Türkiye ve Dünyada
MEVZUAT ve KVKK KURUL KARARLARI
TÜRKİYE - KİŞİSEL VERİLERİN KORUNMASI MEVZUATI
Kişisel Veriler'e İlişkin tüm mevzuata (kanun, yönetmelik, kurul kararı, tebliğ) ve ilan edildiği Resmi Gazete bilgilerine erişmek için buraya tıklayınız
KİŞİSEL VERİLERİ KORUMA KURUMU tarafından yayımlanan
DUYURULAR, KURUL KARARLARI ve KARAR ÖZETLERİ
Resmi Gazete'de yayımlanan KVKK Kurul Kararlarının tamamına buradan erişilebilir. Ayrıca Kurul tarafından yayımlanan kararlara buradan, karar özetlerine buradan ve duyurulara buradan erişebilirsiniz.
Kurumumuza yapılan muhtelif şikayetlerde, ilgili kişilerin telefon numaralarını hiçbir şekilde paylaşmadıkları halde araştırma şirketlerince istatistiksel araştırma için arandıkları, yapılan aramada telefon numaralarının nasıl elde edildiğine ilişkin taraflarına aydınlatma yapılmadığı, veri sorumlusuna yaptıkları başvuruda ise telefon numaralarının rastgele ve otomatik olarak sistem/yazılım vasıtası ile üretildiğinin ve aramalar için kullanılan yöntemin “rastgele numara çevirme ile yapılan telefon mülakatı” yöntemi olarak bilinen ve dünya çapında uygulanan bir istatistik metodolojisi olduğunun belirtildiği ifade edilerek telefon numarasının işlenmesi için açık rıza alınmadığı ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (6698 sayılı Kanun) 5’inci maddesindeki diğer işleme şartlarından herhangi birine de dayanılmadığı belirtilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.
Bu kapsamda, yürütülen incelemeler çerçevesinde ulaşılan tespitler dikkate alınarak;
- Kanun’un 28’inci maddesinin birinci fıkrasının (b) bendinde, “Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.” halinde 6698 sayılı Kanun hükümlerinin uygulanmayacağının düzenlendiği, söz konusu maddenin, resmi istatistik amacıyla kişisel veri işlenmesi durumu veya anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla kişisel veri işlenmesi durumu olmak üzere iki ayrı durumda uygulanabileceği,
- Resmî istatistiğin, 5429 sayılı Türkiye İstatistik Kanunu’nun (5429 sayılı Kanun) 2’nci maddesinin (g) bendinde “Türkiye İstatistik Kurumu veya Resmî İstatistik Programında yer alan konularda istatistik üretecek kurum ve kuruluşlar tarafından derlenen verilerin, kitle özelliklerini ortaya koymak amacıyla işlenmesi ile elde edilen bilgi” olarak tanımlandığı, Aynı Kanun’un 2’nci maddesinin (e) bendinde, kurum ve kuruluşların “Cumhurbaşkanlığı ve bakanlıklar ile bunların bağlı, ilgili ve ilişkili kuruluşlarını, mahallî idareler ve bunların bağlı ve ilgili kuruluşları ile birlik ve şirketlerini, Türkiye Cumhuriyet Merkez Bankası, İstanbul Menkul Kıymetler Borsası ve üniversiteler de dâhil olmak üzere, tüzel kişiliği haiz enstitü, teşebbüs, teşekkül, birlik, döner sermaye, fon ve sair adlarla kurulmuş olan diğer kurum ve kuruluşlar ile kamu kurumu niteliğindeki meslek kuruluşları” olarak belirlendiği,
- Şikâyetlere konu olay tarihlerinde yürürlükte olan 31.12.2016 Tarihli ve 29935 (2. Mükerrer) Sayılı Resmî Gazete’de yayımlanan Resmi İstatistik Programı (2017-2021)” nın “Resmi İstatistik İlkeleri” başlığında, Program kapsamındaki kurum ve kuruluşların resmi istatistik üretiminde ihtiyaç duydukları bilgileri sağlamak amacıyla alan uygulaması ve araştırma aşamalarını özel sektör yüklenici firmalarına yaptırabileceği, özel sektör yüklenici firmalarının da Resmi İstatistik Prensiplerine ve gizlilik hükümlerine uymakla yükümlü olduğu,
- 12.02.2023 tarihli ve 32102 sayılı Resmî Gazete’de yayımlanan Resmî İstatistik Programı Hazırlama ve Uygulama Usul ve Esasları Hakkında Yönetmelik’in 8 ve 9’uncu maddelerinde, resmi istatistik programının çalışma grupları eliyle yürütüleceğinin belirtildiği, Yönetmeliğin 9’uncu maddesinin dördüncü fıkrasında çalışma grubuna özel sektör temsilcilerinin de dahil edilebileceğinin belirtildiği,
- 5429 sayılı Kanun’un 6’ncı maddesinin ikinci fıkrasında “Kurum ve kuruluşların Programda yer almayan istatistikî konulardaki çalışmaları ile gerçek kişiler veya özel hukuk tüzel kişiliğine sahip kuruluşlarca yapılan sayım veya araştırmalara ait sonuçlar resmî istatistik olarak kabul edilmez.” hükmünün yer aldığı,
- Veri sorumluları tarafından Resmi İstatistik Programı kapsamında bir istatistiki araştırma yapıldığı yönünde tevsik edici somut bir bilgi veya belge sunulmadığından işlemenin “resmi istatistik amacıyla kişisel veri işlenmesi” kapsamında 6698 sayılı Kanun hükümlerinden istisna sayılamayacağı,
- Diğer taraftan anonim verinin “başından beri belirli bir kişiyle ilişkilendirilmesi söz konusu olmayan veri”; anonim hale getirilmiş verinin ise “daha öncesinde belirli bir kişiyle ilişkilendirilmiş ancak hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmiş veri” olarak tanımlanabileceği,
- Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in “Kişisel verilerin anonim hale getirilmesi” başlıklı 10’uncu maddesinin, “(1) Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. (2) Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir. (3) Veri sorumlusu, kişisel verilerin anonim hale getirilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.” hükmünü haiz olduğu,
- Kişisel verinin, sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgileri de kapsadığı, bir kişinin belirli veya belirlenebilir olmasının, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade ettiği, yani verilerin; kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsadığı dolayısıyla kişisel verinin, ilgili kişinin doğrudan kimliğini gösterebileceği gibi o kişinin kimliğini doğrudan göstermemekle birlikte herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm bilgileri de kapsamakta olduğu; kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm verilerin kişisel veri olarak kabul edilmesi gerektiği,
- Şikâyetlere konu olaylarda araştırma şirketleri tarafından yapılan aramalarda anket yapılması için ilgili kişinin açık rızasının istendiği ve ilgili kişi açık rıza vermezse görüşmenin sona erdirildiği, bir daha aranmama talepleri bağlamında söz konusu numaranın aranmayacaklar listesine kaydedildiği, öte yandan açık rıza verilmeyen durumlarda; yapılan telefon görüşmesinin ses kaydının işlendiği, ilgili kişinin aranma tarihi, zamanı, arayan numara ve aranan numara şeklindeki trafik logunun, aranmayacaklar listesine kaydedilmek üzere telefon numarasının işlendiği ve söz konusu verilerin takma adlandırma (Pseudonymisation) yöntemiyle 2 yıl süreyle muhafaza edildiği tespit edilmiş olup takma ad kullanımıyla işlenen kişisel veriler anonim hâle getirilmediği için kişisel veri niteliğini koruduğu göz önünde bulundurulduğunda araştırma süreçlerinde anonimleştirilmeden yapılan kişisel veri işleme faaliyetlerinde 6698 sayılı Kanun hükümlerine uyulması gerektiği, söz konusu işlemelerin “anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla kişisel veri işlenmesi” istisnası kapsamında olmayacağı,
- Veri sorumlularının 6698 sayılı Kanun’un 12’nci maddesi gereğince kişisel veri işleme süreçlerinde Kanun’a uyumun sağlanması ve verilerin korunması için uygun teknik ve idari tedbirleri alması gerektiği, teknik ve idari tedbirler alınırken tasarımla veri koruma (privacy by design), varsayılan ayarlarla veri koruma (privacy by default) ilkelerine uyulması gerektiği, bu kapsamda yapılan işleme faaliyetinin 6698 sayılı Kanun’un 4’üncü maddesinde yer alan genel ilkelere uygunluğunu sağlayacak işleme faaliyetine özgü teknik ve idari tedbirlerin tasarlanması ve veri sorumlusunun kullandığı yazılımın fabrika ayarlarını sadece işlemenin amacı için gerekli olan işleme faaliyetleri yapacak şekilde tedbirlerin alınması gerektiği,
- 6698 sayılı Kanun’un 5’inci maddesinin ikinci fıkrasının (f) bendine göre “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” kapsamında kişisel veri işlenebilmesi için,
- Kişisel verinin işlenmesi sonucunda elde edilecek menfaat ile ilgili kişinin temel hak ve hürriyetlerinin yarışabilir düzeyde olması,
- Söz konusu menfaate ulaşılabilmesi bakımından kişisel veri işlenmesinin zorunluluk arz etmesi,
- Meşru menfaatin halihazırda mevcut, belirli ve açık olması,
- İlgili kişinin temel hak ve hürriyetleri ile yarışabilir nitelikte olan meşru menfaatin elde edilmesi halinde bir yarar sağlanacak olması ve kişisel veri işlenmeksizin başkaca bir yol ve yöntemle bu yararın ortaya çıkmasının mümkün olmaması,
- Meşru menfaat belirlenirken söz konusu yararın çok sayıda kişiyi etkilemesi, yalnızca kâr elde edilmesi ya da ekonomik yararın sağlanması amacına yönelik olmaması, iş süreçlerini ya da bir işleyişi kolaylaştırması (örneğin bir birim ya da az sayıda personel nezdinde değil, kurumsal olarak geneli etkileyecek şekilde) gibi şeffaf ve hesap verilebilir nitelikleri haiz kriterlerin esas alınması,
- Bu açıdan ilgili kişinin başta kişisel verilerinin korunması olmak üzere temel hak ve hürriyetlerinin zarar görmesini engellemek amacıyla öngörülebilir, açık ve yakın her türlü tehlikeden uzak tutulması,
- Kişisel verilerin bir veri kayıt sisteminde amaçla sınırlı olarak hukuka uygun işleyişinin temini ile zararı ve ihlalleri engellemek için her türlü teknik ve idari tedbirin alınması,
- Kişisel verilerin işlenmesinde genel ilkelere uygunluğun sağlanması,
- Bu kapsamda, kişinin temel hak ve hürriyetleri ile veri sorumlusunun meşru menfaatinin karşılaştırılarak denge testinin yapılması
hususlarının somut olay bakımından değerlendirilmesi gerektiği,
- Telefon numaralarının kamuoyu araştırmalarında kullanılan “rastgele numara çevirme ile yapılan telefon mülakatı” yöntemi kapsamında türetildiği ve bir yerden elde edilmediği, türetilen numaranın görüşmeyi yapan personel tarafından görülmediği, ilgili kişinin telefon numarasının aranması suretiyle kişisel veri işleme faaliyetine başlandığı, bunun yanı sıra araştırma için gerekli ve sınırlı olduğu ölçüde ilgili kişilerin aranma tarihi ve süresi, arayan numara ve aranan numara şeklindeki trafik logunun, ilgili kişilerin bir daha aranmama talepleri bağlamında aranmayacaklar listesine telefon numaralarının işlenmesi ile görüşmenin ses kaydının alınması suretiyle yapılan kişisel veri işleme faaliyetlerinin araştırmanın kalite kontrol kapsamında denetlenmesi, araştırmacının yükümlülüklerini yerine getirmesi ve hukuki uyuşmazlık halinde yükümlülüklerin yerine getirildiğini ispat etmesi amaçlarıyla Kanun’un 5’inci maddesinin ikinci fıkrasının (f) bendinde yer alan “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” kapsamında hukuka uygun kabul edilebileceği,
- İlgili kişilerle temas kurulduğu ilk anda asgari olarak aramanın kim tarafından yapıldığı, ilgili kişilerin hangi kişisel verilerinin işlendiği (görüşme kayıt altına alınıyorsa en başta bu husus belirtilerek telefon numarası, arama trafik logu gibi işlenmekte olan tüm kişisel veriler hakkında bilgi verilmesi), ilgili kişilerin telefon numarasının rastgele numara çevirme yöntemi ile üretildiği ve işlemenin amacı hususlarında aydınlatma yapılması gerektiği, aydınlatmada yer alan diğer hususlara ulaşabilecek kanalın belirtilmesi suretiyle katmanlı aydınlatma yapılabileceği,
- Aydınlatma yapılmasını müteakiben ilgili kişilerin açık rıza vermesi halinde telefon görüşmesine devam edilerek kişisel verilerin işlenebileceği
hususlarında kamuoyunun bilgilendirilmesine karar verilmiştir.
Kamuoyuna saygı ile duyurulur.
Huawei Telekomünikasyon Dış Ticaret Limited Şirketi tarafından Kurumumuza sunulan yurtdışına kişisel veri aktarımı yapılması hususundaki Taahhütname başvurusu, Kişisel Verileri Koruma Kurulu (Kurul) tarafından 6698 sayılı Kişisel Verilerin Korunması Kanununun 9 uncu maddesinin 2 nci fıkrasının (b) bendi kapsamında değerlendirilmiş ve usul ve esasa dair herhangi bir eksikliğin bulunmadığı görülmüş olup 28.05.2024 tarihinde Kurul tarafından söz konusu veri aktarımına izin verilmiştir.
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Kişisel verilerin yurt dışına aktarılması” başlıklı 9 uncu maddesinin 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanunla değişik ve 1/6/2024 tarihinde yürürlüğe girecek hâlinin on birinci fıkrasında bu maddenin uygulanmasına ilişkin usul ve esasların yönetmelikle düzenleneceği öngörülmüştür. Bu çerçevede, Kurumumuz tarafından “Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik Taslağı” hazırlanarak 9/5/2024 tarihinde kamuoyunun görüşlerine sunulmuştur.
Bu defa, Kişisel Verileri Koruma Kurulunun 16/5/2024 tarihli ve 2024/763 sayılı Kararı ile söz konusu maddenin dördüncü fıkrası uyarınca kişisel verilerin yurt dışına aktarılması bakımından uygun güvence sağlama yöntemleri olarak öngörülen standart sözleşme ve bağlayıcı şirket kurallarına ilişkin taslak dokümanların kamuoyunun görüşüne açılmasına karar verilmiştir.
Bu kapsamda taslak dokümanlara ilişkin görüş ve değerlendirmelerin işlenebilir formatta 27/5/2024 tarihine kadar aktarim@kvkk.gov.tr elektronik posta adresine gönderilmesi mümkündür.
Belirtilen tarihten sonra intikal edecek görüşler değerlendirmeye alınmayacaktır.
Kamuoyuna saygıyla duyurulur.
5- Veri Sorumluları İçin Bağlayıcı Şirket Kuralları Başvuru Formu
7- Veri İşleyenler İçin Bağlayıcı Şirket Kuralları Başvuru Formu
Bilindiği üzere, 12/3/2024 tarihli ve 32487 sayılı Resmî Gazete’de yayımlanan 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanunun 34 üncü maddesi ile 6698 sayılı Kişisel Verilerin Korunması Kanununun “Kişisel verilerin yurt dışına aktarılması” başlıklı 9 uncu maddesinde değişiklik yapılmıştır. Söz konusu değişiklik 1/6/2024 tarihinde yürürlüğe girecektir.
6698 sayılı Kanunun 9 uncu maddesinin yeni halinin on birinci fıkrasında bu maddenin uygulanmasına ilişkin usul ve esasların yönetmelikle düzenleneceği öngörülmüştür. Bu çerçevede, Kurumumuz tarafından “Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik Taslağı” hazırlanmıştır.
Kişisel Verileri Koruma Kurulunun 9/5/2024 tarihli ve 2024/762 sayılı Kararı ile Yönetmelik Taslağına ilişkin olarak kamuoyunun görüşlerinin alınması öngörülmüş olup bu kapsamda ilgili görüş ve değerlendirmelerin Mevzuat Hazırlama Usul ve Esasları Hakkında Yönetmelik ekindeki Görüş Formuna uygun olarak ve işlenebilir formatta 20/5/2024 tarihine kadar hukuk@kvkk.gov.tr elektronik posta adresine gönderilmesi mümkündür.
Belirtilen tarihten sonra intikal edecek görüşler değerlendirmeye alınmayacaktır.
Kamuoyuna saygıyla duyurulur.
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununa yönelik hükümler de içeren Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun, 12/3/2024 tarihli ve 32487 sayılı Resmî Gazete’de yayımlanmıştır. Söz konusu Kanunun 33 ilâ 36 ncı maddeleri ile 6698 sayılı Kanunun 6 ncı, 9 uncu ve 18 inci maddelerinde değişiklik yapılmakta ve 6698 sayılı Kanuna yeni bir geçici madde eklenmektedir.
Yapılan değişiklikler 1/6/2024 tarihinde yürürlüğe girecektir. Ancak, 6698 sayılı Kanunun kişisel verilerin yurt dışına aktarılmasına ilişkin usul ve esasları düzenleyen 9 uncu maddesinin mevcut birinci fıkrası, maddenin değiştirilen haliyle birlikte 1/9/2024 tarihine kadar uygulanmaya devam edecektir.
Bu çerçevede, söz konusu geçiş sürecinde veri sorumluları ve veri işleyenlerin yeni düzenlemelere uyum sağlamak adına hazırlık çalışmalarını titizlikle ve ivedilikle yürütmesi gerekmektedir.
Kamuoyuna saygıyla duyurulur.
Bilindiği üzere, Kurumumuza intikal eden muhtelif sayıda şikâyet ve ihbarda, mağazalarda gerçekleştirilen alışverişe ilişkin kasa işlemleri esnasında ilgili kişilere SMS ile doğrulama kodu gönderildiği ve ödemelerinin tamamlanması, fatura oluşturulması, faturanın iletişim adresine iletilmesi ya da bilgilerinin güncellenmesi için gerekli olduğu gerekçesi ile söz konusu kodun kasa görevlisine bildirilmesinin istenildiği, ancak bahse konu işlemin akabinde ilgili kişilere söz konusu mağaza faaliyetleri ile ilgili ticari elektronik ileti gönderildiği iddialarına yer verildiği görülmektedir. Kişisel Verileri Koruma Kurulu tarafından, söz konusu şikayet ve ihbarlara yönelik yapılan incelemelerde ilgili kişilere ödeme işlemleri esnasında doğrulama kodu gönderilen SMS içeriklerinde ya da SMS gönderimi öncesinde veri sorumlusunca herhangi bir aydınlatma yapılmadığı ve/veya söz konusu kodun ödeme işlemlerinin tamamlanması ya da bilgilerinin güncellenmesi için gerekli olduğu gerekçesi ile istenilmesine rağmen veri sorumlusu tarafından bu yolla ticari elektronik ileti gönderimine ilişkin açık rıza alınması suretiyle ilgili kişilerin yanıltıldığı tespitinden hareketle söz konusu kişisel veri işleme faaliyetlerinin hukuka uygunluğunu sağlamak adına Mağazalarda Alışveriş Sırasında İlgili Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesine İlişkin Kamuoyu Duyurusu yayımlamıştır. Ancak mevcut durumda, benzer yöntemlerin yaygın olarak uygulanmaya devam edildiği Kuruma intikal eden ihbar ve şikayetlerden anlaşılmış olup söz konusu kamuoyu duyurusunda güncelleme yapılması gereği hasıl olmuştur.
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 5’inci maddesinde kişisel verilerin işlenme şartları düzenlenmiştir. Buna göre Kanun’un 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği hükme bağlandıktan sonra, (2) numaralı fıkrasında ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu işleme şartları sayılmıştır.
Kanun’un 3’üncü maddesinde ise açık rıza; “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmış olup söz konusu tanımdan açık rızanın taşıması gereken üç unsurunun bulunduğu görülmektedir. Öncelikle, alınan açık rızanın belirli bir konuya ilişkin ve o konu ile sınırlı olması, diğer bir ifade ile veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak talep edildiğinin açıkça ortaya konulması gerekmektedir. Eğer birden çok kategoriye ilişkin verinin işlenmesine dair açık rıza beyanında bulunulacaksa, açık rızanın hangi verilerin ve ne amaçlarla işleneceği gibi işlemenin farklı hususlarını da kapsaması zorunluluk arz etmektedir. Açık rıza bir irade beyanı olup kişinin özgür bir şekilde rıza gösterebilmesi için neye rıza gösterdiğini de bilmesi, bu anlamda kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bilgi sahibi olması gerekmektedir. Son olarak irade beyanı olan açık rıza, kişinin yaptığı davranışın bilincinde ve kendi kararı olması halinde geçerlilik kazanacaktır. Cebir, tehdit, hata ve hile gibi kişinin iradesini sakatlayacak her türlü durum kişisel verilerin işlenmesi için verilen açık rızayı da sakatlayacak, bu gibi durumlarda bir özgür irade açıklamasından bahsedilemeyecektir. Ayrıca, ilgili kişinin açık rızasının alınması bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırmanın ön şartı olarak ileri sürüldüğünde de özgür irade unsuru zedelendiğinden geçerli bir açık rızadan söz edilemeyecektir.
Öte yandan, Kanun’un 10’uncu maddesi gereğince, kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi tarafından ilgili kişilere; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, Kanun’un 11’inci maddesinde sayılan diğer hakları konusunda bilgi verilmek suretiyle aydınlatma yükümlülüğünün yerine getirilmesi gerekmektedir. Bu kapsamda, aydınlatma yükümlülüğü gerek açık rıza alınması gerekse de Kanun’daki diğer kişisel veri işleme şartlarının sağlanmasından bağımsız olarak yerine getirilmesi gereken bir yükümlülüktür. Bununla birlikte, kişisel veri işleme faaliyetinin ilgili kişinin açık rızasına dayanarak gerçekleştirilmesi durumunda, veri sorumlusu tarafından aydınlatma yükümlülüğü ile açık rıza alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.
Bu kapsamda, Kişisel Verileri Koruma Kurulu tarafından yapılan değerlendirmeler neticesinde;
- Mağazada alışverişi müteakip kasa işlemleri esnasında kişilerin telefonuna gönderilecek olan SMS’in amacının ne olduğu ve bu SMS ile iletilen kodun verilmesi halinde ne gibi sonuçlar doğuracağı hususunun, katmanlı aydınlatmanın bir gereği olarak ilk aşamada veri sorumlusunun mağazalarda yetkilendirdiği kişiler tarafından ilgili kişilere açık ve anlaşılır bir biçimde aktarılması, ayrıca aydınlatma yükümlülüğünün yerine getirilebilmesi amacıyla söz konusu SMS içeriklerinde de gerekli bilgilendirme kanallarının sağlanması,
- Mağazalardaki ödeme işlemleri esnasında ilgili kişilere SMS ile doğrulama kodu gönderilerek üyelik sözleşmesinin onaylanması, kişisel verileri işleme izni alınması, ticari elektronik ileti onayı alınması vb. birbirinden farklı işleme faaliyetlerinin tek bir eylemle gerçekleştirilmesine yönelik uygulamalara son verilmesi, açık rıza ile gerçekleştirilmesi gereken işleme faaliyetlerine yönelik seçenek sunulmak suretiyle ayrı ayrı açık rıza alınması,
- Bunun yanı sıra, veri sorumlularınca açık rıza alınması ve aydınlatma yükümlülüğünün yerine getirilmesi işlemlerinin ayrı ayrı gerçekleştirilmesi,
- Ticari elektronik ileti gönderimi için açık rıza alınmasını teminen SMS doğrulama kodu gönderilmesine yönelik bir uygulamaya gidilmesi halinde ise söz konusu işlemde alınacak açık rızanın Kanun’da belirtilen tüm unsurları kapsaması,
- Ticari ileti gönderilmesi amacıyla kişisel verilerin işlenmesine açık rıza verilmesinin alışverişin tamamlanabilmesi için zorunlu bir unsur şeklinde ilgili kişilere sunulmaması, aksi taktirde söz konusu uygulamanın açık rızanın unsurlarından olan “bilgilendirmeye dayanma ve özgür iradeyle açıklanma” unsurlarının zedelenmesine sebep olabileceğinden söz konusu uygulamaların Kanun’a uygun gerçekleştirilmesi,
- Bu kapsamda ticari elektronik ileti gönderilmesi amacıyla kişisel verilerin işlenmesine yönelik açık rızanın, alışverişin tamamlanmasından sonra talep edilmesi; böylece ticari elektronik ileti iznine yönelik açık rızanın alışverişin gerekli bir unsuru gibi algılanmasının önüne geçilmesi
önem arz etmektedir. Kamuoyuna saygıyla duyurulur.
6698 sayılı Kişisel Verilerin Korunması Kanunu gereği Kişisel Verileri Koruma Kurulu, Veri Sorumluları Siciline kayıt yükümlülüğüne istisna getirmek ve istisnaların kapsamı ile uygulanmasına ilişkin usul ve esasları belirlemek amacıyla karar alabilmektedir.
Bu kapsamda 18.08.2018 tarihli Resmî Gazete’de yayımlanan 2018/87 sayılı Kurul kararı ile “yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar” Sicile kayıt yükümlülüğünden istisna kılınmıştır.
Anılan Kurul kararındaki istisna kriterinin belirlenmesinde esas alınan Küçük ve Orta Büyüklükteki İşletmelerin Tanımı, Nitelikleri ve Sınıflandırılması Hakkında Yönetmelik’te yer alan “küçük işletme” tanımı, 25.05.2023 tarihli ve Resmi Gazete’de yayımlanan Küçük ve Orta Büyüklükteki İşletmeler Yönetmeliği ile güncellenerek “Yıllık çalışan sayısı elli kişiden az olan ve yıllık net satış hasılatı veya mali bilançosundan herhangi biri yüz milyon Türk Lirasını aşmayan işletmeler” şeklinde belirlenmiştir.
Ayrıca, anılan Kurul kararının yayımlandığı tarihten itibaren ülkemizdeki işletmelerin ekonomik göstergeler açısından büyüdüğü, iş hacimlerinin genişlediği ve 2018 yılında esas alınan 25 milyon TL limitinin mevcut yıllık mali bilanço toplamlarına göre düşük kaldığı dikkate alındığında, 2018/87 sayılı Kurul kararında yer alan yıllık mali bilanço toplamı tutarının da güncellenmesi ihtiyacı hasıl olmuştur. Bu kapsamda yapılan değerlendirme sonucunda, anılan istisna limitinin 25 milyon Türk Lirasından 100 milyon Türk Lirasına çıkarılmasına gerek görülmüştür.
Bu doğrultuda, Kurulun 06.07.2023 tarihli ve 2023/1154 sayılı kararı ile; yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 100 milyon Türk lirasından az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar Sicile kayıt yükümlülüğünden istisna tutulmaktadır.
Kamuoyuna saygıyla duyurulur.
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 15. maddesinde “Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.” hükmü yer almakta olup, bu kapsamda Kurumumuza intikal eden şikayetler Kişisel Verileri Koruma Kurulu tarafından sonuçlandırılmaktadır.
Halihazırda şikayet dilekçeleri Kişisel Verileri Koruma Kurulu’na elden, posta veya kargo yoluyla iletilebildiği gibi www.kvkk.gov.tr adresinde hizmete sunulan “Şikayet Modülü” aracılığıyla elektronik ortamda da iletilebilmektedir.
Bu kapsamda, vekaleten yapılacak şikayetlerin daha hızlı ve etkin bir şekilde Kurumumuza iletilebilmeleri ve takip edebilmelerini teminen 27.03.2023 tarihi itibariyle “Şikayet Modülü” sistemi avukatların da vekaleten yapacakları şikayetleri iletebileceği şekilde güncellenmiş olup, söz konusu şikayet modülüne https://sikayet.kvkk.gov.tr internet bağlantısından ulaşılabilmektedir.
Kamuoyuna saygıyla duyurulur.
06.02.2023 tarihinde Kahramanmaraş’ın Pazarcık ve Elbistan ilçeleri merkezli olarak gerçekleşen iki büyük deprem felaketi nedeniyle 08.02.2023 tarihli Resmî Gazetede yayımlanan 6785 sayılı Cumhurbaşkanı Kararı ile Anayasanın 119 uncu maddesi ile 2935 sayılı Olağanüstü Hal Kanununun 3 üncü maddesinin birinci fıkrasının (a) bendine göre Adana, Adıyaman, Diyarbakır, Gaziantep, Hatay, Kahramanmaraş, Kilis, Malatya, Osmaniye ve Şanlıurfa illerinde 08.02.2023 Çarşamba günü saat 01.00’dan itibaren üç ay süreyle olağanüstü hâl ilan edilmesine karar verilmiştir.
Deprem bölgesindeki arama-kurtarma çalışmaları devam ederken kamu kurumları, kendi sorumluluk alanlarıyla ilgili ilave tedbirler almakta ve kamuoyuna duyurmaktadır. Bu itibarla Kurumumuz tarafından 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında şikâyet, ihbar, veri ihlal bildirimleri ve diğer yükümlülükler hakkında veri sorumluları ve ilgili kişilerce dikkate alınması gereken sürelere ilişkin olarak açıklama yapılması gereği ortaya çıkmıştır.
Bu çerçevede, Kişisel Verileri Koruma Kurulu tarafından
- Deprem sebebiyle olağanüstü hâl ilan edilen illerde bulunan veya diğer illerde bulunmakla birlikte depremden etkilenen ilgili kişiler ya da veri sorumluları,
- Deprem sebebiyle olağanüstü hâl ilan edilen il barolarına bağlı olarak görev yapan veya diğer il barolarına bağlı olarak görev yapmakla birlikte depremden etkilenen avukatlar tarafından temsil edilen ilgili kişiler ya da veri sorumluları
açısından Kanunda ve ilgili alt düzenlemelerde yer alan sürelerin değerlendirilmesinde depremin sebep olduğu olağanüstü koşulların gözetileceği hususu kamuoyuna saygıyla duyurulur.
“Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber Taslağı” Hakkında Kamuoyu Duyurusu
6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6 ncı maddesinde genetik verileriler özel nitelikli kişisel veriler olarak sayılmaktadır. Genetik verilerin işlenmesi ortaya çıkardığı bilgiler açısından son derece hassas bir veri hüviyetine sahip olup toplumun tamamını da etkileyebilecek ulusal stratejik sonuçlara sebep olabilmektedir. Bu nedenle genetik verilerin işlenmesinin belirli kural ve prosedürlere bağlanması, bunun yanında toplumsal alanda da farkındalık oluşturulması gerekmektedir. Zira ilgili kişilerin genetik verilerinin işlenmesi yalnızca kendilerini değil, aralarında genetik irtibat olan akrabalarını, gelecek nesillerini ve hatta ulusal güvenlik ile ekonomiyi de etkileyebilecektir.
Bu çerçevede genetik verilerin işlenme süreçlerinin önemi dikkate alınarak Kişisel Verileri Koruma Kurumu tarafından “GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER TASLAĞI” hazırlanmıştır.
Kurulun 16.08.2022 tarih ve 2022/848 sayılı Kararı ile Rehber Taslağı’na ilişkin kamuoyunun görüşlerinin alınması öngörülmüş olup bu kapsamda Rehber Taslağı’na ilişkin görüş ve değerlendirmelerin 24.09.2022 tarihine kadar yazı ile Kuruma ve/veya e-posta ile genetikveri@kvkk.gov.tr elektronik posta adresine gönderilmesi mümkündür.
Rehber Taslağı için lütfen tıklayınız...
Belirtilen tarihten sonra intikal edecek görüşler değerlendirmeye alınmayacaktır.
Kamuoyuna saygıyla duyurulur.
“Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesine İlişkin Rehber Taslağı” Hakkında Kamuoyu Duyurusu
Günümüzde müşteri bağlılığını geliştirmeye yönelik sadakat programları pek çok işletme tarafından uygulanmakta ve bu programlar yoluyla veri sorumluları tarafından ilgili kişilerin muhtelif kişisel verileri işlenmektedir.
Sadakat programları yoluyla işlenen kişisel verilerin değerlendirilmesi amacıyla Kişisel Verileri Koruma Kurumu tarafından “Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesine İlişkin Rehber Taslağı” hazırlanmıştır.
Kurulun 18.05.2022 tarih ve 2022/514 sayılı Kararı ile Rehber Taslağı’na ilişkin kamuoyunun görüşlerinin alınması öngörülmüş olup bu kapsamda Rehber Taslağı’na ilişkin görüş ve değerlendirmelerin 16.07.2022 tarihine kadar yazı ile Kuruma ve/veya e-posta ile sadakat@kvkk.gov.tr elektronik posta adresine gönderilmesi mümkündür.
Belirtilen tarihten sonra intikal edecek görüşler değerlendirmeye alınmayacaktır.
Kamuoyuna saygıyla duyurulur.
Rehber Taslağı için lütfen tıklayınız.
Bilindiği üzere 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 16’ncı maddesinde “(1) Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulur. (2) Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır.” hükmü ile Geçici 1 inci maddesinin (2) numaralı fıkrasında “Veri sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır.” hükmü yer almaktadır.
Bu hükme istinaden Kurulun 11/03/2021 tarihli ve 2021/238 sayılı Kararı ile; yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının, yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının, kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşu veri sorumlularının Sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için 31.12.2021 tarihine kadar süre verilmiştir.
Kanun’un 18’inci maddesinin (1) numaralı fıkrasında yer alan “(ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir.” hükmü ile aynı maddenin (3) numaralı fıkrasında yer alan “Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.” hükmü gereği Sicile kayıt ve bildirim yükümlülüğünü yerine getirmeyen veri sorumluları hakkında Kurul tarafından re’sen idari yaptırım uygulanabilecektir.
Bu kapsamda Sicile kayıt ve bildirim yükümlülüğünü yerine getirmediği tespit edilen veri sorumluları hakkında Kanun’un 18’inci maddesi uyarınca idari yaptırım uygulanmasına başlanmıştır.
Kamuoyuna saygıyla duyurulur.
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasında “ veri sorumlusunun;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu” hükme bağlanmıştır.
Mezkûr Kanunun amir hükmü kapsamında Son zamanlarda Kişisel Verileri Koruma Kurumuna intikal eden veri ihlal bildirimleri değerlendirilmiştir. Bu kapsamında; finans, e-ticaret, sosyal medya ve oyun gibi muhtelif sektörlerde faaliyet gösteren veri sorumlularının internet sitelerine giriş için kullanılan kullanıcı hesap bilgilerinin (kullanıcı adı ve parolalar) bazı internet sitelerinde herkese açık şekilde yayınlandığı görülmüştür. Söz konusu kullanıcı hesaplarını elde eden üçüncü kişilerce anılan veri sorumlularının internet sitelerine kullanıcıların haberi olmadan aktif bir şekilde giriş yapıldığı ve ilgili kişilere ait verilerin bu kapsamda görüntülenebildiği tespit edilmiştir.
Ayrıca farklı zamanlarda, veri sorumluları sistemlerinden veya son kullanıcı bilgisayarlarındaki güvenlik açıkları kullanılarak elde edilen kişisel verilerin, hukuka aykırı bir şekilde paylaşıldığı ve ekonomik bir değer karşılığında satışa sunulabildiği görülmektedir. Bununla birlikte ilgili kişilere ait bu veriler elden ele dolaşarak kötü niyetli kişilerce arşivlenerek daha büyük veri setleri halinde yeniden pazarlanabilmektedir.
Veri sorumluları ve veri işleyenler tarafından veri güvenliği kapsamında alınacak teknik ve idari tedbirlerin olası veri ihlal durumlarını ve ilgili kişiler üzerinde oluşturabileceği riskleri minimize edeceği muhakkaktır. Bu kapsamda yaygın olarak yaşanan ve veri ihlallerinin oluşmasına neden olan “aynı kullanıcı adı ve parolanın farklı platformlarda kullanılması, belirli zaman aralıklarında parola değişiminin yapılmaması, iki kademeli kimlik doğrulama vb. giriş yöntemlerinin kullanılmaması” gibi teknik ve idari tedbir eksikliklerinin kişisel veri ihlallerine neden olabildiği görülmektedir.
Yukarıda belirtilen ve yaygın olarak yaşanan veri ihlallerini önlemek veya meydana gelmesi halinde ilgili kişiler üzerinde olumsuz sonuç doğurma olasılığının azaltılmasını teminen, veri sorumluları tarafından bir takım önlemlerin alınmasına ihtiyaç duyulmaktadır.
Bu kapsamda veri sorumlularının;
- Çift kademeli kimlik doğrulama (two-factor authentication) sistemlerini kurmaları ve kullanıcılarına üyelik başvurusu aşamasından itibaren alternatif güvenlik önlemi olarak sunmaları,
- Kullanıcıların hesaplarına sık erişim sağlayan cihazlar haricinde farklı cihazlar üzerinden giriş yapılması durumunda, giriş bilgilerinin e-posta/sms vb. yöntemlerle ilgili kişilerin iletişim adreslerine iletilmesinin sağlanması,
- Uygulamaların HTTPS (Hypertext Transfer Protocol Secure - Hiper Metin Aktarma Güvenli İletişim Kuralı) ile veya aynı güvenlik seviyesini sağlayacak bir şekilde koruma altına alınması,
- Kullanıcı parolalarının, siber saldırı yöntemlerine karşı korunmasını teminen, güvenli ve güncel karma (hashing) algoritmaların kullanılması,
- IP (Internet Protocol Address) adresinden yapılacak başarısız giriş denemesi sayısının sınırlandırılması,
- İlgili kişilerin en az son 5 adet başarılı ve başarısız giriş denemeleri ile ilgili bilgilerini görüntüleyebilmelerinin sağlanması,
- İlgili kişilere aynı parolanın birden fazla platformda kullanılmaması gerektiğinin hatırlatılması,
- Veri sorumluları tarafından parola politikasının oluşturulması ve kullanıcılara ait parolaların belirli aralıklarla değiştirilmesinin sağlanması veya bu hususun ilgili kişilere hatırlatılması,
- Yeni oluşturulan parolaların, eski parolalarla (en az son üç parolayla) aynı olmasının engellenmesi, kullanıcı hesaplarına girişlerde bilgisayar ile insan davranışlarını ayırt edici güvenlik kodu gibi teknolojilerin (CAPTCHA, dört işlem vb.) kullanılması, erişime izin verilen IP adreslerinin sınırlandırılması,
- Veri sorumlularının sistemlerine giriş yapılan parolaların uzunluğunun asgari 10 karakter olması, büyük-küçük harf, rakam ve özel karakterlerin bir arada kullanılmasına yönelik güçlü parola oluşturulmasının sağlanması,
- Veri sorumlularının sistemlerine giriş için üçüncü parti yazılımlar veya servisler kullanılıyorsa bu yazılımların ve servislerin güvenlik güncelleştirmelerinin düzenli olarak gerçekleştirilmesi ve gerekli kontrollerin yapılması
gibi teknik ve idari tedbirlerden kendi risk değerlendirmelerini yaparak uygun olanlarını almaları tavsiye edilmektedir.
Kurumumuza intikal eden muhtelif sayıda şikâyet ve ihbarda, mağazalarda gerçekleştirilen alışverişi müteakip kasa işlemleri esnasında ilgili kişilere SMS ile doğrulama kodu gönderildiği ve ödemelerinin tamamlanması ya da bilgilerinin güncellenmesi için gerekli olduğu gerekçesi ile söz konusu kodun kasa görevlisine bildirilmesinin istenildiği, ancak bahse konu işlemin akabinde ilgili kişilere söz konusu mağaza faaliyetleri ile ilgili ticari elektronik ileti gönderildiği iddialarına yer verildiği görülmektedir. Kişisel Verileri Koruma Kurulu tarafından söz konusu şikayet ve ihbarlara yönelik yapılan incelemelerde ilgili kişilere ödeme işlemleri esnasında doğrulama kodu gönderilen SMS içeriklerinde ya da SMS gönderimi öncesinde veri sorumlusunca herhangi bir aydınlatma yapılmadığı ve/veya söz konusu kodun ödeme işlemlerinin tamamlanması ya da bilgilerinin güncellenmesi için gerekli olduğu gerekçesi ile istenilmesine rağmen veri sorumlusu tarafından bu yolla ticari elektronik ileti gönderimine ilişkin açık rıza alınması suretiyle ilgili kişilerin yanıltıldığı tespit edilmiştir.
Bilindiği üzere, kişisel verilerin işlenmesi 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 5 inci maddesinde düzenlenmiş olup, buna göre Kanunun 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği hükme bağlandıktan sonra (2) numaralı fıkrasında ise ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu işleme şartları sayılmıştır.
Kanunun 3 üncü maddesinde ise açık rıza; “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmış olup, söz konusu tanımdan açık rızanın taşıması gereken üç unsurunun bulunduğu görülmektedir. Öncelikle, alınan açık rızanın belirli bir konuya ilişkin ve o konu ile sınırlı olması, diğer bir ifade ile veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması gerekmektedir. Eğer birden çok kategoriye ilişkin verinin işlenmesine dair açık rıza beyanında bulunulacaksa, açık rızanın hangi verilerin ve ne amaçlarla işleneceği gibi, işlemenin farklı noktaları açısından da verilmiş olması zorunluluk arz etmektedir. Öte yandan, açık rıza bir irade beyanı olup, kişinin özgür bir şekilde rıza gösterebilmesi için neye rıza gösterdiğini de bilmesi, bu anlamda kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olması gerekmektedir. Son olarak kişinin irade beyanı olan rıza, kişinin yaptığı davranışın bilincinde ve kendi kararı olması halinde geçerlilik kazanacaktır. Kişinin iradesini sakatlayacak her türlü fiil, kişisel verilerin işlenmesi için verdiği açık rızayı da sakatlayacaktır. Cebir, tehdit, hata ve hile gibi iradeyi sakatlayan hallerde, kişinin özgür biçimde karar vermesi mümkün değildir. Dolayısıyla, bu gibi durumlarda bir özgür irade açıklamasından bahsedilemeyecektir. Ayrıca, açık rızanın özgür irade ile açıklanması gerektiğinden, ilgili kişinin açık rızasının alınması, bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmemelidir.
Öte yandan Kanunun 10 uncu maddesi çerçevesinde, kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi tarafından, ilgili kişilere maddede sayılan hususlarda bilgi verilmek suretiyle aydınlatma yükümlülüğünün yerine getirilmesi gerekmektedir. Bu kapsamda, aydınlatma yükümlülüğü gerek açık rıza gerekse de Kanundaki diğer kişisel veri işleme şartlarından bağımsız olarak yerine getirilmesi gereken bir yükümlülüktür. Bununla birlikte, kişisel veri işleme faaliyetinin ilgili kişinin açık rızasına dayanarak gerçekleştirilmesi durumunda, veri sorumlusu tarafından aydınlatma yükümlülüğü ile açık rıza alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.
Bu kapsamda, Kişisel Verileri Koruma Kurulu tarafından yapılan incelemeler neticesinde;
- Kişilerin telefonuna gönderilecek olan SMS’in amacının ne olduğu ve bu SMS ile iletilen kodun verilmesi halinde ne gibi sonuçlar doğuracağı hususunun, katmanlı aydınlatmanın bir gereği olarak ilk aşamada veri sorumlusunun mağazalarda yetkilendirdiği kişiler tarafından ilgili kişilere açık ve anlaşılır bir biçimde aktarılması, ayrıca aydınlatma yükümlülüğünün yerine getirilebilmesini teminen yine söz konusu SMS içeriklerinde de gerekli kanalların sağlanması,
- Mağazalarda gerçekleştirilen alışverişler ile ilgili ödeme esnasında ilgili kişilere SMS ile doğrulama kodu gönderilerek üyelik sözleşmesi, kişisel verileri işleme izni, ticari elektronik ileti onayı vb. birbirinden farklı işleme faaliyetlerinin tek bir eylemle gerçekleştirilmesine yönelik uygulamalara son verilmesi, söz konusu işleme faaliyetlerine yönelik seçenek sunulmak suretiyle ayrı ayrı açık rıza alınması,
- Bunun yanı sıra, veri sorumlularınca açık rıza alınması ve aydınlatma yükümlülüğü işlemlerinin birlikte gerçekleşmesine neden olabilecek durumlardan kaçınılması,
- Ticari elektronik ileti gönderimi için açık rıza alınmasını teminen SMS doğrulama kodu gönderilmesine yönelik bir uygulamaya gidilmesi halinde ise söz konusu işlemde alınacak açık rızanın tüm unsurları kapsaması
önem arz etmektedir.
Kamuoyuna saygıyla duyurulur.
Son zamanlarda, ilgili kişilerin muhtelif kanallardan veya sosyal medya üzerinden evde paketleme vb. konulu iş ilanlarına başvuruda bulundukları, başvuru neticesinde bu kişilerden T.C. kimlik kartı fotoğraflarının ve belirtilen IBAN hesap numarasına para gönderilmesi ve hemen ardından para iadesi işlemi yapılmasının talep edildiği, akabinde ise iş vaadinde bulunan işletmelere ya da kişilere ulaşılamadığı dolayısıyla kimlik bilgilerinin dolandırıcıların eline geçtiği yönünde Kurumumuza çok sayıda ihbar ve şikâyet intikal etmektedir.
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 17’nci maddesinde kişisel verilere ilişkin suçlar bakımından 5237 sayılı Türk Ceza Kanunu’nun 135 ila 140’ıncı madde hükümlerinin uygulanacağı hükmü yer almaktadır. Bu kapsamda 5237 sayılı Türk Ceza Kanunu uyarınca hukuka aykırı olarak kişisel verileri kaydeden, kişisel verileri hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişiler hakkında hapis cezası uygulanacağı belirtilmiştir. Bu çerçevede bahsi geçen dolandırıcılık amaçlı olduğu anlaşılan iş vaadi konulu benzer şikâyetlere konu iddiaların Türk Ceza Kanunu hükümleri uyarınca suç unsuru barındırabileceği ve 6698 sayılı Kanun’un 15’inci maddesi gereğince yargı mercilerinin görevine giren konularla ilgili olan dilekçelerin incelenemeyeceği hükme bağlandığından ilgili kişilerin konuya ilişkin gerekli hukuksal işlemlerin tesisini teminen yargı yoluna başvurmaları gerekmektedir.
Diğer taraftan, Kurumumuza aynı konuda gelen başvurularda yaşanan artış nedeniyle Kişisel Verileri Koruma Kurulu’nun 02/12/2021 tarihli ve 2021/1236 sayılı Kararı ile vatandaşların farkındalık düzeyinin arttırılmasını teminen kamuoyu duyurusunda bulunulmasına karar verilmiştir. Bu minvalde, vatandaşların telafisi güç maddi veya manevi zararlarla karşılaşmamasını teminen güvenilir olmayan gerçek veya tüzel kişilerin iş ilanlarına itibar etmemeleri ve kişisel verilerini paylaşmamaları yönünde azami dikkat ve özen göstermesi önem arz etmektedir.
Kamuoyuna saygıyla duyurulur.
Kurumumuz tarafından Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ kapsamında yapılacak olan sertifikasyon faaliyetine ilişkin olarak Veri Koruma Görevlisi Belgelendirme Programı hazırlanmıştır. 25.11.2021 tarihli ve 2021/1178 sayılı Kişisel Verileri Koruma Kurulu Kararı ile Veri Koruma Görevlisi Belgelendirme Programı'nın yürürlüğe konulmasına ve Kurumumuzun internet sayfasında yayımlanmasına oy birliği ile karar verilmiştir.
Kamuoyuna saygıyla duyurulur.
Veri Koruma Görevlisi Belgelendirme Programı için tıklayınız..
Kurumumuza iletilen çeşitli ihbarlarda belediyelerin internet üzerinden emlak vergisi veya beyan bilgisini sorgulama sayfalarında yalnızca TC kimlik numarası girilerek vatandaşın emlak bilgilerine ulaşılmasının kişisel verilerin korunması açısından sorun teşkil ettiği ifade edilmiş, konunun 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında incelenmesi talep edilmiştir.
Söz konusu talepler kapsamında Kişisel Verileri Koruma Kurulu (Kurul) tarafından alınan 25/02/2021 tarih ve 2021/140 sayılı Karar ile “…bazı belediyeler tarafından internet üzerinden verilen vergi ödeme hizmetlerinin üyelik ve şifre ya da çift doğrulama yolu ile sisteme giriş yapılması sureti ile gerçekleştirildiği ve bu uygulamaların Kanuna uygun olduğu, ancak bazı belediyeler tarafından sunulan hızlı sorgulama ya da borç ödeme uygulamalarında sadece tek bir bilgi girilerek kişilerin borç bilgisine ulaşılabildiği; her ne kadar kişiye ait isim ya da mülke ilişkin bilgilere erişim mümkün olmasa da borca ilişkin bilgiye erişim sağlanabildiği anlaşılmış olup, bu durumun Kanunun 12 nci maddesinin 1 numaralı fıkrasının (b) bendinde yer alan kişisel verilere hukuka aykırı olarak erişilmesini önlemek hükmüne aykırı olduğu değerlendirilmekle birlikte bahse konu uygulamalara ilişkin olarak belirli bir belediye hakkında Kurumumuza iletilmiş herhangi bir şikayet bulunmadığı dikkate alındığında bir hak mahrumiyetinin oluşmadığı, ancak Kanuna aykırı uygulamaların devam ediyor olması nedeniyle konu hakkında Çevre ve Şehircilik Bakanlığına ve Türkiye Belediyeler Birliğine bilgi verilmesine
- Diğer taraftan Belediyelerce sunulan söz konusu uygulamaların yeniden düzenlenmesi hususunda Belediyelere 3 (üç) ay süre verilmesine ve Kanunun 18 inci maddesinde yer alan yaptırımlara ilişkin hükümlerin Belediyelere hatırlatılmasına…”
karar verilmiştir. İlgili Karar kapsamında 09.04.2021 tarih ve 52863 sayılı yazımız ile tüm büyükşehir belediyelerine, il belediyelerine, ilçe belediyelerine ve belde belediyelerine “söz konusu uygulamaları yürüten belediyelerin bu yazı tarihinden itibaren 3 ay içerisinde bu uygulamaları sonlandırmaları ve Kanuna aykırı veri işleme faaliyetlerini durdurmalarına” karar verildiği, “Kanuna aykırı veri işleme faaliyetini sürdüren Belediyeler hakkında Kanunun 18 inci maddesi kapsamında idari işlem uygulanacağı” hususları iletilmiştir.
Bilindiği üzere, Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) kapsamında kişisel verilere gerekmesi halinde uzaktan erişim için iki kademeli kimlik doğrulama kontrolünün uygulanması önerilmektedir. Bu kapsamda başkalarının kolayca ulaşabileceği örneğin kişinin TC kimlik numarası ve doğum günü bilgisinin sorgulanarak erişim imkânı veren sistemler tek kademeli doğrulama olarak kabul edilirken, kişinin TC kimlik numarasının yanı sıra kişiye özel oluşturulmuş şifre ya da kişinin daha önce bildirmiş olduğu telefon numarasına iletilen SMS kodu ile erişim sağlanan sistemler iki kademeli doğrulama olarak kabul edilmektedir. Bu çerçevede 1398 adet büyükşehir belediyesi ile bağlı ilçeleri, il belediyeleri ile bağlı ilçe ve belde belediyelerinin internet siteleri üzerinden verdikleri emlak vergisi borç sorgulama ve ödeme-hızlı ödeme sistemlerinde yapılan incelemede çift faktörlü doğrulamaya bakılırken ilk doğrulamanın TC kimlik no, ad soyad, vergi no gibi verilerle yapılırken ikincil düzeydeki doğrulamanın kişiye özel oluşturulmuş üyelik, SMS ya da e-postaya iletilen şifre gibi bir sistemle gerçekleştirilip gerçekleştirilmediği, ikincil düzeyde kişiye ait başkalarının da erişebileceği telefon no, doğum tarihi, anne baba adı gibi bilgiler yerine sadece kişiye özel olarak belirlenecek ve sadece ilgili kişinin erişebileceği verilerin istendiği sistemlerin varlığı incelenmiştir.
Kurulun 25.02.2021 tarih ve 2021/140 sayılı Kararı ile belirlenen 3 aylık sürenin dolmasını müteakip yapılan inceleme neticesinde Kurulun 21.10.2021 tarih ve 1077 sayılı Kararı ile Belediyelere iletilen yazılar uyarınca bazı belediyelerin gerekli değişiklikleri yaptığı, ancak birçok Belediyenin ilgili Karar çerçevesinde gerekli güvenlik tedbirlerini almadığı ve halihazırda emlak vergisi borç sorgulama ve ödeme hizmetleri sunumunda “tek faktörlü doğrulama” uyguladığı tespit edilmiş olup, Kanunun 12 nci maddesinin 1 numaralı fıkrasının (b) bendinde yer alan kişisel verilere hukuka aykırı olarak erişilmesini önlemek hükmüne aykırı uygulamalara devam ettiği anlaşılan belediyeler ile ilgili olarak 25.02.2021 tarih ve 2021/140 sayılı Kurul Kararının gereğinin yerine getirilmediği değerlendirmesinden hareketle bahse konu aykırılığa sebebiyet verenler hakkında Kanunun 18 inci maddesinin (3) numaralı fıkrası kapsamında disiplin hükümlerine göre işlem yapılması ve sonucundan Kurula bilgi verilmesi hususunda ilgili belediyelerin talimatlandırılmasına karar verilmiştir.
Kamuoyuna saygıyla duyurulur.
Kurumumuza gerek yazılı olarak gerek ALO 198 çağrı hattı vasıtasıyla intikal eden PCR testi ve/veya aşı bilgisi taleplerine ilişkin 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) çerçevesinde nasıl bir yol izlenmesi gerektiğine ilişkin olarak Kurumumuz görüşlerinin talep edilmesi üzerine, konunun ülke genelinde gerçekleştirilecek yaygın bir uygulamaya inhisar edeceği dikkate alınarak, Kanun kapsamında bir değerlendirme yapılmasını teminen Kişisel Verileri Koruma Kurulu’nun gündemine alınmasına karar verilmiş ve Kurul’un 28/09/2021 tarihli ve 2021/980 sayılı Kararı ile aşağıda yer verilen değerlendirmenin Kurum resmi internet sitesinde yayınlanmasına karar verilmiştir.
Dünya genelinde çeşitli varyantlarının da etkisiyle yayılma hızı giderek artış gösteren Covid-19 virüsünün neden olduğu hastalıklardan korunmak adına, değişen koşulları da dikkate almak suretiyle ülkemizin de aralarında bulunduğu tüm devletler, çeşitli tedbirler almaya devam etmekte olup; karantina, sosyal mesafe ve sosyal izolasyon gibi temel tedbirlerin alınmasının yanı sıra, yapılan bilimsel çalışmalar neticesinde Covid-19 aşıları geliştirilerek kullanıma sunulmuştur. Covid-19 aşısının, koronavirüsün yayılımını önlediği, hastalığın etkilerini de önemli ölçüde azalttığı bilinmekte olup; bu bilimsel gerçeklikten hareketle devletler, kamu sağlığının korunmasını teminen işyerleri de dâhil olmak üzere toplu halde bulunulacak alanlarda, Covid-19 aşı bilgisi ve/veya PCR testi sonuçlarının işlenmesi zorunluluğu getirmektedirler.
Nitekim ülkemizde de İçişleri Bakanlığınca 81 İl Valiliğine gereği, ilgili Bakanlıklara da bilgi için gönderilen 20.08.2021 tarihli yazıda; salgının toplum sağlığı ve kamu düzeni açısından oluşturduğu riskin asgari seviyeye düşürülmesi için konser, sinema, tiyatro ve toplu ulaşım araçları gibi insanların toplu olarak bulunduğu faaliyetlere katılım sağlamak isteyen kişilere Covid-19 aşı bilgisi ve/veya negatif sonuçlu PCR test bilgisinin bildirilmesi zorunluluğu getirilmiştir.
Çalışma ve Sosyal Güvenlik Bakanlığının 81 İl Valiliğine gereği için, ilgili Bakanlıklara da bilgi için gönderdiği 02.09.2021 tarihli yazıda ise işyerlerinde karşılaşılabilecek sağlık ve güvenlik risklerine yönelik koruyucu ve önleyici tedbirler kapsamında; Covid-19 aşısı olmayan işçilerden zorunlu olarak haftada bir kez PCR testi yaptırmalarının işyeri/işveren tarafından istenebileceği ve test sonuçlarının gerekli işlemler yapılmak üzere kayıt altında tutulacağı ifade edilmiştir.
Öncelikle belirtmek gerekir ki; kişilerin tahlil, görüntüleme, test, rapor, aşı durumu gibi sağlık durumlarına ilişkin bilgileri Kanunun 6 ncı maddesine göre kişisel sağlık verisi niteliğini haiz olup, özel nitelikli kişisel veri kategorisinde bulunmaktadır. Bu sebeple, söz konusu bilgilerin Kanunun 6 ncı maddesinde yer verilen işleme şartlarına uygun olarak işlenmesi gerekmektedir.
Öte yandan, Covid-19 salgınının dünya çapındaki gerek sağlık, gerek sosyal hayat gerek ekonomi üzerindeki etkileri dikkate alındığında, bu salgınla mücadele kapsamında aşı durumu ve PCR test sonucu gibi Covid-19’a ilişkin kişisel sağlık verilerinin; kamu sağlığının, kamu güvenliğinin ve kamu düzeninin korunması amacıyla işlenmesi gerekliliğinin ortaya çıkması kaçınılmazdır.
Bilindiği üzere Kanunun 28 inci maddesinin birinci fıkrasının (ç) bendinde, “Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi” halinde Kanun hükümlerinin uygulanmayacağı düzenlenmiştir.
Bu noktadan hareketle salgın hastalık gibi kamu güvenliği ve kamu düzenini tehdit eden durumlarda bu tehdidi ortadan kaldırabilmek amacıyla salgın hastalığın bulaşıcılığının önüne geçilebilmesini teminen kanunla yetki verilmiş kamu kurum ve kuruluşlarınca yürütülen faaliyetler kapsamında kişisel verilerin işlenmesinin de Kanunun 28 inci maddesinin birinci fıkrasının (ç) bendi kapsamında değerlendirilmesi gerektiği düşünülmektedir.
Bu kapsamda Covid-19’un sebebiyet verdiği salgın hastalığın kamu güvenliği ve kamu düzenini tehdit etmesi sebebiyle hastalığın yayılımını engellemek amacıyla Covid-19 aşı bilgisi ve/veya negatif sonuçlu PCR test bilgisinin anılan madde hükmü kapsamına giren kamu kurum ve kuruluşlarınca yürütülen önleyici ve koruyucu faaliyetler kapsamında işlenmesinin önünde bir engel bulunmadığı, dolayısıyla söz konusu kişisel veri işleme faaliyetlerinin Kanunun 28 inci maddesinin birinci fıkrasının (ç) bendi kapsamında gerçekleştirilebileceği, bununla birlikte, Covid-19 salgını kapsamında yürütülen kamu güvenliğini ve kamu düzenini koruma amacına yönelik faaliyetler dışında kalan ya da bu amacı aşan nitelikteki kişisel veri işleme faaliyetlerinin Kanun kapsamında yer alacağı değerlendirilmektedir.
Kamuoyuna saygıyla duyurulur.
Veri sorumlusu TEB Arval Araç Filo Kiralama Anonim Şirketi tarafından yurtdışına kişisel veri aktarımı yapılması hususundaki Taahhütname başvurusu Kişisel Verileri Koruma Kurulu tarafından 6698 sayılı Kişisel Verilerin Korunması Kanununun 9 uncu maddesinin 2 nci fıkrasının (b) bendi kapsamında değerlendirilmiş ve söz konusu veri aktarımına 09.02.2021 tarihinde Kurul tarafından izin verilmiştir.
Bilindiği üzere; 7 Nisan 2016 tarihli Resmi Gazete’de yayınlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 2 nci maddesinde “Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır” hükmü yer almaktadır.
Kişisel verilerin işlenebilmesi için ise, Kanunun 5 inci ve 6 ncı maddelerinde yer alan işleme şartlarından herhangi birinin mevcut olması gerekmektedir. Kanunun 5 inci maddesinin (2) numaralı fıkrasına göre; “kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması,” işleme şartlarından herhangi birinin varlığı halinde kişisel veriler işlenebilecektir. Bu şartların bulunmadığı durumlarda ise kişisel veriler ancak ilgili kişinin açık rızası alınmak suretiyle işlenebilecektir.
Kanunun 3 üncü maddesinde açık rıza; “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlanmış olup, buna göre açık rızanın üç unsuru bulunmaktadır:
- Belirli bir konuya ilişkin olması,
- Rızanın bilgilendirmeye dayanması,
- Özgür iradeyle açıklanması.
Söz konusu unsurlar açısından değerlendirildiğinde açık rıza, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile hukuka uygun şekilde onay vermesi anlamını taşımaktadır. Açık rızanın bir diğer önemi de veri sorumlusuna, gerçekleştireceği kişisel veri işleme faaliyeti konusunda yol göstermesidir. Kişi açık rıza açıklaması ile aslında veri sorumlusuna kendi hukuksal değerine ilişkin verdiği kararı bildirmiş olmaktadır. Açık rıza, ilgili kişinin işlenmesine izin verdiği verinin sınırlarını, kapsamını, gerçekleştirilme biçimini ve süresini de belirlemesini sağlayabilmektedir. Bu anlamda açık rıza, rıza veren kişinin olumlu irade beyanını içermelidir.
Kişisel verilerin işlenmesine açık rıza vermek, kişiye sıkı sıkıya bağlı bir hak olduğundan verilen açık rıza geri alınabilir. Bu bağlamda kişisel verilerin geleceğini belirleme hakkı ilgili kişiye ait olup, kişi dilediği zaman veri sorumlusuna vermiş olduğu açık rızasını geri alabilir. Ancak, geri alma işlemi ileriye yönelik sonuç doğuracağından, açık rızaya dayalı olarak gerçekleştirilen tüm faaliyetler geri alma beyanının veri sorumlusuna ulaştığı andan itibaren veri sorumlusu tarafından durdurulmalıdır. Bir diğer deyişle, geri alma beyanı veri sorumlusuna ulaştığı andan itibaren hüküm doğurur.
Kişisel verilerin işlenmesinde hukuki sebep olarak “açık rıza”nın belirlenmesinin söz konusu olduğu ve verilen hizmetin açık rıza şartına bağlandığı hususlara ilişkin olarak 2 Ağustos 2018 tarihinde Kurum internet sayfasında, Kişisel Verileri Koruma Kurulunun (Kurul) 16.02.2018 tarihli ve 2018/19 sayılı Kararının özeti yayınlanmıştır. Söz konusu Kurul kararında da belirtildiği üzere, öncelikle kişisel verilerin işlenmesi sırasında ilgili kişilerden alınan açık rıza, veri sorumluları tarafından bir hizmetin ifası için ön şart olarak ileri sürülemeyecektir.
Kanunun 4 üncü maddesi uyarınca kişisel verilerin, hukuka ve dürüstlük kurallarına uygun, belirli, açık ve meşru amaçlarla ve işlenme amacı ile bağlı, sınırlı ve ölçülü olma ilkelerine uygun olarak işlenmesi, hangi kişisel verilerin işleneceği veya hangi amaçlarla kimlere aktarılacağı hususlarında gerekli bilgilendirmenin yapılmış olması ve her bir işleme/aktarma faaliyetine yönelik seçenek sunulmak suretiyle ayrı ayrı açık rıza alınması gerekmektedir.
Diğer taraftan, Kanunun “Kişisel verilerin yurt dışına aktarılması” başlıklı 9 uncu maddesinde; kişisel verilerin, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağı; ancak anılan hükmün ikinci fıkrası uyarınca Kanunun 5 inci maddesinin ikinci fıkrası ile özel nitelikli kişisel veriler bakımından 6 ncı maddesinin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması, yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul izninin bulunması kaydıyla kişisel verilerin ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabileceği düzenlenmiştir.
WhatsApp Inc. tarafından, WhatsApp uygulamasını kullanmak isteyen kullanıcıların kişisel verilerinin işlenmesine ve yurtdışında bulunan üçüncü taraflara aktarılmasına rıza verilmesini içerecek şekilde kullanım şartlarının güncellendiği, bu kapsamda rıza vermeyen kullanıcıların uygulamayı kullanamayacağına ve hesaplarının silineceğine dair kullanıcılara bilgilendirme iletildiği tespit edilmiştir.
Söz konusu bilgilendirme metninde yönlendirme yapılan Gizlilik Politikasında ise, hangi verilerin hangi amaçlarla işleneceği ifade edilmekle birlikte, işlenen kişisel verilerin WhatsApp Inc. tarafından yurtdışında yerleşik bulunan hizmet aldığı ve hizmet verdiği Facebook grup şirketleri, tedarikçileri, iş ortakları, hizmet sağlayıcıları ve diğer üçüncü taraf veri sorumluları gibi net olarak belirli olmayan taraflara teknik destek, teslimat ve diğer hizmetleri sağlamak, araştırma yapmak, pazarlama ve anket vb. gibi yine belirli olmayan amaçlarla aktarılacağının ifade edilmekte olduğu görülmektedir.
Kişisel verilerin, yurtdışında yerleşik bir veri sorumlusu olan WhatsApp Inc. tarafından işlenmesine ve yurtdışında yerleşik başka veri sorumlularına aktarılmasına ilişkin açık rıza alınması hususunda yapılan ön değerlendirme sonucunda;
- Kullanıcılardan kişisel verilerinin işlenmesine ve yurtdışında yerleşik üçüncü taraflara aktarılmasına yönelik rıza alınması işleminin ayrıştırılmadığı ancak kullanıcıların kişisel verilerinin işlenmesine rıza verirken yurtdışında başka bir veri sorumlusuna aktarılmasına rıza vermeyebileceği dikkate alındığında söz konusu uygulamanın kullanım yaygınlığı da göz önünde bulundurularak bu durumun Kanunda belirlenen açık rızanın unsurlarından “özgür iradeyle açıklanması” açısından bir ihlal oluşturup oluşturmadığı,
- Yurtdışında bulunan başka bir şirkete aktarım yapılmak şartıyla uygulamanın kullanılmasına izin verilmesinin Kanunun 4 üncü maddesinde sayılan ilkelerden “hukuka ve dürüstlük kurallarına uygun olma”, “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkeleri açısından bir ihlale sebebiyet verip vermediği,
- Sunulan hizmetin açık rıza şartına bağlanmış olmasının verilen açık rızayı sakatlayabileceği bu durumun da kişisel verilerin hukuka aykırı işlenmesi sonucunu doğurabileceği dikkate alındığında Whatsapp Inc. tarafından yapılan güncelleme ile hizmetin rıza şartına bağlanması durumunun ortaya çıkıp çıkmadığı,
- WhatsApp Inc. tarafından yurtdışında yerleşik veri sorumlularına yapılacak aktarım hususunda Kanunun 9 uncu maddesi hükümlerine aykırılık olup olmadığı
hususları açısından, Kişisel Verileri Koruma Kurulunun 12.01.2021 tarihli ve 2021/28 sayılı Kararı ile WhatsApp Inc. hakkında resen inceleme başlatılmasına karar verilmiştir.
Sürece ilişkin olarak 08.02.2021 tarihinde Kurul tarafından yeni bir değerlendirme yapılacaktır.
Kamuoyuna saygıyla duyurulur.
https://www.kvkk.gov.tr/Icerik/6856/WHATSAPP-UYGULAMASI-HAKKINDA-KAMUOYU-DUYURUSU
Bilindiği üzere kişisel verilerin işlenme şartları 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 5 ve 6 ncı maddelerinde düzenlenmiş olup, Kanunun 5 inci maddesi kapsamında yer verilen işleme şartlarından biri de kişisel verinin, “ilgili kişinin kendisi tarafından alenileştirilmiş olması”dır.
Temel itibarıyla “alenileştirme” kavramı, ilgili kişinin kişisel verilerinin, kendisi tarafından kamuoyuna açıklanması olarak ifade edilmektedir. Bununla birlikte Kanun kapsamında “alenileştirme”, kişisel verinin herhangi bir şekilde kamuoyuna sunulmasından daha dar bir anlama sahip olup; ilgili kişinin alenileştirme iradesi ve alenileştirme amacı ile yakın ilişki içerisinde bulunmaktadır.
Bu çerçevede, kişisel verinin, aleni kabul edilebilmesi için öncelikle ait olduğu kişinin aleni olmasını istemesi, başka bir ifade ile bu yönde bir iradesinin var olması gerekir. Bu anlamda tek başına kişisel verinin kamuoyuna açık hale gelmesi, örneğin herkesin görebileceği bir yerde olması ya da herkesin erişimine açık durumda bulunması alenileştirilmiş olması bakımından yeterli olmamakta; eylemin, ilgili kişinin iradesi ile de desteklenmesi gerekmektedir. Kişinin iradesi dışında bir sebeple kişisel verinin kamuoyuna açıklandığı durumlarda Kanun kapsamında bir alenileştirmeden söz etmek mümkün olmayacaktır.
Öte yandan, kişisel verinin alenileştirilmiş olarak kabul edilebilmesi için ilgili kişinin ne amaç ile kişisel verilerini alenileştirdiğinin de tespit edilmesi gerekmektedir. Nitekim alenileştirme eylemi; ilgili kişilerin, kişisel verilerini kamuoyu ile paylaşması amacı ile sınırlıdır. Veri sorumlularının; ilgili kişinin alenileştirme amacından farklı ya da bu amacı aşan şekilde kişisel veri işleme faaliyetinde bulunmaları, başkaca bir işleme şartına dayanılmadığı sürece, Kanuna aykırılık oluşturacaktır. Diğer bir deyişle verinin ilgili kişi tarafından alenileştirilmiş olması, veri sorumluları tarafından her türlü amaçla gerçekleştirilecek işleme faaliyetini hukuka uygun hale getirmeyecektir. Örneğin bir internet sitesi aracılığıyla aracını satışa çıkaran bir kişinin bu sitede paylaşmış olduğu iletişim bilgileri sadece aracı satın almak veya bu ilanla ilgili bilgi almak amacı ile kullanılabilecek olup, bunun dışında bir amaçla kullanılması Kanuna aykırılık teşkil edecektir.
Yine benzer şekilde ilgili kişilerin sosyal medya hesapları gibi mecralar üzerinden elde edilen ad-soyad, telefon numarası, e-posta adresi vb. kişisel verilerinin veri sorumluları tarafından reklam amacıyla SMS/e-posta gönderilmesi suretiyle alenileştirme amacı dışında işlenmesi gibi faaliyetler Kanunun 5 inci maddesinin (2) numaralı fıkrasının (d) bendi kapsamında değerlendirilemeyecek olup, konuya ilişkin olarak daha önce alınan Kişisel Verileri Koruma Kurulunun 07.11.2019 tarih ve 2019/331 sayılı Kararına https://kvkk.gov.tr/Icerik/6623/2019-331 uzantısından erişilmesi mümkün bulunmaktadır.
Bu sebeple Kanunun 5 inci maddesinin (2) numaralı fıkrasının (d) bendi kapsamında gerçekleştirilecek kişisel veri işleme faaliyetlerinde ilgili kişilerin alenileştirme iradesinin varlığı ve alenileştirme amacının tespit edilmesi ve her durumda Kanunun 4 üncü maddesinde yer alan Genel İlkelere uyum hususuna özen gösterilmesi önem arz etmektedir.
Kamuoyuna saygıyla duyurulur.
https://www.kvkk.gov.tr/Icerik/6843/-ALENILESTIRME-HAKKINDA-KAMUOYU-DUYURUSU
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) 07.04.2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanmıştır. Kanunun 32 nci maddesi uyarınca Kanunun 8 inci, 9 uncu, 11 inci, 13 üncü, 14 üncü, 15 inci, 16 ncı, 17 nci ve 18 inci maddeleri yayımı tarihinden altı ay sonra, diğer maddeleri ise yayımı tarihinde yürürlüğe girmiştir. Bununla birlikte, Kanunun “Geçiş hükümleri” başlıklı Geçici 1 inci maddesinin üçüncü fıkrasında Kanunun yayımı tarihinden önce işlenmiş olan kişisel verilerin, yayımı tarihinden itibaren 2 yıl içerisinde Kanun hükümlerine uygun hale getirileceği düzenlenmiştir. Bu anlamda, kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenleyen Kanuna uyum için makul bir süre hem Kanunda yer alan düzenlemelerle hem de Kurumumuzun işbirliğine dayalı anlayışı ile kişisel veri işleme faaliyetinde bulunan ilgililere tanınmıştır.
Kurumumuz faaliyete geçtiği günden bu yana, kişisel verilerin korunmasına yönelik farkındalık yaratmak ve ilgililerin iş süreçlerini Kanuna uygun olarak yeniden tasarlayabilmeleri adına Ülkemizin her bölgesine yayılan organizasyonlar gerçekleştirmekte, ilgili meslek örgütleri ve sivil toplum kuruluşları ile sürekli olarak bilgi alışverişinde bulunmakta, veri sorumluları ile veri işleyenleri yönlendirmekte ve ilgili paydaşlardan gelen talepleri uygun düştüğü ölçüde karşılamaktadır. Bu kapsamda, eğitim programları düzenlenmekte ve Kanuna etkili bir uyumun sağlanabilmesi için işleme faaliyetinde bulunan aktörlere kolaylık sağlanmaya çalışılmaktadır. Ayrıca yine önemle ifade etmek gerekir ki, başta Türkiye Odalar ve Borsalar Birliği ve muhtelif sektör temsilcileri olmak üzere çeşitli paydaşların talebi doğrultusunda Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğünün yerine getirilmesi için tanınan süre kapsamlı uyum sürecinin gerektirdiği özen, Sicile kayıt uygulamasıyla kişisel verileri işlenen ilgili kişiler bakımından sağlanması amaçlanan şeffaflığın tam anlamıyla gerçekleşmesi gereği ve COVID-19 salgınının etkileri dikkate alınarak üç kere uzatılmıştır. Yine, COVID-19 salgını sürecinde uzaktan ve/veya dönüşümlü çalışma uygulamalarının neden olabileceği zorluklar; her bir başvuru ya da veri ihlal bildirimi özelinde, veri sorumlularının uymakla yükümlü oldukları sürelerin değerlendirilmesi açısından Kişisel Verileri Koruma Kurulu (Kurul) tarafından göz önünde bulundurulmuştur.
Kurumumuz, Anayasada öngörülen özel hayatın gizliliği ile temel hak ve özgürlüklerin korunması kapsamında, Ülkemizde kişisel verilerin korunmasını sağlamanın ve buna yönelik farkındalık oluşturarak bilinç düzeyini geliştirmenin yanında, veri temelli ekonomide özel ve kamusal aktörlerin uluslararası rekabet kapasitelerini artırıcı bir ortam oluşturmayı da misyon olarak benimsemektedir. Kişisel verilerin hukuka uygun, bireylerin kontrolünden ödün vermeden ve şeffaf bir biçimde işlenmesi sonucu elde edilecek katma değer büyük bir önem arz etmektedir. Nitekim Kurumumuz da bu farkındalığa sahip olarak kişisel verilerin korunması ve dijital dönüşümün çok yoğun bir şekilde yaşandığı günümüzün gereklerine uygun olarak kişisel verilerin önemli bir parçasını teşkil ettiği verimi yüksek ve avantajlı iş süreçlerinin sürdürülebilmesi arasında bir denge gözetmektedir. Ancak takdir edilecektir ki, Kurumumuz Kanunda öngörülen görev ve yetkileri çerçevesinde faaliyetlerini sürdürmektedir. Bu anlamda, kişisel verilerin Kanunda yer verilen usul ve esaslara uygun olarak işlenmesinin sağlanması ve zorunlu izin ve/veya yetkilendirme süreçlerinin işletilmesi Kurumumuzun asli yükümlülüğüdür. Ancak bu noktada belirtilmesinde fayda görülmektedir ki, ilgili mevzuat hükümleri çerçevesinde Kurumumuz çağdaş hukuk düzenlerinde yürürlükte bulunan kişisel verilerin korunması ile ilgili düzenlemeler ve bunlara ilişkin uygulama ile aynı doğrultuda etkinlik göstermektedir.
Öte yandan, çeşitli özel sektör temsilcileri ve akademik kuruluşlardan Kanun ve ilgili ikincil mevzuatın uygulanmasına ve Kurumumuzun yürüttüğü faaliyetlere ilişkin birtakım eleştirilerde bulunulduğu görülmektedir. Söz konusu eleştiriler, çoğulcu bir yaklaşımla kişisel verilerin korunması alanında daha uygulanabilir modellerin oluşturulması imkânını tanıması bakımından Kurumumuz tarafından olumlu karşılanmakla birlikte, ilgililer nezdinde oluşabilecek yanlış anlaşılmaların giderilmesi gerektiği değerlendirilmektedir. Bu Kamuoyu Duyurusu da kişisel verilerin yurt dışına aktarılması özelinde Kurumumuzun çalışmalarını ve bakış açısını ortaya koyarak bu yanlış anlaşılmaların önüne geçilmesi amacıyla yayınlanmaktadır.
a) Kişisel Verilerin Yurt Dışına Aktarımına İlişkin Kanunda Öngörülen Düzenleme
Kişisel verilerin yurt dışına aktarımına ilişkin usul ve esaslar, Kanunun 9 uncu maddesinde düzenlenmekte olup; söz konusu maddede, kişisel verilerin ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağı; ancak Kanunun 5 inci maddesinin ikinci fıkrası ile özel nitelikli kişisel veriler bakımından 6 ncı maddesinin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması halinde; yeterli korumanın bulunmaması durumunda ise Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabileceği hükme bağlanmıştır.
Kişisel verilerin yurt dışına aktarılması, Kanunun 3 üncü maddesinde yer verilen “kişisel verilerin işlenmesi” tanımında da açıkça belirtildiği üzere bir işleme faaliyetidir. Yani, kişisel verilerin yurt dışına aktarılmasının değiştirme, yeniden düzenleme, kaydetme, depolama ve muhafaza etme gibi diğer kişisel veri işleme faaliyetlerinden bir farkı bulunmamaktadır. Nitekim özel olarak Kanunun 9 uncu maddesinde düzenlenmiş olsa da ilgili hükümde Kanunun 5 inci ve 6 ncı maddelerinde düzenlenmiş kişisel verilerin işlenme şartlarına atıf yapılmaktadır.
Diğer taraftan belirtmek gerekir ki, kişisel verilerin yurt dışına aktarımının ayrı bir hükümde düzenlenmiş olmasının ve kişisel veri işleme şartlarından birinin varlığına ek olarak diğer bazı şartların aranmasının sebebi ilgili kişinin kişisel verilerinin aktarıldığı ülkede de etkin olarak korunabilmesinin sağlanmasıdır. Bu düzenlemeyle yurt dışına aktarılmış kişisel verilerle ilgili olarak, ilgili kişinin sahip olduğu hakları etkin bir şekilde ve Kanunun uygulamasına mümkün olabilecek en yakın seviyede kullanabilmesi ile aktarım yapılacak tarafın başta veri güvenliği olmak üzere ilgili kişiyi korumaya yönelik güvencelerin sağlanması hususunda yükümlü kılınması amaçlanmaktadır. Bu bağlamda, kişisel verilerin yurt dışına aktarımına ilişkin düzenlemeler ve bu düzenlemeler çerçevesinde Kurumumuz tarafından benimsenen yaklaşım ve yürütülen faaliyetler küreselleşme ve teknolojik gelişmeler sonucu her an daha da artan bir miktarda gerçekleşen sınır ötesi aktarımları engellemeyi değil; temel hak ve özgürlüklerin korunması temelinde öngörülebilir ve şeffaf bir aktarım rejimini oluşturmayı hedeflemektedir.
b) Yeterli Koruma Bulunan Ülkelerin (Güvenli Ülkelerin) Belirlenmesi
b-1) İlgili Ülkede Yeterli Koruma Bulunup Bulunmadığına İlişkin Değerlendirme
Kanunun 9 uncu maddesinin üçüncü fıkrasında yeterli korumanın bulunduğu ülkelerin Kurul tarafından belirlenerek ilan edileceği düzenleme altına alınmıştır. Bununla birlikte, anılan maddenin dördüncü fıkrasında, Kurulun yabancı ülkede yeterli koruma bulunup bulunmadığına; Türkiye’nin taraf olduğu uluslararası sözleşmeleri, kişisel verilerin aktarılacağı ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu, kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını değerlendirmek suretiyle karar vereceği hükme bağlanmıştır. Nitekim Kurulun 02.05.2019 tarihli ve 2019/125 sayılı kararı ile de, yeterli korumanın bulunduğu ülkelerin tayininde kullanılmak üzere oluşturulan form Kurumumuz resmi internet sitesinde yayımlanmış olup, söz konusu forma göre yeterli korumanın bulunduğu ülkelerin belirlemesinde, karşılıklılık durumu, ilgili ülkenin kişisel verilerin işlenmesine ilişkin mevzuatı ve uygulaması, bağımsız veri koruma otoritesinin bulunup bulunmadığı, kişisel verilerin korunması ile ilgili uluslararası antlaşmalara taraf olma ile uluslararası kuruluşlara üye olma durumu, Ülkemizin üye olduğu küresel ve bölgesel örgütlere üye olma durumu ve ilgili ülke ile yürütülen ticaret hacmi gibi kriterlerin dikkate alınacağı belirtilmiştir.
Kurul tarafından yeterli koruma bulunup bulunmadığına ilişkin yapılacak değerlendirme; çeşitli ve birbirinden oldukça farklı ulusal hukuk düzenlerinin varlığı, değerlendirmeye konu ülkede genel nitelikte bir veri koruma düzenlemesinin bulunmaması veya yalnızca belirli alanları kapsayan düzenlemelerin bulunması ve federal devletlerde eyaletler arasındaki farklılıklar göz önünde bulundurulduğunda titizlikle yürütülmesi gereken yoğun ve uzun bir süreç sonrasında sonuçlandırılabilecektir (Madde 29 Çalışma Grubu, Working Document Transfers of personal data to third countries : Applying Articles 25 and 26 of the EU data protection directive, s. 26, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/1998/wp12_en.pdf ). Öte yandan, “yaşayan” birer doküman olarak nitelendirilebilecek yeterlilik kararları, periyodik gözden geçirmelere tabi tutulacak ve değişen koşullara göre söz konusu yeterlilik kararları değiştirilebilecek, askıya alınabilecek veya kaldırılabilecektir. Dolayısıyla, güvenli ülke statüsü tayini, ilgili ülke ile yakın işbirliği ve diyalog mekanizmalarının kurulmasını içeren, kapsamlı ve çok boyutlu değerlendirmelerin yapılması ile sağlanan koruma düzeyinin sürekliliğinin takip edilmesini gerektiren dinamik bir süreci ifade etmektedir (Avrupa Komisyonu, COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL Exchanging and Protecting Personal Data in a Globalised World, s. 8-9, https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52017DC0007&from=EN).
b-2) Güvenli Ülke Statüsünün Karşılıklı Olarak Tanınmasının Önemi
Kanunun 9 uncu maddesinin dördüncü fıkrasının (b) bendi uyarınca Kurul, yabancı ülkede yeterli koruma bulunup bulunmadığına ilişkin yapacağı değerlendirmede ilgili ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu dikkate alacaktır. Bu noktada belirtmek gerekir ki, Dışişleri Bakanlığı ile güvenli ülke statüsü tayinine ilişkin yapılan bütün yazışmalarda mütekabiliyet hususu ön plana çıkmakta ve yürütülecek müzakerelerin her hal ve şartta karşılıklı yeterlilik kararı verilmesi üzerine olması gerektiği vurgulanmaktadır.
Öte yandan, kişisel verilerin korunması bakımından güvenli ülke statüsünün değerlendirmeye konu ülke ile karşılıklı olarak tanınması Ülkemizde faaliyet gösteren veri sorumlusu ve veri işleyenlerin kişisel verilerin güvenli, maliyetsiz ve hızlı bir biçimde aktarım olanağından aynı şekilde yararlanabilmeleri, ekonomik kazanç sağlayabilmeleri ve bu anlamda tek taraflı bir tanımanın yaratacağı asimetri nedeniyle dezavantajlı konumda bulunmamaları için de büyük bir önem arz etmektedir.
b-3) Kurumumuz Tarafından Yürütülen Güvenli Ülke Statüsü Tayini Çalışmaları
Hâlihazırda güvenli ülke statüsü tayini için diğer devletlerden Kurumumuza iletilmiş herhangi bir talep bulunmamakla birlikte, mevcut ve potansiyel ticari ilişkiler, coğrafi ve/veya kültürel bağlar ve siyasi/diplomatik ilişkiler dikkate alınarak çeşitli ülkelerle görüşmeler gerçekleştirilmekte ve bu kapsamda çalışmalar yoğun bir şekilde sürdürülmektedir. Diğer taraftan, diğer kamu kurum ve kuruluşları, sivil toplum kuruluşları, meslek örgütleri ve diğer paydaşlar tarafından hakkında yeterlilik kararı verilmesinin yararlı olacağı değerlendirilen ülkelere ilişkin önerilerde bulunulması halinde Kurumumuz çalışmalarını uygun düştüğü ölçüde yönlendirmektedir. Ayrıca belirtmek gerekir ki, güvenli ülke statüsü tayinine ilişkin çalışmalar Adalet Bakanlığı, Dışişleri Bakanlığı ve Ticaret Bakanlığı ile yakın iş birliği içerisinde yürütülmektedir. Bu çerçevede; Kurumumuz tarafından güvenli ülke statüsü tayini ile ilgili olarak muhtelif ülkelerle görüşmelerimiz devam etmekte olup, Avrupa Birliği (AB) ile hem resmi hem de gayri resmi nitelikte yapılan görüşmeler kapsamında gerek karşılıklı yeterlilik kararı verilmesi gerek Ülkemizde yürürlükte olan kişisel verilerin korunması mevzuatının AB müktesebatına uygun olarak güncellenmesi konularında istişarelerde bulunulmaktadır. Bununla birlikte, Kurumumuz üye devletler adına yeterlilik kararı vermeye yetkili Avrupa Komisyonunun ve Avrupa Komisyonuna yeterli koruma değerlendirmesi hususunda görüş veren Avrupa Veri Koruma Kurulunun konuya ilişkin çalışmalarını ve dokümanlarını yakından takip etmekte ve bu süreçte tesis edilen yeterlilik kararlarını inceleyerek potansiyel müzakereler için hazırlıklarını tamamlamaktadır. Bu kapsamda, Kurumumuz; ilgili diğer kamu kurum ve kuruluşları ile koordinasyon içerisinde Avrupa Komisyonu ile karşılıklı güvenli ülke görüşmelerinin yürütülebilmesi için gerekli her türlü tedbiri almış durumdadır.
b-4) Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi (108 sayılı Sözleşme)
b-4-1) 108 sayılı Sözleşmenin 12 nci maddesinin Ülkemizdeki uygulamasına ilişkin olarak:
Bilindiği üzere, 108 sayılı Sözleşmenin “Kişisel verilerin sınır ötesi akışı ve iç hukuk” başlıklı 12 nci maddesi,
“1) Otomatik işleme konu olan veya otomatik işleme konu olmak üzere toplanmış kişisel verilerin her türlü yoldan ulusal sınırların ötesine transferinde aşağıdaki hükümler uygulanır.
2) Bir Taraf, münhasıran özel yaşamın korunması amacıyla kişisel verilerin diğer bir Tarafa sınır ötesi akışını yasaklayamaz veya özel müsaadeye tabi tutamaz.
3) Bununla birlikte her bir Taraf, 2 nci fıkradaki hükümlere aşağıdaki durumlarda istisna getirebilir:
a) Kendi mevzuatının, belli kişisel veri veya otomatik kişisel veri dosyası kategorileri için, bu verilerin veya dosyaların doğasından kaynaklanan özel düzenlemeler içermesi, diğer Tarafın düzenlemelerinin ise eşdeğer bir koruma içermemesi durumunda;
b) Bu transferin bir Tarafın ülkesinden, bir diğer taraf üzerinden Taraf olmayan bir devletin ülkesine yapılması durumunda, bu bendin başında atıfta bulunulan Tarafın mevzuatının boşluklarından yararlanmak üzere yapılacak bu tür transferleri engellemek amacıyla.”
hükmünü amir bulunmakta olup, düzenlemede Sözleşmeye taraf devletlerin yalnızca özel hayatın korunması gerekçesiyle diğer taraf devletlere gerçekleşecek kişisel veri aktarımlarını yasaklayamayacakları veya özel bir izin mekanizması öngörmek suretiyle kısıtlayamayacakları öngörülmüştür. 108 sayılı Sözleşmeye ilişkin Açıklayıcı Raporda da (Rapor) hükmün ikinci fıkrasında yer alan düzenlemenin amacının, Sözleşmeye taraf ülkelerin kişisel verilerin korunması bakımından yeterli düzeyde güvenceleri sağladığı yönündeki ön kabulden hareketle taraf ülkeler arasında veri akışının kolaylaştırılması olduğu belirtilmiştir. Bununla birlikte, hükmün taraf devletler arasındaki veri akışının bildirime tabi kılınmasına veya tarafların iç hukuklarında belirli durumlarda yurt içinde veya sınıraşan nitelikte aktarımları yasaklamaya yönelik düzenlemeler yapabilme imkânını ortadan kaldırmadığı açıklaması da yapılmıştır (Avrupa Konseyi, Explanatory Report to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, Paragraf 67. https://rm.coe.int/CoERMPublicCommonSearchServices/DisplayDCTMContent?documentId=09000016800ca434).
Öte yandan, Kanunun 9 uncu maddesinin dördüncü fıkrasının (a) bendinde Kurulun veri aktarımına izin verip vermeyeceğine ilişkin yapacağı değerlendirmede Ülkemizin taraf olduğu uluslararası sözleşmelerin dikkate alınacağı hükme bağlanmıştır. Bu anlamda, kişisel verilerin aktarılacağı ülkenin 108 sayılı Sözleşmeye taraf olmasının Kurulun değerlendirmesine esas teşkil edecek unsurlardan biri olduğu anlaşılmaktadır. Nitekim 108 sayılı Sözleşmeye taraf olma durumu, yeterli korumanın bulunduğu ülkelerin Kurulca belirlenmesinde kullanılmak üzere Kurulun 02/05/2019 tarihli ve 2019/125 Kararında kabul edilen kriterler arasında da yer almaktadır. Bununla birlikte, maddede aktarıma konu kişisel verilerin niteliği ile işlenme amaç ve süresi, aktarımın yapılacağı ülkedeki veri koruma mevzuatı ve uygulaması ve bu ülkedeki veri sorumlusu veya veri işleyenin taahhüt edeceği önlemler gibi özellikle kişisel verilerin etkin bir biçimde korunmasını sağlamaya yönelmiş hususlar ile Ülkemiz ile aktarımın yapılacağı ülke arasında veri aktarımına ilişkin karşılıklılık durumunun da Kurulun değerlendirmesinde göz önünde bulunduracağı düzenlenmiştir.
Bu çerçevede, yukarıda belirtildiği üzere, sözleşmeye taraf devletlerin iç hukuklarında belirli durumlarda yurt dışına veri aktarımını yasaklamaya yönelik düzenleme yapabileceğine ilişkin Raporda yer alan açıklama ve Kurulun yabancı ülkede yeterli koruma bulunup bulunmadığına ilişkin yapacağı değerlendirmede hem 108 sayılı Sözleşme gibi Ülkemizin taraf olduğu uluslararası sözleşmeleri hem de kişisel verilerin korunması veya özel hayatın gizliliğini koruma amacını taşımadan aktarımın yapılacağı ülke ile karşılıklılık halini değerlendireceğine ilişkin Kanunun 9 uncu maddesinde yer verilen düzenleme dikkate alındığında Kanunda öngörülen kişisel veri aktarım rejiminin 108 sayılı Sözleşme ile uyumlu olduğu açıktır.
b-4-2) 108 sayılı Sözleşmenin 12 nci maddesinin AB’deki uygulamasına ilişkin olarak:
AB hem mülga 95/46/AT sayılı Direktif hem de Gerçek Kişilerin Kişisel Verilerin İşlenmesi Bakımından Korunması ve Bu Verilerin Serbest Dolaşımı Hakkında ve 95/46/AT sayılı Direktifi Yürürlükten Kaldıran 27/04/2016 tarihli ve (AB) 2016/679 sayılı Avrupa Parlamentosu ve Konsey Tüzüğü (Genel Veri Koruma Tüzüğü-GVKT) hükümleri uyarınca 108 sayılı Sözleşmeye taraf olan ülkeleri herhangi başka bir değerlendirmede bulunmadan yeterli korumaya sahip ülke olarak nitelendirmemekte ve Sözleşmeye taraf olmayı yalnızca yeterlilik değerlendirmesinde dikkate alacağı bir kriter olarak kabul etmektedir. Nitekim 108 sayılı Sözleşmeye taraf olsa dahi bir ülkenin ancak yeterli koruma sağlayıp sağlamadığına ilişkin hakkında yapılacak ayrı bir değerlendirme sonrasında güvenli ülke olarak ilan edildiği görülmektedir(Örnek: İsviçre). Öte yandan AB, 108 sayılı Sözleşmeye ek Denetleyici Makamlar ve Sınıraşan Veri Akışına İlişkin Protokolün yürürlüğe girmesinden sonra da Sözleşmeye ve Protokole taraf ülkeler için aynı süreci işletmiştir (Örnek: Andorra).
Kurulun “Kişisel verilerin 108 sayılı Sözleşme dayanak gösterilerek yurt dışına aktarılması” hakkında 22.07.2020 tarihli ve 2020/559 sayılı Kararında yukarıdaki değerlendirmeler çerçevesinde 108 sayılı Sözleşmenin 12 nci maddesi hükmünü gerekçe göstererek Kanunun 9 uncu maddesinin ikinci fıkrası uyarınca aktarım tarafları arasında düzenlenmiş yazılı bir taahhütnamenin ve Kurulun izninin bulunmaması nedeniyle yurt dışına kişisel veri aktarımı gerçekleştiren bir veri sorumlusu hakkında idari para cezasına hükmedilmiştir. Ancak belirtilmesinde fayda görülmektedir ki, söz konusu karar birtakım eleştirilerde ifade edildiği gibi yurt dışına veri aktarımını imkânsız hale getirmemektedir. Kararla, Ülkemizin taraf olduğu 108 sayılı Sözleşme ve Sözleşmeye Ek Protokolün uygulamasına Kurumumuzun yaklaşımı açıklanmakta ve 108 sayılı Sözleşmeye taraf olma durumunun Kurumumuz tarafından güvenli ülke statüsü tayini için yeterli olmadığı vurgulanarak veri sorumlularının Kanunun 9 uncu maddesi uyarınca yazılı bir korumayı taahhütte bulunarak kişisel veri aktarımlarını gerçekleştirmeleri gerektiği belirtilmektedir.
c) Yeterli Koruma Bulunmayan Ülkelere Kişisel Veri Aktarımı
Kanunun 9 uncu maddesinin ikinci fıkrasının (b) bendi kapsamında yeterli korumanın bulunmadığı ülkelere aktarımın gerçekleştirilebilmesi için aktarım taraflarının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun aktarıma izin vermesi gerekmektedir. Kurul öncelikle, yurt dışına kişisel veri aktarımında veri sorumlusu tarafından hazırlanacak taahhütnamelerde yer alacak asgari unsurları belirlemiştir. Daha sonrasında ise çok uluslu şirket topluluklarını oluşturan şirketler arasında gerçekleştirilecek topluluk içi aktarımlarda Bağlayıcı Şirket Kuralları alternatif bir yeterli koruma sağlama yolu olarak belirlenmiştir.
c-1) Taahhütnameler
Kurumumuz tarafından hem veri sorumlusundan veri sorumlusuna hem de veri sorumlusundan veri işleyene gerçekleştirilecek yurt dışına kişisel veri aktarımlarında kullanılmak üzere iki tür taahhütname hazırlanmıştır. Ancak, Kurumumuza veri sorumluları tarafından yapılan başvurularda taahhütnamelerin ekinde yer alan söz konusu kişisel veri aktarımının dayandığı işleme şartına, amacına, aktarıma konu veri kategorilerine, veri konusu kişi grubuna veya gruplarına, aktarım yapılacak tarafın alacağı idari ve teknik tedbirlere ve saklama süresi gibi unsurlar ile ilgili açıklamaların aktarıma izin verilip verilmeyeceğine ilişkin değerlendirmeye esas teşkil edilebilecek detayda ve açıklıkta olmadığı görülmüştür. Ayrıca, yapılan başvuruların idari makamlara yapılacak başvurularda riayet edilmesi gereken usul ve esaslara uygun olmadan gerçekleştirildiği tespit edilmiştir. Bunun üzerine bahse konu taahhütnamelerin hazırlanmasında veri sorumluları tarafından dikkat edilmesi gereken gerek usule gerek esasa ilişkin hususlar ile ilgili detaylı bir kamuoyu duyurusu hazırlanarak Kurumumuzun resmi internet sitesinde yayımlanmıştır.
