KİŞİSEL VERİLERİN KORUNMASI HUKUKU
İçindekiler
ToggleKişisel Verilerin Korunması Kanunu (“KVKK”) ve ikincil mevzuatı yürürlük tarihinden bugüne güncellemesi sık yaşanan ve yaşayan bir hukuktur. Yalnızca Kanun, Yönetmelik ve Tebliğ ile değil, Kurul Kararları, İlke Kararları ve Kurul Karar Özetleri ile de veri koruma alanıyla ilgili birçok usul ve esas belirlenmektedir. Dolayısıyla aylık bültenlerimiz, Kişisel Verileri Koruma Kurulu (“Kurul”) uygulamalarından ilgililerini haberdar etmeyi ve güncelliği sağlamayı amaçlamaktadır.
Temmuz ayında Kişisel Verileri Koruma Kurulu tarafından 12 adet Kurul Karar Özeti ve Veri İhlal Bildirimleri yayımlanmıştır.
VERİ İHLAL BİLDİRİMLERİ
“Veri güvenliğine ilişkin yükümlülükler” başlıklı KVKK m. 12/5. “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.
2022 Temmuz ayında Kişisel Verileri Koruma Kurumu internet sitesi olan www.kvkk.gov.tr alan adlı sitede beş adet veri ihlal bildirimi yayınlanmıştır.
Meklas Otomotiv San. ve Tic. A.Ş.
Veri sorumlusu, ihlalin 29.06.2022 tarihinde fidye yazılım saldırısı sonucu verilerin şifrelenmesi suretiyle gerçekleştiğini ve aynı gün veri sorumlusuna iletilen e-posta ile tespit edildiğini; ihlalden çalışan, kullanıcı, müşteri ve potansiyel müşterilerin etkilendiğini, en az 142 kişi olmakla beraber ihlalden etkilenen kişilerin net sayısının sunuculara kısıtlı erişim sebebiyle tespit edilemediğini belirterek kimlik, iletişim, görsel kayıtlar gibi genel nitelikli kişisel verilerin yanında sağlık bilgileri, felsefi inanç, din ve mezhep gibi özel nitelikli kişisel veri kategorisini haiz verilerin de ihlalden etkilenen kişisel veri kategorilerinin içerisinde bulunduğunu Kurul’a yaptığı ihlal bildiriminde açıklamıştır.
Knauf İnşaat ve Yapı Elemanları San. ve Tic. A.Ş ile Knauf Insulation Izolation San. ve Tic. A.Ş
Veri sorumlularının hissedarı olarak veri işleyen Knauf Gips KG’nin Almanya sunucularına 29.06.2022 tarihinde fidye yazılımı saldırısı gerçekleştiği, herhangi bir veri ihlalinin yaşanmamış olmasının da ihtimaller dahilinde olduğu dile getirilmiştir.
İş süreçlerinde toplanan kişisel verilerin veri işleyen sunucularında tutulması nedeniyle ilgili kişilerin kimlik, iletişim, özlük, hukuki işlem, müşteri işlem, fiziksel mekan güvenliği, işlem güvenliği, risk yönetimi, mesleki deneyim, finans, pazarlama, görsel ve işitsel kayıtlar gibi genel nitelikli kişisel verilerinin yanında sendika üyeliği, felsefi inanç, din, mezhep ve diğer inançlar, ceza mahkumiyeti ve güvenlik tedbirleri ve sağlık bilgileri gibi özel nitelikli kişisel verilerinin de ihlal dahilinde olabileceği belirtilmiştir.
İhlalden etkilenen ilgili kişi grubu henüz tespit edilememiş olmakla beraber; ticari ilişki kurulan gerçek ve tüzel kişiler, ziyaretçiler, çalışan adayları, stajyer ve stajyer adayları, sözleşme yapılan tüzel kişiler ve çalışan ailelerinin bu kapsamda olduğu ifade edilmiş, etkilenen verilere dair detayların teknik çalışma neticesinde tespit edileceği bildirilmiştir.
Türkiye Elektrik Dağıtım A.Ş. (TEDAŞ)
İhlalin Bakanlık Siber Güvenlik Operasyon Merkezi tarafından Dark Web’de yapılan istihbarat çalışmaları sırasında tespit edildiği, veri sorumlusuna ait bir çalışanın kullanıcı adı ve parolasının belirlenemeyen bir şekilde ele geçirildiği ve o kullanıcı hesabı ile sistemde kayıtlı diğer kullanıcı verilerinin bir e-posta adresine gönderim yolu ile sızdırıldığı, ihlalden etkilenen ilgili kişi gruplarının çalışanlar ve vatandaşlar, kişisel verilerin ad, soyad, e-posta ve cep telefonu numarası olduğu ve ihlalden etkilenen kişi sayısının 208.000 olduğu bilgilerine yer verilmiştir.
Surtaş Otomotiv ve Servis Hizmetleri Sanayi Ticaret Ltd. Şti
İhlalin 16.07.2022 tarihinde gerçekleştiği ve aynı gün tespit edildiği, ihlalin veri sorumlusu çalışanına gönderilen SMS onay kodunun kendisini yetkili olarak tanıtan kişiye telefonla bildirmesi üzerine veri sorumlusunun online işlemler sisteminin ve çalışanın telefonundaki anlık bir haberleşme uygulamasının kontrolünün ele geçirilmesiyle gerçekleştiği, ihlalden etkilenen ilgili kişi gruplarının çalışanlar, müşteriler ve potansiyel müşteriler kişisel veri kategorilerinin kimlik (isim-soy isim), iletişim (telefon numarası), görsel ve işitsel kayıtlar (profil fotoğrafı) olduğu ve ihlalden etkilenen kişi sayısının tahmini olarak 1200 olduğu bilgilerine yer verilmiştir.
NeoPets Inc.
