Kişisel Verilerin Korunması Kanunu ve ikincil mevzuatı yürürlük tarihinden bugüne güncellemesi sık yaşanan ve yaşayan bir
hukuktur. Yalnızca Kanun, Yönetmelik ve Tebliğ ile değil, Kurul Kararları, İlke Kararları ve Kurul Karar Özetleri ile de veri koruma alanıyla ilgili birçok usul ve esas belirlenmektedir. Dolayısıyla aylık bültenlerimiz, Kişisel Verileri Koruma Kurulu uygulamalarından ilgililerini haberdar etmeyi ve güncelliği sağlamayı amaçlamaktadır.

2023 Aralık ayında tam 31 karar özeti ve 3 adet veri ihlali bildirimi yayımlayan Kişisel Verileri Koruma Kurulu’nun (“Kurul”) Kurul Karar Özetleri içerisinden yüksek önemi haiz olduğunu düşündüğümüz 10 karara ve veri ihlal bildirimlerine bu ayki bültenimizde yer vermekteyiz.

VERİ İHLAL BİLDİRİMLERİ

“Veri güvenliğine ilişkin yükümlülükler” başlıklı Kişisel Verilerin Korunması Kanunu (“KVKK”) m. 12/5 “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir. Kurul, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

Türkiye Ziraat Odaları Birliği

Veri sorumlusu sıfatını haiz Türkiye Ziraat Odaları Birliği tarafından Kurul’a iletilen veri ihlal bildiriminde özetle;

20.11.2023 tarihinde gerçekleşen ve bir gün sonra tespit edilen ihlalin, Ziraat Odaları Bilgi Sisteminde (“ZOBİS”) kayıtlı bir kullanıcının hesap bilgileri ele geçirilerek Merkezi Nüfus İdaresi Sistemi (“MERNİS”) web servis sorgulamaları ile gerçekleştirildiği, ihlalden kişi grubu tespit edilemeyen 162.000 kişinin etkilendiği bilgilerine yer verilmiş olup ihlalden etkilenen kişisel veri kategorisinin kimlik verileri olduğu belirtilmiştir.

Kaymek Kayseri Mesleki Eğitim ve Kültür A.Ş.

Veri sorumlusu sıfatını haiz Kaymek Kayseri Mesleki Eğitim ve Kültür Anonim Şirketi tarafından Kurul’a iletilen veri ihlal bildiriminde özetle;

İhlalin e-posta üzerinden gelen linke tıklanmasıyla gerçekleştirildiği, ihlalden 7.186 öğrencinin etkilendiği bilgilerine yer verilmiştir. İhlalden etkilenen kişisel veri kategorilerinin kimlik, iletişim, lokasyon, özlük ve özel nitelikli kişisel veri kategorisinden ırk ve etnik köken bilgileri olduğu belirtilmiştir.

MongoDB Limited

Veri sorumlusu sıfatını haiz MongoDB Limited tarafından Kurul’a iletilen veri ihlal bildiriminde özetle; 20.12.2023 tarihinde tespit edilen ihlalin, müşteri ilişkileri yönetimi (“CRM”) uygulaması ve müşteri destek uygulamasından sınırlı sayıda veri sorumlusu çalışanın kullanıcı hesapları ele geçirilerek gerçekleştirildiği, bir kısım hizmetlerin kullanıcılarına ilişkin kişisel verilere erişildiği ve ilgili verilerin indirildiği, ihlalden Türkiye’den 130.000 ile 160.000 arası kullanıcının etkilendiği bilgilerine yer verilmiştir.

İhlalden etkilenen kişisel veri kategorilerinin hitap, ad, soyad, unvan, hesap no, şirket adı, adres, telefon numarası (esas, mobil, fax), e-posta, satış temsilcisi adı, soyadı, kullanıcı adı (e-posta adresi), son başarılı kimlik doğrulama zamanı, kullanılan son kimlik doğrulama yöntemi, kullanıcının tercih ettiği saat dilimi için tanımlayıcı, kullanıcının tercih ettiği saat dilimi için alfabetik kod, kullanıcının kaydolma tarihi, kullanıcının adı, soyadı, benzersiz kullanıcı ID, kullanıcının davet edildiği ancak henüz daveti kabul etmediği bilgisi, kullanıcının sınırlı izinleri olduğu, sayfanın kullanıcı tarafından en son görüntülendiği zaman, bir kullanıcının oturum açma sayısı, kullanıcının otomatik veya manuel olarak engellendiği ve kullanıcının silinip silinmediği bilgisi, silindiği zaman, e-posta doğrulama tarihi, e-posta doğrulama gerektirdiği bilgisi, alternatif eposta, çok faktörlü kimlik doğrulamayı etkinleştirdiği bilgisi, kullanımdan kaldırılan çok faktörlü kimlik doğrulama (“MFA”) için kullanılan telefon numarası, kullanımdan kaldırılan MFA için kullanılan telefon numarası uzantısı, kullanımdan kaldırılan MFA için kullanılan alternatif telefon numarası, kullanımdan kaldırılan MFA için kullanılan alternatif telefon numarası uzantısı, kullanımdan kaldırılan MFA için bir kimlik doğrulayıcı cihazın kullanılıp kullanılmadığı, kullanımdan kaldırılmış MFA kullanıcısının sesli arama almak isteyip istemediği bilgisi olduğu belirtilmiştir.

