KİŞİSEL VERİLERİN KORUNMASI HUKUKU

Kişisel Verilerin Korunması Kanunu ve ikincil mevzuatı yürürlük tarihinden bugüne güncellemesi sık yaşanan ve yaşayan bir hukuktur. Yalnızca Kanun, Yönetmelik ve Tebliğ ile değil, Kurul Kararları, İlke Kararları ve Kurul Karar Özetleri ile de veri koruma alanıyla ilgili birçok usul ve esas belirlenmektedir. Dolayısıyla aylık bültenlerimiz, Kişisel Verileri Koruma Kurulu uygulamalarından ilgililerini haberdar etmeyi ve güncelliği sağlamayı amaçlamaktadır.

2023 Mayıs ayında Kurul tarafından iki adet veri ihlal bildirimi yayımlanmış olup veri ihlal bildiriminde bulunan şirketler arasında sektör lideri konumunda bulunan şirketler yer almaktadır.

Mayıs 2023 sayımızda, veri ihlal bildirimlerine ek olarak Avrupa Birliği Genel Veri Koruma Tüzüğü’nün (General Data Protection Regulation, “GDPR”) üst limitini yükseltmesine ilişkin kararı ile birlikte Kurul tarafından 24 Nisan 2023 tarihinde yayımlanmış olan Kurul karar özetlerinden 4 tanesinin incelemesine yer verilmektedir.

AVRUPALI VERİ KORUMA OTORİTESİNDEN META’YA TARİHİ CEZA

GDPR kapsamında gelmiş geçmiş en yüksek idari para cezası İrlanda Veri Koruma Otoritesi’nin 3 yıldır beklenen kararı ile 2023 Mayıs ayında META Ireland’a uygulandı. META için verilen 1,2 milyar avroluk ceza, herhangi bir şirketin GDPR’ı ihlal ettiği için şimdiye kadar çarptırıldığı en yüksek para cezası olurken, bir önceki en büyük para cezası, 2021’de GDPR’ı ihlal ettiği için e-ticaret devi Amazon’a verilen 746 milyon avroluk cezaydı.

Kararda, Meta’nın, Avrupa Birliği Adalet Divanı’nın (“ABAD”) Veri Koruma Komiseri v Facebook Ireland Limited ve Maximillian Schrems davasında verdiği kararın ardından kişisel verileri Avrupa Birliği/Avrupa Ekonomik Alanı’ndan ABD’ye aktarmaya devam ederek GDPR’ın madde 46/1 hükmünü ihlal ettiği ifade edilmiştir.

META’nın söz konusu iddialara ilişkin savunmaları neticesinde veri sahiplerinin temel hak ve özgürlüklerine ilişkin risklere cevap vermediği sonucuna ulaşılması sebebiyle META’ya 1.2 milyar avro tutarında idari para cezası uygulanmasına, META’nın beş aylık süre içerisinde kişisel verilerin ABD’ye aktarılmasını askıya almasına, GDPR’a aykırı olarak aktarılan AB/AEA kullanıcılarına ait kişisel verilerin ABD’de depolanması da dahil olmak üzere hukuka aykırı olarak işlenmesini kararın tebliğinden itibaren altı ay içerisinde durdurarak işleme faaliyetlerini GDPR’a uygun hale getirilmesine karar verilmiştir.

VERİ İHLAL BİLDİRİMLERİ

“Veri güvenliğine ilişkin yükümlülükler” başlıklı KVKK m. 12/5. “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

2023 Mayıs ayında Kişisel Verileri Koruma Kurumu internet sitesi olan www.kvkk.gov.tr alan adlı sitede iki adet veri ihlal bildirimi yayınlanmıştır.

Trabzonspor Sportif Yatırım ve Futbol İşletmeciliği Ticaret A.Ş.

