023/224
Konu Özeti	:	Bir belediyenin sosyal medya hesabından meclis toplantısı videosunun paylaşılması suretiyle kişisel verilerinin paylaşılması

İlgili kişinin Kuruma intikal eden şikâyetinde özetle; bir ilçe belediyesinin sosyal medya hesabından paylaşılan olağan meclis toplantısı videosunda, kişisel verilerinin hukuka aykırı olarak işlendiği, bahse konu toplantıda belediye başkanı tarafından ilgili kişinin özel hayatına, kişisel verilerine ve bazı dava dosyaları ile ilgili adli işlemlere ilişkin bilgileri içeren bir konuşma gerçekleştirildiği ve bu konuşmanın belediyenin sosyal medya hesabından kamuoyu ile paylaşıldığı, bu çerçevede kişisel verilerinin ihlal edilmesine ilişkin olarak Belediyeye başvuruda bulunulduğu, ancak Belediye tarafından Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında herhangi bir hak ihlaline rastlanmadığı şeklinde cevap verildiği ifade edilerek gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

İlgili kişinin önceki yıllarda Belediye meclis üyesi olarak görev yaptığı, meclis üyeliği görevi çerçevesinde ilgili kişinin kişisel verilerinin yerel seçimleri müteakiben İlçe Seçim Kurulu tarafından Belediyeye iletilen asil ve yedek meclis üyelerinin isim listesi çerçevesinde işlenmeye başlandığı,
İlçe Seçim Kurulundan gelen verilerin yanı sıra mevzuat gereği belediye meclis üyesinin göreve başlayabilmesi için başta kimlik veri kategorisinde yer alan isim, soyisim ve T.C. kimlik numarası (kimlik fotokopisi) ile iletişim, özlük (mal bildirim formu), mesleki deneyim (meslek bilgileri), finans (banka hesap bilgileri), görsel ve işitsel kayıt (fotoğraf, imza ve paraf örneği, mazbata fotokopisi, belediye başkan ve meclis üyeleri bilgi formu) kategorilerinde yer alan verilerin ilgili kişinin kendisinden temin edildiği,
İlgili kişi hakkında Belediye Başkanı tarafından meclis toplantısında zikredilen dava dosyalarının Belediye Başkanının görevleri ile doğrudan ilgili olduğu ve hukuki çerçevede işlendiği, … Cumhuriyet Başsavcılığı Avukat, Noter ve Memur Suçları Soruşturma Bürosu tarafından Belediyeye gönderilen soruşturma dosyasından haberdar olunduğu ve Başsavcılığa gerekli bilgilerin ve soruşturma dosyası çerçevesinde şikayetçi sıfatıyla katılma talebinin iletildiği,
… Cumhuriyet Başsavcılığı Hazırlık Bürosundan taraflarına iletilen yazı ile Belediyeden çeşitli bilgi ve belge taleplerinde bulunulduğu, Belediye Zabıta Müdürlüğünce hazırlanan yazı ile Başsavcılığa talepleri doğrultusunda bilgi ve belgelerin gönderildiği, soruşturmanın akabinde asliye ceza mahkemesinin dosyası ile dava açıldığı ve görülmekte olan davaya Belediye adına katılma talebinde bulunulduğu,
Belediye Başkanının meclis konuşmalarında değindiği; belediye meclis üyesinin belediye ile doğrudan veya dolaylı olarak iş ilişkisine giremeyeceğine yönelik beyanlarının dayanağının ve hukuki gerekçeleri ile dava dosyaları hakkında bilgilerin yukarıda belirtilen resmi süreçler dahilinde gerçekleştiği, bu çerçevede ilgili kişinin hukuki işlem kategorisinde yer alan verilerinin hukuka uygun olarak işlendiği,
Toplantı sırasında Belediye Başkanı tarafından zikredilen cümlelerde mümkün olduğunca belli bir kişiyi işaret etmemek için özen gösterildiği, Başkan tarafından isim belirtilmeden zikredilen cümlelerin, ilgili kişinin kişilik hakları ile özel hayatının gizliliğini korumaya yönelik olduğu,
Şikâyete konu meclis toplantısının çevrim içi ortamlardaki paylaşımının, Kurul tarafından yürütülen inceleme sona erene kadar, iyi niyetin bir göstergesi olarak geçici olarak kaldırıldığı,
Kuruma sunulan aydınlatma metninde de görüleceği üzere Belediye meclis toplantılarında ses ve görüntü kaydının alındığı, bu verilerin ulusal ve yerel yayın organlarında yayımlandığına dair bilgi verildiği ve bu konuda bilgilendirmenin belediye meclis salonu girişinde herkese duyurulduğu,
5393 sayılı Belediye Kanunu’nun 20’nci maddesinin altıncı fıkrasının ikinci cümlesinde “Toplantılar, meclisin kararıyla sesli ve görüntülü cihazlarla da kaydedilebilir.” hükmünün yer aldığı, bu hüküm doğrultusunda Belediyesi Meclisinin Kararı ile meclis toplantılarının kayıt altına alınmasına karar verildiği,
09/10/2005 tarihli ve 25961 sayılı Resmi Gazete’de yayımlanan Belediye Meclisi Çalışma Yönetmeliği’nin 11’inci maddesinin dokuzuncu fıkrasında “Meclis toplantıları halka açıktır. Meclis başkanı veya üyelerden herhangi birinin gerekçeli teklifi üzerine kapalı oturum yapılmasına karar verilebilir. (...)” hükmüne yer verildiği, hükümden de anlaşılacağı üzere meclis toplantılarının şeffaflık ve katılımcılık ilkeleri gereği halka açık olduğu ve bu doğrultuda, meclis kararı ile toplantıda alınan kayıtların ulusal ve yerel kanallarda yayımlanmasının hukuka uygun olduğu, zira şikâyete konu meclis toplantısının kapalı oturum olarak yapılmasını gerektirecek herhangi bir meclis kararının da bulunmadığı,
Belediyenin meclis toplantısını kayıt altına alması ve çeşitli araçlarla halk ile paylaşmasının bir hukuki yükümlülük gereği olduğu ve katılımcıların bu konuda açık rızasına ihtiyaç duyulmadığının düşünüldüğü,
Belediye Başkanlığının kamu tüzel kişiliğini haiz bir kuruluş olduğu ve tüm iş ve işlemlerinde Anayasa ve kanunlara uygunluk ile kamu yararını en önde tuttuğu, Belediyenin sadece meclis görüşmelerini değil, yine şeffaflık ilkesi ve kamu yarının bir gereği olarak ihaleleri de kayıt altına alarak halkla paylaştığı,

ifade edilmiştir.

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun 16/02/2023 tarih ve 2023/224 sayılı Kararı ile;

6698 sayılı Kanun’da, kişisel verinin “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, ilgili kişinin “kişisel verisi işlenen gerçek kişi”, kişisel verilerin işlenmesinin ise “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” olarak tanımlandığı,
Kişisel verilerin işlenmesinin Kanun kapsamında belirli işleme şartlarına bağlandığı, buna göre Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin;
(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
(2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
hükmünü haiz olduğu,
Bu çerçevede, Belediye Meclis Toplantısında ilgili kişinin adına yer verilmesi ve öncesinde sıklıkla “eski meclis üyesi arkadaşımız” ifadesi ile anılması dolayısıyla ilgili kişiyi belirlenebilir kılan nitelikte bir bilgi paylaşımının söz konusu olduğu, bu anlamda meclis toplantısının kaydedilmesi işlemi ile birlikte Belediye Başkanlığı tarafından kişisel veri işleme faaliyetinde bulunulduğunun anlaşıldığı,
Bahse konu Olağan Meclis Toplantısı videosu kaydı incelendiğinde; Belediye Başkanı tarafından ilgili kişinin dahil olduğu ve Belediyenin de müdahil olduğu dava sürecine ve dava dosyasında yer alan evraklara dair bilgiler verildiğinin tespit edildiği, aynı zamanda Belediye Başkanının yaptığı konuşma boyunca ilgili kişinin adı ve soyadının anılmadığı, sürekli olarak “eski meclis üyesi arkadaşımız” olarak bahse konu olduğu ve video kaydının bir yerinde “isim vermeyelim” uyarısında bulunulduğunun tespit edildiği, ek olarak yalnızca video kaydının bir yerinde Belediye Başkanının ilgili kişinin soyadına yer vermeksizin adını andığının tespit edildiği,
İlgili kişinin Belediye Başkanı tarafından ifade edilen dava sürecine ilişkin ifadelerinin gerçek dışı olduğu yönünde bir iddiasının bulunmadığı esas alındığında ve veri sorumlusu tarafından Kuruma iletilen evraklardan da dava sürecine ilişkin ifadelerin gerçeği yansıttığı kanaatine varıldığı,
İlgili kişinin önceden meclis üyeliği yaptığı ve ilgili kişinin bilgilerinin meclis toplantısında gündem olmasının meclis üyelerinin belediye ile doğrudan veya dolaylı şekilde iş ilişkisine giremeyeceği kuralının ihlal edildiği iddiası ile mahkeme süreci kapsamında gündeme geldiği dikkate alındığında kamuoyunun konuya ilişkin bilgilendirilmesinde ilgi ve yararının mevcut olduğunun anlaşıldığı,
Diğer taraftan 5393 sayılı Belediye Kanunu’nun 20’nci maddesinin altıncı fıkrasında “Toplantılar, meclisin kararıyla sesli ve görüntülü cihazlarla da kaydedilebilir.” hükmü doğrultusunda Belediyesi Meclisinin Kararı ile meclis toplantılarının kayıt altına alınmasına karar verildiği,
Belediye Meclisi Çalışma Yönetmeliği’nin 11 inci maddesinin dokuzuncu fıkrasında “Meclis toplantıları halka açıktır. Meclis başkanı veya üyelerden herhangi birinin gerekçeli teklifi üzerine kapalı oturum yapılmasına karar verilebilir. (...)” hükmüne yer verildiği, bununla beraber şikâyete konu meclis toplantısının kapalı oturum olarak yapılması yönünde herhangi bir meclis kararının da mevcut olmadığının anlaşıldığı,
Bu çerçevede belediye başkanı tarafından ilgili kişinin dava sürecine ilişkin bilgilerinin paylaşılması ve ardından adının anılması şekilde gerçekleşen somut olay yukarıda yer verilen hukuki gerekçeler kapsamında değerlendirildiğinde; Belediye Meclisi Toplantısında ilgili kişinin kişisel verilerinin yer aldığı ilgili video kaydının sosyal medya platformu üzerinde yayımlanması yönündeki veri işleme faaliyetinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması” hükmü kapsamında olduğu

değerlendirmelerinden hareketle;

İlgili kişinin Belediyesi Meclis Toplantısında kişisel verilerinin Kanun’a aykırı olarak paylaşıldığı ve ilgili video kaydının sosyal medya platformu üzerinde yayımlandığı iddiasıyla Kurula intikal eden şikâyetinin incelenmesi neticesinde; ilgili kişinin eski meclis üyesi olduğu ve konuya ilişkin olarak kamuoyunun bilgilendirilmesinde kamu ilgi ve yararının mevcut olduğu, öte yandan 5393 sayılı Belediye Kanunu’nun 20’nci maddesinin altıncı fıkrasında “Toplantılar, meclisin kararıyla sesli ve görüntülü cihazlarla da kaydedilebilir.” hükmüne, Belediye Meclisi Çalışma Yönetmeliği’nin 11’inci maddesinin dokuzuncu fıkrasında ise “Meclis toplantıları halka açıktır. Meclis başkanı veya üyelerden herhangi birinin gerekçeli teklifi üzerine kapalı oturum yapılmasına karar verilebilir. (...)” hükmüne yer verildiği dikkate alındığında söz konusu veri işleme faaliyetinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması” hükmü kapsamında olduğu değerlendirildiğinden Belediye Başkanlığı hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına

karar verilmiştir.

01.Aralık.2022: “İcra takibi dolayısıyla veri sorumlusu avukat tarafından borçlunun borç bilgisinin oğlu ile paylaşılması ve kendisi ile borç bilgisi paylaşılan borçlunun oğlunun telefon numarasının bu suretle hukuka aykırı olarak işlenmesi”

Karar Tarihi	:	01/12/2022
Karar No	:	2022/1281
Konu Özeti	:	İcra takibi dolayısıyla veri sorumlusu avukat tarafından borçlunun borç bilgisinin oğlu ile paylaşılması ve kendisi ile borç bilgisi paylaşılan borçlunun oğlunun telefon numarasının bu suretle hukuka aykırı olarak işlenmesi

İlgili kişilerin (borçlu ve oğlu) aynı konuya ilişkin Kuruma intikal eden şikayetlerinde özetle; borçlu hakkında başlatılan icra takibi ile ilgili olarak oğluna ait telefon numarasının veri sorumlusu avukat tarafından defalarca aranarak borca ilişkin bilgi verildiği, borçlunun hukuki işlem ve finansal bilgilerinin açık rızası olmaksızın üçüncü kişi konumundaki oğlu paylaşıldığı, öte yandan kendisi ile borç bilgisi paylaşılan borçlunun oğlunun ise telefon numarasının hukuka aykırı olarak elde edildiği ve kullanıldığı, konu ile ilgili olarak ilgili kişilerin veri sorumlusu avukata yaptıkları başvurunun veri sorumlusunca tebellüğ edilmesine rağmen cevaplandırılmadığı ifade edilerek, 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusu avukattan savunması istenilmiş olup alınan cevabi yazıda özetle;

Keşidecisinin borçlu baba olduğu bono sebebiyle hakkında başlatılan ve kesinleşen icra takibi neticesinde borçlunun adreslerindeki menkul ve gayrimenkulleri ile üçüncü şahıslardaki hak ve alacaklarının haczi ve haczedilecek taşınır malların muhafaza altına alınması talebiyle icra müdürlüğüne başvurulduğu ve bu talebin kabul edildiği,
Hukuk bürosunda çalışan bir avukat tarafından belirlenen tarihte haciz ve muhafaza işlemlerinin gerçekleştirilmesi adına haciz mahalli olan adrese gidilerek burada hazır bulunan borçlu ile oğluna haciz memuru tarafından geliş sebebinin mahalde anlatıldığı, bu hususun haciz tutanakları ile de sabit olduğu,
Söz konusu işlemler sürerken borçlunun haciz mahallini terk ettiği, sonrasında haciz mahallinde bulunan borçlunun oğlu tarafından “Ben borçlu şirketin yetkilisiyim, borçlu benim misafirim olarak geldi, borçlunun şirketle alâkası yoktur, haczedilen mallar şirkete aittir.” demek suretiyle istihkak iddiasında bulunduğu, haczedilen malların yediemin sıfatıyla kendisine bırakıldığı ve haciz tutanağının imzalandığı,
Bu suretle borçlunun oğlunun kişisel verilerinin haciz işleminin gerçekleştirildiği tarihte icra memuru tarafından işlendiği, iddia edilenin aksine borçlunun borcu hakkında oğluna bilgi verilmediği, iki tarafın da hâlihazırda konudan haberdar oldukları,
İlgili kişilerin veri sorumlusuna usulüne uygun başvuruda bulunmadıkları, borçlunun başvurusunda yer alan vekaletnamede kişisel verilerin korunması çerçevesinde veri sorumlusuna başvurulabilmesi için gerekli açık rızayı içeren özel bir hükmün bulunmadığı, borçlunun oğlunun başvurusunun ise başvuruda bulunan vekil ile vekaletnamede yer alan vekilin farklı olması nedeniyle usulsüz olduğu

ifade edilmiştir.

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun (Kurul) 01/12/2022 tarih ve 2022/1281 sayılı Kararı ile;

Kanun’un “Kişisel verilerin işlenme şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
Kanun’un “Veri güvenliğine ilişkin yükümlülükler”i düzenleyen 12’nci maddesinin (1) numaralı fıkrası uyarınca veri sorumlularının; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idarî tedbiri almakla mesul tutulduğu,
Kanun’un “Veri sorumlusuna başvuru” başlığını hâiz 13’üncü maddesinin (1) numaralı fıkrasının, “İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir” hükmünü hâvî olmakla birlikte, anılan maddeye dayanılarak hazırlanan Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in (Tebliğ) 5’inci maddesinin (1) numaralı fıkrasında, ilgili kişinin Kanun’un 11’inci maddesinde belirtilen hakları kapsamında taleplerini, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna ileteceği, (2) numaralı fıkrasında, başvurularda; ad, soyad ve başvuru yazılı ise imza, Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası, tebligata esas yerleşim yeri veya iş yeri adresi, varsa bildirime esas elektronik posta adresi, telefon ve faks numarası ile talep konusunun bulunmasının zorunlu olduğu, (3) numaralı fıkrasında ise konuya ilişkin bilgi ve belgelerin başvuruya ekleneceği hususlarının belirtildiği,
Bahse konu Tebliğ’in “Başvuruya cevap” başlıklı 6’ncı maddesinde veri sorumlusunun, Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlü olduğunun hükme bağlandığı,
Somut olayda veri sorumlusunun Kuruma ulaştırdığı belgeler arasında yer alan “Haciz Tutanağı”nda; borçlu ve oğlunun haciz mahallinde olduğu ve konuya ilişkin olarak haciz memuru tarafından kendisine bilgilendirmelerde bulunulduğu hususlarının kayıt altına alındığı, ayrıca söz konusu tutanakta “Yediemin” sıfatıyla oğlunun da imzasının yer aldığı, ilgili kişilerin Kuruma intikal ettirdiği şikâyet dilekçelerinin eklerinde yer alan arama kayıtlarının tarihlerinin ise haciz işleminin gerçekleştirildiği tarihten sonraki günlere ait olduğunun görüldüğü,
Şu hâlde, veri sorumlusunun yaptığı aramalar sonrasında ilgili kişiler konumundaki oğlunun, babasına ait borç bilgisini ilk defa bu aramalar ile öğrenmesinin mümkün olmadığı, zira bu aramalardan önce tanzim edilmiş olan haciz tutanağında kendisinin imzası bulunduğundan, borçlunun oğlunun konuya hâlihazırda vakıf olup şikâyet konusu olan kişisel verinin, alenileştiği, aleni verinin ise alenileştirildiği kişiler bakımından gizliliğinin düşünülemeyeceği,
Borçlunun oğlunun da haciz tutanağına imza atmakla haciz işleminin bir tarafı hâline geldiği, birtakım hacizli mallar üzerine yediemin olarak tayin edildiği ve yetkilisi olduğunu iddia ettiği şirket adına söz konusu mallar üzerinde istihkak iddiasında bulunduğunun anlaşıldığı, bu çerçevede Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendi uyarınca “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” şartına dayanılarak, örneğin üzerine yediemin olarak tayin edildiği hacizli malların durumu vb. hakkında bilgi almak ve yürütülen hukuki işlemler hakkında kendisine bilgi vermek amacıyla kişisel verisi hüviyetinde olan şahsî cep telefonu numarasının, veri sorumlusu avukat tarafından, borçlunun oğlunun açık rızası olmaksızın, söz konusu amaçla sınırlı ve kısıtlı olmak üzere işlenebileceği, zira somut olayda alacaklı tarafın hak ve menfaatlerinin korunmasının, oğlunun üzerine yediemin bırakıldığı hacizli malların durumu ve bu konu hakkında kendisi ile irtibat kurulabilmesi ile yakından irtibatlı olduğu,
Öte yandan borçlunun oğlunun cep telefonu numarasının veri sorumlusu tarafından hukuka aykırı bir şekilde elde edildiğine ilişkin Kuruma herhangi bir belge iletilmediği, yapılan inceleme sürecinde de böyle bir tespitte bulunulamadığı, veri sorumlusu tarafından borçlunun oğlunun kişisel verisi olan cep telefonu numarasının, aradaki hukuki ihtilafa ilişkin hususlarla sınırlı olmak üzere işlenmesinin hukuka aykırı olmadığı,
Borçlunun oğlunun başvurusunda başvuruda bulunan vekil ile vekaletnamede yer alan vekilin farklı olması ve taraflar arasında düzenlenen bir yetki belgesi de veri sorumlusuna ya da Kuruma iletilmemiş olduğundan, söz konusu başvurunun yanıtlanmamasının hukuka aykırılık teşkil etmediği, bununla birlikte, ilgili kişinin başvurusunda yer alan vekaletnamede kişisel verilere ilişkin özel yetki yer almamasının, söz konusu taleplerin yanıtlanmaması noktasında bir engel teşkil etmediği

değerlendirmelerinden hareketle;

Borçlunun oğlunun haciz esnasında haciz mahallinde olduğu ve haczedilen malların yediemin sıfatıyla kendisine bırakılmış olduğu da dikkate alındığında, eldeki mevcut bilgi ve belgelerden veri sorumlusunun borçlunun oğlunun telefon numarasını hukuka aykırı işlediğinin tevsik edilemediği anlaşıldığından söz konusu iddia hakkında Kanun kapsamında yapılacak bir işlem olmadığına,
Veri sorumlusunun Kuruma ilettiği belgelerden, borçlunun oğlunun da söz konusu borcun hacizle tahsili sırasında haciz mahallinde bulunduğu ve Haciz Tutanağını imzaladığı, dolayısıyla babasının borcu hakkında hâlihazırda bilgi sahibi olduğu, şikâyet konusu aramalara dair kayıtların ise anılan Haciz Tutanağının tanzim edildiği tarihin ertesi gününe ait olduğu, bu nedenlerle borçlunun “aynı zamanda da kişisel verisi olan, kendisinin borçlu olduğuna dair bilginin veri sorumlusu tarafından oğluna iletilmesi” şeklindeki şikâyetine ilişkin olarak Kanun kapsamında tesis edilebilecek bir işlem olmadığına,
Veri sorumlusunun kendisine Kanun ve Tebliğ kapsamında, vekilleri aracılığıyla başvuruda bulunan ilgili kişilerden yasal bir mecburiyet bulunmamasına karşın “kişisel verilere ilişkin özel yetki” talep ettiği, bu durumun ilgili kişilerin veri sorumlusuna başvuru yapmasını Tebliğ’in 5 ve 6’ncı maddeleri hükümlerine aykırı olarak zorlaştırdığı dikkate alındığında kendisine yapılacak başvuruları sonuçlandırma noktasında azami dikkat ve özeni göstererek ilgili kişilerin bizzat kendileri veya vekilleri aracılığı ile yaptıkları başvuruları Kanun ya da Tebliğ’de bulunmayan, ayrıca herhangi bir yasal mesnede de dayanmayan ek külfetler getirmek suretiyle zorlaştırmamasına yönelik gerekli tedbirlerin alınması konusunda veri sorumlusunun uyarılmasına

karar verilmiştir.

08.Eylül.2022: “İlgili kişinin e-posta adresine başka abonelere ait e-faturaların gönderilmesi””

Karar Tarihi	:	08/09/2022
Karar No	:	2022/925
Konu Özeti	:	İlgili kişinin e-posta adresine başka abonelere ait e-faturaların gönderilmesi

İlgili kişinin Kuruma intikal eden şikâyetinde özetle; ilgili kişinin daha önce veri sorumlusu telekomünikasyon şirketi hakkında kendisine ait e-posta adresine başka bir aboneye ait e-faturaların gönderilmesi nedeniyle şikâyette bulunduğu, bu kapsamda veri sorumlusu telekomünikasyon şirketi hakkında Kişisel Verileri Koruma Kurulu (Kurul) tarafından idari para cezası uygulanmasına ve kişisel verilerin güvenliğine ilişkin gerekli tüm idari ve teknik tedbirlerin alınması hususunda veri sorumlusunun talimatlandırılmasına karar verildiği ancak 2018 yılından beri 053..….4 numaralı hattın sahibinin e-faturalarının veri sorumlusu tarafından ilgili kişiye iletildiği bununla birlikte 054.…..9 numaralı hattın sahibinin e-faturalarının da kendisine iletilmeye başlandığı ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

Öncelikle ilgili kişiye ait verilerin düzeltilmesini isteme hakkının yerine getirilmediği iddiasının gerçeği yansıtmadığı, ilgili kişinin şirkete yaptığı başvuru sonrasında 054……9 numaralı hattın faturalama bilgilendirme tercihinin Mayıs 2020 dönemi ve sonrası için e-faturadan SMS’e çevrildiği; bu çerçevede, şirket sistemlerinde yapılan sorgulamada 054……9 numaralı telefon numarasına ilişkin hazırlanan e-faturanın ilgili kişinin beyan ettiği e-posta adresine en son 30 Nisan 2020 tarihinde iletildiğinin tespit edildiği,
Aynı e-mail adresini beyan eden 053……4 numaralı hat sahibine ise konuya ilişkin olarak ulaşılmaya çalışılmasına rağmen borcundan dolayı hattının erişime kısıtlı olması nedeniyle ulaşılamadığı, abonelik sözleşmesi kapsamında aynı e-posta adresini beyan eden hat sahibinin değişikliğe ilişkin rızası alınamadığı için herhangi bir işlem yapılamadığı, hat sahibinin abonelik sözleşmesinde beyan ettiği bilgilerin hat sahibinin iradesi dışında değiştirilmesinin Kanun kapsamındaki haklarının ihlaline ve Bilgi Teknolojileri ve İletişim Kurumu’nun (BTK) ilgili yönetmeliklerine aykırı hareket edilmesine sebep olacağı, zira kişisel verilerinin düzeltilmesinin kullanılması hakkının hat sahibine ait olduğu,
İlgili kişinin ilk şikâyetini 11.01.2019 tarihinde Kuruma ilettiği, ilk başvurusunda, yalnızca 053……7 numaralı hattın faturalarının kendisine gönderilmesi ve bu suretle e-posta adresinin hukuka aykırı işlendiğine ilişkin rahatsızlığını beyan ettiği ancak 053……4 numaralı hatta ait faturaların da 2018 yılında aynı e-posta adresine iletilmekte olduğu görülmesine rağmen ilgili kişinin yaptığı 11.01.2019 tarihli ilk başvuruda 053…..4 numaralı hattın faturasına ilişkin rahatsızlık duyduğunu beyan etmediği, ilk başvurusunda yer vermediği bu numaraya yönelik rahatsızlığını yaklaşık 18 ay sonra iletme gereği duymasının diğer şikâyetlerinde kullanmak üzere numarayı elinde tutmayı tercih etmesi anlamına geldiği, gereksiz iş yükü getiren ve etik olmayan bu tercihin dürüstlük ilkesiyle bağdaşmadığı

ifade edilmiştir.

Konuya ilişkin yapılan değerlendirme neticesinde, Kurulun 08/09/2022 tarih ve 2022/925 sayılı Kararı ile;

Kanun’un “Genel İlkeler” başlıklı 4’ üncü maddesinde “(1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir. (2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur: a) Hukuka ve dürüstlük kurallarına uygun olma. b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.” hükmünün yer aldığı
Kanun’un “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12’nci maddesinde; “(1) Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmüne yer verildiği,
Somut olayda ilgili kişinin ilk başvurusuna istinaden verilen Kurul Kararı kapsamında veri sorumlusunun kişisel verilerin güvenliğine ilişkin gerekli tüm idari ve teknik tedbirlerin alınması hususunda talimatlandırılmasına rağmen, üçüncü kişilere ilişkin faturanın ilgili kişinin e-posta adresine iletilmeye devam edilmesinin ve yine üçüncü bir kişiye ait abonelik sözleşmesinde ilgili kişinin e-posta adresinin bildirilmiş olmasının, mevcut ve yeni üyelerin e-posta adresi gibi iletişim kanallarının doğrulanmasına yönelik bir mekanizmanın bulunmadığını gösterdiği,
Veri sorumlusunun söz konusu kişisel verilerin doğruluğunu sağlamak amacıyla proaktif bir yaklaşımla gerekli tedbirleri almamasının Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (b) bendinde yer alan “doğru ve gerektiğinde güncel olma” ilkesine aykırılık teşkil ettiği, dolayısıyla veri sorumlusu tarafından kişisel verilerin işlenmesinde Kanun’un 12’nci maddesinin (1) numaralı fıkrası kapsamında uygun güvenlik düzeyini temin etmeye yönelik gerekli tedbirlerin alınmadığı kanaatine varıldığı

değerlendirmelerinden hareketle;

İlgili kişinin e-posta adresinin üçüncü kişilere ait faturanın iletilmesi suretiyle işlenmesi ve bu durumun Kanun’un 4 üncü maddesinin (2) numaralı fıkrasının (b) bendinde yer alan “doğru ve gerektiğinde güncel olma” ilkesine aykırılık teşkil etmesi sebebiyle Kanun’un 12’nci maddesinin (1) numaralı fıkrasındaki yükümlülükleri yerine getirmediği kanaatine varılan veri sorumlusu hakkında, daha önce verilen Kurul Kararında abonelerin kişisel verilerinin güvenliğine ilişkin gerekli idari ve teknik tedbirlerin alınması hususunda talimatlandırıldığı da dikkate alınarak, Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 200.000 TL idari para cezası uygulanmasına,
İlgili kişinin e-posta adresine üçüncü kişilere ait kişisel verilerin iletilmemesi amacıyla gerekli tedbirlerin alınması ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

08.Eylül.2022: “İlgili kişinin telefon numarasının hastaneden ayrılan doktor tarafından SMS gönderilmesi suretiyle işlenmesi hakkında”

Karar Tarihi	:	08/09/2022
Karar No	:	2022/923
Konu Özeti	:	İlgili kişinin telefon numarasının tedavi olduğu hastaneden ayrılan doktor tarafından SMS gönderilmesi suretiyle işlenmesine ilişkin şikâyet

Kuruma intikal eden şikâyetinde özetle ilgili kişinin;

Ocak 2018 tarihinde hastanede bir doktor tarafından muayene edildiği, ilgili doktorun hastaneden ayrılarak özel muayenehane açtığı ve akabinde ilgili kişinin cep telefonu numarasına reklam amaçlı SMS gönderdiği, bu sebeple doktor tarafından hastaneden ayrılırken kişisel verilerinin hukuka aykırı olarak temin edildiğini düşündüğü,
Konuya ilişkin ilgili doktora ve hastaneye başvurduğu, doktorun cevabında kendisine ait verilerini sağlık durumunun kontrolü amacıyla aldığını belirttiği, hastanenin cevabında ise başvurusuna konu ettiği kişisel verilerine ilişkin özel bilgi vermek yerine genel nitelikte ve konuya özgü olmayan bir cevap verildiği, bu çerçevede taraflardan yeterli bir cevabın alınamadığı,
Kendisinin sadece yaklaşık 3 sene önce ilgili doktora bir kere muayene olduğu ve sonrasında hiçbir muayene ya da tedavinin söz konusu olmadığı, ne hastane nezdinde ne de doktor nezdinde devam eden ya da takip edilen hiçbir sağlık probleminin söz konusu olmadığı, bu sebeple ilgili doktorun hastaneden ayrılırken kendisine ait verileri usulsüz olarak ele geçirdiği ve kendi özel kliniğinde maddi çıkar sağlamak üzere kullandığı

ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında hastane ve doktor hakkında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde hastaneden ve ilgili doktordan savunması istenilmiş olup doktordan alınan cevabi yazıda özetle;

Hastaneden ayrılırken rehberinde telefon numaraları bulunan hastalara artık mesleğini özel muayenehanede yürüteceğine dair bilgilendirme mesajı gönderdiği,
Hastanede çalışmadığı konusunda hastaların bilgilendirilmesinin önem arz ettiği ve hastalara kolaylık sağladığı, bu hususun özellikle kadın doğum uzmanlığı gibi yüksek ihtisaslar için bir zorunluluk olduğu, somut durumda da ilgili kişinin iletişim bilgilerini kendisinin paylaşmış olduğu, bu açıdan hastaların bilgilendirilmesinin hayatın doğal akışına uygun ve mesleğin doğası gereği olduğu, ayrıca bu durumun mesleki bir sorumluluk olduğu,
2017-2020 arasındaki dönemde hastane ile arasında kurulan ilişkinin bir işçi-işveren ilişkisi olmadığı, tıp dünyasında genel geçer uygulamalara uygun olarak hastaların doktoru kendisi iken; hastaların barınma, yeme-içme, hastane hizmetlerinden faydalanma, yatış işlemleri gibi “hekimlik dışı” işlemlerinde, hastayla arasında ilişki kuran tarafın hastane olduğu, tüm sağlık sektöründe de işleyişin bu şekilde olduğu, hastanenin, hasta-doktor ilişkisinde sağlık ve bakım hizmetleri söz konusu olduğu durumda devreye giren bir süje olduğu,
Bu kapsamda tıbbi bakım ve tedavi hizmetlerinin özünü sağlayanın hastane değil, hekim olduğu; bundan ötürü de hastanın her zaman doktorla iletişim kurmak ve onu takip etmek istediği, bu durumun sadece özel hastanelerde değil neredeyse tüm hasta-hekim ilişkisinin kurulduğu tıbbi yerleşkelerde söz konusu olduğu, somut olayda da şikayetçinin hastane bünyesinde bulunan ve yüksek ihtisasa sahip dört doktor arasından kendisiyle hasta-hekim ilişkisi kurmayı tercih ettiği,
Bu minvalde meslek hayatı boyunca neredeyse tüm hastalarıyla iletişim bilgilerini memnuniyetle paylaştığı ve sadece hastalarıyla iletişim için kullandığı bir numarasının bulunduğu, özellikle de uzmanlık ihtisasının kadın doğum doktorluğu ve özel alanının ise tüp bebek uzmanlığı olması sebebiyle iletişimin hem mesleğin etik gereklilikleri hem de hastanın hassasiyeti ve beklentileri sebebiyle çok daha büyük bir önem arz ettiği,
İlgili kişinin sadece adı-soyadı ile telefon numarası bilgilerinin mevcut olduğu, bu bilgilerin ilgili kişiyi muayene ettiği tarihte ilgili kişinin kendisi tarafından paylaşıldığı, bunun dışında ilgili kişinin sağlık verisi gibi bilgilerini kaydetmesinin ve saklamasının mümkün olmadığı, ilgili kişinin iletişim numarasının da doğrudan cep telefonu rehberine kaydedildiği ve üçüncü kişilerle paylaşılmadığı,
İlgili kişinin başvurusunun ardından cep telefonu numarasının da silindiği

ifade edilmiştir.

Hastaneden alınan cevabi yazıda ise özetle;

Doktor ile aralarındaki sözleşmenin Eylül 2020 tarihinde sona erdiği, bu tarihten itibaren doktorun hastane kayıt ve sistemlerine erişemediği, dolayısıyla Eylül 2020 tarihinden sonra doktor tarafından gerçekleştirilen herhangi bir haksız veri işleme faaliyetinden hastanenin sorumlu tutulamayacağı,
Hastalara ait kişisel verilerin Hastane Bilgi Yönetim Sistemine (HBYS) kaydedildiği, ardından hasta tarafından randevu alınması halinde, ilgili hastanın HBYS'ye kaydedilmiş olan verilerinin muayenenin gerçekleştirilmesi amacıyla yine HBYS sistemi üzerinden hekimlerin erişimine açıldığı, bu sistemin yalnızca muayene işleminin gerçekleştirilmesi amacıyla çalıştığı,
Bir hekimin hastasının iletişim bilgilerine erişiminin olmasının hayatın olağan akışı içerisinde oldukça normal bir durum olduğu ve hastanın menfaati için gerekli olduğu,
Hastanın adı, soyadı, T.C. kimlik numarası, iletişim bilgileri, şikâyeti, özgeçmişi, öykü, soy geçmişi, bulgu bilgilerinin HBYS üzerinden yalnızca tedavinin sağlanması amacıyla görüntülenmek üzere söz konusu doktorun erişimine sunulduğu, log kayıtlarından da anlaşılacağı üzere doktorun epikriz raporu oluşturmak ve ilgili kişinin sağlık bilgilerini Hastane Bilgi Yönetim Sistemine kaydetmek üzere sisteme giriş yaptığı

ifade edilmiştir.

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun 08/09/2022 tarih ve 2022/923 sayılı Kararı ile;

6698 sayılı Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlandığı,
Somut olayda, ilgili kişi tarafından şikayet dilekçesinde hastanede yer alan kişisel verilerinin doktor tarafından hukuka aykırı olarak temin edildiğinin iddia edildiği, hastanenin cevabında ilgili kişinin 16.01.2018 tarihinde hastanede görev yapmakta olan şikayete konu doktora muayene olduğu; doktorun 01.09.2020 itibariyle hastane ile olan iş ilişkisinin sona erdiği ve bu tarihten itibaren hastane kayıt ve sistemlerine erişim imkanının kalmadığı; sisteme giriş kayıtlarında da (log) doktorun ilgili kişinin kaydına hastanede çalıştığı süre içerisinde sisteme giriş yetkisi bulunurken 12.01.2018, 19.01.2018 ve 27.06.2018 tarihlerinde giriş yaptığının görüldüğü,
Doktor tarafından ise, ilgili kişinin kişisel verisi olan cep telefon numarasının hastane kayıtlarından temin edilmediği, aksine ilgili kişinin muayenesi esnasında branşının mahiyeti gereği iletişim kurulabilmesi amacıyla bizzat kişiden temin edilerek cep telefonuna kaydedildiği, hastaneden ayrılması akabinde de güncel adresi hakkında bilgi verilerek kendisiyle iletişim kurulabilmesi amacıyla telefon rehberinde kayıtlı olması sebebiyle ilgili kişiye de SMS gönderildiğinin beyan edildiği değerlendirildiğinde söz konusu kişisel verilerin hastanenin veri tabanından alındığının tevsik edilemediği,
6698 sayılı Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesinde, kişisel verilerin ancak bu Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verilerek bu çerçevede, kişisel verilerin ancak hukuka ve dürüstlük kurallarına uygun şekilde, belirli, açık ve meşru amaçlar kapsamında, doğru ve gerektiğinde güncel olma şartıyla, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun olarak işlenebileceğinin belirtildiği,
Diğer taraftan, Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin “(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: a) Kanunlarda açıkça öngörülmesi. b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hükmünü haiz olduğu,
Veri sorumlusunca ilgili kişiye ait kişisel verilerin belirtilen amaçlar dışında başka amaçlarla işlenmemesi, amaçla sınırlı olma ilkesi uyarınca kişisel verilerin işlenmesinin belirlenen amaçların gerçekleştirilmesine elverişli olması, amacın gerçekleşmesiyle ilgili olmayan kişisel verilerin işlenmesinden kaçınılması gerektiği,
Kanun’un gerekçesinde de “(…) sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik veri işlenebilmesi için, işlemeye ilk kez başlıyor gibi, 5’inci maddede düzenlenmiş olan kişisel verilerin işlenme şartlarından birinin gerçekleşmesi gerekecektir” ifadesinin yer aldığı, dolayısıyla veri sorumlusunun kişisel verileri ilk veriliş amacıyla uyumsuz bir şekilde işlememesi, farklı bir amaçla işleme durumu söz konusu ise bu işlemenin de ayrıca bir hukuka uygunluk sebebine dayanması gerektiği,
Somut olayda, şikayet konusu SMS’in kendi mesleki faaliyeti kapsamında ilgili kişiye gönderilmesi özelinde veri sorumlusu olduğu anlaşılan doktorun ilgili kişiyi 2018 Ocak ayında, çalıştığı hastane bünyesinde muayene ettiği, ilgili kişi ile olan hasta-doktor ilişkisi kapsamında sistem bilgilerine hastane doktoru olarak en son 2018 Haziran ayında girdiği, bu tarihten sonra ilgili kişi ile doktor arasında tıbbi olarak bir temas sağlandığına yönelik herhangi bir kaydın ya da beyanın bulunmadığı, ancak veri sorumlusu doktor tarafından 2020 yılında, hastane ile olan iş ilişkisinin sona erdiği ve güncel adresinin değiştiği hakkında ilgili kişinin hastanede muayene olurken vermiş olduğu ve halihazırda doktorla bir hizmet ilişkisi de bulunmazken ilgili kişinin cep telefonuna kısa mesaj göndermek suretiyle ilgili kişinin kişisel verisi olan telefon numarasının işlendiğinin anlaşıldığı,
İlgili kişinin 2018 Ocak ayından 2020 yılının Eylül ayına kadar olan süre içerisinde, doktor ile arasında aktif bir hasta-doktor ilişkisinin bulunmadığı, doktor tarafından telefon numarasının ilgili kişinin kendisinden alındığının beyan edildiği bu çerçevede söz konusu iletişim verisinin hasta doktor ilişkisi çerçevesinde muayane/tedavi süreçlerine ilişkin bilgilendirme amacıyla temin edildiğinin anlaşıldığı ancak daha sonra doktor tarafından reklam içerikli SMS göndermek amacıyla ilgili kişinin telefon numarasının işlendiği ve bu işlemenin de ilgili kişinin açık rızasına ya da Kanun’un 5’inci maddesinde yer alan diğer işleme şartlarından herhangi birine dayanmadığının anlaşıldığı

değerlendirmelerinden hareketle;

Eldeki bilgi ve belgeler çerçevesinde söz konusu kişisel verilerin hastanenin veri tabanından alındığının tevsik edilemediği dikkate alındığında hastane hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına,
Veri sorumlusu doktor tarafından telefon numarasının ilgili kişinin kendisinden alındığının beyan edildiği bu çerçevede söz konusu iletişim verisinin hasta doktor ilişkisi çerçevesinde muayene/tedavi süreçlerine ilişkin bilgilendirme amacıyla temin edildiğinin anlaşıldığı ancak daha sonra doktor tarafından reklam içerikli SMS göndermek amacıyla ilgili kişinin telefon numarasının işlendiği dikkate alındığında söz konusu kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinde yer alan herhangi bir işleme şartına dayanmadığına, bu kapsamda Kanun’un 12’nci maddesine aykırı uygulamada bulunan gerçek kişi veri sorumlusu doktor hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına

karar verilmiştir.

24.Kasım.2022: “İlgili kişinin döviz bürosundaki güvenlik kamerası ile kayıt altına alınmış görüntülerinin haber ajansları ile paylaşılması”

Karar Tarihi	:	24/11/2022
Karar No	:	2022/1249
Konu Özeti	:	İlgili kişinin döviz bürosundaki güvenlik kamerası ile kayıt altına alınmış görüntülerinin haber ajansları ile paylaşılması

İlgili kişinin şikâyetinde özetle;

Veri sorumlusuna ait döviz bürosunda gişe görevlisi tarafından yapılan yanlış işlem sebebiyle ilgili kişiye fazla ödeme yapıldığı, fazla ödemenin ilgili kişi tarafından öğrenilmesi üzerine fazla ödenen kısmın iade edildiği, bununla birlikte döviz bürosunda bulunan güvenlik kamerası ile kayda alınmış ilgili kişiye ait görüntülerin haber ajans ve siteleri ile ilgili kişinin açık rızası alınmaksızın paylaşıldığı,
Bahsi geçen haber sitelerinde ilgili kişinin görüntülerinin paylaşılması sebebiyle ilgili kişi hakkında rencide edici yorumların yapıldığı ve bu durumun ilgili kişinin manevi anlamda yıpranmasına sebep olduğu,
Veri sorumlusunun iş yerinde görüntü kaydı yapıldığına ilişkin herhangi bir uyarı levhasının bulunmadığı,
İlgili kişi tarafından 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 11’inci maddesindeki hakları uyarınca veri sorumlusuna yazılı şekilde başvuruda bulunulduğu ancak başvuru dilekçesindeki hususlara makul ve yeterli cevap verilmediği ve ihlal durumunun veri sorumlusunca reddedildiği

belirtilmiş ve gerekli işlemlerin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması talep edilmiş olup veri sorumlusunun cevabi yazısında özetle;

Kuruma yapılan başvurunun haksız ve mesnetsiz olduğu, veri sorumlusunca ilgili kişinin başvurusunun somut delillerle ve ilgili olaya ilişkin haber kayıtları, kamera kayıtları, kamera uyarı levhalarını gösteren fotoğraflarla birlikte tek tek ayrıntılı bir şekilde cevaplandığı, buna rağmen ilgili kişi tarafından makul ve yeterli cevap bulunmadığı beyan edilerek Kuruma başvurulmasının anlamlandırılamadığı,
İlgili kişinin veri sorumlusuna ait döviz bürosuna giderek döviz cinsinden para bozdurmak istediği ancak getirilen paraların rulo şeklinde ve buruşmuş olması sebebiyle para makinesinin para tutarını belirlerken yanıldığı ve vezne görevlisinin ekrandaki tutarı ilgili kişiye verdiği,
Döviz bürosunda gün sonunda rutin olarak yapılan kasa sayımında para açığı olduğunun fark edildiği ve kamera kayıtlarının incelemesi neticesinde hatalı işlemin ve bu işlemin gerçekleştirildiği müşterinin tespit edildiği, bu tür hatalı işlemlerde sorumluluğun veznedarda olduğu ve kasa açığının veznedarın hesabına yazılıp siciline işlendiği,
Fazla para ödenen ilgili kişinin fazla ödenen parayı veri sorumlusuna iade etmesinin beklendiği ancak makul süre geçmesine rağmen paranın iade edilmediği,
Olayın gerçekleşmesinden bir gün sonra uluslararası yayın yapan bir televizyon kanalının her hafta rutin olarak gerçekleştirdiği ekonomi yorumu çekimi için döviz bürosuna geldiği, yayın yapılması esnasında bir önceki gün gerçekleştirilen hatalı işlemin gündeme geldiği, veznedarın kendi sorumluluğunun doğduğunu bildiği, paranın makul süre içerisinde iade edilmemesi nedeniyle yapılan hatalı işlemin ilgili kişi tarafından aslında kasten yapılmış olabileceği ihtimalinin de bulunduğu, bu durumda suç soruşturmasına neden olabileceği için savcılığa başvurmadan önce eğer ilgili kişi iyi niyetliyse iş savcılığa intikal etmeden bu sorunu çözmek istediği ancak müşteri ile irtibata geçebileceği isim-adres-telefon vb. bilgiler vasıtasıyla müşteriye başka türlü ulaşma imkanı bulunmadığı için ilgili kişinin kendileriyle irtibata geçebilmesi için müşterinin sadece şahsının kendisini tanıyabileceği, ilgili kişinin yalnızca göz çevresinin göründüğü, görüntülerin kanala verildiği,
İlgili kişinin kişisel verisi sayılabilecek nitelikte bir bilgisinin basına verilmediği, ekranda gösterilen videonun ilgili kişinin tanınabileceği bir kayıt olmadığı, söz konusu yayınlar yapıldıktan sonra ilgili kişinin yurtdışında bulunan kızının yayını izlediği ve annesine durumu ilettiği bu sayede veri sorumlusu ile iletişime geçtiği, ilgili kişinin Düzeltme/Teşekkür haberinin yapıldığı yayın esnasında bu durumu “kızım haber verdi geldim yoksa haberim olmazdı” şeklinde kendisinin açıkça beyan ettiği, ilan verilmeseydi ilgili kişinin veri sorumlusuna ulaşmayacağının anlaşıldığı, bu durumda eksik kalan para bedelinin veznedardan tahsil edileceği ve siciline işleyeceği, asgari ücretle hayatını idame ettiren veznedarın ekonomik anlamda mahvına sebep olacak durumun korku ve paniği ile bu görüntüyü verirken kişiyi rencide etme ve aşağılama gibi bir düşüncesinin bulunmadığı yalnızca kişiye ulaşma ve fazla parayı geri alma amaç ve iyi niyetiyle verildiği, bu yönüyle incelendiği zaman ilgili olayın Kanunlarımızda hukuka uygunluk nedeni olarak düzenlenen daha üstün nitelikli kamusal veya özel yarar durumunu oluşturduğu,
Veri sorumlusu tarafından konunun haber yapılması için kasten girişimde bulunulmadığı, haberi yayınlayan diğer basın organlarının haber içeriğini kopyalamak suretiyle veri sorumlusunun bilgisi ve kontrolü dışında yayın yaptıkları, haber içeriğinde şahsı rencide edici, küçük düşürücü hiçbir kelimenin kullanılmadığı, diğer internet sitelerinde haberin altına yapılan yorumların ise veri sorumlusunun kontrolü altında tutabileceği bir durum olmadığı, diğer internet sitelerince yapılan haberlerin veri sorumlusunun bilgisi dahilinde olmadığı, bu nedenle de usulsüz şekilde haberi yapan ve bu haberlere yorum yapan kişilerin cezai sorumluluklarının sadece kendilerini bağladığı, veri sorumlusuna bir kusur atfedilemeyeceği,
Veznedarın bilgisi dâhilinde olan haber içeriğinin ilgili kişiye ulaşmak amacıyla ilan niteliğinde olduğu, haberin içerisinde kişilik haklarını zedeleyecek yahut taraflarca kötü bir anlam yüklenecek içeriğin oluşturulmadığı, döviz bozdurma işlemi sırasında müşterilerin adı ve soyadı ile işlem yapılmadığından ilgili kişiye doğrudan doğruya başvurulamayacağı ve başka şekilde ilgili kişiye ulaşma imkanının bulunmaması sebebiyle söz konusu olayda ilgili kişinin ismi verilerek değil tanıyanların kendisine iletmesi ve bu kişinin geri dönüşünün sağlaması için sadece gözleri belli olan video kaydının kullanıldığı, ses veya başkaca herhangi bir kişisel veri niteliği taşıyan hiçbir unsurun basın veya haber kuruluşuyla paylaşılmadığı,
Olayın yerel basına yansımasının akabinde ilgili kişinin karşı komşusu ile birlikte büroya geldiği, durumun kendisine kızı tarafından haber verildiğini ve eğer parayı getirmese veri sorumlusunun kendisini zor bulacağını beyan ettiği, her ne kadar ilgili kişiyi tanıyanların veri sorumlusuna başvurması için ilan niteliğinde bir yayın yapılsa da ilgili görüntülerde maske takıldığı ve ilgili kişinin gözlerinden başka hiçbir uzvu veya kendisinin tanınmasına yardımcı olacak bir özelliği belli olmadığı için başkaları tarafından tanınmasının imkansız olduğu, ilgili kişinin yayınlanan haberde siyah eşarp ve maske taktığı, kişinin yalnızca gözlerinin açıkta olduğu, adı/soyadı/herhangi bir spesifik özellik veya verisi verilmeyen ilgili kişinin yalnızca gözlerinden tanınmasının hayatın olağan akışına ters olduğu, mantık sınırları içerisinde olmadığı, zaten ilgili kişiyi bu haliyle tanıyan tek kişinin de birinci derece yakını olan kızından başkası olmadığı,
İlgili kişinin fazla parayı, veri sorumlusuna hatalı işlemin tesis edildiği ve kendisinin parayı bankaya yatırdığı gün veya işlem gerçekleştikten sonraki üç gün içerisinde geri ödemediği, bu davranışlar bir bütün olarak ele alındığında ilgili kişinin gerçekleştirdiği davranışın açıkça kişinin gerçek niyetinin aslında paranın geri ödenmemesi yönünde olduğunun, makul ve dürüst bir insandan beklenebilecek bir davranış olmadığının göstergesi olduğu, eğer ki haber yapılmasaydı ilgili kişinin döviz bürosuna gelerek hatalı işlemin düzeltilmesini hiçbir zaman talep etmeyeceği ve kişi zaten yurt dışında yaşadığı için kendisine ulaşılamayacağı,
Veri sorumlusunun ilgili kişiye teşekkür etmek için ilgili haberi yapan TV kanalına haber verdiği ve kanalın paranın iadesinin yapıldığına dair düzeltme niteliğinde haber yaptığı, veri sorumlusunun haber içeriğinde ilgili kişiyi rencide edecek nitelikte hiçbir imada bulunulmasa da güzel bir davranış gerçekleştirdiği ve durumun kamuoyu tarafından da öğrenilmesi için bir nevi teşekkür mahiyetinde ilgili kişinin iznini alarak TV kanalını aradığı, paranın geri getirildiği haberinin yapılmasını istediği, yayın yapılacağından ilgili kişinin haberdar olduğu, veri sorumlusunca teklif yapıldığında ilgili kişi tarafından hemen kabul edildiği, hatta haber ekiplerinin kayıtta olduğu sırada parayı veznedara teslim ettiği, sonrasında kameranın önüne geçerek kendi hür iradesiyle röportaj verdiği, ilgili kişinin adının ve soyadının veri sorumlusunca açıklanmadığı, ilgili kişinin bu bilgileri röportaj esnasında özgür iradesiyle verdiği, ilgili kişinin isminin teşekkür haberinin yapıldığı sırada öğrenildiği,
Tüm işlemlerin tamamlanmasını müteakip tarafların iyi bir şekilde ayrıldıkları ancak sonrasında ilgili kişinin birçok davranışının şüpheli ve tutarsız olduğu,
Veri sorumlusu tarafından işlenen veri ve kayıtların hukuka uygun olarak kaydedildiği ve saklandığı, veri sorumlusuna ait büronun iki farklı yerinde kamera kaydı yapıldığına dair levhalar bulunduğu, levhaların kişilerin kolayca görebileceği yerlerde bulunduğu, kişilerin bu iş yerine girdikleri zaman kayıtlarının yapılmasını kabul ettiklerine karine teşkil etmesi sebebiyle hukuka uygunluk nedeni oluşturduğu, veri sorumlusunca tutulan, kayıt altına alınan ve saklanan kamera kayıtlarının hukuka uygun, hatta ilgili yasa ve mevzuat gereği zorunlu olduğu, nitekim döviz bürolarının Hazine ve Maliye Bakanlığına bağlı kurumlar olması sebebiyle iş ve işlemlerinin Bakanlığın denetimi altında gerçekleştirildiği, döviz bürolarının istenildiği zaman canlı izlendiği, döviz bürolarında kamera bulundurulmasının zorunlu olduğu, kamera takılmaması ve kamera kayıtlarının saklanmamasının ise döviz bürosunun kapatılması yaptırımına bağlandığı,
Veri sorumlusu tarafından Kanun’un 10’uncu maddesine uygun olarak büronun kamera ile izlendiğine dair herkesin rahatlıkla görebileceği yerlerde bulunan uyarı levhaları ile aydınlatıldığı ve kamera ile izleme faaliyetine ilişkin birden fazla yöntem ile bildiride bulunulduğu, böylelikle ilgili kişilerin temel hak ve özgürlüklerine zarar verilmesinin engellendiği, şeffaflığın ve ilgili kişilerin aydınlatılmasının hedeflendiği, ilgili kişinin de büroda kendisine ödeme yapılırken kameraya uzun süre baktığı, bu nedenle ilgili kişinin büroda kamera bulunduğunun farkında olduğu, bu kameraların tam alt kısmında kamera ile kayıt yapıldığına dair uyarı levhasının bulunduğu, güvenlik amacıyla kamera ile izleme faaliyetinin yürütülmesinde Kanun’da yer alan düzenlemelere uygun hareket edildiği, döviz bürosunun bina ve tesislerinde ilgililerin haklarının zedelenmemesi amacıyla yürürlükte bulunan ilgili mevzuatta öngörülen amaçlarla ve Kanun’da sayılan kişisel veri işleme şartlarına uygun olarak güvenlik kamerasıyla izleme faaliyetinde bulunulduğu, güvenlik kamerasıyla kişilerin görüntülerinin kayda alınmasıyla ilgili Anayasal düzenleme esas alındığında güvenlik kamerasıyla yapılan kayıtların kanunilik, ölçülülük ve maddede sayılmış olan bir ya da daha fazla amaç bakımından demokratik bir toplumda gerekli olması koşullarına uygun olduğu sürece bu kayıtların hukuka uygun olarak kaydedildiğinin kabul edildiği,
Olayda Kanun’da belirtilen hukuka uygunluk sebeplerinin mevcut olduğu, döviz bürosunun Kanun’un 4’üncü maddesine uygun olarak kişisel verileri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işlediği, veri sorumlusunun güvenlik kamerasıyla izleme faaliyetinin sürdürülmesindeki amacın bu Kanun maddesinde sayılan amaçlarla sınırlı olarak ve bu doğrultuda, güvenlik kameralarının izleme alanları, sayısı ve ne zaman izleme yapılacağının güvenlik amacına ulaşmak için yeterli ve bu amaçla sınırlı olarak uygulanmaya alındığı, kişisel verilerin işlenmesiyle ilgili Avrupa İnsan Hakları Mahkemesi içtihatlarına bakıldığında mahkemenin özel hayata ait beklentilerin zayıf olduğu kamusal alanda kişinin sadece kayda alınmasının özel hayata müdahale olmadığının ifade edildiği,
Kanun’un 5’inci maddesinde sayılan birden çok fıkranın büronun ilgili verileri işlemesini hukuka uygun hale getirdiği, Türk Parası Kıymetini Koruma Hakkında 32 Sayılı Karara İlişkin Tebliğ’in 26’ncı maddesi gereği döviz bürolarında kamera bulundurulmasının zorunlu olduğu, bu durumun kişisel veri işlemenin kanunlarda açıkça öngörülmesi, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması hükmü ile birebir örtüştüğü ayrıca veri sorumlusunun döviz bürosu olduğu ve yapılan işin önemi göz önünde bulundurulduğunda geri dönülmez zararlar olabileceği için bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması hükmü çerçevesinde veri sorumlusunca hukuka aykırı olarak herhangi bir veri kaydı yapılmadığının, tutulmadığının ve saklanmadığının görüleceği,
Kanun’un hangi durumlarda kişisel verilerin aktarımı yapılabileceğini düzenlediği 8’inci maddesi uyarınca Kanun’un 6’ncı maddesinde zikredilen hususlar arasında biyometrik verilerin işlenebileceğine ve aktarılabileceğine de yer verildiği, ayrıca Kanun’un 28’inci maddesinin (2) numaralı fıkrası gereğince suç işlenmesinin önlenmesi veya suç soruşturması için zorunlu olması durumunda bu verilerin aktarılabileceğinin düzenlendiği,
İlgili kişinin hal ve hareketleri bir bütün olarak değerlendirildiğinde suç işlemiş olabileceği kanaatinin oluştuğu, toplumda makul, orta zekalı bir birey tarafından yorumlandığında da bu durumun bu şekilde yorumlanabileceği, bu nedenlerle ilgili kişinin kişisel verilerinin işlenmesinde hukuka aykırı hiçbir usulün izlenmediği, her şeyin usul ve kanuna uygun gerçekleştirildiği, ilgili kişinin bu olayda herhangi bir zararı olmadığı gibi bürodaki veznedarın bir yıllık maaşıyla ödenebilecek bir zararın kapatıldığı, bu durumun ilgili kişinin gönüllü olarak verdiği röportaj kapsamında TV’de yayınlandığı, açıklanan tüm bu nedenlerle ilgili kişinin görüntülerinin hukuka aykırı bir amaç güdülerek veyahut kişilik haklarına zarar verecek biçimde herhangi bir kurum/kuruluşa veya basın/yayın organına verilmediği, tüm kayıtların hukuka uygun şekilde tutulduğu ve işlemlerin bu doğrultuda tesis edildiği

bildirilmiştir.

