KİŞİSEL VERİLERİN KORUNMASI HUKUKU

Kişisel Verilerin Korunması Kanunu (“KVKK”) ve ikincil mevzuatı yürürlük tarihinden bugüne güncellemesi sık yaşanan ve yaşayan bir hukuktur. Yalnızca Kanun, Yönetmelik ve Tebliğ ile değil, Kurul Kararları, İlke Kararları ve Kurul Karar Özetleri ile de veri koruma alanıyla ilgili birçok usul ve esas belirlenmektedir. Dolayısıyla aylık bültenlerimiz, Kişisel Verileri Koruma Kurulu (“Kurul”) uygulamalarından ilgililerini haberdar etmeyi ve güncelliği sağlamayı amaçlamaktadır.

Kurul tarafından mayıs ayında alınan en elzem aksiyonun 23 Mayıs 2022 tarihinde bir set olarak yayımlanan Karar Özetleri olduğu kanaatindeyiz. 15 adet karar özetini barındıran bu set ile uygulamaya yönelik oldukça radikal kurallar getirilmektedir. Sizler için özetleyip önemli noktalarını vurguladığımız Kurul Karar Özetleri’nin detaylarına aşağıdan ulaşabilirsiniz.

VERİ İHLAL BİLDİRİMLERİ

“Veri güvenliğine ilişkin yükümlülükler” başlıklı KVKK m. 12/5. “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

2022 Mayıs ayında Kişisel Verileri Koruma Kurumu internet sitesi olan www.kvkk.gov.tr alan adlı sitede üç adet veri ihlal bildirimi yayınlanmıştır.

Yıldız Teknoloji Geliştirme Bölgesi Teknopark A.Ş.

İhlalin 03.05.2022 tarihinde veri sorumlusuna ait sistemlere siber saldırı gerçekleştirilmesi neticesinde sistemlerin devre dışı bırakılması ile gerçekleştiği, 05.05.2022 tarihinde fidye talep edilen bir not bulunması sonucu veri ihlalinin tespit edildiği, ihlalden etkilenen sistemlerin, veri sorumlusuna ait Argeportal, EBYS, eBA, PDKS, Logo yazılım ve şirket içi ortak alan olduğu, kişisel veri kategorilerinin kimlik, iletişim, lokasyon, özlük, müşteri işlem, finans, mesleki deneyim bilgileri olduğu, kişi gruplarının çalışanlar, kullanıcılar ve müşteriler olduğu, kişi sayısının henüz tespit edilemediği bilgilerine yer verilmiştir.

ZkSoftware The Advanced Biometric Solution Elektronik San. ve Tic. Ltd. Şti

İhlalin 22.05.2022 tarihinde gerçekleştiği ve 23.05.2022 tarihinde sunucu bilgisayarında bulunan muhasebe yazılımına erişilememesi ile tespit edildiği, veri sorumlusunun iki veri depolama alandaki dosyalarının crypto şifreleme ile kilitlendiği, ihlalden etkilenen ilgili kişi gruplarının veri sorumlusu çalışanları ve müşteriler olduğu, yaklaşık 1000 gerçek kişinin etkilendiği ve kişisel veri kategorilerinin; Kimlik, İletişim, Özlük, Müşteri İşlem (müşterilerin geçmişte satın aldığı ürünlere ait fatura ve sipariş bilgileri), Finans (müşterilerin alacakları ya da borç bilgileri), Pazarlama bilgileri (müşterilerin satın aldığı ürün bilgileri) olduğu bilgilerine yer verilmiştir.

Baydöner Restoranları A.Ş.

İhlalin veri sorumlusunun Bilgi İşlem Yöneticisinin bilgisayarının zararlı bir yazılım ile saldırıya uğraması ve web servis şifrelerinin ele geçirilmesi sonucu gerçekleştiği, 21.05.2022 tarihinde gerçekleştiği ve 22.05.2022 tarihinde tespit edildiği, etkilenen kişi gruplarının çalışanlar, kullanıcılar ve aboneler/üyeler, kişisel verilerin; müşterilerin isim, e-posta, cep telefonu, cinsiyet, yaşadığı şehir bilgileri, kişi sayısının 505.337 olduğu bilgilerine yer verilmiştir.

KURUL KARAR ÖZETLERİ

Veri dünyasının hızına yetişebilmek adına en önemli kaynak Kurul İlke Kararları ve idari yaptırımlara yönelik Karar Özetleri olmuştur. Mevzuat bu kararlar doğrultusunda fazlasıyla şekillenmiş, birçok usul ve esasın yanı sıra GDPR dünyasından aşina olunan sıfat ve tabirlere burada yer verilmiştir. KVKK 22. maddesinde Kurul’un görev ve yetkileri sayılmış olup Karar özetlerinin bağlayıcılığı bu hükme dayanmaktadır.

