KİŞİSEL VERİLERİN KORUNMASI HUKUKU

Kişisel Verilerin Korunması Kanunu ve ikincil mevzuatı yürürlük tarihinden bugüne güncellemesi sık yaşanan ve yaşayan bir hukuktur. Yalnızca Kanun, Yönetmelik ve Tebliğ ile değil, Kurul Kararları, İlke Kararları ve Kurul Karar Özetleri ile de veri koruma alanıyla ilgili birçok usul ve esas belirlenmektedir. Dolayısıyla aylık bültenlerimiz, Kişisel Verileri Koruma Kurulu uygulamalarından ilgililerini haberdar etmeyi ve güncelliği sağlamayı amaçlamaktadır.

2023 Nisan ayında uzun zamandır süregelen sessizliğini tam 40 karar özeti yayımlayarak bozan Kişisel Verileri Koruma Kurulu (“Kurul“), aynı zamanda 2022 yılı Faaliyet Raporu yayımlamış ve 7 Nisan Kişisel Verileri Koruma Günü’nü kutlamıştır. İncelemesini gerçekleştirmiş olduğumuz ilgili rapora GRC-Legal LinkedIn hesabımızdan ulaşabilirsiniz. Kurul Karar Özetleri içerisinden yüksek önemi haiz olduğunu düşündüğümüz 12 karara ise bu ayki bültenimizde yer vermekteyiz.

KURUL KARAR ÖZETLERİ

Veri dünyasının hızına yetişebilmek adına en önemli kaynak Kurul İlke Kararları ve idari yaptırımlara yönelik Karar Özetleri olmuştur. Mevzuat bu kararlar doğrultusunda fazlasıyla şekillenmiş, birçok usul ve esasın yanı sıra Avrupa Genel Veri Koruma Tüzüğü (“GDPR“) dünyasından aşina olunan sıfat ve tabirlere burada yer verilmiştir. KVKK 22. maddesinde Kurul’un görev ve yetkileri sayılmış olup Karar özetlerinin bağlayıcılığı bu hükme dayanmaktadır.

SOSYAL MEDYA PAYLAŞIMLARINA HER KOŞULDA DİKKAT!

İlgili kişinin şikâyetinde özetle; veri sorumlusu bünyesinde şirket müdürü olarak çalışmakta iken iş akdinin haksız şekilde sonlandırıldığı ve veri sorumlusuna ait sosyal medya hesabında “… Yaptığı usulsüzlükler nedeni ile işten ATILAN …..’ın sizlere vermiş olduğu rahatsızlıktan dolayı özür dileriz…” içerikli bir paylaşım yapıldığı ve bu paylaşımın sair mevzuat çerçevesinde kaldırılması ve düzeltme metni yayınlanması için talepte bulunulmasına rağmen veri sorumlusu tarafından cevap verilmediği belirtilmiştir.

Veri sorumlusu, Kuruma ilettiği savunmasında eski çalışanı ile muhtelif uyuşmazlıklarda taraf olduğunu, çalışanın kötü niyetli olduğunu ve kötü niyetli hareketlerinden sebeple portföyünde yer alan müşterilerin mağdur olmasını engelleme amacıyla hareket ettiğini belirtmiştir.

Veri sorumlusu, şikayete konu olayda Kanun’da yer alan işleme şartlarına uygun hareket ettiğini savunsa da Kurul yaptığı incelemeyle ilgili kişinin açık ad ve soyadı ile ilgili kişi hakkındaki ithamları da içeren duyurunun sadece şirket müşterilerinin değil herkesin erişimine açık şekilde sosyal medya hesabından paylaşılmasının; veri  işleme  ile  gerçekleştirilmesi  istenen  amaç arasında makul bir denge bulunmadığı gerekçesiyle ölçülülük ilkesine aykırılık teşkil ettiğine hükmederek veri sorumlusuna 30.000 TL idari para cezası uygulamış ve paylaşımı kaldırma talimatında bulunmuştur. İdari para ceza miktarı belirlenirken veri sorumlusunun ekonomik durumu dikkate alınmıştır.