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 24/11/2022 tarihli ve 2022/1249 sayılı Kararı ile;

Kanun’un 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlandığı,
Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükmünün yer aldığı,
Kanun’un “Kişisel Verilerin Aktarılması” başlıklı 8’inci maddesinde ise “(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. (2) Kişisel veriler; a) 5 inci maddenin ikinci fıkrasında, b) Yeterli önlemler alınmak kaydıyla 6’ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir. (3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” hükmüne yer verildiği

Bu çerçevede;

İlgili kişinin “veri sorumlusunun aydınlatma yükümlülüğünü yerine getirmediği” yönündeki şikâyeti ile ilgili olarak;

• İlgili kişinin görüntü kaydının alınması şeklindeki veri işleme faaliyetinin gerçekleştiği dönemde yürürlükte bulunan Tebliğ’in (Tebliğ No:2018-32/45) amir 26’ncı maddesinin incelenmesinden “Yetkili müesseseler işlem yapılan her bir vezne, para makinesi ile işlem yapan kişileri gösterecek şekilde yeterli sayıda kamera veya görüntü kayıt sistemini çalışır şekilde kurulu bulundurmak zorundadır.” hükmünün yer aldığının görüldüğü, bu itibarla döviz bürolarında kamera bulundurulmasının hukuki bir yükümlülük olduğu, dolayısıyla kamera-video kaydı yapmak suretiyle ilgili kişinin görüntülerinin kaydedilmesinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasında yer alan “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” işleme şartına dayandığı, öte yandan ilgili kişinin kamera kaydı yapıldığına ilişkin aydınlatma yapılmadığı iddiaları hakkında veri sorumlusunun savunması ekinde iletmiş olduğu fotoğrafların incelenmesinden döviz bürosunun muhtelif yerlerinde “Bu iş yeri güvenliğiniz için 7/24 kamera ile izlenmektedir” levhalarının asılı olduğunun görüldüğü ve kamera kaydı yapıldığına ilişkin ilgililerin aydınlatılmasının sağlandığı kanaatinin hasıl olduğu,

İlgili kişinin veri sorumlusunca kamera kaydı neticesinde elde edilen görüntülerinin yerel televizyon kanalına aktarılması şikâyeti ile ilgili olarak;

Kanun’un 8’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın aktarılamayacağının hükme bağlandığı, aynı maddenin (2) numaralı fıkrasında Kanun’un 5’inci maddesinin (2) numaralı fıkrasında belirtilen şartlardan birinin bulunması hâlinde ilgili kişinin kişisel verilerinin açık rızası aranmaksızın aktarılabileceğinin düzenlendiği,
İlgili kişi ile irtibata geçilebilecek isim-adres-telefon vb. bir bilginin bulunmaması ve ilgili kişiye başka türlü ulaşma imkanı bulunmadığı için veri sorumlusunca ilgili kişinin sadece göz çevresinin göründüğü görüntülerin TV kanalına verildiği, ilan verilmeseydi ilgili kişinin veri sorumlusuna ulaşmayacağının anlaşıldığı, bu durumda eksik kalan para bedelinin veznedardan tahsil edileceği ve siciline işleyeceği, asgari ücretle hayatını idame ettiren veznedarın ekonomik anlamda mahvına sebep olacağı, bu yönüyle incelendiği zaman ilgili olayın kanunlarımızda hukuka uygunluk nedeni olarak düzenlenen daha üstün nitelikli kamusal veya özel yarar durumunu oluşturduğu, haber içeriğinin ise ilgili kişiye ulaşmak amacıyla ilan niteliğinde olduğu beyanlarından hareketle somut olayın Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (f) bendinde yer alan ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlemenin zorunlu olması işleme şartı çerçevesinde incelendiği,
Hükmün uygulanabilmesinin iki aşamalı bir değerlendirme gerektirdiği, ilk değerlendirmede veri sorumlusunun meşru menfaatinin varlığının tespit edilmesinin gerektiği, somut olayda veri sorumlusunun, fazla ödeme yapılan ilgili kişinin tespit edilmesi amacıyla ilgili kişiye ait görüntü kayıtlarını üçüncü kişi/kurumlara aktarması suretiyle gerçekleşen eylemde menfaatinin bulunduğunu “1- İlgili kişiye yapılan fazla-haksız ödemenin iadesinin sağlanması 2- İlgili kişiye ulaşılamaması durumunda eksik kalan para bedelinin veznedardan tahsil edilmesi ve siciline işlemesi sebebiyle veznedarın ekonomik anlamda mahvına sebep olması” şeklinde izah ettiği,
Söz konusu menfaatler açısından bir değerlendirme yapıldığında; fiilin kasten yapılmış olabileceği şüphesinin mevcut olduğu da göz önünde bulundurulduğunda suç soruşturmasına neden olabileceği için veri sorumlusunca makul ve normal şartlarda beklenen hareket tarzının adli mercilere başvuruda bulunmak şeklinde olduğunun düşünüldüğü, bununla birlikte döviz bozdurma işlemi sırasında müşterilerin adları ve soyadlarıyla işlem yapılmadığından ad-soyad-iletişim bilgisi gibi ilgili kişiye ait herhangi bir kişisel veriye sahip olmadığı ve yapılan fazla/haksız ödemenin iadesinin sağlanmasında tek yol olarak görüldüğü dikkate alındığında söz konusu aktarımın kişinin kendisinin geri dönüşünün sağlanabilmesi adına yararlı olacağı düşüncesiyle ilgili kişiye ait göz çevresinin ve siluetinin göründüğü görüntülerin, kendinin tanıyabileceği şekilde TV kanalına verilmesinde meşru olarak değerlendirilebilecek bir menfaatin varlığından söz edilebileceği,
Bununla birlikte veri sorumlusunun elde edeceği faydanın; meşru, ilgili kişinin temel hak ve özgürlüğü ile yarışabilecek düzeyde etkin, belirli ve halihazırda mevcut olan bir menfaatine ilişkin olması gerektiği, bu kapsamda menfaatin ilgili kişinin temel hak ve özgürlüklerine zarar verip vermeyeceği yönünde yapılan ikinci değerlendirmede temel hak ve özgürlüklere konu olan kişisel verilerin korunması hakkına, ilgili kişinin şikâyetine ve aktarıma konu olan kamera kaydı görüntüleri incelendiğinde, ilgili kişinin maske takmasından dolayı gözünün, göz çevresinin ve siluetinin görünür olduğu görüntülerin, bir gerçek kişiyle ilişkilendirildiği ve ilgili kişiyi diğer bireylerden ayırmaya ve niteliklerini ortaya koymaya elverişli olduğu için kuşkusuz kişisel veri niteliğini haiz olduğu, buna karşın ilgili kişinin yalnızca göz, göz çevresinin ve siluetinin görünür olduğu görüntülerle ilgili kişiyi tanımlamanın mümkün olmadığı, bu verilerin tek başına ilgili kişiyi belirlemeye imkân sağlayacak nitelikte de olmadığı, kişileri doğrudan değil ama dolaylı yoldan belirlenebilir kılan veriler açısından da kişisel veriden bahsedilmekle birlikte bunların ilgili kişilerin temel hak ve hürriyetleri açısından yaratacağı risklerin daha az olduğundan söz edilebileceği, somut görüntülerin değerlendirilmesinden de ilgili kişinin yalnızca göz, göz çevresi ve siluetinin yer aldığı görüntülerin tek başına ilgili kişiyi belirlemeye imkân sağlayacak nitelikte olmadığından hareketle yukarıda belirtilen menfaatin gerçekleştirilmesinin bahsi geçen görüntülerin aktarılması karşısında yarışabilir nitelikte olduğu,
Bu itibarla veri sorumlusu tarafından ilgili kişiye yapılan fazla-haksız ödemenin iadesinin sağlanabilmesini ve kaybın önlenebilmesini teminen ilgili kişinin göz çevresinin ve siluetinin görüntülendiği kamera kaydı görüntülerinin ilan amacıyla yerel haber kanalına aktarılmasının, ilgili kişinin temel hak ve hürriyetleri ile yarışabilir nitelikte bir yarar sağladığı ve kişisel veri işlenmeksizin başkaca bir yol ve yöntemle bu yararın elde edilmesinin mümkün olmayacağı,
Bu çerçevede, meşru menfaatin ortaya koyulmasına ilişkin olarak yukarıda yer verilen kriterler esas alınarak yapılan değerlendirme sonucu; veri sorumlusu tarafından ilgili kişiye yapılan fazla-haksız ödemenin iadesini sağlamak ve ekonomik kaybın önlenmesini teminen ilgili kişinin göz çevresinin ve siluetinin görüntülendiği kamera kaydı görüntülerini ilan amacıyla yerel haber kanalına aktarmasının Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (f) bendine göre, “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” kapsamında olduğu,
Öte yandan paranın iadesinin yapıldığına dair düzeltme niteliğinde haber yapıldığı, yayın esnasında ilgili kişinin parayı veznedara teslim ettiği, akabinde açıklamalarda bulunduğu da dikkate alındığında söz konusu şikâyette bulunmada hukuki bir yarar kalmadığı

değerlendirmelerinden hareketle;

Döviz bürolarında kamera bulundurulmasının hukuki bir yükümlülük olduğu bu itibarla kamera-video kaydı yapmak suretiyle ilgili kişinin görüntülerinin kaydedilmesinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (ç) bendi kapsamında veri sorumlusunun hukuki yükümlülüğünün yerine getirilmesi işleme şartına dayandığı, öte yandan ilgili kişinin kamera kaydı yapıldığına ilişkin aydınlatma yapılmadığı iddialarına ilişkin olarak veri sorumlusunun savunması ve eklerinde iletmiş olduğu fotoğrafların incelenmesinden döviz bürosunun muhtelif yerlerinde “Bu iş yeri güvenliğiniz için 7/24 kamera ile izlenmektedir” levhalarının asılı olduğu görüldüğünden, kamera kaydı yapıldığına ilişkin ilgililerin aydınlatılmasının sağlandığı kanaati hasıl olmuş olup ilgili kişinin söz konusu şikâyeti hakkında Kanun kapsamında yapılacak bir işlem olmadığına,
Veri sorumlusu tarafından ilgili kişiye yapılan fazla-haksız ödemenin iadesinin sağlanabilmesini ve ekonomik kaybın önlenmesini teminen ilgili kişinin göz çevresinin ve siluetinin görüntülendiği kamera kaydı görüntülerinin ilan amacıyla yerel haber kanalına aktarılmasının Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (f) bendine göre, “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” işleme şartı kapsamında olduğundan hareketle bu hususta Kanun kapsamında yapılacak bir işlem olmadığına

karar verilmiştir.

02.Eylül.2022: “İlgili kişinin açık rızası alınmadan pazarlama amacıyla kısa mesaj gönderilmesi suretiyle kişisel verilerinin işlenmesi”

Karar Tarihi	:	02/09/2022
Karar No	:	2022/902
Konu Özeti	:	İlgili kişinin açık rızası alınmadan pazarlama amacıyla kısa mesaj gönderilmesi suretiyle kişisel verilerinin işlenmesi

Kuruma intikal eden şikâyette özetle; veri sorumlusu şirket ile herhangi bir ticari faaliyette bulunulmamasına ve bu kapsamda iletişim onayı verilmemesine rağmen, aydınlatma yükümlülüğü yerine getirilmeden ve açık rızası alınmadan ilgili kişiye pazarlama amacıyla mesaj gönderildiği, veri sorumlusuna yapılan başvurunun cevabında, ilgili kişiden yanlışlık için özür dilenerek ilgili kişi tarafından pazar yerlerinden alışveriş yapılmış olması nedeniyle sistemin, cari kodunu sabit müşterileri gibi tanımlaması nedeniyle ilgili kişiye kısa mesaj gönderildiğinin ve başvuru akabinde gerekli düzeltmelerin yapıldığının belirtildiği ifade edilerek veri sorumlusu hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabî yazıda özetle;

İlgili kişinin pazar yeri olarak hareket eden bir satış platformundaki veri sorumlusunun mağazasından alışveriş yaptığı ve kendilerindeki bilgilerin kaynağının bu alışverişe istinaden kesilen faturadan kaynaklı olduğu,
Veri sorumlusu şirkete ait olan firmalardan birinin internet sitesinde kendi rızasıyla e-posta ya da kısa mesaj alabilmek için onay veren müşterilerine/üyelerine gitmesi gereken mesajın sehven veri sorumlusunun satış platformundaki mağazalarından alışveriş yapan müşterilerine gönderilmiş olduğu, yapılan yanlışın fark edilmesi üzerine iptal işleminin başlatıldığı fakat bazı müşterilere kısa mesaj gitmesine engel olunamadığı, gönderilen mesajların bazılarının iletildiği bazılarının iletilemediği,
İlgili yazılım firması ile görüşüldüğü ve hatalı gönderim yapılsa dahi kısa mesaj ve e-posta gönderilmemesi için gerekli önlemlerin alındığı

ifade edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 02/09/2022 tarih ve 2022/902 sayılı sayılı Kararı ile;

Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlandığı,

Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükmünün yer aldığı,

Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12’nci maddesinin (1) numaralı fıkrasında “Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” düzenlemesinin, (5) numaralı fıkrasında ise “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” düzenlemesine yer verildiği,
Somut olayda veri sorumlusu firmaya ait internet sitesinden SMS/e-posta alabilmek için onay veren müşterilere gönderilmesi gereken mesajın sehven veri sorumlusunun satış platformundaki mağazalarından alışveriş yapan müşterilere gönderilmiş olduğu, yapılan yanlışın fark edilmesi ile iptal işlemi başlatılmışsa da bazı müşterilere kısa mesaj iletilmesine engel olunamadığı dikkate alındığında; veri sorumlusunun Kanun’un 5’inci maddesinde yer alan işleme şartlarından herhangi birine dayanmaksızın ilgili kişinin kişisel verisini işlediği, öte yandan şikâyet konusunun veri ihlal niteliği arz ettiği ancak bu hususta veri sorumlusunun Kanun’un 12’nci maddesinin (5) numaralı fıkrası kapsamında Kuruma bir bildirim yapmadığı

değerlendirmelerinden hareketle;

Veri sorumlusu tarafından verilen yanıtta firmalarına ait olan internet sitesinde kendi rızasıyla e-posta/SMS alabilmek için onay veren müşterilerine/üyelerine iletilmesi gereken mesajın sehven satış platformundaki mağazalarından alışveriş yapan müşterilerine gönderilmiş olduğu, yapılan yanlışın fark edilmesi üzerine iptal işleminin başlatıldığı fakat bazı müşterilere kısa mesaj gitmesine engel olunamadığının beyan edildiği dikkate alındığında veri sorumlusunun Kanun’un 5’inci maddesinde yer alan işleme şartlarından herhangi birine dayanmaksızın ilgili kişinin kişisel verisi niteliğindeki telefon numarasını işlediği, bu çerçevede Kanun’un 12’nci maddesinin (1) numaralı fıkrası kapsamında kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı, öte yandan şikâyet konusunun veri ihlal niteliği arz ettiği ancak veri sorumlusunun gerçekleşen veri ihlali ile ilgili Kanun’un 12’nci maddesinin (5) numaralı fıkrası kapsamında Kurula bir bildirim yapmadığı kanaatine varıldığından Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca veri sorumlusu hakkında 30.000 TL idari para cezası uygulanmasına,
Bundan sonraki süreçlerde meydana gelebilecek veri ihlallerinde Kanun’un 12’nci maddesinin (5) numaralı fıkrası kapsamında ilgili kişilere ve Kurula bilgi verilmesi gerektiği hususunun veri sorumlusuna hatırlatılmasına

karar verilmiştir.

02.Eylül.2022: “Veri sorumlusu eski işveren tarafından ilgili kişinin kişisel verilerinin yer aldığı adli yazışma bilgilerinin kardeşi ile paylaşılması”

Karar Tarihi	:	02/09/2022
Karar No	:	2022/896
Konu Özeti	:	Veri sorumlusu eski işveren tarafından ilgili kişinin kişisel verilerinin yer aldığı adli yazışma bilgilerinin kardeşi ile paylaşılması

Kuruma intikal eden şikâyette özetle; ilgili kişi ile veri sorumlusu arasındaki iş akdinin haklı nedenle feshedildiği tarihe kadar geçen sürede bir iş ilişkisinin mevcut olduğu, bu doğrultuda veri sorumlusu tarafından ilgili kişiye ait kimlik, iletişim, özlük, mesleki deneyim, sağlık verileri gibi birtakım kişisel verilerin işlendiği, ancak bu kişisel veri işleme faaliyetlerine ilişkin ilgili kişiye herhangi bir aydınlatma yapılmadığı, ayrıca birtakım kişisel veriler işlenirken ilgili kişinin açık rızasının alınmadığı, bunların yanı sıra veri sorumlusu işveren tarafından ilgili kişinin adının geçtiği ceza soruşturma dosyasında yer alan adli yazışma bilgilerinin dosya ile herhangi bir bağlantısı olmadığı halde ilgili kişinin kardeşinin e-posta adresine iletildiği, ilgili hususta veri sorumlusuna başvuru yapılmışsa da cevap alınamadığı belirtilerek veri sorumlusu hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabî yazıda özetle;

Veri sorumlusunun işçi-işveren ilişkisi kapsamında tutmuş olduğu özlük dosyasında ilgili kişiye ait kimlik, iletişim, özlük, mesleki deneyim, sağlık verileri gibi kişisel verileri Kanun'un kişisel verilerin işlenme şartlarını düzenleyen 5’inci maddesinin (2) numaralı fıkrasının (a), (c), (ç), (e) ve (f) bentlerine ve İş Kanunu’na dayanarak işlediği,
Yasal yükümlülükler gereği oluşturulan işçi özlük dosyası haricinde ilgili kişinin açık rızasına bağlı olarak herhangi bir verisinin işlenmediği, ilgili kişiye ait özel nitelikli hiçbir kişisel verinin işlenmediği, ilgili kişiye ait kişisel verilerin yurt dışına aktarılmadığı,
İş Kanunu kapsamındaki yasal yükümlülük gereği kendilerinden hangi gerekçeyle evrak talep edildiğinin işçilere bildirilmesiyle sözlü olarak aydınlatma yükümlülüğünün yerine getirildiği, bununla birlikte yazılı bir aydınlatma metninin bulunmadığı,
İlgili kişinin başvurusuna iş yoğunluğu sebebiyle yasal süresi içinde cevap verilemediği,
İlgili kişinin diğer birkaç eski çalışan ile birlikte veri sorumlusunun markasına ait yazılım programlarını başka şirketlere sattığı, sahte imzalar atarak şirketin müşterileriyle akdettiği sözleşmeleri şirket yönetiminin bilgisi, onayı ve vekaleti olmaksızın başka bir paravan şirkete devrettiği, markanın çevrimiçi eğitim portallarını izinsiz olarak aktardığı ve bu yolla haksız kazanç elde ettiği, bu kapsamda ilgili kişinin iş sözleşmesindeki ticari sır saklama, şirket yazılımlarını üçüncü kişilerle paylaşmama, gizlilik anlaşmalarına aykırı davranmama vb. yükümlülüklere aykırı davrandığı,
Veri sorumlusunun bu durumu öğrenir öğrenmez ilgili kişinin iş sözleşmesini haklı sebeple feshettiği, ilgili kişinin ofisten ayrılırken şirketin kendisine tahsis ettiği iş bilgisayarında hem şahsi hem de şirketin sağladığı e-posta hesabının oturumunu açık unuttuğu, bahse konu hesaplardaki yazışmalar incelendiğinde ilgili kişinin şirketin yazılım ve ticari sırlarını çalarken şirket uzantılı e-posta adresinden kendi şahsi e-posta hesaplarına yönlendirmeler yaptığının anlaşıldığı ve akabinde ilgili kişi hakkında Cumhuriyet Başsavcılığına suç duyurusunda bulunulduğu

ifade edilmiştir.

Veri sorumlusu tarafından, ilgili kişi hakkında Cumhuriyet Başsavcılığına suç duyurusunda bulunmasının nedenleri açıklanmış olmakla beraber bu suç duyurusuna ilişkin bilgilerin ilgili kişinin kardeşine iletilip iletilmediği, iletildiyse bunun hukuki gerekçesinin ne olduğu sorusuna herhangi bir yanıt verilmediğinden veri sorumlusunu muhatap ikinci bir yazı ile söz konusu hususlarda bilgi talep edilmiş ancak veri sorumlusu tarafından bu yazıya cevap niteliğinde herhangi bir bilgi ya da belge Kuruma iletilmemiştir.

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 02/09/2022 tarih ve 2022/896 sayılı sayılı Kararı ile;

6698 sayılı Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlandığı,
Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin “(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: a) Kanunlarda açıkça öngörülmesi. b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hükmünü haiz olduğu,
Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12’nci maddesinin (1) numaralı fıkrasında “Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” düzenlemesinin, (5) numaralı fıkrasında ise “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” düzenlemesinin yer aldığı,

Bu çerçevede;

Veri sorumlusu firma tarafından ilgili kişiye ait kimlik, iletişim, özlük, mesleki deneyim, sağlık verileri gibi birtakım kişisel verilerin işlendiği ancak ilgili kişinin açık rızasının alınmadığı iddiasına ilişkin olarak;

Veri sorumlusu ile ilgili kişi arasında iş sözleşmesinin kurulmuş olduğu, veri sorumlusunun ilgili kişiye ait kimlik bilgilerini 4857 sayılı İş Kanunu’nun “İşçi Özlük Dosyası” başlıklı 75’inci maddesinin 1’inci fıkrasında yer alan “İşveren çalıştırdığı her işçi için bir özlük dosyası düzenler. İşveren bu dosyada, işçinin kimlik bilgilerinin yanında, bu Kanun ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları istendiği zaman yetkili memur ve mercilere göstermek zorundadır. İşveren, işçi hakkında edindiği bilgileri dürüstlük kuralları ve hukuka uygun olarak kullanmak ve gizli kalmasında işçinin haklı çıkarı bulunan bilgileri açıklamamakla yükümlüdür” düzenlemesi uyarınca 6698 sayılı Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (a) bendinde düzenlenmiş bulunan “kanunlarda açıkça öngörülme” şartına dayalı olarak; özlük dosyasında bulundurulması gereken şikayete konu diğer kişisel verileri ise anılan maddenin (ç) bendinde yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartına dayalı olarak işlediği,

Kişisel veri işleme faaliyeti çerçevesinde veri sorumlusunun aydınlatma yükümlülüğünü yerine getirmediği iddiasına ilişkin olarak;

Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in 5’inci maddesi uyarınca aydınlatma yükümlülüğünün, veri sorumlusu ya da yetkilendirdiği kişi tarafından ilgili kişinin açık rızasına veya Kanun’daki diğer işleme şartlarına bağlı olarak kişisel veri işlenen her durumda sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortam kullanılmak suretiyle yerine getirilmesi gerektiği ve ispatının veri sorumlusuna ait bir yükümlülük olduğu, veri sorumlusunun aydınlatma yükümlülüğünün yerine getirildiğine ilişkin Kuruma tevsik edici herhangi bir belge göndermediği, arama motorları üzerinden yapılan araştırmada veri sorumlusuna ait internet sitesi incelendiğinde aydınlatma metnine yer verildiğinin görüntülendiği,

Veri sorumlusunun, ilgili kişinin kardeşinin e-posta adresine, ilgili kişinin adının geçtiği Savcılık şikayet dilekçesini ilettiği iddiasına ilişkin olarak;

İlgili kişinin adının geçtiği ceza soruşturma dosyasında yer alan adli yazışma bilgilerinin ilgili kişinin kardeşinin e-posta adresine hiçbir bağlantısı bulunmadığı halde iletildiği iddiası incelendiğinde; veri sorumlusundan ilgili kişinin kardeşine iletildiği belirtilen e-postaların içeriğinde “Bu doküman ekindeki yazışma ve kanıtlarla 500 sayfalık bir dosya ve kitapçık haline de getirildi, dava süreçleri yavaş işleyebilir, ama bu belgeler sizin eve, ana baba evlerinize, çalıştığın şirkete özel olarak teslim ediliyor, adresleri ancak bulabildik.” ifadesine yer verildiği, aynı e-postanın ekinde bir hukuk bürosu tarafından Cumhuriyet Başsavcılığına iletilen şikayet dilekçesine yer verildiği, bahse konu şikayet dilekçesinin şüpheliler kısmında sadece ilgili kişiye değil, diğer pek çok gerçek ve tüzel kişiye ilişkin bilgilere de yer verildiğinin anlaşıldığı,
Bununla birlikte veri sorumlusunun ilgili kişiye ait Savcılık şikayet dilekçesini hangi hukuki gerekçe ile ilgili kişinin kardeşi ile paylaştığı iddiasına cevap vermediği,
İlgili kişinin kardeşinin e-posta adresine veri sorumlusu tarafından iletilen dosyalar incelendiğinde iletilerde dört farklı gerçek kişinin kişisel verilerinin de hukuka aykırı şekilde paylaşıldığının görüldüğü, paylaşma işleminin Kanun’un 5’inci maddesinde yer alan kişisel verilerin işlenmesi şartlarından herhangi birine dayanmadığı, bu kapsamda, veri sorumlusunun Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı hareket ettiği,

İlgili kişi tarafından yapılan başvurunun, veri sorumlusu tarafından cevapsız bırakıldığı iddiasına ilişkin olarak;

Kanun’un “Veri sorumlusuna başvuru” başlıklı 13’üncü maddesinin (1) numaralı fıkrasında “İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir.” düzenlemesi, (2) numaralı fıkrasında “Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır.” ve (3) numaralı fıkrasında “Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir.” düzenlemesi ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in (Tebliğ), “Başvuruya cevap” başlıklı 6’ncı maddesinin (1) numaralı fıkrasında “Veri sorumlusu bu Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlüdür.” düzenlemesi, 5’inci fıkrasında ise “Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır.” düzenlemesine karşılık veri sorumlusunun Kanun’a ve Tebliğ’e aykırı davranarak ilgili kişinin başvurusuna yasal süreler içerisinde cevap vermediği

değerlendirmelerinden hareketle;

Veri sorumlusu ile ilgili kişi arasındaki iş sözleşmesi kapsamında ilgili kişiye ilişkin kimlik bilgilerinin 6698 sayılı Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (a) bendinde düzenlenmiş bulunan “kanunlarda açıkça öngörülme” şartına dayalı olarak; özlük dosyasında bulundurulması gereken şikayete konu diğer kişisel veri içeren belgelerin ise anılan maddenin (ç) bendinde yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartına dayalı olarak işlendiği değerlendirildiğinden kişisel veri işleme faaliyeti açısından veri sorumlusu hakkında Kanun kapsamında herhangi bir işlem tesis edilmesine yer olmadığına,
Veri sorumlusu tarafından ilgili kişiye ve başka gerçek kişilere ait kişisel verileri barındıran Savcılık şikayet dilekçesinin olayla herhangi bir ilgisi olmadığı anlaşılan ve ilgili kişinin kardeşi olduğu belirtilen üçüncü bir kişiye e-posta yoluyla iletilmesi işleminin, Kanun’un 5’inci maddesinde yer alan kişisel verilerin işlenmesi şartlarından herhangi birine dayanmadığı ve bu kapsamda veri sorumlusunun Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı hareket ettiği değerlendirildiğinden veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 150.000 TL idari para cezası uygulanmasına,
İlgili kişinin kişisel verilerinin işlenmesine ilişkin aydınlatılmadığını iddia ettiği, veri sorumlusunun kişisel veri işlenmesine ilişkin sözlü olarak aydınlatma yapıldığını beyan ettiği ancak bu konuda tevsik edici bir belgenin Kuruma iletilmemiş olduğu, bununla birlikte Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin 5’inci maddesinin (1) numaralı fıkrasının (e) bendi uyarınca aydınlatma yükümlülüğünün yerine getirilip getirilmediğinin ispatının veri sorumlusuna ait bulunduğu hususları dikkate alındığında, veri sorumlusunun çalışanlara ilişkin kişisel veri içeren bilgi ve belgeleri özlük dosyasında muhafaza etmek suretiyle işlemesi hakkında ilgili kişileri aydınlatması gerektiği ve bu doğrultuda aydınlatma yükümlülüğünün Tebliğ’in ilgili hükümleri uyarınca yerine getirilmesinde gerekli dikkat ve özeni göstermesi hususunun veri sorumlusuna hatırlatılmasına,
Veri sorumlusunun Kanun ve Tebliğ’den doğan “ilgili kişinin başvurusunun cevaplandırılması” yükümlülüğünü yerine getirmediği anlaşıldığından, veri sorumlusunun ilgili kişilerin yaptığı başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak ve Kanun ile Tebliğ’de öngörülen süreler içerisinde cevaplandırması gerektiği konusunda uyarılmasına; ayrıca ilgili kişinin taleplerinin yanıtsız bırakıldığı dikkate alındığında veri sorumlusunun, ilgili kişiye başvurusunda talep ettiği hususlara ilişkin açıklayıcı ve detaylı bir şekilde cevap vermesi ve ilgili kişiye verilen cevaba ve cevabın ilgili kişi tarafından tebellüğ edilip edilmediğine ilişkin tevsik edici belgeyle birlikte Kurula bilgi vermesi gerektiği yönünde talimatlandırılmasına,
Öte yandan veri sorumlusunun Kurumun ikinci yazısına da cevap vermediği dikkate alındığında bundan sonraki süreçte Kurumca istenilen bilgi ve belge taleplerine zamanında cevap verilmesi hususunda uyarılmasına,
Şikâyet konusunun veri ihlali niteliği arz ettiği, bu çerçevede bundan sonraki süreçlerde meydana gelebilecek veri ihlallerinde Kanun’un 12’nci maddesinin (5) numaralı fıkrası kapsamında ilgili kişilere ve Kurula bilgi verilmesi gerektiği hususunun veri sorumlusuna hatırlatılmasına

karar verilmiştir.

10.11.2022: “İlgili kişinin Resmî Gazete’nin internet sayfasından erişilebilen bir ilana ilişkin olarak arama motorunda adı ve soy adı ile yapılan aramada ulaşılan sonuçların indeksten çıkarılması talebi”

Karar Tarihi	:	10/11/2022
Karar No	:	2022/1201
Konu Özeti	:	İlgili kişinin Resmî Gazete’nin internet sayfasından erişilebilen bir ilana ilişkin olarak bir arama motorunda adı ve soy adı ile yaptığı aramada ulaşılan sonuçların indeksten çıkarılması talebi

Kuruma yapılan şikâyette özetle; ilgili kişinin ismi ile veri sorumlusu arama motoru üzerinden arama yapıldığında https://www.resmigazete.gov.tr/arsiv/*****.pdf sayfasına ulaşıldığı, ilgili kişinin ismiyle yapılan arama sonucunda çıkan sayfanın “unutulma hakkı” kapsamında kaldırılmasının veri sorumlusundan talep edildiği, ancak taraflarına verilen yanıtta “içeriğin engellenmemesine” karar verildiğinin bildirildiği hususları beyan edilerek ilgili kişinin ismiyle veri sorumlusu arama motoru üzerinde arama yapıldığında ilgili adresin çıkmamasının sağlanması için gereğinin yapılması talep edilmiştir.

İlgili kişinin şikâyetine istinaden başlatılan inceleme çerçevesinde veri sorumlusunun savunması istenilmiş olup, verilen cevapta özetle;

https://www.resmigazete.gov.tr/arsiv/*****.pdf uzantılı URL adresine ilişkin olarak ilgili kişinin öncelikle veri sorumlusu tarafından unutulma hakkına dayalı taleplerini iletmek isteyen ilgili kişiler için sağlanan etkili bir kanal olan çevrimiçi form aracılığıyla başvurduğu ve talebinin kayıt altına alındığı,
Veri sorumlusu tarafından ilgili kişinin talebinin süresi içinde ve Kişisel Verileri Koruma Kurulunun (Kurul) 23/06/2020 tarihli ve 2020/481 sayılı kararında öngörülen kriterler kapsamında değerlendirildiği, ilgili kişinin adının arama sonuçlarından kaldırılmasındaki mahremiyet menfaati ile halkın bilgiye erişim hakkı dahil ifade özgürlüğü arasında denge testi yapıldığı, eldeki olaya ilişkin tüm koşulları değerlendirdikten sonra veri sorumlusunun menfaat dengesinin arama sonuçlarında kalmasından yana olduğu sonucuna vardığı ve değerlendirmenin sonucuna ilişkin olarak ilgili kişiyi bilgilendirdiği,
Veri sorumlusunun üçüncü kişi internet sayfalarında sunulan beyanların doğruluğunu veya yanlışlığını değerlendirmeye uygun bir konumda olmadığı, dolayısıyla kamu menfaati için önem arz eden ancak halihazırda yanlış veya hakaretamiz olduğu iddia edilen ifadelerin ele alınması için uygun yöntemin mahkemelerin delilleri değerlendirmesi ve maddi gerçeklikleri tespit etmesi olduğu, unutulma hakkı konusunda rehber olarak Kurulun 23/06/2020 tarihli ve 2020/481 sayılı kararındaki kriterlerin dikkate alındığı, bununla birlikte ilgili kişinin başvurusuna konu olan URL adresinin bir Resmî Gazete kaydı olduğu ve bir mahkumiyet kararıyla değil ilgili kişinin lehine verilen bir beraat kararıyla ilgili olduğu,
İlgili kişinin başvurusuna konu olan https://www.resmigazete.gov.tr/arsiv/*****.pdf uzantılı URL adresinin birden çok ilan içeren **/**/2000 tarihli Resmî Gazete’ye ilişkin olduğu, Resmî Gazete'nin **. sayfasında ilgili kişinin bazı suçlara istinaden yapılan bir yargılamadan beraat ettiğine dair karara ilişkin bir tebliğin yer aldığı, ayrıca ilgili kişinin ikametgahının ve iş yeri adresinin tespit edilememesi nedeniyle kararın ilgili kişiye tebliğ edilemediğinin ve 7201 sayılı Tebligat Kanunu’nun (Tebligat Kanunu) 28, 29 ve 31’inci maddeleri uyarınca kararın Resmî Gazete'de yayımı tarihinden itibaren 15 gün sonra davalıya tebliğ edilmiş sayılacağının belirtildiği, bu kapsamda söz konusu içeriğin Resmî Gazete'de yayınlanan ve herkesin erişimine açık bir ilan olduğu, Resmî Gazete’nin mevcut durumda olduğu üzere resmî tebligat veya kişilerin yokluğunda bir bildirim aracı olduğu gibi belirli durumlarda hukukun uygulanmasının yanı sıra arşiv ve bilgi almanın temel bir aracı olduğu,
Devlet kayıtlarının devletin kamu yararına olduğunu düşündüğü konular hakkında toplumu bilgilendirmekte çok önemli bir rol oynadığı ve devletin bilgilerin arama motorları aracılığıyla halk tarafından erişilebilir olması gerektiğine dair kararının kendi değerlendirmelerinde güçlü bir faktör olduğu, söz konusu URL adresinin bir kamu kurumu tarafından hukuki düzenlemeler kapsamında başlıca görevi kamusal bilgi alınması olan bir internet sitesinde kamuya açıklanmış ve arama motorlarında erişilebilir kılınmaya devam eden verilere ilişkin olduğu, söz konusu içeriğin kanun hükmü sebebiyle var olan resmî bir kayıt olduğu ve açıklanacağı üzere kamu kurumu kaynaklarından bilgi alma hakkının temel bir hak olduğu,
İçeriğin ilgili kanunların emrettiği şekilde Resmî Gazete'de yayınlanan bir mahkeme kararı ilanı olduğu dikkate alındığında veri sorumlusunun aksi yönde bir eyleminin hukuk ve uygulaması açısından elzem bilgileri edinmek isteyebilecek çok sayıda kişinin Anayasa'da düzenlenen temel haklarının ihlali sayılabileceğinin değerlendirildiği,
Ayrıca kararın bir beraat kararı olduğunun içerikte açıkça belirtildiği ve ortalama bir okuyucunun söz konusu suçları ilgili kişiyle ilişkilendirmeyeceği, hatta herhangi bir yerde ilgili kişiye söz konusu suçları işlediğine dair iddiaların yöneltilmesi halinde resmî kayıtların bu tip iddialara karşı kesin kayıt niteliğinde olacağı, ilanın dayanağı Tebligat Kanunu olduğundan bu bilginin işlenmesinin açıkça kanun tarafından öngörüldüğü ve işleme faaliyetinin aynı zamanda Kişisel Verilerin Korunması Kanunu’nun 28’inci maddesindeki muafiyetlerden “kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi” kapsamında değerlendirilebileceği

açıklamalarına yer verilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde, Kurulun 10/11/2022 tarihli ve 2022/1201 sayılı kararı ile;

6698 sayılı Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlandığı,
Kanun’un 5’inci maddesinin kişisel verilerin işlenme şartlarını düzenlediği, maddenin (1) numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin, (2) numaralı fıkrasında ise, kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için veri işlemenin zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaati için veri işlenmesinin zorunlu olması hallerinde ilgili kişinin açık rızası olmaksızın kişisel verilerin işlenmesinin mümkün olduğunun hükme bağlandığı,
6698 sayılı Kanun’un “Şikâyet üzerine veya resen incelemenin usul ve esasları” başlıklı 15’inci maddesinin (5) numaralı fıkrasının ise “Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.” şeklinde olduğu,
Bu çerçevede, internette yer alan sayfalardaki kişisel veri barındıran içerikleri belirli bir sistematiğe göre indeksleyerek arama sonuçlarında listelemesi suretiyle gerçekleştirilen işlemlerin “kişisel veri işleme faaliyeti” olduğu, internet sitelerinden topladığı verilerin işlenmesinin amaç ve vasıtalarını belirlediği dikkate alındığında arama motoru işleticisi şirketin “veri sorumlusu” sıfatını haiz olduğu, somut olayda işlenen kişisel verilerin ise ilgili kişinin adı soyadı ile yapılan arama sonucunda erişilen ad-soyad, anne-baba adı, doğum tarihi, ikametgah adresi ve beraate ilişkin bilgiler olduğu,
İlgili kişinin başvurusunda yer alan talep konusunun “İlgili kişinin adı ile arama motoru üzerinden yapılan aramada https://www.resmigazete.gov.tr/arsiv/*****.pdf uzantılı URL adresine ilişkin olarak ulaşılan sonucun arama motoru tarafından indeksten çıkarılması” yönünde olduğu,
Tebligat Kanunu’nun “İlanen Tebligat” başlıklı 28’inci maddesinin “Adresi meçhul olanlara tebligat ilanen yapılır…” hükmünü, “İlan şekli” başlıklı 29’uncu maddesinin ise “İlan suretiyle tebliğ, tebliği çıkartacak merciin mucip sebep beyaniyle vereceği karar üzerine aşağıdaki şekilde yapılır. 1. İlan alakalının ıttılaına en emin bir şekilde vasıl olacağı umulan ve varsa (…) (1) tebliği çıkaran merciin bulunduğu yerde intişar eden birer gazetede ve ayrıca elektronik ortamda yapılır. 2. Tebliğ olunacak evrak ve ilan sureti, tebliği çıkaran merciin herkesin kolayca görebileceği bir yerine de asılır. Merci, icabına göre ikinci defa ilan yapılmasına karar verebilir. İki ilan arasındaki müddet bir haftadan aşağı olamaz. Gerekiyorsa ikinci ilan, yabancı memleket gazeteleriyle de yaptırılabilir.” hükmünü haiz olduğu,
Tebligat Kanunu’nun “İlanın ihtiva edeceği kayıtlar” başlıklı 30’uncu maddesinin “İlanda, alakalıların ad ve soyadları, işleri, ikametgâh veya mesken yahut iş yerleri, tebliğ olunacak evrak muhteviyatının hulasası, tebliğin anlaşılabilecek şekilde mevzuu, sebebi, ilanın hangi merciden verildiği, ilan daveti tazammun ediyorsa nerede ve ne için, hangi gün ve saatte hazır bulunulacağı yazılmak lazımdır.” ifadelerini, “İlanen tebligatta tebliğ tarihi” başlıklı 31’inci maddesinin ise “İlanen tebliğ, son ilan tarihinden itibaren yedi gün sonra yapılmış sayılır. İlanen tebliğe karar veren merci, icabına göre daha uzun bir müddet tayin edebilir. Ancak, bu süre 15 günü geçemez.” ifadelerini içerdiği,
Öte yandan, “Kişilerin Ad ve Soyadı ile Arama Motorları Üzerinden Yapılan Aramalarda Çıkan Sonuçların İndeksten Çıkarılmasına Yönelik Talepler” hakkında Kurul tarafından verilmiş olan 23/06/2020 tarihli ve 2020/481 sayılı kararda ile “kişilerin ad ve soyadı ile arama motorları üzerinden yapılan aramalarda çıkan sonuçların indeksten çıkarılmasına ilişkin değerlendirmede dikkate alınacak ve her somut olay üzerinde incelenecek kriterlerin” belirlendiği ve söz konusu kriterlerin “ilgili kişinin kamusal yaşamda önemli bir rol oynaması, arama sonuçlarının öznesinin çocuk olması, bilginin içeriğinin doğruluğu, bilginin kişinin çalışma hayatı ile ilgisi, bilginin ilgili kişi hakkında hakaret, onur kırıcı, iftira niteliğine sahip olması, bilginin özel nitelikli kişisel veri niteliği taşıması, bilginin güncelliği, bilginin kişi hakkında önyargıya sebep olması, bilginin kişi açısından risk doğurması, bilginin kişinin kendisi tarafından yayımlanma durumu, içeriğin gazetecilik faaliyeti kapsamında işlenen verileri kapsaması, bilgilerin yayınlanmasında yasal zorunluluk olması, bilginin ceza gerektiren bir suçla ilgili olması” başlıkları ile belirlendiği, bu kapsamda somut olaya ilişkin şikâyetin söz konusu kriterler çerçevesinde değerlendirilmesine ihtiyaç duyulduğu,
İlgili kişinin şikâyetinde yer alan https://www.resmigazete.gov.tr/arsiv/*****.pdf uzantılı URL adresinde ilgili kişiye ait açık kimlik ve hüküm özeti, beraat ve ilanen tebligat bilgilerinin bulunduğu,
Somut olayın arama motoru üzerinden yapılan aramada çıkan sonuçların indeksten çıkarılmasına ilişkin olarak Kurulun 23/06/2020 tarihli ve 2020/481 sayılı kararı ile belirlenen kriterler çerçevesinde incelenmesi neticesinde; ilgili kişinin bir şirketin yönetim kurulu üyesi ve başkanı olduğu, bu kapsamda söz konusu içeriğin ilgili kişinin iş yaşamına ilişkin olmadığı, ayrıca içerikte yer alan verilerin işlenmesindeki amacın ilgili içeriğin kamu bilgisine sunulması değil ilgili kişiye tebliğinin sağlanması olduğu göz önünde bulundurulduğunda yayınlanmasında kamu yararının bulunmadığı, arama sonuçlarının öznesinin çocuk olmadığının açık olduğu, şikâyete konu URL adresinde yer alan Resmî Gazete’nin **/**/2000 ve mahkeme kararının da 1999 tarihli olduğu göz önüne alındığında 20 yıldan fazla sürenin geçmiş olduğu, bu anlamda içeriğin güncelliğini yitirdiği, her ne kadar içerikte yer alan bilgi ilgili kişinin üzerine atılı suçtan mahkeme kararıyla beraat ettiğinin teyidi olsa da ilgili kişi hakkında önyargıya sebep olabileceği, içeriğin ilgili kişinin kendisi tarafından yayınlanmadığı, içeriğin gazetecilik faaliyeti kapsamında işlenen verileri kapsamadığı,
Öte yandan incelemeye konu şikâyet ile benzer olarak unutulma hakkına yönelik talebin yargı mercileri önüne taşındığı ilk davanın konusunun Costeja Gonzales’in arama motoru Google’da adını yazması sonucunda La Vanguardia isimli gazetenin iki farklı tarihli sayfasında çıkan kişinin sosyal güvenlik borçlarını ödeyemediği için mülkünü satmak zorunda kalmasına ilişkin bilgilerin gazete sayfalarından ve Google ile Google İspanya arama sonuçlarından kaldırılmasını ve gizlenmesini talep etmesine ilişkin olduğu, Gonzales’in bu talebini temelde kendisiyle ilgili prosedürün yıllar önce sonuçlandığı ve artık bu haberlerin tamamen yersiz ve ilgisiz olduğu gerekçesine dayandırdığı,
İspanya Veri Koruma Otoritesi tarafından yapılan değerlendirmede; ulusal mevzuat çerçevesinde ilan verilmesinin zorunlu olduğu ve birçok kişinin bu bilgiye ulaşmasında veri sorumlusunun menfaatinin bulunduğu gerekçesi ile La Vanguardia hakkındaki şikâyetin reddedilmesine ama arama motoru işletmecilerinin veri koruma mevzuatına tabi oldukları gerekçe gösterilerek Google tarafından ilgili linklerin kaldırılmasına karar verildiği,
Bunun üzerine Google’ın temyiz yoluna başvurduğu, İspanya Yüksek Ulusal Mahkemesinin de konu hakkında görüş bildirmesi için davayı Avrupa Birliği Adalet Divanı’na (ABAD) taşıdığı,
ABAD’ın 2014 yılında verdiği kararında özetle; arama motorunda yapılan aramada çıkan sonuçlar “geçersiz, eksik, tamamen ilgisiz veya sonradan ilgisiz hale gelmiş” ise arama motorları tarafından internet ortamına yüklenme amacını aşan söz konusu kişisel verilerin ve buna ilişkin sonuç listesinde yer alan bilgilerin silinmesi gerektiğinin ifade edildiği, ayrıca kişinin özel hayatının gizliliği hakkının arama motorunun ekonomik çıkarı ile kamunun bilgiye erişim hakkının üzerinde olduğu değerlendirmesinde bulunulduğu, bu kuralın yalnızca kamunun bilgiyi öğrenmesinde üstün bir yararı var ise uygulanmayacağı, verilerin işleme amacı bakımından yetersiz, ilgisiz olması veya bu amacı aşması, güncellenmemesi ve gereğinden uzun tutulmaması gerekliliği gibi nedenlerle silme talebinde bulunulabileceğinin vurgulandığı, ABAD tarafından unutulma hakkına ilişkin verilen kararın 95/46/EC sayılı Direktif’in ilgili hükümlerine göre verildiği,
İlerleyen süreçte Avrupa Birliği tarafından kişisel verilerin korunması alanında ortaya çıkan ihtiyaçları karşılamak üzere yürürlüğe giren Avrupa Genel Veri Koruma Tüzüğü’nün “Silme hakkı (Unutulma Hakkı)” başlıklı 17’nci maddesinde de unutulma hakkının ayrıca tanımlanmadığı ancak “silme” yükümlülüğü kapsamında değerlendirildiği, anılan düzenlemede bu hakkın kullanımı bakımından veri işleme şartlarının ortadan kalkmış olması gerektiği durumuna atıfta bulunularak hakkın istisnalarına (yasal yükümlülük, kamu yararına gerçekleştirilen bir görevin yerine getirilmesi, halk sağlığı alanındaki kamu yararı, kamu yararına arşivleme, bilimsel veya tarihi araştırma amaçları, istatistiki amaçlar, yasal iddialarda bulunulması, bu iddiaların uygulanması veya savunulması) yer verildiği,

değerlendirmelerinden hareketle;

Şikâyete konu Resmî Gazete sayfasının veri sorumlusu arama motoru üzerinden ilgili kişinin ismi ile ilişkilendirilerek indekslenmesindeki veri işleme faaliyetinin amacının ilgili içeriğin kamu bilgisine sunulması değil ilgili kişiye tebliğin yapılmasının sağlanması olduğu, bununla birlikte Tebligat Kanunu kapsamında ve Resmî Gazete’de belirtildiği üzere söz konusu içeriğin ilan tarihinden itibaren 15 gün sonra tebliğ edilmiş sayılacağı, bu anlamda ilgili kişiye tebliğ amacının gerçekleştiği, bununla birlikte ilgili kişinin bir şirketin yönetim kurulu üyesi ve başkanı olduğu ancak söz konusu içeriğin ilgili kişinin iş yaşamına ilişkin olmadığı, ayrıca içerikte yer alan verilerin işlenmesindeki amacın ilgili içeriğin kamu bilgisine sunulması değil ilgili kişiye tebliğinin sağlanması olduğu dikkate alındığında yayınlanmasında kamu yararı bulunmadığı, arama sonuçlarının öznesinin çocuk olmadığının açık olduğu, şikayete konu URL adresinde yer alan Resmî Gazetenin **/**/2000 ve mahkeme kararının da 1999 tarihli olduğu göz önüne alındığında 20 yıldan fazla süre geçmiş olduğu ve bu anlamda içeriğin güncelliğini yitirdiği, her ne kadar içerikte yer alan bilgi ilgili kişinin üzerine atılı suçtan mahkeme kararıyla beraat ettiğinin teyidi olsa da ilgili kişi hakkında önyargıya sebep olabileceği, içeriğin ilgili kişinin kendisi tarafından yayınlanmadığı, içeriğin gazetecilik faaliyeti kapsamında işlenen verileri içermediği değerlendirildiğinden, ilgili kişinin ad ve soyadıyla yapılan arama sonucunda çıkan https://www.resmigazete.gov.tr/arsiv/*****.pdf URL adresinin ilgili kişinin ad ve soy adıyla ilişkilendirilemeyecek şekilde indeksten çıkarılması hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

01.Eylül.2022: “Bir bankanın müşteri hizmetlerinin aydınlatma yükümlülüğünü yerine getirmeden ve açık rızasını almadan ilgili kişiyi telefonla aramak suretiyle kişisel verilerini işlemesi"

Karar Tarihi	:	01/09/2022
Karar No	:	2022/863
Konu Özeti	:	Bir bankanın müşteri hizmetlerinin aydınlatma yükümlülüğünü yerine getirmeden ve açık rızasını almadan ilgili kişiyi telefonla aramak suretiyle kişisel verilerini işlemesi

Kuruma intikal eden şikâyette özetle; ilgili kişinin başka bir bankada bulunan hesabından veri sorumlusu bankada bulunan üçüncü tarafa ait bir hesaba para gönderdiği, akabinde kendisiyle iletişim kurulmasına ilişkin rıza vermediği ve tarafına herhangi bir aydınlatma yapılmadığı halde veri sorumlusu banka tarafından tanıtım amacıyla aynı gün telefonla arandığı, ilgili hususta veri sorumlusu bankaya başvurduğu, posta gönderi takibinden banka tarafından başvurunun teslim alındığı görüntülenmişse de yasal süresi içerisinde cevap verilmediği belirtilerek veri sorumlusu hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabî yazıda özetle;