İhlalin 17.07.2022 tarihinde gerçekleştiği ve veri sorumlusunun 20.07.2022 tarihinde sistemlerinin bir kısmına yönelik siber saldırı gerçekleştiğini fark etmesiyle tespit edildiği, bir forum sitesinde saldırgan tarafından, veri sorumlusuna ait olan online platformdan yaklaşık 69 milyon mevcut ve eski kullanıcının verilerinin ele geçirildiğine dair paylaşım yapıldığı, kaynak kodlarını ve veri tabanını satmak amacıyla ilan yayımladığı; ihlalden kullanıcıların, abonelerin/üyelerin ve çocukların etkilendiği, kişisel veri kategorilerinin kimlik, iletişim ve işlem güvenliği olduğu ancak araştırmaların devam ettiği, ihlalden etkilenen kişi ve kayıt sayısı henüz tespit edilememekle birlikte ihlale konu olan online platforma kayıtlı 3.5 milyon aktif ve 65 milyon aktif olmayan hesabın bulunduğu ve veri sorumlusunun daha ayrıntılı bilgi edinmek adına bir adli bilişim firması ile çalışmaya başladığı bilgilerine yer verilmiştir.
KURUL KARAR ÖZETLERİ
“İlgili Kişinin ‘El Geometrisi’ Bilgisinin Bir İşletmenin Hizmet Binasına Giriş Yapabilmek Amacıyla Veri Sorumlusu Tarafından Açık Rıza Alınmaksızın İşlenmesi” Hakkındaki Kişisel Verileri Koruma Kurulunun 07/07/2022 Tarihli ve 2022/662 Sayılı Karar Özeti
Bir işletmeye kayıt yaptırırken hizmet alanına giriş yapabilmek için firma yetkililerince ilgili kişinin açık rızası olmaksızın avuç içi ve parmak izi bilgisinin tarandığı ve bu verilerin şirket kayıtlarında işlendiği, hizmet sözleşmesinin feshedilmesinden sonra KVKK uyarınca veri sorumlusu şirkete başvuruda bulunulduğu, veri sorumlusu tarafından ilgili kişiye cevap verildiği ancak verilen cevabın yetersiz bulunduğu ifade edilerek konu hakkında gereğinin yapılması talep edilmiştir.
Cevap yazısında özetle; “El Geometrisi Terminali” adlı bir cihaz kullanıldığı ve bu cihazın parmak veya avuç izi alımından farklı olarak kişilerin “el geometrilerini” sisteme kaydettiği, cihaza konulan elin, yalnızca üst kısmının tarandığı, parmak izi veya avuç izinin bulunduğu elin iç kısmını tarayacak herhangi bir mekanizmanın cihazda bulunmadığı, bir başka ifadeyle, tıpkı bir insanın boyunun ölçülmesi gibi kişinin elinin ölçülerinin cihaz vasıtasıyla tarandığı, belirtilmiştir. Veri sorumlusu cevabi yazısında bu kişisel verinin biyometrik veri gibi özel nitelikli bir kişisel veri değil; kişinin yaşı, adı soyadı, iletişim numarası gibi genel nitelikli bir kişisel veri olduğu savunmasına dayanmıştır.
Kişinin el geometrisinin alınmasının, kişiyi doğru bir şekilde eşleştirmede tek başına yeterli bir husus olmadığı, El Geometrisi Terminali’nde yalnızca elin okutulmasının yeterli olmayışından ve ek olarak şifre girilmesini gerektiğinden belli olup parmak izi veya avuç içi okuma sistemleri gibi tek başına kişiyi belirlenebilir kılmamakta olduğu açıklamasında bulunulmaktadır. KVKK kapsamında ilgili kişinin el geometrisi verisinin ilgili kişinin üyeliğinin sonlanması akabinde ivedilikle silindiği ifade edilmiştir.
İlgili cihaz hakkında açık kaynaklar üzerinden Kurul tarafından araştırma yapıldığında; öncelikle cihazın isminin “… Biyometrik El Terminali” olduğunun görüldüğü ve el geometrisi okuma teknolojisinin, kullanıcıların el ve parmak gibi fiziksel karakteristiklerinin üç boyutlu bir ortamda ölçülebilmesi prensibine dayandığı belirtilmiş olup açıklamalarda biyometrik sistemlerin vazgeçilmez özelliğinin doğru sonuç alınması olduğu vurgulanarak el geometrisinde yanılma olasılığının 1/101.559.956.668.416 olduğu vurgulanmaktadır.
Veri sorumlusu tarafından başka bir kişi ile eşleme ihtimaline binaen şifre ile ikincil bir doğrulama olduğu ifade edilse de cihaza ilişkin açıklamalarda önce kod girilerek kişinin kendisine ait görüntüyü çağırdığı ve elini cihazın altına koyduğu anda doğrulamanın 1 sn’nin altında bir hızla gerçekleştiği ifade edilmektedir.
Kararda Danıştay 15. Dairesi’nin ilgili husustaki kararına, Avrupa Genel Veri Koruma Tüzüğü’ne, Avrupa İnsan Hakları Mahkemesi’nin ilgili husustaki kararına, Anayasa Mahkemesi görüşüne atıf yapılmaktadır.
Biyometrinin “yaşayan bir organizmanın ölçümü”nü ifade ettiği dikkate alındığında fizyolojik olmayan davranışsal nitelikteki bilgilerin dahi biyometrik veri tanımına dahil olduğu, veri sorumlusu tarafından el geometrisi bilgisinin ölçülebilir fizyolojik bir özellik olması nedeniyle otomatik şekilde doğrulanabilen kimlik denetleme tekniği ile işlendiğinin anlaşıldığı, cihaz aracılığıyla elin 31.000 noktadan üç boyutlu olarak taranarak elin ve parmakların analizinin yapıldığı, ilgili kişiyle eşleşmeye ilişkin yanılma oranının çok düşük olduğunun matematiksel olarak açık ve net olduğu dikkate alındığında fizyolojik özellik aracılığıyla gerçekleştirilen ve otomatik şekilde doğrulanabilen bir kimlik denetleme yöntemi olduğu, sonuç olarak, veri sorumlusu tarafından hizmet abonelerinin ve ilgili kişinin el geometrisinin çıkarılması suretiyle biyometrik bir yöntemle kimlik doğrulaması yapıldığı, bu anlamda özel nitelikli kişisel veri işlendiği sonucuna varıldığı belirtilmiştir.
