20 Mart 2021 tarihinde Kişisel Verileri Koruma Kurumu’nun (Kurum) internet sitesinde 9 yeni karar yayımlandı. Söz konusu kararların özetlerini bilgilerinize sunarız.
- “İşverenin, işçisine ait kişisel verileri ve özel nitelikli kişisel verileri; aydınlatma yükümlülüğünü yerine getirmeden ve hukuka aykırı işlemesi” hakkında Kişisel Verileri Koruma Kurulunun 20.05.2020 tarihli ve 2020/404 sayılı Karar Özeti
İlgili kişi, çalıştığı şirketten Kanun’un 11. maddesi kapsamında bilgi talebinde bulunmuş ancak şirketten yeterli bir cevap alamamıştır. İlgili kişi, Kurul’a yaptığı şikâyette aşağıdaki hususlara yer vermiştir:
- Şirketin kendisine kişisel verilerin işlenmesine yönelik olarak genel bir bilgilendirme yaptığını ve verilerin işlenme ve saklama süreçlerine ilişkin bilgi vermediğini iddia etmiştir.
- Veri sorumlusunun kendisine verdiği cevapta bordro, disiplin süreçleri, özlük, performans değerlendirme süreçleri, masraf süreçlerine ilişkin bilgilerin farklı farklı programlarda tutulduğu bilgisi verilmiş ancak “Veri Güvenliği Politikası”nda da bu programlara erişim ve yetkilendirmeye ilişkin bilgiye yer verilmemiştir.
- Ayrıca çalışanlardan genel nitelikte Çalışan Muvafakatnamesi alınmakta olup, kendisi bu muvafakatnameye onay vermek istememesine rağmen onay vermek zorunda bırakılmıştır.
- Son olarak tüm çalışanların parmak izi vermek zorunda olduğunu ve bu süreçte herhangi bir aydınlatma metni bulunmadığını, açık rıza alınmadığını, biyometrik verilerin üçüncü taraf bir şirket ile paylaşılıp paylaşılmadığı ve yeterli güvenlik önlemleri ile saklanıp saklanmadığı hususlarında kendisine bilgi verilmediğini belirtmiştir.
Kurul tarafından yapılan değerlendirmede; her ne kadar veri sorumlusu tarafından Kuruma gönderilen savunma yazısında çalışan ve aday çalışanlarının her birine KVKK Aydınlatma Metni ve Açık Rıza metninin tebliğ edildiği ve çalışanların bu metinleri imza karşılığı olarak veri sorumlusuna teslim ettiği ifade edilse de bu yazıların ekinde aydınlatma metnine yer verilmediği belirtilmiştir.
Ayrıca “Kişisel Verilerin İşlenmesine İlişkin Çalışan Muvafakatnamesi”nin hem aydınlatma metni hem de açık rıza metni olarak düzenlendiği kabul edildiğinde, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’de yer alan hüküm gereği açık rıza ve aydınlatma metninin ayrı ayrı yerine getirilmesi gerektiği sebebiyle aydınlatmanın şekli olarak usulüne uygun yapılmadığı ifade edilmiştir. Muvafakatnamenin içerik olarak da aydınlatma yükümlülüğünü yerine getirmediği ve aşağıda belirtilen eksiklikleri taşıdığı tespit edilmiştir:
- Çeşitli kişisel veri kategorileri sıralandıktan sonra “sayılan kişisel veriler dahil olmak üzere ancak bunlarla sınırlı olmaksızın” ifadesine yer verilmesi,
- Hangi kişisel verilerin işleneceği (kategorik olarak) hususunun muğlak bırakılması,
- İşlenecek veri kategorileri sıralandıktan sonra veri işleme amaçları da art arda sıralanmak suretiyle hangi veri kategorisinin hangi amaçla işleneceğine dair herhangi bir açıklamaya yer verilmemesi,
- “uygun gördüğü diğer üçüncü kişilere ve/veya yurt dışında paylaşılabileceği” ifadesinin yer alması sebebiyle kimlere aktarım yapılacağının muğlak bir şekilde veri sorumlusuna bırakılması,
- Metinde biyometrik veri niteliğini haiz olan parmak izinin veri kategorileri içerisinde dahi sayılmaması.