“İş arama ve işe alım süreçlerini yürüten bir istihdam platformunun Kişisel Verilerin Korunması Kanunu’na aykırı uygulamalarda bulunması” hakkında Kişisel Verileri Koruma Kurulunun 14/10/2021 tarihli ve 2021/1051 sayılı Karar Özeti

Veri sorumlusuna ait istihdam platformunda ilgili kişinin üyelik hesabı üzerinden yaptığı iş başvuruları sonucunda işverenlere yönelik kişisel verilerinin gizliliği ve işlenmesi hususlarında KVKK’ya aykırı uygulamalarda bulunduğu, ilgili kişinin iş başvuruları ve görüşme sonrasına ait işverenlere sunulan tüm bilgi ve belgelerin dijital bir örneğinin kendisine verilmesi hususundaki bilgi/erişim talebinin veri sorumlusunca yerine getirilmediği, ilgili kişinin onayı olmaksızın verilerinin silineceğinin belirtildiği şikayete konu olmuştur. Veri sorumlusu açıklamasında aralarındaki hizmet sözleşmesine dayanarak bir takım kişisel veri işleme faaliyetinin gerçekleştirildiği ve bu kapsamda aydınlatma metinlerinin ilgili kişiye tebliğ edildiğini belirtmiştir.

İlgili kişinin kişisel verilerine erişim talebinin karşılanmadığına yönelik şikâyeti hakkında 30 günlük süreye uyulduğu tespit edilmiş ve Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir. ilgili kişinin bilgisi ve onayı olmaksızın iş başvuruları ve iş görüşmelerine ilişkin kişisel verilerinin diğer işverenlere aktarıldığı iddiasına yönelik şüphenin ötesine geçen herhangi bir tevsik edici bilgi veya belge sunmamış olması, işverenlerin çalışan adayları hakkında aldığı notların ve izlenimlerinin diğer işverenlere aktarılması gibi bir uygulamanın söz konusu olmadığını beyan etmesi karşısında; ilgili kişinin bu şikâyetiyle ilgili olarak Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

“Bankanın avukatı tarafından borçlu yakını olan ilgili kişiye haciz ihbarnamesi gönderilmesi suretiyle kişisel verilerinin işlenmesi hakkında” Kişisel Verileri Koruma Kurulunun 21/10/2021 tarihli ve 2021/1069 sayılı Karar Özeti

Borçlu yakını olarak bir Banka avukatınca kendisine İcra İflas Kanunu’nu m. 89/1. fıkrası kapsamında gönderilen haciz ihbarnamesi ile kişisel verilerinin açık rızası alınmaksızın ihbarnamede yer alan üçüncü kişilerle paylaşıldığını tespit ettiği, hem Banka hem de Banka avukatına başvurulduğu belirtilmiştir. Banka’nın cevabi yazısında alacağını tahsil etmek amacıyla KVKK m. 4’te yer alan işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine uygun olarak yasal takip ve diğer hukuki işlemler için kişisel verileri işlediği, KVKK m. 5/2/a-c ve ç bentlerine dayanıldığı belirtilmekle birlikte haciz ihbarnamesinin İcra Müdürlüğü tarafından bizzat düzenlendiği ve gönderildiği, bankanın sözleşmeli avukatının ihbarnameye müdahale imkânı olmadığı vurgulanmıştır. Avukat’ın cevabi yazısında ise müvekkilinin alacağının tahsili amacıyla borçlunun hak ve alacaklarının haczi için yapılan rutin işlemler arasında yer alan üçüncü kişilere haciz ihbarnamesi gönderilmesinin İcra Müdürlüğü’nden talep edildiği, üçüncü kişiler hakkında başka bir işlem yapılmadığı ifade edilmiştir.

Bankanın somut olayda veri sorumlusu olmaması nedeniyle KVKK kapsamında hakkında yapılacak bir işlem olmadığına, avukat tarafından vekili olduğu bankanın alacağını tahsil etmek amacı ile yürütmekle yükümlü olduğu işlemlerin tesisi için üçüncü kişilere İİK m. 89/1. fıkrası kapsamında haciz ihbarnamesi gönderilmesi amacıyla ilgili kişinin adı, soyadı, kimlik numarası ve adres bilgisinin işlenmesi KVKK m. 5/2/e bendinde yer alan “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması hükmü” kapsamında uygun olduğu değerlendirildiğinden şikâyet ile ilgili olarak veri sorumlusu Avukat hakkında da KVKK kapsamında tesis edilecek bir işlem olmadığına karar verilmiştir.

“Banka tarafından ilgili kişinin cep telefonu numarasına SMS gönderilmesi suretiyle kişisel verilerinin hukuka aykırı olarak işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 02/11/2021 tarihli ve 2021/1104 sayılı Karar Özeti