KURUL KARAR ÖZETLERİ

Veri dünyasının hızına yetişebilmek adına en önemli kaynak Kurul İlke Kararları ve idari yaptırımlara yönelik Karar Özetleri olmuştur. Mevzuat bu kararlar doğrultusunda fazlasıyla şekillenmiş, birçok usul ve esasın yanı sıra Avrupa Genel Veri Koruma Tüzüğü (“GDPR”) dünyasından aşina olunan sıfat ve tabirlere burada yer verilmiştir. KVKK’nın 22. maddesinde Kurul’un görev ve yetkileri sayılmış olup Karar özetlerinin bağlayıcılığı bu hükme dayanmaktadır.

ONLINE ALIŞVERİŞTE KREDİ/BANKA KARTI KAYDI ZORUNLU TUTULMAMALI!

İlgili kişinin şikâyetinde özetle; E-ticaret sitesi üzerinden alışveriş yapacağı sırada ödeme ekranında kredi/banka kartı bilgilerini kaydetmesinin talep edildiği, ilgili kişinin siteden alışveriş yapabilmesi için kredi/banka kartı bilgilerini kaydetmesinin zorunlu tutulduğu, veri sorumlusu tarafından kredi/banka kartı bilgilerinin kaydedilmesi için Kanun kapsamında geçerli bir veri işleme şartı bulunmadığı, ilgili kişinin veri sorumlusuna verilmiş bir açık rızası olmadığı, ilgili kişiye bu işlemeye ilişkin bir aydınlatma yapılmadığı belirtilmiştir.

Veri sorumlusundan alınan savunma beyanında; Ödeme işlemlerinin tamamlanması amacıyla fatura adresi ve kredi/banka kartı bilgilerinin işlendiği, müşterilerin hesap ayarlarından diledikleri zaman kartlarını kaldırabildikleri, kart bilgilerini kaldırmayı tercih etmeyen müşterilerin aynı bilgileri tekrar girmeye ihtiyaç duymadan sonraki satın almaları kolaylıkla yapabildikleri belirtilmiş; Şirketin veri işleme faaliyetlerine ilişkin olarak ilgili kişilere karşı aydınlatma yükümlülüğünü açık bir şekilde yerine getirdiği, bu kapsamda Şirketin kişisel veri işleme faaliyetlerini Kanun’a uyumlu şekilde yürüttüğü ifade edilmiştir.

Nihai Kurul incelemesi ile; Kart bilgisi sisteme kaydedilmeden alışverişin tamamlanamadığı ve alışveriş tamamlandıktan sonra da kart bilgilerinin cüzdan bölümünde kayıtlı olmaya devam ettiğinin anlaşıldığı, veri sorumlusu tarafından ödeme aracı ekleyen ilgili kişilerin sonraki satın almaları kolaylıkla yapabildiklerinin belirtildiği dikkate alındığında veri sorumlusu tarafından yeni bir veri işleme amacının ortaya koyulduğu, Kanun’da düzenlenen “amaçla bağlı, sınırlı ve ölçülü olma” ilkesi ve “belirli, açık ve meşru amaçlarla işleme” ilkesi gereğince amaç değiştiğinde veri işleme şartının da amaca uygun biçimde belirlenmesi gerektiği, kart bilgilerinin mevcut satın alma işlemi tamamlandıktan sonra işlenmeye devam edilmesinin ancak ilgili kişilerin bu yönde Kanun’a uygun şekilde alınmış açık rızaları kapsamında yapılabileceği belirtilmiş; veri sorumlusu hakkında 500.000 TL idari para cezası uygulanmasına karar verilmiştir.