Veri sorumlusu ayrıca savunmasında çalışan tarafından onayın verilmemesi sebebiyle özlük dosyasının tamamlanmamış kabul edileceğini belirtmiştir. Ancak Kurul bu durumun, çalışana rıza gösterme imkânının etkin bir biçimde sunulmaması anlamına gelmekte olduğunu ve verilen rızanın geçerli bir açık rıza beyanı olarak değerlendirilemeyeceğini belirtmiştir. Kurul ayrıca biyometrik verilerin işlenmesinin Kanun’un 4. maddesinde yer alan “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine de aykırı olduğu, “acil durum yönetimi sürecinin yürütülmesi, fiziksel mekân güvenliği ve yetkili kurum ve kuruluşlara bilgi verilmesi amaçları”nın farklı yollarla da hasıl olması mümkünken söz konusu veri işleme faaliyeti ile orantısız bir veri işleme yapıldığını tespit etmiştir. Bir diğer eksiklik olarak; kişisel verilerin aktarıldığı üçüncü kişiler arasında “Bu bölümde sayılan şirketlerin yerini alabilecek diğer şirketler” benzeri ifadelerin yer alması halinde, işlenecek kişisel verilerin tam olarak nereye aktarılacağının rıza verecek ilgili kişi tarafından tam olarak bilinemeyebileceğinden, bu şekilde verilen rızanın açık rıza olarak değerlendirilemeyeceği belirtilmiştir. Son olarak veri sorumlusu tarafından serverları yurt dışında bulunan hizmetlerin kullanımının yurt dışına kişisel veri aktarımı olduğu ve Kanun’un 9. maddesine uygun hareket edilmesi gerektiği ifade edilmiştir.
Bu sebeple veri sorumlusu hakkında;
- Aydınlatma yükümlülüğünün yerine getirilmemesi sebebiyle 50.000 TL,
- Çalışanlarının ve yakınlarının açık rızaları olmaksızın kişisel verilerini ve özel nitelikli kişisel verilerini işlediği, işlediği özel nitelikli kişisel veriler bakımından ölçülülük ilkesine aykırı hareket ettiği ve bu verileri yine çalışanlarının açık rızası olmaksızın yurtiçi ve /veya yurtdışına aktardığı görüldüğünden, gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmemesi sebebiyle 200.000 TL
idari para cezası uygulanmasına karar verilmiştir.
Karara ulaşmak için: https://kvkk.gov.tr/Icerik/6913/2020-404
- “İlgili kişinin telefon numarası bilgisinin farklı veri sorumluları tarafından hukuka aykırı olarak işlenmesi”ne ilişkin Kişisel Verileri Koruma Kurulunun 09.02.2021 tarihli ve 2021/111 sayılı Karar Özeti
İlgili kişi tarafından yapılan şikâyette, yakınına ait bir borca ilişkin cep telefonuna iki adet kısa mesaj (SMS) gönderildiği; bu doğrultuda ilgili hukuk bürosuna ve alacak sahibi Şirkete başvuruda bulunduğu ancak verilen yanıtların birbiri ile çelişkili ve yetersiz olduğu ifade edilmiş ve 6698 sayılı Kanun kapsamında gereğinin yapılması talep edilmiştir.
Yapılan incelemede alacaklı Şirketin abonelerine ait borçların takibinin yapılabilmesi amacıyla iki aşamalı bir süreci ilgili Hukuk Büroları avukatları ile yürüttüğü ve Yasal Takip Sistemi (YTS) adı verilen ve üyelere ait bilgilerin bulunduğu sistemin kullanıldığı anlaşılmıştır. Karara konu olay özelinde ise şikâyetçiye ait GSM numarasının, ilk Hukuk Bürosu çalışanı tarafından temin edildiği ve Yasal Takip Sistemine bu büro çalışanı tarafından kaydedildiği görülmüştür. Söz konusu Hukuk Bürosu çalışanı tarafından numaranın borçlu kişinin yakınına ait olduğunu belirli kılacak şekilde ‘not’ olarak kaydedildiği, dolayısıyla borçlu kişinin yakını olması nedeniyle ilgili kişiye ait telefon numarasının YTS sistemine işlendiği anlaşılmıştır. Bu kapsamda Kurul, ilgili sistemde borçlu kişiye ait olmayan ve YTS sisteminde bulunmayan numarayı bir şekilde temin ederek işlemesi dolayısıyla ilk Hukuk Bürosu Avukatının olay özelinde veri sorumlusu olduğuna kanaat getirilmiştir. Ek olarak İlgili kişinin kişisel verilerinin açık rızası olmaksızın işlendiği iddiası ile ilgili olarak ilk Hukuk Bürosu Avukatından alınan savunmada, ilgili kişinin telefon numarasının farklı yollarla ulaşılabilmiş olacağı belirtilmiştir. Yapılan değerlendirmede ileri sürülen olasılıkların açık rıza dışındaki işleme şartlarına ilişkin bir hukuki dayanak oluşturmadığı tespit edilmiştir.
Bunlara ilaveten borçların tahsilatına ilişkin ikinci aşamada ilk avukatlık bürosunun YTS’ye girmiş olduğu verilerin ikinci Hukuk Bürosu ile paylaşıldığı görülmüştür. Yapılan incelemede şikâyetçiye kısa SMS gönderen ikinci Hukuk Bürosu Avukatından bahse konu telefon numarasının borçlu kişiye ait olmadığı bilgisinin mevcut ve açıkça belirli olduğu halde kullanılarak SMS gönderildiği hususu dikkate alınmıştır. Bu nedenle şikâyetçiye SMS gönderen ikinci Hukuk Bürosu Avukatının da YTS sistemi çerçevesinde kişisel veri işleme faaliyetinde bulunduğu dolayısıyla veri sorumlusu olduğuna karar verilmiştir.
