KİŞİSEL VERİLERİN KORUNMASI HUKUKU

Kişisel Verilerin Korunması Kanunu (“KVKK”) ve ikincil mevzuatı yürürlük tarihinden bugüne güncellemesi sık yaşanan ve yaşayan bir hukuktur. Yalnızca Kanun, Yönetmelik ve Tebliğ ile değil, Kurul Kararları, İlke Kararları ve Kurul Karar Özetleri ile de veri koruma alanıyla ilgili birçok usul ve esas belirlenmektedir. Dolayısıyla aylık bültenlerimiz, Kişisel Verileri Koruma Kurulu (“Kurul”) uygulamalarından ilgililerini haberdar etmeyi ve güncelliği sağlamayı amaçlamaktadır.

2023 Mart ayında Kurul tarafından kamuoyu duyurusu ve veri ihlal bildirimleri yayımlanmış olup yayımlanan şirketler arasında son zamanların en popüler girişimleri arasında yer alan ve sektör lideri konumunda bulunan şirketler yer almaktadır. Ayrıca, uzun zamandır ara verilmiş olan Kurul Karar Özeti’ne bir yenisinin eklendiği gözlemlenmektedir.

KVKK Bülten’imizin Mart 2023 sayısında, kişisel verilerin korunması mevzuatı ile ilişkilendirilmiş 30.03.2023 tarihli Resmi Gazete’de yer alan Anayasa Mahkemesi Kararı’nın detaylarına da yer verilmektedir.

VERİ İHLAL BİLDİRİMLERİ

“Veri güvenliğine ilişkin yükümlülükler” başlıklı KVKK m. 12/5. “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

2023 Mart ayında Kişisel Verileri Koruma Kurumu internet sitesi olan www.kvkk.gov.tr alan adlı sitede beş adet veri ihlal bildirimi yayınlanmıştır.

Akbank T.A.Ş

İhlalin veri sorumlusu tüzel kişi müşterilerinin hesap açılış işlemleri için  oluşturulan bir projenin kodunun yazımı sırasında mail adresi değişkeninin dinamik yazılması gerekirken statik yazılması neticesinde gerçekleştiği, 27.08.2022 ile 18.10.2022 tarihleri arasında hesap açılışı gerçekleştirilen bazı müşterilere ait elektronik hesap cüzdanlarının, bu müşteriler yerine hataen yine Banka müşterisi olan 20 adet tüzel kişi müşteriye (her birine farklı sayılarda) gönderildiği ve ihlalden 5.847 banka müşterisinin etkilendiği bildirilmiştir.

İhlalden etkilenen kişisel verilerin; kimlik, müşteri işlem ve finans kategorileri dahilinde; ad ve soyadı, TC kimlik numarası, müşteri no, vergi dairesi, bireysel bankacılık hizmet sözleşmesi numarası ve tarihi, hesap numarası, şube adı, döviz kodu, IBAN, ürün adı, faiz oranı, açılış ve vade tarihi ile hesap açılış tutarı bilgileri olduğu ve ilgili kişilerin akbank.com internet sitesi ve 4442525 telefon numarasından bilgi alabileceği bilgilerine yer verilmiştir.

Marifet Saatçilik Kuyum. Teks. Tur. Gıda İnş. Taah. San. ve Tic. Ltd. Şti.

İhlalin 07.03.2023 tarihinde başladığı ve 08.03.2023 tarihinde sona erdiği, veri sorumlusunun müşterilerine mesaj göndermek için kullanmış olduğu uygulamaya ait bilgilerin yetkisiz kişiler tarafından elde edilmesi neticesinde 1.513.947 kişiye SMS gönderilmesi ile gerçekleştiği bildirilmiştir.

Veri sorumlusunun uygulamada kayıtlı 66.000 müşterisinin bulunduğu bu sebeple SMS gönderilen telefon numaralarının uygulamayı ele geçiren kişiler tarafından sisteme yüklenildiğinin düşünüldüğü, ihlalin müşterilerin yaptığı geri dönüşler sonucu tespit edildiği, iletişim bilgilerinin etkilenmiş olduğu, ilgili kişilerin www.marifetkuyumcu.com adresi ve 444 9 778 numarasından bilgi alabileceği bilgilerine yer verilmiştir.

Sahibinden Bilgi Teknolojileri ve Paz. ve Tic.

Veri sorumlusunun siber saldırıya uğraması sonucu ihlal gerçekleştiği ve ihlalden etkilenen kişisel verilerin internette paylaşıldığının 27.03.2023 tarihinde tespit edildiği, ancak ihlalin başlama tarihinin henüz tespit edilemediği belirtilmiştir.