Veri sorumlusu bünyesindeki hizmet binasına girişlerde denetimin sağlanması amacıyla özel nitelikli kişisel verilerin işlenmesine ve bu bağlamda biyometrik veri bazlı sistemlerin kullanılmasına dair herhangi bir hukuka uygunluk nedeni olmadığı, bu çerçevede ilgili kişinin özel nitelikli kişisel verisinin KVKK’da yer alan herhangi bir işleme şartı mevcut olmaksızın işlendiği tespit edilmiştir.
İlgili kişinin özel nitelikli kişisel veri niteliğini haiz biyometrik veri kategorisindeki “el geometrisi” bilgisinin KVKK m. 12/1 hükmüne aykırı olarak işlendiğinden hareketle, KVKK m. 18/1/b uyarınca veri sorumlusu hakkında 100.000 TL idari para cezası uygulanmasına, veri sorumlusunun beyanı esas alındığında silme talebinin yerine getirildiği ve söz konusu kişisel verilerin silindiğine ilişkin ilgili kişinin bilgilendirilmesine, bunların üçüncü kişilere aktarılması söz konusu ise yok etmeye yönelik işlemlerin bunlara ivedilikle bildirilmesinin sağlanması ve sonuçtan Kurula bilgi verilmesi hususlarında veri sorumlusunun talimatlandırılmasına karar verilmiştir.
“Aynı İsme Sahip Bir Kişi Tarafından İnternet Üzerinden Sipariş Verilirken İlgili Kişinin E-Posta Adresinin Kullanılması Üzerine Faturanın İlgili Kişiye Gönderilmesi Suretiyle Kişisel Verilerinin İşlenmesi” Hakkında Kişisel Verileri Koruma Kurulunun 17/03/2022 Tarihli ve 2022/243 Sayılı Karar Özeti
İlgili kişinin, kendisi ile aynı isme sahip bir şahsın internet üzerinden hizmet veren veri sorumlusuna aynı isim ve e-posta ile üye olduğu ve sipariş verdiği, veri sorumlusunun e-posta adresinin doğruluğunu kontrol etmeden ve onaylamadan siparişe ilişkin faturayı ilgili kişiye gönderdiği belirtilerek veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.
Veri sorumlusunun cevabi yazısında, e-postanın ilgili kişiye ait herhangi bir veriyle eşleşmediği veya kişiye ait kimlik bilgilerinin işlenmediği, başka bir kullanıcı tarafından misafir girişi yapılarak alışveriş yapıldığı esnada isim benzerliği ile sehven bu e-posta adresinin kullanılarak sipariş oluşturulmasının mümkün olduğunun tespit edildiği ve bu durumun önüne geçmek amacıyla geliştirme çalışmalarına başlandığı ve planlar yapıldığı belirtilmiştir. Ayrıca KVKK m.12/5 hükmü ve Avrupa Genel Veri Koruma Tüzüğü tarafından yapılan veri ihlali tanımı dikkate alındığından Kuruma veri ihlal bildiriminde bulunulmadığı ifade edilmiştir.
Kurul’un vermiş olduğu kararda Vergi Usul Kanunu Genel Tebliği’nin e-fatura yükümlülüklerine atıf yapılmış olup ilgili hükmün KVKK m. 5/2/ç hükmü olan veri sorumlusunun hukuki yükümlülüğünün yerine getirilebilmesi için veri işlemenin zorunlu olması hukuki sebebine dayanılabileceği ifade edilmiştir. Söz konusu işlemde bir teyit mekanizmasının bulunmamasının, hak kaybına sebebiyet verebilmesinin yanı sıra internet sitesinde üye olmadan misafir girişi ile yapılan tüm alışveriş işlemlerinin veri ihlal riski taşıdığı anlamına da gelebileceği tespit edilmiştir.
Söz konusu işleme faaliyetinde KVKK 5. maddede yer alan herhangi bir işlem şartına dayanılmadığı ve KVKK’daki doğru ve gerektiğinde güncel olma prensibi ile m. 12/1. maddede sayılan yükümlülüklerini yerine getirmediği kanaatine varılan veri sorumlusu hakkında KVKK m. 18/1/b kapsamında 100.000 TL idari para cezası uygulanmasına karar verilmiştir. Ayrıca, Avrupa Genel Veri Koruma Tüzüğü’ne atıf yapan veri sorumlusuna KVKK hükümlerine uyum sağlanmasının öncelikli olduğu hatırlatılmıştır.
“Bir Bankanın Çağrı Merkezi Tarafından İlgili Kişinin Telefon Numarasının Üçüncü Kişilerle Paylaşılması” Hakkında Kişisel Verilerin Koruma Kurulunun 10/03/2022 Tarihli ve 2022/224 Sayılı Karar Özeti
İlgili kişi tarafından üçüncü bir kişinin kartının Banka ATM’sinde bulunması üzerine, kartın olay yerindeki güvenliğe teslim edilmesi ancak ilerleyen saatlerde kart sahibi tarafından ilgili kişiye şahsi telefon numarası üzerinden mesaj gönderilmesi sonucunda verilerin açık rıza alınmadan kart sahibine iletildiğinin anlaşılması üzerine, ilgili kişinin aydınlatılmadığı ve açık rıza göstermediği belirtilerek veri sorumlusu Banka hakkında gereğinin yapılması talep edilmiştir.