Diğer taraftan söz konusu şikâyete konu olayda veri sorumlusu Şirket tarafından borç takibi yapılabilmesi amacıyla kullanılan sisteme ilk avukat tarafından girilen verilerin doğruluğu ve güncelliği noktasında gerekli denetim ve kontroller yapılmaksızın dosyanın ikinci bir avukat ile paylaşıldığı anlaşılmıştır. Bu nedenle 6698 sayılı Kanunun 4 üncü maddesine atıfta bulunularak söz konusu davranışın genel ilkelerden biri olan doğru ve gerektiğinde güncel olma ilkesine aykırılık teşkil ettiği sonucuna varılmıştır.
Bu çerçevede;
- İlk Hukuk Bürosu çalışanı tarafından şikâyetçinin telefon numarasının işlenmesine ilişkin olarak ileri sürülen hususların kişisel veri işleme şartlarından herhangi birine dayanak teşkil etmemesi sebebiyle veri sorumlusu Avukat hakkında 50.000 TL idari para cezası uygulanmasına,
- Sisteme girilen verilerin doğruluğu ve güncelliğini sağlama noktasında gerekli denetim ve kontroller yapılmaksızın paylaşılması, bu kapsamda veri sorumlusu Şirketin gerekli teknik ve idari tedbirleri almaması sebebiyle 115.000 TL idari para cezası uygulanmasına,
- YTS sisteminde bulunan telefon numarasının, kişinin yakınına ait olduğu bilgisi mevcut olmasına rağmen, veri sorumlusu Avukat tarafından kişisel veri işleme şartlarından herhangi biri söz konusu olmadığı halde işlenmesi sebebiyle 50.000 TL idari para cezası uygulanmasına
karar verilmiştir.
Karara ulaşmak için: https://kvkk.gov.tr/Icerik/6917/2021-111
- “Bir kargo firmasında çalışan ilgili kişinin iş akdinin haksız feshedilmesi sonrası özlük dosyası kapsamında yer alan kişisel verilerinin birer suretinin tarafına verilmesi talebine veri sorumlusu tarafından cevap verilmemesi” hakkında Kişisel Verileri Koruma Kurulunun 28.05.2020 tarihli ve 2020/435 sayılı Karar Özeti
Şikâyet dilekçesinde bir kargo firmasında görev yaparken iş akdinin haksız olarak feshedilmesinin ardından özlük dosyası kapsamında yer alan kişisel verilerinin birer suretini 6698 sayılı Kanun’un 11 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında talep edilmesine rağmen, 30 gün içerisinde herhangi bir cevap verilmediği belirtilmiştir. Bu nedenlerle veri sorumlusu hakkında yaptırım uygulanması ve özlük dosyası kapsamında yer alan kişisel verilerinin birer suretinin tarafına verilmesi amacıyla veri sorumlusunun talimatlandırılması talep edilmiştir.
Konuya ilişkin olarak veri sorumlusu kargo firmasından alınan savunmada; ilgili kişi tarafından yapılan başvuruda kişisel verilerine ilişkin bilgi talep etmediği, kendisi tarafından verilen belgelerin birer örneğini talep ettiği belirtilmiştir. Bu doğrultuda Kanunun 11 inci maddesinde ilgili kişinin haklarının düzenlendiği ancak ilgili kişinin veri sorumlusuna başvurarak kendisinden ilgili belge örneklerini isteyebileceğine ilişkin bir hakkın madde metninde düzenlenmediği ifade edilmiştir. Bu nedenle, Kanunda düzenlenmeyen bir konu olan belge örneği talebi içeren bu talebin Kanunun 11 inci maddesi kapsamında karşılanmasının mümkün olmadığı ileri sürülmüştür.
Kararda öncelikle ilgili mevzuat hükümlerine atıfta bulunulmuştur. Ardından Anayasanın 20 nci maddesinde yer verilen düzenleme ile “… kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme…” hakkına sahip olduğu ve Kanunun 11 inci maddesinin (1) numaralı fıkrasının (b) bendi çerçevesinde ise ilgili kişilerin kişisel verileri işlenmişse buna ilişkin bilgi talep etme hakkına sahip olduğunun düzenlendiği belirtilmiştir. Bu kapsamda ilgili kişinin veri sorumlusundan kişisel veri niteliğinde olan ilgili belgeleri Kanunun 11 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında talep ettiği, yukarıda anılan mevzuat kapsamında ilgili kişinin kişisel verilerine erişme hakkının olduğu ve bu hakkını veri sorumlusuna karşı ileri sürebileceği değerlendirilmiştir.