Veri sorumlusu sıfatını haiz Trabzonspor Sportif Yatırım ve Futbol İşletmeciliği Ticaret A.Ş. tarafından Kurula iletilen veri ihlal bildiriminde özetle:

Veri sorumlusunun sunucularının uğradığı siber saldırı neticesinde şifrelendiği, ihlalin 19.05.2023 tarihinde gerçekleştiği ve aynı gün tespit edildiği, siber saldırıdan ayrıca Trabzonspor Ticari Ürünler ve Turizm İşletmeciliği Ticaret A.Ş, Trabzonspor Futbol İşletmeciliği Ticaret A.Ş., Trabzonspor Telekomünikasyon Danışmanlık ve Servis Hizmetleri Ticaret A.Ş, Bordo Mavi Futbol Yatırımlar Ticaret A.Ş., Trabzonspor Kulübü Derneği, Trabzonspor Bordo Mavi Enerji Elektrik Üretim A.Ş.’nin de etkilendiği, şifrelenen sunucularda tutulan dosyalara erişim sağlanamadığı;  bu  sebeple  ihlalden  etkilenen  kişi  ve  kayıt  sayısının  tespit edilemediği, ihlalden etkilenen ilgili kişi gruplarının çalışanlar, kullanıcılar, öğrenciler ve müşteriler ve potansiyel müşteriler olduğu, İhlalden kimlik, iletişim, özlük, müşteri işlem, finans, mesleki deneyim, pazarlama, görsel ve işitsel kayıtlar ile diğer veri kategorilerinin etkilendiği ilgili kişilerin çağrı merkezi aracılığıyla veri ihlali hakkında bilgi alabileceği ifade edilmiştir.

Boyner Büyük Mağazacılık A.Ş.

Veri sorumlusu sıfatını haiz Boyner Büyük Mağazacılık Anonim Şirketi tarafından Kurula iletilen veri ihlal bildiriminde özetle:

Veri sorumlusunun, mevzuatın izin verdiği ve/veya gerektirdiği konularda bilgilendirmelerin yapılması ve ticari elektronik iletişim izni veren müşterilerine ticari elektronik ileti gönderilmesi amaçlarıyla toplu SMS ve MMS gönderimine yönelik mesajlaşma hizmetleri kullandığı; bu mesajlaşma hizmetinin veri işleyenin sahibi olduğu internet sitesi üzerinde oluşturulmuş SMS Gönderim Paneli vasıtasıyla  gerçekleştirildiği;  yapılan  kontrollerde,  SMS  Gönderim Paneli üzerinden sunulan hizmetlere erişmek için kullanılan hesaplardan bir tanesine ait kullanıcı adı ve şifresi kullanılarak SMS Gönderim Paneli’ne art arda ve çeşitli şüpheli girişler yapıldığının anlaşıldığı;   bu   girişlerde,   herhangi   bir   hatalı   şifre   denemesi bulunmadığı görüldüğünden sisteme erişen kişilerin doğru kullanıcı adı ve şifre kombinasyonu bilgisine sahip olduğunun düşünüldüğü; ancak bu kullanıcı adı ya da şifre bilgisine nasıl sahip olunduğunun henüz tespit edilemediğini bilgilerine yer verilmiştir.

İhlalin 28.04.2023 tarihinde başladığı ve 06.05.2023 tarihinde tespit edildiği ve ihlalden tahmini olarak 3.055.907 kişinin etkilendiği bilgilerine yer verildiği; SMS Gönderim Panelinde kayıtlı toplam 2.313.962 müşterinin iletişim (cep telefonu numarası) ve müşteri işlem verilerine (ilgili müşteriye hangi pazarlama SMS’lerinin gönderildiği ve bu SMS’lerin ilgili müşteriye ulaşıp ulaşmadığı bilgisi) erişildiğinin anlaşıldığı; ayrıca bu kişilerin içerisinden 534.605 kişiye, Media Markt Turkey Ticaret Ltd. Şti. tarafından işletilen “www.mediamarkt.com.tr” internet sitesini taklit eden sahte bir internet sitesinin linkini içeren SMS’lerin gönderildiğinin anlaşıldığı, bahse konu sahte internet sitesi aracılığıyla, kullanıcıların kimlik, iletişim ve finansal bilgilerini toplamanın yanısıra, banka hesabı olmaksızın para gönderip almayı ve para yükleyip çekebilmeyi sağlayan uygulamadaki bir hesaba para gönderilmesinin amaçlandığı, bununla birlikte SMS Gönderim Panelinde kayıtlı toplam 741.945 müşteriye ise, bu müşterilerin herhangi bir verisine erişim sağlanmaksızın, SMS Gönderim Paneli’nden daha önce gönderilmiş SMS’lerin içerikleri değiştirilerek yeniden SMS gönderildiği ifade edilmiştir.