Verilerinin silinmesi için veri sorumlusu Bankadan talepte bulunan ilgili kişi, Bankadan SMS ve e-posta ile bilgilendirme mesajları gönderilmeye devam edildiğini ve bu hususta Bankaya başvurulduğunu ifade etmektedir. Banka tarafından iletilen cevabi yazıda bankaların müşterilerine ait her türlü bilgi ve belgeyi on yıl süreyle saklamakla yükümlüğü olduğu, on yıllık saklama süresinin son işlem tarihi olan hesap ve ürünlerin kapanma tarihinden itibaren başladığı, 10 yıllık saklama süresinin henüz dolmadığı dikkate alınarak ilgili kişinin kişisel verilerinin silinmesi talebine olumlu yanıt verilemediği ancak kişisel verilerin ikincil amaçlarla işlenmemesi adına Banka nezdinde gerekli adımların atıldığı; Bankanın hukuken bilgi verme yükümlülüğünün bulunduğu durumlarda önceden onay alma zorunluluğunun bulunmadığı ve ilgili kişinin reddetme hakkını kullanmış olmasının hizmet sağlayıcı olarak Banka’nın tabi olduğu ilgili mevzuat hükümlerine göre alıcı sıfatını taşıyan kişilere gönderilmesi zorunlu olan bildirimlerin yapılmasına engel teşkil etmediği belirtilmiştir.

SMS göndermek suretiyle ilgili kişinin kişisel verilerini işlemesi sebebiyle 50.000 TL idari para cezası uygulanmasına karar verilmiş olup 10 yıllık sürenin dolmaması sebebiyle silme talebinin veri sorumlusu tarafından yerine getirilmemesinin hukuka aykırı olmadığı kanısına varılmıştır.

“İlgili kişinin kredi notunun Banka tarafından düzeltilmemesi ve kişisel verilerinin üçüncü kişilerle paylaşılması” hakkında Kişisel Verileri Koruma Kurulunun 02/11/2021 tarihli ve 2021/1107 sayılı Karar Özeti

İlgili kişi tarafından bireysel kredi kartı ödemesi geciktirilmediği hâlde veri sorumlusu Banka tarafından kanuni takip başlatıldığı ve defalarca ilgili kişinin kredi notunu etkileyen hukuksuz işlemler yapıldığı, ilgili kişinin kredi notunun düşürüldüğü, yapılan itiraz üzerine Banka tarafından bu işlemin düzeltildiği ve kredi notunun yüksek düzeye yeniden çekildiği fakat bu işlemin takip eden aylarda Banka tarafından birkaç kez daha tekrarlandığı ve her seferinde ilgili kişinin ısrarlı tepkileri sonucunda düzeltildiği, finans bilgilerinin gerçeğe aykırı olarak hukuksuz bir biçimde paylaşıldığı, ilgili kişi ile hiçbir finans kurumu arasında kredi, bireysel kart vb. gibi işlemlerin yapılamadığı, ilgili kişinin itibarının zedelendiği ve Bankaya yapılan başvurulara yanıt verilmediği belirtilerek veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Veri sorumlusunun, 5411 sayılı Kanun uyarınca Risk Merkezine üye olma zorunluluğunun bulunduğu ve Risk Merkezine müşterilerine ait kredi bilgisi, kredi riski vb. bilgileri bildirmesi gerektiği, ilgili kişiye ait finans verilerinin veri sorumlusu tarafından Risk Merkezine bildirilmesinin KVKK m. 8 anlamında aktarım anlamına gelmekte olduğu ve söz konusu aktarım faaliyetinin KVKK m. 5’te yer alan işleme şartlarından birine dayanması gerektiği, KVKK m. 5/2/a-ç bentleri kapsamına girdiği ancak KVKK m. 4 uyarınca kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması noktasında aktif özen yükümlülüğünün; veri sorumlusu eğer bu verilere dayalı olarak ilgili kişiyle alakalı bir sonuç ortaya koyuyor ise geçerli olduğu belirtilmiştir. İlgili kişinin farklı zamanlarda veri sorumlusu ile e-posta yoluyla iletişime geçerek Risk Merkezine yanlış aktarılan finans verilerinin düzeltilmesini tekraren talep ettiği görülmüştür. Bu hususlar göz önünde bulundurulduğunda KVKK m. 4’e aykırılık sonucu Kurul 150.000 TL idari para cezası uygulanmasına karar vermiştir.

“Veri sorumlusunun icra takibi başlattığı müşterilerinin kişisel verilerini herkesin erişimine açık bir internet sitesinde yayımlaması” hakkında Kişisel Verileri Koruma Kurulunun 02/11/2021 tarih ve 2021/1110 sayılı Karar Özeti

Bir holding bünyesinde faaliyet gösteren veri sorumlusu şirket tarafından icra takibi başlatılan müşterilerinin T.C. kimlik numarası, telefon numarası, araç plakası ve adres bilgisinin bir internet adresinde paylaşıldığı, bu işlemi yaparken amaçlarının internet adresini verdikleri şahısların burada yazan yakalama kararı olan araçları bulmaları halinde 155 ihbarı yaparak bu araçların yakalatılmasının ve trafikten menedilmesinin sağlanması olduğu ifade edilmiştir. Veri sorumlusunun cevabi yazısında şirketlerinin taksitle ve peşin olmak üzere ikinci el araç satışı yaptığı, ödemeler yapılmadığı takdirde şirketlerince hukuki yollara başvurularak icra takibi başlatıldığı ve üçüncü kişilere herhangi bir aktarımda bulunulmadığı; internet adresi incelendiğinde böyle bir adresin sunucularında mevcut olmadığı ve internet adresinde ilgili kişinin iddialarını ispat edici bir içeriğin mevcut olmaması sebebiyle başvurunun reddinin gerektiği belirtilmiştir.