Diğer yandan veri sorumlusu tarafından, ilgili kişinin konu ile ilgili olarak yargı yoluna başvurduğu ve bu nedenle şikâyetin reddinin gerektiği ileri sürülmüştür. Ancak yapılan değerlendirmede söz konusu şikâyetin konusunun kişisel verilere ilişkin olması, suç unsuru barındırmaması ve açılan davanın kişisel verilere ilişkin bir dava olmaması sebepleriyle konunun kişisel verilere ilişkin olan yönünün ele alınmasında bir sakınca olmadığı sonucuna varılmıştır.
Bu kapsamda ilgili kişiye ait kişisel veri niteliğindeki bilgilerini içeren ilgili belgelerin birer örneğinin ilgili kişiye verilmesi ve veri sorumlusunun, ilgili kişiler tarafından Kanun kapsamında yapılan başvurulara yasal süresi içerisinde cevap vermesi noktasında azami dikkat ve özeni göstermesi gerektiği hususlarında talimatlandırılmasına karar verilmiştir.
Karara ulaşmak için: https://kvkk.gov.tr/Icerik/6916/2020-435
- “Hakkında hüküm verildiği suçtan dolayı cezası infaz edilen ilgili kişiye ait haberin yayımlandığı gazetenin internet sitesinden kaldırılması talebi” hakkında Kişisel Verileri Koruma Kurulunun 22.05.2020 tarihli ve 2020/414 sayılı Karar Özeti
Şikâyet dilekçesinde özetle; Google arama motorunda ilgili kişinin adı ve soyadının aratılması sonucunda veri sorumlusu Gazetenin internet sitesinde yer alan habere ulaşıldığı, bu haberde ilgili kişinin hüküm giydiği suça ilişkin bilgilerin yer aldığı belirtilmiştir. Anılan haberin 2009 Haziran dönemine ait olduğu, söz konusu cezanın tamamının infaz edildiği, ulaşılan haberler nedeniyle ilgili kişinin iş hayatının ve ailesinin bu durumdan olumsuz etkilendiği, ancak Gazeteye yapılan başvurunun aynı gün reddedildiği ifade edilmiştir. Bu doğrultuda haberlerin kaldırılması, ilgili kurumlara 6698 sayılı Kanun kapsamında idari para cezası verilmesi, veri işlenmesinin ve verinin yurt dışına aktarılmasının durdurulması, ilgili kurumlar hakkında Savcılığa suç duyurusunda bulunulması talep edilmiştir.
Veri sorumlusu Gazete savunmasında, Kanunun ‘İstisnalar’ başlıklı 28 inci maddesinin birinci fıkrasının (c) bendine atıfta bulunarak, kişisel verilerin ‘ifade özgürlüğü’ kapsamında işlenmesinin ‘hukuka uygunluk’ nedeni olarak değerlendirileceğinin açıkça ifade edildiğini belirtmiştir. Nitekim Gazetenin savunmasında esasen şikâyet konusu yazının ‘kamunun haber alma hakkı’ kapsamında kaleme alındığı ve istisnalar arasında olan ‘ifade özgürlüğü’ içerisinde değerlendirilmesi gerektiği ve 6698 sayılı Kanuna aykırı bir işlemin bulunmadığı” yönünde karar verilmesi talep edilmiştir.
Kararda ifade özgürlüğünün bir yansıması olan basın özgürlüğü ile kişilik hakları karşı karşıya geldiğinde haberin; kamu ilgi ve yararı taşıması, gerçek ve güncel olması ve özü ile biçimi arasındaki denge kriterleri kapsamında değerlendirilmesi suretiyle hangi hakka üstünlük tanınması gerektiğinin belirlenmesinin önem arz ettiği belirtilmiştir. Nitekim somut olay özelinde bu üç kriter üzerinden değerlendirme yapılmıştır. Konuya ilişkin yapılan inceleme neticesinde ilgili kişinin kendisine ilişkin verinin söz konusu habere konu edilerek yayımlanmasında hâlihazırda kamu yararı bulunduğu ve bu itibarla çatışan haklar bakımından ifade özgürlüğünün kişilik haklarına üstün geldiği sonucuna varılmıştır. Bu nedenlerle söz konusu başvuru Kanunun 28. maddesinin birinci fıkrasının (c) bendi çerçevesinde değerlendirilmiş ve ilgili kişinin şikâyeti ile ilgili olarak Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.