Müşterilerin, Kanun kapsamındaki talep ve şikâyetlerini kimlik, tevsik edici belgeler ve talebi içeren dilekçe ile şubelere bizzat elden veya noter kanalıyla, KEP adresine, güvenli elektronik imza, mobil imza ya da bankaya daha önce bildirilen ve sistemlerinde kayıtlı bulunan elektronik posta adresleri kullanılmak suretiyle iletmeleri gerektiği, bu itibarla ilgili kişinin Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in (Tebliğ) 5’inci maddesine uygun olmayan başvurusu ile Kanun’un 14’üncü maddesi kapsamında Kurula şikayet yoluna gitmesinin mümkün olmadığı,
İlgili kişinin başvuru dilekçesinin bankaya tebliğ edilmesi ile birlikte, başvurunun Merkezi Operasyonlar Bölüm Başkanlığı tarafından Bildirim Yönetim Sistemine (BYS) aktarıldığı, ilgili kişinin sistemde kayıtlı olan e-posta adresine “Dilekçenize konu hususlar ilgili birimimize iletilmiş olup, en kısa sürede tarafınıza dönüş gerçekleştirilecektir.” açıklaması ile e-posta gönderildiği,
Müşteri bildiriminin bankaya “posta” kanalı ile geldiği, dolayısıyla müşteri kimlik doğrulaması yapılan kanallar ile başvuru bankaya iletilmediğinden Kanun kapsamında değerlendirilebilmesi için başvurunun iletilmesi gereken kanallar hakkında ilgili kişiye bilgi vermek amacıyla cevabın ilgili kişinin banka sisteminde kayıtlı olan posta adresine iletilerek ilgili bildirimin sonuçlandırıldığı,
İlgili kişinin başvuru dilekçesinde yer alan posta ve e-posta adresinin banka kayıtlarında yer alan adreslerden farklı olduğu, banka kayıtlarında bulunan resmi imza örnekleri ile başvuru dilekçesinde yer alan imzaların da uyuşmadığı görüldüğünden banka cevabının müşterinin sistemde kayıtlı olan adresine gönderildiği, adi posta ile gönderildiğinden cevabın müşteriye ulaşıp ulaşmadığının teyit edilemediği,
Pandemi süreci ile birlikte Bildirim Yönetim Sistemine gelen bildirimlerin geçen yıla oranla 3 kat arttığı, bildirimin açıldığı tarih olan 06.07.2020 tarihi itibariyle Bildirim Yönetim Sisteminde bulunan bildirim adedinin yaklaşık 47 bin olduğu, mevcut personel kadrosu ile bildirimlerin sonuçlandırılmaya çalışıldığı ancak gelen bildirim sayısındaki olağanüstü artış nedeni ile söz konusu bildirime farklı tarihlerde ara bilgilendirme ve sonuç bilgilendirmesi yapılabildiği,
İlgili kişinin başvurusuna da her ne kadar Kanun kapsamında geçerli bir başvuru olmasa da gerekli işlem yapılarak akabinde müşteriye konu hakkında bilgi de verildiği, Kuruma yapılan şikayetten önce banka tarafından işlem yapıldığından, şikayetin konusuz kaldığı, haklı ve yasal dayanağın da bulunmadığı,
Banka tarafından ilgili kişiye iki konu için arama yapıldığı; ilk aramanın ilgili kişinin açık rıza beyanının öğrenilmesi için Banka Müşteri İletişim Merkezi tarafından gerçekleştirildiği, söz konusu görüşmede ilgili kişinin onay vermeyeceğinin öğrenildiği ancak müşteriyi doğrulamadan ret bilgisi banka tarafından sisteme kaydedilemeyeceğinden bilgi vermek için görüşmeye devam edilmek istendiği fakat ilgili kişi tarafından müşteri temsilcisinin konuşmasına fırsat verilmediği ve konuyla ilgili şubeden bilgi alabileceğinin belirtildiği esnada telefonun ilgili kişi tarafından kapatıldığı; ikinci aramanın ise internet bankacılığı ürünü sahibi olan ancak bu ürünü kullanmayan ve iletişim izni olan tüm müşterilere yapılan dış arama kapsamında gerçekleştirildiği, bu aramada müşterinin bir sorun yaşayıp yaşamadığının sorulduğu, şifresi yoksa şifre oluşturabileceği yönünde bilgi/hizmet verildiği, yeni bir ürün hizmet tanıtımı ya da satışının yapılmadığı, ancak ilgili kişinin detaylı bilgi vermeye fırsat vermeden onayı olmadan arandığı için şikayetini ilettiği,
İlgili kişinin kişisel verilerinin banka tarafından işlenmesine yönelik hukuka aykırılığın bulunmadığı; müşterilerin kişisel verilerinin de banka ile girmiş oldukları sözleşmesel ilişki ve yasal yükümlülükler sebebi ile işlendiği, ilgili kişinin iletişim izni 01.08.2015 tarihinden bu yana “evet” olarak göründüğünden banka tarafından ilgili kişinin açık rıza beyanının öğrenilmesi ve 12.01.2016 tarihinden itibaren sahip olduğu ve kullanmadığı internet bankacılığı ile ilgili bir sorun yaşayıp yaşamadığının öğrenilmesi amacıyla, banka ile ilgili kişi arasında mevcut olan sözleşmesel ilişki kapsamında arandığı,
İlgili kişinin Kuruma iletilen şikâyet dilekçesindeki hususların gerçeği yansıtmadığı, başvurunun ilgili kişinin kötü niyetini açık bir şekilde ortaya koyduğu

ifade edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 01/09/2022 tarih ve 2022/863 sayılı sayılı Kararı ile;

6698 sayılı Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlandığı,
Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin “(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: a) Kanunlarda açıkça öngörülmesi. b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hükmünü haiz olduğu,
İlgili kişinin Kanun’un 13’üncü maddesi uyarınca veri sorumlusuna başvurusunu posta yoluyla yazılı olarak ilettiği, başvurusunda Tebliğ’in “Başvuru Usulü” başlıklı 5’inci maddesinde belirtilen ad-soyad, imza, T.C. kimlik numarası, e-posta adresi, tebligata esas yerleşim yeri adresi ile Kanun’un 11’inci maddesinde yer alan hakları çerçevesinde taleplerine ve başvuru ekinde de kimlik fotokopisine yer verdiği, veri sorumlusu tarafından ise ilgili kişinin başvurusunda yer alan adresten farklı olan ancak banka sistemlerinde kayıtlı olan adrese başvurunun zorunlu unsurlarının eksik olması sebebiyle kabul edilmediği şeklinde cevap verildiği, bahse konu yazının adi posta ile gönderilmiş olması sebebiyle ilgili kişiye ulaşıp ulaşmadığının banka tarafından tespit edilemediği, ilgili kişinin Kanun ve Tebliğ’e uygun olarak veri sorumlusuna başvurduğu, veri sorumlusunun cevabının otuz günlük yasal süreden sonra gönderildiği ve bu cevabın da ilgili kişiye tebliğ edildiğinin veri sorumlusunca ispat edilememiş olduğu dikkate alındığında ilgili kişinin Kanun’un 14’üncü maddesi uyarınca cevap verilmemiş olması gerekçesiyle “…başvuru tarihinden itibaren altmış gün içinde” Kuruma şikayette bulunmasında usul açısından herhangi bir hukuka aykırılık görülmediği,
Öte yandan ilgili kişilerin Kanun'un 11’inci maddesi kapsamındaki başvurularına cevaben düzenlenen yazıların "adi posta" ile gönderilmesinin kişisel bilgi içeren söz konusu belgelerin ilgisi olmayan üçüncü kişilerin eline geçmesine ve dolayısıyla güvenlik açığına sebebiyet verebileceğinin değerlendirildiği,
Kanun’un 5’inci maddesinde kişisel verilerin işlenme şartlarından biri olarak sayılan açık rızanın Kanun’un 3’üncü maddesinde “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlandığı ve dolayısıyla “belirli bir konuya ilişkin olma”, “bilgilendirmeye dayanma” ve “özgür iradeyle açıklanma” şeklinde üç unsuru bulunduğu, bu doğrultuda veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulmasının ve ilgili kişinin özgür bir şekilde rıza gösterebilmesi için neye rıza gösterdiğini de bilmesi gerektiği, kişinin yalnızca konu üzerinde değil rızasının sonuçları üzerinde de tam bir bilgi sahibi olması gerektiği, bu sebeple bilgilendirmenin veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmesi ve mutlaka kişisel verinin işlemesinden önce yapılması gerektiği,
01.08.2015’ten bu yana ilgili kişinin iletişim izninin “evet” olarak göründüğü, buna istinaden eksik olduğu anlaşılan açık rıza beyanının öğrenilmesi ve 12.01.2016’dan itibaren sahip olduğu ancak aktif olarak kullanmadığı tespit edilen internet bankacılığı ile ilgili sorun yaşayıp yaşamadığının öğrenilmesi amacıyla iki defa arandığı, Kanun’un “Geçiş Hükümleri” başlıklı Geçici 1’inci maddesinin üçüncü fıkrasında “… Kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanı bulunulmaması halinde, bu Kanuna uygun kabul edilir.” hükmüne yer verildiği, Kanun’un yayımından önce mevcut hukuk kurallarına uygun olarak alınmış rızaların bir yıl içinde ilgili kişilerce aksi bir irade beyanında bulunulmadığı sürece geçerli olduğu, bu durumda yeni rıza alınmasına ya da güncellenmesine gerek olmadığı,
6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’un (6563 sayılı Kanun) “Tanımlar” başlıklı 2’nci maddesinde “ticari elektronik ileti”nin; telefon, çağrı merkezleri, faks, otomatik arama makineleri, akıllı ses kaydedici sistemler, elektronik posta, kısa mesaj hizmeti gibi vasıtalar kullanılarak elektronik ortamda gerçekleştirilen ve ticari amaçlarla gönderilen veri, ses ve görüntü içerikli iletiler olarak tanımlandığı, “Ticari elektronik ileti gönderme şartı” başlıklı 6’ncı maddesinin birinci fıkrasında “Ticari elektronik iletiler, alıcılara ancak önceden onayları alınmak kaydıyla gönderilebilir. Bu onay, yazılı olarak veya her türlü elektronik iletişim araçlarıyla alınabilir. Kendisiyle iletişime geçilmesi amacıyla alıcının iletişim bilgilerini vermesi hâlinde, temin edilen mal veya hizmetlere ilişkin değişiklik, kullanım ve bakıma yönelik ticari elektronik iletiler için ayrıca onay alınmaz.” hükmüne yer verildiği,
6563 sayılı Kanun’a dayanılarak hazırlanan Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmeliğin (Ticari İletişim Yönetmeliği) “Onay gerektirmeyen durumlar” başlıklı 6’ncı maddesinde de “Alıcının kendisiyle iletişime geçilmesi amacıyla iletişim bilgilerini vermesi hâlinde, temin edilen mal veya hizmetlere ilişkin değişiklik, kullanım ve bakıma yönelik ticari elektronik iletiler için ayrıca onay alınmaz. Devam eden abonelik, üyelik veya ortaklık durumu ile tahsilat, borç hatırlatma, bilgi güncelleme, satın alma ve teslimat veya benzeri durumlara ilişkin bildirimleri içeren iletiler ile hizmet sağlayıcıya ilgili mevzuatla getirilen bilgi verme yükümlülüğü durumlarında önceden onay alma zorunluluğu aranmaz. Ancak bu tür bildirimlerde herhangi bir mal veya hizmet özendirilemez veya bunların tanıtımı yapılamaz.” düzenlemesine yer verildiği,
6563 sayılı Kanun’un 6’ncı maddesi ile Ticari İletişim Yönetmeliği’nin 6’ncı maddesi uyarınca, devam eden abonelik sebebiyle, veri sorumlusu tarafından herhangi bir mal veya hizmet özendirilmesi ya da tanıtımı yapılmaksızın, ilgili kişinin kendisiyle iletişime geçilmesi amacıyla veri sorumlusu bankayla paylaşmış olduğu cep telefonu bilgisinin, banka tarafından ilgili kişinin eksik olduğu anlaşılan açık rızasının alınmasına yönelik bilgilendirilmesi ile 12.01.2016’dan bu yana sahip olunan internet bankacılığı hizmeti ile ilgili olarak yine farklı bir ürün tanıtımı yapılmaksızın bilgilendirilmesi amacıyla aranmasının 6698 sayılı Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (a) bendinde yer alan "Kanunlarda açıkça öngörülme" hukuki işleme şartına dayalı olarak gerçekleştirildiği kanaatine varıldığı,
İlgili kişinin veri sorumlusu tarafından kişisel verilerinin işlenmesine yönelik aydınlatılmadığını, veri sorumlusunun aydınlatma yükümlülüğünü yerine getirmediğini iddia ettiği, veri sorumlusu bankaya ilgili hususun sorulduğu ancak alınan cevabi yazıda buna ilişkin herhangi bir açıklamaya yer verilmediği,
Veri sorumlularının aydınlatma yükümlülüğünün Kanun’un 10’uncu maddesinin (1) numaralı fıkrasında “Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür” şeklinde düzenlendiği,
Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’de (Aydınlatma Tebliği) de veri sorumluları veya yetkilendirdiği kişiler tarafından aydınlatma yükümlülüğü kapsamında uyulacak usul ve esaslar belirlenmiş olup anılan Tebliğ’in 5’inci maddesinin (1) numaralı fıkrasının (a) bendinde “İlgili kişinin açık rızasına veya Kanundaki diğer işleme şartlarına bağlı olarak kişisel veri işlendiği her durumda aydınlatma yükümlülüğü yerine getirilmelidir” hükmüne, (f) bendinde ise “Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.” hükmüne yer verildiği,
İlgili kişinin kişisel verisi olan cep telefonu numarası bilgisinin tanıtım amacıyla açık rızasına ya da Kanun’da yer alan diğer işleme şartlarına dayalı olarak işlendiği hususunda aydınlatıldığına dair Kurumca talep edilmiş olmasına rağmen veri sorumlusu tarafından herhangi bir bilgi verilmemiş olması sebebiyle konu hakkında veri sorumlusunun web sitesi üzerinde inceleme yapıldığı, veri sorumlusunun web sitesinde “Bize Ulaşın” sekmesi altında “Kişisel Verilerin İşlenmesi ve Korunması Hakkında Bilgilendirme”nin bulunduğu, bu bölüme girildiğinde "Veri Sorumlusunun Aydınlatma Yükümlülüğü" başlıklı 10’uncu maddesi kapsamında veri sorumlusunun kimliğine, kişisel verilerin hangi amaçla işleneceğine, kişisel verilerin kimlere ve hangi amaçla aktarılabileceğine, kişisel veri toplamanın yöntemi ve hukuki sebeplerine, ilgili kişinin Kanun’un 11’inci maddesinde sayılan haklarına yönelik asgari bilgilere yer vermek suretiyle genel aydınlatma yükümlülüğünün yerine getirildiği kanaatine varıldığı,
Daha önce belirtildiği üzere Kanun’un “Geçiş Hükümleri” başlıklı Geçici’1 inci maddesinin (3) numaralı fıkrasında “Bu kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hale getirilir. Bu Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhal silinir, yok edilir veya anonim hale getirilir. Ancak Kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanı bulunulmaması halinde, bu Kanuna uygun kabul edilir.” hükmünün yer aldığı,
Şikâyete konu somut olayda, ilgili kişinin kişisel verilerinin ilk elde edilişinin 6698 sayılı Kanun’un yürürlük tarihi öncesi (01.08.2015) olduğu, ilgili kişinin iletişim izninin anılan tarihten itibaren evet olarak göründüğü, Kanun’un yürürlük tarihinden sonraki bir yıl içinde ilgili kişinin aksi yönde bir irade beyanının bulunmadığı ve banka tarafından sözlü olarak yapılmaya çalışılan aydınlatmanın ise kabul edilmediğinin anlaşıldığı

değerlendirmelerinden hareketle;

İlgili kişinin kendisiyle iletişime geçilmesi amacıyla veri sorumlusu bankayla paylaşmış olduğu cep telefonu bilgisinin, Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’un 6’ncı maddesi ile Ticari İletişim ve Ticari Elektronik İletiler Yönetmeliği’nin 6’ncı maddesinin (2) numaralı fıkrası uyarınca, devam eden müşteri ilişkisi sebebiyle, veri sorumlusu tarafından herhangi bir mal veya hizmet özendirilmesi ya da tanıtımı yapılmaksızın, kullanılmakta olan hizmete ilişkin bilgi verilmek amacıyla 6698 sayılı Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (a) bendinde yer alan "Kanunlarda açıkça öngörülme" hukuki işleme şartına dayalı olarak işlendiği kanaatine varıldığından, veri sorumlusu banka hakkında yapılacak bir işlem bulunmadığına,
İlgili kişinin veri sorumlusuna posta yoluyla yazılı olarak ilettiği başvurusunun Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 5’inci maddesinde belirtilen zorunlu unsurları içerdiği ve ilgili kişinin taleplerinin yanıtsız bırakıldığı dikkate alındığında veri sorumlusunun Kanun’un 13’üncü maddesi kapsamında kendisine yapılan başvurulara ilişkin Tebliğ’in 6’ncı maddesine uygun olarak hareket etmesi gerektiği yönünde uyarıda bulunulmasına, ayrıca veri sorumlusunun, ilgili kişiye başvurusunda talep ettiği hususlara ilişkin açıklayıcı ve detaylı bir şekilde cevap vermesi ve ilgili kişiye verilen cevaba ve cevabın ilgili kişi tarafından tebellüğ edilip edilmediğine ilişkin tevsik edici (KEP Delili, e-posta ekran görüntüsü veya APS alındısı niteliğindeki) belgeyle birlikte Kurula bilgi vermesi gerektiği yönünde talimatlandırılmasına,
İlgili kişilerin Kanun'un 11’inci maddesi kapsamındaki başvurularına cevaben düzenlenen yazıların "adi posta" ile gönderilmesinin kişisel bilgi içeren söz konusu belgelerin ilgisi olmayan üçüncü kişilerin eline geçmesine ve dolayısıyla güvenlik açığına sebebiyet verebileceği değerlendirilmiş olduğundan veri sorumlusunun Tebliğ’in 6’ncı maddesine uygun olarak ilgili kişilere göndereceği kişisel bilgi içeren cevapları daha güvenilir ve takip edilebilir bir yöntemle iletmesi hususunda uyarılmasına, ilgili kişinin 6698 sayılı Kanun’un yürürlük tarihi öncesi olan 2015 yılından beri bankanın müşterisi olduğu, iletişim izninin evet olarak göründüğü, Kanun’un yürürlük tarihinden sonraki bir yıl içinde ilgili kişinin aksine bir irade beyanının bulunmadığı ve banka tarafından sözlü olarak yapılmaya çalışılan aydınlatmanın ise kabul edilmediği hususları dikkate alındığında, ilgili kişinin aydınlatma yükümlülüğünün yerine getirilmediği iddiasına yönelik veri sorumlusu banka hakkında yapılacak bir işlem bulunmadığına

karar verilmiştir.

20.Ekim.2022: “İlgili kişinin kişisel verilerinin iş akdinin feshinden sonra işveren tarafından işlenmeye devam edilmesi"

Karar Tarihi	:	20/10/2022
Karar No	:	2022/1147
Konu Özeti	:	İlgili kişinin kişisel verilerinin iş akdinin feshinden sonra işveren tarafından işlenmeye devam edilmesine ilişkin şikâyet

İlgili kişinin Kuruma intikal eden şikayetinde özetle;

Mobilya-dekorasyon sektöründe faaliyet gösteren bir anonim şirket bünyesinde iç mimar olarak yaklaşık 3 yıl çalıştığı, iş akdinin feshi tarihinden sonra, pandemi döneminde veri sorumlusu şirket tarafından müşterilere yönelik olarak sosyal medya üzerinden gerçekleştirilen canlı yayınlardaki görüntüsünün TV reklamlarında, veri sorumlusu şirketin internet sitesinde, sosyal medya hesaplarında ve tanıtıma yönelik basılı materyallerde reklam ve pazarlama amacıyla kullanıldığı, görüntüsünün bu şekilde kullanımı ile ilgili olarak kendisine aydınlatma yapılmadığı, açık rızasının da alınmadığı,
Öte yandan iş akdinin feshedildiği tarihten sonra veri sorumlusunun taşıma süreçlerine ilişkin kargolarda hala ilgili kişinin cep telefonu numarasının kullanıldığı,
Yine iş akdinin feshedildiği tarihten sonra ilgili kişinin veri sorumlusu bünyesinde gerçekleştirilen satış ve tahsilat işlemlerinde işlemi gerçekleştiren kişi gibi göründüğü,
Şikayete konu durum ve delillerin Ankara 4. Fikri ve Sınai Haklar Hukuk Mahkemesinin 2022/… D.İş sayılı dosyası üzerinden Bilirkişi Raporu ile tespit edildiği,
Veri sorumlusuna yapılan başvuruda ilgili kişiye ait kişisel verilerin imhası ve bu konuda kendisine bilgi verilmesinin talep edilmesine karşın veri sorumlusu tarafından bu konuda bir işlem yapılmayıp hatalı ve eksik bilgi verildiği, veri sorumlusu tarafından ilgili kişinin aydınlatma metnini imzaladığı ifade edilmiş ise de bu aydınlatma metninin iş akdi süresi içerisinde sınırlı olduğu, zira içerisinde “Kişisel verileriniz, iş akdiniz devam ettiği sürece yukarıdaki amaçlarla ve bu amaçların gerektirdiği süre boyunca saklanacaktır.” ibaresinin yer aldığı,
Veri sorumlusu tarafından ilgili kişiye çalıştığı süre boyunca iki adet şirket hattı tesis edildiği iddia edilmiş ise de kargo şirketine bildirilen numaranın, ilgili kişinin şahsî cep telefonu numarası olduğu, ilgili kişiye işten ayrıldıktan sonra gelen kargo SMS’lerinin de bunun kanıtı olduğu, şirket merkezinden ilgili kişinin çalıştığı mağazaya gönderilen ürünlerin kargolarında alıcı olarak halen ilgili kişinin telefon numarasının verildiği, bu durumun iş akdinin bitmesiyle birlikte hukuka aykırı hale geldiği,

ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması ve hukuka aykırı olarak işlenen kişisel verilerinin imha edilmesi talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

İlgili kişinin görev tanımında ana sorumluluğunun “… müşterileri satın almaya teşvik edecek en iyi atmosferi yaratmak…” olarak belirlendiği, dolayısıyla ilgili kişinin mesleğini, satışa yönelik pazarlama faaliyetleri çerçevesinde sunarak gerçekleştirmesinin, işe alındığı pozisyonun gereği olduğu ve görev kapsamı içerisinde bulunduğu, bu hususlarının tümünün ilgili kişiye imzalatılan iş akdinde yer aldığı,
İlgili kişiye imzalatılan aydınlatma metninde bulunan “İşlenen kişisel verilerinizin yurt içindeki aktarımı” başlıklı maddenin altıncı bendinde “yazılım, kurumsal kaynak planlaması, raporlama, pazarlama vb. işlevlerin yerine getirilmesi amacıyla tedarikçi ve çözüm ortaklarıyla verilerin paylaşılabileceği” hususunun yer aldığı, bu hukuki mesnede binaen ilgili kişinin şirket reklamlarında yer alarak pazarlama amacıyla kişisel verilerinin işlenmesine rıza vermiş sayılacağı, ilgili kişinin işi gereği şirketin tanıtım yüzlerinden biri olduğu, ilgili kişinin bu işi bilerek kabul etmesine karşın iş akdi feshedildikten sonra bu hükümleri kötü niyetle şirket aleyhinde yorumlamaya çalıştığı,
İlgili kişinin “kargo paketi üzerinden görüldüğünden bahisle cep telefonu bilgisinin şirketçe işlenmeye devam edilmesi” iddiasının da izahtan vareste olduğu, bu konuda bir delil olmadığı, açıkça kötü niyetli bir iddia olduğu

ifade edilmiştir.

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun 20/10/2022 tarih ve 2022/1147 sayılı Kararı ile;

Kanun’un, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmü yer almakta olup bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin; a) Hukuka ve dürüstlük kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme şeklinde sayıldığı,
Kanun’un “Kişisel verilerin işlenme şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
Kanun’un 7’nci maddesinde “Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi” hususu düzenlenmiş olup maddede; “(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. (2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır. (3) Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.” hükümlerine yer verildiği,
Ayrıca 6698 sayılı Kanun’un “Veri güvenliğine ilişkin yükümlülükler”i düzenleyen 12’nci maddesinin (1) numaralı fıkrasının (a), (b) ve (c) bentleri uyarınca veri sorumlularının; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idarî tedbiri almakla mesul tutulduğu,
Somut olaya ilgili kişinin reklam ve pazarlama amacıyla yayınlanan görüntülerinin ilgili kişinin veri sorumlusu bünyesinde çalışırken kendisinin iş tanımı kapsamı içerisinde alındığının anlaşıldığı ve bu nedenle söz konusu kişisel verilerin, veri sorumlusu bünyesindeki arşivlerde yasal süre müddetince muhafaza edilmesinin hukuka uygun olduğu kanaatine ulaşılmış ise de ilgili kişinin mesleğinin esas itibariyle mimarlık olup bu mesleğin icrasının ekran önünde görünmeyi gerektirmemesi ve ilgili kişi ile veri sorumlusu arasındaki çalışma akdinin hâlihazırda feshedilmiş olması, dolayısıyla ilgili kişinin başka bir şirket nezdinde çalışmaya başlaması veya kendi ticari faaliyetlerini yürütmeye karar vermesi gibi durumlarda veri sorumlusunun halen ilgili kişinin görüntülerini kullanarak reklam ve pazarlama maksatlı faaliyetler yürütmesinin hayatın olağan akışına aykırı olacağı,
Veri sorumlusunun ilgili kişiye verdiği cevapta, her ne kadar söz konusu cep telefonu numarasının, ilgili kişi tarafından iş süreçlerinde kullanılması amacıyla kargo şirketlerine kendi iradesiyle verildiği iddia ediliyor ise de Kanun’un 4’üncü maddesinde düzenlenen genel ilkeler gereğince işlemekte olduğu kişisel verileri bu ilkelere uygun bir şekilde doğru ve güncel tutması, elde etme amaçlarına uygun bir şekilde kullanması ve yalnızca hukukî sebep bulunduğu durumlarda, yasal süre müddetince muhafaza etmesi hususunda aktif özen yükümlülüğü altında bulunan veri sorumlusunun, iş akdini feshettiği bir çalışanının cep telefonu numarasını kendisine ait iş süreçlerinde kullanmak suretiyle, uhdesinde işlediği kişisel verilerin doğru ve güncelliğini sağlayamamış olduğu, veri sorumlusunun, ilgili kişinin kargo şirketi nezdinde kayıtlı bulunan cep telefonu numarasını yeni yetkili kişininki ile değiştirdiğini kargo şirketine bildirmediği ve ilgili kişinin kişisel verilerinin kullanımını sonlandırabilecek iken bunu yapmayarak ilgili kişinin kişisel verilerinin korunması adına gerekli hassasiyeti göstermediği,
Zira şirket merkezinden ilgili kişinin çalıştığı mağazaya gönderilen ürünlerin kargolarının alıcısı olarak halen ilgili kişinin göründüğü, bu sebeple kargo şirketi tarafından ilgili kişinin kayıtlı kişisel cep telefonu numarasına SMS gönderimi yapıldığının görüldüğü, bu nedenle veri sorumlusunun Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (b) bendinde gösterilen “Doğru ve gerektiğinde güncel olma” ilkesine aykırı davrandığı,
Ankara 4. Fikri ve Sınai Haklar Hukuk Mahkemesinin 2022/… D. İş sayılı dosyasında yer alan Bilirkişi Raporundan ilgili kişinin iş akdinin fesih edildiği tarihten sonra yapılan pek çok satışta “işlemi gerçekleştiren” sorumlu personel olarak gösterildiğinin anlaşıldığı, bu minvalde işlemi yapan kişi olarak ilgili kişinin göründüğü belgeler tanzim edildiği, ilgili kişinin kişisel verilerinin bu bakımdan, veri sorumlusu nezdinde Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (b) bendinde gösterilen “Doğru ve gerektiğinde güncel olma” ilkesine aykırı bir şekilde işlendiği,
6698 sayılı Kanun’da gösterilen genel ilkeler ve veri işleme şartlarına aykırı bir şekilde işlenen kişisel verilerin; veri sorumlusunun, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12’nci maddesinin (1) numaralı fıkrasının (a) bendinde ifade olunan, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idarî tedbirleri almadığını gösterdiği,

değerlendirmelerinden hareketle,

İlgili kişinin yer aldığı görüntülerin veri sorumlusunun arşivlerinde bulunmasının hukuka uygun olacağı ancak iş akdinin sona ermesinden sonra da söz konusu verilerin paylaşımına devam edilmesi suretiyle işlenmesinde Kanun kapsamında geçerli bir işleme şartının mevcut olmadığı, öte yandan ilgili kişinin kargo şirketleri nezdinde kayıtlı olan kişisel cep telefonu numarasının ve iş akdi feshedilmeden öncesinde çalıştığı mağazadaki dijital ödeme sistemleri, çeşitli evrak ve formlar içerisinde kayıtlı bulunan ve kendisini işlem yetkilisi olarak gösteren kişisel verilerinin Kanun’un 4’üncü maddesinde yer alan Genel İlkelerden “doğru ve gerektiğinde güncel olma” ilkesine aykırı şekilde işlendiği, bu verilerin işlenmesinde veri sorumlusunca bir başka hukuki nedenin de gösterilemediği görüldüğünden Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerini yerine getirmediği anlaşılan veri sorumlusu hakkında, ilgili kişinin hukuka aykırı olarak işlenen kimlik ve iletişim bilgileri kullanılarak yapılan satış, kargo gönderimi gibi yasal işlemlerin ilgili kişi üzerinde negatif sonuç doğurma riskinin yüksek olduğu hususu dikkate alınarak, Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 250.000 TL idarî para cezası uygulanmasına,
Diğer taraftan, ilgili kişinin hukuka aykırı bir şekilde işlendiği anlaşılan şahsî cep telefonu bilgisinin veri sorumlusu ve kargo şirketi kayıtlarından, isim ve soy isim bilgilerinin ise iş akdi feshedilmeden öncesinde çalıştığı mağazadaki dijital ödeme sistemleri, çeşitli evrak ve formlar içerisinden imha edilmesi, buna ilişkin usule uygun bir şekilde düzenlenecek olan tutanakların ilgili kişi vekiline iletilmesi ve bu tutanaklar ile ilgili belgelerin muhatabınca tebellüğ edildiğine dair delillerin Kurula da gönderilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

01.Eylül.2022: “İlgili kişinin internet arama motorlarında yapılan aramalardan elde edilen iş yeri e-postasının açık rızası alınmaksızın veri sorumlusu bir pazarlama şirketi tarafından ticarî elektronik ileti gönderilmesi suretiyle işlenmesi"

Karar Tarihi	:	01/09/2022
Karar No	:	2022/861
Konu Özeti	:	İlgili kişinin internet arama motorlarında yapılan aramalardan elde edilen iş yeri e-postasının veri sorumlusu bir pazarlama şirketi tarafından açık rızası alınmaksızın ticarî elektronik ileti gönderilmesi suretiyle işlenmesi

Kuruma intikal eden dilekçede özetle; ilgili kişinin herhangi bir bağlantısı olmadığı halde veri sorumlusu şirket tarafından ilgili kişinin iş e-posta adresine kampanya, reklam vb. içerikli e-posta gönderildiği, ilgili kişi tarafından veri sorumlusuna ait e-posta adresine başvuruda bulunularak iletişim bilgilerinin ve kimlik bilgilerinin nereden ve nasıl temin edildiğinin sorulduğu, tarafına reklam/kampanya içerikli e-postaların gönderilmemesinin, kişisel verilerinin imha edilmesinin ve imha edilen bilgiler hakkında tarafına bilgi verilmesinin talep edildiği ancak veri sorumlusu tarafından verilen cevapta sadece e-posta adresi ve bilgilerinin kayıtlardan silindiğinin belirtildiği, verilerinin nereden temin edildiğine ilişkin herhangi bir bilgi verilmediği ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin olarak başlatılan inceleme çerçevesinde veri sorumlusu şirketten savunması istenilmiş olup alınan cevabi yazıda özetle;

Şirketlerinin avukat büroları için yazılımlar ürettiği ve pazarladığı, avukatlık bürolarına tanıtım faaliyetlerinde bulunmak için avukatlık bürolarında çalışan avukatların e-posta adreslerinin internet arama motorlarında yapılan aramalardan temin edildiği, burada bulunan bilgilerden kişinin sadece isim, çalıştığı büro adı ve e-posta adresi bilgilerinin sistemlerine kaydedildiği,
Pazarlama içerikli e-postanın 6563 sayılı "Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’un 6’ncı maddesinde yer alan "Esnaf ve tacirlere önceden onay alınmaksızın ticari elektronik iletiler gönderilebilir" hükmüne dayanılarak gönderildiği, ilgili e-postanın kişinin mesleği ile ilgili bir yazılım ürününün tanıtımı amaçlı olduğu,
İlgili kişiye gönderilen e-postanın sonunda e-posta listesinden çıkılmasının talep edilebileceğine ilişkin "Bu E-Posta ile rahatsızlık verdiysek özür dileriz. E-Posta Listemizden Çıkmak için Tıklayınız" şeklinde bir metin ve bağlantının bulunduğu, ilgili kişinin bu bağlantıyı kullanarak firmaya talepte bulunduğu ve ilgili kişinin e-posta adresinin kayıtlardan silindiği, bünyelerindeki avukatlık büro adresleri ve kişisel verilerin başka hiçbir tüzel kişiliğe aktarılmadığı

ifade edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 01/09/2022 tarihli ve 2022/861 sayılı Kararı ile;

6698 sayılı Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlandığı,
Kanun’un 5’inci maddesinin kişisel verilerin işlenme şartlarını düzenlediği, maddenin (1) numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin, (2) numaralı fıkrasında ise, kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için veri işlemenin zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaati için veri işlenmesinin zorunlu olması hallerinde ilgili kişinin açık rızası olmaksızın kişisel verilerin işlenmesinin mümkün olduğunun hükme bağlandığı,
İlgili kişinin kişisel verilerinin Kanuna aykırı olarak işlendiği iddiası bakımından yapılan incelemede; Karar tarihi itibariyle arama motorlarında yapılan araştırmada, avukat sorgulamasına ilişkin hizmet veren çeşitli internet sitelerinde yer alan ilgili kişinin e-posta adresinin şikayet edilen adresten farklı olduğu, şikayete konu e-posta adresine internet ortamında erişilememiş olmakla birlikte şikayete konu olayın gerçekleştiği tarihte, veri sorumlusu tarafından belirtilen büroda çalıştığı ve veri sorumlusu tarafından bahse konu e-posta adresinin internet arama motorlarından temin edildiğinin beyan edildiği dikkate alındığında, şikayete konu e-posta hesabının da şikayet tarihinde internet arama motorları üzerinden herkesin erişimine açık olacak şekilde alenileştirildiği kanaatine varıldığı,
Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (d) bendinde yer alan “ilgili kişinin kendisi tarafından alenileştirilmiş olması” şartı kapsamında kişisel verilerin açık rıza olmaksızın işlenmesinin mümkün olduğu, ancak ilgili verinin alenileştirilmiş olmasının diğer bir ifadeyle kamuya açık hale getirilmiş olmasının bu kişisel verilerin her türlü amaç için işlenebileceği anlamına gelmediği, ancak alenileştirme amacıyla bağlantılı ve amaçla sınırlı olarak işlenebileceği, şikayete konu somut olayda ise ilgili kişinin iş e-posta adresinin avukatlık mesleğine yönelik yapılacak iletişimler kapsamında aleni hale getirildiği, pazarlama/reklam amacıyla yapılacak işlemlere ilişkin bir alenileştirme iradesini içermediği,
Diğer taraftan, veri sorumlusunun avukat olan ilgili kişinin e-posta adresini 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’un 6’ncı maddesinde yer alan "Esnaf ve tacirlere önceden onay alınmaksızın ticari elektronik iletiler gönderilebilir" hükmüne istinaden reklam amaçlı ileti göndermek suretiyle işlediğini belirtmesine karşın, 1136 sayılı Avukatlık Kanunu’nun “Avukatlıkla birleşemeyen işler” başlıklı 11’inci maddesinde “Aylık, ücret, gündelik veya kesenek gibi ödemeler karşılığında görülen hiçbir hizmet ve görev, sigorta prodüktörlüğü, tacirlik ve esnaflık veya meslekin onuru ile bağdaşması mümkün olmayan her türlü iş avukatlıkla birleşemez” hükmüne yer verilerek avukatların ne esnaf ne de tacir sıfatıyla hareket edemediği belirtildiğinden avukat olan ilgili kişiye bu hükme dayanılarak onay alınmaksızın ticari ileti gönderilemeyeceği,
Dolayısıyla veri sorumlusunun Kanun’un 5’inci maddesi çerçevesinde herhangi bir kişisel veri işleme şartı bulunmaksızın veri işleme faaliyetinde bulunması sebebiyle Kanun’un 12’nci maddesinde yer alan “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğüne aykırı davrandığı,
Veri sorumlusu tarafından ilgili kişiye verilen yanıtın yetersiz olduğu iddiası bakımından yapılan incelemede; Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in (Tebliğ) 6’ncı maddesinin, “(1) Veri sorumlusu bu Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlüdür. (2) Veri sorumlusu, başvuruyu kabul eder veya gerekçesini açıklayarak reddeder. (3) Veri sorumlusu, cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir… (5) Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyet gerektirmesi halinde, 7 nci maddede belirtilen ücret alınabilir. Başvurunun, veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.” hükmünü haiz olduğu, veri sorumlusu tarafından ilgili kişinin başvurusuna verilen cevapta sadece kişisel verilerinin silindiği yönünde bilgi verildiği ancak ilgili kişinin Kanun’un 11’inci maddesi kapsamındaki diğer bilgi taleplerinin yanıtsız bırakıldığının tespit edildiği,
Veri sorumlusunun ilgili kişiye ve Kuruma ilettiği cevap yazılarında ilgili kişiye ait ve sistemlerinde kayıtlı olan kişisel verilerin sistem kayıtlarından silindiğini beyan etmesine karşılık silmeye ilişkin tevsik edici herhangi bir belge ibraz etmediği

değerlendirmelerinden hareketle;

İlgili kişinin e-posta adres bilgisinin reklam ve pazarlama amacıyla işlenmesine yönelik herhangi bir platformda alenileştirme iradesinin bulunduğuna dair veri sorumlusu tarafından kanıtlayıcı nitelikte bir belgenin Kuruma sunulmadığı, veri sorumlusunun ilgili kişinin kişisel verilerinin Kanunda yer alan işleme şartları kapsamında işlendiğine ilişkin açıklamalarının hukuki dayanaktan yoksun olduğu dikkate alındığında veri sorumlusunun Kanun’un 5’inci maddesi çerçevesinde herhangi bir kişisel veri işleme şartı bulunmaksızın veri işleme faaliyetinde bulunduğu kanaatine varıldığından veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 150.000 TL idari para cezası uygulanmasına,
Veri sorumlusu tarafından ilgili kişinin başvurusuna verilen cevapta, ilgili kişinin Kanun’un 11’inci maddesi kapsamındaki bilgi taleplerinin yanıtsız bırakılarak sadece kişisel verilerinin silindiği yönünde bilgi verilmesi sebebiyle Kanun’un 13’üncü maddesi kapsamında veri sorumlusunun kendisine yapılan başvurulara ilişkin Tebliğ’in 6’ncı maddesine uygun olarak hareket etmesi gerektiği yönünde uyarıda bulunulmasına; diğer taraftan ilgili kişiye başvurusunda talep ettiği hususlara ilişkin olarak açıklayıcı ve detaylı bir şekilde cevap vermesi ve ilgili kişiye verilen cevaba ve cevabın ilgili kişi tarafından tebellüğ edilip edilmediğine ilişkin tevsik edici (KEP Delili, e-posta ekran görüntüsü veya APS alındısı niteliğindeki) belgeyle birlikte Kuruma bilgi vermesi gerektiği yönünde veri sorumlusunun talimatlandırılmasına,
Veri sorumlusu tarafından Kuruma sunulan cevabi yazıda, ilgili kişinin talebi üzerine ilgili kişiye ait e-posta adresinin kayıtlardan silindiği bilgisi verilmekle birlikte silmeye ilişkin tevsik edici herhangi bir belgenin yazı ekinde sunulmadığı ve ilgili kişinin veri sorumlusuna başvurusunda kişisel verilerinin silinmesi talebini de ilettiği anlaşıldığından; veri sorumlusunun, ilgili kişinin kişisel verilerinin silinmesi, yok edilmesi veya anonim hâle getirilmesi ve buna ilişkin kayıtların Kuruma iletilmesi gerektiği yönünde talimatlandırılmasına

karar verilmiştir.

07.Ekim.2022: “İlgili kişinin kişisel verisi niteliğindeki e-posta adresinin reklam amaçlı ileti gönderilmesi suretiyle işlenmesi"

Karar Tarihi	:	07/10/2022
Karar No	:	2022/1072
Konu Özeti	:	İlgili kişinin kişisel verisi niteliğindeki e-posta adresinin reklam amaçlı ileti gönderilmesi suretiyle işlenmesi

İlgili kişinin Kuruma intikal eden şikâyetinde özetle; ilaç sektöründe faaliyet gösteren bir şirketin çalışanı olduğu iddia edilen bir şahıstan e-posta aldığı, e-posta adresinin nasıl elde edildiğine ilişkin veri sorumluna başvurarak e-posta adresinin ecza depoları vasıtasıyla paylaşıldığı bilgisini edindiği ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

E-posta gönderen şahsın şirkette kısa bir süre çalıştığı ve daha sonra istifa ettiği, bahse konu yazışmaların şirketin bilgisi ve onayı dahilinde yapılmadığı, Kurum tarafından şirkete tebliğ üzerine konudan haberdar olunduğu,
Söz konusu işlem, şirket eski çalışanı tarafından şirketin bilgisi ve onayı dışında yapılmış olduğundan hangi kişisel verinin hangi amaçla işlendiği konusunda bilgi sahibi olunmadığı,
Dolayısıyla ilgili kişinin açık rıza beyanına ilişkin tevsik edici bir belgenin de mevcut bulunmadığı

ifade edilmiştir.

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun 07/10/2022 tarih ve 2022/1072 sayılı Kararı ile;

Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin düzenlendiği,
Kurul tarafından “Veri sorumluları ve veri işleyenler tarafından ilgili kişilerin e-posta adreslerine veya SMS ya da çağrı ile cep telefonlarına reklam bildirimleri/aramaları yönlendirilmesinin önüne geçilmesini teminen” alınan 16/10/2018 tarihli ve 2018/119 sayılı İlke Kararı’nda; “İlgili kişilerin rızalarını almadan veya Kanun’un 5’inci maddesinin (2) numaralı fıkrasında hüküm altına alınan işleme şartlarını sağlamadan, telefon numaralarına SMS göndermek, arama yapmak veya e-posta adreslerine posta göndermek suretiyle reklam içerikli ileti yönlendiren veri sorumluları ile veri sorumluları adına reklam içerikli mesaj/e-posta göndermek veya arama yapmak amacıyla ilgili kişilerin açık rızaları bulunmaksızın bu verileri kullanan veri işleyenlerin söz konusu veri işleme faaliyetlerini Kanun’un 15’inci maddesinin (7) numaralı fıkrası uyarınca derhal durdurması gerektiği; Kanun’un 12’nci maddesi kapsamında veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu ve kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, anılan tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumlu olduğu; belirtilen şekilde söz konusu faaliyetlerde bulunan veri sorumluları hakkında Kanun’un 18’inci maddesi hükümleri çerçevesinde işlem tesis edileceği; bahse konu şekilde işlenen kişisel verilerin hukuka aykırı olarak elde edilmiş olabileceği de göz önüne alınarak 5237 sayılı Türk Ceza Kanunu’nun ‘Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme’ başlıklı 136’ncı maddesi çerçevesinde ilgili veri sorumluları hakkında gerekli hukuki işlemlerin tesisi için konunun 5271 sayılı Ceza Muhakemesi Kanunu’nun 158’inci maddesi uyarınca ihbaren ilgili Cumhuriyet Başsavcılığına bildirileceği” hususlarının karara bağlandığı,
Kanun’un “Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi” başlıklı 7’nci maddesinde; bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği, yok edileceği veya anonim hâle getirileceği ve kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümlerin saklı olduğu ibaresinin yer aldığı,
Kanun’un 12’nci maddesinin (1) numaralı fıkrasının “Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmünü amir olduğu, bununla birlikte (2) numaralı fıkrasında; “Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.” ifadesi bulunurken (3) numaralı fıkrasında “Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.” hükmünün yer aldığı,
Somut olaya konu reklam amaçlı e-postaların, somut olayın yaşandığı tarihte veri sorumlusu bünyesinde çalışan personel tarafından kurumsal e-posta adresi üzerinden ilgili kişinin elektronik posta adresine gönderildiği; veri sorumlusunun ilgili kişinin kişisel verisi niteliğindeki elektronik posta adresinin veri sorumlusunun çalışma alanı çerçevesinde reklam ve pazarlama amaçları doğrultusunda kullanıldığı ve ilgili kişinin açık rızasının alınmadığının anlaşıldığı, bu kapsamda ilgili kişinin e-posta adresine izinsiz reklam içerikli ileti gönderilmesi suretiyle kişisel verilerin işlenmesinde Kanun’un 5’inci maddesinde yer alan herhangi bir işleme şartının bulunmadığı

değerlendirmelerinden hareketle;

Veri sorumlusu tarafından reklam ve pazarlama amaçlı, izinsiz ticari elektronik ileti gönderilmesi suretiyle ilgili kişinin kişisel verisi niteliğinde olan e-posta adresinin işlenmesinde Kanun’un “Kişisel verilerin işlenme şartları” başlıklı 5’inci maddesinde öngörülen kişisel veri işleme şartlarının bulunmadığı ve bu kapsamda veri sorumlusunun Kanun’un 12’nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılması nedeniyle Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendine istinaden veri sorumlusu hakkında 50.000 TL idari para cezası uygulanmasına,
Somut olayda ilgili kişinin kişisel verisi niteliğinde olan e-posta adresinin, hukuka aykırı olarak işlendiği dikkate alındığında; Kanun’un 7’nci maddesi ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’e uygun olarak ilgili kişinin kişisel verisinin imha edilmesi ve söz konusu imha işlemlerini tevsik edici belgelerin Kurula iletilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

01.Eylül.2022: “Bir yasal bahis platformu tarafından ilgili kişinin e-posta adresinin işlenerek bir üyesinin kişisel verilerinin üçüncü şahıs konumundaki ilgili kişinin e-posta adresine gönderilmesi"

Karar Tarihi	:	01/09/2022
Karar No	:	2022/853
Konu Özeti	:	Bir yasal bahis platformu tarafından ilgili kişinin e-posta adresinin işlenerek bir üyesinin kişisel verilerinin üçüncü şahıs konumundaki ilgili kişinin e-posta adresine gönderilmesi

İlgili kişinin şikâyetinde özetle;

Nisan 2022 içerisinde ilgili kişinin şahsi e-posta hesabı olan *************@gmail.com’a yasal bahis platformu olan ******.com tarafından bir e-postanın gönderildiği ve söz konusu e-postada özetle “Sayın ******* ******, Üyelik işlemleriniz ile ilgili detayları aşağıda bulabilirsiniz: Üye Numaranız: ********. Üye numaranız, kullanıcı adınız, TC kimlik numaranız ile ******.com hesabınıza giriş yapabilirsiniz. Güvenlik önlemi olarak ******.com’a giriş şifrenizi belirli aralıklarla değiştirmenizi tavsiye ediyoruz.” denildiği, hemen ardından gelen ikinci bir e-posta ile ise “Sayın Üyemiz, E-posta adresinize reklam, promosyon vb. ticari elektronik iletilerin gönderilmesini onayladınız.” denildiği,
İlgili kişi tarafından ******.com sitesine herhangi bir üyeliğin asla gerçekleştirilmediği, bu çerçevede konuya ilişkin veri sorumlusuna başvurarak şahsına ait herhangi bir bilginin işlenmiş olması halinde, bunların derhal yok edilmesi talebinde bulunduğu ayrıca veri sorumlusunun sisteminde kullanıcılar tarafından girilerek beyan edilen e-posta adreslerinin doğruluğunu herhangi bir surette kontrol edilip edilmediğine yönelik sorularını yönelttiği,
Veri sorumlusunun ise “İletmiş olduğunuz talebinize istinaden E-posta adresiniz kayıtlı olduğu üyelikten kaldırılmıştır.” şeklinde cevap verdiği,
Somut olayda 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) bakımından asıl sorunun veri sorumlusunun kişisel veriyi işlerken herhangi bir kontrol mekanizması oluşturmamış olması olduğu, üçüncü bir şahıs ilgili kişiye ait e-postayı sisteme üyelikte kullanmak istediğinde veri sorumlusunun bunu doğrudan geçerli ve doğru kabul ederek ilgili kişinin e-posta adresine e-postalar göndermeye başlamakla hata yaptığı

beyan edilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.

Yapılan şikâyete istinaden başlatılan inceleme çerçevesinde veri sorumlusu yasal bahis platformunu işleten şirketten savunması istenilmiş olup, alınan cevabi yazıda özetle;