Diğer taraftan belirtmek gerekir ki, yurt dışına kişisel veri aktarımı gerçekleştirmek amacıyla yapılan başvurular, Kurumumuzun ilgili tüm birimleri tarafından hem hukuki hem teknik boyutlarıyla titizlikle incelenmekte ve mümkün olan en kısa süre içerisinde başvuruculara geri dönüş yapılarak eksikliklerin tamamlanması veya düzeltmelerin yapılması için ek süre tanınmaktadır. Bu anlamda, başvurucular desteklenmekte ve iş süreçlerinin aksamaması adına gerekli yönlendirmeler yapılmaktadır. Dolayısıyla, Kurumumuzun taahhütnamelerin onaylanması ve aktarıma izin verilmesi sürecinde zorlaştırıcı bir yaklaşım benimsediği eleştirisi gerçeği yansıtmamaktadır.
c-2) Bağlayıcı Şirket Kuralları
Kurumumuz tarafından veri sorumlularının organizasyonlarının ve iş süreçlerinin farklılık gösterdiği dikkate alınarak kişisel verilerin yurt dışına aktarılabilmesi için uygun güvencelerin oluşturulması gereğini karşılayacak alternatif bir yöntem olarak Bağlayıcı Şirket Kuralları oluşturulmuştur. Bu kapsamda, çok uluslu grup şirketleri arasında yapılacak aktarımlarda kullanılabilecek Bağlayıcı Şirket Kurallarına ilişkin başvuru formu ve Bağlayıcı Şirket Kurallarında bulunması gereken temel hususlara ilişkin yardımcı doküman yayımlanarak ilgililerin kullanımına sunulmuştur. Çok uluslu grup şirketlerinin, kendilerine özgü yapılarına, ihtiyaçlarına ve faaliyet gösterdikleri sektörün gereklerine uygun olarak hazırladıkları ve birbirleri arasında gerçekleştirilecek yurt dışına veri aktarımlarında uymayı taahhüt ettikleri kuralların Kurul tarafından uygun bulunması halinde Kanunun 9 uncu maddesinin ikinci fıkrasının (b) bendinde düzenlenmiş yeterli korumayı taahhüt etme yükümlülüklerini yerine getirmiş olacaklardır. Ayrıca belirtmek gerekir ki, söz konusu yöntem AB’de kişisel verilerin korunmasında temel düzenleme niteliği haiz Genel Veri Koruma Tüzüğünde de hakkında yeterlilik kararı verilmemiş ülkelere yapılacak aktarımlarda kullanılabilecek uygun güvenlik düzeyini sağlama yöntemlerinden biri olarak öngörülmektedir.
d) Kişisel Verilerin Yurt Dışına Aktarımına İlişkin Diğer Kanunlarda Öngörülen Düzenlemeler
Kanunun 4 üncü maddesinin birinci fıkrası “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünü amirdir. Bu anlamda, Kanun çerçeve düzenleme niteliğini haiz olarak yurt dışına aktarım dâhil olmak üzere kişisel verilerin işlenmesine ilişkin temel usul ve esasları belirlemekte; sektörlere ilişkin farklı düzenlemelerin bulunması halinde bu düzenlemeleri tamamlayıcı bir rol üstlenmektedir. Diğer bir deyişle, farklı alanlarda sürdürülen kişisel veri işleme faaliyetlerinin tabi olduğu kanuni düzenlemeler Kanun ile beraber uygulanmakta ve bu şekilde söz konusu faaliyetlerin kendine özgü yapısından kaynaklanan gereklilikler de yerine getirilmiş olmaktadır. Kurumumuz da bütüncül bir bakış açısıyla hem mevzuatı tümüyle göz önünde bulundurarak hem de söz konusu kişisel veri işleme faaliyeti özelinde dikkate alınması gereken diğer unsurları tespit ederek faaliyetlerini yürütmektedir.
Yine Kanunun 9 uncu maddesinin altıncı fıkrasında “Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” düzenlemesine yer verilmiştir. Anayasanın 90 ıncı maddesinin beşinci fıkrasında ise; “Usulüne göre yürürlüğe konulmuş milletlerarası antlaşmalar kanun hükmündedir. (…)” denilmek suretiyle milletlerarası antlaşmaların usulüne uygun olarak iç hukukumuza dâhil edilmesi halinde kanun hükmünde sayılacağı açıkça düzenlenmiştir. Bu çerçevede, kanunlarda ve usulüne göre yürürlüğe konulmuş milletlerarası antlaşmalarda kişisel verilerin yurt dışına aktarımına ilişkin bir düzenlemenin mevcut olması halinde, bu düzenlemeye göre hareket edilecektir. Nitekim Kurulun bankacılık sektörüne ilişkin olarak vermiş olduğu bir kararında 5411 sayılı Bankacılık Kanununun 73 üncü maddesinde öngörülen düzenleme çerçevesinde yapacağı aktarımların Kanunun diğer hükümleri ile bağlı kalınmak şartıyla Kanunun 9 uncu maddesinin altıncı fıkrası uyarınca gerçekleştirilebileceği ifade edilmiştir.
SONUÇ
Kişisel verilerin korunmasını isteme hakkı, Anayasanın “Temel Haklar ve Ödevler” başlıklı ikinci kısmının “Kişinin Hakları ve Ödevleri” başlıklı ikinci bölümünde yer alan 20 nci maddenin üçüncü fıkrasında,
“IV. Özel hayatın gizliliği ve korunması
A. Özel hayatın gizliliği
Madde 20 – …
(Ek fıkra: 7/5/2010-5982/2 md.) Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.”
şeklinde düzenlenerek bir temel hak ve özgürlük olarak tanınmıştır. Bu anlamda, Kurumumuz her geçen gün daha fazla tehdit altında olan bir temel hak ve özgürlüğün korunması amacına hizmet etmektedir. Diğer ülkelerde faaliyet gösteren veri koruma otoriteleri gibi Kurumumuz da bu bilince sahip olarak kişisel veri işleme faaliyetinde bulunan aktörleri eğitici ve yönlendirici çalışmalarda bulunmakla birlikte gereken durumlarda bir kanun uygulayıcısı olarak bu aktörler hakkında idari yaptırım da tesis etmekte olup, Kurumumuzun sürdürdüğü faaliyetler bireyleri en üst düzeyde korumaya yönelmiş bulunmaktadır. Bununla birlikte, teknolojik gelişmeler sonucu ortaya çıkan olanaklardan Ülkemizin de faydalanabilmesi adına söz konusu gelişmeler takip edilerek kişisel verilerin korunması hukukuna uygun şekilde uygulamaların geliştirilmesine de katkı sağlanmaya çalışılmaktadır. Bu kapsamda, kişisel verilerin yurt dışına aktarılmasına ilişkin olarak Kurumumuzca yürütülen güvenli ülke çalışmaları devam etmektedir. Bu noktada önemle ifade etmek gerekir ki, kamuoyunda sorun olarak görülen yurt dışına veri aktarımında Kurul’un iznini öngören süreç, Kanunun 9 uncu maddesinde emredici bir şekilde hükme bağlanan düzenlemenin bir sonucudur.
Kamuoyuna saygı ile duyurulur.
https://www.kvkk.gov.tr/Icerik/6828/YURTDISINA-VERI-AKTARIMI-KAMUOYU-DUYURUSU
Bilindiği üzere 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) göre kişisel verileri işleyen gerçek ve tüzel kişilerin Veri Sorumluları Siciline (Sicil) kayıt olması gereken tarihler Kişisel Verileri Koruma Kurulunca (Kurul) ilan edilmiştir.
Başkanlığımızca Hazine ve Maliye Bakanlığından elde edilen 2019 yılı verilerine göre yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olduğu görülmesine rağmen 01.10.2020 tarihi itibariyle henüz Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) kayıt başvurusunda bulunmayan veya başvuruda bulunduğu halde bildirimini tamamlamayan veri sorumlularının olduğu tespit edilmiştir.
Bu tesbite istinaden Kişisel Verileri Koruma Kurulu tarafından yapılan inceleme ve değerlendirme sonucunda; COVID-19 ile mücadele kapsamında fiili, teknik ya da hukuki imkânsızlık nedeniyle bazı veri sorumlularının Sicile kayıt yükümlülüğünü yerine getiremediği göz önüne alınarak, Veri Sorumluları Sicili Hakkında Yönetmeliğin 8 inci maddesi uyarınca ve Kanunun Geçici 1 inci maddesiyle Kurula verilmiş olan yetki çerçevesinde, Sicile kayıt yükümlülüğünü yerine getirmemiş olan veri sorumlularına bu durumun bir yazı ile bildirilmesi Kurulun 01.10.2020 tarihli ve 2020/760 sayılı kararı ile uygun bulunmuştur.
Söz konusu yazıyla Kurul tarafından kendilerine bildirilen süre içerisinde, ilgili veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri gerekmektedir.
Kamuoyuna saygıyla duyurulur.
NOT: VERBİS’e kayıt işlemleri halen devam etmektedir.
Duyuru Adresi: https://www.kvkk.gov.tr/Icerik/6819/SICILE-KAYIT-YUKUMLULUGU-HAKKINDA-KAMUOYU-DUYURUSU
AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ HAKKINDA KAMUOYU DUYURUSU
6698 sayılı Kişisel Verilerin Korunması Kanunu, Kanuna ilişkin ikincil mevzuat ve Kişisel Verileri Koruma Kurulunun vermiş olduğu kararlar çerçevesinde, veri sorumlularının bir takım yükümlülükleri bulunmaktadır. Bu yükümlülüklerden birisi de, Kanunun 10 uncu maddesinde yer alan aydınlatma yükümlülüğüdür.
Aydınlatma yükümlülüğü, veri sorumluları için bir yükümlülük olmakla birlikte kişisel verisi işlenen gerçek kişiler için de bir haktır. İlgili kişinin, işlenen kişisel verileri hakkında bilgilendirilmesini ifade eden aydınlatma yükümlülüğü, kişisel veri işlemenin hukuka uygun şekilde yerine getirilebilmesi için olmazsa olmaz bir şarttır.
Aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişinin talebine bağlı bir yükümlülük değildir. Ayrıca veri sorumlusu, kişisel veri işlerken ilgili kişinin açık rızasının ya da diğer kişisel veri işleme şartlarından birinin bulunması durumlarının her birinde aydınlatma yükümlülüğünü yerine getirmelidir. Çünkü aydınlatma yükümlülüğü, gerek açık rıza gerekse de Kanunda sayılan diğer kişisel veri işleme şartlarından bağımsız olarak her durumda yerine getirilmesi gereken bir yükümlülüktür.
Kurumumuza yapılan ihbar ve şikayet başvuruları üzerine ilgili veri sorumlularınca Kuruma iletilen bilgi ve belgeler üzerinden veya Kurulca inceleme ve araştırma yapılması öngörülen diğer dokümanlar üzerinden yapılan değerlendirme sonucunda;
- Aydınlatmanın, veri sorumlusu tarafından kişisel verilerin ilgili kişiden elde edilmesi sırasında yapılmadığı, sonradan yapıldığı veya hiç yapılmadığı,
- Aydınlatma içeriğinin, 6698 sayılı Kanunun 10 uncu maddesinde sayılan hususları kapsar nitelikte olmadığı,
- Aydınlatmada; kişisel veri işleme amacının, işleme faaliyeti ile sınırlı, belirli, açık veya meşru olmadığı, gelecekte gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadelerin kullanıldığı,
- Aydınlatmanın asgari unsurlarından olan “hukuki sebep” ile “işleme amacı”nın aynı anlamda kullanıldığı veya hukuki sebep unsuruna hiç yer verilmediği,
- Aydınlatma amacıyla kullanılan metinlerde anlaşılır, açık ve sade bir dil kullanılmadığı, genel nitelikte, farklı anlaşılmaya müsait, eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verildiği,
- Aydınlatma sürecinde, aktarım amacına ve aktarılan alıcı grubu ya da gruplarına yeterince yer verilmediği,
- Aydınlatma metinlerinin, genellikle işleme faaliyeti ile sınırlı olmayan, veri sorumlusu için genel veri işleme belgesi niteliğinde olan “gizlilik politikaları” veya “veri işleme politikaları” olduğu,
- Aydınlatma metinlerinin, ilgili kişi tarafından kolayca erişilebilecek bir platformda sunulmadığı,
- Katmanlı aydınlatma yöntemi tercih edildiğinde, ilgili kişilerin ayrıntılı bilgi için başka bir mecraya yönlendirilmesinden önce, ilk aşamada temel bilgilerin sunulmadığı, detaylı aydınlatmaya erişim için uygun yol ve yöntemlerin izlenmediği, genellikle gizlilik politikaları veya veri işleme politikalarına yönlendirildiği,
- Açık rıza ve aydınlatmanın aynı metin veya platformda aynı başlık altında birlikte sunulduğu,
- Aydınlatma yapıldığına dair onayın talep edildiği ve onayın verilmemesi durumunda hizmetin sunulmadığı
gibi eksiklik ve mevzuata aykırılıkların bulunduğu tespit edilmiştir.
Söz konusu eksiklik ve mevzuata aykırılıklar nedeniyle veri sorumlularının Kanunda belirtilen yaptırımlarla karşılaşmamaları için aydınlatma yükümlülüğünü yerine getirirken aşağıdaki hususlara da özellikle dikkat etmesi gerekmektedir:
a) Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.
b) Aydınlatma yükümlülüğü, kişisel verilerin ilgili kişiden elde edilmesi esnasında veri sorumlusu veya yetkilendirdiği kişilerce yerine getirilmelidir.
c) Aydınlatma yükümlülüğü kapsamında yapılacak bilgilendirmenin asgari olarak, Kanunun 10 uncu maddesinde yer alan “veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile Kanunun 11 inci maddesinde sayılan ilgili kişi hakları” hususları içermesi gerekmektedir.
d) 10.03.2018 tarihli Resmi Gazetede yayımlanan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e göre; kişisel verilerin fiili imkânsızlık veya ilgili kişiye ulaşılamaması nedeniyle ilgili kişiden elde edilmemesi durumunda ise, kişisel verilerin elde edilmesinden itibaren makul bir süre içerisinde veya kişisel verinin ilgili kişiyle iletişim amacıyla kullanılacak olması durumunda ilk iletişim kurulması esnasında, kişisel verilerin aktarılacak olması halinde ise, en geç kişisel verilerin ilk kez aktarımının yapılacağı esnada ilgili kişiye yönelik aydınlatma yükümlülüğünün yerine getirilmesi gerekmektedir.
e) Aydınlatma yükümlülüğü yerine getirilirken açıklanacak olan kişisel veri işleme amacının, işleme faaliyeti ile sınırlı, belirli, açık ve meşru olması gerekmektedir. Gelecekte gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadeler kullanılmamalıdır.
f) Aydınlatma yükümlülüğü yerine getirilirken kullanılacak metinlerde anlaşılır, açık ve sade bir dil kullanılmalıdır. Ayrıca genel nitelikte, muğlak, eksik, yanıltıcı ve yanlış bilgilere yer verilmemelidir.
g) “İşleme amacı” ile “hukuki sebep”in aydınlatma yükümlülüğü yerine getirilirken ilgili kişilere yapılacak bildirimde yer alması gereken ayrı ayrı unsurlar olduğu ve veri toplamanın “hukuki sebebi” ifadesiyle, kişisel verilerin Kanunun 5 ve 6 ncı maddelerinde belirtilen işleme şartlarından hangisine dayanılarak işlendiğinin kastedildiği unutulmamalıdır.
h) İşleme faaliyeti ile sınırlı olmayan, veri sorumlusu için genel veri işleme belgesi niteliğinde olan gizlilik politikaları veya veri işleme politikaları, aydınlatma metinleri olarak kullanılmamalıdır.
i) Aydınlatmanın kolayca erişilebilir ve fark edilebilir olmasına dikkat edilmeli, ilgili kişilerin aydınlatmaya erişimini zorlaştıracak yöntemler kullanılmamalıdır.
j) Kişisel verilerin aktarımının söz konusu olduğu durumlarda, aktarımın amacına ve aktarılan alıcı grubu ya da gruplarına aydınlatmada ayrıca yer verilmelidir.
k) Katmanlı aydınlatma yöntemi tercih ediliyorsa, ilgili kişilerin ayrıntılı bilgi için başka bir mecraya yönlendirilmesinden önce, ilk aşamada temel bilgilerin (örneğin veri sorumlusunun kimliği ve veri işlemenin amacı) sunulduğundan emin olunmalı, yönlendirilen metinlerin işleme faaliyeti ile sınırlı içeriğe sahip olduğuna dikkat edilmelidir.
Bu kapsamda veri sorumlularının, aydınlatma yükümlülüğünü yerine getirirken 6698 sayılı Kanun, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Tebliği ile Kurum internet sayfasında yayımlanmış olan Kurul kararları ve Kurumumuzca hazırlanmış olan Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberine göre hareket edilmesi gerekmektedir.
Kamuoyuna saygıyla duyurulur.
Tüm dünyada olduğu gibi ülkemizde de etkisini gösteren Covid-19 virüs salgını nedeniyle bazı işyerlerinin fiziksel olarak kapalı olduğu veya uzaktan / dönüşümlü çalışma modeli uygulandığı, bu nedenle veri sorumlularınca kişisel veri işleme envanteri hazırlama çalışmalarının yapılamadığı ve Veri Sorumluları Siciline (Sicil) kayıt yükümlülüğünün süresinde yerine getirilemediği gerekçesiyle Sicile kayıt sürelerinin uzatılmasına ilişkin Türkiye Odalar ve Borsalar Birliği (TOBB) ile muhtelif sektör temsilcileri tarafından Kuruma intikal ettirilen taleplerin değerlendirilmesi neticesinde Kişisel Verileri Koruma Kurulunun 23/06/2020 tarihli ve 2020/482 sayılı Kararı ile;
- Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 30.09.2020 tarihine,
- Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.03.2021 tarihine,
- Kamu kurum ve kuruluşu veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.03.2021 tarihine,
kadar uzatılmasına,
- Anılan kararın Kurum internet sayfasında duyurulması ve Resmi Gazete’de yayımlanmasına
oybirliği ile karar verilmiştir.
Kamuoyuna saygıyla duyurulur.
Kişisel verilerin yurt dışına aktarılması, 6698 sayılı Kişisel Verilerin Korunması Kanununun (6698 sayılı Kanun) 9 uncu maddesi ile düzenlenmektedir. Anılan madde hükmüne göre, kişisel verinin aktarılacağı ülkede yeterli korumanın bulunmaması durumunda kişisel veriler, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu’nun (Kurul) izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.
Bilindiği üzere Kurul, Türkiye’de yerleşik veri sorumlusu tarafından yeterli veri koruması bulunmayan ülkelerde yerleşik veri sorumlusuna/veri işleyene kişisel verilerin aktarımında, ilgili tarafların yeterli bir korumayı yazılı olarak taahhüt etmelerine imkân sağlayan yöntemlerden birini “Taahhütnameler” olarak belirlemiş ve taraflarca hazırlanarak Kurul onayına sunulacak Taahhütnamelerde bulunması gereken asgari unsurları da belirleyerek ilan etmişti. Bu kapsamda söz konusu taahhütnamelerin Kurul tarafından onaylanması akabinde yurt dışına veri aktarımı mümkün olabilmektedir.
Bununla birlikte söz konusu taahhütnameler, genellikle şirketler arasında gerçekleştirilecek iki taraflı veri aktarımlarını kolaylaştırmakla birlikte çok uluslu şirket toplulukları arasında yapılacak veri aktarımları bakımından uygulama pratiğini sağlamakta yetersiz kalabilmektedir. Bu nedenle Kurul tarafından, söz konusu şirketler arasında gerçekleştirilecek uluslararası veri aktarımlarında kullanılmak üzere diğer bir yöntem olarak da “Bağlayıcı Şirket Kuralları” belirlenmiştir.
Bağlayıcı Şirket Kuralları, yeterli korumanın bulunmadığı ülkelerde faaliyet gösteren çok uluslu grup şirketleri için kişisel verilerin yurt dışına aktarımında kullanılan ve yeterli bir korumanın yazılı olarak taahhüt edilmesini sağlayan veri koruma kurallarıdır. Bu kapsama giren şirketlerin, ilgili formu doldurup gerekli talimatları izleyerek Kuruma, Bağlayıcı Şirket Kuralları başvurusu yapması gerekmektedir.
6698 sayılı Kanunun 9 uncu maddesinin (2) numaralı fıkrasının (b) bendi gereğince, söz konusu başvurular Kurul’un iznine tabidir.
Veri Sorumluları İçin Bağlayıcı Şirket Kuralları Başvuru Formu
Dünya genelinde yayılma gösteren Covid-19 (Koronavirüs) virüsünün neden olduğu hastalıktan korunmak adına ülkemiz de dâhil olmak üzere tüm devletlerin çeşitli önlemlere ve tedbirlere başvurdukları bilinmektedir. Bu noktada, karantina, sosyal mesafe ve sosyal izolasyon gibi geleneksel tedbirlerin yanında, teknolojik imkanlardan yararlanıldığı da görülmektedir.
Bu kapsamda, çeşitli ülkelerde koronavirüsün yayılımını önlemek amacıyla; mobil uygulamalar vb. yöntemlerle; bu hastalığı taşıyan veya taşıma riski bulunan kişilerle temasa geçenlerin tespit edilmesi, virüsün yayılma haritası çıkartılarak tedavi ve karantina uygulanması, karantinaya alınanların kontrolü, sokağa çıkma yasağının uygulanması, kalabalık yerlerin tespiti gibi amaçlarla ilgili kişilerin sağlık, konum ve iletişim bilgileri gibi kişisel verileri işlenmektedir.
Salgın hastalık vb. durumlarda toplum sağlığının korunması ve böylece kamu düzeni ile kamu güvenliğinin sağlanmasını teminen yetkili kurum ve kuruluşlarca bu tür yöntemlere başvurulması yasal olarak mümkündür. Böyle durumlarda kişisel verilerin güvenliğinin gözetilmesi gerektiği de tartışmasızdır.
Bu çerçevede, konum verilerinin ve kişilerin hareketliliklerinin izlenmesi gibi kişisel verilerin işlenmesinin hukuka uygun olması için, bu faaliyetlerin veri koruma hukukuna egemen olan temel ilkeler çerçevesinde gerçekleştirilmesi gerekmekte olup konunun hukukumuz açısından değerlendirilmesinde fayda görülmüştür.
Konum verisi, Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelikte “Kamuya açık elektronik haberleşme hizmeti kullanıcısına ait bir cihazın coğrafi konumunu belirleyen ve elektronik haberleşme şebekesinde veya elektronik haberleşme hizmeti aracılığıyla işlenen belirli veri” olarak tanımlanmakta olup, gerçek kişileri belirlenebilir kılan konum verisinin 6698 sayılı Kişisel Verilerin Korunması Kanunu (6698 sayılı Kanun) kapsamında kişisel veri olduğu açıktır.
Konum verisinin ilgili kişi ile ilişkilendirilerek kullanılmasının gerekli olduğu durumlarda;
6698 sayılı Kanunun 28 inci maddesinin (1) numaralı fıkrasının (ç) bendinde, kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi halinde Kanun hükümlerinin uygulanmayacağı düzenlenmiştir.
Bu noktadan hareketle salgın hastalık gibi kamu düzeni ve kamu güvenliğini tehdit eden durumlarda bu tehdidi ortadan kaldırabilmek amacıyla salgın hastalık teşhisi konmuş kişilerin bulaşıcılığının sürdüğü dönemde izolasyonlarının temin edilmesine, genel nüfusun konum verilerinin işlenmesi suretiyle kalabalık alanların tespit edilmesine ve bu kapsamda önlemler geliştirilmesine yönelik olarak yetkili kamu kurum ve kuruluşları tarafından gerçekleştirilecek veri işleme faaliyetleri Kanunun 28 inci maddesinin (1) numaralı fıkrasının (ç) bendi kapsamında değerlendirilmektedir.
Bu çerçevede, Covid-19’un sebebiyet verdiği salgın hastalığın kamu güvenliğini ve kamu düzenini tehdit etmesi sebebiyle hastalığın yayılımını engellemek amacıyla konum verisinin anılan madde hükmü kapsamına giren kamu kurum ve kuruluşları tarafından işlenmesinin önünde bir engel bulunmamaktadır.
Diğer taraftan kişilerin konum verilerinin sağlık durumlarıyla ilişkilendirilmek suretiyle işlenmesi sürecinde söz konusu verilerin üçüncü kişilerce ele geçirilmesi halinde ilgili kişiler bakımından ciddi zararlar ortaya çıkabileceği dikkate alınarak, ilgili kurum ve kuruluşların kişisel verilerin güvenliğini sağlamaya yönelik gerekli her türlü teknik ve idari tedbirleri almaları ve bu verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde söz konusu kişisel verilerin silinmesi veya yok edilmesi unutulmamalıdır.
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun 15. maddesinde “Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.” hükmü yer almakta olup, bu kapsamda Kurumumuza intikal eden şikayetler Kişisel Verileri Koruma Kurulunca sonuçlandırılmaktadır.
Bu süreçte, vatandaşlarımızın başvurularının daha hızlı ve etkin bir şekilde Kurumumuza iletebilmeleri ve takip edebilmelerini teminen “KVKK Şikayet Modülü” 09.01.2020 tarihi itibariyle hizmete açılmış olup, söz konusu Modüle https://sikayet.kvkk.gov.tr internet bağlantısından ulaşılabilmektedir.
Kamuoyuna saygıyla duyurulur.
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasında veri sorumlusunun;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu, (5) numaralı fıkrasında ise, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildireceği, Kurulun, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükme bağlanmıştır.
Bu kapsamda 24.01.2019 tarih ve 2019/10 sayılı Kurul kararı ile Kurula yapılacak veri ihlal bildiriminde kullanılmasına karar verilen “Kişisel Veri İhlal Bildirim Form”unun https://ihlalbildirim.kvkk.gov.tr/ internet bağlantısı yoluyla da Kurula iletilebilmesi mümkün hale getirilmiştir.
Kamuoyuna saygıyla duyurulur.
KAMUOYU DUYURUSU
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun ‘Veri Sorumlusunun Aydınlatma Yükümlülüğü’ başlıklı 10 uncu maddesi “(1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.” hükmünü amirdir.
Kurumumuzca yapılan incelemelerde başta medya kuruluşları olmak üzere muhtelif kurum/kuruluş/firma vb veri sorumlularının internet sayfalarında sunulan aydınlatma metinlerinde kişisel verilerin işlenmesi hususunda uygulanan politika ve kurallara yönelik açıklamalarda doğrudan Avrupa Genel Veri Koruma Tüzüğüne (GDPR) atıf yapıldığı görülmektedir.
Bu kapsamda Kişisel Verileri Koruma Kurulunun 30.10.2019 tarih ve 2019/315 sayılı Kararı uyarınca; bahse konu veri sorumluları tarafından aydınlatma yükümlülüğünün yerine getirilmesi amacıyla hazırlanan metinlerde GDPR’a uyum sağlandığına yönelik ifadelere yer verilmesinin, veri sorumlularının 6698 sayılı Kişisel Verilerin Korunması Kanununa karşı yükümlülüklerini ortadan kaldırmadığının, bu itibarla GDPR’a yapılan atıfların yanı sıra söz konusu aydınlatma metinlerinde belirtilen politika ve kuralların öncelikle 6698 sayılı Kişisel Verilerin Korunması Kanununa uygun olduğunun belirtilmesi gerektiğinin hatırlatılmasında fayda görülmektedir.
Diğer taraftan veri sorumlularınca yayımlanan aydınlatma metinlerinde Kanunun 10 uncu maddesi ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin 4 üncü maddesi hükümlerine uygun şekilde;
- Veri sorumlusunun ve varsa temsilcisinin kimliği,
- Kişisel verilerin hangi amaçla işleneceği,
- Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
- Kişisel veri toplamanın yöntemi ve hukuki sebebi (Kanunun 5 ve 6 ncı maddesinde yer alan işleme şartlarından hangisine dayanıldığının açıkça belirtilmesi)
- İlgili kişinin Kanunun 11 inci maddesinde sayılan diğer hakları
hususlarına açıkça yer verilmesi, muğlak ve belirsiz ifadelerden mutlak surette kaçınılması gerekmektedir.
Kamuoyuna saygıyla duyurulur.
Kişisel Verilerin Korunması Kanunu Uyum Sürecine İlişkin Duyuru
6698 sayılı Kişisel Verilerin Korunması Kanunu, bununla ilişkili ikincil mevzuat ve Kişisel Verileri Koruma Kurulu’nun vermiş olduğu kararlar çerçevesinde veri sorumlularının yükümlülükleri belirlenmiştir. Bu kapsamda, veri sorumlularının hukuka uygun veri işleme “Veri Sorumluları Sicil Bilgi Sistemine” (VERBİS) kayıt, buna bağlı olarak “Kişisel Veri İşleme Envanteri” ile “Saklama ve İmha Politikası" hazırlama ve kişisel veri güvenliğine ilişkin teknik ve idari tedbirleri almak gibi yükümlülükleri bulunmaktadır.
Veri işleme faaliyetinin yukarıda belirtilen mevzuatlara uyumlu olarak gerçekleştirilmesi için veri sorumlularının ve veri işleyenlerin bu yükümlülüklerin kaynağı olan başta kişisel verilerin işlemesinin genel ilkeleri olmak üzere kişisel veri koruma alanında genel bir bilgi sahibi olması gerektiği yadsınamaz. Bu sebeple, Kişisel Verileri Koruma Kurumu tarafından veri sorumlularının bu yükümlülüklere uyumunu kolaylaştırmak amacıyla birçok rehber, kılavuz ve doküman hazırlanmış ve www.kvkk.gov.tr adresinde paylaşılmıştır. Kurum, ayrıca, ilgili kişileri ve veri sorumlularını aydınlatmak ve hızlı bir şekilde sorularının cevaplanması amacıyla “VERİ Koruma Hattı” (ALO 198) adı ile bir bilgi danışma hattı kurmuştur. Bu çalışmalar, Kurum tarafından düzenli olarak yapılan farkındalık artırma ve bilgilendirme faaliyetleri vasıtasıyla da farklı platformlarda desteklenmektedir.
Kurul, şikâyet üzerine ya da re’sen yaptığı incelemelerde veri sorumlularının bu yükümlülükleri yerine getirip getirmediğini hukuki ve teknik açıdan birçok unsuru içeren geniş bir perspektiften değerlendirmekte ve karar vermektedir. Bu noktada Kurulun, sadece Kanun ve ikincil mevzuatta belirtilen yükümlülüklere uyumu göz önünde bulundurduğunun ve bu uyum çalışmalarının veri sorumlusu bünyesinde ya da dışarıdan destek almak suretiyle yürütülüp yürütülmediği konusunda bir değerlendirmede bulunmadığının belirtilmesi gerekmektedir.
Nihayetinde, veri sorumlularının tabi olduğu yükümlülüklerin çeşitliliği gereği bu yükümlülüklerin ancak disiplinler arası ortak bir çalışmanın neticesinde yerine getirilebilir olduğu hususu da göz önünde bulundurulmalıdır.
Kurum tarafından gerçekleştirilen yukarıda belirtilen çalışmaların neticesinde vatandaşlar ile özel sektör ve kamu kurumlarının temsilcileri arasında kişisel verilerin korunması alanındaki bilgi birikimi son dönemde hızla artmakta ve bu durum kamuoyunda genel farkındalık düzeyine katkı sağlamaktadır.
Önümüzdeki dönemde Kurum; ülkemizdeki farkındalık seviyesi, veri sorumluları-veri işleyenler-ilgili kişilerin beklentileri, kişisel verilerin korunması alanında mevcut uygulama örnekleri, kamu kurumlarının yetki ve görevleri çerçevesindeki rolleri gibi unsurları da göz önüne alarak veri sorumluları ve veri işleyenlerin kurumsal kapasitelerinin arttırılması yoluyla yükümlülüklerini yerine getirmesini kolaylaştıran ve ilgili kişilere kişisel verilerinin işlenmesi sürecinde güven veren bir sertifikalandırma mekanizması üzerinde çalışmalarını sürdürmektedir. Kurum, bu çalışma ile ilgili detayları önümüzdeki dönemde kamuoyu ile paylaşacaktır.
Kamuoyuna saygı ile duyurulur.
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Veri Sorumlusuna Başvuru” başlıklı 13 üncü maddesinin (1) numaralı fıkrasında ilgili kişinin Kanunun uygulanmasına yönelik taleplerini yazılı olarak veya Kişisel Verileri Koruma Kurulunun (Kurul) belirlediği diğer yöntemlerle veri sorumlusuna iletmesi, (2) numaralı fıkrasında ise veri sorumlusunun başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırması gerektiği hükme bağlanmıştır.
Öte yandan, Kanunun “Kurula Şikâyet” başlıklı 14 üncü maddesinin (1) numaralı fıkrasında da başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişinin, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabileceği ifade edilmiştir.
Bu kapsamda, Kurumumuza intikal eden şikâyet başvurularının incelenmesi neticesinde veri sorumlusuna başvuru yolunu tüketen ilgili kişiler tarafından Kurula şikâyette bulunulması sürecinde Kanunda yer alan sürelerin yorumlanmasında farklılıklar olduğu görülmüştür. Bu itibarla Kanunun 14 üncü maddesinin (1) numaralı fıkrası uyarınca;
- İlgili kişi tarafından yapılan başvuruya veri sorumlusunca 30 gün içinde bir cevap verilmesi halinde ilgili kişinin veri sorumlusunun cevabını müteakip 30 gün içerisinde şikâyette bulunabileceği, bu itibarla söz konusu hallerde ilgili kişinin veri sorumlusuna başvurduğu tarihten itibaren 60 günlük süresinin bulunmadığı,
- İlgili kişi tarafından yapılan başvuruya veri sorumlusunca bir cevap verilmediği durumda ise ilgili kişinin veri sorumlusuna başvurduğu tarihten itibaren 60 gün içinde Kurula şikâyette bulunabileceği,
- İlgili kişi tarafından yapılan başvuruya veri sorumlusunca Kanunda tanınan 30 günlük süre sonrasında bir cevap verilmesi halinde ilgili kişinin, Kanunda veri sorumlusuna tanınan 30 günlük süre sonrasında verilecek cevabı beklemekle yükümlü olmadığı ve veri sorumlusuna tanınan sürenin dolması ile birlikte Kurula şikâyette bulunabileceği göz önüne alınarak, ilgili kişinin veri sorumlusunun kendisine cevap verdiği tarihten itibaren 30 gün değil, veri sorumlusuna başvurduğu tarihten itibaren 60 gün içinde Kurula şikâyette bulunabileceği
hususlarının Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/9 sayılı Kararı ile kamuoyuna duyurulması uygun görülmüştür.
Kamuoyuna saygıyla duyurulur.
Karar Tarihi | : | 14/12/2023 |
Karar No | : | 2023/2135 |
Konu Özeti | : | Köy Tüzel Kişiliklerinin Veri Sorumluları Siciline Kayıt Yükümlülüğünden İstisna Tutulması |
Kişisel Verileri Koruma Kurulu tarafından, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 16’ncı maddesinin (2) numaralı fıkrası ile Veri Sorumluları Sicili Hakkında Yönetmelik’in 16’ncı maddesinin (1) numaralı fıkrası çerçevesinde yapılan inceleme neticesinde,
- Köy kamu tüzel kişiliklerinin Veri Sorumluları Siciline kayıt yükümlülüğüne istisna getirilmesine karar verilmesine,
- Bu kararın Resmî Gazetede yayımlanmasına ve Kurum internet sitesinde duyurulmasına
oybirliği ile karar verilmiştir.
Karar Tarihi | : | 06/07/2023 |
Karar No | : | 2023/1154 |
Konu Özeti | : | Veri Sorumluları Siciline Kayıt Yükümlülüğüne İlişkin İstisna Kriterinde Değişiklik Yapılması |
Kişisel Verileri Koruma Kurulu tarafından, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 16’ncı maddesi ile Veri Sorumluları Sicili Hakkında Yönetmelik’in 8 ve 16’ncı maddeleri göz önünde bulundurularak, 19.07.2018 tarihli ve 2018/87 sayılı Kurul kararı ile Veri Sorumluları Siciline kayıt yükümlülüğüne istisna getirilmesinde kriter olarak kabul edilmiş olan “yıllık mali bilanço toplamı” tutarının ülkemizdeki ekonomik koşullar doğrultusunda yeniden değerlendirilmesi neticesinde;
- 19.07.2018 tarihli ve 2018/87 sayılı Kurul kararında yer alan “yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon Türk lirasından az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar” ifadesindeki yıllık mali bilanço toplamı tutarının güncellenmesi suretiyle “yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 100 milyon Türk lirasından az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar” şeklinde değiştirilmesine,
- Bu kararın Resmî Gazetede yayımlanması ve Kurum internet sayfasında duyurulmasına,
- Anılan kararın Resmî Gazetede yayımlandığı tarihte yürürlüğe girmesine
oybirliği ile karar verilmiştir.
Belediyelerin ödeme ve borç sorgulama hizmetleri hakkında Kişisel Verileri Koruma Kurulunun 21/04/2022 Tarihli ve 2022/388 sayılı İlke Kararı
Karar Tarihi | : | 21/04/2022 |
Karar No | : | 2022/388 |
Konu Özeti | : | Belediyelerin ödeme ve borç sorgulama hizmetleri hakkında İlke Kararı |
Kişisel Verileri Koruma Kurumuna iletilen çeşitli ihbarlarda belediyelerin çevrimiçi olarak sunmuş olduğu emlak vergisi ödeme/hızlı ödeme veya borç sorgulama sayfalarında yalnızca TC kimlik numarası girilerek vatandaşın emlak bilgilerine ulaşılmasının kişisel verilerin korunması açısından sorun teşkil ettiği ifade edilerek, konunun 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında incelenmesi talep edilmiştir.
Bilindiği üzere Kanunun 12 nci maddesinin (1) numaralı fıkrasında “Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmünü amirdir. Anılan maddenin (4) numaralı fıkrasında veri sorumluları ile veri işleyen kişilerin öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacının dışında kullanamayacağı; (5) numaralı fıkrasında ise işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildireceği, Kurulun, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükümlerine yer verilmiştir.
Bu kapsamda, kişisel verilerin işlenmesi sürecinde veri sorumlularının alması gereken teknik ve idari tedbirler konusunda uygulamada açıklık sağlanması ve iyi uygulama örnekleri oluşturması amacıyla Kişisel Verileri Koruma Kurulu tarafından hazırlanarak Kurum internet sayfasında yayımlanan Kişisel Veri Güvenliği Rehberinde (Teknik ve İdari Tedbirler) kişisel verilere gerekli durumlarda uzaktan erişilmesi halinde iki kademeli kimlik doğrulama kontrolünün uygulanması güvenliğin sağlanması adına alınması gereken tedbirler arasında sayılmaktadır. Bu itibarla kişisel verilere uzaktan erişilmesi halinde 3. kişilerin kolayca ulaşamayacağı şekilde iki aşamalı sorgulama sistemi kullanılması gerekli olup, örneğin kişinin TC kimlik numarası ve doğum günü bilgisinin sorgulanarak erişim imkânı veren sistemler tek kademeli doğrulama olarak belirlenirken, kişinin TC kimlik numarasının yanı sıra kişiye özel oluşturulmuş şifre ya da kişinin daha önce bildirmiş olduğu telefon numarasına iletilen SMS kodu ile erişim sağlanan sistemler iki kademeli doğrulama olarak kabul edilmektedir.
Kişisel Veri Güvenliği Rehberi’nin “Teknik ve İdari Tedbirler Mevcut Risk ve Tehditlerin Belirlenmesi” başlıklı 2.1 maddesinde de “Kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerekmektedir. Bu riskler belirlenirken; kKişisel verilerin özel nitelikli kişisel veri olup olmadığı, mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği, güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği dikkate alınmalıdır. Bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra; söz konusu risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri; maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda değerlendirilmeli, gerekli teknik ve idari tedbirler planlanarak uygulamaya konulmalıdır.” ifadelerine yer verilmektedir. Buna bağlı olarak kişilerin bilgilerine kolayca erişilmesi riskini barındıran tek kademe doğrulama sistemlerinin yerine bu riski önemli ölçüde azaltacak ya da ortadan kaldıracak iki faktörlü doğrulama yöntemleriyle sorgulamaların uygulamaya konulması önem arz etmektedir.
Bu çerçevede belediyeler tarafından emlak vergisi ödeme/hızlı ödeme veya borç sorgulama vb sayfalar aracılığıyla çevrimiçi olarak sunmuş oldukları hizmetler kapsamında Kanunun 12 nci maddesinde yer alan yükümlülüklerin yerine getirilmesi ve herhangi bir veri ihlalinin önlenmesi amacıyla; çift faktörlü doğrulama için ilk doğrulamanın TC kimlik no, ad soyad, vergi no, sicil no gibi verilerle yapılırken ikincil düzeydeki doğrulamanın kişiye özel oluşturulmuş SMS ya da e-postaya iletilen şifre gibi bir sistemle gerçekleştirilmesi, ikincil düzeyde kişiye ait başkalarının da erişebileceği telefon no, doğum tarihi, anne baba adı, sicil no gibi bilgiler yerine sadece kişiye özel olarak belirlenecek ve sadece ilgili kişinin erişebileceği verilerin istendiği sistemler ya da üyelik sistemi ile söz konusu hizmetlerin sunulmasının uygun olacağı değerlendirilmektedir.
Bu değerlendirmeler ışığında;
- Belediyelerin emlak vergisi ödeme/hızlı ödeme ve borç sorgulama hizmetlerinde üyelik ve şifre ya da çift faktörlü doğrulama kullanmak sureti ile Kanunun 12 nci maddesi kapsamında gerekli teknik ve idari tedbirleri alması gerektiğine,
- Söz konusu önlemleri almayan belediyeler hakkında iletilecek şikayet/ihbarlar doğrultusunda ilgili belediye hakkında Kanunun 18 inci maddesi hükümleri çerçevesinde işlem tesis edileceği hususunda kamuoyunun bilgilendirilmesine,
- Belediyelerin emlak vergisi ödeme/hızlı ödeme ve borç sorgulama hizmetlerinde Kanunun 12 nci maddesi kapsamında “üyelik ve şifre” ya da “çift faktörlü doğrulama” kullanılması gerektiği hususunda Kanunun 15 inci maddesinin (6) numaralı fıkrası kapsamında İlke Kararı alınarak Resmi Gazetede ve Kurumun internet sayfasında yayımlanmasına
oybirliği ile karar verilmiştir.
Karar Tarihi : 23/12/2021
Karar No : 2021/1304
Toplantı Sıra Sayısı : 2021/59
Konu Özeti : Araç kiralama sektöründeki kara liste uygulamaları hakkında İlke Kararı
Toplantıya Katılan Üyeler
Başkan : Prof. Dr. Faruk BİLİR
Üyeler : İsmail AYDIN, Bayram ARSLAN, Hasan AYDIN, Şaban BABA,
Murat KARAKAYA, Dr. Ayşenur KURTOĞLU, Dr. Cengiz PAŞAOĞLU
Kişisel Verileri Koruma Kurumuna intikal eden ihbarlar kapsamında Kanunun 15'inci maddesi çerçevesinde Kişisel Verileri Koruma Kurulu (Kurul) tarafından yürütülen incelemeler sonucunda araç kiralama sektöründe "kara liste" yazılımlarına/programlarına/uygulamalarına başvurulduğu anlaşılmıştır.
Araç kiralama sektöründe kullanılan bahse konu "kara liste" uygulamaları ile,
- Araç kiralama yazılımcısı ve satıcısı kişilerin araç kiralama firmalarına (veya araç kiralama işi yapan gerçek kişilere) "kara liste" özelliği de içeren araç kiralama yazılımları sundukları,
- Araç kiralama firmaları tarafından söz konusu yazılımlara kendi müşterileri olan araç kiralayan gerçek kişilerin kişisel verilerinin işlendiği; işlenen bu veriler arasında araçların kullanım sürecinde meydana gelen olumsuzlukları veya araç kiralama firmasının yorumlarını da içeren "kara liste" bilgilerinin yer aldığı,
- Bu bilgilerin araç kiralama firmaları tarafından sonraki kiralamalar için karar verirken kullanılmak üzere işlendiği,
- Öte yandan bahse konu yazılımların, bir araç kiralama firmasının kendi girdiği verileri diğer araç kiralama firmalarına da açmasına da olanak veren sistemler olarak tasarlandığı,
- Dolayısıyla araç kiralama firmasından yazılıma, yazılımdan ise söz konusu yazılımı kullanan diğer araç kiralama firmalarına kara listeye ilişkin veri akışı/paylaşımı sağlayan bir sistem oluşturulduğu, araç kiralayan ilgili kişilerin kişisel verilerinin de böylece karşılıklı olarak paylaşılmakta olduğu,
- Genel olarak yazılım şirketleri tarafından sunulan hizmetin, SaaS (Software as a Service) şeklinde olduğu, SaaS hizmetinin gereği olarak veri tabanı ve yazılımın yönetiminin yazılım şirketlerinde olup araç kiralama firmalarında ve gerektiğinde teknik destek ve geliştirme sağlayabilmesi için yazılım şirketlerinde admin yetkisine sahip kullanıcıların atandığı, sunulan hizmet türü hazır bir SaaS hizmeti olduğundan kaynak kod halinde sunulmadığı, araç kiralama firmalarının yazılım kodlarına müdahalesine izin verilmediği, bu sebeple araç kiralama firmalarının yetkilerinin içerik sağlamakla sınırlı olduğu,
- Araç kiralayan bir gerçek kişinin, müşterisi olduğu araç kiralama firmasına kiralama sözleşmesi kapsamında gerekli olan kişisel verilerini sağlarken, bu süreçte firmaya sağladığı verilerin, firma ile yaşadığı olumlu/olumsuz ilişkinin, araca verdiği zarar, ödeme sürecinde yaşanan sorunlar gibi kişisel verilerinin kara liste özelliği içeren yazılımlar vasıtasıyla müşterisi olduğu araç kiralama firması haricinde bilinmeyen sayıda kullanıcı ile paylaşıldığına dair bilgi sahibi olmadığı anlaşılmıştır.
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun (Kanun) "Tanımlar" başlıklı 3'üncü maddesinin 1 numaralı fıkrasının (ç) bendinde ilgili kişi, "kişisel verisi işlenen gerçek kişi", (d) bendinde kişisel veri, "kimliği belirli veya belirlenebilir gerçek kişi ve ilişkin her türlü bilgi", (e) bendinde kişisel verilerin işlenmesi, "Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem", (ı) bendinde veri sorumlusu, "kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi" olarak tanımlanmıştır.
"Kişisel Verilerin İşlenme Şartları" başlıklı Kanun'un 5'inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükme bağlanmıştır.
Kanunun 8'inci maddesinde "(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. (2) Kişisel veriler; 5'inci maddenin ikinci fıkrasında, yeterli önlemler alınmak kaydıyla, 6'ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması halinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir. (3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır." hükmü düzenlenmiştir.
Öte yandan, Kanun 'un 11'inci maddesi ilgili kişinin haklarını düzenlemekte olup maddenin 1 (g) bendi, "işlenen kişisel verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme" hakkını içermektedir.
Kanunun 12 inci maddesinde ise, veri sorumlularının kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda oldukları hüküm altına alınmıştır.
1774 sayılı Kimlik Bildirme Kanununun ilgili maddeleri gereğince araç kiralama faaliyetinin kolluk kuvvetlerine bildirilme zorunluluğu bulunmaktadır. Dolayısıyla, araç kiralama firmalarının Kiralık Araç Bildirim Sistemine (KABİS) veri girişi yapmaları bağlamında kişisel veri işlemeleri, Kanunun 5'inci maddesinin 2 numaralı fıkrasının (a) bendinde yer alan "Kanunlarda açıkça öngörülmesi" işleme şartı ile (ç) bendinde yer alan "veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması" işleme şartları kapsamında değerlendirilebilecektir.
Ayrıca, araç kiralama işi taraflar arasında akdedilen bir sözleşme kapsamında gerçekleştirilmekte olduğundan Kanunun 5'inci maddesinin 2 numaralı fıkrasının (c) bendinde yer alan "bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması" işleme şartı kapsamında ilgili kişilerin kişisel verilerinin araç kiralama firmalarınca işlenmesi mümkündür.
Kara liste benzeri veri kayıtları bakımından ise kişisel verilerin işletme faaliyetleri ile sınırlı olmak üzere işlenmesi ile yazılım firmaları aracılığıyla diğer veri sorumlularına açılmasının farklılık arz edeceği değerlendirilmektedir. Kanun'un 5'inci maddesinin 2 numaralı fıkrasının (f) bendinde "ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması" işleme şartı düzenlenmiş olup ilgili kişinin temel hak ve özgürlükleri ile veri sorumlusunun meşru menfaatleri arasında yapılacak denge testi sonucunda meşru menfaatin baskın gelmesi durumunda, işletme faaliyetleri ile sınırlı olmak kaydıyla, başka bir ifadeyle veri sorumlusu bünyesinde olmak üzere kara liste kaydı yapılmasının somut olaya göre ayrıca değerlendirilmek koşuluyla uygulanabilir olabileceği; ancak işlenen kişisel verilerin aynı yazılımı kullanan diğer veri sorumlularına (diğer araç kiralama firmalarına) açılması halinde ilgili kişinin temel hak ve özgürlüklerinin ihlal edilmeme şartının karşılanamayacağı değerlendirilmektedir.
Ayrıca bir araç kiralama firmasının işlediği kişisel verileri yazılım vasıtasıyla bilinmeyen sayıda araç kiralama firması ile paylaşmasının Kanunun 4'üncü maddesinde düzenlenen Genel İlkelerden "hukuka ve dürüstlük kurallarına uygun olma", "belirli, açık ve meşru amaçlar için işlenme", "amaçla bağlantılı, sınırlı ve ölçülü olma" ilkelerine aykırılık teşkil edeceği değerlendirilmektedir.
Öte yandan, ihbara konu kara liste uygulamalarında araç kiralama firmaları, gerçek kişi müşterilerden kişisel verileri ilk elden toplayan veri sorumlularıdır. Ancak, kara liste kaydına erişimin bir firma ile sınırlı kalmadığı, yazılıma aktarılan kişisel verilere yazılımı kullanan diğer araç kiralama firmalarının da erişim sağlayabildiği ve veri üzerinde hakimiyetleri olduğu dikkate alındığında, kara liste kaydını kendi menfaatleri doğrultusunda kullanan araç kiralama şirketleri ile yazılım şirketlerinin ortak veri sorumluluğunun ortaya çıkacağı değerlendirilmektedir. Ortak veri sorumlularına ilişkin sorumluluk ve kusur miktarlarının belirlenmesi açısından her halükarda olay bazında veri işleme süreçlerinin incelenmesi; kusurun ve söz konusu veri üzerindeki kontrolün kimde olduğunun tespiti gerekecektir. Ortak veri sorumluları arasında kusurluluk belirlenirken işlenen verinin ilk ve son kullanıcısının kim olduğu; veri girişini kimin yaptığı; hangi amaçla söz konusu verinin girildiği; verinin değiştirilmesine veya silinmesine yahut aktarılmasına kimin karar verdiği; veriyi toplayan dışında kalan veri sorumlularının bu veri ile hangi faaliyetleri gerçekleştirdiği vb. etkenlere dikkat edilecektir.
Araç kiralama sektöründe kara liste uygulamalarının ilgili kişinin hakları bakımından da değerlendirilmesi gerekmektedir. Kara liste kapsamında kişisel veri işlenmesi kişilerin Kanun'un 11 'inci maddesinden kaynaklanan haklarını gereği gibi kullanabilmelerinin önünde engel teşkil edecektir. Şöyle ki, bu tür bir veri işleme kara liste uygulamalarının doğası gereği, kişi hakkında olumsuz bir sonuca ulaşılmasını, bu olumsuz sonucun kara listeye işlenmesini ve kişi hakkında bu olumsuz sonuca göre karar verilmesini içereceği için, yapılan profilleme neticesinde ilgili kişi hakkında olumsuz bir sonuç ortaya çıkacak; ancak araç kiralayan ilgili kişinin kişisel verilerinin paylaşıldığı diğer araç kiralama firmalarının kim olduğunu bilebilecek durumda olmaması nedeniyle, Kanunun 11 'inci maddesinden kaynaklanan haklarını bu veri sorumluları nezdinde ileri sürebilmesi güçleşecektir.
Tüm bu değerlendirmeler ışığında;
- Kanunun 4'üncü maddesinde düzenlenen genel ilkelere, Kanun'un 5'inci maddesinde düzenlenen işleme şartlarına ve Kanunun 8'inci maddesinde düzenlenen aktarıma ilişkin hükümlere aykırı olarak araç kiralama sektöründe kara liste uygulamaları kapsamında kişisel verilerin işlenmesi halinde, söz konusu veriler üzerinde hakimiyeti bulunan araç kiralama şirketlerinin yazılım şirketleri ile ortak veri sorumlusu olarak değerlendirileceklerine,
- Hukuka aykırı bu gibi uygulamalara son verilerek, araç kiralama sektöründe kişisel veri işleme süreçlerinin Kanuna uygun olmasını teminen Kanun'un 12'nci maddesinde düzenlenen gerekli teknik ve idari tedbirlerin veri sorumlularınca alınması gerektiğine,
- Söz konusu önlemleri almaksızın ve Kanun hükümlerine aykırı şekilde araç kiralama sektöründe kara liste uygulamasına başvuran veri sorumluları hakkında Kanunun 18 inci maddesi hükümleri çerçevesinde işlem tesis edileceği hususunda kamuoyunun bilgilendirilmesine,
6698 sayılı Kişisel Verilerin Korunması Kanununun 15 inci maddesinin altıncı fıkrası hükmü uyarınca alınan bu İlke Kararının Resmi Gazete ile Kurumun İnternet sitesinde yayımlanmasına
oybirliği ile karar verilmiştir.
Karar Tarihi | : | 09/06/2021 |
Karar No | : | 2021/571 |
Konu Özeti | : | Vakıf, Dernek ve Sendikalara Ait İktisadi İşletmelerin Sicile Kayıt Yükümlülüğüne İlişkin Kararın Resmi Gazete’de Yayımlanması |
I. Kararın Konusu ve Hukuki Dayanağı
6698 sayılı Kişisel Verilerin Korunması Kanununun (6698 sayılı Kanun) 16 ncı maddesinin ikinci fıkrasında yer alan “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.” hükmüne göre kural olarak kişisel veri işleyen gerçek ve tüzel kişilerin Veri Sorumluları Siciline (Sicil) kayıt yükümlülüğü bulunmakla birlikte Kişisel Verileri Koruma Kurulu (Kurul) tarafından bu yükümlülüğe istisna getirilebilmektedir.
Bu kapsamda, Kurulun 22/04/2020 tarihli ve 2020/315 sayılı Kararı ile değişik 02/04/2018 tarihli ve 2018/32 sayılı Kararı uyarınca “yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalar” için Sicile kayıt yükümlülüğüne istisna getirilmiştir.
Bununla birlikte, Kurumumuza iletilen bazı yazılı ve şifahi görüş taleplerinde; vakıf, dernek veya sendikalara ait iktisadi işletmelerin Sicile kayıt yükümlülüğü hususunda tereddütler yaşandığının ifade edilmesi üzerine yapılan değerlendirme sonucunda;
- 22/04/2020 tarihli ve 2020/315 sayılı Karar ile değişik 02/04/2018 tarihli 2018/32 sayılı Kurul Kararında yer alan “yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalar” ifadesinin “yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalardan kendisine bağlı herhangi bir iktisadi işletmesi bulunmayanlar” olarak değiştirilmesinin,
- Yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalardan kendisine bağlı herhangi bir iktisadi işletmesi bulunanların Sicile kayıt olmaları ile Sicile kayıtları esnasında yalnızca iktisadi işletmelerin faaliyetlerine ilişkin bilgi girişi yapmalarının,
- Anılan Kararın Kurum internet sayfası ve Resmi Gazetede yayımlanmasının
gerektiği kanaatine varılmıştır.
II. Sonuç
Kurumumuza iletilen bazı yazılı ve şifahi görüş taleplerinde; vakıf, dernek veya sendikalara ait iktisadi işletmelerin Sicile kayıt yükümlülüğü hususunda tereddütler yaşandığının ifade edilmesi üzerine Kurul tarafından yapılan değerlendirme sonucunda;
- 22/04/2020 tarihli ve 2020/315 sayılı Karar ile değişik 02/04/2018 tarihli 2018/32 sayılı Kurul Kararında yer alan “yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalar” ifadesinin “yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalardan kendisine bağlı herhangi bir iktisadi işletmesi bulunmayanlar” olarak değiştirilmesine,
- Yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalardan kendisine bağlı herhangi bir iktisadi işletmesi bulunanların Sicile kayıt olmaları ile Sicile kayıtları esnasında yalnızca iktisadi işletmelerin faaliyetlerine ilişkin bilgi girişi yapmalarının gerektiğine,
- Anılan Kararın Kurum internet sayfası ve Resmi Gazetede yayımlanmasına
oybirliği ile karar verilmiştir.
Karar Tarihi | : | 11/03/2021 |
Karar No | : | 2021/238 |
Konu Özeti | : | Veri Sorumluları Siciline kayıt tarihlerinin uzatılması |
Dünyada olduğu gibi ülkemizde de etkisini gösteren salgın nedeniyle Sicile kayıt yükümlülüğünün yerine getirilmesi hususunda zorluklar yaşandığı gerekçesiyle Sicile kayıt sürelerinin uzatılmasına ilişkin birçok veri sorumlusu veya bunların bağlı olduğu üst kuruluşlar ile bazı kamu kurumları ve kamu kurumu niteliğindeki meslek kuruluşları tarafından Kuruma intikal ettirilen taleplerin değerlendirilmesi neticesinde;
- Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine,
- Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine,
- Kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşu veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine
kadar uzatılmasına,
- Anılan kararın Kurum internet sayfasında duyurulması ve Resmi Gazetede yayımlanmasına
oybirliği ile karar verilmiştir.
Karar Tarihi | : | 22/12/2020 |
Karar No | : | 2020/966 |
Konu Özeti | : | Veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına Kanuna aykırı şekilde gönderilen üçüncü kişilere ait kişisel veriler hakkında İlke Kararı |
Kişisel Verileri Koruma Kurumuna intikal eden şikâyet ve ihbarlar kapsamında; e-ticaret, telekomünikasyon, ulaşım, turizm gibi muhtelif sektörlerde faaliyet gösteren veri sorumlularınca, fatura, ekstre, rezervasyon belgesi gibi kişisel veri içeren dokümanların sms ve/veya e-posta vasıtasıyla gönderimini teminen ilgili kişilerden telefon numarası ve/veya e-posta adreslerini beyan etmelerinin istenildiği, bununla birlikte ilgili kişiler tarafından söz konusu bilgilerin beyanında yanlışlık olabildiği veya yine ilgili kişilerce üçüncü kişilere ait bilgilerin beyan edilmesi neticesinde, ilgili kişilere ait verileri içeren bahse konu dokümanların üçüncü kişilere iletildiği görülmektedir.
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun 4 üncü maddesinin (1) numaralı fıkrasında kişisel verilerin ancak bu kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği hüküm altına alınmış ve (2) numaralı fıkrasında kişisel verilerin işlenmesinde “a) Hukuka ve dürüstlük kuralına uygun olma b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.” ilkelerine uyulmasının zorunlu olduğu düzenleme altına alınmıştır.
Bu ilkeler arasında yer alan kişisel verilerin doğru ve gerektiğinde güncel bir şekilde tutulması, veri sorumlusunun çıkarına uygun olduğu gibi ilgili kişinin temel hak ve özgürlüklerinin korunması açısından da gerekli olup, veri sorumlusunun eğer kişisel verilere dayalı olarak ilgili kişiye dair bir sonuç oluşturuyor ve doğuruyorsa kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması noktasında aktif özen yükümlülüğü bulunmaktadır. Bunun dışında veri sorumlusunun her zaman ilgili kişinin bilgilerinin doğru ve gerektiğinde güncel olmasını temin edecek kanalları açık tutması önem arz etmektedir. Aksi takdirde, kişilerin, güncel olmayan veya yanlış tutulan kişisel verileri nedeniyle maddi ve manevi zarar görmesi gündeme gelebilecektir. Bu anlamda, kişisel verilerin doğru ve gerektiğinde güncel tutulabilmesini temin etmek amacıyla; kişisel verilerin elde edildiği kaynakların belirli olması ve kişisel verilerin toplandığı kaynağın doğruluğunun tespit edilmesi ile kişisel verilerin doğru olmamasından kaynaklı ilgili kişiler açısından olumsuz sonuçlar ortaya çıkmasının önlenmesi kapsamında ilgili kişilerce beyan edilen iletişim bilgilerinin doğrulanmasına yönelik ( telefon numarası ve/veya e-posta adresine doğrulama kodu/linki gönderilmesi vb.) makul önlemler alınması gerekli görülmektedir.
Öte yandan, Kanunun 12 inci maddesinde veri sorumlularının kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda oldukları hüküm altın alınmıştır.
Bu kapsamda; veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına, 6698 sayılı Kişisel Verilerin Korunması Kanununa aykırılık oluşturacak şekilde üçüncü kişilerin kişisel verilerini içeren ekstre, fatura vb. belgelerin gönderilmesinin önlenmesini teminen; Kanunun 12 nci maddesinin (1) numaralı fıkrası gereğince veri sorumluları tarafından kendilerine bildirilen iletişim bilgilerinin doğruluğunu teyit edecek mekanizmaların oluşturulması adına gerekli idari ve teknik tedbirlerin alınması hususunda Kanunun 15 inci maddesinin 6 numaralı fıkrası uyarınca İlke Kararı alınmasına ve söz konusu İlke Kararının Kurumun internet sayfasında ve Resmi Gazetede ilan edilmesine oybirliği ile karar verilmiştir.
İlke Kararının Yayımlandığı Resmî Gazete’nin |
|
Tarihi |
Sayısı |
15/01/2021 |
31365 |
Kişilerin Ad ve Soyadı ile Arama Motorları Üzerinden Yapılan Aramalarda Çıkan Sonuçların İndeksten Çıkarılmasına Yönelik Talepler ile ilgili olarak Kişisel Verileri Koruma Kurulunun 23/06/2020 Tarihli ve 2020/481 Sayılı Kararı
Karar Tarihi : 23/06/2020
Karar No : 2020/481
Konu Özeti : Kişilerin Ad ve Soyadı ile Arama Motorları Üzerinden Yapılan Aramalarda Çıkan Sonuçların İndeksten Çıkarılmasına Yönelik Talepler
Kurumumuza intikal eden muhtelif başvurularda, ilgili kişilerin medya kuruluşlarına ait çeşitli internet sitelerinde yer alan haberlerde geçen isim ve soy isimlerinin ya da haberlerin 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) hükümleri kapsamında silinmesinin talep edildiği, bunun yanı sıra bazı başvurularda ise söz konusu gazete arşivlerinin arama motorları tarafından indekslenmeyecek şekilde teknik düzenlemeye tabi tutulması hususunda gerekli kararların alınmasının istenildiği görülmekte olup Kurumumuza intikal eden bu yöndeki taleplerin “Unutulma Hakkı” kapsamında bir bütün olarak Kurulumuzca değerlendirilmesi gereği hasıl olmuştur.
Unutulma hakkının çeşitli yargı kararları ve uluslararası kurumların organlarının görüşleri doğrultusunda literatürde, “bireyin geçmişte hukuka uygun olarak yayılmış ve doğru nitelikteki bilgilerinin zamanın geçmesine bağlı olarak erişimden kaldırılmasını ya da gündeme getirilmemesini talep edebilmesi” olarak tanımlandığı görülmektedir.
Bilindiği üzere Anayasa’nın 20 nci maddesine 2010 Anayasa değişikliği ile eklenen “... Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” hükmü ile bireylere kişisel verilerin silinmesini talep etme hakkı tanınmaktadır.
Öte yandan, Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde kişisel verilerin işlenmesinde uyulması zorunlu ilkeler arasında doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme ve kişisel verilerin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi sayılmış, ayrıca Kanunun 11 inci maddesinin birinci fıkrasının (e) bendinde ilgili kişiye kişisel verilerin silinmesini veya yok edilmesini isteme hakkının tanındığı, 7 nci maddesinde ise kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesinin düzenlendiği, mezkur hükümde; Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği, bu hususta diğer kanunlarda yer alan hükümlerin saklı olduğu ve buna ilişkin usul ve esasların ise yönetmelikle düzenleneceğinin hükme bağlandığı görülmektedir.
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 8 inci maddesinde kişisel verilerin silinmesinin kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi olarak tanımlandığı ve veri sorumlusunun bunu sağlamaya yönelik olarak gerekli her türlü teknik ve idari tedbirleri almakla yükümlü olduğu belirtilmektedir.
Diğer taraftan Kanunun yürürlüğe girmesinden önce dahi “unutulma hakkı”nın yargı kararlarına konu olduğu, internet haber arşivinde bulunan bir haberin içeriğinin yayından kaldırılması talebine ilişkin olarak Anayasa Mahkemesi’nin 03.03.2016 tarihli ve 2013/5653 Başvuru Numaralı Kararında, “bireyin geçmişte haber yapılmış ve gerçeğe aykırılığı ileri sürülmemiş davranışlarının artık hatırlanmasının engellenmesi”nin hukuki mesele olarak ortaya konulduğu, internet haber arşivlerindeki kişisel verilere erişimin engellenerek kişilerin yaptıklarının unutulmasının sağlanması yönündeki talebin unutulma hakkı olarak nitelendirildiği, ayrıca kararda; “Başvuru tarihi itibarıyla söz konusu haberin yaklaşık on dört yıl önceki bir olaya ilişkin olduğu ve böylelikle güncelliğini yitirdiği açıktır. İstatistiki ve bilimsel amaçlar yönünden de yukarıda ifade edilen gerekçelerle bu bilgilere internet ortamında kolaylıkla ulaşılmayı gerekli kılan bir neden bulunmamaktadır. Bu bağlamda kamu yararı bakımından siyasi veya medyatik bir kişiliğe sahip olmayan başvurucu hakkında internet ortamında yayınlanan haberlerin kolaylıkla ulaşılabilirliğinin başvurucunun itibarını zedelediği açıktır.” denilmek suretiyle unutulma hakkının nasıl ele alınması gerektiğine ilişkin kriterler belirlenerek haberlerin kişinin Anayasa’nın 17 nci maddesinde güvence altına alınan şeref ve itibarın korunması hakkını ihlal ettiğine karar verilmiştir.
Kararda ayrıca unutulmayı etkin kılacak yöntemlerden de söz edildiği, buna göre, 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun'un 9 uncu maddesinde erişimin engellenmesinin kapsamının kişilik hakkının ihlalinin gerçekleştiği yayın, kısım, bölüm ile ilgili olarak (URL vb.) içeriğe erişimin engellenmesi yöntemiyle verileceği ve zorunlu olmadıkça internet sitesinde yapılan yayının tümüne yönelik erişimin engellenmesine karar verilemeyeceği belirtilmiş olup buna ek olarak, “... alınacak tedbirlerin kişinin şeref ve itibarına yönelik müdahaleleri unutulma hakkı gereğince engellemek için arşivde arama yapmaya imkân tanıyan haber ile kişi arasında ilişki kuran kişisel verilerin silinmesi, haberin anonim hâle getirilmesi, haber içeriğinin bir kısmına erişimin engellenmesi gibi birçok yöntem benimsenebilir. Bu bağlamda yargının görevinin, İnternet ortamının sağladığı kolaylıkla zamanla kişilerin itibarına yönelik müdahale oluşturan haberleri tamamen ortadan kaldırarak geçmişte meydana gelmiş olayların yeniden yazılmasını sağlamak olmadığı dikkate alınmalıdır. İnternet haber arşivinin bir bütün olarak basın özgürlüğünün koruması altında olduğu unutulmamalıdır...” denilmek suretiyle kişisel verilerin silinmesine ve anonim hale getirilmesine yapılan atıfla erişimin kısmi olarak engellenmesi ve kişi ile haber arasında bağlantının koparılması yollarıyla söz konusu hakla basın özgürlüğü arasında nasıl denge kurulabileceğinin gösterildiği, burada Kanunun yürürlüğe girmesinden önce silme ve anonim hale getirmenin unutulma hakkını hayata geçirmeye yönelik bir yöntem olarak ifade edilmesinin önemli olduğu, zira Yüksek Mahkeme kararında unutulma hakkına bir üst kavram olarak yaklaşıldığı, silme ve anonim hale getirmeyi ise bu hakkı tesis etmeye yönelik bir yol olarak sunulduğu anlaşılmaktadır.
Yine davacının isminin rumuzlanmadan bir kitapta yer almasına ilişkin olarak verilmiş olan Yargıtay Hukuk Genel Kurulu’nun 17.06.2015 tarihli E:2014/4-56, K:2015/1679 sayılı Kararında unutulma hakkının; üstün bir kamu yararı olmadığı sürece, dijital hafızada yer alan geçmişte yaşanılan olumsuz olayların bir süre sonra unutulmasını, başkalarının bilmesini istemediği kişisel verilerin silinmesini ve yayılmasının önlenmesini isteme hakkı olarak ifade edildiği, bireyin geçmişinde yaşadığı olumsuz etkilerden kurtularak geleceğini şekillendirebilmesinin bireyin yararına olduğu gibi toplumun kalitesinin gelişmişlik seviyesinin yükselmesine de etkisinin tartışılmaz olduğu ifade edilerek unutulma hakkının gereği gibi sağlanmasının bireye faydası olduğu kadar topluma da faydası olduğunun vurgulandığı, bunun da ötesinde kararda unutulma hakkı tanımlarına bakıldığında her ne kadar dijital veriler için düzenlenmiş ise de, bu hakkın özellikleri ve bu hakkın insan haklarıyla arasındaki ilişkisi dikkate alındığında; yalnızca dijital ortamdaki kişisel veriler için değil, kamunun kolayca ulaşabileceği yerde tutulan kişisel verilere yönelik olarak da kabul edilmesi gerektiğinin ifade edildiği görülmektedir.
Unutulma hakkına ilişkin olarak Kanunun yürürlüğe girmesinin ardından verilen Yargıtay 19. Ceza Dairesi’nin 05.06.2017 tarihli E:2016/15510, K:2017/5325 sayılı kararında; bir internet sitesinde yer alan haberin güncellik değerini yitirdiği, dolayısıyla haberin o tarihte “gerçeklik ve doğruluk” kriterlerini karşılamasının artık bir önemi kalmadığı, adı geçen habere istenildiği zaman ulaşılmasının, toplum açısından yanlış algılamaya yol açabileceği, haberin yayında kalmasının toplumun ilerlemesi, gelişmesi için bir katkı sağlamayacağı, kamu yararına toplum hafızasında yer etmesi gibi bir etkisi olmadığı, haberin içeriğini oluşturan kişilerin toplumu temsil ve topluma hizmet etme gayesiyle seçilmiş veya atanmış siyasilerden olmadığı gibi, topluma kendini anlatma ve toplumu aydınlatma gayesiyle eser veren sanatçılardan veya aydınlardan da olmaması nedeniyle suç geçmişlerine dair bilgilerin kamuyu ilgilendirmediği belirtilerek unutulma hakkının ifade ve basın özgürlüğüne üstün tutulduğu, ayrıca kararda Kanuna atıf yapılmasa da unutulma hakkının kişisel verilerin korunması hakkı içinde ele alındığı anlaşılmaktadır.
Uluslararası hukukta unutulma hakkı Birleşmiş Milletler, Avrupa Konseyi ve Avrupa Birliği sistemleri yönünden ele alındığında öncelikle ilk iki sistem içinde mevzuat düzeyinde unutulma hakkının tanımlanmadığı, ancak anılan kurumların mevzuatlarında yer alan özel hayata saygı, şöhretin korunması, kişisel bilgilerin gizliliği gibi bazı haklar üzerinden unutulma hakkına ilişkin sonuçlara ulaşılan kararlara ya da raporlara rastlandığı görülmektedir. Öte yandan;
Avrupa Birliği Adalet Divanının (ABAD) 2014 yılında verdiği Google İspanya kararında özetle; arama motorunda yapılan aramada çıkan sonuçların “geçersiz, eksik, tamamen ilgisiz veya sonradan ilgisiz hale gelmiş” ise arama motorları tarafından internet ortamına yüklenen amacını aşan söz konusu kişisel verilerin ve buna ilişkin sonuç listesinde yer alan bilgilerin silinmesi gerektiğinin belirtildiği, kararda ayrıca ilke olarak kişinin özel hayatının gizliliği hakkının, arama motorunun ekonomik çıkarı ile söz konusu kişi adına yapılan arama üzerine kamunun bilgiye erişim hakkının diğer bir ifadeyle bilgi alma hakkının üzerinde olduğu, bu kuralın yalnızca kamunun bilgiyi öğrenmede üstün bir yararı bulunmakta ise uygulanmayacağının ifade edildiği,
29. Madde Çalışma Grubu’nun ABAD’ın mezkur kararının uygulanmasına ilişin rehber ilkelerinde de kavramsal olarak “unutulma hakkı”nın kullanılmadığı, burada daha çok indeksten çıkarılma hakkı, arama motoru sonuçlarındaki linklerin gizlenmesi gibi kavramlar üzerinden konunun ele alındığı,
25 Mayıs 2018 tarihinde yürürlüğe giren Avrupa Genel Veri Koruma Tüzüğü’nün (Tüzük) “Silme hakkı (‘Unutulma Hakkı’)” başlıklı 17 nci maddesindeki düzenlemenin incelenmesinden, unutulma hakkının ayrıca tanımlanmadığı ve “silme” yükümlülüğü kapsamında değerlendirildiği, bu hakkın kullanımı bakımından Kanunun ilgili hükümlerine benzer şekilde veri işleme şartlarının ortadan kalkmış olması durumuna atıfta bulunulduğu ve bu hakkın istisnalarına (yasal yükümlülük, kamu yararına gerçekleştirilen bir görevin yerine getirilmesi, halk sağlığı alanındaki kamu yararı, kamu yararına arşivleme, bilimsel veya tarihi araştırma amaçları, istatistiki amaçlar, yasal iddialarda bulunulması, bu iddiaların uygulanması veya savunulması) yer verildiği
görülmektedir.
Bu kapsamda, unutulma hakkının uygulanmasında mevzuatımızda kavramsal olarak söz konusu hakka yer verilmese bile hukukumuzda bu hakkı sağlamaya yönelik araçların bulunduğunun açık olduğu, bu araçların örneğin, 5651 sayılı Kanunun özel hayatın gizliliği nedeniyle içeriğe erişimin engellenmesi yönündeki düzenlemesi olabileceği gibi Kanunun silmeyi düzenleyen 7 nci maddesi de olabileceği, bu itibarla, yukarıda yer verilen açıklamalardan hareketle, unutulma hakkının, Anayasanın 20 nci maddesinin üçüncü fıkrası hükmü ile 6698 sayılı Kanunun 4 üncü, 7 nci ve 11 inci maddelerinde ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 8 inci maddesinde yer verilen düzenlemelerle iç hukukumuz açısından karşılanabileceği ve ayrı bir hak olarak tanımlanmasına gerek olmadığı; öte yandan unutulma hakkını sağlamaya yönelik olarak veri işleme faaliyetinin durdurulması, silme, yok etme veya anonim hâle getirme ile indeksten çıkarma işleminden somut olaya göre en uygun olan araca karar verilebileceği, zira unutulma hakkı içinde pek çok hakkı barındıran bir üst kavramken, sayılanların bu hakkı tesis etmeye yönelik araçlar olarak ele alındığında Kanunla hedeflenen gayenin gerçekleşmesine de katkı sunulabileceği değerlendirilmektedir.
Bu çerçevede, Kurumumuza intikal eden medya kuruluşlarına ait çeşitli internet sitelerinde yer alan haberlerde yer verilmek suretiyle işlenen kişisel verilerinin kaynaktan silinmesine yönelik başvurular, bu basın organlarının veri sorumlusu olduğu noktasından hareketle Kanunun ilgili hükümleri çerçevesinde Kurulca değerlendirilerek karara bağlanmakla birlikte, kişilerin unutulma hakkı kapsamında ad ve soyadları üzerinden arama motorlarından yapılan aramalarda çıkan sonuçların indeksten çıkarılmasına yönelik talepleri kapsamında Kanunda ve ilgili alt düzenlemelerde herhangi bir açık hükme yer verilmediğinden, bu nitelikteki başvuruların ne şekilde ele alınacağı hususunun değerlendirilmesi gereği ortaya çıkmaktadır.
Yukarıda yer verilen değerlendirmeler çerçevesinde;
Kurumumuza intikal eden başvurulara konu “Unutulma Hakkı”nın bir üst kavram olarak ele alınmak suretiyle Anayasanın 20 nci maddesinin üçüncü fıkrası hükmü ile 6698 sayılı Kanunun 4 üncü, 7 nci ve 11 inci maddelerinde ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 8 inci maddesinde yer verilen düzenlemeler çerçevesinde değerlendirildiği,
Yine Kurumumuza yapılan başvurularda yer verilen arama motorlarından ad ve soyadı ile yapılan aramalarda kişinin kendisiyle bağlantılı sonuçlara ulaşılmamasını isteme hakkının indeksten çıkarılma talebi olarak nitelendirildiği,
Bu kapsamda, arama motorlarının, üçüncü taraflara ait internette topladıkları verilerin işlenmesinin amaç ve vasıtalarını belirledikleri göz önünde bulundurularak Kanunun 3 üncü maddesinde yer verilen tanım çerçevesinde veri sorumlusu olarak kabul edildiği,
Arama motorunun işletmecisinin otomatik, düzenli ve sistematik olarak internette yayınlanan bilgiyi bulduğu, daha sonra kendi indeksleme programları çerçevesinde alıp, kaydedip, organize ettiği kişisel verileri arama sonuçlarının listesi formunda düzenlediği, sunucuları üzerinde sakladığı, belirli durumlarda açıkladığı ve kullanıcılarına sunduğu dikkate alındığında arama motorları tarafından gerçekleştirilen faaliyetlerin Kanunun 3 üncü maddesi kapsamında ‘kişisel veri işleme” faaliyeti olarak değerlendirildiği,
Bu kapsamda, Kanunun başvuru ve şikâyet hakkına ilişkin hükümlerinde belirtilen usul ve süreler esas alınarak ilgili kişilerin, arama sonuçlarının indeksten çıkarılmasına yönelik talepleri ile ilgili olarak öncelikle arama motorlarına başvuruda bulunmaları, veri sorumlusu arama motorlarının söz konusu talepleri reddetmeleri veya başvuru sahibine cevap vermemeleri halinde ilgili kişilerce Kurula şikâyette bulunabilecekleri,
İlgili kişilerce yapılacak başvurunun şekli ve istenilecek bilgi ve belgelerin arama motorları tarafından belirleneceği,
İlgili kişinin arama motorları üzerinden kendi adı ve soyadı ile yapacağı bir arama sonucunda gösterilen sonuçların indeksten çıkarılmasına yönelik taleplerin değerlendirilmesinde, ilgili kişinin temel hak ve özgürlükleri ile kamunun söz konusu bilgiyi edinmesinden sağlayacağı menfaatler arasında bir denge testi yapılması, yarışan menfaatlerden hangisinin ağır bastığının gözetilmesi ve bu değerlendirme yapılırken öncelikli olarak aşağıda belirtilen linkte yer verilen açıklamaların dikkate alınması ancak bu konudaki şikâyetlerin değerlendirme sürecinde dikkate alınacak kriterlerin bunlarla sınırlı olmayacağı, her somut olay özelinde Kurulca ilave ölçütlerin de gündeme gelebileceği,
İlgili kişilerin, arama motorları üzerinden kendi ad ve soyadları ile yapılacak aramalar neticesinde gösterilen sonuçların indeksten çıkarılmasına yönelik taleplerinin veri sorumlusu arama motorları tarafından reddedilmesi veya taleplerine cevap verilmemesi halinde Kurula başvuruda bulunulurken aynı zamanda doğrudan yargı yoluna başvurmalarının da mümkün bulunduğu
hususlarının kamuoyuna duyurulmasına,
Bu kararda yer alan usul ve esasların arama motoru işleticisi şirketlere bildirilmesi ve ilgili kişilerce internet siteleri üzerinden unutulma hakkının uygulanabilmesini teminen iletişim kanallarının ülkemiz vatandaşları tarafından da kullanılabilmesine yönelik gerekli aksiyonların alınmasının sağlanmasına
karar verilmiştir.
"Veri Sorumluları Siciline Kayıt Tarihlerinin Uzatılması İle İlgili Kişisel Verileri Koruma Kurulunun 23/06/2020 Tarihli ve 2020/482 Sayılı Kararı
Karar Tarihi : 23/06/2020
Karar No : 2020/482
Konu Özeti : Veri Sorumluları Siciline kayıt tarihlerinin uzatılması
Tüm dünyada olduğu gibi ülkemizde de etkisini gösteren Covid-19 virüs salgını nedeniyle bazı işyerlerinin fiziksel olarak kapalı olduğu veya uzaktan / dönüşümlü çalışma modeli uygulandığı, bu nedenle veri sorumlularınca kişisel veri işleme envanteri hazırlama çalışmalarının yapılamadığı ve Veri Sorumluları Siciline (Sicil) kayıt yükümlülüğünün süresinde yerine getirilemediği gerekçesiyle Sicile kayıt sürelerinin uzatılmasına ilişkin Türkiye Odalar ve Borsalar Birliği (TOBB) ile muhtelif sektör temsilcileri tarafından Kuruma intikal ettirilen taleplerin değerlendirilmesi neticesinde;
Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 30.09.2020 tarihine,
Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.03.2021 tarihine,
Kamu kurum ve kuruluşu veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.03.2021 tarihine,
kadar uzatılmasına,
Anılan kararın Kurum internet sayfasında duyurulması ve Resmi Gazete’de yayımlanmasına
oybirliği ile karar verilmiştir.
Karar Tarihi | : | 22/04/2020 |
Karar No | : | 2020/315 |
Konu Özeti | : | Dernek, vakıf ve sendikaların Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulması |
6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesi gereği Veri Sorumluları Siciline kayıt yükümlülüğüne istisna getirilen 02.04.2018 tarihli ve 2018/32 sayılı Kurul kararının 3 üncü maddesinde yer alan dernek, vakıf ve sendikalarla ilgili istisna hususundaki başvurular üzerine Kurul tarafından yapılan değerlendirme sonucunda;
- Sicile kayıt yükümlülüğüne istisna getirilen 02.04.2018 tarihli ve 2018/32 sayılı Kurul kararının 3 üncü maddesinde yer alan “04/11/2004 tarihli ve 5253 sayılı Dernekler Kanununa göre kurulmuş derneklerden, 20/02/2008 tarihli ve 5737 sayılı Vakıflar Kanununa göre kurulmuş vakıflardan ve 18/10/2012 tarihli 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler.” ifadesinin “yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalar” olarak değiştirilmesinin,
- Anılan Kararın Kurum internet sayfası ve Resmi Gazetede yayımlanmasının
kabulüne oybirliği ile karar verilmiştir.
21.11.2019 Tarih 30955 sayılı Resmi Gazete
Kişisel Verileri Koruma Kurumuna intikal eden ihbarlar kapsamında avukatlar/hukuk büroları ile finans, gayrimenkul danışmanlık, sigorta vb. sektörlerde faaliyet gösteren bazı kişi ve kuruluşlar tarafından muhtelif yollarla elde edilen veriler üzerinden vatandaşların kimlik ve iletişim bilgileri gibi kişisel verilerinin sorgulanmasına imkân tanıyan yazılım/program/uygulamaların kullanılmakta olduğu tespit edilmiştir. Yapılan değerlendirme sonucunda bu durumun, 6698 sayılı Kişisel Verilerin Korunması Kanununun veri sorumlularının veri güvenliğine ilişkin yükümlülüklerini düzenleyen 12 nci maddesi hükümlerine aykırılık oluşturduğu dikkate alınarak, yaşanabilecek veri güvenliği ihlallerinin önüne geçilmesini teminen;
- Bu mahiyetteki yazılımları/programları/uygulamaları kullandığı tespit edilenler hakkında Türk Ceza Kanunu kapsamında gerekli adli işlemlerin tesisi için konunun, 5271 sayılı Ceza Muhakemesi Kanununun 158 inci maddesi hükmü uyarınca ihbaren ilgili Cumhuriyet Başsavcılıklarına bildirileceği,
- Kişisel Verileri Koruma Kurulunun görev alanına giren yönüyle de veri sorumluları hakkında 6698 sayılı Kişisel Verilerin Korunması Kanununun 18 inci maddesi hükmü çerçevesinde idari işlem tesis edileceği
hususlarında kamuoyunun bilgilendirilmesine,
- 6698 sayılı Kişisel Verilerin Korunması Kanununun 15 inci maddesinin altıncı fıkrası hükmü uyarınca alınan bu ilke kararının Resmi Gazete ile Kurumun internet sitesinde yayımlanmasına
oybirliği ile karar verilmiştir.
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasında veri sorumlusunun;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu, (5) numaralı fıkrasında ise, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildireceği, Kurulun, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükme bağlanmıştır.
Kişisel Verileri Koruma Kurulunun (Kurul) 24.01.2019 tarih ve 2019/10 sayılı kararı ile veri ihlali bildiriminin “Veri sorumlusunca söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılmasına” karar verilmiştir.
Söz konusu hüküm ve Kurul kararı kapsamında Kuruma intikal eden veri ihlal bildirimlerinin değerlendirilmesi sürecinde; kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde veri sorumlusunun bu durumu Kurula ve ihlalden etkilenmiş kişilere bildirmesinde amacın, ihlal nedeniyle bu kişiler hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesi veya en aza indirilmesine imkan verecek önlemler alınmasını sağlamak olduğu dikkate alındığında veri sorumlularının söz konusu ihlale ilişkin ilgili kişilere yapacağı bildirimlerde hangi unsurların bulunması gerektiğinin açıkça düzenlenmesi gerekliliği doğmuştur.
Bu kapsamda Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/271 sayılı Kararı ile;
Veri sorumlusu tarafından ilgili kişiye yapılacak olan ihlal bildiriminin açık ve sade bir dille yapılması ve asgari olarak;
- İhlalinin ne zaman gerçekleştiği,
- Kişisel veri kategorileri bazında (kişisel veri / özel nitelikli kişisel veri ayrımı yapılarak) hangi kişisel verilerin ihlalden etkilendiği,
- Kişisel veri ihlalinin olası sonuçları,
- Veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler,
- İlgili kişilerin veri ihlali ile ilgili bilgi almalarını sağlayacak irtibat kişilerinin isim ve iletişim detayları ya da veri sorumlusunun web sayfasının tam adresi, çağrı merkezi vb. iletişim yolları
unsurlarına yer verilmesi gerektiğine karar verilmiştir.
Kamuoyuna saygıyla duyurulur.
Karar Tarihi | : 03/09/2019 |
Karar No | : 2019/265 |
Konu Özeti | :VERBİS Kayıt Sürelerinin Uzatılması |
Türkiye Odalar ve Borsalar Birliği (TOBB) ile muhtelif sektör temsilcileri tarafından Kuruma intikal ettirilen Veri Sorumluları Siciline (Sicil) kayıt sürelerinin uzatılmasına ilişkin taleplerin değerlendirilmesi neticesinde;
- Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2019 tarihine kadar uzatılmasına,
- Bu kararın Kurum internet sayfasında duyurulması ve Resmî Gazete’de yayımlanmasına
oybirliği ile karar verilmiştir.
Karar Tarihi | : 02/05/2019 |
Karar No | : 2019/125 |
Konu Özeti | :Yeterli korumanın bulunduğu ülkelerin tayininde kullanılmak üzere oluşturulmuş form |
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 9 uncu maddesinde; kişisel verilerin, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağı, kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulunun (Kurul) izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın söz konusu verilerin yurt dışına aktarılabileceği düzenlenmiştir. Ayrıca maddede yeterli korumanın bulunduğu ülkelerin Kurulca belirlenerek ilan edileceği ve söz konusu ülkelerin ilanında değerlendirilecek hususlar hüküm altına alınmıştır.
Bu kapsamda Kanunun 9 uncu maddesi uyarınca yeterli korumanın bulunduğu ülkelerin Kurulca belirlenmesinde kullanılmak üzere Kurulun 02/05/2019 tarih ve sayılı 2019/125 sayılı Kararında kabul edilen ilgili kriterlere aşağıda belirtilen bağlantı üzerinden erişim sağlanabilir.
Yeterli Korumaya Sahip Ülkelerin Belirlenmesinde Esas Alınacak Kriterler
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasında veri sorumlusunun;
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- Kişisel verilerin muhafazasını sağlamak
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu, (5) numaralı fıkrasında ise, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kuruluna (Kurul) bildireceği, Kurulun, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükme bağlanmıştır.
Veri ihlal bildirimlerinde, Kurula ve ihlalden etkilenmiş kişilere bildirim yapılmasındaki amacın, ihlal nedeniyle bu kişiler hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesi veya en aza indirilmesine imkan verecek önlemler alınmasını sağlamak olduğu, öte yandan 6698 sayılı Kanuna kaynak teşkil eden Avrupa Birliğinin 95/46/EC sayılı Direktifini ilga eden Avrupa Genel Veri Koruma Tüzüğünde de veri ihlal bildirimlerine ilişkin olarak Direktifin aksine detaylı düzenlemelere yer verildiği dikkate alındığında Kurul tarafından bu konuda alınacak kararlar arasında herhangi bir uyumsuzluğa mahal verilmemesi ve uygulamada bir standartlaşma sağlanabilmesini teminen; Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10 sayılı Kararı ile;
- Kanunun 12 nci maddesinin (5) numaralı fıkrasının “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir….” hükmünde yer alan “en kısa sürede” ifadesinin 72 saat olarak yorumlanmasına ve bu kapsamda veri sorumlusunun bu durumu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirmesine, veri sorumlusunca söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılmasına,
- Veri sorumlusu tarafından Kurula haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurula açıklanmasına,
- Kurula yapılacak bildirimde aşağıda yer verilen “Kişisel Veri İhlal Bildirim Form”unun kullanılmasına,
- Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgilerin gecikmeye mahal verilmeksizin aşamalı olarak sağlanmasına,
- Veri sorumlusu tarafından veri ihlallerine ilişkin bilgilerin, etkilerinin ve alınan önlemlerin kayıt altına alınması ve Kurulun incelemesine hazır halde bulundurulmasına,
- Veri işleyen nezdinde bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri işleyenin bu konuda herhangi bir gecikmeye yer vermeksizin veri sorumlusuna bildirimde bulunmasına,
- Veri ihlalinin yurtdışında yerleşik veri sorumlusu nezdinde yaşanması halinde, bu ihlalin sonuçlarının Türkiye’de yerleşik ilgili kişileri etkilemesi ve ilgili kişilerin sunulan ürün ve hizmetlerden Türkiye’de faydalanmaları durumunda, bu veri sorumlusu tarafından da aynı esaslar çerçevesinde Kurula bildirimde bulunulmasına,
- Veri ihlali gerçekleşmesi halinde veri sorumlusu tarafından kendi nezdinde kimlere raporlama yapılacağı, Kanun kapsamında yapılacak bildirimler ile veri ihlalinin olası sonuçlarının değerlendirilmesi hususunda, kendi nezdindeki sorumluluğun kimde olduğunun belirlenmesi gibi konuları içeren bir veri ihlali müdahale planı hazırlanarak belirli aralıklarla bu planın gözden geçirilmesine
karar verilmiştir.
Kişisel Veri İhlali Bildirim Formu
Kamuoyuna saygıyla duyurulur.
Karar Tarihi | : 05/03/2019 |
Karar No | : 2019/52 |
Konu Özeti | :Kurul kararının yerine getirilmemesi hakkında |
2019/23 sayılı Kurul kararının şirkete tebliği sonrasında Şirket internet sitesi üzerinde muhtelif tarihlerde herhangi bir form numarasının son iki hanesinin değiştirilmesi suretiyle farklı form numaraları ile yapılan sorgulamalarda;
- Başka cihazlara ait sorgulamaların halen gerçekleştirilebildiği ve başka bir güvenlik doğrulamasının da yapılmadığı,
- Yapılan sorgulama sonucunda açılan sayfada kişilerin isim ve soy isimleri, IMEI numaraları ile cihazın sevk edildiği adresin baş ve son harfleri hariç maskelendiği, IMEI numaralarının, sorgulama yapılan ilk sayfada maskelenmiş şekilde gösterilmekle birlikte, aynı sayfada yer alan “Cihaz Kayıt Görüntüleri için Tıklayınız” linki seçildiğinde açılan yeni pencerede kamera görüntülerine ulaşabilmek için yönlendirilen linkin uzantısında IMEI numaralarının halen açık şekilde gösterildiği, söz konusu sayfada numaranın kime ait olduğuna ilişkin tanımlayıcı bir bilgiye yer verilmediği ancak, sorgu sayfasının aşağısında yer alan “Kargonuzu Görüntülemek İçin Tıklayınız” linki seçildiğinde gönderinin yapıldığı kargo firmasına yapılan yönlendirme ile ulaşılan sayfada gönderiyi teslim alan kişinin adı ve soyadı açıkça yer aldığından gönderiyi kendisi teslim alan müşteriler açısından IMEI numaraları ile cihaz sahibinin eşleştirilmesinin mümkün olabileceği,
görülmüş olup, söz konusu sorgulamalara ilişkin ekran çıktıları alınmış ve tutanağa bağlanmıştır.
Bu itibarla,
- 2019/23 sayılı Kurul Kararı çerçevesinde Şirkete tebliğ edilen “...söz konusu aykırılığın ivedilikle giderilmesi, bahse konu aykırılığın giderildiği hususunun Kurula tevsiki sağlanıncaya kadar işbu Kararda yer alan linklerin kullanımının derhal durdurulması...” şeklindeki talimatın Şirket tarafından Kurul Kararına uygun olarak yerine getirilmediği dikkate alındığında, Kanunun 15 inci maddesine aykırı olarak uyarınca Kurul tarafından verilen kararı yerine getirmeyen Şirket hakkında Kanunun 18 inci maddesi çerçevesinde 50.000 TL idari para cezası uygulanmasına,
- Öte yandan, Şirkete ait internet sitesinde herhangi bir sorgu numarasının son iki hanesini değiştirmek suretiyle başka cihaz ve sahiplerine ilişkin sorgulamaların halen yapılabildiği dikkate alındığında, asıl güvenlik açığının giderilmediği bu kapsamda, cihaz takibi için sorgulama yapılabilmesine imkan veren sistemin değiştirilmesi, diğer taraftan halihazırda sorgulama yapılan sisteme erişimin ivedilikle kapatılması hususunda Şirketin talimatlandırılmasına
karar verilmiştir.
Yayım Tarihi: 18.02.2019
Doktor kontrolünde ilaç kullanan ilgili kişinin, özel nitelikli bu sağlık verisinin ilaçların temin edildiği eczane tarafından her hangi bir işleme şartına dayanmadan üçüncü kişiyle paylaşılması hususunda Kuruma yapılan şikâyet başvurusu hakkında;
6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6 ncı maddesinin (1) numaralı fıkrasında kişilerin sağlık verilerinin özel nitelikli kişisel veri olduğu belirtilmiştir. Mezkur maddenin (2) numaralı fıkrasında özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesi yasaklanmış bununla birlikte, (3) numaralı fıkrada özel nitelikli kişisel verilerin açık rıza aranmadan işlenebileceği diğer haller sayılmıştır. Buna göre sağlık verilerinin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebileceği belirtilmiştir. Kanunun “Kişisel verilerin aktarılması” başlıklı 8 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın aktarılamayacağı hükme bağlanmış olup, anılan maddenin (2) numaralı fıkrasında ise kişisel verilerin açık rıza aranmaksızın aktarılabileceği haller Kanunun 5 inci maddesinin (2) numaralı fıkrası ile 6 ncı maddesinin (3) numaralı fıkrasına atıfta bulunmak suretiyle belirlenmiştir.
Öte yandan, Kanunun 12 nci maddesinin (1) numaralı fıkrası, veri sorumlusunun;
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- Kişisel verilerin muhafazasını sağlamak
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğunu düzenlemektedir. Anılan maddenin (4) numaralı fıkrasında ise veri sorumluları ile veri işleyen kişilerin öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacının dışında kullanamayacağı hükmüne yer verilmiştir.
Bu kapsamda, doktor kontrolünde ilaç kullanan ilgili kişinin sağlığı ile ilgili özel nitelikli kişisel verilerinin, ilaçları temin ettiği eczane tarafından 6698 sayılı Kişisel Verilerin Korunması Kanununun 8 inci maddesinde sayılan şartlar sağlanmadan üçüncü kişiyle paylaşılmasının Kanunun 12 nci maddesinin (4) numaralı fıkrasına aykırılık teşkil etmesi nedeniyle veri sorumlusu eczane hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmıştır.
Yayım Tarihi: 18.02.2019
Bir hazır giyim firmasının internet sitesi üzerinden üyelik bilgileri ile alışveriş yapan kişinin teslimat adresi, ad, soyadı, adres ve telefon numarası gibi kişisel bilgilerinin şirkete ait bu internet sitesi üzerinden alışveriş yapan üçüncü kişilerce erişilebilir hale gelmesi sebebiyle Şirkete başvuruda bulunarak kişisel verilerinin sistemlerinden silinmesini, yok edilmesini, ulaşılamaz hale getirilmesini, yurtiçi ve yurt dışında başka bir kurumla paylaşıldı ise o kurumlar nezdinde de silinmesini ve yok edilmesini talep etmesi üzerine Şirketten aldığı cevabı yetersiz bulması neticesinde Kuruma yapılan başvuru hakkında;
6698 sayılı Kişisel Verilerin Korunması Kanununun 7 nci maddesi “(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. (2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır” hükmünü amirdir.
Kanunun “İlgili Kişinin Hakları” başlıklı 11 inci maddesinin (1) numaralı fıkrasında ise herkesin, veri sorumlusuna başvurarak kendisiyle ilgili; yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme hakları düzenlemektedir.