Karara ulaşmak için: https://kvkk.gov.tr/Icerik/6915/2020-414
- “İlgili kişinin araç kiralama hizmeti alması esnasında kişisel verilerinin işlenmesine dair açık rıza vermemesi üzerine kiralama hizmetinden yararlandırılmaması”na ilişkin Kişisel Verileri Koruma Kurulu’nun 05.05.2020 tarihli ve 2020/335 sayılı Karar Özeti
Karara konu olan olayda şikâyet başvurusunda ilgili kişi, veri sorumlusu araç kiralama şirketinin hizmet noktasında, yetkilisi olduğu şirket adına kısa süreli araç kiralamak istediği, araç kiralama sözleşmesi ve ilgili belgelerin yetkili tarafından imzalanmasının talep edildiği, imzalanması talep edilen evrakları incelendiğinde önceki kiralamalardan farklı olarak kişisel verilerinin işlenmesine dair açık rıza verdiğine ilişkin evrakın da içinde bulunduğunu tespit ettiği, bunun üzerine kişisel verilerinin işlenmesine rıza göstermek istemediğini, bu nedenle de ilgili evrakı imzalamayacağını çalışana beyan etmesi üzerine araç kiralama işleminin gerçekleştirilmediğini ifade etmiştir. Sonrasında veri sorumlusuna yaptığı başvuru üzerine veri sorumlusu tarafından gönderilen yazıda taleplerine yönelik hiçbir cevap veya çözüm önerisinin yer almadığı gerekçesiyle Kurum’a başvurmuştur. Ancak bu şikâyet başvurusu ilgili kişinin çalıştığı şirket tarafından yapılmış ve veri sorumlusu da şirketi muhatap alarak cevap vermiştir. Kurum ise burada veri sorumlusuna başvuracak olan tarafın şirket değil, mağduriyet yaşayan şirket çalışanı olması sebebiyle ilgili kişiyi başvuruyu kendisinin yapması gerektiğine ilişkin öncelikle bilgilendirmiştir. Bunun üzerine ilgili kişi kendi adına veri sorumlusuna başvuruda bulunmuş olup veri sorumlusu tarafından başvuruya ilişkin cevap verilmemesi üzerine bir önceki şikâyet dilekçesine konu hususları tekrar ederek Kurum’a başvurmuştur.
Veri sorumlusu tarafından yapılan savunmada aşağıdaki hususlara yer verilmiştir:
- Şirketin araç kiralama sektöründe öncü konumda olmakla birlikte tekel niteliğinde olmadığı, müşterilerin serbest piyasa kapsamında dilediği başka araç kiralama şirketinden kiralama yapma olanağının bulunduğu,
- İlgili kişinin veri sorumlusuna 23.03.2018 tarihinde yazılı başvuruda bulunduğu, tarafına derhal yazılı cevap verildiği, şikâyete konu edilen 03.08.2018 tarihli yazının içeriği ile ilgili kişinin 23.03.2018 tarihinde gönderdiği ve veri sorumlusu tarafından cevaplanan yazının içeriğinin birebir aynı olduğu, bu nedenle ilgili kişinin tekraren aynı talepleri iletmesinin masraf açısından taraflarınca uygun olmadığının değerlendirilerek cevap verilmediği,
- Araç kiralama sektörünün giderek büyümesi ve kiralık araç sayılarındaki artış ile birlikte özellikle uyuşturucuya ilişkin suçlar, gasp, hırsızlık ve terörle ilintili suçlarda kiralık araçların kullanımının yaygınlaşması üzerine kanun koyucunun yasal düzenlemeye giderek kiralanan tüm araçların Kiralık Araç Bildirim Sistemine (KABİS) girişini zorunlu hale getirdiği,
- 6638 sayılı Kanun ile değişik 1774 sayılı Kimlik Bildirme Kanununun ilgili hükümlerinin 04.04.2015 tarihinde yürürlüğe girdiği,
- 1174 sayılı Kimlik Bildirme Kanunu Ek Madde 3’te “Araç kiralama şirketlerinin sorumlu işleticileri ve yöneticileri, kiralanan araç bilgileri ile aracı kiralayanların kimlik bilgileri ve kira sözleşmesi kayıtlarını usulüne uygun şekilde günü gününe tutmak ve bu kapsamda mevcut bilgi, belge ve kayıtları genel kolluk kuvvetlerinin her an incelemelerine hazır bulundurmak zorundadırlar.” şeklinde düzenleme yapıldığı,
- Bu düzenlemeye aykırı hareket eden, araç kiralamalarını sisteme girmeyen, istendiğinde bilgileri paylaşmayanlar hakkında cezai yaptırımlar öngörüldüğü, buna göre bu bilgilerin araç kiralama şirketi olarak alınmasının zorunlu olduğu, bu bilgilerin bilişim sisteminde arşivlenmesi maksadıyla yüklüce masraf ve gider yapıldığı, ayrıca bunlara veri paylaşım izni verilmediği takdirde fiilen araç kiralaması yapılmasının mümkün olmayacağı,
- Şirketin müşteriler ile imzaladığı sözleşmelerden kaynaklanan ilişkilerden doğan kanuni zorunlulukları uyarınca bu evrakları saklama ve yargı makamlarınca celbi talep edildiğinde ibraz etme yükümlülüğünün bulunduğu, Şirketin bu şekilde kanuni zorunlulukları bulunması nedeniyle şirketin veri işleyen sıfatını haiz olduğu kiralama hizmetine ilişkin kişisel verileri temin etmesi ve saklaması gerektiği, bu nedenle 6698 sayılı Kanun’a aykırı olarak hareket etmemek saikiyle ilgili kişinin kiralama hizmetinden yararlandırılmadığı,
- Taraflarının 6698 sayılı Kanun’a uygun hareket ettiği ve bu hususta da ilgili kişinin 29.03.2018 tarihli dilekçesine istinaden bilgilendirildiği, açıklanan tüm bu sebeplerle araç kiralaması yapmak isteyip kanunen zorunlu kişisel verilerinin işlenmesine muvafakat etmeyen ilgili kişi bakımından bu tutumun fiili ve hukuki imkansızlıklar nedeniyle mesnedi bulunmadığı.