Yapılan araştırmada; Sahibinden mağaza verilerinin (e-posta adresi dışında kalan veriler) Sahibinden’in internet sitesi ve mobil uygulamasındaki ara yüzlerin çalışması için gerekli web service içeriklerinin kopyalanması suretiyle elde edildiğinin anlaşıldığı, kurumsal kullanıcılara ait e-posta adresi verilerinin kötü niyetli üçüncü kişilerce kullanıcılara şifre yenileme iletileri gönderilmesi suretiyle şifre yenileme servisinin sonuç çıktısından elde edildiğinin anlaşıldığı belirtilmiştir.

İhlalden etkilenen kişisel verilerin genel kapsamda Sahibinden mağaza bilgileri ve kurumsal kullanıcılara ait e-posta adresi olmak üzere; kullanıcı ID, kullanıcı adı, soyadı, mağaza adı, telefon numarası, e-posta adresi, hesap kayıt tarihi, konum, kullanıcı tipi, mağaza numarası, paket kategorisi, paket statüsü, paket periyodu, mağaza ürün türü, kayıt periyodu, açılış tarihi, mağaza taahhüt başlangıç tarihi bilgileri olduğu, ihlalden veri sorumlusunun şahıs şirketleri de dahil olmak üzere, kurumsal kullanıcılarının etkilendiği, ihlalden etkilenen tahmini ilgili kişi sayısının tahmini 71.422 olduğu ve ilgili kişilerin yaziliiletisim@sahibinden.com e-posta adresi veya çağrı merkezi aracılığıyla alabileceği bilgilerine yer verilmiştir.

Destek Bilgisayar ve İletişim Hizmetleri Tic. A.Ş.

İhlalin; veri sorumlusunun kullanmakta olduğu sunucu, depolama üniteleri ve bazı kullanıcı makinelerindeki veri şifrelenmesi ve silinmesi ile sistemde kayıtlı olan verilerin dışarı çıkarılması ve karşılığında fidye talep edilmesi şeklinde gerçekleştiği, veri ihlalinin 23.03.2023 tarihinde başladığı ve aynı tarihte tespit edildiği belirtilmiştir.

ihlalden etkilenen kişi sayısının şifreleme ve blokajdan dolayı henüz tespit edilemediği, kişisel veri kategorilerinin finans, pazarlama, mesleki deneyim, görsel ve işitsel kayıtlar olduğu ve kişi gruplarının çalışanlar, müşteriler ve potansiyel müşteriler olduğu, ilgili kişilerin www.destek.as, info@destek.as, kvk@destek.as, callcenter@destek.as adreslerinin yanı sıra (yardım masası), müşteri hizmetleri numarası 0312 473 51 00 ile çağrı merkezi numarası 444 37 85 üzerinden bilgi alabilecekleri ifade edilmiştir.

Getir Perakende Lojistik A.Ş. ve Bitaksi Mobil Teknoloji A.Ş.

Veri sorumlusu sıfatını haiz Getir Perakende Lojistik A.Ş. (“Getir“) ve Bitaksi Mobil Teknoloji A.Ş. (“BiTaksi“) tarafından iletilen veri ihlal bildirimi ve takip bildiriminde özetle; 11.03.2023 tarihinde Getir’in üst yönetimine ulaşan bir e-postada, kötü niyetli üçüncü bir şahsın BiTaksi (Getir’in kurucusu tarafından kurulan bir teknoloji şirketi) kullanıcılarına ait bazı kişisel verileri elinde bulundurduğunu iddia ettiği ve örnek olarak bazı veri satırlarını paylaştığı, 23.03.2023 tarihinde bir Getir yetkilisine ve 25.03.2023 tarihinde Getir’in kurumsal e-posta adresine kötü niyetli üçüncü kişi tarafından iletilen iki ayrı e-postada, darkweb’de Getir hakkında kişisel verilerin ihlale uğradığına dair iddialara yer verildiği ve Getir müşterilerine ait olduğu iddia edilen kişisel veri içeren bağlantıların paylaşıldığı ifade edilmiştir.

Darkweb’de yer alan içeriklerin Getir bünyesindeki müdahale ekibi tarafından incelenmeye başlandığı; log kayıtlarının aktarıldığı yazılımların birinde yer alan verilerin, ilgili darkweb gönderilerinde yer alan verilerle örtüştüğünün tespit edildiği, verilerin Bitaksi sistemlerinde yer alan verilerle örtüşmediği ve Bitaksi kullanıcılarının kişisel verilerinin ihlal edilmediği belirtilmiştir.