Diğer yandan, Kanunun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (1) numaralı fıkrasında veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu hüküm altına alınmıştır.
Bir hazır giyim firmasının internet sitesi üzerinden üyelik bilgileri ile alışveriş yapan kişinin teslimat adresi, ad, soyadı, adres ve telefon numarası gibi kişisel bilgilerinin şirkete ait bu internet sitesi üzerinden alışveriş yapan üçüncü kişilerce erişilebilir hale gelmesi sebebiyle Şirkete başvuruda bulunarak kişisel verilerinin sistemlerinden silinmesini, yok edilmesini, ulaşılamaz hale getirilmesini, yurtiçi ve yurt dışında başka bir kurumla paylaşıldı ise o kurumlar nezdinde de silinmesini ve yok edilmesini talep etmesi üzerine Şirketten aldığı cevabı yetersiz bulması neticesinde Kuruma yapılan başvuru kapsamında;
- Şikâyetçinin kişisel verilerinin alışveriş işlemleri için girildiği, ancak anılan bilgilerin aynı zamanda başka müşterilerin alışverişe ilişkin işlemleri sırasında görülebilir hale geldiği, Şirket tarafından Kuruma sunulan savunma ve belgelerde, şirketin şikâyete konu durumdan olayla birlikte haberdar olduğu, olayın sistemsel bir hatadan kaynaklandığının tespit edildiği, ilgili departmanlar arasında istişarelerde bulunularak başka müşterilerin de mağduriyet yaşamamaları amacıyla bir takım önlemlerin alındığı ve derhal uygulama sürümünün çıkarıldığı hususlarına ilişkin açıklamaları birlikte değerlendirildiğinde Şirket tarafından bahsi geçen mağduriyet öncesinde Kanunun 12 nci maddesinin (1) numaralı fıkrası kapsamında kişisel verilerin muhafaza edilmesi ve kişisel verilere hukuka aykırı erişilmesini önleme amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirlerin alınamadığı sonucuna varıldığından; Şirket hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmasına,
- Şikâyetçinin her türlü kişisel verisinin Şirket sistemlerinden silinmesi, yok edilmesi, ulaşılamaz hale getirilmesi, yurtiçi ve yurt dışında başka bir kurumla paylaşıldı ise o kurumlar nezdinde de silinmesi ve yok edilmesi talebiyle ilgili olarak Şirketin taraflarınca yapılan işlemler hakkında açıklamalarını, tevsik edici belgelerle birlikte Kanunun 15 inci maddesinin (5) numaralı fıkrası gereğince kararın tebliğinden itibaren 30 gün içerisinde Şikâyetçiye iletmesi yönünde talimatlandırılmasına
karar verilmiştir.
Yayım Tarihi: 18.02.2019
Devlet memurlarının, memuriyet döneminde haklarında açılmış inceleme-soruşturma dosyalarına ilişkin evrakların imha edilmesi talebinin veri sorumlusu kamu kurumunca yerine getirilmemesi üzerine Kuruma yapılan başvuru hakkında;
6698 sayılı Kişisel Verilerin Korunması Kanununun 7 nci maddesinde “(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. (2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır” hükümlerine yer verilmiştir.
Öte yandan, 657 sayılı Kanunun “Memur Bilgi Sistemi, Özlük Dosyası” başlıklı 109 uncu maddesinde “Memur Bilgi Sistemi, Özlük Dosyası” başlıklı 109 uncu maddesinde her memur için bir özlük dosyasının tutulacağı ve bu dosyada memurun mesleki bilgileri, mal bildirimleri; varsa inceleme, soruşturma, denetim raporları, disiplin cezaları ile ödül ve başarı belgelerine ilişkin bilgi ve belgelerin konulacağı hükmüne; Kamu Personeli Genel Tebliğinin (Seri No: 2) “D” bölümünde ise görevleri herhangi bir şekilde sona eren memurların özlük dosyalarının kurumlarınca saklanacağı hükmüne yer verilmiştir.
Buna ek olarak, 16.05.1988 tarihli ve 19816 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren Devlet Arşiv Hizmetleri Hakkında Yönetmelik’in “Tarifler” başlıklı 3 üncü maddesinin
- (a) bendinde “Arşiv malzemesi: Türk Devlet ve Millet hayatını ilgilendiren ve en son işlem tarihi üzerinden otuz yıl geçmiş veya üzerinden onbeş yıl geçtikten sonra kesin sonuca bağlanmış olup, birinci maddede belirtilen kuruluşların işlemleri sonucunda teşekkül eden ve onlar tarafından muhafazası gereken, Türk Milletinin geleceğine tarihi, siyasî, sosyal, hukukî ve teknik değer olarak intikal etmesi gereken belgeler ve Devlet hakları ile milletlerarası hakları belgelemeye, korumaya, bunlarla ilgili işlem ve münasebetler bakımından tarihî, hukukî, idarî, askeri, iktisadî, dinî, ilmî edebî estetik, kültürel biyografik, jeneolojik ve teknik herhangi bir konuyu aydınlatmaya, düzenlemeye, tespite yarayan, ayrıca ait olduğu devrin ahlâk, örf ve âdetlerini veya çeşitli sosyal özelliklerini belirten her türlü yazılı evrak, defter, resim, plan, harita, proje, mühür, damga, fotoğraf, film, ses ve görüntü bandı, baskı ve benzeri belgeleri ve malzemeyi”,
- (b) bendinde “Arşivlik malzeme: Yukarıdaki bentte sayılan her türlü belge ve malzemeden zaman bakımından henüz arşiv malzemesi vasfını kazanmayanlarla, son işlem tarihi üzerinden yüzbir yıl geçmemiş memuriyet sicil dosyaları, Devletin gerçek ve tüzel kişilerle veya yabancı devlet ve milletlerarası kuruluşlarla akdettiği ikili ve çok taraflı milletlerarası antlaşmalar, tapu tahrir defterleri, tapu ve nüfus kayıtları, aynı özellikteki vakfiyelerden ait oldukları kamu kurum ve kuruluşları ile il, ilçe, köy ve belediyelere ait sınır kâğıtları gibi belgeleri”,
- (c) bendinde “Birim arşivi: Kurum ve kuruluşların görev ve faaliyetleri sonucu kendiliğinden teşekkül eden ve bu kuruluşların çeşitli birimlerinde, aktüalitesini kaybetmemiş olarak aktif bir biçimde ve günlük iş akımı içinde kullanılan arşivlik malzemenin belirli bir süre saklandığı arşiv birimlerini (Mükelleflerin taşra, bölge ve yurt dışı kuruluşlarında bulunan arşivler de birim arşivi sayılır.)”,
- (d) bendinde “Kurum arşivi: Kurum ve kuruluşların, merkez teşkilâtları içinde yer alan ve arşiv malzemesi ile arşivlik malzemenin, birim arşivlerine nazaran daha uzun süreli saklandığı merkezî arşivleri”,
- (e) bendinde ise “Mükellefler: 28/9/1988 tarihli ve 3473 sayılı Muhafazasına Lüzum Kalmayan Evrak ve Malzemenin Yok Edilmesi Hakkında Kanun Hükmünde Kararnamenin Değiştirilerek Kabulü Hakkında Kanunun 1 inci maddesinde sayılan kurum ve kuruluşları”
şeklinde tanımlanmıştır.
Bu çerçevede, 3473 sayılı Muhafazasına Lüzum Kalmayan Evrak ve Malzemenin Yok Edilmesi Hakkında Kanun Hükmünde Kararnamenin Değiştirilerek Kabulü Hakkında Kanunun “Amaç ve Kapsam” başlıklı 1 inci maddesinde “Bu Kanunun amacı, genel ve katma bütçeli dairelerle (saklama, ayıklama ve imha işlemleri kendi mevzuatına tabi olmak kaydıyla Cumhurbaşkanlığı, Türkiye Büyük Millet Meclisi, Genelkurmay Başkanlığı, Milli Savunma Bakanlığı, İçişleri Bakanlığı, (Ek ibare: 1/2/2000 - 4516/1 md.) Dışişleri Bakanlığı ve Milli İstihbarat Teşkilatı hariç) mahalli idareler, üniversiteler ve bunlara bağlı sabit ve döner sermayeli kuruluşlar, kamu iktisadi teşebbüsleri, özel kanunlarla kurulan kamu bankaları ve teşekkülleri elinde bulunan ve arşivlerinde arşiv malzemesi ve arşivlik malzeme niteliği taşımayan, muhafazasına lüzum görülmeyen, yok edilecek evrak ve her türlü malzemenin, ayıklama ve imha işlemlerine dair usul ve esasları düzenlemektir.” hükmü yer almakta olup, bu tanımdan hareketle genel bütçe kapsamındaki kamu idarelerinden olan Bakanlık da mükellef olarak değerlendirilmektedir.
Buna ek olarak, Devlet Arşiv Hizmetleri Hakkında Yönetmelik’in “Birim ve Kurum Arşivleri” başlıklı 5 inci maddesinde mükelleflerin, belirli bir süre saklayacakları arşivlik malzeme için birim arşivlerini, daha uzun bir süre saklayacakları arşiv malzemesi veya arşivlik malzeme için kurum arşivlerini kuracakları ve ellerinde bulunan arşivlik malzemelerin birim arşivlerinde 1-5 yıl süre ile saklanacağı ile “Kurum Arşivine Devredilecek Malzemenin Ayrılması” başlıklı 19 uncu maddede de birim arşivinde saklanma süresini tamamlayan arşivlik malzemenin, “Kurum Arşivine Devredilecek” olanlar şeklinde ayrılacağı hüküm altına alınmıştır.
Devlet memurlarının, memuriyet döneminde haklarında açılmış inceleme-soruşturma dosyalarına ilişkin evrakların imha edilme talebinin veri sorumlusu kamu kurumunca yerine getirilmemesi üzerine Kuruma yapılan başvuru kapsamında, imha edilmesi talep edilen kişisel bilgilerin, ilgili kişinin devlet memuru olduğu dönemde hakkında açılmış inceleme-soruşturma dosyalarına ilişkin evraklar olması ve bu itibarla söz konusu evrakların, 657 sayılı Kanun gereğince özlük dosyalarında saklanması gerektiği, Kamu Personeli Genel Tebliğine (Seri No: 2) göre özlük dosyalarının dördüncü bölümünde yer alacağı ile görevi herhangi bir şekilde sona eren memurların özlük dosyalarının kurumlarınca saklanacağı ve Devlet Arşiv Hizmetleri Hakkında Yönetmeliğe göre son işlem tarihi üzerinden yüz bir yıl geçmemiş memuriyet sicil dosyaları içerisinde yer aldığı hususlarından hareketle, 6698 sayılı Kanunun 7 inci maddesinde belirtildiği üzere kişisel verilerin işlenmesini gerektiren sebeplerin de henüz ortadan kalkmaması dolayısıyla şikayetçinin talebinin veri sorumlusu tarafından karşılanmamasının uygun olduğuna karar verilmiştir.
Karar Tarihi | : 16/10/2018 |
Karar No | : 2018/119 |
Konu Özeti | : Veri sorumluları ve veri işleyenler tarafından ilgili kişilerin e-posta adreslerine veya SMS ya da çağrı ile cep telefonlarına reklam bildirimleri/aramaları yönlendirilmesinin önüne geçilmesini teminen ilke kararı alınması |
6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) hükümlerine aykırı olarak ilgili kişilerin açık rızaları alınmaksızın e-posta adreslerine veya SMS veya çağrı ile cep telefonlarına reklam bildirimleri/aramaları geldiği hususunda Kişisel Verileri Koruma Kurumuna (Kurum) intikal eden çok sayıda başvuru ile bu kapsamda yürütülmekte olan incelemeler çerçevesinde ulaşılan tespitler dikkate alınarak;
- İlgili kişilerin rızalarını almadan veya Kanunun 5 inci maddesinin (2) numaralı fıkrasında hüküm altına alınan işleme şartlarını sağlamadan, telefon numaralarına SMS göndermek, arama yapmak veya e-posta adreslerine posta göndermek suretiyle reklam içerikli ileti yönlendiren veri sorumluları ile veri sorumluları adına reklam içerikli mesaj/e-posta göndermek veya arama yapmak amacıyla ilgili kişilerin açık rızaları bulunmaksızın bu verileri kullanan veri işleyenlerin söz konusu veri işleme faaliyetlerini Kanunun 15 inci maddesinin (7) numaralı fıkrası uyarınca derhal durdurması gerektiği,
- Kanunun 12 nci maddesi kapsamında veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu ve kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, anılan tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumlu olduğu,
- Belirtilen şekilde söz konusu faaliyetlerde bulunan veri sorumluları hakkında Kanunun 18 inci maddesi hükümleri çerçevesinde işlem tesis edileceği,
- Bahse konu şekilde işlenen kişisel verilerin hukuka aykırı olarak elde edilmiş olabileceği de göz önüne alınarak 5237 sayılı Türk Ceza Kanununun “Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme” başlıklı 136 ncı maddesi çerçevesinde ilgili veri sorumluları hakkında gerekli hukuki işlemlerin tesisi için konunun 5271 sayılı Ceza Muhakemesi Kanununun 158 inci maddesi uyarınca ihbaren ilgili Cumhuriyet Başsavcılığına bildirileceği
hususlarında kamuoyunun bilgilendirilmesine ve bu İlke Kararının Kurumun internet sitesi ile Resmi Gazetede yayımlanmasına oy birliği ile karar verilmiştir.
Karar Tarihi | : 19/07/2018 |
Karar No | : 2018/88 |
Konu Özeti | : Sicile kayıt yükümlülüğünün başlama tarihleri |
6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 16 ncı maddesinin (2) numaralı fıkrasında yer alan “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.” hükmü ile Kanunun Geçici 1 inci maddesinin 2 nci fıkrasında yer alan “Veri sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır.” hükmü göz önünde bulundurularak;
- Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.10.2018 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.09.2019 tarihine kadar süre verilmesinin kabulüne,
- Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.10.2018 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.09.2019 tarihine kadar süre verilmesinin kabulüne,
- Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.01.2019 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 31.03.2020 tarihine kadar süre verilmesinin kabulüne,
- Kamu kurum ve kuruluşu veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.04.2019 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.06.2020 tarihine kadar süre verilmesinin kabulüne
- Bu kararın Kurum internet sayfası ile Resmi Gazetede yayımlanmasına
oybirliği ile karar verilmiştir.
Yayım Tarihi: 18.08.2018
6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin (2) numaralı fıkrasında yer alan “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.” hükmü ile 30 Aralık 2017 tarih ve 30286 sayılı Resmî Gazetede yayımlanarak yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmeliğin “İstisna Kriterleri” başlıklı 16 ncı maddesi göz önünde bulundurularak; 02.04.2018 tarihli ve 2018/32 sayılı Kurul Kararı ile istisna tutulan veri sorumlularına ilave olarak, yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanların; Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulmasına ve bu kararın Kurum internet sayfası ile Resmi Gazetede yayımlanmasına oybirliği ile karar verilmiştir.
Karar Tarihi | : 05/07/2018 |
Karar No | : 2018/75 |
Konu Özeti | : Adalet Bakanlığı Hukuk İşleri Genel Müdürlüğü Arabuluculuk Daire Başkanlığından alınan Arabulucuların Veri Sorumluları Siciline kayıt zorunluluğundan istisna tutulmasına ilişkin 25/05/2018 tarih ve 9235 sayılı görüş talebi |
Adalet Bakanlığı Hukuk İşleri Genel Müdürlüğü Arabuluculuk Daire Başkanlığından alınan Arabulucuların Veri Sorumluları Siciline kayıt zorunluluğundan istisna tutulmasına ilişkin 25.05.2018 tarih ve 9235 sayılı taleplerinin incelenmesi neticesinde;
6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin (2) numaralı fıkrasında yer alan “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.” hükmü ile 30 Aralık 2017 tarih ve 30286 sayılı Resmî Gazetede yayımlanarak yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmeliğin “İstisna Kriterleri” başlıklı 16 ncı maddesi göz önünde bulundurularak; Arabulucular bakımından Veri Sorumluları Siciline kayıt yükümlülüğüne istisna getirilmesine ve Kararın Resmi Gazete ile Kurumun internet sayfasında yayımlanmasına oy birliği ile karar verilmiştir.
Karar Tarihi | : 28/06/2018 |
Karar No | : 2018/68 |
Konu Özeti | : Gümrük Müşavirlerinin Sicile Kayıt İstisnası Hakkında görüş talebi |
Ankara, Bursa, İstanbul, İzmir ve Mersin Gümrük Müşaviri Derneklerinin 25.05.2018 tarihli yazısında belirtilen, Kişisel Verileri Koruma Kurulunun 15.05.2018 tarihli Resmi Gazetede yayımlanan ve bazı veri sorumlularının Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulabileceğine ilişkin olarak verdiği karara istinaden gümrük müşavirleri ve yetkilendirilmiş gümrük müşavirlerinin de istisna kapsamına alınmasına ilişkin taleplerinin incelenmesi neticesinde;
6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin (2) numaralı fıkrasında yer alan “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.” hükmü ile 30 Aralık 2017 tarih ve 30286 sayılı Resmî Gazetede yayımlanarak yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmeliğin “İstisna Kriterleri” başlıklı 16 ncı maddesi göz önünde bulundurularak 4458 sayılı Gümrük Kanunu uyarınca faaliyet gösteren gümrük müşavirleri ve yetkilendirilmiş gümrük müşavirleri bakımından Veri Sorumluları Siciline kayıt yükümlülüğüne istisna getirilmesine ve Kararın Resmi Gazete ile Kurumun internet sayfasında yayımlanmasına oy birliği ile karar verilmiştir.
Karar Tarihi | : 31/05/2018 |
Karar No | : 2018/63 |
Konu Özeti | :Veri sorumlusu nezdindeki kişisel verilere erişim yetkisi bulunan personelin yetkisi ve amacı dışında söz konusu verileri işlemesi hususunun değerlendirilmesi |
Veri sorumlusu nezdinde bulundukları pozisyon veya görev itibariyle kişisel verilere erişime yetkisi olanlar tarafından, yetkilerini aşarak ve işleme amacı dışında söz konusu verilerin işlendiği hususunda Kuruma intikal eden ihbar ve şikayetlere ilişkin yapılan değerlendirme sonucunda, uygulamada yaşanan problemlerin önüne geçilebilmesini teminen;
- Bir veri sorumlusu nezdinde bulundukları pozisyon veya görev itibariyle kişisel verilere erişme yetkisi olanlar tarafından, yetkileri aşmak ve/veya yetkilerini kötüye kullanmak suretiyle, kişisel amaçlara veya nedenlere bağlı olarak işleme amacı dışında söz konusu kişisel verilerin işlenmesi ve/veya bu verilerin üçüncü kişilerle paylaşılması 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil edeceğinden, bu kapsamdaki eylemlerin önlenmesi amacıyla veri sorumlularınca uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirin alınması gerektiği hususunda veri sorumlularının bilgilendirilmesine,
- Kanunun 15 nci maddesinin (6) numaralı fıkrası uyarınca alınan bu ilke kararının Resmi Gazete ile Kurumun internet sitesinde yayımlanmasına,
oy birliği ile karar verilmiştir.
Karar Tarihi | : 02/04/2018 |
Karar No | : 2018/32 |
Konu Özeti | : 6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin ikinci fıkrası ile Veri Sorumluları Sicili Hakkında Yönetmeliğin 16 ncı maddesi uyarınca Veri Sorumluları Siciline kayıt yükümlülüğüne getirilecek istisnaların belirlenmesi |
6698 sayılı Kişisel Verilerin Korunması Kanununun 16 ncı maddesinin ikinci fıkrası ile 30/12/2017 tarihli ve 30286 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmeliğin 16 ncı maddesine istinaden Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulacak veri sorumlularının ekte yer verildiği şekilde belirlenmesine ve Kararın Resmi Gazete ile Kurumun internet sitesinde yayımlanmasına karar verilmiştir.
02/04/2018 tarih ve 2018/32 sayılı Karar Eki Liste
- Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler.
- 18/01/1972 tarihli ve 1512 sayılı Noterlik Kanunu uyarınca faaliyet gösteren noterler.
- 04/11/2004 tarihli ve 5253 sayılı Dernekler Kanununa göre kurulmuş derneklerden, 20/02/2008 tarihli ve 5737 sayılı Vakıflar Kanununa göre kurulmuş vakıflardan ve 18/10/2012 tarihli 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler.
- 22/04/1983 tarihli ve 2820 sayılı Siyasi Partiler Kanununa göre kurulmuş siyasi partiler.
- 19/3/1969 tarihli ve 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar
- 1/6/1989 tarihli ve 3568 sayılı Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu uyarınca faaliyet gösteren Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler.
Karar Tarihi | : 31/01/2018 |
Karar No | : 2018/10 |
Konu Özeti | : “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler”in görüşülmesi. |
Kanunun 6 ncı maddesinin (4) numaralı fıkrası ile 22 nci maddesinin (1) numaralı fıkrasının (ç) bendi kapsamında hazırlanan “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” in ekte yer verilen şekilde kabulüne ve Resmi Gazetede yayımlanmasına oy birliği ile karar verilmiştir.
Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler
6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 6 ncı maddesinin (4) numaralı fıkrasında, “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” hükmü yer almaktadır.
Bu çerçevede, Kanunun 22 nci maddesinin (1) numaralı fıkrasının (ç) ve (e) bentleri uyarınca özel nitelikli kişisel veri işleyen veri sorumluları tarafından alınması gereken yeterli önlemler Kişisel Verileri Koruma Kurulu tarafından aşağıdaki şekilde belirlenmiştir:
1- Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi,
2- Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,
a) Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,
b) Gizlilik sözleşmelerinin yapılması,
c) Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması,
ç) Periyodik olarak yetki kontrollerinin gerçekleştirilmesi,
d) Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması,
3- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise
a) Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,
b) Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,
c) Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,
ç) Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
d) Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
e) Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması,
4- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise
a) Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması,
b) Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi,
5- Özel nitelikli kişisel veriler aktarılacaksa
a) Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,
b) Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması,
c) Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,
ç) Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerekir.
6- Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmalıdır.
Karar Tarihi | : 21/12/2017 |
Karar No | : 2017/61 |
Konu Özeti | : Rehberlik Hizmeti Veren İnternet Sitelerinde/Uygulamalarda Kişisel Verilerin Korunması |
6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) hükümlerine aykırı olarak ilgili kişilerin açık rızalarını almaksızın isimden telefon numarası veya telefon numarasından isim sorgulanması şeklinde rehberlik hizmeti veren internet siteleri ve uygulamalara ilişkin olarak Kişisel Verileri Koruma Kurumuna intikal eden ihbar ve şikâyetler kapsamında yapılan değerlendirme sonucunda; çeşitli uygulamalar, internet siteleri veya sosyal medya hesapları üzerinden kişisel verileri toplayarak bu verilerin paylaşımını sağlayan, isim sorgulandığında telefon numarası bilgisine, telefon numarası sorgulandığında da isim bilgisine erişme ve başkalarının telefon rehberinde nasıl kayıtlı olunduğunu öğrenme gibi konularda hizmet veren birçok uygulamanın ve internet sitesinin bulunduğu tespit edilmiştir.
Kanunun 3 üncü maddesinin (1) numaralı fıkrasının (e) bendinde “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” kişisel verilerin işlenmesi olarak düzenlenmiş olup sayılan eylemlerden birinin gerçekleştirilebilmesi için öncelikle Kanunun 5 ve 6 ncı maddelerinde sayılan işlenme şartlarından birinin bulunması, ayrıca Kanun ile öngörülen diğer yükümlülüklerin yerine getirilmesi gerekmektedir.
Bu kapsamda;
- Kanunda ve ilgili mevzuatta dayanağı bulunmaksızın ilgili kişilerin iletişim bilgilerinin paylaşımını yapan internet siteleri ve mobil uygulamalar tarafından gerçekleştirilen veri işleme faaliyetinin Kanunun 15 inci maddesinin (7) numaralı fıkrası uyarınca derhal durdurulması gerektiği,
- Belirtilen şekilde söz konusu faaliyetlerde bulunan internet sitelerinin/uygulamaların faaliyetlerine son vermediğine ilişkin bilgi edinilmesi halinde bu internet sitelerine/uygulamalara erişimin engellenmesi adına gereğinin yapılmasını teminen yetkili kurumlara başvuruda bulunulacağı, öte yandan kişisel verilerin hukuka aykırı olarak elde edilmiş olabileceği de dikkate alınarak, 5237 sayılı Türk Ceza Kanununun “Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme” başlıklı 136 ncı maddesi çerçevesinde ilgili internet siteleri/uygulamalar hakkında gerekli hukuki işlemlerin tesisi için konunun Ceza Muhakemesi Kanununun 158 inci maddesi uyarınca ihbaren Cumhuriyet Başsavcılığına bildirileceği
hususlarında kamuoyunun bilgilendirilmesine,
- Kanunun 15 inci maddesinin (6) numaralı fıkrası uyarınca alınan bu ilke kararının Resmi Gazete ile Kurumun internet sitesinde yayımlanmasına ve bu karara uymayanlar hakkında Kanunun 18 inci maddesi kapsamında işlem yapılacağına
oy birliği ile karar verilmiştir.
Karar Tarihi | : 21/12/2017 |
Karar No | : 2017/62 |
Konu Özeti | : Banko, Gişe, Masa gibi Hizmet Alanlarında Kişisel Verilerin Korunması |
Banko, gişe ve masa gibi vatandaşa hizmet sunulan alanlarda yaşanan kişisel veri güvenliği ihlallerine ilişkin olarak Kişisel Verileri Koruma Kurumuna intikal eden ihbarlar kapsamında yapılan değerlendirme sonucunda, uygulamada yaşanan problemlerin önüne geçilmesini teminen;
- Bankacılık ve sağlık sektörleri başta olmak üzere birden fazla çalışan ile birlikte bitişik düzende hizmet veren posta ve kargo hizmetleri, turizm acenteleri, zincir mağazaların müşteri hizmetleri bölümleri, çeşitli abonelik işlemlerinin yapıldığı kuruluşlar ile belediye, vergi ve nüfus ile ilgili işlemler gibi hizmetlerin verildiği kamu ve özel sektör kurum ve kuruluşlarının, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesi uyarınca kişisel verilerin korunması ile ilgili olarak; banko/gişe/masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda birbirlerine yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymasını, görmesini, öğrenmesini veya ele geçirmesini engelleyecek nitelikte gerekli teknik ve idari tedbirleri almasına,
- Kanunun 15 inci maddesinin (6) numaralı fıkrası uyarınca alınan bu ilke kararının Resmi Gazete ile Kurumun internet sitesinde yayımlanmasına ve bu karara uymayanlar hakkında Kanunun 18 inci maddesi kapsamında işlem yapılacağına
oy birliği ile karar verilmiştir.
Karar Tarihi | : | 24/08/2023 |
Karar No | : | 2023/1465 |
Konu Özeti | : | Veri sorumlusuna ait internet sitesine yapılan kullanıcı girişinde üçüncü kişiye ait kişisel verilerin görüntülenmesi |
Kuruma intikal ettirilen ihbar dilekçesinde özetle; ilgili kişinin araç kiralama şirketine ait internet sitesine sisteme kayıtlı kullanıcı adı ve e-posta adresi ile giriş yaparken bir başka kullanıcının hesabına yönlendirildiği, hatalı yönlendirme neticesinde üçüncü bir kişinin adres, telefon numarası, T.C. kimlik numarası ve ehliyet bilgisi gibi kişisel verilerine eriştiği, konu ile ilgili çağrı merkezine bildirimde bulunduğu, akabinde sistemdeki bilgilerin düzetildiği ancak veri sorumlusuna yapılan başvurudaki sorulara cevap verilmediği ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde şikâyet edilen veri sorumlusundan savunması talep edilmiş olup veri sorumlusu tarafından verilen cevapta özetle;
- Kişisel verilerin güvenliğini sağlamak amacıyla Kanun ve ilgili diğer mevzuat uyarınca gerekli her türlü teknik ve idari tedbirlerin alındığı, Kurum tarafından gönderilen savunma, bilgi ve belge talepli yazıya dair incelemelerin gerçekleştirildiği,
- İlgili kişinin veri sorumlusuna ait internet sitesine kullanıcı girişi yaptığında açılan müşteri ekranında bir başka müşterinin kullanıcı bilgilerinin görüntülenmesinin sistemde yer alan kullanıcı bilgilerinin algoritma tarafından diğer kullanıcı bilgileri ile değiştirilmesi sonucu meydana geldiği,
- Hatalı bilgi görüntülemesi sorununun, veri sorumlusunun merkez ofisi üzerinden yapılan rezervasyonun işleme alınışı esnasında rezervasyon ekranı üzerinden manuel bilgi girişi yapılırken hatalı e-posta adres bilgisi girilmesinden kaynaklandığı, hatalı bilgi girişinin müşteri bilgilerinin güncellenmesinde kullanılan algoritmayı aksattığı, sorunun sistemde güncelleme yapılarak kısa süre içinde düzeltildiği,
- Aksaklığın başka kullanıcıları da etkileyip etkilemediğinin tespiti için veri tabanı taraması gerçekleştirildiği, bu taramada ilgili kişinin yanı sıra üç kişinin daha veri algoritmasında sorun yaşandığının tespit edildiği ve durumun düzeltildiği,
- Benzer bir durumun tekrar yaşanmaması için algoritmalarda e-posta bilgisi ile müşteri bilgisi güncelleme fonksiyonunun tamamen devre dışı bırakıldığı,
- Veri sorumlusu tarafından gerçekleştirilen kontrolde ihbar sahibi ilgili kişiye ait kişisel verilerin bir başka kullanıcı tarafından görüntülenmediğinin ve algoritma aksamasının söz konusu olmadığının tespit edildiği,
- Algoritma aksaklığı nedeniyle herhangi bir veri sızıntısının olmadığı, oldukça az sayıdaki verinin sistemde görüntülenmesi noktasında aksaklık yaşandığı ve bu sorunun da kısa süre içinde çözüldüğü
ifade edilmiştir.
Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 24/08/2023 tarih ve 2023/1465 sayılı sayılı Kararı ile;
- İhbara konu olayda veri sorumlusuna ait internet sitesine kullanıcı girişi yapılmaya çalışılırken başka bir kullanıcının kişisel verilerinin görüntülendiği, ihbar sahibi ilgili kişiye ait kişisel verilerin ise üçüncü kişiler tarafından görüntülenmediği,
- Kanunun 3’üncü maddesinin (e) bendine göre kişisel verilerin elde edilebilir hale getirilmesinin bir kişisel veri işleme faaliyeti olduğu, veri sorumlusunun veri kayıt sistemindeki müşteri bilgilerinin güncellenmesinde kullanılan algoritmanın yanlış çalışması nedeniyle toplam dört kişinin kişisel verilerinin diğer kullanıcılar bakımından elde edilebilir hale geldiği,
- Hatalı e-posta girişi nedeniyle aksayan algoritmanın veri sorumlusunun hizmetlerini kullanmakta olan kişilerin kişisel verilerini yetkisiz erişime açık hale getirdiği, nitekim ilgili kişi tarafından üçüncü kişiye ait kişisel verilere erişildiği, somut olayın kişisel verilere hukuka aykırı erişimi ortaya koyar nitelikte olduğu,
- Kanunun 12’nci maddesi kapsamında veri sorumlularının kişisel verilere hukuka aykırı erişilmesini önlemek için gerekli her türlü teknik ve idari tedbiri almakla yükümlü oldukları,
- Veri kayıt sistemindeki algoritmanın yanlış çalışmasından dolayı ortaya çıkan durum dört farklı kişiyi etkilemiş ise de Kanun kapsamında yapılmış bir veri ihlal bildiriminin bulunmadığı,
- Kanunun 12’nci maddesinin (5) numaralı fıkrasında; “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir.” hükmün yer aldığı ancak veri sorumlusu tarafından Kurula veri ihlal bildiriminde bulunulduğuna ilişkin bir beyanın savunma dilekçesinde yer almadığı gibi Kurum kayıtlarında da bildirime rastlanmadığı,
- Öte yandan savunma dilekçesinde ihbar sahibine ait kişisel verilerin algoritmadaki yanlışlıktan etkilenmediği savunmasının yapıldığı ancak ilgili kişi tarafından Kuruma iletilen dilekçenin ihbar niteliği taşıdığı ve Kurul tarafından konu hakkında re’sen inceleme başlatıldığı,
- Kanunun 15’nci maddesinin birinci fıkrasında “Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda re’sen, görev alanına giren konularda gerekli incelemeyi yapar.” hükmünün yer aldığı, bu kapsamda ihbar dilekçesi ile haberdar olunan ihlalin incelenebilmesi için ilgili kişiye ait kişisel verilerinin ihlalden etkilenmesi gerekliliği bulunmadığı
değerlendirmelerinden hareketle;
- Veri sorumlusunun veri kayıt sistemindeki algoritmanın yanlış çalışması nedeniyle araç kiralama platform kullanıcıları tarafından sisteme giriş yapılmaya çalışıldığı esnada farklı kullanıcıların kişisel verilerine hukuka aykırı olarak erişim sağlandığı dikkate alındığında, Kanunun 12’nci maddesinde yer alan veri güvenliğine ilişkin yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında Kanunun 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 200.000 TL idari para cezası uygulanmasına,
- Savunma dilekçesinde, ihbarda bulunan ilgili kişiye ait kişisel verilerin ihlalden etkilenmediği savunması yapılmışsa da Kanunun 15’inci maddesinin birinci fıkrası kapsamında ihlal iddiasının öğrenilmesi durumunda re’sen görev alanına giren konularda incelemenin Kurul tarafından yapılacağı düzenlendiğinden ilgili kişinin ihbarı ile haberdar olunan ihlalin incelenebilmesi için ilgili kişiye ait kişisel verilerin ihlalden etkilenmesi gerekliliği bulunmadığı hususunda veri sorumlusunun bilgilendirilmesine,
- İlgili kişilerin kişisel verilerine üçüncü kişiler tarafından yetkisiz şekilde erişilmesi Kanunun 12’nci maddesinin beşinci fıkrası kapsamında veri ihlal bildirimini gerektirmekte olup veri sorumlusuna veri ihlal bildirimiyle ilgili yükümlülüklerinin hatırlatılmasına
karar verilmiştir.
Karar Tarihi | : | 24/08/2023 |
Karar No | : | 2023/1461 |
Konu Özeti | : | Bir eğitim kurumu tarafından kamera vasıtasıyla görüntü ve ses kaydı alınması |
Kuruma intikal ettirilen şikâyet dilekçelerinde özetle; veri sorumlusunun ilgili kişilerden birinin kiracısı olduğu, kira uyuşmazlığı nedeniyle aralarında bir görüşme gerçekleştiği, daha sonra veri sorumlusu tarafından gönderilen ihtarnamede, yapılan görüşme esnasında ilgili kişilere ait ses ve görüntü kayıtlarının alındığının beyan edildiği, bu doğrultuda ilgili kişiler tarafından veri sorumlusuna gönderilen cevap ihtarnamesinde ilgili kişilerin açık rızası dışında ses ve görüntü kaydının alınmasının Türk Ceza Kanunu’nun (TCK) 133’üncü maddesi vd. hükümleri gereği suç teşkil eden bir fiil olduğunun hatırlatıldığı, veri sorumlusu tarafından gönderilen ihtarnamede ise ilgili kişilerin ses ve görüntü kaydının açık rızası ve muvafakati olmadığı halde alınmasının veri sorumlusuna tanınmış yasal bir hak olduğunun belirtildiği, bununla birlikte veri sorumlusu tarafından ilgili kişilerden yalnızca birine cevap verildiği diğer ilgili kişiye ise cevap verilmediği belirtilerek gereğinin yapılması talep edilmiştir.
Kurul tarafından, “…veri sorumlusunun bir iş yeri olduğu göz önüne alınarak, veri sorumlusu tarafından iş sağlığı ve güvenliği çerçevesinde kamera vasıtasıyla gerçekleştirilen kişisel veri işleme faaliyetlerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 5’inci maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması” ve (f) bendinde yer alan “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” kapsamında gerçekleştirilebileceği, bu bakımdan Kanun’un 5’inci maddesindeki diğer veri işleme şartlarına dayanılması açısından ilgili kişinin görüntü kaydının açık rızası olmadan alınması hakkındaki şikayetiyle ilgili Kanun kapsamında yapılacak bir işlem olmadığı değerlendirilmekle birlikte, ilgili kişinin kendisine aydınlatma yapılmaması yönündeki soru ve taleplerinin veri sorumlusu tarafından karşılanmaması ve kamera kaydının hem görüntü hem ses kaydı içerdiğine ilişkin iddialar kapsamında ses kaydı yapılmasının “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması” ilkesi çerçevesinde değerlendirilmesi bakımından inceleme başlatılmasına…” karar verilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması talep edilmiş olup veri sorumlusu tarafından verilen cevapta özetle;
- Kendilerinin okul öncesi, ilk ve orta öğretim kurumları işlettiği, Millî Eğitim Bakanlığı Özel Öğretim Kurumları Yönetmeliği’nin 11’inci maddesinde 2017 yılında yapılan değişiklikle, okullarda, bahçe giriş ve bina kapıları öncelikli olmak üzere, en az on beş gün süreyle görüntü kayıtlarını depolayacak güvenlik kamera sistemi kurulabilmesinin mümkün hale getirildiği, bu sebeple okullarda güvenlik amaçlı kamera ile görüntü ve ses kayıtlarının alındığı,
- Bu amaçla da okulun genel kullanıma açık bulunan yerlerinde kameralarla görüntü ve ses kaydı yapıldığı, bu kameralardan bir tanesinin de kurucu odasında bulunduğu, bu hususun ilgili kişiler tarafından da bilinmekte olduğu,
- Okul olarak kullanılan gayrimenkulün ilgili kişilerden kiralandığı ve bu sebeple ilgili kişiler ile kendileri arasında kiracılık ilişkisi bulunduğu, kiraya veren ilgili kişi ile yapılan görüşme esnasında, kira ödemesinin elden ve nakit olarak yapıldığı sırada görüntü ve ses kaydı alındığı, yapılan kira ödemesiyle ilgili kendilerine belge verilmesinin istenmesi üzerine kiraya veren ilgili kişinin böyle bir belgeye gerek olmadığını, ilişkinin güvene dayalı sürdüğünü ifade ettiği,
- Bu beyandan sonra kiraya veren ilgili kişinin daha fazla kira ödemesi alabilmek maksadıyla kendileri tarafından ödenen parayı almadığını beyanla, yeniden kira bedeli ödemesi talep ettiği, talebin üzerine görüntü ve ses kayıtlarının kendilerinde mevcut olduğunun ve delil niteliğinde olduğunun kendisine ifade edildiği,
- Kiraya veren ilgili kişi tarafından gönderilen ihtarnamede yer alan, görüntü ve ses kaydının izinsiz ve habersiz yapıldığı iddiasının doğru olmadığı ayrıca bu durumun TCK’nın 133’üncü maddesindeki suçu oluşturmayacağının kendisine izah edildiği, TCK'nın 133’üncü maddesindeki suçun oluşması için kişiler arasındaki aleni olmayan konuşmaların, konuşmanın tarafı olmayan kişi ya da kişilerce kayda alınmış olması gerektiği, somut olayda böyle bir durumun söz konusu olmadığı,
- Bu itibarla, görüntü ve ses kayıtlarının kendileri tarafından kiraya veren ilgili kişiye ödenen kira bedellerinin alınmadığı iddiası ve hak edilmemiş bir paranın istenmesi sebebiyle, paranın ödenmiş olduğunun ispatlanması amacıyla ve güvenlik önlemleri gereğince alındığı; delil mahiyetinde olması nedeniyle de kiraya veren ilgili kişiye bu kayıtların verilemeyeceğinin bildirildiği,
- Öte yandan, diğer ilgili kişinin kendileri ile herhangi bir hukuksal ilişki içinde olmadığı, bu nedenle bir verisinin işlendiğinden de bahsedilemeyeceği,
- Olayın yaşandığı tarih bakımından kendilerinin 50 çalışana sahip olmaması nedeniyle, Kanun’dan doğan sorumluluğunun bulunmadığı, ayrıca 50 çalışanı bulunsa dahi gerçekleşen olay nedeniyle, Kurum tarafından tanınan süre içinde VERBİS kaydı oluşturulmasının gerekli olmadığı, bu anlamda kendilerinin, Kanun anlamında herhangi bir yükümlülüğünün bulunmadığı, alınan kayıtların da Kanun uyarınca alınmadığı,
- Kendilerinin kanuni bir sorumluluğu bulunmadığından istenen bilgileri şikâyet edenlere verme yükümlülüğünün de bulunmadığı, ayrıca diğer ilgili kişi ile ilgili herhangi bir kişisel veri de işlenmediği için talebi ile alakalı herhangi bir cevap verilmediği,
- Sonuç olarak, alınan görüntü ve ses kayıtlarının delil elde etme amaçlı olduğu, Kanun’a aykırı bir yön taşımadığı, kayıtların delil niteliğinde olması nedeniyle yargı makamları nezdinde kullanılacağı
ifade edilmiştir.
Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 24/08/2023 tarihli ve 2023/1461 sayılı Kararı ile;
- Veri sorumlusunun Kurumu muhatap cevap yazısında, okulun genel kullanımına açık bulunan yerlerde Millî Eğitim Bakanlığı Özel Öğretim Kurumları Yönetmeliği hükümleri uyarınca mümkün hale getirildiğinden bahisle ve güvenlik amacıyla görüntü ve ses kaydı yapıldığı belirtilmişse de ilgili mevzuat incelendiğinde görüntü kaydı alınabilecek yerlerin sayıldığı ve belirli bazı yerlere kamera yerleştirilmesinin yasaklandığı görülmekte olup söz konusu hükümlerin yalnızca görüntü kaydına yönelik olduğu ve ses kaydı alınmasını meşru hale getiren özel bir hüküm ihdas etmediği,
- Kameralar vasıtasıyla alınan görüntü kaydının her durumda meşru bir gereklilik teşkil etmediği, bu yolla kişisel veri işleme faaliyetinin Kanun’a uygun olması için görüntü kaydının alınmasını gerektiren amaca makul başka türlü yöntemlerle ulaşmanın mümkün olmaması gerektiği, kaydın alınmasını gerektiren sebebin kişilerin temel hak ve özgürlükleri ile çatışması halinde üstün tutulacak bir menfaate işaret etmesi gerektiği,
- Görüntü kaydına ek olarak ses kaydının da alınmasının; kişisel verinin işlenmesi yönünden meşru bir menfaatin bulunup bulunmadığı, çatışan menfaatlerin söz konusu olup olmadığı ve meşru bir menfaatin bulunması halinde dahi işlemenin ölçülü olup olmadığının değerlendirilmesini gerektirdiği, veri sorumlusunun bir eğitim kurumu olarak faaliyet gösterdiği, öğrencilerinin okul öncesi, ilk ve orta öğretim öğrencileri olduğu, güvenlikleri için gerekli tüm işlemlerin hassasiyetle yürütülmesi gerektiği ve çalışanları açısından iş sağlığı ve güvenliği amaçlarını gerçekleştirme ihtiyacı bir arada düşünüldüğünde kamera vasıtasıyla görüntü kaydı alınmasının bu amaçları gerçekleştirmeye elverişli, meşru ve ölçülü bir işleme faaliyeti olduğu, böylesi bir durumda görüntü kaydına ek olarak ses kaydı alınması gerekliliği söz konusu olmadığı gibi daha fazla verinin işlenmesinin, verisi işlenen tüm ilgili kişilerin özel hayatlarının gizliliği hakkı genelinde ve kişisel verilerinin korunması hakkı özelinde bir menfaat çatışması doğurduğu, öte yandan, güvenlik gerekçeleri ile kamera kaydı alınmasının yaygın bir uygulama olduğu ancak aynı gerekçe ileri sürülerek ses kaydı alınmasının, kişisel verisi işlenen ilgili kişilerin makul beklentilerinin ötesinde olduğu,
- Kişisel Verileri Koruma Kurulunun 25.03.2019 tarihli ve 2019/78 sayılı Kararında da belirtildiği üzere Kanun’un 5’inci maddesinin ikinci fıkrasının (f) bendine göre “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hali tespit edilirken veri sorumluları tarafından değerlendirilmesi gereken birtakım hususların bulunduğu,
- Bunlar içerisinde “söz konusu menfaate ulaşılabilmesi bakımından kişisel veri işlenmesinin zorunluluk arz etmesi” ve “ilgili kişinin temel hak ve hürriyetleri ile yarışabilir nitelikte olan meşru menfaatin elde edilmesi halinde bir yarar sağlanacak olması ve kişisel veri işlenmeksizin başkaca bir yol ve yöntemle bu yararın ortaya çıkmasının mümkün olmaması” kriterleri ele alındığında, halihazırda kamera ile görüntü kaydı alınması güvenliği sağlama amacı ile bağdaşmakta ve bu amacı gerçekleştirmeye yeterli olmakta iken ilaveten ses kaydı alınmasında veri sorumlusunun meşru menfaati bulunmadığı, zira zorunluluk arz etme ve kişisel veri işlenmeksizin başkaca bir yol ve yöntemle bu yararın ortaya çıkmasının mümkün olmaması şartının ortadan kalktığı,
- Görüntü kaydı yerine yalnızca ses kaydının alındığı varsayımında dahi bu işlemeyi mecburi kılacak bir sebebin bulunmadığı hallerde kişiler arasındaki iletişimin devamlı olarak kayıt altına alınmasının başta özel hayatın gizliliği hakkı olmak üzere kişinin maddi ve manevi varlığının korunması gibi birtakım diğer temel hak ve özgürlüklerine ağır bir müdahale teşkil edeceği, bu durumda çatışan menfaatler arasındaki denge testinin dikkatli biçimde yapılması ve işlemeyi mecburi kılacak sebeplerin genişletilmemesi gerektiği,
- Somut olayda, ilgili kişiler ve veri sorumlusu arasındaki bir ihtilafın çözümünde delil olarak kullanılmak üzere ve aynı zamanda güvenlik amacıyla ses verisinin işlenmesinin, ses verisini işlemeyi mecburi kılacak bir sebep olarak nazara alınamayacağı, bu nedenle görüntü kaydı alınmaksızın yalnızca ses kaydının alındığı durumda dahi kişisel verinin meşru menfaat kapsamında işlenmesinin söz konusu olmayacağı,
- Veri sorumlusunun ses kaydı alma yönündeki uygulaması Kanun’a uygun bulunmadığından söz konusu işleme faaliyetinin her halde hukuka aykırı olduğu ve bu sebeple aydınlatma yükümlülüğünün yerine getirilip getirilmediği hususunun ayrıca incelenmesine gerek bulunmadığı, buna karşılık görüntü kaydı alınmasında Kanun’a uygun bir işleme sebebi bulunduğundan hukuka uygun olan kişisel veri işleme faaliyeti açısından aydınlatma yükümlülüğünün yerine getirilip getirilmediğinin de ayrıca ele alınması gerektiği,
- Her ne kadar ilgili kişilerin görüntü kayıtlarının açık rızaları olmaksızın alınması yönünden Kanun’a aykırılık bulunmasa da “Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi”nde belirtildiği üzere aydınlatma yükümlülüğünün gerek açık rızadan gerekse de Kanun’daki diğer kişisel veri işleme şartlarından bağımsız olarak yerine getirilmesi gereken bir yükümlülük olduğu, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in “Usul ve Esaslar” başlıklı 5’inci maddesinin birinci fıkrasının (a) bendi uyarınca veri sorumlusunun aydınlatma yükümlülüğünün yerine getirmesi gerektiği, aynı maddenin birinci fıkrasının (e) bendi uyarınca aydınlatma yükümlülüğünün yerine getirildiğine ilişkin ispat yükünün veri sorumlusunda olduğu, veri sorumlusu tarafından ilgili kişilere aydınlatma yapıldığı hususunun ispatlanamadığı
değerlendirmelerinden hareketle;
- Ses kaydı alınması suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinde yer alan veri işleme şartlarından herhangi birine dayanılmaksızın gerçekleştirildiği, bu bakımdan veri sorumlusu tarafından, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alması zorunluluğunu getiren, Kanun’un 12’nci maddesinin birinci fıkrasına aykırı hareket edildiği değerlendirilmiş olup bu doğrultuda veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 200.000 TL,
- Kamera vasıtasıyla görüntü kaydı alınmasının Kanun’un 5’inci maddesinin ikinci fıkrasının (ç) bendinde yer alan“ veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması” ve (f) bendinde yer alan “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” kapsamında hukuka uygun olduğu değerlendirilse de veri sorumlusunun aydınlatma yükümlülüğünün devam ettiği; buna karşılık aydınlatma yükümlülüğünün yerine getirildiğini ispat edemediği, bu bakımdan Kanun’un 10’uncu maddesinde düzenlenen hükme aykırı davranması nedeniyle veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (a) bendi uyarınca 30.000 TL
olmak üzere toplam 230.000 TL idari para cezası uygulanmasına,
- İlgili kişilerin veri sorumlusuna başvuruları neticesinde erişemedikleri, kendileri ile ilgili kişisel verilerin ilgili kişilere sağlanması ve hukuka aykırı olarak işlenen ses verilerinin imha edilmesi ve sonucundan Kurula bilgi verilmesi hususlarında veri sorumlusunun talimatlandırılmasına,
- İlgili kişilerin soru ve taleplerinin veri sorumlusu tarafından karşılanmadığı iddiası yönünden ise ilgili kişiler tarafından Kanun kapsamında yapılacak başvuruların Kanun’un 13’üncü maddesi hükmü ile veri sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 6’ncı maddesi hükmü uyarınca etkin, hukuka ve dürüstlük kuralına uygun şekilde, gerekçe belirterek ve süresi içinde sonuçlandırılması gerektiği hususunun veri sorumlusuna hatırlatılmasına
karar verilmiştir.
Karar Tarihi | : | 17/08/2023 |
Karar No | : | 2023/1430 |
Konu Özeti | : | Yemek kartı hizmeti sunan veri sorumlusuna ait mobil uygulamada T.C. kimlik numarasının işlenmesi |
Kuruma intikal eden ihbarda, yemek kartı hizmeti sunan veri sorumlusuna ait mobil uygulamayı kullanmak için kayıt olurken kişilerin T.C. kimlik numarası bilgilerinin istendiğinin belirtilmesi üzerine konu hakkında Kişisel Verileri Koruma Kurulu (Kurul) tarafından resen inceleme başlatılmıştır. Mobil uygulama üzerinde yapılan incelemede, mobil uygulamaya kayıt olurken isim, soy isim, telefon numarası, doğum tarihi, e-posta bilgilerinin talep edildiği; kişi profiline yemek kartı tanımlanmak istediğinde ise girilen bilgilerin T.C. kimlik numarası ile karşılaştırılacağının belirtildiği tespit edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde şikâyet edilen veri sorumlusundan savunması talep edilmiş olup veri sorumlusu tarafından verilen cevapta özetle;
- Çalışanların, işverenlerinin kendilerine sağladığı yemek kartlarını kullanarak yemek harcamalarını gerçekleştirebildiği, yemek kartlarının mobil yemek kartı ve fiziki yemek kartı olmak üzere ikiye ayrıldığı ve işverenin bu kartlardan dilediğini tercih edip çalışanlarına kullandırabildiği,
- Mobil yemek kartları verilirken çalışan ilgili kişilerin telefon numarası verileri, işveren aracılığıyla taraflarınca işlendiği için uygulamada telefon numarası ile doğrulama yapılarak ilgili kişilerin T.C. kimlik numarasının istenmediği,
- Fiziki yemek kartlarının kullanılması için uygulamaya kayıtlı olunması gerekmediği ve bu kartların anonim olarak fiziki ödeme yöntemi ile kullanılabildiği, ancak çalışan fiziki yemek kartını mobil uygulamaya tanımlayarak mobil ödeme özelliğinden faydalanmak isterse, fiziki yemek kartları verilirken çalışanlara ait herhangi bir veri taraflarınca işlenmediği için uygulamada çalışanın doğrulanması ve güvenlik amacıyla T.C. kimlik numarasının istendiği ve girilen bilgilerin T.C. kimlik numarası ile doğrulandığı
ifade edilmiştir.
- Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 17/08/2023 tarihli ve 2023/1430 sayılı Kararı ile;
- Telefon numarası ve T.C. kimlik numarası genel nitelikte kişisel veri kategorisinde yer almakla birlikte, T.C. kimlik numarasının niteliği itibariyle telefon numarasına nazaran daha önemli bir veri olduğu ve veri ihlali yaşanması halinde kişiler için daha büyük zararlara yol açabileceği gözetildiğinde; ilgili kişilerin menfaatlerinin korunması için çalışan tarafından fiziksel kartların mobil uygulamaya eklenmek istenmesi halinde uygulamadaki doğrulamanın, işveren aracılığıyla veri sorumlusuna ibraz edilecek kart bilgisi ve telefon numarası gibi bilgilerle sağlanması için yapılacak düzenlemelerin tasarımda mahremiyet, veri minimizasyonu ve kişisel verilerin amaca uygun ve ölçülü işlenmesi ilkelerine uygun olacağı
değerlendirmelerinden hareketle,
- Fiziksel yemek kartlarının mobil uygulamada kayıt altına alınması halinde kartın doğrulanması işleminin kişilerin T.C. kimlik numarası bilgisi işlenmeden, işveren aracılığıyla kart ve telefon numarası bilgisi işlenmesi gibi ilgili kişileri daha çok koruyacak yollarla yapılması mümkün olduğundan, T.C. kimlik numarası verisinin işlenmesinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 5’inci maddesindeki hukuki sebeplere dayanmaksızın yapıldığı ve Kanun’un 4’üncü maddesindeki kişisel verilerin işlendiği amaçla ölçülü işlenmesi ilkesine aykırı olduğu değerlendirildiğinden Kanun’un 12’nci maddesinin birinci fıkrasında yer alan yükümlülüklerini yerine getirmediği değerlendirilen veri sorumlusu hakkında 200.000 TL idari para cezası uygulanmasına,
- Telefon numarası ve T.C. kimlik numarası genel nitelikte kişisel veri kategorisinde yer almakla birlikte, T.C. kimlik numarasının niteliği itibariyle telefon numarasına nazaran daha önemli bir veri olduğu ve veri ihlali yaşanması halinde kişiler açısından daha büyük zarara yol açacağı gözetildiğinde; ilgili kişilerin menfaatlerinin korunması için çalışan tarafından fiziksel kartların mobil uygulamaya eklenmek istenmesi halinde uygulamadaki doğrulamanın, işveren aracılığıyla veri sorumlusuna ibraz edilecek kart bilgisi ve telefon numarası bilgisiyle yapılması gibi yöntemlerle sağlanarak T.C. kimlik numarasının işlenmemesi için gerekli teknik ve idari tedbirleri alması ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
- İşlenmesini gerektiren hukuki sebebi olmayan T.C. kimlik numaralarının Kanun’un 7’nci maddesine ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’e uygun bir biçimde imha edilmesi, imha işlemlerinin yapıldığını kanıtlar nitelikteki belgeler (log kaydı gibi) ile Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına
karar verilmiştir.
Karar Tarihi | : | 31/08/2023 |
Karar No | : | 2023/1509 |
Konu Özeti | : | Konu Özeti : İlgili kişinin kişisel verilerinin bir banka tarafından Kredi Kayıt Bürosu AŞ’ye aktarılması |
Kurum’a intikal ettirilen şikâyet dilekçesinde özetle; ilgili kişinin kişisel verilerinin Kişisel Verilerin Korunması Kanunu’nun (Kanun) 8’inci maddesinin birinci fıkrası uyarınca kredi kuruluşları ile finansal kuruluşlar arasında her tür bilgi ve belge alışverişini sağlamak üzere kurulmuş olan KKB Kredi Kayıt Bürosu AŞ’ye (Şirket/KKB) aktarılması konusunda veri sorumlusu bankaya başvurduğu, söz konusu başvuruda kişisel verilerinin aktarılmasını kabul etmediğini ifade ettiği ve bu konudaki açık rızasını geri çekme talebinde bulunduğu, ancak talebinin reddedildiği belirtilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde şikâyet edilen veri sorumlusundan savunması talep edilmiş olup veri sorumlusu tarafından verilen cevapta özetle;
- Müşterileri ve müşteri adayı ilgili kişiler yönünden, kredi/kredi kartı talepleri, talep edilmiş olan kredi ürünlerinin tahsis imkanının ve tahsis limitlerinin belirlenebilmesi, mevcut kredi ve risk grubu bilgilerinin sorgulanması amaçlarıyla Şirket ile veri paylaşımı yapıldığı, ilgili kuruluş nezdinde sorgu yapılabilmesi için kişilerin ad, soyadı ve T.C. kimlik numarası bilgilerinin paylaşıldığı,
- Şikâyete konu olay özelinde ilgili kişinin ADK (Alternatif Dağıtım Kanalları-Mobil Bankacılık) kanalıyla başvuru yapmış olduğu, bu başvurularına istinaden Şirket nezdinde sorgularının otomatik olarak yapıldığı, ilgili kişinin kredi taleplerine ilişkin olarak adı, soyadı ve T.C. kimlik numarası verilerinin otomatik sorgu yoluyla Şirket’e aktarıldığı, bunun dışında başkaca bir paylaşımın söz konusu olmadığı,
- Bazı Alacakların Yeniden Yapılandırılması ile Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu ve Diğer Bazı Kanun ve Kanun Hükmünde Kararnamelerde Değişiklik Yapılması Hakkında Kanun (6111 sayılı Kanun) ile 5411 sayılı Bankacılık Kanunu’na (5411 Sayılı Kanun) eklenen Ek 1’inci Madde ile Türkiye Bankalar Birliği (TBB) nezdinde kredi kuruluşları ile Bankacılık Düzenleme ve Denetleme Kurulu’nca (BDDK) uygun görülecek finansal kuruluşların müşterilerinin risk bilgilerini toplamak ve söz konusu bilgileri bu kuruluşlar ile gerçek veya tüzel kişilerin kendileriyle ya da onay vermeleri koşuluyla özel hukuk tüzel kişileri ve üçüncü gerçek kişiler ile de paylaşılmasını sağlamak üzere Risk Merkezi (RM) kurulduğu, söz konusu ek madde gereği kredi kuruluşları ile BDDK tarafından uygun görülecek finansal kuruluşların Risk Merkezine üye olmak zorunda olduğu, üye kuruluşların, Risk Merkezince istenilen müşterileri ile ilgili her türlü bilgiyi vermekle yükümlü olduğu,
- Şikayete konu kişisel veri aktarımının yapıldığı Şirket’in 5411 Sayılı Kanun’un 73’üncü maddesinin (4) numaralı fıkrasında öngörüldüğü üzere kredi kuruluşları (mevduat bankaları ile katılım bankaları) ile finansal kuruluşlar arasında her tür bilgi ve belge alışverişini sağlamak üzere dokuz banka tarafından kurulmuş bir şirket olduğu, TBB Risk Merkezine vekaleten tüm operasyonel ve teknik faaliyetleri kendi bünyesinde yürütmenin yanı sıra Risk Merkezi üyesi 185 finansal kuruluşa veri toplama ve paylaşım hizmeti vermekte olduğu ve zikredildiği üzere müşterilerinin kredi taleplerine istinaden Şirket ile paylaşım yapılmakta olduğu,
- Kanun’un 8’inci maddesinin kişisel verilerin aktarılmasına ilişkin olarak ilgili kişinin açık rızasının varlığını esas olarak belirtmekle birlikte Kanun’un 5’inci maddesinin (2) numaralı fıkrasındaki şartlar altında ilgili kişinin açık rızası aranmaksızın da aktarılabileceği hükmünü amir olduğu, açıklanan amaçlarla KKB’ye veri aktarımı yapılmasının hukuki sebeplerinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (a), (c), (ç) ve (f) bentleri kapsamında olduğu,
- 5411 sayılı Kanun’un 73’üncü maddesinin (4) numaralı fıkrasının “… gizlilik sözleşmesi yapılması ve sadece belirtilen amaçlar ile sınırlı kalınması koşuluyla bankaların ve finansal kuruluşların, kendi aralarında doğrudan doğruya ya da risk merkezi veya en az beş banka ya da finansal kuruluş tarafından kurulacak şirketler vasıtasıyla yapacakları her türlü bilgi ve belge alışverişi... sırasında banka ya da müşteri sırrı niteliğindeki bilgilerin öğrenilmesi sır saklama yükümlülüğünün dışındadır.” hükmünü amir olduğu,
- Ayrıca, Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmeliğin 5’inci maddesinin (2) numaralı fıkrasının (a) bendinde de benzer bir hükmün düzenlendiği,
- Banka müşterilerinin aynı zamanda müşteri sırrı niteliğindeki verileri anılan mevzuat hükümleri doğrultusunda sır saklama yükümlülüğünün istisnaları kapsamında olduğundan kişilerin açık rızasının veya talep/talimatının alınmasına gerek bulunmadığı,
- Şirket ile yapılan bilgi paylaşımının, 5411 sayılı Kanun’un 73’üncü maddesinin (4) numaralı fıkrası ve Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmeliğin 5’inci maddesinin (2) numaralı fıkrasının (a) bendi kapsamında sır saklama yükümlülüğünden istisna tutulan hallerden olduğu, yine durumun Kanun’un 5’inci maddesinin (2) numaralı fıkrası kapsamında kalmasından açık rıza alınmasına hukuken gerek bulunmadığı, Şirket ile yapılan veri paylaşımlarında açık rıza alınmasını gerektirecek nitelikte bir paylaşım da bulunulmadığı, ilgili kişiden bu kapsamda alınmış bir açık rızaya gerek bulunmadığından açık rızasının alınmadığı, ilgili kişinin mevcut olmayan ve hukuken alınmasına da gerek bulunmayan açık rızasını geri çekme talebinin anılan yasal düzenlemeler gereği olumlu karşılanmadığı
ifade edilmiştir.
Konuya ilişkin yürütülen inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 31/08/2023 tarih ve 2023/1509 sayılı Kararı ile;
- Kanun’un “Kişisel verilerin işlenme şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
- Kanun’un “Kişisel verilerin aktarılması” başlıklı 8’inci maddesinin birinci fıkrasında kişisel verilerin, ilgili kişinin açık rızası olmaksızın aktarılamayacağının, ikinci fıkrasında kişisel verilerin 5 inci maddenin ikinci fıkrasında, yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabileceğinin, üçüncü fıkrasında kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümlerin saklı olduğunun düzenlendiği,
- Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in “Başvuruya cevap” başlıklı 6’ncı maddesinde veri sorumlusunun, Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlü olduğunun hükme bağlandığı,
- 5411 sayılı Kanun’un “Risk Merkezi” başlıklı Ek 1’inci maddesi hükmünün “Türkiye Bankalar Birliği nezdinde, kredi kuruluşları ile Kurulca uygun görülecek finansal kuruluşların müşterilerinin risk bilgilerini toplamak ve söz konusu bilgileri bu kuruluşlar ile gerçek veya tüzel kişilerin kendileriyle ya da onay vermeleri koşuluyla gerçek kişiler ve özel hukuk tüzel kişileri ile de paylaşılmasını sağlamak üzere Risk Merkezi kurulmuştur. Kredi kuruluşları ile Kurulca uygun görülecek finansal kuruluşlar, Risk Merkezine üye olmak zorundadır. Üye kuruluşlar, Risk Merkezince istenilen, müşterileri ile ilgili her türlü bilgiyi vermekle yükümlüdür. Risk Merkezi, bu yükümlülüğe uymayanlara bilgi akışını durdurmaya yetkilidir... Risk Merkezi yönetimi, Risk Merkezinin kuruluş amaçları doğrultusunda özel hukuk tüzel kişileri ile kamu kurum ve kuruluşlarından, kamu kurumu niteliğinde meslek kuruluşları ve bunların üst kuruluşlarından bilgi talep etmeye ve bunlarla Kurulun uygun görüşüne istinaden bilgi alış-verişine yönelik sözleşmeler imzalamaya yetkilidir. Özel hukuk tüzel kişileri ile kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları ve bunların üst kuruluşları Risk Merkezi yönetimi tarafından talep edilen bilgileri vermekle yükümlüdürler... Risk Merkezi, nezdindeki her türlü bilgi alış-verişini 73 üncü maddenin dördüncü fıkrası uyarınca en az beş banka tarafından kurulmuş şirketler aracılığı ile ve bu şirketlerle yapılacak sözleşmeler çerçevesinde de gerçekleştirebilir.” şeklinde düzenlendiği,
- Mezkûr Kanun’un “Sırların saklanması” başlıklı 73’üncü maddesinin (4) numaralı fıkrasının “Kurumun gözetim ve denetimine tabi kuruluşların, bunların ortaklarına, bağlı ortaklık, iştirak, birlikte kontrol edilen ortaklıklarının faaliyetlerine veya müşterilerine ilişkin yabancı ülke kanunlarına göre denetime yetkili ve Kurum muadili mercilerin taleplerinin Kurumca karşılanması, gizlilik sözleşmesi yapılması ve sadece belirtilen amaçlar ile sınırlı kılınması koşuluyla bankaların ve finansal kuruluşların, kendi aralarında doğrudan doğruya ya da risk merkezi veya en az beş banka ya da finansal kuruluş tarafından kurulacak şirketler vasıtasıyla yapacakları her türlü bilgi ve belge alışverişinin yanı sıra doğrudan veya dolaylı pay sahipliği yoluyla sermayelerinin yüzde onunu ve daha fazlasını temsil eden paylarının satışı amacıyla muhtemel alıcıların yapacakları değerleme çalışmalarında ya da sermayelerinin yüzde on veya daha fazlasına sahip olan yurt içinde veya yurt dışında yerleşik kredi kuruluşu ile finansal kuruluşlar da dâhil ana ortaklıkların konsolide finansal tablo hazırlama çalışmalarında, risk yönetimi ve iç denetim uygulamalarında veya kredileri de dâhil varlıklarının ya da bunlara dayalı menkul kıymetlerin satışı amacıyla yapılacak değerleme çalışmalarında ya da değerleme, derecelendirme veya destek hizmeti alınması ile bağımsız denetim faaliyetlerinde ve gerekli tedbirlerin alınması kaydıyla hizmet alımlarına yönelik işlemlerde kullanılmak üzere bilgi ve belge taleplerinin karşılanması sırasında banka ya da müşteri sırrı niteliğindeki bilgilerin öğrenilmesi sır saklama yükümlülüğü dışındadır.” hükmünü havi olduğu,
- Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik’in “Sır saklama yükümlülüğünden istisna tutulan haller” başlıklı 5’inci maddesinin (2) numaralı fıkrasının (a) bendinin “Bankaların ve finansal kuruluşların, kendi aralarında doğrudan doğruya ya da Risk Merkezi veya en az beş banka ya da finansal kuruluş tarafından kurulacak şirketler vasıtasıyla her türlü bilgi ve belge alışverişinde bulunması”nın sır saklama yükümlülüğüne aykırılık teşkil etmeyeceği şeklinde hükme bağlandığı,
- Şirket’in internet sitesinde; 5411 Sayılı Kanun’un Ek 1’inci maddesi ile TBB nezdinde kredi kuruluşları ile BDDK’ce uygun görülecek finansal kuruluşların müşterilerinin risk bilgilerini toplamak ve söz konusu bilgileri bu kuruluşlar ile gerçek veya tüzel kişilerin kendileriyle ya da onay vermeleri koşuluyla özel hukuk tüzel kişileri ve üçüncü gerçek kişiler ile de paylaşılmasını sağlamak üzere Risk Merkezinin kurulduğu, Türkiye Cumhuriyet Merkez Bankası nezdindeki Risk Santralizasyon Merkezi’nin devri ile TBB Risk Merkezi’nin, 28 Haziran 2013 tarihinde faaliyete geçtiği, Şirket’in TBB Risk Merkezi’ne vekâleten tüm operasyonel ve teknik faaliyetleri kendi bünyesinde yürütmenin yanı sıra Risk Merkezi üyesi 185 finansal kuruluşa veri toplama ve paylaşım hizmeti vermekte olduğu ve bankalar, tüketici finansman şirketleri, leasing, faktoring ve sigorta şirketleri olmak üzere hem Risk Merkezi hem de kendi üyelerini içeren 200’e yakın üyesi bulunduğu bilgilerinin yer aldığı,
- Kişisel verilerin ilgili kişinin açık rızası veya Kanun’un 5’inci maddesinin (2) numaralı fıkrasındaki diğer işleme şartları bulunmadan işlenemeyeceği, bununla birlikte, açık rıza ile Kanun’un 5’inci maddesinin (2) numaralı fıkrasındaki diğer işleme şartları arasında hiyerarşik bir ilişki bulunmadığı, kişisel veri işleme faaliyeti Kanun’da bulunan açık rıza dışındaki şartlardan birine dayanıyorsa bu durumda ilgili kişiden açık rıza alınmasına gerek bulunmamakla birlikte ilgili kişinin açık rızasının bulunmadığı veyahut açık rızasını geri aldığı itiraz ve beyanlarının da hukuken bir geçerliliğinin olmadığı, veri işleme faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılmasının; ilgili kişinin yanıltılması ve yanlış yönlendirilmesi dolayısıyla aldatıcı ve veri sorumlusunca hakkın kötüye kullanımı niteliğinde olacağı, nitekim, somut olayda da ilgili kişinin açık rızasına binaen bir işleme faaliyeti gerçekleştirilmediği, Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (a), (c), (ç) ve (f) bentlerinde belirtilen işleme şartlarının somut olayda gerçekleştirilen kişisel veri işleme faaliyetinde mevcut olduğu,
- Anılan mevzuat hükümleri ile tarafların Kurum’a sunduğu bilgi ve belgeler birlikte ele alındığında; bankacılık hizmetlerinin gerektiği gibi sunulabilmesi ve bankacılık alanındaki yasal düzenlemeler gereğince, veri sorumlusu banka tarafından ilgili kişinin kişisel verilerinin Şirket’e aktarılmasının Kanun’un 8’inci maddesinin atfı ile 5’inci maddesinin (2) numaralı fıkrasına uygun olduğu,
- Öte yandan, veri sorumlusu bankanın ilgili kişinin başvurusuna verdiği cevabi yazıda ilgili kişinin talebinin reddedilmesine ilişkin gerekçelere yer verilmediğinin görüldüğü
değerlendirmelerinden hareketle;
- Bankacılık hizmetlerinin gerektiği gibi sunulabilmesi ve bankacılık alanındaki yasal düzenlemeler gereğince veri sorumlusu banka tarafından ilgili kişinin kişisel verilerinin Şirket’e aktarılmasının Kanun’un 8’inci maddesinin (2) numaralı fıkrasının atfı ile Kanun’un 5’inci maddesinin (2) numaralı fıkrasına uygun olması sebebiyle veri sorumlusu hakkında tesis edilecek bir işlem bulunmadığına,
- Kanun kapsamındaki başvuruların reddedileceği hallerde Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 6’ncı maddesinin (2) numaralı fıkrası uyarınca gerekçesi açıklanarak reddedilmesi gerektiğinin Veri Sorumlusuna hatırlatılmasına
karar verilmiştir.
Karar Tarihi | : | 17/08/2023 |
Karar No | : | 2023/1414 |
Konu Özeti | : | İlgili kişiye ait özel nitelikli kişisel verilerin avukat tarafından mahkemeye aktarılması |
Kuruma intikal ettirilen şikâyet dilekçesinde özetle; ilgili kişinin gördüğü lüzum üzerine şahsına ve çocuklarına ait DNA testi yaptırma gereği duyduğu ve testi gizlilik sınırları içinde yapması için bir şirket ile anlaştığı, şirketin ilgili kişiye ve çocuklarına ait DNA raporlarını kâğıda basıp normal posta veya kargo yoluyla göndermeyip şifresini sadece ilgili kişinin bildiği ilgili kişiye ait e-posta adresine gönderdiği, ilgili kişinin DNA raporlarını hiçbir yerde hiçbir kimseyle paylaşmadığı, buna karşılık görülmekte olan bir alacak davasında karşı tarafın avukatı olan veri sorumlusu tarafından ilgili kişinin şahsına ve çocuklarına ait -DNA raporları kapsamındaki- kişisel verilerin çeşitli programlar kullanılarak ilgili kişiye ait e-posta adresinden hukuka aykırı olarak ele geçirildiği ve veri sorumlusunun ele geçirdiği bu bilgileri alacak davasında kendisi aleyhine kullandığı ifade edilerek gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde şikâyet edilen veri sorumlusundan savunması talep edilmiş olup veri sorumlusu tarafından verilen cevapta özetle;
- İlgili kişinin DNA testi raporlarının, ilgili kişinin çocuklarının da DNA testlerinin bulunduğu çeşitli dava dosyalarına taraflar eliyle sunulduğu,
- İlgili kişinin uyuşmazlık yaşadığı aile üyelerine karşı şahsi husumeti sebebiyle açılan soy bağının tespiti davasında müvekkili olan aile üyelerinin talebiyle dava dosyasına sunulmuş olduğu,
- Veri sorumlusunun, ilgili kişinin eski eşi ve çocuklarının vekaleti kapsamında dava sürecinde bu bilgi ve belgelere vakıf olduğu, söz konusu DNA testlerinin kendilerinden alınan örnekler neticesinde çıkan test sonuçları olduğu ve aynı anda hem çocuklarının hem de (babaları olan) ilgili kişinin verilerini içerdiği, bunun ise veri sorumlusunun avukatlık hizmeti kapsamında işlemesi gereken kişisel veriler olduğu, bunların dışında kalan amaçlar çerçevesinde veri sorumlusunca söz konusu kişisel verilerin işlenmediği,
- İlgili kişinin soy bağının reddi davasının yanı sıra menfi tespit davası ve icra takip davası gibi süreçlerle veri sorumlusunun vekaletini üstlendiği aile üyelerinin kişisel verilerini işlediği,
- İlgili kişinin şikayetinde veri sorumlusunun şahsına ve müvekkili olan aile üyelerine karşı açtığı bazı davaları kaybetmesi sonucunda husumetle hareket ederek suç uydurma suçu işlemiş olduğu, bu sebeple şikâyetin Kurulca reddedilmesi gerektiği,
- İlgili kişinin çocuklarına ait örnekleri zorla temin ederek teste tabi tuttuğu ve çocuklarının özgür iradesini sakatlamış olması bakımından Cumhuriyet Başsavcılığı nezdinde ilgili kişi aleyhinde suç duyurusunda bulunulduğu,
- İlgili kişinin çocuğunun tanık olarak dinlendiği soruşturma sırasında kendisine ait örnekleri kendi rızası ile annesine verdiği ve onun da açık rızası çerçevesinde veri sorumlusuna ibraz ettiği,
- Söz konusu kişisel veri işleme faaliyetinin veri sorumlusunun avukatlık görevi çerçevesinde ilgili kişinin çocuklarının açık rızalarına dayanmak suretiyle işlendiği ve ilgili kişinin de taraf olduğu davalara konu olması bakımından bu verileri işlemesi önünde hukuki bir engel bulunmadığı
ifade edilmiştir.
Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 17/08/2023 tarihli ve 2023/1414 sayılı kararı ile;
- 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6’ncı maddesinin (1) numaralı fıkrasında “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri biyometrik ve genetik verileri özel nitelikli kişisel veridir.”, (2) numaralı fıkrasında ise “Özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesi yasaktır.” hükmünün düzenlendiği, aynı maddenin (3) numaralı fıkrasında ise birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel verilerin, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebileceğinin ifade edildiği,
- 1136 sayılı Avukatlık Kanunu’nun 2’nci maddesinde “Avukatlığın amacı; hukuki münasebetlerin düzenlenmesini, her türlü hukuki mesele ve anlaşmazlıkların adalet ve hakkaniyete uygun olarak çözümlenmesini ve hukuk kurallarının tam olarak uygulanmasını her derecede yargı organları, hakemler, resmi ve özel kişi, kurul ve kurumlar nezdinde sağlamaktır.” hükmü ve 35’inci maddesinde ise “Kanun işlerinde ve hukuki meselelerde mütalaa vermek, mahkeme, hakem veya yargı yetkisini haiz bulunan diğer organlar huzurunda gerçek ve tüzel kişilere ait hakları dava etmek ve savunmak, adli işlemleri takip etmek, bu işlere ait bütün evrakı düzenlemek, yalnız baroda yazılı avukatlara aittir.” hükmünün düzenlendiği,
- Medeni yargılama hukukunda uygulanacak usul ve esasların 6100 sayılı Hukuk Muhakemeleri Kanunu’nda (HMK) düzenlendiği; HMK’nin “İspatın konusu” başlıklı 187’nci maddesinin “İspatın konusunu tarafların üzerinde anlaşamadıkları ve uyuşmazlığın çözümünde etkili olabilecek çekişmeli vakıalar oluşturur ve bu vakıaların ispatı için delil gösterilir.”; “İspat yükü” başlıklı 190’ıncı maddesinin “İspat yükü, kanunda özel bir düzenleme bulunmadıkça, iddia edilen vakıaya bağlanan hukuki sonuçtan kendi lehine hak çıkaran tarafa aittir…” ; “Karşı ispat” başlıklı 191’inci maddesinin “Diğer taraf, ispat yükünü taşıyan tarafın iddiasının doğru olmadığı hakkında delil sunabilir...”; “Tarafların belgeleri ibrazı zorunluluğu” başlıklı 219’uncu maddesinin ise “Taraflar, kendilerinin veya karşı tarafın delil olarak dayandıkları ve ellerinde bulunan tüm belgeleri mahkemeye ibraz etmek zorundadırlar.” hükümlerini haiz olduğu,
- İlgili kişinin Kuruma sunduğu şikâyette iddialarını destekler mahiyette belge sunmamış olduğu, bunun yerine yalnızca veri sorumlusuna yaptığı başvuru örneğine yer verdiği,
- Veri sorumlusunun veya davaya taraf olan ilgili kişinin eski eşi ve çocuklarının, ilgili kişiye ait DNA raporlarına hukuka aykırı biçimde (e-posta hesabına ele geçirmek suretiyle vb.) eriştiğine dair bir delilin bulunmadığının görüldüğü,
- Genetik veri kategorisinde olan DNA test raporunun yalnızca ilgili kişiye ait bilgileri içermediği, ilgili kişinin çocuklarına da ait bir rapor olması bakımından çocuklarıyla ortak bir kişisel veri niteliğinde olduğu, örnek olayın şartları gözetildiğinde bu belgenin mahkemeye aktarılması sebebiyle ilgili kişinin verisinin güvenliği bakımından aleyhinde bir sonuç doğurmasından bahsedilemeyeceği,
- Kanun’un 6’ncı maddesinin (3) numaralı fıkrasında sağlık ve cinsel hayat dışındaki kişisel verilerin kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebileceği hükmünün yer aldığı,
- Avukatlık Kanunu’nun 2 ve 35’inci maddelerinin yanı sıra HMK’nin 219’uncu maddesindeki hükümler göz önünde bulundurularak söz konusu genetik verilerin veri sorumlusunca işlenmesinin Kanun’un 6’ncı maddesinin (3) numaralı fıkrasına uygun bir işleme faaliyeti olduğu ve ilgili mahkemelere aktarılmasının da Kanun’un 8’inci maddesine uygun bir kişisel veri aktarım faaliyeti olduğu
değerlendirmelerinden hareketle;
- İlgili kişiye ait genetik veri kategorisindeki DNA test raporlarının aynı zamanda ilgili kişinin çocuklarına ait raporlar olduğu göz önünde bulundurularak söz konusu kişisel verinin çocukların vekili olan veri sorumlusunca işlenmesinin ve aktarılmasının Kanun’un 8’inci maddesinin 2 numaralı fıkrası kapsamında ve Kanun’un 6’ncı maddesinin (3) numaralı fıkrasında yer verilen sağlık ve cinsel hayat dışındaki kişisel verilerin kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebileceği hükmüne uygun olduğu değerlendirildiğinden Kanun kapsamında yapılacak bir işlem olmadığına,
- Söz konusu kişisel verinin İlgili Kişinin e-posta adresine hukuka aykırı biçimde erişilmek suretiyle Veri Sorumlusunca ele geçirildiğini gösterir bir belgeye yer verilmemiş olduğu anlaşıldığından bahse konu şikâyet ile ilgili olarak Kanun kapsamında yapılacak bir işlem bulunmadığına
karar verilmiştir.
Karar Tarihi | : | 10/08/2023 |
Karar No | : | 2023/1356 |
Konu Özeti | : | Bir işveren tarafından işe iade davasına ilgili kişinin mescitte ibadet etme görüntülerinin ibraz edilmesi |
Kuruma intikal ettirilen şikayette özetle;
- İlgili kişinin özel nitelikli kişisel verisi niteliğindeki ibadethane içerisindeki ibadet etme görüntülerinin eski işvereni tarafından rızası dışında kayıt altına alındığı,
- İşe başladığı tarih itibarıyla şirket tarafından bu konuda aydınlatma yapılmadığı ve açık rızasının alınmadığı,
- Şirket tarafından ilgili kişinin iş akdinin feshedilmesinden kısa bir süre önce, geriye dönük olarak kişisel verilerin işlenmesiyle ilgili belgelerin imzalanmasının kendisinden istendiği ve belgeleri imzalamak istememesi üzerine, bir şirket çalışanı tarafından gönderilen bir elektronik posta ile belgelerin imzalanması gerektiğinin bildirildiği,
- İşten çıkarılma korkusuyla işe giriş tarihi yazılarak açık rıza metinlerini imzalamak zorunda bırakıldığı, bu şekilde alınan rızanın özgür iradesini yansıtmadığı, söz konusu rıza metninde de şirket tarafından mescit içerisinde görüntü kaydı alma konusunda açıkça bir ifadenin bulunmadığı ve bu konuda bir bilgilendirme yapılmadığı,
- Şirket tarafından ibadethanede veri kaydı yapıldığına ilişkin özellikle bir bilgilendirme işaretinin de bulunmadığı, şirketin ibadethane içerisindeki görüntüleri kayda almasında diğer işçilerle arasında ayrımcılık yapmak amacının bulunduğu, ibadet eden çalışanlar ile ibadet etmeyen çalışanların tespit edilerek iş yerinde farklı muamelelere maruz bırakıldığı,
- İbadethanede kaydedilen görüntülerin şirketle ihtilaflı olduğu mahkeme dosyasına şirket tarafından ibraz edildiği
ifade edilerek gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde ilgili şirketten savunması istenilmiş olup alınan cevabi yazıda özetle;
- İlgili kişinin şirket bünyesinde belirli tarihler arasında elektrik elektronik mühendisi olarak çalıştığı, çalışma süresi boyunca görev kapsamına giren işlerini aksattığı, işe gelmediği ve haksız ithamlarla şirket ve yetkilileri aleyhine gazetede yalan haber yaptırdığı gerekçeleriyle iş akdinin feshedildiği,
- Fesih sonrası ilgili kişinin işe iade davası açtığı ve kendini haklı göstermek için iş yerinde kendisine namaz kıldırılmadığı, ayrımcılığa maruz kaldığı gibi doğru olmayan iddialarda bulunduğu,
- Şirket bünyesinde yaklaşık 20 yıldır mescit bulunduğu, isteyen herkesin iş akışını aksatmayacak şekilde iş yerindeki mesailerine denk gelen vakit namazlarını kılabildiği, ilgili kişinin de mescitte ibadetlerini yerine getirdiği,
- İlgili kişi tarafından yaptırılan haber hakkında Cumhuriyet Başsavcılığına suç duyurusunda bulunulduğu; suç duyurusunun ekinde haber konusu yapılan yalan beyanı veren ilgili kişinin gerçekte iş yerindeki mescidi hiçbir sorun olmadan kullanabildiği, ibadetlerini rahatlıkla yaptığı, haberdeki iddiaların gerçek dışı olduğunun ispat edilebilmesi için bazı kamera görüntülerinin sunulduğu,
- İlgili kişinin şikâyetine konu kamera görüntülerinin iş yerinde güvenlik amacıyla işlendiği, üretim faaliyeti nedeniyle iş sağlığı ve güvenliği açısından iş yerinin "çok tehlikeli" sınıfta yer aldığı, dolayısıyla iş yerinde kamera sistemi ile veri işleme faaliyetinde bulunulduğu, şirket girişinde yer alan ziyaretçi aydınlatma tabelası ve kamera uyarı levhaları vasıtasıyla ilgili kişilerin de bu hususta aydınlatıldığı,
- İlgili kişiye sunulan aydınlatma metni içerisinde fiziksel mekân güvenliği olarak kamera kayıtlarının işlenen veriler arasında sayıldığı, hangi amaçla işleneceği, kimlere ve hangi amaçla aktarılabileceği, veri toplamanın yöntemi ve hukuki sebebi ile haklarının da belirtildiği, mescit içerisinde yaşanacak herhangi bir olayın takibi amacıyla "fiziksel mekân güvenliği" verisi olarak işlendiği,
- Mescidin iş yeri sınırlarının içinde yer alması, bağımsız bir bölüm olmayıp üretim alanının içerisinde yer alması ve iş yerindeki revir bölümüne de mescit için ayrılan bölümden geçiş sağlanması nedeniyle mescitte uyarı levhaları ile aynı kamera sisteminin bulunduğu,
- Ayrıca, İş Sağlığı ve Güvenliği Kanunu, İş Kanunu ve Borçlar Kanunundan doğan "gözetim ve denetim" faaliyetinin yerine getirip getirilmediği konusunda ispat külfetinin bulunması sebebiyle de kamera sistemi ile veri işleme zorunluluğunun bulunduğu,
- Kamera kayıtları ile çalışanların özel nitelikli kişisel verilerinin işlenmediği ve bunun özel nitelikli kişisel veri de sayılamayacağı, şirket bünyesinde hiçbir çalışanın özel nitelikli kişisel verisi olan "dini, mezhebi veya diğer inançlar"a ilişkin bir verisinin işlenmediği ve bu nedenle işlenmeyen bir veri için ilgili kişiden açık rıza istenmediği,
- İşe iade davasında yerel mahkeme tarafından işe iade kararı verilmesine rağmen şirket tarafından söz konusu karara itiraz edildiği ve dosyanın istinaf aşamasında olduğu,
- Şirket personeline ve ilgili kişiye mevzuata ilişkin her türlü eğitimin verildiği
ifade edilmiştir.
Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 10/08/2023 tarih ve 2023/1356 sayılı Kararı ile;
- 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi”, (ğ) bendinde veri işleyenin “veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi” olarak tanımlandığı,
- Kanun'un “Genel İlkeler” başlıklı 4’üncü maddesinde, kişisel verilerin ancak bu Kanun'da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, buna göre, kişisel verilerin ancak; a) Hukuka ve dürüstlük kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ile d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceği,
- Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükmünün yer aldığı,
- Kanun’un özel nitelikli kişisel verilerin işlenme şartları başlığını taşıyan 6’ncı maddesinin (1) numaralı fıkrasında; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri olduğu; (2) numaralı fıkrasında özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğu; (3) numaralı fıkrasında birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel verilerin kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebileceği, sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği; (4) numaralı fıkrasında ise özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınmasının şart olduğuna hükmedildiği,
- Kanun’un “Veri sorumlusunun aydınlatma yükümlülüğü” başlıklı 10’uncu maddesinde; kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişinin, ilgili kişilere veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve 11’inci maddede sayılan diğer hakları konusunda bilgi vermekle yükümlü olduğunun hükme bağlandığı,
- Söz konusu iddialar ve veri sorumlusu tarafından Kurumumuza gönderilen cevap yazısı incelendiğinde; güvenlik kameraları vasıtasıyla iş yerlerinde, çalışanların iş sağlığı ve güvenliğinin sağlanması kapsamındaki yükümlülüklerin yerine getirilmesi, üretim süreçlerinin kontrolü, iş yerinin ve müşterinin korunması, işçinin performansının değerlendirilmesi ve suç şüphesinin aydınlatılması gibi birçok amaç ile genel ve özel nitelikte kişisel verinin işlenmesinin mümkün olduğu,bu çerçevede, öncelikli olarak veri sorumlusu tarafından kameralar ile görüntülerin işlenmesinin özel nitelikli veya genel nitelikli kişisel veri olup olmadığının değerlendirilmesi gerektiği, şikâyete konu olayda veri sorumlusunun kameralar vasıtasıyla ibadethane içerisindeki görüntü kayıtlarını işlemesinin, ilgili kişinin dini inancına ilişkin bir veri işleme olduğu ve bu sebeple özel nitelikli kişisel veri kategorisine gireceği, bu anlamda Kanun’un 6’ncı maddesi çerçevesinde bir değerlendirme yapılmasının uygun olacağı,
- Kanun kapsamında açık rızanın; “Tanımlar” başlıklı 3’üncü maddenin (1) numaralı fıkrasının (a) bendinde ‘Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza’ şeklinde tanımlandığı, dolayısıyla, açık rızanın, ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanı olduğu, ilgili kişilerin rıza vermemesi ve rızayı geri çekmesinin mümkün olmadığı hallerin, tarafların eşit konumda olmadığı veya taraflardan birinin diğeri üzerinde etkili olduğu (Kişisel Verileri Koruma Kurumu, Açık Rıza Rehberi,, s.6.) güç dengesizliğinin bulunduğu istihdam ilişkisinde var olabildiği, çalışana rıza göstermeme imkanının etkin bir biçimde sunulmadığı durumlarda gerçek bir seçeneğe sahip olunduğunu söylemenin mümkün olmayacağı,
- Söz konusu olayda, ilgili kişiye veri sorumlusu çalışanı tarafından gönderilen elektronik posta içeriğinden anlaşılacağı üzere açık rızanın özgür irade ile verilmediği ve ilgili kişinin işten çıkarılma korkusu ile geriye dönük olarak kişisel verilerin işlenmesiyle ilgili diğer belgeleri de rızası olmadan imzalamak zorunda bırakıldığı,
- Söz konusu veri işleme faaliyetinin her halükârda Kanun’un 4’üncü maddesinde yer alan genel ilkelerden “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine uygun olması gerektiği, çalışanların; soyunma odaları, tuvaletler, duşlar, mescit, dinlenme odaları ve emzirme odaları bakımından makul bir mahremiyet beklentisinde olduğu dikkate alındığında veri sorumlusu tarafından söz konusu alanlarda veri işleme faaliyeti gerçekleştirilmesinin çalışanların mahremiyet beklentilerini zedeler nitelikte ve özel alanlarının işgali niteliğinde sayılabileceği,
- Veri sorumlusu tarafından iş sağlığı ve güvenliği çerçevesinde kamera vasıtasıyla ibadethanenin gözetlenmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin, Kanun’un 6’ncı maddesinde yer alan işleme şartlarından birine ve bunun yanı sıra veri sorumlusu tarafından ifade edilen meşru menfaat kavramına dayandırılamayacağı, ayrıca söz konusu özel nitelikli kişisel veri işleme faaliyetinin Kanun’un 4’üncü maddesinde yer alan genel ilkelerden “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine uygun olmadığı, nitekim mescidin, veri sorumlusunun çalışma alanı çerçevesinde izlenmesini mecbur kılacak herhangi bir vasfının olmadığı, ayrıca Kanunlarda iş ilişkilerinde ibadethanelerin gözetlenebilmesini uygun gören açıkça bir hükmün bulunmadığı dikkate alındığında ibadethanenin kamera ile izlenmesinin hukuka uygun bir veri işleme olmayacağı,
- Dolayısıyla, tüm bu hususların Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer verilen “Veri sorumlusu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmüne aykırılık teşkil ettiği
değerlendirmelerinden hareketle;
- Veri sorumlusu tarafından mescitte kamera vasıtasıyla gerçekleştirilen kişisel veri işleme faaliyetine ilişkin ilgili kişinin açık rızasını özgür irade ile vermediği ve işten çıkarılma korkusu ile geriye dönük olarak kişisel verilerin işlenmesiyle ilgili diğer belgeleri de rızası olmadan imzalamak zorunda bırakıldığı kanaatine varıldığından Kanun’un 6’ncı maddesi kapsamında herhangi bir veri işleme şartına dayanılmaksızın veri işleme faaliyetinin gerçekleştirildiği, diğer taraftan açık rıza alınsa dahi söz konusu veri işleme faaliyetinin Kanun’un 4’üncü maddesinde yer alan genel ilkelerden “işlendikleri amaçla bağlı, sınırlı ve ölçülü olma” ilkesine aykırılık teşkil edeceği sonucuna varılmakta olup, bu hususların Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer verilen “Veri sorumlusu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmüne aykırılık teşkil etmesi nedeniyle Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca veri sorumlusu hakkında 300.000 TL idari para cezası uygulanmasına,
- Şikâyete konu kişisel veri işleme faaliyetinin Kanun’un 15’inci maddesinin (7) numaralı fıkrası kapsamında ivedilikle durdurulması ve sonucundan Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına,
- Şikâyete konu hukuka aykırı olarak işlenen kişisel verilerin imha edilerek sonucundan Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına
karar verilmiştir.
Kuruma intikal eden şikayette özetle; sosyal medya uygulamasından üçüncü bir kişi tarafından ilgili kişiye veri sorumlusuna ait otelde ikamet ettiği döneme ilişkin bilgiler ihtiva eden bir belge gönderildiği, ilgili kişinin bahsi geçen şahsa söz konusu belgenin kendisine nasıl ulaştığını sorduğunda şahsın otelde çalışan bir tanıdığından kendisine gönderilmesini istediğini belirttiği, bu belgenin veri sorumlusunun bünyesinde üretilen bir belge olduğu, söz konusu belgenin üzerinde yer alan ilgili kişinin isim ve konaklama bilgilerinin üçüncü kişilerin eline geçtiği, diğer yandan veri sorumlusunca aydınlatma yükümlülüğünün de yerine getirilmediği hususları belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması talep edilmiş olup veri sorumlusunun cevabi yazısında özetle;
- Kat hizmetleri görevlisi kişilerin gün içerisinde temizliğini yapacakları ve sorumlu olduğu odaların takibinin yapılabilmesi amaçlı Housekeeping Task Sheet isimli tek sayfalık matbu belge düzenlendiği, bu belgede müşterilerin yalnızca isim-soy isimlerinin ve oda numaralarının yer aldığı, ilgili belgenin otelcilik hizmeti sunan tüm şirketlerde kullanılan standart bir belge olduğu,
- Söz konusu belge kapsamında isim-soy isim bilgilerinin yer almasının farklı nedenleri bulunduğu, lüks hizmet sunan otellerin standartları gereği konaklayan misafirlerin kişisel ve özel hissettirilmesi amaçlı misafirlere soy isim ile seslenildiği, ayrıca acil durum yaşanması durumunda kat hizmetleri görevlisi kişilerin misafirlerin kontrollerini sağlamalarının gerektiği, bu noktada acil durumlarda kişiye seslenilebilmesi, doğru kişi olup olmadığının tespiti veya acil durum müdahale raporu oluşturulabilmesi için kat hizmetleri görevlisi kişilerin misafirlerin isim-soy isim bilgilerine hakim olmasının gerektiği,
- Mezkûr belgenin Kat Hizmetleri Departmanı’nın fiziksel arşivinde anahtarı sınırlı sayıda kişide olacak şekilde kilitli dolaplar içerisinde saklandığı ve olayın gerçekleştiği dönemde 3 ayda bir periyodik olarak imha edildiği,
- İlgili kişi ile sosyal medya hesabı bulunan kişi arasında gerçekleştirilen görüşmenin tarihi itibarıyla ilgili kişiye ilişkin Housekeeping Task Sheet belgesinin imha edilmiş olduğu, haliyle herhangi bir kişi tarafından erişilmesinin mümkün olmadığı,
- Housekeeping Task Sheet isimli belgenin aslının veri sorumlusunda bulunma imkanıdahi bulunmadığından veri sorumlusunun kayıtlarındaki belge ile uyuşup uyuşmadığının tespit edilmesinin mümkün olmadığı, ilgili kişinin şikayetine ek yapılan Housekeeping Task Sheet isimli belgenin içeriğinin okunamadığı, üzerinde bazı karalamalar olduğu,
- Veri sorumlusunun kişisel verilerin güvenliğini sağlamak üzere tüm önlemleri aldığı, bu doğrultuda veri sorumlusunun bu konuda gerekli soruşturmayı yürüttüğü ve paylaşım olasılığına dair herhangi bir bulguya rastlamadığı,
- Öte yandan ilgili kişinin kişisel verilerini elde ettiğini iddia eden sosyal medya kullanıcısı ile konuşmalarında birçok çelişki yer aldığı, mevcut tüm bilgi ve belgeler çerçevesinde ilgili kişinin iddialarının gerçeği yansıtmadığı, ilgili kişinin Otel’de konakladığı bilgisini sosyal medyada paylaşmış olduğu,
- Belgenin orijinal olup olmadığı ile sosyal medya kullanıcısının varlığının tespiti açısından belirleyici olacağından Savcılık tarafından yürütülen soruşturmanın sonuçlanmasının beklenmesinin gerektiği,
- Diğer yandan, veri sorumlusunun misafirlerine ilişkin hazırlamış olduğu aydınlatma metinlerini misafirlerin verilerinin ilk elde edildiği sırada Registration Card vasıtasıyla sunduğu ve ilgili doküman kapsamında misafirlerini kişisel verileri işlenen süreçlere yönelik bilgilendirdiği, bununla birlikte matbu olarak sunulan aydınlatma metni haricinde otelde konaklayan ve konaklamayı planlayan herkes için açık bir şekilde internet sitesinde aydınlatma metninin bulunduğu, ilgili kişiye verilen yanıttan sonraki tarihte internet sitesinde bazı çalışmalar gerçekleştirildiği ve yeni URL adresleri eklendiği
ifade edilmiştir.