İLGİLİ KİŞİNİN KİŞİSEL VERİSİ İSE, VERİ SORUMLUSUNUN DA SÖZLEŞMESEL HAKKI

İlgili kişinin şikâyetinde özetle; veri sorumlusu bir giyim mağazası tarafından satışa çıkarılan ürünlerin tanıtım ve görsellerinin veri sorumlusuna ait internet sayfasında paylaşıldığı, ilgili kişinin bünyesinde katalog modeli olarak çalıştığı veri sorumlusu ile iş ilişkisinin sona ermesine rağmen fotoğraflarının açık rızası olmaksızın veri sorumlusuna ait internet adreslerinde yayınlanmaya devam edildiği, ilgili kişinin fotoğrafların kaldırılması talebiyle veri sorumlusuna başvuruda bulunmasına rağmen fotoğrafların yayınlanmasına devam edildiği belirtilerek gereğinin yapılması talep edilmiştir.

Veri sorumlusu, Kuruma ilettiği savunmasında ilgili kişinin fotomodellik hizmetine istinaden aralarında yazısız bir eser sözleşmesi olduğu, bu sözleşme ile umuma arz edilen fotoğrafların veri

sorumlusu tarafından kullanılması için ilgili kişinin ödeme aldığı ve ilave mali haklarından feragat ettiği, ilgili kişinin yazılı bir rızası olmasa da kendi aktif iradesiyle fotoğraf çektirerek rıza vermiş olduğunun kabul edileceği, hususlarında belirtmelerde bulunmuştur.

Kurul nihai kararında; ilgili kişinin fotoğraflarının kıyafetlerin stoklarının bitene kadar paylaşıldığı ve işleme faaliyetinin ilgili kişi ile veri sorumlusu arasındaki sözleşmenin ifası hukuki sebebine dayandığı gerekçesiyle veri sorumlusu şirket hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına hükmetmiştir.

SAĞLIK BİLGİLERİ’NİN TEK PAYLAŞIM REFERANSI: SIR SAKLAMA YÜKÜMLÜLÜĞÜ

İlgili  kişilerin  şikâyetlerinde  özetle;  işveren  bünyesinde  çalışan  tüm ilgili kişilerin hiçbir sebep ve açıklama olmaksızın baskıyla uyuşturucu testine zorlandığı, evlerinden çağrılarak veri sorumlusu özel sağlık kuruluşunda test yaptırıldığı, bu süreçte kendilerinden herhangi bir rıza alınmadığı veya kendilerine aydınlatma yapılmadığı gibi test sonuçlarının da ilgili kişilerin işyerindeki başka personele (“üçüncü kişi”) ait e-posta adresine gönderildiği, dolayısıyla kişisel sağlık verilerinin işlenmesinde hukuka aykırılıkların olduğu belirtilmiştir.

Veri sorumlusu sağlık kuruluşu ve şikayetçi ilgili kişilerin İşvereni özelinde yapılan detaylı soruşturmada Kurul, işverenin uyuşturucu testini yapmak için makul bir şüphesinin bulunup bulunmadığından ziyade veri sorumlusu olan sağlık kuruluşunun bütün test sonuçlarını neden üçüncü kişiye gönderdiğini soruşturma altına almıştır. Soruşturma neticesinde ilgili kişilerin test sonuçlarının anılan üçüncü kişinin e-posta adresine gösterilmesine sözlü olarak rıza gösterdikleri, bu sebeple anılan üçüncü kişinin e-posta adresini klinikteki görevliye verdiği beyan edilmiştir.

Somut olayda Kurul tarafından; söz konusu açık rızayı kanıtlayıcı mahiyette herhangi bir bilgi ya da belgenin Kuruma iletilmediği bu anlamda veri sorumlusunun söz konusu veriyi Kanun’un 6’ncı maddesinde yer alan herhangi bir veri işleme faaliyetine dayanmaksızın paylaştığı ve paylaşım yapılan üçüncü kişinin de sır saklama yükümlülüğü olan bir kişi olmamasının da etkisiyle veri sorumlusunun yaklaşık 600’e yakın çalışan ile birçok ilde sağlık hizmetleri verdiği hususları da dikkate alınarak 75.000 TL idari para cezası uygulanmasına karar verilmiştir.

REFERANS ARAMALARINA, TALEPLERİNE & İŞYERİ GERİ BİLDİRİMLERİNE DİKKAT!