E-NABIZ SİSTEMİNDEKİ VERİLERE HUKUKA AYKIRI ERİŞİLMESİ

İlgili kişinin şikâyetinde özetle; Veri sorumlusu Tıp Merkezi çalışanı hekim tarafından ilgili kişinin sağlık verilerinin e-Nabız sistemi üzerinden görüntülendiğinin fark edildiği, ilgili kişinin daha önce veri sorumlusu bünyesinde sağlık hizmeti almadığı, bu yönde bir sağlık probleminin olmadığı, adı geçen hekim ile ilgisi ve tanışıklığı bulunmadığı, ilgili kişinin e-Nabız gizlilik ayarlarının “Sağlık Bakanlığına Bağlı Tüm Hekimler Verilerimi Görsün” şeklinde olmasının tedavi görmediği ve herhangi bir ilgisinin bulunmadığı bir hastane/hekim tarafından sağlık verilerinin görüntülenebileceğine izin verdiği anlamına gelmediği, özel nitelikli herhangi bir kişisel verinin işlenebilmesinin meşru bir amaca uygunluğa bağlı olduğu belirtilmiştir.

Veri sorumlusu savunmasında; Veri sorumlusu bünyesinde çalışan hekimin sekreteri tarafından hekimin ve hastanenin bilgisi ve rızası dışında ilgili kişinin e-Nabız bilgilerinin sorgulandığı, hekimlerin kendi adlarına tanımlanan e-imza ile e-Nabız sistemine giriş yapabildiği, her vatandaşın dilediği zaman değiştirebildiği e-Nabız gizlilik ve paylaşım ayarlarından en zayıfı olan “Sağlık Bakanlığına Bağlı Tüm Hekimler Verilerimi Görsün” ayarının ilgili kişi tarafından seçilmiş olduğu ve bu sayede ilgili kişinin onayı olmaksızın hekimlerin sağlık verilerine erişim sağlayabileceği, veri sorumlusunun veri güvenliği hükümlerine riayet etmemesi sonucuna ulaşılamayacağı belirtilmiştir.

Kurul değerlendirmesi sonucunda; İşleme faaliyetine konu verilerin özel nitelikli kişisel veri kategorisinde yer alan sağlık verileri olduğu, kişilerin kendi kayıtlarına erişim yetkisini vermesinin diğer sağlık personeline/hekimlere bu verileri amacı dışında işleme hakkını vermediği, yalnızca hekimlere sağlanan eNabız sistemine erişim şifresinin hekim tarafından yardımcı sağlık personeli ile paylaşılması nedeniyle gerekli hassasiyetin gösterilmediği, veri sorumlusunun kişisel verilere hukuka aykırı erişilmesini önlemek amacıyla makul tedbirleri almadığı kanaatine varıldığı belirtilmiş; veri sorumlusu hakkında 200.000 TL idari para cezası uygulanmasına karar verilmiştir.

EVLİ ÇİFTİN SAĞLIK VERİLERİ GAZETEDE YAYINLANDI!

İlgili kişinin şikâyetinde özetle; İlgili kişilerin özel bir hastaneden sağlık hizmeti aldıkları, tedavi sırasında yaşanan olumsuzluklar nedeniyle doktor hakkında Sağlık Bakanlığına, Cumhuriyet Başsavcılığına ve ihtarname göndermek suretiyle hastaneye şikâyette bulundukları, tedavi tarihinden iki ay sonra gazetede yayımlanan haber ile özel nitelikli kişisel verilerinin işlendiği, haberde hastaneye gönderdikleri ihtarnamenin kaynak olarak kullanıldığı kanaatinde oldukları, veri sorumlusu tarafından özel nitelikli kişisel verileri ihtiva eden noter ihtarnamesinin ne şekilde ele geçirildiği hususunda açıklama yapılmadığı belirtilmiştir.

Veri sorumlusundan alınan savunma beyanında özetle; İşlemin gazetecilik, basın hürriyeti ve ifade özgürlüğü kapsamında yapılmış hukuka uygun bir veri işleme faaliyeti olduğu, haberin ilgili kişi tarafından hastaneye gönderilen ihtarnamedeki iddialar ile olayın karşı tarafında bulunan kişinin bu iddialara karşı savunmalarına yer verilerek oluşturulduğu, işleme faaliyetinin Kanun’da yer alan 28/1(c) maddesi gereği istisna kapsamına girdiği, istisna halleri içinde “kişisel veri” ve “özel nitelikli kişisel veri” ayrımına gidilmediği ve bu sebeple özel nitelikli kişisel veri içeriyor olsa dahi haberin yayımlanmasının hukuka aykırılık teşkil etmediği belirtilmiştir.