Konuya ilişkin yürütülen inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 03/08/2023 Tarihli ve 2023/1327 sayılı Kararı ile;
- İlgili kişinin şikâyetine ve veri sorumlusu tarafından üçüncü kişilerle paylaşıldığı iddiasına konu edilen “Housekeeping Task Sheet” belgesinin oteldeki temizlik- bakım hizmetleri için görevleri ve programı belirlemek amacıyla oluşturulduğu ve Temizlik Görev Kâğıdı olarak çevrilebileceği, belge kapsamında işlemeye konu oluşturabilecek kişisel verilerin konaklayanın adı, soyadı, unvanı, konakladığı oda numarası, konakladığı odaya ilişkin bilgiler, giriş ve çıkış tarihi olduğu, bu belgenin Kat Hizmetleri Departmanı tarafından hazırlanarak, kat hizmetleri görevlisi olan kişilere verildiği, bu doğrultuda kat görevlilerinin konaklayan misafirlerin isim ve soy isimleri bilgilerine vakıf olduğu,
- Kişisel verilerin işlenmesine ilişkin olarak, tüm kişisel veri işleme faaliyetlerinin özünde bulunması ve tüm kişisel veri işleme faaliyetlerinin uygun olarak gerçekleştirilmesi gereken ilkelerin Kanun’un 4’üncü maddesinde düzenleme altına alındığı,
- Kanun’un 4’üncü maddesinin 2 numaralı fıkrasının (ç) bendinde belirtilen “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi uyarınca işlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olmasının, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasının gerektiği,
- Her ne kadar veri sorumlusunca mezkur belgede isim-soy isim bilgilerinin yer almasının farklı nedenleri bulunduğu ifade edilmişse de, kat görevlilerinin temel faaliyet alanının bakım ve temizlik hizmetleri olduğu, hizmetlerin yürütülmesinin konaklayan kişinin adını-soyadını bilmesini gerektirmediği, veri sorumlusunun konaklayanları özel hissettirmek amacından yola çıkarak kişisel verilerin korunması hakkını göz ardı etmemesinin gerektiği, bu amacın kişisel verilerin korunması hakkı karşısında mutlak olarak korunmaya değer bir menfaat niteliği taşımadığı, mahremiyet bilincinin yaygınlaştığı günümüzde konaklayanların pek çoğu tarafından da kişisel verilerinin isteği ve bilgisi dahilinde paylaşılmadığı kişi ve birimlerce kullanılmasını istemeyeceği, bu anlamda ilgili kişilere seçim hakkının verilmesi gerektiği, kişisel veri güvenliği hususunda yaşanabilecek riskler de göz önüne alındığında veri minimizasyonu ilkesi doğrultusunda hareket edilmesi gerektiği, bu doğrultuda kat görevlilerinin görevlerinin belirlendiği Housekeeping Task Sheet belgesinde konaklayanların isim ve soy isim bilgilerine yer verilmesi şeklinde gerçekleşen veri işleme faaliyetinin Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (ç) bendindeki “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesini zedeleyeceği, mezkur belgede ilgili kişilerin isim ve soy isim bilgilerine yer verilmesi uygulamasına son verilmesinin gerektiği,
- Housekeeping Task Sheet başlıklı belgenin dolayısıyla ilgili kişiye ait kişisel verilerind üçüncü kişiler tarafından elde edilmesi şikâyeti ile ilgili veri sorumlusunun Kurum’a ilettiği Housekeeping Task Sheet başlıklı belgenin boş nüshası ile ilgili kişinin şikayetine ve paylaşıma konu oluşturduğunu iddia ettiği belgeye ilişkin ekran görüntüleri ile ilgili belge ekran görüntüsünün video kaydı karşılaştırmalarından, nüshaya uygun ibarelere yer verildiğinin anlaşıldığı,
- İlgili kişinin Kurum’a ilettiği belgelerden, üçüncü bir kişi ile sosyal medya uygulaması üzerinde yazışmalarda bulunduğu esnada mezkûr belgenin ilgili kişiyle paylaşıldığının ve şahsın veri sorumlusuna göre üçüncü bir şahıs olduğunun anlaşıldığı, belgeyi hangi suretle ele geçirdiğinin şahsa sorulması üzerine otelde çalışandan aldığını söylediği, ayrıca Başsavcılık nezdinde başlatılan soruşturma kapsamında alınan ifadesi kapsamında da otelde çalışan arkadaşı vasıtasıyla elde ettiğini beyan ettiği,
- Başsavcılık nezdinde soruşturma başlatıldığı, ancak soruşturmanın konusunun cinsel dokunulmazlığa ve şerefe karşı işlenen eylemler nedeniyle ilgili kişi tarafından sosyal medya kullanıcısı şahsa karşı başlatıldığının anlaşıldığı, her ne kadar veri sorumlusunca Savcılık tarafından yürütülen soruşturmanın belgenin orijinal olup olmadığının tespiti bağlamında belirleyici olacağı beyan edilmişse de belgenin sahteliğinin tespitine yönelik veri sorumlusunca ayrıca bir işlem başlatıldığının tespit edilmediği, ayrıca veri sorumlusunun şahsın kimliği ve varlığı hususunda şüphelerinin bulunduğu iddialarının da ilgili kişi tarafından Kurum’a iletilen yazışma ekran görüntüleri karşısında tevsik edilmeye muhtaç iddialar olduğu, veri sorumlusunun ilgili kişinin kişisel verilerini ihtiva eden Housekeeping Task Sheet başlıklı belgenin sahte olduğu, şahsın kimliği ve varlığı hususunun şüpheli bulunduğu dolayısıyla bünyesinde bir veri ihlali yaşanmadığı hususlarındaki açıklamalarını tevsik edemediği,
- Diğer yandan, veri sorumlusunca bünyelerinde mezkûr belgenin imha edildiği beyan edilmişse de belgenin imha edildiğini gösteren herhangi bir kaydın Kurum’a iletilmediği,
- Bu doğrultuda, mezkur belgenin tahrifatlar ve ilgili kişi ile üçüncü kişi arasındaki konuşmalardaki çelişkiler nedeniyle veri sorumlusu bünyesi dışında oluşturulduğu iddialarının tevsik edilemediği gözetildiğinde, eldeki mevcut bilgi ve belgeler ışığında söz konusu belgenin hizmet içi hususları düzenlemek amacıyla veri sorumlusu bünyesinde oluşturulan bir belge olduğu, mezkur belgenin veri sorumlusunun bünyesindeki hizmetlerin yürütülmesi amacıyla yalnız personeli ile paylaşıldığı, somut olay kapsamında üçüncü bir kişi tarafından elde edilmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin yalnızca veri sorumlusu tarafından idari ve teknik tedbirlerin alınmamış olması dolayısıyla gerçekleşebileceği,
- İlgili kişinin aydınlatma yükümlülüğünün yerine getirilmemesi şikayetine ilişkin veri sorumlusunun otelcilik faaliyetleri yürüttüğü dikkate alındığında konaklayan ilgili kişiler ile veri sorumlusu arasında bir sözleşme kurulduğu bu itibarla veri sorumlularının konaklayan ilgili kişilere ait pek çok kişisel veriyi Kanun’un 5’inci maddesinin 2’nci fıkrasının (c) bendi uyarınca “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” şartına dayanarak işlediği, web sayfasında sunulan aydınlatma metninde (bu metnin konaklama belgesi ekinde sunulan metinden de farklılık taşıdığı tespit edilmekle birlikte) iletişim bilgilerinin konaklama hizmetleri kapsamındaki rezervasyonların alınması ve takibi, rezervasyon kapsamında gerçekleştirilen işlemlere ilişkin iletişim sağlanması gibi amaçlar doğrultusunda Kanun’un 5’inci maddesinin 2’nci fıkrası kapsamındaki işleme şartlarına dayanılarak işlendiğinin ifade edildiğinin görüldüğü,
- Veri sorumlusunun Registraton Card/Konaklama Belgesi üzerinde yer vermiş olduğu “Sorumsuzluk Kaydı”nda konaklama belgesini imzalayan kişilerin iletişim bilgilerine reklam, promosyon vb. ticari elektronik ileti gönderilmesini, bilgilerinin bu amaçla kullanılacağını kabul edeceğini, saklanacağını ve veri sorumlusunun hizmet alacağı üçüncü kişilerle paylaşılmasını kabul edeceğini belirttiği, öte yandan metnin İngilizce ifadelerinin yer aldığı sol kısmında aynı ibarelere yer verilmediğinin anlaşıldığı,
- Registraton Card/Konaklama Belgesi düzenlenmesinin; 1774 sayılı Kimlik Bildirme Kanunu’nun 12’nci maddesine dayanılarak çıkarılan Kimlik Bildirme Kanununun Uygulanması ile İlgili Yönetmelik’in 23’üncü maddesindeki hüküm gereğince zorunlu olduğu, bu itibarla veri sorumlusunun bahse konu düzenleme nedeniyle hukuki bir yükümlülüğünün bulunduğu, bu itibarla ilgili kişilerin konaklama belgesini doldurmalarının ve imzalamalarının veri sorumlusunun sahip olduğu yasal bir yükümlülükten ileri geldiği ancak aynı belgede sorumsuzluk kaydı başlığı altında “konaklama belgesini imzalayan kişilerin iletişim bilgilerine reklam, promosyon vb. ticari elektronik ileti gönderilmesini, bilgilerinin bu amaçla kullanılacağını kabul edeceğini, saklanacağını ve veri sorumlusunun hizmet alacağı üçüncü kişilerle paylaşılmasını kabul edeceği” düzenlemesinin veri işlemenin bir genel işlem şartı olarak ileri sürüldüğünü gösterdiği,
- Konaklama belgesini doldurma ve imzalamak zorunluluğu altında bulunan kişilere ayrıca belgeyi imzalamaları halinde reklam ve pazarlama amaçlı iletişim bilgilerinin işlenmesini kabul edecekleri düzenlemesinin getirilmesi halinde, kişisel verilerinin işlenmesi konusunda ilgili kişilerin iradelerinin sakatlanacağı,
- Bu doğrultuda konaklama belgesini imzalayan kişilerin, mevzuat gereği bu belgeyi imzalamakla yükümlü oldukları dikkate alındığında, ayrıca iletişim bilgilerinin reklam ve pazarlama amaçlı işlenmesini kabul edecekleri şeklinde hüküm derç edilmesinin açık rızanın özgür irade unsurunu sakatlayacağı
değerlendirmelerinden hareketle;
- Housekeeping Task Sheet belgesinde müşterilere ait isim ve soy isime yer verilmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin Kanun’un 4’üncü maddesi kapsamında ölçüsüz bir veri işleme faaliyeti olduğu, üçüncü kişilerle paylaşılmaya konu edilen Housekeeping Task Sheet belgesinde yer alan kişisel verilerin veri sorumlusu bünyesinde oluşturulduğu ve üçüncü kişiler tarafından elde edilmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin yalnızca veri sorumlusu tarafından idari ve teknik tedbirlerin alınmamış olması dolayısıyla gerçekleşebileceği kanaatine varıldığından Kanun’un 12’nci maddesi uyarınca kişisel verilere hukuka aykırı olarak erişilmesini önlemek yükümlülüğü ile kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idarî tedbirleri alma yükümlülüğünün sağlanamadığı dikkate alındığında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında veri sorumlusu hakkında 500.000 TL idari para cezası uygulanmasına,
- Housekeeping Task Sheet belgesinde müşterilere ait isim ve soy isime yer verilmemesine yönelik olarak belgelerin düzenlenmesi ve sonucundan Kurul’a bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına,
- Aydınlatma yükümlülüğünün yerine getirilmemesi şikâyeti doğrultusunda; konaklama belgesi ekinde sunulan aydınlatma metni ile web sayfasında bulunan aydınlatma metinlerinin farklılıklarının giderilmesini teminen gerekli düzenlemeleri yapması, öte yandan konaklama belgesini doldurma ve imzalamak zorunluluğu altında bulunan kişilere ayrıca belgeyi imzalamaları halinde reklam ve pazarlama amaçlı iletişim bilgilerinin işlenmesini kabul edecekleri düzenlemesinin getirilmesinin açık rızanın özgür irade unsurunu sakatlayacağı, bu doğrultuda veri sorumlusunun mezkûr belge üzerindeki Sorumsuzluk Kaydını revize etmesi ve iletişim bilgilerini reklam ve pazarlama amaçlı işleme konusunda aydınlatma metninde belirttiği şekilde Kanun hükümlerine uygun olarak ayrıca açık rıza alma yoluna gitmesi ve yapılacak işlemlerin sonucundan Kurul’a bilgi vermesi hususunda talimatlandırılmasına
karar verilmiştir.
Karar Tarihi | : | 07/09/2023 |
Karar No | : | 2023/1548 |
Konu Özeti | : | Konu Özeti : İlgili kişinin açık rızası alınmadan ses kaydının alınması, paylaşılması ve mahkeme dosyasına sunulması |
Kuruma intikal ettirilen şikâyet dilekçesinde özetle; ilgili kişinin uzun yıllardır veri sorumlusu bünyesinde çalıştığı ve hukuka uygun hiçbir nedene dayanılmadan kod46 ile işten çıkarıldığı, iş mahkemesinde veri sorumlusu aleyhine işçi alacağı davası açıldığı, mahkeme dosyasına veri sorumlusu tarafından sunulan dilekçede; “…Şikâyet sahibi kullanıcı bu telefon görüşmesini kayıt altına almış ve bilgileri gizli kalması koşulu ile tarafımıza sunmuştur. KVKK kapsamında ses kaydının doğrudan sayın mahkemenize sunmadığımızı şayet mahkemenizce istenir ise şifreli olarak sunabileceğimizi belirtmek isteriz. Ayrıca iş bu ses kaydının KVKK gereği halen şifreli ortamda saklandığını da belirmek isteriz.” beyanlarının yer aldığı, ilgili beyanlarla ilgili kişiye ait ses kaydının ilgili kişinin rızası dışında saklandığının ikrar edildiği ve hatta mahkeme tarafından talep edildiği takdirde paylaşma isteğinin belirtildiği, mahkeme talep etmeden rıza dışı alınan ses kaydının şifreli bir halde (flash disk içerisinde) mahkeme dosyasına sunulduğu, ilgili kişiye ait olduğu iddia edilen ses kaydının kendisinin işten çıkarılmasını isteyen kötü niyetli kişiler tarafından rızası dışında alınarak veri sorumlusuna sunulduğu, ses kaydını kişisel verilere erişim yetkisi olmayan bazı işçilerin dinlediği, ses kaydı bahane edilerek ilgili kişinin işten çıkarıldığı, ayrıca olayla hiçbir ilgisi olmayan kardeşinin de işten çıkarıldığı, veri sorumlusunun kişisel verilerin hukuka aykırı işlenmesini önleyemediği, açık rızası alınmadan işlenen ses kaydının imha edilmesi talebi ile veri sorumlusuna başvuruda bulunduğu ancak veri sorumlusunun 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamına uygun hareket ettiğini iddia ettiği, haksız ve hukuka aykırı alındığı açık olan ses kaydının veri sorumlusu bünyesinde denetim yükümlülüğü olmadan muhafaza edildiği ve mahkeme talep dahi etmeden dosyaya delil mahiyetinde sunulduğu ifade edilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde şikâyet edilen veri sorumlusundan savunması talep edilmiş olup veri sorumlusu tarafından verilen cevapta özetle;
- İlgili kişinin; veri sorumlusunun ihale etmiş olduğu yüklenici firma nezdinde sayaç okuma, açma, kesme ve sahada yaşanan usulsüzlükleri rapor etmek ile görevli bir çalışan olduğu, veri sorumlusu ile yüklenici firma arasında akdedilen teknik şartnamede de görev tanımının yer aldığı,
- İş akdinin yüklenici firma tarafından “işçinin, işverenin güvenini kötüye kullanmak, hırsızlık yapmak, işverenin meslek sırlarını ortaya atmak gibi doğruluk ve bağlılığa uymayan davranışlarda bulunması" nedeniyle sona erdirildiği,
- Yüklenici firma da olsa veri sorumlusu ile yüklenici firma arasında akdedilen hizmet alım sözleşmesi ve ekleri; Çalışma İlkeleri Taahhütnamesi, Teknik Şartname, KVKK Taahhütnamesi, Gizlilik Sözleşmesi ve Kişisel Veri İşleme Sözleşmesi uyarınca yüklenici firmanın; hizmetlerin sağlanmasında geçerli olan Kanun, tüzük, yönetmelik ve kurallara uygun faaliyet göstereceğini, şirket işinde çalışan personelini kişisel verilerin muhafazası ve açıklanmaması için her türlü güvenlik önlemlerini almak, personelini bilgilendirmek, KVKK eğitimi vermek ve bunları sürdürmekle mükellef olacağını taahhüt ettiği, ilgili kişinin iş akdinin de bu nedenle sona ermek zorunda kaldığı,
- İlgili kişinin sayaç okuma esnasında bir kullanıcının/müşterinin yapmış olduğu usulsüzlüğü tespit ettiği, usulsüzlüğü iş yerine bildirmek yerine menfaat elde etmek amacıyla durumu kullanmak istediği ve duruma göz yummak kaydıyla rüşvet istediği,
- Kullanıcının/müşterinin ilgili fiilin suç teşkil edebileceği endişesi ile salt vatandaş olarak ses kaydını almış olduğu ve aynı amaçlar kapsamında da veri sorumlusuna ilettiği,
- Kayıt altına alınan ses kaydının, veri sorumlu şirketin olayın gerçekleştiği yer olan ilçedeki en üst yönetici pozisyonundaki arıza bakım onarım sorumlusuna iletilmesinin ardından durumun suç teşkil edebileceğinin anlaşıldığı ve doğrudan şirket vekili ile durumun paylaşıldığı,
- Ses kaydının herhangi bir personel ile paylaşılmadığı, şifreli diske aktarılarak ve gerekli idari ve teknik tedbirler alınarak güvensiz ortamdan silinmesinin sağlandığı, yasal saklama süresi ile sınırlı, şifreli bir biçimde muhafaza edildiği ve şifreli disk halinde mahkeme dosyasına sunulduğu, disk şifresinin halihazırda mahkeme ile paylaşılmadığı,
- İletilen ses kaydının durum tespiti sonrasında işçinin iş sözleşmesine etki etmesi nedeniyle şirket kayıtlarına alındığı, kaydın işlenmesinin Kanunun 5’inci maddesinin (2) numaralı fıkrasının (a) bendinde yer alan “Kanunlarda açıkça öngörülmüş olması” , ve (e) bendindeki “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hukuki sebepleri uyarınca işlendiği,
- Öte yandan Kanun kapsamında hakkın tesisi, kullanılması veya korunması için zorunlu olduğu ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusu şirketin meşru menfaatleri için veri işlenmenin zorunlu olması hallerinde ilgili kişinin verilerinin açık rıza olmaksızın işlenebileceği, zira mevcut davada da iş akdinin haklı neden ile feshini ispat için dava zamanaşımı süresi boyunca kişisel verilerin muhafaza edilmesi için açık rızanın gerekmediği,
- Anayasanın temel taşlarından olan adil yargılanma ve savunma hakkı ile Hukuk Muhakemeleri Kanunu’nda yer alan hukuki dinlenilme hakkı ve tarafların eşitliği kapsamında, şirketin meşru menfaatinin yanında mahkemeye sunulmuş cevap dilekçesi ile suç şüphesini açıkça ortaya koyarak yargı merciine ihbarda bulunulduğundan ve ayrıca iş mahkemesine sunulan cevap dilekçesinde açıkça savcılığa suç duyurusunda bulunulduğu belirtilmiş olduğundan; TCK kapsamında da delillerin muhafaza edilmesi gerektiği göz önüne alınarak ilgili kişiye ait ses kaydının muhafazası ve işlenmesi bakımından Kanuna aykırılık bulunmadığı,
- Türk Ceza Kanunu bakımından suç teşkil edebilecek ve aynı zamanda da işverenin İş Kanunu bakımından da iş akdinin haklı feshine sebep olacak ses kaydına konu davranışı anında, başka türlü delil ile tespit etme imkânı yok iken ses kaydı alınmasının veya kaybolma ihtimali bulunan kanıtların kaybolmalarının engellenmesi amacıyla ses kaydı alınmasının özel hayatın gizliliğini ihlal suçu oluşturmayacağının Yargıtay içtihatları ile de Kurul Kararları ile de benimsendiği,
- Nitekim somut olayda Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendi uyarınca; “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hukuki sebebi ile hukuka uygun bir veri işleme faaliyetinde bulunulduğu,
- Öte yandan Kişisel Verileri Koruma Kurumu tarafından 10.03.2019 tarihinde örnek olarak yayımlanan Kişisel Veri Saklama ve İmha Politikası'na göre saklamayı gerektiren hukuki sebeplerin belirtildiği, bu sebepler arasında İş Kanunu, Türk Borçlar Kanunu ve bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemelerin sayıldığı, buna göre İş Kanunu kapsamında saklanan verilerin (Örneğin; kıdem tazminatı, ihbar tazminatı, kötü niyet tazminatı, eşit davranma ilkesine aykırılık tazminatına konu olabilecek bilgiler, çalışan ile ilgili Mahkeme/icra bilgi taleplerinin cevaplanması, İş Kanunu kapsamında saklanan özlük dosyasına ilişkin veriler, İş Kanunu kapsamında saklanan verilerden performans kayıtları, disiplin cezaları, fesih evrakları vb.) iş ilişkisinin sona ermesinden itibaren 10 yıl ve yasal yollara başvurulmuş ise yasal sürecin sona erip kesinleşmesi tarihinden itibaren de 10 yıl süre ile saklanmasının yasal bir gereklilik olduğu, bu kapsamda işveren yükümlülükleri doğrultusunda yapılacak iş ve işlemlerin yerine getirilmesi ile şirketin meşru menfaatlerinin korunması sebebiyle ilgili kişisel verilerin yasal saklama süresi dolmadan imha edilmemesi gerektiği,
- Kişisel Veri Saklama ve İmha Politikasında da belirtildiği üzere ilgili kişilere ilişkin kişisel verilerin veri sorumlusu tarafından hukuki yükümlülüklerin yerine getirilmesi, çalışan haklarının ve yan haklarının planlanması ve ifası, çalışanların yasal haklarının ve meşru menfaatlerinin korunması, iş ve hizmet süreçlerinin yürütülmesi, kişisel verisi işlenen gerçek kişinin yasal haklarının ve meşru menfaatlerinin korunması amacıyla güvenli bir biçimde ilgili mevzuatta belirtilen sınırlar çerçevesinde saklandığı,
- İlgili kişinin halihazırdaki şartlar dâhilinde Kanun’un 11’inci maddesinde belirtilen “kişisel verilerin silinmesini veya yok edilmesini isteme” hakkını ileri sürebilmesinin hukuken olanaklı olmadığı,
- Kişisel verilerin işlenmesi, muhafaza edilmesi ve imha edilmesi gibi tüm unsurlarda veri sorumlusu tarafından yasal gerekliliklere uygun davranıldığı
ifade edilmiştir.
Konuya ilişkin yürütülen inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 07/09/2023 tarih ve 2023/1548 sayılı Kararı ile;
- Veri sorumlusu ile yüklenici firma arasında hizmet alım sözleşmesi akdedildiği ve esas sözleşme ekleri arasında teknik şartname, tedarikçilere ve yüklenicilere yönelik çalışma ilkeleri taahhütnamesi, gizlilik sözleşmesi ve KVK taahhüdünün yer aldığı,
- İş Kanunu’nun 2’nci maddesinin (6) numaralı fıkrasının; “Bir işverenden, işyerinde yürüttüğü mal veya hizmet üretimine ilişkin yardımcı işlerinde veya asıl işin bir bölümünde işletmenin ve işin gereği ile teknolojik nedenlerle uzmanlık gerektiren işlerde iş alan ve bu iş için görevlendirdiği işçilerini sadece bu işyerinde aldığı işte çalıştıran diğer işveren ile iş aldığı işveren arasında kurulan ilişkiye asıl işveren-alt işveren ilişkisi denir. Bu ilişkide asıl işveren, alt işverenin işçilerine karşı o işyeri ile ilgili olarak bu Kanundan, iş sözleşmesinden veya alt işverenin taraf olduğu toplu iş sözleşmesinden doğan yükümlülüklerinden alt işveren ile birlikte sorumludur.” hükmünü haiz olduğu,
- Kanuna uygun olarak kurulan ilişkiden doğan yükümlülüklerde asıl işveren ve alt işveren açısından müteselsil sorumluluk esasının benimsendiği, veri sorumlusu ile yüklenici firma arasında da asıl işveren-alt işveren ilişkisi mevcut olduğundan hizmetlerin hukuka uygun olarak yerine getirilmesinde sözleşme ve eklerinden sorumlulukları bulunduğu,
- Sayaç okuma, açma, kesme ve sahada yaşanan usulsüzlükleri rapor etme ile görevli olarak yüklenici firma bünyesinde çalışan ilgili kişinin iş sözleşmesinin İş Kanunu’nun 25’inci maddesinin (2) numaralı fıkrasının (e) bendi uyarınca “İşçinin, işverenin güvenini kötüye kullanmak, hırsızlık yapmak, işverenin meslek sırlarını ortaya atmak gibi doğruluk ve bağlılığa uymayan davranışlarda bulunması” nedeniyle feshedildiği,
- Feshin hukuka uygun olup olmamasının yargı merciine intikal eden bir husus olduğu, feshe gerekçe kılınan ses kaydının işveren tarafından muhafaza edilmesi ile mahkeme dosyasına sunulması hususlarının Kanun kapsamında değerlendirilmesi gerektiği,
- İlgili kişiye ait ses kaydının uyuşmazlık konusunun gerçekleşip gerçekleşmediği hakkında kanı oluşturmaya yarayan bir delil niteliğinde olduğu, 6100 sayılı Hukuk Muhakemeleri Kanunu’nun (HMK) 190’ıncı maddesinin; “İspat yükü, kanunda özel bir düzenleme bulunmadıkça, iddia edilen vakıaya bağlanan hukuki sonuçtan kendi lehine hak çıkaran tarafa aittir.” hükmünü amir olduğu, İş Kanunu’nun 20’nci maddesinin de paralel bir şekilde “Feshin geçerli bir sebebe dayandığını ispat yükümlülüğü işverene aittir” hükmünü içerdiği,
- HMK’nun 189’uncu maddesi; “Hukuka aykırı olarak elde edilmiş olan deliller, mahkeme tarafından bir vakıanın ispatında dikkate alınamaz.” hükmünü haiz olduğundan hukuka aykırı olarak elde edilen ses kaydının kural olarak delil mahiyetinde kullanılamayacağı,
- Bununla beraber izinsiz ses kaydı alınmasının, belli bazı durumlarda, Türk Ceza Kanunu kapsamında suç teşkil etmeyeceğinin ve hukuka uygun delil mahiyeti taşıyacağının Yargıtay içtihatları ile benimsendiği, Yargıtay Ceza Kurulu’nun 01/12/2020 tarihli ve 2020/485 sayılı Kararında da; “Kişinin kendisine karşı işlenmekte olan bir suçla ilgili olarak, bir daha kanıt elde etme olanağının bulunmadığı ve yetkili makamlara başvurma imkânının olmadığı ani gelişen durumlarda karşı tarafla yaptığı konuşmaları kayda alması halinin hukuka uygun olduğunun kabulü zorunludur. Aksi takdirde kanıtların kaybolması ve bir daha elde edilememesi söz konusudur.” değerlendirmesine yer verildiği,
- İşçi işveren uyuşmazlıklarında; işverenin iş sözleşmesini haklı nedenle feshettiğini başka türlü delil ile ispat etme imkânı yok ise ya da kaybolma ihtimali bulunan kanıtların kaybolmasının engellenmesi amacı var ise alınan ses kaydının hukuka uygun delil olarak kabul edilebileceği, bu kapsamda ilgili kişinin iş sözleşmesinin haklı sebeple feshedildiğini ispatlama aracı olarak kullanılan ses kaydının hukuka uygun delil olduğu, nitekim somut olayda ilgili kişinin ses kaydının veri sorumlusu tarafından da alınmadığı ve kullanıcı/müşteri tarafından veri sorumlusu ile paylaşılan ses kaydının delil mahiyeti taşıması sebebiyle veri sorumlusu tarafından muhafaza edildiği,
- Veri sorumlusu tarafından Kurum kayıtlarına intikal eden cevabi yazıda; ses kaydının herhangi bir personel ile paylaşılmadığının, şifreli diske aktarılarak ve gerekli idari ve teknik tedbirler alınarak güvensiz ortamdan silinmesinin sağlandığının ve yasal saklama süresi ile sınırlı, şifreli bir biçimde muhafaza edildiğinin belirtildiği, 20/06/2022 tarihinde mahkemeye sunulan beyanlar incelendiğinde; “Şikâyet sahibi kullanıcı bu telefon görüşmesini kayıt altına almış ve bilgileri gizli kalması koşulu ile tarafımıza sunmuştur. KVKK kapsamında ses kaydının doğrudan sayın mahkemenize sunmadığımızı şayet mahkemenizce istenir ise şifreli olarak sunabileceğimizi belirtmek isteriz. Ayrıca iş bu ses kaydının KVKK gereği halen şifreli ortamda saklandığını da belirtmek isteriz” dendiği, 24.08.2022 tarihli dilekçesinde de “İş bu ses kaydının KVKK gereği şifreli ortamda saklandığını da belirterek şifreli bir şekilde ekte sayın mahkemenize de sunmaktayız.” diyerek ses kaydının yer aldığı şifreli flash diski dosyaya sunduğu,
- Bu itibarla; iş sözleşmesinin feshine haklı gerekçe kılınan ses kaydı delilinin Kanun’un 8’inci maddesinin (2) numaralı fıkrasının atfı ile Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendinde yer alan “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hükümleri doğrultusunda Kanuna uygun bir şekilde mahkeme dosyasına sunulduğu,
- İlgili kişinin ses kaydının erişim yetkisi olmayan işçiler tarafından dinlendiğine ilişkin iddiaların ise tarafların beyanları doğrultusunda tevsik edilemediği
değerlendirmelerinden hareketle;
- İlgili kişiye ait ses kaydının 8’inci maddenin (2) numaralı fıkrasının atfı ile Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendinde yer alan “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hükmü doğrultusunda mahkemeye aktarıldığı,
- Ses kaydının erişim yetkisi olmayan işçiler tarafından dinlendiğine ilişkin iddiaların ise dosya kapsamında tevsik edilemediği hususları dikkate alındığında
veri sorumlusu hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.
Karar Tarihi | : | 03/08/2023 |
Karar No | : | 2023/1321 |
Konu Özeti | : | İlgili kişinin e-posta verilerinin, önceden ortağı olduğu veri sorumlusu Şirket tarafından işlenmeye devam edilmesi |
Kuruma intikal eden şikâyette özetle; ilgili kişinin daha önce ortağı olduğu veri sorumlusu Şirket’ten ayrılarak yeni bir şirket kurduğu, ancak veri sorumlusu Şirket’in ortağı iken kullandığı e-posta adresinin hala aktif olduğunu ve veri sorumlusunun söz konusu adrese iletilen e-postaları okuduğunu öğrendiği, bu durumun kendisi açısından haksız rekabet yarattığı ve maddi zarara uğradığı, bu konuda veri sorumlusuna başvuru yaptığı ancak herhangi bir cevap alamadığı ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gerekli işlemlerin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup verilen cevapta özetle;
- Şirket genel kurul kararı ile ilgili kişinin ortaklıktan ayrıldığı, bu kapsamda ilgili kişinin e-posta adresinin de kapatıldığı, kapanan e-posta adresinin kullanılmasının teknik olarak da mümkün olmadığı,
- Söz konusu e-posta adresinin veri sorumlusu sisteminde “tanımsız mail” olarak geçtiği, ticari e-posta adreslerinde personel sirkülasyonu (isim değişiklikleri) olduğu için, ön kısmında ne yazdığına bakılmaksızın silinen e-posta adreslerinin sonunda veri sorumlusu Şirket’e ait uzantı olduğu sürece söz konusu e-postaların “tanımsız mail” olarak yönetici e-postasına düştüğü, söz konusu yönlendirmenin mail hizmeti sunan firma tarafından gerçekleştirildiği,
- İddiaların aksine, şikayet konusu e-postalarda herhangi bir kişisel verinin yer almadığı
ifade edilmiştir.
Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 03/08/2023 tarihli ve 2023/1321 sayılı Kararı ile;
- Kişisel verilerin işlenme şartlarının Kanun’un 5’inci maddesinde düzenlendiği; buna göre maddenin 1’inci fıkrasında; kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, 2’nci fıkrasında Kanunlarda açıkça öngörülmesi, Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, İlgili kişinin kendisi tarafından alenileştirilmiş olması, Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinden birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun düzenlendiği,
- Veri sorumlusu Şirket’ten ayrılmasından sonra ilgili kişinin, yeni kurduğu firmada daha önce ortağı olduğu veri sorumlusu Şirketin faaliyet alanı ile aynı işi yapmaya başladığı,
- Bu süreçte ilk olarak, veri sorumlusu nezdindeki ortaklığını bitirdiğini bilmeyen eski bir müşterinin ilgili kişinin eski e-posta adresine mesaj ilettiği, söz konusu mesajı okuyan veri sorumlusu Şirket yetkilisinin ilgili müşteriyle iletişime geçtiği,
- İkinci olarak ilgili kişinin yeni firmasının bir çalışanının sehven eski e-posta adresine mesaj ilettiği, veri sorumlusu Şirket yetkilisinin bu mesaja yorumsuz bir e-postayla dönüş yaptığı,
- Bu çerçevede her ne kadar veri sorumlusu; bahse konu e-posta adresinin kapanmış olduğunu, kendi şirketi nezdinde kullanılan e-posta adresleri arasında yer almadığını ve bu e-posta adresine gönderilen iletilerin “tanımsız mail” olarak yönetici e-postasına geldiğini ifade etse de, ilgili kişinin daha önceden kullanmış olduğu ve şu an pasif durumda bulunan e-posta adresine ileti gönderilmeye devam edildiği, e-posta verilerinin kişisel veri niteliğini haiz olduğu, bu minvalde ilgili kişinin işten ayrılmasından sonra e-posta gönderilerek tanımsız e-postada iletilerin görüntülenmesine imkan sağlanmak suretiyle kişisel verilerinin işlenmeye devam edildiği, söz konusu işleme faaliyetinin ise Kanun’un 5’inci maddesindeki herhangi bir işleme şartına dayanmadığı
değerlendirmelerinden hareketle;
- İlgili kişinin daha önceden kullanmış olduğu ve şu an pasif durumda bulunan e-posta adresine ileti gönderilmeye devam edildiği, e-posta verilerinin kişisel veri niteliğini haiz olduğu, bu çerçevede ilgili kişinin işten ayrılmasından sonra e-posta gönderilmesinin engellenmemesi nedeniyle tanımsız e-postada iletilerin görüntülenmesine imkan sağlanmak suretiyle kişisel verilerinin işlenmeye devam edildiği, söz konusu kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesi kapsamında herhangi bir dayanağı bulunmaması nedeniyle Kanun’un 18’inci maddesi uyarınca 50.000 TL idari para cezası uygulanmasına,
- Söz konusu sistemin işten ayrılan kişilere ilişkin kişisel veri işlenme faaliyetine devam edilmemesini sağlayacak şekilde düzeltilerek sonucundan Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına,
- Şikayete konu kişisel verilerin imha edilerek sonucundan Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına
karar verilmiştir.
Karar Tarihi | : | 03/08/2023 |
Karar No | : | 2023/1310 |
Konu Özeti | : | Banka mobil uygulamasında dijital parola belirlerken yüz verisinin işlenmesi suretiyle kişisel verilerin işlenmesi |
Kuruma intikal eden şikâyette özetle; ilgili kişinin bir bankanın (veri sorumlusu) bireysel ve kurumsal müşterisi olduğu, 19.11.2022 tarihinde mobil bankacılık uygulamasını kullanarak unutmuş olduğu kurumsal hesabına ilişkin şifreyi sıfırlamak istediği, kurumsal parola belirleme alanına girdikten sonra T.C. kimlik kartının veya kredi/banka kartının hazır edilmesinin talep edildiği, T.C. kimlik numarası ile devam edildiğinde ise T.C. kimlik kartı ile dijital parola üretmenin tek seçenek olarak geldiği, kurumsal hesaba giriş yapılırken dijital kimlik kartının kullanılmasının şart koşulduğu, T.C. kimlik kartı ile giriş yapılmak istendiğinde ise yüz verilerinin işlenmesi için onay ekranının çıktığı, onay verilmediği durumda ise hizmetten faydalanılamadığı ve sistemin başa döndüğü, böylece kişisel verilerinin zorla işlendiği ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin olarak başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;
- İlgili kişinin başvurusu tarihinde kurumsal müşterilerin kredi/banka kartı ile dijital parola oluşturma süreci için sistem entegrasyon çalışmalarının sürmekte olduğu ve ilgili kişi başvurusuna da bu yönde cevap verildiği, 02.12.2022 tarihinde iş akışları tamamlanarak kurumsal müşterilere de biyometrik yüz verisi işlenmeksizin kredi/banka kartı seçeneği ile dijital parola oluşturma imkânı sağlandığı,
- İlgili kişinin şikayetine konu dönemde kurumsal hesaplar yönünden, (T.C. Kimlik Kartı seçeneği ve akabinde) yüz verileri işlenmeksizin mobil bankacılık uygulamasından dijital parola oluşturma imkânı mevcut olmamakla birlikte, Bankanın Şube veya telefon bankacılığı kanallarından işlemi gerçekleştirme imkanının mevcut olduğu,
- İlgili kişinin şikayetine konu dönemde yüz verilerinin işlenmesine rıza verilmediği durumda, (a) Bireysel müşterilerin Mobil Bankacılık kanalından alternatif olarak sunulan kredi/banka kartı seçeneği, Şubeler veya telefon bankacılığı kanalından işleme devam edebildiği, (b) Kurumsal müşterilerin ise Mobil Bankacılık kanalından devam edemediği, alternatif olarak işlemlerini Şubeler veya telefon bankacılığı kanallarından tamamlayabildiği, alternatif kanallara ilişkin bilgilendirmenin, Bankanın web sitesinde sağlandığı,
- Mevcut durumda Bankanın mobil şube dijital parola belirleme işlemlerinde müşterilerine “Kredi ve Banka kartı ile dijital parola üretmek istiyorum” ve “T.C. kimlik kartı ile dijital parola üretmek istiyorum” seçeneklerinin sunulduğu, mobil şube kanalı ile dijital parola üretmek için “T.C. kimlik kartı ile parola üretmek istiyorum” alanı seçildiğinde elektronik bankacılık hizmetlerinin sunulmasında işlem güvenliğini sağlamak adına kimlik doğrulama mekanizmalarından biri olan yüz izlerinin işlendiği, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda yer alan “Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.” hükmü doğrultusunda, özel nitelikli biyometrik veri olan yüz izlerinin işlenebilmesi için mevzuat hükümleri çerçevesinde taraflarınca biyometrik verilerinin işlenmesi için müşterilerden açık rıza alındığı, talep edilen açık rızaya ilişkin olarak “Onaylamıyorum” seçeneğinin de müşterilere sunulduğu, ilgili seçenek işaretlendiğinde (hem bireysel hem kurumsal hesaplar yönünden) müşterilerin yüz izleri işlenemeyeceğinden işleme devam edilememekle birlikte alternatif seçenek olarak gerek kredi/banka kartı seçeneği ile gerekse Bankanın Şube/Dialog kanalları ile de dijital parola oluşturma imkanının sunulduğu,
- Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik’in Kimlik Doğrulama ve İşlem Güvenliği başlıklı 34’üncü maddesi uyarınca müşteri bilgilerinin görüntülenmesi gibi finansal sonuç doğurmayan işlemler de dâhil olmak üzere elektronik bankacılık hizmetleri için bankaların müşterilerine birbirinden bağımsız en az iki bileşenden oluşan bir kimlik doğrulama mekanizması uygulaması ve bu bileşenlerin kimlik doğrulama sürecinde kullanılmaları esnasında barındırdıkları kimlik doğrulama verilerinin gizliliğini sağlayacak önlemleri alması yükümlülüğünün bulunduğu, bu doğrultuda talep oluşturulan iki bileşenin; müşterinin “bildiği”, “sahip olduğu” veya “biyometrik bir karakteristiği olan” unsur sınıflarından farklı ikisine ait olmak üzere seçildiği, müşterinin sahip olduğu bileşenin müşteriye özgü olması ve taklit edilememesinin esas alındığı, bu yönetmelik kapsamında iki bileşenli kimlik doğrulama kullanılmaksızın gerçekleştirilen her türlü işlem için, gerçekleştirilen işlemlerin müşteri tarafından yapıldığını ispat etme yükümlülüğünün bankaya ait olduğu gözetilerek müşteriye özgü ve taklit edilemeyen biyometrik verinin müşterinin açık rızasının alınması halinde işlendiği
ifade edilmiştir.
Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 03/08/2023 tarihli ve 2023/1310 sayılı Kararı ile;
- Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde; “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi, “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi, “veri sorumlusu”nun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi, “kişisel verilerin işlenmesi”nin ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak; “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6’ncı maddesinin birinci fıkrasında ise; “özel nitelikli kişisel veriler”in, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri olarak tanımlandığı, 25.05.2018 tarihinde yürürlüğe giren Avrupa Genel Veri Koruma Tüzüğü’nün (GDPR) “Tanımlar” başlıklı 4’üncü maddesinde ise “biyometrik veri”nin, yüz görüntüleri veya daktiloskopik veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel veriler olarak tanımlandığı, somut olayda bankanın “Veri Sorumlusu”, dijital parola belirleme işlemlerinde yüz verilerinin işlenmesinin “veri işleme faaliyeti”, yüz verilerinin de biyometrik veri olması dolayısıyla “özel nitelikli kişisel veri” olduğu,
- Kanun’un 6’ncı maddesinin ikinci ve üçüncü fıkrasının “(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.” hükmünü haiz olduğu,
- Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik’in Kimlik Doğrulama ve İşlem Güvenliği başlıklı 34’üncü maddesinin birinci ve ikinci fıkralarının sırasıyla “(1) Bu Yönetmelikte aksi belirtilmedikçe, müşteri bilgilerinin görüntülenmesi gibi finansal sonuç doğurmayan işlemler de dâhil olmak üzere elektronik bankacılık hizmetleri için bankaların müşterilerine birbirinden bağımsız en az iki bileşenden oluşan bir kimlik doğrulama mekanizması uygulaması ve bu bileşenlerin kimlik doğrulama sürecinde kullanılmaları esnasında barındırdıkları kimlik doğrulama verilerinin gizliliğini sağlayacak önlemleri alması esastır. Bu iki bileşen; müşterinin “bildiği”, “sahip olduğu” veya “biyometrik bir karakteristiği olan” unsur sınıflarından farklı ikisine ait olmak üzere seçilir. Bileşenlerin bağımsız olması, bir bileşenin ele geçirilmesinin diğer bileşenin güvenliğini tehlikeye atmamasını ifade eder. Müşterinin sahip olduğu bileşenin müşteriye özgü olması ve taklit edilememesi esastır. (2) Kimlik doğrulamada T.C. Kimlik Kartının kart PIN'i veya biyometrik veri ile birlikte kullanılması veya elektronik imzanın kullanılması hallerinde birinci fıkranın gerekleri yerine getirilmiş sayılır.” hükümlerini amir olup bu maddenin diğer fıkralarında da bankalarca alınması gereken güvenlik tedbirlerine ilişkin usul ve esaslara yer verildiği,
- İlgili kişinin veri sorumlusuna başvuruda bulunduğu dönemde mobil bankacılık uygulamasında kurumsal müşterilerin de bireysel müşteriler gibi dijital parola üretme uygulamasında T.C. kimlik kartı veya kredi/banka kartı ile giriş sağlayabilmeleri hususunda çalışmaların devam ettiği, mobil şube kanalı ile dijital parola üretmek için yalnızca T.C. kimlik kartı kullanımının seçilebildiği ve bu seçenek tercih edildiğinde elektronik bankacılık hizmetlerinin sunulmasında işlem güvenliğinin sağlanması adına kimlik doğrulama mekanizmalarından yüz izlerinin işlenmesinin kullanıldığı, bu nedenle Kanun’un 6’ncı maddesinin ikinci fıkrası doğrultusunda, özel nitelikli biyometrik veri olan yüz izlerinin işlenebilmesi için, müşterilerden açık rıza beyanı alınmasının zorunlu olduğu, müşterilerin açık rızaya onay vermemesi durumunda ise dijital parola işleminin mobil şube kanalından sağlanamadığı, bu işlemlerin yapılabilmesine yönelik olarak herhangi bir bilgilendirmeye yer verilmeyerek sistemin başa döndüğü, konuya ilişkin olarak yüz verilerinin işlenmesine rızası bulunmayan ve mobil bankacılığın kurumsal müşteriler için dijital parola alma işleminden yararlanamamış olan ilgili kişinin veri sorumlusuna yaptığı başvuruya cevaben Veri Sorumlusunun biyometrik verilerin işlenmeyerek dijital parola edinme isteği halinde Bankanın Şube/Telefon Bankacılığı kanalları ile işlemin gerçekleştirilmesinin mümkün olduğu hususunda kişiyi bilgilendirdiği, veri sorumlusunun internet sitesinde dijital parolanın nasıl alınabileceğine dair bilgilendirmenin bulunduğunu beyan ve tevsik ettiği, 02/12/2022 tarihinden itibaren kurumsal müşteriler için de mobil bankacılıkta kredi/banka kartı seçeneği ile de dijital parola oluşturma imkanının sağlandığı,
- Bununla birlikte, Bankanın şikayete konu olay tarihinde T.C. kimlik kartı ile işlem yapma seçeneğinde yüz izi verilerinin işlenmesine rıza göstermeyen müşteriler için işlemi herhangi bir bilgilendirme yapmadan sonlandırdığı, dijital parola belirleme hizmetinin alternatif kanallar ile yapılabildiğine ilişkin bilginin internet sitesinde başka bir bölümde belirtildiği,
değerlendirmelerinden hareketle,
- Veri sorumlusu Bankanın hizmetleri kapsamında dijital parola oluşturmanın şikayet tarihinde mobil bankacılıkta yalnızca T.C. kimlik kartı ve yüz verilerinin işlenmesi suretiyle gerçekleşebildiği ancak müşterilerin dijital parola alma hizmetinden Bankanın Şube ve Telefon Bankacılığı kanalları aracılığıyla da yararlanabildiği ve bu hususun Bankanın internet sitesinde belirtildiği dikkate alındığında, bu hizmetin şarta bağlandığı iddiasının yerinde olmadığı değerlendirildiğinden veri sorumlusu hakkında yapılacak bir işlem bulunmadığına,
- Bankanın şikayete konu olay tarihinde T.C. kimlik kartı ile işlem yapma seçeneğinde yüz izi verilerinin işlenmesine rıza göstermeyen müşteriler için işlemi herhangi bir bilgilendirme yapmadan sonlandırdığı, dijital parola belirleme hizmetinin alternatif kanallar ile yapılabildiğine ilişkin bilginin internet sitesinde başka bir bölümde belirtildiği anlaşıldığından, her ne kadar mevcut durumda şikayete konu hizmetin mobil bankacılıkta da alternatif bir yöntemle verilmesine başlanılmış olsa da, veri sorumlusu Bankanın hizmet süreçlerini gözden geçirmesi ve veri işleme faaliyetlerinde müşterileri tarafından yanlış anlaşılmaya sebebiyet verebilecek süreçler var ise ilgili kişilerin bu süreçler hakkında kolay anlaşılır/ulaşılır bir şekilde bilgilendirilmesi hususunda azami özeni göstermesini teminen uyarılmasına
karar verilmiştir.
Karar Tarihi | : | 03/08/2023 |
Karar No | : | 2023/1309 |
Konu Özeti | : | Bir havayolu şirketi tarafından ilgili kişiye ait kişisel verilerin hukuka aykırı olarak üçüncü kişilerle paylaşılması |
Kuruma intikal ettirilen şikayette özetle, ilgili kişinin ailesi ile birlikte bir seyahat acentesinden tur satın aldığı, tur firması tarafından şikâyete konu veri sorumlusu havayolu firması ile seyahatinin planlandığı ve tarafına uçuş bilgilerinin gönderildiği, havayolunun mobil uygulamasından Check-in işlemi yapmak için Yolcu İsim Kaydını-Passenger Name Information (PNR) ve soyadını girdiğinde tanımadığı dört kişinin "isim, soyisim, cinsiyet, doğum tarihi, uyruğu, belge türü, belgenin verildiği ülke, belge no, son geçerlilik tarihi, vize bilgileri" gibi bilgilerini gördüğü, tanımadığı 4 kişinin tüm bilgilerinin hem gidiş hem de dönüş check-in işlemlerinde gözüktüğü, bunun yanında tanımadığı kişilerin biletleri hakkında uçak biletlerini iptal etmek ve değiştirmek gibi birçok işlem hakkı tanındığı, aynı şekilde diğer tanımadığı kişilerin de kendisinin isim, soyisim, cinsiyet, doğum tarihi, uyruğu, belge türü, belgenin verildiği ülke, belge no, son geçerlilik tarihi, vize bilgileri gibi kişisel verilerini görebildiğinin kuvvetle muhtemel olduğu ayrıca havayolu şirketince tutulan kişisel verilerinin tanımadığı kişilere açıklanması-yayınlanması ihlali ve ihtimali hakkında ve kişisel verilerinin ihlali ile ilgili bilgi verilmesini ve mevcut ihlalin kaldırılmasını, gerekli yerlere bildirim yapılmasını ve Kişisel Verilerin Korunması Kanunu’nun (Kanun) 11’nci maddesi kapsamındaki hakları doğrultusunda veri sorumlusu olarak söz konusu hadise kapsamında gerekli aksiyonların alınmasının yanı sıra hangi kişisel verilerinin işlendiği, şahsına ait işlenen kişisel verilerinin korunması adına hangi teknik ve idari tedbirlerin alındığını, şahsına ait işlenen kişisel verilerin işlenme amacı ve bunların amacına uygun kullanılıp kullanılmadığı hakkında bilgi verilmesini, şahsına ait işlenen kişisel verilerinin yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişiler hakkında bilgi verilmesini, kişisel verilerine erişim yetkisi olmayan üçüncü kişilere aktarımına ve hukuka aykırı veri işleme faaliyetine son verilmesini talep ettiği başvurusunu gerçekleştirdiği, veri sorumlusu tarafından verilen yanıtta kişisel verilerinin üçüncü kişilere hukuka aykırı olarak aktarıldığının kabul edildiği, verilen cevapta bilgi edinmek adına cevaplanmasını talep ettiği hususlarda da herhangi bir cevap verilmediği ifade edilerek gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması talep edilmiş olup veri sorumlusundan alınan cevabi yazıda özetle;
- İlgili kişinin kişisel verilerinin üçüncü kişilere aktarıldığı yönündeki iddialara ilişkin olarak; Şirketlerinin yurt içinde ve yurt dışında hava taşımacılığı hizmeti veren bir havayolu şirketi olduğu, uçuşları için tüketicilerin doğrudan veya seyahat acenteleri aracılığıyla bilet alabileceği gibi Şirketlerinin tur operatörü olarak faaliyet gösteren ve tüketicilere paket tur satışı yapan seyahat acentelerine belirli hacimde koltuk kullanımını anlaşmalar doğrultusunda tahsis ettiği, bu durumda acentelerin kendi müşterilerinin paket tur seyahati kapsamında uçuşları için rezervasyon işlemlerini havayolu şirketinin rezervasyon ve satış sistemi acente ekranları üzerinden kendilerinin gerçekleştirdiği, şikayete konu uçuş rezervasyonun da bu şekilde gerçekleştiği, Şirketleri ile ticari iş ilişkisi olan tur operatörü olarak faaliyet gösteren seyahat acenteleri, ulaştırma, konaklama ve bunlara yardımcı olmayan diğer turistik hizmetlerin en az ikisinin birlikte, her şeyin dahil olduğu paket tur satışlarında, ulaştırma hizmeti için kendilerine tanınan sistem erişim kullanıcı bilgileri ve şifreler ile, havayolu şirketinin rezervasyon ve satış sistemi acente ekranları üzerinden uygulamaya giriş yaparak uçuşlar için biletleme yapabilmekte ve dolayısıyla PNR oluşturabilmekte olduğu, oluşturulan PNR'lar Şirketlerinin uçuşlarına ait olduğundan yolculara check-in ve uçuşa ilişkin ek ürün/hizmet ihtiyaçlarına cevap vermek adına PNR ve soyadı kombinasyonu ile uçuşlarını kendi dijital kanalları üzerinden yönetme imkanı tanıdıkları,
- Seyahat acentelerinin, aynı paket turda yer alan tüm yolcuların rezervasyon ve biletleme işlemlerini toplu olarak yaptığı, bu nedenle rezervasyon kayıtlarının tek bir PNR üzerinden birçok yolcu için seyahat acenteleri tarafından yapıldığı, seyahat acentesinin böylece grup rezervasyonu kapsamında tek bir Grup PNR üzerinden tüm müşterilerinin takibini yapabildiği, Şirketlerinin, Grup PNR uygulamasının farklı yolcu gruplarını bir araya getirebileceğinin bilinciyle bu Grup PNR'larına erişim ve kişisel verilerin görüntülenmesi konusunda ek tedbirler uyguladığı, bu tedbirlerin şikayete konu vaka öncesinde uygulamaya alındığı ve düzenli olarak uygulandığı, bu tedbirler kapsamında Grup PNR'da yer alan bir yolcu check-in işlemi yapmak veya bilet işlemlerini internet sitesi veya mobil uygulama üzerinden yönetmek istediğinde, PNR + SOYADI kombinasyonu ile giriş yaptığı, başarılı giriş sonrasında ise genel uygulamadan farklı olarak PNR'daki tüm yolcuları görüntüleyememekte ve yalnız PNR içinde SOYADI eşleşen kayıtları görüntüleyebilmekte olduğu, ortak görüntülemenin birlikte seyahat eden ailelerin işlemlerini bir arada yapabilmeleri amacını taşıdığı, nitekim, paket tur satın alan yolcuların genellikle aile olarak seyahat ettiği ve aynı soyada sahip aile bireylerinin check-in deneyimlerinin kolaylaştırılması ve özellikle uçuş için aile bireylerine yan yana koltuk tanınması konusunda yolculardan gelen talepler doğrultusunda bu yönde bir uygulamanın olduğu, bu geliştirmenin, Şirketlerinin kişisel verilerin korunması konusundaki uyum çalışmaları kapsamında şikayet tarihinden önce öngörülmüş bir tedbir olduğu, bu tedbirin öncelikli amacının, grup rezervasyonlarında, birlikte seyahat etme amacı olmayan, birbirini tanımayan yolcuların birbirlerinin kişisel verilerine ulaşımını engellemek olduğu,
- Şikayete konu olay hakkında işlemi gerçekleştiren seyahat acentesi ile yapmış oldukları görüşmelerde, başvuru sahibinin check-in işlemi yaparken görüntülediği diğer yolcuların soy isimlerinin de başvuru sahibi ile aynı olduğu ve fakat bu kişilerin başvuru sahibinin aile bireyi olmadıklarının anlaşıldığı, bunun esasen seyahat acentesinin kontrolünde ve dikkat etmesi gereken bir kontrol adımının işletilmemiş olduğunu gösterdiği, şikayete konu işlemin başvuru sahibi ile seyahat acentesi arasında gerçekleşen Paket Tur Sözleşmesi ile bağlantılı bir işlem olduğunun açık olduğu, Şirketlerinin, sistem üzerinden veri gizliliğini korumaya yönelik gerekli tedbirleri aldığı ve uyguladığı, sistemde kaydı oluşturan seyahat acentesinin aynı soyadlı farklı kişileri tek bir Grup PNR'ında birleştirmemesi yükümlülüğü bulunduğu,
- Ayrıca, Şirketleri tarafından şikayetten önce alınmış olan teknik tedbir ötesinde, aynı soyadına sahip bu yolcuların aile bireyi olmadığı ve birlikte seyahat etmeyecekleri konusundaki bilgiye Şirketlerinin haiz olmasının mümkün olmadığı, grup rezervasyonlarının, paket turlar kapsamında seyahat acenteleri tarafından oluşturulduğu, hangi yolcuların birlikte bu turdan faydalanacakları konusunda da yalnızca seyahat acentelerinin bilgi sahibi olduğu, bu anlamda, gerekli tedbirleri şikayet tarihinden önce almış olan Şirketlerine herhangi bir kusur atfedilmesinin mümkün olmadığı, şikayet konusundakine benzer şekilde meydana gelebilecek istisnai durumların önüne geçilebilmesi için, ilgili seyahat acentelerine söz konusu tedbirin amacı ve dikkatli olunması gerektiğinin tekrar hatırlatıldığı,
- İlgili kişinin başvurusunu takiben ve Kanun'un 12’nci maddesi uyarınca Şirketleri tarafından alınan teknik ve idari tedbirlere ilişkin olarak; ilgili kişinin şikayetine ilişkin tedbirlerin etkin bir şekilde şikayete konu olay öncesinden itibaren uygulandığı, söz konusu durumun önüne geçilmesi için, şikayet tarihinden önce, zaten yolcuların PNR ve soyadı kombinasyonu ile check-in işlemi yaptıklarında yalnızca kendi soyadlarına sahip yolcuların bilgilerine ulaşabildiği bir sistem uygulandığı ve bu sistem aracılığıyla yolcuların kişisel verilerini korumayı amaçladıkları, seyahat acentelerinin yalnızca kendilerinin sahip olabileceği bilgilerle haberdar olacağı şikayete konu istisnai durumların yaşandığı hallerde de seyahat acentelerinin gerekli önlemleri almasının beklendiği konusunda seyahat acentelerinin uyarıldığı,
- Şikayeti takiben ilgili kişi ve PNR'da yer alan aynı soy isme sahip diğer kişilerin grup PNR'ının ayrıştırıldığı ve erişimin engellendiği, başvuru sahibinin PNR içerisinde yalnızca kendi aile bireylerini görebileceği şekilde PNR içeriğinin güncellendiği, seyahat acentelerine başvuru sahibinin talebine cevap verilen e-posta iletisinin gönderilerek, paket tur satın alan misafirlerinden aynı soyadına sahip ve fakat aynı aile bireyi olmayan yolcuların PNR'larının ayrıştırılması gerektiği yönünde hatırlatma yapıldığı,
- Kanun’un 12’nci maddesi uyarınca veri sorumlusu olarak Şirketlerinin kişisel verilerin (i) hukuka aykırı olarak işlenmesini önlemek, (ii) muhafazasını sağlamak ve (iii) kişisel verilere hukuka aykırı olarak erişilmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri aldığı, bu kapsamda Şirketlerinin aldığı tüm teknik ve idari tedbirlerin Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) üzerinden kamu ile paylaşıldığı, Şirket tarafından düzenli şekilde takibi yapılan "Kişisel Verilerin Korunması Kanunu'na Uyum Çalışmaları Kapsamında Alınan Teknik ve İdari Tedbirler" isimli dokümanın da ekte sunulduğu,
- Başvuru sahibinin Kanun’un 11’nci maddesi uyarınca iletmiş olduğu talebe vermiş oldukları cevapları hakkında; ilgili kişinin, Şirketlerine kayıtlı elektronik posta yoluyla talebini ilettiği, tüm taleplerine ilişkin olarak yasal sürede cevap verilmesine rağmen, ilgili kişinin hangi kişisel verilerin işlendiği; işlenen kişisel verilerin korunması için hangi teknik ve idari tedbirlerin alındığı; işlenme amacı ve amacına uygun kullanılıp kullanılmayacağı ve yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişiler hakkında bilgi verilmediğini iddia ettiği, bu kapsamda, Şirketleri tarafından ilgili kişiye verilen, yukarıdaki tüm talepleri kapsayan cevaplarının ekte sunulduğu, bu kapsamda ilgili kişiye, yasal süre içerisinde, eksiksiz şekilde cevap verildiği ve taleplerinin karşılandığı, yazı ekinde iletilen ekteki Gizlilik Politikası kapsamında, kişisel verilerin korunmasına yönelik olarak yolculara karşı aydınlatma yükümlülüğünün yerine getirilmekte olduğu ve yolcuların hangi kişisel verilerinin, hangi hukuki dayanağa istinaden, hangi amaçlarla işlendiği, kişisel verilerinin kimlerle paylaşıldığı, hangi teknik ve idari tedbirlerin alındığı konusunda bilgilendirildiği, VERBİS kaydında da söz konusu hususların açıklandığı,
ifade edilmiş, Kişisel Verilerin Korunması Kanunu'na uyum çalışmaları kapsamında alınan teknik ve idari tedbirler kapsamında ise detaylı bilgilere yer verilmiş, ayrıca yolculara sunulan gizlilik politikası metni iletilmiştir.
İlgili kişinin şikâyeti ekinde Kuruma sunulan ekran görüntülerinde üçüncü kişilere ait kayıtların karartılmış olması nedeniyle PNR verilerini kullanarak ulaşmış olduğu üçüncü kişilerin bilgilerinin karartılmamış hali talep edilmiş olup ilgili kişi tarafından söz konusu bilgiler Kuruma sunulduğunda, veri sorumlusunun beyanın aksine, kişisel verilerine erişilen üçüncü kişilerin soyadı bilgisinin ilgili kişiden farklı olduğu görülmüştür.
Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulu’nun 03/08/2023 tarih ve 2023/1309 sayılı Kararı ile;
- 6698 sayılı Kişisel Verilerin Korunması Kanununun kişisel verilerin işlenme şartlarına ilişkin 5’inci maddesinin birinci fıkrasında “Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez”, ikinci fıkrasında ise: “Aşağıdaki şartlardan birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: a) Kanunlarda açıkça öngörülmesi. b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hükümlerine yer verildiği,
- Kanunun 11’inci maddesinde ilgili kişilerin hakları sıralanmış olup, anılan maddede “Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; a) Kişisel veri işlenip işlenmediğini öğrenme, b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.” hükümlerine yer verildiği,
- Kanunun 12’nci maddesinin (1) numaralı fıkrasının “Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” (5) numaralı fıkrası ise “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amir olduğu,
- Bu çerçevede, Uluslararası Sivil Havacılık Organizasyonu tarafından yayınlanan PNR Verisi Rehberi’nde (The International Civil Aviation Organization, “Guidelines on Passenger Name Record (PNR) Data” ) hava taşımacılığı sektöründe Yolcu Adı Kaydının, “herhangi bir yolcu adına veya yapılan her yolculuk için uçak operatörleri veya yetkili acenteleri tarafından oluşturulan kayıtlara verilen genel ad” olarak tanımlandığı, PNR’ın bir yolculuğun tüm uçuş bölümleriyle ilgili olarak yolcu tarafından veya yolcu adına sağlanan verilerden oluşturulduğu, öte yandan rehbere göre verilerin, operatörler tarafından hava taşımacılığı hizmetlerinin sağlanmasında kendi ticari ve operasyonel amaçları için kullanılmakta ve PNR bilgilerinin uçuş operasyonuna bağlı olarak (uçuşun gerçekleştiği ülkenin talepleri doğrultusunda) pek çok farklı veriyi içerebilmekte olduğu, buna ek olarak “paylaşılmış/bölünmüş PNR”ın ise rehberde PNR üzerinde çok sayıda yolcu, diğer yolcular olması olarak tanımlandığı (https://www.icao.int/Security/FAL/ANNEX9/Documents/9944_cons_en.pdf),
- 2920 sayılı Türk Sivil Havacılık Kanunu’nun “Milli Sivil Havacılık Güvenlik Kurulu ve Havacılık Güvenliği” başlıklı 40’ncı maddesinin beşinci fıkrasında “Havayolu ile seyahat edecek kişilerin bilgileri kişilerin seyahatini kolaylaştırmak veya güvenlik ve risk değerlendirmesi yapmak amacıyla 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu çerçevesinde toplanabilir, kaydedilebilir, işlenebilir, paylaşılabilir, havacılık güvenliği ve emniyetini sağlamak üzere değerlendirilerek gereken tedbirler alınabilir...” hükmünün yer aldığı,
- Bu çerçevede, ilgili kişinin şikâyeti kapsamında veri sorumlusu tarafından verilen yanıtta, grup rezervasyonlarının, paket turlar kapsamında seyahat acenteleri tarafından oluşturulduğu, hangi yolcuların birlikte bu turdan faydalanacakları konusunda da yalnızca seyahat acentelerinin bilgi sahibi olduğu, Grup PNR uygulamasının farklı yolcu gruplarını bir araya getirebileceğinin bilinciyle bu Grup PNR'larına erişim ve kişisel verilerin görüntülenmesi konusunda ek tedbirler uygulandığı; bu tedbirler kapsamında Grup PNR'da yer alan bir yolcu check-in işlemi yapmak veya bilet işlemlerini internet sitesi veya mobil uygulama üzerinden yönetmek istediğinde PNR + SOYADI kombinasyonu ile giriş yapmakta, başarılı giriş sonrasında ise genel uygulamadan farklı olarak PNR'daki tüm yolcuları görüntüleyememekte ve yalnız PNR içinde soyadı eşleşen kayıtları görüntüleyebilmekte olduğu, ilgili kişinin check-in işlemi yaparken görüntülediği diğer yolcuların soy isimlerinin de ilgili kişi ile aynı olduğu ve fakat bu kişilerin ilgili kişinin aile bireyi olmadıklarının anlaşıldığı, bunun esasen seyahat acentesinin kontrolünde ve dikkat etmesi gereken bir kontrol adımının işletilmemiş olduğunu gösterdiği, şikayete konu işlemin ilgili kişi ile seyahat acentesi arasında gerçekleşen Paket Tur Sözleşmesi ile bağlantılı bir işlem olduğuna ilişkin açıklamalarına karşın, ilgili kişi tarafından iletilen ekran görüntülerinde PNR bilgisinin girilmesi sonucunda ekranında görmüş olduğu kişilere ait soyadların kendi soyadından farklı olduğu , dolayısıyla veri sorumlusu tarafından iddia edildiğinin aksine PNR + SOYADI kombinasyonu ile giriş işlemi yapılsa dahi farklı soyadına sahip kişilerin verilerinin aynı PNR üzerinden görülebildiğinin anlaşıldığı, bu durumun veri sorumlusu tarafından Kanun’un 12’nci maddesinin (1) numaralı fıkrası kapsamında kişisel verilerin hukuka aykırı olarak erişilmesini önlemek ve muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirlerin alınmadığını gösterdiği,
- Ayrıca söz konusu veri ihlali ile ilgili Kanun’un 12’nci maddesinin (5) numaralı fıkrası kapsamında Kurula bir bildirim yapılmadığı,
- Öte yandan, veri sorumlusunun ortak PNR oluşturulması durumlarında aynı soyadına sahip kişilerin birbirlerinin verilerine erişim sağlayabildiğine ilişkin açıklamaları kapsamında; her ne kadar söz konusu uygulama dahilinde ilgili kişilerden ya da üçüncü kişilerden temin edilen bilgilerin, satılan bilet karşılığında oluşturulan rezervasyon kapsamında Kanunun 5’inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” işleme şartına dayalı olarak işlendiği ve ortak PNR verilmesinin de birlikte rezervasyon yapan aile bireylerinin seyahatini kolaylaştırmak amacı güttüğü bu durumun da 2920 sayılı Türk Sivil Havacılık Kanununun 40’ncı maddesi kapsamında değerlendirilebileceği anlaşılmakla birlikte, PNR bilgilerine yalnızca soyadı kombinasyonu ile eşleştirilerek erişim sağlanmasının, somut olayda iddia edilen aynı soyadlı ancak aynı gruba ya da aileye dahil olmayan, birlikte seyahat etmeyen kişilerin verilerine erişim sağlanmasına ilişkin bir veri ihlaline sebep olabileceği
değerlendirmelerinden hareketle;
- İlgili kişiye ait kişisel verilerin üçüncü kişilerle hukuka aykırı olarak paylaşılması ve verilerinin korunması için gerekli teknik ve idari tedbirlerin alınmamasına ilişkin şikâyeti kapsamında; veri sorumlusunun Grup PNR'da yer alan bir yolcu check-in işlemi yapmak veya bilet işlemlerini internet sitesi veya mobil uygulama üzerinden yönetmek istediğinde PNR + SOYADI kombinasyonu ile giriş yapıldığı, başarılı giriş sonrasında ise genel uygulamadan farklı olarak PNR'daki tüm yolcuları görüntüleyememekte ve yalnız PNR içinde soyadı eşleşen kayıtların görüntülenebildiğine ilişkin açıklamalarına karşın, ilgili kişi tarafından iletilen ekran görüntülerinde PNR bilgisinin girilmesi sonucunda ekranında görmüş olduğu kişilere ait soyadların kendi soyadından farklı olduğu, dolayısı ile veri sorumlusu tarafından iddia edildiğinin aksine PNR + SOYADI kombinasyonu ile giriş işlemi yapılsa dahi farklı soyadına sahip kişilerin verilerinin aynı PNR üzerinden görülebildiği, bu durumun da veri sorumlusu tarafından Kanun’un 12’nci maddesinin (1) numaralı fıkrası kapsamında kişisel verilerin hukuka aykırı olarak erişilmesini önlemek ve muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığını gösterdiği, söz konusu durumdan çok sayıda kişinin etkilenme ihtimalinin de fazla olduğu, ayrıca söz konusu veri ihlali ile ilgili Kanun’un 12’nci maddesinin (5) numaralı fıkrası kapsamında Kuruma bir bildirim de yapılmadığı dikkate alındığında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 300.000 TL idari para cezası uygulanmasına,
- Öte yandan, veri sorumlusunun, ortak PNR oluşturulması durumlarında aynı soyadına sahip kişilerin birbirlerinin verilerine erişim sağlayabildiğine ilişkin açıklamaları kapsamında; PNR bilgilerine yalnızca soyadı kombinasyonu ile eşleştirilerek erişim sağlanmasının, somut olayda iddia edilen aynı soyadlı ancak aynı gruba ya da aileye dahil olmayan, birlikte seyahat etmeyen kişilerin verilerine erişim sağlanmasına ilişkin bir veri ihlaline sebep olabileceği anlaşıldığından, veri sorumlusunun söz konusu uygulamaya ilişkin ilave teknik tedbirleri alması ve sonucundan Kurula bilgi verilmesi hususunda talimatlandırılmasına,
- İlgili kişinin, veri sorumlusuna başvurusunda bilgi edinmek adına cevaplanmasını talep ettiği hususlarda veri sorumlusu tarafından herhangi bir cevap verilmemesine ilişkin iddiası kapsamında, ilgili kişinin veri sorumlusuna yöneltmiş olduğu kişisel verilerin korunması amacıyla alınan teknik ve idari tedbirlerin neler olduğu, verilerin işleme amaçlarının neler olduğu, verilerinin yurt içinde ve yurt dışında aktarıldığı üçüncü kişilerin kimler olduğuna ilişkin sorularına veri sorumlusu tarafından verilen cevapta yeterli olarak yanıt verilmiş olduğu anlaşıldığından söz konusu şikayete ilişkin yapılacak işlem bulunmadığına
karar verilmiştir.
Karar Tarihi | : | 07/09/2023 |
Karar No | : | 2023/1563 |
Konu Özeti | : | İlgili kişinin ortaklıktaki paylarının borsada işlem gören niteliğe dönüşmesi için Merkezi Kayıt Kuruluşu AŞ’ye yaptığı başvuru üzerine ad-soyadı ve pay bilgilerinin Kamuyu Aydınlatma Platformu internet sitesinde yayımlanması |
Kuruma intikal eden şikâyette özetle; ilgili kişinin Borsa İstanbul'da satılamaz durumda olan hisselerinin bulunduğu, bu hisselerin satılabilir hale getirilmesi için aracı kuruma başvuru yaptığı, başvurunun da Merkezi Kayıt Kuruluşu AŞ’ye (MKK-veri sorumlusu) iletildiği, bu çerçevede MKK’nin kendisinin ad ve soyadı bilgisi ile birlikte hangi hissesinden kaç lot satılabilir hale getirildiği hususunu Kamuyu Aydınlatma Platformuna (KAP) ait www.kap.gov.tr sitesi üzerinden duyurduğu ve bu işlemin ilgili tebliğe dayandığı, kendisinin ad-soyadı bilgisinin ilandan çıkarılması için MKK’ye başvurduğu ancak bu talebinin kabul edilmediği ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir. Şikâyet ekinde ibraz edilen ilgili kişinin başvurusuna MKK tarafından verilen cevapta ise; payların borsada işlem gören niteliğe dönüştürülmesi işleminin Pay Tebliği’nin 15’inci maddesinin 3’üncü fıkrasında yer alan “MKK, borsada işlem gören niteliğe dönüştürülmek istenen payların nominal değerini, başvuruyu yapan kişilerin isim veya unvanını, günlük olarak toplu halde KAP vasıtasıyla kamuya duyurur.” düzenlemesine dayanılarak gerçekleştirildiği ifade edilmiştir.
Konunun Kişisel Verileri Koruma Kurulu (Kurul) tarafından değerlendirilmesi neticesinde Kurulun 07/09/2023 tarihli ve 2023/1563 sayılı Kararı ile;
İlgili kişinin, Borsa İstanbul’da yer alan hisselerinin satılabilir hale getirilmesi kapsamında “www.kap.gov.tr”sitesinde yayımlanması aşamasında ad ve soyadı bilgilerinin paylaşılmasına itiraz ettiği ve bu çerçevede işlemden sorumlu olan MKK’ya başvurduğu, MKK’nın ise söz konusu işlemi Pay Tebliği (VII-128.1)’nin 15’inci maddesinin üçüncü fıkrasına dayanarak gerçekleştirdiğini belirttiği ve ilgili fıkrada “MKK, borsada işlem gören niteliğe dönüştürülmek istenen payların nominal değerini, başvuruyu yapan kişilerin isim veya unvanını, günlük olarak toplu halde KAP vasıtasıyla kamuya duyurur.” ifadesinin yer aldığı görülmüş olup, sonuç itibariyle bahse konu kişisel veri işleme faaliyetinin Pay Tebliği uyarınca Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (ç) bendi kapsamında hukuki yükümlülüğün yerine getirilmesi amacıyla zorunlu olarak gerçekleştirildiği, bu anlamda veri sorumlusu tarafından yeterli açıklamalarda bulunulduğundan hareketle ilgili kişinin veri sorumlusu Merkezi Kayıt Kuruluşu AŞ hakkındaki şikâyetine ilişkin Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.
Karar Tarihi | : | 20/07/2023 |
Karar No | : | 2023/1234 |
Konu Özeti | : | Bir araç kiralama şirketi tarafından ilgili kişiden Findeks Raporu talep edilmesi suretiyle kişisel verilerinin işlenmesi |
Kuruma intikal eden şikayette özetle;
- Kullanıcılara çevrimiçi otobüs, uçak, kiralık araç ve konaklayacak yer arama hizmetleri sunan; otobüs, feribot ve uçak firmalarının seyahat biletlerini kullanıcılara yönelik satışa açan Platform’un (Platform) resmi internet sitesi üzerinden bir araç kiralama şirketinden 7 günlük bir süre için araç kiralandığı, kiralama hizmetini almak için aynı gün ilgili kişinin adına kayıtlı kredi kartından ödeme yapıldığı,
- İlgili kişi aracı teslim almak üzere araç kiralama şirketinin yetkili acentesine gittiğinde rezervasyonunu yaptığı ve bedelini ödediği aracın teslim edilmesi için depozito ödemek üzere yetkililere kredi kartını tekrar verdiği, depozito bedelinin ödenmesi amacıyla kredi kartının ibraz edilmesine karşın acente çalışanları tarafından ilgili kişinin ayrıca Findeks raporuna erişilmek istendiğine ilişkin SMS’in kendisinin cep telefonuna iletildiği,
- İlgili kişiye Findeks raporunun iletilmesi gerektiği, rapordaki verilerin işlenmesi konusunda açık rıza vermesi gerektiği, aksi halde araç kiralama hizmetinden faydalanamayacağının belirtildiği, aracın bu sebeple ilgili kişiye tesliminin yapılmadığı, Findeks raporunun ve açık rıza beyanının verilmemiş olması sebebi ile hizmetin ifasının araç kiralama şirketi tarafından gerçekleştirilmediği, aynı gün ilgili kişiye “firmamızın prosedürlerini kabul etmediğinizden rezervasyonunuz iptal edilmiştir.” şeklinde bildirim yapıldığı
bildirilerek, araç kiralama şirketi bünyesinde tutulan ve işlenen tüm kişisel verilerin imha edilmesi ve imha işlemine dair kaydın verilmesi, kişisel verilerin aktarıldığı 3. kişiler var ise imha işleminin bu 3. kişiler nezdinde de yerine getirilmesi, hukuka aykırı uygulamaya son verilmesi, araç kiralama şirketi sistemlerinde ve/veya kayıtlarda ilgili kişiye ait herhangi bir kişisel veri bulunuyorsa derhal imha edilmesi talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusu araç kiralama şirketinden savunması talep edilmiş olup cevabî yazıda özetle;
- İlgili kişi tarafından belirtilen, Findeks sorgusu yapıldığı ve bu sebeple araç tesliminin yapılmayarak rezervasyonun iptal edildiği iddialarının gerçeği yansıtmadığı, araç kiralama şirketi tarafından VERBİS kaydının usulüne uygun şekilde yapıldığı ve kayıt altına alınan kişisel veriler ile alınma sebeplerinin detaylı şekilde belirtildiği, Şirket tarafından Findeks sorgusu yapılmadığı,
- İlgili kişinin verilerinin aracı Platform tarafından işlendiği, dolayısıyla şikâyet ve taleplerinin de Platform’a iletilmesi gerektiği, araç kiralama şirketinin sadece aracın teslimi esnasında müşteri ile muhatap olduğu, rezervasyonu yapıp müşterinin verilerini işleyenin Platform olduğu, Platform ile araç kiralama şirketi arasında gizlilik sözleşmesi mevcut olduğu ve veri aktarımı için gerekli teknik önlemlerin alındığı,
- Araç kiralama şirketi tarafından Findeks sorgusu yapılmasının söz konusu olmadığı, ilgili kişiden talep edilenin, Findeks raporu talep edildiği iddiasının aksine depozito ödemesi olduğu, bu hususun da Platform tarafından bilinmekte ve müşterilerine iletilmesi gerekmekte olduğu, araç tesliminde yaşanan sıkıntının ilgili kişinin depozito ödemesini yapmak istememesinden kaynaklanmış olduğu, kendisi bu ödemeyi yapmayı kabul etmediği için araç kiralama şirketi prosedürlerini kabul etmemesi nedeniyle rezervasyonun iptal edildiği bilgisinin iletildiği, burada sorumluluğun tamamen Platform’a ait olduğu, Findeks raporundaki kişisel verilerin işlenmesi ile ilgili açık rıza vermeye zorlanması iddiasının gerçeği yansıtmadığı, ilgili kişinin talebi üzerine araç kiralama şirketi sistemine kayıtlı tüm kişisel verilerin imha edildiği, müşterilerin kişisel verilerinin yurt içi veya yurt dışına aktarılmadığı
hususları belirtilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde ayrıca aracı Platform’dan savunması talep edilmiş alınan cevabî yazıda özetle;
- Tüm hakları kendisine ait olan internet sitesi ve aynı isimli mobil uygulaması üzerinden, kullanıcılara çevrimiçi otobüs, uçak, feribot bileti, kiralık araç ve konaklayacak yer arama portali hizmetleri sunulduğu; otobüs, feribot ve uçak firmalarının seyahat biletlerinin kullanıcılara yönelik olarak satışa sunulması amacıyla Platform üzerinden ilgili taşıyıcı firmaların biletlerinin satın alınmasına olanak sunulduğu; Platform tarafından aracı hizmet sağlayıcı olarak sunulan diğer hizmetlerin ise kullanıcıların Platform üzerinden ödeme yapmak suretiyle konaklama rezervasyonu ve yine kullanıcılara hizmet sağlayıcı konumundaki çeşitli araç kiralama firmaları tarafından sunulan araç kiralama hizmetlerine ilişkin rezervasyon yapma imkanının sunulması olduğu, sağlanan araç kiralama ve konaklama rezervasyonu hizmetlerinin “aracı hizmet sağlayıcı” sıfatıyla verildiği,
- Platform’un “başkalarına ait iktisadi ve ticari faaliyetlerin yapılmasına elektronik ticaret ortamı” sağlayan bir ticaret şirketi olmakla Platform üzerinden ticaret mevkiine sunulan hizmetleri bizzat vermediği ve yalnızca söz konusu hizmetlerin satışına aracılık ettiği, bu kapsamda Platform’un gerek kullanıcılarla gerekse hizmet sağlayıcılarla olan sözleşme ilişkisinin kullanıcıların Platform üzerinden hizmet sağlayıcıların hizmetlerinin satışa sunulması ve hizmetlerin satın alınması halinde söz konusu satışın ilgili hizmet sağlayıcıya bildirilmesini kapsadığı,
- Bu çerçevede, aracı hizmet sağlayıcı sıfatını haiz Platform’un hizmet sağlayıcı tarafından sunulan içerik ve içeriğe konu mal veya hizmetle ilgili hukuka aykırı hususlardan sorumlu olmadığı, bu hususun Yargıtay kararları ile de sabit olduğu, Yargıtay 3. Hukuk Dairesi 15.11.2021 tarih, 2021/4000 E. ve 2021/11403 K. sayılı Kararında; “Somut olayda, yukarıda açıklanan mevzuat hükümleri birlikte değerlendirildiğinde internet ağı üzerinden elektronik ticarete imkan sağlayan davacı şirketin aracı hizmet sağlayıcısı konumunda olduğu ve taraflar arasında mesafeli satış sözleşmesi ön bilgilendirme formuna göre satıcı tarafın “...” olduğu, bu durumda davacı aracı hizmet sağlayıcının hizmet sunduğu elektronik ortamı kullanan gerçek ve tüzel kişiler tarafından sağlanan içeriği kontrol etmek, bu içerik ve içeriğe konu mal veya hizmetle ilgili hukuka aykırı bir faaliyetin ya da durumun söz konusu olup olmadığını araştırmakla yükümlü olmadığı anlaşılmaktadır. Hal böyle olunca, mahkemece; 6563 sayılı Kanun’un 9. Maddesi ve yine Elektronik Ticarette Hizmet Sağlayıcı ve Aracı Hizmet Sağlayıcılar Hakkında Yönetmeliğin 6. Maddesine göre aracı hizmet sağlayıcı olan davacının malın ayıplı olmasından kaynaklı sorumluluğunun bulunmadığı gözetilerek davanın kabulüne dair hüküm kurulması gerekirken, yanılgılı değerlendirme ile davanın reddine, karar verilmiş olması doğru görülmediğinden, Adalet Bakanlığının bu yöne ilişen kanun yararına temyiz talebinin kabulü gerekir.” ifadelerine yer verilmek suretiyle hizmet sağlayıcı tarafından sunulan hizmet ve/veya ürün nedeniyle meydana gelen hukuka aykırı durumdan, aracı hizmet sağlayıcının sorumlu olmadığını ortaya koymuş olduğu,
- Platform tarafından, 26.08.2022 tarihinde Platform üzerinden araç kiralama hizmetleri bakımından araç kiralama şirketi ile çalışılmaya başlandığı, araç kiralama şirketi ile Platform’un, verilecek hizmete ilişkin yapılan görüşmeler kapsamında hizmetin sunulmasına ilişkin şartlar hususunda karşılıklı olarak mutabık kaldığı ve taraflar arasında ticari güven ilişkisine dayanan bir sözleşme ilişkisi kurularak araç kiralama şirketinin Platform’a dahil edildiği,
- Platform’un yalnızca ve sadece araç kiralama şirketi tarafından kendisine Uygulama Programlama Arabirimi (“API – Application Programming Interface”) üzerinden kod ile çevrimiçi olarak bildirilen tarih, araç, araç uygunluğu gibi bilgileri Platform üzerinden bu hizmeti arayan kullanıcılara adeta bir arama motoru gibi hizmet vererek sunmakta, kullanıcılar tarafından araç kiralama şirketince verilen araç kiralama hizmetinin tercih edilmesi halinde talebin Platform üzerinden alınmakta ve yine araç kiralamaya ilişkin ücretin Platform üzerinden tahsil edilerek araç kiralama şirketine gönderilmekte olduğu, taraflar arasındaki anlaşma doğrultusunda araç kiralamaya ilişkin ücretin tamamının araç kiralama şirketine iletilmekte, yapılan mutabakata uygun olarak Platform tarafından araç kiralama şirketine tarafların mutabık kaldığı komisyon oranına uygun şekilde komisyon faturası kesilmekte ve ilgili komisyon bedelinin araç kiralama şirketi tarafından Platform’a ayrıca ödenmekte olduğu
belirtilmiştir.
Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 20/07/2023 tarihli ve 2023/1234 sayılı Kararı ile;
- Platform (işlem yapılan internet sitesi ya da mobil hizmet) üzerinden kullanıcıların araç kiralama başvurularının veya rezervasyon taleplerinin alındığı, araç kiralama şirketleri tarafından belirlenen ücretlerin ise kullanıcılardan tahsil edilmekte, bu noktada Platform’un araç kiralama hizmeti vermemekte yalnızca rezervasyon taleplerini almakta olduğu, dolayısıyla Platform’un veri sorumlusu sıfatıyla sorumluluğunun Platform hizmetleri bakımından (bilet listeleme, sefer görüntüleme, bilet satış araç kiralama, araç listeleme, otel listeleme, otel rezervasyonu yapma ve benzeri hizmetler) olacağı, araç kiralama hizmetleri ile ilgili kişisel verilerin işleme amaçlarının ve vasıtalarının belirlenmesi durumu söz konusu olmadığından bu hizmetler bakımından Platform’un veri sorumlusu sıfatını haiz olmadığı, bu sebeple somut olaya ilişkin inceleme kapsamında Platform’un veri sorumlusu olarak ele alınmadığı,
- 1174 sayılı Kimlik Bildirme Kanunu’nun Ek Madde 3 başlıklı maddesinin birinci fıkrasının “Araç kiralama şirketlerinin sorumlu işleticileri ve yöneticileri, kiralanan araç bilgileri ile aracı kiralayanların kimlik bilgileri ve kira sözleşmesi kayıtlarını usulüne uygun şekilde günü gününe tutmak ve bu kapsamda mevcut bilgi, belge ve kayıtları genel kolluk kuvvetlerinin her an incelemelerine hazır bulundurmak zorundadırlar. Ancak araç kiralayanın kamu kurum veya kuruluşu olması hâlinde sadece kamu kurum veya kuruluşuyla yapılan sözleşme ile araç bilgileri sisteme kaydedilir.” hükmünü haiz olduğu, bu kapsamda araç kiralama şirketlerinin, kiralamayı talep eden ilgili kişilerin başta kimlik bilgileri olmak üzere kişisel verilerini işlemekte olduğu, bu işlemlerin Platform üzerinden yapan araç kiralama şirketlerinin Kanunun 3’üncü maddesinin (ı) bendinde belirtilen “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleme, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan tüzel kişi” olma şartının sağlanması sebebiyle veri sorumlusu olduğu,
- Şikâyete konu edilen somut olay kapsamında; ilgili kişinin Platform’un resmi internet sitesi üzerinden veri sorumlusu olan araç kiralama şirketinden 7 günlük bir süre için araç kiraladığı, söz konusu kiralama hizmetini almak için aynı gün ilgili kişi adına kayıtlı kredi kartından ödeme yapıldığı, ilgili kişi veri sorumlusunun acentesine gittiğinde rezervasyonunu yaptığı ve bedelini ödediği aracın teslim edilmesi için depozito ödemek üzere yetkililere kredi kartını tekrar verdiği, Kuruma sunulan belgelerden de anlaşıldığı üzere (ilgili kişi tarafından sunulan SMS görüntüsü) Findeks raporuna erişilmek istendiğine ilişkin SMS’in ilgili kişinin cep telefonuna iletildiği, akabinde ilgili kişinin rezervasyonun iptal edildiği ve kendisine buna ilişkin bildirim yapıldığı, bununla birlikte aynı gün ilgili kişi tarafından gönderilen e-postada yer alan Kanunun 11’inci maddesi kapsamındaki taleplerin yerine getirilmediği, bununla ilgili Kuruma da herhangi bir bildirimde bulunulmadığı,
- Kanun’da açık rızanın “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmasına binaen açık rızanın öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak verilmesi, bu doğrultuda veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması gerektiği, açık rıza beyanının genel nitelikte olmaması, belirli bir konuya özgülenmiş ve o konu ile sınırlı olması gerekmekte olup açık uçlu veri işleme faaliyetlerine ilişkin rıza alınamayacağı, açık rıza bir irade beyanı olduğundan, kişinin özgür bir şekilde rıza gösterebilmesi için, neye rıza gösterdiğini de bilmesi gerektiği, ayrıca kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olmasının beklenildiği, bu sebeple, bilgilendirmenin, veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmesi ve mutlaka verinin işlemesinden önce yapılmasının önem arz ettiği, diğer yandan, açık rızanın geçerlilik kazanabilmesi için kişinin yaptığı davranışın bilincinde ve kendi kararı olması gerektiği, bu çerçevede açık rızanın özgür iradeyle açıklanması gerektiğinden, herhangi bir ürün ve/veya hizmetin sunumunun da (ya da herhangi bir üründen ve/veya hizmetten yararlandırılması) ilgili kişi tarafından açık rıza verilmesi şartına bağlanmaması, tarafların eşit konumda olmadığı veya taraflardan birinin diğeri üzerinde etkili olduğu durumlarda rızanın özgür iradeyle verilip verilmediğinin dikkatle değerlendirilmesi gerektiği,
- Her ne kadar veri sorumlusu tarafından “Findeks sorgusu yapılmasının söz konusu olmadığı, müşteriden talep edilenin kendisinin iddiasının aksine depozito ödemesi olduğu, araç tesliminde yaşanan sıkıntının müşterinin depozito ödemesini yapmak istememesinden kaynaklanmış olduğu” ifade edilmiş olsa da veri sorumlusunun internet sitesinde yer alan “Kiralama Koşulları” sekmesinde “Findekse dayalı Karar Destek Skoru Sorgulaması” başlığı altında; 24. “Gerekli durumlarda, firmamızdan ilk kez araç kiralayacak müşterilerimiz için geçerli olacak şekilde kiralama esnasında Findekse dayalı Karar Destek Skoru sorgulaması ve provizyon işlemi yapılabilir. Araç sınıfına göre provizyon tutarına web sitemizden ulaşabilirsiniz. Provizyon iade süresi, aracın teslim alındığı andan itibaren 24 gündür. Firmamızdan ilk defa araç kiralama talebi ya da rezervasyonu bulunan yurt içi müşterilerimize Karar Destek Skoru adını verdiğimiz bir algoritma ile oluşan skor üzerinden kiralama işlemi yapılıp yapılmayacağına karar verilmektedir. Bu sistem müşterilerimizin; - Findeks Puanını - Yakın Tarihli kredi kartı ve/veya kredi başvurularını - Ödeme Performansını - Limit- Borç oranını - İkamet Adresini (Mahalle) ve bu adresin sosyo-ekonomik yapısını göz önünde tutan bir algoritma ile çalışmaktadır. Karar Destek Skoru findeks puanından farklıdır ve yukarıdaki maddeler sebebiyle, bazı müşterilerde findeks puanına göre aşağıda ya da yukarıda yer alabilir. Findekse dayalı Karar Destek Skoru verilerinizin uygun olması ve yaş kriterini karşılıyor olmanız, araç kiralama işleminin kesinlikle yapılacağı anlamı taşımaz. Araç kiralama işleminin yapılıp yapılmayacağı konusundaki son karar her durumda firmamıza aittir.” ifadelerinin yer aldığı,
- Kanunun 4’üncü maddesinde yer alan Genel İlkelerden “hukuka ve dürüstlük kuralına uygun olma” ilkesinin, kişisel verilerin işlenmesinde kanunlarla ve diğer hukuksal düzenlemelerle getirilen ilkelere uygun hareket edilmesi zorunluluğunu ifade ettiği, dürüstlük kuralına uygun olma ilkesi uyarınca veri sorumlusunun, veri işlemedeki hedeflerine ulaşmaya çalışırken, ilgili kişilerin çıkarlarını ve makul beklentilerini dikkate alması gerektiği, ilgili kişinin beklemediği ve beklemesinin de gerekmediği sonuçların ortaya çıkmasını önleyici şekilde hareket etmesi gerektiği, ilke uyarınca ayrıca ilgili kişi için söz konusu veri işleme faaliyetinin şeffaf olması ve veri sorumlusunun bilgilendirme ve uyarı yükümlülüklerine uygun hareket etmesi gerektiği,
- Kişisel verilerin korunması açısından ise dürüstlük kuralının, kişilerin kendilerine veri işleme konusunda izin ya da emir veren hukuk kurallarına dayanarak gerçekleştirdikleri fiillerde, bu hukuk kuralının amacına göre mümkün olan en az miktarda veri işlemeleri, ilgili kişilerin öngöremeyeceği biçimde hareket etmemeleri gibi davranışları gerektirdiği, veri sorumlularının, ilgili kişilerin çıkarlarını ve makul beklentilerini göz önüne almalarının dürüstlük kuralının gereği olduğu,
- Şikâyete konu olayda ilgili kişinin araç kiralama hizmetinden faydalandırılmasının, Findeks raporuna erişilmesine ilişkin açık rıza şartına bağlandığının, ilgili kişi tarafından açık rıza verilmemesi üzerine rezervasyonun iptal edildiğinin anlaşıldığı, Findeks raporuna erişilmek suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin, Kanunda yer alan açık rıza dışındaki şartlardan birine dayanıyorsa, bu durumda ilgili kişiden açık rıza alınmasına gerek bulunmadığı ve veri işleme faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılmasının, aldatıcı ve hakkın kötüye kullanımı niteliğinde olacağı oysa somut olayda Findeks raporu bilgileri sorgulanması suretiyle kişisel verilerin işlenmesinin ancak Kanun’un 5’inci maddesinin (1) numaralı fıkrası kapsamında açık rıza ile gerçekleştirebileceği, bu kapsamda veri sorumlusu tarafından Findeks raporu temin edilmeksizin kiralama işlemi yapılmaması suretiyle açık rızanın hizmet şartına bağlandığı dikkate alındığında Kanunun 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerin yerine getirilmediği,
- İlgili kişinin, tutulan ve işlenen tüm kişisel verilerinin imha edilmesi ve imha işlemine dair kaydın kendisine verilmesi, kişisel verilerin aktarıldığı 3. kişiler var ise silme işleminin bu 3. kişiler nezdinde de yerine getirilmesi, hukuka aykırı uygulamaya son verilmesi, veri sorumlusunun sistemlerinde ve/veya kayıtlarında ilgili kişiye ait herhangi bir kişisel veri bulunuyorsa derhal imha edilmesi taleplerinin bulunduğu ancak veri sorumlusunca Kanunun 11’inci maddesi kapsamında ilgili kişinin başvurularına verilen cevapta ilgili kişiye yeterli ve açıklayıcı, taleplerini karşılar nitelikte bir yanıt verilmediği
değerlendirmelerinden hareketle;
- Findeks raporu bilgileri sorgulanması suretiyle kişisel verilerin işlenmesinin ancak Kanun’un 5’inci maddesinin (1) numaralı fıkrası kapsamında açık rıza ile gerçekleştirebileceği, bu kapsamda veri sorumlusu tarafından Findeks raporu temin edilmeksizin kiralama işlemi yapılmaması suretiyle açık rızanın hizmet şartına bağlandığı dikkate alındığında Kanunun 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında Kanunun 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına,
- Veri sorumlusunun Kanun’un 13’üncü maddesi kapsamında kendisine yapılan başvuruya eksik cevap vermesinin Tebliğ’in 6’ncı maddesinde yer alan başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırma yükümlülüğüne aykırı olduğu değerlendirildiğinden; ilgili kişiler tarafından Kanun kapsamında yapılacak başvuruların Kanun’un 13’üncü maddesi hükmü ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 6’ncı maddesi hükmü uyarınca etkin, hukuka ve dürüstlük kuralına uygun şekilde, gerekçe belirterek ve süresi içinde sonuçlandırılması gerektiği hususunun veri sorumlusuna hatırlatılmasına,
- İlgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin ortadan kalkması ile birlikte, Kanun ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümleri kapsamında imha edilmesi gerektiği hususunun veri sorumlusuna hatırlatılmasına
karar verilmiştir.