Kurul tarafından yapılan değerlendirmede, veri sorumlusuna yapılan her iki başvurunun içeriği benzer olsa da birinci başvurunun ilgili kişinin yetkilisi olduğu tüzel kişilik adına, ikinci başvurunun ise ilgili kişinin kendisi tarafından yapıldığı belirtilmiştir. Bu husus göz önüne alındığında başvuruların içerik açısından aynı olsa dahi başvuran kişiler açısından farklı olması sebebiyle iki başvurunun aynı nitelikte olmadığı, bu sebeple ayrı bir başvuru olarak veri sorumlusu tarafından cevaplanması gerekirken herhangi bir cevap verilmediği ve veri sorumlusunun Kanun kapsamında kendisine yapılan başvurulara Tebliğ’e uygun olarak hareket etmediği tespiti yapılmıştır. Bu kapsamda veri sorumlusunun Tebliğ’e uygun hareket etmesi konusunda talimatlandırılmasına karar verilmiştir.
Kurul, ilgili kişinin kişisel verilerinin “kanunlarda açıkça öngörülmesi” ve “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” şartlarının var olması sebebiyle ilgili kişisel verilerin işlendiğini tespit etmiştir. Önceki içtihadına paralel olarak Kurul, karara konu olayda kişisel veri işleme şartlarının varlığına rağmen açık rıza alınmasının, ilgili kişinin yanıltılması ve yanlış yönlendirilmesi dolayısıyla veri sorumlusunca hakkında kötüye kullanılması anlamına geldiğini tespit etmiştir. Dolayısıyla 6698 sayılı Kanun’un 5. maddesinin ikinci fıkrasının söz konusu olmadığı diğer hallerde açık rıza alınması yoluna gidildiği ve açık rıza verilmemesi halinde hizmetten yararlandırılamayacağı dolayısıyla hizmetin açık rıza şartına bağlandığı ifade edilmiştir.
Bu nedenlerle araç kiralama hizmeti alımı esnasında veri sorumlusu tarafından 6698 sayılı Kanun’un 5. maddesinin ikinci fıkrasında yer alan işleme şartları dışındaki haller kapsamında hizmetten faydalanmak isteyen kişilerin kişisel verilerinin işlenmesi amacıyla toptan bir şekilde açık rıza alımı yoluna gidildiği, hizmetin ifası için gerekli olmamasına rağmen kişisel verilerin talep edildiği ve açık rıza verilmemesi durumunda da kişilere hizmet verilmediği dikkate alındığında; veri sorumlusu hakkında 50.000 TL idari para cezası uygulanmasına karar verilmiştir.
Karara ulaşmak için: https://kvkk.gov.tr/Icerik/6909/2020-335
- “İlgili kişinin kendisine iletilmesi gereken cevap yazısının veri sorumlusu tarafından resmi yazı şeklinde, çalıştığı birime gönderilmesi” hakkında Kişisel Verileri Koruma Kurulunun 05.05.2020 tarihli ve 2020/336 sayılı Karar Özeti
Söz konusu şikâyet başvurusunda ilgili kişi, personeli olduğu üniversiteye iletmiş olduğu dilekçesinin akıbeti hakkında kendisine bilgi verilmesini talep ettiğini ve bu kapsamdaki talebine ilişkin cevabın ise doğrudan ve sadece kendisine verilmesi gerekirken başvurusunun halihazırda görevli olduğu aynı üniversitenin meslek yüksekokulu müdürlüğüne iletildiğini ifade etmiştir. Ayrıca bu yazının tüm taraflara açık biçimde yazılmış ve personele iletilen alelade resmi yazı şeklinde iletildiği, ilgili kişinin üçüncü kişilerin erişimine açılan kişisel bilgilerinin 6698 sayılı Kanun kapsamında korunmasına yönelik olarak veri sorumlusundan gerekli tedbirleri almasını talep ettiği ancak yasal süre içinde gerekli tedbirlerin alınmadığı ve tarafına cevap verilmediği belirtilerek 6698 sayılı Kanun kapsamında gereğinin yapılması için talepte bulunduğu belirtilmiştir.