İhbar dilekçesinin Kurula CİMER üzerinden intikal ettiği, KVKK m. 15/1. hükmünce Kurulun şikayet veya ihbar olmasa dahi görev alanına giren konularda resen inceleme başlatmasının mümkün olduğu, incelemeye konu internet adresinin veri sorumlusuna Kurum tarafından bilgi ve belge talebi gönderilmesinden önce incelenmesi neticesinde, internet adresinde ilgili kişilerin isimleri, T.C. kimlik numaraları, adresleri, yakalama kararı çıkartılan araçların plakaları ve modelleri ile icra dosyalarının hangi hukuk bürosu tarafından takip edildiği bilgilerinin yer aldığının tespit edildiği, Kurum talebinin veri sorumlusuna tebliğinden sonra internet adresine ulaşılmaya çalışıldığında siteye ulaşılamadığı uyarısı alındığı değerlendirmelerinden hareketle, internet adresinde yer alan kişisel verilerin KVKK m. 5 kapsamında herhangi bir veri işleme şartına dayanmadığı kanaatine varıldığından, kişisel verilerin çokluğu ve önemi ile bu verilerin internet ortamında ifşa edilmesi dolayısıyla hukuka aykırı veri işleme faaliyetinin arz ettiği güvenlik riskinin yoğunluğu da dikkate alınarak 200.000 TL idari para cezası uygulanmasına karar verilmiştir.

“İlgili kişinin ceza mahkûmiyeti bilgisinin avukat olan veri sorumlusu tarafından hukuka aykırı olarak elde edilmesi ve mahkeme dosyasına sunulması” hakkında Kişisel Verileri Koruma Kurulunun 02/11/2021 tarihli ve 2021/1111 sayılı Karar Özeti

İşçilik alacakları davası kapsamında ilgili kişinin davalı tanığı olarak bilgi ve görgüsüne başvurulduğu sırada veri sorumlusu avukat tarafından ceza mahkumiyeti bilgisi sunularak tanıklığına riayet edilmemesi gerektiği belirtilmiştir. Veri sorumlusu avukat tarafından verilen cevabi yazıda, ilgili kişinin tanıklığının davanın gidişatına etki edecek nitelikte olduğu, adli sicil verilerinin her avukat tarafından ilgili kişinin T.C. kimlik numarası aracılığıyla öğrenilebilecek bir husus olduğu, adli sicil verilerinin taraflarınca hukuka aykırı şekilde elde edilmediği, aksine vekil olmaları dolayısıyla taraflarına açık olan bilgiler eşiğinde yine bir yargı organı vasıtasıyla elde edildiği, kaldı ki kişilerin adli sicil kayıtlarının UYAP vasıtasıyla hâkimler ve savcılar tarafından zaten ulaşılabilir veriler olduğu, dolayısıyla taraflarının mahkemeye bu bilgileri sunmasının KVKK’ya aykırılık teşkil etmeyeceği belirtilmiş olup Avukatlık Kanunu m. 2’ye atıfta bulunulmuştur.

Avukatlık Kanunu’nun 2. maddesinde yer alan düzenlemenin Adlî Sicil Kanunu’nun 7. maddesinde mevcut olan “özel hüküm” karşısında bir “genel hüküm” niteliği taşıdığının açık olduğu ve avukatlara ilgili kişilerin adli sicil kaydı bilgilerine resen erişim yetkisi vermediği, dolayısıyla ilgili kişiye ait adli sicil bilgilerinin veri sorumlusu tarafından hukuka aykırı olarak elde edildiği, bu sebeple de veri sorumlusu tarafından ilgili kişi hakkında yürütülen kişisel veri işleme faaliyetinin hukuka aykırı olduğu sonucuna ulaşıldığı, özel nitelikli kişisel veri niteliğindeki adli sicil bilgilerinin en başta hukuka aykırı olarak elde edilmiş olmasının veri sorumlusunun tüm işleme faaliyetlerini başlangıçtan itibaren hukuka aykırı hale getirdiği, zira hukuka uygun olmayan bir şeyin üzerine meşru bir şeyin bina edilemeyeceği konusunda herhangi bir şüphenin bulunmadığı değerlendirmelerinden hareketle veri sorumlusu hakkında 75.000 TL idari para cezası uygulanmasına, ilgili kişinin veri sorumlusu nezdinde tutulan ve hukuka aykırı işleme amacıyla bağlantılı kişisel verilerinin silinmesine ve ilgili kişinin TCK kapsamında suç duyurusunda bulunabileceğinin hatırlatılmasına karar verilmiştir.