GRC LEGAL Yorumu: BOYNER tarafından gerçekleştirilen pazarlama faaliyetleri kapsamında, kampanya ve indirimlerden yararlanabilmek için HOPİ uygulamasına üyelik sağlanması ile ilgili izinlerin alınmış olabileceği düşünüldüğünde, ihlale konu edilen kişilerin, özgür iradeleriyle ilgili izinleri vermiş olduklarına ilişkin soru işaretleri gündeme gelebilecek, özgür iradenin illüzyonu kavramı akıllara yeniden getirilebilecektir.

KURUL KARAR ÖZETLERİ

Veri dünyasının hızına yetişebilmek adına en önemli kaynak Kurul İlke Kararları ve idari yaptırımlara yönelik Karar Özetleri olmuştur. Mevzuat bu kararlar doğrultusunda fazlasıyla şekillenmiş, birçok usul ve esasın yanı sıra Avrupa Genel Veri Koruma Tüzüğü dünyasından aşina olunan sıfat ve tabirlere burada yer verilmiştir. KVKK 22. maddesinde Kurul’un görev ve yetkileri sayılmış olup Karar özetlerinin bağlayıcılığı bu hükme dayanmaktadır.

VERİ SORUMLUSU KENDİSİNE YAPILACAK İLGİLİ KİŞİ BAŞVURULARINI  ZORLAŞTIRMAMALI!

İlgili  kişilerin  (borçlu  ve  oğlu)  şikayetlerinde  özetle; borçlu hakkında başlatılan icra takibi ile ilgili olarak oğluna ait telefon numarasının veri sorumlusu avukat tarafından defalarca aranarak borca ilişkin bilgi verildiği, borçlunun hukuki işlem ve finansal bilgilerinin açık rızası olmaksızın üçüncü kişi konumundaki oğlu ile paylaşıldığı, öte yandan kendisi ile borç bilgisi paylaşılan borçlunun oğlunun ise telefon numarasının hukuka aykırı olarak elde edildiği ve kullanıldığı, konu ile ilgili olarak ilgili kişilerin veri sorumlusu avukata yaptıkları başvurunun veri sorumlusuna ulaşmasına rağmen cevaplandırılmadığı ifade edilerek, KVKK kapsamında gereğinin yapılması talep edilmiştir.

Veri sorumlusu; borçlu baba hakkında kesinleşen icra takibi neticesinde, hukuk bürosunda çalışan bir avukat tarafından belirlenen tarihte haciz ve muhafaza işlemlerinin gerçekleştirilmesi adına haciz mahalli olan adrese gidilerek burada hazır bulunan borçlu ile oğluna haciz memuru tarafından geliş sebebinin mahalde anlatıldığı, bu hususun haciz tutanakları ile de sabit olduğu, borçlunun oğlu tarafından “Ben borçlu şirketin yetkilisiyim, borçlu benim misafirim olarak geldi, borçlunun şirketle alâkası yoktur, haczedilen mallar şirkete aittir.” demek suretiyle istihkak iddiasında bulunduğu, haczedilen malların yediemin sıfatıyla kendisine bırakıldığı ve haciz tutanağının imzalandığı, bu suretle borçlunun oğlunun kişisel verilerinin haciz işleminin gerçekleştirildiği tarihte icra memuru tarafından işlendiği, iddia edilenin aksine borçlunun borcu hakkında oğluna bilgi verilmediği, iki tarafın da hâlihazırda konuyu bildiği, ilgili kişilerin veri sorumlusuna usulüne uygun başvuruda bulunmadıkları, borçlunun başvurusunda yer alan vekaletnamede kişisel verilerin korunması çerçevesinde veri sorumlusuna başvurulabilmesi için gerekli açık rızayı içeren özel bir hükmün bulunmadığı, borçlunun oğlunun başvurusunun ise başvuruda bulunan vekil ile vekaletnamede yer alan vekilin farklı olması nedeniyle usulsüz olduğu ifade edilmiştir.