İlgili  kişinin  şikâyetinde  özetle;  kişinin  halihazırda  bir  şirket  bünyesinde çalışmakta iken başka bir şirkete iş görüşmesi yapmak maksadıyla davet edildiği ve iş görüşmesinin gerçekleştirildiği, iş görüşmesi yapan veri sorumlusu şirket tarafından, kişinin çalışmakta olduğu şirket hakkında itibarını zedeler nitelikte birçok beyanda bulunduğu bilgisinin ilgili kişinin mevcut iş yeri ile paylaşıldığı ve mevcut işyeri ile süregelen birtakım uyuşmazlık süreçlerinde bu paylaşımın mevcut iş yeri tarafından teyit edildiği, bildirilmiştir.

Kurula iletilen savunma beyanlarında; şikâyete konu paylaşımın temelde kişisel veri ihtiva etmediği savunmasının yanı sıra, ilgili kişi tarafından aleyhlerinde Cumhuriyet Başsavcılığına “Hukuka Aykırı olarak Kişisel Verileri Kaydetmek, Özel Hayatın Gizliliğinin İhlal Etmek, Hukuka Aykırı Verileri Ele Geçirmek veya Yaymak” suçundan yapılan şikayet üzerine kovuşturmaya yer olmadığına ve ve eylemin özel hayatın gizliliğini ihlal suçunu oluşturmayacağına karar verildiği belirtilmiştir.

Kurul nihai incelemesinde; ceza şikayetinin ceza hukuku kapsamında hüküm kurduğu ve özel hukuk anlamında bu ceza kararı ile bağlı olmadığı, somut olayda kişilik hakkının ihlal edilme durumunun gündeme geldiği, veri sorumlusu tarafından ilgili kişinin iş görüşmesi yaptığı bilgisi ile kişinin çalışmakta olduğu iş yeri hakkında birçok beyanda bulunduğu bilgisinin kişinin çalıştığı şirkete hukuka aykırı olarak aktarıldığı, aktarımın Kanun’un 8’inci maddesinde yer alan şartlardan herhangi birine dayanılmaksızın gerçekleştirildiği tespitleri ile veri sorumlusunun ilgili kişi başvurusuna 30 günlük yasal süre içerisinde yanıt vermediğini de dikkate alarak veri sorumlusu hakkında 100.000 TL idari para cezası uygulanmasına hükmetmiştir.

AÇIK RIZANIN TAM OLARAK KİME VERİLDİĞİNE DİKKAT!

İlgili   kişinin   şikâyetinde   özetle; özel   bir   hastanede gerçekleştirilen burun ameliyatı esnasında baygın olduğu sırada açık rızası alınmaksızın çekilen kişisel verisi niteliğindeki fotoğraflarının veri sorumlusu hastanede çalışan ve ameliyatı gerçekleştiren doktorun sosyal medya hesabında reklam amaçlı olarak paylaşıldığı ve söz konusu fotoğrafların yaklaşık iki yıl boyunca bu hesapta tutulduğu belirtilmiştir.

Somut olayda veri sorumlusu tarafından şikâyete konu görüntünün ilgili kişiyi tanımlamadığı, yalnızca operasyon öncesi ve sonrası burun görselinin bulunduğu, ilgili kişinin kimliğini belirlenebilir kılacak unsurların çekim açısı ve anonimleştirmeler yoluyla ortadan kaldırıldığı beyan edilmiş olsa da fotoğraftaki diğer tanımlayıcı unsurların ilgili fotoğrafı kişisel veri niteliğine dönüştürdüğü tespit edilmiştir. Aynı zamanda paylaşıma yönelik ilgili kişinin rızasının bulunduğu savunması yapılmıştır.

Kurul soruşturması neticesinde ilgili kişinin, kişisel verilerinin kullanılmasına açık rıza gösterdiği tarafın tedaviyi gerçekleştiren sağlık kuruluşu olduğunun görüldüğü ancak somut olayda ilgili kişinin ameliyat sırasında çekilen görsellerini sosyal medya hesabında paylaşanın hastanede çalışan bir doktor olduğu hususundan hareketle gerek veri sorumlusu sağlık kuruluşunun kendi bünyesinde çalışan doktora kişisel veri aktarımının hukuka aykırı olduğu gerek bu paylaşımın önlenmesine yönelik gerekli teknik ve idari tedbirlerin alınmadığı gerekçesiyle 100.000 TL idari para cezası uygulanmıştır.