Üniversite tarafından Kurum’a iletilen cevap yazısında, ilgilinin başvurusunda yazı içeriğinde kendisine ait ad, soyad, unvan ve sicil numarasına yer verilerek kişisel bilgilerinin üçüncü kişilerin erişimine açıldığının belirtildiği ancak ilgilinin zaten üniversiteye bağlı bir birimde görevli olması sebebiyle bu bilgilerin çalıştığı birimde bulunması zorunlu olan bilgiler olduğu belirtilmiştir. Buna ek olarak başvuruya dilekçenin geldiği sistem üzerinden bağlantı kurularak, herhangi bir kasıt olmaksızın cevapla butonu ile yanıt verildiği için doğrudan çalıştığı birime gitmesine neden olunduğu ve bu nedenlerle de ilgili kişinin kişilik haklarının korunması ilkesi doğrultusunda zedeleyici/yıpratıcı bir tutum sergilenmesinin söz konusu olmadığı ifade edilmiştir.
Yapılan incelemeler neticesinde öncelikle veri sorumlusunun kendisine yapılan başvuruya cevap vermemesinin başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırma yükümlülüğüne aykırı olduğu değerlendirilmiş ve veri sorumlusunun kendilerine yapılan başvurulara Tebliğe uygun olarak cevap verilmesi hususunda azami dikkat ve özenin gösterilmesi konusunda talimatlandırılmasına karar verilmiştir.
Buna ek olarak başvuruya konu olayda ilgili kişinin Bilgi Edinme Hakkı Kanunu kapsamında veri sorumlusuna yönelik başvurusuna verilen yanıtın, ilgili kişinin çalıştığı birime gönderilmesi suretiyle kişisel verilerinin açıklanmasında Kanunun 5. maddesi kapsamında herhangi bir hukuki dayanak söz konusu olmaması nedeniyle 6698 sayılı Kanun’un 18. maddesinin üçüncü fıkrası uyarınca işlem yapılmasına ve işlemin sonucu hakkında Kurul’a bilgi verilmesine karar verilmiştir.
Karara ulaşmak için: https://kvkk.gov.tr/Icerik/6910/2020-336
- “Bir tıp merkezinin internet sitesinde video tanıtım bölümü içerisinde görsel ve işitsel kişisel verileri işlenen ilgili kişinin başvurusuna veri sorumlusu tıp merkezi tarafından cevap verilmemesi” hakkında Kişisel Verileri Koruma Kurulunun 14.05.2020 tarihli ve 2020/379 sayılı Karar Özeti
Karara konu şikâyet başvurusunda, bir Tıp Merkezinin internet sitesinde pazarlama amaçlı olarak “Video Tanıtım” bölümü içerisinde şikayetçiye ait görsel ve işitsel kişisel verilerin işlendiği, şikayetçinin akdedilen iş sözleşmesinin sona ermesi sebebiyle bu verilerin işleme amacı veya konusunun kalmadığı gerekçesiyle veri işlemenin durdurulmasını ve verilerinin kaldırılmasını talep ettiği, bu çerçevede veri sorumlusuna başvurduğu, bildirimde bulunmasına rağmen yasal sürede ilgili kişiye bilgi verilmediği, internet sitesindeki videoların silinmediği ifade edilerek tarafına bilgi verilmesi için talepte bulunduğu belirtilmiştir.
Kurul tarafından, ilgili kişinin silme talebinin üzerinden makul süre geçmesine rağmen söz konusu kişisel veri işleme faaliyetine 6698 sayılı Kanun’un 5. maddesinde yer alan kişisel verilerin işlenme şartlarından herhangi birine dayanmaksızın devam edildiği, bu durumun ise Kanun’a aykırılık teşkil ettiği tespit edilmiştir.
Bu sebeple, veri sorumlusu hakkında 6698 sayılı Kanun’un 12. maddesinde kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almaması nedeniyle 75.000 TL idari para cezası uygulanmasına karar verilmiştir. Buna ek olarak ilgili kişinin talebi doğrultusunda işlenmesini gerektiren herhangi bir sebep bulunmaması durumunda veri sorumlusu tarafından ilgili kişiye ait işlenen tüm kişisel verilerin silinmesi veya yok edilmesi ve tevsik edici belgelerin ilgili kişiye ve Kurul’a gönderilmesi hususunda ve 6698 sayılı Kanun’un 13. maddesi kapsamında başvuruda bulunan ilgili kişilere cevap verilmesine ilişkin gerekli özeni göstermesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.
Karara ulaşmak için: https://kvkk.gov.tr/Icerik/6911/2020-379
- “İlgili kişinin tahlil sonuçlarının veri sorumlusu hastane tarafından hukuka aykırı şekilde üçüncü kişilere aktarılması” hakkında Kişisel Verileri Koruma Kurulunun 20.05.2020 tarihli ve 2020/407 sayılı Karar Özeti
İlgili kişi, şikâyete konu hastanenin Tüp Bebek bölümüne tahlil için başvurduğunda tahlil sonuçlarının e-posta yoluyla kendisinden başka bir e-posta adresine ve tanımadığı bir kişiye daha gönderildiğini fark etmiştir. Veri sorumlusu hastaneye ihtarname ile bilgi talebinde bulunmuş olup, hastane hatanın kabul edildiğini içeren bir cevap vermiştir. Bunun üzerine Kurul’a yapılan şikâyet başvurusu kapsamında veri sorumlusunun savunması alınmış ve hastane özetle; tahlil sonuçlarının aynı gün aynı test için hastalarını hastane laboratuvarına yönlendirmiş olan başka bir doktorun özel asistanına ve hastaların kendilerine e-posta olarak iletildiğini belirtmiştir. Ayrıca yetkilendirmeye ilişkin değişikliklerin yapılacağını ifade etmiştir.