Konuya ilişkin yapılan değerlendirme neticesinde, eldeki mevcut bilgi ve belgelerden veri sorumlusunun borçlunun oğlunun telefon numarasını hukuka aykırı işlediğinin tevsik edilemediği anlaşıldığından söz konusu iddia hakkında KVKK kapsamında yapılacak bir işlem olmadığına, veri sorumlusunun Kurul’a ilettiği belgelerden, borçlunun oğlunun da söz konusu borcun hacizle tahsili sırasında haciz mahallinde bulunduğu ve Haciz Tutanağını imzaladığı, dolayısıyla babasının borcu hakkında hâlihazırda bilgi sahibi olduğu, şikâyet konusu aramalara dair kayıtların ise anılan Haciz Tutanağının tanzim edildiği tarihin ertesi gününe ait olduğu, bu nedenlerle borçlunun “aynı zamanda da kişisel verisi olan, kendisinin borçlu olduğuna dair bilginin veri sorumlusu tarafından oğluna iletilmesi” şeklindeki şikâyetine ilişkin olarak KVKK kapsamında tesis edilebilecek bir işlem olmadığına, veri sorumlusunun kendisine vekilleri aracılığıyla başvuruda bulunan ilgili kişilerden yasal bir mecburiyet bulunmamasına karşın “kişisel verilere ilişkin özel yetki” talep ettiği, bu durumun ilgili kişilerin veri sorumlusuna başvuru yapmasını zorlaştırdığı dikkate alındığında veri sorumlusunun bu husus ile ilgili olarak uyarılmasına karar verilmiştir.

Pazarlama Amaçlı Broşür Dağıtımında Dikkat!

Kurul’a intikal eden dilekçede özetle; Pazarlama şirketine ait bir ürün için bir serbest girişimci tarafından 8 yaşındaki çocuğa (ilgili kişi) mektup yoluyla tanıtım amaçlı broşür gönderildiği, bunun üzerine, velisi tarafından mektupta telefon numarası bulunan gerçek kişiye telefonla ulaşılarak 8 yaşındaki kızının kişisel bilgilerine nereden ulaştığının sorulduğu, ancak yapılan bu görüşmede karşı tarafça kendisine bir bilgi verilmediği gibi kızının kişisel verileri ile ilgili herhangi bir işlemin yapılmadığı, bu çerçevede velisi tarafından çocuğun ev adresi ve ismi gibi kişisel verilerine nasıl ulaşıldığına ilişkin pazarlama şirketine başvuru yapıldığı, yapılan başvuru neticesinde yine herhangi bir bilgi verilmediği, velinin çocuğun kişisel verilerinin işlenmesine ilişkin herhangi bir rızası olmadığı ve ticari amaçla tanıtım yapmak amacıyla açık rıza olmaksızın çocuğun kişisel verilerinin işlendiği belirtilerek KVKK kapsamında gereğinin yapılması talep edilmiştir.