Veri sorumlusunun cevabi yazısında; işlenen kişisel verilerin genel olarak müşteri güvenliğinin sağlanması amaçları ile işlendiği, ayrıca aydınlatma metninin web sitesinde herkes tarafından erişilebilir olduğu ve böylece aydınlatma yükümlülüğünün yerine getirildiği, ilgili kişinin bilgilendirildiği ve rıza gösterdiği belirtilmiştir.
Kurul’un kararında özetle; çağrı merkezi aracılığıyla banka ile iletişim kurulduğunda arayan kişiye KVKK aydınlatma metninin sunulduğunun tespit edildiği, veri sorumlusu tarafından iletilen belgelerden; ilgili kişi, veri sorumlusunun internet sitesinde bulunan ‘bize ulaşın’ bölümünden başvuruda bulunurken, “Kişisel Verilerin Korunması Kanunu kapsamında yapılan Bilgilendirmeyi okudum, anladım” kutucuğunun işaretlendiği, bu anlamda veri sorumlusu Banka tarafından aydınlatma yükümlülüğünün yerine getirildiğinin anlaşıldığı belirtilmiştir.
Ancak çağrı merkezi personelinin öncesinde kartın güvenliğini sağladığı açıklamalarında bulunduktan sonraki ifadesinden ilgili kişinin bilgilerinin kart sahibi 3. kişiyle paylaşılacağı çıkarımında bulunulmasının makul bir beklentiye uygun olmadığı, aynı ifadeden kart güvenliğinin sağlanması ile bir vatandaş tarafından kartın bulunduğu bilgisinin paylaşılacağının anlaşılmasının daha beklenebilir olduğu, ilgili kişinin kendisi tarafından teslim edilmesine ilişkin öneriye olumsuz cevap verilmesinden de ilgili kişinin kişisel verilerinin paylaşılmasına bir rızasının bulunmadığı çıkarımında bulunulmasının mümkün olabileceği değerlendirilmiştir.
KVKK m. 12 çerçevesinde ilgili kişinin kişisel verisi niteliğindeki adı, soyadı ve telefon numarası bilgilerinin KVKK’ya aykırı olarak üçüncü kişiyle paylaşılmasından hareketle veri sorumlusu hakkında m. 18 kapsamında idari yaptırım uygulanmasına, veri sorumlusu banka tarafından aydınlatma yükümlülüğünün yerine getirildiği anlaşıldığından söz konusu iddia hakkında KVKK kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.
“Bir Alacak Yönetim Şirketi Tarafından İlgili Kişinin Borç Bilgilerinin Üçüncü Kişilerle Paylaşılması” Hakkında Kişisel Verileri Koruma Kurulunun 04/03/2022 Tarihli ve 2022/184 Sayılı Karar Özeti
İlgili kişinin kardeşi ve eşi adına kayıtlı hatlara veri sorumlusu alacak yönetim şirketinin unvanını taşıyan bir başlık altında SMS gönderildiği, bu SMS ile ilgili kişinin bir telekomünikasyon şirketine olan borcunun süresinin dolacağının ve borcun ödenmemesi halinde icra işlemlerine başlanacağının bildirildiği, ilgili kişinin ise kişisel verilerinin ifşa edilmesinden ötürü ilgili şirketin hukuk bürosuna başvuruda bulunduğu ancak kendisine yazılı bir cevap verilmediği; akabinde ilgili kişiye ait şahsi bilgilerin neden kendi telefonuna gönderilmediği ve ilgili telefon numaralarına nasıl ulaşıldığı yönünde bilgi talep edildiğinde “biz buluruz” şeklinde cevap verildiği belirtilmiştir. İlgili kişinin rızası olmadan kişisel verilerinin üçüncü kişilerle paylaşıldığı beyan edilerek KVKK kapsamında şikayetçi olunduğu ifade edilmiştir.
Kurul’un vermiş olduğu kararda veri sorumlusu tarafından iletilen cevap yazılarından; veri sorumlusunun çağrı merkezini arayarak bir borç hakkında bilgi talep edilmesi halinde arayan kişiye herhangi bir bilgilendirme yapılmaksızın ve KVKK 5. maddesinde yer alan herhangi bir işleme şartına dayanmaksızın arayan kişilerin telefon bilgilerinin sisteme otomatik olarak kaydedilmek suretiyle işlenmesi ve bu kişilerle başka şahısların kişisel verisi niteliğindeki borç bilgisine ilişkin bilgi paylaşımında bulunulduğu kanaatine varılması nedeniyle veri sorumlusunun KVKK m. 12/1. fıkrası çerçevesinde kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı tespit edilmiştir. Bu sebeple veri sorumlusu hakkında KVKK m. 18/1/b uyarınca 50.000 TL idari para cezası uygulanmasına, bilgi almak amacıyla arayan kişilerin iletişim bilgilerinin kaydedilmesi uygulamasına son verilmesi ve sonucundan Kurula bilgi verilmesi hususunda talimatlandırılmasına karar verilmiştir.
“Yurt Dışında Mukim Veri Sorumlusunun Türkiye’Deki İrtibat Bürosu Tarafından İşe Alım Sürecinde Adaylardan Özel Nitelikli Kişisel Veri Talep Edilmesi” Hakkında Kişisel Verileri Koruma Kurulunun 24/02/2022 Tarihli ve 2022/172 Sayılı Karar Özeti
İlgili kişinin işe kabulü sırasında veri sorumlusunun irtibat bürosu tarafından kendisinden adli sicil kaydı, sağlık raporu, kan grubu belgesi, ehliyet fotokopisi, evlilik cüzdanı fotokopisi vb. istendiği ancak bu özel nitelikli kişisel verilerin işlenmesi için açık rıza alınmadığı ve KVKK m. 4’te sayılan genel ilkelere aykırılık teşkil ettiği, bilgilerin yurt dışına da aktarılmış olabileceği; ilgili kişinin başvurusuna veri sorumlusu tarafından 30 günlük yasal süre içinde herhangi bir yanıt verilmediği belirtilmiş ve KVKK hükümleri uyarınca gerekli işlemlerin yapılması talep edilmiştir.