Şirketin ilgili mevzuat hükümleri uyarınca idareden aldığı yetki ile bizatihi idarenin düzenleyici olduğu bahis piyasasında faaliyet gösteren bir sanal ortam bayii olduğu,
Şirketin yürüttüğü faaliyet kapsamında, kişisel verilerin korunmasına ilişkin mevzuata ilave olarak veri işleme bakımından iki önemli yükümlülüğünün bulunduğu, bu yükümlülüklerden ilkinin 18 yaşından küçük kimselerin şirket tarafından bayiliği yürütülen oyunları oynamalarının engellenmesi olduğu, ikinci yükümlülüğün ise suç gelirlerinin aklanmasına dair mevzuata uyum göstermek olduğu, bu çerçevede şirketin kendi nezdinde yapılan her türlü işlemden önce işlemi yapanların kimliklerini tespit etme ve gerekli diğer tedbirleri alma yükümlülüğünün bulunduğu,
İlgili mevzuat kapsamında her bir üyelik başvurusunda şirket tarafından müşterinin (i) adı-soyadı, (ii) uyruğu ve (iii) T.C. kimlik numarası veya yabancı kimlik numarası bilgilerinin İçişleri Bakanlığı Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü veri tabanından teyit edildiği,
Nisan 2022 içerisinde ilgili kişinin şikâyetine konu edilen e-posta adresi kullanılarak şirketin platformu üzerinden ******** numaralı üyeliğin oluşturulduğu,
Söz konusu üyelik oluşturulurken cep telefonu numarasının doğrulandığı, kimlik bilgilerinin ise MERNİS sistemi üzerinden doğrulandığı, buna karşın e-posta adresinin kayıt aşamasında doğrulanmadığı,
Sonrasında şikâyet sahibi ilgili kişi tarafından şirkete e-posta vasıtasıyla ulaşıldığı, söz konusu e-postada ilgili kişinin şirketin platformunda hesap açmadığını bildirdiği ve e-posta adresine ileti gönderilmemesini talep ettiği, ilgili kişiden gelen bildirimin derhal işleme alındığı ve ilgili kişinin e-posta adresinin şirketin sistemlerinden kaldırıldığı,
Akabinde ilgili kişiyle e-postasında paylaştığı telefon numarası üzerinden iletişime geçilerek konu hakkında bilgi verildiği, ayrıca ilgili kişinin talebi üzerine aynı bilgilerin yazılı olarak da ilgili kişiye gönderildiği,
İlgili kişi tarafından Nisan 2022’de e-posta üzerinden şirkete yapılan talepte ilgili kişinin kimliğinin doğrulanmasını sağlayacak veri bulunmadığından tabii olarak taleplerinin tamamı hakkında ilgili kişiye bilgi verilemediği, bununla birlikte şirketin tabi olduğu mevzuat gereğince uyguladığı risk temelli veri politikasına uygun olarak aynı gün içerisinde e-posta adresinin şirketin veri tabanından silindiği,
Dolayısıyla ilgili kişi her ne kadar şirkete başvururken kendi kimliğinin tanımlanmasına imkân verecek bilgi paylaşmamışsa da yapmış olduğu başvuruda yer alan talebin tamamen karşılandığı ve 6698 sayılı Kanun’un 11’inci maddesinin (1) numaralı fıkrasının (d) bendi gereği yanlış işlendiği iddia edilen verinin aynı gün içerisinde Şirket tarafından silindiği,
İlgili kişi tarafından -karşılanmış olan talebine ilişkin olarak Kanun’un 14’üncü maddesinde yer alan koşullar mevcut olmamasına rağmen- Kurula şikâyette bulunulduğu,
Öncelikle ilgili kişinin veri sorumlusu sıfatıyla şirkete Nisan 2022 içerisinde göndermiş olduğu e-postada yer alan sorular kapsamındaki bilgilerin -ilgili kişi tarafından şirkete kimlik doğrulanmasına imkân verecek bir başvuru yapılmadığından- veri ihlâl riski nedeniyle paylaşılmadığı, bununla birlikte ilgili kişinin aslî talebi olan e-posta adresine bir daha gönderim yapılmaması talebinin şirketin veri yönetim politikası ile uyumlu olması nedeniyle derhal işleme alındığı ve ilgili kişinin talebinin aynı gün yerine getirildiği,
İlgili kişi tarafından şirketin üye kaydı esnasında e-posta adresi verisini işlerken herhangi bir kontrol mekanizması işletmediğinin iddia edildiği, ayrıca e-posta adresinin bir iletişim verisi olduğunun ve kontrolsüzce kullanılmaya başlanmasının düşünülemeyeceğinin ifade edildiği,
Öncelikle şirketin yürüttüğü faaliyetin ruhsata tabi bir faaliyet olduğunu, pek çok idari organın gözetim ve denetimi altında yürütüldüğünü ve özellikle de müşterinin kimlik doğrulaması ile ilgili olarak şirketin internet üzerinden servis sunan diğer veri sorumlularından ayrıştığını belirtmek istedikleri,
Şirketin platformuna üye olabilmek için ilgili kişilerin ad soyad, doğum tarihi ve TC kimlik numarası verilerini doğru girmelerinin ve bu verilerin MERNİS üzerinden teyit edilmesinin zorunlu olduğu, dolayısıyla şirketin işlediği asgari sayıdaki veri içerisinde yer alan iletişim verilerinin kontrolsüzce işlenmediği, esasen pek çok çevrimiçi hizmet uygulaması üyeliğinin ötesinde bir kontrolden sonra toplandığı,
Şirketin risk temelli veri güvenliği yaklaşımı uyarınca, üyelerin ana iletişim kanalı olarak cep telefonu numarasının kabul edildiği, bu nedenle de üyelik aşamasında öncelikle cep telefonu numarası verisinin doğrulamasının yapıldığı, sistemin ayrıca üyelik başvurusunda kullanılan cep telefonu ve/veya elektronik posta adresinin başka bir üyelikte kullanılıp kullanılmadığını da otomatik olarak kontrol ettiği,
Şirket veya herhangi bir yetkili sanal ortam bayi sistemindeki üyenin MERNİS üzerinden doğrulanan TC kimlik numarası ile uyuşmayan bir banka hesabından para yüklemesi veya para çekimi işlemi yapılamayacağından şirket bakımından teyidi ve korunması öncelikli olan verilerin ad-soyad, doğum tarihi ve TC kimlik numarası verileri olduğu, iletişim verilerinin ikincil önemi haiz olduğu,
Öncelikle cep telefonu verisinin doğrulanmasının sebebinin ise şirket tarafından herhangi bir problem halinde müşteri ile ilk temas noktasının müşteri iletişim stratejisi gereği telefon aramaları olduğu, e-posta verisinin ikincil nitelikte olduğu,
Şikâyete konu olayda da cep telefonu numarasının doğrulandığı ama e-posta adresinin doğrulanmadığı, e-posta adresinin doğrulanmaması halinde ilgili kişiye şirket tarafından yalnızca “Hoşgeldiniz” bilgilendirmesinin gönderildiği ve sistem üzerindeki panelde kişinin e-posta adresinin “Doğrulama Bekleniyor” aşamasında kaldığı, buna ilave olarak e-posta doğrulaması yapılmamış bir hesaptan şirketin platformuna her giriş yapıldığında ilgili kişiye e-posta doğrulamasına ilişkin uyarı penceresinin gösterildiği,
E-posta doğrulaması yapılıp yapılmadığından bağımsız olarak tüm üyelere ilk etapta yalnızca iki adet e-postanın gidebildiği, nitekim ilgili kişinin başvurusunda da bu iki e-postaya yer verildiği ve başkaca bir e-postanın sunulmadığı, bu nedenle kontrolsüzce e-posta ve hatta e-postalar gönderildiği iddiasının soyut ve dayanaktan yoksun olduğu,
Şirket sistemi tarafından gönderilen e-postaların ilkinin “Hoşgeldiniz” bilgilendirmesi olduğu ve bu e-postanın üyeliğin başlatıldığına yönelik bilgilendirme içerdiği, “Hoşgeldiniz” bilgilendirmesinin içeriğinde yalnızca üyenin adı ve soyadı ile üyelik numarasının yer aldığı,
Gönderimin amacının üyeliğin oluşturulduğuna dair bilgi vermek ve ilgili kişinin şirket hesabına nasıl giriş yapabileceğini açıklamak olduğu, ikinci olarak ise eğer üyelik başvurusu sırasında ilgili kişi ticari elektronik ileti gönderilmesine onay vermiş ise Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik’in 7’nci maddesinin (3) numaralı fıkrası uyarınca hukuki yükümlülüğün yerine getirilmesi adına ilgili kişiye ticari elektronik ileti onayının alındığı bilgisinin verildiği,
Mezkûr madde uyarınca onayın elektronik ortamda alınması durumunda onayın alındığı bilgisinin -reddetme imkânı da tanınmak suretiyle- alıcının elektronik iletişim adresine 24 saat içinde iletilmesinin gerektiği, bu hükmün amacının esasen sehven bildirilen iletişim adreslerine ret imkânı sunmak olduğu,
İkinci e-postanın bu kapsamda üyelik oluşturma sırasında ticari elektronik ileti gönderimine elektronik ortamda onay verilmiş olması sebebi ile iletildiği, nitekim gönderilen e-postada hatalı kayıt ihtimâline binaen çıkma hakkının tanındığı, bununla birlikte ticari elektronik iletinin alındığına ilişkin e-postada herhangi bir kişisel veriye yer verilmediği,
Tekrar özetlemek gerekirse; şirketin platformuna üyelik başvurusu sırasında e-posta adresi verisi işlenirken öncelikle ilgili verinin şirket veri tabanında mevcut bir başka üye ile ilişkili olup olmadığının kontrol edildiği, eğer veri başka bir üyelik hesabı ile ilişkili değilse doğrulama zorunlu tutulmadan üyelik oluşturulduğu ve üyeye yalnızca yukarıda belirtilen iki bilgilendirme e-postasının iletilebildiği, üye ticari elektronik ileti onayı vermediyse kendisine yalnızca “Hoşgeldiniz” bildiriminin yapıldığı,
E-posta doğrulama işlemlerinin ise üyelik panelinde ilgili alandan doğrulama talebi yapıldığında e-posta adresine yönlendirilen iletideli adımlar izlenerek yapılabildiği, bu doğrulamanın üyenin bilgilendirme e-postalarını alabilmesinin ön şartı niteliğinde olduğu, dolayısıyla ilgili kişinin şikâyetinde iddia edildiği üzere şirket tarafından kontrolsüzce veri işlenmediği,
Şirketin sistemi üzerinde üyelik esnasında verilen e-posta adresi için üyenin doğrulamaya zorlanmamasının başlıca nedeninin hesaba MERNİS sistemi ile uyuşacak şekilde para transferi yapılmadığı müddetçe salt şirket platformu üyeliğinin hüküm ifade etmemesi olduğu, daha açık bir ifadeyle herhangi bir üyenin şirketin platformu üzerinde işlem yaparak oyun oynayabilmesi için öncelikle platformdaki hesabına para transferi yapmasının gerektiği, bu aşamada para aktarımının üye tarafından yapıldığına MERNİS kontrolü neticesinde emin olunduğu,
Yapılan işin doğası ve şirketin risk politikası gereğince para çekme veya yatırma işlemlerinde üyeye şirket uygulamaları haricinde iletişim kanallarından bilgilendirme yapılmadığı, para yatırma veya çekme gibi işlemlerde hiçbir şekilde şirket tarafından e-posta gönderilmediği ve yalnızca kuponlara isabet eden ikramiyeyle ilgili bilgilendirmeler ile oyunlara dair çeşitli bilgilerin e-posta adresinin doğrulanmış olması halinde yapıldığı, bu bilgilendirme tercihlerinin de üyelik paneli üzerindeki ayarlar sekmesinden kolaylıkla güncellenebildiği,
Gönderilen “Hoşgeldiniz” e-postasının üyelik oluşturma sırasında sehven yanlış girilen bir e-postaya iletilmesi halinde de iletiyi alan kişinin bu hatayı düzeltme imkânının bulunduğu, şöyle ki gönderilen e-posta içerisinde müşteri hizmetleri numarasının yer aldığı ve bu numara üzerinden müşteri hizmetlerinin her türlü soru, öneri ve şikâyet için 7 gün 24 saat hizmet vermekte olduğunun belirtildiği, nitekim şikâyet konusu olayda da ilgili kişinin şirkete e-posta vasıtası ile ulaşarak kendisinin şirketin platformu üzerinden hesap açmadığı bilgisini ilettiği ve e-posta adresine ileti gönderilmemesini talep ettiği,
Şirket tarafından ilgili kişiden gelen bildirimin derhal işleme alındığı ve aynı gün ilgili kişinin e-posta adresinin şirket sistemlerinden kaldırıldığı, öte yandan yanlış e-posta adresi ile kaydolan üye bakımından ise durumun üyelik e-postasının gelmemesi ile fark edilebileceği,
Huzurdaki incelemeye konu edilen şikâyeti kişisel verilerin korunması hukukuna hâkim ilkeler ışığında da ele almak istedikleri, bugün için kişisel verilerin korunması hukukunda veri sorumluları bakımından hâkim ilkenin “hesap verebilirlik” olduğunun kabul edildiği,
Hesap verebilir olmanın bir diğer anlamının da veri sorumlularına proaktif bir özen yükümlülüğü yüklenmesi olduğu, Kurulun 2020/966 sayılı İlke Kararında da bu özen yükümlülüğünün özellikle vurgulandığı, burada veri sorumlusunun özen yükümlülüğünün sınırını çizerken veya 6698 sayılı Kanun’da geçen “gerekli her türlü teknik ve idari tedbir”, “makul önlemler” gibi ifadelerde yer alan sınırlayıcı gerekli veya makul gibi ifadelerin yorumlanmasında hesap verebilirlik ilkesinin özellikle dikkate alınmasının gerektiği,
Kanun koyucunun veri sorumluları için getirdiği yükümlülüklerde “gerekli”, “makul” gibi sınırlamalar koyarken hesap verilebilirliği veri sorumlusunun faaliyetine bağlı olarak daralıp genişleyebilecek şekilde ölçülü olarak kurgulamayı amaçladığı, dolayısıyla veri sorumlusu tarafından alınacak önlemler veya uygulanacak teknik veya idari tedbirlerin veri sorumlusunun işlediği verilerle, tabi olduğu mevzuatla, iştigal konusuyla ve verilerin tabi olduğu riskle yakın ilgisinin bulunduğu,
Somut incelemede şirketin suç gelirlerinin aklanmasına ilişkin mevzuat ve şans oyunları mevzuatı gereği sıkı bir kimlik kontrolü yükümlülüğü altında olduğunun dikkate alınması gerektiği, bu yükümlülükleri kapsamında şirkete MERNİS üzerinden gerçekleşen kimlik kontrolü olmaksızın üyeliğin mümkün olmadığı, ayrıca şirketin iştigal sahasının şans oyunları olması nedeniyle işlenen verinin mahremiyeti dikkate alınarak şirket politikası olarak e-posta veya SMS vasıtası ile üyelerle minimum iletişimde bulunulduğu, bu çerçevede şirket bakımından gerekli idari ve teknik tedbirler ile makul önlemlerin sınırının özellikle e-posta adresi verisi gibi asgari düzeyde işlenen veriler bakımından daraldığı,
Şirket tarafından her türlü kişisel verinin işlenmesinde genel ilkelere uyulmasında azami özen gösterildiği, bu kapsamda geliştirme ve iyileştirme çalışmalarında kimlik verilerine odaklanılmış olmakla birlikte iletişim verilerine ilişkin doğrulama süreçlerinin geliştirilmesine de devam edildiği, bununla birlikte mevcut durumda doğrulanmamış iletişim bilgilerine kişisel veri içeren bilgilendirmelerin yapılmaması için gerekli tedbirlerin alındığı,
Kurulun 2020/966 sayılı İlke Kararına değinilecek olursa; söz konusu kararda özellikle bahsedilen verilerin fatura, ekstre, rezervasyon belgesi gibi pek çok kişisel veriyi ihtiva eden ve eksik/yanlış veri girişi nedeniyle üçüncü kişilere gönderilmesi mümkün olan veriler olduğunun anlaşıldığı, şirket tarafından yapılan iletişimde bu ve benzeri kişisel verilerin üyelere gönderilmediğinin detayıyla izah edildiği, dolayısıyla Kurulun 2020/966 sayılı İlke Kararı ile şikâyete konu olay arasında doğrudan bağ kurulmasının da hukuken mümkün olmadığı,
Yapılan inceleme kapsamında tartışılabilecek bir diğer hususun da şirketin gönderdiği “Hoşgeldiniz” e-postasında kişisel veri olup olmadığı konusu olduğu, 6698 sayılı Kanun’un 3’üncü maddesinde kişisel verinin “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlandığı, bu tanım doğrultusunda öne çıkan hususun verinin bir kişiyi belirli ya da belirlenebilir kılması olduğu, veri kendi başına ilgili kişiyi tespit etmeye elverişli değilse ancak başka verilerle birleştirildiği takdirde kişi belirlenebiliyorsa belirlilikten değil belirlenebilirlikten bahis açıldığı ancak bu defa da kişinin elinde olmayan hangi veriler esas alınarak belirlenebilirliğin tartışılması gerektiği sorununun ortaya çıktığı,
Şirketin gönderdiği “Hoşgeldiniz” e-postasında yer alan isim soy isim verisi ile üye numarası verisinin yanlış bir e-postaya gönderilmesi halinde ortada “belirlenebilir” bir kişisel veri olup olmadığının tartışılmasının gerekeceği, ad soyad verisinin pek çok halde herhangi bir tartışmaya mahal bırakmaksızın ilgili kişiyi doğrudan belirlenebilir kıldığı, ancak yine de bu savın her durumda geçerli olmadığı, pek çok kişinin aynı isim ve soy ismi taşıyabildiği, bu halde üçüncü kişi bakımından ad soyad verisinin tek başına ilgili kişiyi belirleyebilecek nitelikte olmayabileceği, öte yandan üyelik numarasının ise üçüncü kişi bakımından ilgili kişiyi belirleyebilecek nitelikte olmadığı, zira bu numaranın üyeye özel, üye tarafından değiştirilemez harf veya rakamlardan oluşan dizin olarak yalnızca şirket sistemi için anlamlı olduğu, ad soyad verisinin ise yalnızca şirketin iç sistemi için anlam ifade eden üye numarası verisi ile birlikte “belirlenebilir” olduğunun söylenemeyeceği kanaatinde oldukları, dolayısıyla gönderilen “Hoşgeldiniz” e-postasında her ne kadar isim soy isim verisi yer alsa da bu verinin belirlenebilir olmaması sebebiyle kişisel veri niteliğini haiz olmadığı,
Son olarak, 6698 sayılı Kanun’un en önemli ilkelerinden biri olan ve 6698 sayılı Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (b) bendinde yer yer alan “doğru ve gerektiğinde güncel olma” ilkesinin veri sorumlusunun çıkarına uygun olduğu gibi ilgili kişinin temel hak ve özgürlüklerinin korunması açısından da gerekli olduğu,
Kurum tarafından hazırlanan Kişisel Verilerin İşlenmesine İlişkin Temel İlkeler Rehberinde de belirtilmiş olduğu üzere bu yükümlülüğün tesisindeki en önemli hususun her zaman ilgili kişinin bilgilerini doğru ve güncel olmasını temin edecek kanalların açık tutulması olduğu, nitekim şirket tarafından sağlanan platform üzerinden üyelik sırasında verilen iletişim bilgilerinin her zaman görüntülenerek değiştirilme/düzeltilme/güncellenme imkânının bulunduğu

ifade edilmiştir.

Taraflarca dosyaya sunulan tüm bilgi ve belgeler dâhilinde konuya ilişkin yürütülen inceleme neticesinde, Kurulun 01/09/2022 tarihli ve 2022/853 sayılı kararı ile;

6698 sayılı Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlandığı,
Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesinde, kişisel verilerin ancak bu Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, buna göre, kişisel verilerin ancak; a) Hukuka ve dürüstlük kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ile d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceği,
Kanun’un 5’inci maddesinin kişisel verilerin işlenme şartlarını düzenlediği, maddenin (1) numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin, (2) numaralı fıkrasında ise, kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için veri işlemenin zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaati için veri işlenmesinin zorunlu olması hallerinde ilgili kişinin açık rızası olmaksızın kişisel verilerin işlenmesinin mümkün olduğunun hükme bağlandığı,
Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12’nci maddesinin (1) numaralı fıkrasında “Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” düzenlemesinin, (5) numaralı fıkrasında ise “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” düzenlemesinin yer aldığı,
İlgili kişinin şikâyeti kapsamında savunması istenen şirket tarafından “Şirketin ilgili mevzuat hükümleri uyarınca idareden aldığı yetki ile bizatihi idarenin düzenleyici olduğu regüle bahis piyasasında faaliyet gösteren bir sanal ortam bayii olduğu, yürüttüğü regüle faaliyet kapsamında kişisel verilerin korunmasına dair mevzuata ilave olarak veri işleme bakımından iki önemli yükümlülüğünün bulunduğu ve sistemlerinin anılan yükümlülüklerle uyumlu olarak tasarlandığı”nın vurgulandığı, buna karşın şirketin faaliyet alanına ilişkin özel mevzuat hükümleri uyarınca çeşitli yükümlülüklerinin bulunmasının 6698 sayılı Kanun’dan kaynaklanan yükümlülüklerden muaf olmasını/tutulmasını sağlamayacağı,
Bir gerçek kişinin kimliğini belirli veya belirlenebilir kılacak mahiyette olup da şirketin elektronik sistemlerinde kaydetme, depolama ve sair fiillere konu edilen isim-soy isim, e-posta adresi, telefon numarası, üyelik numarası gibi bilgilerin “kişisel veri” niteliğini haiz olduklarının açık olduğu, zira söz konusu bilgilerin şirket nezdinde üyelik hesabı bulunan herhangi bir kişinin kimliğini -Şirket veya herhangi bir diğer kişi tarafından kullanılabilecek makul tüm araçlar dikkate alındığında- şirket veya başka herhangi bir kişi için belirlenebilir kılmaya yeterli olduklarının kabul edilmesinin gerektiği, böyle bir kabulün de gerek 6698 sayılı Kanun’un 3’üncü maddesindeki “kişisel veri” tanımıyla gerek ülkemizin taraf olması vesilesiyle kişisel verilerin korunması mevzuatımızın bir parçası olan ve kamuoyunda “108 sayılı Sözleşme” olarak bilinen Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’nin “Tanımlar” başlıklı 2’nci maddesindeki “Kişisel veriler: Kimliği belirli veya belirlenebilir bir gerçek kişi (ilgili kişi) hakkındaki tüm bilgileri ifade eder.” tanımıyla gerekse de Kurulun yerleşik uygulamalarıyla uyumlu olduğu, kaldı ki halen yürürlükte olmasa da 6698 sayılı Kanun’un yapım aşamasında örnek alınan düzenlemeler arasında bulunan 95/46/EC sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifi (Direktif) adlı Avrupa Birliği düzenlemesinin başlangıç/giriş bölümünde yer alan ve “kişisel veri” kavramına dair de açıklamalar içeren (26) numaralı resitalde/gerekçede de aynı hususun teyit edildiği,
Her ne kadar şirket tarafından “ilgili kişiye gönderilen ‘Hoşgeldiniz’ mesajı içerisindeki verilerin somut olaydaki isim-soy isim bilgisinin yaygın olabileceğinden ve üyelik numarası bilgisinin de sadece şirket tarafından bilindiğinden bahisle kişisel veri niteliği taşımadığı” yönünde bir savunma yapılmışsa da söz konusu mesaj içerisinde beraber yer aldıkları görülen “isim-soy isim” ve “üyelik numarası” bilgilerinin somut olayda şirketin elektronik sistemine üye olan şahsı en azından şirket nezdinde belirlenebilir kılmaları dolayısıyla kişisel veri mahiyetinde oldukları, bununla birlikte belirli bir kişiye ait gibi görünen bilgilerin aslında yanlış olmaları (örneğin farklı bir kişiye ait olmaları) durumunda bu bilgilerin “kişisel veri” olma nitelikleri ortadan kalkmadığı için ilgili kişiye ait olduğu ama şirketin elektronik sistemine üyelik sahibi şahıs tarafından beyan edildiği anlaşılan e-posta adresi bilgisinin ilgili kişinin kişisel verisi olduğunun da unutulmaması gerektiği,
Somut olayda kişisel verilerin şirketin elektronik sistemlerinde kaydetme, depolama, paylaşma, sınıflandırma, aktarma ve sair fiillere konu edilmesinin birer “kişisel veri işleme faaliyeti” olarak adlandırılması gerektiği, bu durumda hem anılan kişisel verileri işleme faaliyetlerinin amaçlarını ve vasıtalarını belirleme gücünü haiz olduğu hem de veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olduğu anlaşılan şirketin “veri sorumlusu” sıfatını taşıyacağı konusunda herhangi bir şüphenin bulunmadığı,
Somut olayda veri sorumlusu tarafından ilgili kişinin e-posta adresine bilgisi ve rızası dışında iki adet e-postanın gönderildiğinin sabit olduğu, söz konusu gönderim kapsamında e-posta adresinin işlenmesinden ibaret olan kişisel veri işleme faaliyetlerinin öncelikle 6698 sayılı Kanun’un 5’inci maddesinde düzenlenen hukuki şartlardan en az birine dayanmasının gerektiği, buna rağmen ilgili kişinin e-posta adresi kişisel verisinin üçüncü bir şahıs konumunda olan üyelik sahibi kişi tarafından veri sorumlusunun sistemine kaydedildiği dikkate alındığında veri sorumlusu tarafından ilgili kişi hakkında yürütülen mezkûr kişisel veri işleme faaliyetleri sırasında 6698 sayılı Kanun’un 5’inci maddesinde düzenlenen herhangi bir hukuki şarta dayanılmadığı, ayrıca somut olayda veri sorumlusunun elektronik sisteminde kaydı bulunan üyenin “isim-soy isim” ve “üyelik numarası” kişisel verilerinin ilgili kişiyle paylaşılmasından ibaret olan kişisel veri işleme faaliyeti açısından da anılan şartlardan herhangi birine dayanılmadığı,
Şikâyete konu olayda asıl üyenin “isim-soy isim” ve “üyelik numarası” kişisel verilerinin 6698 sayılı Kanun’un 5’inci maddesinde düzenlenen herhangi bir hukuki şarta dayanılmadan ilgili kişi ile paylaşılmasının aynı zamanda bir “kişisel veri ihlali” niteliği taşıdığı göz önünde bulundurulduğunda; veri sorumlusu tarafından 6698 sayılı Kanun’un 12’nci maddesinin (5) numaralı fıkrası kapsamındaki “ilgili kişiye ve Kurula bildirim yükümlülüğü”ne de uyulmadığı sonucuna ulaşıldığı,
İlgili kişinin şikâyetinde yer verdiği iddialara cevaben, veri sorumlusunca “Şirket tarafından sağlanan platform üzerinden üyelik sırasında verilen iletişim bilgilerinin her zaman görüntülenerek değiştirilme/düzeltilme/güncellenme imkânının mevcut olmasının şirketin 6698 sayılı Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (b) bendindeki ‘Doğru ve gerektiğinde güncel olma’ genel ilkesine uygun hareket ettiğini gösterdiği” yönünde bir savunma yapılmış olmasına karşılık; 6698 sayılı Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (b) bendindeki “Doğru ve gerektiğinde güncel olma” genel ilkesinin veri sorumlularının uyması gereken bir zorunluluğa işaret ettiği ve bu konuda gerekli tedbirleri almamış ya da alamamış olan veri sorumlularının “mezkûr zorunluluğa uyumlarını ilgili kişilerin uhdesine/keyfiyetine bırakmış oldukları” veya “ilgili kişilere iletişim bilgisi görüntüleme, değiştirme, düzeltme ve güncelleme imkânı verilmesinin mezkûr zorunluluklarına uyduklarını gösterdiği” yönünde savunmalar yaparak sorumluluktan kurtulmalarının bahsi geçen düzenlemenin sözüne ve ruhuna aykırı olacağı,
Zaten Kurulun 22/12/2022 tarihli ve 2020/966 sayılı İlke Kararındaki ifadelerin de veri sorumlularının 6698 sayılı Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (b) bendindeki zorunluluğa uymak için aktif bir şekilde adımlar atması gerektiğine işaret ettiği, bu kapsamda kullanıma sunduğu sistem özelinde 6698 sayılı Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (b) bendindeki “Doğru ve gerektiğinde güncel olma” genel ilkesinden kaynaklanan zorunluluğa uymak konusunda aktif adımlar atmadığı anlaşılan veri sorumlusunun somut olaydaki kişisel veri işleme faaliyetlerinin mezkûr genel ilkeye aykırı olduklarının açık olduğu,
Veri sorumlusunun yukarıdaki bölümlerde “Şirketin kişisel veri işleme faaliyetleri sırasında ‘hesap verebilirlik’ yaklaşımını benimsediği, ilgili kişinin şikâyetinde atıf yaptığı Kurulun 2020/966 sayılı İlke Kararının -kararda özellikle bahsedilen verilerin fatura, ekstre, rezervasyon belgesi gibi pek çok kişisel veriyi ihtiva eden ve eksik/yanlış veri girişi nedeniyle üçüncü kişilere gönderilmesi mümkün olan veriler olması nedeniyle- somut olayda uygulama alanı bulmasının mümkün olmadığı” olarak özetlenen savunmasının da Kurulun 22/12/2022 tarihli ve 2020/966 sayılı İlke Kararında örnek kabilinden sayılan bilgi ve/veya belgelerin sınırlı sayıda olmaması, ilgili kişilerin hukuka aykırı kişisel veri işleme faaliyetleri sonucunda görebilecekleri zararların veri sorumlusunun öngörüsünün aksine sadece maddi değil manevi nitelik de taşıyabilecek olması, “6698 sayılı Kanun’un 15’inci maddesinin (6) numaralı fıkrasına dayanan ilke kararlarının şikâyet üzerine veya resen yapılan inceleme sonucunda ihlalin yaygın olduğunun tespit edilmesi hâlinde Kurul tarafından alınıp yayımlanan ‘yol gösterici’ mahiyette kararlar olması ve inceleme konusu bir şikâyet kapsamında 6698 sayılı Kanun’un 4’üncü maddesinin uygulama alanı bulabilmesi için Kurulun almış olduğu bir ilke kararına dayanmak zorunda olmaması nedenleriyle geçerli bir savunma olmadığı,
Veri sorumlusunun ilgili kişinin şikâyetine ilişkin savunmaları içerisinde “Şirket tarafından işlenen kişisel veriler kapsamında iletişim verilerinin şirketin risk politikası gereğince MERNİS üzerinden doğrulanan bazı kimlik verilerine kıyasla ikincil öneme sahip olduğu, buna rağmen şirketin üyelerinin iletişim verilerinin kontrollü bir şekilde işlenmesi için gerekli mekanizmalara sahip olduğu” yönündeki ifadeler ele alınacak olursa; 6698 sayılı Kanun’da kişisel verilerin veri sorumluları için taşıdıkları önem dereceleri gözetilerek sınıflandırılması gerektiğini ifade eden bir düzenlemenin bulunmadığı, dolayısıyla veri sorumlusunun “kendisi için daha çok önem arz eden verileri daha çok denetlediği ama iletişim verileri bakımından böyle bir denetimin o kadar da gerekli olmadığı” anlamına gelebilecek savunmalarının da kabul edilebilir nitelikte olmadığı, ayrıca günümüzde “ilgili kişi” sıfatını haiz kişilerin iletişim verileri kullanılarak yürütülen ve “oltalama” gibi yöntemlere dayanan çeşitli illegal faaliyetler sonucunda bazı mağduriyetlerin yaşanabildiği göz önüne alındığında iletişim verilerinin güvenliklerinin sağlanmasının önemsiz olduğunun söylenemeyeceği, öte yandan bir üyesi tarafından yanlış ve/veya hatalı bildirilmesi nedeniyle “üçüncü kişi” konumundaki ilgili kişiye e-postalar gönderdiği sabit olan veri sorumlusu için “üyelerinin iletişim verilerinin kontrollü bir şekilde işlenmesi için gerekli mekanizmalara sahip olduğu” yönünde bir niteleme yapabilmenin de mümkün olmadığı,
Veri sorumlusunun ilgili kişinin şikâyetine ilişkin savunmaları kapsamında “veri sorumlusunun üyeleri ile ana iletişim kanalı olarak cep telefonu numarasını kabul ettiği, bu yüzden e-posta iletişim bilgisi için doğrulamanın üyelik başvurusu anında yapılmadığı ve e-posta iletişim bilgisini doğrulamayan üyelerin bildirdikleri e-posta adreslerine veri sorumlusu tarafından en fazla iki e-postanın gönderildiği, ayrıca hatalı bildirilen e-posta adresi sahiplerinin veri sorumlusu ile iletişime geçerek ret imkanına sahip oldukları” yönündeki beyanları karşısında; “veri sorumlusunun üyeleri ile ana iletişim kanalı olarak cep telefonu numarasını kabul ettiği, bu yüzden e-posta iletişim bilgisi için doğrulamanın üyelik başvurusu anında yapılmadığı” gibi bir savunmanın veri sorumlusu tarafından üyelerinin e-posta adresleri hakkında yürütülen kişisel veri işleme faaliyetleri bakımından kişisel verilerin korunması alanına hâkim olan ve 6698 sayılı Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (ç) bendinde düzenlenen “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” genel ilkesi ile somutlaştırılan “veri minimizasyonu ilkesi”ne de uyulmadığını gösterdiği, zira ana iletişim kanalı olarak kullanılmayan ve aslında hiç işlenmemiş olsa da veri sorumlusunun üyelerine sunduğu hizmetleri aksatmayacağı anlaşılan bir iletişim verisinin veri sorumlusu tarafından işlenmesinin “veri minimizasyonu ilkesi”ne aykırı olacağı,
Veri sorumlusunun “üyeleri ile ana iletişim kanalı olarak cep telefonu numarasını kabul ettiği, bu yüzden e-posta iletişim bilgisi için doğrulamanın üyelik başvurusu anında yapılmadığı ve e-posta iletişim bilgisini doğrulamayan üyelerin bildirdikleri e-posta adreslerine veri sorumlusu tarafından en fazla iki e-postanın gönderildiği, ayrıca hatalı bildirilen e-posta adresi sahiplerinin veri sorumlusu ile iletişime geçerek ret imkanına sahip oldukları” yönündeki savunması karşısında ayrıca; ilgili kişilere hukuka aykırı kişisel veri işleme faaliyeti teşkil edecek şekilde tek bir e-posta gönderilmesinin yeterli olduğu bu anlamda e-posta sayısının hukuka aykırılığın mevcudiyeti açısından herhangi bir fark yaratmayacağı, ilaveten veri sorumlusunun mevcut sisteminin veri sorumlusuyla herhangi bir ilişkisi bulunmayan ilgili kişileri veri sorumlusundan bildirim e-postaları almamak için aktif eylemlerde bulunmaya zorluyor olması sebebiyle 6698 sayılı Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (a) bendinde düzenlenen “Hukuka ve dürüstlük kurallarına uygun olma” genel ilkesine uygun olmadığının da kabul edilmesi gerektiği, bu durumda veri sorumlusunun “hatalı bildirilen e-posta adresi sahiplerinin veri sorumlusu ile iletişime geçerek ret imkanına sahip oldukları” yönündeki savunmasının da geçerli olmadığının açık olduğu,
Veri sorumlusunca ilgili kişinin veri sorumlusuna kimliğinin doğrulanmasına imkân verecek bir başvuru yapmadığından bahisle “ilgili kişinin şikâyetinin 6698 sayılı Kanun’un 14’üncü maddesinde düzenlenen usule aykırı olduğu” yönündeki savunması karşısında; taraflarca dosyaya sunulan bilgi ve belgelerden ilgili kişinin veri sorumlusuna e-posta üzerinden yaptığı başvurunun yukarıdaki bölümde paylaşılan mevzuat hükümlerine uygun bir başvuru olmadığının anlaşıldığı, bununla birlikte söz konusu e-posta başvurusuna cevaben veri sorumlusu tarafından gönderilecek bir e-posta marifetiyle “başvurunun işleme alınabilmesi için mevzuata uygun şekilde yapılması gerektiği” yönünde ilgili kişinin bilgilendirilmesi ve yönlendirilmesi imkânı varken ilgili kişinin başvurusunun veri sorumlusunca sanki hukuka uygun bir başvuruymuş gibi ele alındığı (konu hakkında ilgili kişinin e-postasında paylaşmış olduğu cep telefonu numarası üzerinden ilgili kişiye bilgi verildiği, ayrıca talep edilen hususlardan biri hakkında ilgili kişinin e-postasına yazılı olarak cevap da iletildiği) dikkate alındığında konuya ilişkin Kurulca bir inceleme başlatıldıktan sonra “ilgili kişi tarafından veri sorumlusuna yapılan başvurunun hukuka aykırı olduğu” itirazının ileri sürülmesinin 4721 sayılı Türk Medeni Kanunu’nun 2’nci maddesinde düzenlenen ve 6698 sayılı Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesi çerçevesinde de her türlü veri işleme faaliyetinde esas alınması gerektiği şeklinde ifadesini bulan “dürüstlük kurallarına uygun hareket etme” yükümlülüğüne aykırı olacağı, dolayısıyla ilgili kişinin şikâyetine istinaden veri sorumlusu hakkında başlatılan incelemede usule dayanan herhangi bir hukuka aykırılığın bulunmadığı

değerlendirmelerinden hareketle;

Veri sorumlusunun kişisel veri işleme faaliyetlerini yürüttüğü elektronik sistemi 6698 sayılı Kanun’un 4’üncü maddesinin (2) numaralı fıkrasında düzenlenen “Hukuka ve dürüstlük kurallarına uygun olma”, “Doğru ve gerektiğinde güncel olma” ve “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” genel ilkelerine uygun tasarlamamış/tasarlatmamış olmasından dolayı hem ilgili kişinin kişisel verisi olan e-posta adresini 6698 sayılı Kanun’un 5’inci maddesinde öngörülen herhangi bir hukuki şarta dayanmaksızın işlediği hem de bir üyesinin “isim-soy isim” ve “üyelik numarası” kişisel verilerini 6698 sayılı Kanun’un 5’inci maddesinde öngörülen herhangi bir hukuki şarta dayanmaksızın “üçüncü şahıs” konumundaki ilgili kişi ile paylaştığı kanaatine varıldığından; veri sorumlusunun anılan fiillerinin 6698 sayılı Kanun’un veri güvenliğine ilişkin yükümlülüklerin düzenlendiği 12’nci maddesinin (1) numaralı fıkrasının (a) bendi hükmüne aykırılık teşkil ettiği dikkate alınarak 6698 sayılı Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendine istinaden veri sorumlusu hakkında 250.000 TL idari para cezası uygulanmasına,
Veri sorumlusunun şikâyete esas elektronik sisteminin 6698 sayılı Kanun’un 4’üncü maddesinin (2) numaralı fıkrasındaki genel ilkelere aykırılık teşkil ettiği değerlendirildiğinden; doğrulanmamış iletişim kanalına kişisel veri içerikli herhangi bir gönderi yapılmaması bu kapsamda söz konusu sistemin 6698 sayılı Kanun’a uyumlu hale getirilmesini teminen Kurulun 22/12/2020 tarihli ve 2020/966 sayılı İlke Kararı da dikkate alınarak gerekli çalışmaların yapılması ve sonuçtan Kurula bilgi verilmesi konusunda veri sorumlusunun talimatlandırılmasına,
Şikâyete konu olayda asıl üyenin kişisel verilerinin şikâyetçi ile paylaşılmasının aynı zamanda kişisel veri ihlali niteliği taşıdığı dikkate alındığında bundan sonraki süreçlerde meydana gelebilecek veri ihlallerinde 6698 sayılı Kanun’un 12’nci maddesinin (5) numaralı fıkrası kapsamında ilgili kişilere ve Kurula bildirim yapılması gerektiği hususunun veri sorumlusuna hatırlatılmasına

karar verilmiştir.

04.Ağustos.2022: “İlgili kişinin bir şirket ile iş görüşmesi yaptığı bilgisi ile görüşmenin içeriği hakkındaki muhtelif bilgilerin iş görüşmesi yapılan şirket tarafından halihazırdaki iş yeri ile paylaşılması"

Karar Tarihi	:	04/08/2022
Karar No	:	2022/798
Konu Özeti	:	İlgili kişinin bir şirket ile iş görüşmesi yaptığı bilgisi ile görüşmenin içeriği hakkında muhtelif bilgilerin iş görüşmesi yapılan şirket tarafından halihazırdaki işyeri ile paylaşılması

Kuruma intikal eden şikayette özetle; ilgili kişinin halihazırda bir şirket bünyesinde çalışmakta iken başka bir şirkete iş görüşmesi yapmak maksadıyla davet edildiği ve iş görüşmesinin gerçekleştirildiği, iş görüşmesi yapan veri sorumlusu şirket tarafından, ilgili kişinin halihazırda çalışmakta olduğu şirket hakkında itibarını zedeler nitelikte birçok beyanda bulunduğu bilgisinin ilgili kişinin mevcut iş yeri ile paylaşıldığı, bunun neticesinde ilgili kişinin mevcut iş yeri tarafından ücretsiz izne çıkarıldığı, bu durum üzerine ilgili kişi tarafından iş sözleşmesinin feshi için ihtarname gönderildiği, iş yeri tarafından ihtarnameye verilen yanıtta ilgili kişinin başka bir şirket ile iş görüşmesi yaptığı, ayrıca ilgili kişinin halihazırdaki iş yeri hakkında bir takım söylemlerde bulunduğu, bu durumun iş görüşmesi yaptığı veri sorumlusu şirket tarafından kendilerine iletildiği bilgilerine yer verildiği, dolayısıyla ihtarnameye verilen yanıtta ilgili kişinin iddialarının tevsik edildiği, akabinde ilgili kişi tarafından kişisel verilerinin işlenip işlenmediği, kişisel verilerinin kimlerle paylaşıldığı konularında bilgi edinmek, ayrıca maddi ve manevi zararların tazmini ile kişisel verilerinin silinmesini talep etmek suretiyle iş görüşmesi yapan veri sorumlusuna başvuruda bulunulduğu ancak yasal süresi içerisinde yanıt verilmediği belirtilerek veri sorumlusu hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

Öncelikle ilgili kişinin başvurusuna cevap verilmediği iddiası ile ilgili olarak, ilgili kişinin vekili aracılığıyla tarafları aleyhine Cumhuriyet Başsavcılığına "Hukuka Aykırı olarak Kişisel Verileri Kaydetmek, Özel Hayatın Gizliliğinin İhlal Etmek, Hukuka Aykırı Verileri Ele Geçirmek veya Yaymak” suçlamalarıyla yaptığı şikayet üzerine Başsavcılık Makamı tarafından soruşturma başlatıldığı, soruşturma dosyasının hukuken sonuca bağlanılmasının beklenilmesi nedeniyle ilgili kişinin başvurularına cevap verilmediği,
Cumhuriyet Başsavcılığı tarafından soruşturmaya konu olayla ilgili olarak "Kovuşturmaya Yer Olmadığına Dair Karar” verildiği,
Söz konusu Kararda “… paylaşılan bilginin müştekinin özel yaşam alanına ilişkin bir bilgi niteliğinde bulunmadığı gibi müştekinin sürekli denetim ve gözetim altına alınması sonucu elde edilmiş özel hayatın gizliliğini ihlale yol açan bir bilgi niteliğinde de olmadığı, TCK.nun 135 ve 136. maddelerinde düzenlenen 'Kişisel Verilerin Kaydedilmesi' ve 'Verileri hukuka aykırı olarak verme veya ele geçirme 'suçlarının konusunu oluşturan Kişisel Veri kavramından, kişinin, yetkisiz üçüncü kişilerin bilgisine sunmadığı, istediğinde başka kişilere açıklayarak ancak sınırlı bir çevre ile paylaştığı, herkes tarafından bilinmeyen ve/veya kolaylıkla ulaşılması ve bilinmesi mümkün olmayan, kişinin ve onun niteliklerini belirleyen veya belirlenebilir kılan, kişiyi toplumda yer alan diğer bireylerden ayıran ve onun niteliklerini ortaya koymaya elverişli, gerçek kişiye ait her türlü bilginin anlaşılması gerektiği, kişinin özel hayata ilişkin olmayan bilgilerin rızaya aykırı olarak paylaşılmasının kişilik hakkını ihlal edeceği fakat şüphelinin eyleminin ancak özel hukuk yaptırımlarını gerektirebileceği, söz konusu kişilik hakkının ihlali, özel hayatın gizliliğini ihlal suçunu oluşturmayacağı, bu haliyle atılı suçların unsurlarının oluşmayacağı anlaşılmakla,… 1-Soruşturmaya konu olayla ilgili olarak şüpheli hakkında kamu adına kovuşturma yapılmasına yer olmadığı, …” hususlarına yer verildiği
İşlenen verilerin ilgilinin kâğıt ortamında muhafaza edilen özgeçmişinde yer alan bilgiler olduğu, alınan CV ile dijital, mülakat esnasında başvuru formu üzerine bilgi işlemek suretiyle fiziksel ve kameralar vasıtasıyla da görsel veri toplamak suretiyle kişisel verilerin elde edildiği,
Kanun’un 5’nci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” hükmü ve aynı fıkrasının (f) bendinde yer alan “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.” hükmü uyarınca kişisel verilerin işlendiği,
İnsan kaynakları süreçlerinin planlanması, çalışan ve stajyer adayı seçme ve yerleştirme süreçlerinin yürütülmesi, yeni eleman istihdam edilmesi, adayları inceleme ve istihdam edilecek yeni adayın tespit edilmesi, çalışan adaylarının başvuru süreçlerinin yürütülmesi ve doğru değerlendirilebilmesi amaçlarıyla kişisel verilerin işlendiği,
İlgili kişinin şirketlerince işlenen kişisel verilerinin herhangi bir üçüncü kişiye aktarılmadığı, bu iddia hakkında Başsavcılığın kararının da Kuruma iletildiği,

ifade edilmiştir.

Konuya ilişkin olarak yapılan incelemede Kişisel Verileri Koruma Kurulunun 04/08/2022 tarihli ve 2022/798 sayılı Kararı ile;

Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlandığı,
Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesinde, kişisel verilerin ancak bu Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, buna göre, kişisel verilerin ancak; a) Hukuka ve dürüstlük kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ile d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceği,
Kanun’un 5’inci maddesinin kişisel verilerin işlenme şartlarını düzenlediği, maddenin (1) numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin, (2) numaralı fıkrasında ise, kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için veri işlemenin zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaati için veri işlenmesinin zorunlu olması hallerinde ilgili kişinin açık rızası olmaksızın kişisel verilerin işlenmesinin mümkün olduğunun hükme bağlandığı,
Kanun’un “Kişisel Verilerin Aktarılması” başlıklı 8’inci maddesinde ise “(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. (2) Kişisel veriler; a) 5 inci maddenin ikinci fıkrasında, b) Yeterli önlemler alınmak kaydıyla 6’ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir. (3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” hükmünün yer aldığı,
İlgili kişinin şikâyet dilekçeleri incelendiğinde; 21.06.2021 ve 11.11.2021 tarihli dilekçeler ile veri sorumlusuna başvuruda bulunulduğu ve söz konusu başvuruların 23.06.2021 ve 16.11.2021 tarihlerinde veri sorumlusuna teslim edildiğinin posta alındıları ile tevsik edildiği,
Veri sorumlusu tarafından Kuruma iletilen cevabi yazıda ilgili kişinin veri sorumlusunun yöneticisi aleyhine Cumhuriyet Başsavcılığına "Hukuka Aykırı olarak Kişisel Verileri Kaydetmek, Özel Hayatın Gizliliğinin İhlal Etmek, Hukuka Aykırı Veri Ele Geçirmek veya Yaymak" suçlamalarıyla yaptığı şikayet üzere başlatılan soruşturmanın akıbetinin beklendiği iddia edilmekle birlikte söz konusu soruşturmanın şirket çalışanı ile ilgili olduğunun anlaşıldığı, ayrıca konu hakkında soruşturma yürütülmesinin Kanun ve Tebliğ hükümlerinin uygulanmayacağı anlamına gelmediği, bu çerçevede, ilgili kişinin Tebliğ’e uygun olarak veri sorumlusuna yapılmış başvurularına yasal süresi içerisinde cevap verilmemesi sebebiyle Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 6’ncı maddesinin (1) numaralı fıkrasında yer alan “Veri sorumlusu bu Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlüdür.” hükmüne aykırı davranıldığı,
Öte yandan Cumhuriyet Başsavcılığının “Kovuşturmaya Yer Olmadığına Dair Karar”ı incelendiğinde ilgili kişinin söz konusu soruşturmada müşteki sıfatı ile yer aldığı, suç tarihinin ise 05.02.2021 olduğunun anlaşıldığı, söz konusu Kararda “kişinin özel hayata ilişkin olmayan bilgilerin rızaya aykırı olarak paylaşılmasının kişilik hakkını ihlal edeceği fakat şüphelinin eyleminin ancak özel hukuk yaptırımlarını gerektirebileceği, söz konusu kişilik hakkının ihlalinin, özel hayatın gizliliğini ihlal suçunu oluşturmayacağı..” belirtilerek şüpheli hakkındaki şikâyetin Türk Ceza Kanunu kapsamında suç unsuru barındırmadığı yönünde karar tesis edildiğinin anlaşıldığı,
Şikâyete konu olay kapsamında, ilgili kişi tarafından şikâyet edilen tarafın veri sorumlusu sıfatı ile ilgili kişinin kişisel verilerini işlediği ve inceleme konusunun Kanun çerçevesinde değerlendirmeye tabi tutulacağı, bu kapsamda Cumhuriyet Başsavcılığı tarafından kovuşturmaya yer olmadığına dair verilen kararın Türk Ceza Kanunu çerçevesinde yapılan değerlendirme sonucu verildiği, verilen Kararın Kurum tarafından yürütülen inceleme kapsamında bir etkisi bulunmadığı ayrıca Kararda “kişinin özel hayata ilişkin olmayan bilgilerin rızaya aykırı olarak paylaşılmasının kişilik hakkını ihlal edeceği” yönünde değerlendirmede bulunulduğunun görüldüğü,
Bu çerçevede, ilgili kişi tarafından Kuruma iletilen şikâyet dilekçesinin ekleri incelendiğinde; mevcut işyeri tarafından ilgili kişiye iletilen cevabi ihtarnamede “…evden çalıştığınız bu süreçte sadakat yükümlülüğüne aykırı davrandığınız, başka şirketlerle iş görüşmeleri yaptığınız ve bu görüşmelerde müvekkilin sektör paydaşlarına karşı prestijini zarara uğrattığınız tespit edilmiştir. Halen müvekkil şirkette çalışmakta iken ….. tarihinde …. Şirket ofisinde yaptığınız iş görüşmesinde müvekkil şirket ile ilgili oldukça kötü söylemlerde bulunduğunuz … Şirket tarafından tarafımıza iletilmiştir…” ifadelerine yer verildiği,
Şikâyete konu somut olayda ilgili kişinin veri sorumlusu ile iş görüşmesi gerçekleştirdiği ve bu görüşmede halihazırda çalışmakta olduğu iş yeri hakkında kötü söylemlerde bulunduğu bilgisinin veri sorumlusu tarafından üçüncü kişilerle paylaşıldığı iddiasına karşılık veri sorumlusu tarafından bu hususa ilişkin olarak; ilgili kişinin şirketlerince işlenen kişisel verilerinin herhangi bir üçüncü kişiye aktarılmadığı belirtilmekle birlikte ilgili kişinin çalışmakta olduğu şirket tarafından ilgili kişiye iletilen ihtarnamede bu hususlara açık bir şekilde yer verildiği,
Veri sorumlusu tarafından ilgili kişinin mülakat esnasında başvuru formu üzerine bilgilerinin işlendiği ve özgeçmişinde yer alan bilgilerinin Kanun’un 5’nci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” hükmü ve aynı fıkrasının (f) bendinde yer alan “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hükmü uyarınca kişisel verilerin işlendiğinin belirtilmekle birlikte işverenlerin işçi ile akdedilecek iş sözleşmesi çerçevesinde adayın pozisyona uygunluğunu tespit etmek amacıyla işin gerektirdiği menfaatler kapsamında birtakım kişisel verileri işlemesinin mümkün olacağı, iş sözleşmesinin kuruluşu öncesinde işverenin yönetim hakkı kapsamında adayın uygunluğunu belirlemek amacıyla kişisel verileri işleme hakkı bulunduğu ancak söz konusu bilgilerin Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine de uygun olarak işlenmesi gerektiği,
Bu çerçevede veri sorumlusu tarafından ilgili kişinin kendileri ile iş görüşmesi yaptığı bilgisi ile iş görüşmesinde ilgili kişinin halihazırda çalışmakta olduğu iş yeri hakkında birçok beyanda bulunduğu bilgisinin ilgili kişinin çalıştığı şirkete hukuka aykırı olarak aktarıldığı, bu aktarımın Kanun’un 8’inci maddesinde yer alan veri aktarımına yönelik şartlarından herhangi birine dayanılmaksızın gerçekleştirildiği,

değerlendirmelerinden hareketle;

İlgili kişinin Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e uygun olarak yapılmış başvurularına veri sorumlusu tarafından yasal süresi içerisinde cevap verilmemesi sebebiyle Tebliğ hükümlerinin uygulanmasına azami dikkat ve özen gösterilmesi hususunda veri sorumlusunun uyarılmasına,
Veri sorumlusu tarafından ilgili kişinin şirketleri ile iş görüşmesi yaptığı bilgisi ile iş görüşmesinde ilgili kişinin halihazırda çalışmakta olduğu iş yeri hakkında birçok söz beyan ettiği bilgisinin aktarılması faaliyetinin Kanun’un 8’nci maddesine uygun şekilde gerçekleştirilmediği değerlendirilmekte olup bu durumun Kanun’un 12’nci maddesinde yer verilen “veri sorumlusu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır” hükmüne aykırılık teşkil etmesi nedeniyle, veri sorumlusunun 1997 yılından beri faaliyet gösterdiği, Türkiye genelinde 7 ofis, 1 depo ve 135 çalışan ile lojistik faaliyetlerini yürüttüğü ve ilgili kişinin başvurularına yasal süresi içerisinde yanıt vermediği de dikkate alınarak veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 100.000 TL idari para cezası uygulanmasına

karar verilmiştir.

04.Ağustos.2022: “Bir üniversite hastanesi tarafından ilgili kişinin sağlık verilerinin idari bir davaya esas teşkil etmek üzere talebine binaen davalı kamu kurumuna aktarılması"

Karar Tarihi	:	04/08/2022
Karar No	:	2022/790
Konu Özeti	:	Bir üniversite hastanesi tarafından ilgili kişinin sağlık verilerinin idari bir davaya esas teşkil etmek üzere talebine binaen davalı kamu kurumuna aktarılması

Kuruma iletilen şikayet dilekçesinde özetle; bir kamu kurumu ile ilgili kişi arasında idare mahkemesi nezdinde yürütülen dava dosyası ile ilgili olarak davalı kamu kurumu tarafından üniversite hastanesinden birtakım bilgilerin talep edildiği, söz konusu talep üzerine üniversite hastanesi tarafından ilgili kişiye ait sağlık verilerinin kamu kurumuna teslim edildiği, üniversitenin yapmış olduğu ihlal nedeni ile ilgili kişinin manevi zarara uğradığı ve bu kapsamda manevi tazminat talebinde bulunulduğu, üniversite tarafından yapılan hukuka aykırı eylem nedeni ile hastanede gerçekleşen muayenesi sonucunda ilgili kişi için düzenlenen hasta anamnez formunda belirtilen “… ara sıra tek tük esrar kullanmak zorunda kaldığını söylüyor" içerikli beyan üzerine hakkında Cumhuriyet Başsavcılığına suç duyurusunda bulunulduğu, ilgili kişinin gözaltında kaldığı, konutu ve arabasının arandığı, ilgili kişinin üniversite hastanesinde çalışmakta olan doktora böyle bir beyanda bulunmadığı, üniversite hastanesinde çalışmakta olan doktorun sorusuna verdiği cevabın doktor tarafından yanlış anlaşılarak hasta muayene bilgilerinin hikaye bölümüne yanlış şekilde yazıldığı, yapılan soruşturma neticesinde ilgili kişi hakkında kovuşturmaya yer olmadığına dair karar verildiği, uyuşturucu madde kullanmadığının Cumhuriyet Başsavcılığının Kararı ile sabit olduğu, bu nedenle ilgili kişiye ait sağlık dosyasında “esrar maddesi kullanıldığına ilişkin verilerin ve bilgilerin silinmesi”nin talep edildiği, belirtilen taleplerine ilişkin olarak başvurusuna üniversite tarafından cevap verilmediği ifade edilerek üniversite hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Başlatılan inceleme çerçevesinde söz konusu iddialara ilişkin veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

Kamu kurumunun istemi üzerine ilgili kişiye ait üniversite hastanesi kayıtlarında mevcut olan İstirahat Raporu, Anamnez Formları, Epikriz Raporları, Konsültasyon Formları, Hasta Medikal Klinik Seyir Bilgileri, Patoloji Raporu, Radyoloji Raporlarının, 1 (bir) adet CD içeriğinde görevli personele teslim edildiği,
İlgili kişinin manevi tazminat ödenmesi talebinin 2577 sayılı İdari Yargılama Usulü Kanunu’nun "İdari Makamların Sükutu" başlıklı 10’uncu maddesi kapsamında zımnen reddedildiği,
Kişisel verilerin Kanun’un "Kişisel Verilerin Aktarılması" başlıklı 8’inci maddesinin (2) numaralı fıkrasının (b) bendine dayalı olarak aktarıldığı,
İlgili kişinin kişisel verilerinin silinmesi için üniversiteye herhangi bir müracaatının bulunmadığı,
İlgili veriler, Doktor-Hasta görüşmeleri neticesinde Hastane Bilgi Yönetim Sistemine girildiği için verilerin silinemediği

ifade edilmiştir.

Konuya ilişkin olarak yapılan incelemede Kişisel Verileri Koruma Kurulunun 04/08/2022 tarihli ve 2022/790 sayılı Kararı ile;

6698 sayılı Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlandığı,
Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesinde, kişisel verilerin ancak bu Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, buna göre, kişisel verilerin ancak; a) Hukuka ve dürüstlük kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ile d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceği,
Kanun’un “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6’ncı maddesinin
(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verdir.
(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır. şeklinde düzenlendiği,
Veri sorumlusu tarafından kamu kurumuna teslim edilen istirahat raporu, anamnez formları, epikriz raporları, konsültasyon formları, hasta medikal klinik seyir bilgileri, patoloji raporu, radyoloji raporları ve 1 (bir) adet CD’de yer alan ilgili kişiye ilişkin sağlık verilerinin, Kanun’un 6’ncı maddesinin (1) numaralı fıkrasına göre özel nitelikli kişisel veri olduğu,
Kanun’un 8’inci maddesinin (2) numaralı fıkrasının (b) bendinde belirtilen Kanun’un 6’ncı maddesinin (3) numaralı fıkrasında sağlık ve cinsel hayata ilişkin kişisel verilerin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceğinin düzenlendiği,
Kamu kurumunun yazısında söz konusu verilerin talep edilmesinin sebebinin “yürütülmekte olan bir İdari Davaya esas teşkil etmek üzere” şeklinde belirtildiği, öte yandan ilgili kişinin şikayet dilekçesinde idare mahkemesi nezdinde devam eden dava dosyasında davacı tarafın söz konusu kamu kurumunda çalışan ilgili kişi, davalı tarafın ise kamu kurumu olduğunun beyan edildiği, veri sorumlusunun Kanun’un 8’inci maddesinin (2) numaralı fıkrasının (b) bendine yönelik savunması dikkate alındığında ilgili kişi ile kamu kurumu arasında devam eden idari dava nedeniyle talep edilen özel nitelikli kişisel verilerin veri sorumlusu üniversite tarafından kamu kurumuna aktarılmasına ilişkin işleme faaliyetinde Kanun’un 6’ncı maddesinde yer alan şartların mevcut olmadığı,
Diğer taraftan, veri sorumlusu tarafından kamu kurumunun yazısında talep edilenden fazla bilgi ve belgenin tesliminin gerçekleştirildiğinin tespit edildiği, şöyle ki, kamu kurumunun yazısında ilgili kişinin belirtilen tarihlerde ameliyat işlemi geçirip geçirmediği, ameliyat geçirmedi ise rahatsızlığı ile ilgili hastanede tedavi ve tetkik işlemine tabi tutulup tutulmadığı, tedavi sürecinin ne kadar sürdüğü, tedavi sonrasında istirahat raporu verilmiş ise ne kadar süre verildiği ve hastane nezdinde resmi tatil günlerinde ne gibi durumlarda ameliyat işlemlerinin gerçekleştirildiğine dair ıslak imzalı olarak tanzim edilen evrakın talep edildiği, veri sorumlusu tarafından bu soruları aşacak nitelikte veri minimizasyonu ilkesine aykırı olarak, bu anlamda Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (ç) bendi gereğince kişisel verilerin işlenmesinde işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkeleri gözetilmeyerek ilgili kişiye ait hastane kayıtlarında mevcut olan istirahat raporu, anamnez formları, epikriz raporları, konsültasyon formları, hasta medikal klinik seyir bilgileri, patoloji raporu, radyoloji raporlarının, 1 (bir) adet CD içeriğinde teslimi ile talep edilenden fazla özel nitelikli kişisel veri aktarımının gerçekleştirildiğinin anlaşıldığı,
İlgili kişinin şikayet dilekçesinde, doktorun teşhis koyma amaçlı olarak hastaya sorduğu sorular sonucu elde ettiği, hastanın mevcut ya da geçmiş hastalıkları hakkında kendisinden alınan bilgileri içeren hasta anamnez formunun hasta muayene bilgileri bölümüne doktor tarafından yanlış anlaşılarak "ara sıra tek tük esrar kullanmak zorunda kaldığını söylüyor" şeklinde yazıldığı belirtilen ifadeyi içeren formun kamu kurumuna teslimiyle birlikte, ilgili kişi hakkında Cumhuriyet Başsavcılığına suç duyurusunda bulunulduğu, yapılan soruşturma neticesinde ilgili kişi hakkında Cumhuriyet Başsavcılığının Kararı ile kovuşturmaya yer olmadığına dair karar verildiği,
İlgili kişi tarafından, “esrar maddesi kullanıldığına ilişkin verilerin ve bilgilerin silinmesi” talebine veri sorumlusu tarafından cevap verilmediği, öte yandan 21.06.2019 tarihli ve 30808 sayılı Resmi Gazete’de yayımlanan Kişisel Sağlık Verileri Hakkında Yönetmelik’in 13’üncü maddesi kapsamında, ilgili kişinin kendisi hakkında sehven oluşturulduğunu iddia ettiği sağlık verilerine ilişkin öncelikle İl Sağlık Müdürlüğüne başvurulması gerekliliğine ve bu başvuru sonrasında sehven oluşturulan sağlık verilerinin düzeltilmesi için gerçekleştirilecek işlemlere yönelik bir düzenlemenin bulunduğu dikkate alındığında ilgili kişinin Kanun’un 11’inci maddesinin (1) numaralı fıkrasının (d) bendi kapsamında “Anamnez Formu”nda geçen “esrar maddesi kullanıldığına ilişkin verilerin düzeltilmesi”ni, veri sorumlusunun bağlı bulunduğu il sağlık müdürlüğüne başvurmak suretiyle talep edebileceği,
Veri sorumlusu tarafından 2577 sayılı İdari Yargılama Usulü Kanunu’nun "İdari Makamların Sükutu" başlıklı 10’uncu maddesi uyarınca ilgili kişinin başvurusuna cevap verilmeyerek zımnen reddedildiğinin belirtildiği, ancak Kanun’un 13’üncü maddesinin (2) numaralı fıkrasına göre, veri sorumlusunun başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırması gerektiği

değerlendirmelerinden hareketle;

Kanun’un 8’inci maddesinin (2) numaralı fıkrasının (b) bendinde belirtilen özel nitelikli kişisel verilerin aktarılmasına ilişkin Kanun’un 6’ncı maddesinde yer alan şartlar ya da Kanun’un 8’inci maddesinin (1) numaralı fıkrasında belirtildiği üzere ilgili kişinin açık rızası mevcut olmadığı halde ilgili kişiye ilişkin özel nitelikli kişisel veri olan sağlık verilerinin Kanun’a aykırı olarak kamu kurumuna aktarıldığı, öte yandan talep edilen bilgiden daha geniş kapsamda bilgi paylaşıldığı dikkate alındığında veri sorumlusu üniversite hastanesinin Kanun’un 12’nci maddesinin (1) numaralı fıkrasına göre kişisel verilerin güvenliğine ilişkin gerekli her türlü teknik ve idari tedbiri alma yükümlülüğünü yerine getirmediği değerlendirildiğinden sorumlular hakkında Kanun’un 18’inci maddesinin (3) numaralı fıkrası çerçevesinde disiplin hükümlerine göre işlem yapılmasına ve yapılan işlem hakkında Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
İlgili kişinin Kanun’un 11’inci maddesinin (1) numaralı fıkrasının (d) bendi kapsamında “Anamnez Formu”nda geçen “esrar maddesi kullanıldığına ilişkin verilerin” düzeltilmesini talep etme hakkı dikkate alındığında; Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (b) bendinde yer aldığı üzere “doğru ve gerektiğinde güncel olma” ilkesine uygun olarak Kişisel Sağlık Verileri Hakkında Yönetmelik’in 13’üncü maddesi kapsamında, veri sorumlusu tarafından gerek kendi bünyesinde ve gerektiği takdirde ilgili kişiyi de yönlendirmek suretiyle İl Sağlık Müdürlüğü nezdinde gerekli işlemlerin yapılması ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
Şikayete konu edilen verilerin aktarıldığı kamu kurumu nezdinde de bu verilerin imha edilmesinin sağlanması hususunda gerekli işlemlerin tesis edilmesine ve yapılan işlemin sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
İlgili kişilerin Kanun kapsamındaki taleplerini Kanun’a ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e uygun olarak talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde sonuçlandırması gerektiğinin veri sorumlusuna hatırlatılmasına,
İlgili kişinin kişisel verilerinin hukuka aykırı olarak işlenmesi nedeniyle uğradığı zararlara ilişkin tazminat talepleri hakkında, genel hükümlere göre yargı mercilerine başvurabileceği konusunda ilgili kişiye bilgi verilmesine

karar verilmiştir.

