Kişisel Verileri Koruma Kurulu’nun 02.03.2021 Yayınladığı Karar Özetlerine İlişkin Bülten
Kişisel Verileri Koruma Kurulu’nun (“Kurul”) resmi internet sitesinde 02.03.2021 tarihinde 6698 sayılı Kişisel Verilerin Korunması Kanunu (‘’Kanun’’) kapsamında alınan bazı karar özetleri yayınlanmış olup, kararlara ilişkin önemli hususlar aşağıda belirtilmektedir.
- Havayolu şirketi bünyesindeki çalışanın ilgili kişiye ait kişisel verileri Kanun’a aykırı şekilde şirket kayıtlarından elde etmesi hakkında 13/02/2021 tarihli ve 2020/124 numaralı karar
Veri sorumlusu bünyesindeki çalışanın başvuru sahibi kişiye ait kişisel verileri Kanun’a aykırı şekilde şirket kayıtlarından elde etmiş ve bu bilgileri kullanarak ilgili kişiyi arayarak rahatsız ettiği anlaşılmıştır. Bu durum veri sorumlusuna e-posta ve ihtarname yoluyla bildirilmiş olmasına rağmen durum değişmemiştir.
Olayın sonucunda Kurul’ca veri sorumlusu tarafından kişisel verilere erişim ile ilgili sınırlama getirilmemesi ve çalışanlara verilen eğitimin yetersiz olması sebebiyle Kanun’un 12. maddesinde yer alan veri güvenliğinin sağlanmasına yönelik gerekli idari ve teknik tedbirlerin alınmadığı kanaatine varılmış ve Kanun’un 18. maddesinin birinci fıkrasının (b) bendi çerçevesinde veri sorumlusu hakkında 100.000 TL idari para cezası uygulanmasına karar verilmiştir. Bu çerçevede, aslında çalışanın Kanun’a aykırı hareketinden, yeterli önlemlerin alınmaması nedeniyle işveren sorumlu tutulmuştur.
2.İş sözleşmesi tek taraflı olarak feshedilen ve işe iade davası açan ilgili kişiye ait özlük dosyasındaki sağlık raporunun dava savunmasında kullanılmak suretiyle mahkemeye sunulması hakkında 18/02/2021 tarihli ve 2020/138 karar numaralı karar
Özlük dosyasında yer alan başvuru sahibine ait sağlık raporunun veri sorumlusu (işveren) tarafından işe iade davasında, dava savunmasında kullanılmak üzere mahkemeye sunulması sebebiyle veri sahibinin kişilik haklarının ihlal edilmesine sebebiyet verdiği ifade edilerek Kanun uyarınca veri sorumlusu hakkında gerekli işlemlerin tesis edilmesine ilişkin olarak Kurul’a başvuru yapılmıştır.
Kurul, Kanun’un 28. maddesinin (1) numaralı fıkrasının (d) bendinde yer alan “Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi” hükmü nedeniyle konuya ilişkin Kurul tarafından tesis edilecek bir işlem bulunmadığına karar vermiştir.
Bu itibarla, veri sorumlusunun bir dava sürecinde savunma hakkını kullanması amacıyla özel nitelikli veri olan sağlık verilerini işlemesi bakımından Kanun hükümlerinin uygulanmayacağı (dolayısıyla açık rıza ve aydınlatma gibi yükümlülüklerin de yerine getirilmesine gerek olmayacağı) anlaşılmaktadır.