Türkiye’deki irtibat bürosunun cevabi yazısında ise, kendilerinin münferit bir tüzel kişiliği ve ticari faaliyeti haiz olmadığı, söz konusu kişisel verilerin, iş akdi gereği, “özlük dosyası” mahiyetinde olduğu, ilgili yasal mevzuat ile kanunlarda belirlenen meşru amaca uygun olarak muhafaza edildiği, iş akdinin sonlandırılmasını müteakip söz konusu kişisel verilerin imha edildiği belirtilmiştir.
4857 sayılı İş Kanunu hükümlerinden hareketle “veri sorumlusu” sıfatının irtibat bürosuna değil, bizzat yurt dışı merkezli şirkete ait olduğu, ilgili kişinin veri sorumlusuna İrtibat Bürosu yetkilisi ve işveren vekili vasıtasıyla yaptığı tebligatın yurtdışında mukim yetkili noter tarafından onaylanan ve düzenlenen vekaletnameyle veri sorumlusu adına yetkilendirildiğinden hukuken muteber ve geçerli olduğu, ilgili kişi tarafından yapılan başvuruya vaktinde yanıt verilmediği, yurt dışına veri aktarılmasının hukuka aykırı olmadığı ancak bunun yegane yolunun ilgili kişinin açık rızasının alınması olduğu anlaşılmıştır.
Öte yandan, veri sorumlusu tarafından şirket merkezi ve irtibat bürosu nezdinde ilgili kişiye ait tüm kişisel verilerin imha edildiği iddia edilmekle birlikte bunu destekleyen bir belgenin de Kuruma sunulmadığı, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik m. 7/3 uyarınca veri sorumlularının, yaptıkları silme işlemlerini evraka bağlamak ve söz konusu vesaiki talep edildiği takdirde resmî makamlara sunmak zorunda oldukları belirtilmiştir.
İlgili kişiden alınan açık rızanın hukuka uygun olduğuna kanaat getirilse de söz konusu verilerin imha edildiğine dair destekleyici bir belgenin Kuruma intikal ettirilmemesi sebebiyle veri sorumlusunun; ilgili kişilerin başvuruları konusunda azami dikkat ve özeni göstermesi ve verilerin imha edildiğini gösterir belgenin ilgili kişiye iletilerek Kurula bilgi vermesi hususlarında talimatlandırılmasına karar verilmiştir.
“Unvanında İlgili Kişinin Adının Geçtiği Bir Şirket Hakkında Başlatılan İcra Takibine İlişkin Dosya İçeriğinin Sosyal Medyada Paylaşılması Hakkında” Kişisel Verileri Koruma Kurulunun 10/02/2022 Tarihli ve 2022/103 Sayılı Karar Özeti
Veri sorumlusu ile yapılan alışveriş sonrasında veri sorumlusu tarafından ilgili kişinin adının geçtiği şirket (“Şirket”) hakkında icra takibi başlatıldığı, bu süreçte ise bir şahıs tarafından sosyal medya platformu Facebook üzerinden herkese açık bir grupta davayla ilgili belgelerin paylaşılacağına dair bir yorum yapıldığı, paylaşımı yapan şahsın araştırmalar neticesinde veri sorumlusu firmanın muhatabı olarak tanındığı, bahsi geçen şahısla ilgili kişinin hiçbir ticari ilişkisi olmamasına rağmen icra dosyası içerisinde yer alan kişisel verilerinin 3. kişilerle paylaşılması suretiyle kişilik haklarının ihlal edildiği gerekçesiyle KVKK kapsamındaki hakları uyarınca veri sorumlusuna başvuruda bulunulduğu ancak süresi içinde bir yanıt alınamadığı ifade edilmiştir.
Veri sorumlusunun cevabi yazısında özetle: Şirketin, sosyal medya paylaşımlarına ilişkin Cumhuriyet Savcılığına intikal eden şikâyette taraf olduğu, şikâyete konu tarafın şahıs değil tüzel kişi olması dolayısıyla ve suçun yasal unsurlarının oluşmadığı gerekçesiyle hakaret suçundan kovuşturma yapılmasına yer olmadığına karar verildiği, paylaşımları yapan şahsın o tarihlerde Şirketin yarı zamanlı çalışanı olduğu sonradan firmadan ayrıldığı, akabinde veri sorumlusu nezdinde çalışmaya başladığı belirtilmiştir.
Şikâyetçi tarafın veri sorumlusu Şirkette bu şahsın portföyünde bulunduğu, Şirketin mal alımına ilişkin ödeme yapmadığı ve icra takibi başlatıldığı, şahsın bundan çok zarar gördüğü için diğer firmaların da bu Şirketten zarar görmemesi adına üyesi olduğu bir Facebook grubunda Şirket ile yaşanan durumu izah ettiği, ispat olarak dava dosyasının ön kapağını okunmayacak şekilde paylaştığı, ancak bu paylaşımın yayımlanmadan silindiği ve üçüncü şahısların söz konusu paylaşımı görmediği, olay sonrasında bahsi geçen şahsın gruptan çıkarılarak engellendiği ifade edilmiştir.
Kurulun karar özetinde KVKK’nın yanı sıra 95/46/AT sayılı Veri Koruma Direktifine dayalı olarak hazırlanan Madde 29 Veri Koruma Çalışma Grubu’nun 04.06.2007 tarihli ve 4/2007 sayılı Görüşü’nün “kişisel veri” kavramına yönelik bakış açısına yer verilmiştir. Tüzel kişilik bilgilerinin gerçek kişilerle ilişkili olması halinde değerlendirilmesi gereken kriterlerden bahsedilmiştir.
Şikâyete konu edilen şirket adında ilgili kişinin ad ve soyadı geçse de sosyal medyada yapılan paylaşımlarda tüzel kişiliğin hedeflendiği anlaşıldığından ve söz konusu veri gerçek kişiye değil tüzel kişiliğe ait bir veri olarak değerlendirildiğinden şikâyet konusunun KVKK kapsamında olmadığı kanaatine varılması nedeniyle yapılacak bir işlem olmadığına karar verilmiştir.