Kurul değerlendirmesi sonucunda; Kişisel veri işlemesinin ifade özgürlüğü kapsamında tam istisnai hal olarak değerlendirilebilmesi için suç teşkil etmemek kaydıyla özel hayatın gizliliğini de ihlal etmemesi gerektiği, haberin özel hayatın gizliliğini ihlal edecek boyutta detaylar içerdiği, detayların kamuoyu tarafından bilinmesinde bir menfaat olmadığı, ilgili kişilerin kişisel verilerinin korunması hakkının ihlal edilmesi sonucu kişilik haklarının zedelendiği, öte yandan haberde yer verilen kişisel verilerin özel nitelikli veri niteliğini haiz olmasının özle biçim arasındaki denge unsurunun sağlanamadığını gösterdiği; bu kapsamda Kanun’un 28/1(c) maddesine dayanılamayacağı belirtilmiş; veri sorumlusu gazete hakkında 100.000 TL idari para cezası uygulanmasına karar verilmiştir.

İLETİŞİM NUMARASI OLARAK BİLDİRİLMEYEN NUMARADAN BANKA BİLGİLENDİRMESİ YAPILABİLİR Mİ?

İlgili kişinin şikâyetinde özetle; İlgili kişinin cep telefonu numarası aracılığıyla online olarak veri sorumlusu Banka’nın müşterisi olduğu ve aynı gün bireysel kredi başvurusunda bulunduğu, aynı gün içerisinde hem ilgili Banka’ya vermiş olduğu telefon numarasına hem de adına kayıtlı olan ama Banka ile olan işlemlerinde kullanmadığı telefon numarasına kredi başvurusu ile ilgili ve içeriği farklı kısa mesajlar iletildiği belirtilmiştir.

Veri sorumlusundan alınan savunma beyanında özetle; Veri sorumlusu Banka’nın Kredi Kayıt Bürosu A.Ş. (“KKB”) üyesi olduğu, 5411 sayılı Bankacılık Kanunu’nda (“Bankacılık Kanunu”) md.73/4 uyarınca KKB’de üye statüsünde bulunan finansal kuruluşların, müşterilerine ait kredi bilgilerini birbirleriyle amaçla sınırlı ve ölçülü şekilde paylaştığı, Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Yönetmeliği (“Yönetmelik”) md.36/1 ve 2 uyarınca olağan dışı, sahtekarlık amaçlı veya dolandırıcılık riski bulunan işlemleri tespit etmeye ve önlemeye yönelik takip mekanizmaları kurulduğu belirtilmiştir.

Riskli işlemlerin gerçekleştirildiğinin tespit edilmesi halinde ise telefon ya da kısa mesaj gibi uygun yöntemlerle müşterilerin en kısa sürede uyarıldığı belirtilmiş ve bu durumun veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olduğu ifade edilmiştir.

Kurul değerlendirmesi ile; Kanun’un 2. maddesi uyarınca kanunlarda açıkça öngörülmesi, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması hallerinde kişisel verilerin ilgili kişinin açık rızası alınmadan işlenebileceği, somut olayda KKB kayıtlarında kişinin kredi başvuru sürecinde beyan ettiği iletişim bilgisine rastlanmadığı, bu durumun potansiyel bir dolandırıcılık işlemine dair erken uyarı sinyali olarak algılandığı ve ilgili kişiye ait KKB’de kayıtlı en güncel iletişim bilgileri üzerinden başvuru sahibi ile iletişime geçildiği, söz konusu işlemlerin Bankacılık Kanunu ve Yönetmelik uyarınca gerçekleştirildiği belirtilmiş; Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

ECZANE RAPOR VE İLAÇ KAYITLARINI İLGİLİ KİŞİNİN ESKİ EŞİ İLE PAYLAŞTI!

İlgili kişinin şikâyetinde; İlgili kişinin eşinden boşandığı, ancak eski eşi ile aralarında velâyet davası görüldüğü, ilgili kişinin hastane rapor ve ilaç kayıtlarının Eczacı tarafından Medula sisteminden çıkartılarak eski eşe verildiğinin dava dosyasından anlaşıldığı belirtilmiştir.

Veri sorumlusundan alınan savunma beyanında özetle; İlgili kişinin eski eşinin eczaneye geldiği, ilgili kişinin ilaç raporlarının yenilenmesi gerekçesi ile rapor çıktılarını talep ettiği, taraflar arasında bir husumet bulunduğunu bilmeyen eczane çalışanının ilgili kişiye faydalı olabilmek maksadı ile ilgili kişinin eşi olarak bildiği kişiye raporları verdiği, ilgili kişinin rapora bağlı ilaçlarının 2018, 2019, 2020 ve 2021 yılları boyunca her seferinde eşi tarafından eczaneye gelinerek alındığı, ilgili kişinin 4 yıl boyunca ilaçlarını kendi nam ve hesabına eşi tarafından eczaneden alınmasına, reçetelerini eczaneye vermesine ve ilgili kişi adına reçete işlemleri yapmasına onay verdiği, duruma rızasının bulunmadığının eczacıya bildirilmediği veya söylenmediği belirtilmiştir

Konuya ilişkin Kurul tarafından gerçekleştirilen değerlendirme ile; Eczacının diğer yükümlülüklerde olduğu gibi sır saklama yükümlülüğünde de yanında çalıştırdığı kimselerden Türk Borçlar Kanunu gereğince sorumlu olduğu çalıştırdığı personelin seçimi, bilgilendirilmesi, denetimi ve talimat verilmesinde gerekli objektif özen göstermesi ve/veya zararın doğumuna engel olamayacağını kanıtlar nitelikte bir bilgi ve belge sunması gerektiğini belirtmiştir.