Pazarlama  şirketinden  alınan  cevabi  yazıda  özetle;  şirketin  sağlık  ve  güzellik ürünleri gibi ürünlerin satışını yapan bir doğrudan satış şirketi olduğu, satış yapan kişi ile şirket arasında şirket ürünlerini satın alma ve satma opsiyonu veren bir sözleşme ilişkisinin olduğu, satış yapan kişinin bağımsız bir iş sahibi/serbest girişimci olarak hareket ettiği ve şirketten bağımsız olduğu, şirket ürünlerini satmak isteyen kişilerin, şirkete başvuruda bulunarak serbest girişimci olabildiği ve yalnızca kendi menfaatleri doğrultusunda, kendi programlarına göre faaliyet gösterdiği, doğrudan pazarlama amaçları da dahil olmak üzere, hizmet verdikleri müşterilerden elde ettikleri kişisel veriler bakımından serbest girişimcilerin tek başına ve bağımsız veri sorumlusu olarak hareket ettiği, somut olayda broşürün pazarlama şirketi tarafından gönderilmediği ve broşür göndermesi için serbest girişimciye şirket tarafından bir talimat verilmediği, broşürün daha önce bağımsız olarak topladığı kişisel veriler kullanılarak serbest girişimci tarafından gönderildiği, şirket tarafından ilgili kişiye ait herhangi bir kişisel verinin işlenmediği ve bu verilerin serbest girişimciye aktarılmadığı, şirketin, serbest girişimcilerin işlediği kişisel veriler bakımından veri sorumlusu olmamakla birlikte serbest girişimcileri gözetim altında tuttuğu ve sözleşme kapsamındaki kurallara aykırılık halinde yaptırım uyguladığı, şikâyet üzerine yapılan araştırma neticesinde serbest girişimcinin geçmişte internetten satış yaptığı müşterilerine broşür gönderdiği, alışveriş yapan kişinin 8 yaşındaki bir çocuk olduğunu bilmediği için bir yanlışlık olduğunun belirtildiği ifade edilmiştir.

Girişimciden  alınan  cevabi  yazıda  özetle;  Kendisinin  internetten satış yaptığı dönemde ilgili kişinin kişisel verilerini bir e-ticaret sitesi üzerinden kendi nam ve hesabına sattığı şirket ürünlerinden temin ettiği, ilgili kişinin velisinin kendi kızı adına fatura hazırlattığı, e-ticaret sitesi üzerinden kendi adres ve iletişim bilgilerini rızaen kendisiyle paylaşan ilgili kişinin velisinin her ne kadar adres ve telefon bilgileri olarak kendi bilgilerini vermiş olsa da velisi olduğu çocuğunun ismini kullanarak sipariş verdiği ve bu sipariş dahilinde kendisine bu broşürün gönderildiği, dolayısıyla söz konusu işlemenin istisna olarak değerlendirilmesi gerektiği, konunun yanlış anlaşılmadan kaynaklandığı ifade edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde, İlgili kişiye broşürü gönderen gerçek kişinin şirketle imzalamış olduğu sözleşme koşullarına göre serbest girişimci olduğu ve şirketten bağımsız olarak hareket ettiği, dolayısıyla serbest girişimci gerçek kişinin, müşterilerine ait kişisel veri işleme faaliyetinde bulunurken şirketten bağımsız bir şekilde veri sorumlusu sıfatını haiz olduğu, şirketin incelemeye konu kişisel veri işleme faaliyetine dair bir ilgisinin bulunmaması sebebiyle şirket hakkında KVKK kapsamında tesis edilecek herhangi bir işlem bulunmadığına karar verilmiş olmakla birlikte ilgili kişi adına mektup yolu ile tanıtım amaçlı broşürün gönderilmesi suretiyle ilgili kişinin kişisel verisi niteliğindeki isim ve iletişim bilgilerinin işlenmesinin veri sorumlusu tarafından ibraz edilen faturaya konu sipariş ile bir bağlantısı olmadığı, ilgili kişiye tanıtım amaçlı gönderilen broşürün faturada belirtilen sipariş ile birlikte gönderilmediği, incelemeye konu salt broşür gönderiminin KVKK’da tanımlı işleme şartlarından herhangi birine dayanılmaksızın gerçekleştirildiği, işlenen kabahatin haksızlık içeriği ile veri sorumlusunun kusuru ve ekonomik durumu birlikte göz önünde bulundurulduğunda veri sorumlusu hakkında 30.000 TL idari para cezası uygulanmasına karar verilmiştir.