“Sağlık Sektöründe Faaliyet Gösteren Veri Sorumlusu Tarafından İlgili Kişinin Kişisel Verilerinin Açık Rızası Alınmaksızın Ticarî Elektronik İleti Gönderilmesi Amacıyla İşlenmesi Hakkında” Kişisel Verileri Koruma Kurulunun 18/01/2022 Tarihli ve 2022/31 Sayılı Karar Özeti
İlgili kişi, e-posta adresine sağlık sektöründe faaliyet gösteren veri sorumlusu tarafından kendisinin açık rızası alınmadan ticari elektronik ileti gönderildiğini, Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ile KVKK uyarınca kişisel verilerinin hukuka aykırı olarak işlendiğini ve veri sorumlusunun gerekli idari ve teknik tedbirleri almada yetersiz kaldığını belirterek şikâyette bulunmuştur.
Veri sorumlusu savunmasında; ilgili kişinin e-posta adresinin hastaneye ilk başvuru sırasında Hastane Bilgi Yönetim Sistemi’ne kaydedildiğini, veri işleme faaliyetinin KVKK uyarınca “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” hukuki sebebine dayandığını belirtmiştir. Kişiye gönderilen e-postanın geçici koordinasyon eksikliğinden kaynaklandığını belirten veri sorumlusu, ilgili kişinin talebi üzerine ticari elektronik ileti gönderimine onay veren kişiler listesinden çıkarıldığını ve tekrar e-posta gönderilmeyeceğinin taahhüt edildiğini vurgulamıştır.
Kurul, hasta kaydının açılması noktasında ilgili kişinin kişisel verilerinin temin edilmesini hukuka uygun bulmakla birlikte veri sorumlusuna kişisel verilerin, elde edilme amaçlarıyla bağlantılı olarak kullanılmamasının veri işleme faaliyetini hukuka aykırı hale getireceğini hatırlatmıştır. Kişinin e-posta adresine reklam ve pazarlama niyeti ile gönderilen elektronik iletinin, kişisel verilerin ilk aşamada talep edilmesine zemin hazırlayan hukuki sebepler ile bağdaşmadığını değerlendiren Kurul, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli gerekli idari ve teknik tedbirleri almayan veri sorumlusu hakkında 100.000 TL idari para cezasına hükmetmiştir.
“İlgili Kişinin Eski Ortağı Olduğu Şirketin Sicil Bilgilerinin Görüntülendiği İnternet Adresinde Kişisel Verilerinin Hukuka Aykırı Olarak Paylaşılması Hakkında” Kişisel Verileri Koruma Kurulunun 06/01/2022 Tarih ve 2022/6 Sayılı Karar Özeti
İlgili kişi, internet sitesinde eski ortağı olduğu şirkete ait sicil bilgilerinin şirkete bağlı bilgilerin altında yazılı olduğunu ve kişisel verilerinin üçüncü kişiler ile rızası olmadan paylaşılmasını istemediğini belirterek Ticaret Odası’na başvuruda bulunmuş, Ticaret Odası ilgili kişi talebinin Türk Ticaret Kanunu (“TTK”) ve Ticaret Sicili Yönetmeliği uyarınca yerine getirilemeyeceğini belirterek talebi reddetmiştir.
Veri sorumlusu Ticaret Odası’nın Kurul’a sunduğu cevabı yazısında; şirketin ortaklık yapısına ilişkin değişikliklerin mevzuat gereğince tescili ve ilanı ile kişinin eski ortak olarak görünmesinin aleni bilgiler olduğu, ilgili ilanlarda kimlik numarası ya da adres gibi kişisel verilere yer verilmediği, bu kapsamda TTK ile Ticaret Sicili Yönetmeliği’nin ilgili maddeleri kapsamında üçüncü kişilerin incelemesine açık olan bilgilerin internet sayfasındaki firma bilgileri içerisinde yer aldığı ifade edilmiştir.
Kurul verdiği kararda, TTK ve ilgili diğer mevzuatta düzenlenmekte olan hususlar ışığında yapılmakta olan uygulamaların Kanun’da belirtilen “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkeleri ile bağdaştığını belirtmiş; bilgilere ticaret odası sayfasında bulunan bilgi bankası platformundan ulaşılabileceğini, verilerin yayınlanmasının ticaret sicil gazetesinde yayınlanma amacından farklı bir amaç taşıdığına ilişkin bir emarenin olmadığını vurgulamıştır.
Tüm bu değerlendirmeler ışığında, her ne kadar şirketin eski ortağı olan kişinin sorgulama sayfasında adı, soy adı ve sermaye miktarına ulaşılabiliyorsa da, söz konusu kişisel verilerin işlenmesini gerektiren sebepler ortadan kalkmadığından, KVKK kapsamında herhangi bir işlem uygulanmasına gerek olmadığı kanaatine ulaşılmıştır.
“Araç Kiralama Programları Yazılımcısı Ve Satıcısı Firmalar Tarafından, İlgili Kişilerin Verilerinin İşlenmesi Ve Bu Verilerin Araç Kiralama Firmaları Arasında Paylaşılmasını Sağlayan Bir Kara Liste Programı Oluşturulması Hakkında” Kişisel Verileri Koruma Kurulunun 23/12/2021 Tarihli ve 2021/1303 Sayılı Karar Özeti
Veri sorumlularının araba kiralama yazılımı üreticileri veya satıcıları olduğu, yazılımları kullanan araba şirketlerinin müşteriler hakkında elde ettikleri kişisel verileri kayıt altında tuttukları fakat bu verilerin, müşterilerin rızası olmadan bir kara liste uygulaması şeklinde aynı yazılımı kullanan diğer şirketlerin erişimine açık tutulduğu ve bu kapsamda ifşa edildiği ifade edilmiştir.