04.Ağustos.2022: “Ev eşyası satan veri sorumlusu tarafından ilgili kişinin telefon numarasının üçüncü bir kişinin borcu için iletişim kurulmak suretiyle işlenmesi"

Karar Tarihi	:	04/08/2022
Karar No	:	2022/787
Konu Özeti	:	Ev eşyası satan veri sorumlusu tarafından ilgili kişinin telefon numarasının üçüncü bir kişinin borcu için iletişim kurulmak suretiyle işlenmesi

Kuruma intikal eden şikâyette özetle; ilgili kişinin ev eşyası satan bir veri sorumlusu tarafından arandığı, ertesi gün de cep telefonuna mesaj gönderildiği, mesajda şirket ile arasındaki sözleşmeden kaynaklanan borcun tahsili amacıyla hakkında icra takibine başlandığı, takip kapsamında ödeme emri gönderildiği halde bugüne kadar borcun ödenmediğinin tespit edildiği ve yasal takibin durması için hemen ödeme yapılması gerektiği ifade edilerek ödeme ve iletişim için “…. Şirketi Hukuk Departmanını arayın” ifadesine yer verildiği, konu hakkında Cumhuriyet Başsavcılığına yapılan suç duyurularında kovuşturmaya yer olmadığına karar verildiği, ancak bu karardan sonraki bir tarihte de veri sorumlusu tarafından üç kez arandığı ve yapılan son aramada veri sorumlusu tarafından alışveriş yapan kişinin numarasının sorulduğu, ilgili kişinin bu kişinin numarasını bilmediğini ve kendisinin herhangi bir borcunun ya da kefilliğinin bulunmadığını belirttiği ancak veri sorumlusu tarafından borçlu borcunu bitirene kadar sürekli rahatsız edileceğinin söylendiği, en son arandığında numarasının sistemden silinmesi talebine olumsuz cevap verildiği, ayrıca veri sorumlusuna yapılan silme talebini içeren yazılı başvuruya cevap verilmediği ve aramalara devam edildiği ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin olarak başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

İlgili kişinin 2018 yılı içerisinde şirket ile tüketici finansman sözleşmesi akdettiği, tüketici finansman sözleşmelerinde "Kişisel Verilerin Paylaşımı ve Ticari Elektronik Gönderim İzni" kutucuğunun bulunduğu; müşterilerin bu şekilde muvafakat/rıza verdiği ve aynı zamanda sözleşmenin 13’üncü maddesinde de “izinli ticari iletişim bilgi verme, bilgi alma (kişisel veri paylaşımı)” hükmünün mevcut olduğu,
Şirketten alışveriş yapan üçüncü kişi olan müşterinin irtibat numarası olarak ilgili kişinin telefon numarasını şirkete bildirdiği, borcun ödenmemesi sebebiyle söz konusu numara arandığında numaranın kullanıcısı ilgili kişinin üçüncü kişinin arkadaşı olduğunu beyan ettiği, bunun üzerine numara yanlış kaydettirilmişse arkadaşı olan ve ilgili kişinin numarasını sözleşmeye kaydettiren müşteriyle irtibata geçmesi gerektiğinin ve sadece bu müşterinin talebi olması halinde iletişim numarasının değiştirilebileceğinin ilgili kişiye birden çok kez söylendiği,
İlgili kişinin şirkete ulaşan yazılı bir başvurusu olmadığı için ilgili kişinin irtibat numarasının silinmediği, ancak Kurum tarafından gönderilen yazıdan sonra telefon numarasının hemen silindiği,
İlgili kişiyi arayan hatların şirket adına kayıtlı olduğu, bunlardan birinin adres araştırması yapan bir personel tarafından kullanıldığı bir diğerinin gecikmiş ödemeleri hatırlatmak amacıyla kullanıldığı,
İlgili kişinin kişisel verilerinin veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi, gecikmiş borç tahsili yapabilmesi çerçevesinde bir hakkın tesisi, kullanılması veya korunması, veri sorumlusunun meşru menfaatlerinin korunması ile bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesi şartlarına dayanılarak işlendiği

ifade edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 04/08/2022 tarihli ve 2022/787 sayılı Kararı ile;

6698 sayılı Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlandığı,
Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesinde, kişisel verilerin ancak bu Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, buna göre, kişisel verilerin ancak; a) Hukuka ve dürüstlük kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ile d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceği,
Kanun’un 5’inci maddesinin kişisel verilerin işlenme şartlarını düzenlediği, maddenin (1) numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin, (2) numaralı fıkrasında ise, kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için veri işlemenin zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaati için veri işlenmesinin zorunlu olması hallerinde ilgili kişinin açık rızası olmaksızın kişisel verilerin işlenmesinin mümkün olduğunun hükme bağlandığı,
Kanun’un “İlgili Kişinin Hakları” başlıklı 11’inci maddesine göre herkesin, veri sorumlusuna başvurarak kendisiyle ilgili; kişisel veri işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, 7’nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, kişisel verilerin düzeltilmesi veya silinmesi/yok edilmesi ile ilgili yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme ve kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahip olduğu,
Kanun’un “Veri Sorumlusuna Başvuru” başlıklı 13’üncü maddesi uyarınca; veri sorumlusunun, ilgili kişinin başvurusunda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırma, bu kapsamda talebi kabul etme veya gerekçesini açıklayarak reddetme ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirme yükümlülüğü olduğu, Veri Sorumlusuna Başvuru Usul ve Esasları hakkında Tebliğ’in (Tebliğ) 5’inci maddesinde “İlgili kişi, Kanunun 11’inci maddesinde belirtilen hakları kapsamında taleplerini, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna iletir.” hükmüne yer verildiği, Tebliğ’in 6’ncı maddesinde veri sorumlusunun, bu tebliğ kapsamında yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlü kılındığı,
Veri sorumlusunun ilgili kişi tarafından yazılı bir başvuru yapılmadığı iddiası bakımından yapılan incelemede, ilgili kişi tarafından ibraz edilen posta takip kodunun sorgulanmasıyla yapılan başvurunun veri sorumlusuna tebliğ edildiği anlaşıldığından veri sorumlusunun ilgili kişinin başvurusunu cevaplandırmamasının Kanun ve Tebliğ’in ilgili maddelerine aykırı olduğu,
İlgili kişinin kişisel verilerinin veri sorumlusu tarafından işlenme şartlarına aykırı olarak işlenmeye devam edildiği ve kişisel verilerinin silinmesi talebinin yerine getirilmediği iddialarına ilişkin yapılan incelemede, öncelikle ilgili kişi ile veri sorumlusu arasında akdedilen sözleşmenin 13’üncü maddesinde "izinli ticari iletişim bilgi verme, bilgi alma (kişisel veri paylaşımı)” hükmünün mevcut olduğu ve sözleşmenin son kısmında yer alan "Kişisel Verilerin Paylaşımı ve Ticari Elektronik Gönderim İzni" kutucuğunun, ilgili kişi tarafından “Kabul Ediyorum” şeklinde işaretlenmiş olduğunun görüldüğü, ancak ilgili kişi tarafından sunulan irtibat numarası ve rıza gösterilen izinlerin, bizzat kendisinin taraf olduğu tüketici finansman sözleşmesiyle ilgili olduğunun vurgulanması gerektiği,
Veri sorumlusunun Kuruma ilettiği savunmasında ayrıca, üçüncü bir kişi ile aralarında bir sözleşmesinin imzalandığını ve üçüncü kişi konumundaki müşterinin irtibat numarası olarak ilgili kişinin telefon numarasını kendilerine bildirdiğini ifade ettiği, ancak veri sorumlusunun üçüncü kişi müşteri ile aralarında yapılmış olan sözleşmenin incelenmesinden, irtibat numarası olarak ilgili kişinin numarasından farklı bir telefon numarasını bildirdiğinin görüldüğü, anılan sözleşme dışında, üçüncü kişi müşterinin irtibat numarası olarak ilgili kişinin numarasını bildirdiğine ilişkin herhangi bir kanıtın Kuruma sunulamadığı,
Bu çerçevede, veri sorumlusu tarafından iletilen cevap yazısında ilgili kişiyi arayan telefon hatlarının şirketlerine ait olduğunun kabul edildiği, veri sorumlusu ile üçüncü kişi arasında imzalanan sözleşmede ilgili kişinin numarasından farklı bir telefon numarasının olduğunun görüldüğü, veri sorumlusu tarafından üçüncü kişi müşterinin irtibat numarası olarak ilgili kişinin numarasının bildirildiğine ilişkin herhangi bir kanıt sunulmadığı, ilgili kişiye ait telefonun 2019 yılından 2021 yılına kadar veri sorumlusu tarafından pek çok defa arandığı, bahse konu numaranın asıl borçlu olan üçüncü kişiye ait olmayıp ilgili kişiye ait olduğunun öğrenilmesine rağmen ilgili kişinin silme talebinin reddedilmesi suretiyle ilgili kişinin aranmasına devam edildiği göz önüne alındığında, ilgili kişinin kişisel verisi niteliğindeki telefon numarasının Kanun’un 4’üncü maddesinde yer alan kişisel verilerin “doğru ve gerektiğinde güncel olma” ile “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine ve Kanun’un 5’inci maddesinde yer alan kişisel verilerin işlenme şartlarına aykırı olarak işlendiği,
Ayrıca veri sorumlusunun Kuruma ilettiği cevap yazısında, Kurum tarafından gönderilen yazının ardından ilgili kişinin telefon numarasının hemen silindiğinin belirtilmesine karşın silme işlemini tevsik edici herhangi bir belge ibraz edilmediği

değerlendirmelerinden hareketle;

Veri sorumlusunun Kanun’un 4’üncü maddesinde yer alan kişisel verilerin “doğru ve gerektiğinde güncel olma” ile “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırı olarak ve Kanun’un 5’inci maddesinde yer alan kişisel verilerin işlenme şartlarından herhangi biri bulunmaksızın ilgili kişiye ait olmadığını bildiği bir borca ilişkin olarak ilgili kişiyi defaatle aramak suretiyle kişisel verisi niteliğindeki telefon numarasını işlemeye devam ettiği göz önünde bulundurulduğunda, Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı hareket ettiği kanaatine varıldığından, arama yapılan telefon numarasının takibi yapılan asıl borçluya değil, söz konusu borçla ilgisi olmayan ilgili kişiye ait olduğunu öğrenmesine rağmen veri sorumlusunun ilgili kişiyi aramaya devam ettiği ve veri sorumlusunun ekonomik durumu dikkate alınarak, hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 200.000 TL idari para cezası uygulanmasına,
İlgili kişinin başvurusunun cevaplandırılmamasının Kanun ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e aykırı olduğu değerlendirildiğinden, veri sorumlusunun kendisine yapılan başvurulara Kanun ve Tebliğ’in ilgili hükümlerine uygun şekilde cevap verilmesinde gerekli dikkat ve özeni göstermesi hususunda uyarılmasına,
İlgili kişinin kişisel verisinin silinmesi talebinin yerine getirildiğinin tevsik edilmemesi sebebiyle Kanun’un 7 ve 11’inci maddeleri ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 7’nci maddesi uyarınca ilgili kişinin kişisel verilerinin silinmiş olduğunu kanıtlayan belgeleri Kuruma iletmesi yönünde veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

03.Ağustos.2022: “Veri sorumlusu bir pazarlama şirketi tarafından çocuğun kişisel verilerinin velisinin açık rızası alınmaksızın tanıtım amaçlı broşür gönderilmesi suretiyle işlenmesi"

Karar Tarihi	:	03/08/2022
Karar No	:	2022/776
Konu Özeti	:	Veri sorumlusu bir pazarlama şirketi tarafından çocuğun kişisel verilerinin velisinin açık rızası alınmaksızın tanıtım amaçlı broşür gönderilmesi suretiyle işlenmesi

Kuruma intikal eden dilekçede özetle;

Pazarlama şirketine ait bir ürün için serbest girişimci olan gerçek kişi tarafından 8 yaşındaki çocuğa (ilgili kişi) mektup yoluyla tanıtım amaçlı broşür gönderildiği,
Bunun üzerine, velisi tarafından mektupta telefon numarası bulunan gerçek kişiye telefonla ulaşılarak 8 yaşındaki kızının kişisel bilgilerine nereden ulaştığının sorulduğu, ancak yapılan bu görüşmede karşı tarafça kendisine bir bilgi verilmediği gibi kızının kişisel verileri ile ilgili herhangi bir işlemin yapılmadığı,
Bu çerçevede velisi tarafından çocuğun ev adresi ve ismi gibi kişisel verilerine nasıl ulaşıldığına ilişkin pazarlama şirketine başvuru yapıldığı, yapılan başvuru neticesinde yine herhangi bir bilgi verilmediği,
Velinin çocuğun kişisel verilerinin işlenmesine ilişkin herhangi bir rızası olmadığı ve ticari amaçla tanıtım yapmak amacıyla açık rıza olmaksızın çocuğun kişisel verilerinin işlendiği

belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konunun değerlendirilmesi neticesinde Kişisel Verileri Koruma Kurulu (Kurul) tarafından başlatılan inceleme çerçevesinde pazarlama şirketinden savunması istenilmiş olup alınan cevabi yazıda özetle;

Şirketin sağlık ve güzellik ürünleri gibi ürünlerin satışını yapan bir doğrudan satış şirketi olduğu,
Satış yapan gerçek kişi ile şirket arasında, “Başvuru Kuralları ve Koşulları”na uygun olarak şirket ürünlerini satın alma ve satma opsiyonu veren bir sözleşme ilişkisinin olduğu, bu sözleşme kapsamında satış yapan kişinin bağımsız bir iş sahibi/serbest girişimci olarak hareket ettiği ve şirketten bağımsız olduğu,
Diğer bir ifade ile şirketin “Başvuru Kuralları ve Koşulları”na göre, serbest girişimcilerin şirket çalışanı, acentesi, temsilcisi, franchise (imtiyaz) alanı veya genel anlamda şirket ile bağımlı çalışan ilişkisi içerisinde faaliyet gösteren kişiler olmadığı,
Şirket ürünlerini satmak isteyen kişilerin, şirkete başvuruda bulunarak serbest girişimci olabildiği,
Serbest girişimcilerin yalnızca kendi menfaatleri doğrultusunda ve kendi programlarına göre faaliyet gösterdiği, bu kişilerin şirket ürünlerini tamamen kendi tercihlerine göre satın aldığı ve satış faturasının kendi müşterisine ibraz edildiği, doğrudan pazarlama amaçları da dahil olmak üzere, hizmet verdikleri müşterilerden elde ettikleri kişisel veriler bakımından serbest girişimcilerin tek başına ve bağımsız veri sorumlusu olarak hareket ettiği,
Bu faaliyet çerçevesinde şirketin rolünün; ürünlerin ithalatı, serbest girişimcilere ürünlerin satışı ve ürünlerin müşterilere tesliminden yani bir doğrudan satış şirketi- doğrudan satıcı ilişkisinden ibaret olduğu,
Somut olayda broşürün pazarlama şirketi tarafından gönderilmediği ve broşür göndermesi için serbest girişimciye şirket tarafından bir talimat verilmediği, broşürün daha önce bağımsız olarak topladığı kişisel veriler kullanılarak serbest girişimci tarafından gönderildiği,
Şirket tarafından ilgili kişiye ait herhangi bir kişisel verinin işlenmediği ve bu verilerin serbest girişimciye aktarılmadığı,
Şirketin, serbest girişimcilerin işlediği kişisel veriler bakımından veri sorumlusu olmamakla birlikte serbest girişimcileri gözetim altında tuttuğu ve sözleşme kapsamındaki kurallara aykırılık halinde yaptırım uyguladığı, şikâyet üzerine yapılan araştırma neticesinde serbest girişimcinin geçmişte internetten satış yaptığı müşterilerine broşür gönderdiği, alışveriş yapan kişinin 8 yaşındaki bir çocuk olduğunu bilmediği için bir yanlışlık olduğunun belirtildiği

ifade edilmiştir.

Akabinde konuya ilişkin olarak başlatılan inceleme çerçevesinde gerçek kişi serbest girişimciden savunması istenilmiş olup alınan cevabi yazıda özetle;

•   Kendisinin internetten satış yaptığı dönemde ilgili kişinin kişisel verilerini bir e-ticaret sitesi üzerinden kendi nam ve hesabına sattığı şirket ürünlerinden temin ettiği, ilgili kişinin velisinin kendi kızı adına fatura hazırlattığı,
•   E-ticaret sitesi üzerinden kendi adres ve iletişim bilgilerini rızaen kendisiyle paylaşan ilgili kişinin velisinin her ne kadar adres ve telefon bilgileri olarak kendi bilgilerini vermiş olsa da velisi olduğu çocuğunun ismini kullanarak sipariş verdiği ve bu sipariş dahilinde kendisine bu broşürün gönderildiği,
•   Dolayısıyla söz konusu işlemenin Kanun’un 28’inci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında istisna olarak değerlendirilmesi gerektiği, konunun yanlış anlaşılmadan kaynaklandığı

ifade edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 03/08/2022 tarihli ve 2022/776 sayılı Kararı ile;

Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi; “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi; “veri sorumlusu”nun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi; “kişisel verilerin işlenmesi”nin, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” olarak tanımlandığı,
Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğunun düzenlendiği,
Kanun’un 12’nci maddesinin (1) numaralı fıkrasında ise veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu,
Somut olayda öncelikle veri sorumlusunun tespitinin yapılmasının gerektiği, bu çerçevede şirket ile serbest girişimci gerçek kişi arasındaki sözleşmede, müşterilerle ilgili kişisel verilerin işleme amacını ve aracını belirlemek ve geçerli veri koruma hukuki yükümlülüklerine uyma hususunda serbest girişimcinin yükümlü olduğunun, şirket ile serbest girişimci arasındaki ilişkinin temsilcilik, işçi-işveren ilişkisi gibi bağımlı bir ilişki olmadığı ve serbest girişimcinin bağımsız bir sözleşmenin tarafı olduğu hükümlerine yer verildiği, bu hükümler dikkate alındığında gerçek kişi serbest girişimcinin pazarlama kapsamında kişisel veri işleme faaliyetinde şirketten bağımsız olarak hareket ettiği, kişisel veri işleme amaç ve araçlarının serbest girişimci gerçek kişi tarafından belirlendiği ve ilgili kişi ile ilişkisinde gerçek kişinin tek başına veri sorumlusu sıfatını haiz olduğu, söz konusu kişisel veri işleme faaliyetinde şirketin bir rolünün bulunmadığı,
Veri sorumlusu tarafından bahse konu kişisel verilerin ilgili kişi tarafından veri sorumlusuna iletildiği ve broşürün iletilmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin Kanun’un 28’inci maddesinin (1) numaralı fıkrasının (a) bendinde yer alan “Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi” istisna hükmü kapsamında değerlendirilmesi gerektiğinin iddia edildiği ancak hükümdeki düzenlemenin aynı konutta yaşayan aile fertlerinin, yine aile içindeki bireylerin kişisel verinin işlemesine ilişkin olduğu, örneğin doğum günü gibi özel günlerde aile içinde çekilen fotoğrafların aile bireyleri tarafından işlenmesinin istisna kapsamında olduğu, incelemeye konu faaliyetin ise bir serbest girişimci tarafından broşür gönderimi suretiyle ilgili kişiye ait kişisel veri niteliğindeki isim ve adres bilgilerinin işlenmesi olduğu ve somut olayda aynı konutta yaşayan aile fertlerinin kişisel verilerinin yine aile bireyleri tarafından işlenmesi söz konusu olmadığından bu istisna hükmünün veri sorumlusu sıfatını haiz olan gerçek kişi bakımından uygulanamayacağı,
Gerçek kişi veri sorumlusu tarafından, ilgili kişinin velisinin daha önce ilgili kişinin isim ve adres bilgilerini kullanarak bir e-ticaret sitesi üzerinden kendi nam ve hesabına sattığı şirket ürünlerine ilişkin sipariş oluşturduğu ve bu sipariş teslim edilirken broşürün de iletildiğine ilişkin iddiaları bakımından yapılan incelemede, 213 sayılı Vergi Usul Kanunu’nun (VUK) 231’inci maddesinin 5’inci bendinin “Fatura, malın teslimi veya hizmetin yapıldığı tarihten itibaren azami yedi gün içinde düzenlenir. Bu süreler içerisinde düzenlenmeyen faturalar hiç düzenlenmemiş sayılır.” hükmü ile Mesafeli Sözleşmeler Yönetmeliği’nin 16’ncı maddesinin somut olay tarihindeki birinci fıkrasında yer alan “Satıcı veya sağlayıcı, tüketicinin siparişinin kendisine ulaştığı tarihten itibaren taahhüt ettiği süre içinde edimini yerine getirmek zorundadır. Mal satışlarında bu süre her halükarda otuz günü geçemez.” hükmünü haiz olduğu, bununla birlikte ilgili kişiye e-ticaret sitesi üzerinden gönderilen sipariş ile broşür arasında dört buçuk aylık bir süre olduğu, broşürün e-ticaret sitesi üzerinden verilerin sipariş ile birlikte iletilmediği, öte yandan veri sorumlusu tarafından tanıtım ve pazarlama amaçlı olarak kişisel veri işlenebilmesi için açık rıza alındığına dair ispat edici bir belge ibraz edilemediği göz önüne alındığında veri sorumlusunun tanıtım ve pazarlama amacıyla broşür göndermesi suretiyle ilgili kişinin kişisel veri niteliğindeki isim ve adres bilgilerini işlemesinin Kanun’un 5’inci maddesinde yer alan işleme şartlarından herhangi birine dayanmadığı

değerlendirmelerinden hareketle;

İlgili kişiye broşürü gönderen gerçek kişinin şirketle imzalamış olduğu sözleşme koşullarına göre serbest girişimci olduğu, şirket ürünlerinin satışı konusunda müşterilerle hizmet ilişkisinde bulunurken şirketten bağımsız olarak hareket ettiği, dolayısıyla serbest girişimci gerçek kişinin, müşterilerine ait kişisel veri işleme faaliyetinde bulunurken şirketten bağımsız bir şekilde veri sorumlusu sıfatını haiz olduğu, bu çerçevede şirketin incelemeye konu kişisel veri işleme faaliyetine dair bir ilgisinin bulunmaması sebebiyle şirket hakkında Kanun kapsamında tesis edilecek herhangi bir işlem bulunmadığına,
İlgili kişi adına mektup yolu ile tanıtım amaçlı broşürün gönderilmesi suretiyle ilgili kişinin kişisel verisi niteliğindeki isim ve iletişim bilgilerinin işlenmesinin veri sorumlusu tarafından ibraz edilen faturaya konu sipariş ile bir bağlantısı olmadığı, ilgili kişiye tanıtım amaçlı gönderilen broşürün faturada belirtilen sipariş ile birlikte gönderilmediği, incelemeye konu salt broşür gönderiminin Kanun’da tanımlı işleme şartlarından herhangi birine dayanılmaksızın gerçekleştirildiği, bu bakımdan Kanun’un 12’nci maddesinin (1) numaralı fıkrasındaki yükümlülüklerin yerine getirilmediği ve kabahate konu eylemin yalnızca bir kez gerçekleştirildiği kanaatine varıldığından, 5326 sayılı Kabahatler Kanunu’nun 17’nci maddesinin (2) numaralı fıkrası uyarınca işlenen kabahatin haksızlık içeriği ile veri sorumlusunun kusuru ve ekonomik durumu birlikte göz önünde bulundurulduğunda veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 30.000 TL idari para cezası uygulanmasına,
Tanıtım ve pazarlama amaçlarıyla kişisel verilerin işlenmesinde ilgili kişilerin açık rızalarının alınması ve Kanun hükümlerine riayet edilmesi gerektiğine ilişkin satış görevlilerinin bilgilendirilmesi gerektiği hususunun pazarlama şirketine bildirilmesine

karar verilmiştir.

03.Ağustos.2022: “Veri sorumlusu bir e-ticaret sitesinden alışveriş yapan üçüncü kişiye ait sipariş bilgilerinin ilgili kişinin e-posta adresine gönderilmesi"

Karar Tarihi	:	03/08/2022
Karar No	:	2022/774
Konu Özeti	:	Veri sorumlusu bir e-ticaret sitesinden alışveriş yapan üçüncü kişiye ait sipariş bilgilerinin ilgili kişinin e-posta adresine gönderilmesi

Kuruma intikal eden şikayette özetle; ilgili kişinin e-posta adresine bir e-ticaret sitesinden alışveriş yapan üçüncü bir kişinin sipariş bilgilerinin gönderildiği, söz konusu e-posta içeriğinde ödenen tutar, resimli olarak siparişin içeriği, gönderici adı soyadı, alıcının adı soyadı, adresi, telefon numarası gibi bilgilerin açık bir biçimde yer aldığı, ayrıca e-postada yer alan “Sipariş Takibi ve Güncelleme” adlı buton sayesinde tüm sipariş detaylarının görülebileceği bir sayfaya yönlendirme yapıldığı, bu sayfada ise gönderici ve alıcı bilgilerine ek olarak sipariş edilen ürünün içerik adı, ürün kodu, rengi ve gönderici tarafından alıcıyı muhatap gönderi notunun görüntülendiği, gönderici veya alıcı bilgileri ile gönderi notu bilgilerinin düzenlenebilir durumda olmakla birlikte sipariş iptal butonunun da aktif olduğu, söz konusu olayların veri ihlali olduğunu tespit ederek ve şahsına ait kişisel verilerinin de belirttiği şekilde başkaları tarafından görülebileceğini düşünerek öncelikle e-ticaret sitesine ait müşteri hizmetleriyle canlı destek sistemi üzerinden irtibata geçtiği, müşteri hizmetleri tarafından müşterinin isim benzerliği neticesinde yanlış e-posta verdiğinin, bu sebeple söz konusu sipariş bildiriminin iletildiğinin, bu siparişten kendisine ait e-posta adresinin silindiğinin ve artık kendisine bildirim iletilmeyeceğinin ifade edildiği, ancak bahse konu e-posta adresine halen veri sorumlusu e-ticaret sitesi tarafından reklam içerikli e-postaların iletildiği, konunun hata olarak nitelendirilmesinin kişisel verilerin ihlali gerçeğini değiştirmediği, bu itibarla veri ihlalini önlemek adına güvenlik tedbirlerinin alınması konusunda tüm iletişim kanalları üzerinden veri sorumlusuna bilgilendirmede bulunmasına karşın kendisine herhangi bir dönüş yapılmadığı belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

İlgili kişinin konu hakkında kendilerine başvurduğu ve başvuruya ilişkin cevabın ilgili kişinin ikamet adresine gönderildiği,
İlgili kişinin 20.10.2014 tarihinde şikâyete konu edilenden farklı bir e-posta ile söz konusu e-ticaret sitesine üyelik oluşturduğu, e-ticaret sitesine kayıtlı tüm üyelerin bilgilerinde yapılan araştırmalar neticesinde şikâyete konu siparişte kullanılan e-posta adresi için bir üyelik hesabının bulunmadığı,
Söz konusu siparişin, bir başka kullanıcı tarafından isim benzerliğinden kaynaklı olarak sehven ilgili kişiye ait e-posta adresinin bildirilerek üyelik hesabı açılmaksızın misafir müşteri girişi ile oluşturulduğu ve e-posta ile SMS gönderimi için açık rızanın verildiği,
Üyelik hesabı açmadan oluşturulan siparişlerde kullanıcıların “Kişisel verileriniz, Kişisel Verilerin Korunmasına İlişkin Aydınlatma Metni kapsamında işlenmektedir.” bilgisi ile karşılaştığı ve burada aydınlatma yükümlülüğünün yerine getirilmesini sağlayan konularda bilgilendirmelerde bulunulduğu, ilgili kullanıcıların siparişin bir sonraki adımına geçmeyi kabul etmeleri hâlinde kişisel verilerinin işlendiği,
İlgili kişinin veri sorumlusuna yaptığı başvuruda kendisine reklam içerikli e-posta gönderilmemesi ile ilgili olarak herhangi bir talepte bulunmadığı,
Tüm müşterilere diledikleri zaman ticari elektronik ileti almayı reddetmeleri için imkân sağlandığı ve veri sorumlusu tarafından gönderilen tüm ticari elektronik iletilerde bu hususun yer aldığı, ayrıca bu yöndeki şikâyetlerin muhatabının da Kurum değil Ticaret Bakanlığının il ve ilçe müdürlükleri olduğu,
Şikâyete konu somut olayda, bir başka gönderici tarafından sehven ilgili kişinin e-posta adresinin sisteme girilmesi, ilgili kişiye ait e-posta adresinin ilgili kişiye ait herhangi bir kayıtla eşleşmemesi ve veri sorumlusunun bu olayda kastının bulunmadığı dikkate alındığında Kanun’un 12’nci maddesinin ihlal edildiğinden söz edilemeyeceği,
Diğer yandan üye olmaksızın misafir müşteri girişi ile yapılan alışverişler esnasında alışveriş yapan kişi tarafından kendisine ait e-posta veya telefon numarası girilmek istenirken sehven hatalı olarak girilen başkalarına ait e-posta ve telefon numaralarının e-ticaret sitesi tarafından teyit edilebilmesine yönelik olarak da teknik geliştirme yapılması çalışmalarına başlandığı ve tamamen kontrol dışında gerçekleşen bu durumun önüne geçmek ve hatalı veri girişlerini engellemek amacıyla planlamaların yapıldığı

ifade edilmiştir.

Konuya ilişkin olarak yapılan incelemede Kişisel Verileri Koruma Kurulunun 03/08/2022 tarihli ve 2022/774 sayılı Kararı ile;

6698 sayılı Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlandığı,
Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesinde, kişisel verilerin ancak bu Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, buna göre, kişisel verilerin ancak; a) Hukuka ve dürüstlük kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ile d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceği,
Kanun’un 5’inci maddesinin kişisel verilerin işlenme şartlarını düzenlediği, maddenin (1) numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin, (2) numaralı fıkrasında ise, kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için veri işlemenin zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaati için veri işlenmesinin zorunlu olması hallerinde ilgili kişinin açık rızası olmaksızın kişisel verilerin işlenmesinin mümkün olduğunun hükme bağlandığı

Buna göre;

İlgili kişinin kişisel verisi niteliğindeki e-posta adresinin Kanuna aykırı bir biçimde işlendiğine yönelik iddiası hakkında;

Veri sorumlusunun, müşterilerine üye olma seçeneği sunduğu, bu kapsamda üyelik oluşturan kişilerden manuel girilebilecek şekilde e-posta bilgisini beyan etmelerini istediği, veri sorumlusu tarafından üyeliği olmayan müşterilere de hizmet verildiği, üyelik kaydı bulunmaksızın sipariş oluşturan müşterilerden gerek hizmetin ifası gerekse e-faturanın gönderilmesi gibi amaçlarla e-posta bilgisinin yine manuel olarak girilebilecek şekilde beyan etmelerinin istendiği,
Veri sorumlusu tarafından, ilgili kişinin üyelik bilgilerinde yalnızca “xxx” e-posta adresinin olduğu, ilgili kişi ile aynı isme sahip üçüncü kişinin üyelik oluşturmadan misafir müşteri girişi ile ilgili kişiye ait bir diğer e-posta adresi olan “yyy” adresini sehven girerek sipariş verdiği, “yyy” e-posta adresi için ilgili kişi veya bir başka kişi için üyelik hesabı bulunmadığı, e-postanın ilgili kişiye ait herhangi bir veriyle eşleşmediği veya ilgili kişiye ait kimlik bilgilerinin işlenmediği, misafir müşteri girişi ile yapılan alışverişler esnasında girilen e-posta ve telefon numaralarının teyit edilebilmesine yönelik olarak henüz bir kontrol mekanizmasının bulunmadığının belirtildiği, veri sorumlusunun cevabi yazı eki incelendiğinde de, ilgili kişinin üyelik bilgisinde “xxx” e-posta adresinin olduğu ve sistemlerinde “yyy” e-posta adresinin yer almadığının görüldüğü, diğer yandan ilgili kişinin şikâyet ekinde “yyy” e-posta adresine kendisi tarafından oluşturulmayan bir siparişe dair e-ticaret sitesi tarafından bilgilendirme e-postasının gönderildiğine ilişkin ekran görüntülerinin yer aldığı,
İlgili kişiye gönderilen sipariş bilgilendirme e-postasında; söz konusu siparişe dair detayların bulunduğu, hediye olarak gönderilen bu siparişte gönderici adının ve cep telefonu numarasının yer aldığı, bunun yanında alıcı adının, cep telefon numarasının ve adresinin açıkça yer aldığı,
Bireyler tarafından manuel olarak yapılan bilgi girişlerinde yanlış beyanlarda bulunulabilmesinin muhtemel olduğu, veri sorumluları tarafından ise Kanun’un 12’nci maddesinin (1) numaralı fıkrasında tanımlanan kişisel verilerin hukuka aykırı olarak işlenmesini önlemeye yönelik idari ve teknik tedbirlerin alınması yükümlülüğü kapsamında, bu yanlış bilgi girişleri sebebiyle üçüncü kişilere ait kişisel verilerin hukuka aykırı bir biçimde işlenmesinin önüne geçilebilmesi adına, kendilerine bildirilen iletişim bilgilerinin doğruluğunu teyit edecek mekanizmaların oluşturulmasına yönelik gerekli idari ve teknik tedbirlerin alınması gerektiği,
Dolayısıyla somut olayda şikâyete konu siparişin kendisi tarafından verilmemesine karşın ilgili kişinin kişisel verisi niteliğindeki “yyy” e-posta adresine veri sorumlusu tarafından bilgilendirme e-postası gönderilmek suretiyle kişisel veri işleme faaliyetinde bulunulduğu, bu işleme faaliyetinin Kanun’un 5’inci maddesinde yer alan işleme şartlarından herhangi birine dayanılmaksızın gerçekleştirildiği,
Bu çerçevede söz konusu işlemde bir teyit mekanizmasının bulunmaması nedeniyle e-ticaret sitesine üye olmadan misafir girişi ile yapılan tüm alışveriş işlemlerinin veri ihlal riski taşıdığı,
Bilgilendirme e-postalarının, gönderici ve alıcılara ait ad, soyad, T.C. kimlik numarası, adres, telefon, e-posta, sipariş bilgileri gibi bilgileri ihtiva edebileceği, bilgilendirme e-postasının konu ile ilgisiz üçüncü bir kişiye gönderilmesinin, konu ile ilgisiz üçüncü kişinin kişisel verisinin hukuka aykırı bir biçimde işlenmesi sonucunu doğurduğu gibi içerikte yer alan kişisel verilerin olduğu gibi üçüncü bir kişiye açıklanarak bu verilerin başkaları tarafından kötü niyetli olarak kullanılmasına da zemin hazırlayabileceği

İlgili kişinin Kanun kapsamında yaptığı başvuruya veri sorumlusu tarafından cevap verilmediğine yönelik iddiası hakkında:

İlgili kişinin Kanun kapsamında başvuru yapmak maksadıyla doldurduğu başvuru formu ile veri sorumlusunun cevabi yazı ve ekinde yer alan bahse konu belgeler incelendiğinde ve gönderi takip formunda yer alan gönderi barkod numarası sorgulandığında; başvuruya verilecek yanıtın tarafına bildirilme yöntemi olarak yalnızca “Adresime gönderilmesini istiyorum” kutucuğunu işaretlediği, veri sorumlusu tarafından ilgili kişiye cevap verildiği, bu cevabın ilgili kişinin belirttiği şekilde adresine teslim edildiğinin görüldüğü, bu sebeple veri sorumlusu tarafından ilgili kişinin yaptığı başvuruya cevap verildiğinin anlaşıldığı,

İlgili kişinin e-posta adresine veri sorumlusu tarafından kendisine ait e-posta adresinin silindiğinin ve artık kendisine bildirim iletilmeyeceğinin ifade edilmesine rağmen hâlen reklam içerikli e-postaların iletildiğine yönelik iddiası hakkında:

İlgili kişinin şikâyet dilekçesi ve ekinde; söz konusu siparişe dair gönderilen bilgilendirme e-postalarının, bunun üzerine e-ticaret sitesi asistanı üzerinden gerçekleştirmiş olduğu görüşme trafiğinin ekran görüntüsünün ve Kanun kapsamında yapmış olduğu başvurusunun yer aldığının görüldüğü, veri sorumlusunun cevabi yazı ekinde, bu belgelerin yanı sıra ilgili kişiye verilen yanıtın yer aldığı dokümanlar incelendiğinde; bahse konu siparişten ilgili kişinin kişisel verisi niteliğindeki e-posta adresinin silindiğinin ve kendisine bildirim iletilmeyeceğinin müşteri hizmetleri ile yapılan görüşmede ifade edildiği, bununla birlikte ilgili kişinin veri sorumlusuna başvurusunda hâlen kendisine reklam içerikli e-postanın iletilmeye devam edildiğine dair bir ifadesine rastlanılmadığı ve ilgili kişinin Kuruma ilettiği şikayetinde reklam içerikli e-posta iletilmeye devam edildiği iddiasına yönelik tevsik edici herhangi bir bilgi ve belgeye yer verilmediği,

Veri sorumlusunun tüm müşterilere diledikleri zaman ticari elektronik ileti almayı reddetmeleri için imkân sağlandığına, e-ticaret sitesi tarafından gönderilen tüm ticari elektronik iletilerde sunulan bu imkânın belirtildiğine, bu yöndeki şikâyetlerin muhatabının Kurumun değil Ticaret Bakanlığının il ve ilçe müdürlüklerinin olduğuna yönelik açıklamaları hakkında:

Telefon ve e-posta bilgisinin bir iletişim bilgisi olduğu, bu iletişim bilgilerinin kişisel veri olduğu, kişisel veriler üzerinde Kanun’da belirtilen yollarla gerçekleştirilen her türlü işlemin bir işleme faaliyeti olduğu, bu bilgilerin kişiyi belirlenebilir kılmak maksatlı işlendiği, dolayısıyla SMS ya da e-posta yoluyla ticari elektronik ileti gönderilmesi suretiyle bir kişinin e-posta ya da cep telefonu bilgisinin kullanılmasının bir kişisel veri işleme faaliyeti olduğu ve kişisel verilerin hangi işleme şartlarına dayalı olarak işlenmesi gerektiğini düzenleyen Kanun kapsamında değerlendirileceği

değerlendirmelerinden hareketle;

Veri sorumlusu tarafından taraflara yönelik bir teyit mekanizması kurulmadan satış sözleşmesi ile ilgisiz üçüncü kişi konumundaki ilgili kişiye sipariş bilgilendirmesine dair e-posta gönderilmesi suretiyle kişisel verisinin Kanun’un 5’inci maddesinde yer alan işleme şartlarından herhangi birine dayanılmaksızın işlendiği, bu bakımdan Kanun’un 12’nci maddesinin (1) numaralı fıkrasındaki yükümlülüklerin yerine getirilmediği kanaatine varıldığından, veri sorumlusunun 550+ çalışan ve 40.000+ tedarikçi ağından oluşan bir ekiple süreçlerini yürütmekte olduğu, şikayete konu olayda veri sorumlusunun Kanun’un 12’nci maddesindeki yükümlülüklerini yerine getirmeyerek ihmali davranışla e-postanın gönderileceği alıcı gruplarına yönelik bir teyit mekanizması kurmadan uzaktan satış sözleşmesinin tarafı olmayan ilgili kişinin e-posta adresinin işlenmesine, dolaylı olarak e-postada yer alan gönderici ve alıcıya ait bilgilerinin ise ilgili kişiye açıklanmasına sebebiyet verildiği, bu e-postanın yanlış muhataba gönderilmesi halinde hak kaybına yol açabileceği hususları da dikkate alınarak, veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 120.000 TL idari para cezası uygulanmasına,
İlgili kişinin Kanun kapsamında yapmış olduğu başvuruya veri sorumlusu tarafından yasal süreler içinde cevap verildiğinin görülmüş olması sebebiyle ilgili kişinin veri sorumlusu tarafından başvuruya cevap verilmediği iddiasına yönelik olarak veri sorumlusu hakkında Kanun kapsamında yapılacak herhangi bir işlem olmadığına

karar verilmiştir.

03.Ağustos.2022: “Veri sorumlusu banka tarafından ilgili kişinin kişisel verilerinin açık rızası alınmaksızın bir sigorta şirketine aktarılması"

Karar Tarihi	:	03/08/2022
Karar No	:	2022/768
Konu Özeti	:	Veri sorumlusu banka tarafından ilgili kişinin kişisel verilerinin açık rızası alınmaksızın bir sigorta şirketine aktarılması

İlgili kişinin Kuruma intikal eden şikâyet dilekçesinde özetle; şahsi telefonundan bir sigorta şirketince pek çok kez arandığı, sigorta şirketi ile yapılan görüşmede cep telefonu numarasının veri sorumlusu bir banka aracılığıyla elde edildiğini öğrendiği, veri sorumlusu bankada hesabının bulunduğu fakat veri sorumlusu dışında veri sorumlusuyla ilişikli başkaca bir kurum veya kuruluşla ilişkisinin bulunmadığı, bu çerçevede veri sorumlusuna başvuru yapıldığı ancak veri sorumlusu tarafından verilen cevabın 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 12’nci maddesine aykırılık teşkil ettiği ve yeterli olmadığı ifade edilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.

Söz konusu iddialara ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

İlgili kişinin 2015 yılından beri veri sorumlusunun müşterisi olduğu, ilgili sigorta şirketi ile veri sorumlusunun arasında sigorta acentelik sözleşmesinin bulunduğu, bu kapsamda veri sorumlusunun, sigorta şirketinin ürünlerinin satış ve pazarlanması noktasında yetkili acente olarak hizmet verdiği,
5411 sayılı Bankacılık Kanunu’nun 73’üncü maddesi gereği bankaların hizmet ve destek hizmeti aldığı kuruluşlar ve finansal kuruluşlar ile müşteri sırrı niteliğindeki bilgi ve belgeleri yalnızca hizmetin kapsamı ile sınırlı olarak paylaşabildiği, bu durumun Kanun’un 5’inci maddesinin (2) numaralı fıkrasındaki işleme şartlarına dayandığı ve bu nedenle bankaların acentesi oldukları sigorta şirketi ile olan bilgi paylaşımlarının da bu yasal düzenlemeler çerçevesince gerçekleştiği,
İlgili kişinin veri sorumlusu tarafından kampanya, hizmet ve ürünlerle ilgili kısa mesaj, e-posta, posta ve arama şeklinde ticari elektronik ileti gönderilmesine yönelik izninin ve bu amaçla kişisel verilerinin işlenmesi konusunda rızasının bulunduğu, bu kapsamda konut sigortası için acentecilik yetkisi doğrultusunda ilgili kişinin aranarak ürün teklifinde bulunulduğunun anlaşıldığı,
6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’un yürürlük tarihi olan 01.05.2015 tarihinden önce doğrudan hizmet teminine ilişkin kurulmuş bir ilişki çerçevesinde temin edilen iletişim bilgilerinin kullanılması sebebiyle Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik’in “Mevcut Veri Tabanı Kullanımı” başlıklı Geçici 1’inci maddenin ikinci fıkrası gereği müşteriye ait iletişim bilgisinin onaylı veri sayıldığı,
Veri sorumlusu ile ilgili kişi arasında sözleşmesel ilişkinin mevcut olduğu, veri sorumlusunda halen açık ürün ve hesaplarının yer aldığı ve ilgili kişinin bu duruma ilişkin aksi yönde bir beyanının bulunmadığı,
Kanun’un Geçici 1’inci maddesinin (3) numaralı fıkrasına göre Kanun’un yayımı tarihinden önce oluşturulan sözleşmesel ilişki ile ilgili kişi tarafından, veri sorumlusunca sunulan ürün, hizmet ve avantajlardan yararlanmak için söz konusu hizmet ve pazarlamanın gerektirdiği kapsamda kişisel verilerinin işlenmesi ve buna dair iletilerin gönderilmesi konusunda onay verildiğinden bu durumun Kanun’un 5’inci maddesine aykırılık oluşturmadığı, ilgili kişinin Kanun’un geçiş süresi dahilinde aksi bir irade beyanında bulunmadığı

ifade edilmiştir.

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 03/08/2022 tarih ve 2022/768 sayılı Kararı ile;

6698 sayılı Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlandığı,
Kanun’un 5’inci maddesinin kişisel verilerin işlenme şartlarını düzenlediği, maddenin (1) numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin, (2) numaralı fıkrasında ise, kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için veri işlemenin zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaati için veri işlenmesinin zorunlu olması hallerinde ilgili kişinin açık rızası olmaksızın kişisel verilerin işlenmesinin mümkün olduğunun hükme bağlandığı,
Kanun’un “Kişisel Verilerin Aktarılması” başlıklı 8’inci maddesinde ise “(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. (2) Kişisel veriler; a) 5 inci maddenin ikinci fıkrasında, b) Yeterli önlemler alınmak kaydıyla 6’ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir. (3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” hükmünün yer aldığı,
Ayrıca Kanun’un “Geçiş Hükümleri” başlıklı Geçici 1’inci maddesinin (3) numaralı fıkrasında; “Bu Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilir. Bu Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinir, yok edilir veya anonim hâle getirilir. Ancak bu Kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması hâlinde, bu Kanuna uygun kabul edilir.” hükümlerinin bulunduğu,
Bu çerçevede, veri sorumlusunun Kanun’un 8’inci maddesi kapsamında kişisel verilerin aktarımı hususuna gerekçe gösterebileceği üç durum bulunduğu, somut olayda veri sorumlusunun ilgili veri işleme faaliyetini Kanun’un 5’inci maddesinin (2) numaralı fıkrasında sıralanan veri işleme şartlarından birine dayandırmaması durumunda ilgili kişiden açık rıza alma yoluna gitmesi veya kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümleri gerekçe olarak sunması gerektiği,
Bu bağlamda veri sorumlusunun Kuruma ilettiği savunmasında yer alan ilgili kişinin ticari elektronik ileti gönderimine izin verdiğini gösteren belgenin “Kampanya İletişim Tercihleri Talimatı” olduğu, ilgili talimatın incelenmesi neticesinde “Bankanızın tüm fırsat ve kampanyalarına ilişkin tüm kanallardan tanıtım iletisi almak istiyorum” seçeneğinin, “İleti almak istediğim kanal/kanallar” başlığı altındaki “Hepsi, SMS, telefon, E-mail, adres” seçeneklerinden “Hepsi” seçeneğinin , “İleti almak istediğim ürün/ürünler” başlığı altında “Elementer Sigortayı” (Hayat sigortası dışındaki sigortaların genel adı) da içerecek şekilde yine “Hepsi” ibaresinin seçili olduğunun tespit edildiği, ilgili kişinin şikâyet konusu özelinde kişisel verilerinin aktarılacağı bilgisinin kendisine sunulmadığı ve bu durumun açık rızanın “bilgilendirmeye dayanma” ilkesine aykırılık teşkil ettiği ve dolayısıyla ilgili belgenin kişisel verilerin aktarılması kapsamında açık rıza örneği teşkil etmediği,
İlgili talimat ekranının en alt kısmında “İşbu formda yer alan “tüm kanal ve ürünler” seçeneğinin seçilmesi suretiyle izin verilen kanal ve ürünler, formun imzalanmasından sonraki bir tarihte Bankaca kullanılabilecek ve/veya tanımlanabilecek kanal ve ürünleri de kapsayacaktır.” ifadesinin yer aldığı, bu ifadenin açık rıza şartlarından “özgür iradeye dayanma” unsuruna uygun olmadığı, geleceğe yönelik muğlak bir ifade olduğu, aynı unsura aykırılık oluşturduğu izlenimi yaratan bir diğer hususun ise ilgili belgede kutucukların otomatik olarak doldurulduğunun gözlemlenmesi olduğu, bu kutucukların ilgili kişinin kendi iradesiyle doldurulduğunun şüphe barındırdığı, zira veri sorumluları tarafından ilgili kişilerden alınacak açık rıza beyanlarında opt-out yani bireyin önceden onayını almaksızın kişisel verilerinin işlenmesine otomatik onay verdiklerinin kabul edildiği ve bu kapsamda kişilere bu onayı kaldırmaları yönünde imkân veren bir sistemin değil, opt-in yani bireyin bilinçli eylemi ile kişisel verilerinin işlenmesine onay vereceği bir sistemin kullanılmasının gerekli olduğu; veri sorumlusunun savunmasında ise, kutucukların ilgili kişi tarafından doldurulduğunu ispatlayıcı herhangi bir ifadeye yer verilmediği,
Yukarıda izah olunan nedenlerle veri sorumlusu tarafından Kuruma sunulan savunmada yer verilen belge ve ifadelerin gerek genel anlamda gerek somut olay özelinde kişisel verilerin aktarımına yönelik ilgilinin açık rızasının bulunduğunu kanıtlar nitelik taşımadığı,
Ek olarak, veri sorumlusunun Kuruma sunduğu savunmasında, 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’un yürürlük tarihi olan 01.05.2015 tarihinden önce doğrudan hizmet teminine ilişkin kurulmuş bir ilişki çerçevesinde temin edilen iletişim bilgilerinin kullanılması sebebiyle Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik’in “Mevcut Veri Tabanı Kullanımı” başlıklı Geçici 1’inci maddesinin 2’nci fıkrası gereği ilgili kişiye ait iletişim bilgisini onaylı veri saydıkları, kişinin de 6698 sayılı Kanun’un geçiş süreci dahilinde aksi bir irade beyanında bulunmadığı ve dolayısıyla bu durumun Kanun’un Geçici 1’inci maddesinin (3) numaralı fıkrasına uygunluk teşkil ettiğinin belirtildiği ancak veri sorumlusunun bu noktadaki savunmasının asıl şikayet konusu olan ilgili kişinin kişisel verisinin aktarımı hususuna uygun bir hukuki gerekçe sunmadığı,
Öte yandan 5411 sayılı Bankacılık Kanunu’nun “Sırların Saklanması” başlıklı 73’üncü maddesinin göre “…bu maddede belirtilen sır saklama yükümlülüğünden istisna tutulan hâller haricinde, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca müşterinin açık rızası alınsa dahi, müşteriden gelen bir talep ya da talimat olmaksızın yurt içindeki ve yurt dışındaki üçüncü kişilerle paylaşılamaz ve bunlara aktarılamaz.” şeklinde düzenlendiği,
Yine ilgili Kanun’un “Tanımlar ve kısaltmalar” başlıklı 3’üncü maddesinde “Finansal Kuruluş” tanımının “Kredi kuruluşları dışında kalan ve sigortacılık, bireysel emeklilik veya sermaye piyasası faaliyetlerinde bulunmak veya bu Kanunda yer alan faaliyet konularından en az birini yürütmek üzere kurulan kuruluşlar ile kalkınma ve yatırım bankaları ve finansal holding şirketlerini ifade eder.” şeklinde yapıldığı,
Bununla beraber, Bankacılık Kanunu’nun 73’üncü maddesine dayanılarak hazırlanan Sır Niteliğindeki Bilgilerin Paylaşılması Hakkındaki Yönetmelik’in “Sır saklama yükümlülüğü” başlıklı 4’üncü maddesinin (4)’üncü bendinin “Kişisel veriler de dâhil olmak üzere, bankalar ile müşteri ilişkisi kurulmadan önce de var olan ve başka bir bankanın müşteri sırrı niteliğinde olmayan gerçek ve tüzel kişilere ilişkin veriler, tek başına sır kapsamında bulunmamakla birlikte, ilgili kişinin banka müşterisi olduğunu gösterecek şekilde, tek başına ya da üçüncü fıkrada belirtilen müşteri ilişkisinin kurulmasından sonra oluşan verilerle birlikte işlendiğinde, müşteri sırrı haline gelir. Söz konusu verilere ilişkin birinci fıkra kapsamındaki yükümlülük, bu verilerin müşteri sırrı haline gelmesinden itibaren başlar.” ve “Sır saklama yükümlülüğünden istisna tutulan haller” başlıklı 5 inci maddesi “... (2) Gizlilik sözleşmesi yapılması ve sadece belirtilen amaçlar ile sınırlı kılınması koşuluyla banka sırrı ya da müşteri sırrı niteliğindeki bilgilerin aşağıdaki durumlarda paylaşımı sır saklama yükümlülüğüne aykırılık teşkil etmez: a) Bankaların ve finansal kuruluşların, kendi aralarında doğrudan doğruya ya da Risk Merkezi veya en az beş banka ya da finansal kuruluş tarafından kurulacak şirketler vasıtasıyla her türlü bilgi ve belge alışverişinde bulunması…” hükümlerini içerdiği,
Somut olayda, veri sorumlusunun savunmasında şikâyet konusu veri işleme faaliyetine yönelik Kanun kapsamında bir açık rıza aldığına dair ve kişinin şikâyet konusu veri işleme faaliyeti yönünde bir talimatının veya talebinin olduğuna dair kanıtlayıcı bilgi ve/veya belgeye rastlanılmadığı, yukarıda ifade edilen ilgili Yönetmelik uyarınca veri sorumlusunun sır saklama yükümlülüğünden istisna tutulabilmesi adına sadece belirtilen amaçlarla sınırlı kalınması şartıyla düzenlemesi gereken gizlilik sözleşmesine Kuruma sunulan bilgi ve belgeler arasında rastlanılmadığı, nihayetinde veri sorumlusunun ilgili kişinin kişisel verilerini ilgili sigorta şirketi ile paylaşması hususunda Kanun’un 8’inci maddesindeki şartları sağlamadığı

değerlendirmelerinden hareketle;

İlgili kişinin kişisel verisi niteliğinde olan telefon numarasının, veri sorumlusu tarafından Kanun’un 5’inci maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanılmaksızın ilgili sigorta şirketine Kanun’un 8’inci maddesine aykırı olarak aktarıldığı; bu minvalde Kanun’un 12’nci maddesinin (1) numaralı fıkrasında öngörülen kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli idari ve teknik tedbirlerin alınması yükümlülüğünün yerine getirilmediği göz önünde bulundurulduğunda veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 250.000 TL idari para cezası uygulanmasına

karar verilmiştir.