“Veri sorumlusu Üniversitenin ilgili kişinin kişisel verilerini içeren belgeleri internet sitesinde yayımlaması” hakkında Kişisel Verileri Koruma Kurulunun 04/11/2021 tarihli ve 2021/1127 sayılı Karar Özeti

TÜBİTAK Başkanlığı tarafından kişisel veri ihtiva eden 40 sayfalık yazının YÖK Başkanlığına bilgi amaçlı gönderildiği, sonrasında ilgili yazının YÖK Başkanlığı Hukuk Müşavirliği tarafından üst yazı ile üniversitelere bilgi amaçlı gönderildiği, “GİZLİ” ibareli söz konusu yazı ve belgelerin veri sorumlusu Üniversite tarafından tüm Üniversite çalışanlarına akademik ya da akademik olmayan ilgili ya da ilgisiz tüm personele e-posta yoluyla gönderildiği, belgelerin veri sorumlusu Üniversite Rektörlüğü tarafından internet sitesinde yayımlandığı, ilgili kişinin konuya ilişkin yaptığı başvuruya istinaden veri sorumlusunun verdiği cevapta bu durumun sehven yapıldığının ifade edildiği belirtilerek dava süreci devam eden konuyla ilgili belgelerin ilgisiz üçüncü kişilerle hem e-posta hem internet sitesi aracılığıyla paylaşılması sebebiyle KVKK kapsamında veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Akademik teşvik, atama ve yükseltmelere etki edecek nitelikte belgede yer alan ilgili kişiye ilişkin kişisel verilerin fakülte dekanları ile Kurumun EBYS sistemi aracılığıyla paylaşılmasının KVKK m. 5/2/ç-e bentleri çerçevesinde hukuka uygun olduğu değerlendirildiğinden KVKK kapsamında yapılacak işlem olmadığına, belgede yer alan ilgili kişiye ait kişisel verilerin akademik çalışmalar için kullanılan Üniversiteye ait internet sayfasında yayımlanmak suretiyle KVKK m. 5/2/e bendine uygun olarak kullanımı yasaklanan söz konusu dergilerin çalışmalarda esas alınmaması adına veri sorumlusu Üniversitenin yüksek lisans ve doktora öğrencileri ile akademik personele bilgi vermesi gerekliliğinin KVKK’ya uygun olduğu değerlendirilmekle birlikte veri sorumlusu tarafından bilgilendirme amacını aşacak nitelikte belgede yer alan kişisel verilerin tamamının Üniversiteye ait internet sitesinde paylaşılmasının m. 4/2/ç bendi gereğince işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkelerine aykırılık teşkil ettiği ve sorumlular hakkında m. 18/3. fıkrası çerçevesinde işlem yapılması ve işlemin sonucu hakkında Kurula bilgi verilmesine karar verilmiştir.

“Tıbbi ürünler satan veri sorumlusu tarafından ilgili kişiye reklam içerikli SMS gönderilmesi suretiyle kişisel verilerinin işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 11/11/2021 tarihli ve 2021/1153 sayılı Karar Özeti

Cep telefonu numarasına tıbbi ürünler satan bir veri sorumlusundan reklam içerikli ticari elektronik ileti gönderildiği, kişisel verilerinin işlenmesine ilişkin açık rızasının bulunmadığını beyan ederek kişisel verilerinin nasıl elde edildiği hakkında bilgi ve kişisel verilerinin silinmesi talepli dilekçe ile veri sorumlusuna başvuruda bulunduğu, iletilen cevapta ilgili kişinin telefon numarası dışında herhangi bir verisinin kendilerinde bulunmadığının, cep telefonu numarasının veri sorumlusu bünyesinde kayıtlı başka bir hastanın iletişim bilgisi olarak verdiği numara olduğunun, bu hastanın reklam ve tanıtım mesajları alma konusunda onayının bulunduğunun ve sehven ilgili kişinin numarasını vermiş olabileceğinin düşünüldüğünün belirtildiği; ancak veri sorumlusunca verilen bu cevabın yetersiz olduğu ve onay mekanizmasını doğrulama olmaksızın gerçekleştirmesi nedeniyle veri sorumlusunun söz konusu olayda ihmalinin bulunduğu ifade edilerek gereğinin yapılması talep edilmiştir.

İlgili kişiye ticari elektronik ileti gönderilmesi suretiyle kişisel verilerinin hukuka aykırı olarak işlenmesi hususuna ilişkin olarak; söz konusu cep telefonu numarasının veri sorumlusu kayıtlarında kendisi ile ilişkilendirmiş bir veri olarak işlenmediği, bir müşteri tarafından sehven hatalı numaranın bildirilmesi sonucu şikâyete konu olayın vuku bulduğu ve bu hususların veri sorumlusu tarafından belgeleri ile tevsik edilebildiği kanaatine varılmış olup veri sorumlusu hakkında KVKK kapsamında tesis edilecek herhangi bir işlem bulunmadığına, Kanun’un kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesini düzenleyen 7. maddesi ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi Hakkında Yönetmeliğe uygun bir biçimde ilgili kişinin kişisel verilerinin imha edilmesi ve bu hususta Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına karar verilmiştir.