Araç kiralama yazılımı üreticisi şirketler tarafından Kurum’a gönderilen cevaplarda genellikle operasyon yönetimi için araç kiralama sözleşmesinde zorunlu olan bilgiler ile kamu kurum ve kuruluşlarının zorunlu olarak istediği kimlik ve ehliyet gibi bir takım kişisel verilerin kaydının tutulması gerektiği belirtilmiştir. Bazı yazılım şirketleri, ilgili uygulamanın “sorunlu müşterilere” istinaden başka araç kiralama firmalarından araç kiralanmak istendiğinde müşteri hakkında sorun arz eden uyarıyı ve yorumları ilgili araç kiralama firmasına iletmek amacını da taşıdığı belirtilmiştir. Araç kiralama yazılımı üreticisi şirketler, müşterileri olan araç kiralama firmalarının hukuka aykırı kullanımlarından sorumlu olmayacaklarını dile getirmiştir.
Kurul, aynı konu özelinde vermiş olduğu 23.12.2021 tarihli ve 2021/1303 sayılı Kararı’na atıf yapmış, ortak veri sorumlusu kavramını bir kez daha gün yüzüne çıkartmıştır. Kurul, yazılım şirketlerinin sundukları hizmet gereği veri tabanını ve yazılımın yönetimini bünyelerinde bulundurmaları, kendi bünyelerinde admin yetkisine sahip kullanıcılar atamaları, araç kiralama şirketlerinin yazılım kodlarına müdahale edemiyor olması ve bu sebeple müşteri yönetim yetkilerinin sınırlandırılması gibi sebeplerle veri sorumlusu olarak hareket ettiklerinin açık olduğunu belirtmiştir. Araç kiralama şirketlerinin ise bariz bir şekilde veriler üzerinde yazılım şirketleriyle sorumlu olmaya devam edeceği belirtilmiştir.
Yazılım şirketlerinin araç kiralama firması müşterilerine ait verileri işleme noktasında bir yasal yükümlülüğü bulunmadığından verilerin ancak meşru menfaat kıstasıyla araç kiralama firmasının “iş ortakları, şubeleri veya acenteleri” ile paylaşılmasının mevzuat uyarınca mümkün olacağı değerlendirilmiştir. Aktarıma taraf olacak kişi ve kişi gruplarının veri sorumlusu tarafından aydınlatılmaması, aktarımın araç kiralama firmaları arasında değil, öncelikli olarak sisteme yapılması, bu kapsamda kişisel verilerin hangi firmalar tarafından görülebileceğinin öngörülememesi sebebiyle veri işlemenin temel ilkelerine ve aktarıma ilişkin genel prensiplere aykırılık oluştuğu gözlemlenmiştir.
Kararda, şirketin menfaatinin ilgili kişinin temel hakları ile yarışabilir olması, menfaate ulaşılabilmesi için veri işlemenin zorunluluk arz etmesi, menfaatin açık ve belirli olması ve şirketin kişisel veri işlemeden ilgili menfaate ulaşabilmesinin olanaksız olması gerektiğinin altı çizilmiştir. Kurul, veri sorumlusu olan yazılım şirketlerinin verileri işleme yöntemini KVKK genel ilkelerine aykırı bulmuş, veri sorumluları; Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca ilgili kişisel verileri imha etme hususunda talimatlandırılmıştır.
“Bir Sigorta Şirketi Tarafından İlgili Kişinin Banka Verilerinin İşlenmesi Hakkında” Kişisel Verileri Koruma Kurulunun 16/12/2021 Tarihli ve 2021/1262 Sayılı Karar Özeti
İlgili kişi, banka bilgilerini veri sorumlusu sigorta şirketi ile paylaşmamış olmasına rağmen sigorta şirketinin bu verileri hukuka aykırı olarak işlediğini ifade ederek vekili aracılığı ile ilgili kişi başvurusu yapmış ve bahsi geçen verilerin silinmesini talep etmiş, talebinin yanıtsız kalması akabinde Kurul’a başvurmuştur.
Veri sorumlusu, verilerin işlenme amacının poliçe prim tahsilatının yapılabilmesi ile poliçeden doğan yükümlülüklerinin yerine getirilmesi olduğunu açıklamıştır. Olayla ilgili Tüketici Hakem Heyeti kararı bulunması nedeniyle poliçeden doğan kesinleşmiş yargı kararı ile sabit hasarı tazmin etme yükümlülüğünün yerine getirilmesi amacıyla kişinin Şirket kayıtlarındaki banka hesabına ödeme yapılması suretiyle banka bilgilerinin işlendiği ve Tüketici Hakem Heyeti kararının yerine getirilmesi noktasında ödemeye ilişkin hesap bilgilerinin yasal yükümlülük gereği 10 yıl muhafaza edilmesi gerektiği vurgulanmıştır.
Veri sorumlusu yaptığı savunmada ayrıca kişinin vekili aracılığıyla yaptığı başvuruda sunulan vekaletnamenin “genel vekaletname” olduğunu, talep edilen bilgilerin kişiye sıkı sıkıya bağlı hak olan kişisel verilerin işlenmesine yönelik olması sebebiyle ilgili kişi yerine KVKK m. 11 haklarını kullanan vekilin özel yetki içeren bir vekaletname sunması gerektiğini ve talebin bu sebeple cevaplanmadığını belirtmiş olsa da Kurul, mevzuatta özel vekaletnameye ilişkin bir düzenlemenin bulunmaması nedeniyle bu şartın aranmaması gerektiğini vurgulayarak veri sorumlusunun başvuru formunda belirttiği özel yetki şartının kaldırılmasına karar vermiştir. Diğer hususlarda ise savunmayı haklı bulan Kurul; KVKK m. 5/2-c ve ç bendindeki hukuki sebeplere uygun olarak kişisel veri işlendiğinden hareketle bir işlem tesis etmeyi gerekli görmemiştir.