Ancak eczacının, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alma yükümlülüğünü yerine getirmediği ve veri işleme şartlarından herhangi birine dayanılmaksızın ilgili kişinin verilerini üçüncü kişi ile paylaştığı belirtilmiş; bu kapsamda veri sorumlusuna 50.000 TL idari para cezası uygulanmasına karar verilmiştir.

ARAÇ KİRALAMALARINDA FİNDEKS RAPORU SORGUSU!

İlgili kişi şikayetinde; Kullanıcılara çevrimiçi otobüs, uçak, kiralık araç ve konaklayacak yer arama hizmetleri sunan Platformun, resmi internet sitesi aracılığı ile araç kiralandığı ve kişinin kredi kartından ödeme yaptığı, bununla birlikte aracı teslim alma aşamasında ilgili kişiye Findeks raporuna erişim talebi ile SMS iletildiği, Findeks raporunda yer alan bilgilerinin işlenmesine açık rıza göstermediği takdirde araç kiralamasının gerçekleştirilmeyeceğinin belirtildiği ve aracın teslim edilmediği bildirilmiştir.

Veri sorumlusu araç kiralama şirketi savunmasında; İlgili kişi verilerinin aracı Platform tarafından işlendiğini, Platform ile aralarında gizlilik sözleşmesi olduğunu, şirketin yalnızca araç teslim aşamasında müşteri ile muhatap olduğunu, Findeks sorgusu gerçekleştirilmediğini ve ilgili kişi depozito ödemesi yapmadığı için araç tesliminin yapılmadığını belirtmiştir.

Aracı Platform ise verdiği cevabi yazıda; yalnızca bir aracı hizmet sağlayıcı olarak sitesinde sunulan hizmetlerin ortamını sağladığını, hizmet sağlayıcı tarafından sunulan içerik ve içeriğe konu mal veya hizmetle ilgili hukuka aykırı hususlardan sorumlu olmadığını belirtmiştir.

Kurul, platform nezdinde yaptığı değerlendirmede,

  • Platformun araç kiralama hizmeti vermediği, yalnızca rezervasyon taleplerini aldığı ve ücret tahsili yapmadığı, veri sorumlusu olarak sorumluluğunun sadece bilet listeleme, sefer görüntüleme, bilet satış araç kiralama, araç listeleme, otel listeleme, otel rezervasyonu yapma vb. hizmetler yönünden olacağı,
  • Araç kiralama hizmetleri çerçevesinde işlenen verilerin işlenme amaçlarını ve vasıtalarını belirleyen taraf platform olmadığından somut olayda veri sorumlusu olarak kabul edilemeyeceğini vurgulamıştır.

Veri sorumlusu olarak belirlenen araç kiralama şirketi bakımından yapılan değerlendirmede ise,

  • Veri sorumlusu her ne kadar Findeks sorgusu gerçekleştirilmediğini ifade etse de internet sitesinde yer alan kiralama koşulları başlığı altında Findekse dayalı Karar Destek Skoru Sorgulamasından bahsedildiği ve burada oluşan skor üzerinden kiralama işlemi yapılıp yapılmayacağına karar verildiğinin belirtildiği,
  • Findeks raporu ile ilgili açık rıza vermeyen ilgili kişiye kiralamayı gerçekleştirmeyerek açık rızanın hizmet şartına bağlandığı, belirtilerek, veri güvenliğine ilişkin yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında 100.000 TL idari para cezası uygulanmasına karar verilmiştir.

CHECK-IN İŞLEMLERİNE DİKKAT!

Kurum’a intikal ettirilen şikayette; ilgili kişinin ailesi ile birlikte bir seyahat acentesinden tur satın aldığı, havayolunun mobil uygulamasından check-in işlemi yapmak için giriş sağladığında ise tanımadığı kişilerin kişisel verilerine erişim sağladığı ve tanımadığı kişilerin tüm bilgilerinin hem gidiş hem de dönüş işlemlerinde gözüktüğünü belirterek havayolu şirketince tutulan kişisel verilerinin tanımadığı kişilere açıklanması-yayınlanması ihlali ve ihtimali hakkında bilgi verilmesini ve mevcut ihlalin kaldırılmasını talep etmiştir.