İhlalden etkilenen kişisel verilerin, Getir kullanıcıları için; kimlik (ad, soyad, TC kimlik numarası, cinsiyet), iletişim (GSM numarası, e-posta adresi, teslimat adresi) hesap (Getir müşteri numarası ve hesap oluşturma tarihi), müşteri işlem (Getir uygulamasından verilen son sipariş tarihi ve numarası, sipariş verilen Getir dikeyi [Getir, Getir Büyük, Getir Yemek vb.], sipariş içeriği, iptal edilen sipariş sayısı ve toplam sipariş sayısı), diğer (Getir uygulamasına son giriş yapılan tarih ve konum, Getir’e verilen iletişim izinleri) bilgiler olduğu, Getir bayilerine hizmet veren kuryeler için ise; kimlik (ad, soyad), iletişim (GSM numarası), görsel ve işitsel kayıtlar (profil fotoğrafı), diğer (anlık konum bilgisi ve Getir çalışan numarası) bilgiler olduğu, tahmini kişi sayısının 5098 olduğu ancak etkilenen her veri kategorisinin tüm ilgili kişiler için geçerli olmadığı, ilgili kişilerin ihlal ile ilgili olarak kisiselveriler@getir.com e-posta adresinden veya Etiler Mah. Tanburi Ali Efendi Sok. Maya Residences Sitesi, T Blok, No:13 İç Kapı NO:334 Beşiktaş/İstanbul adresinden bilgi alabilecekleri bilgilerine yer verilmiştir.

KAMUOYU DUYURULARI

Seçim Faaliyetleri Kapsamında Siyasi Partiler ve Bağımsız Adaylar Tarafından İşlenen Kişisel Veriler Hakkında Kamuoyu Duyurusu

10 Mart 2023 tarih ve 32128 sayılı Mükerrer Resmî Gazete’de yayımlanan 2023/121 sayılı Cumhurbaşkanlığı Kararı ile Türkiye Cumhuriyeti Anayasasının 116. maddesi uyarınca Türkiye Büyük Millet Meclisi genel seçimi ile Cumhurbaşkanlığı seçiminin yenilenmesine karar verilmiş olup ilgili Cumhurbaşkanlığı Kararı uyarınca seçimlerin düzenlenmesine ilişkin süreç resmi olarak başlamıştır.

Seçim faaliyetleri kapsamında muhtelif kişisel veriler işlenmektedir. KVKK 3. maddesinde veri sorumlusu tanımlanmış olup, bu kapsamda siyasi partiler başta 2820 sayılı Kanun olmak üzere ilgili kanunlar gereğince kuruluş, üyelik, seçimlerde aday belirleme faaliyetleri, yetkili organlarının seçimi ve bunların ilgili mercilere bildirimi vb. işlemler kapsamında kişisel verileri işlemektedir. Dolayısıyla siyasi partiler yürüttükleri faaliyetler nedeniyle işledikleri kişisel veriler bakımından KVKK kapsamında yer alan veri sorumlularından biridir.

Siyasi partilerin ve bağımsız adayların kişisel veri işleme faaliyetlerinde, işlenecek kişisel verinin niteliğine göre kişisel verilerin işlenme şartları başlıklı KVKK 5 ve özel nitelikli kişisel verilerin işlenme şartları başlıklı 6. maddelerinde belirtilen veri işleme şartlarına dayalı olarak kişisel veri işlemesi gerekmektedir. Bu hususta, Kurum tarafından bir bilgi notu hazırlanmış olup seçim süreçlerinde kişisel veri işleme faaliyetlerinde söz konusu hususlara uygun hareket edilmesi önem arz etmektedir.

Vekaleten Yapılacak Şikayetlerin Elektronik Ortamda Kurula İletilmesine İlişkin Kamuoyu Duyurusu

KVKK 15. maddesinde “Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.” hükmü yer almakta olup, bu kapsamda Kurum’a intikal eden şikayetler Kurul tarafından sonuçlandırılmaktadır. Halihazırda şikâyet dilekçeleri Kurul’a elden, posta veya kargo yoluyla iletilebildiği gibi www.kvkk.gov.tr adresinde hizmete sunulan “Şikayet Modülü” aracılığıyla elektronik ortamda da iletilebilmektedir.