Karar Tarihi | : | 14/09/2023 |
Karar No | : | 2023/1578 |
Konu Özeti | : | İlgili kişinin hasta dosyasında yer alan özel nitelikli kişisel verilerinin Mahkemeye aktarılması |
Kurum’a intikal ettirilen şikâyet dilekçesinde özetle; ilgili kişinin bir üniversiteye bağlı tıp merkezinde tedavi hizmeti aldığı, tedavi hizmeti kapsamında aldığı şahsi terapi ve eşi ile birlikte aldığı evlilik terapisinin kayıtlarını içeren hasta dosyasının, ilgili kişi ile eşi arasında görülen boşanma davası kapsamında tıp merkezinde mesul müdür olarak görev yapan hekim tarafından herkesin görebileceği ve öğrenebileceği şekilde, hiçbir önlem almaksızın mahkemeye gönderildiği, özel hayatına ilişkin mahrem bilgileri içeren belgelerin hiçbir gizlidir ibaresi olmadan ve talep edilenden çok daha fazla ve açık şekilde kişisel veriyi içerir vaziyette mahkemeye gönderilmesi akabinde söz konusu özel nitelikli kişisel verilerin mahkeme tarafından taranarak UYAP’a kaydedildiği, bu bilgilerin, hastane çalışanları, mahkeme kalemi çalışanları, karşı taraf ve vekili dahil herkesçe okunduğu ve öğrenildiği, mahkeme müzekkeresi cevaplanırken sadece hastanın hangi tarihler arasında tedavi olduğu, tedavinin nedeni, süresi, şekli (yatış/ayakta tedavi) sonucu konusunda bilgi vermesi yeterliyken bizzat seansta tutulan notları paylaşmasının açıkça hayatın olağan akışına aykırı olduğu, ilgili kişinin bu nedenle gerek özel hayatında gerekse iş hayatında özel hayatının afişe olduğu belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında Tıp Merkezi hakkında gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusu Tıp Merkezinin bağlı olduğu Üniversiteden savunması istenilmiş olup veri sorumlusu tarafından verilen cevapta özetle;
- İlgili kişinin almış olduğu tedavi hizmeti kapsamında kimlik, iletişim, müşteri işlem, sağlık, hukuki işlem ve fiziksel mekân güvenliği bilgilerinin işlendiği,
- Kanun’un 6’ncı maddesi ile “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" ile İlgili Kişisel Verileri Koruma Kurulunun (Kurul) 31/01/2018 tarihli ve 2018/10 sayılı Kararı kapsamında; çalışanlar için Kanun ve ikincil mevzuat konusunda düzenli eğitimler verilmesi, gizlilik sözleşmeleri yapılması, verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması, hastaya ait kişisel verilerin, elektronik (HBYS: Hasta Bilgi Yönetim Sistemi) ve fiziki (hasta dosyası) ortamlarda işlenmesi, erişimin münhasıran hastaya özel tanımlanmış protokol numarasına göre gerçekleştirilmesi, elektronik ortamdaki erişimlerin, yetki-göreve dayalı modüllere göre ayrıştırılması, Doktor Modülü, Muhasebe Modülü, Randevu Modülü vb. olarak kategorize edilmesi, personelin işe girişte konu hakkında eğitim alması, “Kişisel Verilerin İşlenmesi Kapsamında Muvafakatname-Taahhütname” imzalamasını müteakip; şifreli erişim üzerinden görev modülüne göre yetki tanımlaması yapılması, bu yetkinin personelin unvanının gerektirdiği görev süresince devam etmesi, yetkilerin ise, standart ve standart dışı yetki olmak üzere ikiye ayrılması, standart dışı yetkide modül dışındaki genel nitelikli kişisel verilere erişim için birim yöneticisi, özel nitelikli kişisel verilere erişim için ise üst direktör onayı alınması ve erişim gerçekleşmesi; doktorların, kanunen sır saklama yükümlülüğü altında bulunan kişiler olması nedeniyle hastaların kimlik ve sağlık verilerinin doktorlara doğrudan açık olması ancak tıbbi veriler özel nitelikli veri olduğundan, sistem üzerinde hekim unvanı dışındaki diğer personellere kapalı olması, dolayısıyla hekimlerin kimlik ve sağlık verileri dışında (müşteri işlem ve iletişim bilgileri gibi) herhangi bir veriye erişebilmesinin mümkün olmaması, hekimler için de kendi içinde yetki kapsamının kademeli olması, buna göre hekimler bakımından elektronik sistem içerisinde "Hekim Özel" olarak textboxın mevcut olması, bu alana ilgili hekim tarafından gizlilik derecesi daha yüksek olarak değerlendirilen sağlık verilerinin işlenmesi, bu alanın tıp merkezinde istihdam olunan diğer hekimlerin de erişimine kapalı olması ve dolayısıyla sadece ilgili hastanın ilgili hekiminin erişebilmesi, fiziki dosyanın arşiv biriminde muhafaza edilmesi, arşiv görevlisinin iki kişiden oluşması, arşiv görevlileri dışında hiçbir personelin arşiv birimine giriş yetkisi bulunmaması ve sesli alarm sisteminin mevcut olması, yetki-görev kısıtları için özel olarak Bilgi Güvenliği Farkındalık Eğitimi verilmesi, arşiv personeline kişisel veriler konusunda ayrıca eğitimler verilmesi, eğitim tutanakları ve gizlilik taahhütnamelerinin özlük dosyasında saklanması, görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması tedbirlerinin alındığı,
- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar için verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi, kriptografik anahtarların güvenli ve farklı ortamlarda tutulması, veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması, verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması, verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması, verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması tedbirlerinin alındığı,
- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamlar için özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığı, merkezde 7/24 güvenlik görevlileri bulunması, duman detektörü, sesli alarm sistemi, yangın teçhizatının tam olması, fiziki güvenlik önlemlerinin ulusal ve uluslararası kalite belgeleriyle sertifikalandırılması tedbirlerinin alındığı,
- Özel nitelikli kişisel verilerin aktarımında verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması, taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması, farklı fiziksel ortamlardaki sunucular arasında aktarım gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi, verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın "gizlilik dereceli belgeler" formatında gönderilmesi kapsamında verilerin, kapalı olan ve açıldığı anda açıldığı belirlenebilen zarflar marifetiyle aktarılması tedbirlerinin alındığı,
- İlgili kişinin E-Nabız kapsamındaki tıbbi bilgi ve belgelerin tamamının ilgili mevzuat gereği Sağlık Bakanlığı'na aktarıldığı, bu amaçla Sağlık Bakanlığı tarafından ruhsatlandırılmış olan HBYS sisteminin kullanıldığı ve bu nedenle E-Nabıza işlenmiş olan tedavi kapsamındaki bilgi ve belgelerin yine ilgili mevzuat gereği HBYS'de de bulunduğu, aktarımın dayanağının Kanun’un 6’ncı maddesinin (3) numaralı fıkrası ile 5’inci maddesinin (2) numaralı fıkrasının (a), (c), (ç) ve (e) bentleri olduğu,
- İlgili kişinin boşanma davasının görüldüğü mahkeme müzekkeresine cevaben tıp merkezinin cevabi yazısı ekinde hastanın tıbbi kayıtlarının aktarıldığı, aktarımın dayanağının Kanun’un 6’ncı maddesinin (3) numaralı fıkrası ile 5’inci maddesinin (2) numaralı fıkrasının (a) ve (ç) bentleri olduğu,
- Tıp merkezince kullanılan otomasyon sistemine özel nitelikli veri içeriği işlenmemekle birlikte, alınan hizmet kalemlerinin işlendiği (MR, Röntgen, Muayene, Laboratuvar hizmeti gibi tıbbi içeriği olmayan hizmet listesi başlıkları) ve aktarıldığı, aktarımın dayanağının Kanun’un 6’ncı maddesinin (3) numaralı fıkrası ile 5’inci maddesinin (2) numaralı fıkrasının (a), (c ), (ç) ve (e) bentleri olduğu,
- Kanun'un 11’inci maddesine dayalı başvurusuna istinaden ilgili kişi vekiline teslim edilmek üzere ve içeriğinde sağlık verilerinden bahseden yanıt metninin, hazırlık ve görüş almak amacıyla ve sır saklama yükümlülüğü altında bulunan vekillere aktarıldığı, bahse konu hususta da aktarımın dayanağının Kanun’un 6’ncı maddesinin (3) numaralı fıkrası ile 5’inci maddesinin (2) numaralı fıkrasının (a), (c), (ç) ve (e) bentleri olduğu,
- Doğrudan aktarım olmamakla birlikte tıbbi verilerin, bakım firması tarafından bakım zamanlarında ve entegrasyon firmasının entegrasyon sorunlarında kontrollü ve kademeli erişimine açık olduğu, söz konusu firmalar ile ana sözleşmelerinde kişisel verilere ilişkin hüküm olduğu ve sözleşmelere ek gizlilik protokolleri olduğu, söz konusu aktarımın dayanağının Kanun’un 6’ncı maddesinin (3) numaralı fıkrası ile 5’inci maddesinin (2) numaralı fıkrasının (a), (c), (ç) ve (e) bentleri olduğu,
- İlgili kişinin boşanma davasının görüldüğü mahkeme müzekkeresi ile hastaya ait tedavi kayıtlarının talep edildiği, buna ilişkin olarak ilgili mahkemeye hasta dosyasının gönderildiği,
- Mahkeme müzekkeresinde talep edilen evrakların sağlık ve cinsel hayat ilişkin veriler içermesi halinde de cevap verilmesinin gerektiği; Kanun’un 8’inci maddesinin 2 numaralı fıkrasının (b) bendi gereği yeterli önlemler alınmak kaydıyla ilgili kişinin açık rızası aranmaksızın kişisel verilerin aktarılabileceği,
- Türkiye Cumhuriyeti’nin bir hukuk devleti olduğu ve mahkemelerden bilgi ve belge saklanamayacağı, sır saklama yükümlülüğü altında olan kişilerin, tanıklıktan kendi tercihlerine dayalı olarak imtina edebilirse de bu hususun kanuni bir mecburiyet halinde olmadığı, zaten somut olayda ilgili hekimin mesul müdür sıfatıyla tanıklık yapmadığı; aksine talep edilen resmî belgeleri kamu görevi icra eden tıp merkezi adına iletmekle iktifa ettiği,
- Mahkeme müzekkerelerinin, taraf vekillerinin bilgisi dahilindeki ara kararlara istinaden hazırlandığı, taraf vekillerinin, uyuşmazlık konusunda özel nitelikli kişisel verilerin talep edilmesine karar verilen bir mahkeme dosyasında gizlilik kararı alınması için talepte bulunması gerektiği, zira bu durumun vekalet borcunun özen yükümlülüğünün bir sonucu olduğu, bu hususun, müzekkere sorumlusu kurumun müzekkereyi yanıtlarken dosyada gizlilik kararı bulunup bulunmadığını kontrol ve teyidini gerektirmeyeceği,
- Mahkeme dosyalarının kişilerin erişimine kapalı olduğu; münhasıran ilgili mahkemenin kalem memurları ve hakiminin erişimine açık olduğu, avukatların da Avukatlık Kanunu’nun ilgili hükümleri gereği dosya inceleme talebinde bulunması ve mahkemece uygun bulunması halinde dosyayı inceleyebildiği ve bu durumun Kanun’da açıkça öngörülen, avukatlığın kamu görevi olmasına dayalı bir durum olduğu,
- Kanun’un 28’inci maddesinde "kanunun uygulanmayacağı haller"in belirlendiği, bu hallerden birinin maddenin (1) numaralı fıkrasında, "Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi" olarak düzenlendiği, somut olayda gerek müzekkere gerekse yanıttan görüleceği üzere "Mahkemece veri sorumlusundan ilgili kişi hakkında bazı kişisel verilerin talep edilmesi ve veri sorumlusunun gereğinden fazla kişisel veri aktarımında bulunması"nın söz konusu olmadığı,
- İlgili kişinin hasta dosyasının üst yazı eşliğinde gönderildiği, üst yazıda ise tıbbi evrakların listelendiği, detay verilmediği, talep edilen dışında belge aktarılmadığı, dosyanın kapalı zarf içinde gönderildiği, fiziksel olarak zarfın teslimden önce açılıp açılmadığı anlaşılabilecek özelliklere sahip kapalı bir zarf tercih edildiği, ayrıca hasta dosyasının "Adreste yapılan kabul" tercihli olarak iletildiği; gönderinin en dışına PTT'nin plastik zarfının yerleştirildiği,
- Mahkemeye aktarımda özel kargo yahut kurye tercih edilmediği, kamu iktisadi kuruluşu olan PTT’nin tercih edildiği, PTT’nin adliyelerde hususi olarak yer tahsis edilmiş birimi ve personeli bulunan ve evrakları doğrudan ilgili mahkemeye aktarabilen ve dağıtım-tebliğ süreçleri mahkemeye kayıtlı ve mahkeme denetiminde olabilen yegâne kuruluş olduğu, gönderinin doğrudan mahkemeye gönderildiği,
- Somut olayda ilgili kişi bakımından evrakların gönderiminde veri maskeleme yapılmadığı, mahkemelere gönderilen müzekkere ekindeki tıbbi evraklar bakımından veri maskelemesi yapılması bilginin doğruluk ve güncelliğini ihlal edeceğinden; veriler üzerinde maskeleme işleminin, verilerin başka kurum ve kuruluşlara aktarılması halinde yapıldığı, bu durum yargı erkinin erişim hakkını sınırlayacağı için somut olayda bu tedbirlerle yetinildiği, mahkeme müzekkerelerinin dış zarfına tıp merkezleri tarafından gizlilik kaşesi basıldığı
ifade edilmiştir.
Konuya ilişkin yürütülen inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 14/09/2023 tarih ve 2023/1578 sayılı Kararı ile;
- Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
- Kanunun 6’ncı maddesinde “Özel Nitelikli Kişisel Verilerin İşlenme Şartları”nın düzenlendiği, buna göre, birinci fıkrada kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerinin özel nitelikli kişisel veri olduğu, ikinci fıkrada, özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğu, üçüncü fıkrada, birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel verilerin, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebileceğinin, sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceğinin, dördüncü fıkrada özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınmasının şart olduğunun düzenlendiği,• Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
- Kanun’un “Kişisel Verilerin Aktarılması” başlıklı 8’inci maddesinin birinci fıkrasında kişisel verilerin, ilgili kişinin açık rızası olmaksızın aktarılamayacağının, ikinci fıkrasında kişisel verilerin a) 5 inci maddenin ikinci fıkrasında, b) yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabileceğinin, üçüncü fıkrasında kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümlerin saklı olduğunun düzenlendiği,
- Şikâyete konu kişisel veri aktarımının temelini oluşturan mahkeme müzekkeresinde, “…….. boşanma (çekişmeli)) davası nedeniyle; aşağıda açık kimlik bilgileri yazılı şahsın kurumunuzda görmüş olduğu tedavilere ilişkin kayıtların çıkartılarak ivedilikle mahkememize gönderilmesi rica olunur” ifadelerine yer verildiğinin anlaşıldığı, mahkemeden iletilen müzekkerenin herhangi bir gizlilik derecesi taşımadığı,
- Veri sorumlusunun müzekkereye cevabi yazısında gönderilen belgelerin bir listesinin yazıldığı ve yazı üzerinde bir gizlilik derecesine yer verilmediği,
- Kişisel Sağlık Verileri Hakkında Yönetmelik’in “Kişisel Sağlık Verilerinin Aktarılması” başlıklı 15’inci maddesinin; “Kişisel sağlık verilerinin yurtiçinde aktarımında Kanunun 8 inci maddesine, yurtdışına aktarımında ise Kanunun 9 uncu maddesine riayet edilir.” hükmünü amir olduğu,
- Şikâyete konu belge, aile mahkemesinde görülmekte olan bir dava kapsamında ilgili mahkemeye sunulmuş olup, özel mahkemelerden olan aile mahkemelerince yapılan yargılamalara ilişkin hükümlerin, 4787 sayılı Aile Mahkemelerinin Kuruluş ve Görevleri Hakkında Kanun’da düzenlendiği, anılan Kanun’un, “Usul hükümleri” başlıklı 7’nci maddesinin (2) numaralı fıkrasında, “Özel kanunlardaki hükümler saklı kalmak kaydıyla, bu Kanunda hüküm bulunmayan konularda Türk Medenî Kanununun aile hukukuna ilişkin usul hükümleri ile Hukuk Usulü Muhakemeleri Kanunu hükümleri uygulanır” hükmünün düzenlendiğinin görüldüğü,
- Aile mahkemesinde yapılan yargılama kapsamında mahkemece talep edilen bilgi ve belgelerin ibraz edilmesi hususunda 4787 sayılı Kanun’da özel bir hüküm bulunmaması nedeniyle ilgili Kanun’da yapılan atıf gereği 6100 sayılı Hukuk Muhakemeleri Kanunu hükümlerinin incelendiği, 6100 sayılı Kanun’un, “Üçüncü kişinin belgeyi ibraz etmemesi” başlıklı 221’inci maddesinde, “(1) Mahkeme, üçüncü kişi veya kurumun elinde bulunan bir belgenin taraflarca ileri sürülen hususun ispatı için zorunlu olduğuna karar verirse, bu belgenin ibrazını emreder. (2) Belgeyi ibraz etmesine karar verilen herkes, elindeki belgeyi ibraz etmek; belgeyi ibraz edememesi hâlinde ise bunun sebebini delilleri ile birlikte açıklamak zorundadır.” hükmünün düzenlendiği,
- Somut olayda da veri sorumlusuna mahkeme tarafından yazılan bir müzekkere ile ilgili kişinin gördüğü tedavilere ilişkin kayıtların talep edildiği, veri sorumlusunun 6100 sayılı Hukuk Muhakemeleri Kanunu’nun 221’inci maddesinde yer alan hükme uygun şekilde ve Kanun’un 8’inci maddesinin (3) numaralı fıkrasında düzenlenen “Kişisel verilerin aktarılmasına ilişkin diğer Kanunlarda yer alan hükümler saklıdır” hükmü çerçevesinde özel nitelikli kişisel veri ihtiva eden belgeleri mahkemeye sunduğu ve bu kapsamda yapılacak bir işlem olmadığı kanaatine varıldığı,
- Öte yandan, ilgili kişinin iddiaları arasında, söz konusu belgenin UYAP’a yüklenmek suretiyle üçüncü kişilerin erişimine açıldığının da belirtildiği, müzekkere ile talep edilmesi nedeniyle veri sorumlusu tarafından mahkemeye sunulan özel nitelikli kişisel veri ihtiva eden bilgi ve belgeler üzerinde daha sonra mahkeme tarafından gerçekleştirilen işlemler bakımından veri sorumlusunun tıp merkezi olmadığı, mahkeme tarafından gerçekleştirilen iş ve işlemler bakımından ise Kanun’un 28’inci maddesinin (1) numaralı fıkrasının (d) bendinde yer alan “Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi” hükmünün uygulama alanı bulması nedeniyle Kanun kapsamında yapılacak bir işlem olmadığı,
değerlendirmelerinden hareketle;
- İlgili kişinin özel nitelikli kişisel verilerinin, aldığı sağlık hizmetine istinaden üniversite bünyesinde yer alan bir tıp merkezi tarafından işlenmesinin, Kanun’un 6’ncı maddesinin (3) numaralı fıkrası hükümleri kapsamında olduğuna,
- İlgili kişinin özel nitelikli kişisel verisi niteliğindeki sağlık kayıtlarının veri sorumlusu tarafından mahkemeye aktarılmasının, 6100 sayılı Hukuk Muhakemeleri Kanunu’nun 221’inci maddesinde yer alan hükme dayandığı dikkate alındığında söz konusu kişisel veri aktarımının Kanun’un 8’inci maddesinin (3) numaralı fıkrasında yer alan “Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” hükmü kapsamında olduğuna,
- Aktarım faaliyetlerinde, “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler konulu 2018/10 sayılı Kurul Kararı”na uygun olarak önlemlerin alınması gerektiği, bu kapsamda özel nitelikli kişisel verilerin gönderim yöntemlerinin gizlilik esaslarına riayet edilmek suretiyle seçilmesi gerektiği hususunda veri sorumlusuna hatırlatma yapılmasına,
- İlgili kişinin iddiaları arasında, söz konusu belgenin UYAP’a yüklenmek suretiyle üçüncü kişilerin erişimine açıldığı da belirtilmekle birlikte, müzekkere ile talep edilmesi nedeniyle veri sorumlusu tarafından mahkemeye sunulan özel nitelikli kişisel veri ihtiva eden bilgi ve belgeler üzerinde daha sonra mahkeme tarafından gerçekleştirilen işlemler bakımından veri sorumlusunun tıp merkezi olmadığına, mahkeme tarafından gerçekleştirilen iş ve işlemler bakımından ise Kanun’un 28’inci maddesinin (1) numaralı fıkrasının (d) bendinde yer alan “Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi” hükmünün uygulama alanı bulması nedeniyle Kanun kapsamında yapılacak bir işlem bulunmadığına
karar verilmiştir.
Karar Tarihi | : | 06/07/2023 |
Karar No | : | 2023/1130 |
Konu Özeti | : | İlgili kişinin rapor ve ilaç kayıtlarının eczane tarafından eski eşi ile paylaşılması |
Kuruma intikal eden şikâyette özetle; ilgili kişinin eşinden boşandığı, ancak eski eşi ile aralarında velâyet davası görüldüğü, ilgili kişinin hastane rapor ve ilaç kayıtlarının Eczacı tarafından Medula sisteminden çıkartılarak eski eşe verildiğinin dava dosyasından anlaşıldığı ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde Eczacıdan savunması istenilmiş olup alınan cevabi yazıda özetle;
- İlgili kişinin şikâyete konu kişisel bilgilerinin Medula sistemi tarafından işlendiği, Eczanelerin Medula sistemine bağlı olduğu, rutin işlemlerde reçete ve ilaç listesini bu sisteme girerek görebildiği,
- Medula sistemine kaydedilen kişisel bilgilerin hastane, poliklinik ve aile sağlık merkezlerindeki görevli personel veya hekimlerce işlendiği,
- Sağlık kuruluşu tarafından hastanın herhangi bir rahatsızlığında, tanı teşhis ve reçetenin referans numarası ile sisteme kaydedildiği; hastanın bu kayıttan sonra eczaneye gelerek Medula sistemine kaydedilen ilaçlarını aldığı,
- Kanun’un 5’inci maddesi uyarınca ilgili kişinin herhangi bir sağlık kurumuna giderek Medula sisteminde kişisel verilerinin işlenmesine onay verdiği; onay vermediğinde ilgilinin sağlık hizmetinden faydalanma imkânı olmadığı, eczacının sisteme veri kaydetmediği, yalnızca sisteme kaydedilen veriler neticesinde ilaç tedariki sağladığı,
- İlgili kişinin eski eşinin eczaneye geldiği, eczane çalışanına ilgili kişinin ilaç raporları hakkında soru sorduğu, raporların yenilenmesi gerekçesi ile rapor çıktılarının gerektiğini ifade ettiği, tarafların boşandıklarını ve aralarında velayet konusunda bir husumet bulunduğunu bilmeyen eczane çalışanının, ilgili kişiye faydalı olabilmek maksadı ile ilgili kişinin eşi olarak bildiği kişiye raporları verdiği,
- İlgili kişinin eczanenin uzun zamandan beri müşterisi olduğu, rapora bağlı ilaçlarının her seferinde eşi tarafından eczaneye gelinerek alındığı, eczaneden sürekli alışveriş yapan ilgili kişinin bir süre sonra rahatsızlandığı ve rapora bağlı ilaçlarının eşi tarafından her seferinde eczaneye gelinerek alındığı, bu durumun 2018, 2019, 2020 ve 2021 yıllarında bu şekilde gerçekleştiği, ilgili kişinin 4 yıl boyunca ilaçlarını kendi nam ve hesabına eşi tarafından eczaneden alınmasına, reçetelerini eczaneye vermesine ve ilgili kişi adına reçete işlemleri yapmasına onay verdiği,
- İlgili kişinin eşinin ilaç reçetelerinin, ilaç tedarikinin, rapor takiplerinin ve yenilenmelerin eşi tarafından yapıldığı ve ilgili kişinin bu duruma peşinen rıza gösterdiği, ilgili kişi tarafından duruma rızasının bulunmadığının eczacıya bildirilmediği veya söylenmediği
ifade edilmiştir.
Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 06/07/2023 tarih ve 2023/1130 sayılı Kararı ile;
- Medula sisteminin Sağlık Hizmeti Sunucularının Faturalarının İncelenmesine ve Bedellerinin Ödenmesine İlişkin Usul ve Esaslar Hakkında Yönetmelik’te sağlık hizmeti kullanım verisi toplamak ve bu verilere dayanarak faturalama işlemini gerçekleştirmek amacıyla Sosyal Güvenlik Kurumu (SGK) tarafından uygulanan ve işletilen elektronik bilgi sistemi olarak tanımlandığı, Medula Eczane, Medula Optik, Medula Doktor ve Medula Hastane olmak üzere 4 temel alt modülü olduğu,
- Medula Eczane’nin Genel Sağlık Sigortası hak sahiplerinin SGK ile sözleşmeli eczanelerden almış oldukları ilaçlara ait reçete bilgilerinin SGK tarafından belirlenmiş kurallara uygunluğunu çevrimiçi olarak denetleyerek elektronik ortamda kayda alınmasını ve faturalanmasını sağlayan bir bilgi teknolojileri servisi olduğu,
- Medula sistemini kullanan tüm sağlık hizmeti sunucularında e-rapor uygulamasına geçilmesi, raporların hastaneler tarafından yine elektronik ortamda onaylanması, elektronik raporlara ekleneceği belirtilen belgelere ait bilgilerin rapor içinde belirtilmesi sebebiyle ayrıca belge istenmemesi, ödenme koşulu rapora bağlı ilaçların gerek SGK gerek eczaneler tarafından kontrolü ile ilacın sözleşmeli eczaneler tarafından karşılanabilmesi için hastanın daha önce almış olduğu tedavi ve ilaçlara ilişkin rapor bilgilerinin eczaneler tarafından takip edilmesinin zorunlu olması, aksi halde ilacın karşılanamayacağı ve bu nedenle mağduriyetlerin söz konusu olacağı düşünüldüğünden kişilerin son 1 yıllık ilaç bilgisi ile rapor bilgilerinin Medula Eczane Provizyon Sistemi üzerinden sözleşmeli eczaneler tarafından görüntülenmesine izin verilmesi, SGK ile sözleşmeli eczanelerin elektronik reçetelerde yazılı olan bilgileri değiştirmesine sistem tarafından izin verilmemesi, SGK ile sözleşmeli eczacıların yalnızca reçetede yazılı ilacı eşdeğeri ile değiştirebilmesi ve ilacın adetini düşürebildiği hususları birlikte değerlendirildiğinde safi SGK ile sözleşmeli olan eczacıların bu sistemi kullanmaya yetkili olmasının, kişilerin T.C. kimlik numaraları ile sisteme giriş yaparak kişilere ait hem kişisel verilere hem de özel nitelikli kişisel verilere erişebilmesinin veri sorumlusu olarak adlandırılmalarına yeterli olmayacağı aynı zamanda somut olaya ilişkin veri işleme faaliyetinin ne olduğuna bakılması gerektiği,
- Öyle ki bu sistem üzerinden hastaların raporlarının ve ilaç bilgilerinin kontrol edilmesinin tek başına veri sorumluluğu doğurmayacağı gibi eczacıların bu verilerin işleme amacını, vasıtasını belirlememekle birlikte Medula sisteminin kurulmasından ve yönetilmesinden de sorumlu olmadığı,
- Bu kapsamda, eczacıların ilaç temini sürecinde Medula sistemine girilen veriler açısından ayrı bir işleme faaliyeti yapmakla yetkilendirilmiş kişiler olmadığı, Kanun’un 3’üncü maddesi kapsamında veri sorumlusu özelliklerini taşımadıkları ve ödeme süreçlerinin tamamlanabilmesi için veri işleme faaliyeti yürüttükleri için veri işleyen sıfatını haiz olduğu,
- Öte yandan, Medula sisteminin işlevi için gerekenden fazla bir veri işleme faaliyeti yürütülmesi durumunda örneğin ilgili kişilerin rapor ve ilaç listesinin çıktısı alınarak hastalara ilişkin özel bir klasör oluşturulması veya söz konusu verinin üçüncü bir kişi ile paylaşılması durumlarında bu kişilerin veri sorumlusu sıfatını haiz olacağı,
- Kanun’un 6’ncı maddesinin “(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. (2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. (4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” şeklinde düzenlendiği,
- Kanun’un 12’nci maddesinin birinci fıkrasının, “Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmünü haiz olduğu, anılan maddenin dördüncü fıkrasında ise veri sorumluları ile veri işleyen kişilerin öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacının dışında kullanamayacağı hükmüne yer verildiği,
- T.C. Sağlık Bakanlığı tarafından yayınlanan İyi Eczacılık Uygulamaları Kılavuzunun 5b.2 maddesinde ise “Eczacı, yürürlükteki mevzuat çerçevesinde mesleki ve etik davranışlar sergiler, hastanın özel yaşam ve mahremiyetini korur”; 6.5. maddesinde “Eczanede, eczacı ve hasta arasında yapılan görüşmelerde hasta mahremiyeti göz önünde bulundurulur ve görüşmeler bu doğrultuda yapılır.”; 10.ç.5. maddesinde “Eczacı, hasta veya yakınına vereceği bilgileri belirli bir düzen içinde sunar; önemli noktaları görüşmenin başında anlatır, sonunda tekrarlar.” hükümlerinin yer aldığı,
- Eczacının saklaması gereken sır niteliğindeki bilgilerin kapsamının geniş olduğu, başkalarının öğrenmesi halinde hastanın maddi veya manevi zarara uğrayacağı, ayıplanacağı, dışlanacağı ya da hastanın psikolojik olarak kendini kötü hissedeceği bilgilerin sır olarak kabul edildiği,
- Sır saklama yükümlülüğüne aykırı davranıştan dolayı hastaların tazminat talep edebildiği, Eczacının diğer yükümlülüklerde olduğu gibi sır saklama yükümlülüğünde de yanında çalıştırdığı kimselerden Türk Borçlar Kanunu’nun 116’ncı maddesi gereğince sorumlu olduğu,
- Çalıştırdığı personelin seçimi, bilgilendirilmesi, denetimi ve talimat verilmesinde gerekli objektif özen ve dikkati gösterdiğini ya da bunu göstermiş olsa bile zararın doğumuna engel olamayacağını kanıtlar nitelikte bir bilgi ve belge sunamayan ve ilgili kişinin sağlık verilerinin üçüncü bir kişi ile paylaşılmasına sebep verecek şekilde özen yükümlülüğüne aykırı olarak hareket ettiği değerlendirilen eczacının (veri sorumlusunun) Kişisel Verilerin Korunması Kanunu’nun 12’nci maddesinde yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alma yükümlülüğünü yerine getirmediği
değerlendirmelerinden hareketle;
- Veri sorumlusu eczacının Medula sistemini kullanarak edindiği ilgili kişiye ait özel nitelikli kişisel verileri Kanun’un 6’ncı maddesinde yer alan veri işleme şartlarından herhangi birine dayanılmaksızın üçüncü kişi olan boşandığı eşi ile paylaştığının anlaşıldığı, bu kapsamda veri sorumlusunun Kişisel Verilerin Korunması Kanunu’nun 12’nci maddesinde yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alma yükümlülüğünü yerine getirmediği değerlendirilmekte olup veri sorumlusu hakkında Kanun'un 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 50.000 TL idari para cezası uygulanmasına,
- Veri güvenliğinin sağlanabilmesini teminen Kanun ile Kurulun 31/01/2018 Tarihli ve 2018/10 Sayılı “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” Kararına uyum hususunda azami dikkat ve özenin gösterilmesi hususunda veri sorumlusu eczacının uyarılmasına
karar verilmiştir.
Karar Tarihi | : | 15/06/2023 |
Karar No | : | 2023/1050 |
Konu Özeti | : | Veri sorumlusu Banka’nın, müşteri temsilcisi ile ilgili kişi arasında gerçekleştirilen görüşmeye ilişkin ses kaydı dökümünün ilgili kişiye sağlanması yönündeki talebi yerine getirmemesi |
Kuruma intikal ettirilen şikâyette özetle; ilgili kişinin veri sorumlusu Banka’nın müşteri iletişim merkezi ile yaptığı görüşmede sanal kartının kopyalandığı ve bu nedenle tarafına bilgi verilmeden kartının kullanıma kapatıldığını öğrendiği, buna istinaden 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 11’inci maddesi kapsamında, sanal kartının kapatılmasına neden olan kişisel veri kopyalanması ile ilgili tespit uyarınca hangi kişisel verilerinin kopyalanmış olabileceği ve hangi banka işlemi nedeniyle bu tespite ulaşıldığı hususlarında bilgi edinme talebi ile veri sorumlusuna başvuruda bulunduğu ancak bu başvurusunun veri sorumlusu tarafından yanıtsız bırakıldığı, aynı konuya ilişkin olarak farklı bir tarihte ikinci kez veri sorumlusuna yaptığı başvuruda Kanun’un 11’inci maddesi kapsamında kişisel verilerinin işlenip işlenmediğinin teyidini ve müşteri temsilcisi ile gerçekleştirdiği görüşmeye ilişkin ses kaydını veya bu kaydın dökümünü talep ettiği; ancak bu başvurusunun da veri sorumlusunca yanıtsız bırakıldığı ifade edilerek ilgili ses kayıt dökümünün tarafına sağlanması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;
- İlgili kişinin, sanal kart ürününe ilişkin herhangi bir veri kopyalaması olup olmadığına dair başvurusu üzerine konu hakkında detaylı araştırmalar gerçekleştirilmesinin ardından, ilgili kişinin herhangi bir kişisel verisinin kopyalanmadığının tespit edildiği,
- Herhangi bir veri kopyalaması söz konusu olmadığından, kopyalanan kişisel verilere ilişkin yazılı bir bilgilendirme yapılmamakla birlikte ilgili kişi ile müşteri iletişim merkezi arasında gerçekleşen görüşmede kart bilgilerinin risk altında olduğuna ilişkin olarak ilgili kişinin bilgilendirildiği,
- İlgili kişi tarafından kendilerine yapılan ikinci başvurunun, ilgili kişinin e-posta adresine gönderilen içerik ile kapsamlı şekilde yanıtlandığı ve bu cevapta, ilgili kişinin sanal kartının provizyona kapatılma nedeninin riskli iş yeri olarak kabul edilen internet sitelerinden birinde söz konusu sanal kart ile işlem yapılması olduğunun tespit edildiğinin belirtildiği ve kartın kullanıma kapatılmasının kişinin kendi talebi ve iradesi ile Banka’nın iletişim kanalları üzerinden ilettiği talimata istinaden gerçekleştirildiği,
- İlgili kişi ile Banka’nın müşteri temsilcisi arasında gerçekleştirilen görüşmeye ilişkin ses kaydı ve bu kayda ilişkin ilgili dökümün 5411 sayılı Bankacılık Kanunu’nun “Sırların Saklanması” başlıklı 73’üncü maddesi ile anılan Kanun’un ilgili maddesi kapsamında Bankacılık Düzenleme ve Denetleme Kurumunca çıkartılan “Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik” kapsamında düzenlenen sır saklama yükümlülüğü uyarınca ilgili kişi ile paylaşılamadığı
ifade edilmiştir.
Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 15/06/2023 tarih ve 2023/1050 sayılı Kararı ile;
- Kanun’un “İlgili Kişinin Hakları” başlıklı 11’inci maddesinde, herkesin veri sorumlusuna başvurarak kendisiyle ilgili; (a) kişisel veri işlenip işlenmediğini öğrenme, (b) kişisel verileri işlenmişse buna ilişkin bilgi talep etme, (c) kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, (ç) yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, (d) kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, (e) 7’nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, (f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, (g) işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, (ğ) kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahip olduğunun düzenlendiği,
- Kanun’un “Veri Sorumlusuna Başvuru” başlıklı 13’üncü maddesine göre, ilgili kişinin bu Kanun’un uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna ileteceği; veri sorumlusunun başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandıracağı; talebi kabul edeceği veya gerekçesini açıklayarak reddedeceği ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildireceği hükmüne yer verildiği,
- Bununla birlikte, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in “Başvuruya Cevap” başlıklı 6’ncı maddesinin (1) numaralı fıkrasında veri sorumlusunun, bu Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlü olduğu; (2) numaralı fıkrasında veri sorumlusunun, başvuruyu kabul edeceği veya gerekçesini açıklayarak reddedeceği; (3) numaralı fıkrasında veri sorumlusunun, cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildireceği; (5) numaralı fıkrasında ise veri sorumlusunun başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içerisinde ücretsiz olarak sonuçlandıracağı hükmünün düzenlendiği,
- Veri sorumlusu tarafından Kuruma iletilen yazı ve ekinde yer alan belgeler incelendiğinde, ilgili kişi tarafından veri sorumlusuna yapılan ilk başvurunun veri sorumlusu tarafından yazılı bir şekilde yanıtlandırılmadığının anlaşıldığı, ikinci başvurunun ise, ilgili kişinin iddiasının aksine, veri sorumlusu tarafından cevaplandırıldığının görüldüğü, bununla birlikte söz konusu başvurunun Kanun’da düzenlenen otuz günlük sürenin geçirilmesinin ardından yanıtlandığının tespit edildiği,
- İlgili kişinin, veri sorumlusu Banka’nın müşteri temsilcisi ile gerçekleştirdiği görüşmeye ilişkin ses kaydı veya bu kaydın dökümünün ilgili kişi ile paylaşılmamasının gerekçesi olarak veri sorumlusunca ileri sürülen “sır saklama yükümlülüğü”nün 5411 sayılı Bankacılık Kanunu’nun “Sırların Saklanması” başlıklı 73’üncü maddesinde düzenlendiği, anılan maddenin (3) numaralı fıkrasında bankacılık hukukuna özgü bir kavram olan “müşteri sırrı” kavramının sınırlarının ortaya konulduğu ve bankacılık faaliyetlerine özgü olarak bankalarla müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ait verilerin müşteri sırrı hâline geleceğinin düzenlendiği,
- Diğer yandan, Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik”te banka sırrı ve müşteri sırrı niteliğindeki bilgilerin paylaşımı ve aktarımına ilişkin kapsam, şekil, usul ve esasların belirlenmesinin amaçlandığı ve sır saklama yükümlülüğünün kapsamı, bu yükümlülükten istisna tutulan hâller ile sır niteliğindeki bilgilerin paylaşılmasına ilişkin genel ilkelerin çerçevesinin çizildiği,
- İlgili kişi ile veri sorumlusunun müşteri temsilcisi arasında gerçekleşen görüşmeye ilişkin olarak veri sorumlusu tarafından Kuruma iletilen döküm incelendiğinde, somut olayın veri sorumlusu tarafından belirtildiği şekilde gerçekleştiğinin anlaşıldığı,
- 5411 sayılı Bankacılık Kanunu ve ilgili mevzuatta düzenlenen sır saklama yükümlülüğünün, kanuni düzenlemelerin öngördüğü hukuka uygunluk hâlleri dışında, müşteri ile ilgili ticari bağlantı nedeniyle elde edilmiş olan bilgi ve olaylar hakkında üçüncü kişilere bilgi verilmemesini gerektirdiği ve diğer yandan 6698 sayılı Kanun’un 11’inci maddesi kapsamında düzenlenen, ilgili kişilerin kendileriyle ilgili kişisel veriler işlenmişse buna ilişkin bilgi talep etme haklarının söz konusu veriye erişim hakkını da kapsadığı
değerlendirmelerinden hareketle;
- 5411 sayılı Bankacılık Kanunu ve ilgili mevzuatta yer verilen “sır saklama yükümlülüğü”nün, kanuni düzenlemelerin öngördüğü hukuka uygunluk hâlleri dışında, müşteri ile ilgili ticari bağlantı nedeniyle elde edilmiş olan bilgi ve olaylar hakkında üçüncü kişilere bilgi verilmemesini gerektirdiği ve diğer yandan 6698 sayılı Kanun’un 11’inci maddesinin (1) numaralı fıkrasının (b) bendi hükmü kapsamında ilgili kişilerin, kendileriyle ilgili kişisel veriler işlenmişse buna ilişkin bilgi talep etme haklarının, söz konusu veriye erişim hakkını da kapsadığı ve erişim hakkının da bilgi talep etme hakkını tamamlayarak ilgili kişilerin kişisel verileri üzerindeki haklarını kullanabilmeleri için kişisel verilerinin ne şekilde işlendiğine dair bilgi sahibi olmalarına imkân sağladığı dikkate alındığında, tarafların görüşme sırasındaki doğrudan ifadelerini içeren söz konusu dökümün, ilgili kişi dışında başkalarının kişisel verileri varsa bunların çıkarılması/maskelenmesi gibi önlemler alınarak İlgili Kişiye gönderilmesi ve buna ilişkin tesis edilen işlemler hakkında Kurula bilgi verilmesi yönünde Veri Sorumlusunun talimatlandırılmasına,
- İlgili kişiler tarafından Kanun kapsamında yapılacak başvuruların Kanun’un 13’üncü maddesi hükmü ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 6’ncı maddesi hükmü uyarınca etkin, hukuka ve dürüstlük kuralına uygun şekilde, gerekçe belirterek ve süresi içinde sonuçlandırılması gerektiği hususunun veri sorumlusuna hatırlatılmasına
karar verilmiştir.
Karar Tarihi | : | 15/06/2023 |
Karar No | : | 2023/1041 |
Konu Özeti | : | Veri sorumlusunun internet sitesinde aydınlatma yükümlülüğünü usulüne uygun olarak yerine getirmemesi ve sunduğu hizmeti açık rıza şartına bağlaması |
Kuruma intikal eden şikayette özetle; ilgili kişinin tetkik ve takip için vücuda takılan şeker ölçüm cihazlarından almak istediği, bu özellikleri karşılayan ve Veri Sorumlusu tarafından satışa sunulan ürünün, gizlilik ve aydınlatma metinlerinde işaretlenmek üzere boş bırakılan alanlar doldurulmadan satışının yapılmadığı veya internet sitesine üyelik işleminin gerçekleştirilemediği, ürünün satın alınabilmesi için söz konusu metinlerde bulunan alanların doldurulmasının zorunlu kılındığı, özel sağlık bilgilerinin ticari ve pazarlama amaçlı faaliyetlerde kullanılması ve bu bilgiler paylaşılmaksızın ürünün satılmamasının hastanın teşhis ve tedavi hakkını kısıtladığı ve hiçbir kişisel verisinin yurt dışına aktarılmasını kabul etmediği belirtilerek gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması talep edilmiş olup veri sorumlusunun cevabi yazısında özetle;
- İnternet sitesinden gerçekleştirilecek alışveriş öncesinde müşterilerden hesap oluşturmalarının ve tanımlayıcı bilgilerle son iki kutucuğu işaretlemelerinin beklendiği, bunlardan önce yer alan ilk kutucuğun ticari iletişim amacıyla bulunduğu ve opsiyonel olduğu, kutucukların “opt-in” yöntemi ile onay verilecek bir sistem olarak düzenlendiği, müşterilerin opsiyonel olan ticari iletişime izin vermiş olmaları halinde dahi istedikleri zaman ve hiçbir gerekçe göstermeksizin açık rızalarını geri çekebileceği, söz konusu kutucuk üzerinden opt-in (tercihe bağlı) olarak onam verilip verilmemesinin internet sitesinden alışveriş yapılmasına engel teşkil etmediği, satış için ön koşul olmadığı,
- Vergi Usul Kanunu’nun 230’uncu maddesinde faturada bulunması gereken asgari içeriğin belirtildiği, bu alanda doldurulması talep edilen bilgilerin isim, soyisim ve adres bilgisi olduğu, bu bilgilerin satış işleminin yapılabilmesi ve fatura düzenlenebilmesi için mevzuat gereği alınması zorunlu bilgiler olduğu, e-posta adresinin ve hesap oluşturma işleminin müşterinin gönderi takibi yapabilmesi için gerekli olduğu, müşteri telefon bilgisinin gönderinin ulaştırılabilmesi amacıyla kargo şirketine verilmek üzere alındığı, T.C. kimlik numarasının zorunlu olmayıp kişinin doğru T.C. kimlik numarası bilgisini vermek istemesi halinde alındığı ve opsiyonel olduğu, internet sitesinde hiçbir şekilde sağlık verisinin talep edilmediği,
- Veri Sorumlusunun küresel bir grup şirketin iştiraki olduğu, uluslararası sistemlerin işleyişine katılım zorunluluğu nedeniyle yurt dışına sadece üyelikte alınan isim-soyisim, adres ve e-posta verisini aktarabildiği, bu verilerin de 6698 sayılı Kanun’un 9’uncu maddesine göre açık rıza doğrultusunda alındığı ve imalatçı sıfatıyla Tıbbi Cihaz mevzuatında düzenlenen yasal yükümlülükleri yerine getirebilmek amacıyla işlendiği, bu sebeple müşteriye özgür iradesi ile seçim hakkı sunularak ve aydınlatma metni ile açıkça bilgilendirilerek açık rıza vermesi halinde verilerin yurt dışına aktarılacağının belirtildiği,
- Açık rıza vermek istemeyen müşterilerin müşteri hizmetlerini arayarak ürünleri internet sitesi hariç bir satış kanalından temin edebilmesinin mümkün olduğu, müşterilerin zorunlu tutularak açık rızasının talep edilmesi gibi bir durumun söz konusu olmadığı, ticari iletişim açık rızası ve yurt dışına veri aktarımı açık rızasının iki farklı sekme ve farklı bilgilendirme metinleri ile müşteri incelemesine sunulduğu,
- Ürünün alternatif satış kanalının, Tıbbi Cihaz Satış, Tanıtım ve Reklam Yönetmeliği'ne uygun olarak Tıbbi Cihaz Satış Merkezi Yetki Belgesine sahip “yetkili satıcı aracılığıyla satış” olduğu, yetkili satıcının usule uygun olarak Ürün Takip Sistemi kaydının yapıldığı,
- Yetkili satıcının satış işlemini tamamlayabilmek adına; ürünlerin kargolanabilmesi için ve mali mevzuat uyarınca alınması zorunlu olan ve yasal gerekliliklerin tamamlanması için gerekli olan müşteri adı, soyadı ve adresi bilgilerini aldığı ancak bu verilerin herhangi bir surette işlenip/depolanmadığı, bununla birlikte yetkili satıcının yerel bir firma olması ve tüm işlemlerin Türkiye'de yürütülmesi sebebi ile verilerin herhangi bir surette yurt dışına aktarılmadığı,
- Yetkili satıcı tarafından sunulan alternatif satış kanalında herhangi bir ek veya farklı maliyet kalemi doğmadığı, kargo ücretinin ve/veya teslimatın ücretsiz yapıldığı
ifade edilmiştir.
Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 15/06/2023 tarihli ve 2023/1041 sayılı Kararı ile;
- 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) “Tanımlar” başlıklı 3’üncü maddesinde; “ilgili kişi”nin, kişisel verisi işlenen gerçek kişiyi, “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, “veri sorumlusu”nun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, “kişisel verilerin işlenmesi”nin ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade edecek şekilde tanımlandığı,
- Kişisel verilerin yurt dışına aktarılmasına ilişkin açık rıza metnine onay verilmeksizin satış işleminin gerçekleştirilmediği iddiası yönünden; somut olayda Veri Sorumlusu tarafından verilen hizmetin İlgili Kişinin “açık rıza” vermesi şartına bağlanıp bağlanmadığının ele alınması gerektiği, Kanun’un 3’üncü maddesinin birinci fıkrasının (a) bendinde tanımlanan açık rızanın, belirli bir konuya ilişkin, bilgilendirmeye dayalı ve özgür irade ile açıklanan rıza olduğu, bu anlamda açık rızanın öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak alınması gerektiği, bu doğrultuda Veri Sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması, diğer bir deyişle, açık rıza beyanının genel nitelikte olmaması, belirli bir konuya özgülenmiş ve o konu ile sınırlı olması gerektiği,
- Bununla birlikte, açık rıza bir irade beyanı olduğundan, kişinin özgür bir şekilde rıza gösterebilmesi için, neye rıza gösterdiğini de bilmesi gerektiği, ayrıca kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olması beklendiğinden bilgilendirmenin, veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmesi ve mutlaka verinin işlenmesinden önce yapılması gerektiği, diğer yandan, açık rızanın geçerlilik kazanabilmesi için kişinin yaptığı davranışın bilincinde olmasının şart olduğu, bu çerçevede açık rızanın özgür iradeyle açıklanması gerektiğinden, herhangi bir ürün ve/veya hizmetin sunumunun da (ya da herhangi bir üründen ve/veya hizmetten yararlandırılmasının) ilgili kişi tarafından açık rıza verilmesi şartına bağlanmaması, tarafların eşit konumda olmadığı veya taraflardan birinin diğeri üzerinde etkili olduğu durumlarda rızanın özgür iradeyle verilip verilmediğinin dikkatle değerlendirilmesi gerektiği, zira hizmetin açık rıza şartına bağlanması özgür iradeyi ortadan kaldıracağından ilgili kişinin rıza beyanının da hukuken geçerli bir “açık rıza” olarak değerlendirilemeyeceği,
- İlgili Kişinin gerçek iradesi ile uyuşan ve kendi kararına dayanan bir beyan söz konusu değilse yahut rıza göstermemek İlgili Kişiyi rıza göstermekle amaçladığı duruma kıyasla zarara uğratmakta, rızanın daha sonra geri alınması hiçbir şekilde mümkün olmamakta ise rızanın özgür bir irade beyanına dayandığının kabul edilemeyeceği,
- İnceleme dosyası kapsamındaki tüm bilgi ve belgenin bir arada değerlendirilmesi neticesinde şikayet tarihinde yurt dışına veri aktarımına ilişkin açık rıza alınması yönündeki uygulamanın internet sitesi üzerinden yapılan satışlarda söz konusu olduğu, ancak kişisel verilerinin yurt dışına aktarılmasına açık rıza vermeyen müşteriler için müşteri hizmetleri aracılığıyla kullanılabilen alternatif bir satış kanalının bulunduğu ve bu kanalın herhangi bir ek maliyet/yükümlülük öngörmeksizin müşterilere alışveriş olanağı sunduğu, bu doğrultuda İlgili Kişinin herhangi bir zarara uğramadan ve kişisel verilerinin yurt dışına aktarılmasına izin vermek zorunda bırakılmadan ürünü temin edebilecek olduğu, dolayısıyla hizmetin açık rıza şartına bağlanmış sayılamayacağı,
- Veri Sorumlusunun internet sitesi ve üyelik/satış ekranı incelendiğinde şikâyet tarihinde internet sitesinde ve üyelik ekranında yer alan ifadeler ile işbu karar tarihinde ulaşılan sayfalarda yer alan metinlerin farklı olduğunun görüldüğü, internet sitesinin önceki halinde yer alan “Ürün satın alma ile ilgili detaylı bilgi için … numaralı telefonumuzdan Müşteri Hizmetlerimize ulaşabilirsiniz.” şeklindeki ifadenin kişisel verilerinin yurt dışına aktarılmasına açık rıza vermeyen müşterilerin müşteri hizmetleri aracılığıyla sipariş verebilme imkanına sahip olduğunu açıkça ortaya koymadığı, müşterilere şeffaf bir yönlendirme sağlamaktan uzak olduğu, güncel internet sitesinde yapılan değişikliğin alternatif bir satış kanalı bulunduğunun müşteriler tarafından anlaşılmasını hayatın olağan akışında beklenemez hale getirdiği,
- Gizlilik ve aydınlatma metinleri işaretlenmeden satışın gerçekleştirilemediği ve üyelik işleminin yapılamadığı iddiası yönünden; kural olarak Kanun’un 3’üncü maddesinin birinci fıkrasının (ı) bendi uyarınca veri sorumlusu niteliğini haiz kişilerin Kanun’un 10’uncu maddesi uyarınca kişisel verisi işlenen gerçek kişilere karşı aydınlatma yükümlülüğünün uygulama alanı bulduğu, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in “Usul ve Esaslar” başlıklı 5’inci maddesinin birinci fıkrasının (e) bendinde aydınlatma yükümlülüğünün yerine getirildiğinin ispatının veri sorumlusuna ait olduğu hükmünün yer aldığı, söz konusu iki hükmün birlikte değerlendirilmesi neticesinde, gizlilik ve aydınlatma metinleri işaretlenmeksizin üyelik ve satış işlemlerinin gerçekleştirilememesi yönündeki uygulamanın, Veri Sorumlusunun Kanun’dan doğan aydınlatma yükümlülüğünü yerine getirmek üzere benimsediği ve müşterilerin aydınlatma metnini okuyarak bilgilendirilmesi ve bu suretle düşünmeye sevk edilmesi maksadı taşıdığı, bu sebeple Kanun’a aykırılık teşkil etmediği,
- Sağlık verilerinin ticari ve pazarlama amaçlı faaliyetlerde kullanıldığı iddiası yönünden; Veri Sorumlusu tarafından satışa sunulan ürünü satın alan kişilerin diyabet hastası olduğu kanısına varılamayacağından istenen bilgilerin Kanun’un 3’üncü maddesi anlamında kişisel veri olduğu veya ürünü satın alan müşterilerin sağlık verilerinin işlendiği sonucuna varılamayacağı,
- Kişisel verilerin ticari amaçlarla veya pazarlama maksadıyla işlenmesine rıza verilmeksizin de satın alım ve üyelik işlemine devam edilebildiği, İlgili Kişinin kişisel verilerinin pazarlama amacıyla işlenmesi için açık rızasının arandığı ve bu rızanın özgür olarak verilmesini engelleyecek herhangi bir durum olmadığı tespit edildiğinden söz konusu iddia yönünden Veri Sorumlusunun uygulamasının Kanun’a aykırılık teşkil etmediği
değerlendirmelerinden hareketle;
- Gizlilik ve aydınlatma metinleri işaretlenmeksizin üyelik ve satış işlemlerinin gerçekleştirilememesi yönündeki uygulamanın, Veri Sorumlusunun Kanun’dan doğan aydınlatma yükümlülüğünü yerine getirmek üzere benimsendiği ve müşterilerin aydınlatma metnini okuyarak bilgilendirilmesi ve bu suretle düşünmeye sevk edilmesi maksadı taşıdığı; diyabet hastalarının kullanımına sunulan bir ürünün satışının yapılması yolu ile bu ürünü satın alan müşterilerin sağlık verilerinin işlendiği sonucuna varılamayacağı ve bu sebeple özel nitelikli kişisel veri işlendiği iddiasının kabul edilebilir olmadığı; İlgili Kişinin kişisel verilerinin pazarlama amacıyla işlenmesi için açık rızanın arandığı ve somut olayda bu rızanın özgür olarak verilmesini engelleyecek herhangi bir durum olmadığı dikkate alınarak İlgili Kişinin gizlilik ve aydınlatma metinleri işaretlenmeden satışın gerçekleştirilemediği ve üyelik işleminin yapılamadığı, sağlık verilerinin ticari ve pazarlama amaçlı faaliyetlerde kullanıldığı iddiaları yönünden Kanun’a aykırılık bulunmadığına,
- Kişisel verilerin yurt dışına aktarılmasına ilişkin açık rıza metnine onay verilmeksizin satış işleminin gerçekleştirilmediği iddiası yönünden ise şikâyet tarihinde internet sitesi üzerinden yapılan alışverişlerde müşterilerin kişisel verilerinin yurt dışına aktarılmasına ilişkin açık rıza alındığı ancak kişisel verilerinin yurt dışına aktarılmasına rıza göstermeyen müşteriler için müşteri hizmetleri aracılığıyla satış kanalının mevcut olduğu, bu sebeple hizmetin açık rıza şartına bağlanmadığının değerlendirildiği ancak bu Karar tarihinde ise Veri Sorumlusunun internet sitesinde yapılan değişiklik neticesinde alternatif satış kanalının anlaşılmasının neredeyse imkansız hale getirildiği dikkate alınarak şeffaf bir bilgilendirme yapılmasını teminen üyelik ve satış ekranlarında alternatif satış kanalına ilişkin yolun açık ve anlaşılır biçimde gösterilmesi hususunda Veri Sorumlusunun talimatlandırılmasına
karar verilmiştir.
Karar Tarihi | : | 01/06/2023 |
Karar No | : | 2023/938 |
Konu Özeti | : | Bir üniversite tarafından, öğrencisi olan ilgili kişinin elektronik posta adresine günlük elektronik postalar gönderilmesi |
Kuruma intikal ettirilen şikayette özetle;
- İlgili kişinin Üniversitenin öğrencisi olduğu, Üniversite tarafından kendisinin elektronik posta adresine kendisiyle doğrudan alakası olmayan ve içeriklerinin ilgi alanına girmediği günlük elektronik postalar gönderildiği,
- Söz konusu elektronik postaları almak istemediği ve bu konuda üniversiteye birçok defa başvuruda bulunduğu ve e-posta listesinden çıkmak istediğini belirttiği,
- Buna rağmen kişisel verisi niteliğinde olan elektronik posta adresinin Üniversite tarafından işlenmeye ve listede tutulmaya devam edildiği
ifade edilerek gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde ilgili üniversiteden savunması istenilmiş olup alınan cevabi yazıda özetle;
- İlgili kişinin Üniversitenin kurumsal platformu tarafından günlük otomatik olarak gönderilen; akademik ve idari duyuruların ve etkinliklerin sadece konsolide konu listesini içeren özet elektronik postaları almak istemediği,
- Söz konusu elektronik postanın, duyuru ve etkinlik bilgilendirmeleri oluşturulurken tanımlanan ilgili hedef kullanıcı grubuna, günlük periyotta sistem tarafından otomatik olarak gönderildiği ve gönderi içeriğinde muhatap öğrencinin öğretim hakkıyla doğrudan ilgili olan “tüm akademik ve idari duyurulara, eğitim süreçlerine ilişkin güncel bilgilere, kampüs gelişmelerine&etkinliklerine, İş Sağlığı & Güvenliği ve Bilgi Güvenliği” bilgilendirmelerine yer verildiği,
- 2017 öncesinde kurum içi iletişimin elektronik posta ile gerçekleştirildiği ve kullanıcılara bir gün içerisinde farklı akademik ve idari birimlerden çok sayıda elektronik posta geldiği, 2021 yılında ise sadece konsolide konu listesini içeren özet liste niteliğindeki elektronik posta gönderim sürecinin başlatıldığı,
- Söz konusu elektronik postaların, kullanıcılara üniversite tarafından tahsis edilen edu.tr uzantılı kurumsal e-posta adreslerine gönderildiği, şikâyete konu olan elektronik postaların da ilgili kişiye tahsis edilen kurumsal elektronik posta adresine iletildiği,
- İlgili kişiye, şikâyete konu sürecin genel işleyişi hakkında bilgi verildiği ve kişisel olarak bir çözüm sağlayabilmesi için elektronik posta klasör düzenlemesi önerilerinde bulunulduğu,
- Üniversiteye ait platformun iç iletişim fonksiyonu çerçevesinde kullanıcıların meşru menfaatlerini sağlama sorumluluğu, fiziksel güvenlik, iş sağlığı güvenliği ve bilgi güvenliği açısından taşıdığı riskler nedeniyle, kullanıcıların taleplerine istinaden bu gönderim listesinden çıkartılmalarının uygun değerlendirilmediği,
- İlgili kişiye bilgisi verilen geliştirme ve gönderi listesinden çıkarılması sürecinin de bu nedenle iptal edildiği
ifade edilmiştir.
Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 01/06/2023 tarih ve 2023/938 sayılı Kararı ile;
- Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükmünün yer aldığı,
- Kanun’un, “Veri sorumlusunun aydınlatma yükümlülüğü” başlıklı 10 uncu maddesinin (1) numaralı fıkrasında, “Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.” denilerek ilgili kişilere yapılacak bilgilendirmenin asgari olarak içermesi gereken konuların belirtildiği,
- Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin “Usul ve esaslar” başlıklı 5’inci maddesinin (1) numaralı fıkrasının (a) bendinde ilgili kişinin açık rızasına veya Kanundaki diğer işleme şartlarına bağlı olarak kişisel verinin işlendiği her durumda aydınlatma yükümlülüğünün yerine getirilmesi gerektiği; (b) bendinde kişisel veri işleme amacı değiştiğinde, veri işleme faaliyetinden önce bu amaç için aydınlatma yükümlülüğünün ayrıca yerine getirilmesi gerektiği; (ç) bendinde Sicile kayıt yükümlülüğünün bulunması durumunda, aydınlatma yükümlülüğü çerçevesinde ilgili kişiye verilecek bilgilerin, Sicile açıklanan bilgilerle uyumlu olması gerektiği; (d) bendinde aydınlatma yükümlülüğünün yerine getirilmesinin, ilgili kişinin talebine bağlı olmadığı; (e) bendinde Aydınlatma yükümlülüğünün yerine getirildiğinin ispatının veri sorumlusuna ait olduğu; (f) bendinde kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiği; (g) bendinde aydınlatma yükümlülüğü kapsamında açıklanacak kişisel veri işleme amacının belirli, açık ve meşru olması, aydınlatma yükümlülüğü yerine getirilirken, genel nitelikte ve muğlak ifadelere yer verilmemesi ve gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadelerin kullanılmaması gerektiği; (ğ) bendinde aydınlatma yükümlülüğü kapsamında ilgili kişiye yapılacak bildirimin anlaşılır, açık ve sade bir dil kullanılarak gerçekleştirilmesi gerektiği; (h) bendinde Kanun’un 10’ uncu maddesinin (1) numaralı fıkrasının (ç) bendinde yer alan “hukuki sebep” ten kastın, aydınlatma yükümlülüğü kapsamında kişisel verilerin Kanun’un 5 ve 6’ncı maddelerinde belirtilen işleme şartlarından hangisine dayanılarak işlenmesi olduğu ve Aydınlatma yükümlülüğünün yerine getirilmesi esnasında hukuki sebebin açıkça belirtilmesi gerektiği; (ı) bendinde Aydınlatma yükümlülüğü kapsamında, kişisel verilerin aktarılma amacı ve aktarılacak alıcı gruplarının belirtilmesi gerektiği; (i) bendinde aydınlatma yükümlülüğü kapsamında kişisel verilerin, tamamen veya kısmen otomatik yollarla ya da veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yöntemlerden hangisiyle elde edildiğinin açık bir şekilde belirtilmesi gerektiği; (j) bendinde ise Aydınlatma yükümlülüğü yerine getirilirken eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmemesi gerektiği hükümlerinin yer aldığı,
- Yapılan incelemede veri sorumlusu tarafından ilgili kişinin kurumsal elektronik posta adresine farklı tarihlerde elektronik posta gönderildiğinin anlaşıldığı; söz konusu elektronik postaların içeriğinde veri sorumlusu bünyesinde yapılan etkinliklerin, idari faaliyetlerin, eğitim olanaklarının ve veri sorumlusunun yapmış olduğu diğer duyuruların bulunduğunun tespit edildiği; aynı zamanda, söz konusu elektronik postaların veri sorumlusu tarafından ilgili kişiye tahsis edilen edu.tr uzantılı kurumsal elektronik posta adreslerine gönderildiğinin belirtildiği ancak elektronik posta adresinin veri sorumlusu tarafından ilgili kişiye tahsis edilmesinin söz konusu elektronik posta adresinin kişisel veri olma niteliğini değiştirmeyeceği
- İlgili kişi tarafından veri sorumlusunun kurumsal çözüm merkezine söz konusu elektronik postaları almak istemediği ve kendisinin gönderim listesinden çıkarılması talep edilmesine rağmen veri sorumlusunun çözüm merkezi çalışanları tarafından her defasında söz konusu işlemin uzun bir zaman alacağı, üst yönetime bu durumun raporlanacağı ve söz konusu elektronik postalar için ilgili kişi tarafından yapılması istenilen çeşitli çözüm önerileri sunulduğunun anlaşıldığı,
- İlgili kişinin kişisel veri niteliğini haiz kurumsal elektronik posta adresine veri sorumlusu tarafından elektronik postalar gönderilmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinin ikinci fıkrasında (f) bendinde yer alan “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” kapsamında gerçekleştirildiği,
- Bunun yanı sıra, öğrencilere kurumsal elektronik posta adresinden üniversite hakkında duyuru yapılacağına ilişkin bilgilendirmeye aydınlatma metninde yer verilmesi gerektiği,
değerlendirmelerinden hareketle;
- İlgili kişinin kişisel verisi niteliğinde olan şahsına ait kurumsal elektronik posta adresine veri sorumlusu tarafından elektronik postalar gönderilmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinin ikinci fıkrasının (f) bendinde yer alan “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” kapsamında gerçekleştirildiği dikkate alındığında Kanun kapsamında yapılacak işlem bulunmadığına,
- Öğrencilere kurumsal elektronik posta adresinden üniversiteye ilişkin duyuru yapılacağına ilişkin bilgilendirmeye yer verilmek suretiyle aydınlatma metninin güncellenmesi ve sonucundan Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına
karar verilmiştir.
Karar Tarihi | : | 01/06/2023 |
Karar No | : | 2023/932 |
Konu Özeti | : | İlgili kişinin Bankaya iletişim numarası olarak bildirmediği telefon numarasının kredi işlemleri ile ilgili olarak bilgilendirme yapılması suretiyle işlenmesi |
Kuruma intikal ettirilen şikâyette özetle;
- İlgili kişinin cep telefonu numarası aracılığıyla online olarak veri sorumlusu Banka’nın müşterisi olduğu ve aynı gün bireysel kredi başvurusunda bulunduğu,
- Aynı gün içerisinde hem ilgili Banka’ya vermiş olduğu telefon numarasına hem de adına kayıtlı olan ama Banka ile olan işlemlerinde kullanmadığı telefon numarasına kredi başvurusu ile ilgili ve içeriği farklı kısa mesajlar iletildiği,
- Bu konu ile ilgili olarak yaptığı ilk başvuruya verilen cevapta Banka’nın şikayet konusu numarayı Kredi Kayıt Bürosu’ndan (KKB) aldığını belirttiği, yaptığı ikinci başvuruya Banka tarafından verilen cevapta ise şikayet konusu numaranın diğer bankalarla yapılmış olan sözleşmelere istinaden başka bankalardan alındığının belirtildiği,
- KKB’nin internet sitesinde araştırma yaptığında ise ilgili kuruluşta kayıtlı telefon numarasının Banka’ya vermiş olduğu telefon numarası ile aynı olduğu yani şikayet konusu numara olmadığı
ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gerekli işlemlerin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup verilen cevapta özetle;
- Kredi Kayıt Bürosu AŞ’nin (KKB) 9 bankanın ortaklığında 1995 yılında kurulduğu, bankalar, tüketici finansman şirketleri, leasing, faktoring, sigorta şirketleri, varlık yönetim şirketleri başta olmak üzere 150'yi aşkın yakın üyesinin bulunduğu, üyeleri ile gizlilik hükümlerini de içeren veri aktarım sözleşmesi imzalamış olduğu, Türkiye Cumhuriyeti Merkez Bankası’nın (TCMB) geçmişte üstlendiği risk santralizasyon görevini devralan Türkiye Bankalar Birliği (TBB) Risk Merkezi'nin tüm operasyonel ve teknik faaliyetlerini vekaleten kendi bünyesinde barındırdığı, bu açıdan şikayet özelinde de bankaların kredilendirme süreçlerinde karar almasına teşkil edebilecek ilgili tüm veri akışını, kredi kuruluşlarına sağlayan ülkemizin resmi kredi bürosu niteliğinde kuruluşu olduğu,
- 5411 sayılı Bankacılık Kanunu'nda öngörüldüğü üzere (md.73/4), KKB'de üye statüsünde bulunan finansal kuruluşların, müşterilerine ait kredi bilgilerini Nisan 1999'dan bu yana birbirleriyle, amaçla sınırlı ve ölçülü şekilde paylaştığı, veri sorumlusu Banka’nın da KKB'ye üye statüsünde bir kurum olduğu,
- Bu kapsamda, ülkemizde yerel kredi bürosu işlevi gören KKB’nin; üye kurumlar arasında, kredi müşterilerine ait detaylı bilgileri, kredi riskinin minimize edilmesine olanak sağlamak üzere paylaştığı, söz konusu veri aktarımlarının çeşitli çerçeve sözleşme, protokol, genelge hükümlerine göre yürütüldüğü,
- Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Yönetmeliği’nin 36’ncı maddesinin 1’inci fıkrasında; “Banka, elektronik bankacılık hizmetleri kapsamında gerçekleşen olağan dışı, sahtekarlık amaçlı veya dolandırıcılık riski bulunan işlemleri tespit etmeye ve bunları önlemeye yönelik işlem takip mekanizmaları kurar.” hükmüne, 2’nci fıkrasında ise; “Banka, riskli işlemleri filtreleyerek değerlendirir ve bu filtrelere takılan müşterileri daha yakından takip eder. Riskli işlemlerin gerçekleştirildiğinin tespit edilmesi halinde banka, telefon ya da kısa mesaj gibi uygun yöntemlerle müşterilerin en kısa sürede uyarılmasını sağlar.” hükmüne yer verildiği,
- Bu çerçevede, söz konusu alternatif iletişim bilgisine, ilgili yönetmelik kapsamında yerine getirmekle yükümlü olduğu başvuru güvenliği/dolandırıcılığın önlenmesi sürecinde, veri sorumlusunun KKB ile imzalamış olduğu veri aktarım sözleşmesi çerçevesinde, gerekli teknik ve idari tedbirlerin alınması suretiyle ve sistem entegrasyonu aracılığıyla ilgili BT servisleri üzerinden otomatik olarak veya bankadaki görev tanımları dolandırıcılık girişimlerini önlemek olan sorumlu ekip üyelerince manuel olarak erişildiği,
- KKB kayıtlarında; kişinin kredi başvuru sürecinde beyan ettiği iletişim bilgisinden farklı bir numaranın tespit edildiği, bu durumun potansiyel bir dolandırıcılık işlemine dair erken uyarı sinyali olarak algılandığı ve KKB'de kayıtlı en güncel iletişim bilgileri üzerinden ilgili kişi ile iletişime geçildiği, bu kapsamda KKB kayıtlarında yer alan alternatif iletişim numarasına, dolandırıcılık önleme amaçlı, genel bilgilendirme/uyarı mesajı iletildiği, iletilen mesajın içeriğinde kişisel veri ifşasına yer verilmediği,
- Nihayetinde ilgili kişinin KKB kayıtlarından elde edilen alternatif mobil iletişim numarasının; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, kanunlarda açıkça öngörülmesi ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hukuki sebeplerine dayalı olarak işlendiği
ifade edilmiştir.
Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 01/06/2023 tarihli ve 2023/932 sayılı Kararı ile;
- Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin 1’inci fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, 2’nci fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
- Veri sorumlusunun; ilgili kişinin kredi talebi sürecinde müşterinin beyan ettiği ve sistemleri aracılığıyla makul yöntemlerle (SMS OTP) doğrulanmış mobil iletişim bilgisinin kaydedildiği, söz konusu alternatif iletişim bilgisine, bankaların kanunen yerine getirmekle yükümlü olduğu başvuru güvenliği/dolandırıcılığın önlenmesi sürecinde, veri sorumlusunun Kredi Kayıt Bürosu (KKB) ile imzalamış olduğu veri aktarım sözleşmesi çerçevesinde, gerekli teknik ve idari tedbirlerin alınması suretiyle, sistem entegrasyonu aracılığıyla ilgili BT servisleri üzerinden otomatik olarak veya bankadaki görev tanımları dolandırıcılık girişimlerini önlemek olan sorumlu ekip üyelerince manuel olarak erişildiği,
- 5411 sayılı Bankacılık Kanunu’nun 73’üncü maddesinin 4’üncü fıkrasında “Kurumun gözetim ve denetimine tabi kuruluşların, bunların ortaklarına, bağlı ortaklık, iştirak, birlikte kontrol edilen ortaklıklarının faaliyetlerine veya müşterilerine ilişkin yabancı ülke kanunlarına göre denetime yetkili ve Kurum muadili mercilerin taleplerinin Kurumca karşılanması, gizlilik sözleşmesi yapılması ve sadece belirtilen amaçlar ile sınırlı kılınması koşuluyla bankaların ve finansal kuruluşların, kendi aralarında doğrudan doğruya ya da risk merkezi veya en az beş banka ya da finansal kuruluş tarafından kurulacak şirketler vasıtasıyla yapacakları her türlü bilgi ve belge alışverişinin yanı sıra doğrudan veya dolaylı pay sahipliği yoluyla sermayelerinin yüzde onunu ve daha fazlasını temsil eden paylarının satışı amacıyla muhtemel alıcıların yapacakları değerleme çalışmalarında ya da sermayelerinin yüzde on veya daha fazlasına sahip olan yurt içinde veya yurt dışında yerleşik kredi kuruluşu ile finansal kuruluşlar da dâhil ana ortaklıkların konsolide finansal tablo hazırlama çalışmalarında, risk yönetimi ve iç denetim uygulamalarında veya kredileri de dâhil varlıklarının ya da bunlara dayalı menkul kıymetlerin satışı amacıyla yapılacak değerleme çalışmalarında ya da değerleme, derecelendirme veya destek hizmeti alınması ile bağımsız denetim faaliyetlerinde ve gerekli tedbirlerin alınması kaydıyla hizmet alımlarına yönelik işlemlerde kullanılmak üzere bilgi ve belge taleplerinin karşılanması sırasında banka ya da müşteri sırrı niteliğindeki bilgilerin öğrenilmesi sır saklama yükümlülüğü dışındadır.” hükmünün bulunduğu,
- Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik’in (Yönetmelik) “Kimlik Doğrulama ve İşlem Güvenliği” başlıklı 34’üncü maddesinde;” (1) Bu Yönetmelikte aksi belirtilmedikçe, müşteri bilgilerinin görüntülenmesi gibi finansal sonuç doğurmayan işlemler de dâhil olmak üzere elektronik bankacılık hizmetleri için bankaların müşterilerine birbirinden bağımsız en az iki bileşenden oluşan bir kimlik doğrulama mekanizması uygulaması ve bu bileşenlerin kimlik doğrulama sürecinde kullanılmaları esnasında barındırdıkları kimlik doğrulama verilerinin gizliliğini sağlayacak önlemleri alması esastır. Bu iki bileşen; müşterinin “bildiği”, “sahip olduğu” veya “biyometrik bir karakteristiği olan” unsur sınıflarından farklı ikisine ait olmak üzere seçilir. Bileşenlerin bağımsız olması, bir bileşenin ele geçirilmesinin diğer bileşenin güvenliğini tehlikeye atmamasını ifade eder. Müşterinin sahip olduğu bileşenin müşteriye özgü olması ve taklit edilememesi esastır.” düzenlemesinin yer aldığı,
- İlgili Yönetmelik’in 36’ncı maddesinin 1’inci fıkrasında “Banka, elektronik bankacılık hizmetleri kapsamında gerçekleşen olağan dışı, sahtekarlık amaçlı veya dolandırıcılık riski bulunan işlemleri tespit etmeye ve bunları önlemeye yönelik işlem takip mekanizmaları kurar.” hükmüne, 2’nci fıkrasında ise “Banka, riskli işlemleri filtreleyerek değerlendirir ve bu filtrelere takılan müşterileri daha yakından takip eder. Riskli işlemlerin gerçekleştirildiğinin tespit edilmesi halinde banka, telefon ya da kısa mesaj gibi uygun yöntemlerle müşterilerin en kısa sürede uyarılmasını sağlar.” hükmüne yer verildiği,
- İlgili kişinin alternatif telefon numarasına erişim sağlanan kanal olan KKB’nin söz konusu veri işleme faaliyetindeki rolüne ilişkin olarak ise; 5411 Sayılı Bankacılık Kanunu’nda yer alan Ek Madde 1 ile Türkiye Bankalar Birliği (TBB) nezdinde Risk Merkezi’nin (RM) kurulduğu, RM’nin görevinin kredi kuruluşları ile Bankacılık Düzenleme ve Denetleme Kurulunca uygun görülecek finansal kuruluşların müşterilerinin risk bilgilerini toplamak ve söz konusu bilgileri bu kuruluşlar ile gerçek veya tüzel kişilerin kendileriyle ya da onay vermeleri koşuluyla özel hukuk tüzel kişileri ve üçüncü gerçek kişiler ile de paylaşılmasını sağlamak olduğu, Türkiye Cumhuriyet Merkez Bankası (TCMB) nezdindeki Risk Santralizasyon Merkezi’nin devri ile TBB Risk Merkezi’nin 28.06.2013 tarihinde faaliyete geçtiği, KKB’nin ise TBB Risk Merkezi’ne vekâleten tüm operasyonel ve teknik faaliyetleri kendi bünyesinde yürüttüğü, ayrıca 185 Risk Merkezi üyesi finansal kuruluşa veri toplama ve paylaşım hizmeti verdiği,
- Bu çerçevede; ilgili kişinin, veri sorumlusunun online banka müşterisi olması akabinde 19.08.2022 tarihinde veri sorumlusuna kredi başvurusunda bulunduğu, öncelikle ilgili kişi tarafından Bankaya iletişim bilgisi olarak verilmiş olan telefonuna kredi işlemlerine ilişkin bir bilginin iletildiği, aynı zamanda KKB kayıtlarında kişinin kredi başvuru sürecinde beyan ettiği iletişim bilgisine rastlanmadığı, farklı numaraların varlığının tespiti halinde bu durumun potansiyel bir dolandırıcılık işlemine dair erken uyarı sinyali olarak algılandığı ve ilgili kişiye ait KKB'de kayıtlı en güncel iletişim bilgileri üzerinden başvuru sahibi ile iletişime geçildiği, söz konusu telefon numarasının KKB kayıtlarından edinildiği, söz konusu mesajın KKB’de kayıtlı adrese iletilmesi suretiyle gerçekleştirilen işlemin, sahte bir kimlik ile beraber alternatif bir iletişim numarası kullanılarak gerçekleştirilebilecek bir kredi başvurusunun banka tarafından sehven onaylanması halinde hem bankanın ilave zarara maruz kalmamasına hem de gerçekte borç ile hiçbir ilişkisi olmayan bir müşterinin ilave maddi/hukuki yük altına girmesinin engellenmesine hizmet ettiği, söz konusu işlemlerin Bankacılık Kanunu ve Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik uyarınca gerçekleştirildiği,
- İlgili kişi tarafından KKB risk merkezinde de bankaya verilen numaranın kayıtlı olduğu iddia edilmekle birlikte KKB nezdinde Banka tarafından yapılan sorgulamada ekranında KİŞİSEL BİLGİLER başlığı altında ilgili kişinin Cep Telefonu olarak şikayete konu telefon numarasının yer aldığı görülmekte olup bu anlamda ilgili kişinin Kredi Kayıt Bürosu’nun kayıtlarının hangi kapsamda güncellendiği yönündeki bilgi talebi ve Kredi Kayıt Bürosu tarafından Bankalara sağlanan bilgilerin kapsamının yanlış veya güncel olmadığı yönünde iddiaları mevcut ise ilgili kişi tarafından öncelikle Kredi Kayıt Bürosu nezdinde bu talep ve iddiaların ileri sürülmesi gerektiği
değerlendirmelerinden hareketle;
- Veri sorumlusu tarafından ilgili kişinin iletişim numarası olarak bildirmediği telefon numarasının kredi işlemleri ile ilgili olarak bilgilendirme yapılması suretiyle işlenmesinin Kanunun 5’inci maddesinin 2’nci fıkrasının (a) bendinde yer alan “Kanunlarda açıkça öngörülmesi”, (ç) bendinde yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartlarına dayalı olarak gerçekleştirildiği değerlendirildiğinden veri sorumlusu hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına,
- İlgili kişinin KKB kayıtlarının hangi kapsamda güncellendiği yönündeki bilgi talebi ve KKB tarafından Bankalara sağlanan bilgilerin kapsamının yanlış veya güncel olmadığı yönünde iddiaları mevcut ise ilgili kişi tarafından öncelikle KKB nezdinde bu talep ve iddiaların ileri sürülmesi gerektiği hususunun ilgili kişiye hatırlatılmasına
karar verilmiştir.
Karar Tarihi | : | 28/09/2023 |
Karar No | : | 2023/1645 |
Konu Özeti | : | Geniş katılımlı çevrim içi bir oyunun Türkiye’deki dağıtıcısı ve tek yetkilisi konumundaki veri sorumlusu tarafından kişisel verilerin hukuka aykırı işlenmesi |
Kuruma intikal ettirilen şikâyet dilekçesinde özetle;
- Veri sorumlusunun, geniş katılımlı çevrim içi bir oyunun Türkiye’deki dağıtıcısı ve tek yetkilisi konumunda olduğu ve Türkiye'deki kullanıcılar için oyun adına her türlü işlemi yapan ve tüm ticari gelirleri elde eden firma olduğu,
- İlgili kişinin, Kişisel Verilerin Korunması Kanunu’nun (Kanun) 11’inci maddesi kapsamındaki haklarını kullanmak amacıyla veri sorumlusuna başvurduğu ancak kendisine verilen yanıtta pek çok talebinin yanıtsız bırakıldığı veya yanıltıcı ve eksik bilgi verildiği, veri sorumlusu tarafından verilen cevapta birçok mevzuattan bahsedildiği ancak hangi kişisel verinin hangi amaç ve hangi hukuki sebeple bu mevzuatlara dayanılarak işlendiğinin bildirilmediği,
- Veri sorumlusu tarafından verilen, kişisel verilerin adli ve idari kurumlar dışında yurt içinde veya yurt dışında herhangi bir yere aktarılmadığı şeklindeki cevabın tamamen gerçek dışı olduğu, veri sorumlusunun internet sitesinde yer alan ve "aydınlatma metni" olduğu belirtilen bilgilendirme yazısının, yine internet sitesinde yayımlanan gizlilik politikasının ve çerez politikasının incelenmesi neticesinde kişisel verilerin yurt dışına aktarıldığının kolaylıkla anlaşılabileceği,
- Veri sorumlusu tarafından "hile ve dolandırıcılığı önlemek" amacı ile üçüncü taraf bir yazılım kullanıldığı, bu yazılımın oyuna her giriş sırasında çalıştığı ve o an bilgisayarda bulunan tüm dosya ve yazılımları taradığı ve oyun açık kaldığı sürece bu yazılımın çalışmaya devam ettiği, söz konusu yazılımın sahibi olan firmanın lisans sözleşmesinin incelenmesi neticesinde bu yazılım aracılığıyla da kişisel verilerin hukuka aykırı olarak elde edilerek yurt dışına aktarıldığının anlaşıldığı,
- Veri sorumlusunun "yalnızca IP adresi ile tespit yapıyoruz" ifadesinin gerçeğe aykırı olduğu, bir kişinin cihazında hangi yazılımın çalıştığının yalnızca IP adresi ile tespit edilmesinin teknik olarak imkânsız olduğu,
- Veri sorumlusunun internet sitesinde yer alan gizlilik politikasının, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun olmadığı
ifade edilerek Kanun kapsamında gerekli işlemlerin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde şikâyet edilen veri sorumlusundan savunması talep edilmiş olup veri sorumlusu tarafından verilen cevapta özetle;
- Şirketlerinin ortaklık yapısının tamamen yabancı uyruklu hissedarlardan oluştuğu, şirketin yer aldığı sektörün oyuncu-geliştirici, oyuncu-yayıncı, oyuncu-oyuncu, lisans veren-lisans alan, marka hakkı sahibi-marka hakkını kullanan vb. kimseler arasında akdedilecek dijital oyun sözleşmeleri hazırlanması üzerine kurulu olduğu, böylece ortaklarının yabancı olmasının da iş süreçleri bakımından kişisel verilerin yurt dışına aktarımını zorunlu kıldığı, oyun hizmetleri kapsamında kullanılan bütün sunucuların Türkiye'de tutulduğu,
- İlgili kişinin işlenen kişisel verilerinin, oyuna kayıt olunabilmesi amacıyla "e-posta adresi, IP adresi" ve kendisi tarafından güvenli giriş uygulaması seçildiyse bu verilere ek olarak "cep telefonu numarası" olduğu, söz konusu kişisel verilerin 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun ve bu kanuna bağlı mevzuat, Türk Borçlar Kanunu'nun 419/3 maddesi, 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve bağlı mevzuat, Türk Ceza Kanunu ve 6698 sayılı Kanun başta olmak üzere, ilgili mevzuattan kaynaklanan yasal yükümlülüklerinin yerine getirilebilmesi amacıyla 6698 sayılı Kanun'un 5’inci maddesinin 2‘nci fıkrasının (ç) bendi doğrultusunda ve meşru menfaatlerin sağlanması amacıyla ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Kanun’un 5’inci maddesinin 2’nci fıkrasının (f) bendi doğrultusunda işlendiği,
- Oyun içerisinde ürün satın alınabilse de kredi kartı bilgilerinin aracı hizmet sağlayıcısı tarafından işlendiği ve hiçbir kredi kartı bilgisi, ad, soyadı bilgisinin taraflarınca işlenmediği,
- Kişisel verilerin yasal yükümlülüklerin yerine getirilmesi amacıyla Kanun'un 8’inci maddesinin 2’inci fıkrasının (a) bendi ve Kanun'un 5’inci maddesinin 2’nci fıkrasının (ç) bendi uyarınca adli makamlarla paylaşılması haricinde tedarikçi de dahil olmak üzere kullanıcıların kişisel verilerinin kimse ile paylaşılmadığı,
- İlgili kişinin 23.05.2020 tarihinde kendilerine başvurduğu ve 22.06.2020 tarihinde ilgili kişiye cevap verildiği,
- Hiçbir oyuncudan "ad, soyadı, TCKN" gibi, oyuncu ile oyun karakterlerinin ve oyundaki eşyaların eşleştirilmesini sağlayacak kişisel veri talep edilmediği, ilgili kişilerden oyun hizmeti kapsamında "e-posta adresi"nin talep edildiği, oyuncuların takma isimlerle oyuna giriş yaptığı, e-posta adreslerinin de kişilerin gerçek adlarını içermediği, çevrim içi oyunlar bakımından genel teamülün de bu olduğu,
- İlgili kişinin; oyun alışveriş kayıtları, hareket kayıtları, eşya kayıtları, karakter bilgileri, sunucu bilgileri vb. bilgilerin kişisel veri niteliğine sahip olduğunu belirttiği, ancak bahsi geçen bu güçlendiriciler veya ürünlere her oyuncunun sahip olabildiği, bu nedenle de bir gerçek kişiyi belirli veya belirlenebilir kılmasının mümkün olmadığı, ayrıca oyunda belirli sayıda sunucu olması nedeniyle kullanıcıların sadece oluşturulmuş mevcut sunuculardan giriş yapabildiği, bu sunuculardan kişilerin belirlenebilir veya belirli kılınmasının mümkün olmadığı,
- Hile ve dolandırıcılık faaliyetlerini tespit etmek amacıyla özel bir yazılım kullanıldığı, ilgili kişinin şikayetinde belirttiğinin aksine bu yazılımın kişilerin bilgisayarındaki tüm dosyaları taramasının, kamera ve mikrofona erişmesinin söz konusu olmadığı, bu yazılımın çalışma mantığının anti-virüs programları gibi bilgisayarda tarama yapmak olmadığı, hile ve dolandırıcılık programlarının sıfırlardan ve birlerden oluşan kodlarını tespit etmeyi amaçladığı, bunun için de bilgisayardaki tüm dosyaların değil kendi içerisine tanımlanmış hile ve dolandırıcılık yazılımlarının exe dosyası kodunu taradığı, ayrıca yazılım aracılığıyla hiçbir şekilde yurt dışına kişisel veri aktarılmadığı,
- Veri sorumlusu olarak kişisel verilerin korunması konusunda gerekli azami özeni gösterdikleri,
- Sadece internet sitesinin çalışması için zorunlu olan çerezlerin kullanıldığı, bu çerezler dışında pazarlama vb. amaçlarla çerez kullanılmadığı, çerez politikasının internet sitesinin ziyaret edildiği durumda “pop-up” olarak ekranda yer aldığı,
- İnternet sitesinde yer alan aydınlatma metni ve gizlilik politikasının, Kanun’un yürürlüğe girdiği dönemden önce hazırlandığı, bu nedenle aydınlatma metni ile gizlilik politikasının güncellenmesi ve mevcut veri işleme faaliyetlerine uygun hale getirilmesi amacıyla yeni bir uyum sürecinin başlatıldığı
ifade edilmiştir.
Söz konusu cevap metninden, “veri sorumlusu tarafından ilgili kişinin kişisel verisi niteliğindeki e-posta adresi ve IP adresinin yurtdışına aktarımının yapılıp yapılmadığı hususunda kesin bir kanaate varılamadığından” veri sorumlusunun ofisi ve hizmet aldığı bir diğer firmanın merkezinin ziyaret edilmesi suretiyle yerinde inceleme gerçekleştirilmiştir. Bu inceleme neticesinde, kişisel verilerin yurtdışına aktarımı hususunda veri sorumlusu tarafından;
- Oyun kullanıcılarının/üyelerin kişisel verilerinin (kullanıcı adı, e-posta adresi, şifre ve kullanıcı tarafından sağlanması halinde cep telefonu numarasının) yurt dışına aktarılmadığı, yurt dışında bulunan hissedarlara kullanıcı verilerinin aktarılmadığı,
- Kullanıcılara oyun hizmetinin sunulabilmesi için satın alınan 10 fiziksel sunucu ile bu fiziksel sunuculara bağlı olarak oluşturulan sanal sunucular ile kiralanan 1 adet fiziksel sunucunun; bu konuda hizmet alınan firmanın sistem odasında bulunduğu, sunucuların fiziksel güvenliğinin ilgili firma tarafından sağlandığı,
- Yurt dışında bulunan herhangi bir sunucuyla bağlantı sağlanmadığı,
- Lisansına sahip olunan hissedar yabancı şirket tarafından doğrudan gönderilmesi nedeniyle Kullanıcı Sözleşmesi ve Gizlilik Politikasının içeriğine müdahil olunamadığı, Kişisel Verileri Koruma Politikası ve Kayıt Ol Aydınlatma Metni’nin, bu dokümanlara paralel olarak hazırlandığı ve internet sitesinde yer alan tüm dokümanların Kanun’a ve ilgili mevzuata uygun hale getirilmesine ilişkin revizyon çalışmasının devam ettiği,
- Günlük ve haftalık olarak yedekleme alındığı, yedeklerin bir kısmının bir bulut bilişim platformunda tutulduğu, kopyaların “Portal veri tabanı” ve “Oyuncu veri tabanı” olmak üzere 2 farklı şekilde tutulduğu, söz konusu veri tabanlarından “Portal veri tabanı”nda kişisel verilerin yer aldığı, portal veri tabanının veri sorumlusu şirket içerisinde tutulduğu ve dışardan erişimin bulunmadığı, bulut bilişim platformuna aktarılan yedekler içerisinde “Portal veri tabanı” yedeklerinin yer almadığı
ifade edilmiştir.
Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 28/09/2023 tarihli ve 2023/1645 sayılı Kararı ile;
- Gözetleme yazılımı aracılığıyla kişisel verilerin hukuka aykırı işlenmesi” iddiası hakkında; veri sorumlusunun Türkiye’deki dağıtıcısı ve tek yetkilisi konumunda olduğu çevrim içi oyun tarzındaki oyunlarda oyuncuların sahtecilik, hile yapma ve hesapları başkalarına satma ihtimallerinin yüksek olduğu, bu işlemi gerçekleştirebilmek amacıyla oyuncuların oyunu bizzat kendisi oynamadan bot yazılımları (Tekrarlayan, otomatik çalışan ve önceden tanımlanmış görevleri yerine getiren bir yazılım programıdır. Botlar genellikle insan kullanıcıların davranışlarını taklit eder veya onların yerini alır. Otomatik oldukları için insan kullanıcılardan çok daha hızlı çalışırlar. Müşteri hizmetleri veya dizin oluşturma arama motorları gibi kullanışlı işlevleri gerçekleştirebilecekleri gibi, bir bilgisayar üzerinde tam kontrol sağlamak amaçlı kötü amaçlı yazılım biçiminde de kullanılabilirler.) aracılığıyla otomatize edilmiş bir şekilde oyunun ilerletilmesini sağlayabildiği ve bu sayede oyun içerisinde seviye yükseltme, karakter geliştirme gibi işlemleri yapabildiği, söz konusu bot yazılımların internet üzerinde tek bir IP üzerinden bu işlemi gerçekleştirmediği ve VPN (Virtual Private Network - uzaktan erişim yoluyla farklı ağlara bağlanmayı sağlayan internet teknolojisi) aracılığı ile IP adresinin bu süreç içerisinde değiştirildiği; veri sorumlusunun kullandığı özel yazılımın ise oyun açıldığı anda bilgisayar içerisinde açılan veya açılmış olan exe’lerin (executable file - Windows bilgisayarlarda bir programın kurulumuna izin veren dosyaların uzantıları exe. şeklinde olup exe. uzantılı dosyalar Windows işletim sistemlerine farklı programların yüklenmesini ve kurulmasını sağlarlar.) analizini gerçekleştirerek oyuncunun bir bot yazılımı kullanıp kullanmadığını tespit etmeye çalıştığı, bu yazılımın sadece bilgisayardaki açık olan exe’lerin türünü ayırt etmeye çalıştığı, sahtecilik ve hile yapma göstergelerinden biri olan IP değişiminin de yine bu yazılım üzerinden takip edildiği, burada internet üzerinden bilgi transferinin yapılmadığı IP adresinin takip edildiği bilgisinin elde edildiği, sonuç itibariyle veri sorumlusunun şikayete konu edilen özel yazılımı oyun kullanıcılarının hile ve sahtekarlığa başvurup başvurmadığını tespit amacıyla kullandığı, bu kullanım sırasında oyuncuların bilgisayarındaki kişisel verilere erişim sağlamak suretiyle hukuka aykırı kişisel veri işleme faaliyetinde bulunulmadığı,
- Aydınlatma yükümlülüğünün yerine getirilmesi hakkında;
- Kanun’un “Veri sorumlusunun aydınlatma yükümlülüğü” başlıklı 10’uncu maddesi uyarınca, veri sorumlusu veya yetkilendirdiği kişinin, kişisel verilerin elde edilmesi sırasında ilgili kişilere veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, 11’inci maddede sayılan diğer hakları konusunda bilgi vermekle yükümlü olduğu, ayrıca Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in 5’inci maddesinde aydınlatma yükümlülüğüne ilişkin “Usul ve Esaslar”ın kapsamlı bir biçimde açıklandığı,
- Veri sorumlusunun internet sitesinin incelenmesi neticesinde, kişisel veri işleme faaliyetine ilişkin olarak “Kayıt Ol Aydınlatma Metni”, “Kişisel Veri Koruma Politikası” ve “Gizlilik Politikası” metinlerinin yer aldığının tespit edildiği, “Kayıt Ol Aydınlatma Metni” ile “Kişisel Veri Koruma Politikası” metinlerinin veri sorumlusu tarafından, “Gizlilik Politikası”nın ise veri sorumlusunun büyük hissedarı olan yabancı menşeili şirket tarafından hazırlandığı,
- Veri sorumlusu tarafından sunulan çevrim içi sanal oyun hizmetinden faydalanmak isteyen ilgili kişilerin üyelik kaydı oluşturmasının gerektiği, üyelik kaydı oluşturulurken, ilgili kişilerin “Kayıt Ol Aydınlatma Metni” ile “Gizlilik Politikası”nı okuduğuna, anladığına ve kabul ettiğine dair kutucuğu işaretlemelerinin talep edildiğinin görüldüğü, “Kayıt Ol Aydınlatma Metni” incelendiğinde veri sorumlusu tarafından üyelik kaydı oluşturacak olan ilgili kişilere yönelik hazırlandığı ve genel olarak Kanun’un 10’uncu maddesine ve Aydınlatma Tebliği’ne uygun olduğu görülmekle birlikte “… paylaşılabilir.” gibi muğlak ifadelere yer verilmemesi gerektiği,
- “Gizlilik Politikası” başlıklı metin incelendiğinde; ilgili metnin veri sorumlusunun büyük hissedarı olan şirket tarafından ziyaretçilere, kullanıcılara ve müşterilere sunulan bir çevrim içi gizlilik politikası olduğu ve söz konusu şirketin ayrı bir veri sorumlusu olduğu kanaatine varıldığı, metinde genel olarak; toplanan bilgi türleri (çocukların kişisel verilerinin işlenmesi; ilgili kişiler tarafından sağlanan tanılanabilir şahsi bilgiler; teknolojiler, yöntemler ve/veya servisler aracılığıyla toplanan bilgiler) ve bu bilgilerin e-posta adresi, cinsiyet, telefon numarası, ev adresi, doğum tarihi, IP adresi gibi bilgileri kapsadığı; elde edilen bilgilerin şirket tarafından kullanımı ve paylaşımı (ticari amaçlı kurum içi kullanımı; ticari amaçlı üçüncü partilerin kullanımı ve/veya paylaşımı; promosyon, yarışma ve/veya çekiliş durumları; satın alma, satma, tasfiye, birleşme; bilgilerin iş dışı sebeplerle ifşası, kullanımı ve/veya paylaşımına ilişkin açıklamalar) ile kişisel bilgilerin güncelliğinin sağlanması hususlarına yer verildiği, söz konusu metnin Kanun’un 10’uncu maddesi ve Aydınlatma Tebliği ile uyumlu olmadığının tespit edildiği, bu nedenle ilgili kişilere üyelik kaydı sırasında sunulan ve Kullanıcı Sözleşmesinde de kabul edildiği varsayılan bu metnin diğer metinlerle tutarlı olarak Kanun’a uygun hale getirilmesi veya kaldırılması gerektiği,
- “Kişisel Veri Koruma Politikası” metninde ise kişisel verilerin işlenmesi faaliyetine ilişkin genel bilgilere yer verilmiş olmakla birlikte diğer iki metin ile karşılaştırıldığında daha geniş bir ilgili kişi kategorisine (çalışan adayı, çalışan, hissedar/ortak, tedarikçi çalışanı, tedarikçi yetkilisi, ürün veya hizmet alan kişi, ziyaretçiler) hitap ettiği, veri sorumlusu tarafından yürütülen kişisel veri işleme faaliyetinin amaçları, kişisel veri kategorileri, kişisel verilerin paylaşıldığı tarafların kategorileri ve paylaşma amaçlarına yer verildiği, hangi ilgili kişi grubunun, hangi kişisel verilerinin, hangi amaçla ve hangi hukuki sebebe dayanılarak işlendiği ve hangi üçüncü taraflara aktarıldığının açık bir şekilde anlaşılamadığı, bu nedenle söz konusu metnin Aydınlatma Tebliği’nin 5’inci maddesinin (1) numaralı fıkrasının (g), (ğ) ve (h) bentlerine uygun hale getirilmesi gerektiği,
- Sonuç itibariyle üç farklı metnin sunulmasının ilgili kişiler açısından karmaşık bir durum oluşturduğu, bu hususun yerinde inceleme sırasında da veri sorumlusuna iletildiği ve veri sorumlusunun bu dokümanların Kanun’a uyumlu hale getirilmesi için çalışmalar yürütüldüğünü belirttiği,
- Kişisel verilerin yurtdışına aktarımı hakkında;
- Kanun’un 9’uncu maddesinde “Kişisel verilerin yurt dışına aktarılması” hususunun düzenlendiği, Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rıza “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlanmış olup açık rıza açıklamasının, ilgili kişinin işlenmesine izin verdiği verinin sınırlarını, kapsamını ve gerçekleştirilme biçimini belirlemesini sağladığı, bu kapsamda açık rızanın, rıza veren kişinin olumlu irade beyanını içermesi gerektiği, veri sorumlusunun, veriyi kullanımı sonrasında gerçekleştireceği yurt dışına veri aktarımı gibi ikincil işlemler için ayrıca açık rıza alması gerektiği, açık rızanın alındığına dair ispat yükümlülüğünün veri sorumlusuna ait olduğu,
- Türkiye Ticaret Sicili Gazetesinde yapılan inceleme sonucunda veri sorumlusunun ortaklarının yabancı uyruklu iki farklı şirket olduğu, veri sorumlusunun internet sitesinde yayımladığı dokümanların ve VERBİS sorgu sayfasının, kişisel verilerin yurtdışına aktarımı yönünden incelenmesi sonucunda ise;
- Yabancı uyruklu ortak şirketlerden biri tarafından hazırlanan “Gizlilik Politikası” metninde “…Aşağıdaki gizlilik politikası bize vermiş olduğunuz bireysel tanılanabilir bilgileriniz ve elde ettiğimiz bireysel olmayan tanılanabilir bilgilerinizi nasıl topladığımız, sakladığımız, tuttuğumuz ve kullandığımız, bu maddeler dahil ancak bunlarla sınırlı olmayan tüm aktiviteler hakkında sizi bilgilendirir…” ifadesi ile “Çevrimiçi ürünlerimizdeki ücretli servislerle bağlantılı olarak, üçüncü partilerle ticari ilişkiler kurmak zorundayız. Bu ilişkiler neticesinde müşterilerin istedikleri ücretli servisler ve/veya ürünlerin sistemini başarılı bir şekilde yürütebilmek için müşterilerimizin şahsi tanılanabilir bilgilerinin kaydının tamamını veya bir kısmını paylaşıyoruz.” ifadesinin yer aldığı,
- “Kullanıcı Sözleşmesi” metninde ise “…Şirket bu sözleşmedeki tüm şartlar ve koşulları kabul etmeniz ve gönderilen Davranış Kurallarına uymanız halinde çevrimiçi bilgisayar oyunlarını oynamanıza izin verir. Eğer sözleşmeyi kabul ediyorsanız, lütfen bu sözleşmenin sonundaki “Bu KULLANICI SÖZLEŞMESİ’ni kabul ediyorum” ve “Bu GİZLİLİK POLİTİKASI’nı kabul ediyorum” düğmesine basınız…” ifadesinin yer aldığı, veri sorumlusu internet sitesinde oyun hesabı oluşturmak amacıyla “Kayıt Ol” sekmesine tıklandığında üyeliği gerçekleştirebilmek için “ID, e-posta, şifre” bilgilerinin girilmesi ve “Şunları okuduğumu, anladığımı ve kabul ettiğimi bildiriyorum: Kayıt Ol KVK Aydınlatma Metni, Kullanıcı Sözleşmesi, Gizlilik Politikası ve Davranış Kuralları. Eğer 13 yaşında iseniz ve yaşadığınız ülkedeki reşit olma yaşının altında iseniz, bu Kullanıcı Sözleşmesini ailenizle birlikte gözden geçirmelisiniz.” ifadesinin yer aldığı bir kutucuğun işaretlenmesi gerektiği, “Kayıt Ol Aydınlatma Metni”nde ise veri sorumlusu tarafından ilgili kişilerden temin edilen “ID, e-posta, şifre” gibi kişisel verilerin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” ile (f) bendinde yer alan “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” işleme şartları kapsamında işlendiği; hesap oluşturan kullanıcıların kişisel verilerinin oyun hesabının oluşturulması, oyuncu grubuna katılımların sağlanması, sisteme girişin gerçekleştirilmesi, sunulan ürün ve hizmetlerden faydalanılabilmesi amaçlarıyla iş ortaklarıyla, tedarikçilerle, talep edilmesi ve/veya hukuken gerekmesi halinde yetkili kamu kurum ve kuruluşları, adli makamlar, mahkemeler ve noterler ile Kanun’un 8’inci ve 9’uncu maddelerine uygun olarak paylaşılabileceğinin ifade edildiği,
- “Kişisel Veri Koruma Politikası” başlıklı metinde ise kişisel veri sahibi kategorisinin; çalışan adayı, çalışan, hissedar/ortak, tedarikçi çalışanı, tedarikçi yetkilisi, ürün veya hizmet alan kişi ile ziyaretçileri kapsadığı, kişisel verilerin paylaşıldığı taraf kategorisi kapsamında ise tedarikçiler, yetkili kamu kurum ve kuruluşları ile hissedarların sayıldığı, söz konusu metinde yer alan “ürün ve hizmet alan kişi” kategorisinin, veri sorumlusu internet sitesinde yayımlanan Kayıt Ol Aydınlatma Metnini, Kullanıcı Sözleşmesini ve Gizlilik Politikasını kabul etmek suretiyle veri sorumlusu tarafından internet sitesi üzerinden sunulan çevrim içi sanal bilgisayar oyunu hizmetinden faydalanmak ve istenildiğinde oyun ürünü satın alabilmek amacıyla üyelik hesabı oluşturan ilgili kişileri kapsadığı,
- VERBİS’e kayıtlı olan veri sorumlusunun VERBİS’e kaydettiği bilgiler incelendiğinde; veri konusu kişi grubunun çalışan adayı, çalışan, hissedar/ortak, potansiyel ürün veya hizmet alıcısı, stajyer, tedarikçi çalışanı, tedarikçi yetkilisi ile ürün veya hizmet alan kişileri kapsadığı; yurtdışına aktarılan veri kategorilerinin ise kimlik, iletişim (adres no, e-posta adresi, iletişim adresi, KEP adresi, telefon no) ve işlem güvenliği (IP adresi bilgileri, internet sitesi giriş çıkış bilgileri, şifre ve parola bilgileri) olduğunun görüldüğü,
- Ayrıca “veri sorumlusu tarafından ilgili kişinin kişisel verisi niteliğindeki e-posta adresi ve IP adresinin yurtdışına aktarımının yapılıp yapılmadığı hususunda kesin bir kanaate varılamadığından” veri sorumlusunun ofisi ve hizmet aldığı bir diğer firmanın merkezinin ziyaret edilmesi suretiyle yerinde inceleme yapılması neticesinde; veri sorumlusu tarafından yurt içinde tutulmak üzere 11 oyun sunucusunun satın alındığı, sunuculara ilişkin güvenlik, barındırma vb. hizmetler için bir firma ile sözleşme yapıldığı, veri sorumlusu tarafından sunulan veri tabanlarının yedeklenmesine ilişkin ekran görüntüleri incelenmiş olup bir bulut bilişim platformunda çevrim içi sanal oyunlar kapsamındaki bilgilerin (oyun seviyesi, oyunda kullanılan eşyalar, vb.) yedeklendiği, oyuncuların/üyelerin kişisel verilerinin yedeklenmediğinin tespit edildiği, bu çerçevede veri sorumlusu tarafından oyun sunucularının yurt içinde tutulduğu ve oyun kullanıcısı/üye olan ilgili kişinin kişisel verilerinin yurtdışına aktarımının yapılmadığı kanaatine varıldığı,
- Çerezler aracılığıyla gerçekleştirilen kişisel veri işleme faaliyetinin hukuka uygunluğu hakkında;
- Kurumumuz tarafından yayımlanmış olan “Çerez Uygulamaları Hakkında Rehber”de, veri sorumluları tarafından çerezlerin kullanılması suretiyle kişisel veri işleme faaliyeti gerçekleştirildiğinde dikkat edilmesi gereken hususlara yer verildiği, bu çerçevede özetle; çerezler aracılığıyla kişisel veri işlenirken, “Kriter A: Çerezin sadece, iletişimin elektronik haberleşme şebekesi üzerinden sağlanması amacıyla kullanılması” ve “Kriter B: Çerez kullanımının, abonenin veya kullanıcının hizmet almak için açıkça talep ettiği bilgi toplum hizmetleri için kesinlikle gerekli olması” kriterlerinin göz önünde bulundurulması gerektiği, açık rıza şartına dayanılarak gerçekleştirilecek olan kişisel veri işleme faaliyetinde açık rızanın kullanıcının aktif eylemine (örneğin kullanıcıya sunulan çerez tercihlerinin “opt-in” yönteminin kullanılması) dayanması gerektiği, çerez kapsamında açık rıza alınırken internet sitesine girildiği anda bir çerez yönetim paneli (pop-up ya da bant gibi uygulamalar) çıkması ve söz konusu panelde eşit derecede (renk, büyüklük, punto açısından) “kabul et”, “reddet” ve “tercihler” butonlarının sunulmasının iyi uygulama örneği olabileceği, aydınlatma metninde çerezin adı, kullanım amacı ve kullanım süresi ile birinci veya üçüncü taraf olup olmadığı bilgilerine de açıkça yer verilmesinin yerinde olacağı,
- İlgili kişinin şikayetinde veri sorumlusunun internet sitesinde yayımlanan çerez politikasında açık rızası olmadığı halde "Kullanıcının bu Site'yi ziyaret etmesi, işbu politika kapsamında çerez kullanımına onay verdiği anlamına gelmektedir." denildiği ve yurt dışında bulunan bazı firmaların üçüncü parti çerezleri kullanılarak kişisel verilerinin işlendiği ve yurt dışına aktarıldığını iddia ettiği,
- Veri sorumlusunun internet sitesinde zorunlu çerezler, işlev çerezleri, analiz/performans çerezleri ile hedefleme/reklam çerezlerinin kullanıldığı, çerezlere ilişkin pop-up açıklaması altında “sadece gerekli çerezleri kullanın” ve “tüm çerezlere izin ver” olmak üzere iki seçeneğin sunulduğu, gerekli çerezler dışındaki çerezler yoluyla kişisel veri işleme faaliyeti için “tüm çerezlere izin ver” seçeneğinin sunularak topluca açık rıza alma yoluna gidildiği ve ilgili kişilere tercih etme imkanının sunulmadığı, ancak açık rıza alınmasını gerektiren her bir çerez tipi için seçeneklerin sunulması suretiyle “opt-in” yöntemiyle açık rıza alınması gerektiğinden veri sorumlusunun açık rıza metninin açık rızanın “belirli bir konuya ilişkin olması” ve “özgür iradeyle verilmesi” unsurlarını sakatladığı ve Kanun’un 5’inci maddesi kapsamında hukuka uygun bir kişisel veri işleme faaliyetinin gerçekleştirilmediği,
- Diğer taraftan veri sorumlusunun internet sitesinde yayımlanan “Çerez Beyanı” ve “Çerez Politikası”nda yer alan çerez tablosunda üçüncü taraf çerez sağlayıcıları tarafından çeşitli çerezlerin “gerekli çerezler” kategorisinde kullanıldığının belirtildiği, ancak Çerez Uygulamaları Hakkında Rehber’de de belirtildiği üzere, internet sayfasına üçüncü taraf çerezlerin yerleştirildiği durumlarda hem internet sitesi sahibi hem de üçüncü tarafın, kullanıcıların çerezler hakkında açık bir şekilde bilgilendirilmesini sağlamak ve rızalarını almakla yükümlü olduğu, Türkiye’de faaliyet gösteren internet sitelerinin yurt dışında yerleşik şirketler vasıtasıyla kullandığı çerezler aracılığıyla yurt dışına veri aktarımı faaliyetini gerçekleştirdiği durumlarda, bu veri aktarım faaliyetinin Kanun’un 9’uncu maddesindeki şartlara uygun şekilde yapılması gerektiği dikkate alındığında; ilgili kişilerin açık rızasının alınmadığı ve Kanun’un 9’uncu maddesine aykırı bir şekilde yurtdışına aktarım yapıldığı,
- Çerezler aracılığıyla kişisel veri işlenmesi faaliyetine ilişkin olarak aydınlatma yükümlülüğünün yerine getirilmesi bakımından ise internet sitesinde yer alan “Çerez Politikası” ve “Çerez Beyanı” metinlerindeki tablolarda çerezlere ilişkin farklı bilgilerin yer aldığı tespit edildiğinden tabloların güncellenmesi ve yeknesak hale getirilmesi gerektiği
değerlendirmelerinden hareketle;
- Veri sorumlusuna ait internet sitesinde yayımlanan çerezlere ilişkin pop-up açıklaması altında “sadece gerekli çerezleri kullanın” ve “tüm çerezlere izin ver” olmak üzere iki seçeneğin sunulduğu, “tüm çerezlere izin ver” seçeneği sunularak gerekli çerezler kategorisi dışındaki her bir çerez tipi için topluca açık rıza alma yoluna gidildiği ve ilgili kişilere tercih etme imkanının sunulmadığı, Çerez Beyanı ve Çerez Politikası metinlerinde yer alan çerez tablosunda üçüncü taraf çerez sağlayıcıları tarafından çeşitli çerezlerin “gerekli çerezler” kategorisinde kullanıldığının belirtildiği, üçüncü taraf çerez sağlayıcısının yurt dışında yerleşik bir firma olduğu, veri sorumlusu tarafından internet sitesinde çerezler yoluyla açık rıza şartına dayalı olarak gerçekleştirilen kişisel veri işleme faaliyetinde açık rızanın unsurlarından olan “belirli bir konuya ilişkin olması” ve “özgür iradeyle verilmesi” unsurlarının sağlanmaması nedeniyle açık rızanın sakatlandığı ve Kanun’un 5’inci maddesi kapsamında hukuka uygun bir kişisel veri işleme faaliyetinin gerçekleştirilmediği; diğer taraftan sağlayıcısı yurt dışında yerleşik şirketler olan ve zorunlu çerez kategorisinde bulunan üçüncü taraf çerezler kullanılarak kişisel verilerin yurt dışına aktarımının yapılması suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin Kanun’un 9’uncu maddesinde belirtilen yurt dışına veri aktarım şartlara dayanmaması nedeniyle hukuka aykırı olduğu kanaatine varılmış olup Kanun’un 12’inci maddesinde düzenlenen veri güvenliği yükümlülüklerine aykırı hareket ettiği değerlendirilen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 750.000 TL idari para cezası uygulanmasına,
- Çerez Politikası ve Çerez Beyanı metinlerinin birbiri ile tutarlı ve uyumlu olacak şekilde, Çerez Uygulamaları Hakkında Rehber de dikkate alınmak suretiyle Kanun’un 10’uncu maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun hale getirilmesi, söz konusu metinlerde çerezler yoluyla kişisel verilerin yurt dışına aktarımının yapıldığı hususuna yer verilmesi ve Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
- Çerezler yoluyla kişisel verilerin yurt dışına aktarımı için ilgili kişilerden ayrıca açık rıza alınmasına yönelik gerekli düzenlemelerin internet sitesinde yapılması ve Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
- Veri sorumlusunun internet sitesinde yayımlanan kişisel verilerin işlenmesi faaliyetine ilişkin “Gizlilik Politikası”, “Kayıt Ol Aydınlatma Metni” ve “Kişisel Veri Koruma Politikası” başlıklı metinlerin birbirleriyle ve VERBİS’e işlenen bilgiler ile tutarlı ve uyumlu olacak şekilde Kanun’un 10’uncu maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun hale getirilmesi ve Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
- Veri sorumlusuna ait internet sitesinde sunulan çevrim içi oyun hizmetinde, oyun sunucularının yurtiçinde tutulması nedeniyle oyun sunucuları üzerinden oyuncuların/üyelerin kişisel verilerinin yurtdışına aktarımının yapılmadığı dikkate alındığında; web sitesinde yayımlanan “Gizlilik Politikası”, “Kullanıcı Sözleşmesi”, “Kayıt Ol Aydınlatma Metni” ve “Kişisel Veri Koruma Politikası”nın ve VERBİS kaydının kişisel verilerin yurt dışına aktarımı ile ilgili bölümlerinin güncellenmesi ve Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
- Veri sorumlusu tarafından yurt içinde tutulmak üzere 11 oyun sunucusunun satın alındığı; sunuculara ilişkin güvenlik, barındırma vb. hizmetler için bir firma ile Hizmet Sözleşmesi yapıldığı ve aylık hizmet bedeli ödendiği; söz konusu firmanın sistem odasında bulunan veri sorumlusuna ait oyun sunucularının numaralarının, Hizmet Sözleşmesi ekinde belirtilen sunucuların numaraları ile aynı olduğu; veri sorumlusu tarafından bir bulut bilişim sisteminde çevrim içi sanal oyunlar kapsamındaki bilgilerin (oyun seviyesi, oyunda kullanılan eşyalar, vb.) yedeklendiği, oyuncuların/üyelerin kişisel verilerinin yedeklenmediğinin yerinde inceleme neticesinde tespit edildiği dikkate alındığında; veri sorumlusu tarafından oyun sunucularının yurt içinde tutulduğu ve oyun kullanıcısı/üye olan ilgili kişinin kişisel verilerinin yurt dışına aktarımının yapılmadığı kanaatine varılmış olup bu hususta Kanun kapsamında veri sorumlusu hakkında tesis edilecek herhangi bir işlem bulunmadığına,
- İlgili kişi tarafından bahse konu çevrim içi oyun oynandığı sırada, veri sorumlusunca kullanılan ve şikayete konu olan yazılımın, oyun kullanıcısı tarafından hile ve sahtekarlık amacıyla bir yazılımın kullanılıp kullanılmadığını tespit etmek amaçlı olarak “exe.” uzantılı dosyaların türünü ayırt etmek için kullanılan bir yazılım olduğu dikkate alındığında; oyun kullanıcısı/üye olan ilgili kişinin bilgisayarındaki kişisel verilere erişim sağlamak suretiyle hukuka aykırı kişisel veri işleme faaliyetinde bulunulmadığı kanaatine varılmış olup bu hususta Kanun kapsamında veri sorumlusu hakkında tesis edilecek herhangi bir işlem bulunmadığına
karar verilmiştir.
Karar Tarihi | : | 01/06/2023 |
Karar No | : | 2023/928 |
Konu Özeti | : | : Bir üniversite tarafından ilgili kişilerin kişisel ve özel nitelikli kişisel verilerinin yer aldığı belgenin e-posta ekinde üçüncü kişilerle paylaşılması |
Kuruma intikal ettirilen şikayet dilekçelerinde özetle;
- Üniversite rektörü tarafından ilgili kişilere gönderilen e-posta ile ekinde bulunan dosyada ilgili kişilere ve üçüncü kişilere ait şahsi telefon numaralarının, şahsi e-posta adreslerinin, adres bilgilerinin, HES kodlarının, aşı bilgilerinin, risk durumu vb. kişisel ve özel nitelikteki kişisel verilerinin toplu e-posta gönderisi ile alenileştirmek suretiyle üçüncü kişilere aktarıldığının anlaşıldığı,
- Bunun üzerine, Kişisel Verilerin Korunması Kanunu’nun (Kanun) 11’inci maddesi kapsamında ilgili kişilere ait kişisel ve özel nitelikteki kişisel verilerin işlenip işlenmediği, kişisel ve özel nitelikteki kişisel verilerin işlenme amacı, hukuki sebebi ve bunların amacına uygun kullanılıp kullanılmadığı, yurt içinde ve yurt dışında kişisel verilerinin ve özel nitelikteki kişisel verilerinin aktarıldığı üçüncü kişilerin kimler olduğu hususlarının sorulduğu ve Kanunun 7’nci ve 11’inci maddesi uyarınca; kişisel verilerin imha edilmesi, üçüncü kişilere aktarılan kişisel verilerin imha edilmesi, verilerin gönderildiği kişilerle irtibata geçilip aktarılan kişisel verilerin imha edilmesinin talep edildiği,
- İlgili kişilerin veri sorumlusuna yaptıkları başvuruya, "...ilgili kişilerin de arasında olduğu bir kısım personelin aşı olmadığı halde PCR testi de yaptırmaması nedeniyle üniversite rektörü tarafından aşı olmayan personelin PCR testi yaptırması gerektiği yönünde e-posta atılmış fakat e-posta ekinde sehven Excel dosyası da gönderilmiştir. İlgili e-postada yer alan kişiler üniversitemiz bir kısım çalışanı ve PCR testlerinin takibini sağlamak adına söz konusu personelin idari amirleridir. Tarafınızca yapılan başvuru neticesinde fark edilen bu olay ile ilgili olarak; ilgili e-posta ekinde sehven gönderilmiş bulunan Excel dosyası ile ilgili olarak e-posta gönderilen personel ile iletişime geçilerek e-posta ve eki ilgililerden silinmiştir." şeklinde yanıt verildiği,
- Ancak, şikâyete konu e-posta gönderisinden önceki bir e-posta gönderisinde de ilgili kişilere ve üçüncü kişilere ait kişisel verilerin toplu e-posta gönderisi ile alenileştirildiği, dolayısı ile işlemin sehven yapılmış olması olanağının bulunmadığı
belirtilerek veri sorumlusu hakkında gerekli işlemlerin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup verilen cevapta özetle;
- Veri sorumlusu üniversitenin rektörü tarafından yapılan duyurularda, Covid-19 ile ilgili olarak üniversite tarafından alınan tedbirler çerçevesinde tüm personele aşı olmasının tavsiye edildiği, aşı olmayan personelin de haftada iki kez PCR testi yaptırması gerektiğinin bildirildiği, ilgili kişilerin de arasında olduğu bir kısım personelin aşı olmadığı halde PCR testi de yaptırmaması nedeniyle üniversite rektörü tarafından aşı olmayan kişilerin PCR testi yaptırması gerektiği yönünde e-posta gönderildiği,
- E-posta ekinde sehven bir Excel dosyası da gönderildiği, ilgili e-postada yer alan kişilerin üniversitenin bir kısım çalışanı ve PCR testlerinin takibini sağlamak adına söz konusu personelin idari amirleri olup üçüncü kişi konumunda olmadığı,
- Sehven gönderilen Excel dosyasında da T.C. kimlik numaralarının sadece son üç rakamı, kurumsal e-posta adresleri, varsa özel e-posta adresleri, telefon numaraları ve iş sağlığı ve güvenliğinin sağlanmasını teminen PCR ve aşı takibinin yapılabilmesi için HES durumlarının yer aldığı,
- İlgili e-posta ekinde sehven gönderilmiş bulunan Excel dosyası ile ilgili olarak e-posta gönderilen personel ile iletişime geçilerek e-posta ve ekinin ilgililerden imha edildiği ve bu durumun tutanak altına alındığı,
ifade edilmiştir.
Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 01/06/2023 tarihli ve 2023/928 sayılı Kararı ile;
- Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükmünün yer aldığı,
- “Özel Nitelikli Kişisel Verilerin” ise Kanun’un 6’ncı maddesinde düzenlendiği ve maddenin (3) numaralı fıkrasında sağlık ve cinsel hayata ilişkin kişisel verilerin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği hükme bağlanmış olmakla birlikte söz konusu verilerin yeterli önlemler alınmak kaydıyla, 6’ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabileceği,
- Kanunun “Kişisel Verilerin Aktarılması” başlıklı 8’inci maddesinin (1) numaralı fıkrasının kişisel verilerin, ilgili kişinin açık rızası olmaksızın aktarılamayacağı, (2) numaralı fıkrasının, kişisel verilerin; (a) 5’inci maddenin ikinci fıkrasında, (b) yeterli önlemler alınmak kaydıyla, 6’ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabileceği ve (3) numaralı fıkrasının da kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümlerin saklı olduğu hükümlerini amir olduğu,
- İlgili Kişilere gönderilen e-posta içeriği ve söz konusu Excel dosyası incelendiğinde, tabloda çalışanlara ait olduğu tahmin edilen ve yalnızca kendileri tarafından bilinebilecek olan cep telefonu numaraları, e-posta adresleri, adres bilgileri, HES kodları, aşı bilgileri, risk durumu bilgileri gibi kişisel ve özel nitelikli kişisel verilerinin açık bir şekilde yer aldığı,
- Bununla birlikte, şikâyete konu e-postaya ilişkin ekran görüntüsünden, gönderinin alıcı kısmında ilgili kişilere ait e-posta adresleri ile beraber üçüncü kişilere ait e-posta adreslerinin yer aldığı görüldüğünden söz konusu tablonun üçüncü kişiler ile paylaşılması hususunun söz konusu ekran görüntüsü ile sabit olduğu,
- Öte yandan, veri sorumlusu e-posta ekinde sehven bir Excel dosyası gönderildiğini belirtmiş olsa da ilgili kişiler adına Kurum’a iletilen şikâyet dilekçesi ve ekleri incelendiğinde söz konusu e-postanın gönderilmesinden önce ilgili kişiler ile birlikte üçüncü kişilere ait kişisel verilerin toplu e-posta gönderisi ile paylaşıldığı görülmüş olup, sehven gönderilme gibi bir durumun kabul edilemeyeceği,
- Diğer yandan, söz konusu e-postanın üniversitenin çalışanları ve idari amirlerine gönderilmesi ile çalışanların aşı bilgileri, risk durumu vb. verilerinin paylaşılmasının, kişisel verilerin üçüncü kişiler ile paylaşılması anlamına geleceği ve şikâyete konu verilerin imha edilmesi hususu veri sorumlusu tarafından cevap yazısı ekinde yer verilen İmha Tutanağı ile tevsik edilmiş olmakla birlikte, söz konusu verilerin yer aldığı e-posta ve ekinin, e-posta gönderilen ilgililerden imha edilmesinin veri ihlalini ortadan kaldırmayacağı
değerlendirmelerinden hareketle;
- Veri sorumlusu üniversite rektörü tarafından ilgili kişilere ait kişisel ve özel nitelikli kişisel verilerin yer aldığı Excel dosyasının e-posta ekinde yer verilerek üçüncü kişilerle paylaşılmasının Kanun’un 5’inci ve 6’ncı maddelerinde belirtilen işleme şartlarına dayanılmaksızın gerçekleştirildiği, bu kapsamda Veri sorumlusunun Kanunun 12’nci maddesinin birinci fıkrasının (b) bendi çerçevesinde kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirleri yeterli düzeyde almadığı,
- Şikâyete konu veri işleme faaliyetinin veri ihlali niteliği taşıdığı ancak veri sorumlusu tarafından Kurul’a bir veri ihlal bildiriminde bulunulmadığının tespit edildiği, bu durumun Kanun’un 12’nci maddesinin beşinci fıkrasında düzenlenen Kurul’a bildirimde bulunma yükümlülüğüne aykırılık teşkil ettiği
kanaatine varılması nedeniyle Kanunun 18’inci maddesinin üçüncü fıkrası kapsamında kamu tüzel kişiliği niteliğindeki veri sorumlusu bünyesinde görev yapan sorumlular hakkında disiplin hükümlerine göre işlem yapılarak sonucundan Kurul’a bilgi verilmesine,
- Diğer taraftan, bundan sonraki süreçte gerçekleşmesi muhtemel veri ihlallerine ilişkin olarak Kanun’un 12’nci maddesinin (5) numaralı fıkrası çerçevesinde Kurul’a bildirimde bulunulması gerektiği ve ayrıca Kurulun 18/09/2019 tarih ve 2019/271 sayılı Kararı ile belirlenen asgari unsurlara uygun olarak işlem yapılması gerektiğinin veri sorumlusuna hatırlatılmasına
karar verilmiştir.
Karar Tarihi | : | 01/06/2023 |
Karar No | : | 2023/924 |
Konu Özeti | : | Otopark işletmecisi veri sorumlusu tarafından ilgili kişinin kişisel verilerinin hukuka aykırı işlenmesi ve aydınlatma yükümlülüğünün yerine getirilmemesi |
Kurum’a intikal eden şikayette özetle;
- Otopark işletmecisi veri sorumlusu tarafından, ilgili kişinin aracının park borcu olduğu iddiasıyla icra takibi başlatıldığı ve söz konusu icra takibine itiraz etmesi neticesinde tüketici mahkemesinde kendisi aleyhine itirazın iptali davası açıldığı, söz konusu dava kapsamında veri sorumlusu tarafından kişisel verilerinin Kanun’a aykırı olarak işlendiği, aracının ruhsat bilgilerinin hangi yolla temin edildiğinin belirsiz olduğu, dava dosyasına aracına ait fotoğraflar sunulduğu, bu fotoğrafların kim tarafından ve hangi gerekçe ile çekildiğinin belli olmadığı, borç bilgisine bir internet sitesinde aracın plakası ile yapılan sorgulama neticesinde alenen ulaşılabildiği ve kişisel verilerinin işlenmesi konusunda kendisine aydınlatma yapılmadığı
hususları ifade edilerek 6698 sayısı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusu otopark işletmecisinden savunması istenilmiş olup alınan cevabi yazıda özetle;
- Araçlarını kendilerinin işlettiği park alanlarına park edip ödeme yapmayan borçlular hakkında icra takibi başlatıldığı, ilgili kişiye de bu kapsamda icra takibi başlatıldığı, takibe itiraz edilmesi üzerine itirazın iptali davası açıldığı,
- İlgili kişiye ait kişisel verilerin Kanun’un 5’inci maddesinin ikinci fıkrası (c) bendinde yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” hükmü kapsamında işlendiği,
- İlgili kişinin aracını, 27.08.2019-20.01.2022 tarihleri arasında kendilerince işletilen yol üstü otopark alanlarına park etmesi ile taraflar arasında sözleşmenin kurulduğunun kabul edilmesinin gerektiği,
- İlgili kişinin de sözleşmenin bir tarafı olmasından dolayı Kanun’un 5’inci maddesinin ikinci fıkrası (c) bendi kapsamında ve yalnızca borcun tahsiline yarayacak verilerin işlenmesinde Kanun’a aykırılık bulunmadığı,
- Kanun’un “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması”nı düzenleyen 5’inci maddesinin ikinci fıkrası (e) bendi kapsamında, aracın fotoğraflarının çekilmesinin ilgili kişiye açılan itirazın iptali davasında iddia edilen alacak tutarının belirlenmesine, aracın şirketlerince işletilen yol üstü otopark alanlarında hangi gün kaç saat park edildiğinin tespit edilmesine yönelik olduğu, ilgili aracın kendilerince işletilen otopark alanlarına park edildiğinin taraflarınca ispat edilememesi durumunda davalarının reddedildiği,
- Park edilmeye ilişkin fotoğrafların, genel hükümlere göre ve otopark ücreti alacaklarının tahsiline yönelik mahkeme kararı kesinleştikten sonraya ve şirketleri aleyhine açılabilecek diğer davaların zamanaşımı veya hak düşürücü süreleri sona erinceye kadar muhafaza edildiği/edileceği,
- İlgili kişiye ait ruhsat bilgilerinin kendilerinde mevcut olmadığı, borcu bulunan araç plakasının park edilme tarihi itibariyle kim adına kayıtlı olduğunun ilgili makamlardan tespit edilmesinin, araç plakası üzerine kayıtlı bulunan kişinin ruhsat bilgilerinin kendilerince bilindiği ve işlendiği anlamına gelmediği,
- Araç plakasının alenileştirilmiş olması nedeniyle kendilerince ilgili kişiye aydınlatma yapma yükümlülükleri bulunmadığı kanaatinde olunduğu,
- İlgili kişiye ait aracın ruhsat bilgilerinin değil, yalnızca araç plakasının borcun doğduğu tarihte kim adına kayıtlı olduğunun ilgili emniyet makamlarından ve Noterler Birliği’nden sorulduğu, bu bilgiler ilgili makamlara sorulurken 4982 sayılı Bilgi Edinme Kanunu, avukat ile yürütülen işlemler bakımından Avukatlık Kanunu’nun 2’nci maddesi ve Kanun’un 5’inci maddesinin ikinci fıkrası hükümlerine dayanıldığı,
- Araç plakası sorgulanmak suretiyle borç bilgisinin öğrenilebildiği internet adresinin kendilerinin kullandığı ve borçluların da kullanımına açık olan bir altyapı olduğu, adlarına kayıtlı araç plakasının ne kadar otopark borcu olduğunu öğrenmek isteyen kullanıcıların plakalarını yazarak sorgulamak suretiyle borç tutarını öğrenebildiği ve ödeme yapmak isteyenlerin yine aynı sitede belirtilen hesaba ödeme yapabildiği
ifade edilmiştir.
Konuya ilişkin yapılan yürütülen inceleme neticesinde, Kişisel Verileri Koruma Kurulunun (Kurul) 01/06/2023 tarih ve 2023/924 sayılı Kararı ile;
- Kanun’un 5’inci maddesinin (1) numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin hüküm altına alındığı, (2) numaralı fıkrasında ise, kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için veri işlemenin zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaati için veri işlenmesinin zorunlu olması hallerinde ilgili kişinin açık rızası olmaksızın kişisel verilerin işlenmesinin mümkün olduğunun hükme bağlandığı,
- Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12’nci maddesinin (1) numaralı fıkrasında ise veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almakla yükümlü olduğu hükmünün düzenlendiği,
- Araç sahibine ilişkin bilgilere ulaşılması bakımından, mutlaka aracın ruhsat bilgilerinin bilinmesinin gerekmediği, araç plakası ile yetkili makamlardan yapılacak sorgulama neticesinde de araç sahibine ilişkin bilgilere ulaşmanın mümkün olduğunun herkesçe bilinen bir durum olduğu, ilgili kişinin kendisine ait ruhsat bilgilerinin ele geçirildiği iddiasının tevsik edici bir bilgi ya da belgeye dayandırılmadığı,
- Veri sorumlusu otopark işletmecisi ile aralarında kurulan sözleşme kapsamında park borcundan kaynaklanan alacağın tahsiline ilişkin icra takibi ve sonrasında dava açılabilmesi için ilgili kişinin kimlik bilgilerine ulaşılmasının, bu amaçla ilgili kişinin kişisel verilerinin, ilgili kişiye ait araç plakasının ilgili makamlardan sordurulmak suretiyle kimlik bilgilerine ulaşılarak işlenmesinin, veri sorumlusunun sözleşmeden kaynaklanan haklarını kullanabilmesi için zorunlu olduğu, bu kapsamda söz konusu veri işleme faaliyetinin Kanun’un 5’inci maddesi ikinci fıkrasının (e) bendinde düzenlenen “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” kapsamında kaldığı,
- 6100 sayılı Hukuk Muhakemeleri Kanunu’nun (6100 sayılı Kanun) “Dava dilekçesinin içeriği” başlıklı 119’uncu maddesinin birinci fıkrasının (f) bendinde “İddia edilen her bir vakıanın hangi delillerle ispat edileceği hususlarının dava dilekçesinde bulunacağı” hükmünün, “Tarafların belgeleri ibrazı zorunluluğu” başlıklı 219’uncu maddesinin birinci fıkrasında “Taraflar, kendilerinin veya karşı tarafın delil olarak dayandıkları ve ellerinde bulunan tüm belgeleri mahkemeye ibraz etmek zorundadırlar. Elektronik belgeler ise belgenin çıktısı alınarak veya talep edildiğinde incelemeye elverişli şekilde elektronik ortama kaydedilerek mahkemeye ibraz edilir.” hükmünün, “Delillerin ikamesi” başlıklı 318’inci maddesinde ise “Taraflar dilekçeleri ile birlikte, tüm delillerini açıkça ve hangi vakıanın delili olduğunu da belirterek bildirmek, ellerinde bulunan delillerini dilekçelerine eklemek ve başka yerlerden getirilecek belge ve dosyalar için de bunların bulunabilmesini sağlayan bilgilere dilekçelerinde yer vermek zorundadır.” hükmünün düzenlendiği,
- Anılan hükümler doğrultusunda, veri sorumlusu otopark işletmecisinin ilgili kişi ile aralarında kurulmuş olan sözleşmeden doğan alacağını tahsil edebilmek amacı ile açtığı itirazın iptali davasında, iddiasını ispatlayabilmesi için iddianın dayanağı olan delilleri mahkemeye sunmasının zorunlu olduğu, söz konusu ihtilaf park borcundan kaynaklanan alacağa ilişkin olduğu için, veri sorumlusunun ispat etmesi gereken hususların ilgili kişinin aracının veri sorumlusunun işlettiği otopark alanlarına park edip etmediği, bu alanlara park etti ise ne kadar süre ile park ettiği hususları olduğu, bu kapsamda, veri sorumlusunun anılan hususları ispatlamasının ancak aracı, park edildiği yer ve tarih görünecek şekilde fotoğraflaması ile mümkün olduğu, veri sorumlusu tarafından gerçekleştirilen aracın fotoğraflarının çekilerek dava dosyasına sunulması suretiyle kişisel veri işleme faaliyetinin, Kanun’un 5’inci maddesi ikinci fıkrasının (e) bendinde düzenlenen “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” işleme şartı kapsamında kaldığı,
- Kurum’a intikal ettirilen bilgi ve belgelerden veri sorumlusu tarafından adlarına kayıtlı araç plakasının ne kadar otopark borcu olduğunu öğrenmek isteyen kullanıcıların plakalarını yazarak sorgulamak suretiyle borç tutarını öğrenebildiği bir sayfa olarak ifade edilen internet adresinde, başka herhangi bir ek bilgi gerekmeksizin bir araç plakası ve araç plakasının yazıldığı kutucuğun hemen yanında yer alan doğrulama sayıları ile yapılan sorgulama neticesinde, söz konusu araç plakasına ait borç bilgisine ulaşılabildiği, araç plakasının ait olduğu kişi bilindiğinde yahut öğrenildiğinde, söz konusu uygulamanın, araç sahiplerinin borç bilgilerine rahatlıkla ulaşma imkanı verdiğinin tespit edildiği,
- Kurum tarafından yayımlanan “Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)”nde kişisel verilere gerekli durumlarda uzaktan erişilmesi halinde iki kademeli kimlik doğrulama kontrolünün uygulanmasının, güvenliğin sağlanması adına alınması gereken tedbirler arasında sayıldığı, bu itibarla kişisel verilere uzaktan erişilmesi halinde üçüncü kişilerin kolayca ulaşamayacağı şekilde iki aşamalı sorgulama sistemi kullanılmasının gerekli olduğu, örneğin kişinin T.C. kimlik numarası ve doğum günü bilgisinin sorgulanarak bilgilere erişim imkânı veren sistemler tek kademeli doğrulama olarak belirlenirken, kişinin T.C. kimlik numarasının yanı sıra kişiye özel oluşturulmuş şifre ya da kişinin daha önce bildirmiş olduğu telefon numarasına iletilen SMS kodu ile erişim sağlanan sistemlerin iki kademeli doğrulama olarak kabul edildiği,
- Bu çerçevede, borç sorgulama gibi internet sayfaları aracılığıyla çevrimiçi olarak sunulan hizmetler kapsamında Kanunun 12’nci maddesinde yer alan yükümlülüklerin yerine getirilmesi ve herhangi bir veri ihlalinin önlenmesi amacıyla; çift faktörlü doğrulama için ilk doğrulama T.C. kimlik numarası, ad soyadı, vergi numarası, sicil numarası gibi verilerle yapılırken ikincil düzeydeki doğrulamanın kişiye özel oluşturulmuş SMS ya da e-postaya iletilen şifre gibi bir sistemle gerçekleştirilmesinin, ikincil düzeyde kişiye ait başkalarının da erişebileceği telefon numarası, doğum tarihi, anne-baba adı, sicil numarası gibi bilgiler yerine sadece kişiye özel olarak belirlenecek ve sadece ilgili kişinin erişebileceği verilerin istendiği sistemler ya da üyelik sistemi ile söz konusu hizmetlerin sunulmasının uygun olacağı,
- Somut olay bakımından, yalnızca araç plakası ile gerçekleştirilen tek kademeli sorgulamanın, ikinci kademede kişiye özel olarak belirlenecek bir bilgi ya da SMS veya e-postaya iletilen bir şifre gibi bir sistem ile yapılabilecek şekilde düzenlenmesi gerektiği veya bu şekilde sunulması mümkün değil ise Kanun’un 15’nci maddesinin 7’inci fıkrası uyarınca kişisel verilerin işlenmesine son verilmesi ve her iki durum bakımından da yapılacak işlemlerin sonucundan Kurula bilgi verilmesinin uygun olacağı,
- Kanun’un “Veri Sorumlusunun Aydınlatma Yükümlülüğü” başlıklı 10’uncu maddesinde “Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.” hükmünün yer aldığı,
- Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in 5’inci maddesine göre ilgili kişinin açık rızasına veya Kanundaki diğer işleme şartlarına bağlı olarak kişisel veri işlendiği her durumda aydınlatma yükümlülüğü yerine getirilmesi gerektiği, Kanun’un veri sorumlusunun aydınlatma yükümlülüğünü yalnızca 28’inci maddenin birinci fıkrasında düzenlenen tam istisna ve ikinci fıkrasında yer alan kısmi istisna hallerinin bulunduğu durumlarda kaldırdığı düşünülürse somut olay bakımından veri sorumlusunun aydınlatma yükümlülüğünün mevcut olduğu, Tebliğ’in aynı maddesinde aydınlatma yükümlülüğünün yerine getirildiğinin ispatının veri sorumlusuna ait olduğunun düzenlendiği, bu nedenle, somut olayda ilgili kişiye ait kişisel verilerin işlenmesi bakımından ilgili kişiye aydınlatma yapma yükümlülüğü bulunan veri sorumlusunun, bu yükümlülüğünü yerine getirmediği,
değerlendirmelerinden hareketle;
- İlgili kişinin araç plakası sorgulatılarak kimlik bilgilerine ulaşılması ve ilgili kişinin aracının veri sorumlusunun işlettiği otopark alanlarında fotoğrafının çekilerek bu fotoğrafların ilgili kişi ile veri sorumlusu arasında görülen dava dosyasına sunulması suretiyle gerçekleştirilen kişisel veri işleme faaliyetlerinin Kanun’un 5’inci maddesi ikinci fıkrasının (e) bendi kapsamında olduğu dikkate alındığında Kanun kapsamında yapılacak bir işlem olmadığına,
- İşlediği kişisel veriler bakımından Kanunun 10’uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kanunun 18’inci maddesinin birinci fıkrasının (a) bendi uyarınca 75.000 TL idari para cezası uygulanmasına,
- Otopark kullanıcılarına ilişkin olarak Aydınlatma Yükümlülüğünün yerine getirilmesine yönelik Kanun ve Tebliğ’e uygun olarak ve kişisel verilerin hangi durumlarda işleneceği bilgisine yer verilmek suretiyle Aydınlatma Metni hazırlanması ve sonucundan Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına,
- İlgili kişi de dahil olmak üzere veri sorumlusunun işlettiği otopark alanlarından yararlanan kişilerin kullanımına sunulmuş internet adresinde yer alan plaka sorgulanması suretiyle ödeme yapılmasına imkan sağlayan sistemin çift faktörlü doğrulama yapılarak gerçekleştirilmesi mümkün ise bu şekilde kullanıcılara sunulması veya bu şekilde sunulması mümkün değil ise Kanun’un 15’nci maddesinin 7’inci fıkrası uyarınca kişisel verilerin işlenmesine son verilmesi ve her iki durum bakımından da yapılacak işlemlerin sonucundan Kurula bilgi verilmesine
karar verilmiştir.
Karar Tarihi | : | 28/09/2023 |
Karar No | : | 2023/1653 |
Konu Özeti | : | Veri sorumlusuna ait mağazada ilgili kişilere reklam amaçlı SMS gönderilmesi amacıyla kişisel verilerin işlenmesi |
Kuruma intikal ettirilen şikayet dilekçesinde özetle, ilgili kişinin veri sorumlusuna ait mağazadan alışveriş yaptığı, bu alışveriş esnasında kendisine alışveriş kartı isteyip istemediğinin sorulduğu, kartı istemesi üzerine telefonuna onay kodu gönderildiği, ilgili kişinin önce onay kodunu görevliye okuduğu, sonrasında ise o onay kodunu görevliye okumasının “aydınlatma metnini okuduğunu” ve “kişisel verilerinin işlenmesine onay verdiğini” beyan etmesi anlamına geldiğini fark ettiği belirtilerek söz konusu işlemin kişisel verilerinin işlenmesine ilişkin açık rızasının aldatma yolu ile ele geçirilmesi anlamına geldiği ve her ne kadar ilgili kişinin kişisel verileri, veri sorumlusuna yaptığı başvuru üzerine silinmiş ise de kişisel verilerin elde edilmesi yönteminin tüm müşterilere sistematik olarak uygulandığı ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde şikâyet edilen veri sorumlusundan savunması talep edilmiş olup veri sorumlusu tarafından verilen cevapta özetle;
Veri sorumlusunun mağazalarında alışveriş kartı adı altında bir kart uygulaması bulunmadığı, ilgili kişinin belirttiği kartın "hediye kartı" olduğu, hediye kartının yalnızca mağazalardan ürün iadesi gibi durumlarda ücretin bu karta yüklenmesi veya müşterilerin kendi isteği ve talebi doğrultusunda karta yükleme yapılması çerçevesinde münhasıran veri sorumlusu nezdinde ürün satın alınmasında kullanılabildiği, hediye kartlarının hamiline ait olduğu, kişiye özel olmadığı için bir üyelik, kaydolma ve benzeri gibi bir zorunluluk olmaksızın satıldığı ve tamamen müşterinin bu kartı kullanmayı istemesi üzerine hazırlandığı, hediye kartlarının verilmesi kapsamında müşterilerden hiçbir konu ve veri işleme faaliyeti bakımından zorunlu açık rıza alınmadığı, mağazalarda aydınlatma metni bulunduğu ve ilgili kişilerin çeşitli yöntemlerle bu aydınlatma metnine ulaşmasının sağlandığı (doğrudan basılı metin, QR ile okutma ve internet sitesi adresi linki ile ulaşma), kasaya gelen müşterilere kolay iade/değişim kapsamında daha öncesinde kayıt olup olmadığının sorulduğu, eğer müşteri kayıtlı değilse; müşteriye kasalarda konumlandırılan Aydınlatma Metni ve "Kişisel verilerinizin; ürün/hizmetlerimizin sizler için özelleştirilmesi, alışveriş tercihlerinizin analizi, kolay iade, değişim avantajlarından faydalanmanız, indirim, kampanya, promosyon, koleksiyon tanıtımlarından haberdar olmanız ve anketlerimiz ile yapacağımız telefon görüşmelerine katılarak görüşlerinizi bizlerle paylaşmanız amacıyla işlenmesini, bu kapsamda hizmet alınan üçüncü taraflarla paylaşılmasını ve sizlere bu amaçlarla elektronik ticari ileti gönderilmesini ister misiniz?" metninin okunduğu (bu metnin hem kasada bilgilendirme föyü olarak yer aldığı hem de kasa personeli tarafından sesli biçimde her bir müşteriye okunduğu), müşteri kayıt olmak ister ise, müşterinin kendi cep telefonundan “İZİN AD SOYAD” yazarak ilgili numaraya SMS göndermesi gerektiği, diğer bir deyişle, kişilerin yerine kayıt yapılamadığı, söz konusu adım olmaksızın mesaj gönderimi sağlanamadığı, müşteri tarafından gönderilen mesajın üzerine müşteriye SMS ile şifre gönderildiği, şifrenin yer aldığı mesaj içerisinde aydınlatma metni ve açık rıza beyanı dahil olmak üzere gerekli tüm bilgilere yer verildiği ifade edilmiştir.
Konuya ilişkin olarak yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 28/09/2023 tarihli ve 2023/1653 sayılı Kararı ile;
- Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin birinci fıkrasının (d) bendi uyarınca “kişisel veri”nin; “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, aynı maddenin birinci fıkrasının (e) bendi uyarınca “kişisel verilerin işlenmesi”nin; “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ç) bendi uyarınca “ilgili kişi”nin; “kişisel verisi işlenen gerçek kişi”, (ı) bendi uyarınca “veri sorumlusu”nun “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlandığı,
- Kanun’un 5’inci maddesinin birinci fıkrasında; kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, ikinci fıkrasında belirtilen şartlardan (-Kanunlarda açıkça öngörülmesi, -Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, -Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, -Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, -İlgili kişinin kendisi tarafından alenileştirilmiş olması, -Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, -İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması) birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun hüküm altına alındığı,
- "Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesine İlişkin Kamuoyu Duyurusu”nda özetle, mağazalarda gerçekleştirilen alışverişlerde; kişilerin telefonuna gönderilecek olan SMS'in amacının ne olduğu ve bu SMS ile iletilen kodun verilmesi halinde ne gibi sonuçlar doğuracağı hususunun, katmanlı aydınlatmanın bir gereği olarak ilk aşamada veri sorumlusunun mağazalarda yetkilendirdiği kişiler tarafından ilgili kişilere açık ve anlaşılır bir biçimde aktarılması, ayrıca aydınlatma yükümlülüğünün yerine getirilebilmesini teminen yine söz konusu SMS içeriklerinde de gerekli kanalların sağlanması, ticari elektronik ileti gönderimi için açık rıza alınmasını teminen SMS doğrulama kodu gönderilmesine yönelik bir uygulamaya gidilmesi halinde ise söz konusu işlemde alınacak açık rızanın tüm unsurları kapsaması hususlarına dikkat çekildiği,
- “Açık rıza” kavramının Kanun’un 3’üncü maddesinin birinci fıkrasının (a) bendinde; “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.” olarak tanımlandığı, ilgili kişilerin açık rızasının alınacağı hallerde, rızanın belirli bir konuya ilişkin olması, bilgilendirmeye dayanması ve özgür iradeyle açıklanması gerektiği, veri işlemek üzere verilen açık rızanın geçerli olması için, açık rızanın öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak verilmesi gerektiği,
- Somut olay kapsamında, ilgili kişinin açık rızasını vermek için kendi icrai hareketleri ile veri sorumlusuna kısa mesaj gönderdiği, gönderdiği kısa mesaja binaen kendisine gönderilen kısa mesajda yer alan kodu ise kasa görevlisine okuduğu, kendisine gönderilen kısa mesajın içeriğinde hangi kişisel verilerinin hangi amaçlarla işlendiğine dair detaylı bilgilendirmenin yapıldığı anlaşılır olan bir aydınlatma metnine ulaşılmasını sağlayan bir link yer aldığı,
değerlendirmelerinden hareketle;
- Somut olay kapsamında ilgili kişinin açık rızasına dayanan bir kişisel veri işleme faaliyeti gerçekleştirildiği; ilgili kişinin açık rızasını geri alması üzerine ise söz konusu işleme faaliyetine son verildiği görülmekte olup, şikayete ilişkin olarak Kanun kapsamında yapılacak bir işlem bulunmadığına,
- Alışveriş esnasında ticari elektronik ileti gönderilmesi suretiyle kişisel verilerin işlenmesine ilişkin açık rıza alınmasının ilgili kişiler tarafından alışverişin bir parçası olarak bu rızanın verilmesinin gerektiği izlenimi oluşacağından açık rızanın özgür irade ile açıklanma unsurunu zedeleyebileceği değerlendirilmiş olup, bu kapsamda söz konusu uygulamanın ilgili kişileri doğru şekilde bilgilendirmek suretiyle ve alışverişin bir parçası olduğu izlenimi oluşturmayacak şekilde revize edilmesi, ayrıca aydınlatma ve açık rıza onay kodunun aynı kısa mesaj içerisinde sunulmaması ve yapılan işlemlerin sonucu hakkında Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına
karar verilimiştir.
Karar Tarihi | : | 25/05/2023 |
Karar No | : | 2023/892 |
Konu Özeti | : | İlgili kişinin kişisel verilerinin, Kooperatif ortaklığından ayrılmasına rağmen hukuka aykırı olarak işlenmeye devam edilmesini konu şikâyet hakkında |
Kuruma intikal eden şikâyette özetle;
- Kişisel verilerinin KOOPBİS’e (Kooperatif Bilgi Sistemi) hukuka aykırı olarak işlendiği,
- Kooperatif ortaklığından, Kooperatife sunduğu ihtarname ile ayrılmış olmasına rağmen Kooperatif tarafından kendisine genel kurul davetiyesi gönderilmesi suretiyle kişisel verilerinin işlenmeye devam edildiği,
- Kişisel verilerinin 6698 sayılı Kişisel Verilerin Korunması Kanunun (Kanun) 7’nci maddesine uygun olarak imha edilmesi talebinin yerine getirilmediği,
- İlgili kişi tarafından veri sorumlusuna yapılmış olan başvuruya süresi içinde cevap verilmediği
belirtilerek Kooperatif hakkında Kanun kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması talep edilmiş olup veri sorumlusu tarafından verilen cevapta özetle;
- Kooperatif kurulduktan ve kuruluş amacına ulaşıldıktan sonra kat mülkiyeti kurulamaması nedeniyle site içinde gerekli hizmetlerin verilmesi amacıyla İşletme Kooperatifine geçiş yapıldığı,
- Kooperatifin olağan genel kurulunda seçilen yönetim kurulu üyelerinin arka arkaya görevden istifa ettikleri,
- Yönetim Kurulu üyesi olan ilgili kişinin de bu süreçte istifa ettiği, ilgili kişinin de istifasıyla Kooperatif yönetiminin sahipsiz bırakıldığı,
- İlgili kişinin istifa ettiği tarihte Yönetim Kurulunda halihazırda Yönetim Kurulu üyesi olan kişilerin bulunmadığı, ayrıca gelen giden defter kayıtlarında ilgili kişinin Kooperatif ortaklığından ayrıldığını belirten dilekçeye rastlanılmadığı, bu hususun ilgili kişiye verilen cevapta belirtildiği,
- Halihazırdaki Yönetim Kurulunun göreve geldiği tarihten cevabi yazı tarihine kadar KOOPBİS sistemine geçiş yapılmadığı,
- Daha sonra düzenlenecek Olağan Genel Kuruldan yetki alınarak KOOPBİS sistemine geçiş yapılmasının planlandığı,
- Kooperatif Yönetim Kurulu’nun toplanarak ilgili kişiyi Kooperatif ortaklığından çıkarttığı ve söz konusu hususun ilgili kişiye tebliğ edildiği; bu çerçevede artık ilgili kişiye Genel Kurul davetiyesi ile Genel Kurul kararlarının gönderilmeyeceği,
- Kooperatif ortaklarının bilgilerinin üçüncü kişilerle kesinlikle paylaşılmadığı, tebligatların sadece ilgili ortağın kendisine gönderildiği
ifade edilmiştir.
Şikâyete ilişkin başlatılan inceleme çerçevesinde Ticaret Bakanlığı Esnaf, Sanatkârlar ve Kooperatifçilik Genel Müdürlüğünden bilgi ve belge talebinde bulunulmuş olup Bakanlık tarafından verilen cevapta özetle;
- 21/10/2021 tarihli ve 7339 sayılı Kooperatifler Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanunla, 1163 sayılı Kooperatifler Kanunu'na (Kooperatifler Kanunu) eklenen hükümler doğrultusunda yasal çerçevesi çizilen “Kooperatif Bilgi Sistemi”nin; 14 Ocak 2022 tarihli ve 31719 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren “Kooperatif Bilgi Sistemi Yönetmeliği” kapsamında 26.10.2022 tarihinde “koopbis.ticaret.gov.tr” alan adı ile hizmet verecek şekilde kurulduğu,
- Bu süreçte “koopbis.gtb.gov.tr” alan adında hizmet sunan, 2015/1 sayılı Genelge çerçevesinde idari kayıtların tutulduğu eski KOOPBİS kayıtlarının yeni sisteme aktarıldığı, eski KOOPBİS’in veri girişlerine ve internet erişimine kapatıldığı, yeni sistem üzerinde de veri aktarım ve yetkilendirme çalışmaları devam ettiğinden güncel ortaklık verilerinin kooperatifler tarafından sisteme işlenmesine henüz başlanılmadığı,
- Kooperatif Bilgi Sistemi verilerinde yapılan inceleme sonucunda; ilgili kişinin halihazırda ortak statüsü ile Kooperatif ortağı olarak sistemde kayıtlı olduğu, ilgili kişinin yönetim kurulu eski üyeleri arasında kayıtlı olduğu,
- İlgili kişinin Kooperatif ortaklık kaydı ve yönetim kurulu üyelik kaydının tarihinin Ankara Ticaret İl Müdürlüğü'nde görevli memur tarafından sisteme işlendiği,
- Kooperatif ortaklığı ve Yönetim Kurulu üyelik kaydının yine Ankara Ticaret İl Müdürlüğü'nde görevli memur tarafından sisteme işlendiği,
- Veri kayıt tarihlerinde yürürlükte olan 2015/1 sayılı Genelge'nin ekinde yer alan usul ve esasların I-7’nci maddesi çerçevesinde kooperatifin organ üyelerinin kayıtlarının ticaret il müdürlüğü personelleri tarafından gerçekleştirildiği, aynı usul ve esaslar doğrultusunda ortak verilerinin işlenmesinden ve güncel tutulmasından kooperatif yönetim kurullarının sorumlu olduğu
ifade edilmiştir.
Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 25/05/2023 tarihli ve 2023/892 sayılı Kararı ile;
- KOOPBİS’in veri kayıt sisteminin kurulmasından ve yönetilmesinden Ticaret Bakanlığının sorumlu olduğu dikkate alındığında söz konusu sisteme kaydedilen veriler bakımından Kooperatifin bir sorumluluğunun bulunmadığı, nitekim ilgili kişinin kişisel verilerinin Kooperatif tarafından KOOPBİS sistemine kaydedilmediği dikkate alındığında ilgili kişinin kişisel verilerinin KOOPBİS’e kaydedilmek suretiyle hukuka aykırı olarak işlendiği iddiası bakımından Kurul tarafından yapılacak bir işlem olmadığı,
- 1163 sayılı Kooperatifler Kanunu’nun “Ortaklıktan çıkmayı kabulden kaçınma” başlıklı 13’üncü maddesinin “Yönetim kurulu, anasözleşmeye uygun olarak yapılacak isteğe rağmen, bir ortağın kooperatiften istifasını kabulden kaçınacak olursa, ortak çıkma dileğini noter aracılığı ile kooperatife bildirir. Bildiri tarihinden itibaren çıkma gerçekleşir.” hükmünü amir olduğu; bu çerçevede ilgili kişinin talebi üzerine Noterlik tarafından gönderilen evrak, Kooperatife yapmış olduğu ihtarname ile 1163 sayılı Kooperatifler Kanunu’nun 13’üncü maddesi uyarınca ilgili kişinin Kooperatif ortaklığının sona erdiğinin anlaşıldığı, ilgili kişinin çıktığını bildirdiği tarihten itibaren kişisel verilerin işlenme şartlarının ortadan kalktığı dikkate alındığında veri sorumlusu tarafından ilgili kişinin kişisel verilerinin Kooperatif ortaklığından ayrılmasına rağmen genel kurul davetiyesi gönderilmesi suretiyle işlenmeye devam edildiği,
- İlgili kişinin kişisel verilerin imha edilmesi talebinin yerine getirilmediği iddiası bakımından Kooperatife ait internet sitesinde ortakların sahip olduğu payları ve ortakların adını ve soyadını gösterir şemaya yer verildiği görülmüş olmakla birlikte, Kurul Kararı tarihi itibariyle söz konusu erişim adresinde yer alan şemadan ilgili kişinin adının ve soyadının kaldırıldığının görüldüğü,
- Kanunun “Veri sorumlusuna başvuru” başlıklı 13’üncü maddesinin (1) numaralı fıkrasına göre ilgili kişinin, Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna ileteceği, mezkûr hükmün (2) numaralı fıkrasına göre ise veri sorumlusunun başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandıracağı dikkate alındığında veri sorumlusunun ilgili kişinin başvurusuna süresi içinde cevap vermediğinin görüldüğü,
değerlendirmelerinden hareketle,
- Kooperatifler Kanunu’nun “Ortaklıktan çıkmayı kabulden kaçınma” başlıklı 13’üncü maddesi hükmü gereği ilgili kişinin çıktığını bildirdiği tarihten itibaren kişisel verilerin işlenme şartlarının ortadan kalktığı dikkate alındığında veri sorumlusu tarafından ilgili kişinin kişisel verilerinin Kooperatif ortaklığından ayrılmasına rağmen genel kurul davetiyesi gönderilmesi suretiyle işlenmeye devam edildiği, söz konusu kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinde yer alan veri işleme şartlarına dayanmadığı dikkate alındığında Kanun’un 12’nci maddesinde yer alan veri güvenliğine ilişkin yükümlülükleri yerine getirmediği değerlendirilen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 50.000 TL idari para cezası uygulanmasına,
- İlgili kişinin kişisel verilerinin Kanun’un 7’nci maddesine uygun olarak imha edilmesi talebinin veri sorumlusu tarafından yerine getirilmiş olması nedeniyle Kanun kapsamında yapılacak bir işlem olmadığına,
- Veri sorumlusunun ilgili kişinin başvurusunu Kanunun 13’üncü maddesinin (2) numaralı fıkrasında belirtilen otuz günlük süre içerisinde sonuçlandırmamış olduğu görüldüğünden ilgili kişiler tarafından Kanun kapsamında yapılacak başvuruların Kanun’un 13’üncü maddesi hükmü ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 6’ncı maddesi hükmü uyarınca etkin, hukuka ve dürüstlük kuralına uygun şekilde, gerekçe belirterek ve süresi içinde sonuçlandırılması gerektiği hususunun veri sorumlusuna hatırlatılmasına,
- KOOPBİS’in veri kayıt sisteminin kurulmasından ve yönetilmesinden Ticaret Bakanlığının sorumlu olduğu dikkate alındığında söz konusu sisteme kaydedilen veriler bakımından Kooperatifin bir sorumluluğunun bulunmadığı, nitekim ilgili kişinin kişisel verilerinin Kooperatif tarafından KOOPBİS sistemine kaydedilmediği dikkate alındığında ilgili kişinin kişisel verilerinin KOOPBİS’e kaydedilmek suretiyle hukuka aykırı olarak işlendiği iddiası bakımından Kurul tarafından yapılacak bir işlem olmadığına
karar verilmiştir.
Karar Tarihi | : | 25/05/2023 |
Karar No | : | 2023/890 |
Konu Özeti | : | Bir hava yolu şirketinin özel yolcu programı hizmetinin açık rıza şartına bağlanması |
Kuruma intikal ettirilen şikâyette özetle, veri sorumlusu hava yolu şirketinin özel yolcu programında biriken millerini görmek için internet sitesine giriş yaptığı; ancak söz konusu özel yolcu programı hizmetlerinden yararlanabilmesi için profildeki zorunlu alanların doldurulması ve kişisel verilerinin kendisine özel ürün ve hizmetler oluşturulması ile tanıtılması için pazarlama faaliyetlerinde kullanılmasının kabul edildiğine ilişkin kutucuğun işaretlenmesi gerektiği; şayet ilgili kutucuk işaretlenmezse söz konusu sistemin ilerlemesine izin vermediği belirtilmiş olup Kanun kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;
- Anılan özel yolcu programının yolcu sadakat programı olduğu, veri sorumlusunun esas faaliyetlerinden faydalanılması için özel yolcu programı üyeliğine ihtiyaç bulunmadığı, bu program ile yalnızca üyelere muhtelif ayrıcalık ve imkanlar sunulduğu,
- İlgili kişinin biriken millerine ilişkin bilgilerini öğrenebilmesi için söz konusu onay verme mekanizması ile arasında bir bağlantı bulunmadığı, üyelik sayfasında çıkan aydınlatma metni ve açık rıza metni kutularına tıklanmaksızın da millere ilişkin verilerin görülebildiği, ayrıca biriken millerin çağrı merkezi, web sitesi geri bildirim formu veya doğrudan satış ofisleri gibi pek çok ayrı kanal üzerinden de herhangi bir engelle karşılaşmadan öğrenilebildiği
ifade edilmiştir.
Konuya ilişkin yürütülen inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 25/05/2023 tarih ve 2023/890 sayılı Kararı ile;
- Şikâyete konu özel yolcu programının bir sadakat programı olduğu, ilgili kişinin bu sadakat programına katılmaksızın da veri sorumlusunun temel hizmeti olan uçak bileti satışı hizmetinden faydalanabildiği, programın üyelerine yalnızca ek imkanlar sağladığı,
- Somut olayda hediye millerin görüntülenmesi şikâyete konu edilmiş olup, yapılan incelemelerde millerin görüntülenmesi değil ekstra millerin kazanılmasının ancak özel yolcu programına üye olunması ile mümkün olduğu; üyeliğin ise ilgili kişinin açık rızası ile oluşturulabildiği,
- Ek menfaatlerin açık rıza koşuluna bağlanmasının “açık rızanın özgür irade ile verilmesi” koşulunu ortadan kaldırmayacağının Avrupa Birliği mevzuatında da açıkça kabul edildiği; nitekim, Kişisel Verileri Koruma Kurulunun 05/07/2019 tarihli ve 2019/198 sayılı Kararında da “Sadakat programı kapsamında ürün/hizmetlerin ek menfaat ile indirimli olarak sunulmasının açık rızanın koşul olarak dayatılması anlamına gelmediği”nin değerlendirildiği,
- Bu bağlamda özel yolcu programına katılımının ilgili kişinin kişisel verilerinin işlenmesine göstereceği açık rızaya bağlanmasının “açık rızanın özgür irade ile verilmesi” ne engel olmayacağı ve biriken millerin görüntülenmesinin açık rıza şartına bağlı olmadığı ve pek çok alternatif yol aracılığıyla program kapsamında biriken millerin görüntülenebildiği görüldüğünden söz konusu olayda açık rızanın koşul olarak dayatılması ve bu anlamda ilgili kişinin açık rızasının bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmesi niteliği taşımadığı
değerlendirmelerinden hareketle;
- Şikâyete konu olayın açık rızanın koşul olarak dayatılması ve bu anlamda ilgili kişinin açık rızasının bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmesi niteliği taşımadığı dikkate alındığında veri sorumlusu hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.
Karar Tarihi | : | 18/05/2023 |
Karar No | : | 2023/845 |
Konu Özeti | : | Bir kargo şirketi çalışanı tarafından kargo teslimi akabinde ilgili kişinin telefonuna kısa mesaj gönderilmesi suretiyle kişisel verilerin hukuka aykırı işlenmesi |
Kuruma intikal eden şikayette özetle; bir online alışveriş sitesi üzerinden alışveriş gerçekleştirdiği, sipariş tarihinden bir gün sonra satın aldığı ürünün veri sorumlusu bünyesinde çalışan kurye tarafından teslim edildiği, sonrasında ise kurye tarafından cep telefonu numarasına taciz içerikli mesaj gönderildiği ve mesajı gönderenin kurye olduğu hususunun kargo şirketi (veri sorumlusu) tarafından teyit edildiği, veri sorumlusunun kişisel veri güvenliğini sağlayamadığı ve çalışanının kendisini rahatsız ettiği belirtilerek gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması talep edilmiş alınan cevabi yazıda özetle;
- Yaşanan olayda eylemi gerçekleştirdiği belirtilen şahsın şirketin çalışanı ve/veya tedarikçisi olmadığı, şirket ile arasında hiçbir hukuki bağın bulunmadığı,
- Şirketin faaliyeti kapsamında; mevzuatın uygun gördüğü şekilde üçüncü şahıslar ile akdettiği iş birliği sözleşmeleri uyarınca, taşıma işinin bir kısmını tedarikçi üçüncü şahıslar ile yürütebildiği,
- Parça başı tedarikçilerin büyük çoğunluğunun "DDN" isimli e-ticaret gönderilerinin daha hızlı ve etkin bir şekilde dağıtılmasını amaçlayan birimlerde çalıştığı, özellikle dağıtımın yoğun olduğu dönemlerde ihtiyaç olan birimlerde parça başı dağıtımcılar vasıtası ile dağıtım ve teslimatın yaptırıldığı,
- Çalışan tüm parça başı araçlar ve sürücülerin şirket sistemlerine eklendiği, gerekli tüm evraklarının sisteme kaydedildiği ve süreç içerisinde uymaları gereken kuralların net şekilde anlatıldığı,
- Söz konusu olayın parça başı dağıtım araçlarından birisinde yaşanan sorun nedeniyle şirketin bilgisi ve onayı dışında, parça başı dağıtım tedarikçisi ve/veya tedarikçinin dağıtım ve teslimat hizmetleri için görevlendirdiği şoförünün talimatı ile dağıtıma destek için getirilen üçüncü bir kişinin sebep olduğu bir vakıa olduğu,
- İlgili kişinin kişisel verilerinin şirket kayıtlarına işlenmesinin sebebinin şirketten taşıma hizmeti alması olduğu ve taşıma hizmetinin verilebilmesi ve gönderilerin alıcılara teslim edilebilmesi için kargo alıcılarının ad-soyadı/adres/iletişim bilgilerinin şirket kayıtlarına işlenmesinin gerektiği, aksi takdirde hizmetin doğru şekilde verilebilmesinin mümkün olmadığı, bu nedenle de ilgili kişinin ad, soyadı ve iletişim bilgilerinin toplandığı ve işlendiği,
- Her bir taşıma için Vergi Usul Kanunu gereği gönderici ve alıcının kişisel bilgilerini ihtiva eden taşıma faturası/irsaliyesi tanzim edildiği, 6102 sayılı Türk Ticaret Kanunu gereği ise bu fatura ve irsaliyelerin 10 yıl boyunca saklanmasının zorunlu olduğu, yasal saklama süreleri sona eren kayıtlar ve kişisel verilerin mevzuata uygun bir şekilde imha edildiği,
- Şirketin personeli veya tedarikçisi olmayan şahsın sebep olduğu bu olayı takiben teslimatta asıl görevli olan parça başı tedarik hizmet alınan kişi ile çalışmanın sonlandırıldığı,
- Şirketin faaliyetlerini son derece özveri ile yürüttüğü, işçilere ve tedarikçilerine, hizmet kalitesi, kişisel veri, gizli bilgi ve veri güvenliğinin sağlanması için gerekli bilgilendirmeleri ve hatırlatmaları yaptığı,
- Benzer olayların tekrar yaşanmaması için yeni idari ve teknik tedbirlerin alındığı, bu kapsamda da tedarikçilerin, müşterilerin telefon numaralarına ulaşımını kısıtlamak adına barkod etiketleri üzerinde yer alan telefon numarasının maskelendiği
ifade edilmiştir.
İlgili kişi tarafından Kuruma iletilen belgelerden, söz konusu olaya ilişkin eylemi gerçekleştiren kurye hakkında 5237 sayılı Türk Ceza Kanunu hükümlerine uyarınca şikayette bulunulduğu ve ceza yargılaması neticesinde şahsın cezalandırıldığı tespit edilmiştir
Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 18/05/2023 tarihli ve 2023/845 sayılı Kararı ile;
- Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde kişisel verinin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi; veri sorumlusunun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi; kişisel verilerin işlenmesinin ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı,
- Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesinde, kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verilmiştir. Buna göre, kişisel verilerin ancak; a) Hukuka ve dürüstlük kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme şartıyla, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ile d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun olarak işlenebileceği,
- Kanun’un 5’inci maddesinin kişisel verilerin işlenme şartlarını düzenlediği, maddenin (1) numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin, (2) numaralı fıkrasında ise, kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için veri işlemenin zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaati için veri işlenmesinin zorunlu olması hallerinde ilgili kişinin açık rızası olmaksızın kişisel verilerin işlenmesinin mümkün olduğunun hükme bağlandığı,
- Kanunun “Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi” başlıklı 7’nci maddesinde; Kanunun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği, yok edileceği veya anonim hâle getirileceği ve kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümlerin saklı olduğunun hükme bağlandığı,
- İlgili kişinin kişisel verilerinin hukuka aykırı olarak işlendiği iddiası bakımından yapılan incelemede, 6098 sayılı Türk Borçlar Kanunu 66’ncı maddesinde “Adam çalıştıran, çalışanın, kendisine verilen işin yapılması sırasında başkalarına verdiği zararı gidermekle yükümlüdür. Adam çalıştıran, çalışanını seçerken, işiyle ilgili talimat verirken, gözetim ve denetimde bulunurken, zararın doğmasını engellemek için gerekli özeni gösterdiğini ispat ederse, sorumlu olmaz. Bir işletmede adam çalıştıran, işletmenin çalışma düzeninin zararın doğmasını önlemeye elverişli olduğunu ispat etmedikçe, o işletmenin faaliyetleri dolayısıyla sebep olunan zararı gidermekle yükümlüdür.” hükmünün mevcut olduğu,
- 4857 sayılı İş Kanunu 2’nci maddesinin 6 ve 7’nci fıkralarında, “Bir işverenden, işyerinde yürüttüğü mal veya hizmet üretimine ilişkin yardımcı işlerinde veya asıl işin bir bölümünde işletmenin ve işin gereği ile teknolojik nedenlerle uzmanlık gerektiren işlerde iş alan ve bu iş için görevlendirdiği işçilerini sadece bu işyerinde aldığı işte çalıştıran diğer işveren ile iş aldığı işveren arasında kurulan ilişkiye asıl işveren-alt işveren ilişkisi denir. Bu ilişkide asıl işveren, alt işverenin işçilerine karşı o işyeri ile ilgili olarak bu Kanundan, iş sözleşmesinden veya alt işverenin taraf olduğu toplu iş sözleşmesinden doğan yükümlülüklerinden alt işveren ile birlikte sorumludur. Asıl işverenin işçilerinin alt işveren tarafından işe alınarak çalıştırılmaya devam ettirilmesi suretiyle hakları kısıtlanamaz veya daha önce o işyerinde çalıştırılan kimse ile alt işveren ilişkisi kurulamaz. Aksi halde ve genel olarak asıl işveren alt işveren ilişkisinin muvazaalı işleme dayandığı kabul edilerek alt işverenin işçileri başlangıçtan itibaren asıl işverenin işçisi sayılarak işlem görürler. İşletmenin ve işin gereği ile teknolojik nedenlerle uzmanlık gerektiren işler dışında asıl iş bölünerek alt işverenlere verilemez.” hükümlerinin mevcut olduğu,
- Türk Borçlar Kanunu ve İş Kanunu’nun ilgili hükümlerine göre veri sorumlusunun söz konusu hukuka aykırı veri işleme olayında sorumluluk sahibi olduğunun değerlendirildiği, buna rağmen veri sorumlusu vekili tarafından Kuruma iletilen cevap yazısından, söz konusu olayı gerçekleştiren ve olayın gerçekleştiği sırada veri sorumlusu adına çalışan şahsa, kişisel verilerin korunması ve veri güvenliği konusunda herhangi bir eğitim verilmediği ve gerekli bilgilendirmenin yapılmadığının anlaşıldığı,
- Eylemi gerçekleştiren şahsın ceza yargılaması esnasında verdiği ifadeler incelendiğinde veri sorumlusu bünyesinde geçici olarak çalıştığı beyanının bulunduğunun tespit edildiği, buna rağmen veri sorumlusunun kurye ile aralarında herhangi bir hukuki ilişkinin bulunmadığı beyanının gerçeği yansıtmadığı ve veri sorumlusu tarafından şahsa gerekli eğitimlerin verilmediği ve kişisel verilerin korunması ile ilgili herhangi bir bilgilendirmenin de yapılmadığı kanaatine varıldığı,
- İlgili kişinin kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi bakımından yapılan incelemede, Kanunun 7’nci maddesi ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi Hakkında Yönetmelik’in 7’nci maddesi ve veri sorumlusunun tabii olduğu ilgili mevzuat hükümleri uyarınca ilgili kişiye ait kişisel verilerin veri sorumlusu kayıtlarına işlenmesinin sebebinin taşıma hizmeti olduğu ve taşıma hizmetinin verilebilmesi ve gönderilerin alıcılara teslim edilebilmesi için kargo alıcılarının ad, soyadı, adres ve iletişim bilgilerinin veri sorumlusu kayıtlarına işlenmesinin gerektiği ve 6102 sayılı Türk Ticaret Kanunu gereği fatura ve irsaliyelerin 10 yıl boyunca saklanmasının zorunlu olduğu
değerlendirmelerinden hareketle;
- Veri sorumlusu tarafından ilgili kişinin kişisel verisi niteliğinde olan cep telefonu numarasının, Kanun’un 5’inci maddesinde öngörülen kişisel veri işleme şartlarına dayanılmaksızın hukuka aykırı olarak paylaşıldığı, bu kapsamda veri sorumlusunun Kanun’un 12’nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılması nedeniyle Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında veri sorumlusu hakkında 250.000 TL idari para cezası uygulanmasına karar verilmiştir.
Karar Tarihi | : | 11/05/2023 |
Karar No | : | 2023/767 |
Konu Özeti | : | Evli çifte ait sağlık verilerini içeren özel nitelikli kişisel verilerin gazetede yayınlanmak suretiyle işlenmesi |
Kuruma intikal eden şikâyette özetle;
- İlgili kişilerin özel bir hastaneden sağlık hizmeti aldıkları, tedavi sırasında yaşanan olumsuzluklar nedeniyle tedavi işlemini yapan doktor hakkında Sağlık Bakanlığına, Cumhuriyet Başsavcılığına ve ihtarname göndermek suretiyle hastaneye şikâyette bulundukları, tedavi tarihinden iki ay sonra yüksek tirajlı bir gazetede yayımlanan haber ile özel nitelikli kişisel verilerinin işlendiği, haberde hastaneye gönderdikleri ihtarnamenin kaynak olarak kullanıldığı kanaatinde oldukları,
- Gazetenin internet sitesinden ve basılı neşriyatından yayımlanmak suretiyle yapılan paylaşımın birçok haber sitesinde de yayımlandığı, taraflarınca 5651 sayılı Kanun kapsamında gerekli başvuruların yapıldığı ve haber içeriklerinin yayından kaldırıldığı ancak bazı internet sitelerinde haberin yayımlanmaya devam ettiği,
- Kişisel ve özel nitelikteki kişisel verilerinin hukuka aykırı olarak ülke çapında yayılması nedeniyle veri sorumlusuna başvurulduğu ancak verilen cevabın yetersiz kaldığı, ilgili kişiler tarafından hastaneye gönderilen ve özel nitelikli kişisel verileri ihtiva eden noter ihtarnamesinin kimden, nerede, ne zaman ve nasıl ele geçirildiği hususunda kendilerine bir açıklama yapılmadığı,
- Doktor ve hasta arasında gizli kalması gereken özel nitelikli kişisel verilerin gazetenin eline geçmesinin hukuka aykırı olduğu, bu durumun ifade özgürlüğü ve basın hürriyeti gibi kavramlara dayandırılarak hukuka uygun hale getirilemeyeceği, ifade özgürlüğünün sınırsız olmadığı, düşünceyi açıklama ve yayma hürriyeti ile basın hürriyetinin özel hayatın gizliliği ve korunması hakkından üstün olmadığı ve sınırlamalara tabi olduğu, , haberin verilmesinde kamusal yarar ve ilgi bulunmadığı, söz konusu tedavi sürecinin ve detaylarının kimseyi ilgilendirmeyeceği, gördükleri tedavi sürecinin detaylı şekilde haberleştirilmesinde kamu ilgi ve yararı olmayacağı, haberde ifade ve düşünce arasında düşünsel bağ olmadığı, sosyal medya üzerinden de hedef gösterildikleri, haberin yapıldığı gazetenin yazarı olan ve haberi sosyal medya hesabı üzerinden paylaşan gazetecinin paylaşımının altında iftira ve hakaret dolu pek çok yorum yapıldığı
belirtilerek veri sorumlusu hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup verilen cevabî yazıda özetle;
- İlgili kişilerin başvurusuna verilen cevap ile işlemin gazetecilik, basın hürriyeti ve ifade özgürlüğü kapsamında yapılmış hukuka uygun bir veri işleme faaliyeti olduğunun açıklandığı,
- İncelemeye konu olayın 5187 sayılı Basın Kanunu kapsamında bir habercilik faaliyeti olduğu ve konunun basın, medya ve gazetecilik ilkeleri ile mevzuatı da dikkate alınarak değerlendirilmesi gerektiği,
- Yapılan haberin ifade özgürlüğü kapsamında haber niteliği taşıyabilmesinin, Anayasa Mahkemesi kararları, Yargıtay ve doktrinin istikrar bulmuş görüşleri uyarınca birtakım koşullara bağlı olduğu; bunların haberin gerçek ve güncel olması, verilişinde kamusal ilgi ve kamu yararı bulunması, düşünce ve ifade arasında düşünsel bağ bulunması şeklinde belirlendiği,
- Gazetede yayımlanan haberin; özel hastanede bir doktor ile kamu görevlisi arasında yaşanmış bir tartışma olması özelliğiyle kamuoyuna sunulmasında kamuoyu ilgisi ve tarafların sıfatının verilmesinde kamu yararı olduğu gözetilerek yapıldığı, haber metninde gereksiz ve incitici bir dil kullanılmadığı, bu yönüyle olayın gerçek ve güncel olduğu,
- Haberin ilgili kişi tarafından hastaneye gönderilen ihtarnamedeki iddialar ile olayın karşı tarafında bulunan kişinin bu iddialara karşı savunmalarına yer verilerek oluşturulduğu, haber metni hazırlanırken de özle biçim arasında dengenin korunduğu, zira sorumlu gazetecilik anlayışına uygun şekilde her iki tarafın iddia ve görüşlerine haberde yer verildiği, hukuka uygun nitelikteki haberin yayımlanmasının Kanun’un 28’inci maddesinin (1) numaralı fıkrasının (c) bendinde yer alan “Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suça teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi” gereği istisna kapsamına girdiği,
- Kanun’un uygulanmayacağı istisna halleri içinde “kişisel veri” ve “özel nitelikli kişisel veri” ayrımına gidilmediği, özel nitelikli kişisel veri içeriyor olsa dahi yaşanan olay haber değeri taşıyorsa yayımlanmasının hukuka aykırılık teşkil etmediği,
- Haberin hazırlanması, habere ilişkin kaynak ve bilgi toplanması aşamasının basın ve ifade özgürlüğü kapsamında değerlendirilmesi gerektiği; aksi takdirde Kanun’un 28’inci maddesindeki istisnanın bir anlamının kalmayacağı, henüz ifade bulmamış düşüncelerin hazırlık hareketlerinin, haberin oluşturulması aşamasının Kanuna dolaylı olarak dahil edilmesinin düşünce ve ifade özgürlüğü amacıyla sağlanan istisna kapsamını daraltacağı,
- Gazetecilik faaliyetinin temel ilkeleri uyarınca, habere konu bilginin gazeteci tarafından teyit edilerek yayınlandığı ve gazetecinin kaynaklarını açıklamaya zorlanamayacağı, nitekim 5187 sayılı Basın Kanunu’nun 12’nci maddesinde “Süreli yayın sahibi, sorumlu müdür ve eser sahibi, bilgi ve belge dahil her türlü haber kaynaklarını açıklamaya ve bu konuda tanıklık yapmaya zorlanamaz” hükmünün yer aldığı
ifade edilmiştir.
Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 11/05/2023 tarih ve 2023/767 sayılı Kararı ile;
- Kanun’un “İstisnalar” başlıklı 28’inci maddesinin (1) numaralı fıkrasının (c) bendi kapsamında; “kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği, özel hayatın gizliliği veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi” halinin Kanun’un uygulama alanı bulmayacağı haller arasında sayıldığı,
- Kişisel veri işlemesinin ifade özgürlüğü kapsamında tam istisnai hal olarak değerlendirilebilmesi için suç teşkil etmemek kaydıyla özel hayatın gizliliğini de ihlal etmemesi gerektiği,
- Kişilik haklarına saldırı mahiyetinde olmayan haberin hukuka uygun olduğunun kabul edilebilmesi için; kamu ilgi ve yararı taşıması, gerçek ve güncel olması, öz ile biçim arasındaki dengenin gözetilmiş olması gerektiği,
- Kamu yararının tespitinde haberin kişilerin gereksiz merak duygularına mı yoksa yüksek ahlaki ve hukuki değerlerin korunmasına mı hizmet ettiği değerlendirilerek bir sonuca varılmasının uygun olacağı, toplumsal ilgi uyandıran, kamuoyunu düşünmeye ve tartışmaya sevk eden, belli bir sorunun aydınlatılmasına ve çözüm yollarının gösterilmesine hizmet eden olayların açıklamasında kamu yararının bulunduğunun söylenebileceği; örneğin, yasa dışı uygulamaların, rüşvet ve yolsuzlukların kamuoyuna iletilmesinde, eleştirilmesinde kamu yararının bulunduğu; ayrıca kamu ilgi ve yararı kriteri kapsamında siyasetçiler ve kamu görevlilerine dair yapılan haberler bakımından basın özgürlüğüne yapılan sınırlamaların daha dar yorumlanmasının uygun olacağı, bir başka deyişle, siyasetçilerin ya da kamu görevini yerine getiren kimselerin bu görevleri dolayısıyla eleştirilebilirliklerinin sıradan bir vatandaşa göre çok daha geniş olduğu, zira bu alanlarda kamunun ortak menfaatinin söz konusu olduğu ve kamuoyunun olayları bilmesinin yanı sıra olayların yorumlanıp kendilerine fikir sunulmasına yönelik bir ihtiyacın da gündeme geldiği, ancak bu sayede sıradan vatandaşın gerek siyasetçilerin gerekse kamu görevlilerinin eylemleri hakkında bilgi sahibi olabileceği,
- Haberin gerçekliğinin habere yahut eleştiriye konu olayın gerçek olmasını ifade edeceği, buradaki gerçeklikten maddi gerçekliğin değil görünür gerçekliğin anlaşılması gerektiği, bir başka deyişle, gerçeklik unsurunun somut gerçeğe değil, olayın, haberin verildiği andaki biçimine uygunluk olarak anlaşılması gerektiği, zira olayın maddi gerçekliğinin araştırılmasının beklenilmesinin basının önemli ölçüde kısıtlanmasına neden olacağı, bu açıdan haberi yapan kimsenin yükümlülüğünün doğruluk kanıtı sunması değil kabul edilebilir seviyede ön araştırmayı yapması ve haberin doğru olduğuna dair iyi niyetli yaklaşımının olması şeklinde ele alınması gerektiği, bu kapsamda basının haber yapmasını ve değerlendirmede bulunmasını imkânsız hale getirecek şekilde ispat zorunluluğu aranmasının basın özgürlüğü hakkının özünü zedeler nitelikte olacağı, haberin güncel olmasının ise somut olayın açıklandığı tarihlerde kamu yararının bulunması esasına dayandığı, üzerinden süre geçmiş ve açıklanmasında artık kamu yararı bulunmayan bir olayın yayımlanmasında haber verme hakkından söz edilemeyeceğinden kişilik hakkına üstünlük tanınması gerekeceği, bu noktada geçmişteki bir olayın gündeme getirildiği haberin hukuka uygun kabul edilebilmesi için kamu yararı taşıması gerekmediği, örneğin bir milletvekili adayının daha önce bir suçtan mahkûmiyet aldığı yönündeki haberin güncellik unsurunu taşıdığının söylenebileceği,
- Haberde kullanılan dil, ifade ve resimlerin haberin veriliş biçiminin gerektirdiği ölçüde olması gerektiği, bir olayın açıklanmasında kullanılan dil ve sözcüklerin orta düzeydeki bir okuyucu üzerinde başka bir anlama gelecek şekilde yer almaması gerektiği, haberin verilişinde gerekli, ilgili ve yararlı olmayan beyan ve değerlendirmelerde bulunulması halinde kişilik hakkı ile çatışan basın özgürlüğüne üstünlük tanınmasının mümkün olmayacağı, yayımlanan haber veya eleştiride kamuoyunu aydınlatma görevinin dışına çıkılarak sansasyon yaratma, küçük düşürme ve daha fazla tiraj sağlama gibi öznel amaçlarla kişinin onur ve saygınlığına saldırı teşkil eden aşağılayıcı ve lüzumsuz ifadelere yer verilmiş olması halinde haberin özü ile biçim arasındaki dengenin gözetilmediğini kabul etmek gerekebileceği, bu noktada haberin özü ile biçimi arasındaki denge unsuru değerlendirilirken haberin bütününün dikkate alınması gerektiği,
- Diğer taraftan, ifade özgürlüğü ile kişilik haklarının çatışması halinde çatışan menfaatlerin dengelenip dengelenmediğini ve basın özgürlüğüne yapılan müdahalenin demokratik toplumda gerekli ve orantılı olup olmadığını belirlemeye yönelik olarak; basında yer alan yazı veya ifadelerin kamuoyunu ilgilendiren genel yarara ilişkin bir tartışmaya sağladığı katkı, hedef alınan kişinin tanınmışlık düzeyi ve yazının amacı, ilgili kişinin medyaya karşı önceden yaptığı davranışları, bilginin elde edilme yöntemi ve doğruluğu, yayının içeriği, biçimi, sonuçları ve yapılan haber dolayısıyla uygulanan yaptırımın ağırlığı kriterlerinin esas alındığı,
- İncelemeye konu haberde; ilgili kişilerin isim ve soyadları, kamu görevlisi olduğu bilgisi, sağlık hizmeti almak üzere başvurdukları hastane adı, hizmet aldıkları doktorun adı, alınan sağlık hizmetinin detayları, ilgili kişiler ile doktor arasında yaşanan hadisenin detayları, tarafların birbirlerine sarf ettikleri iddia edilen sözler ve tarafların mahkemelik olduklarına dair kişisel verilere yer verildiği, özel nitelikli kişisel verilerden sağlık ve cinsel hayata ilişkin verilerin de bulunduğu, ilgili kişilerin kişilik hakları ile basın özgürlüğü arasında mezkûr kriterler kapsamında değerlendirme yapılması gerektiği,
- Şikâyete konu haber gerçek ve güncel olma kriteri açısından değerlendirildiğinde haberin maddi gerçekliği yansıtmasa dahi görünür gerçeklik üzerinden haberleştirildiğinin anlaşıldığı ve haberin yayımlandığı tarih itibariyle güncellik kriterinin sağlandığı,
- Hastanelerin kamusal alan olduğu ve buralarda meydana gelen adli olayların veya doktorlar ile hastalar arasında yaşanan hadiselerin haberleştirilmesinde kamu yararının mevcut olduğu, ilgili kişilerin kişisel verilerinin söz konusu olaya ilişkin bir haberde yer almasının kamu ilgi ve yararı taşıyabileceği, ayrıca ilgili kişilerden birinin kamu görevlisi olması nedeniyle kamu ilgi ve yararı kriterinin bu bakımdan da sağlanabileceği ancak kamu yararı taşıma kriterinin özle biçim arasındaki denge kriteri ile birlikte yeniden değerlendirilmesi gerektiği,
- Özle biçim arasındaki denge unsuru bakımından; taraflar arasında yaşanan olayın, ilgili kişilerin özel hayatının gizliliğini ihlal edecek boyutta detaylar içerecek şekilde haberleştirildiği, olayın bir gazete haberinin gerektirdiğinden fazla detay ile anlatılmak istenen özden uzaklaşılarak verildiği, ilgili kişilerin sağlık sorununa ilişkin tüm detaylar, olayın meydana geliş sürecinde sarf edilen sözler, olayın hangi mekanlarda geçtiği gibi anlatılmak istenen özden uzaklaşmak suretiyle fazlaca detaya yer verildiği ve bu detayların ilgili kişilerin kişilik haklarını ihlal ettiği,
- Haberin yapılmasında kamu ilgi ve yararı kriteri mevcut ise de habere konu edilen detayların kamuoyu tarafından bilinmesinde bir menfaat olmadığı, söz konusu kişisel verilerin yayımlanmasının toplumun genelini ilgilendiren ya da ilgilendirmesi gereken bir durum olmadığı, toplumu bir olayı düşünmeye sevk etmediği ya da kamuoyunda tartışılan bir meseleye katkı sağlayabilecek nitelikte olmadığı, aksine ilgili kişilerin kişisel verilerinin korunması hakkının ihlal edilmesi sonucu kişilik haklarını zedelediği, öte yandan haberde yer verilen kişisel verilerin özel nitelikli veri niteliğini haiz olmasının özle biçim arasındaki denge unsurunun sağlanamadığını gösterdiği,
- Bu kapsamda, haberde yer alan kişisel veriler bakımından Kanun’un 28’inci maddesinin (1) numaralı fıkrasının (c) bendinde yer alan istisna hükmüne dayanılamayacağı, Kanun’un 5’inci ve 6’ncı maddelerinde yer alan geçerli bir işleme şartı mevcut olmaksızın kişisel verilerin işlenmiş olmasının Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan “kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirlerin” alınmamış olduğunun göstergesi olduğu
değerlendirmelerinden hareketle;
- Şikayete konu haberde yer alan özel nitelikli kişisel veriler bakımından ifade özgürlüğü ile kişilik hakları arasında yapılan karşılaştırma neticesinde ilgili kişiler bakımından kişilik hakkı ve özel hayatın gizliliğinin ihlal edildiği kanaatine ulaşılmış olması nedeniyle Kanun’un 28’inci maddesinin (1) numaralı fıkrasının (c) bendinde yer alan ifade özgürlüğü istisnasına öncelik tanınamayacağı, bu minvalde söz konusu haberde yer verilen özel nitelikli kişisel verilerin Kanun kapsamında geçerli bir işleme şartına dayanmaksızın işlenmiş olmasının Kanun’un 12’nci maddesinde yer alan “kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirlerin” alınmamış olduğunun göstergesi olduğu dikkate alındığında veri sorumlusu gazete hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 100.000 TL idari para cezası uygulanmasına
karar verilmiştir.
Karar Tarihi | : | 27/04/2023 |
Karar No | : | 2023/646 |
Konu Özeti | : | Bir üniversite bünyesinde çalışanların özlük bilgilerinin tüm personelle paylaşılması |
Kuruma intikal ettirilen şikayet dilekçesinde özetle, bir Üniversitenin Fakülte Dekanı imzasıyla gönderilen bir e-posta ekinde bulunan dosya ile, ilgili kişinin kendisinin ve Üniversitede çalışan tüm öğretim üyelerinin sicil numaralarını, çalıştıkları birimi ve izin durumlarını gösterir verilerin Fakültenin idari ve akademik tüm kadrosuna aktarıldığı, Üniversite tarafından bu verilerin herhangi bir ayrım veya gerekçeye dayanmadan toplu bir e-posta ile tüm personelle paylaşılmasının hukuka aykırı olduğu hususları belirtilerek, 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde şikâyet edilen veri sorumlusundan savunması talep edilmiş olup veri sorumlusu tarafından verilen cevapta özetle; ilgili kişinin izin kullanma tarihlerinin, tüm diğer personel ile birlikte, belli, açık ve meşru amaçlar için işlendiği; ilgili kişinin, diğer personel gibi bir iş sözleşmesine dayalı olarak veri sorumlusu bünyesinde görev yaptığı, ancak personelce bu konuda gerekli hassasiyetin gösterilmediği görülmekte olduğundan ilgili personelin uyarılması maksadıyla verilerin paylaşıldığı, bu gibi durumlarda, kişinin rızası aranmaksızın kişisel verilerinin işlenebileceği, izinlerin kullanımıyla ilgili konuda ilgili kişiyi de kapsayan veri işlenmesinde hukuka aykırılık bulunmadığı, işlemin kurumsal disiplin ve düzen, verimlilik ve kamu yararı, yerleşik idari anlayış ve uygulamalara uygun bulunduğu ifade edilmiştir.
Konuya ilişkin olarak yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 27/04/2023 tarihli ve 2023/646 sayılı Kararı ile;
- Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde kişisel verinin; “kimliği belirli ya da belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, ilgili kişinin; “kişisel verisi işlenen gerçek kişi”, veri sorumlusunun ise; “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlandığı,
- Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun hükme bağlandığı,
- Bununla birlikte Kanun’un 12’nci maddesinin (1) numaralı fıkrasının “Veri sorumlusu; Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmünü amir olduğu,
- Somut olayda, her ne kadar veri sorumlusunun cevap yazısında şikâyete konu kişisel veri paylaşımının izin kullanımı konusunda ilgili personelin uyarılması amacıyla Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendinde düzenlenen “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” şartına dayanılarak gerçekleştirildiği ifade edilmiş olsa da mezkûr işleme şartının ilgili kişinin izin durumuna ilişkin kişisel verilerinin veri sorumlusu bünyesinde çalışan diğer kişilerle paylaşılması bakımından geçerli olmayacağı,
- İlgili kişinin izin kullanımı hususunda uyarılması amacıyla ilgili kişinin çalıştığı birimde görevli diğer tüm personelle kişisel verilerinin paylaşılmasının gereklilik arz etmediği ve bu amaçla yalnızca ilgili kişi muhatap alınmak suretiyle alternatif süreçlerin işletilebileceği
değerlendirmelerinden hareketle,
- Veri sorumlusu tarafından ilgili kişinin izin durumuna ilişkin kişisel verilerinin ilgili kişinin çalıştığı birimde görevli diğer personelle paylaşılması suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinde yer alan işleme şartlarından herhangi birine dayanmadığı ve bu durumun Kanun’un 12’nci maddesinin (1) numaralı fıkrasına aykırılık teşkil ettiği kanaatine varıldığından Kanun’un 18’inci maddesinin (3) numaralı fıkrası uyarınca veri sorumlusu bünyesinde görev yapan ilgili personel hakkında disiplin hükümlerine göre işlem yapılması ve işlemin sonucu hakkında Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına
karar verilmiştir.