Kamu Tüzel Kişiliğine Vekillik Yapan Avukata Tahsis Edilen Yetki Belgesine İlişkin Kanuni Dayanaklar

Avukatlık mesleğini icra eden ilgili kişi, şikayetinde kamu tüzel kişiliğini haiz Birlik ile arasındaki hukuki danışmanlık ve avukatlık sözleşmesinin fesih görüşmeleri sırasında kendisini Birlik vekili olarak tanıtan bir avukatın ilgili kişiyi aradığı ve sözleşmeyi feshetmesini istediği, konu hakkındaki görüşmeleri devam ederken avukatlık meslek etiğine uygun olmayacak şekilde konuşması nedeniyle hakkında disiplin soruşturması yapılmasını teminen ilgili kişinin söz konusu avukatı Baroya şikâyet ettiği, bunun üzerine şikayet edilen avukatın, danışmanlık sözleşmesi kapsamında asılları sadece Birlikte bulunan ve Birliğe kesilen; ve ilgili kişinin kişisel verilerini içeren serbest meslek makbuzu ve stopaj ödeme listesinin fotokopilerine Baro Başkanlığına sunduğu savunma dilekçesi ekinde yer verdiği belirtilmiştir.

Kurul incelemeleri neticesinde, Genel Bütçe Kapsamındaki Kamu İdareleri ve Özel Bütçeli İdarelerde Hukuk Hizmetlerinin Yürütülmesine İlişkin Kanun Hükmünde Kararname’de “…muhakemat hizmetlerini yürütmek üzere…doğrudan temin usulüyle serbest avukatlardan veya avukatlık ortaklıklarından hizmet satın alınabilir.” hükmünün haiz olduğunu, Serbest Avukatlardan Hizmet Satın Alınmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik’te “İdareler, muhakemat hizmetlerini kendi hukuk birimlerinden, … ya da hizmetin özel uzmanlık gerektirdiği ilgili bakan onayı ile belirlendiği hallerde, serbest avukatlardan hizmet satın alabilir.” hükmüne yer verildiğini, Avukatlık Kanunu’nda “Avukatlar veya avukatlık ortaklığı başkasını tevkil etme yetkisini haiz oldukları bütün vekâletnamelerini kapsayacak şekilde bir başka avukata veya avukatlık ortaklığına vekâletname yerine geçen yetki belgesi verebilir. Bu yetki belgesi vekâletname hükmündedir.” ve Avukatlık Kanunu Yönetmeliği’nde “Avukatlar veya avukatlık ortaklıkları, başkasını tevkil etme yetkisini taşıdıkları tüm vekaletnameleri kapsayacak şekilde…özel yetki belgesi düzenleyerek; bir başka avukatı veya avukatlık ortaklığını müvekkilleri adına vekil tayin edebilirler. Vekaletname hükmünde olan bu yetki belgesi; tüm yargı mercileri ile resmi ve özel kişi, kurum ve kuruluşlar için hukuken vekaletname işlev ve etkisi taşır.” hükmünün düzenlendiğini tespit etmiştir.

Bu çerçevede; ilgili kişi ile Birlik arasındaki hukuki danışmanlık sözleşmesinin feshedilmesinin ardından Birliğin anlaştığı avukatın düzenlendiği yetki belgesi ile şikayet edilen avukat da Birliğin vekili sıfatını haiz konuma gelmiştir.