Veri sorumlusu savunmasında; Seyahat acentelerinin, aynı paket turda yer alan tüm yolcuların rezervasyon ve biletleme işlemlerini toplu olarak yaptığı, bu nedenle seyahat acentesinin grup rezervasyonu kapsamında tek bir Grup PNR üzerinden tüm müşterilerinin takibini yapabildiği, Şirketlerinin bu Grup PNR’larına erişim ve kişisel verilerin görüntülenmesi konusunda ek tedbirler uyguladığı, kişilerin PNR + SOYADI kombinasyonu ile başarılı giriş yapmaları sonrasında genel uygulamadan farklı olarak PNR’daki tüm yolcuları görüntüleyememekte ve yalnız PNR içinde SOYADI eşleşen kayıtları görüntüleyebilmekte olduğu, ortak görüntülemenin birlikte seyahat eden ailelerin işlemlerini bir arada yapabilmeleri amacını taşıdığı, nitekim, özellikle uçuş için aile bireylerine yan yana koltuk tanınması konusunda yolculardan gelen talepler doğrultusunda bu yönde bir uygulamanın olduğu belirtilmiştir

Başvuru sahibinin check-in işlemi yaparken görüntülediği diğer yolcuların soy isimlerinin de başvuru sahibi ile aynı olduğu ve fakat bu
kişilerin başvuru sahibinin aile bireyi olmadıklarının anlaşıldığı, bunun esasen seyahat acentesinin kontrolünde olması gereken bir kontrol adımının işletilmemiş olduğunu gösterdiği, sistemde kaydı oluşturan seyahat acentesinin aynı soyadlı farklı kişileri tek bir Grup PNR’ında birleştirmemesi yükümlülüğünün bulunduğu ve bu noktada kendilerine kusur atfedilemeyeceği gibi ek açıklamalara da savunmasında yer vermiştir.

Kurul değerlendirmesi ışığında,

Şikayete konu işlemin ilgili kişi ile seyahat acentesi arasında gerçekleşen Paket Tur Sözleşmesi ile bağlantılı bir işlem olduğuna ilişkin açıklamalarına karşın, ilgili kişi tarafından iletilen ekran görüntülerinde PNR bilgisinin girilmesi sonucunda ekranında görmüş olduğu kişilere ait soyadların kendi soyadından farklı olduğu, dolayısıyla veri sorumlusu tarafından iddia edildiğinin aksine PNR SOYADI kombinasyonu ile giriş işlemi yapılsa dahi farklı soyadına sahip kişilerin verilerinin aynı PNR üzerinden görülebildiğinin anlaşıldığı, bu durumun veri sorumlusu tarafından kişisel verilerin hukuka aykırı olarak erişilmesini önlemek ve muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirlerin alınmadığını gösterdiği,

Öte yandan; ortak PNR verilmesinin birlikte rezervasyon yapan aile bireylerinin seyahatini kolaylaştırmak amacı güttüğü, bu durumun da 2920 sayılı Türk Sivil Havacılık Kanununun 40’ncı maddesi kapsamında değerlendirilebileceği anlaşılsa bile, PNR bilgilerine yalnızca soyadı kombinasyonu ile eşleştirilerek erişim sağlanmasının, somut olayda iddia edilen aynı soyadlı ancak aynı gruba ya da aileye dahil olmayan, birlikte seyahat etmeyen kişilerin verilerine erişim sağlanmasına ilişkin bir veri ihlaline sebep olabileceği ve bu veri ihlaline yönelik Kurul’a bildirim de yapılmadığı vurgulanarak, veri güvenliğine ilişkin yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında 300.000 TL idari para cezası uygulanmasına karar verilmiştir.

HOUSEKEEPING TASK SHEET KULLANAN OTELE CEZA!

Kurum’a intikal eden şikayette; ilgili kişiye sosyal medya üzerinden veri sorumlusuna ait otelde ikamet ettiği döneme ilişkin bilgiler ihtiva eden bir belge gönderildiği, ilgili kişinin bahsi geçen şahsa söz konusu belgenin kendisine nasıl ulaştığını sorduğunda şahsın otelde çalışan bir tanıdığından kendisine gönderilmesini istediğini belirttiği, söz konusu belgenin üzerinde yer alan ilgili kişinin isim ve konaklama bilgilerinin üçüncü kişilerin eline geçtiği, diğer yandan veri sorumlusunca aydınlatma yükümlülüğünün de yerine getirilmediği hususları belirtilmiştir.