Karar Tarihi | : | 11/04/2023 |
Karar No | : | 2023/570 |
Konu Özeti | : | İlgili kişinin kripto varlık hizmet sağlayıcısı nezdinde bulunan üyeliğinin seviyesinin artırılması için gereğinden fazla kişisel veri talep edilmesi |
Kuruma intikal eden şikayette özetle; bir kripto varlık hizmet sağlayıcısı olan veri sorumlusuna ait platformdaki üyelik seviyesinin arttırılması talebine istinaden ilgili kişinin kimliğinin ön ve arka yüzünün fotoğrafının kendi fotoğrafı ile birlikte talep edildiği, veri sorumlusunca gerektiğinden fazla ve ölçüsüz olarak kişisel veri işlendiği hususları belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması talep edilmiş olup veri sorumlusunun cevabi yazısında özetle;
- Veri sorumlusunun kurduğu platform ile kripto para almak isteyenlerle satmak isteyenleri buluşturup aracılık yaptığı, kullanıcıların sitede hesap açmasının, “Temel Seviye” üyelik tipi ile başladığı, üyelik için hesap açarken adı, soyadı, T.C. kimlik numarası veya yabancı uyruklu olması halinde yabancı kimlik numarası ve uyruk, doğum tarihi, elektronik posta adresi ve cep telefon numarası kişisel verilerinin işlendiği, kullanıcıların bu üyelik tipi ile, Türk Lirası yatırma - çekme, alış-satış ve kripto para yatırma işlemi yapabildikleri,
- Kullanıcıların kripto para çekme aşamasında “İleri Seviye” üyeliğe geçtikleri, bu üyelik tipinde site içerisinde bulunan başvuru sayfasından kimlik, sürücü belgesi veya pasaportunun bir görseli ile kimlik veya sürücü belgesinin ön yüzünün, arka yüzünün ve başvuranın yüzünün net göründüğü elinde kimlik veya sürücü belgesinin ön yüzü ile birlikte üzerinde belirli bir ifadenin ve günün tarihinin yazılı olduğu bir kâğıdın ve fotoğrafının pasaport ile başvurularda, pasaportun ön yüzü ve pasaportun ön yüzü ile birlikte üzerinde belirli bir ifadenin ve günün tarihi yazan bir kağıdın paylaşılmasının beklendiği,
- Kripto varlık hizmet sağlayıcı olarak veri sorumlusunun, Suç Gelirlerinin Aklanmasının ve Terörün Finansmanının Önlenmesine Dair Tedbirler Hakkında Yönetmelik’in (Tedbirler Yönetmeliği) 4’üncü maddesi uyarınca suç gelirlerinin aklanmasının ve terörün finansmanının önlenmesi amacıyla yükümlülüklerinin bulunduğu, ilgili Yönetmeliğin 6’ncı maddesi uyarınca ilgilinin; adının, soyadının, doğum tarihinin, T.C. kimlik numarasının ve kimlik belgesinin türü ve numarasına ilişkin bilgilerin doğruluğunun Türk uyruklular için T.C. nüfus cüzdanı, T.C. sürücü belgesi veya pasaport ile üzerinde T.C kimlik numarası bulunan ve özel kanunlarında resmi kimlik hükmünde olduğu açıkça belirtilen kimlik belgeleri üzerinden teyit edildiği,
- “İleri Seviye” üyeliğe geçişin ölçülülük ilkesi ile paralel olarak yalnızca kripto para çekme işlemlerinde, kripto para transfer işlemlerinin tamamen anonim olarak yapılması nedeniyle ve Yönetmelik kapsamındaki yükümlülükler doğrultusunda gerekli tedbiri alabilmek üzere gerçekleştirildiği, bu işlemin gerçek kullanıcı tarafından yapıldığının teyit edilmesi amacıyla bu belgelerin talep edildiği, eğer kripto para çekme işlemi yapılmayacak ise bu verilerin paylaşılmasına gerek olmadığı hususları
ifade edilmiştir.
Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulu’nun 11/04/2023 tarihli ve 2023/570 sayılı Kararı ile;
- Kanun’un “Kişisel verilerin işlenme şartları” başlıklı 5’inci maddesinin ikinci fıkrasının (a) bendinde “Kanunlarda açıkça öngörülmesi” hâlinde kişisel verilerin işlenmesinin mümkün olduğu hükmünün yer aldığı,
- Veri sorumlusunun kripto para alım satım işlemleri yapılmasına aracılık etme faaliyetinde bulunması itibarıyla Kripto Varlık Hizmet Sağlayıcısı olarak 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun (5549 sayılı Kanun) ve buna dayanılarak çıkarılan Suç Gelirlerinin Aklanmasının ve Terörün Finansmanının Önlenmesine Dair Tedbirler Hakkında Yönetmelik’in “Yükümlü” başlıklı 4’üncü maddesinin 1’inci fıkrasının (ü) bendi kapsamında yükümlü olarak bu mevzuata tabi kılındığı,
- 5549 sayılı Kanun’un “Müşterinin tanınması” başlıklı 3’üncü maddesinde yükümlülerin, müşterinin tanınmasına ilişkin esaslar kapsamında; kendileri nezdinde yapılan veya aracılık ettikleri işlemlerde işlem yapılmadan önce, işlem yapanlar ile nam veya hesaplarına işlem yapılanların kimliklerini tespit etmek ve gerekli diğer tedbirleri almak zorunda olduğuna işaret edildiği, kimlik tespitine esas belge nevilerini belirlemeye Bakanlığın (Hazine ve Maliye Bakanlığı) yetkili olduğu, kimlik tespitini gerektiren işlem türleri, bunların parasal sınırları ile müşterinin tanınmasına ilişkin ve konuyla ilgili diğer usûl ve esasların yönetmelikle belirleneceği,
- Müşterinin tanınmasına ilişkin detaylı düzenlemelerin Tedbirler Yönetmeliği’nin 5 ila 26/A maddelerinde yer aldığı, Mali Suçları Araştırma Kurulu (MASAK) tarafından yayınlanan Kripto Varlık Hizmet Sağlayıcıları Rehberinde müşterinin tanınması yükümlülüğü kapsamında alınması gerekli en önemli tedbirin “kimlik tespiti” olduğunun belirtildiği, Yönetmelikte hangi işlemlerde ve ne şekilde kimlik tespiti yapılacağının detaylı bir şekilde açıklandığı, buna göre kimlik tespiti yapılması gerekli olan işlemlerin, işlem tutarına bağlı olanlar ve olmayanlar şeklinde sınıflandırıldığı, diğer taraftan “Faaliyetlerini Münhasıran Elektronik Ortamda Gerçekleştiren Yükümlüler” olarak kripto varlık hizmet sağlayıcılarının 5 No’lu Mali Suçları Araştırma Kurulu Genel Tebliği’nin 2.2.10 maddesinde belirtilen şartları tamamlamaları halinde Basitleştirilmiş Tedbirlere ilişkin hükümlerden yararlanabilmesinin mümkün olduğu, ancak bunun için ilgili maddede yer verilen şartların tamamlanmasının gerektiği,
- Veri sorumlusunun sunduğu hizmetlerden hesap açılmak suretiyle yararlanılabildiği, hesap açılması esnasında kullanıcılardan T.C. kimlik numarası ya da yabancı kimlik numarası, isim, soy isim, cep telefonu, doğum tarihi ve elektronik posta adres bilgilerinin istenildiği, bu suretle açılan hesaplarda belli bir limite kadar işlem yapılmasının serbest olduğu, belli limitin üzerindeki işlemlerin gerçekleştirilebilmesinin kullanıcıların üyelik seviyesini yükseltmelerine yani İleri Seviye olarak nitelendirilen hesaba sahip olmalarını gerektirdiği, kullanıcıların üyeliğinin yükseltilebilmesi için ise T.C. kimlik belgesinin ön ve arka yüzü ile fotoğrafıyla beraber üzerinde belirli bir ifadenin ve günün tarihinin yazılı olduğu bir kâğıdın fotoğrafını paylaşmalarının gerektiği, veri sorumlusunun faaliyet alanında suç gelirlerinin aklanması olarak nitelendirilen kara para aklama faaliyetinin gerçekleştirilmesi ihtimali bulunduğundan kullanıcıların kimliğinin tespit edilmesinde kamusal bir menfaat bulunduğu,
- Öte yandan ilgili kişinin kişisel verilerinin imha edilmesi talebine ilişkin olarak veri sorumlusuna başvurusunun incelenmesinden, kişisel verilerinin silinmesi-yok edilmesi yönünde bir talepte bulunmadığı, öte taraftan başvuruda bulunulan e-posta adresinin kişisel verilerin korunmasına yönelik taleplere özgülenmediği anlaşıldığından ilgili kişinin bahsi geçen talebine yönelik olarak Kanun ve Tebliğ’de yer verilen usul ve yöntemler çerçevesinde öncelikle veri sorumlusuna başvuru yolunu tüketmediği,
değerlendirmelerinden hareketle;
- Veri sorumlusunun kişisel verilerin işlenmesi hususunda 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun başta olmak üzere ilgili mevzuattan kaynaklanan bir yükümlülüğünün bulunduğu, bu itibarla veri sorumlusu tarafından kullanıcıların kimliğinin tespit edilebilmesi ve ilgili kullanıcı tarafından işlem yapıldığının tespit ve teyit edilebilmesi için kişisel verilerinin işlenmesinin Kanun’un 5’inci maddesinin 2’nci fıkrasının (a) bendi çerçevesinde “kanunlarda açıkça öngörülmesi” hukuki işleme şartına dayandığı, diğer yandan ilgili kişinin kişisel verilerinin silinmesi talebine ilişkin olarak ilgili kişinin bahsi geçen talebini Kanun ve Tebliğ’de belirlenen usul ve yöntemler çerçevesinde öncelikle veri sorumlusuna iletmediği, üyeliğinin devam etmesi nedeniyle kişisel verilerinin sözleşme kapsamında işlemeye devam edildiğinin anlaşıldığı dikkate alındığında ilgili kişinin şikayeti hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.
Karar Tarihi | : | 11/04/2023 |
Karar No | : | 2023/567 |
Konu Özeti | : | Bir e-ticaret sitesinden alışveriş yapılabilmesi için banka/kredi kartı bilgilerinin kaydedilmesinin zorunlu tutulması hakkında |
Kuruma intikal eden şikâyette özetle;
- İlgili kişinin e-ticaret sitesi üzerinden alışveriş yapacağı sırada ödeme ekranında açılan “kredi/banka kartı ekle” butonu ile kredi/banka kartı bilgilerini kaydetmesinin talep edildiği, ilgili kişinin siteden alışveriş yapabilmesi için kredi/banka kartı bilgilerini kaydetmesinin zorunlu tutulduğu ve ilgili bilgiler girilmeksizin “devam et” butonlarının işlemediği ve alışveriş yapılmasının mümkün olmadığı,
- Veri sorumlusu tarafından kredi/banka kartı bilgilerinin kaydedilmesi için 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında geçerli bir veri işleme şartı bulunmadığı, ilgili kişinin veri sorumlusuna verilmiş bir açık rızası da olmadığı,
- Öte yandan ilgili kişiye bu işlemeye ilişkin bir aydınlatma da yapılmadığı
belirtilerek aracı hizmet sağlayıcı hakkında Kanun kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması talep edilmiş olup veri sorumlusu tarafından verilen cevapta özetle;
- Hizmet sağlayıcı ve aracı hizmet sağlayıcı olarak faaliyet gösteren şirketin, ödeme işlemlerinin tamamlanması amacıyla fatura adresi ve kredi/banka kartı bilgilerini (kart numarası, kart sahibinin adı, soyadı ve son kullanma tarihi) işlediği,
- Herhangi bir hesap oluşturmadan ve müşteri olmadan internet sitesinde gezinebilmenin mümkün olduğu, müşterilerin hesap oluşturmadan önce ya da hesap oluşturma aşamasında herhangi bir şekilde cüzdanlarına kredi kartı bilgilerini eklemelerinin talep edilmediği ancak Türkiye’deki diğer perakende şirketlerin çevrimiçi pazaryerlerinde olduğu gibi, veri sorumlusunun müşterilerin siparişlerine ilişkin ödemelerini alabilmek için ödeme bilgilerine ihtiyaç duyduğu,
- Bir müşterinin internet sitesi üzerinden satın alma işlemi gerçekleştirmek istediğinde eğer cüzdanında herhangi bir ödeme aracı yer almıyorsa bu durumda ödemeye devam et seçeneğini seçmeden önce cüzdanına kart bilgilerini eklemesi gerektiği, bu bilgilerin ödemenin müşterinin talebine uygun şekilde alınabilmesi amacıyla kullanıldığı, kart bilgilerinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” hükmü kapsamında işlendiği,
- Müşteri bir satın alma işlemini tamamladığında Şirketin bu işleme ilişkin bilgileri 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun kapsamında hem hizmet sağlayıcı hem de aracı hizmet sağlayıcı sıfatıyla üstlenmiş olduğu hukuki yükümlülükleri yerine getirebilmek adına işlediği, söz konusu süreç kapsamında kişisel verilerin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (ç) maddesinde yer alan “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartı kapsamında işlendiği,
- Bunun yanı sıra Şirketin kart bilgilerini;
- Müşterilerinin, Şirketin ve diğer kişilerin güvenliğini korumak adına dolandırıcılığı ve suiistimali tespit edebilmek için Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (f) bendinde yer alan “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hükmüne istinaden,
- Müşterinin Şirkete ait internet sitesinde Premium müşteri olması halinde aylık Prime üyelik ücretini tahsil edebilmek adına Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” hükmüne istinaden işlediği,
- Ödeme aracı bilgilerini eklemiş olan müşterilerin, hesap ayarlarından diledikleri zaman kartlarını kaldırabildikleri ve bilgilerini değiştirebildikleri, bu durumun, müşterilerin hesapları üzerinde sahip oldukları kontrol yetkisini gösterdiği, kart bilgilerini cüzdanlarından kaldırmayı tercih etmeyen müşterilerin aynı bilgileri tekrar girmeye ihtiyaç duymadan sonraki satın almaları kolaylıkla yapabildikleri,
- Müşterilerin ödeme aracı bilgilerinin profil sayfası üzerinden incelenebildiği, ödeme aracı bilgilerinin düzenlenebildiği ve tamamen kaldırılabildiği, ödeme aracının kaldırılması durumunda müşterinin internet sitesi üzerindeki hesabını kullanmaya devam edebildiği,
- Şirketin veri işleme faaliyetlerine ilişkin olarak ilgili kişilere karşı aydınlatma yükümlülüğünü açık bir şekilde yerine getirdiği, Gizlilik Bildiriminde, ödeme süreçlerinin yürütülmesi için ödeme bilgilerinin işlendiğinin belirtildiği, Gizlilik Bildiriminin, Kanun’un 10’uncu maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ'e uygun şekilde yayınlandığı, bu metnin, müşterilerin internet sitesinin ziyaret ettikleri her sayfanın altında, hesap oluşturma sayfasında ve oturum açma sayfasında yer aldığı, bu sayede müşterilerin kişisel verilerini Şirket ile paylaşmadan önce bu metni inceleyebildikleri,
- Bu kapsamda Şirketin kişisel veri işleme faaliyetlerini Kanun’a uyumlu şekilde yürüttüğü
ifade edilmiştir.
Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 11/04/2023 tarihli ve 2023/567 sayılı Kararı ile;
- İlgili kişinin iddiaları ve veri sorumlusunun beyanlarının teyit edilmesi amacıyla veri sorumlusunun şikâyete konu internet sitesinde jenerik bir hesap oluşturulması ve sipariş verilmeye çalışılması suretiyle sistemin test edildiği,
- Satın alma işleminin ikinci adımı olan “Bir Ödeme Aracı Ekleyin” adımında “kredi kartı veya banka kartı ekleyin” bölümünün yer aldığı, bu bölüme tıklandığında açılan pencerede, kart bilgilerinin girilebileceği alanların yan tarafında “iptal et” ve “kartınızı ekleyin” şeklinde iki seçenek olduğu, “iptal et” seçeneğine tıklanması durumunda ödemenin gerçekleştirilememesi nedeniyle alışverişin tamamlanamadığı, “kartınızı ekleyin” seçeneği tıklandığında ödeme aracı olarak bilgileri girilen kartın eklendiği ve satın alma aşamalarında sonraki aşamaya ancak bu bilginin girilmesi ile geçilebildiği, ödeme yapıldıktan ve sipariş tamamlandıktan sonra ise “Hesabım-Cüzdan-Kartlar ve Hesaplar” bölümünde tamamlanan siparişin ödenmesi amacıyla zorunlu olması sebebiyle kaydedilen kart bilgilerinin halen kayıtlı olduğunun görüldüğü, bu bölümde “düzenle” seçeneğine tıklanarak ilgili kart bilgilerinin cüzdandan kaldırılabildiğinin anlaşıldığı,
- İlgili kişinin iddiası ile uyumlu şekilde, kart bilgisi sisteme kaydedilmeden alışverişin tamamlanamadığı ve alışveriş tamamlandıktan sonra da kart bilgilerinin cüzdan bölümünde kayıtlı olmaya devam ettiğinin anlaşıldığı,
- Alışverişin tamamlanması için kart bilgilerinin kaydedilmesinin zorunlu olması ve önceki alışveriş için veri sorumlusunun internet sayfasına girilen kart bilgilerinin alışverişin tamamlanmasının ardından kayıtlı olmaya devam etmesinde veri sorumlusu tarafından öne sürülen işleme şartlarının geçerli olup olamayacağının değerlendirilmesinin gerektiği,
- Avrupa Veri Koruma Otoritesi (EDPB) tarafından 19 Mayıs 2021 tarihinde kabul edilen “Kredi Kartı Verilerinin Yalnızca Sonraki Çevrimiçi Satınalmaları Kolaylaştırmak Amacıyla İşlenmesinde Veri İşleme Şartları Konulu 02/2021 sayılı Tavsiye Kararı”nda satın almaları kolaylaştırmak amacıyla kart bilgilerinin işlenmeye devam edilmesinde dayanılabilecek işleme şartının rıza olduğunun belirtildiği,
- Veri sorumlusu tarafından ödeme aracı ekleyen ilgili kişilerin sonraki satın almaları kolaylıkla yapabildiklerinin belirtildiği dikkate alındığında veri sorumlusu tarafından yeni bir veri işleme amacının ortaya koyulduğu,
- Kanun’un 4’üncü maddesinde yer alan genel ilkeler arasında yer alan “amaçla bağlı, sınırlı ve ölçülü olma” ilkesi ve “belirli, açık ve meşru amaçlarla işleme” ilkesi gereğince amaç değişikliği yeni bir veri işleme sürecine işaret etmekte olup amaç değiştiğinde veri işleme şartının da amaca uygun biçimde belirlenmesi gerektiği,
- Veri sorumlusunun alışverişin tamamlanması için kart bilgilerinin girilmesi gerektiğini beyan ettiği ve bu konuda Kanun’un 5’inci maddesinin (2) numaralı fıkrasında yer alan muhtelif işleme şartlarına dayandığı ancak alışveriş tamamlandıktan sonra kart bilgilerinin üyelik hesabında işlenmeye devam edilmesinde aynı işleme şartlarına dayanmak mümkün olmayacağı gibi, veri sorumlusunun öne sürdüğü işleme şartlarının da ancak ilgili kişinin mevcut alışverişleri kapsamında geçerli olabileceği, veri sorumlusunun beyanında da yer aldığı üzere sonraki satın almaların kolaylaştırılması amacıyla kart bilgilerinin işlenmeye devam edilmesinde amaç değişikliği olduğundan bu amacın gerçekleştirilmesi kapsamında uygun işleme şartının da mevcut olması gerektiği,
- Kart bilgilerinin mevcut satın alma işlemi tamamlandıktan sonra işlenmeye devam edilmesinin ancak ilgili kişilerin bu yönde Kanuna uygun şekilde alınmış açık rızaları kapsamında yapılabileceği,
- Veri sorumlusunun uyguladığı mevcut sistemin ise bu şekilde çalışmadığı, öncelikle kart bilgisinin kaydedildiği, sonrasında dileyen müşterilerin kart bilgisini hesabından kaldırabildikleri, böylece verilerin üzerindeki kontrolün sağlandığı beyan edilmekle birlikte bu durumun Kanun’un Genel İlkeler başlıklı 4’üncü maddesinde yer alan “hukuka ve dürüstlük kuralına” uygun olma ilkesine aykırı şekilde ilgili kişilerin yanıltılmasına sebep olduğu,
- Sonuç olarak, veri sorumlusunun internet sayfasındaki üyelik hesabı kapsamında alışverişin tamamlanması için girilmesi gerekli olan kart bilgilerinin alışverişin tamamlanmasının ardından ilgili kişinin cüzdan hesabında işlenmeye devam edildiği, bu amaçla veri işlemenin Kanun’un 5’inci maddesinin (1) numaralı fıkrasında yer alan açık rıza işleme şartı kapsamında gerçekleştirilebileceği ancak veri sorumlusu tarafından kart bilgilerinin sisteme kaydedilmesinin zorunlu tutularak ilgili kişilerce sonradan bu bilgilerin silinmesine izin verildiği, bu suretle hem kart bilgilerinin kaydedilmesinde Kanun’un 5’inci maddesi kapsamında geçerli bir açık rızanın alınmadığı hem de Kanun’un 4’üncü maddesinin (2) numaralı fıkrasında yer alan “hukuka ve dürüstlük kuralına uyma”, “belirli, açık ve meşru amaçla işleme” ve “işlendikleri amaçla bağlı sınırlı ve ölçülü olma” ilkelerine aykırı hareket edildiği,
- Veri sorumlusu tarafından ilgili kişilerin kart bilgilerinin işlenmesi hususunda Kanun’un 5’inci maddesinde yer alan geçerli bir işleme şartına dayanılmadığı kanaatine varıldığından bu süreçte aydınlatma yapılıp yapılmadığı hususunda ayrıca bir incelemenin bu aşamada yapılmadığı, öte yandan, söz konusu verinin ancak ilgili kişilerin açık rızası kapsamında işlenebileceği
değerlendirmelerinden hareketle,
- Veri sorumlusunun internet sayfasındaki üyelik hesabı kapsamında alışverişin tamamlanması için girilmesi gerekli olan kart bilgilerinin alışverişin tamamlanmasının ardından sonraki alışverişlerin kolaylaştırılması amacıyla ilgili kişinin cüzdan hesabında işlenmeye devam edildiği, bu amaçla veri işlemenin Kanun’un 5’inci maddesinin (1) numaralı fıkrasında yer alan açık rıza işleme şartı kapsamında gerçekleştirilebileceği ancak veri sorumlusu tarafından kart bilgilerinin sisteme kaydedilmesinin zorunlu tutularak ilgili kişilerce sonradan bu bilgilerin silinmesine izin verildiği, bu suretle hem kart bilgilerinin kaydedilmesinde Kanun’un 5’inci maddesi kapsamında geçerli bir açık rızanın alınmadığı hem de Kanun’un 4’üncü maddesinin (2) numaralı fıkrasında yer alan “hukuka ve dürüstlük kuralına uyma”, “belirli, açık ve meşru amaçla işleme” ve “işlendikleri amaçla bağlı sınırlı ve ölçülü olma” ilkelerine aykırı hareket edildiği ve bu suretle Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan veri güvenliğine ilişkin yükümlülüklerini yerine getirmediği değerlendirilen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu dikkate alınarak 500.000 TL idari para cezası uygulanmasına,
- Öte yandan, bir alışveriş kapsamında kaydedilen kart bilgilerinin üyelik hesabında işlenmeye devam edilmesinin ancak ilgili kişilerin bu yönde Kanun’a uygun şekilde açık rızalarının alınması halinde mümkün olabileceği dikkate alındığında kredi kartı bilgilerinin üyelik hesabına kaydedilebilmesi için ilgili kişilerin aktif olarak buna rıza göstermelerini sağlayacak bir sistem geliştirilerek sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
- İlgili kişilerin kredi kartı verilerinin üyelik hesaplarında ancak açık rıza işleme şartı kapsamında işlenebileceği kanaatine varıldığından bu hususta aydınlatma metinlerinde de gerekli düzenlemelerin yapılarak sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına
karar verilmiştir.
Karar Tarihi | : | 02/05/2023 |
Karar No | : | 2023/695 |
Konu Özeti | : | Özel Bir Tıp Merkezi Tarafından İlgili Kişinin e-Nabız Sistemindeki Verilerine Hukuka Aykırı Erişilmesi |
Kuruma intikal eden şikayette özetle;
- •Veri sorumlusu Tıp Merkezi çalışanı hekim tarafından ilgili kişinin sağlık verilerinin e-Nabız sistemi üzerinden görüntülendiğinin fark edildiği, ilgili kişinin daha önce veri sorumlusu bünyesinde sağlık hizmeti almadığı, bu yönde bir sağlık probleminin olmadığı, ayrıca adı geçen hekim ile ilgisi ve tanışıklığı bulunmadığı, durumun mahiyetini öğrenmek üzere veri sorumlusuna başvurulduğu, veri sorumlusu tarafından verilen cevapta tıp merkezinde sağlık hizmeti alan bir başka hastanın T.C. kimlik numarası ile ilgili kişiye ait T.C. kimlik numarasının birbirine çok benzer olması nedeniyle bir başka hastanın bilgilerinin sorgulanması yerine sehven ilgili kişi adına hasta kaydı açılmış olduğu ve e-Nabıza giriş yapıldığı ifade edilmişse de bu savunmanın kabul edilebilir olmadığı, zira böyle bir yanlışlığın düşük bir olasılık olduğu,
- Veri sorumlusunca yapılan açıklamada hatanın fark edilmesi üzerine e-Nabız ekranından derhal çıkıldığı belirtilmişse de 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında bu eylemin kişisel veri işleme faaliyeti anlamına geleceği, ilgili kişinin e-Nabız gizlilik ayarlarının "Sağlık Bakanlığına Bağlı Tüm Hekimler Verilerimi Görsün" şeklinde olmasının hasta kaydı oluşturmadığı, tedavi görmediği, herhangi bir ilgisinin dahi bulunmadığı bir hastane/hekim tarafından sağlık verilerinin görüntülenebileceğine izin verdiği anlamına gelmediği ve e-Nabız uygulamasında yer alan bu gizlilik ayarının böyle bir amaç taşımadığı, aksinin kabulü halinde bu gizlilik ayarının "Her hekim benim tüm kişisel sağlık verilerimi istediği şekilde görüntüleyebilir." manasını taşıdığı varsayımının Anayasanın ölçülülük ilkesine aykırı olduğu gibi hakkın kötüye kullanılması sonucunu da ortaya çıkaracağı,
- Özel nitelikli herhangi bir kişisel verinin işlenebilmesinin, meşru bir amaca uygun işlenmesine, örneğin tıbbi tedavi, bakım veyahut teşhis hizmetinin yürütülmesi faaliyetine ya da bir kanun hükmüne dayanmasına bağlı olduğu ve somut durum itibariyle de kişisel verinin işlenmiş olmasının bu türden bir amaca hizmet etmediği açıkça görüldüğünden hukuka aykırılığın sabit olduğu, ilgili kişinin devlet memuru olması bakımından psikiyatri kliniğinde tedavi görmüş olması tezahürünün dahi ilgili kişinin mesleki geleceği bakımından bir tehlike oluşturacağı ve bu durum sebebiyle de ilgili kişi yönünden doğmuş veya doğabilecek zararların da tazmininin gerekeceği, ayrıca ilgili hukuka aykırılık hususunda Bursa Cumhuriyet Başsavcılığına şikâyette bulunulduğu
hususları belirtilerek gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusu Tıp Merkezi’nin savunması talep edilmiş olup cevabî yazıda özetle;
- İlgili kişinin veri sorumlusuna yaptığı başvuruya verilen cevapta her ne kadar başka bir hastanın T.C. kimlik numarası ile ilgili kişinin T.C. numarasının benzerliğinden dolayı sehven böyle bir hatanın yapıldığı belirtilmiş ise de veri sorumlusu tarafından yapılan derin araştırma ile bu hususun böyle olmadığının farkına varıldığı,
- Araştırma sonucunda veri sorumlusu bünyesinde çalışan hekimin sekreteri tarafından hekimin ve hastanenin bilgisi ve rızası dışında ilgili kişinin e-Nabız bilgilerinin sorgulandığı, bu sorgulamayı da hastanede çalışan bir başka personelin talebi üzerine yaptığının tespit edildiği ve bu tespit neticesinde bu hususun yazılı olarak tutanak altına alındığı,
- Ardından hastane yetkilileri tarafından ilgili personelin ifadesine başvurulduğu, personelin ilgili kişinin e-Nabız bilgilerini sorgulamasını kendisinin bir tanıdığı olan Avukat tarafından gelen rica üzerine gerçekleştirdiğini beyan ettiği, ilgili kişinin e-Nabız paylaşım ayarlarının mevcut halinin meydana getirdiği neticeden dolayı veri sorumlusunun veri güvenliği hükümlerine aykırı hareket ettiğinden bahsederek cezai işlem uygulanması talebinin ölçülülük ilkesine aykırı ve haksız olacağı,
- Hekimlerin gerek hasta muayenesinde gerek ilaç yazımında gerekse diğer tüm sağlık hizmeti faaliyetlerinin sunumunda e-Nabız sistemine girebilmesi için özel olarak kendilerine sağlanan bir e-imzanın bulunduğu, bu sayede hekimlerin kendi adlarına tanımlanan e-imza ile e-Nabız sistemine giriş yapabildiği, e-Nabız sisteminde kişisel gizlilik ayarlarının bulunduğu ve her vatandaşın e-Nabız gizlilik ve paylaşım ayarlarını dilediği zaman değiştirebildiği, bu paylaşım ayarlarından en zayıfı olan “Sağlık Bakanlığına Bağlı Tüm Hekimler Verilerimi Görsün” ayarının ilgili kişi tarafından zaten seçilmiş olduğu ve bu sayede ilgili kişinin onayı olmaksızın hekimlerin sağlık verilerine erişim sağlayabileceği, somut olayda da ilgili kişinin iradesinin bu yönde olduğu, aksi bir durumda ise ilgili kişinin verilerine erişim amacıyla telefonuna doğrulama kodu gönderilmesinin gerekeceği,
- Hal böyle iken ilgili kişinin kendi rızası ile paylaşım ayarlarını bu seviyede kullanıyor olması ve neticesinde böyle bir ihlalin yaşanmış olmasından hareketle veri sorumlusunun veri güvenliği hükümlerine riayet etmemesi yahut herhangi bir kabahatinin bulunmadığı sonucuna ulaşılamayacağı, şayet kabahatli olarak nitelendirilirse bunun ölçülülük ilkesine aykırı, haksız ve hukuki dayanaktan yoksun olacağı,
- Hekim sekreterlerinin görevleri gereği hekimlerin bilgisayarlarını ve e-imzalarını kullanmalarından dolayı hekim sekreterlerine bu hususta gizlilik sözleşmesi imzalatmak ve gerekli eğitimi vermekten başka müvekkil hastanenin alabileceği idari ve güvenlik tedbiri bulunmadığı, somut olayda da sekreterin adı geçen hekimin onayı ve bilgisi olmaksızın sisteme giriş yaptığı, veri sorumlusu tarafından kişisel verilerin korunması adına birtakım teknik ve idari tedbirlerin alındığı, buna örnek olarak hastane bünyesinde bütün bilgisayarların ve kullanılan otomasyon yazılımının log kayıtlarının tutulduğu ve şikâyet konusu olayın da bu log kayıtları ile aydınlatıldığı, kullanılan yazılımlarda yetki matrisi oluşturulduğu ve hekimlerin, sekreterlerin, hemşirelerin ve diğer personel gruplarının her birisine ayrı ayrı yazılıma giriş izni verilen yerlerin ve verilmeyen yerlerin ayrıştırıldığı, çalışanlara gizlilik sözleşmeleri imzalatıldığı, parola yönetim politikası, e-posta yönetim politikası, temiz masa temiz ekran politikası, özel nitelikli kişisel verilerin işlenmesi politikası gibi politikaların tanzim edildiği, tanzim edilen politikaların yürürlüğe konulduğu, personellere bu hususta eğitimler verildiği ve nitekim ihlali gerçekleştiren personellerin de bu kapsamda eğitim aldığı, hekim bilgisayarlarının şifreli olarak kullanıldığı
hususları belirtilmiştir.
Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 02/05/2023 tarihli ve 2023/695 sayılı Kararı ile;
- Şikâyete konu olayın, ilgili kişinin e-Nabız sistemi üzerinden sağlık verilerine veri sorumlusu bünyesinde çalışan personelin yetkisiz ve onaysız biçimde eriştiği ve ilgili kişinin bundan zarar görme riskinin bulunduğu yönündeki şikâyetten hareketle veri sorumlusu hakkında yaptırım uygulanması talebinden ibaret olduğu,
- Şikâyet konusu olayda işleme faaliyetine konu verilerin ise, e-Nabız sisteminde tutulan ve Kanun’un 6’ncı maddesinde yer verilen özel nitelikli kişisel veri kategorisinde yer alan sağlık verileri olduğu,
- e-Nabız sisteminin Sağlık Bakanlığı tarafından bütün hasta ve hekimlerin kendilerine özgü amaçlarla istifade edilmek üzere kullanımlarına sunulan ulusal çapta bir sağlık kayıt yönetim sistemi olduğu, Sağlık Bakanlığı’ndan veya özel sağlık kuruluşlarından sağlık hizmeti alan kişilere ait teşhis, tedavi, reçete vb. bilgilerin, takip amacıyla bu sistem üzerinden muhafaza edilmekte olduğu, kişilere ait sayfalarda tutulan sağlık kayıtlarına erişim izinlerinin ise, (yine kişilerin tercihlerine bağlı olarak) hekimlerin kullanımı amacıyla çeşitli seviyelerde sağlandığı,
- Somut olayda ise -veri sorumlusunun beyanı da dikkate alınarak- ilgili kişinin erişim yetkisini “Sağlık Bakanlığına Bağlı Tüm Hekimler Verilerimi Görsün” şeklinde ayarlamış olabileceği ancak kişilerin kendi kayıtlarına erişim yetkisini vermesinin, diğer sağlık personeline/hekimlere bu verileri amacı dışında işleme hakkını vermediği, kişilerin verilerine erişim yetkisini geniş tutarak bütün hekimlerin erişimine açmış olmasının, yalnızca sağlık durumlarının gerektirdiği hallerle sınırlı bir erişim anlamına geleceği, bunun aksinin kabulü halinde ise herhangi bir hekimin “Sağlık Bakanlığına Bağlı Tüm Hekimler Verilerimi Görsün” tercihini işaretlemiş olan herkesin sağlık verilerine istediği gibi erişmesi ve bu veriler üzerinde hukukun çizdiği sınırların dışında tasarrufta bulunabilmesi anlamına geleceği, böyle bir durumun kişilere bağlı sıkı sıkıya korunan bir hak olan kişisel verilerin korunmasını isteme hakkına aykırılık teşkil edeceği hususunun izahtan vareste olduğu,
- Kanun’da sağlık ve cinsel hayata ilişkin verilerin işlenmesinin genel nitelikli kişisel verilere kıyasla daha sıkı şartlara bağlandığı, buradan hareketle yalnızca hekimlere sağlanan e-Nabız sistemine erişim şifresinin veri sorumlusu bünyesinde görev yapan hekim tarafından yardımcı sağlık personeli ile paylaşıldığı, özel nitelikli kişisel verilerin korunması bakımından hassasiyet göstermesi beklenen adı geçen hekimin bu hususta hassasiyet göstermediği, bunun neticesi olarak yalnızca sınırlı amaçlarla erişilmesi gereken sisteme üçüncü kişilerce erişilmek suretiyle kişisel veri işleme faaliyetinin hukuka aykırı biçimde gerçekleşmiş olduğu,
- Söz konusu hukuka aykırı erişimin veri sorumlusu çalışanları eliyle gerçekleştiği dikkate alınarak söz konusu işleme faaliyetindeki sorumluluğun veri sorumlusu üzerinde olacağı ve dolayısıyla Kanun’un 12’nci maddesinde yer verilen teknik ve idari tedbirlerin veri sorumlusunca makul düzeyde alınmadığı ve bunun yanında veri sorumlusunun savunmasında dile getirilen sisteme erişim yetkilerinin sınırlandırılmasında gerekli düzenlemelerin (gizlilik sözleşmesi, erişim yetkisi tanımlamaları vb.) hekim bakımından hayata geçirilmediği sonucuna ulaşıldığı,
değerlendirmelerinden hareketle;
- Kanun’un 6’ncı maddesinde yer alan işleme şartlarından herhangi birine dayanılmaksızın ilgili kişinin e-Nabız sisteminde tutulan bilgilerine erişildiği, bu hususta veri sorumlusunun çalışanı olan hekimin e-Nabız şifresini korumak hususunda gerekli özeni göstermesini sağlamak adına gerekli önlemlerin alınmadığı, hekim ve ilgili çalışanlara kişisel verilerin korunması konusunda eğitim verildiğinin tevsik edilemediği hususları dikkate alındığında veri sorumlusunun kişisel verilere hukuka aykırı erişilmesini önlemek amacıyla makul tedbirleri almadığı kanaatine varıldığından Kanun’un 12’nci maddesinde belirtilen kişisel verilerin hukuka aykırı olarak işlenmesini önleme ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüklerine uymadığı değerlendirilen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 200.000 TL idari para cezası uygulanmasına karar verilmiştir.
Karar Tarihi | : | 11/05/2023 |
Karar No | : | 2023/787 |
Konu Özeti | : | Bir hastanenin reklam ve tanıtım faaliyetleri kapsamında sağlık verileri de dahil kişisel verilerin işenmesine ilişkin olarak hastalardan açık rıza almasının hukuka aykırı olduğuna yönelik ihbar hakkında |
Kuruma intikal eden ihbarda özetle;
- Hastalara imzalatılan onam formlarında hastaya ait görüntü ve videoların Hastane tarafından anlaşmalı olunduğu ifade edilen medya organları ile reklam ve tanıtım amacıyla paylaşılmasına dair hastalardan açık rıza istendiği,
- Ancak bu açık rızanın gerek içerik gerekse hizmet ettiği ilişki biçimi yönünden kişisel verilerin korunmasına dair mevzuata, tıp etiği değerlerine ve özel hastaneler için belirlenmiş reklam ve tanıtım sınırlamalarına dair birçok aykırılığı içinde barındırdığı,
- Hastalara ait sağlık verilerin ve görüntü kayıtlarının, 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) uyarınca özel nitelikli kişisel veri olarak kabul edildiği, bu nedenle bazı istisnalar dışında bu verilerin açık rıza alınmaksızın işlenmesinin yasaklandığı ve korunması konusunda daha sıkı tedbirler alınmasının hukuki bir zorunluluk olarak düzenlendiği,
- Sağlık kuruluşlarının kendilerine başvuran hastalara ait kişisel verileri tanı ve tedavi hizmetinin gerektirdiği sınırlar içinde kalmak koşuluyla sadece sağlık hizmeti sunma amacıyla işleyebileceği ve Kanun’a dayanan ölçülü ve zorunlu hallerle sınırlı olarak üçüncü kişilere/kurumlara iletebileceği,
- Özel Hastaneler Yönetmeliği’nin 60’ıncı maddesinde sağlık kuruluşlarınca çeşitli mecralarda reklam ve tanıtım yapılmasının açıkça yasaklandığı, bir özel hastanenin de hastasına ait kişisel verileri sektöre ilişkin mevzuatta yasaklanan reklam ve tanıtım faaliyetleri için kullanmasının 6698 sayılı Kanun’un 4’üncü maddesinde belirtildiği üzere hukuka uygun ve meşru amaçlarla gerçekleştirilen bir veri işleme faaliyeti niteliği taşımadığı,
- Hastanın, buna aykırı olarak kaleme alınan sözde onam formlarına imza atmış olmasının da açık rızayı hukuka uygun hale getirmeyeceği, aksine veri sorumlusu sıfatı taşıyan özel hastanenin hastalara bu onamı dayatmasının ortaya çıkan hukuki sorumluluğu daha da ağırlaştırdığı
belirtilerek gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan resen inceleme çerçevesinde ihbar edilen veri sorumlusundan savunması talep edilmiş olup veri sorumlusu tarafından verilen cevapta özetle;
- Özel Hastaneler Yönetmeliği’nin 60’ıncı maddesinden anlaşıldığı üzere özel hastanelerin tanıtım ve bilgilendirme yapmasının tamamen yasaklanmadığı, sağlığı koruyucu ve geliştirici nitelikte bilgilendirme yapmalarının mümkün olduğu,
- Şirketleri tarafından işletilmekte olan hastanelerde toplum nezdinde az bilinen hastalıklar konusunda toplumsal bilincin oluşturulması ile bu hastalıkların özellikleri ve tedavi süreci hakkında sağlığı koruyucu ve geliştirici nitelikte bilgilendirme gerçekleştirilmesi amacıyla bu hastalıklara sahip hastalara aydınlatma yapılarak ve açık rızaları alınarak fotoğraf ve bilgilendirici video çekimlerinin gerçekleştirildiği, bu görüntülerin şirketlerinin internet sitesi ve sosyal medya hesaplarından paylaşıldığı,
- Bu itibarla gerçekleştirilen işlemlerde özel hastanelerin reklam, tanıtım kurallarına ilişkin herhangi bir aykırılığın söz konusu olmadığı,
- Kanun’un 5’inci maddesinin birinci fıkrasında kişisel verilerin, 6’ncı maddesinin ikinci fıkrasında ise özel nitelikli kişisel verilerin ilgili kişilerin açık rızaları alınmak koşuluyla işlenebileceğinin düzenlendiği, açık rıza formlarının imzalatılmasının hastalara dayatıldığı ileri sürülse de bu bilgilendirme faaliyetlerine katılım veyahut rıza belgelerini imzalamaları konusunda hastaların iradelerini sakatlayıcı nitelikte herhangi bir tutumun sergilenmediği,
- Hasta Hakları Yönetmeliği’nin 23’üncü maddesine istinaden gerçekleştirilen işlemlerin hasta hakkı ihlali olduğu iddia edilse de madde hükmünde bahsi geçen verilerin sağlık verileri olmadığı, sağlık hizmetinin verilmesi nedeniyle elde edilen hastalara ait diğer özel bilgiler olduğu,
- Bu verilerin sağlık verisi olduğu kabulü halinde dahi verilerin Kanun ile müsaade edilen haller dışında açıklanmasının yasaklandığı, 6698 sayılı Kanun’un 6’ncı maddesinin ikinci fıkrası ve 8’inci maddeleri uyarınca kişilerin açık rızaları alınarak verilerin işlenmesi ve aktarılmasının mümkün olduğu
ifade edilmiştir.
Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 11/05/2023 tarihli ve 2023/787 sayılı kararı ile;
- Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesinde kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükmü yer almakta olup kişisel verilerin işlenmesinde uyulması zorunlu ilkelerin; hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme şeklinde sayıldığı,
- Kanun’un “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6’ncı maddesinin 1’inci fıkrasında; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerinin özel nitelikli kişisel veri olarak sayıldığı, anılan maddenin 2’nci fıkrasında özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesinin yasaklandığı, bununla birlikte 3’üncü fıkrada da “Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.” hükmüne yer verildiği, Kanun’un 6’ncı maddesine göre somut olaya konu olan tanıtım yapılması amacıyla sağlık verilerinin işlenmesinin yalnızca ilgili kişilerin açık rızası ile mümkün olacağı,
- Somut olayda, veri sorumlusu tarafından “Fotoğraf/Video Çekimi Yapılmasına Özgü Kişisel Verilerin Korunması Hakkında Aydınlatılmış Onam Formu” kapsamında hastalardan açık rızaları talep edilmekte olup ilgili onam formunda pazarlama, reklam ve tanıtım süreçlerinin yürütülmesi kapsamında gerçekleştirilecek fotoğraf/video çekimlerinin kayıt altına alınacağı ve hizmet alınan, iş birliği yapılan veya anlaşmalı olunan üçüncü kişilere, ulusal, yerel ve uluslararası basın yayın organları ile sosyal medya platformlarına aktarılabileceğinin belirtildiği,
- Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin 1’inci fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlandığı, bu anlamda açık rızanın; belirli bir konuya ilişkin olması, bilgilendirmeye dayanması ve özgür iradeyle açıklanması olmak üzere üç unsuru bulunmakta olup açık rızanın Kanun kapsamında geçerli bir işleme şartı olarak nitelendirilebilmesi için bu unsurları taşıması gerektiği,
- Öte yandan, Kanun’un 4’üncü maddesinin 2’nci fıkrasının (a) ve (c) bentlerinde kişisel verilerin işlenmesinde hukuka ve dürüstlük kurallarına uygun olma ve belirli, açık ve meşru amaçlar için işlenme ilkelerine uyulmasının zorunlu olduğunun düzenlendiği, bu çerçevede hukuka ve dürüstlük kuralına uygun olma ilkesinin; kişisel verilerin işlenmesinde kanunlarla ve diğer hukuksal düzenlemelerle getirilen ilkelere uygun hareket edilmesini gerektirdiği, hukuka uygunluk kavramı ile genel olarak hukuk normlarına ve evrensel hukuk ilkelerine uyumlu olunmasının amaçlandığı, bununla birlikte Madde 29 Veri Koruma Çalışma Grubu’nun amaçla sınırlı olma ilkesine ilişkin 03/2013 tarihli görüşünde; belirli, açık ve meşru amaçlar için işlenme ilkesi kapsamında bir amacın meşru olmasının, en geniş anlamda amaçların hukuki düzenlemelere uygun olması gerektiği anlamına geldiği, diğer bir ifadeyle bir işleme şartının mevcut olması ile birlikte diğer hukuk kurallarına da uyum sağlanmasının gerektiği, bu durumda kişisel verilerin işlenmesi, sektöre özgü bir düzenleme kapsamında ihlale yol açıyorsa işleme faaliyetinin hukuka uygun olduğunun söylenemeyeceği,
- Özel Hastaneler Yönetmeliği’nin 60’ıncı maddesinde yer alan ;“Özel hastaneler; tıbbî deontoloji ve meslekî etik kurallarına aykırı şekilde, insanları yanıltan, yanlış yönlendiren ve talep yaratmaya yönelik, ruhsatında yazılı kabul ve tedavi ettiği uzmanlık dallarından başka hastaları kabul ve tedavi ettiği intibaını uyandıran, diğer hastaneler aleyhine haksız rekabet yaratan davranışlarda bulunamazlar ve bu mahiyette tanıtım yapamazlar. Özel hastaneler tarafından; sağlığı koruyucu ve geliştirici nitelikteki bilgilendirme ve tanıtımlar yapılabilir. Bilgilendirme ve tanıtım faaliyetleri kapsamında, yanıltıcı, abartılı, doğruluğu bilimsel olarak kanıtlanmamış bilgilere ve talep yaratmaya yönelik açıklamalara yer verilemez. Özel hastaneler; hizmet alanları ve sunacağı hizmetler ile açılış bilgileri ve benzeri konularda toplumu bilgilendirmek amacıyla tanıtım yapabilir ve ilan verebilir. Özel hastaneler tarafından oluşturulan internet sitelerinde; yer alan her türlü sağlık bilgisi, alanı ile ilgili bilgi ve tecrübeye sahip sağlık meslek mensupları tarafından verilmek zorundadır. Bu siteler aracılığıyla hiçbir şekilde tedavi edici sağlık hizmetine yönelik bilgiler verilemez. İnternet sayfalarında verilen bilginin, son güncelleme tarihi açıkça belirtilir.(…)” hükümlerinden anlaşılacağı üzere özel hastanelerin talep yaratmaya yönelik, reklam mahiyetinde tanıtım yapamayacağının düzenlendiği,
- Söz konusu açık rıza kapsamında gerçekleştirilen ve veri sorumlusunun sosyal medya hesaplarından paylaşılan çekimler incelendiğinde genellikle hastalar tarafından yaşadıkları sağlık sorunu hakkında bilgi verildiği ve tedaviyi gerçekleştiren doktorun hastaya konulan tanı ve uygulanan tedavinin sonucu hakkında açıklamalarının yer aldığı, bu noktada ise “(…) Aydınlatılmış Onam Formu” ile pazarlama, reklam, tanıtım süreçlerinin yürütülmesi amacıyla kişisel verilerin işlenebilmesi için hastalardan açık rıza alındığının görüldüğü, bununla birlikte benzer bir konuda Reklam Kurulunun 20.08.2019 tarihli ve 2019/2602 dosya numaralı kararında özetle, bir özel hastanenin internet sitesinde yer alan tanıtımlarda hastanın yaşadığı sağlık sorununa ve doktorunun hasta hakkındaki açıklamalarına yer verilerek tedavinin başarılı bir şekilde sonuçlandığı yönündeki ifadeler vasıtasıyla sağlık kuruluşlarının mevzuatta izin verilen bilgilendirme ve tanıtım faaliyetleri kapsamının aşıldığı ve reklam yapıldığı; bu tanıtımların kuruluşun faaliyetlerine ticari bir görünüm veren, talep yaratıcı ve diğer sağlık kuruluşları aleyhine haksız rekabete yol açıcı nitelikte olduğuna karar verildiği, bu doğrultuda sektöre özgü düzenlemeler kapsamında özel hastanelerin reklam yapma yasağı bulunmasına rağmen veri sorumlusu tarafından özel nitelikli kişisel verilerden olan sağlık verileri ve diğer kişisel verilerin reklam amaçlı işlendiğinin açık olduğu, ancak söz konusu işleme faaliyetinin hukuka uygun olmadığı ve meşru bir amaç taşımadığı,
- Diğer taraftan, Kanun’un 4’üncü maddesinin 2’nci fıkrasının (ç) bendinde genel ilkeler arasında sayılan işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesinin; işlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olması, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılması anlamına geldiği, ölçülülük ilkesinin ise veri işleme faaliyeti ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması anlamına geldiği, bu kapsamda veri sorumlusunun amacı çerçevesinde ölçülülük ilkesine uygun olarak ilgili kişiden minimum düzeyde bilgi talep etmesi gerektiği, ilgili kişinin iznine bağlı olarak kişisel verilerin işlenmesi ve belirli bir amaca bağlı olunması halinde bile açık rızanın aşırı miktarda veri toplanmasını meşrulaştırmayacağı,
- Bu bakımdan, veri sorumlusu tarafından toplum nezdinde az olarak bilinen hastalıklar konusunda toplum bilinci oluşturulması, bu hastalıkların özellikleri ve tedavi süreci hakkında sağlığı koruyucu ve geliştirici nitelikte bilgilendirme yapılması amacıyla hastaların açık rızaları doğrultusunda video çekimlerinin yapıldığı belirtilmiş olsa da söz konusu amaca ulaşabilmek için kişisel sağlık verilerinin işlenmesinin zorunlu olmadığı, zira herhangi bir kişisel veri işlenmeksizin yalnızca ilgili hastalıklar hakkında bilgilendirme yapılmasının mümkün olduğu, dolayısıyla ulaşılmak istenen amaç bakımından kişisel verilerin işlenmesini gerektirmeyen alternatif yolların mevcut olduğu ve kişisel verilerin işlenmesinin gerekli olmadığı dikkate alındığında somut olayda gerçekleştirilen kişisel veri işleme faaliyetinin ölçülülük ilkesine aykırılık teşkil ettiği
değerlendirmelerinden hareketle,
- Veri sorumlusu tarafından ilgili kişilerin hastalıkları ve tedavi süreciyle ilgili video çekimlerinin yapılması ve sosyal medya hesaplarından paylaşılması suretiyle özel nitelikli kişisel veri olan sağlık verilerinin işlenmekte olduğu ve bu hususta reklam, pazarlama ve tanıtım amacıyla kişisel verilerin işlenmesine yönelik Kanun’un 6’ncı maddesinin 2’nci fıkrası uyarınca ilgili kişilerin “açık rızasının” bulunduğu, ancak her ne kadar ilgili kişilerin açık rızası bulunsa da sektörel düzenlemeler uyarınca özel hastanelerin talep yaratmaya yönelik tanıtım yapmalarının yasak olduğu, ayrıca Özel Hastaneler Yönetmeliği’nin 60’ıncı maddesinde yer alan yasaklayıcı hüküm dikkate alındığında somut olayda açık rızanın bir veri işleme şartı olarak ileri sürülemeyeceği ve dolayısıyla söz konusu veri işleme faaliyetinin Kanun’un 6’ncı maddesi kapsamında herhangi bir dayanağının bulunmadığı, bu doğrultuda Kanun’un 12’nci maddesinin 1’inci fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli tedbirleri almayan veri sorumlusu hakkında Kanun’un 18’inci maddesinin 1’inci fıkrasının (b) bendi gereğince 250.000 TL idari para cezası uygulanmasına,
- Kanun’un 15’inci maddesinin 7’nci fıkrası doğrultusunda söz konusu amaçlarla kişisel verilerin işlenmesine son verilmesi, ayrıca bugüne kadar işlenen ve muhafaza edilen kişisel verilerin Kanun’un 7’nci maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun olarak imha edilmesi, eğer kişisel verilerin üçüncü kişilere aktarılması söz konusu ise imha edilmesine yönelik işlemlerin bu verilerin aktarıldığı üçüncü kişilere bildirilmesinin sağlanması hususlarının yerine getirilerek sonucundan Kurula bilgi verilmesi konusunda veri sorumlusunun talimatlandırılmasına
karar verilmiştir.
Karar Tarihi | : | 02/05/2023 |
Karar No | : | 2023/692 |
Konu Özeti | : | Bir özel sağlık kuruluşu tarafından sunulan sağlık hizmetinin açık rıza şartına bağlanması |
Kuruma iletilen ihbar dilekçesinde özetle; sağlık kuruluşuna (veri sorumlusu) ait internet sayfasında randevu almak üzere form doldurulması esnasında sağlık kuruluşuna ait hizmetlerden ve duyurulardan haberdar olmak üzere başvuru sahiplerinin verilerinin işlenmesine ve bu amaçla kişilerle iletişime geçilmesine onay verilmesinin zorunlu tutulduğu, tanıtım kutucuğuna onay verilmediği sürece randevu işleminin tamamlanmadığı ve bu suretle veri sorumlusunca hizmetin açık rıza şartına bağlanmış olduğu ifade edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenmiş olup alınan cevabi yazıda özetle;
- Başvuru sahibi kişiye telefon ve e-posta yoluyla ulaşılarak randevusunun düzenlendiği,
- Söz konusu görüşmeden sonra internet sitesindeki işleyişin gözden geçirildiği ve mevzuat uyumuna dair bir iç denetim gerçekleştirildiği
belirtilerek internet sitesi üzerinden randevu taleplerinde kişisel verilerin işlenmesine dair süreç hakkında bilgi verilmiştir. Buna göre;
- İnternet sitesinde üç farklı alandan randevu alınabildiği ve randevu almak isteyen kişilerin ad ve soyadlarını, T.C. kimlik numaralarını, doğum tarihlerini ve cep telefonu numaralarını ekrana girmeleri gerektiği,
- Veri sorumlusu bir hastane işletmesi olduğu için hastanın kimlik bilgilerinin kontrolü ve aydınlatma metninin gönderileceği telefon numarasının tespiti adına randevu aşamasında talep edilen bu bilgilere ihtiyaç duyulduğu, içi boş olarak gelen kutucukları ise kişilerin rızalarına göre işaretleyebilecekleri,
- Kişilerin “Kişisel verilerimin işlenmesine ilişkin aydınlatma metnini okudum. Kişisel Verilerin Korunması Kanunu’na uygun şekilde verilerimin işlenmesine onay veriyorum” seçeneğini işaretlediklerinde telefon numaralarına bir doğrulama kodu geldiği ve bu kodun girişi ile işleme devam edilebildiği,
- Kişilere gelen kısa mesajda internet sitesinde de ilan edilen aydınlatma metninin uzantısının görüntülendiği,
- Randevu almak isteyen kişilerin “… Sağlık Grubu hizmetleri ve duyurularından haberdar olmak için kişisel verilerinin kullanılmasına ve benimle iletişime geçilmesine onay veriyorum” kutucuğunu işaretlemelerinin kendi tercihlerine bırakıldığı ve bu kutucuk işaretlenmeksizin de ilerlenip randevu oluşturulabildiği,
- Randevu sürecinde Kanun’un 5’inci maddesinin (2) numaralı fıkrasında sayılan; “Bir sözleşmenin kurulması/ifasıyla ilgili olmak kaydıyla taraflara ait kişisel verilerin işlenmesinin gerekli olması”, “Hukuki yükümlülüğün yerine getirilmesi için işlemenin zorunlu olması” ve “Meşru menfaatler için veri işlemenin zorunlu olması” şartlarına dayanılarak kişisel verilerin işlenmekte olduğu,
- İlgili kişiye sağlık hizmetinin verilmesine yönelik bir randevu oluşturulabilmesi ve randevu bilgilerinin kişiye gönderilebilmesi için kişinin adı, soyadı, T.C. kimlik numarası, doğum tarihi ve iletişim bilgilerinin bulunmasının şart olduğu ve diğer taraftan kalite denetimi ve hasta-hekim planlaması için de doğru randevunun oluşturulmasının işleyiş verimliliği için bir gereklilik olduğu,
- Hastaneye dair duyurulardan randevu aşamasında haberdar olmak için talep edilen kişisel verilerin ise ad, soyad ve telefon numarasından ibaret olduğu, bu bilgilerin Elektronik Ticaretin Düzenlenmesi Hakkındaki Kanun ve bu Kanun’a dayanılarak çıkarılan Ticari İletişim ve Ticari Elektronik İletiler Hakkındaki Yönetmelik kapsamında “Açık rıza şartına” dayalı olarak işlendiği,
- Kişisel verilerin elde edilmesi sırasında Kanun’da açık rıza aranmadan işlenebilecek verilere ilişkin aydınlatma yükümlülüğünün ilgili kişiler talep etmese dahi yerine getirilmekte olduğu,
- Kişisel verilerin işlenmesinde ayrıca Kanun’un 4’üncü maddesinde yer verilen temel ilkelere uygun davranıldığı
ifade edilmiştir.
Konuya ilişkin olarak yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 02/05/2023 tarihli ve 2023/692 sayılı Kararı ile;
- İhbar ekinde gönderilen ekran görüntüleri incelendiğinde, veri sorumlusuna ait internet sitesinde randevu amacıyla doldurulan form sayfasında kişilere ait ad, soyad, T.C. kimlik numarası, doğum tarihi ve cep telefonu bilgileri talep edilmekle birlikte aynı sayfanın altında “… Sağlık Grubu hizmetleri ve duyurularından haberdar olmak için kişisel bilgilerimin kullanılmasına ve benimle iletişime geçilmesine izin veriyorum” ibaresinin yanındaki kutucuğun yer aldığı, form bilgilerini içeren tablonun yeşil, kutucuğun ise (işaretlenmediği an itibariyle) kırmızı renkli olmasından hata uyarısının verilmiş olduğu ve işaretlenmediği sürece “ileri” butonunun çalışmadığının anlaşıldığı,
- İddianın doğruluğunu teyit etmek amacıyla bahse konu sayfa ziyaret edildiğinde ihbar dilekçesinden farklı olarak, randevu formunun altında iki kutucuk bulunduğu ve bunlardan birinde “Kişisel verilerimin işlenmesine ilişkin aydınlatma metnini okudum. Kişisel Verilerin Korunması Kanunu’na uygun şekilde verilerimin işlenmesine onay veriyorum.” kutucuğunun, diğerinde ise “… Sağlık Grubu hizmetleri ve duyurularından haberdar olmak için kişisel bilgilerimin kullanılmasına ve benimle iletişime geçilmesine izin veriyorum” kutucuğunun yer aldığı,
- İhbar dilekçesindeki görüntü ile Kurul incelemesinin başlatılması arasında geçen süre içerisinde veri sorumlusunca bahse konu sayfada düzenleme yapıldığının anlaşıldığı, bu kapsamda duyurulardan haberdar olmaya ilişkin tercihin zorunlu olmaktan çıkarıldığı, ayrıca kişisel verilerin işlenmesine dair bir açık rıza beyanı kutucuğunun ilave edildiği ve benzer bir durumun şikâyet bildirimi sayfası ile sitenin mobil versiyonunda da geçerli olduğu,
- Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmakta olduğu ve bu anlamda açık rızanın öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak verilmesi, bu doğrultuda veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konması gerektiği, diğer bir deyişle açık rıza beyanının genel nitelikte olmayıp belirli bir konuya özgülenmiş ve o konu ile sınırlı olmasının gerektiği, açık uçlu veri işleme faaliyetlerine ilişkin rıza alınamayacağı, bununla birlikte açık rıza bir irade beyanı olduğundan kişinin özgür bir şekilde rıza gösterebilmesi için, neye rıza gösterdiğini de bilmesi gerektiği, ayrıca kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olmasının beklenildiği, bu sebeple bilgilendirmenin veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmesi ve mutlaka verinin işlemesinden önce yapılmasının önem arz ettiği, diğer yandan açık rızanın geçerlilik kazanabilmesi için kişinin yaptığı davranışın bilincinde ve kendi kararı olması gerektiği, bu çerçevede açık rızanın özgür iradeyle açıklanması gerektiğinden herhangi bir ürün ve/veya hizmetin sunumunun da ilgili kişi tarafından açık rıza verilmesi şartına bağlanmamasının tarafların eşit konumda olmadığı veya taraflardan birinin diğeri üzerinde etkili olduğu durumlarda rızanın özgür iradeyle verilip verilmediğinin öncelikle değerlendirilmesinin gerekli olduğu,
- Diğer taraftan, Kanun’un 4’üncü maddesinde yer verilen genel ilkelere uyulmasının zorunlu olduğu, ihbar konusu olay kapsamında düşünüldüğünde de kişisel verilerin işlenmesinde her hal ve şartta Kanun’un 4’üncü maddesinde sayılan genel ilkelere uyulmasının hukuki bir gereklilik olarak kabul edilmesi gerektiği,
- Veri sorumlusunca Kuruma iletilen savunmada; internet sitesinin randevu sayfasında kişilere ait verilerin işlenmesinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c), (ç) ve (f) bentlerindeki işleme şartlarına dayandırıldığı ifade edilmekle birlikte (ihbar tarihi itibariyle) tanıtım amacıyla kişisel veri işlemenin Kanun’un aynı maddesinin (1) numaralı fıkrasında düzenlenen açık rıza şartına dayandırıldığı, ancak açık rıza işlevini gören onay kutucuğu işaretlenmeden randevu işleminin tamamlanmadığının görüldüğü, bu uygulamanın ise başvurudan sonra veri sorumlusunca düzeltilmiş olmakla beraber o tarihe kadar gerçekleştirilen randevu işlemlerinin bu minvalde yürütüldüğünün anlaşıldığı,
- Bahsi geçen uygulamanın; ilgili kişilerin hizmet almalarına ön adım teşkil eden randevu hizmetinin, veri sorumlusunun tanıtımına yönelik açık rıza şartına bağlanmış olduğunu ortaya koyduğu, zira sunulacak sağlık hizmetiyle doğrudan bağlantılı olmayan ve yalnızca veri sorumlusunun hizmetlerinin tanıtımından dolayı menfaat sağladığı işleme faaliyetine yönelik verilecek açık rıza beyanının zorunlu tutulmasının ilgili kişilerin bu husustaki iradelerini sakatlayacağı, örnek olayda “belirli bir konuya ilişkin olma, bilgilendirilmeye dayanma ve özgür iradeyle açıklanma” şartlarını taşıması gereken açık rızanın ilgili kişiler bakımından bu niteliklerini kaybettiği dikkate alınarak bu durumun Kanun’un 4’üncü maddesinde yer alan hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırılık teşkil ettiği
değerlendirmelerinden hareketle,
- İhbarın gerçekleştiği tarih itibariyle randevu kayıt sayfasında veri sorumlusunun tanıtım faaliyetleri kapsamında kişisel veri işleme faaliyetine açık rıza verilmeksizin randevu işleminin tamamlanamamasının açık rızanın unsurlarından “özgür irade ile verilme” unsurunu sakatlandığı bu durumun Kanun’un 4’üncü maddesinde yer alan hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırılık teşkil ettiği,
- Ayrıca veri sorumlusunun sunacağı hizmet kapsamında randevu başvuru formunda işlenmesi gereken kişisel verilerin açık rıza işleme şartı dışındaki işleme şartlarına dayanabilmesi mümkün iken Kanun’un 5’inci maddesinin 1 numaralı fıkrasında düzenlenen açık rıza işleme şartına dayanmasının aldatıcı ve hakkın kötüye kullanımı niteliğinde olacağı ve bu durumun Kanun’un 4’üncü maddesinin (1) numaralı fıkrasında yer alan hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırılık teşkil ettiği
dikkate alındığında Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerini yerine getirmediği anlaşılan veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 300.000 TL idari para cezası uygulanmasına,
- Randevu başvuru formunun altında yer alan “Kişisel verilerimin işlenmesine ilişkin aydınlatma metnini okudum. Kişisel Verilerin Korunması Kanunu’na uygun şekilde verilerimin işlenmesine onay veriyorum.” ifadesinin ilgili kişiler tarafından aydınlatma metnine onay veriliyormuş izlenimi yarattığı dikkate alındığında söz konusu metinden “onay veriyorum” ifadesinin çıkarılarak aydınlatma yükümlülüğünün yerine getirildiğinin veri sorumlusu tarafından ispat edilmesini teminen yalnızca aydınlatma metninin okunduğuna dair bir kutucuğun işaretlenmesi şeklinde bir düzenlemenin yapılması ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
- Veri sorumlusu tarafından açık rıza kapsamında işlenen kişisel veriler mevcut ise bu verilere ilişkin açık rıza metinlerinin ayrıca düzenlenmesi ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına
karar verilmiştir.
Karar Tarihi | : | 22/03/2023 |
Karar No | : | 2023/437 |
Konu Özeti | : | Bir avukatlık ortaklığı tarafından borçlu ilgili kişiye kısa mesaj gönderilmesi suretiyle kişisel verilerinin işlenmesi |
Bir Avukatlık Ortaklığı tarafından vekili olduğu Şirket ve ilgili kişi arasındaki abonelik ilişkisi kapsamında, borcun takibi ve hatırlatılması amacıyla ilgili kişiye beş kez kısa mesaj gönderilmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyeti ile ilgili olarak Kuruma intikal eden şikâyet dilekçesinde özetle;
- Veri sorumlusu olarak Avukatlık Ortaklığı tarafından Şirketten elde edilen kişisel veriler hakkında ilgili kişiyle iletişime geçildiği ilk anda aydınlatma yükümlülüğünün yerine getirilmemesi ve ayrıca çağrı merkezi vasıtasıyla yapılan görüşme bağlamında ses kaydı hakkında ses kaydı gerçekleşmeden önce aydınlatma yükümlülüğünün yerine getirilmemesi nedeniyle 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 18’inci maddesinin birinci fıkrasının (a) bendi uyarınca veri sorumlusu hakkında yaptırım uygulanması,
- Toplamda beş kez aynı konu ve içerikle ilgili kişiye kısa mesaj gönderilmesi nedeniyle Kanunun 18’inci maddesinin birinci fıkrasının (b) bendi uyarınca veri sorumlusu hakkında yaptırım uygulanması,
- Veri sorumlusunun “hukuka aykırı olarak elde edilen veriler üzerinden vatandaşların kimlik ve iletişim bilgileri gibi kişisel verilerin sorgulanmasına imkân tanıyan yazılım/program/uygulama” kullanıp kullanmadığı hususunda denetim yapılması
talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup verilen cevapta özetle;
- Kurulun şikâyeti değerlendirmeye alarak taraflarından savunma, bilgi ve belge ibrazı talep etmesinin usul ve yasaya aykırı olduğu, ilgili kişi tarafından Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 5’inci maddesinde öngörülen veri sorumlusuna başvuru usulüne uygun bir başvuru yapılmadığı ve Avukatlık Ortaklığının, veri işleyen olması nedeniyle ilgili kişinin Avukatlık Ortaklığına başvuru hakkı bulunmadığı,
- Şirket ile Avukatlık Ortaklığı arasındaki hukuki ilişkinin mahiyetine ilişkin olarak; Avukatlık Ortaklığının, Şirket ile arasında bulunan hizmet sözleşmesi ve vekalet ilişkisi kapsamında, alacakların tahsili için yasal takip hizmeti verdiği, Avukatlık Ortaklığının, Şirket tarafından abonelerin borçlarının tahsilat süreçlerinin yürütülmesi konusuyla sınırlı olarak yetkilendirildiği, Şirket tarafından yönetilmekte olan sisteme sınırlı erişim hakkına sahip olduğu, Avukatlık Ortaklığının söz konusu sistem üzerinden sınırlı şekilde görüntülenen/erişilen kişisel veriler ve bu veriler kullanılarak Şirket borçlularıyla gerçekleştirilen telefon ve kısa mesaj ile iletişim kurma faaliyetlerine ilişkin olarak Kanun’un 3’üncü maddesinin birinci fıkrasının (ğ) bendi uyarınca “veri işleyen” konumunda olduğu, Şirket ile Avukatlık Ortaklığı arasında münakid Sözleşmenin ilgili maddesi uyarınca Avukatlık Ortaklığının veri işleyen olduğu, hal böyleyken gerek taraflar arasında akdedilen Sözleşme hükümleri gerek vekalet ilişkisi gerek ise Kanun hükümleri uyarınca işlemekte oldukları kişisel verilere ilişkin olarak veri işleyen sıfatı ile sorumlu olduklarının son derece açık olduğu,
- Kişisel verilerin veri sorumlusu tarafından işlenmesinin hukuki dayanağına ilişkin olarak; müvekkilleri Şirketin gecikmiş alacaklarının tahsili amacı ile icra işlemlerini yürütmek üzere Avukatlık Ortaklığı ile kurulan vekalet ilişkisi ve Bilgi Teknolojileri ve İletişim Kurumu (BTK) tarafından yayımlanan Borç ve Alacak Bilgilerinin Sorgulanmasına İlişkin Usul ve Esasların yerine getirilmesi kapsamında icra takibi öncesi ve sonrasında borçlularla iletişim kurularak borç bilgisi, haciz bilgisi, faiz indirimi kampanyası ve ödeme kanalı gibi konularda bilgilendirme yapıldığı ve mümkün oldukça borçların uzlaşma ile tahsilatının sağlandığı,
- Diğer taraftan, borcun yasal yollara başvurulmadan ve borçlunun durumu ağırlaştırılmaksızın, mevzuata uygun ve Şirket ile Avukatlık Ortaklığı arasındaki vekalet ilişkisi ve sözleşmeler kapsamında tahsil edilebilmesi için 2004 sayılı İcra İflas Kanunu’nun temel ilkelerinden birisi olan “Alacağın tahsili için yapılacak işlemlerde borçlunun, borcunu arttıracak giderlerden kaçınılması” prensibi doğrultusunda hareket edilmesi gerektiği,
- Alacağın kısa sürede tahsili ile abonelerin/borçluların takip hukukundan kaynaklanan vekalet ücreti, faiz, harç ve masraf gibi borcun ferilerine ve haciz işlemlerine maruz kalmadan indirimli şekilde ödeme yapabilmesine olanak sağlanması ile dosya borcunun artmasının önüne geçilmesi, borçluların lehine olarak taksitlendirme imkanı ve banka, kredi kartı gibi ödeme kanalları hakkında açıkça bilgi verilmesi, ödemenin yapılmaması halinde alacağın tahsili amacıyla hakkında icra takibi başlatılacağının ve/veya başlatıldığının abonelere/borçlulara bildirilmesi, diğer bir deyişle borcun ödenmemesi durumunda maruz kalınabilecek hukuki riskler hakkında açıkça bilgi verilmesi, Şirketin talebi ve onayı doğrultusunda sulh görüşmelerinin gerçekleştirilmesi, ileride doğabilecek uyuşmazlıklarda bu bilgilendirmelerin delil olarak kullanılması adına aramaların gerçekleştirilebildiği ve kısa mesaj gönderilebildiği,
- Hukuka aykırı olarak kişisel veri elde etmek amacıyla herhangi bir yazılım/program/uygulama kullanılıp kullanılmadığına ilişkin olarak; Avukatlık Ortaklığı tarafından kişisel veri elde edilmesi amacıyla yasa dışı herhangi bir yazılım/uygulama, program yahut başka şekilde elde edilmiş veri kullanılmadığı, ilgili kişinin, “internet sitelerinin borçların ödenmesine özgülendiği” bu amaçla hukuka aykırı olarak çeşitli yazılımlarla borçlu verisi topladıkları iddialarının tamamen kötü niyetli olarak öne sürüldüğü, ilgili kişinin bu asılsız ve dayanağı olmayan iddiaları ile Avukatlık Ortaklığını zan altında bırakma çabası içinde olduğu, Avukatlık Ortaklığının web sitesinde borçluların borcunu kolayca ödemesi için ödeme kanallarının ve yöntemlerinin bulunduğu bir sekmenin mevcut olduğu ve web sitesinden borçlulara Türkiye Barolar Birliği tarafından sunulan BaroKart sistemi üzerinden taksitli borç ödeme imkanı, banka hesapları ve Şirketin ödeme kanalları, talep, itiraz, şikâyet yolları hakkında bilgi verildiği, web sitesinde yapılan bilgilendirmelerin Kanun ve buna ilişkin mevzuat ile bir ilgisi bulunmadığı, web sitesi üzerinden bir veri toplanmasının da söz konusu olmadığı, Avukatlık Ortaklığının mevcut olayda kişisel verilerin korunması hukuku çerçevesinde yasal mevzuatı ihlal edici nitelikte hiçbir icrai yahut ihmali davranışta bulunmadığı,
- Bu kapsamda, Avukatlık Ortaklığı olarak vekili oldukları Şirket adına, Şirketin haklarını ve menfaatlerini korumak amacıyla hareket ettikleri ve bu anlamda Avukatlık Kanunu’ndan kaynaklanan yükümlülükleri ve yürütmekte oldukları icra işlemleri bakımından İcra ve İflas Kanunu ile diğer mevzuattan kaynaklanan hukuki yükümlülüklerini yerine getirmek amacıyla ilgili kişiye ait kişisel verileri, Kanunun 5’inci maddesinin ikinci fıkrasında yer alan “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” ve “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki sebepleri çerçevesinde işledikleri,
- Avukatlık Ortaklığının kişinin borç bilgilerini müvekkilleri Şirketten temin ettiği; takip öncesi bilgilendirmeden maksadın yasal takip başlatmadan evvel makul bir süre bekleyerek karşı yanı borcuna eklenecek masraflardan korumayı amaçladığı, ilgili kişinin Avukatlık Ortaklığı tarafından kendisine beş kez kısa mesaj atıldığını ve Avukatlık Ortaklığının kendisini taciz ettiğini beyan ettiği, ancak kendisine ayda yalnızca 1 kereye mahsus olmak üzere, hafta içi, mesai saatleri içerisinde bilgilendirme dışında hiçbir ibare olmayan kısa mesaj gönderildiği, Türk Borçlar Kanunu’na, BTK Usul ve Esaslarına ve Kanunun 5’inci maddesinin ikinci fıkrasının (e) bendi kapsamında açık rıza aranmaksızın bilgilendirme haklarına dayalı olarak Avukatlık Ortaklığınca bilgilendirme saikiyle hareket edildiği
ifade edilmiştir.
Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 22/03/2023 tarihli ve 2023/437 sayılı Kararı ile;
- Kanun’un 3 üncü maddesinin birinci fıkrasının (ı) bendi uyarınca veri sorumlusunun; “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi”yi ifade ettiği, bu çerçevede, kişisel verilerin işlenmesine ilişkin kararları alma, işleme faaliyetinin amacı, bu faaliyetin ne zaman başlayacağı, kimler tarafından gerçekleştirileceği ve benzeri hususlarda karar verme yetkisinin veri sorumlusuna ait olduğu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen veri sorumlusunun, veri işleme faaliyetinin temel araçlarını ve amaçlarını, veri işlemenin “neden” ve “nasıl” olacağını belirlediği, diğer bir deyişle, teknik ve organizasyona ait araçların belirlenmesi, veriye kimin erişeceği, hangi verilerin işleneceği, bu verilerin ne kadar süre tutulacağı, ne şekilde saklanacağı gibi veri işlemeye ilişkin temel unsurların veri sorumlusu tarafından belirlendiği, her ne kadar Avukatlık Ortaklığı ile Şirket arasındaki Sözleşmede Avukatlık Ortaklığının “veri işleyen” statüsünü haiz olduğu öngörülmüş ve ilgili kişinin şikâyetine konu kişisel veriler Şirket tarafından Avukatlık Ortaklığına aktarılmış olsa da kişisel verilerin korunması mevzuatı ve uygulanması bağlamında Avukatlık Ortaklığının sahip olduğu sıfatın fiili durumun şartları gözetilerek belirlenmesi gerektiği,
- Avukatlık Ortaklığının yetkilerinin, Şirket ile arasındaki vekalet ilişkisi ve Sözleşme kapsamında Şirketin alacaklarının tahsil ve takip işlemlerinin yürütülmesi ile sınırlı olsa dahi Şirket tarafından kendisine aktarılan kişisel veriler üzerinde gerçekleştirilecek işleme faaliyetlerini yönettiğinin görüldüğü, bu itibarla, avukatlık faaliyetleri çerçevesinde Avukatlık Ortaklığının kişisel veri işleme faaliyetleri bakımından serbestçe karar verme yetkisine sahip olduğu, ilgili kişinin şikâyetine konu kişisel verilerinin işlenme amaç ve vasıtalarını belirlediği ve veri sorumlusu olarak kabul edilmesi gerektiği,
- Veri sorumlusu tarafından avukatlık faaliyetleri kapsamında Şirketin alacaklarının borçlu ilgili kişiden tahsil edilebilmesi ve ilgili kişiye sağlanacak kolaylıklar ile borcun ödenmemesi durumunda ilgili kişinin maruz kalabileceği hukuki risklerin bildirilmesi amacıyla Kanunun 5’inci maddesinin ikinci fıkrasının (e) bendinde öngörülen “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” işleme şartına dayanılarak kısa mesaj göndermek suretiyle ilgili kişinin kişisel verilerinin işlenmesinin mümkün olduğu;
- Bununla birlikte, şikâyete konu somut olayda veri sorumlusu tarafından benzer içerikli 5 kısa mesajın, yaklaşık 1 aylık periyotlarla ilgili kişiye gönderildiği, veri sorumlusunun Kurumu muhatap cevabi yazısında da belirtildiği üzere söz konusu mesajların, ayda yalnızca 1 kereye mahsus olmak üzere, hafta içi, mesai saatleri içerisinde ilgili kişiye gönderildiği, bu kapsamda, söz konusu işleme faaliyetinin Kanunun 4’üncü maddesinin ikinci fıkrasının (a) bendinde yer alan “hukuka ve dürüstlük kurallarına uygun olma” ve (ç) bendinde yer alan “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine de aykırılık teşkil etmediği
değerlendirmelerinden hareketle,
- Veri sorumlusu tarafından ilgili kişinin telefon numarasının işlenmesi suretiyle gerçekleşen kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinin ikinci fıkrasının (e) bendinde yer alan bir hakkın tesisi, korunması veya kullanılması için veri işlemenin zorunlu olması hükmü kapsamında hukuka uygun olduğu değerlendirildiğinden söz konusu şikâyet kapsamında yapılacak bir işlem bulunmadığına,
- İlgili kişinin, veri sorumlusunun Şirketten elde ettiği kişisel veriler hakkında ilgili kişiyle iletişime geçildiği ilk anda aydınlatma yükümlülüğünün yerine getirilmemesi ve ilgili kişinin kendisine gönderilen kısa mesajlar hakkında bilgi almak üzere veri sorumlusunun çağrı merkezini araması sırasında alınan ses kaydı hakkında ses kaydı gerçekleşmeden önce aydınlatma yükümlülüğünün yerine getirilmemesi nedeniyle Kanun’un 18’inci maddesinin birinci fıkrasının (a) bendi uyarınca cezalandırılması talebine ilişkin olarak ilgili kişinin veri sorumlusuna başvurusunda söz konusu iddialara ilişkin bir açıklama veya talebin bulunmadığı anlaşıldığından Kanun kapsamında yapılacak bir işlem bulunmadığına,
- İlgili kişinin, veri sorumlusu nezdinde hukuka aykırı olarak elde edilen veriler üzerinden vatandaşların kimlik ve iletişim bilgileri gibi kişisel verilerin sorgulanmasına imkân tanıyan yazılım/program/uygulama kullanıp kullanmadığı hususunda denetim yapılması talebine ilişkin olarak veri sorumlusunun cevabi yazısında ilgili kişinin bu iddiasının reddedilmiş olduğu ve ilgili kişi tarafından da iddiasını tevsik edici nitelikte herhangi bir bilgi, belge veya kaydın Kuruma iletilmemiş olduğu dikkate alındığında bahse konu talep hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına
karar verilmiştir.
Karar Tarihi | : | 22/03/2023 |
Karar No | : | 2023/426 |
Konu Özeti | : | Tüketici Finansman Kredisiyle Alışveriş İmkânı Sunan Şirket Tarafından İlgili Kişilerden e-Devlet Şifrelerinin Talep Edilmesi |
Kuruma intikal ettirilen bir ihbar dilekçesinde özetle;
- Tüketici finansman kredisiyle alışveriş imkânı sunan Şirketten senetle televizyon alındığı sırada kendisinden e-Devlet şifresinin talep edildiği,
Kuruma intikal ettirilen bir diğer ihbar dilekçesinde ise özetle;
- Şirketin ihbar edenden e-Devlet şifresini istediği, ihbar edenin ısrarlar sonucunda şifre almadığını söyleyerek talebi reddettiği,
- İhbar edenin kendisi dışında birçok vatandaştan da e-Devlet şifrelerinin alındığının bilindiği
hususları belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gerekli işlemlerin yapılması talep edilmiştir.
Konuya ilişkin başlatılan resen inceleme çerçevesinde ihbar edilen veri sorumlusu Şirketin savunması talep edilmiş olup veri sorumlusunun ilk ihbar dilekçesine ilişkin cevabî yazısında özetle;
- İhbar edenin veri sorumlusu ile tüketici finansman sözleşmesi akdetmiş olduğu, kredi puanı yetersiz görüldüğünden ve işyerinde sigorta girişinin yeni yapıldığını belirtmesi üzerine son altı aylık güncel sigorta hizmet dökümü belgesi ile şubeye müracaat edilmesinin istendiği ve fakat ihbar eden kişi tarafından sözleşmenin iptal edildiği,
- İhbar edenin ürün satın almak için başvuruda bulunduğu, işlem yapmak amacıyla açık rızası ile irtibat numarasını bildirmiş olduğu, Şirketin Tüketici Finansman Kredisi kullanılmasına ilişkin ihbar edenin yeni işe başladığını beyan etmesi üzerine işe başlama kaydının sigorta hizmet dökümü üzerinden teyit edilmesi amacıyla müşterinin en yakın şubeye davet edildiği ve sigorta kayıtlarının beyan edilmesinin talep edildiği, bu bilgilerin e-Devlet sistemi üzerinden temin edileceğinin sabit olduğu, şirketin ihbar edenin e-Devlet şifresini talep etmediği, ilgili kişinin e-Devlet şifresinin bilinmediği, müracaat anında müşterinin sigorta hizmet dökümünü görüntülemek, işe başladığını teyit etmek ve öğrenebilmek adına kendi rızası olduğu takdirde ve kendi cep telefonundan kendisinin görebileceği şekilde e-Devlet üzerinden talep edilen kayıtların gösterilmesinin talep edildiği, müşteri/ihbar edenin ilgili kayıtları paylaşmadığı ve sözleşmenin iptalini talep ettiği,
- İhbar edenin kişisel verilerinin işlenmesinin gerekçelerinin ise; şirketin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, tüketici sözleşmesinin kullanımı açısından sigorta hizmet dökümü bilgisinin talep edilmesinin zorunluluğu, bir hakkın tesisi, kullanılması veya korunması için bilgi talebi olması, şirketin meşru menfaatleri için bilgi talebinin gerekli olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait bilgi talebinin gerekli olması olduğu
belirtilmiştir.
Aynı konuya ilişkin veri sorumlusu Şirketin ikinci ihbar dilekçesine ilişkin cevabî yazısında ise özetle;
- Somut olayda ihbar edenin veri sorumlusu ile taksitli satış sözleşmesi akdettiği, sonrasında bozuk olan ürün yerine yeni ürünün ilgili kişiye teslim edildiği, ardından bu üründe de arıza olunca ürün satış işleminin iptal olduğu ve ücret ödemesinin ihbar edene iade edildiği,
- Veri sorumlusunun, ilgili mevzuat çerçevesinde yükümlülüklerini yerine getirmek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almış olduğu,
- Müşterilerden/ilgili kişilerden e-Devlet şifresi talep edildiği yönündeki iddiaların gerçek dışı olduğu, veri sorumlusunun Kanun gereğince, tüketici işlemleri sırasında herhangi bir veri tutmadığı; kimlik aslının ve iletişim bilgilerinin ilgili kişilerden kontrol amacıyla alındığı ve yapılan kontrollerin ardından kimlik aslının geri verilip suretinin dahi sistemlerde kayıt altına alınmadığı,
- İddia edildiği gibi e-Devlet şifresi ile taksitli satış sözleşmesi arasında bir illiyet bağının olmadığı, e-Devlet şifresi ile satış sözleşmesi arasında birbiri ile ilişkili bir işlemin söz konusu olmadığı, e-Devlet şifresi ile yapılacak bir işlemin de bulunmadığı,
- Kişisel verilerin korunması ve işlenmesi konusunda azami düzeyde teknik ve idari tedbirleri alan veri sorumlusunun, e-Devlet gibi kişiye ait özel bir alanı kullandığı iddiasının Şirket politikası ve uygulamaları ile ters düşeceği, bu açıdan hiçbir müşteriden herhangi bir şifre talep etme durumunun söz konusu olmadığı, somut durumlar karşısında Şirket açısından herhangi bir cezai yaptırım oluşturabilecek bir durumun söz konusu olmadığı
belirtilmiştir.
Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 22/03/2023 tarihli ve 2023/426 sayılı Kararı ile;
- Kişilerin kendilerine ait ad-soyadı, iletişim numarası gibi tüketici işlemlerinde kullanılan bilgilerin veri sorumlusunun veri kayıt sisteminde işlenmesinden ötürü, Kanunun 2’nci maddesinde yer alan hüküm dikkate alındığında Kuruma yapılan ihbarların Kanun kapsamında olduğu,
- Kanunun 3’üncü maddesinin birinci fıkrasının (ç) bendi gereği Şirket’in veri kayıt sisteminde kişisel verileri tutulan ihbarda bulunanların ilgili kişi, (ı) maddesi gereği ilgili kişilerin kişisel verilerinin işlenme amaç ve vasıtalarını belirleyen, veri kayıt sisteminin tutulmasından ve yönetilmesinden sorumlu tüzel kişi olan Şirket’in ise veri sorumlusu olduğu,
- Kişisel verilerin işlenme şartlarının Kanun’un 5’inci maddesinde düzenlendiği; buna göre maddenin birinci fıkrasında; kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, ikinci fıkrasında -Kanunlarda açıkça öngörülmesi, -Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, -Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, -Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, -İlgili kişinin kendisi tarafından alenileştirilmiş olması, -Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, -İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinden birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun düzenlendiği,
- İlgili kişinin Kuruma sunduğu ihbar dilekçesinde Şirketten senetle televizyon alındığı ve kendisinden e-Devlet şifresinin talep edildiğinin ifade edildiği, başvuru ekinde yer alan ve Şirket tarafından ilgili kişinin cep telefonu numarasına gönderildiği anlaşılan kısa mesajda “E-devlet şifreniz ile beraber en yakın şubemize gelmenizi rica ederiz. (Sipariş no, kayıt tarihi:16.01.2022, ürünler başlıkları ile)” ifadelerinin yer aldığının görüldüğü,
- Veri sorumlusunun savunmasında; ihbar edenin Şirket ile tüketici finansmanı sözleşmesi akdetmiş olduğu, kredi puanı yetersiz görüldüğünden ve işyerinde sigorta girişinin yeni yapıldığını belirtmesi üzerine son altı aylık güncel sigorta hizmet dökümü belgesi ile şubeye müracaat etmesinin istendiği ve ilgili kişi tarafından sözleşmenin iptal edildiği, tüketici sözleşmesinin kullanımı açısından sigorta hizmet dökümü bilgisinin talep edilmesinin zorunlu olduğu, bu bilgilerin e-Devlet sistemi üzerinden temin edileceği, e-Devlet şifresinin talep edilmediği, müracaat anında müşterinin sigorta hizmet dökümünü görüntülemek, işe başladığını teyit etmek ve öğrenebilmek adına şifreyi kendi rızası olduğu takdirde ve kendi cep telefonundan kendisinin görebileceği şekilde e-Devlet üzerinden girmek suretiyle talep edilen kayıtların gösterilmesinin istendiği, ilgili kişinin kayıtları paylaşmadığı ve sözleşmenin iptalini talep ettiği hususlarını belirtmiş olduğu,
- İlgili kişi ve veri sorumlusunun beyanları ile Kuruma sunulan belgelerden; ilgili kişinin veri sorumlusu ile tüketici finansmanı (kredisi) sözleşmesi yaptığı, ilgili kişiye iletilen kısa mesajda ilgili kişinin e-Devlet şifresi ile beraber şubeye çağırıldığı, ilgili kişinin ise e-Devlet şifresinin kullanılmasına yönelik rızası olmadığından sözleşmeyi iptal etmek istediğinin anlaşılmakta olduğu,
- Kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerektiği, bu riskler belirlenirken kişisel verilerin özel nitelikli kişisel veri olup olmadığı, mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği, güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliğinin dikkate alınması gerektiği, bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra söz konusu risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatiflerinin maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda değerlendirilmesi ve gerekli teknik ve idari tedbirlerin planlanarak uygulamaya konulması gerektiği,
- Bununla birlikte Kişisel Veri Güvenliği Rehberi’nde veri sorumlularınca alınabilecek idari tedbirlerin; “kişisel veri işleme envanteri hazırlanması, kurumsal politikalar (erişim, bilgi güvenliği, kullanım, saklama ve imha vb.), sözleşmeler (veri sorumlusu-veri sorumlusu, veri sorumlusu-veri işleyen arasında), gizlilik taahhütnameleri, kurum içi periyodik ve/veya rastgele denetimler, risk analizleri, iş sözleşmesi, disiplin yönetmeliği (kanuna uygun hükümler ilave edilmesi), kurumsal iletişim (kriz yönetimi, kurul ve ilgili kişiyi bilgilendirme süreçleri, itibar yönetimi vb.), eğitim ve farkındalık faaliyetleri (bilgi güvenliği ve kanun), veri sorumluları sicil bilgi sistemine (VERBİS) bildirim” şeklinde örnek teşkil etmesi amacıyla ifade edildiği,
- Bu kapsamda, ihbara konu edilen e-Devlet şifresi istenmesi beyanına ilişkin gerek resen inceleme kapsamındaki ihbarlar gerekse veri sorumlusuna ilişkin kamuya açık kaynaklarda yer alan şikayetler ele alındığında veri sorumlusunun kişisel veri işleme faaliyetlerinin kontrolünü sağlayamadığına, dolayısıyla gerekli teknik ve idari tedbirleri almadığına ilişkin güçlü bir kanaat oluştuğu, bilhassa senetli alışverişlerde müşterilerin e-Devlet şifrelerinin temin edilmesi suretiyle ilgili kişilerin e-Devlet kapısında yer alan kendileriyle ilgili her türlü bilgiye veri sorumlusunca erişilebilme tehlikesi ile karşı karşıya kalacakları; ayrıca veri sorumlusunun ihbara konu olayda veri güvenliğinin sağlandığına yönelik yeterli bilgi ve belgeyi de sunamadığı,
- Öte yandan veri sorumlusunun e-Devlet şifrelerinin talep edilmesine ilişkin savunmasında, bir taraftan ilgili kişiler ile akdettiği tüketici kredisi sözleşmesi sebebiyle işe başlama kaydının sigorta hizmet dökümü üzerinden teyit edilmesi amacıyla müşteriyi en yakın şubeye davet ettiğini belirtirken diğer taraftan e-Devlet şifresi ile taksitli satış sözleşmesi arasında bir illiyet bağının olmadığını, e-Devlet şifresi ile satış sözleşmesi arasında birbiri ile ilişkili bir işlemin söz konusu olmadığını, e-Devlet şifresi ile yapılacak bir işlemin de bulunmadığını ifade etmiş olduğu,
- Resen inceleme kapsamındaki iki dosyaya ilişkin veri sorumlusunca -aynı konu kapsamında- Kuruma sunulan bilgi ve belgelerin bütünlük ve tutarlılık içinde olmadığı, kişisel verilerin işlenmesi suretiyle kurulan sözleşmelere ilişkin hususların Kanun kapsamında ifade edilemediği,
- Veri sorumlusu tarafından yürütülen veri işleme faaliyetlerinde ilgili kişilerden e-Devlet şifresi talep edilmesine ilişkin kamuoyuna yansıyan çok sayıda şikayet olduğu, resen inceleme dosyalarında veri sorumlusu tarafından e-Devlet şifresi hakkında sunulan beyanların da birbiri ile tutarlı bir çerçevede olmadığı, veri sorumlusunun ülkemizde çok sayıda mağazası olan - tüketici finansman kredisiyle alışveriş imkânı sunan/taksitle satış yapan- bir şirket olduğu, Kuruma sunulan ihbarlar dışında taksitli satışlarda ilgili kişilerden e-Devlet şifresi istendiğine ilişkin şifahi bilgiler de edinildiği, e-Devlet şifresinin ele geçirilmesi durumunun veri güvenliğine yönelik ciddi riskler ortaya çıkarabileceği hususlarının tümünün idari teknik tedbirleri alma noktasında eksikliği olduğu kanaatine varılan veri sorumlusu hakkında uygulanacak idari yaptırımda artırım sebepleri olarak ele alınabileceği,
- İnternette yer alan açık kaynaklarda, veri sorumlusundan yapılan taksitli alışverişlerde ilgili kişilerin e-Devlet şifrelerinin alındığına dair pek çok şikayet olduğunun görülmesi, konuya ilişkin Kuruma da intikal eden farklı şikayetler olması, e-Devlet şifrelerinin talep edildiği her olayda tüm müşterilerin e-Devlet şifrelerini kendi telefonlarından açıp göstermesinin söz konusu olmayabileceği dikkate alındığında Şirket bilgisayarları aracılığıyla görüntüleme yapılmış olmasının mümkün olduğu
değerlendirmelerinden hareketle;
- İlgili kişilerin e-Devlet şifrelerine erişim sağlandığı yönünde güçlü bir kanaat oluştuğu, ilgili kişilerin e-Devlet şifreleri talep edilerek hassas nitelikli olanlar da dahil pek çok kişisel veriye erişim sağlanabileceği sonucuna varıldığından veri sorumlusundan yapılan taksitli alışverişlerde e-Devlet şifrelerinin talep edilmesinin Kanun’un 5’inci maddesinde yer alan herhangi bir veri işleme şartına dayanmaması nedeniyle Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerini yerine getirmediği değerlendirilen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 400.000 TL idari para cezası uygulanmasına,
- Hukuka aykırı işlendiği değerlendirilen kişisel verilerin Kanun’un 7’nci maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca imha edilerek sonucundan Kurula bilgi verilmesine
karar verilmiştir.