Bu kapsamda, vekaleten yapılacak şikayetlerin daha hızlı ve etkin bir şekilde Kurum’a iletilebilmeleri ve takip edebilmelerini teminen 27.03.2023 tarihi itibariyle “Şikâyet Modülü” sistemi avukatların da vekaleten yapacakları şikayetleri iletebileceği şekilde güncellenmiş olup, söz konusu şikâyet modülüne internet bağlantısından ulaşılabilmektedir.

Yukarıda detaylarına yer verilen duyurular, 23 Mart ve 27 Mart tarihlerinde Kurul tarafından kamuoyuna saygıyla sunulmuştur.

KURUL KARAR ÖZETLERİ

Veri dünyasının hızına yetişebilmek adına en önemli kaynak Kurul İlke Kararları ve idari yaptırımlara yönelik Karar Özetleri olmuştur. Mevzuat bu kararlar doğrultusunda fazlasıyla şekillenmiş, birçok usul ve esasın yanı sıra Avrupa Genel Veri Koruma Tüzüğü dünyasından aşina olunan sıfat ve tabirlere burada yer verilmiştir. KVKK 22. maddesinde Kurul’un görev ve yetkileri sayılmış olup Karar özetlerinin bağlayıcılığı bu hükme dayanmaktadır.

TikTok Pte. Ltd. Hakkında Kişisel Verileri Koruma Kurulu’nun 2023/134 Sayılı Karar Özeti

TikTok uygulaması ile ilgili olarak, açık rızanın KVKK kapsamında usulüne uygun alınmadığına, kişisel verilerin elde edilmesi ve saklanması hususunda hukuka aykırılıkların bulunduğuna ve yazılıma ait birçok güvenlik açığı olduğuna yönelik şikayetlerden hareketle KVKK m. 15/1 uyarınca resen inceleme başlatılmıştır.

TikTok’un 2021 yılı Ocak ayında gizlilik politikasında gerçekleşen güncelleme öncesinde, varsayılan olarak profillerin herkese açık olarak görüntülenerek etkileşimde sınırlandırılma bulunmamasının hassas yaş grubunda olan kullanıcıların verilerine erişilmesi kapsamında risk teşkil ettiği, ayrıca kullanıcılara ilişkin risklerin belirlenerek risklerin azaltılmasına dair yeterli tedbir alınmadığı ve uygulamayı kullanan 13 yaş altı çocukların kişisel bilgilerinin görüntülendiği, uygun ebeveyn izni olmadan çocuklar hakkında veri toplandığı, dolayısıyla uygulamayı kullanmış olan çocuklar üzerinde olumsuz sonuç doğma riskinin bulunduğu belirtilmiştir.

TikTok internet sitesinde yer alan Gizlilik Sözleşmesinde KVKK m. 5’te yer alan işleme şartlarının tümünün belirtildiği, ancak hangi kişisel verilerin hangi amaçla ve hangi işleme şartına dayanılarak işlendiği hakkında net bilgi verilmediği, veri sorumlusunca KVKK m. 4’te yer alan “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırı hareket edildiği ifade edilmiştir.

TikTok hesabı oluşturan kullanıcılardan Hizmet Koşulları kısmında onay alınırken ilgili metnin henüz Türkçe’ye tercüme edilmediği, kullanıcılara içeriğin kolay anlaşılır bir biçimde sunulmadığı ve kullanıcıların kullanım şartlarını tam olarak anlayamadan kabul etmesinin ihtimal dahilinde olduğu; platformda hesap oluştururken ya da hesap aktif olarak kullanılırken açık rıza alınmasına ilişkin herhangi bir durum ile karşılaşılmadığı, TikTok’un Gizlilik Politikasının, esasen aydınlatma yükümlülüğünü yerine getirmek için hazırlanmış bir metin olduğu, ancak açık rıza metni yerine de kullanıldığı, dolayısıyla, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliği m. 5/1-f uyarınca açık rıza şartına dayalı olarak gerçekleştirilen işleme faaliyetleri bakımından açık rızanın aydınlatma yükümlülüğünden ayrı yerine getirilmesi şartının sağlanmadığı, TikTok tarafından profilleme amacıyla çerezler kullanılarak gerçekleştirilen işleme faaliyetine ilişkin olarak ilgili kişilerden açık rıza alınmadığı, bu kapsamda yürütülen kişisel veri işleme faaliyetinin de hukuka uygun olmadığı anlaşıldığından 1.750.000 TL idari para cezası uygulanmasına ve Türkçeye çeviri hususunda 1 ay, Gizlilik Politikası hususunda 3 ay içinde uyum sağlanmasına ilişkin talimatlandırmaya karar verilmiştir.