Birliğin, kendi nezdinde bulunan ilgili kişinin kişisel verilerini içeren belgeleri hukuki danışmanlık hizmeti aldığı şikâyet edilen avukat ile paylaşması kapsamında kişisel verilerin işleme amaç ve vasıtasını belirlediğinden hareketle veri sorumlusu sıfatını haiz olduğu ve Birliğin kamu tüzel kişiliğini haiz bir kurum olarak taraflarına hasredilen görevleri yerine getirmeleri sürecinde dışarıdan avukatlık hizmeti aldıkları ve bu durumda söz konusu avukat ile ilgili kişiye ait kişisel verileri içeren belgeleri paylaşmalarının ‘bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması’ işleme şartı çerçevesinde değerlendirilebileceğinden hareketle ilgili kişinin Birlik hakkındaki şikâyeti ile ilgili olarak Kanun kapsamında yapılacak herhangi bir işlem bulunmadığı belirtilmiştir.

Birlik ile aralarındaki sözleşme kapsamında işin gereği olarak ilgili kişinin kişisel verilerini içeren şikâyet konusu belgeleri elde ederek daha sonra ilgili kişiyle yaşadığı anlaşmazlık sonrasında söz konusu belgeleri Baroya ileten dolayısıyla kişisel verilerin işlenmesinde amaç ve yöntemi belirleyen şikâyet edilen avukatın da somut olay nezdinde veri sorumlusu sıfatını haiz olduğuna, ilgili kişinin kişisel verilerini içeren belgeleri yürütülen soruşturma kapsamında delil niteliğinde olması sebebiyle Baroya aktarmasının KVKK 8. maddesine uygun olarak “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” çerçevesinde gerçekleştirildiğinden hareketle ilgili kişinin söz konusu avukat hakkındaki şikâyeti ile ilgili olarak Kanun kapsamında yapılacak herhangi bir işlem bulunmadığına karar verilmiştir.

Kargo Firmalarının ’Dağıtım Hizmeti Sunucusu’ Sıfatı

İlgili kişinin, bir onarımın yapılması adına elektronik perakende zincirinin AVM şubesine teslim etmiş olduğu kulaklık, mağaza yetkilileri tarafından distribütör firmaya iletilmek üzere kargo şirketine teslim edilmiş; ancak kargo şirketi ilgili ürünü distribütör firma yerine konuyla ilgisiz üçüncü şahsa teslim etmiştir.

Kargo  şirketinin  Kuruma  ilettiği  savunmasında  özetle;  bilgi  güvenliği yönetimi, kişisel verilerin korunması ve ilgili yasal mevzuata uyum konularının ISO/IEC 27001 belgesine sahip olan kargo şirketinin hizmetlerini acenteleri vasıtasıyla yürüttüğü ve acente ile akdedilen acentelik sözleşmesi ekinde kargo şirketi tarafından kişisel verilerin korunmasına yönelik bilgilendirme ve aydınlatmaların yerine getirildiği ve yine acentenin işlemini yapan personeli ile acente arasında akdedilen hizmet sözleşmesinde kişisel verilerin güvenliği, korunması ve gizlilik ile ilgili yükümlülükleri hakkında bilgilendirme yapılmakta olduğu, tüm kargo şirketi çalışanlarına ve tedarikçi/acente çalışanlarına kişisel verilerin gizliliği ve bilgi güvenliği alanlarında hizmet öncesi eğitim verildiği, gönderilen kargo içeriğinin kayıtlarda yer almadığı ve bu yüzden ilgili kişinin kişisel bilgilerinin gönderi içeriğinde bulunduğuna dair taraflarının hiçbir bilgisinin bulunmadığı bildirilmiştir.

Kurul nihai incelemesinde, ilgili kişiye ait kulaklığın distribütör firma tarafından onarılabilmesi için kargo paketi içine konuldukları ifade edilen ve ilgili kişiye ait bazı kişisel verileri içeren belgelerin veri sorumlusu tarafından distribütör firmaya gönderilmesinden ibaret olan kişisel veri işleme/aktarım faaliyetinin “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” ve “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” hukuki şartlarına dayandığı, dolayısıyla Kanun kapsamında yapılacak herhangi bir işlemin bulunmadığına karar verilmiştir.