07.Temmuz.2022: “Tasfiye edilmiş şirketin yönetim kurulu üyeleri olan ilgili kişilerin kişisel verilerinin, şirket borcu kapsamında kısa mesaj gönderme ve arama suretiyle veri sorumlusu avukat tarafından hukuka aykırı olarak işlenmesi"

Karar Tarihi	:	07/07/2022
Karar No	:	2022/655
Konu Özeti	:	Tasfiye edilmiş şirketin yönetim kurulu üyeleri olan ilgili kişilerin kişisel verilerinin şirket borcu kapsamında kısa mesaj gönderme ve arama suretiyle veri sorumlusu avukat tarafından hukuka aykırı olarak işlenmesi

İlgili kişilerin vekillerinin Kuruma intikal eden şikâyet dilekçesinde özetle; ilgili kişilerin ortağı olduğu ve tasfiyesi gerçekleşmiş limited şirkete ait olduğu iddia edilen bir borç nedeniyle veri sorumlusu avukatın ve bünyesinde çalışanların ilgili kişilerle kısa mesaj gönderme ve arama yoluyla iletişim kurduğu ve bu kapsamda kişisel verilerinin işlendiği, konuya ilişkin yapılan başvuruya veri sorumlusunun verdiği cevap yazısında, ilgili kişilerin ortağı oldukları şirketin bir telekomünikasyon şirketine- veri sorumlusu bu şirketin vekilliğini yürütmektedir- olan borcundan ötürü icra takibi başlatılması nedeniyle Ticaret Sicil Gazetesi’nden ilgili şirketin ortaklarının kimlik bilgilerine, bilinmeyen numaralar hizmeti sunan operatörler aracılığıyla ise telefon numaralarına ulaşıldığı, yapılan başvuru neticesinde veri sorumlusunca ilgili telefon numaralarına erişimin engellendiği ve bu numaranın başka bir kişi ile paylaşımının mümkün olmadığı, işlenen verilerin ise geri dönülemez şekilde yok edilmiş olduğu yönünde açıklamada bulunulduğu, buna karşın şirket ortaklarının şirket borçlarından dolayı şahsi sorumluluklarının bulunmaması sebebiyle yapılan veri işlemenin hukuki bir temeli olmadığı, kendilerini arayan veri sorumlusu çalışanlarına defaten şirketin tasfiye edildiği, alacağın zamanaşımına uğradığı ve aranmak istemedikleri belirtilse de şikâyete konu fiillerin devam ettirildiği ayrıca aydınlatma yükümlülüğünün her bir veri işleme faaliyeti yönünden yerine getirilmediği ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Söz konusu iddialara ilişkin başlatılan inceleme çerçevesinde veri sorumlusu avukattan savunması istenilmiş olup, Kuruma intikal eden cevabi yazıda özetle;

Somut olaya konu telekomünikasyon şirketinin vekili olması nedeniyle ilgili şirketin borcuna ilişkin başlatılan icra takibi gereğince borcun tahsili amacıyla Ticaret Sicil Gazetesi üzerinden yapılan sorguda şirket ortağı olarak ilgili kişilerin adlarına ulaşıldığı, ilgili kişilere ait telefon numarası bilgilerinin ise icra dosyası borçlusu olan şirketin ortağı olmaları sebebiyle Bilgi Teknoloji Kurumu tarafından yetkilendirilmiş rehberlik hizmeti sağlayan kuruluşlardan biri olan bilinmeyen numaralar hizmeti sunan operatörler kullanılarak elde edildiği,
Benzer şekilde Türkiye Barolar Birliği (TBB) tarafından sunulan Ulusal Hukuk Ağı Projesi (UHAP) sistemi üzerinden sorgu ücreti ödemek suretiyle ad, soyadı ve/veya T.C. kimlik numarası ile GSM numaralarına erişilebildiği,
İlgili kişilerin telefon numaralarına ulaşılmasının ardından şirket borcundan dolayı ortakların sorumlu olduğu iddiasında bulunulmadığı, yalnızca yönetim kurulu üyelerine borç bildiriminde bulunulduğu,
Şikâyetçilerin söz konusu telefon numaralarının bir defaya mahsus olmak üzere Avukatlık Kanunu’nun 35/A maddesi gereğince uzlaşı sağlamak amacıyla arandığı,
İlgili kişilere ait başvurunun veri sorumlusuna ulaşması ile kişisel verilerinin silindiği ve sistemler üzerinden geri dönülemez biçimde yok edildiği,
Danıştay 10. Dairesinin 2014/6559 esas ve 2015/874 sayılı kararında avukatlık mesleğini icra eden davacı avukatın davalıların iletişim bilgilerini öğrenmek için yapılan başvurusunun reddinin “hak arama özgürlüğünün ihlali” nedeniyle hukuka aykırı olduğu yönünde hüküm tesis edildiği, bu karar göz önünde bulundurulduğunda hukuk ofisinin müvekkillerin hukuki menfaatlerini korumak adına borçlunun iletişim bilgilerine ulaşma çabasının hak arama hürriyeti kapsamında değerlendirilmesi gerektiği,
Vekâleten görülen işlerde karşı tarafa ait ad, soyadı, T.C. kimlik numarası, adres bilgisi, nüfus kayıt bilgileri, anne-baba adları, aylık kazançları, eğitim durumları ve telefon numaralarının işlendiği; yargısal faaliyette ise özellikle gizlilik kararı verilmemişse mahkemelerde ve icra müdürlüklerinde olan tüm dosyaların vekâlet ilişkisi olsun olmasın Avukatlık Kanunu gereğince tüm avukatlar tarafından incelenebildiği hatta avukat olsun olmasın tüm vatandaşların yargı faaliyetinin Türk Milleti adına yürütülmesi sebebiyle duruşmalara katılabildiği

ifade edilmiştir.

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 07/07/2022 tarih ve 2022/655 sayılı Kararı ile;

6698 sayılı Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi”, (ğ) bendinde veri işleyenin, “veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlandığı,
Somut olayda, ilgili kişilere ait kişisel verilerin işlenmesinde işleme amacını (borcun tahsili amacıyla ilgili kişilerle iletişim kurulması/ bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması/ veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için vb.); işleme vasıtalarını (UHAP sistemi aracılığıyla/ bilinmeyen numaralar hizmeti sunan operatörler aracılığıyla vb.) ve işlenen verilerin ne kadar süre (borç tahsil edilinceye kadar/ silme, yok etme talebinde bulunulması halinde vb.) ile nasıl saklanılacağına (veri sorumlusunun işyerinde fiziken/ bilgisayarlarında vb.) karar vermesi hususunda avukatın veri sorumlusu olarak hareket ettiği,
Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesinde, kişisel verilerin ancak bu Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, buna göre, kişisel verilerin ancak; a) Hukuka ve dürüstlük kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ile d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceği,
Kanun’un 5’inci maddesinin kişisel verilerin işlenme şartlarını düzenlediği, maddenin (1) numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin, (2) numaralı fıkrasında ise, kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için veri işlemenin zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaati için veri işlenmesinin zorunlu olması hallerinde ilgili kişinin açık rızası olmaksızın kişisel verilerin işlenmesinin mümkün olduğunun hükme bağlandığı,
Avukatlık Kanunu’nun 2’nci maddesinde avukatlığın amacının; hukuki münasebetlerin düzenlenmesini, her türlü hukuki mesele ve anlaşmazlıkların adalet ve hakkaniyete uygun olarak çözümlenmesini ve hukuk kurallarının tam olarak uygulanmasını her derecede yargı organları, hakemler, resmi ve özel kişi, kurul ve kurumlar nezdinde sağlamak olarak tanımlandığı,
Avukatlık Kanunu’nun 35/A maddesinde avukatların dava açılmadan veya dava açılmış olup da henüz duruşma başlamadan önce kendilerine intikal eden iş ve davalarda, tarafların kendi iradeleriyle istem sonucu elde edebilecekleri konulara inhisar etmek kaydıyla, müvekkilleriyle birlikte karşı tarafı uzlaşmaya davet edebileceğinin düzenlendiği,
Somut olayda, ilgili kişilerin vekilinden alınan şikâyet dilekçesinde şirketin borçlu sıfatını haiz olduğu; ilgili kişilerin ise ad, soyadı, T.C. kimlik numarası, adresi, telefon numarası gibi verilerinin hiçbir hukuka uygunluk sebebi olmaksızın işlendiği, şirketin fesih edildiği, zaten limitet şirket ortaklarının borçtan şahsi sorumluluğu bulunmadığı ve borcun zaman aşımına uğradığı iddiaları bulunulduğunun anlaşıldığı,
Öncelikle kişisel verilerin işlenmesinde işleme sebepleri olarak kabul edilen Kanun’un 5’inci maddesinde yer alan hallerin aynı zamanda birer “hukuka uygunluk sebebi” olarak karşımıza çıktığı, bu sebeplerin söz konusu veri işleme faaliyetini Kanuna aykırı olmaktan çıkardığı, diğer bir ifade ile fiile hukuk dünyasında uygun bir zemin yarattığı, kişisel verilerin korunması mevzuatında yer alan “sebep” kavramından farklı olarak borcun varlığı yahut talep edilip edilemeyeceği hususlarının farklı maddi hukuk dallarının değerlendirme alanına girdiği,
Borç zamanaşımına uğramış olsa bile bunun bir def’i olduğu ve taraflarca ileri sürülmedikçe borcun talep edilebileceği, talep edilebilirlik olgusunun bile başlı başına bir veri işleme sebebi olduğu, bir borcun varlığı açısından ise borcun bir limited şirkete ait olduğu, ilgili kişilerin borçlu olmadığını belirttiği ancak bu kişilerin yönetim kurulu üyesi olduğu düşünüldüğünde iletişim kurulması muhtemel tarafların kendileri olduğunun hayatın olağan akışına uygun düştüğü,
Veri sorumlusu avukat açısından Ticaret Sicil Gazetesi’nde ortak olarak görülen ilgili kişilerin kişisel verilerinin, şirketin iflasından sonra borcun tahsil edilebilmesini sağlamak amacıyla taraflarla uzlaşı kurulmasını teminen Avukatlık Kanunu’nun 35’inci maddesi hükmü gereğince işlendiği, hali hazırda avukatların görevlerini ifa ederken Avukatlık Kanunu’nun 2’nci maddesine uygun olarak taraflarına tevdi edilen işleri yerine getirmek amacıyla – somut olayla telekomünikasyon şirketi ile arasında bulunan vekâlet ilişkisinden kaynaklanan borcun tahsil edilmesi amacıyla – karşı taraflara ve müvekkillerine ilişkin verileri işlemesinin makul bir beklenti olacağı,
UHAP sisteminde avukatlara sistem üzerinden dava açma, icra dosyası açma, dilekçe gönderme, beyan/talep yollama, T.C. kimlik numarası ile telefon numarası sorgulaması ve T.C. kimlik numarasına kısa mesaj gönderimi vb. imkânlar sağlandığı, bu imkânların kullanılması sırasında tıpkı tevzi bürolarında olduğu gibi bir davanın açılması / talebin gönderilmesi / beyanda bulunulması vb. amaçlarla gerekli olan taraflara ait verilerin sorgulanmasının/edinilmesinin söz konusu olduğu,
Bilinmeyen numaralara ilişkin sunulan rehberlik hizmetlerinin ise telefon işletmecilerinin numara veri tabanlarına erişerek elde edilen bilgilerin gerekirse işlenerek kullanıcılara ulaştırılması amacına hizmet ettiği,
Yukarıda belirtilen yöntemlerin birer işleme sebebi olmayıp veri toplama yöntemi olduğu, bu anlamda bahsi geçen platformların mevzuata aykırı bir kullanımı (yetkisiz erişim/hatalı bilgi girişi/veri sızıntısı vb.) söz konusu olmadıkça ve aksi ispat edilmedikçe veri toplamanın yönteminin karine olarak hukuka uygun kabul edileceği ve bu anlamda hem UHAP hem bilinmeyen numaralar servislerinin avukatların açık ve yetkileri oranında veri elde edebilecekleri platformlar olarak kabul edilebileceği,
İlgili kişilerin vekilinin Kuruma sunduğu dilekçede yer alan veri sorumlusu adına arama gerçekleştiren çağrı merkezi çalışanlarına şirketin tasfiye edildiği ve bir daha aranmak istemediklerinin belirtilmesine rağmen ısrarla taciz boyutuna varacak şekilde arka arkaya aramalar yapıldığı iddiası ile ilgili olarak ise geçmiş tarihli birçok Kurul Kararında, araç ve amaç arasındaki dengede ölçüsüz bir durum ortaya çıkarması ve veri sorumlusunun sahip olduğu hakkı kötüye kullanması sonucunu doğurması sebepleriyle söz konusu davranışın genel ilkelerden biri olan hukuka ve dürüstlük kurallarına uygun olma şartına aykırılık taşıyacağı yönünde değerlendirmede bulunulduğu, bununla birlikte Kuruma iletilen şikâyette aramalara ilişkin bir kayda yer verilmediği ve dolayısıyla ilgili kişilerin vekili tarafından iddia edilen “defaten/ısrarla” arama yapılması durumunun sunulan bilgi ve belgelerden anlaşılamaması sebebiyle söz konusu veri işleme faaliyetinin Kanun’un 4’üncü maddesi gereğince hukuka ve dürüstlük kurallarına uygun olarak gerçekleşmediğinin ispat edilemediği,
İlgili kişinin veri sorumlusu tarafından Kanun’un 10’uncu maddesi kapsamında aydınlatılmadığı iddiasına ilişkin olarak, ilgili kişilerin vekilinden alınan dilekçede, ilgili kişilerin Kanun’un 10’uncu maddesi uyarınca aydınlatılmadığına ilişkin bir iddia bulunmamakla birlikte veri sorumlusuna yapılan başvuruda da aydınlatma hususuna ayrıca değinilmediğinin görüldüğü; bunun yanı sıra Kuruma intikal ettirilen dilekçede veri sorumlusunun gerçekleştirdiği her bir veri işleme faaliyeti yönünden aydınlatma yükümlülüğünün yerine getirilmediği hususunun Kurulca resen değerlendirilmesinin talep edildiği,
Bu kapsamda avukatların uzlaşma amacıyla karşı tarafla iletişim kurduğu anda kendini tanıtması, veriyi nereden temin ettiğinin, ne amaçla iletişim kurduğunun karşı tarafa bildirilmesi hayatın doğal akışı içerisinde değerlendirilebilecekken verilerin ne kadar süreyle işleneceği, hangi yöntemler kullanılarak dosyalandığı/saklandığı gibi hususların bildirilmesinin bu akış içerisinde mümkün olmayacağı, aynı hususun borçlu ilgili kişilere icra takibi başlatılması ya da dava açılması sürecinde müvekkilden elde edilen karşı taraf bilgilerinin yine vekâlet ilişkisinin yürütülmesi amacıyla işlenmesinde aydınlatma yükümlülüğünün bir veri sorumlusundan uygulanması gereken şekilde yerine getirilmesinin beklenemeyeceği değerlendirilmekle birlikte bu hususun avukatın aydınlatma yükümlülüğünden muaf olduğu anlamına gelmediği; avukatın, vekâlet ilişkisi kurduğu kişiyi-yani müvekkilini- Kanun’un 10’uncu maddesi hükmü gereğince aydınlatma yükümlülüğü bulunduğu ve bu veri işleme faaliyetini gerçekleştirirken öğrendiği diğer bilgiler açısından zaten Avukatlık Kanunu gereğince sır saklama yükümlülüğü altında olduğu

değerlendirmelerinden hareketle;

İlgili kişilerin borcun doğduğu/icra takibinin başlatıldığı dönemde münfesih şirketin yönetim kurulunda yer aldığı, bu hususun da Ticaret Sicil Gazetesi’nde aleni bir şekilde paylaşıldığı, veri sorumlusu avukatın Avukatlık Kanunu ve sair mevzuat çerçevesinde vekâlet ilişkisi içerisinde bulunulan müvekkile ait alacağın tahsili amacıyla ilgili kişilerin ad, soyadı, T.C. kimlik numarası, adresi, telefon numarası gibi verilerini UHAP/bilinmeyen numara servisleri vb. mevzuata uygun faaliyet yürüten yasal platformlar üzerinden edinmesinin ve işlemesinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 5’inci maddesinin (2) numaralı fıkrasının (ç) bendi gereğince veri sorumlusunun vekâlet ilişkisinden doğan hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması şartına ve (e) bendi gereğince alacaklının hak arama hürriyetinin tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması şartına dayandığı dikkate alınarak bu iddia açısından Kanun kapsamında yapılacak bir işlem olmadığına,
Veri sorumlusunca gerçekleştirildiği iddia edilen “defaten/ısrarla” arama yapılması durumunun ise Kuruma sunulan dilekçe ve eklerinde yer alan bilgi ve belgelerden anlaşılamaması sebebiyle söz konusu veri işleme faaliyetinin Kanun’un 4’üncü maddesi gereğince hukuka ve dürüstlük kurallarına uygun olarak gerçekleşmediğinin ispat edilemediği dikkate alınarak bu hususta yapılacak bir işlem olmadığına,
İlgili kişilerce yapılan veri sorumlusu başvurusunda aydınlatma yükümlülüğüne ilişkin iddialara yer verilmemiş olması sebebiyle veri sorumlusuna tanınan savunma hakkının kısıtlanmasının önüne geçilmesi amacıyla söz konusu hususun inceleme kapsamına dahil edilemeyeceğine

karar verilmiştir.

07.Temmuz.2022: “İlgili kişinin, çevrimiçi alışveriş hizmeti veren veri sorumlusundan gerçekleştirdiği alışverişine ilişkin kredi kartı ve cep telefonu bilgilerinin kendisine bildirilmesi talebi"

Karar Tarihi	:	07/07/2022
Karar No	:	2022/653
Konu Özeti	:	İlgili kişinin, çevrimiçi alışveriş hizmeti veren veri sorumlusundan gerçekleştirdiği alışverişine ilişkin kredi kartı ve cep telefonu bilgilerinin kendisin bildirilmesi talebi

İlgili kişinin Kuruma intikal eden dilekçesinde özetle;

Veri sorumlusu şirketin sunduğu hizmetlerden biri olan çevrimiçi alışveriş platformu üzerinden gerçekleştirdiği alışveriş ile ilgili olarak, uygulamaya girdiği kredi kartı bilgilerinin ve sipariş teslimatı için verilen iletişim -cep telefonu numarası- bilgisinin 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) uyarınca veri sorumlusundan talep edildiği,
Ancak, kredi kartı üzerinde yazan isim bilgisinin veri sorumlusuna ait sistemlerde tutulmadığı ve siparişe ilişkin telefon bilgisinin kendisiyle paylaşılmasının uygun olmadığı gerekçesiyle söz konusu talebin veri sorumlusu tarafından reddedildiği ancak savcılık kararının bulunması halinde ilgili kişiyle bu bilgilerin paylaşılabileceğinin belirtildiği,
Platform üzerinden gerçekleştirilen alışverişlerde her ne kadar ilgili banka sayfasına yönlendirme yapılsa da kredi kart bilgileri alanının ödeme aşamasının başında veri sorumlusunun internet sayfası üzerinden doldurulduğu ve kredi kartı bilgilerinin isteğe bağlı olarak kaydedilebildiği, bu sebeple kredi kartı bilgilerinin veri sorumlusunun sisteminde tutulmadığı iddiasının gerçeği yansıtmadığı, aydınlatma metninde internet sitesi/mobil uygulamalar üzerinden alışveriş yapanın/yaptıranın kimlik bilgilerini teyit etme ve bu kişiyle iletişim kurmak amaçlarıyla adres ile diğer gerekli bilgilerinin kaydedilmesi suretiyle kişisel veri işlendiğinin belirtildiği,
Kayıt altına alındığı beyan edilen bilgilerin sisteme kayıtlı kullanıcı e-postası ve telefon yoluyla talep edilmesine rağmen bu bilgilerin kendisiyle paylaşılmamasının Kanun’a aykırı olduğu

ifade edilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.

Söz konusu iddialara ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

İlgili kişinin platform üzerinden alışveriş yapabilmesi için kart bilgilerini girmesi gerektiği, daha sonraki alışverişlerinde kullanmak istemesi halinde kredi kartı bilgilerini kaydedebileceği, buna karşın kredi kartını kaydetmeyi seçse dahi veri sorumlusunun kredi kartı bilgilerine ilişkin verilerin tamamına erişemediği, PCI DSS Level-1 Sertifika uyumluluğu bulunması nedeniyle ilgili kişilerin ödeme yaptıkları kredi kartı bilgilerinin veri sorumlusu sistemlerinde maskeli olarak tutulduğu,
İlgili kişinin somut olaya konu üç adet siparişten 53……8 ve 53……4 numaralı siparişlerin ilgili kişinin üyelik hesabıyla yapıldığı, 54…..8 numaralı siparişin ise ilgili kişinin üyelik hesabından yapılmadığı ve bu siparişin başka bir üyenin hesabından yapıldığının tespit edildiği, yazı ekinde 54……8 numaralı siparişin başka bir kişiye ait olduğunu tevsiken ekran görüntüsünün sunulduğu,
Öte yandan bazı durumlarda üyelik hesabından yapılan işlemlerde üçüncü kişilere ait isim, soy isim ve telefon numarası bilgilerinin verildiği; somut olayda da 53…..8 ve 53…..4 numaralı siparişlerin ilgili kişinin üyelik hesabından yapılmasına rağmen üçüncü bir kişinin adı, soyadı ve telefon numarası bilgilerinin verildiğinin anlaşıldığı, bu bağlamda talep konusu siparişlerin üçüncü kişilere ait olması ve veri sorumlusu bünyesinde kredi kartı bilgilerinin bulunmaması nedeniyle ilgili kişinin talebinin yerine getirilmediği,
İlgili kişinin üyeliği ile yapılan iki alışverişte üçüncü kişiye ait isim, soy isim ve telefon numarası bilgilerinin bulunmasının; aynı üyelik hesabının eş, anne, baba, kardeş gibi birden fazla kişi tarafından ortak kullanılması, üyenin kendi şifresini başka bir üçüncü kişiyle paylaşması, üyenin hediye almak istediği üçüncü kişinin teslimat bilgilerini teslimat amacıyla sisteme eklemesi gibi ilgili kişinin bilgisi dâhilindeki nedenlerden kaynaklanabileceği gibi başka bir cihazdan giriş yaptığı hesabını kapatmadan çıkması, üyelik hesabı oluşturduğu farklı platformlarda hep aynı şifreyi kullanması gibi ihmallerden kaynaklanabileceği,
Kanun’un 11’inci maddesinde vurgulandığı üzere ilgili kişilerin “kendisiyle ilgili” kişisel verilere ilişkin bilgi talep etme hakkının olduğu, dolayısıyla veri sorumlusunun, üçüncü kişinin kişisel verisine ilişkin olarak ilgili kişiye herhangi bir bilgi verme yükümlülüğünün bulunmadığı,
Ortak hesap kullanan kişilerin daha sonra ihtilaflı hâle geldiği durumların, örneğin ortak hesap kullanan eşlerin siparişlere ilişkin bilgi talebinde bulunduğu durumların yaşanabildiği göz önünde bulundurularak ilgili kişi taleplerinin hassasiyetle incelendiği ve ilgili kişinin hakkında bilgi talep etmiş olduğu sipariş kendi üyelik hesabından yapılsa dahi alışverişin başka bir kişi tarafından yapıldığı tespit edilmişse bilgi paylaşmama konusunda titizlikle hareket edildiği,
Öte yandan kredi kartı numarası bilgilerine uluslararası güvenlik standartları nedeniyle maskeli olarak erişim sağlanabilmesi nedeniyle bu bilgileri paylaşmasının mümkün olmadığı, ilgili kişinin talep ettiği kart üzerindeki isim ve soy isim bilgisinin ise veri sorumlusu nezdinde maskeli olarak dahi saklanmadığı,
İlgili kişinin, üyelik hesabından yapmış olduğu kendisine ait siparişlere yönelik bilgi talebinde bulunması halinde çağrı merkezi doğrulama soruları aracılığıyla bu talebinin karşılanabileceği, ilgili kişinin taleplerini yerine getirmemek adına değil yalnızca mevzuat hükümleri ve veri güvenliği tedbirleri doğrultusunda yanıt verildiği,
İlgili kişinin bilgisi dışında bir işlem olması ihtimali göz önünde bulundurularak bu konu hakkında yetkili mercilere başvurması yönünde kendisine bilgi verildiği ve ilgili kişinin üyelik hesabının güvenlik nedeniyle işleme kapatıldığı,
İlgili kişinin talebinin Kanun’un 11’inci maddesi kapsamında olmadığı, ilgili kişilere verilecek yanıtın Kanun’un diğer hükümlerine aykırılık teşkil etmesi hâlinde veri sorumlusunun Kanun’un 13’üncü maddesi uyarınca reddetme hakkının olduğu

ifade edilmiştir.

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 07/07/2022 tarih ve 2022/653 sayılı Kararı ile;

Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi; “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi, “veri sorumlusu”nun kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi; “kişisel verilerin işlenmesi”nin kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı,
Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesinde, kişisel verilerin ancak bu Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, buna göre, kişisel verilerin ancak; a) hukuka ve dürüstlük kurallarına uygun olma, b) doğru ve gerektiğinde güncel olma, c) belirli, açık ve meşru amaçlar için işlenme, ç) işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ile d) ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceği,
Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiilî imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
Ayrıca, Kanun'un "İlgili kişinin hakları" başlıklı 11'inci maddesinde, ilgili kişilerin haklarının sıralandığı, bu maddede "Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) 7’nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir."
hükümlerine yer verildiği,
Somut olayda veri sorumlusu tarafından sunulan Ödeme Kartı Endüstrisi Veri Güvenliği Standardı (Payment Card Industry –PCI- Data Security Standard –DSS-) Servis Sağlayıcıları Yerinde İncelemesi için Uygunluk Tasdiki (Attestation Of Compliance –AOC- For Onsite Assessments Service Providers) belgesinde yer aldığı üzere mobil ödeme teknolojisi sağlayıcısı aracı şirket tarafından; kartın fiziksel olarak bulunmadığı işlemlerin, tacirlerden veya müşterilerden alınarak üye iş yeri anlaşması yapan kuruluşa (acquirer) yönlendirildiği, aynı zamanda müşterilere dijital cüzdan hizmeti sağlandığı, kart hamili verisinin sistemlerinde saklandığı, GSM numarasının müşterileri benzersiz olarak tanımladığı,
Mobil ödeme teknolojisi sağlayıcısı aracı şirketin 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun kapsamında bir ödeme hizmeti sağlayıcısı olmadığı, üye iş yeri için kart bilgilerini saklama ve sonraki ödemeler için saklanan bilgilerin kullanılmasına izin veren bir hizmet sağladığı,
Banka Kartları ve Kredi Kartları Hakkında Yönetmelik’in 27/A maddesinin beşinci fıkrası hükmü uyarınca hassas ödeme verisinin üye işyerine (somut olayda veri sorumlusuna) hiç iletilmemesinin gerektiği; ayrıca ödeme teyidinin yapılması amacıyla bir veri gönderilmesi gerekmesi hâlinde ise hesap numarası veya hassas ödeme verisi yerine her ödeme için oluşturulan farklı bir token iletilerek daha sonraki ödemeler için oluşabilecek risklerin ortadan kaldırılabileceği,
Mobil ödeme teknolojisi sağlayıcısı aracı şirketin hizmet sözleşmesi incelendiğinde üye işyeri ile hassas kart verisinin paylaşılmayacağının beyan ve taahhüt edildiği, kart bilgisi görüntüleme ve silme işlemleri dahil olmak üzere kart saklama hizmetinin ilgili şirket tarafından sağlandığı ve veri sorumlusunun hassas kart bilgilerine sahip olmadığının anlaşıldığı, nihayetinde ilgili kişinin kart bilgilerine erişim talebinin veri sorumlusu tarafından karşılanamayacağı,
İlgili kişinin Kanun’un 11’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında siparişe ilişkin bilgi talebinin reddedilmesine ilişkin olarak; telefon numarasına ilişkin talebinin “ilgili kişinin kendisiyle ilgili olması” kriteri çerçevesinde incelendiğinde, kişisel verilerin aynı anda birden fazla kişiyle ilgili olmasının mümkün olduğu, ilgili kişinin teslimatı için verilen iletişim adresi üçüncü kişiye ait olsa da ilgili kişinin üyelik hesabından yapılan alışverişle ilgili olarak söz konusu telefon numarasının aynı zamanda ilgili kişiye ilişkin olduğu,
Avrupa Veri Koruma Kurulu’nun (EDPB) “İlgili Kişi Hakları- Erişim Hakkı Üzerine 01/2022 sayılı Rehber” ilkelerinde; ilgili kişinin, münhasıran başkasını ilgilendiren veriler hariç olmak üzere, yalnızca kendisiyle ilgili kişisel verilere erişme hakkına sahip olduğu, bununla birlikte verilerin ilgili kişiye ilişkin kişisel veri olarak sınıflandırılmasının, bu kişisel verilerin başka biriyle de ilgili olmasına bağlı olmadığının ifade edildiği, “kendisiyle ilgili kişisel veriler” ifadesinin kapsamının “çok kısıtlayıcı” yorumlanmaması gerektiğinin tavsiye edildiği, ayrıca rehberde kişisel verilerin hane halkı kapsamında işlenmesine yönelik istisna hükmünün kapsamına girmeyen haller için ilgili kişinin sağladığı kişisel veriyi başka amaçlarla kullanması halinde, ilgili kişinin kendisinin de veri sorumlusu olarak nitelendirilebileceği ve veri sorumlusunun bu konuda diğer ilgili kişiyi bilgilendirmesi gerektiğinin ifade edildiği, bu çerçevede söz konusu rehber ilkeler ile erişim hakkının sınırları hakkında yapılacak değerlendirmede;
- Hak ve özgürlükler üzerinde olumsuz bir etkisi olup olmadığı (diğer bireyler için risk olasılığı ve riskin öneminin değerlendirilmesi)
- Başkalarının hak ve özgürlüklerinin, ilgili kişinin hakkına üstün gelip gelmediği
dengesi temel alınarak eğer kişisel verilere erişim hakkı çözümsüzlüğünde, örneğin bir ses kaydını yalnızca transkriptinin sağlanması gibi uygun formatta kişisel verilere erişim hakkı tanınarak uzlaşılması veya böyle bir uzlaşma sağlayacak bir yöntem bulunmadığı durumda, diğer kişinin hak ve özgürlüklerinin olumsuz etkilendiği ve kişisel verilere erişim hakkına üstün geldiği sürece ilgili kişiye erişim hakkının sağlanmamasının tavsiye edildiği,
Somut olayda, veri sorumlusu tarafından teslimat için verilen iletişim adresinin farklı olması nedenleri arasında;
  - Bir üyeliğin birden fazla kişi (aile üyeleri gibi) ile ortak kullanılması,
  - Üyenin şifresini başka kişiyle paylaşarak üyelik hesabını kullanması,
  - Hediye almak istediği üçüncü kişi bilgilerini teslimat amacıyla sisteme eklemesi,
  - Kimlik veya hesap hırsızlığı
hususlarının sayıldığı, ayrıca veri sorumlusu tarafından üçüncü kişinin kişisel verisine ilişkin ilgili kişiye herhangi bir bilgi verme yükümlülüğünün bulunmadığının belirtildiği,
Veri sorumlusunun platformu üzerinden üyelik hesabına giriş yapıldığında halihazırda verilen siparişin teslimatının yapılacağı kişinin bilgileri kapsamında üçüncü kişinin ismi, soy ismi ve adres bilgisine ulaşılabildiği, yalnızca telefon numarasının yıldızlanarak maskelendiğinin anlaşıldığı; somut olayda ilgili kişinin üyelik hesabından verilen siparişin teslimatı için bildirilen telefon numarasının
- Üçüncü kişinin hak ve özgürlükleri üzerinde olumsuz bir etkisinin olup olmadığı (üçüncü kişi için risk olasılığı ve riskin öneminin değerlendirilmesi),
- Üçüncü kişi hak ve özgürlüklerinin, ilgili kişinin erişim hakkına üstün gelip gelmediği
arasında bir denge kurulmak suretiyle ilgili kişinin kişisel veriye erişim hakkının üstün geldiği kanaatine varılması halinde, ilgili kişinin üyelik hesabından verilen siparişlerde teslimat için bildirilen telefon numarasının, ilgili kişinin makul gerekçesi bulunması ve erişim talebiyle ilişkili dolandırıcılık riski bulunmaması şartıyla veri sorumlusu tarafından ilgili kişinin kimliğini doğrulayacak mekanizmalar aracılığıyla ilgili kişiye sağlanması gerektiği,
Öte yandan, ilgili kişinin üyelik hesabı kullanılmaksızın verilen üçüncü siparişin ilgili kişi dışında üçüncü kişinin üyelik hesabından yapıldığı veri sorumlusunun sunduğu deliller ile kanıtlandığı dikkate alındığında, ilgili kişinin kişisel verisi olmaması nedeniyle kişisel verilere erişim hakkı kapsamında veri sorumlusu tarafından söz konusu siparişin teslimatı için verilen telefon numarasının ilgili kişiye sağlanamayacağı

değerlendirmelerinden hareketle;

İlgili kişinin kredi kartı bilgilerinin mobil ödeme teknolojisi sağlayıcısı aracı şirket bünyesinde tutulduğu dikkate alındığında veri sorumlusu hakkında bu açıdan yapılacak bir işlem olmadığına,
Üyelik hesabından giriş yapıldığında verilen siparişin teslimatının yapılacağı kişinin bilgileri kapsamında halihazırda üçüncü kişinin isim, soy ismi ve adres bilgisine ulaşabildiği, telefon numarasının ise maskeli olarak gösterildiği dikkate alındığında, ilgili kişinin erişim talebinin gerekçesinin makul olması ve bu talep ile bağlantılı dolandırıcılık riski bulunmaması halinde üçüncü kişinin hak ve özgürlüklerinin ilgili kişinin kişisel veriye erişim hakkına üstün gelmediği kanaatine varıldığından, ilgili kişinin üyelik hesabından verilen siparişlerin teslimatı için bildirilen telefon numarasının kimlik doğrulama mekanizmaları aracılığıyla ilgili kişiye sağlanması yönünde veri sorumlusunun talimatlandırılmasına,
İlgili kişinin üyelik hesabı kullanılmaksızın verilen diğer siparişin ilgili kişi dışında üçüncü kişinin üyelik hesabından yapıldığının veri sorumlusunun sunduğu deliller ile kanıtlandığı dikkate alındığında, şikayetçinin kişisel verisi olmaması nedeniyle söz konusu siparişin teslimatı için verilen telefon numarasının ilgili kişinin erişim hakkı kapsamında bulunmadığı kanaatine varıldığından bu hususta veri sorumlusu hakkında yapılacak herhangi bir işlem bulunmadığına

karar verilmiştir.

29.Haziran.2022: “İlgili kişinin ameliyat sırasında çekilen fotoğraflarının veri sorumlusu hastanede çalışan bir doktorun sosyal medya hesabında paylaşılması"

Karar Tarihi	:	29/06/2022
Karar No	:	2022/630
Konu Özeti	:	İlgili kişinin ameliyat sırasında çekilen fotoğraflarının veri sorumlusu hastanede çalışan bir doktorun sosyal medya hesabında paylaşılması

İlgili kişinin Kuruma intikal eden şikâyetinde özetle; özel bir hastanede gerçekleştirilen burun ameliyatı esnasında baygın olduğu sırada açık rızası alınmaksızın çekilen kişisel verisi niteliğindeki fotoğraflarının veri sorumlusu hastanede çalışan ve ameliyatı gerçekleştiren doktorun sosyal medya hesabında reklam amaçlı olarak paylaşıldığı ve söz konusu fotoğrafların yaklaşık iki yıl boyunca bu hesapta tutulduğu, doktor ile veri sorumlusu hastanenin gerçekleştirilen ameliyatları sosyal medya hesaplarında paylaşarak yeni müşteriler kazanmayı hedefledikleri, ilgili kişinin yaptığı başvuru sonrasında fotoğraflar kaldırılmış olmakla birlikte veri sorumlusu hastane tarafından ilgili kişiye verilen cevapta ilgili kişinin kişisel verilerinin hukuka uygun olarak işlendiğinin ispat edilemediğinin belirtildiği iddialarına yer verilmiş ve kişisel verilerinin reklam ve pazarlama amaçlı işlenmesinde açık rızasının bulunmadığı belirtilerek gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusu hastaneden savunması istenilmiş olup alınan cevabi yazıda özetle;

Öncelikle ilgili kişinin, kişisel verisi niteliğinde olduğunu iddia ettiği görüntülerin kişisel veri niteliği taşımadığı, zira kişisel veriden söz edebilmek için verinin gerçek kişiye ilişkin olması ve bu gerçek kişinin kimliğinin belirli ya da belirlenebilir nitelikte olması gerektiği, ancak şikâyete konu görüntü ile ilgili kişinin ilişkilendirilmesinin mümkün gözükmediği, söz konusu görüntünün yalnızca operasyon yapılan burundan ibaret olduğu, burun dışında herhangi bir belirleyici unsur olmadığı, kişinin kimliğini belirlenebilir kılacak unsurların çekim açısı ve anonimleştirmeler yoluyla ortadan kaldırıldığı, bahse konu sosyal medya gönderisinde ilgili kişinin kimlik bilgilerinin, isim veya soy isminin etiketleme yöntemi ile sosyal medya hesabında paylaşılmadığı, dolayısıyla yalnızca bahse konu görüntüye bakılarak herhangi bir kişinin tespit edilemeyeceği, ayrıca söz konusu ameliyatın bir estetik ameliyatı olduğu göz önünde bulundurulduğunda yapılan tıbbi müdahalenin gösterilebilmesi amacıyla uygulanan tedaviden hemen sonra çekilen fotoğrafın ilgili kişiyi tanımlamadığı,
Öte yandan ilgili kişiye hastane bünyesinde uygulanan tıbbi tedavinin akabinde, hastane doktorlarından birisi tarafından ilgili kişinin bahse konu fotoğrafının çekildiği, ilgili kişinin başvuru dilekçesinin ekinde yer alan görsel dışında sistemlerinde ilgili kişinin bir görüntüsünün mevcut olmadığı, ilgili kişinin başvurusu üzerine ilgili görselin kaldırıldığı ve hastane bünyesinde çalışan bahse konu doktor tarafından da imha edildiği,
Özel Hastaneler Yönetmeliği’nin 48’inci maddesi hükmü uyarınca düzenlenen hasta dosyasında ilgili kişinin çeşitli kişisel verilerinin işlendiği ve bu verilerin hukuka ve dürüstlük kuralına uygun şekilde, güncel ve doğru olmak şartıyla, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ve yönetilmesi amaçları doğrultusunda belirlenmiş olan meşru amaçlarla sınırlı olarak ölçülülük ilkesine uygun şekilde, 6698 sayılı Kanun’un 5 ve 6’ncı maddelerinde belirtilen şartlar dahilinde hukuka uygun olarak işlendiği,
Bahse konu görselin, fotoğrafı çeken doktorun sosyal medya hesabında ilgili kişinin açık rızası alınarak paylaşıldığı, hastane tarafından hem sözlü hem de yazılı olarak ilgili kişinin açık rızasının alındığı, bu çerçevede ilgili kişinin tedavinin nitelikleri, özellikleri ve sonuçları bakımından kamunun bilgilendirilmesi amacıyla görsel olarak kullanılması yönünde açık rıza verdiğini gösteren belgenin Kuruma sunulduğu, dolayısıyla ilgili kişinin açık rızasının bulunmadığı yönündeki iddiasının gerçeği yansıtmadığı,
Görüntünün paylaşım tarihinden iki yıl sonra ilgili kişinin, bahse konu fotoğrafı çeken doktora, fotoğrafının, kendisinin sosyal medya hesabından kaldırılması talebinde bulunarak açık rızasını geri alması üzerine söz konusu paylaşımın kaldırıldığı,
İlgili kişinin bahsi geçen doktor tarafından ameliyat sonrasında düzenli olarak muayene edildiği, periyodik muayenelerde söz konusu paylaşımlar hakkında herhangi bir talebi bulunmayan ilgili kişinin tedavinin tamamlanması sonrasında itirazlarda bulunmasının kişisel fayda sağlayacağı umuduyla hareket ettiği anlamına geldiği ve ilgili kişi tarafından bahsi geçen doktora gönderilen ihtarnamede, fotoğraflarının sosyal medya platformlarından kaldırılması akabinde kendisine belli bir miktar manevi tazminat ödenmemesi durumunda yasal yollara başvurulacağının belirtilmesinin, Kurum tarafından kesilen idari para cezasından kendisinin faydalanabileceği düşüncesi taşıdığı anlamına geldiği,
Taraflarına yapılan başvuru sonrasında ilgili kişinin talebinin yerine getirilmesi ve fotoğrafların tüm alanlardan kaldırılmasının ardından Kurula şikâyette bulunulmuş olmasının ilgili kişinin açıkça kötü niyetli olduğunu gösterdiği

ifade edilmiştir.

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun 29/06/2022 tarih ve 2022/630 sayılı Kararı ile;

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ğ) bendinde “veri işleyen”in veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlandığı,
Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükmünün yer aldığı,
Kanun’un 12’nci maddesinin (1) numaralı fıkrası gereğince veri sorumlusunun; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğunun hükme bağlandığı,
Somut olayda veri sorumlusu tarafından şikâyete konu görüntünün ilgili kişiyi tanımlamadığı, yalnızca operasyon öncesi ve sonrası burun görselinin bulunduğu, ilgili kişinin kimliğini belirlenebilir kılacak unsurların çekim açısı ve anonimleştirmeler yoluyla ortadan kaldırıldığı beyan edilmiş olmakla birlikte Kuruma intikal eden şikâyet dilekçesinin ekinde yer alan görüntüler incelendiğinde; ameliyat öncesi ve sonrasına ilişkin burun görselinin yer aldığı görüntüde ilgili kişinin gözlerinin görsel karakter kullanılmak suretiyle kapatıldığı, ancak görsel içeriğinin yalnızca burundan ibaret olmadığı, yüzün ilgili kişiyi tanımlayabilecek kaş, bıyık vb. bölümlerinin açıkça yer aldığı ve anonimleştirilmediği görüldüğünden bahsi geçen görsellerin ilgili kişinin kimliğini belirlenebilir kılabilme özelliğinde olduğu, yüzün açıkta kalan bölümlerinden görselde yer alan kişinin ilgili kişi olduğunun tespit edilebileceği, dolayısıyla ilgili kişiye ait kişisel veri niteliği taşıdığı,
Veri sorumlusu, bahse konu görüntünün fotoğrafı çeken doktorun sosyal medya hesabında ilgili kişinin rızası alınarak paylaşıldığını, bu çerçevede hastane tarafından ilgili kişinin hem sözlü hem de yazılı olarak açık rızasının alındığını ve bu çerçevede ilgili kişinin tedavinin nitelikleri, özellikleri ve sonuçları bakımından kamunun bilgilendirilmesi amacıyla görsel olarak kullanılması yönünde açık rıza verdiğini gösteren muvafakatnamenin Kuruma sunulduğunu beyan etmiş olmakla birlikte bahse konu muvafakatname incelendiğinde; ilgili kişinin, kişisel verilerinin kullanılmasına açık rıza gösterdiği tarafın tedaviyi gerçekleştiren sağlık kuruluşu olduğunun görüldüğü ancak somut olayda ilgili kişinin ameliyat sırasında çekilen görsellerini sosyal medya hesabında paylaşanın hastanede çalışan bir doktor olduğu,
Bu doğrultuda ilgili kişinin kişisel verilerinin ameliyatının gerçekleştirildiği sağlık kuruluşu tarafından kullanılmasına rıza gösterdiği, ancak hastane doktorunun bu verileri kullanması yönünde bir rızasının bulunmadığı, bu nedenle fotoğrafları paylaşan doktor tarafından ilgili kişiye ait kişisel verilerin Kanun’da belirlenen işleme şartları sağlanmaksızın hukuka aykırı şekilde işlendiği,
Veri sorumlusunun, bahsi geçen doktora ilgili kişi tarafından gönderilen ihtarnamede maddi taleplerin yer aldığı ve ihtarnameden, ilgili kişinin Kurum tarafından kesilen idari para cezasından faydalanabileceği düşüncesinde olduğunun anlaşıldığı yönündeki iddiası veri sorumlusunun cevap yazısının ekinde yer alan belgelerden tevsik edilmiş olduğundan, veri sorumlusunun anılan iddialarına ilişkin olarak yargı yoluna başvurabileceği,
Öte yandan, Kanun’un 17’nci maddesinde kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarih ve 5237 sayılı Türk Ceza Kanunu’nun 135 ila 140’ıncı madde hükümlerinin uygulanacağının düzenlendiği, Türk Ceza Kanunu’nun 135, 136 ve 137’nci maddelerinde hukuka aykırı olarak kişisel verileri kaydetme, kişisel verileri hukuka aykırı olarak verme, yayma veya ele geçirme suçuna ilişkin yaptırımların hükme bağlandığı ve böyle bir durumun varlığında kişisel verilere hangi yollarla ulaşıldığının tespiti ile bu kapsamda gerekli hukuksal işlemlerin tesisini teminen ilgili kişi tarafından konuya ilişkin yargı yoluna başvurulmasının mümkün olduğu

değerlendirmelerinden hareketle;

İlgili kişinin, veri sorumlusu bünyesinde çalışan doktor tarafından burun estetiği ameliyatında baygın olduğu sırada çekilen görsellerinin açık rızası alınmaksızın sosyal medya hesabında paylaşıldığı iddiasına ilişkin olarak, ilgili kişinin açık rıza gösterdiği tarafın veri sorumlusu hastane olduğu, baygın olduğu esnada çekilen görsellerinin bahsi geçen doktor tarafından paylaşılması konusunda açık rıza beyanının bulunmadığı, bununla birlikte veri sorumlusu hastanenin söz konusu fotoğrafların adı geçen doktor tarafından sosyal medya hesabında paylaşıldığı hususunda bilgisinin bulunduğu, bu itibarla veri sorumlusunun ilgili kişinin kişisel verisi olan görselin adı geçen doktor tarafından sosyal medya hesabında paylaşılmasını önleyici gerekli idari ve teknik tedbirleri almadığı dikkate alındığında; Kanun’un 12’nci maddesinin (1) numaralı fıkrası çerçevesinde kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirleri yeterli düzeyde almadığı kanaatine varılması nedeniyle veri sorumlusu hastane hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 100.000 TL idari para cezası uygulanmasına,
Veri sorumlusunun, ilgili kişinin kendisine maddi tazminat ödenmesi durumunda Kurula şikâyette bulunmayacağına dair teklifine ilişkin yargı yoluna başvurulabileceği hususunda bilgilendirilmesine,
Kişisel verilerini rızası olmaksızın şahsi sosyal medya hesabında paylaşmak suretiyle işleyen doktor hakkında Türk Ceza Kanunu’nun ilgili madde hükümleri kapsamında gerekli hukuksal işlemlerin tesisini teminen yargı yoluna başvurabileceği hususunda ilgili kişinin bilgilendirilmesine

karar verilmiştir.

22.Haziran.2022: “Özel nitelikli kişisel sağlık verisi niteliğindeki bağımlılık yapıcı madde testinin sonuçlarının ilgili kişilerin açık rızası alınmaksızın veri sorumlusu özel bir sağlık kuruluşu tarafından ilgili kişilerin işyerinde görevli üçüncü bir kişiye ait e-posta adresine gönderilmesi"

Karar Tarihi	:	22/06/2022
Karar No	:	2022/594
Konu Özeti	:	Özel nitelikli kişisel sağlık verisi niteliğindeki bağımlılık yapıcı madde testinin sonuçlarının ilgili kişilerin açık rızası alınmaksızın veri sorumlusu bir özel sağlık kuruluşu tarafından ilgili kişilerin işyerinde görevli üçüncü bir kişiye ait e-posta adresine gönderilmesi

Kuruma intikal eden dilekçelerde özetle;

İlgili kişilerin, işveren bünyesinde tüm çalışanlar gibi hiçbir sebep ve açıklama olmaksızın baskıyla uyuşturucu testine zorlandığı, evlerinden çağrılarak veri sorumlusu özel sağlık kuruluşunda test yaptırıldığı,
Testin yapılması sırasında ilgili kişilerin iletişim bilgileri alınmadığı gibi test sonuçlarının hukuka aykırı olarak ilgili kişilerin işyerindeki bir personele ait e-posta adresine gönderildiği, dolayısıyla kişisel sağlık verilerinin kendilerinden izin alınmaksızın ve hiçbir aydınlatma yapılmaksızın, açık rızaları dışında üçüncü bir kişiye aktarıldığı,
Konu ile ilgili olarak yapılan başvurulara istinaden veri sorumlusu tarafından ilgili kişilere verilen cevapta ilgili kişilerin, çalıştıkları kurumun işvereni olarak bildirdikleri üçüncü kişi ile birlikte laboratuvar birimine gelerek bağımlılık yapıcı madde taraması yaptırmak istediklerini beyan ettikleri, her hastaya yapıldığı gibi kayıt aşamasında T.C. kimlik numarası, doğum tarihi, telefon numarası ve sonucun bildirileceği e-posta adresinin istenerek kayıt işlemlerinin yapıldığı, bahsi geçen hastaların ödemesinin beraber geldikleri işverenleri tarafından yapıldığı, hastaların yanında duyabilecekleri şekilde ve kameraların önünde kendi rızaları ile sözlü olarak onay alındıktan sonra işverene ait e-posta adresinin, sonuçların gönderilmesi için kayıtlara işlendiği ve ilgili kişilerin bu duruma hiçbir itirazının olmadığı, kişisel verilerin işlenmesindeki amacın tüm sağlık kuruluşlarında olduğu gibi kişiye özel bir kayıt oluşturmak ve çalışan test sonuçlarını raporlamak olduğunun beyan edildiği,
İlgili kişilerin diğer arkadaşlarından öğrendikleri şekliyle, test sonrasında şikâyette belirtilen üçüncü kişinin sonuçların kendisine gönderilmesini istediğini ve kayıt alan kişinin de hiçbir açık rıza beyanı almaya gerek duymaksızın verilen bilgiyi kayda aldığı,
Her ne kadar veri sorumlusu sağlık kuruluşu tarafından verilen cevap yazısında ilgili kişilerin işvereni olduğu belirtilse de söz konusu kişinin işverenleri olmadığı, sonuç olarak tetkik sonuçlarının taraflarına gönderilmek yerine üçüncü bir kişiye gönderildiği

ifade edilerek gereğinin yapılması talep edilmiştir.

İlgili kişilerin şikâyetine istinaden başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

İlgili kişilerin bağımlılık yapıcı madde tarama testi yaptırmak için şikâyette belirtilen üçüncü kişi ile birlikte kliniğe başvurduğu, bunun ardından standart hasta kayıt kabul prosedürü gereği kayıt sürecinin başlatıldığı,
İlgili kişilerden alınan bilgiler çerçevesinde kayıt oluşturularak işlemin başlatıldığı, tüm bilgilerin ilgili kişilerin açık beyanı üzerine kayıt altına alındığı, işlem ödemesinin anılan üçüncü kişi tarafından yapılacağının beyan edildiği, ilgili kişiler tarafından söz konusu testlerin rıza dışında yaptırıldığına ilişkin bir geri bildirimde bulunulmadığı, ödeme alınarak ve faturası ilgili adına düzenlenerek test sürecinin başlatıldığı,
Laboratuvar işleyişinde ilgili kişilerin beyan ettiği adres, telefon ve e-posta adresi gibi bilgiler iletişim adresi kabul edilerek tüm bildirimlerin anılan adrese yapıldığı, ilgili kişilerin kayıt esnasında kendi rızasıyla üçüncü kişiye ait e-posta adresini verdiği,
İlgili kişilerin veri sorumlusu hakkında somut olayla ilgili açtığı manevi tazminat davasının devam ettiği,
Sağlık hizmeti sunucusunun banko, gişe ve masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda yakın konumda hizmet alanların birbirlerine ait kişisel verilerini duymalarını, görmelerini, öğrenmelerini veya ele geçirmelerini engelleyecek nitelikte gerekli fiziki, teknik ve idari tedbirleri almakla; tahlil ve tetkik sonuçları gibi hastaya ait kişisel sağlık verilerini içeren basılı materyal üzerinde gerekli kısmi kimliksizleştirme veya maskeleme tedbirlerini uygulamakla ve söz konusu materyalin yetkisiz kişilerin eline geçmesi halinde kime ait olduğunun tespit edilmesini zorlaştıracak tedbirleri almakla yükümlü olduğu,
Kişisel sağlık verilerinin hasta yakınları ile paylaşımında, KVKK ilkelerine aykırılık teşkil etmeyecek şekilde, bilginin, mümkün olduğunca sade şekilde, tereddüt ve şüpheye yer verilmeden, hastanın sosyal ve kültürel düzeyine uygun olarak anlayabileceği şekilde verildiği,
Hastanın kendisinin bilgilendirilmesinin esas olduğu, hastanın kendisi yerine bir başkasının-yakınlarının bilgilendirilmesini talep etmesi halinde, bu talebin kişinin imzası ile yazılı olarak kayıt altına alınmak kaydıyla yerine getirildiği, bilgilendirmenin uygun ortamda ve hastanın mahremiyeti korunarak yapıldığı

hususları bildirilmiştir.