ANAYASA MAHKEMESİ KARARI

30.03.2023 tarih ve 32148 sayılı Resmî Gazete’de yayımlanan 2020/67 E. ve 2022/139 K. sayılı Anayasa Mahkemesi Kararı’nda (“AYM Kararı“), Rekabet Kurulu’nun yerinde inceleme yetkisi kapsamında erişebileceği kişisel verilere ilişkin olarak birtakım değerlendirmeler yapıldı. AYM Kararı’nda kişisel verilerin korunması mevzuatının aksine, tüzel kişi sıfatını haiz teşebbüs verilerinin de kişisel verilerin korunmasını isteme hakkı kapsamına gireceği belirtilerek; Rekabet Kurulu’na Haziran 2020’de getirilen teşebbüslere ait her türlü veri ve belgenin kopyalarını ve fiziki örneklerini alma yetkisi kişisel verilerin korunması mevzuatına oyçokluğuyla uygun bulundu.

AYM Kararı’nda 4054 sayılı Rekabetin Korunması Hakkında Kanun’da (“RKHK“) değişiklikler yapılmasını öngören 7246 sayılı Kanun’un bazı hükümlerinin Anayasa’ya aykırı olduğu gerekçesiyle açılan iptal davası hakkında karar verilmiş olup yapısal ve davranışsal tedbirleri düzenleyen RKHK m. 9/1 hükmünde yer alan bölümün iptali talebinin reddine, yerinde incelemeyi düzenleyen RKHK m. 15/1/a hükmünde yer alan bölümün iptali talebinin reddine, Rekabet Kurumu personelinin statüsünü düzenleyen RKHK m. 34 hükmünün ve RKHK geçici m. 6 hükmünün iptaline karar verilmiştir.

RKHK m. 15/1/a hükmünde yer alan bölümün iptalinin talep edilmesinde ileri sürülen temel gerekçe, özetle RKHK m. 15/1/a hükmünde yer alan bölüm çerçevesinde hiçbir sınırlama olmaksızın teşebbüslerin her türlü belgesinin kopyalanmasının ve örneğinin alınmasının mümkün kılındığı, bu işlem sırasında ilgili teşebbüs temsilcisinin hazır bulunmasına ilişkin bir şarta yer verilmediği gibi teşebbüslerin ticari sır ve müşteri çevresine ilişkin verilere erişim yetkisi tanıyan kuralın kişisel verilerin elde edilmesi ve işlenmesi konusunda herhangi bir güvence de içermediği, bu hususun belirlilik ilkesiyle de bağdaşmadığı ve orantılı olmadığıdır.

Piyasada rekabete aykırı davranış ya da işlemlerin tespit edilmesi amacıyla delil niteliğindeki defter, belge, kayıt ve verilerin kopyalarının ve fiziki örneklerinin alınmasını öngören RKHK m. 15/1/a hükmünde yer alan bölümün, KVKK hükümleri ile kişisel verilerin korunmasına ilişkin olarak bilgilendirme hakkı, erişim hakkı, amaç doğrultusunda kullanılıp kullanılmadığını öğrenme hakkı, veri güvenliğinin sağlanması gibi güvenceleri karşıladığı; bu itibarla teşebbüs ve teşebbüs birliklerine aşırı külfet yüklenmediği gözetildiğinde kuralın orantısız bir müdahaleye neden olmadığı ve kişisel verilerin korunmasını isteme hakkına ölçüsüz bir sınırlama getirmediği gerekçeleriyle RKHK m. 15/1/a hükmünde yer alan bölümün Anayasa’ya aykırı olmadığına hükmedilmiştir.

Bu hususa ilişkin karşı oy gerekçelerinde önemli tespitlere yer verilmiştir.

RKHK m. 15/1/a hükmünde kişisel verilerin kopyalarının ve fiziki örneklerinin alınması yetkisi verildiği, verilen yetkinin keyfi kullanımına ilişkin güvencelerin varlığının daha da önem kazandığı; denetime konu edilecek kişisel veri niteliğindeki bilgi ve belgelerin ne şekilde kullanılacağına, ne kadar süre saklanacağına, ilgililerin söz konusu bilgilere itiraz etme imkânının olup olmadığına, bilgilerin süresinde silinip silinmeyeceğine ve izlenecek usulün ne olduğuna, yetkinin kötüye kullanımını önlemeye yönelik nasıl bir denetim yapılacağına ilişkin herhangi bir düzenlemeye yer verilmediği belirtilmiştir.