Veri sorumlusunca bir onarım işleminin yapılabilmesi için distribütör firmaya gönderilen belgelerde yer alan ilgili kişiye ait kişisel verilerin hayatın olağan akışına uygun olduğu ve KVKK 4. maddesinde belirtilen genel ilkelere açık bir aykırılığın tespit edilemediğine, bununla beraber gelecekte ürün onarımı amacıyla veri sorumlusu tarafından onarım firmalarına iletilebilecek kargo paketleri içindeki formlarda minimum düzeyde kişisel veri paylaşılmasını ve paylaşılan kişisel verilerin de mümkün olduğunca maskelenmesini teminen gerekli önlemlerin alınması hususunda veri sorumlusunun uyarılmasına karar verilmiştir.

Şikâyete esas kargo gönderim işleminde tüzel kişiliği haiz veri sorumlusunun “gönderici” sıfatını, tüzel kişiliği haiz distribütör firmanın ise “alıcı” sıfatını haiz olduğu ve ilgili kişinin kargo gönderiminin tarafı olmadığı, buradan da somut olay özelinde kargo içeriğini bilmesinin kendisinden beklenmeyen kargo şirketinin ilgili kişi hakkında veri sorumlusu veya veri işleyen sıfatıyla doğrudan yürüttüğü herhangi bir kişisel veri işleme faaliyetinin gerçekleştirilmediğinden hareketle kargo şirketi hakkında Kanun hükümleri uyarınca yapılabilecek herhangi bir işlemin bulunmadığına, zira Kurumun resmî internet sitesinde yayımlanan “Veri Sorumlusu ve Veri İşleyen” başlıklı Rehber’de yer alan “…. Ancak, kargo firması her ne kadar kredi kartlarını fiziksel olarak elinde bulundursa da söz konusu kredi kartı ile ilgili bilgilere ulaşması mümkün değildir. Bu durumda, dağıtım hizmeti sunucusu olarak hizmet veren kargo firması ne veri sorumlusu ne de veri işleyen statüsündedir. Dolayısıyla, yalnızca taşıdığı fiziksel eşyanın güvenliğini sağlamakla yükümlü olup, kişisel verilerin işlenmesiyle ilgili uyması gereken herhangi bir yükümlülük yoktur.” şeklindeki açıklamaların ilgili değerlendirmeyi desteklediğine karar verilmiştir.

GRC LEGAL Yorumu

Kurul tarafından yayımlanan karar özetlerinde sıklıkla temel ilkeler atfı yapıldığı, bu atfa gerek duyulmasının sebebinin ise KVKK’da yer alan işleme şartlarına dayanılıyor olsa dahi madde dörtte sayılan genel prensiplere uyumluluğa dikkat çekilmek istenmesi olduğu kanaatindeyiz.

Kişisel verilerin korunması dünyasında hedeflenenin aydınlatma metinleri, veri aktarım taahhütnameleri gibi dokümantasyon yönetiminden önce bir kültür oturtmak olduğu, ölçülülük ve veri minimizasyonu gibi tabirlerin daha sık gündeme getirilmesi gerektiği, Şirketlerin ise bir KVKK uyumluluk projesine adım atmadan önce hayat döngülerinde hangi veri kalemlerinden vazgeçebileceklerini düşünmeye sevk edilmesi gerektiği kanaatine kolaylıkla varılmaktadır.

İncelenmiş olan karar özeti setinde dikkat çekilmesi gereken bir diğer hususun ise, verilen ihlal cezalarında veri sorumlusunun ekonomik durumunun değerlendirildiği, veri sorumlusuna gerçekleştirilen ihlal ve şikâyetten bağımsız olarak büyüklük değerlendirilmesi yapıldığı ve ceza miktarının belirlenmesinde bir kriter olarak kullanıldığı söylenebilecektir.