GRC Legal olarak somut olayın ticari elektronik ileti gönderimine ilişkin alenileştirilen iletişim adreslerinin veri sorumluları tarafından alenileştirilen kişiye ait olup olmadığı sorgusunun yapılması hususuna güzel bir örnek teşkil ettiği kanaatindeyiz.

“Veri sorumlusu işveren tarafından eski çalışanı olan ilgili kişinin kurumsal e-posta hesabına aydınlatma yapılmaksızın erişilmesi” hakkında Kişisel Verileri Koruma Kurulunun 25/11/2021 tarihli ve 2021/1187 sayılı Karar Özeti

Veri sorumlusu şirketin eski çalışanı olduğu, ilgili kişi ile veri sorumlusunun karşılıklı taraf oldukları dava dosyalarına sunulan delil listeleri içeriğinde, ilgili kişiye ait kişisel veri niteliğinde olan ilgili kişinin nişanlısı ile e-posta üzerinden yapmış olduğu konuşma içeriklerine, şahsi banka hesap dökümlerine ve yaptığı harcama kayıtlarına erişim sağlandığının görüldüğü, veri sorumlusu tarafından, şirket çalışanlarına verilen e-posta adreslerinin sadece iş dolayısıyla kullanılması gerektiğini bildiren herhangi bir açıklama veya bildirim yapılmamış olduğu, kullanılan platformlar neticesinde KVKK m. 9 uyarınca yurtdışı aktarımı gerçekleştirdiği ancak usulüne uygun yürütülmediği ve KVKK 11. maddesine ilişkin talepte bulunulmasına rağmen kişisel verilerinin silinmediği belirtilmiştir.

Kurumsal e-posta hesaplarının sadece işin ifası amacı ile kullanılacağının açık olduğu, bu nedenle bilişim alanında uzman olarak çalışan bir personelin bu gerekliliğin bilincinde olması gerektiği, bu hususta ilgili kişiye ilave denetim kriterlerinin uygulanmasının hayatın olağan akışına aykırı olacağı ve ilgili kişinin kurumsal e-posta hesabını kullanmaması yönünde uyarılmasına ihtiyaç bulunmadığı, işverenin yönetim yetkisi kapsamında kural olarak işçinin kullanımına sunduğu iletişim araçlarını denetleyebileceği ve kullanıma ilişkin sınırlamalar öngörebileceği, ilgili kişinin işten ayrıldığı sırada on iki yıllık ticari bilgi ihtiva eden e-posta adresini tamamen sildiği ve bu bilgilere ulaşabilmek için e-posta adresi geri getirildiğinde ilgili kişinin sadakat yükümlülüğüne tamamen aykırı olarak haksız kazanç elde ettiği hususunun açık ve net şekilde tespit edildiği belirtilmiştir.

Konuyla ilgili Kurul karar verirken birden fazla Anayasa Mahkemesi Kararına ve İnsan Hakları Mahkemesi Kararına atıf yapmış olup işverenin iletişim izleyebilmesi için rehber olacak kriterlerden bahsedilmiştir. Bu kriterler çerçevesinde değerlendirilerek verilen karar neticesinde aydınlatmada bulunmayan veri sorumlusuna 250.000 TL idari para cezası uygulanmasına hükmedilmiştir.

“Bir üniversite tarafından verilen eğitimde, eğitim alan kişilerin kişisel verilerini içeren yoklama listesinin diğer katılımcılar tarafından görülebilir şekilde düzenlenmesi hakkında” Kişisel Verileri Koruma Kurulunun 02/12/2021 tarihli ve 2021/1214 sayılı Karar Özeti

Bakanlık tarafından ilgili kişinin başvurusuna 30 günlük süreden sonra yanıt verildiği anlaşıldığından başvurulara yanıt verilirken 30 günlük sürenin gözetilmesi yönünde hatırlatmada bulunulmasına, veri sorumlusu Üniversite tarafından devam takibine yönelik hukuki yükümlülük yerine getirilirken kullanılan devam takip çizelgesinde kişilerin ad ve soyadı dışında kişiyi belirleyici başka bir veriye yer verilmesinin gerekmesi halinde; ilgili verinin maskelenmesi, devam takip çizelgesinin tekrar gözden geçirilerek uygulamaya geçirilmesi yönünde veri sorumlusu Üniversitenin talimatlandırılmasına, ilgili eğitimi veren başka kuruluşların bulunduğu ve benzer uygulamaların olabileceği hususları dikkate alındığında, eğitimi veren diğer eğitim kuruluşlarına da bilgi verilmesi yönünde Bakanlığa bilgilendirmede bulunulmasına, veri sorumlusu Üniversiteye eğitim verilirken kursiyerlere ait kişisel verilerin işlenmesi sürecinde “Veri sorumlusunun aydınlatma yükümlülüğü” başlıklı KVKK 10. maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’de yer verilen hükümlere uygun olacak şekilde bir uygulama geliştirmesi yönünde talimat verilmesine karar verilmiştir.