Veri sorumlusu cevabi yazısında; Kat hizmetleri görevlilerinin düzenlediği Housekeeping Task Sheet isimli matbu dokümanda müşterilerin isim, soy isim ve oda numaralarının yer aldığı, lüks hizmet sunan otelin standartları gereği konaklayan misafirlerin kişisel ve özel hissettirilmesi amaçlı misafirlere soy isim ile seslenildiği, acil durumlarda kişiye seslenilebilmesi, doğru kişi olup olmadığının tespiti veya acil durum müdahale raporu oluşturulabilmesi için kat hizmetleri görevlilerinin misafirlerin isim-soy isim bilgilerine hakim olmasının gerektiğini ifade etmiştir.

Ek olarak, ilgili belgelerin 3 ayda bir periyodik olarak imha edildiği belirtmiş, sosyal medyadan ilgili kişinin yazması akabinde de bahsi geçen belgenin imhasının gerçekleştirildiği dile getirilmiştir. ilgili kişinin şikayetine ek yapılan Housekeeping Task Sheet isimli belgenin üzerinde bazı karalamalar olduğu için okunamadığı, belgenin orijinal olup olmadığı ile sosyal medya kullanıcısının varlığının tespiti açısından belirleyici olacağından Savcılık tarafından yürütülen soruşturmanın sonucunun beklenmesi gerektiği belirtilmiştir.

Nihai Kurul incelemesi ile,

  • Kat görevlilerinin temel faaliyet alanının bakım ve temizlik olması karşısında konaklayan kişilerin isimlerini bilmelerine gerek olmadığı, veri minimizasyonu ilkesi ve mahremiyet karşısında kişilerin özel hissettirilmesi amacının daha yüksek koruma gerektiren bir menfaat niteliğinde olmadığı, dolayısıyla da Housekeeping Task Sheet uygulamasının kaldırılması gerektiği,
  • İlgili belgenin yalnızca veri sorumlusunun personeli ile paylaşıldığı, somut olay kapsamında üçüncü bir kişi tarafından elde edilmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin sadece veri sorumlusu tarafından idari ve teknik tedbirlerin alınmamış olması dolayısıyla gerçekleşebileceği,
  • Veri sorumlusunun Registraton Card/Konaklama Belgesi üzerinde yer vermiş olduğu “Sorumsuzluk Kaydı”nda konaklama belgesini imzalayan kişilerin iletişim bilgilerine reklam, promosyon vb. ticari elektronik ileti gönderilmesini de kabul edeceğini belirttiği, öte yandan metnin İngilizce ifadelerinin yer aldığı kısımda aynı ibarelere yer verilmediğinin anlaşıldığı,
  • Konaklama belgesi düzenlemesinin mevzuat gereği zorunlu olmasından hareketle konukların bu belgeyi imzalama yükümlülüğü altında olduğu dikkate alındığında, bu belgenin imzalanmasının ayrıca ticari elektronik ileti gönderimine rıza göstermek anlamına geleceğinin belirtilmesinin özgür irade unsurunu da sakatlayacağı belirtilerek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek yükümlülüğü ile kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idarî tedbirleri alma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında 500.000 TL idari para cezası uygulanmasına karar verilmiştir.

İŞYERİNDE İBADETHANE BULUNAN İŞVERENLER, DİKKAT!

İlgili kişinin şikayetinde; eski çalışan işe iade davası açması sonucunda işverenin, şirket içerisinde konumlandırılmış kameralar vasıtasıyla kendisine ait ibadethane içerisindeki görüntülerini ibraz ettiği belirtilmiştir.

Veri sorumlusundan alınan savunma beyanında özetle; üretim faaliyetleri sebebiyle iş sağlığı ve güvenliği açısından “çok tehlikeli” sınıfında olduğu için işyerinde kamera sistemi bulunduğunu belirten veri sorumlusu, çalışanın ibadethane içerisindeki kamera görüntülerinin alınmasının ibadethanenin bağımsız bir bölüm olmayıp üretim alanı içerisinde yer almasından kaynaklı olduğunu ifade etmiştir.

Nihai Kurul incelemesi kapsamında; veri sorumlusunun kameralar vasıtasıyla ibadethane içerisindeki görüntü kayıtlarını işlemesinin ilgili kişinin dini inancına ilişkin bir veri işleme olduğu ve bu sebeple özel nitelikli kişisel veri kategorisine gireceği, çalışanların; soyunma odaları, tuvaletler, duşlar, mescit, dinlenme odaları ve emzirme odaları bakımından makul bir mahremiyet beklentisinde olduğu ve ibadethanenin veri sorumlusunun çalışma alanı çerçevesinde izlenmesini mecbur kılacak herhangi bir vasfının olmadığı dikkate alındığında, söz konusu veri işleme faaliyetinin “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırılık teşkil ettiği ifade edilmiş olup veri sorumlusu hakkında 300.000 TL idari para cezası uygulanmasına karar verilmiştir.