HUKUKİ YÜKÜMLÜLÜK OLAN VERİ İŞLEME VE HAKLARIN ÇATIŞMASI DENGESİ

İlgili kişinin şikâyetinde özetle; ilgili kişiye ait görüntülerin haber ajans ve siteleri ile ilgili kişinin açık rızası alınmaksızın paylaşıldığı, bahsi geçen haber sitelerinde ilgili kişinin görüntülerinin paylaşılması sebebiyle ilgili kişi hakkında rencide edici yorumların yapıldığı ve bu durumun ilgili kişinin manevi anlamda yıpranmasına sebep olduğu, veri sorumlusunun iş yerinde görüntü kaydı yapıldığına ilişkin herhangi bir uyarı levhasının bulunmadığı, bu itibarla aydınlatma yükümlülüğünün yerine getirilmediği, kişisel verilerin hukuka aykırı şekilde paylaşıldığı hususlarına yer verilmiştir.

Veri  sorumlusu  döviz  bürosundan  alınan  savunma  beyanında  özetle;  ilgili kişinin döviz bürosunda işlem yaparken gişe görevlisinin hatası nedeniyle fazla para aldığı, sonrasında hiçbir şekilde kendisine ulaşma imkanı elde edilememesinin ardından standart bir prosedürü yerine getiren ajans aracılığıyla yalnızca kısmi ve yer yer belirsiz görüntü kayıtlarının olduğu kamera kaydının paylaşıldığı ve ilgili kişinin de bu durumu kızı aracılığıyla öğrendiği, ilgili kişinin görüntülerinin paylaşımının hiçbir anayasal hakkına tecavüz eder amaç ve nitelikte olmadığı ile kişinin tespiti ile veri sorumlusunun meşru menfaatleri gereği ilgili kişinin tespitine yönelik başka hiçbir yol bulunamadığı dikkate alındığında yarışan hakların ilgili kişi aleyhine bir durum teşkil etmediği, hususları belirtilmiştir. Kurul kararının tam özet metninde hakların yarışması hususunun detaylı bir analizi de ortaya koyulmuştur.

Nihai Kurul incelemesi ile döviz bürolarında kamera bulundurulmasının hukuki bir yükümlülük olduğu, dolayısıyla kamera-video kaydı yapmak suretiyle ilgili kişinin görüntülerinin kaydedilmesinin hukuka uygun olduğu, döviz bürosunda kamera levhalarının asılı olduğu hususu değerlendirilmiştir.

İlave olarak veri sorumlusu tarafından ilgili kişiye yapılan fazla- haksız ödemenin iadesinin sağlanabilmesini ve ekonomik kaybın önlenmesini teminen ilgili kişinin göz çevresinin ve siluetinin görüntülendiği kamera kaydı görüntülerinin ilan amacıyla yerel haber kanalına aktarılması daha üstün nitelikte özel yarar bulunması hakkaniyete ve veri işleme şartlarına uygun değerlendirilerek Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

VERİ SORUMLUSU İŞLEDİĞİ VERİLERİN DOĞRULUĞUNU VE GÜNCELLİĞİNİ KONTROL ETMELİ!

İlgili kişinin şikayetinde özetle; iş akdinin feshinden sonra kendi görüntüsünün reklam ve pazarlama amacıyla kullanıldığı, ilgili kişinin veri sorumlusu bünyesinde gerçekleştirilen satış ve tahsilat işlemlerinde halen işlemi gerçekleştiren kişi gibi göründüğü, mağazaya gönderilen ürünlerin kargolarında alıcı olarak halen ilgili kişinin telefon numarasının verildiği, bu durumun iş akdinin bitmesiyle birlikte hukuka aykırı hale geldiği ifade edilmiştir.

Veri sorumlusu, ilgili kişiye imzalatılan aydınlatma metninde bulunan “İşlenen kişisel verilerinizin yurt içindeki aktarımı” başlıklı maddenin altıncı bendinde “yazılım, kurumsal kaynak planlaması, raporlama, pazarlama vb. işlevlerin yerine getirilmesi amacıyla tedarikçi ve çözüm ortaklarıyla verilerin paylaşılabileceği” hususunun yer aldığı, bu sebepten dolayı ilgili kişinin şirket reklamlarında yer alarak pazarlama amacıyla kişisel verilerinin işlenmesine rıza vermiş sayılacağı ve ilgili kişinin “kargo paketi üzerinden görüldüğünden bahisle cep telefonu bilgisinin şirketçe işlenmeye devam edilmesi” iddiasının da herhangi bir delile dayanmadığını belirtmiştir.