“İlgili kişi anne ve ilgili kişi sıfatını haiz çocuğunun fotoğrafları da kullanılmak suretiyle ilgili kişi hakkında gerçek dışı, şeref ve haysiyet kırıcı bir televizyon haberi yapıldığı iddiası” hakkında Kişisel Verileri Koruma Kurulunun 02/12/2021 tarihli ve 2021/1217 sayılı Karar Özeti

Ana Haber programında, ilgili kişinin ve çocuğunun fotoğrafları kullanılarak ilgili kişinin ilk evliliğinden bir oğlunun ve bir kızının olduğu, altı yıldır da başkası ile evli olduğu ve ilk evliliğinden olan oğlunun ilgili kişiyi bıçakladığı, bıçak darbelerinden birinin ilgili kişinin kalbine geldiği, ilgili kişinin yaşam savaşı verdiği, cani evladın ise tutuklandığı ifadelerini içeren yayının yapıldığı, ilgili kişinin habere konu olay ile ilgisi olmadığı ilgili kişinin Facebook sayfasından alınan fotoğrafın amacı dışında kullanılmasının ve yayılmasının hukuka açıkça aykırı olduğu, medya şirketine yapılan başvuruya rağmen otuz günlük yasal süre içerisinde hukuka aykırılığın giderilmediği, başvuruculara da bilgi verilmediği belirtilmiştir.

İlgili kişinin isim ve soy isim bilgisinin haber içeriğinde zikredilmesi ve bu isim-soy isim bilgileri kullanılarak fotoğrafların açık kaynaklardan teyit edilebilmesinin mümkün olması sebepleriyle, yapılan haberin biçimi ile özü arasında makul bir dengenin bulunmadığının, diğer bir ifadeyle haberin ölçüsüz olduğunun kabul edilmesi gerektiği, ayrıca haberin biçimi açısından anılan fotoğrafların blurlanmış/buzlanmış şekilde de olsa ekrana yansıtılmasının gerekli olmadığının da savunulabileceği, veri sorumlusu tarafından ilgili kişi ile çocuğuna ait bilgiler ve fotoğraf da kullanılarak yapılan haberin KVKK m. 28/1/c bendi uyarınca KVKK hükümlerinden istisna tutulamayacağı değerlendirmelerinden hareketle; kişisel verilerin veri sorumlusunca herhangi bir işleme şartına dayanmadan işlendiği kanaatine varıldığından 300.000 TL idari para cezası uygulanmasına karar verilmiştir.

“Veri sorumlusu işveren tarafından eski çalışanı olan ilgili kişinin kurumsal e-posta hesabına aydınlatma yapılmaksızın erişilmesi” hakkında Kişisel Verileri Koruma Kurulunun 25/11/2021 tarihli ve 2021/1187 sayılı Karar Özeti

İlgili kişi tarafından yapılan şikâyet “veri sorumlusunun aralarındaki iş sözleşmesinin devamı sırasında ilgili kişiye karşı KVKK 10. maddesinden kaynaklanan aydınlatma yükümlülüğünü yerine getirmediği”, “veri sorumlusu ile olan iş sözleşmesinin eylemli fesih yoluyla sona erdirilmesinden sonra ilgili kişiye ait fotoğraf ve sair kişisel verilerin veri sorumlusunun internet sitesinde tutulmasına devam edildiği, söz konusu verilerin bu sitede tutulmasının ilgili kişinin açık rızasına bağlı olduğu ama konuya ilişkin olarak ilgili kişinin açık rızasının alınmadığı ve bu durumun da hukuka aykırı kişisel veri işleme faaliyeti teşkil ettiği” ve “ilgili kişinin KVKK 13. maddesi uyarınca yaptığı başvuruya veri sorumlusu tarafından yeterli bir şekilde cevap verilmediği” yönündeki üç iddia üzerine yoğunlaşmış olup, inceleme konusu şikâyet ilgili kişinin iddialarının yoğunlaştığı üç başlık altında değerlendirilmiştir. İlgili kişiye GDPR yükümlülükleri kapsamında bir bilgilendirme yapılmış olmakla birlikte Türkiye’de işlediği kişisel veriler bakımından KVKK 10. maddesine uygun olarak aydınlatma yükümlülüğünü yerine getirmesi konusunda özen gösterilmesi hususunda veri sorumlusuna hatırlatmada bulunulmasına, veri sorumlusu ile arasındaki iş ilişkisinden kaynaklanan uyuşmazlıkların çözümü için adli makamlar nezdinde girişimde bulunması gerektiği hususunda ilgili kişinin bilgilendirilmesine, ilgili kişiler tarafından kendisine KVKK m. 11 ve 13 ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 5. maddesine istinaden yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırması hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.