ÇEREZ UYGULAMALARINA 750.000 TL DEĞERİNDE YAPTIRIM!

İlgili kişinin şikayetinde özetle; veri sorumlusunun, geniş katılımlı çevrimiçi bir oyunun Türkiye’deki dağıtıcısı ve tek yetkilisi konumunda olduğu, Türkiye’deki kullanıcılar için oyun adına her türlü işlemi yapan ve tüm ticari gelirleri elde eden firma olduğu ve internet sitelerinde yer alan metinlerin kişisel verilerin korunması mevzuatına uygun olmadığı belirtilmiştir.

Veri sorumlusundan alınan savunma beyanında; sadece internet sitesinin çalışması için zorunlu olan çerezlerin yer aldığı, bu çerezler dışında pazarlama vb. amaçlarla çerez kullanılmadığı, çerez politikasının internet sitesinin ziyaret edildiği durumda “pop-up” olarak çıktığı, internet sitesinde yer alan aydınlatma metni ve gizlilik politikasının, Kanun’un yürürlüğe girdiği dönemden önce hazırlandığı, bu nedenle aydınlatma metni ile gizlilik politikasının güncellenmesi ve mevcut veri işleme faaliyetlerine uygun hale getirilmesi amacıyla yeni bir uyum sürecinin başlatıldığı ifade edilmiştir.

Söz konusu cevap metninden ilgili kişinin muhtelif şikayetlerine ilişkin kesin bir kanaate varılamamasından dolayı Kurul, veri sorumlusunun ofisi ve hizmet aldığı bir diğer firmanın merkezinin ziyaret edilmesi suretiyle yerinde inceleme gerçekleştirilmiştir.

Kurul’un yerinde incelemesi çerçevesinde; veri sorumlusuna ait internet sitesinde yayımlanan çerezlere ilişkin pop-up açıklaması altında “sadece gerekli çerezleri kullanın” ve “tüm çerezlere izin ver” olmak üzere iki seçeneğin sunulduğu, “tüm çerezlere izin ver” seçeneği ile gerekli çerezler kategorisi dışındaki her bir çerez tipi için topluca açık rıza alma yoluna gidildiği ve ilgili kişilere tercih imkanının sunulmadığı,

Çerez Beyanı ve Çerez Politikası metinlerinde yer alan çerez tablosunda üçüncü taraf çerez sağlayıcıları tarafından çeşitli çerezlerin “gerekli çerezler” kategorisinde kullanıldığının belirtildiği, üçüncü taraf çerez sağlayıcısının yurt dışında yerleşik bir firma olduğu, veri sorumlusu tarafından internet sitesinde çerezler yoluyla açık rıza şartına dayalı olarak gerçekleştirilen kişisel veri işleme faaliyetinde açık rızanın unsurlarından olan “belirli bir konuya ilişkin olması” ve özgür iradeyle verilmesi” unsurlarının sağlanmaması nedeniyle açık rızanın sakatlandığı ve hukuka uygun bir kişisel veri işleme faaliyetinin
gerçekleştirilmediği; diğer taraftan sağlayıcısı yurt dışında yerleşik şirketler olan ve zorunlu çerez kategorisinde bulunan üçüncü taraf çerezler kullanılarak kişisel verilerin yurt dışına aktarımının yapılması suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin yurt dışına veri aktarım şartlarına dayanmaması nedeniyle hukuka aykırı olduğu kanaatine varılmış olup veri sorumlusu hakkında 750.000 TL idari para cezası uygulanmasına karar verilmiştir.

GRC LEGAL Yorumu

2023 yılının büyük bir çoğunluğunu sessizlik içerisinde geçirerek karar yayınlama noktasında aktif görmediğimiz Kurul’un, yıl sonunda bu sessizliğini bozduğuna şahitlik ediyoruz. Yayınlanan karar özetleri genel çerçevede incelendiğinde pek çok sektörden veri sorumlularının kararların öznesi olduğunu gözlemleyebilmekteyiz.

Bununla birlikte, verilen kararlarda yer alan ve idari para cezalarının verilmesinde temel değerlendirme noktaları olarak ele alınan hususlar göz önünde bulundurulduğunda; ülkemizde veri koruma mevzuatına ilişkin farkındalığın Kanun sekizinci yürürlük yılına girerken hala yeterli seviyede olmadığı, tam uyumluluk ideasının veri sorumluları açısından gerçekleştirilemediği söylenebilecektir.