Somut olayda Kurul tarafından; iş akdinin feshedilmiş olması nedeniyle ilgili kişinin görüntülerini kullanarak reklam ve        pazarlama faaliyeti gerçekleştirmenin hayatın olağan akışına aykırı olacağı ve veri sorumlusunun uhdesinde işlediği kişisel verilerin doğru ve güncelliğini sağlayamamış olduğu değerlendirilmiştir.

Söz konusu değerlendirme neticesinde “veri sorumlusunun doğru ve gerektiğinde güncel olma” ilkesine aykırı davrandığı hususları dikkate alınarak veri sorumlusu hakkında 250.000 TL idari para cezası uygulanmasına ve ilgili kişinin şahsi telefon bilgisinin kargo şirketi kayıtlarından kaldırılmasına ve ilgilinin isim soy isim bilgilerinin çeşitli evrak ve formlar içerisinden kaldırılmasına karar verilmiştir.

SINIRI AŞMAMAK KAYDIYLA ÇALIŞANIN KURUMSAL E-POSTA ADRESİ DENETLENEBİLİR!

Kuruma    intikal    eden    şikâyet    özetle; veri sorumlusunun çalışanlarına tahsis ettiği kurumsal e-posta adresindeki içerikleri izleme, erişme ve depolama suretiyle kişisel verileri işlemesine ilişkindir. İlgili kişi, bu izleme faaliyetinin aşırı biçimde yapıldığını iddia etmektedir.

Veri sorumlusu, ilgili kişinin ticari veri içeren şirket bilgilerini gizlilik önlemlerine aykırı davranarak kişisel e-posta adresine ilettiğini ve bir şirket çalışanı ile gerçekleştirdiği telefon görüşmesini bu çalışanın bilgisi ve onayı olmaksızın gizlice kayıt altına aldığını bir denetim esnasında tespit etmiştir.

Veri    sorumlusu;    çalışanlarının    mevzuata,    şirket    politikalarına,    gizlilik yükümlülüklerine, bilgi güvenliği prosedürlerine, disiplin hükümlerine riayet ettiğini izlemek ve denetlemekle hem yetkili hem de görevli olduğu hususlarında çalışanlarını muhtelif politika ve aydınlatma metinleri kapsamında bilgilendirdiğini belirtmiş olup şirketleri tarafından çalışanlarına zimmetli bilgisayar ve kurumsal e-postaların kullanım detaylarını ilgili aydınlatmalarda, disiplin ve şirket içi prosedürlerinde belirttiğini beyan ederek “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” veri işleme şartlarına dayalı olarak haklı menfaatlerini korumak adına belirli, açık ve meşru bir amaç dahilinde gerçekleştirdiğini belirtmiştir.

Yapılan soruşturma neticesinde Kurul 17/09/2020 tarih ve 2016/13010 başvuru numaralı Anayasa Mahkemesi Kararı ile Avrupa İnsan Hakları Mahkemesi’nin (AİHM) 12/01/2016 tarihli “Bărbulescu v. Romanya” Kararında değerlendirilen kriterlerin somut olay açısından da dikkate alınması gerektiğine değinerek veri sorumlusunun şikâyete konu denetleme faaliyetini gerçekleştirme hususunda haklı menfaatinin bulunduğu sonucuna ulaşmıştır.

İlgilinin herhangi bir ihlal gerçekleştirip gerçekleştirmediğini ancak uygulayacağı denetim ile tespit edebileceği dikkate alındığında veri sorumlusu tarafından yalnızca ilgili personelle ve amaca yönelik kişisel veri ile sınırlı tutularak ve yine yalnızca amaçlanan çerçevede bir kişisel veri işleme faaliyeti gerçekleştirildiğine kanaat getirilmiş olması nedeniyle veri sorumlusu işveren şirket hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına hükmedilmiştir.

YURT DIŞINA GERÇEKLEŞTİRİLEN VERİ AKTARIMLARINDA AÇIK RIZA ŞART!

Kuruma iletilen şikâyet dilekçesinde özetle; ilgili kişinin veri sorumlusunun sistemine internet sitesi üzerinden üye            olduğu, aydınlatma metninde yurt dışına aktarım yapıldığının bildirildiği ancak ilgili kişinin bu yönde bir açık rızasının olmadığı, bunun üzerine konuya ilişkin internet sitesinde yer alan aydınlatma metnindeki e-posta adresine bulunduğu başvuru ile bilgi talep edilmişse de yasal süre olan 30 gün içerisinde veri sorumlusundan bir cevap alınamadığı ifade edilmiştir.