Kurul, tahlil sonuçlarının özel nitelikli kişisel veri olduğunu belirterek, hastaneden bağımsız şekilde çalışan ve ayrı bir gerçek kişi veri sorumlusu olarak değerlendirilen doktorun asistanına mail atılmak suretiyle aktarılmasında Kanun’un 8. maddesi kapsamında bir hukuki dayanak bulunmadığına ve söz konusu aktarımın sehven yapıldığının beyan edilmesi sebebiyle kişisel verilerin hukuka aykırı olarak aktarıldığına karar vermiştir. Bunun üzerine Kurul, Kanun’un 12. maddesinde yer alan veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi sebebiyle 100.000 TL idari para cezası uygulanmasına karar vermiştir.
Ayrıca Kurul, veri sorumlusu Hastanenin veri sorumlusu olarak müdürü göstermeleri üzerine tüzel kişilerin, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendilerinin veri sorumlusu olduğunu ve hukuki sorumluluğun da tüzel kişinin şahsında doğacağını hatırlatmıştır.
Karara ulaşmak için: https://kvkk.gov.tr/Icerik/6914/2020-407
- “İlgili kişinin, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili özel nitelikli kişisel verilerinin özlük dosyasından çıkarılması talebi” hakkında Kişisel Verileri Koruma Kurulunun 20.05.2020 tarihli ve 2020/396 sayılı Kararı
İlgili kişi, memuriyete ilk giriş tarihinden önce hakkında verilmiş olan ceza kararının özlük dosyasında yer alması, verilen kararda yer alan beş yıllık denetim süresinin dolması ve davanın düşmesine karar verilmesi, kararın adli sicil kaydından silinmesi ve bu itibarla özlük dosyasında yer alan karar ve ilgili dosyanın kaldırılarak imha edilmesi için çalıştığı kuruma başvurmuştur. İlgili kişinin başvurusu reddedilmiş olup, ilgili kişi bu dosyanın açık rızası dâhilinde, resmi olarak güvenlik soruşturması yapılmadan, kurumunda çalışmaya ilk başladığı tarihte İl Yazı İşleri Müdürünün kendisine sözlü olarak güvenlik soruşturması yapması ve mahkeme sürecinin devam etmesi sebebiyle mahkeme kararını getirmesinin gerekmesi üzerine özlük dosyasına konulduğunu ve bu verinin özlük dosyasında var olmasını gerektiren bir sebebin bulunmadığını belirterek özlük dosyasında yer alan mahkeme dosyasının kaldırılmasını talep etmiştir.
Veri sorumlusu kurum, ilgili kişinin başvuru belgeleri arasında yer alan “Güvenlik Soruşturması ve Arşiv Araştırması Formu”nda “Hakkınızda Verilmiş Bulunan Mahkûmiyet Hükmü veya Halen Devam Eden Ceza Davası Bulunup Bulunmadığı” kısmının “Var” olarak beyan edilmesi nedeniyle, 657 sayılı Devlet Memurları Kanunu’nda yer alan şartlara engel teşkil edip etmediğinin tespiti amacıyla, söz konusu mahkeme kararlarının ilgili kişinin kendi isteği ile kuruma sunduğunu belirtmiştir.
Sonuç olarak; atamaya esas teşkil eden belgelerin neler olduğuna ilişkin olarak 657 sayılı Kanun’da herhangi bir hüküm yer almasa bile, özel nitelikli kişisel veri niteliğini haiz bulunan “Ceza Mahkûmiyeti ve Güvenlik Tedbirleri” bilgisinin 657 sayılı Devlet Memurları Kanunu uyarınca atamayı yapacak kuruma sağlanması hususunda adli sicil bilgisinin talep edilmesinin, ilgili kişinin atamasının devlet memurluğu görevinin niteliği göz önünde bulundurularak Kanun’a aykırılık teşkil etmediğine ve kişisel verinin işlenebilmesinde “kanunlarda öngörülme” prensibi doğrultusunda hareket edileceği ve söz konusu ifadenin, “maddi kanun” biçiminde anlaşılması gerektiğine, bu doğrultuda, Devlet Personel Başkanlığının Kurum görüş talebine verdiği cevap ile 2 Seri No’lu Kamu Personeli Genel Tebliği hükümleri değerlendirildiğinde sözü edilen kararların özlük dosyasından çıkarılmasına yer olmadığına karar verilmiştir.
Karara ulaşmak için: https://kvkk.gov.tr/Icerik/6912/2020-396
Bilgi ve değerlendirmelerinize sunarız.