İlgili Kişinin Kişisel Verilerinin İş Akdinin Sona Erdiği Veri Sorumlusu Şirket Tarafından Hukuka Aykırı Olarak İşlenmesi Hakkında Kişisel Verileri Koruma Kurulunun 16/12/2021 Tarihli Ve 2021/1258 Sayılı Karar Özeti
İlgili kişi, bünyesinden ayrıldığı veri sorumlusu şirkette yüz tanıma ve parmak izi sistemleri vasıtasıyla işe giriş çıkış yapıldığını, yurt dışına veri aktarımının bulunduğunu, kişisel verilerin işlenmesinde veya aktarılmasında herhangi bir açık rıza sürecinin işletilmediğini belirterek Kurum’a şikâyette bulunmuştur. İlgili kişi, veri sorumlusuna başvuru yollarının tarafına bildirilmemesi ve herhangi bir başvuru formunun bulunmaması noktalarında da veri sorumlusunun aydınlatma yükümlülüğünü hukuka uygun olarak yerine getirmediğinin altını çizmiştir.
Şikâyete binaen savunması alınan veri sorumlusu; ilgili kişinin imzaladığı iş sözleşmesinde kişisel verilerin korunmasına yönelik ifadeler bulunması nedeniyle aydınlatma yükümlülüğünü yerine getirdiğini, şirketin yalnızca çalışanlar için kurduğu sosyal ağ sitesinde bulunan aydınlatma metni ile ilgili kişi başvuru yollarının ayrıntılı şekilde açıklandığını, parmak izi ve yüz tarama gibi biyometrik veri niteliğindeki kişisel verilerin şirket ve çalışan güvenliği için alındığını, yurt dışına veri aktarımının ise bulunmadığını ifade etmiştir.
Kurul kararda kişisel veri işlenmesinde uyulması zorunlu ilkelere değinerek şirketin işleme yönteminin bu ilkeler ile bağdaşmadığını dile getirmiştir. İş sözleşmesinin içerisinde yer verilen maddelerin aydınlatma ve açık rıza metinlerinde bulunması gereken asgari unsurları içermeyen, karma bir metin şeklinde ele alınması nedeniyle Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e göre usulüne uygun bir aydınlatma olmadığı vurgulanmıştır. Kurul, kişinin iş sözleşmesini imzalamadan işe başlamasının imkânsız olduğunu ortaya koymuş, iş sözleşmesi ile iç içe verilen açık rıza beyanının ilgili kişinin özgür iradesine dayandığından söz edilemeyeceğini açıkça ifade etmiştir.
Pek çok kararda yer aldığı üzere Kurul, özel nitelikli kişisel verilerin işlenmesinde ölçülülük ilkesinin önemine bir kez daha değinmiş, şirket çalışanlarının güvenliği için biyometrik verilerin kullanılmasını gerektirmeyen ve aynı amaca hizmet eden sistemler (manyetik kart vb.) mevcut iken parmak izi ve yüz tanıma sistemlerinin kullanılmasının oldukça ölçüsüz olduğunu belirtmiş ve veri sorumlusuna 125.000 TL idari para cezası uygulanmasına karar vermiştir.
“İlgili Kişinin, Bir Sadakat Programı Kapsamında Veri Sorumlusunca Hukuka Aykırı Kişisel Veri İşlendiği Yolundaki İhbarı Hakkında” Kişisel Verileri Koruma Kurulunun 05/07/2019 Tarihli ve 2019/198 Sayılı Karar Özeti
Kurum’a intikal eden dilekçede, veri sorumlusunun mağazasında sattığı bazı ürünlere ilişkin indirimi yalnızca “sadakat kart” üyesi müşterilerine uyguladığı; sadakat kart üyesi olarak ilgili kartı temin etmenin kişisel verilerin paylaşılması ile açık rıza verilmesi şartına bağlandığı ve bu kapsamda açık rıza vermenin müşteriye bir “koşul” olarak dayatılması sebebiyle müşterinin hizmet alma imkanının zedelendiği belirtilmiştir.
Veri sorumlusu savunmasında, aydınlatma metni ile birlikte sunulan açık rıza metninde açık rızanın hangi amaçlarla talep edildiği açıklanarak belirli bir konuya ilişkin olma şartının karşılandığını; sadakat kart temin etmek istemeyen müşterilerin internet sitesi veya mağaza üzerinden alışveriş imkanının her daim bulunduğunu, sadakat kart temini ile yararlanılan indirimin ana ürün veya hizmetin sunumuna ilişkin olmayıp ek menfaat niteliğini ihtiva ettiğini ve tüm bu açıklanan sebeplerle hizmetin ön şartı olarak değerlendirilemeyeceğini ifade etmiştir.
Veri sorumlusu yaptığı savunmada Avrupa Birliği Veri Koruma Hukuku Hakkında El Kitabı’nda (Handbook on European Data Protection Law) da geçen benzer bir duruma atıf yaparak ek menfaatlerin açık rıza koşuluna bağlanmasının özgür iradeyi ortadan kaldırmayacağını vurgulamıştır. El Kitabı’na göre, “müşteri ile şirket arasında bir altüst bağı yoktur ve rıza verilmemesinin sonuçları veri sahibinin özgür iradesini etkileyecek kadar ciddi değildir” denmekte olup diğer bir deyişle bahsi geçen indirim özgür iradeyi etkileyecek büyüklükte değildir.
Kurul da verdiği kararda benzer değerlendirmelere giderek “sadakat kart” ile sunulan indirimin bir ek menfaat olması ve alışveriş imkanını ortadan kaldırmaması sebebiyle ürün ve hizmetten yararlanma kapsamında ön şart olarak görülemeyeceğini belirtmiş, KVKK kapsamında yapılacak bir işlem olmadığına karar vermiştir.
- Etiketler:
- KVKK
- KVKK Bülteni
- Veri İhlalleri