Veri sorumlusu, ilgili kişi başvurularına özgülediği bir e-posta adresi oluşturduğu, ancak bu e-posta adresine gönderilen ilgili kişi başvurusunun sehven gözden kaçırılması sebebiyle yanıtsız kaldığı, Türkiye merkezli veri sorumlusunun birçok ülkede hizmet vermekte olduğu ve hizmetlerini yurt dışında bulunan bulut servis teknolojileriyle sağladığı, internet sitesinde bulunan aydınlatma metninde yer alan yurt dışına aktarım bildiriminin verilerin bu sunucuda tutulması sebebiyle gerçekleştirildiği, veri sorumlusunun barındırma hizmeti aldığı firma ile bir taahhütname çalışmasını uzun zamandır sürdürmekte olduğu, söz konusu taahhütnameyi de en kısa sürede Kurulun onayına sunacağını ifade etmiştir.

Kurul nihai kararında, veri sorumlusu tarafından ilgili kişilerce yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almadığı tespit edilmiş olmakla birlikte kişisel verilerin yurt dışına aktarımının Kanun’un 9.maddesi uyarınca birtakım şartlara bağlanması, ilgili şartların sağlanamaması halinde ise yurt dışına aktarım faaliyetinin hukuka uygun olabilmesi için açık rızadan başka bir hukuki sebep bulunmadığı dikkate alındığında veri sorumlusunun yurt dışı aktarım faaliyetini Kanun’a uygun hale getirmemiş olması nedeniyle veri sorumlusuna yönelik olarak 950.000 TL idari para cezası uygulanmasına ve veri sorumlusunun gerekli tedbirleri almasına yönelik olarak uyarılmasına karar verilmiştir.

TEKNİK TEDBİR OLARAK E-POSTA TEYİT MEKANİZMASI

İlgili kişinin şikayetinden özetle; ilgili kişinin e-posta adresine bir e-ticaret sitesinde alışveriş yapan üçüncü bir kişinin gönderici ve alıcı verilerini kapsayan tüm sipariş bilgilerini, sipariş içeriğinin detaylarını belirten ve sipariş iptal butonu aktif olan bir e-posta iletildiği tespit edilmiştir.

Veri  sorumlusu  savunmasında  özetle;  söz  konusu  siparişin  bir kullanıcı tarafından isim benzerliğinden kaynaklı olarak sehven ilgili başka kişiye ait üyeliği bulunmayan ikinci e-posta adresinin bildirilerek müşteri girişi ile oluşturulduğu ve e-posta ve SMS gönderimi için açık rıza verildiği, veri sorumlusunun kastının bulunmadığı ve sehven hatalı işlemlerin e-ticaret sitesi tarafından teyit edilebilmesine yönelik olarak da teknik geliştirme yapılması çalışmalarına başlandığı ifade edilmiştir.

Kurul incelemesi neticesinde ihmali davranışla e-postanın gönderileceği alıcı gruplarına yönelik bildirilen iletişim bilgilerini doğrulayacak ve bu vesileyle kişisel verilerin doğru ve gerektiğinde güncel olması ilkesinin uygulama alanı bulmasını sağlayacak bir teyit mekanizması kurmayıp kişisel verilerin hukuka aykırı olarak işlenmesini önlemeye yönelik idari ve teknik tedbirlerinin alınması yükümlülüğünü yerine getirmediği gerekçesiyle 120.000 TL idari para cezası uygulamasına karar verilmiştir.

AÇIK RIZA GEREKTİRMEYEN ALENİLEŞTİRME SEBEBİ, AMAÇ DIŞINA ÇIKMAMALI!

İlgili kişinin şikayetinde özetle; ilgili kişinin internet arama motorlarında yapılan aramalardan elde edilen iş yeri e-postasının veri sorumlusu bir pazarlama şirketi tarafından açık rızası alınmaksızın ticarî elektronik ileti gönderilmesi suretiyle işlendiği ifade edilmiştir.

Veri sorumlusu savunmasında özetle, pazarlama içerikli e-postanın 6563 sayılı “Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’un 6.maddesi “Esnaf ve tacirlere önceden onay alınmaksızın ticari elektronik iletiler gönderilebilir” hükmüne dayanılarak gönderildiği ve ilgili e-postanın kişinin mesleği ile ilgili bir yazılım ürününün tanıtımı amaçlı olduğu belirtilmiştir.