Bahse konu inceleme sürecinde ilgili sağlık kuruluşu tarafından da söz konusu uyuşturucu testlerinin sonuçlarının üçüncü kişiye ait e-posta adresine gönderildiği ifade edildiğinden, Kişisel Verileri Koruma Kurulu tarafından ilgili kişilerin işvereninden, anılan üçüncü kişinin şirketteki konumu hakkında bilgi temin edilmesine karar verilmiştir. Karara istinaden işveren tarafından gönderilen cevabi yazıda özetle;

İşveren bünyesinde çalışan personelden edinilen bilgi ile mağazanın alt katındaki depodan koku geldiğinin öğrenildiği, bu kokunun uyuşturucu dumanı kokusu olabileceğinin anılan üçüncü kişi personele iletildiği, bu iddia karşısında personellerin uyuşturucu testi yaptırmasının uygun olacağının karşılıklı olarak kararlaştırıldığı,
İki personelin yaşlarından, bir personelin ise durumu bildiren kişi olmasından ötürü test sürecinden hariç tutulduğu, diğer personelin gönüllü olarak uyuşturucu testi yaptırdığı, sonrasında test yapılacak beş personelin klinik testleri için randevu alındığı, beş personelden birinin hastalığını gerekçe göstererek test yaptırmadığı, kalan personelin ise ilgili testi yaptırdığı,
Bahsi geçen personel test verdikten sonra sağlık kuruluşunda görevli bir kişinin test sonuçlarının hangi e-posta adresine gönderileceğini sorduğu, anılan üçüncü kişinin diğer personele test sonuçlarının onların e-posta adresine mi yoksa kendi e-posta adresine mi gönderilmesi istediklerini sorduğu, bunun üzerine personelin, test sonuçlarının anılan üçüncü kişinin e-posta adresine gösterilmesine sözlü olarak rıza gösterdikleri, bu sebeple anılan üçüncü kişinin e-posta adresini klinikteki görevliye verdiği,
Test sonuçlarının gönderildiği tarihte veri sorumlusu tarafından test veren personele gösterildiği ve sonrasında test sonuçlarını içeren e-postanın anılan üçüncü kişi tarafından derhal silindiği,
Kanun’a aykırı bir durumun söz konusu olmadığı, personelin ilgili işlemi kendi rızaları ile yaptığı, ilgili tarihte anılan üçüncü kişinin herhangi bir yetkisinin bulunmadığı, mağaza çalışanı olarak görev yaptığı, üçüncü kişinin e-postasının kliniğe işveren tarafından bildirilmediği, işverenin olayla ilgili herhangi bir hukuki ve cezai sorumluluğunun bulunmadığı

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 22/06/2022 tarih ve 2022/594 sayılı Kararı ile;

6698 sayılı Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rızanın, “Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlandığı,
Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesinde, kişisel verilerin ancak bu Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, buna göre, kişisel verilerin ancak; a) Hukuka ve dürüstlük kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ile d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceği,
Kanun’un “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6’ncı maddesinin
(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verdir.
(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. (4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır. şeklinde düzenlendiği,
Kişisel veri işleme faaliyeti bakımından açık rızanın hem özel nitelikli kişisel veriler hem de özel nitelikli olmayan kişisel veriler bakımından hukuka uygunluk sebeplerinden biri olduğu, açık rızanın ilgili kişinin işlenmesine izin verdiği verinin sınırlarını, kapsamını ve gerçekleştirilme biçimini de belirlemesini sağladığı ve rıza veren kişinin “olumlu irade beyanı”nı içermesi gerektiği, açık rızanın alındığına dair ispat yükünün ise veri sorumlusuna ait olduğu,
Kanun’un 6’ncı maddesinin (4) numaralı fıkrası ile 22’nci maddesinin (1) numaralı fıkrasının (ç) bendi kapsamında Kişisel Verileri Koruma Kurulunun 31/01/2018 tarihli ve 2018/10 sayılı Kararı ile “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler"in belirlendiği,
Şikâyete konu iddialara ilişkin olarak, veri sorumlusundan ve işverenden alınan cevap yazılarının incelenmesi neticesinde, “ilgili tarihte anılan üçüncü kişinin herhangi bir yetkisinin bulunmadığı, mağaza çalışanı olarak görev yaptığı” şeklindeki açıklamadan anlaşıldığı üzere veri sorumlusu tarafından ilgili kişiye ait özel nitelikli kişisel veri niteliğindeki test sonuçlarının gönderildiği üçüncü kişinin, Kanun’un 6’ncı maddesi kapsamında işveren bünyesinde çalışanların kişisel sağlık verilerini ilgili kişilerin açık rızası olmaksızın işleyebilecek sır saklama yükümlülüğü altında bulunan iş yeri hekimi olmadığı,
Öte yandan, veri sorumlusu sağlık kuruluşu tarafından Kuruma intikal ettirilen cevabî yazıda belirtildiği üzere anılan üçüncü kişinin işveren olduğu düşünülerek söz konusu özel nitelikli kişisel verilerin bahsi geçen kişinin e-posta adresine gönderildiği dikkate alındığında veri sorumlusunun ilgili kişilere ait özel nitelikli kişisel verileri göndereceği e-posta adresinin Kanun kapsamında sır saklama yükümlülüğü altında bulunan iş yeri hekimine ait olup olmadığını tespit etmeden gönderdiğinin anlaşıldığı, her ne kadar veri sorumlusu tarafından ilgili kişilerin özel nitelikli kişisel verilerinin söz konusu e-posta adresine iletilmesi konusunda açık beyanlarının bulunduğu ifade edilse de Kuruma söz konusu hususu kanıtlayıcı mahiyette herhangi bir bilgi ya da belge iletilmediği,
Bu kapsamda, veri sorumlusu sağlık kuruluşunun, ilgili kişilerin sağlık verilerini üçüncü kişi ile paylaşması sureti ile gerçekleştirilen veri işleme faaliyetinin Kanun’un 6’ncı maddesinde yer alan herhangi bir veri işleme faaliyetine dayanmaksızın gerçekleştirdiği dikkate alındığında Kanun’un 12’nci maddesi kapsamındaki yükümlülüklerini ihlal ederek kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı kanaatine varıldığı

değerlendirmelerinden hareketle

İlgili kişilere ait özel nitelikli kişisel verilerin veri sorumlusu sağlık kuruluşu tarafından ilgili kişilerin işyerinde görevli üçüncü bir kişiye ait e-posta adresine gönderilmek suretiyle paylaşılması şeklindeki veri işleme faaliyetine ilişkin olarak her ne kadar veri sorumlusu tarafından ilgili kişinin özel nitelikli kişisel verilerinin söz konusu e-posta adresine iletilmesi konusunda açık beyanının bulunduğu ifade edilse de söz konusu açık rızayı kanıtlayıcı mahiyette herhangi bir bilgi ya da belgenin Kuruma iletilmediği bu anlamda veri sorumlusunun söz konusu veriyi Kanun’un 6’ncı maddesinde yer alan herhangi bir veri işleme faaliyetine dayanmaksızın paylaştığı, dolayısıyla kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı ve bu hususun Kanun’un 12’nci maddesinin (1) numaralı fıkrasına aykırılık teşkil ettiği kanaatine varıldığından, söz konusu ihlalden etkilenen kişi sayısının ilgili kişilerle sınırlı kalmadığı, ilgili veri işleme faaliyetinde kişilerin özel nitelikli kişisel veri niteliğini haiz sağlık verilerinin işlendiği, veri sorumlusunun yaklaşık 600'e yakın çalışan ile birçok ilde sağlık hizmetleri verdiği hususları da dikkate alınarak, Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında veri sorumlusu hakkında 75.000 TL idari para cezası uygulanmasına

karar verilmiştir.

02.Haziran.2022: “İlgili kişinin kişisel verilerinin hesabının bulunmadığı veri sorumlusu banka tarafından aydınlatma yükümlülüğü yerine getirilmeksizin ve açık rızası alınmaksızın işlenmesi"

Karar Tarihi	:	02/06/2022
Karar No	:	2022/545
Konu Özeti	:	İlgili kişinin kişisel verilerinin hesabının bulunmadığı veri sorumlusu banka tarafından aydınlatma yükümlülüğü yerine getirilmeksizin ve açık rızası alınmaksızın işlenmesi

İlgili kişinin şikâyetinde özetle;

Bir elektronik eşya mağazasından satın almak için baktığı ürünün ödeme seçeneklerini sorduğu sırada mağaza görevlisince veri sorumlusu banka tarafından verilebilecek kredi vasıtasıyla taksit yapılabildiği bilgisinin ilgili kişiye iletildiği,
Bunun üzerine ilgili kişinin alabileceği kredi tutarını öğrenebilmek adına T.C. kimlik numarasını yazarak belirtilen numaraya SMS gönderdiği, veri sorumlusu banka tarafından verilen SMS yanıtında ilgili kişinin kredi limitinin belirtildiği,
İlgili kişinin daha önce bu bankada hiçbir hesabının olmadığı ve hiçbir işlem yapmadığı, bankaya gönderilen T.C. kimlik numarası ve cep telefonu numarası için veri sorumlusu bankanın ilgili kişiye yönelik herhangi bir aydınlatmada bulunmadığı, bu banka ile irtibatı bulunmayan bir kişi olmasına karşın veri sorumlusunun ilgili kişiye kısa süre içerisinde kredi limiti belirleyebildiği, bu durumun veri sorumlusu banka tarafından ilgili kişinin kişisel verilerinin bilgisi olmaksızın daha önceden işleniyor olduğunu gösterdiği,
Bu çerçevede veri sorumlusunun aydınlatma yükümlülüğünü yerine getirmediği, ilgili kişinin başvurusuna usulüne uygun bir yanıt verilmediği ve kişisel verileri işlenirken ilgili kişiden açık rıza alınmadığı

belirtilmiş ve gerekli işlemlerin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması talep edilmiş olup veri sorumlusunun cevabi yazısında özetle;

İlgili kişinin elektronik eşya mağazasında bulunduğu sırada almış olduğu bilgiye istinaden, bankalarına ait numaraya T.C. kimlik numarası bilgisini göndererek kredi başvurusunda bulunduğu, kayıtlarında daha önceden kendisine ait hiçbir bilgi ve belge olmadığı,
Kredi sürecini SMS göndermek suretiyle ilgili kişinin başlattığı, talep ettiği bankacılık ilişkisi kurulmadan önce hukukî ve ticari risk analizleri yapabilmek, bankacılık mevzuatına göre bir risk grubuna ait olup olmadığını tespit edebilmek, müşteri ilişkilerini yürütebilmek için kara paranın aklanmasına yönelik düzenlemeler dâhil fakat bunlarla sınırlı olmamak üzere talebi için gerekli olan kişisel verilerinin işlenmesine ilişkin bilgilendirme metninin SMS yoluyla iletildiği,
Veri sorumlusuna SMS göndermesinden sonra ilgili kişinin ilk olarak talebini değerlendiren ve sonrasında da limitini belirleyen kredi sürecinin başladığı,
Bu sürecin karar ağacı formatında olduğu ve her bir kademede başvuru sahibinin kredibilitesini ölçmeye yarayan, saniyeler içerisinde ve otomatik çalışan, öngörüsel modellere dayanarak oluşturulan kredi politika kurallarından oluştuğu, dolandırıcılık ihtimalini ve suistimali önlemek amacıyla başvuran kişiye ait telefon numarası ile SMS içeriğinde kimlik numarasının eşleşip eşleşmediğinin kontrol edildiği, bu işlemin ilgili kişiye gönderilen bilgilendirme metninde de belirtildiği üzere, kişinin SMS gönderdiği telefon numarasının ve SMS içeriğinde yer alan kimlik numarasının Kredi Kayıt Bürosu’na aktarılması ile gerçekleştirildiği, akabinde başvuru sahibine ait kimlik numarasının kredi sorgulaması amacıyla Türkiye Bankalar Birliği Risk Merkezi’ne iletildiği,
Bankanın kredi politikalarına uygun olan başvurular için ise kredi değerlendirme sistemi sayesinde söz konusu veriler ile her bir başvurunun risk seviyesi ve ödeyebileceği taksit tutarına göre kredinin ortalama 2,5 saniye içerisinde otomatik olarak hesaplandığı ve bunu müteakip başvurunun gerçekleştirildiği telefon numarasına sonucun iletildiği,
Açıklanan nedenlerle ilgili kişinin iddialarının gerçeği yansıtmadığı

hususları bildirilmiştir.

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 02/06/2022 tarihli ve 2022/545 sayılı Kararı ile;

“İlgili Kişiye Yapılan Aydınlatmanın Hukuka Uygunluğu" konusunda:

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) “Veri sorumlusunun aydınlatma yükümlülüğü”nü düzenleyen 10’uncu maddesinin, “Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları konusunda bilgi vermekle yükümlüdür.” hükmünü amir olduğu,
Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in (Aydınlatma Tebliği) “Usul ve esaslar”ı düzenleyen 5’inci maddesinde yer alan (a) bendinde “İlgili kişinin açık rızasına veya Kanundaki diğer işleme şartlarına bağlı olarak kişisel veri işlendiği her durumda aydınlatma yükümlülüğü yerine getirilmelidir.” hükmünün, (e) bendinde “Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.” hükmünün, (f) bendinde “Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.” hükmünün, (g) bendinde “Aydınlatma yükümlülüğü kapsamında açıklanacak kişisel veri işleme amacının belirli, açık ve meşru olması gerekir. Aydınlatma yükümlülüğü yerine getirilirken, genel nitelikte ve muğlak ifadelere yer verilmemelidir. Gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadeler kullanılmamalıdır.” hükmünün, (ğ) bendinde “Aydınlatma yükümlülüğü kapsamında ilgili kişiye yapılacak bildirimin anlaşılır, açık ve sade bir dil kullanılarak gerçekleştirilmesi gerekmektedir.” hükmünün, (h) bendinde “Kanun’un 10’uncu maddesinin birinci fıkrasının (ç) bendinde yer alan “hukuki sebep” ten kasıt, aydınlatma yükümlülüğü kapsamında kişisel verilerin Kanunun 5 ve 6’ncı maddelerinde belirtilen işleme şartlarından hangisine dayanılarak işlendiğidir. Aydınlatma yükümlülüğünün yerine getirilmesi esnasında hukuki sebebin açıkça belirtilmesi gerekmektedir.” hükmünün, (ı) bendi ise “Aydınlatma yükümlülüğü kapsamında, kişisel verilerin aktarılma amacı ve aktarılacak alıcı grupları belirtilmelidir.” hükmünün yer aldığı,
Aydınlatma yükümlülüğünün amacının ilgili kişilerin kişisel verilerini belirli işlemler için veri sorumlularına vermeden önce kişisel verilerinin kullanımı, aktarımı, bu işlemlerin hukukî mesnetleri ve başvuru mercii olan veri sorumlusunun kimliği ile kendilerinin kişisel verileri üzerinde var olan haklarıyla alakalı olarak bilgilendirilerek, kişisel verileri üzerindeki hâkimiyetlerini tamamen yitirmelerini önlemek olduğu, aydınlatma yükümlülüğünün şeffaflık ilkesinin bir gereği olduğu, şeffaflığın şartının ilgili kişinin anlaşılabilir bir şekilde bilgilendiriliyor olması olduğu, aydınlatma metinlerinin her veri işleme faaliyetini kapsayacak şekilde yazılması halinde bu metinlerin çok uzun ve karmaşık olması durumunun ortaya çıktığı, bu kapsamda çok aşamalı ve katmanlı, farklı hedef gruplara yönelik hazırlanmış ayrı aydınlatma metinlerinin bir çözüm alternatifi olarak görülebildiği, bu maksatla Kanun’un ilgili kişilere yönelik bir aydınlatmanın taşıması gereken asgari unsurları gösterdiği, “Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi”nde de “Kanun’un 4’üncü maddesinde yer alan temel ilkeler gereği veri sorumlularının, faaliyetleri kapsamında işlediği kişisel verileri, hangi işleme amacına dayanarak işlediğini kişisel veri bazında belirlemesi ve bu amacın da aydınlatma metinlerinde açıkça belirtilmesi gerekmektedir.” denilerek aydınlatma yükümlülüğünün işlenecek kişisel veri bazında yerine getirilmesi gerektiğinin ifade edildiği,
İlgili kişinin bahse konu numaraya SMS göndermek suretiyle kredi hesaplanması sürecini başlattığı, bu süreç devam ederken ilgili kişiye öncelikle kişisel verilerinin korunması ile ilgili olarak bir SMS gönderildiği ve bu SMS’te veri sorumlusunun aydınlatma metnine ulaşılmasını sağlayan bir bağlantının yer aldığı, sonrasında gelen SMS’te ise ilgili kişiye ait çekilebilecek kredi tutarının yer aldığının görüldüğü, şu hâlde ilgili kişinin iddiasının aksine veri sorumlusunun ilgili kişinin iradesiyle başlattığı veri işleme sürecini tamamlamadan evvel ilgili kişiye konuya ilişkin aydınlatmada bulunduğunun görüldüğü, veri sorumlusunun ilgili kişinin başvuru sürecini sona erdirmesinden önce ilgili kişiye aydınlatmada bulunması gerektiği, nitekim Aydınlatma Tebliği’nin “Aydınlatma yükümlülüğünün kapsamı” başlığını haiz 4’üncü maddesinde yer alan “Kanunun 10’uncu maddesine göre; kişisel verilerin elde edilmesi sırasında veri sorumluları veya yetkilendirdiği kişilerce, ilgili kişilerin bilgilendirilmesi gerekmektedir.” şeklindeki hüküm uyarınca kişisel verilerin işlenmesi sırasında ilgili kişilere bilgilendirme yapılmasının hukuka uygun olduğu,
Veri sorumlusunun aydınlatma metni incelendiğinde; Kanun’un 10’uncu maddesinde gösterilen asgari unsurları karşıladığı görülmekle birlikte Aydınlatma Tebliği’ne birtakım aykırılıklar içerdiğinin tespit edildiği, geçerli ve hukuka uygun bir aydınlatmanın gerçekleştirilebilmesinin ilgili kişinin en azından kategorik olarak kişisel verileri üzerindeki hâkimiyetini yitirmemesine yani bu verilerin akıbetinden genel şekliyle haberdar olabilmesine bağlı olduğu, bunun da ancak işlenen veri kategorileri, bu kategorilerin hangi verileri içerdikleri, bu veri kategorilerinin işlenme/aktarılma amaçları ve hukukî mesnetleri arasındaki illiyet bağlarının veri sorumlusunca sunulan aydınlatma metninde gösterilmesi ile mümkün olabildiği, öte yandan şayet bir veri aktarımı yapılıyorsa aktarılan veri kategorilerinin hangi alıcı gruplarına aktarıldığının da aydınlatma metinlerinde sarih olarak ortaya konulmasının gerektiği, alıcı gruplarının; resmî merciler, iş ortakları vb. şekillerde sınıflandırılması mümkün olmakla birlikte bu alıcı gruplarının içerdiği üçüncü kişi ya da kurum/kuruluşların da talep edildiği takdirde ilgili kişilerin sorularına yanıt verilebilmesini teminen veri sorumlusu nezdinde kayıtlı tutulmasının da büyük önem arz ettiği,
Veri sorumlusunun aydınlatma metninde; hangi veri kategorisinin, hangi amaç ve hangi hukuka uygunluk sebebi kapsamında işlendiği arasında bir illiyet bağı kurulmadığı ve hangi veri kategorisinin hangi alıcı gruplarına hangi amaç ve hukuka uygunluk sebebi kapsamında iletildiğine yer verilmediği, bu bilgilerin oluşturulmasının ve kamuoyuna aydınlatma metinleri vasıtasıyla sunulmasının veri sorumluları için bir külfet oluşturmadığı,
Veri sorumluları siciline (VERBİS) kayıt yaptırmakla yükümlü olan veri sorumlusunun Veri Sorumluları Sicili Hakkında Yönetmelik’in “İlke, usul ve esaslar”ı düzenleyen 5’inci maddesinin (1) numaralı fıkrasının (ç) bedinde yer alan “Sicile kayıtla yükümlü olan veri sorumluları, Kişisel Veri İşleme Envanteri hazırlamakla yükümlüdür. Sicil başvurularında Sicile açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanır.” hükmü doğrultusunda kişisel veri işleme envanteri hazırlamış olması ve hâlihazırda aydınlatma metninde yer alan eksiklikleri bu envanterde yer alan bilgiler doğrultusunda gidermiş olması gerekeceği,
Bu minvalde, veri sorumlusunun ilgili kişiye yönelik aydınlatmada bulunduğu, bu aydınlatmanın Kanun’un 10’uncu maddesi uyarınca hukuken geçerli ve muteber olduğu, ancak içerisinde Aydınlatma Tebliği’nde düzenlenen detay konularda birtakım eksiklikler bulunduğu tespitinin yapıldığı,

“İlgili Kişinin Açık Rızası Olmaksızın Kişisel Verilerinin İşlenip İşlenmediği" konusunda:

Veri sorumlusunun; ilgili kişinin T.C. kimlik numarası ve cep telefonu verisini Kimlik Paylaşım Sistemi (KPS) aracılığıyla MERNİS ve nüfus kayıtlarıyla eşleştirerek doğruladığı, bu bilgileri Kredi Kayıt Bürosu ve Türkiye Cumhuriyet Merkez Bankası’na aktararak kredi performansı ve çek, haciz bilgileri ile risk analizi yaptığı ve kredi sorgulaması amacıyla TBB Risk Merkezi’ne gönderdiği ve bu sonuçları otomatik algoritmalar ile hesaplayarak ilgili kişiye bir kredi miktarı çıkardığı, veri sorumlusunun bu hesaplamaları kendi nezdinde önceden tutulmuş hiçbir veri olmaksızın yaptığının anlaşıldığı, bu doğrultuda ilgili kişinin iddialarının gerçeği yansıtmadığı ve bu hususta bir hukuka aykırılık emaresine rastlanamadığı,

“İlgili Kişiye Usulüne Uygun Bir Yanıt Verilmemesi” konusunda:

İlgili kişinin veri sorumlusuna yaptığı başvuruda; hangi kişisel verilerinin, hangi amaç ve hukukî sebeplere dayanılarak işlendiği, hangi tarihlerde işlenmeye başlandığı ve bu verilerin kimlerden temin edildiği, bu verilerin üçüncü kişilere aktarılıp aktarılmadığı, veri işlenmesi sırasında neden aydınlatma yükümlülüğünün yerine getirilmediği, ilgili kişinin kredi limiti hesaplanırken hangi kişisel verilerine, hangi yöntemler ve kurumlar vasıtasıyla ulaşıldığı, ilgili kişinin kişisel verilerinin işlenmesi hususunda veri sorumlusuna verdiği bir açık rıza bulunup bulunmadığı hususlarında bilgi talep ettiği,
Veri sorumlusunun ise verdiği yanıt içerisinde; ilgili kişinin kişisel verilerinin ilk olarak kendisi tarafından SMS gönderildiği tarihte işlendiği, bu SMS’te yer alan T.C. kimlik numarasının hukuki ve ticari risk analizleri yapabilmek amacıyla bankacılık mevzuatı uyarınca temin edildiği, ilgili kişiye SMS vasıtasıyla kademeli aydınlatma yapıldığı, ilgili kişinin verilerinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasında yer alan şartlar, 5411 sayılı Bankacılık Kanunu ve MASAK mevzuatı kapsamında işlendiği hususlarına yer verildiği, ayrıca ilgili kişinin bilgilerinin aktarıldığı kurum ve kuruluşlar hakkında bilgi verildiğinin görüldüğü,
Bu kapsamda, ilgili kişiye hukuken muteber ve geçerli bir yanıt verilmiş ise de bu yanıtın aydınlatma yükümlülüğü ile ilgili yukarıda arz edilen detaylardan yoksun olduğunun ve bu haliyle ilgili kişinin taleplerine yönelik tam ve eksiksiz bir yanıt sağlamaktan uzak olduğunun görüldüğü, örneğin veri sorumlusu ilgili kişinin kişisel verilerinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasında gösterilen şartlar dâhilinde işlendiğini ifade etmekte ise de bu verilerin hangi veriler olduğunun ve ilgili maddede gösterilen hangi şarta dayalı olarak işlendiğinin meçhul olduğu, bu sebeplerle veri sorumlusunun ilgili kişiye karşı tam ve eksiksiz aydınlatma ile ilgili arz edilen şartları sağlayan bir metinle yanıt verme yükümlülüğünü ihlâl ettiğinin anlaşıldığı

değerlendirmelerinden hareketle;

İlgili kişiye Kanun’un 10’uncu maddesi uyarınca hukuken geçerli bir şekilde aydınlatmada bulunulduğu fakat bu aydınlatmada Aydınlatma Tebliği ile düzenlenen bazı hususlarda giderilmesi gereken eksiklikler bulunduğu dikkate alındığında, aydınlatma metninin Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun hale getirilmesi ve sonucundan otuz günlük yasal süre içerisinde Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
İlgili kişinin veri sorumlusuna yaptığı başvuruya verilen yanıtın; ilgili kişinin taleplerini karşılamaktan uzak ve eksik bir yanıt olduğu dikkate alındığından veri sorumlusunun ilgili kişilerin başvurularına, Kanun’a ve Tebliğ’e uygun şekilde yanıt vermesi hususunda azamî dikkat ve özeni göstermesi konusunda uyarılmasına

karar verilmiştir.

18.Mayıs.2022: “Veri sorumlusu bir giyim mağazası için katalog modeli olarak çalışan ilgili kişinin fotoğraflarının, iş ilişkisinin sona ermesinden sonraki süreçte açık rızası olmaksızın veri sorumlusuna ait internet sitesinde yayınlanmaya devam etmesi"

Karar Tarihi	:	18/05/2022
Karar No	:	2022/491
Konu Özeti	:	Veri sorumlusu bir giyim mağazası için katalog modeli olarak çalışan ilgili kişinin fotoğraflarının, iş ilişkisinin sona ermesinden sonraki süreçte açık rızası olmaksızın veri sorumlusuna ait internet sitesinde yayınlanmaya devam etmesi

İlgili kişinin şikâyetinde özetle; veri sorumlusu bir giyim mağazası tarafından satışa çıkarılan ürünlerin tanıtım ve görsellerinin veri sorumlusuna ait internet sayfasında paylaşıldığı, ilgili kişinin bünyesinde katalog modeli olarak çalıştığı veri sorumlusu ile iş ilişkisinin sona ermesine rağmen fotoğraflarının açık rızası olmaksızın veri sorumlusuna ait internet adreslerinde yayınlanmaya devam edildiği, ilgili kişinin fotoğrafların kaldırılması talebiyle veri sorumlusuna başvuruda bulunmasına rağmen fotoğrafların yayınlanmasına devam edildiği belirtilerek gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması talep edilmiş olup veri sorumlusunun cevabi yazısında özetle;

İlgili kişinin, tarafları ile fotomodellik yapmayı üstlendiği bir eser sözleşmesinin mevcut olduğu, bu sözleşmenin doğası gereği ilgili kişinin fotoğraflarının çekildiği ve tanıtım amacıyla sergilenen ürünler stoklarda bitene kadar bu fotoğrafların sosyal medya hesaplarında paylaşıldığı,
İlgili kişinin bu verilerinin paylaşılmasına açık rızasının olduğu, ilgili kişinin fotoğraflarının belirsiz süreli bir sözleşmesi kapsamında çekildiği, ilgili kişinin üzerinde taşıdığı ürünleri iyi görünecek şekilde taşımayı ve fotoğraflanmayı kabul ve taahhüt ettiği, fotoğraflarının kullanılması karşılığında ilgili kişiye ödeme yapıldığı,
Açık rızanın, rıza veren kişinin “olumlu irade beyanı”nı içermesi gerektiği ve diğer mevzuattaki düzenlemeler saklı kalmak üzere açık rızanın yazılı şekilde alınmasına gerek olmadığı, ilgili kişinin rızası olmaksızın modellik yaparak fotoğraflarının çekilmesinin mümkün olmadığı,
İlgili kişinin bir eser sahibi olması sebebiyle kendisine yapılan ödemeler ile eserin umuma arz edilmesine ve yayımlanmasına yönelik haklarının devredildiği,
Yapılan bu işlemin hukuki ilişkiden kaynaklı olarak yapıldığı, fotoğrafların yalnızca ürünlerin tanıtımı amacıyla sınırlı bir zaman diliminde kullanıldığı ve stokların sona ermesi ile fotoğrafların ilgili mecralardan kaldırıldığı,
İlgili kişinin Kanun kapsamındaki başvurusunda modellik yaptığı fotoğrafların kaldırılması talebinin bulunmadığı, ihtarname ile fotoğrafların kullanımı için ilgili kişinin tek taraflı olarak belirlediği miktarın ödenmesinin talep edildiği,
İlgili kişinin fotoğraflarının hukuki ve ticari ilişki kapsamında açık rızasıyla çekildiği ve paylaşıldığı, ilgili kişi ile yazılı bir fotomodellik sözleşmesinin akdedilmediği ve taraflar arasında sözlü olarak devam eden uzun süreli ticari ilişkinin, karşılıklı güven esasına dayanan bir çalışma modelinin mevcut olduğu

hususları belirtilmiş ve yazıları ekinde Kanun kapsamında kendilerine yapılan başvuruya ve verilen yanıta, ayrıca muhtelif tarihlerde ilgili kişinin hesabına gönderilen paranın transferine ilişkin dekontlara yer verildiği görülmüştür.

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 18/05/2022 tarihli ve 2022/491 sayılı Kararı ile;

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlandığı,
Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükmünün yer aldığı,
Kanun’un “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi” başlıklı 7’inci maddesinin (1) numaralı fıkrasının “Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir.” hükmünü haiz olduğu,
Kanun’un “İlgili Kişinin Hakları” başlıklı 11’inci maddesinde de herkesin, veri sorumlusuna başvurarak kendisiyle ilgili; kişisel verilerinin işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme, kişisel verilerinin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme, 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerinin silinmesini veya yok edilmesini isteme, kişisel verilerinin düzeltilmesi veya silinmesi/yok edilmesi ile ilgili yapılan işlemlerin kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme ve kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarına sahip olduğunun hüküm altına alındığı,
Somut olayda, ilgili kişi ile veri sorumlusu arasında iş ilişkisinden doğan yazılı olmayan bir sözleşmenin bulunduğu ve bu sözleşme kapsamında ilgili kişinin veri sorumlusu nezdinde fotomodellik yaptığı, söz konusu iş ilişkisinin sona ermesi nedeniyle ilgili kişinin veri sorumlusunun internet adresinde yayınlanan fotoğraflarının kaldırılmasını talep ettiği, ilgili kişinin fotomodellik yaptığı kıyafetlerin stoklarının sona ermesinden sonra söz konusu fotoğrafların kaldırıldığının anlaşıldığı,
Diğer yandan, ilgili kişinin şikâyet dilekçesinde yer verdiği linklerin incelenmesinden her bir linkin veri sorumlusu şirketin internet sitesinin ana sayfasına yönlendirildiğinin, dolayısıyla söz konusu linklerin açılmadığının görüldüğü,
Bu kapsamda, ilgili kişinin fotoğraflarının ilgili kişi ile veri sorumlusu arasındaki sözleşmeye istinaden Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendinde yer verilen “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” şartı çerçevesinde internet sitesinde yayınlanmak suretiyle işlendiği kanaatine varıldığı

değerlendirmelerinden hareketle;

İlgili kişinin iş ilişkisinin sona ermesi nedeniyle fotoğraflarının veri sorumlusu şirketin internet sayfasından kaldırılması talebi ile ilgili olarak veri sorumlusunun, kıyafetlerin stoklarının bitene kadar paylaşıldığı beyanı ve ilgili kişinin fotoğraflarının ilgili kişi ile veri sorumlusu arasındaki sözleşmeye istinaden Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendi çerçevesinde internet sitesinde yayınlamak suretiyle işlendiği dikkate alındığında veri sorumlusu şirket hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına

karar verilmiştir.

18.Mayıs.2022: “2022/489 sayılı Karar Özeti"

Karar Tarihi	:	18/05/2022
Karar No	:	2022/489
Konu Özeti	:	Kamu tüzel kişiliğini haiz Birlik tarafından ilgili kişinin kişisel verilerini içeren belgelerin Birliğin vekili tayin edilen avukat ile paylaşılması ve müteakiben söz konusu belgelerin avukat tarafından Baroya aktarılması

İlgili kişinin şikâyetlerinde özetle;

Kendisinin avukatlık mesleğini icra ettiği, kamu tüzel kişiliğini haiz Birlik ile arasındaki hukuki danışmanlık ve avukatlık sözleşmesinin fesih görüşmeleri sırasında kendisini Birlik vekili olarak tanıtan bir avukatın ilgili kişiyi aradığı ve sözleşmeyi feshetmesini istediği,
Bunun üzerine Birlik ile konu hakkındaki görüşmeleri devam ederken kendisini Birlik vekili gibi tanıttığı ve avukatlık meslek etiğine uygun olmayacak şekilde konuşması nedeniyle hakkında disiplin soruşturması yapılmasını teminen ilgili kişinin söz konusu avukatı Baroya şikâyet ettiği
Avukatın Baro Başkanlığına sunduğu savunması ile ilgisi olmayan, sadece Birlikte asılları bulunan ve danışmanlık sözleşmesi kapsamında Birliğe kesilen serbest meslek makbuzu ve stopaj ödeme listesinin fotokopilerine savunma dilekçesi ekinde yer verdiği, bunun üzerine ilgili kişinin söz konusu avukata ve Birliğe başvuruda bulunduğu ancak yanıt alamadığı

belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gerekli işlemlerin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde şikâyet edilen Birliğin ve avukatın ayrı ayrı savunması talep edilmiş olup veri sorumlusu Birliğin cevabi yazısında özetle;

İlgili kişinin kurumlarına yapmış olduğu başvuruya cevap verilmediği hususunun gerçeği yansıtmadığı, ilgili kişiye ihtar ile cevap verildiği,
Birlik Başkanlığı ile danışmanlık sözleşmesi kapsamında kesilen ve ilgili kişinin kişisel verilerini içeren stopaj ödeme listesinin fotokopilerinin Avukatlık Kanunu’na dayanılarak şikâyet edilen avukat ile paylaşıldığı,
Söz konusu dönemde kurum vekili olarak görev yapan başka bir avukat tarafından verilen yetki belgesi kapsamında şikâyet edilen avukatın da kurum vekili olarak görevini ifa ettiği, bu hususun Avukatlık Kanunu’nun 56’ncı maddesinin (5) numaralı fıkrasında açıkça düzenlendiği, Türkiye Barolar Birliği Avukatlık Kanunu Yönetmeliği’nin 18’inci maddesinde “Avukatlar veya avukatlık ortaklıkları, başkasını tevkil etme yetkisini taşıdıkları tüm vekaletnameleri kapsayacak şekilde tek bir genel ya da ayrı ayrı özel yetki belgesi düzenleyerek; bir başka avukatı veya avukatlık ortaklığını müvekkilleri adına vekil tayin edebilirler. Vekaletname hükmünde olan bu yetki belgesi; tüm yargı mercileri ile resmi ve özel kişi, kurum ve kuruluşlar için hukuken vekaletname işlev ve etkisi taşır.” hükmüne yer verildiği,
İlgili kişi tarafından şikâyet edilen avukat aleyhine Baro Başkanlığına yapılan şikâyet doğrultusunda serbest meslek makbuzunun ve stopaj ödeme listesinin savunmaların delili mahiyetinde sunulduğu, Türk Borçlar Kanunu’nun 502’nci maddesi ve Avukatlık Kanunu hükümleri kapsamında şikâyet edilen avukat ile kurumları arasında vekalet sözleşmesi kurulduğu, bu kapsamda söz konusu belgelerin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 5’inci maddesinin (2) numaralı fıkrasının (c) bendindeki açık rıza hususunun istinası niteliğini haiz olduğu

belirtilmiştir.

Şikâyete istinaden savunması istenen avukatın cevabi yazısında ise özetle;

İlgili kişinin başvurusuna Birlik tarafından yanıt verildiği, ilgili kişinin söz konusu başvuru konusuna ilişkin bilgilendirildiği için tekrar aynı sorulara cevap verilmesinde hukuki bir yararın bulunmadığı,
Avukatlık Kanunu kapsamında hazırlanmış olan “yetki belgesi” ile Birliği temsil yetkisinin bulunduğu, yapılan tüm işlemlerin bu yetki belgesine dayanılarak gerçekleştirildiği, ilgili belge ve bilgilerin iddia edildiği gibi üçüncü kişilerle paylaşılmasının söz konusu olmadığı,
İlgili kişi ile müvekkili Birlik arasında avukatlık sözleşmesine dayalı bir ilişkinin bulunduğu dönemde ilgili kişinin Birliği stopajlı faturalar keserek zarara uğrattığı, bu kapsamda detaylı bir inceleme yapılması amacıyla şikâyete konu bilgi ve belge fotokopilerinin fiziki dosya şeklinde tarafına verildiği, bu süreçte ilgili kişi tarafından Baroya asılsız iddialara dayanan bir şikâyette bulunulduğu, bu çerçevede savunma hakkını kullanmak ve iddialarını desteklemek için zaruri olması nedeniyle söz konusu stopaj listesi ve makbuz örneklerinin savunma dilekçesine eklendiği,
Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) ve (e) bentleri ile 28’inci maddesinin (2) numaralı fıkrasının (c) bendi göz önüne alındığında söz konusu bilgi ve belgelerin savunmaya dayanak olarak Baro’ya sunulmasının Kanun hükümlerine aykırılık oluşturmadığı

belirtilmiştir.

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 18/05/2022 tarihli ve 2022/489 sayılı Kararı ile;

Kanun’un 3’üncü maddesinde “veri sorumlusu”nun “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlandığı, veri sorumlusunun veri işleme faaliyetinin genel anlamda “neden” ve “nasıl” yapıldığını belirleyen kişi olduğu, “hangi kişisel verilerin toplanacağı, kişisel verilerin hangi amaçlarla işleneceği, hangi kişilerin kişisel verisinin toplanacağı, kişisel verilerin kimlere, hangi amaçla aktarılacağı, kişisel verilerin hangi süre ile saklanacağı” konularındaki kararların ancak veri sorumlusu tarafından alınabildiği,
Genel Bütçe Kapsamındaki Kamu İdareleri ve Özel Bütçeli İdarelerde Hukuk Hizmetlerinin Yürütülmesine İlişkin Kanun Hükmünde Kararname’nin “Muhakemat hizmeti temini” başlıklı 5’inci maddesinin (3) numaralı fıkrasının “Birinci ve ikinci fıkraya göre muhakemat hizmetlerinin temin edilememesi veya özel uzmanlık gerektirdiği Cumhurbaşkanlığında Cumhurbaşkanı veya Cumhurbaşkanlığı İdari İşler Başkanının, bakanlıklarda ilgili bakanın onayı ile belirlenen hallerde muhakemat hizmetlerini yürütmek üzere Cumhurbaşkanı kararıyla belirlenen usul ve esaslar çerçevesinde, 4/1/2002 tarihli ve 4734 sayılı Kamu İhale Kanununun 22 nci maddesine göre doğrudan temin usulüyle serbest avukatlardan veya avukatlık ortaklıklarından hizmet satın alınabilir.” hükmünü haiz olduğu,
Serbest Avukatlardan Hizmet Satın Alınmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik’in 4’üncü maddesinin (1) numaralı fıkrasında ise “İdareler, muhakemat hizmetlerini kendi hukuk birimlerinden, bakanlıklarından veya bağlı kuruluşlarından ve Maliye Bakanlığından temin edemediği ya da hizmetin özel uzmanlık gerektirdiği ilgili bakan onayı ile belirlendiği hallerde, serbest avukatlardan hizmet satın alabilir.” hükmüne yer verildiği,
Öte yandan Avukatlık Kanunu’nun 56’ncı maddesinin (5) numaralı fıkrasında “Avukatlar veya avukatlık ortaklığı başkasını tevkil etme yetkisini haiz oldukları bütün vekâletnamelerini kapsayacak şekilde bir başka avukata veya avukatlık ortaklığına vekâletname yerine geçen yetki belgesi verebilir. Bu yetki belgesi vekâletname hükmündedir.” hükmüne yer verildiği, Avukatlık Kanunu Yönetmeliği’nin 18’inci maddesinin (2) numaralı fıkrasında “Avukatlar veya avukatlık ortaklıkları, başkasını tevkil etme yetkisini taşıdıkları tüm vekaletnameleri kapsayacak şekilde tek bir genel ya da ayrı ayrı özel yetki belgesi düzenleyerek; bir başka avukatı veya avukatlık ortaklığını müvekkilleri adına vekil tayin edebilirler. Vekaletname hükmünde olan bu yetki belgesi; tüm yargı mercileri ile resmi ve özel kişi, kurum ve kuruluşlar için hukuken vekaletname işlev ve etkisi taşır.” hükmünün düzenlendiği,
Somut olayda, ilgili kişinin Birlik ile arasındaki hukuki danışmanlık sözleşmesinin feshedilmesinin ardından Birliğin anlaştığı avukatın düzenlediği yetki belgesi ile şikâyet edilen avukatın da Birliğin vekili konumuna geldiği, şikâyet edilen avukatın Birliğin vekili sıfatıyla ilgili kişiyi aradığı, söz konusu görüşme esnasında yaşanan anlaşmazlık sonucunda ilgili kişinin şikâyete konu avukatı, avukatlık meslek kurallarına aykırı davranışları nedeniyle Baroya şikâyet ettiği, bu olay sonucunda şikâyet edilen avukatın Baroya sunduğu dilekçe ekinde ilgili kişinin kişisel verilerini içeren belgelere de yer verdiği ve söz konusu belgeleri Birlikten edindiği hususları ile ilgili kişinin Birlik ile anılan avukatı ayrı ayrı şikâyet ettiği,
Veri sorumlusunun tespiti kapsamında Birliğin kendi nezdinde bulunan ilgili kişinin kişisel verilerini içeren belgeleri hukuki danışmanlık hizmeti aldığı şikâyet edilen avukat ile paylaşması kapsamında kişisel verilerin işleme amaç ve vasıtasını belirlediğinden hareketle veri sorumlusu sıfatını haiz olduğu, diğer taraftan Birlik ile aralarındaki sözleşme kapsamında işin gereği olarak ilgili kişinin kişisel verilerini içeren şikâyet konusu belgeleri elde ederek daha sonra ilgili kişiyle yaşadığı anlaşmazlık sonrasında söz konusu belgeleri Baroya ileten dolayısıyla kişisel verilerin işlenmesinde amaç ve yöntemi belirleyen şikâyet edilen avukatın da somut olay nezdinde veri sorumlusu sıfatını haiz olduğu,
Kanun’un “Kişisel verilerin işlenme şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
Birliğin ilgili kişinin kişisel verilerini içeren belgeleri, yetki belgesi ile Birliğin vekili tayin edilen şikâyet edilen avukat ile paylaşması kapsamında; Birliğin kamu tüzel kişiliğini haiz bir kurum olarak özel kanun ile taraflarına hasredilen görevleri yerine getirmeleri sürecinde dışarıdan avukatlık hizmeti aldıkları ve bu durumda hizmet aldıkları şikâyet edilen avukat ile ilgili kişiye ait kişisel verileri içeren belgeleri paylaşmalarının Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendinde yer alan “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” şartı çerçevesinde değerlendirildiği,
Veri sorumlusu sıfatını haiz şikâyet edilen avukatın Baroya sunduğu savunma dilekçesi ekinde ilgili kişiye ait kişisel verileri içeren belgelere de yer vermesine ilişkin olarak Birliğin “yetki belgesi” kapsamında temsil yetkisinin bulunduğu, ilgili belge ve bilgilerin iddia edildiği gibi üçüncü kişilerle paylaşılmasının söz konusu olmadığı, savunma hakkını kullanmak ve iddialarını desteklemek için zaruri olması nedeniyle stopaj listesinin ve makbuz örneklerinin ek olarak savunma dilekçesinde yer aldığı beyanlarından hareketle veri sorumlusu sıfatını haiz avukatın ilgili kişinin kişisel verilerini içeren belgeleri yürütülen soruşturma kapsamında Baroya aktarmasının Kanun’un 8’inci maddesine uygun olarak Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendi çerçevesinde gerçekleştirildiği kanaatine varıldığı

değerlendirmelerinden hareketle;

Birlik Başkanlığının ilgili kişinin kişisel verilerini içeren belgeleri Birliğin vekili tayin edilen avukat ile paylaşması ile ilgili olarak; Birliğin kamu tüzel kişiliğini haiz bir kurum olarak taraflarına hasredilen görevleri yerine getirmeleri sürecinde dışarıdan avukatlık hizmeti aldıkları ve bu durumda söz konusu avukat ile ilgili kişiye ait kişisel verileri içeren belgeleri paylaşmalarının Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendi çerçevesinde değerlendirilebileceği kanaatine varıldığından ilgili kişinin Birlik hakkındaki şikâyeti ile ilgili olarak Kanun kapsamında yapılacak herhangi bir işlem bulunmadığına,
Veri sorumlusu sıfatını haiz avukatın ilgili kişinin kişisel verilerini içeren belgeleri yürütülen soruşturma kapsamında Baroya aktarmasının Kanun’un 8’inci maddesine uygun olarak Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendi çerçevesinde gerçekleştirildiği kanaatine varıldığından ilgili kişinin söz konusu avukat hakkındaki şikâyeti ile ilgili olarak Kanun kapsamında yapılacak herhangi bir işlem bulunmadığına

karar verilmiştir.

21.Nisan.2022: “Veri sorumlusu bünyesinde çalışan bir kişinin iş akdinin sonlandırılması hususunun veri sorumlusuna ait sosyal medya hesabında paylaşılması"

Karar Tarihi	:	21/04/2022
Karar No	:	2022/386
Konu Özeti	:	Veri sorumlusu bünyesinde çalışan bir kişinin iş akdinin sonlandırılması hususunun veri sorumlusuna ait sosyal medya hesabında paylaşılması

İlgili kişi tarafından Kuruma iletilen şikâyet dilekçesinde özetle; veri sorumlusu bünyesinde şirket müdürü olarak çalışmakta iken iş akdinin haksız şekilde sonlandırıldığı ve veri sorumlusuna ait sosyal medya hesabında “... Yaptığı usulsüzlükler nedeni ile işten ATILAN …..’ın sizlere vermiş olduğu rahatsızlıktan dolayı özür dileriz...” içerikli bir paylaşım yapıldığı, söz konusu paylaşımın silinmesi, durdurulması ve düzeltme metni yayınlanması için 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) gereği veri sorumlusuna ihtarda bulunduğu ancak tarafına cevap verilmediği, herhangi bir mahkeme kararı ve rızası olmadan yapılan bu duyurudan şikayetçi olduğu belirtilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması talep edilmiş olup alınan cevabi yazıda özetle;

İlgili kişinin işten ayrıldıktan sonra taraflarını zarara uğratmak için çeşitli faaliyetlerde ve tarafları hakkında birtakım haksız şikayetlerde bulunduğu; Kuruma iletilen şikâyetin de bu amacı taşıdığı,
İlgili kişi ile aralarında çeşitli hukuki süreçlerin devam ettiği; İş Mahkemesinde davalarının olduğu ayrıca ilgili kişi hakkında dolandırıcılık, resmî belgede sahtecilik, şirket bilgisi dışında şirket adına para çekmek ve kendi adına usulsüz ödeme yaptırmak ile verilen yetkiyi kötüye kullanmak suçlamaları ile soruşturmaların bulunduğu,
İlgili kişinin, şirketlerinin ticari itibarlarını zedelemeye yönelik faaliyetlerinin olduğu, şirketin sahte kaşesini yaptırarak taraflarına haciz işlemi uygulatmaya çalıştığı konularında İcra Mahkemesinde davalarının olduğu ve şirket lehine sonuçlandığı,
Sosyal paylaşım sitesindeki duyurunun ilgili kişinin şirketin bütün müşterilerine göndermiş olduğu “Kıymetli Musterimiz; Firmamız Mali Olarak Kapanmistir. …. eski yerimize yakin farkli isimle hizmet veren firmayla BAGIMIZ YOKTUR (…..Bey)” şeklindeki gerçek olmayan beyanlar içeren SMS bildirimine karşı doğru ve gerçek durumu açıklamak amacıyla ve ilgili kişinin kendisi veya aile bireyleri için şirket adına müşterilerinden ödeme talep etmesinden dolayı müşterilerinin mağdur olmasını engellemeye yönelik bilgilendirme maksadı ile yapıldığı,
İlgili kişi tarafından yapılan ve gerçeği yansıtmayan açıklamaya karşılık yapılan düzeltme mahiyetindeki söz konusu duyuru haricinde herhangi bir veri girişi yapılmadığı, depolanmadığı, ilgili kişinin müşteriler tarafından tanınmasından dolayı benzer bir durum yaşanmaması için ilgili kişinin sadece adının verildiği,
İlgili kişinin ihtarnamesine aralarında devam eden dava ve soruşturmalar bulunması nedeni ile cevap verilmediği,
Ayrıca ilgili kişi tarafından gönderilen ve gerçeği yansıtmayan mesajlara karşılık bir tedbir olarak sosyal paylaşım sitesinde yayınlanan yazının şikayetçi ile aralarındaki davaların devam etmesi nedeniyle ve herhangi bir zamanda benzer bir durum ile karşı karşıya kalınması halinde doğru bilginin öğrenilmesi adına silinmediği
Duyurunun Kişisel Verilerin Korunması Kanunu’na aykırılık teşkil etmediği, Kanun’un “Genel ilkeler” başlıklı 4’üncü maddesinde kişisel verilerin hukuka ve dürüstlük kurallarına uygun şekilde, doğru ve gerektiğinde güncel kalma şartı ile açıklanabildiği, ceza hukukunda düzenlenen meşru savunma kurumunun da taraflarına bu hakkı verdiği, meşru savunmanın kişinin kendisine veya bir başkasına yönelmiş haksız bir saldırıya karşı o anki durum ve imkanlar çerçevesinde saldırı ile orantılı bir şekilde işlenen bir fiil olduğu

ifade edilmiştir.

Konuya ilişkin olarak yapılan incelemede Kişisel Verileri Koruma Kurulunun 21/04/2022 tarihli ve 2022/386 sayılı Kararı ile;

Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlandığı,
Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükmünün yer aldığı,
Hukuka uygun bir kişisel veri işleme faaliyetinin gerçekleştirilebilmesi için kişisel verilerin öncelikle Kanun’un 5’inci maddesindeki şartlardan birine dayanılarak işlenmesi gerekmekte olup, geçerli bir hukuki sebebi olan kişisel veri işleme faaliyetleri bakımından ise her hal ve şartta Kanun’un 4’üncü maddesinde sayılan temel ilkelere uygunluğun sağlanmasının veri sorumlusunun başlıca yükümlülükleri arasında olduğu,
Somut olayda, ilgili kişinin açık ad ve soyadı ile ilgili kişi hakkındaki ithamları da içeren duyurunun sadece şirket müşterilerinin değil herkesin erişimine açık şekilde şirketin sosyal medyada yer alan kurumsal hesabında/sayfasında yayınlandığı, bu çerçevede, veri sorumlusunun sosyal medyadaki kurumsal hesabı/sayfasının sadece şirketin müşterilerine özel bir ortam olmadığı, herkese açık bir platform olduğu dikkate alındığında söz konusu eylemin Kanun’un 4’üncü maddesindeki ölçülülük ilkesine aykırılık teşkil ettiği ve ilgili kişinin kişisel verilerinin işlenmesine ilişkin Kanun’un 5’inci maddesi kapsamındaki bir işleme şartına dayanıldığına dair Kuruma somut herhangi bir bilgi, belge sunulmadığı

değerlendirmelerinden hareketle;

İlgili kişinin kişisel verilerinin Kanun’un 5’inci maddesinde yer alan herhangi bir işleme şartına dayanmaksızın veri sorumlusuna ait sosyal medya hesabında paylaşılmak suretiyle işlendiği kanaatine varıldığından, Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer verilen yükümlülüklerini yerine getirmediği değerlendirilen veri sorumlusu hakkında, şikayete konu olayda ilgili kişi hakkındaki duyurunun veri sorumlusu tarafından Kanun’un 4’üncü maddesine aykırı olarak herkese açık bir şekilde yapıldığı, veri işleme ile gerçekleştirilmesi istenen amaç arasında makul bir denge bulunmadığı, Kanun kapsamındaki bir işleme şartına dayanıldığına dair Kuruma somut herhangi bir bilgi, belge sunulmadığı hususları ile veri sorumlusunun ekonomik durumu dikkate alınarak, Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 30.000 TL idari para cezası uygulanmasına,
İlgili sosyal medya paylaşımında yer verilen kişisel verilerin imha edilerek sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

07.Nisan.2022: “İlgili kişinin kişisel verilerinin yer aldığı ihtarnamenin, bordrolama hizmeti sunan veri sorumlusu tarafından başka çalışanlara da gönderilmesi"

Karar Tarihi	:	07/04/2022
Karar No	:	2022/328
Konu Özeti	:	İlgili kişinin kişisel verilerinin yer aldığı ihtarnamenin, bordrolama hizmeti sunan veri sorumlusu tarafından başka çalışanlara da gönderilmesi

Kuruma intikal eden şikâyette özetle; ilgili kişinin ücretsiz izne gönderildiğine dair veri sorumlusu tarafından kendisine bir ihtarname iletildiği, söz konusu ihtarnamenin yedi kişiye daha gönderildiği, ihtarnamede T.C. kimlik numarası ve adresinin bulunması nedeniyle ilgili kişinin kişisel verilerinin alenen ifşa edildiği belirtilerek gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

İlgili kişinin esasen aynı grup şirketine ait başka bir şirketin çalışanı olduğu ve aynı grup şirketi çatısı altında yer almaları nedeniyle taraflarınca, söz konusu şirket çalışanlarının ücretleri ve çalışma süreleri kapsamında bordrolama hizmeti temin edildiği ve çalışanlara yönelik bordro oluşturma ve izin kullanım süreçlerinin denetlenerek bunların kontrol ve takip edilmesi hizmeti sunulduğu,
COVID-19 pandemisinden dolayı alınan tedbirler kapsamında ücretsiz izin kullanımının iş yerinde zorunlu hale gelmesi nedeniyle istihdamın sonlanmaması ve iş yeri ile personel sağlığının tehlikeye düşmemesi adına, ilgili kişinin, asıl işvereni olan şirket tarafından ücretsiz izne çıkarıldığı ve bu kapsamda ilgili kişinin ad ve soyadı, T.C. kimlik numarası, adres bilgisi ve pandemi nedeniyle ücretsiz izin uygulanmasına dair bilgilerinin ilgili kişinin işvereni olan şirket tarafından kendilerine aktarıldığı,
İlgili kişi ücretsiz izindeyken, izin süresinin uzatılması kararının kendisine ve onun gibi izinde olan diğer işçilere bildirilmesi için kendilerine telefonla ulaşılmaya çalışıldığı, ancak bu yolla ulaşılamayan işçilerin hem iş yerine gelmelerinde sağlık açısından sakınca bulunması hem de taraflarınca grup şirketlerine sunulan personel izin takip hizmetleri dolayısıyla çalışana noter vasıtasıyla bildirim yapılmasının uygun olacağı düşüncesi ile taraflarının avukatına çalışanın ad ve soyadı, T.C. kimlik numarası, adres ve ücretsiz izin durumuna ilişkin bilgiler gönderilerek ücretsiz izin süresinin uzatıldığının ihtar edilmesinin istendiği,
Bildirim yapılacak personel sayısının fazla olması sebebiyle, usul ekonomisi ve noterlikteki işlemlerin en uygun şekilde gerçekleştirilmesi adına avukatları tarafından vekâleten ihtarname düzenlenerek gönderildiği, noterlik nezdinde yapılan işlemlerde, sair bilgilerin ilgili noterliğe sağlanmasının Noterlik Kanunu ve ikincil mevzuattan kaynaklandığı, ihtarname keşide edilebilmesi için keşidecinin ve muhatabın/muhatapların ad ve soyadı ile T.C. kimlik numaralarının noterliğe sunulmasının, tebligatın sağlıklı yapılabilmesi için yine mevzuat gereğince zorunlu olduğu, bu nedenle birden çok muhatabın yer aldığı ihtarname içerisinde muhatapların bilgilerine yer verildiği ve ilgili kişisel verilerin noterlik ile paylaşıldığı,
Yapılan bu işlemin meşru ve açık bir amaca dayalı olduğu, işleme amacı olan ücretsiz izin süresinin takibi ve çalışana bildirim yapılabilmesi amacı ile sınırlı olarak bahse konu verilerin işlendiği, aktarıldığı ve işlendikleri amaçla bağlantılı olmayan bir şekilde kullanılmadığı, veri işleme faaliyetinin ölçülü olduğu ve kişisel verilerin ihtarname keşide edilmesi için noterlik ile paylaşılmasının ilgili kişinin lehine ve izin durumunun bildirilmesine yönelik olduğu,
İlgili kişiye ait kişisel verilerin, bordrolama destek hizmetleri çerçevesinde ilgili kişinin işvereni olan şirket tarafından kendilerine aktarıldığı ve bu aktarımın hukuki dayanağının 6698 sayılı Kişisel Verilerin Korunması Kanun’unun (Kanun) 5’inci maddesinin (2) numaralı fıkrasının (f) bendi olduğu

ifade edilmiştir.