“Veri sorumlusu Banka tarafından ilgili kişinin ailesinin telefonları üzerinden arama gerçekleştirilmesi suretiyle kişisel verilerinin paylaşılması” hakkında Kişisel Verileri Koruma Kurulunun 09/12/2021 tarihli ve 2021/1239 sayılı Karar Özeti

Veri sorumlusu tarafından, oluşan riskten dolayı yapılan borçlu takibinin Risk Merkezi sisteminde kayıtlı telefon numarasına yönelik yapıldığı, eldeki mevcut bilgi ve belgelerden veri sorumlusu tarafından kişisel veri paylaşıldığına yönelik bir tespitte bulunulamadığı ve ilgili kişinin talebi üzerine aramalara ilişkin kısa sürede gerekli aksiyonun alındığı dikkate alındığında veri sorumlusu hakkında KVKK kapsamında yapılacak bir işlem olmadığına, telefon aramalarında kişisel verilerin korunması yönünden daha dikkatli olunması ve personelin bu konuda bilgilendirilmesi hususunun veri sorumlusuna hatırlatılmasına karar verilmiştir.

“İlgili kişinin kişisel verisi niteliğindeki e-posta adresinin bir insan kaynakları firması tarafından reklam ve pazarlama amaçlı e-posta gönderilmesi amacıyla işlenmesi hakkında” Kişisel Verileri Koruma Kurulunun 09/12/2021 tarihli ve 2021/1243 sayılı Karar Özeti

Veri sorumlusu tarafından ilgili kişiye ait e-posta adres bilgisinin ekonomik faaliyetleri çerçevesinde anket ve tanıtım işleri kapsamında edinildiği ve KVKK m. 5/2/d bendi çerçevesinde işlendiğinin ifade edildiği, ancak ilgili kişinin hangi yöntemle ve hangi platformda veya mecrada e-posta adres bilgisini alenileştirme iradesinde bulunduğuna ilişkin veri sorumlusu tarafından herhangi bir açıklamaya, anket ve tanıtım işleri çerçevesinden nasıl elde edildiğine ilişkin olarak kanıtlayıcı nitelikte herhangi bir belgeye yazı ekinde yer verilmediği, veri sorumlusunun ilgili kişinin kişisel verilerinin nasıl elde edildiği ve hangi işleme şartı kapsamında işlendiğine ilişkin açıklamalarının hukuki dayanaktan yoksun olduğu, KVKK 5. maddesi çerçevesinde herhangi bir hukuki işleme şartı bulunmaksızın veri işleme faaliyetinde bulunduğu, ilgili kişinin kişisel verilerinin silinmesi talebini de ilettiğinin anlaşıldığı değerlendirmelerinden hareketle; veri sorumlusu tarafından “kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğüne aykırı davranıldığı anlaşıldığından veri sorumlusu hakkında 50.000 TL idari para cezası uygulanmasına, ilgili kişinin kişisel verilerini imha ederek imha işlemine ilişkin log kayıtlarının da Kurum’a iletilmesi suretiyle Kurul’a bilgi vermesi yönünde talimatlandırılmasına karar verilmiştir.

“E-ticaret sektöründe faaliyet gösteren veri sorumlusu şirket tarafından internet sitesinde/mobil uygulamalarında kullanılan çerezler aracılığıyla hukuka aykırı olarak kişisel veri işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 10/03/2022 tarih ve 2022/229 sayılı Karar Özeti

Veri sorumlusunun internet sitesine girildiği anda sayfanın sol alt köşesinde çıkan bir pop-up ile açıklamalar barındıran kutucuk ile bilgi verildiği, kesinlikle gerekli olmayan çerezler bakımından ilgili kişilerin açık rızasına başvurulduğuna ilişkin herhangi bir emareye rastlanmadığı, ziyaret eden kullanıcılardan internet sitesine/mobil uygulamaya giriş anında ilgili kişilerin iradi aktif hareketiyle söz konusu çerezlerin çalışmasına onay vermesini, dolayısıyla varsayılan ayar olarak çerezlerin çalışmamasını öngören “opt-in” mekanizmasına göre açık rıza alması gerektiği, Çerez Politikasına yönlendirebilecek bir bağlantı eklenmesinin çerezler konusunda aydınlatmanın daha kolay erişilebilir olması adına önem arz ettiği, bu nedenle söz konusu metne çerezlere direkt olarak yönlendirme yapılacak bağlantının eklenmesi yönünde güncelleme yapılması gerektiği, değerlendirmelerinden hareketle; KVKK 5 ve 6. maddesinde yer alan şartlarından herhangi birine dayanılmaksızın işleme faaliyeti gerçekleştirildiği, 9. maddesinde yer alan aktarım usullerinden herhangi birine dayanılmaksızın kişisel veri aktarıldığı ve bu hususların m. 12/1. fıkrası hükmüne aykırılık teşkil ettiğinden Kurul tarafından veri sorumlusu hakkında 800.000 TL idari para cezası uygulanmasına hükmedilmiştir.

Zorunlu olmayan çerezlerin çalıştırılmasında açık rıza dışında bir veri işleme şartı bulunmuyorsa kullanıcılardan internet sitesine/mobil uygulamaya giriş anında ilgili kişilerin iradi aktif hareketiyle söz konusu çerezlerin çalışmasına onay verilmesinin sağlanması ve dolayısıyla varsayılan ayar olarak çerezlerin çalışmamasını öngören “opt-in” mekanizmasına göre açık rıza alınması hususunda talimatlandırılmasına ve 30 gün içinde sonuçlandırılmasına karar verilmiştir.