Kurul incelemesi neticesinde ilgili kişinin iş e-posta adresinin pazarlama/reklam amacıyla yapılacak işlemlere ilişkin değil, avukatlık mesleğine yönelik yapılacak iletişimler kapsamında aleni hale getirildiği, dolayısıyla her ne kadar ilgili veri internet ortamında erişilebilir olsa da alenileştirme amacı ile sınırlı ve bağlantılı olmadığı tespit edilmiştir.

Bunlara ek olarak 1136 Sayılı Avukatlık Kanun’u madde 11 uyarınca avukatların ne esnaf ne de tacir sıfatıyla hareket edemediği, dolayısıyla ilgili kişiden onay alınmaksızın ticari ileti gönderilemeyeceği çıktılarından hareketle veri sorumlusu hakkında herhangi bir kişisel veri işleme şartı bulunmaksızın hukuka aykırı veri işleme faaliyetinde bulunmasından mütevellit 150.000 TL idari para cezasına karar verilmiştir.

FARKINDALIĞI DÜŞÜK İŞVERENE YAPTIRIM!

İlgili kişinin şikayetinde özetle, aralarında haklı nedenle feshedilinceye kadar iş ilişkisi mevcut olan veri sorumlusu işverenin, ilgili kişinin adının geçtiği ceza soruşturma dosyasında yer alan adli yazışma bilgilerini dosya ile herhangi bir bağlantısı olmadığı halde ilgili kişinin kardeşinin e-posta adresine iletildiği ifade edilmiştir.

Veri sorumlusundan ilgili kişinin kardeşine iletildiği belirtilen e-postaların içeriğinde ilgili belgenin ailelerinin adresine tebliğ edildiğine ilişkin ifadelere ve aynı e-postanın ekinde ilgili kişinin şirketin yazılım ve ticari sırlarını çaldığı gerekçesiyle Cumhuriyet Başsavcılığına iletilen şikayet dilekçesine yer verildiği, şikayet dilekçesinin şüpheliler kısmında sadece ilgili kişiye değil, diğer pek çok gerçek ve tüzel kişiye ilişkin bilgilere de yer verildiğinin anlaşıldığı, bununla birlikte veri sorumlusunun ilgili kişiye ait Savcılık şikayet dilekçesini hangi hukuki gerekçe ile ilgili kişinin kardeşi ile paylaştığı iddiasına cevap vermediği çıktılarından hareketle veri sorumlusu hakkında herhangi bir kişisel veri işleme şartı bulunmaksızın hukuka aykırı veri işleme faaliyetinde bulunmasından mütevellit 150.000 TL idari para cezasına karar verilmiştir.

VERİ İHLAL BİLDİRİMİ

Veri güvenliğine ilişkin yükümlülükler” başlıklı KVKK m.12/5. “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

2023 Nisan ayında Kişisel Verileri Koruma Kurumu internet sitesi olan www.kvkk.gov.tr alan adlı sitede bir adet veri ihlal bildirimi yayımlanmıştır.

Beytıp Sağlık Hizmetleri Ltd. Şti.

Veri sorumlusu sıfatını haiz Beytıp Sağlık Hizmetleri Ltd. Şti. tarafından   Kurula   iletilen   veri   ihlal   bildiriminde  özetle: 18.02.2023 tarihinde tıp merkezi bünyesinde işlem gören hastalar ve yakınları ile ilgili tıbbi hususlardaki tüm işlemlere ilişkin kayıtların tutulduğu program ile programa giriş sağlanan bazı bilgisayarların açılamadığı, veri sorumlusu bilgisayarları ile bu bilgisayarların bağlı olduğu ağa ve bilişim sistemine kimliği belirsiz kişilerce izinsiz olarak girildiği, bahse konu programa erişimin şifrelendiği, ihlalden etkilenen kişisel verilerin kimlik, iletişim, özlük, hukuki işlem, müşteri işlem, işlem güvenliği, risk yönetimi, finans, pazarlama, görsel ve işitsel kayıtlar, ırk ve etnik köken ve sağlık bilgileri olduğu ifade edilmiştir.

İhlalden etkilenen kişi sayısının tam olarak bilinmediği; ancak tahmini olarak 5000 olduğu ve son bir yıla ait kayıtların etkilendiği, İhlalden etkilenen ilgili kişi grubunun çalışanlar, kullanıcılar ve hastalar olduğu bilgilerine yer verilmiştir.