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun 07/04/2022 tarih ve 2022/328 sayılı Kararı ile;

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) “Genel İlkeler” başlıklı 4’üncü maddesinde, kişisel verilerin ancak bu Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, buna göre, kişisel verilerin ancak; “a) Hukuka ve dürüstlük kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ile d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” ilkelerine uygun olarak işlenebileceği,
Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükmünün yer aldığı,
Kanun’un 12’nci maddesinin (1) numaralı fıkrası gereğince veri sorumlusunun; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğunun hükme bağlandığı,
Diğer yandan 1512 sayılı Noterlik Kanunu’nun “Düzenleme Şeklinde Yapılması Zorunlu İşlemler” başlıklı 89’uncu maddesinde; “Niteliği bakımından tapuda işlem yapılmasını gerektiren sözleşme ve vekaletnamelerle, vasiyetname, mülkiyeti muhafaza kaydı ile satış, gayrimenkul satış va’di, vakıf senedi, evlenme mukavelesi, evlat edinme ve tanıma, mirasın taksimi sözleşmesi ve diğer kanunlarda öngörülen sair işlemler bu fasıl hükümlerine göre düzenlenir.” hükmünün yer aldığı ve yine anılan Kanun’un “Onaylama” başlıklı üçüncü bölümünün “Şekil” başlığını taşıyan 90’ıncı maddesinin; “Hukuki işlemlerin altındaki imzanın onaylanması imzayı atan şahsa ait olduğunun bir şerhle belgelendirilmesi şeklinde yapılır. İmzası onaylanan iş kağıdının aslı ilgilisine verilir ve imzalı bir örneği dairede saklanır. Bu örnek harca tabi değildir.” hükmünü haiz olduğu,
Somut olayda, veri sorumlusu tarafından ilgili kişinin ve diğer yedi çalışanın bilgilerine aynı ihtarnamede yer verildiğinin görüldüğü ve veri sorumlusu tarafından da bu durumun ikrar edildiği,
Senetler düzenleme ve onaylama şeklinde hazırlanabilmekle birlikte söz konusu belgenin noterlik tarafından “onaylama” şeklinde gerçekleştirildiğinin görüldüğü ve ilgili kişinin kişisel verilerine ek olarak yedi çalışanın da kişisel verilerinin toplu bir şekilde aynı ihtarnamede yer almasından dolayı her birinin kişisel verilerinin birbirleriyle paylaşıldığının anlaşıldığı,
İlgili kişinin ve diğer yedi çalışanın kimlik ve iletişim verisinin ihtarnamede yer alması suretiyle ilgili noterlikle paylaşılması Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendinde yer alan “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” işleme şartı kapsamında yer almakla birlikte söz konusu çalışanların kimlik ve iletişim verisinin aynı ihtarnamede yer alması ve söz konusu ihtarname keşide edilirken herhangi bir şekilde karartma, muhataplara ayrı ayrı keşide etme vb. gibi bir işlem yapılmaması sebebiyle ilgili kişinin kişisel verilerinin diğer çalışanlarla paylaşıldığı ve bu suretle gerçekleşen kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanmadığı

değerlendirmelerinden hareketle;

İlgili kişinin kişisel verilerinin yer aldığı ihtarnamenin veri sorumlusu tarafından yedi kişiye daha gönderildiği iddiasına ilişkin olarak; diğer yedi çalışanla birlikte ilgili kişinin kimlik ve iletişim verisinin aynı ihtarnamede yer alması ve söz konusu ihtarname keşide edilirken de herhangi bir şekilde karartma, muhataplara ayrı ayrı keşide etme vb. işlemin yapılmaması nedeniyle ilgili kişinin kişisel verilerinin diğer çalışanlarla paylaşıldığı, bu çerçevede Kanun’un 5’inci maddesinde yer alan herhangi bir işleme şartına dayanmaksızın gerçekleşen kişisel veri işleme faaliyetinin Kanun’un 12’nci maddesinin (1) numaralı fıkrası hükmüne aykırı olduğu değerlendirildiğinden veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına,
Diğer taraftan Karar hakkında Türkiye Noterler Birliğine bilgi verilmesine

karar verilmiştir.

07.Nisan.2022: “İlgili kişi ile ilgisi bulunmayan bir işletme adına düzenlenmiş e-faturaların, ilgili kişinin e-posta adresine gönderilmesi"

Karar Tarihi	:	07/04/2022
Karar No	:	2022/325
Konu Özeti	:	İlgili kişi ile ilgisi bulunmayan bir işletme adına düzenlenmiş e-faturaların, ilgili kişinin e-posta adresine gönderilmesi

İlgili kişinin Kuruma intikal eden şikâyetinde özetle; bir pazarlama şirketinin Trabzon bölge müdürlüğü yetkilileri tarafından bir market adına düzenlenmiş e-faturaların ilgili kişinin kullanmakta olduğu e-posta adresine 13/01/2020 tarihinden 20/04/2020 tarihine kadar on beş kez gönderildiği, ilgili kişinin adına fatura düzenlenen market ile bir ilgisinin bulunmadığı, bu durum çeşitli iletişim kanalları üzerinden söz konusu şirkete bildirilmesine rağmen faturaların tarafına iletilmeye devam ettiği belirtilerek gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde pazarlama şirketinden savunması istenilmiş olup alınan cevabi yazıda özetle;

Faturaları gönderen yetkililerden birinin önceden şirketlerinin Trabzon eski baş bayisi olduğu ancak Kasım 2018 itibariyle ilişiklerinin kesildiği,
İlgili kişinin başvurusunu yönelttiği e-posta adreslerinin bir kısmının domain’inin aktif olmadığı ve name server bilgilerinin şirketlerine ait olmadığı,
Sistemlerinde ilgili kişinin e-posta adresine rastlanmadığı, bu nedenle herhangi bir ilişkileri bulunmayan işletme adına düzenlenen ve gerçek kişiye ait herhangi bir bilgi içermemesi nedeniyle kişisel veri ihlali teşkil etmeyecek fatura paylaşımının şirketleri tarafından gerçekleştirilmesinin mümkün olmadığı,
Şirketlerinde herhangi bir üyelik sistemi bulunmadığından, doğrudan e-posta adresi ile başvuru yönteminin açık olmadığı ve ilgili kişi tarafından şirketlerine yapılan usulüne uygun bir başvuru tespit edilemediği

ifade edilmiştir.

Bahse konu cevabi yazının incelenmesinin ardından şirketin daha önce Trabzon baş bayisi olan fatura düzenleyen şahıstan şikâyet konusu olaya ilişkin savunması talep edilmiş olup bu kapsamda bahse konu şahıstan alınan cevabi yazıda özetle;

Taraflarının adı geçen şirketin bayisi iken başka bir pazarlama şirketine devir teslim işlemi yapılmasının ardından yeni şirket ile bayilik sözleşmesi (yetkili satıcı) imzalandığı,
E-fatura sistemine geçildiğinden dolayı, gazete dağıtımı yapan son satıcılardan e-posta ve telefon bilgilerinin güncellenmesinin talep edildiği, bunun üzerine bahsi geçen market tarafından güncellenmesi istenen e-posta adresinin taraflarına, ilgili kişinin adı ile soyadı arasına nokta konulmuş şekliyle (ad.soyad@... şeklinde) iletildiği,
Ancak e-posta adresinin, el yazısıyla yazılarak taraflarına iletilmesi nedeniyle sistem üzerinde e-posta adresi kaydı yapılırken bahse konu adresin, ad ve soyadı arasına nokta işareti konulmadan (adsoyad@... şeklinde) kaydedildiği, söz konusu durumun tamamen yanlışlıkla meydana geldiği,
Şikâyet konusu olaya ilişkin olarak ilgili kişinin taraflarına ulaşmasının ardından sistemleri üzerinde düzeltme işlemi yapıldığı ve ilgili kişiye e-posta gitmesinin önlendiği

belirtilmiştir.

Bahse konu cevabi yazı incelendiğinde, son satıcı olan bayi bilgilerinin kaydedildiği sistemin yeni sözleşme imzalanan pazarlama şirketine ait olduğunun anlaşılması üzerine söz konusu şirketten de savunması istenilmiş olup alınan cevabi yazıda özetle;

Şirketlerinin Türkiye’deki yazılı basın sektörünün tamamına hizmet vermek üzere Türkiye genelinde genel müdürlüğe bağlı bölge müdürlükleri ve bölge temsilcilikleri, bölge müdürlüklerine/temsilciliklerine bağlı yetkili satıcılar ile yetkili satıcılara bağlı son satıcılardan oluşan bir dağıtım ağı oluşturduğu,
Şirketleri ile şikâyete konu fatura düzenleyen kişi arasında Temmuz 2018’de dağıtım yetkili satıcı sözleşmesi imzalandığı ve söz konusu kişinin yetkili satıcı olarak atandığı, adına fatura düzenlenen marketin ise söz konusu yetkili satıcının yayınlarının pazarlama, dağıtım ve satışını yaptığı son satıcılardan biri olduğu,
Bu ilişkide şirketlerinin yayınları okuyuculara ulaştıran son satıcılar ile herhangi bir sözleşmesel ilişki içerisine girmediği ve son satıcılara yönelik herhangi bir dağıtım, pazarlama ve satış faaliyeti yürütülmediği, bu faaliyetlerin yürütülmesinin yetkili satıcıların uhdesine bırakıldığı,
Atanan yetkili satıcılar tarafından yayınların Türkiye geneline dağıtımı, pazarlanması ve satış süreçlerinin sağlanması adına dağıtım bilgi sistemi (DBS) kullanıldığı, yetkili satıcıların DBS’ye tanımlanması ile erişim/kullanım hakkı tanındığı, yetkili satıcının yetkili olduğu il dahilinde yer alan son satıcıları kendi inisiyatifinde olmak üzere belirleyip anlaşma yaptığı ve son satıcılardan elde edilen bilgilerin DBS’ye girilmesi suretiyle son satıcı kayıtlarının yapıldığı,
Yetkili satıcıların yalnızca kendileri tarafından kaydedilen bilgilere erişim imkânının bulunduğu, öte yandan son satıcıların DBS’ye herhangi bir erişiminin bulunmadığı,
DBS’ye kaydedilen son satıcı bilgilerinin, şirketlerinden bağımsız bir şekilde ve herhangi bir emir veya talimat almadan ya da şirketleri tarafından herhangi bir yönlendirmede bulunulmadan elde edildiği,
Yetkili satıcıların söz konusu veriler üzerinde tam bir hâkimiyete sahip oldukları, bu bilgileri kendi inisiyatif ve kararları doğrultusunda kendilerine ait süreçler/faaliyetler dahilinde belirledikleri amaçlar ile işledikleri, gerek gördüklerinde diledikleri gibi değiştirebildikleri ve silebildikleri,
Şirketlerinin gerek DBS gerek başka bir vasıtayla yetkili satıcılara ve mevcut ya da potansiyel son satıcılara ilişkin herhangi bir bilgi toplamadığı ve aktarmadığı, dolayısıyla son satıcılara ait herhangi bir iletişim bilgisinin yetkili satıcılara sağlanması gibi bir uygulama bulunmadığı,
DBS’ye girilen bilgilerin doğru, güncel ve eksiksiz olma sorumluluğunun son satıcılar ile doğrudan hukuki/ticari ilişki içerisinde bulunan yetkili satıcılara ait olduğu, zira DBS’ye şirket yetkilileri dışında yalnızca yetkili satıcıların doğrudan erişiminin olduğu ve DBS’nin sistem üzerinden son satıcılara ulaşılarak bilgi doğrulaması yapılmasına imkân sağlayacak bir alt yapıda kurulmadığı; ayrıca şirketlerinin yetkili satıcı sözleşmesi ile ilgili mevzuat hükümlerine uygun faaliyette bulunulması ve bu kapsamda gereken tedbirlerin alınması konusunda yetkili satıcılara sorumluluk yüklediği,
DBS’nin, sunduğu raporlama imkânı ile yetkili satıcının planlama, dağıtım ve iade operasyonlarını yürütebilmesi bakımından kolaylık sağlandığı ancak yetkili satıcının doğrudan DBS üzerinden resmi bir irsaliye/fatura oluşturmasının mümkün olmadığı, DBS’nin irsaliye/faturaya konu satışın icmalini rapor olarak dökümünü ve resmi irsaliye/faturaya ticari içerik oluşturulmasını sağladığı, bu hususların DBS üzerinden yürütülmesi gibi bir zorunluluğun bulunmadığı,
DBS üzerinden doğrudan son satıcılar ile iletişime geçilmesini sağlayan (e-mail gönderimi, fatura gönderimi, irsaliye gönderimi gibi) herhangi bir hizmetin de sunulmadığı, yine herhangi bir üçüncü parti yazılımı (e-fatura, e-arşiv sistemleri, CRM gibi) ile entegrasyonun da bulunmadığı,
Şirketlerinin yetkili satıcıların son satıcılar nezdinde yapmış olduğu planlama, dağıtım ve iade operasyonlarını DBS üzerinden takip ettiği, bu operasyonlar dahilinde sisteme girilen satış bilgileri dikkate alınarak tiraj tahminlerini yaptığı, basım, üretim ve planlama süreçlerini yönettiği,
Somut olayda da yetkili satıcının markete ilişkin kendi fatura süreçleri dahilinde ve veri sorumlusu olarak işlediği e-posta verisini yaptığı hata sonucu e-fatura hizmeti sistemine hatalı şekilde aktardığı, zira son satıcı bilgilerinin kaydedildiği DBS üzerinden yalnızca ön muhasebe işlemlerinin yapılabildiği, e-fatura işlemlerinin üçüncü taraflara ait sistemler üzerinden gerçekleştirildiği, e-posta adresinin DBS’de girilmesi zorunlu bir alan olmadığı, faturalama sistemine hatalı şekilde girilen kaydın, DBS’ye yapılan hatalı kayıttan ve DBS’nin tetiklediği herhangi bir gönderimden kaynaklanmadığı,
Yetkili satıcının, yayınların son satıcılar nezdindeki planlama, dağıtım ve iade operasyonlarını yürütmesi kapsamındaki faturalama süreçlerinde ve dolayısıyla şikâyete konu olay özelinde e-posta verisinin işlenmesi faaliyeti bakımından şirketlerinden bağımsız şekilde ayrı bir veri sorumlusu sıfatı ile hareket ettiği, işlenecek kişisel veriler bakımından emir veya talimat almadığı, e-posta verisinin DBS dahilinde kaydedilmesi gereken zorunlu bir veri dahi olmadığı

ifade edilmiştir.

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun (Kurul) 07/04/2022 tarih ve 2022/325 sayılı Kararı ile;

6698 sayılı Kişisel Verilerin Korunması Kanun’unun (Kanun) “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (g) bendinde “veri işleyen”in veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlandığı,
İlgili kişi, yetkili satıcının ilk sözleşme imzaladığı pazarlama şirketi hakkında Kurul’a şikâyette bulunmuş olmakla birlikte şikâyete konu faturayı düzenleyen kişi ile Kasım 2018 tarihi itibariyle ilişiklerinin kesildiği ve fatura tarihinin Şubat 2020 olduğu göz önünde bulundurulduğunda söz konusu ilk sözleşme imzalanan pazarlama şirketinin veri sorumlusu sıfatını haiz olmadığı,
İkinci sözleşme imzalanan pazarlama şirketi tarafından oluşturulan dağıtım ağında ilgili bölgelerde dağıtım, pazarlama ve satış hizmetlerinin sunulması adına aralarındaki sözleşme ile fatura gönderimi yapan kişinin yetkili satıcı olarak yetkilendirildiği, satıcının da bu yetkiye istinaden tüketiciye doğrudan satış ve pazarlama yapılması adına son satıcı olan market ile sözleşme kurduğunun anlaşıldığı,
Yetkili satıcı sözleşmesi incelendiğinde yetkili satıcıların; son satıcıların açık isim ve adreslerinin yetkili satıcı dağıtım bilgi sistemine kaydedilmesi, son satıcılara teslim edilen ürünler için fatura düzenlenmesi ve tebliğ edilmesi, dağıtım, pazarlama ve bütün muhasebe işlemlerinde bilgisayar, modem vb. araçları ve ikinci pazarlama şirketinin gerekli gördüğü bilgisayar programlarının kullanılması ve bu bilgilerin tümünün şirketin kullanımına ve denetimine açık tutulması ile yükümlü olduğunun görüldüğü,
Fatura işlemlerinin yetkili satıcı tarafından gerçekleştirildiği belirtilmekle birlikte söz konusu işlemlerin ikinci pazarlama şirketi ile yetkili satıcı aralarındaki sözleşmenin yerine getirilmesi amacıyla gerçekleştirildiği, DBS’ye hangi verilerin girişinin yapılacağına ikinci pazarlama şirketi tarafından karar verildiği, şirketin fatura düzenlenmesi ve tebliğ edilmesi sürecinde hangi teknik ve organizasyonel araçların kullanılacağını yetkili satıcının takdirine bırakmış olmasının yetkili satıcı bakımından ayrı bir veri sorumluluğu doğurmayacağı, yetkili satıcının fatura süreçleri kapsamında gerçekleştirdiği işlemlerde sözleşme maddelerinin dışına çıkarak kendi işleme amaçlarını belirlemediği dikkate alındığında ikinci pazarlama şirketinin veri sorumlusu, yetkili satıcının ise bu şirket adına veri işleyen olarak kişisel veri işlediğinin tespit edildiği,
Son satıcılara yönelik bilgilerin kaydedildiği DBS’ye, veri işleyen tarafından hizmet verdikleri bir marketin e-posta adresinin, sehven ilgili kişinin e-posta adresi olarak kaydedildiği, bu sebeple son satıcı adına düzenlenen faturaların da ilgili kişiye gönderildiği ve bu hususta e-posta adresi düzeltilerek ilgili kişiye fatura gönderiminin durdurulduğunun anlaşıldığı,
Bu çerçevede, veri işleyen tarafından ilgili kişinin e-posta adresinin sehven sisteme kaydedilmesi suretiyle herhangi bir kasıt bulunmaksızın işlendiği ve şikâyete konu durumun düzeltildiği,
Veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına Kanuna aykırı şekilde gönderilen üçüncü kişilere ait kişisel veriler hakkında Kişisel Verileri Koruma Kurulunun 22/12/2020 tarih ve 2020/966 sayılı İlke Kararı kapsamında e-posta gönderilmesi hususunda gerekli teyit mekanizmalarının kurulmasının uygun olacağı

değerlendirmelerinden hareketle;

Şikâyette bulunulan ilk pazarlama şirketinin ilgili kişiye tarafı olmayan faturaların gönderilmesi faaliyetinde herhangi bir ilgisi ve sorumluluğunun bulunmadığı kanaatine varıldığından hakkında yapılacak bir işlem olmadığına,
Son satıcı olan market sahibi ile ilgili kişinin e-posta adresi benzerliği sebebiyle veri işleyen yetkili satıcı tarafından sehven ilgili kişinin e-posta adresinin sisteme kayıt edilerek herhangi bir kasıt bulunmaksızın işlendiği ve ilgili kişinin faturaların tarafına gönderilmemesi yönündeki talebinin gerekli düzeltme yapılarak yerine getirildiği dikkate alındığında veri sorumlusu ikinci pazarlama şirketi hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına,
Veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına Kanuna aykırı şekilde gönderilen üçüncü kişilere ait kişisel veriler hakkında Kişisel Verileri Koruma Kurulunun 22/12/2020 tarih ve 2020/966 sayılı İlke Kararı kapsamında e-posta gönderilmesi hususunda gerekli teyit mekanizmalarının kurulmasının uygun olacağının veri sorumlusu ikinci pazarlama şirketine hatırlatılmasına

karar verilmiştir.

24.Mart.2022: “İlgili kişiye ait kişisel verileri içeren bir kargo paketinin üçüncü bir şahsın eline geçmesi"

Karar Tarihi	:	24/03/2022
Karar No	:	2022/277
Konu Özeti	:	İlgili kişiye ait kişisel verileri içeren bir kargo paketinin üçüncü bir şahsın eline geçmesi

İlgili kişinin şikâyetinde özetle;

İlgili kişinin kulaklığını onarım yapılması için bir elektronik perakende zincirinin AVM’deki şubesine teslim ettiği, mağaza yetkililerinin de kulaklığı distribütör firmaya iletilmek üzere kargo şirketine teslim ettiği ama kargonun distribütör firma yerine konuyla ilgisiz üçüncü bir şahsa teslim edildiği, ilgili kişinin kargonun teslim edildiği üçüncü şahsın kendisine ulaşması üzerine konudan haberdar olduğu,
Elektronik perakende zinciri yetkililerinin konu kapsamında herhangi bir suçlarının olmadığını ve hatanın tamamen kargo şirketinde olduğunu ileri sürdükleri, ancak taşınan kargonun içine ilgili kişiye ait isim, soy isim, cep telefonu numarası, e-posta adresi, ikamet ettiği il ve ilçe ile ödeme yaptığı kredi kartının ilk altı hanesi gibi bilgileri haiz belgelerin koyulduğu,
Karşı tarafın art niyetli olması durumunda rahatça kötüye kullanılabilecek mezkûr bilgilerin konuyla ilgisiz üçüncü bir şahsın eline geçtiği, bu durumda ilgili kişinin maddi-manevi bir zarar görmemesinin tamamen o şahsın insaniyetine ve vicdanına kaldığı, elektronik perakende zinciri yetkililerinin bu durumun tamamen prosedür gereğince yapıldığını beyan ettikleri ve hatanın mesuliyetini kabul etmedikleri

belirtilmiş ve konu hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gerekli işlemlerin yapılması talep edilmiştir.

İlgili kişinin şikâyetine istinaden başlatılan inceleme çerçevesinde veri sorumlusu sıfatını haiz olduğu anlaşılan elektronik perakende zincirinden savunması istenilmiş olup, verilen cevapta özetle;

Şikâyete konu olayın, ilgili kişinin kulaklığını onarım yapılması için veri sorumlusunun bir AVM’deki şubesine teslim etmesi ve akabinde ürünün ilgili kişinin talebine uygun olarak onarım için veri sorumlusu tarafından distribütör firmaya kargo şirketi aracılığıyla gönderilmesi ile ilgili olduğu,
Kargo içeriğinde, ürünün yanı sıra distribütör firma tarafından kulaklığın onarım işleminin yapılabilmesi için gerekli olan belgelerin bulunduğu,
Kargonun söz konusu onarım işleminin yapılabilmesi için gerekli olan belgelerle birlikte distribütör firmaya gönderiminin sağlanması amacıyla alıcının adres bilgisi ve unvanı doğru bir şekilde girilerek kapalı ve paketlenmiş olarak kargo şirketine 31/08/2021 tarihinde teslim edildiği, bahsi geçen gönderime ilişkin doldurulan kargo formunun ve irsaliyenin görüntüsünün yazıları ekinde sunulduğu,
Bununla birlikte, şikâyete konu kişisel verileri içeren paketin kargo şirketi tarafından veri sorumlusunun kargo üzerinde belirttiği adres dışında üçüncü bir kişiye/farklı bir adreste teslim edildiği, bu durumun kargo şirketinin hatalı teslimat yapması ve adreste bulunan kişinin kendisine ait olmayan hatalı gönderiyi kabul etmesi sebebiyle yaşandığı,
Yaşanan hatalı teslimat durumundan ötürü taraflarının herhangi bir sorumluluğunun bulunmadığı, nitekim Kurumun Veri İşleyen ve Veri Sorumlusu Rehberinde de belirtildiği gibi kargo şirketlerinin sevkiyatı yönetmek için elde ettiği kişisel veriler bakımından 6698 sayılı Kanun uyarınca veri sorumlusu oldukları,
Aynı doğrultuda, Kişisel Verileri Koruma Kurulunun (Kurul) 16/01/2020 tarihli ve 2020/32 sayılı Karar Özeti’nde de ifade edildiği üzere “Kurye’nin Karayolu Taşıma Yönetmeliği çerçevesinde gönderici ve alıcılara ilişkin ad ve soyad, unvan, gerçek kişilerde T.C. kimlik numarası bilgilerini tam ve doğru şekilde kaydetme yükümlülüğüne sahip olduğu, kurye firmalarının yükümlülükleri kapsamında sunacakları hizmeti tam ve doğru bir şekilde yerine getirmek amacı ile bu verileri kendi sistemlerine kaydetmekte olduğu, bu açıdan Kurye’nin bağlı olduğu mevzuat çerçevesinde işlediği kişisel veriler bağlamında veri sorumlusu olduğu”nun değerlendirildiği,
İlgili kişinin kişisel verilerinin üçüncü bir kişinin eline geçmesinin kargo şirketinin teslimatı gönderim formunda veri sorumlusu tarafından alıcı olarak gösterilen tarafa yapmaması nedeniyle ortaya çıkan bir durum olduğu, yaşanan olayda taraflarının kişisel verilerin korunması mevzuatını ihlal edecek herhangi bir uygulamada ve işleme faaliyetinde bulunmadığı, dolayısıyla ilgili kişinin iddia ettiği gibi somut olayda gerçekleşen işleme faaliyetine ilişkin herhangi bir hukuka aykırılığın söz konusu olmadığı

ifade edilmiştir.

İlgili kişinin şikâyetinin ve veri sorumlusunun savunmasının Kurul tarafından değerlendirilmesi neticesinde; veri sorumlusu tarafından distribütör firmaya gönderilen kargo içerisinde yer alan ve ilgili kişinin bazı kişisel verilerini içeren belgelerin kargo şirketinin hatalı teslimat yapması nedeniyle gerçekleştiğinin beyan edildiği dikkate alınarak kargo şirketinin savunmasının alınması suretiyle incelemeye devam edilmesine karar verilmiştir.

Bu çerçevede, kargo şirketinin Kuruma ilettiği savunmasında özetle;

Şikâyete konu ************ gönderi numaralı kargonun, taşımasını gerçekleştirmek üzere taraflarına verildiğinin tespit edildiği, varış birimine ulaşan kargonun birim personeli tarafından 02/09/2021 tarihinde dağıtıma çıkarıldığı ve sehven üçüncü bir kişiye teslim edildiği, durumun kargonun teslim edildiği üçüncü kişinin bilgi vermesiyle anlaşıldığı,
Kargo şirketinin akdettiği acentelik sözleşmesi ile taşımacılık faaliyeti kapsamında kendi nam ve hesabına taşıtların yükleme, boşaltma, gümrükleme ve pazarlama işlemleri ile diğer acentelik hizmetlerini acenteleri vasıtasıyla yürüttüğü, nitekim şikâyete konu gönderinin varış biriminin de acentesi olduğu ve olayın yaşandığı tarihte işlemi gerçekleştiren personelin söz konusu acentede istihdam edildiğinin tespit edildiği,
Acentelik ilişkisine istinaden imzalanan acentelik sözleşmesinin ve güvenlik tedbirlerine ilişkin protokollerin yazıları ekinde, kargo şirketi tarafından kişisel verilerin korunmasına yönelik bilgilendirme ve aydınlatmaların yerine getirildiği,
Teslime ilişkin bilginin alınmasıyla birlikte varış birimi/acente tarafından derhal teslim edilen adrese gidilerek kargonun alındığı ve aynı gün gönderici müşteri olan veri sorumlusuna iade edildiği, acentenin teslimatta görevli personelinin Eylül 2021’in sonlarında ayrıldığı bildirildiğinden teslimatın detayları hakkında bilgi temin edilemediği,
Kargo şirketinin hizmetlerinin güvenliği konusunda oldukça hassas davrandığı ve insani bir hata olarak yapılan işlemle ilgili kasıtlı bir eyleminin söz konusu olmadığı, kargo dağıtım süreçlerindeki yoğunluk nedeniyle istemeden de olsa yaşanan bu gibi aksaklıkların önüne geçilebilmesi için personele gerekli bildirimlerin sıklıkla gerçekleştirildiği,
Acentenin işlemi yapan personeli ile acente arasında akdedilen hizmet sözleşmesinde kişisel verilerin güvenliği, korunması ve gizlilik ile ilgili yükümlülükleri hakkında bilgilendirme yapılmakta olduğu,
Tüm kargo şirketi çalışanlarına ve tedarikçi/acente çalışanlarına kişisel verilerin gizliliği ve bilgi güvenliği alanlarında hizmet öncesi eğitim verildiği, ilgili personele Nisan 2021 içerisinde toplam 32 saatlik hizmet öncesi eğitim, Mayıs 2021 ve Temmuz 2021 içerisinde iki kez olmak üzere birer saatlik Kişisel Verilerin Korunması ve Bilgi Güvenliği eğitimlerinin verildiği,
Gönderi içeriği hakkında kargo şirketinin bilgisinin olup olmadığı sorusuna cevaben, gönderi içeriğinin kayıtlarda yer almadığı ve bu yüzden ilgili kişinin kişisel bilgilerinin gönderi içeriğinde bulunduğuna dair taraflarının hiçbir bilgisinin bulunmadığı,
Gönderici şirket tarafından ilgili kişiye ait kişisel bilgilerin prosedür gereği kargo içeriğine eklendiği beyan edilmekteyse de bu prosedürün dayanağının da açıklanması gerektiği, çünkü kargo içeriğinde bulunduğu belirtilen bilgilerin distribütör firma ile paylaşım yönteminin daha güvenli sistemler üzerinden ilerletilebilmesinin mümkün olduğu, gönderici şirketin kargonun kaybı veya zayiatı risklerini basiretli bir tacir olarak öngörmesi ve önlemlerini almış olması gerektiği,
Diğer taraftan kargonun sehven teslim edildiği ilgisiz üçüncü kişinin ise kendisine ait olmadığını bilmesine ve kargo paketinde alıcı olmadığını görmüş olmasına rağmen paketi hangi sebeple açtığının anlaşılamadığı, söz konusu şahsın kendisine ait olmadığını gördüğü anda kargo paketini açmadan tarafları ile ya da göndericiyle iletişime geçmiş olması durumunda bu olayın meydana gelmeyeceğinin açık olduğu,
Bilgi güvenliği yönetimi, kişisel verilerin korunması ve ilgili yasal mevzuata uyum konularının ISO/IEC 27001 belgesine sahip olan kargo şirketinin öncelikle önem verdiği değer ve politikalar arasında olduğu, müşterilerin kişisel verilerinin korunmasına da bu kapsamda önem verildiği

bildirilmiştir.

Tüm taraflarca dosyaya sunulan bilgi ve belgeler göz önünde bulundurularak konuya ilişkin yürütülen inceleme neticesinde, Kurulun 24/03/2022 tarihli ve 2022/277 sayılı Kararı ile;

Kanun’un 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (g) bendinde “veri işleyen”in veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlandığı,
Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükmünün yer aldığı,
Kanun’un “Kişisel Verilerin Aktarılması” başlıklı 8’inci maddesinde ise “(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. (2) Kişisel veriler; a) 5 inci maddenin ikinci fıkrasında, b) Yeterli önlemler alınmak kaydıyla 6’ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir. (3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” hükmüne yer verildiği

Bu çerçevede;

İlgili kişinin kargo paketi içerisine konulan belgelerde yer alan bilgilerinin ve distribütör firmaya gönderim de dâhil olmak üzere bu bilgilere ilişkin olarak veri sorumlusu tarafından yürütülen faaliyetlerin Kanun hükümleri karşısındaki durumu:

Somut olayda, ilgili kişiye ait kulaklığın distribütör firma tarafından onarılabilmesi için kargo paketi içine konuldukları ifade edilen ve ilgili kişiye ait bazı kişisel verileri içeren belgelerin veri sorumlusu tarafından distribütör firmaya gönderilmesinden ibaret olan kişisel veri işleme/aktarım faaliyetinin Kanun’un 8’inci maddesinin (2) numaralı fıkrasının (a) bendi dikkate alınarak Kanun’un 5’inci maddesinde düzenlenen herhangi bir veri işleme şartına dayanıp dayanmadığı incelendiğinde; anılan kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendinde düzenlenen “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” ve (ç) bendinde düzenlenen “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” hukuki şartlarına dayandığı,
Öte yandan veri sorumlusunca bir onarım işleminin yapılabilmesi için distribütör firmaya gönderilen belgelerde yer alan ilgili kişiye ait kişisel verilerin mahiyetleri ile ticari hayatın dinamik yapısı ve şartları dikkate alındığında hayatın olağan akışına uygun olduğunun rahatlıkla savunulabileceği düşünülen söz konusu kişisel veri işleme/aktarım faaliyeti bakımından Kanun’un 4’üncü maddesinde belirtilen genel ilkelere açık bir aykırılığın tespit edilemediği, bununla beraber gelecekte ürün onarımı amacıyla veri sorumlusu tarafından onarım firmalarına iletilebilecek kargo paketleri içindeki formlarda minimum düzeyde kişisel veri paylaşılmasını ve paylaşılan kişisel verilerin de mümkün olduğunca maskelenmesini teminen gerekli önlemlerin alınması gerektiği,
İlgili kişinin bazı kişisel verilerini içeren belgelerin veri sorumlusu tarafından bir onarım işleminin yapılabilmesi için distribütör firmaya gönderilmesinden ibaret olan kişisel veri işleme/aktarım faaliyetine dayanan ve ilgili kişinin şikâyetine esas olan olay veri sorumlusunun Kanun’un 12’nci maddesinin (1) numaralı fıkrasından kaynaklanan yükümlülüğü kapsamında ele alındığında ise; veri sorumlusunun ilgili kişinin kişisel verilerini içeren kargo paketini “göndericisi veri sorumlusu, alıcısı ise distribütör firma” olacak şekilde kargo şirketine teslim etmiş olmasından dolayı Kanun’un 12’nci maddesinin (1) numaralı fıkrasına aykırı herhangi bir eyleminin mevcut olmadığı,

Veri sorumlusu tarafından ilgili kişiye ait kulaklığın ve ilgili kişinin bazı kişisel verilerini içeren belgelerin distribütör firmaya gönderilmesinin amaçlandığı kargo gönderim işlemi kapsamında gerçekleşen hatalı teslimat işleminden haberdar olan veri sorumlusunun Kanun’un 12’nci maddesinin (5) numaralı fıkrasından kaynaklanan bildirim yükümlülüğü:

Taraflarca dosyaya sunulan bilgi ve belgelerin incelenmesinden “somut olayda ilgili kişiye ait bazı kişisel verilerin hatalı kargo teslimatı yapılmış olması nedeniyle üçüncü bir şahısça elde edilmesinin ilgili kişi tarafından veri sorumlusundan önce öğrenilmiş olmasının kuvvetle muhtemel olduğu, durumu öğrenmesinden sonra ilgili kişinin veri sorumlusuna bir başvuru yaptığı, anılan başvuruyu takiben veri sorumlusunca ilgili kişiye hatalı kargo teslimat işlemi hakkında bilgi verildiği, ardından ilgili kişinin Kanun’un 14’üncü maddesine istinaden Kurula bir şikâyet ilettiği, söz konusu şikâyetin olayın ilgili kişi tarafından öğrenilmesinin üzerinden takriben 74 saat geçmişken Kurumun elektronik şikâyet sistemine intikal ettirilmiş olduğu ve konuya ilişkin şikâyetin ilgili kişi tarafından Kurumun elektronik şikâyet sistemine intikal ettirildiği an itibarıyla veri sorumlusunun olayı öğrenmesinin üzerinden henüz 72 saatin bile geçmemiş olabileceği” hususlarının anlaşıldığı,
Kanun’un “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12’nci maddesinin (5) numaralı fıkrasında “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” şeklinde hükme yer verildiği,
Kurumun resmî internet sitesinde yayımlanan “Kişisel Veri İhlali Bildirim Usul Ve Esaslarına İlişkin Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10 sayılı Kararına İlişkin Duyuru” başlıklı Kamuoyu Duyurusu’nda ise “(…) Veri ihlal bildirimlerinde, Kurula ve ihlalden etkilenmiş kişilere bildirim yapılmasındaki amacın, ihlal nedeniyle bu kişiler hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesi veya en aza indirilmesine imkan verecek önlemler alınmasını sağlamak olduğu, öte yandan 6698 sayılı Kanuna kaynak teşkil eden Avrupa Birliğinin 95/46/EC sayılı Direktifini ilga eden Avrupa Genel Veri Koruma Tüzüğünde de veri ihlal bildirimlerine ilişkin olarak Direktifin aksine detaylı düzenlemelere yer verildiği dikkate alındığında (…)” ifadelerine yer verildiği ve Kanun’un 12’nci maddesinin (5) numaralı fıkrasında geçen “en kısa sürede” ibaresinin “72 saat” olarak yorumlanacağı, bu kapsamda veri sorumlusunun ihlal durumunu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirimde bulunması gerektiğinin bildirildiği,
Somut olayda ilgili kişinin bazı kişisel verilerini içeren belgelerin veri sorumlusu tarafından bir onarım işleminin yapılabilmesi için distribütör firmaya gönderilmesinde herhangi bir hukuka aykırılığın bulunmadığı sonucuna ulaşılmış olsa da; kargo paketinin kargo şirketi tarafından hatalı bir şekilde teslim edilmiş olmasından dolayı ilgili kişinin kişisel verilerinin kanuni olmayan bir şekilde üçüncü bir şahıs tarafından elde edildiğini öğrenmesini müteakip veri sorumlusunun Kanun’un 12’nci maddesinin (5) numaralı fıkrası uyarınca konu hakkında ilgili kişiye ve Kurula bildirimde bulunma yükümlülüğünün doğduğu,
Ancak dosya kapsamındaki olgulara ilişkin yapılan tespit ve değerlendirmeler dikkate alındığında; ilgili kişinin şikâyetine esas olan ve ilgili kişinin dışında “ilgili kişi” sıfatını haiz olabilecek başka bir kişiyi doğrudan etkileme ihtimali de bulunmayan olay hakkında –ilgili kişinin başvurusuna cevaben da olsa- Kanun’un 12’nci maddesinin (5) numaralı fıkrası uyarınca en kısa sürede ilgili kişiye bildirimde bulunduğu kabul edilebilecek olan ama Kurula herhangi bir bildirimde bulunmadığı anlaşılan veri sorumlusunca, Kurula bir veri ihlal bildiriminde bulunulmuş olsaydı hatalı kargo teslimat işlemi sebebiyle ilgili kişi hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesine veya en aza indirilmesine imkân verecek ve ilgili kişi tarafından Kurulun yönlendirmesi olmadan düşünülemeyecek ilave herhangi bir önlemin alınıp alınamayacağı konusunda bir çıkarımda bulunulmasının güç olduğu,
Kanun’un 12’nci maddesinin (5) numaralı fıkrasında düzenlenen veri ihlal bildirimleri kapsamında Kurula ve ihlalden etkilenmiş kişilere bildirim yapılmasındaki amacın, ihlal nedeniyle bu kişiler hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesine veya en aza indirilmesine imkân verecek önlemler alınmasını sağlamak olduğu, bununla birlikte mezkûr hükmün bir şekilde meydana gelmiş olsalar da ortaya çıkan her türlü veri ihlali vesilesiyle veri sorumlularını mutlak surette cezalandırmak olamayacağı”, “somut olayda ilgili kişinin kişisel verilerinin kanuni olmayan bir şekilde üçüncü bir şahıs tarafından elde edildiğini öğrenmesinin üzerinden ortalama 72 saat geçmemişken –ilgili kişi tarafından yapılan başvuruya cevaben de olsa- ilgili kişiye bilgi verildiği”, “yaşanan hatalı kargo teslimatından ilgili kişi dışında herhangi bir kişinin etkilenme ihtimalinin bulunmadığı”, “olay sebebiyle ilgili kişi hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesi veya en aza indirilmesine imkân verecek ve ilgili kişi tarafından Kurulun yönlendirmesi olmaksızın düşünülemeyecek ilave bir önlemin bulunup bulunmadığı konusunun tartışmalı olduğu” ve “konu hakkında veri sorumlusunca Kurula bildirim yapılmamış olmasının ilgili kişinin kişisel verilerinin korunması bağlamında somut nitelikte bir tehlikeye yol açmayabileceği” hususları göz önünde bulundurulduğunda; gelecekte yaşanabilecek benzer olaylar için Kanun’un 12’nci maddesinin (5) numaralı fıkrası uyarınca ilgilisine ve Kurula bildirimde bulunması konusunda veri sorumlusunun talimatlandırılmasının uygun olacağı,

Veri sorumlusu tarafından ilgili kişiye ait kişisel verileri içeren belgelerin de distribütör firmaya gönderilmesinin amaçlandığı ama hatalı teslimatla sonuçlanan kargo gönderim işlemi kapsamında kargo şirketinin rolü ve yükümlülüklerinin Kanun hükümleri karşısındaki durumu:

Somut olayda kargo şirketinin bahsi geçen kargo gönderim işlemindeki rolünün de Kanun hükümleri dikkate alınarak incelenmesinin gerektiği, kargo şirketinin ilgili kişinin şikâyetine esas kargo gönderim işlemi kapsamında Kanun’un 3’üncü maddesindeki tanımlar uyarınca “veri sorumlusu” veya “veri işleyen” sıfatını haiz olduğu bir senaryoda Kanun’dan kaynaklanan belli yükümlülüklerinin de gündeme gelebileceğinin açık olduğu,
Gerek ilgili kişi ve veri sorumlusunca gerekse de kargo şirketi tarafından dosyaya sunulan bilgi ve belgelerden; şikâyete esas kargo gönderim işleminde tüzel kişiliği haiz veri sorumlusunun “gönderici” sıfatını, tüzel kişiliği haiz distribütör firmanın ise “alıcı” sıfatını haiz olduğu ve ilgili kişinin kargo gönderiminin tarafı olmadığı, buradan da somut olay özelinde kargo içeriğini bilmesinin kendisinden beklenmeyen kargo şirketinin ilgili kişi hakkında veri sorumlusu veya veri işleyen sıfatıyla yürüttüğü herhangi bir kişisel veri işleme faaliyetinin bulunmadığı,
Dolayısıyla Kanun’un “Kapsam” başlıklı 2’nci maddesindeki “Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.” hükmüne istinaden somut olaydaki kargo gönderim işlemi özelinde ilgili kişi hakkında doğrudan bir kişisel veri işleme faaliyeti yürütmediği anlaşılan kargo şirketi hakkında Kanun hükümleri uyarınca yapılabilecek herhangi bir işlemin bulunmadığı, zira Kurumun resmî internet sitesinde yayımlanan “Veri Sorumlusu ve Veri İşleyen” başlıklı Rehber’in “Örnekler: Kargo Firmaları” başlıklı alt bölümünde yer alan “Bir kargo firması, bir banka ile müşterilerin kredi kartlarını ilgilisine ulaştırma hizmetini vermek üzere bir sözleşme yapmıştır. Kargo firması gönderenin adı, soyadı, alıcının adresi gibi sevkiyatı yönetmek için elde ettiği veriler bakımından veri sorumlusudur. Ancak, kargo firması her ne kadar kredi kartlarını fiziksel olarak elinde bulundursa da, söz konusu kredi kartı ile ilgili bilgilere ulaşması mümkün değildir. Bu durumda, dağıtım hizmeti sunucusu olarak hizmet veren kargo firması ne veri sorumlusu, ne de veri işleyen statüsündedir. Dolayısıyla, yalnızca taşıdığı fiziksel eşyanın güvenliğini sağlamakla yükümlü olup, kişisel verilerin işlenmesiyle ilgili uyması gereken herhangi bir yükümlülük yoktur.” açıklamalarının da kargo içeriğine hâkim olması kendisinden beklenemeyecek kargo şirketlerinin kargo içeriği açısından veri sorumlusu veya veri işleyen sıfatlarını haiz olmayacağı ve bu yüzden de Kanun’dan kaynaklanan bir yükümlülüklerinin bulunmayacağı hususlarını teyit ettiği,
Veri sorumlusu tarafından ilgili kişiye ait kulaklığın ve ilgili kişinin bazı kişisel verilerini içeren belgelerin distribütör firmaya gönderilmesinin amaçlandığı kargo gönderim işlemi kapsamında gerçekleşen hatalı teslimat işleminden sonradan haberdar olmuş olabilecek kargo şirketinin Kanun’un 12’nci maddesinin (5) numaralı fıkrasından kaynaklanan herhangi bir bildirim yükümlülüğünün de bulunmadığı, zira somut olayda Kanun’un 3’üncü maddesinde tanımlanan sıfatlardan herhangi birini haiz olmadığı,

değerlendirmelerinden hareketle;

İlgili kişiye ait bazı kişisel verileri içeren belgelerin veri sorumlusunca bir onarım işleminin yapılabilmesi için distribütör firmaya gönderilmesinden ibaret olan kişisel veri işleme/aktarım faaliyetinin hukuka uygun olduğu dikkate alındığında, anılan faaliyetten ötürü veri sorumlusu hakkında Kurul tarafından Kanun kapsamında yapılacak herhangi bir işlemin bulunmadığına,
Somut olayda veri sorumlusunca bir onarım işleminin yapılabilmesi için distribütör firmaya gönderilen belgelerde yer alan ilgili kişiye ait kişisel verilerin mahiyetleri göz önünde bulundurularak veri sorumlusu hakkında Kanun kapsamında herhangi bir işlem tesis edilmesine gerek görülmemiş olsa da gelecekte onarım amacıyla veri sorumlusu tarafından onarım firmalarına iletilebilecek kargo paketleri içindeki formlarda minimum düzeyde kişisel veri paylaşılması ve paylaşılan kişisel verilerin de mümkün olduğunca maskelenmesini teminen gerekli önlemlerin alınması hususunda veri sorumlusunun uyarılmasına,
Somut olayda veri sorumlusu tarafından ilgili kişiye ait kulaklığın onarımı için distribütör firmaya gönderilen ve ilgili kişiye ait bazı kişisel verileri içeren belgelerin de koyulduğu kargo paketinin kargo şirketinin hatasıyla konudan bağımsız üçüncü bir şahsa teslim edilmesi neticesinde ilgili kişinin kargo paketi içerisindeki kişisel verilerinin kanuni olmayan bir yolla konudan bağımsız üçüncü bir kişi tarafından elde edilmiş olduğu anlaşılmakla birlikte, olayın tüm şartları ve Kanun’un 12’nci maddesinin (5) numaralı fıkrasının amacı gözetildiğinde, ayrıca konuya ilişkin ilgili kişinin bilgisi olduğu dikkate alındığında; veri sorumlusu hakkında Kanun hükümleri dâhilinde yapılacak herhangi bir işlemin bulunmadığına, ancak gelecekte yaşanabilecek benzer olaylar için Kanun’un 12’nci maddesinin (5) numaralı fıkrası uyarınca en kısa sürede hem ilgilisine hem de Kurula bildirimde bulunması konusunda veri sorumlusunun talimatlandırılmasına,
İlgili kişinin şikâyetine esas olaylar ve bu olaylardaki rolü ile Kanun’un “Kapsam” başlıklı 2’nci maddesi dikkate alındığında, kargo içeriğine hâkim olması kendisinden beklenemeyecek kargo şirketinin kargo içeriği açısından veri sorumlusu veya veri işleyen sıfatlarını haiz olmayacağı ve bu yüzden somut olayda Kanun hükümlerine istinaden herhangi bir sorumluluğunun bulunmadığı anlaşılan kargo şirketi hakkında Kurul tarafından yapılacak herhangi bir işlemin bulunmadığına,
Bunlarla birlikte, somut olayda ilgili kişinin hak mağduriyeti yaşamasına neden olabilecek hatalı bir kargo teslim işleminin bulunduğu göz önüne alındığında, anılan hatalı işlemden kaynaklanabilecek hukuki ve/veya cezai sorumluluğun takibi için yargı mercileri nezdinde girişimde bulunabileceği hususunda ilgili kişinin bilgilendirilmesine

karar verilmiştir.

17.Mart.2022: “Bir teknoloji şirketi tarafından ilgili kişinin kişisel verilerinin açık rızası olmaksızın yurt dışına aktarılması"

Karar Tarihi	:	17/03/2022
Karar No	:	2022/249
Konu Özeti	:	Bir teknoloji şirketi tarafından ilgili kişinin kişisel verilerinin açık rızası olmaksızın yurt dışına aktarılması

Kuruma iletilen şikayet dilekçesinde özetle; ilgili kişinin veri sorumlusunun sistemine internet sitesi üzerinden üye olduğu, internet sitesinde çerez politikasının yer almadığı, aydınlatma metninde yurt dışına aktarım yapıldığının bildirildiği ancak ilgili kişinin bu yönde bir açık rızasının olmadığı, bunun üzerine konuya ilişkin internet sitesinde yer alan aydınlatma metnindeki e-posta adresine başvuruda bulunduğu, bu başvuruda ilgili kişinin hangi verilerinin kaydedildiği ve aktarıldığı hususlarında bilgi talep edilmişse de yasal süre olan 30 gün içerisinde veri sorumlusundan bir cevap alınamadığı ifade edilerek veri sorumlusu hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

Veri sorumlusunun, ilgili kişi başvurularına özgülediği bir e-posta adresi oluşturduğu, ancak bu e-posta adresine gönderilen ilgili kişi başvurusunun sehven gözden kaçırılması sebebiyle yanıtsız kaldığı,
Veri sorumlusunun internet sitesinde, gerek ilgili kişinin başvuru tarihinde bulunan aydınlatma metninde gerekse de hali hazırda yürütülen KVKK Uyum Projesi kapsamında güncellenen aydınlatma metninde çerezler vasıtası ile işlenen kişisel verilere ilişkin bilgilerin belirtildiği, konu ile ilgili aydınlatmanın 6698 Kanun’un 10’uncu maddesi kapsamında gerçekleştirildiği,
Veri sorumlusunun İngiltere, Polonya, Çek Cumhuriyeti, Macaristan, Romanya, Suudi Arabistan, Mısır ve Türkiye'de hizmet vermekte olduğu, çok sayıda ülkede milyonlarca kullanıcının menfaatlerinin en güvenli şekilde karşılanabilmesi için, veri sorumlusunun hizmetlerini yurt dışında bulunan bulut servis teknolojileriyle sağladığı, internet sitesinde bulunan aydınlatma metninde yer alan yurt dışına aktarım bildiriminin verilerin bu sunucuda tutulması sebebiyle gerçekleştirildiği, sistemlerinin Kanun ve Avrupa Veri Koruma Tüzüğü (GDPR) düzenlemelerinin yürürlüğe girmesinden önce bu mimari üzerinde geliştirilmeye başlandığı, anılan kanunlar ve kişisel verilerin korunmasına ilişkin mevzuatın yürürlüğe girmesi akabinde de KVKK ve GDPR ile uyumlu hale getirilmek üzere titizlikle yapılan çalışmaların devam ettirildiği,
Günümüzde çok sayıda ülkede ve tüketiciye hizmet veren teknoloji girişimlerinin ihtiyaçları bağlamında Türkiye'de bulunan barındırma hizmetlerinin yetersiz olduğu, Türkiye'deki barındırma hizmetlerinde ihtiyaç duyulan modern altyapı teknolojilerinin büyük çoğunluğunun bulunmadığı, bulunan teknolojilerin de kapasite, güvenlik ve özellik olarak birçok eksikliğinin olduğu, buna karşın yurtdışında bulunan söz konusu hizmet sağlayıcının altyapı teknolojilerine çok daha fazla yatırım yapma kapasitesinin olduğu, Türkiye'de bulunan bağımsız sunucu barındırma şirketlerinin benzer bir yatırım yapma kapasitesi olmadığı için altyapı teknolojilerinin avantajlı hale getirilmesinin son derece güç olduğu, bu sebeple Türkiye'de operasyonu bulunan birçok teknoloji şirketinin de kendilerinin çalıştığı şirketten hizmet aldığı,
Veri sorumlusunun çok sayıda ülkede, çok sayıda tüketiciye hizmet sağlayabilmek için geliştirdiği teknolojilerin, kullandığı bulut servis sağlayıcının sunduğu altyapı teknolojilerinin üzerine inşa edildiği, veri sorumlusunun bu barındırma hizmetini tercih etmesindeki temel sebebin tüketicilerinin menfaatini üstün tutmak olduğu, siber saldırılar karşısında dahi tüketicilere kesintisiz hizmet verebildiği ve tüketicilerin verilerinin gizlilik ve güvenliğini bu saldırılara karşı koruyabildiği, veri sorumlusunun iş modeli çerçevesinde tüketicilerin ihtiyaçlarını karşılayabilmesinin de ancak bu firmanın sağladığı yenilikçi yapay zeka ve veri aktarımı teknolojileri sayesinde mümkün olabildiği, tüm sermayeleri ile Türkiye merkezli olarak kalmaya devam edebilmesi açısından yurt dışında bulunan servis veya muadillerini kullanmasının gerekli olduğu,
Veri sorumlusunun barındırma hizmeti aldığı firma ile Kanun'un 9’uncu maddesinin (2) numaralı fıkrasının (b) bendi kapsamında bir taahhütname çalışmasını uzun zamandır sürdürmekte olduğu, söz konusu taahhütnameyi de en kısa sürede Kurulun onayına sunacağı

ifade edilmiştir.

Konuya ilişkin olarak yapılan incelemede Kişisel Verileri Koruma Kurulunun 17/03/2022 tarihli ve 2022/249 sayılı Kararı ile;

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlandığı,
Şikâyet dilekçesinde veri sorumlusunun internet sitesinde gizlilik politikasının bulunmadığının belirtildiği, ancak veri sorumlularının Kanun’un 10’uncu maddesi kapsamında aydınlatma yükümlülüğünü yerine getirmekle yükümlü oldukları, her ne kadar uygulamada veri sorumluları tarafından gizlilik politikası adı altında belgeler hazırlanıp ilgili kişilerin dikkatine sunuluyor olsa da Kanun’da ve ilgili diğer mevzuatta veri sorumluları tarafından gizlilik politikası hazırlanmasına dair bir yükümlülüğün yer almadığı, ilgili kişilerin kişisel verilerinin işlenmesiyle ilgili bilgilendirilmesi hususunda veri sorumlularının asli sorumluluğunun; kişisel verilerin ilgili kişiden elde edildiği durumlarda kural olarak kişisel veri işleme faaliyetinden önce aydınlatma yükümlülüğünün yerine getirilmesi olduğu,
İlgili kişinin Kanun’un 13’üncü maddesi kapsamında veri sorumlusuna yaptığı başvurunun sehven gözden kaçırıldığı dikkate alındığında, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 6’ncı maddesinin (1) numaralı fıkrasında düzenlendiği üzere, veri sorumlusu tarafından ilgili kişilerce yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirlerin alınmadığı kanaatine varıldığı,
Yurt dışına aktarım iddialarıyla ilgili veri sorumlusu cevap yazısında özetle, barındırma hizmeti kullanımı dolayısıyla yurt dışındaki sunucularda verilerin saklandığı ve benzer güvenlik önlemlerini sunan bir mekanizmanın ülke içinde bulunmadığı gerekçesiyle böyle bir uygulamanın yapılmakta olduğunun belirtildiği, öncelikle kişisel verilerin yurt dışına aktarılmasının, Kanun’un 3 üncü maddesinde yer verilen “kişisel verilerin işlenmesi” tanımında da açıkça belirtildiği üzere bir işleme faaliyeti olduğu, diğer bir ifade ile kişisel verilerin yurt dışına aktarılmasının değiştirme, yeniden düzenleme, kaydetme, depolama ve muhafaza etme gibi diğer kişisel veri işleme faaliyetlerinden bir farkı bulunmadığı,
Kanun’un “Kişisel verilerin yurt dışına aktarılması” başlıklı 9’uncu maddesinin; (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağının hükme bağlandığı, (2) numaralı fıkrasında ise Kanun’un 5’inci maddesinin (2) numaralı fıkrası ile özel nitelikli kişisel veriler bakımından 6’ncı maddesinin (3) numaralı fıkrasında belirtilen şartlardan birinin varlığı ve bu şartla birlikte, kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabanc

Mevzuat ve Kurul Kararları

Türkiye ve Dünyada

MEVZUAT ve KVKK KURUL KARARLARI

TÜRKİYE - KİŞİSEL VERİLERİN KORUNMASI MEVZUATI

KİŞİSEL VERİLERİ KORUMA KURUMU tarafından yayımlanan DUYURULAR, KURUL KARARLARI ve KARAR ÖZETLERİ

“Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber Taslağı” Hakkında Kamuoyu Duyurusu

“Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesine İlişkin Rehber Taslağı” Hakkında Kamuoyu Duyurusu

AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ HAKKINDA KAMUOYU DUYURUSU

KAMUOYU DUYURUSU

Kişisel Verilerin Korunması Kanunu Uyum Sürecine İlişkin Duyuru

Belediyelerin ödeme ve borç sorgulama hizmetleri hakkında Kişisel Verileri Koruma Kurulunun 21/04/2022 Tarihli ve 2022/388 sayılı İlke Kararı

KİŞİSEL VERİLERİ KORUMA KURUMU tarafından yayımlanan
DUYURULAR, KURUL KARARLARI ve KARAR ÖZETLERİ