Karar Tarihi | : | 05/01/2023 |
Karar No | : | 2023/4 |
Konu Özeti | : | Bir kargo firmasının çapraz barkodlama hatası nedeniyle kişisel verilerin hukuka aykırı olarak paylaşımına sebep olması |
İlgili kişinin şikayetinde özetle; bir e-ticaret firmasından satın aldığı ürünü tarafına teslim edecek kargo firmasının siparişi ilgili kişiye teslim etmesini müteakip ilgili kişi tarafından kargo paketinin üzerinde kendisi dışında isim benzerliği bulunan başka bir kişiye (üçüncü kişi) ait adres ve iletişim bilgilerinin yer aldığını gördüğü, veri sorumlusu kargo firmasına 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında başvuruda bulunarak kendisi dışında üçüncü kişiye ait kişisel verilerin hangi hukuki gerekçeyle tarafına gönderildiği, benzer şekilde kendisine ait kişisel verilerin de üçüncü kişilere aktarılıp aktarılmadığı ve aktarıldıysa hangi hukuki nedenlere dayanılarak aktarıldığı hususlarına ilişkin bilgi talep ettiği, veri sorumlusu tarafından verilen cevabi yazıda söz konusu durumun barkodlama işlemi sırasında gerçekleşen bir hata sonucunda meydana geldiğinin ve ilgili kişiye ait gönderinin üçüncü kişiden iade alınarak gönderici firmaya teslim edildiğinin belirtildiği, söz konusu beyanlardan hareketle veri sorumlusunun yapmış olduğu çapraz kargo gönderimi hatası nedeniyle ilgili kişiye teslim edilmesi gereken kargo paketinin üçüncü kişiye gönderildiği ve bu suretle ilgili kişiye ait kişisel verilerin üçüncü kişi ile paylaşıldığı sonucuna varıldığı, bu itibarla veri sorumlusunun hem ilgili kişiye hem de üçüncü kişiye ait kişisel verileri Kanun’un 8’inci maddesine aykırı olarak aktardığı belirtilerek gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması talep edilmiş olup veri sorumlusundan alınan cevabi yazıda özetle;
- Şikâyete konu olayın meydana geliş şekline ilişkin olarak; veri sorumlusu tarafından ilgili kişiye gönderilmek üzere faturalandırılan gönderinin acente personeli tarafından toplu şekilde barkodlama işlemi yapılırken aynı isimli başka bir müşteriye ait gönderi ile isim benzerliği nedeniyle karıştırıldığının ve çapraz barkodlama hatası yapıldığının tespit edildiği, bu nedenle bir diğer müşterileri olan üçüncü kişinin kargosunun ilgili kişiye, ilgili kişinin kargosunun ise üçüncü kişiye teslim edilmek üzere barkodlandığı ve bu şekilde ulaştırıldığı, işlemin fark edilmesiyle birlikte şikâyetçi müşteriye ait gönderinin diğer müşterileri olan üçüncü kişiden alınarak gönderici firmaya iade edildiği,
- Gerçekleştirilen bu eylemin sistematik bir hata olmadığı, veri sorumlusunun acente çalışanları tarafından manuel olarak gerçekleştirilen barkodlama işlemi sırasında bir kereye mahsus olmak üzere sehven ortaya çıkan bir olay olduğu,
- Veri sorumlusunun müşterilerine ait kişisel verileri yalnızca taşıma hizmetinin ifası için ilgili birimlerle, ifa yardımcılarıyla, Bilgi Teknolojileri ve İletişim Kurumu, talep halinde Ulaştırma Denizcilik ve Haberleşme Bakanlığı ve kanunen kişisel verileri talep etmeye yetkili kamu kurumları ile paylaştığı,
- Bu çerçevede ilgili kişinin ve yine veri sorumlusundan hizmet alan hiçbir müşterinin kişisel verisinin istenmeden yaşanan münferit olay dışında üçüncü kişilerle paylaşılmadığı, bu güvenliğin sağlanabilmesi için idari ve teknik pek çok önlemin alındığı, söz konusu tedbirlerin günün gerekleri ve yürürlükteki mevzuat uyarınca gerekli oldukça geliştirildiği ve güncellendiği,
- Veri sorumlusunun taşıma hizmeti kapsamında belli bilgileri kargo/gönderi üzerine yazmasının Karayolu Taşıma Kanunu’nun 43’üncü maddesi gereğince bir yükümlülük olduğu, dolayısıyla alıcıların isim ve adres bilgilerinin kargo üzerinde yazdığı,
- Veri sorumlusunun belli taşıyıcılık faaliyetlerini, akdettiği acentelik sözleşmeleri vasıtasıyla yürüttüğü, şikâyete konu işlemin de bir acentenin istihdam ettiği personel tarafından yapıldığı,
- Veri sorumlusunun hizmetlerin güvenliği konusunda hassas davrandığı ve mezkûr vakıada da kasıtlı bir eyleminin bulunmadığı, kargo dağıtım süreçlerinde istemeden de olsa yaşanan bu gibi aksaklıkların önüne geçilebilmesi için acentelere ve ilgili tüm birim personeline gerekli bildirimlerin sıklıkla gerçekleştirildiği, çalışanlara yükümlülükleriyle ilgili düzenli eğitimlerin verildiği ve farkındalık çalışmaları yapıldığı, nitekim söz konusu acentenin çalışanlarına da kişisel verilerin korunmasına ilişkin muhtelif tarihlerde eğitimler verildiği, belirli aralıklarla hatırlatma SMS’leri gönderildiği,
- Veri sorumlusu tarafından kişisel verilerin korunmasına yönelik bilgilendirme ve aydınlatmaların yerine getirildiği, firmalarının bilgi ve kişisel veri güvenliği konusunda da uluslararası standartları haiz bir kurum olduğu, kişisel verilerin korunmasının ve ilgili yasal mevzuata uyumun öncelikli önem verdiği değer ve politikalar arasında olduğu, bu konunun en önemli bölümlerinden birini müşterilerinin kişisel verilerinin korunmasının oluşturduğu,
- İzah ettikleri üzere yaşanan olayda veri sorumlusunun kasıtlı bir eyleminin bulunmadığı, tekrarlanmaması için gerekli hassasiyet ve özenin gösterileceği
bildirilmiştir.
Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 05/01/2023 tarihli ve 2023/4 sayılı Kararı ile;
- 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi”, (ğ) bendinde veri işleyenin “veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi” olarak tanımlandığı,
- Kanun’un, kişisel verilerin işlenmesine ilişkin "Genel İlkeler"i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında, "Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir." hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin; a) hukuka ve dürüstlük kurallarına uygun olma, b) doğru ve gerektiğinde güncel olma, c) belirli, açık ve meşru amaçlar için işlenme, ç) işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, d) ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme şeklinde sayıldığı,
- Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükmünün yer aldığı,
- Kanun’un 12’nci maddesinin (1) numaralı fıkrası gereğince veri sorumlusunun; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğunun, (5) numaralı fıkrası gereğince de işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildirmesi gerektiğinin hükme bağlandığı,
- İlgili kişiye ait isim, soy isim ve adres bilgilerinin ilgili kişiyi belirli veya belirlenebilir kılmaya yeterli olduğu, bu yüzden, bahsi geçen bilgilerin Kanun’un 3’üncü maddesindeki tanım uyarınca “kişisel veri” niteliğini haiz olduğu, ilgili kişiye ait mezkûr kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması, kullanılmasının engellenmesi ve sair fiillerin Kanun’un 3’üncü maddesindeki tanım kapsamında birer “kişisel verilerin işlenmesi” faaliyeti olduğu,
- Veri sorumlusu ile acente arasında akdedildiği belirtilen “acentelik sözleşmesi” de dâhil olmak üzere taraflarca dosyaya sunulan bilgi ve belgelerin, somut olayda mezkûr acentenin Kanun hükümleri karşısında “veri sorumlusu” olarak kabul edilebilmesine yetecek nitelikte olmadığı, zira taraflar arasında akdedilen acentelik sözleşmesinde söz konusu acentenin faaliyetlerini veri sorumlusunun nam ve hesabına yürüttüğünün açık bir şekilde düzenlenmiş olduğu, bu şartlarda acentenin, Kanun’un 3’üncü maddesinde yapılan tanımlar itibarıyla ancak “veri işleyen” sıfatını haiz olduğu,
- Veri sorumlusunun uhdesinde bulunan/işlenen kişisel verilerin güvenliğini sağlamak için gerekli her türlü teknik ve idari tedbiri almak konusunda Kanun’un 12’nci maddesinin (1) numaralı fıkrasından kaynaklanan bir zorunluluğu bulunduğu, bu yüzden, veri sorumlusunun savunmasında almış olduğunu beyan ettiği kişisel verilerin korunmasına ilişkin tedbirlerin Kanun’un 12’nci maddesinin (1) numaralı fıkrasının birer gereği olduğu,
- Somut olayda, ilgili kişiye ait isim, soy isim ve adres kişisel verilerinin, veri sorumlusunca türleri/nitelikleri dikkate alındığında ancak Kanun’un 5’inci maddesinde yer alan şartlardan en az birine dayanılarak ve 4’üncü maddesinde zikredilen genel ilkelere uygun olarak işlenebileceği,
- İlgili kişiye ait isim, soy isim ve adres kişisel verilerinin veri sorumlusu tarafından üçüncü şahısla paylaşılmasından ibaret olan kişisel veri işleme faaliyetinin yeni/müstakil bir kişisel veri işleme faaliyeti olduğu ve söz konusu kişisel veri işleme faaliyeti açısından da Kanun’un 5’inci maddesinde yer alan şartlardan en az birine dayanılmış olması gerektiği,
- Veri sorumlusunun 4925 sayılı Karayolu Taşıma Kanunu’nun 43’üncü maddesine atıf yaptığı savunmasından, veri sorumlusunca ilgili kişi hakkında yürütülen kişisel veri işleme faaliyetlerinde Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (a) bendindeki “kanunlarda açıkça öngörülmesi” hukuki şartına dayanıldığının anlaşıldığı, buna karşın, yapılan inceleme neticesinde, veri sorumlusunun atıf yaptığı 4925 sayılı Karayolu Taşıma Kanunu’nun toplamda 38 (otuz sekiz) maddeden ibaret olduğunun görüldüğü; bu yüzden de 4925 sayılı Karayolu Taşıma Kanunu içerisinde veri sorumlusunun beyan ettiği 43’üncü maddenin tespit edilemediği, ayrıca, taşıma hizmeti kapsamında alıcıların isim ve adres bilgilerinin kargo üzerine yazılmasını gerektiren bir yükümlülüğün mevzuatta öngörülmüş olmasının, veri sorumlularının somut olayda olduğu gibi kişisel verileri hatalı olarak işlediği (aslında kargoyla alakası olmayan ilgili kişilerin kişisel verilerinin kargo paketi üzerine yazıldığı) durumlarda geçerli bir kişisel veri işleme sebebi/şartı olarak kabul edilemeyeceği, dolayısıyla, somut olayda veri sorumlusu tarafından ilgili kişinin kişisel verilerinin “çapraz barkodlama hatası” yapılarak üçüncü bir kişi ile paylaşılması suretiyle yürütülen kişisel veri işleme faaliyetinde Kanun’un 5’inci maddesinde düzenlenen herhangi bir hukuki şartına dayanılmadığı sonucuna ulaşıldığı,
- Veri sorumlularının uhdelerinde bulunan/işlenen kişisel verilerin güvenliğini sağlamak için gerekli her türlü teknik ve idari tedbiri almak konusunda Kanun’un 12’nci maddesinin (1) numaralı fıkrasından kaynaklanan zorunluluğa uymamaları halinde, ortaya bir veya daha fazla “kişisel veri ihlali” çıkmasının ihtimal dâhilinde olduğu, kişisel veri ihlali durumlarında ise veri sorumluları tarafından Kanun’un 12’nci maddesinin (5) numaralı fıkrasında düzenlenen “veri ihlal bildirimi” yolunun işletilmesi ve “ilgili kişilere ve Kurula bildirim yükümlülüğü”ne uyulması gerektiği,
- Bu çerçevede ilgili kişinin kişisel verilerinin üçüncü kişiyle paylaşılmasının yeni bir kişisel veri işleme faaliyeti olduğu, buna karşın söz konusu kişisel veri işleme faaliyetinin Kanun’da yer alan herhangi bir işleme şartına dayanmadığı, veri sorumlusunun anılan fiilinin ise Kanun’un kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerin alınmasını zorunlu kılan 12’nci maddesinin (1) numaralı fıkrasına aykırılık teşkil ettiği, öte yandan söz konusu durumun bir veri ihlali olmasına karşın veri sorumlusunun Kanun’un 12’nci maddesinin (5) numaralı fıkrası kapsamında Kurula veri ihlal bildiriminde bulunmadığı
değerlendirmelerinden hareketle;
- İlgili kişinin kişisel verilerinin üçüncü kişi ile paylaşılmasının yeni bir veri işleme faaliyeti olduğu, söz konusu veri işlemenin Kanun’da yer alan herhangi bir işleme şartına dayanmadığı, veri sorumlusunun anılan fiilinin Kanun’un veri güvenliğine ilişkin yükümlülüklerin düzenlendiği 12’nci maddesinin (1) numaralı fıkrasının (a) bendi hükmüne aykırılık teşkil ettiği, öte yandan söz konusu durumun bir veri ihlali olmasına karşın veri sorumlusunun Kanun’un 12’nci maddesinin (5) numaralı fıkrası kapsamında Kurula veri ihlal bildiriminde bulunmadığı da dikkate alındığında; Kanun’un 12’nci maddesinde yer alan yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendine istinaden 75.000 TL idari para cezası uygulanmasına
karar verilmiştir.
Karar Tarihi | : | 19/01/2023 |
Karar No | : | 2023/78 |
Konu Özeti | : | İlgili kişinin borç bilgisinin ortağı olduğu şirketin kurumsal numaralarına kısa mesaj olarak gönderilmesi |
İlgili kişinin Kuruma intikal eden dilekçesinde özetle;
- İlgili kişi ile GSM operatörü veri sorumlusu arasında mobil internet hattına ilişkin yapılan sözleşmenin ilgili kişi tarafından iptal edilmesi sonucu tarafına borç çıkarıldığı,
- İlgili kişi adına çıkarılan borcun tahsili için GSM operatörünün bir avukatlık ortaklığına yetki verdiği, avukatlık ortaklığı tarafından borcun tahsilini sağlamak amacıyla ilgili kişinin ortağı olduğu şirkete ait 4 farklı cep telefonu numarasına ilgili kişinin soyadını maskeleyerek fakat adının açıkça görüneceği şekilde borçlu olduğu miktar hakkında icra takibi başlatılacağı bilgilerini içeren bir kısa mesaj gönderildiği,
- Bahsi geçen mesajlar nedeniyle, ilgili kişinin ortağı olduğu şirket hatlarını kullanan çalışanların konu ile ilgileri bulunmamasına karşın ilgili kişinin borç bilgilerinden haberdar olduğu, ayrıca şirkette ilgili kişiyle aynı ada sahip başkaca kimse bulunmadığından soyadı maskelenmiş olsa dahi bahsi geçen kısa mesajda kimliğinin bilinir kılındığı,
- Konuya ilişkin olarak avukatlık ortaklığına ve GSM operatörüne başvurduğu, verilen cevaplarda bilgi amaçlı gönderilen kısa mesajın maskelenerek paylaşıldığı belirtilmiş ise de ilgili kişiye ait kişisel verilerin, ilgili kişinin ortağı olduğu şirket hatlarına hangi amaçla iletildiğinin açıklanamadığı
ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.
Söz konusu iddialara ilişkin başlatılan inceleme çerçevesinde öncelikle ilgili avukatlık ortaklığından savunması istenilmiş olup alınan cevabi yazıda özetle;
- GSM operatörü tarafından kendilerinin abonelerin borçlarının tahsilat süreçlerinin yürütülmesi konusuyla sınırlı olarak hizmet sözleşmesi ve vekâlet ilişkisi kapsamında yetkilendirildiği, GSM operatörü tarafından yönetilmekte olan sisteme sınırlı erişim hakkına sahip oldukları, bu doğrultuda taraflarının söz konusu sistem üzerinden sınırlı şekilde görüntülenen/erişilen kişisel veriler ve bu veriler kullanılarak gerçekleştirilen kısa mesaj gönderme faaliyetlerine ilişkin olarak Kanun’un 3’üncü maddesinin (1) numaralı fıkrasının (ğ) bendi uyarınca veri işleyen konumunda olduğu, ilgili kişinin avukatlık ortaklığına başvuru hakkı bulunmadığı ve şikâyetinin usulden reddinin gerektiği,
- Nitekim söz konusu şirket ile aralarında imzalanan sözleşmede de avukatlık ortaklığının veri işleyen sıfatı ile sorumlu olacağına ilişkin hükme yer verildiği,
- Avukatlık ortaklığı olarak vekili oldukları şirket adına, müvekkillerinin haklarını ve menfaatlerini korumak amacıyla ve bu anlamda Avukatlık Kanunu'ndan doğan yükümlülüklerini ve yürütmekte olduğu icra işlemleri bakımından 2004 sayılı İcra ve İflas Kanunu ile diğer mevzuattan kaynaklanan hukuki yükümlülüklerini yerine getirmek amacıyla borçluya ait kişisel verileri 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 5’inci maddesinin (2) numaralı fıkrasında yer alan "Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması" ve "İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması" hukuki sebepleri çerçevesinde işledikleri,
- Belirtilen 4 farklı telefon numarasının ilgili kişinin iletişim numarası olarak avukatlık ortaklığına veri sorumlusu GSM operatörü tarafından iletildiği ve avukatlık ortaklığının da "veri işleyen" sıfatıyla bu numaralara bilgilendirme kısa mesajı gönderdiği, bu bağlamda avukatlık ortaklığının söz konusu şirket tarafından erişim imkânı sağlanan borçlulara ait iletişim numaralarının kaynağını sorgulama yetkisinin bulunmadığı,
- İlgili kişinin iletişim numarası olarak bildirilen numaralara yalnızca bir kez kısa mesaj gönderimi yapıldığı, bu kısa mesajın içeriğinde ise ilgili kişiye ilişkin kişisel verilerin paylaşılmadığı ve ilgili kişinin isminin maskelenerek paylaşıldığı
ifade edilmiştir.
Söz konusu iddialara ilişkin başlatılan inceleme çerçevesinde veri sorumlusu GSM operatöründen de savunması istenilmiş olup alınan cevabi yazıda özetle;
- Veri sorumlusu olarak avukatlık ortaklığı ile hukuki ilişkileri kapsamında ve borcun tahsili amacıyla yalnızca ilgili kişi borçluya ilişkin kimlik, iletişim ve borç bilgilerini içeren verilerin paylaşıldığı,
- Şikâyete konu telefon numaralarının ilgili kişinin ortağı olduğu şirket adına kayıtlı kurumsal numaralar olduğu
ifade edilmiştir.
Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 19/01/2023 tarih ve 2023/78 sayılı kararı ile;
- 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi”, (ğ) bendinde veri işleyenin “veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi” olarak tanımlandığı,
- Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesinde, kişisel verilerin ancak bu Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, buna göre, kişisel verilerin ancak; a) Hukuka ve dürüstlük kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ile d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceği,
- Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükmünün yer aldığı,
- Şikâyete konu olayda avukatlık ortaklığı tarafından sunulan savunmada veri sorumlusu müvekkilleri ile aralarındaki sözleşme gereği veri sorumlusu sıfatını haiz olmadıkları belirtilmişse de veri sorumlusu sıfatını tayin etmede Kanun çerçevesinde yapılacak değerlendirme için bu sözleşmede yer alan nitelendirmenin esas alınamayacağı; bununla birlikte ilgili kişiye ilişkin kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan, ilgili kişinin ortağı olduğu şirkete ait iletişim numaralarını borcun tahsili amacı ile avukatlık ortaklığı ile paylaşan GSM operatörü şirketin, “veri sorumlusu”; veri sorumlusunun verdiği talimat çerçevesinde ilgili kişiye ait olduğu belirtilen iletişim numaralarına borcun tahsili amacıyla kısa mesaj gönderen avukatlık ortaklığının ise veri işleyen olarak tanımlanabileceği,
- Her ne kadar avukatlık ortaklığı tarafından ilgili kişi borçlunun soyadının yıldızlı bir şekilde yazıldığı ifade edilse de adının tamamı ve soyadının baş harfinin yer alması ile mesajın ilgili kişinin ortağı olduğu şirkete ait telefon numaralarına gönderilmesinin ilgili kişiyi belirlenebilir kıldığı,
- Kanun’da, kişisel verilerin sınırlı sayma yöntemi ile belirlenmediği, bir verinin kişisel veri olması için belirli ya da belirlenebilir gerçek kişiye ilişkin olma kriteri getirildiği; bu kapsamda, ilgili kişinin şirket hattı olan cep telefonu numaralarına gönderilen adı, soyadı, borçlu olduğu firma ve hakkında icra takip işlemlerinin başlatılacağı bilgilerini ihtiva eden kısa mesajın ilgili kişiye ait kişisel verileri içerdiğinin anlaşıldığı,
- Avukatlık ortaklığının savunmasında, veri sorumlusu ile arasındaki vekâlet ilişkisine binaen müvekkilinin alacaklarının takibini gerçekleştirdiği, ilgili kişiye ilişkin tüm iletişim numaralarının veri sorumlusu tarafından irtibat bilgisi olarak paylaşıldığının belirtildiği; veri sorumlusunun savunmasında ise alacağın tahsili için zorunlu olan veriler dışında avukatlık ortaklığına başkaca kişisel veri aktarılmadığının, şikâyete konu GSM numaralarının ilgili kişinin ortağı olduğu şirket adına kayıtlı kurumsal numaralar olduğunun ifade edildiği,
- İlgili kişinin ortağı olduğu şirkete ait kurumsal iletişim numaralarının Kanun’un 5’inci maddesinin (1) numaralı fıkrası kapsamında veri sorumlusu ile arasındaki bireysel sözleşmelere ilişkin iletişim numarası olarak da kullanılabileceğine dair ilgili kişinin açık rızasının alındığını tevsik eden bilgi ve belgeye savunma ekinde rastlanmadığı,
- Her ne kadar Kanun kapsamında tüzel kişiye ait telefon numaraları kişisel veri olmasa da veri sorumlusu tarafından ilgili kişinin ortağı olduğu şirkete ait kurumsal telefon numaralarının ilgili kişinin iletişim numarası olarak avukatlık ortaklığı ile paylaşılmasının, Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (b) bendine aykırı olarak ilgili kişiye ilişkin kişisel verilerin doğru bir şekilde işlenmediği şeklinde değerlendirileceği, bu nedenle avukatlık ortaklığı tarafından ilgili kişiye ilişkin kişisel verileri içeren kısa mesajların şirkete ait iletişim numaralarına gönderilmesi neticesinde borca konu işlemle ilgisi olmayan üçüncü kişi şirket çalışanları ile ilgili kişiye ilişkin kişisel veri olan borç bilgisinin Kanun’un 5’inci maddesinde yer alan herhangi bir işleme şartı bulunmaksızın paylaşıldığı
değerlendirmelerinden hareketle;
- İlgili kişinin ortağı olduğu Şirkete ait kurumsal iletişim numaralarının, veri sorumlusu ile arasındaki bireysel sözleşmelerde de iletişim numarası olarak kullanılmasının veri sorumlusu tarafından Kanun’un 4’üncü maddesinde yer alan Genel İlkelerden “doğru ve gerektiğinde güncel” olma ilkesine aykırılık teşkil ettiği anlaşılmış olup, bu hukuka aykırı veri işleme faaliyeti nedeniyle avukatlık ortaklığı tarafından ilgili kişiye ilişkin kişisel verileri içeren kısa mesajların şirkete ait iletişim numaralarına gönderilmesi neticesinde, borca konu işlemle ilgisi olmayan üçüncü kişi şirket çalışanları ile ilgili kişiye ilişkin kişisel veri olan borç bilgisinin Kanun’un 5’inci maddesinde yer alan herhangi bir işleme şartı bulunmaksızın paylaşıldığı gözetildiğinde; Kanun’un 12’nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülüklerini yerine getirmediği kanaatine varılan veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 85.000 TL idari para cezası uygulanmasına,
- Veri sorumlusu tarafından verilen talimat çerçevesinde borcun tahsili amacıyla ilgili kişiye ilişkin olduğu belirtilen telefon numaralarına bir adet kısa mesaj gönderen ve sınırlı yetkisi çerçevesinde söz konusu numaralara ilişkin doğrulama imkânı olmayan veri işleyen avukatlık ortaklığı hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına
karar verilmiştir.
Karar Tarihi | : | 23/12/2022 |
Karar No | : | 2022/1358 |
Konu Özeti | : | Bir internet sitesinde yer alan çerezlere ilişkin aydınlatma ve açık rıza metinlerinin sunulmaması |
İlgili kişinin Kuruma intikal eden şikayetinde özetle; bir oyun platformunun internet sayfasına giriş yapıldığında çerez işleme süreçleriyle ilgili kullanıcılara aydınlatma yapılmadığı ve zorunlu olmayan çerezler için açık rıza alınmadığı, siteye üye olan kullanıcılardan kimlik ve iletişim bilgilerinin talep edildiği ancak aydınlatma ve açık rıza metinlerinin sunulmadığı, ilgili şirkete başvuru yapılmakla birlikte yeterli bir cevap alınamadığı ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde sitenin işletilmesinden sorumlu veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;
- Söz konusu internet sitesinin şirkete ait olduğu ancak Türkiye’deki operasyonlarından başka bir şirketin sorumlu olduğu,
- KVKK aydınlatma metnine sitede paylaşılan link aracılığı ile ulaşılabildiği ve bu metinde kişisel verilerin hangi amaçlarla işlendiğine dair kapsamlı bir açıklama sunulduğu,
- Sitede satıcılar için satış yapma ön şartı olan telefon ve kimlik onay zorunluluğu olduğu, bu bilgilerin satıcıların kendi kabulleri ile siteye girildiği ve yalnızca satış esnasında oluşan komisyon sözleşmesi sebebiyle alındığı, alınan bilgilerin yalnızca sözleşme kapsamında doğacak hukuki sorumluluk kaynaklı olarak talep edildiği ve satıcılar tarafından siteye iletildiği,
- İlgili kişinin site üzerinde bir sanal hesap satım işlemi gerçekleştirmesi neticesinde komisyon sözleşmesinden doğan sorumluluğun yanı sıra alıcının satış sonrası uğrayabileceği zararlardan doğacak rücu hakkından dolayı muhtemel hukuki sorumluluğa karşı bu verilerin işlenmesinin veri sorumlusu açısından zaruri olduğu,
- Bu kapsamda internet sitesinde işlenen kişisel verilerin Kanun’un 5’inci maddesinin (2) numaralı fıkrasında yer alan “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” ile “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartlarına dayanılarak işlendiği,
ifade edilmiştir.
Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun 23/12/2022 tarih ve 2022/1358 sayılı Kararı ile;
- Kanun’un 5’inci maddesinin kişisel verilerin işlenme şartlarını düzenlediği, maddenin (1) numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin hüküm altına alındığı, (2) numaralı fıkrada ise, kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için veri işlemenin zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaati için veri işlenmesinin zorunlu olması hallerinde ilgili kişinin açık rızası olmaksızın kişisel verilerin işlenmesinin mümkün olduğunun hükme bağlandığı,
- Kanun’un “Veri Sorumlusunun Aydınlatma Yükümlülüğü” başlıklı 10’uncu maddesinin (1) numaralı fıkrasında kişisel verilerin elde edilmesi sırasında veri sorumlusunun veya yetkilendirdiği kişinin, ilgili kişilere; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve 11 inci maddede sayılan diğer hakları konusunda bilgi vermekle yükümlü olduğunun belirtildiği,
- Kanun’un “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12’nci maddesinin (1) numaralı fıkrasının ise; veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almakla yükümlü olduğu hükmünü içerdiği,
- Öte yandan, bir internet sitesinin düzgün çalışması için zorunlu çerezler vasıtasıyla kişisel verilerin işlenmesinde kişilerin açık rızasına gerek duyulmayacak iken; reklam, pazarlama ve performans amacıyla çalışan çerezlerin kullanılmasının ilgili kişinin açık rızasına tabi olduğu, “kesinlikle gerekli çerezler”in internet sitesinin düzgün çalışması için gerekli çerezler olduğu, ilgili kişinin açık rızası olmaksızın Kanun’un 5’inci maddesinin (2) numaralı fıkrasında ve Kanun’un 6’ncı maddesinin (3) numaralı fıkrasında yer alan işleme şartlarından birine dayanılarak kişisel veri işleme faaliyeti gerçekleştirilebileceği, “kesinlikle gerekli çerezler” statüsünde olmayan çerezler ile kişisel veri işleme faaliyeti gerçekleştirilmesi ve Kanun’un 5’inci maddesinin (2) numaralı fıkrası ile 6’ncı maddesinin (3) numaralı fıkrasında yer alan işleme şartlarından birinin bulunmaması durumunda ilgili kişinin açık rızasına başvurulması gerektiği, veri sorumlusunun, internet sitesinde ve mobil uygulamalarında yer alan ve sitenin/uygulamanın düzgün çalışmasını sağlayan kesinlikle gerekli çerezler dışında yer alan işlevsel çerezler, performans-analitik çerezler, reklam/pazarlama çerezlerinin çalıştırılmasına ilişkin olarak açık rıza dışında bir veri işleme şartı bulunmuyor ise internet sitesini/mobil uygulamaları ziyaret eden kullanıcılardan internet sitesine/mobil uygulamaya giriş anında ilgili kişilerin iradi aktif hareketiyle söz konusu çerezlerin çalışmasına onay vermesini, dolayısıyla varsayılan ayar olarak çerezlerin çalışmamasını öngören “opt-in” mekanizmasına göre açık rıza alması gerektiği,
- İlgili kişinin iddiaları kapsamında yapılan incelemede sitenin ziyaret edilerek çok sayıda çerezin mevcut olduğunun görüldüğü bu çerçevede herhangi bir aydınlatma yapılmadığı, zorunlu olmayan ve kullanıcı hareketlerini reklam veya istatistik gibi amaçlar için takip eden çerezler için veri sorumlusu tarafından açık rıza alma yoluna gidilmediğinin tespit edildiği,
- Ayrıca veri sorumlusunun bahse konu internet sayfasında işlemekte olduğu çerez verilerine yönelik olarak kullanıcıların siteye ilk ziyareti sırasında Kanun’un 10’uncu maddesi uyarınca aydınlatma yükümlülüğünü yerine getirmesi gerektiği, sitede yer alan üyelik formu sayfasına KVKK Aydınlatma Metninin eklendiği ve link bağlantısı ile site ziyaretçilerine sunulduğu ancak metnin Kanun’da ve Tebliğde yer alan zorunlu unsurları taşımadığı ve kullanıcı verilerinin yurt dışına aktarıldığı
değerlendirmelerinden hareketle;
- Veri sorumlusu tarafından internet sayfasında herhangi bir işleme şartına dayanmadan reklam ve pazarlama amacı gibi zorunlu olmayan çerezler vasıtasıyla kişisel veri işlendiği, bu durumun ise Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklere aykırılık teşkil ettiği dikkate alındığında veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 300.000 TL idari para cezası uygulanmasına,
- Sitede çerezlerle işlenen kişisel veriler bakımından Kanun’un 10’uncu maddesi ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in ilgili hükümlerine uygun biçimde ilgili kişilere yönelik aydınlatma yükümlülüğünün yerine getirilmesi ve sonucundan Kurula bilgi vermesi yönünde veri sorumlusunun talimatlandırılmasına,
- Kullanıcılara sunulan kayıt formunun doldurulması sırasında işlenen kişisel verilerle ilgili olarak sitede aydınlatma metninin sunulmakta olduğu anlaşılmış olmakla birlikte söz konusu aydınlatma metninde tespit edilen eksikliklerin Kanun’un 10’uncu maddesi ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in ilgili hükümlerine uygun biçimde düzenlenerek sonucundan Kurula bilgi vermesi yönünde veri sorumlusunun talimatlandırılmasına
karar verilmiştir.
Karar Tarihi | : | 23/12/2022 |
Karar No | : | 2022/1357 |
Konu Özeti | : | Spor salonu işletmecisi olan veri sorumlusunun, özel nitelikli kişisel veri niteliğini haiz kan grubu verisini ilgili kişinin açık rızasını almaksızın işlemesi |
İlgili kişinin Kuruma intikal eden şikâyetinde özetle; bir spor salonunun işletmecisi olan veri sorumlusunun spor salonundan hizmet alan kişilerin sağlık verilerini (detaylı yağ, kilo ve performans ölçümü, kan grubu, yıllık hastane ziyaret sayısı, içilen sigara bilgisi vb.), biyometrik verilerini (salona girişte alınan parmak izi) ve kamera görüntülerini işlediği ancak bu verilerle ilgili olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında aydınlatma yapılmadığı ve kişilerin açık rızalarının alınmadığı, ilgili kişinin kişisel verilerinin işlenmesine ilişkin soru ve taleplerini içeren e-postanın veri sorumlusu tarafından yasal süre içerisinde cevaplandırılmadığı, ilgili kişilere ait kişisel verileri içeren kartlara spor salonunda görevli herkesçe erişilebildiği ve bu bilgilerin güvenliğinin sağlanmadığı, sağlık verilerinin de aralarında bulunduğu bu kartların zaman zaman kaybolduğu ve kimlerin eline geçtiğinin belirsiz olduğu, spor salonu görevlilerinin kamera kayıtlarını izlediği ve ilgili kişilerin salon içerisindeki davranışlarıyla bu kayıtların eşleştirilmesi suretiyle yorum yapılabildiği belirtilerek veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;
- İlgili kişinin iddialarının asılsız olduğu ve spor salonunda uygulanan COVID-19 tedbirlerine uymamak amacıyla şikâyette bulunduğu,
- İlgili kişinin spor salonunda hizmet almak üzere üyelik sözleşmesi imzaladığı ve bu sözleşmede yer alan kişisel verileri dışında başka verisinin işlenmediği,
- Üyelik sözleşmesinin ilk sayfasında yer alan “SMS pazarlama faaliyetlerini istiyorum” kısmına, ilgili kişinin “Okudum, anladım, onaylıyorum” şeklinde imzalı onay verdiği ve bu suretle söz konusu verilerin işlenmesinin kendisi tarafından da kabul edilmiş olduğu,
- Spor salonu üyelerinin kendi talepleri olmadıkça boy ve kilo gibi verilerinin alınmadığı, nitekim sözleşmede “anılan spor salonunun üyelere yönelik bir kilo kaybetme, kilo artışı veya sağlığının iyileştirilmesi gibi konularda herhangi bir yazılı veya sözlü taahhüdü bulunmamaktadır.” ibaresinin yer aldığı,
- Dolayısıyla veri sorumlusunun, üyelerin kilo ve boy gibi verilerini kaydetmediği, zira bu hususlarda bir yükümlülüğünün bulunmadığı, aksi bir durumun yalnızca üyenin talebi ve rızası ile mümkün olduğu ancak somut olayda ilgili kişiye ait bu nitelikte bir veri girişinin bulunmadığı
ifade edilmiştir.
Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun (Kurul) 23/12/2022 tarih ve 2022/1357 sayılı Kararı ile;
- 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükmünün yer aldığı,
- Kanun’un “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6’ncı maddesinin (2) numaralı fıkrasında özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğunun; (3) numaralı fıkrasında ise, birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel verilerin, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebileceğinin; sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceğinin düzenlendiği,
- Kanun’un 10’uncu maddesinin (1) numaralı fıkrasında kişisel verilerin elde edilmesi sırasında veri sorumlusunun veya yetkilendirdiği kişinin, ilgili kişilere; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile 11’inci maddede sayılan diğer haklar konusunda bilgi vermekle yükümlü olduğunun düzenlendiği,
- Kanun’un 12’nci maddesinin (1) numaralı fıkrası gereğince veri sorumlusunun; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğunun hükme bağlandığı,
- İlgili kişinin şikayetinde, üyeliği kapsamında özel nitelikli kişisel verileri dahil olmak üzere veri sorumlusu tarafından işlenen diğer kişisel verilerine yönelik Kanun’un 10’uncu maddesi kapsamında aydınlatmada bulunulmadığı ve sağlık verileri ile biyometrik veriler için de açık rıza alınmadığını iddia ettiği, ilgili kişi tarafından şikâyete ek olarak üyelik sözleşmesinin bazı sayfalarının bir örneğinin de Kuruma sunulduğu, bu çerçevede şikâyete konu olaydaki sözleşme incelendiğinde, işlenen kişisel verilere ilişkin herhangi bir aydınlatmanın yer almadığının görüldüğü, bu çerçevede Kanun’un 10’uncu maddesinde yer verilen yükümlülüğün yerine getirilmesi amacıyla üyelik sözleşmesi kapsamında işlenen kişisel veriler için sözleşme metninden ayrı olarak aydınlatma metninin veri sorumlusunca sunulması gerektiği,
- Diğer yandan sözleşmenin ilk sayfasında ilgili kişinin kimlik verilerinin yanı sıra sağlık verisi olan kan grubu bilgisinin de yer aldığı, özel nitelikli kişisel veri olarak sağlık verisi kategorisinde yer alan kan grubu bilgisinin spor salonu tarafından işlenmesi Kanun’un 6’ncı maddesinin (2) numaralı fıkrası uyarınca ilgili kişilerin açık rızası ile mümkün olmakla birlikte buna ilişkin bir açık rıza metninin sunulmadığı görüldüğünden veri sorumlusunun Kanun’da yer alan işleme şartına dayanmaksızın kişisel veri işlediğinin anlaşıldığı,
- Veri sorumlusunun savunmasında beyan edildiği üzere, sözleşme metninde yer alan “SMS pazarlama faaliyetlerini istiyorum” kısmına onay verilmesinin ilgili kişi tarafından kişisel verilerinin işlenmesine açık rıza verildiği anlamına gelmediği, bu ifadenin yalnızca pazarlama faaliyetleri kapsamında ilgili kişinin kişisel verisinin işlenmesiyle sınırlı bir beyandan ibaret olduğu, bununla birlikte ilgili kişilerin tercihlerinin metne yansıtılmasını teminen söz konusu seçenekle birlikte “SMS pazarlama faaliyetlerini istemiyorum” seçeneğinin de üyelik sözleşmesinde sunulması gerektiği,
- Diğer yandan ilgili kişinin, yağ ve kilo performans ölçümleri, hastane ziyaret sıklığı, boy uzunluğu vb. verilerinin yanı sıra salon girişinde biyometrik veri olan parmak izinin alındığına yönelik iddiasını tevsik edememesi nedeniyle bu hususta herhangi bir tespitte bulunulamadığı,
- İlgili kişinin, spor salonu içerisinde üyelere ait bilgi kartlarının herkes tarafından kolayca ulaşılabilir durumda bulunduğu, bu kartların uygun biçimde saklanmadığı ve zaman zaman kaybolduğu, salon içerisindeki güvenlik kamerası görüntülerine yetkisiz kişilerce erişilebildiği ve ilgili kişinin birtakım davranışlarının bu görüntülerle eşleştirildiği yönündeki iddialarına ilişkin tevsik edici bilgi ve belge sunamadığı ve veri sorumlusundan alınan savunmada da bu iddiaların reddedildiği,
- Şikâyet konusu olaya ilişkin olarak ilgili kişi tarafından veri sorumlusuna gönderilen e-postaya herhangi bir cevap verilmediğinin bu anlamda veri sorumlusunun, kendisine yapılan başvuruyu Kanun’un 13’üncü maddesinin (2) numaralı fıkrası kapsamında sonuçlandırma yükümlülüğüne uygun davranmadığının görüldüğü,
değerlendirmelerinden hareketle;
- Spor salonu üyeliği için özel nitelikli kişisel veri niteliğindeki kan grubu verisinin işlendiği ve bu işleme için açık rıza alınmadığı dikkate alındığında Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında, veri sorumlusunca işletilen spor salonunun üyelik sözleşmesi kapsamında çok sayıda üyenin kişisel verilerinin işlendiği, bunlar arasında özel nitelikli kişisel verilerin de bulunmasının kullanıcıların mahremiyeti açısından önemli bir risk arz ettiği, veri sorumlusunca ilgili kişi başvurusunun cevapsız bırakıldığı, ve spor salonu işletmeciliğinin yanı sıra turizm ve otel işletmeciliği ile inşaat taahhüt gibi birçok sektörde faaliyet gösteren veri sorumlusunun ekonomik durumu da dikkate alınarak Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 100.000 TL idari para cezası uygulanmasına,
- Aydınlatma ve açık rıza metinlerinin üyelere sunulan sözleşme metni içerisinde değil ayrıca düzenlenmesi, açık rızanın ilgili kişilere her bir faaliyet açısından onay verme ve vermeme seçeneklerini içerecek şekilde sunulması, aydınlatma metninin Kanun’un 10’uncu maddesinin yanı sıra Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in ilgili hükümlerine uygun şekilde düzenlenmesi ve yapılan işlemlerin sonucundan Kurulu bilgilendirmesi hususunda veri sorumlusunun talimatlandırılmasına,
- İlgili kişinin Kanun’un 11’inci maddesi uyarınca bilgi edinme talebinin cevapsız bırakıldığı anlaşıldığından bundan sonra söz konusu olabilecek ilgili kişi başvurularının uygun biçimde cevaplandırılmasında gerekli hassasiyetin gösterilmesi hususunun veri sorumlusuna hatırlatılmasına,
- İlgili kişilere ait bilgi kartlarında yer alan verilerin yanı sıra güvenlik kameraları ile işlenen görsel kayıtların güvenliğinin sağlanmadığı yönündeki şikâyet ile ilgili olarak eldeki mevcut bilgi ve belgeler kapsamında bu şekilde bir veri ihlali yaşandığı yönünde bir tespitte bulunulamamış olup bu hususta yapılacak bir işlem bulunmadığına
karar verilmiştir.
Karar Tarihi | : | 19/01/2023 |
Karar No | : | 2023/86 |
Konu Özeti | : | Veri sorumlusunun çalışanlarına tahsis ettiği kurumsal e-posta adresindeki içerikleri izleme, erişme ve depolama suretiyle kişisel verileri işlemesi |
Kuruma intikal eden şikâyette özetle;
- İlgili kişinin veri sorumlusu şirkette iş akdinin feshedildiği, fesih sebebinin şirket içi verilerin şirketin tahsis etmiş olduğu e-posta adresi üzerinden kişisel e-posta adresine gönderilmesi ve şirketin bir başka çalışanı ile gerçekleştirilen telefon görüşmesinin gizlice kayıt altına alınarak yine kişisel e-posta adresi ile avukatının e-posta adresine gönderilmesi olduğu,
- Feshin geçersizliği ve istifaya zorlamak için uygulanan mobbing nedeniyle iş akdinin feshedildiği gerekçesiyle ilgili kişi tarafından işe iade davası açıldığı ve aynı zamanda 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 11’inci maddesi kapsamındaki hakları çerçevesinde veri sorumlusu şirkete başvuruda bulunulduğu,
- Şirket tarafından verilen cevabın yeterli olmadığı, ilgili kişi işe başlarken şirket tarafından imzalatılan formlarda bilgisayardaki tüm hareketler ve e-posta içeriği dahil olmak üzere kişisel veri işleme süreçlerine ilişkin düzenlemelerin yer almadığı, bu anlamda iş sözleşmesi ekinde yer alan formlar/taahhütnamelerin battaniye rıza niteliğinde olduğu ve belgelerde yer alan açıklamaların muğlaklıklar içerdiği, ayrıca bu durumun Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ'in 5’inci maddesine de aykırılık oluşturduğu,
- Şirketin kendi yayınladığı iş sözleşmesi eki olan “Etik Kurallar ve Disiplin Yönetmeliği”ne de aykırı davrandığı, İş Kanunu’nun 26’ncı maddesinde ve ilgili Disiplin Yönetmeliği’ndeki 6 iş günlük ve 1 yıllık hak düşürücü sürelerin geçmesine rağmen fesih tarihinden 607 gün ve 149 gün önce elde edilen e-postaların fesih tarihinde kullanılmasının şirketin e-postaları izlediğinin, süresiz depoladığının ve fesih konusu iddialarını oluşturan e-postalar üzerinde genel denetimde bulunduğunun göstergesi olduğu, söz konusu e-postaların ve ses kaydının tarafına iletilmesini talep ettiği ancak veri sorumlusu tarafından iletilmediği,
- e-posta içeriklerinin izlenmesi, erişilmesi ve depolanması suretiyle kişisel verilerinin hukuka aykırı işlendiği ve söz konusu kişisel veri işleme faaliyetlerinin doğruluk, ölçülülük ilkelerine aykırılık barındırdığı, işe iade davasında şirket avukatları tarafından dava dosyasına iki adet belge sunulduğu ve üç ayrı belgenin sayfalarının değiştirilerek sanki ilgili kişiden onay alınmış, aydınlatma yapılmış veya ilgili kişi tarafından taahhüt verilmiş algısı oluşturulmaya çalışıldığı, “Bilgi Formu ve Muvafakatname” başlıklı belgenin 2. ve 3. sayfalarının başka belgelerden alındığı, dipnotu İşe Alım Süreci Aday KVKK Bilgi ve Onay Formu olan belgenin de çalışanlardan değil iş başvurusunda bulunan adaylardan alınan yazı olduğu ve bu sayfada imzasının bulunmadığı, dipnotu Çalışanlara Ait Kişisel Verilerin İşlenmesine ve Korunmasına İlişkin Bilgilendirme ve Muvafakatname olan yazının içeriğinde ise e-posta içeriklerinin izlendiğine dair bilgilendirme olmadığı,
- Bu kapsamda üç belgenin sayfaları değiştirilerek işe başvuran adaylardan alınan belgenin aydınlatma metni gibi gösterilmeye çalışıldığı, muvafakatnamenin ise açık rıza metni olarak gösterilmeye çalışıldığı
ifade edilerek 6698 sayılı Kanun kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabî yazıda özetle;
- İlgili kişinin şirket bünyesinde “Pazarlama ve İç İletişim Yöneticisi" olarak görev yaptığı ve iş akdinin haklı sebeple feshedildiği, tamamı ticari veri içeren şirket bilgilerini gizlilik önlemlerine aykırı davranarak kişisel e-posta adresine ilettiği, ayrıca bir şirket çalışanı ile gerçekleştirdiği telefon görüşmesini bu çalışanın bilgisi ve onayı olmaksızın gizlice kayıt altına aldığı ve yine kurumsal e-posta adresinden ilk olarak kişisel e-posta adresine sonra da üçüncü kişiye ait e-posta adresine ilettiği, şirketin bu eylemden denetim esnasında haberdar olduğu,
- İlgili kişinin gerek gizlilik ve kişisel verilerin korunması mevzuatına dair bilgilendirilmiş bir yönetici olması gerekse de uzun yıllardır çalışma hayatının içinde yer alması sebebiyle anılan işlemlerin hukuka ve etik kurallara aykırı olduğunu bilecek konumda olduğu, kendisinin işveren nezdinde, kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilerine hukuka aykırı olarak erişilmesini engellemek; kişisel verilere, üçüncü kişiler tarafından erişilmesini ve paylaşılmasını da engelleyerek güvenli bir şekilde korunmasını sağlamak; kişisel verilerin üçüncü bir tarafla paylaşılması gereken süreçlerde gerek Kanun gerekse Kişisel Veri Koruma Politikası ile şirket tarafından belirlenen diğer ilke ve kararlar uyum hususunda azami özeni göstermek ve olağan iş akışı dışında değerlendirilebilecek şüpheli paylaşımları şirket içinde ilgili birimlere bildirmek hususunda görevlendirdiği kişi konumunda olduğu,
- İlgili kişinin bahse konu davranışının mevzuat hükümlerine, iş sözleşmesine, kişisel verilerin korunmasına ve gizlilik taahhütlerine, doğruluk borçlarına aykırılık teşkil ettiği ve iş akdinin haklı nedenle feshedildiği, ilgili kişinin iş akdinin feshi üzerine şirket aleyhine işe iade davası ikame ettiği,
- Kurumun ilgi yazısında dava dosyasına sunulan eklerin sayfalarının aldatma kastı ile değiştirildiği gibi yakışıksız bir iddianın öne sürüldüğü belirtilmekte ise de şirketlerinin bu gibi bir davranışa tevessül etmesinin mümkün olmadığı, bu iddianın ilgili kişinin ekleri fiziken karıştırmasından kaynaklandığını umdukları,
- İlgili kişinin kişisel verilerinin hukuka aykırı işlendiğine yönelik iddialarına ilişkin cevaplar ile işlemenin esasına, amacına ve hukuki sebeplerine ilişkin olarak; ilgili kişinin, ticari verileri havi kaydı şirket hakimiyet alanı dışına çıkarmak ve başka bir çalışanın ses kaydını izinsiz şekilde kayda alıp kendi şahsi e-posta hesabı ile üçüncü bir kişiye aktarmak şeklinde gerçekleşen hukuka aykırı tutumunu bastırmak ve hukuki ihtilafta lehine delil yaratmak adına, şirketlerinin bu olaya vakıf olma durumunu sorgulamakta olduğu,
- Buna karşın şirketlerinin ilgili kişinin verilerini otomatik olan ve/veya olmayan yöntemlerle işlemek suretiyle ilgili kişi aleyhine hiçbir dönem hukuka aykırı bir ihlal gerçekleştirmediği, nitekim şirketlerinin çalışanlarının mevzuata, şirket politikalarına, gizlilik yükümlülüklerine, bilgi güvenliği prosedürlerine, disiplin hükümlerine riayet ettiğini izlemek ve denetlemekle hem yetkili hem de görevli olduğu, mevcut çalışanları arasındaki ilişkileri gözetmek ve tüm çalışanlarının kişisel haklarını korumakla mesul olduğu, şirketlerinin iletişim sistemlerinin ve ekipmanlarının kullanımının, kurumsal e-posta hesabı üzerinden gerçekleştirilen yazışmaların güvenliğinin sağlanması, iş amacı dışındaki şahsi kullanımın tespiti, makul şüphe üzerine başlatılan disiplin soruşturmalarının karara bağlanması, bu sistem ve ekipmanların kullanımı yoluyla hukuka aykırı eylemlerin gerçekleştirilmesinin önüne geçilmesi/eylemlerin tespiti ve her halde iş yeri kurallarına uygunluğun teyidi amacıyla izlenebileceği hususunda ilgili kişinin, Çalışanlara Ait Kişisel Verilerin İşlenmesine Dair Politika, Çalışan Aydınlatma Metinleri ve muhtelif iç düzenlemeler kapsamında müteaddit kereler bilgilendirildiği,
- Şirketlerinin mahrem bilgi ve sırları hakkında bilgi edinme olanağına sahip, bu bilgileri kendi veya rekabet gücü bulunan farklı bir firma adına ekonomik bir değer olarak kullanabilecek duruma gelen çalışanlarına getirilen gizlilik yükümlülüklerinin şirket iç düzenlemelerinde ve ikili sözleşmelerde yer aldığı, bu düzenlemelere uyumun şirketlerinin ticari mevcudiyetini koruması, hizmet hacmi ve piyasadaki rekabet gücünde telafisi imkânsız zararların oluşmaması yönünden hayati önem taşıdığı,
- Şirketleri tarafından çalışanlarına zimmetli bilgisayar ve kurumsal e-postaların kullanımında hukuka ve işverenin haklı menfaatlerine uygun davranılması gerektiği, bu gerekliliğe paralel hükümlerin E-Posta Güvenliği Politikasında, Bilgi ve Yazılım Alışverişi Politikasında, Kabul Edilebilir Kullanım Politikasında düzenlendiği, tüm bu iç düzenlemelerinin çalışanların erişimine de açık halde tutulduğu,
- Nitekim, Kurulun da şirket sunucularından şirket e-posta hesabı üzerinden gerçekleştirilen yazışmalara erişim sağlanmasında hukuka aykırılık görülmediğine dair kararlarının mevcut olduğu ve bunlarda; "şirkete ilişkin iş ve işlemler için kullanıldığında şüphe bulunmayan e-postaların kişisel içerik taşımayacağının" vurgulandığı,
- Bu kapsamda iç düzenlemelere uyumun had safhada önem arz ettiği, şirket bilgilerinin, özel kalıp tasarımlarının şirket dışına aktarımı ve e-posta iletişim politikalarına uygunluğu kapsamında kişi bazında e-posta hesaplarının, şirket dışı iletişimleri ve aktarımlarının denetlenmesi yönünde örneklem tekniğiyle incelendiği, bu denetim sırasında çalışan kurumsal e-posta hesabı - çalışan şahsi e-posta trafiğinde şikayetçinin gerçekleştirdiği aktarım şüpheli görülerek, iki adet e-posta gönderisinin içeriğine girildiği ve netice ile mağaza bilgilerinin ilgili kişiye ait kurum e-posta adresinden ilgili kişinin kişisel e-posta adresine iletildiği ve şirket çalışanı ile gerçekleştirilen telefon görüşmesi kaydının yine kurumsal e-posta adresinden ilgili kişinin kişisel e-posta adresine ve üçüncü bir kişiye aktarıldığına dair bulguların elde edildiği,
- Kurumsal e-posta hesabının denetimine dair veri işleme faaliyetinin 6698 sayılı Kanun’un 5’nci maddesinin (2) numaralı fıkrasının (e) bendinde yer alan; "Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması" ve (f) bendinde yer alan "İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması" veri işleme şartlarına dayalı olarak gerçekleştirildiği ve Kanun’un ilgili maddelerindeki şartları sağlayan bu işleme faaliyeti için açık rıza alınmasını gerektirir hallerin istisnası kapsamında kaldığı, kaldı ki elde edilen bulgu ve olası sonuçlarının da, işleme faaliyetinin şirketlerinin haklı menfaatlerini korumak adına belirli, açık ve meşru bir amaç dahilinde gerçekleştirdiğini ortaya koyduğu kanaatinde oldukları,
- Şirket çalışanlarının e-posta adresleri üzerinde hangi işleme faaliyetlerinin, hangi veri işleme şartına dayalı olarak gerçekleştirildiği hususuna ilişkin olarak; güvenlik, iş amacı dışındaki şahsi kullanımın tespiti, makul şüphe üzerine başlatılan disiplin soruşturmalarının karara bağlanması, bu sistem ve ekipmanların kullanımı yoluyla hukuka aykırı eylemlerin gerçekleştirilmesinin önüne geçilmesi/eylemlerin tespiti ve her halde iş yeri kurallarına uygunluğun teyidi amacıyla izlenebildiği, bu işleme faaliyetine ilişkin çalışanlarına aydınlatma gerçekleştirildiği ve yine yukarıda bahsedilen muhtelif yollarla kurumsal e-postaların şahsi kullanımından kaçınılması gerekeceği, bu e-postaların denetlenebileceği hususunda bilgilendirme sağlandığı,
- Ayrıca bu denetim esnasında şüpheli olmayan yazışmaların içeriğinin tetkik edilmediği, sadece içerdiği anahtar kelimeler ve ekler uyarınca hassas görülen yazışmaların incelendiği, Kurumsal Denetim Aktivite Raporunun Teknoloji birimi/unvanlı Bilgi Güvenliği Teknoloji eğitimi almış çalışanları tarafından gerçekleştirildiği ve denetim talebinin doğrudan şirket üst yönetiminden gelmesinin öncelikli koşul olduğu
ifade edilmiştir.
Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 19/01/2023 tarih ve 2023/86 sayılı kararı ile;
- 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi”, (ğ) bendinde veri işleyenin “veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi” olarak tanımlandığı,
- Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesinde, kişisel verilerin ancak bu Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, buna göre, kişisel verilerin ancak; a) Hukuka ve dürüstlük kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ile d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceği,
- Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükmünün yer aldığı,
- İlgili kişinin şikâyet dilekçesinde; veri sorumlusu tarafından şirket e-posta hesaplarının içeriklerine ulaşılması suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin ve veri sorumlusu tarafından şirket e-posta hesaplarının içeriklerine ulaşılması neticesinde elde edilen kişisel verilerin fesih bildirimine konu edilmesi vasıtasıyla gerçekleştirilen kişisel veri işleme faaliyetinin hukuka aykırı olduğu iddialarının mevcut olduğu,
- İşveren tarafından işçilere kullanım amacıyla tahsis edilen iletişim araçlarının denetiminde işçinin kişisel verilerinin korunması hakkı ile işverenin; kaynakların verimli kullanılmasını sağlama, ticari gizliliği ve yönetim risklerini koruma, çalışanlar tarafından suç işlenmesini önleme, cezai ve hukuki sorumluluğa karşı korunma, bilgi akışının kontrolünü sağlama amaçları arasında menfaat dengesi kurulması gerektiği,
- 17/09/2020 tarih ve 2016/13010 başvuru numaralı Anayasa Mahkemesi Kararı ile Avrupa İnsan Hakları Mahkemesi’nin (AİHM) 12/01/2016 tarihli “Bărbulescu v. Romanya” Kararında değerlendirilen kriterlerin somut olay açısından da dikkate alınması gerektiği, bu kararlarda özetle işverenin hangi ilkeleri göz önünde bulundurarak denetim yapabileceğine ilişkin değerlendirmelere yer verildiği, bu bağlamda, işçinin kişisel verilerinin korunması hakkı ile işverenin denetim hakkı arasında denge kurulurken; işverenin iletişimi denetlemek için önlem alma olasılığı ve bu önlemlerin uygulanması konusunda çalışanı bilgilendirip bilgilendirmediği, bu bilgilendirmenin açık ve net olarak izleme öncesinde yapılıp yapılmadığı, işveren tarafından yapılan izlemenin kapsamı ve işçinin mahremiyetine yapılan müdahalenin derecesi, iletişim akışı ve içeriklerin izlenmesi arasında bir ayrım yapılıp yapılmadığı, iletişimin bir kısmı veya tamamının mı izlendiği, izlemenin zaman açısından sınırlı olup olmadığı, sonuçlara erişimi olan kişilerin sayısı, işverenin iletişimi denetlemek ve içeriğe erişmeyi haklı çıkarmak için meşru gerekçeler sunup sunmadığı, çalışanın iletişimlerinin içeriğine doğrudan erişmekten daha az müdahaleci yöntem ve önlemlere dayalı bir denetim mekanizmasının mümkün olup olmadığı, işçi için izlemenin sonuçları ve sonuçların bilgilendirmede bulunan amaca ulaşmak için kullanılıp kullanılmadığı, işverenin izleme faaliyetlerinin müdahaleci nitelikte olması durumunda işçiye yeterli güvence sağlanıp sağlanmadığı hususlarının dikkate alınması gerektiği, her bir olay özelinde bu hususların tek tek irdelenmesi gerektiği yönünde değerlendirme yapıldığı,
- Uluslararası Çalışma Örgütü’nün işçinin kişisel verilerinin korunmasına ilişkin kılavuzunda da işçiler izleniyorsa izleme nedenleri, zaman çizelgesi, kullanılan yöntem ve teknikler ile toplanacak veriler hakkında önceden bilgilendirilmesi ve işverenin işçilerin özel hayatına müdahaleyi en aza indirmesi gerektiği görüşünde olduğu,
- Madde 29 Çalışma Grubu’nun iş yerinde elektronik iletişimin gözetimi hakkında çalışma belgesinde bazı ilkeler belirlediği; izlemenin işçiler için şeffaf olup olmadığı, işveren açısından bu izlemenin gerekli bulunup bulunmadığı ve daha geleneksel yöntemlerle aynı sonuca ulaşılıp ulaşılamayacağı, işlenecek olan kişisel verilerin çalışanlar açısından yasal olup olmadığı ve kişisel verilerin ulaşılması istenen amaçla orantılı olup olmadığı hususunda bir değerlendirme yapılması gerektiği,
- Veri sorumlusu tarafından e-posta denetimi aracılığıyla gerçekleştirilen kişisel veri işleme faaliyeti ile ilgili olarak aydınlatma yükümlülüğünün yerine getirilmesi hususuna ilişkin Kuruma intikal ettirilen Yazılım Alışverişi Politikası, Çalışanlara Ait Kişisel Verilerin İşlenmesi ve Korunması Politikası, Çalışanlara Ait Kişisel Verilerin İşlenmesi ve Korunmasına İlişkin Bilgilendirme, E-Posta Güvenliği, Pazarlama ve İç İletişim Yöneticisi Görev Tanımları, Taahhütname başlıklı metinler incelendiğinde; e-posta yazışmalarının işveren tarafından hangi amaçlarla işlenebileceği, hangi durumlarda e-postaların izlenmesi suretiyle kişisel veri işlenebileceği bilgilerine yer verildiği, iş yeri tarafından tahsis edilen kurumsal e-posta hesabının yalnızca iş amaçlı kullanılabileceği, kişisel kullanımların en makul seviyede tutulması gerektiği hususlarına yer verildiği dikkate alındığında ilgili kişinin imzalamış olduğu metinlerde atıfta bulunulan hususların okunup anlaşıldığına ilişkin beyanda bulunmuş olduğu ve dolayısı ile bu metinlerde yer alan e-posta denetimi vasıtasıyla işlenecek kişisel verilere ilişkin veri sorumlusu tarafından ilgili kişiye karşı Kanun’un 10’uncu maddesi çerçevesinde aydınlatma yükümlülüğünün yerine getirilmiş olduğu,
- Öte yandan, ilgili kişi tarafından aydınlatma ve açık rıza metinlerinde veri sorumlusunun yanıltıcı bir şekilde evrakları karıştırarak sunduğu iddiasına ilişkin olarak veri sorumlusu tarafından yanıltıcı bir izlenime sebebiyet verilmeye çalışıldığı hususunda somut bir emareye ulaşılamamış olup ilgili kişi tarafından imzalanan evrakların sahteliği hususunda bir iddia mevcut ise yargı yoluna başvurulmasının mümkün olduğu,
- E-posta denetimi aracılığıyla gerçekleştirilen kişisel veri işleme faaliyetlerinin amacı ve hukuki dayanağı hususlarına ilişkin olarak; veri sorumlusunun giyim sektöründe ticari faaliyette bulunan bir şirket olduğu, iş ile ilgili ticari sır veya herhangi bir bilginin üçüncü taraflarla paylaşılmamasını isteme noktasında ve kurumsal iletişim araçlarının kişisel amaçlarla kullanılmamasının sağlanması hususunda haklı menfaati bulunduğu, ayrıca ilgili kişinin yönetici pozisyonunda görev yaptığı ve bu anlamda şirketin gizli kalmasında menfaati bulunan bilgileri haiz olabileceği dikkate alındığında, İş Kanunu’nun 25’inci maddesinde yer alan “işverenin meslek sırlarını ortaya atmak gibi doğruluk ve bağlılığa uymayan davranışlar”ın tespiti ve Türk Borçlar Kanunu’nun 396’ncı maddesinde yer alan “işverene ait teknik sistemlerin usulüne uygun kullanılması ve iş sırları gibi bilgileri hizmet ilişkisinin devamı süresince kendi yararına kullanamayacağı ve başkalarına açıklayamayacağı” hususlarının tespiti amacıyla veri sorumlusunun e-posta denetimi suretiyle kişisel verileri işlemesinde haklı menfaati bulunduğu,
- Veri sorumlusunun e-posta denetimi aracılığıyla ulaşılması istenen amaç ile orantılı bir kişisel veri işleme faaliyetinde bulunup bulunmadığı ve söz konusu denetim gerçekleşmeksizin veri sorumlusunun amacına ulaşıp ulaşamayacağı hususlarına ilişkin olarak; veri sorumlusu tarafından Kuruma intikal ettirilen Bilgi Güvenliği Yönetim Sistemi Kurumsal Mail Aktivite Denetim Raporu ve elde edilen bulgulara ilişkin ekran görüntüsü incelendiğinde veri sorumlusunun şüpheli konuya sahip ve kurumsal e-posta adresinden üçüncü şahıslar ve çalışanın şahsi e-posta adresine iletilen e-postaların tespit edildiği ve sonrasında iletişimin içeriğine ilişkin bir denetim gerçekleştirildiğinin anlaşıldığı, iletişimin denetlenmesi hususunda iletişim akışı ve iletişim içeriklerinin denetlenmesi arasında bir ayrım yapılmasının önem arz ettiği, iletişim içeriklerinin denetlenmesinin daha katı gerekçelere bağlı olduğu, e-posta kullanımının denetlenmesinde işverenin amacı elverdiği kadarıyla iletişimin içeriğinden ziyade öncelikli olarak işverenin menfaatine ters düşecek şekilde bir güvenlik, sadakat ve kullanım ihlali olabilecek durumların tespiti sonrasında iletişimin içeriğine ilişkin bir denetim yapılması gerektiği, veri sorumlusunun herhangi bir ihlalin gerçekleşip gerçekleşmediğini ancak içerik denetimi ile ortaya koyabileceği dikkate alındığında veri sorumlusu tarafından yalnızca ilgili personelle ve amaca yönelik kişisel veri ile sınırlı tutularak ve yine yalnızca amaçlanan çerçevede bir kişisel veri işleme faaliyeti gerçekleştirildiği dolayısıyla söz konusu işlemenin Kanun’un Genel İlkeler başlıklı 4’üncü maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan “işlendikleri, amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine de aykırılık teşkil etmediği,
- Veri sorumlusu tarafından şirket e-posta hesaplarının içeriklerine ulaşılması neticesinde elde edilen kişisel verilerin fesih bildirimine konu edilmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin hukuka aykırı olduğu iddiasına ilişkin olarak; e-posta denetimi aracılığıyla elde edilen kişisel verilerin yukarıda yapılan değerlendirmeler çerçevesinde fesih konusu olayla birebir ilişkili olduğu, veri sorumlusunun işveren sıfatı ile iş sözleşmesinin feshi ile ilgili olarak açıklama ve ispat hakkını kullandığı, bu itibarla kişisel veri niteliğindeki e-posta denetimi suretiyle elde edilen kişisel verilerin fesih bildirimine konu edilmesinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendinde yer verilen “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hükmü kapsamında gerçekleştirildiği, öte yandan, Kanun’un Genel İlkeler başlıklı 4’üncü maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan işlendikleri, amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine de aykırılık teşkil etmediği,
- Öte yandan, İş Kanunu'nun 26’ncı maddesinde ve ilgili Disiplin Yönetmeliği’ndeki 6 iş günlük ve 1 yıllık hak düşürücü süreler geçmesine rağmen fesih tarihinden 607 gün ve 149 gün önce elde edilen e-postaların fesih tarihinde kullanılmasının şirketin e-postaları izlediğinin, süresiz depoladığının ve e-postalar üzerinde genel denetimde bulunduğunun göstergesi olduğu iddiaları ile ilgili olarak; İş Kanunu’nun “Derhal fesih hakkını kullanma süresi” başlıklı 26’ncı maddesinde “24 ve 25 inci maddelerde gösterilen ahlak ve iyiniyet kurallarına uymayan hallere dayanarak işçi veya işveren için tanınmış olan sözleşmeyi fesih yetkisi, iki taraftan birinin bu çeşit davranışlarda bulunduğunu diğer tarafın öğrendiği günden başlayarak altı iş günü geçtikten ve her halde fiilin gerçekleşmesinden itibaren bir yıl sonra kullanılamaz.” hükmünün yer aldığı, söz konusu maddede yer alan sürelerin fesih hakkının kullanılmasına ilişkin olarak düzenlenmiş süreler olduğu, e-posta verilerinin saklanması hususu ile ilgisinin bulunmadığı, e-posta verilerinin yaklaşık 2 yıllık bir süre ile saklanması suretiyle gerçekleştirilen kişisel verileri işleme faaliyetinin Kanun’un 4’üncü maddesinde düzenlenen genel ilkelere aykırılık barındırmadığı
değerlendirmelerinden hareketle;
- İlgili kişinin imzalamış olduğu metinlerde okunup anlaşıldığına ilişkin beyanda bulunduğu, dolayısıyla bu metinlerde yer alan e-posta denetimi vasıtasıyla işlenecek kişisel verilere ilişkin veri sorumlusu tarafından ilgili kişiye karşı Kanun’un 10’uncu maddesi çerçevesinde aydınlatma yükümlülüğünün yerine getirildiği,
- Şirket tarafından e-posta denetimi aracılığıyla gerçekleştirilen kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendinde yer alan “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hükmü ile (f) bendinde yer alan “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.” işleme şartları kapsamında gerçekleştirildiği,
- E-posta denetimi aracılığıyla gerçekleştirilen kişisel veri işleme faaliyetinin Kanun’un Genel İlkeler başlıklı 4’üncü maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan işlendikleri, amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine de aykırılık teşkil etmediği,
- İlgili kişinin e-posta ve ses kayıtlarının tarafına iletilmesi hususundaki talebini öncelikli olarak veri sorumlusuna yöneltmediği dikkate alındığında bu hususta Kanun kapsamında yapılacak bir işlem bulunmadığı,
- E-posta denetimi suretiyle elde edilen kişisel verilerin fesih bildirimine konu edilmesinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendinde yer verilen “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hükmü kapsamında gerçekleştirildiği, öte yandan, Kanun’un Genel İlkeler başlıklı 4’üncü maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan işlendikleri, amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine de aykırılık teşkil etmediği değerlendirildiğinden şirket tarafından gerçekleştirilen kişisel veri işleme faaliyetinde herhangi bir hukuka aykırılık bulunmadığı
hususları dikkate alındığında veri sorumlusu hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına,
Veri sorumlusu tarafından somut olayda yanıltıcı bir izlenime sebebiyet verilmeye çalışıldığı hususunda somut bir emareye ulaşılamamış olup ilgili kişi tarafından imzalanan evrakların sahteliği hususunda bir iddia mevcut ise yargı yoluna başvurulmasının mümkün olduğunun ilgili kişiye hatırlatılmasına,
E-posta verilerinin yaklaşık 2 yıllık bir süre ile saklanması suretiyle gerçekleştirilen kişisel verileri işleme faaliyetinin Kanun’un 4’üncü maddesinde düzenlenen genel ilkelere aykırılık barındırmadığı, bu kapsamda, ilgili kişinin fesih için öne sürülen sebeplerden süresi uygun bulunmayanlar olduğuna ilişkin iddialarının yargı mercileri nezdinde ileri sürülmesi gerektiği hususunda ilgili kişinin bilgilendirilmesine
karar verilmiştir.
Karar Tarihi | : | 12/01/2023 |
Karar No | : | 2023/67 |
Konu Özeti | : | Bir banka tarafından ilgili kişinin para transferleri ile hesap bilgilerinin üçüncü kişiye ait e-postaya gönderilmesi |
İlgili kişi tarafından Kuruma intikal ettirilen dilekçede özetle;
- Bir banka nezdindeki hesabına ilişkin ekstre ve anlık hesap hareketlerinin, ilgili kişinin bilgisi ve rızası dışında üçüncü bir kişinin e-posta adresine gönderildiği, bu suretle ilgili kişinin tüm para transferleri ile hesap bilgilerinin, üçüncü kişiler tarafından öğrenildiği, bu sebeple güvensizlik ve tedirginlik içinde olduğu, veri sorumlusu tarafından aydınlatma yükümlülüğünün yerine getirilmediği,
- Veri sorumlusuna yapılan başvuruya istinaden gönderilen cevabi yazıda üçüncü kişinin e-posta adresinin ilgili kişinin ortağı olduğu şirketin vekili tarafından 2017 yılında çek karnesi talebi için bankaya bildirildiği yönünde beyanda bulunulduğu, veri sorumlusu tarafından, 2018 yılına ilişkin bireysel emeklilik sözleşmesi teklifi ve 2020 yılına ilişkin hayat sigortası formlarında, söz konusu e-posta adresinin yer almasına karşın ilgili kişinin itiraz etmeksizin bu formlara onay verdiğinin öne sürüldüğü ve veri ihlali yaşanmadığının iddia edildiği,
- Hukuken temsilci, vekil, veli veya vasi aracılığıyla gerçekleştirilen işlemlerin asil tarafından yapılmış kabul edilmesi sebebiyle bu kişilere yapılacak aydınlatmanın kanunen yeterli görüldüğü ancak şirket vekilinin, ilgili kişinin şahsi vekili olmadığı, diğer taraftan uyuşmazlığa konu olan hususta, e-posta adresinin ilgili kişinin şahsına ait olduğu varsayımında dahi, yetkisiz temsilciye yapılan aydınlatmanın hukuken geçerli olmadığı, ayrıca gönderim yapılan e-posta adresi ilgili kişiye ait olmadığından hukuken geçerli bir aydınlatmaya dayanmaksızın alınan rıza beyanının da batıl olduğu,
- 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 4’üncü maddesi uyarınca kişisel verilerin doğru ve güncel olması gerektiği, bu hususta veri sorumlusunun aktif özen yükümlülüğünün bulunduğu, veri sorumlusu tarafından ilgili kişinin bilgilerinin doğru ve güncel olmasını temin edecek kanalların açık tutulması gerektiği, veri sorumluları tarafından üçüncü kişilerin telefon numarası, e-posta adresi gibi kanallarına, ekstreleri vb. kişisel veri içeren belgelerin gönderilmesini önlemek ve bu iletişim adreslerinin doğruluğunu teyit etmek amacıyla veri sorumluları tarafından gerekli idari ve teknik tedbirlerin alınmasının zorunlu olduğu, veri sorumlusu tarafından sistemde kayıtlı e-posta adresinin ilgili kişiye ait olup olmadığının teyit edilmediği,
- Veri sorumlusu tarafından daha sonraki tarihlerde ilgili kişiye sunulan tüm sözleşme, teklif ve formlarda e-posta iletişim bilgisinin basılı olarak yer alması nedeniyle e-posta adresindeki yanlışlığı fark etme ve düzeltme imkânının tanınmadığı
belirtilerek veri güvenliğinin ihlal edilmesi sebebiyle gereğinin yapılması talep edilmiştir.
Şikâyet dilekçesinde yer alan hususlara ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabî yazıda özetle;
- İlgili kişinin ortağı olduğu şirketin banka müşterilerinden biri olduğu, ilgili kişinin ortağı olduğu şirket için 2017 yılında çek karnesi talep edildiği ve o dönem çek karnesi için Findeks üyeliği gerektiğinden firmaya Findeks üyeliği oluşturulduğu, Findeks üyeliği oluşturmak için firma yetkililerinin iletişim bilgilerinin sisteme girilmesinin zorunlu tutulması nedeniyle ilgili kişinin hesabına, şikâyete konu olan e-posta adresinin tanımlandığı, Findeks üyelik formunun firma yetkililerinin banka sistemindeki iletişim bilgileri ile doldurulduğu ve firma yetkilileri tarafından imzalandığı,
- Somut olayda Findeks üyelik formunda ilgili kişiye ait iletişim bilgilerinin, ilgili kişinin ortağı olduğu şirketin vekili tarafından bankaya ibraz edildiği, söz konusu formda bu adresin açıkça ekstreler ile hesap hareketlerinin gönderildiği e-posta adresi olarak belirtildiği ve evrakın vekil tarafından imzalandığının tespit edildiği,
- İlgili e-posta adresi verisinin, Findeks üyelik sözleşmesinin ifası için alınması gereken zorunlu bir bilgi olduğu, bu kapsamda söz konusu kişisel verinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendi uyarınca işlendiği, dolayısıyla “açık rıza alınmadığı” şeklindeki iddiaların yersiz olduğu,
- Türkiye Bankalar Birliği öncülüğünde sektör ve Kurul tarafından hazırlanmış olan Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulamalar Kılavuz Taslağı'nda belirtildiği üzere; her bir kredi kullandırma işlemi özelinde “risk grubu”nda bulunan ilgili kişilerin tek tek aydınlatılması suretiyle değil, kolayca erişilebilecek şekilde ve sadece “Risk Grubu” faaliyetleri bakımından genel bir aydınlatma yapılabildiği,
- Gayri nakdi kredi işlemi olan çek karnesi başvurusunda risk grubu içerisinde yer alan ilgili kişinin kişisel verisinin işlenmesine ilişkin aydınlatma yükümlülüğünün veri sorumlusunun internet sitesi aracılığıyla yerine getirildiği,
- İlgili kişinin, e-posta adresinin silinmesi talebini bankaya iletmesi üzerine aynı gün içerisinde ilgili kişinin hesabına kayıtlı e-posta adresinin silindiği ve yeni e-posta adresinin eklendiği, EFT ve havale bilgilendirme e-postalarının ilgili kişi tarafından aktif hale getirildiği, 2020 yılında ilk EFT ve havale bilgilendirme e-postalarının gönderilmiş olduğu, bu tarihe kadar olan süreçte, söz konusu hatalı e-posta adresine gönderilen e-postalar incelendiğinde, gönderilen e-postaların müşterinin ortağı olduğu firmaya ait ekstre, EFT/havale transfer limit değişiklik bilgilerini içerdiği ve müşteriye ait herhangi bir kişisel veri içermediğinin görüldüğü, bu yüzden şikâyetçinin kişisel verilerinin hukuka aykırı şekilde üçüncü kişilerle paylaşıldığı iddiasının mesnetsiz olduğu,
- İlgili kişinin onayı ve teyidi sonrası gönderilen e-postalar için Kanun’a ve Türk Ceza Kanunu’na (TCK) aykırılık iddiasının söz konusu olamayacağı, zira halihazırda Kanun’un 5’inci maddesinde yer alan hukuka uygunluk sebepleri çerçevesinde işlenmiş olan ve Kanun’un 11’inci maddesi çerçevesinde doğruluğu teyit edilmiş bir e-posta adresine gerekli tüm teknik ve idari tedbirler alınarak; veri sorumlusunun hukuki yükümlülüğü çerçevesinde, ilgili kişinin talebi doğrultusunda e-posta iletilmesinin hem Kanun hem de TCK kapsamında ihlal olarak değerlendirilemeyeceği,
- İlgili kişinin kişisel verisinin yanlış ibrazından haberi olmadığı ve fark etme/düzeltme imkânı tanınmadığı iddiasının mesnetsiz olduğu,
- Doktrinde de açıkça ifade edildiği gibi ana kuralın ilgili tarafından doğru veri iletilmesi olduğu ve Kanun’un 11’inci maddesinin (1) numaralı fıkrasının (d) bendinde yer alan kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesi hakkının kullanılabilmesi için veri sorumlusunun ilgili kişiye gerekli ortamı sağlama yükümlülüğünün bulunduğu,
- Verinin doğruluğu ve güncelliği için ilgili kişiye her türlü imkânın sağlanarak başvuru kanalının açıldığı, ilgili kişinin imzaladığı evrakta gördüğü e-posta adresine işlem esnasında itiraz etme olanağının bulunduğu,
- Veri sorumlusunun kayıtlarında yapılan incelemede, şikâyete konu olan e-posta adresine ilk e-posta gönderiminin 2018 yılında gerçekleştiği, son e-posta gönderiminin ise 2021 yılında gerçekleştiğinin tespit edildiği,
- İlgili kişiye ilişkin hatalı e-posta adresine 2020 yılına kadar herhangi bir kişisel veri iletilmediği ve yalnızca tüzel kişiye ait bilgilerin iletildiği, bu yüzden Kanun kapsamında giren herhangi bir durumun söz konusu olmadığı, 2020 yılından sonra gönderilen e-postaların ise halihazırda onay ve teyit alınarak gönderildiği,
- Yapılan incelemelerde gönderilen e-postaların tamamının müşterinin sisteminde kayıtlı olan adresine sistem tarafından gönderilen e-postalar olduğunun belirlendiği, söz konusu e-posta adresine sistem haricinde personel tarafından herhangi bir gönderim yapılmadığının tespit edildiği,
- Tüm bu sebeplerle hukuka aykırı veri paylaşımı yapıldığı, ilgili kişiye kişisel verilerini düzeltme ve yanlışlığı fark etme imkânının tanınmadığı iddiasının gerçek dışı olduğu,
- Kişisel verilerin işlenmesi noktasında her türlü önlemin alındığı, Kanun’un 4’üncü maddesinde yer alan ilkelere uygun davranıldığı ve taleplerine ilişkin olarak ilgili kişilerin her türlü kanaldan ulaşması için imkân sağlandığı
hususları bildirilmiştir.
Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 12/01/2023 tarih ve 2023/67 sayılı Kararı ile;
- Kanun’un, kişisel verilerin işlenmesine ilişkin "Genel İlkeler"i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında, "Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir." hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin; a) hukuka ve dürüstlük kurallarına uygun olma, b) doğru ve gerektiğinde güncel olma, c) belirli, açık ve meşru amaçlar için işlenme, ç) işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, d) ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme şeklinde sayıldığı,
- Kanun’un "Kişisel Verilerin İşlenme Şartları" başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu,
- Kişisel verilerin işlenmesinde Kanun’un 4’üncü maddesi uyarınca temel ilkelere uyumluluğun zorunlu olduğu, “doğru ve gerektiğinde güncel olma” ilkesinin de veri sorumluları tarafından uyulması zorunlu bu temel ilkelerden bir tanesini teşkil ettiği, Kurulun 22/12/2020 tarihli ve 2020/966 sayılı İlke Kararı’nda da “doğru ve gerektiğinde güncel olma” ilkesi doğrultusunda veri sorumlusunun makul önlemler alması gerektiğinin belirtildiği, anılan İlke Kararı ile veri sorumluları tarafından kendilerine bildirilen irtibat numaralarının doğruluğunu teyit edecek mekanizmaların oluşturulması adına gerekli idari ve teknik tedbirlerin alınmasına karar verildiği, kişisel verilerin doğru ve güncel bir şekilde tutulmasının, veri sorumlusunun çıkarına uygun olduğu gibi ilgili kişinin temel hak ve özgürlüklerinin korunması açısından da gerekli olduğu, kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması noktasında aktif özen yükümlülüğünün; veri sorumlusunun bu verilere dayalı olarak ilgili kişiyle alakalı bir sonuç ortaya koyması halinde geçerli olduğunun değerlendirildiği, bunun dışında veri sorumlusunun her zaman ilgili kişinin bilgilerinin doğru ve güncel olmasını temin edecek kanalları açık tutması gerektiği,
- Şikâyete konu e-posta adresinin ilk olarak ilgili kişinin ortağı olduğu şirketin vekili tarafından banka ile paylaşıldığı, sonrasında ilgili kişinin bireysel emeklilik başvurusu sırasında kendisine sunulan formda yer alan söz konusu e-posta adresini formu imzalamak suretiyle onayladığı, öte yandan ilgili kişinin başvurusu üzerine veri sorumlusunun hemen aksiyon alarak e-posta adresinde gerekli düzeltmeyi yaptığı göz önünde bulundurulduğunda, somut olaya konu olan işleme faaliyetinin hukuka uygun yürütülmesi bakımından veri sorumlusunun özen yükümlülüğü çerçevesinde hareket ettiği,
- Öte yandan, hatalı e-posta adresine giden bildirimlerin kişinin hesap hareketlerinin üçüncü bir kişiye açıklanmasının yanı sıra olası dolandırıcılık olaylarında hesaptan, hesap sahibinin bilgisi dışında para çekilmesi gibi durumlardan haberdar olunamaması gibi sonuçlara yol açabileceğinin veri sorumlusu tarafından göz önünde bulundurulması gerektiği, ilgili kişi açısından para transferlerine ilişkin bilgilendirmelerin alınamamasının ve üçüncü kişiye gönderilmesinin hak kaybına sebebiyet verebileceği dikkate alındığında, veri sorumlusunun Kişisel Verileri Koruma Kurulunun “22/12/2020 tarihli ve 2020/966 sayılı İlke Kararı” doğrultusunda, banka işlemlerinde kullanılan ilgili kişilerin iletişim bilgilerinin belirli periyotlarla doğrulanması ve güncelliğinin sağlanması hususunda gerekli mekanizmaları kurması gerektiği
değerlendirmelerinden hareketle
- Şikâyete konu e-posta adresinin ilk olarak ilgili kişinin ortağı olduğu şirketin vekili tarafından banka ile paylaşıldığı sonrasında ilgili kişinin bireysel emeklilik başvurusu sırasında kendisine sunulan formda yer alan söz konusu e-posta adresini formu imzalamak suretiyle onayladığı, öte yandan ilgili kişinin başvurusu üzerine veri sorumlusunun hemen aksiyon alarak e-posta adresinde gerekli düzeltmeyi yaptığı hususları dikkate alındığında şikâyet konusu ile ilgili olarak veri sorumlusu banka hakkında Kanun kapsamında yapılacak bir işlem olmadığına,
- “Veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına Kanun’a aykırı şekilde gönderilen üçüncü kişilere ait kişisel veriler hakkında Kişisel Verileri Koruma Kurulunun “22/12/2020 tarihli ve 2020/966 sayılı İlke Kararı” doğrultusunda, banka işlemlerinde kullanılan ilgili kişilerin iletişim bilgilerinin belirli periyotlarla doğrulanması ve güncelliğinin sağlanması hususunda gerekli mekanizmaların kurulmasına ilişkin veri sorumlusunun uyarılmasına
karar verilmiştir.
Karar Tarihi | : | 16/02/2023 |
Karar No | : | 2023/224 |
Konu Özeti | : | Bir belediyenin sosyal medya hesabından meclis toplantısı videosunun paylaşılması suretiyle kişisel verilerinin paylaşılması |
İlgili kişinin Kuruma intikal eden şikâyetinde özetle; bir ilçe belediyesinin sosyal medya hesabından paylaşılan olağan meclis toplantısı videosunda, kişisel verilerinin hukuka aykırı olarak işlendiği, bahse konu toplantıda belediye başkanı tarafından ilgili kişinin özel hayatına, kişisel verilerine ve bazı dava dosyaları ile ilgili adli işlemlere ilişkin bilgileri içeren bir konuşma gerçekleştirildiği ve bu konuşmanın belediyenin sosyal medya hesabından kamuoyu ile paylaşıldığı, bu çerçevede kişisel verilerinin ihlal edilmesine ilişkin olarak Belediyeye başvuruda bulunulduğu, ancak Belediye tarafından Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında herhangi bir hak ihlaline rastlanmadığı şeklinde cevap verildiği ifade edilerek gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;
- İlgili kişinin önceki yıllarda Belediye meclis üyesi olarak görev yaptığı, meclis üyeliği görevi çerçevesinde ilgili kişinin kişisel verilerinin yerel seçimleri müteakiben İlçe Seçim Kurulu tarafından Belediyeye iletilen asil ve yedek meclis üyelerinin isim listesi çerçevesinde işlenmeye başlandığı,
- İlçe Seçim Kurulundan gelen verilerin yanı sıra mevzuat gereği belediye meclis üyesinin göreve başlayabilmesi için başta kimlik veri kategorisinde yer alan isim, soyisim ve T.C. kimlik numarası (kimlik fotokopisi) ile iletişim, özlük (mal bildirim formu), mesleki deneyim (meslek bilgileri), finans (banka hesap bilgileri), görsel ve işitsel kayıt (fotoğraf, imza ve paraf örneği, mazbata fotokopisi, belediye başkan ve meclis üyeleri bilgi formu) kategorilerinde yer alan verilerin ilgili kişinin kendisinden temin edildiği,
- İlgili kişi hakkında Belediye Başkanı tarafından meclis toplantısında zikredilen dava dosyalarının Belediye Başkanının görevleri ile doğrudan ilgili olduğu ve hukuki çerçevede işlendiği, … Cumhuriyet Başsavcılığı Avukat, Noter ve Memur Suçları Soruşturma Bürosu tarafından Belediyeye gönderilen soruşturma dosyasından haberdar olunduğu ve Başsavcılığa gerekli bilgilerin ve soruşturma dosyası çerçevesinde şikayetçi sıfatıyla katılma talebinin iletildiği,
- … Cumhuriyet Başsavcılığı Hazırlık Bürosundan taraflarına iletilen yazı ile Belediyeden çeşitli bilgi ve belge taleplerinde bulunulduğu, Belediye Zabıta Müdürlüğünce hazırlanan yazı ile Başsavcılığa talepleri doğrultusunda bilgi ve belgelerin gönderildiği, soruşturmanın akabinde asliye ceza mahkemesinin dosyası ile dava açıldığı ve görülmekte olan davaya Belediye adına katılma talebinde bulunulduğu,
- Belediye Başkanının meclis konuşmalarında değindiği; belediye meclis üyesinin belediye ile doğrudan veya dolaylı olarak iş ilişkisine giremeyeceğine yönelik beyanlarının dayanağının ve hukuki gerekçeleri ile dava dosyaları hakkında bilgilerin yukarıda belirtilen resmi süreçler dahilinde gerçekleştiği, bu çerçevede ilgili kişinin hukuki işlem kategorisinde yer alan verilerinin hukuka uygun olarak işlendiği,
- Toplantı sırasında Belediye Başkanı tarafından zikredilen cümlelerde mümkün olduğunca belli bir kişiyi işaret etmemek için özen gösterildiği, Başkan tarafından isim belirtilmeden zikredilen cümlelerin, ilgili kişinin kişilik hakları ile özel hayatının gizliliğini korumaya yönelik olduğu,
- Şikâyete konu meclis toplantısının çevrim içi ortamlardaki paylaşımının, Kurul tarafından yürütülen inceleme sona erene kadar, iyi niyetin bir göstergesi olarak geçici olarak kaldırıldığı,
- Kuruma sunulan aydınlatma metninde de görüleceği üzere Belediye meclis toplantılarında ses ve görüntü kaydının alındığı, bu verilerin ulusal ve yerel yayın organlarında yayımlandığına dair bilgi verildiği ve bu konuda bilgilendirmenin belediye meclis salonu girişinde herkese duyurulduğu,
- 5393 sayılı Belediye Kanunu’nun 20’nci maddesinin altıncı fıkrasının ikinci cümlesinde “Toplantılar, meclisin kararıyla sesli ve görüntülü cihazlarla da kaydedilebilir.” hükmünün yer aldığı, bu hüküm doğrultusunda Belediyesi Meclisinin Kararı ile meclis toplantılarının kayıt altına alınmasına karar verildiği,
- 09/10/2005 tarihli ve 25961 sayılı Resmi Gazete’de yayımlanan Belediye Meclisi Çalışma Yönetmeliği’nin 11’inci maddesinin dokuzuncu fıkrasında “Meclis toplantıları halka açıktır. Meclis başkanı veya üyelerden herhangi birinin gerekçeli teklifi üzerine kapalı oturum yapılmasına karar verilebilir. (...)” hükmüne yer verildiği, hükümden de anlaşılacağı üzere meclis toplantılarının şeffaflık ve katılımcılık ilkeleri gereği halka açık olduğu ve bu doğrultuda, meclis kararı ile toplantıda alınan kayıtların ulusal ve yerel kanallarda yayımlanmasının hukuka uygun olduğu, zira şikâyete konu meclis toplantısının kapalı oturum olarak yapılmasını gerektirecek herhangi bir meclis kararının da bulunmadığı,
- Belediyenin meclis toplantısını kayıt altına alması ve çeşitli araçlarla halk ile paylaşmasının bir hukuki yükümlülük gereği olduğu ve katılımcıların bu konuda açık rızasına ihtiyaç duyulmadığının düşünüldüğü,
- Belediye Başkanlığının kamu tüzel kişiliğini haiz bir kuruluş olduğu ve tüm iş ve işlemlerinde Anayasa ve kanunlara uygunluk ile kamu yararını en önde tuttuğu, Belediyenin sadece meclis görüşmelerini değil, yine şeffaflık ilkesi ve kamu yarının bir gereği olarak ihaleleri de kayıt altına alarak halkla paylaştığı,
ifade edilmiştir.
Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun 16/02/2023 tarih ve 2023/224 sayılı Kararı ile;
- 6698 sayılı Kanun’da, kişisel verinin “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, ilgili kişinin “kişisel verisi işlenen gerçek kişi”, kişisel verilerin işlenmesinin ise “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” olarak tanımlandığı,
- Kişisel verilerin işlenmesinin Kanun kapsamında belirli işleme şartlarına bağlandığı, buna göre Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin;
(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
(2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
hükmünü haiz olduğu, - Bu çerçevede, Belediye Meclis Toplantısında ilgili kişinin adına yer verilmesi ve öncesinde sıklıkla “eski meclis üyesi arkadaşımız” ifadesi ile anılması dolayısıyla ilgili kişiyi belirlenebilir kılan nitelikte bir bilgi paylaşımının söz konusu olduğu, bu anlamda meclis toplantısının kaydedilmesi işlemi ile birlikte Belediye Başkanlığı tarafından kişisel veri işleme faaliyetinde bulunulduğunun anlaşıldığı,
- Bahse konu Olağan Meclis Toplantısı videosu kaydı incelendiğinde; Belediye Başkanı tarafından ilgili kişinin dahil olduğu ve Belediyenin de müdahil olduğu dava sürecine ve dava dosyasında yer alan evraklara dair bilgiler verildiğinin tespit edildiği, aynı zamanda Belediye Başkanının yaptığı konuşma boyunca ilgili kişinin adı ve soyadının anılmadığı, sürekli olarak “eski meclis üyesi arkadaşımız” olarak bahse konu olduğu ve video kaydının bir yerinde “isim vermeyelim” uyarısında bulunulduğunun tespit edildiği, ek olarak yalnızca video kaydının bir yerinde Belediye Başkanının ilgili kişinin soyadına yer vermeksizin adını andığının tespit edildiği,
- İlgili kişinin Belediye Başkanı tarafından ifade edilen dava sürecine ilişkin ifadelerinin gerçek dışı olduğu yönünde bir iddiasının bulunmadığı esas alındığında ve veri sorumlusu tarafından Kuruma iletilen evraklardan da dava sürecine ilişkin ifadelerin gerçeği yansıttığı kanaatine varıldığı,
- İlgili kişinin önceden meclis üyeliği yaptığı ve ilgili kişinin bilgilerinin meclis toplantısında gündem olmasının meclis üyelerinin belediye ile doğrudan veya dolaylı şekilde iş ilişkisine giremeyeceği kuralının ihlal edildiği iddiası ile mahkeme süreci kapsamında gündeme geldiği dikkate alındığında kamuoyunun konuya ilişkin bilgilendirilmesinde ilgi ve yararının mevcut olduğunun anlaşıldığı,
- Diğer taraftan 5393 sayılı Belediye Kanunu’nun 20’nci maddesinin altıncı fıkrasında “Toplantılar, meclisin kararıyla sesli ve görüntülü cihazlarla da kaydedilebilir.” hükmü doğrultusunda Belediyesi Meclisinin Kararı ile meclis toplantılarının kayıt altına alınmasına karar verildiği,
- Belediye Meclisi Çalışma Yönetmeliği’nin 11 inci maddesinin dokuzuncu fıkrasında “Meclis toplantıları halka açıktır. Meclis başkanı veya üyelerden herhangi birinin gerekçeli teklifi üzerine kapalı oturum yapılmasına karar verilebilir. (...)” hükmüne yer verildiği, bununla beraber şikâyete konu meclis toplantısının kapalı oturum olarak yapılması yönünde herhangi bir meclis kararının da mevcut olmadığının anlaşıldığı,
- Bu çerçevede belediye başkanı tarafından ilgili kişinin dava sürecine ilişkin bilgilerinin paylaşılması ve ardından adının anılması şekilde gerçekleşen somut olay yukarıda yer verilen hukuki gerekçeler kapsamında değerlendirildiğinde; Belediye Meclisi Toplantısında ilgili kişinin kişisel verilerinin yer aldığı ilgili video kaydının sosyal medya platformu üzerinde yayımlanması yönündeki veri işleme faaliyetinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması” hükmü kapsamında olduğu
değerlendirmelerinden hareketle;
- İlgili kişinin Belediyesi Meclis Toplantısında kişisel verilerinin Kanun’a aykırı olarak paylaşıldığı ve ilgili video kaydının sosyal medya platformu üzerinde yayımlandığı iddiasıyla Kurula intikal eden şikâyetinin incelenmesi neticesinde; ilgili kişinin eski meclis üyesi olduğu ve konuya ilişkin olarak kamuoyunun bilgilendirilmesinde kamu ilgi ve yararının mevcut olduğu, öte yandan 5393 sayılı Belediye Kanunu’nun 20’nci maddesinin altıncı fıkrasında “Toplantılar, meclisin kararıyla sesli ve görüntülü cihazlarla da kaydedilebilir.” hükmüne, Belediye Meclisi Çalışma Yönetmeliği’nin 11’inci maddesinin dokuzuncu fıkrasında ise “Meclis toplantıları halka açıktır. Meclis başkanı veya üyelerden herhangi birinin gerekçeli teklifi üzerine kapalı oturum yapılmasına karar verilebilir. (...)” hükmüne yer verildiği dikkate alındığında söz konusu veri işleme faaliyetinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması” hükmü kapsamında olduğu değerlendirildiğinden Belediye Başkanlığı hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına
karar verilmiştir.
Karar Tarihi | : | 01/12/2022 |
Karar No | : | 2022/1281 |
Konu Özeti | : | İcra takibi dolayısıyla veri sorumlusu avukat tarafından borçlunun borç bilgisinin oğlu ile paylaşılması ve kendisi ile borç bilgisi paylaşılan borçlunun oğlunun telefon numarasının bu suretle hukuka aykırı olarak işlenmesi |
İlgili kişilerin (borçlu ve oğlu) aynı konuya ilişkin Kuruma intikal eden şikayetlerinde özetle; borçlu hakkında başlatılan icra takibi ile ilgili olarak oğluna ait telefon numarasının veri sorumlusu avukat tarafından defalarca aranarak borca ilişkin bilgi verildiği, borçlunun hukuki işlem ve finansal bilgilerinin açık rızası olmaksızın üçüncü kişi konumundaki oğlu paylaşıldığı, öte yandan kendisi ile borç bilgisi paylaşılan borçlunun oğlunun ise telefon numarasının hukuka aykırı olarak elde edildiği ve kullanıldığı, konu ile ilgili olarak ilgili kişilerin veri sorumlusu avukata yaptıkları başvurunun veri sorumlusunca tebellüğ edilmesine rağmen cevaplandırılmadığı ifade edilerek, 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusu avukattan savunması istenilmiş olup alınan cevabi yazıda özetle;
- Keşidecisinin borçlu baba olduğu bono sebebiyle hakkında başlatılan ve kesinleşen icra takibi neticesinde borçlunun adreslerindeki menkul ve gayrimenkulleri ile üçüncü şahıslardaki hak ve alacaklarının haczi ve haczedilecek taşınır malların muhafaza altına alınması talebiyle icra müdürlüğüne başvurulduğu ve bu talebin kabul edildiği,
- Hukuk bürosunda çalışan bir avukat tarafından belirlenen tarihte haciz ve muhafaza işlemlerinin gerçekleştirilmesi adına haciz mahalli olan adrese gidilerek burada hazır bulunan borçlu ile oğluna haciz memuru tarafından geliş sebebinin mahalde anlatıldığı, bu hususun haciz tutanakları ile de sabit olduğu,
- Söz konusu işlemler sürerken borçlunun haciz mahallini terk ettiği, sonrasında haciz mahallinde bulunan borçlunun oğlu tarafından “Ben borçlu şirketin yetkilisiyim, borçlu benim misafirim olarak geldi, borçlunun şirketle alâkası yoktur, haczedilen mallar şirkete aittir.” demek suretiyle istihkak iddiasında bulunduğu, haczedilen malların yediemin sıfatıyla kendisine bırakıldığı ve haciz tutanağının imzalandığı,
- Bu suretle borçlunun oğlunun kişisel verilerinin haciz işleminin gerçekleştirildiği tarihte i