3.İlgili kişilerin kişisel verilerinin hukuka aykırı şekilde internet gazetesi üzerinden yayımlanması hakkında 18/02/2020 tarihli ve 2020/145 numaralı karar
Veri sorumlusu, Yönetim Kurulu’ndaki bazı kişilerin kişisel verilerini internet gazetesi aracılığıyla kamuoyuna servis etmiştir. Buna ilişkin yayınlanan tekzip yazısında ilgili kişilerin verileri tekrar internete sunulmuştur. Bu duruma ilişkin olarak Kurul tarafından; veri sorumlusunun bahse konu tekzip ihtarnamesinin yayımlamasının, Kanunun 5. maddesinin 2 numaralı fıkrasının (ç) bendinde yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması” hükmü kapsamında hukuka uygun olduğu, ancak ilgili ihtarnamenin kişisel verilere ilişkin bölümünün olduğu gibi yayımlanmasının, daha sonra bu bölümü internet sitesinden kaldırmış olsa dahi, Kanun’un genel ilkeler başlıklı 4 üncü maddesinde düzenlenen “amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi ile bağdaşmadığı dikkate alındığında, bu durumun Şirketin kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığına işaret ettiği ve bu kapsamda Kanunun 12.maddesinin (1) numaralı fıkrasının (a) bendinde öngörülen yükümlülüğünü yerine getirmediği kanaatine varılan veri sorumlusu hakkında Kanunun 18. maddesinin birinci fıkrasının (b) bendi hükmü uyarınca 55.000 TL idari para cezası verilmesine karar verilmiştir.
Bu karardan anlaşılan; kişisel verilerin işlenmesi Kanun kapsamında açık rıza gerektirmeyen istisnai hallere dahil olsa bile, veri işleme faaliyetinin amaçla bağlantılı, sınırlı ve ölçülü tutulması gerektiği, aksi halde veri ihlali meydana gelebileceğidir.
4.İlgili kişinin kullanımına izin vermediği kredi kartı bilgilerinin veri sorumlusu araç kiralama şirketi tarafından kullanılması hakkında 27/02/2020 tarihli ve 2020/166 karar numaralı karar
İlgili kişinin kullanımına izin vermediği kredi kartı bilgilerinin veri sorumlusu araç kiralama şirketi tarafından kullanılmasının sonucunda Kurul, ilgili kişinin veri sorumlusu ile daha önce yaptığı araç kiralama sözleşmesi kapsamında kullanımına onay verdiği kredi kartı bilgilerinin; veri sorumlusu tarafından daha sonra gerçekleştirilmesi düşünülen amaçlar doğrultusunda kullanılmak üzere sistemde saklanarak, haksız şart niteliği gösteren sözleşme hükmüne dayanmak suretiyle somut vakada kişinin makul beklentisine ve çıkarına aykırı olumsuz bir durum oluşturarak haklı bir gerekçe olmaksızın kullanılmasına ilişkin kişisel veri işleme faaliyetinin Kanun’un “Kişisel verilerin işlenme şartları” başlıklı 5. maddesinde yer alan şartlardan herhangi birine dayandırılamayacağı ve Kanun’un “Genel ilkeler” başlıklı 4. maddesi uyarınca “hukuka ve dürüstlük kurallarına uygun olma” ile “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırılık teşkil ettiği kanaatine varılmış olup bu itibarla, Kanun’un 12. maddesinde öngörülen veri güvenliğine ilişkin yükümlülüklerini yerine getirmemiş olması nedeniyle veri sorumlusu hakkında Kanun’un 18. maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 75.000 TL idari para cezası uygulanmasına karar verilmiştir.
Bu karardan anlaşılan; belirli bir veri işleme faaliyeti Kanun kapsamında açık rıza gerektirmeyen istisnai haller dahilinde olsa dahi, veri işleme amacı değiştiği takdirde açık rıza alınıp alınmaması hususunun yeniden değerlendirilmesi gerektiği, bu kapsamda belirli bir amaç için alınan açık rızaya istinaden farklı veri işleme faaliyetlerinin gerçekleştirilmemesi gerektiğidir.
5.İlgili kişinin cep telefonunun özel bir hastane tarafından izinsiz aranması hakkında 27/02/2020 tarihli ve 2020/172 numaralı karar
Hastane tarafından başvuru sahibine ait cep telefonu aranarak hastanenin reklamının yapılmaya çalışılmış fakat başvuru sahibi kendisinin bu tip reklamlardan rahatsız olması sebebiyle konuşmak istemediğini dile getirmiştir. Akabinde, başvuru sahibi hastanenin e-posta adresine yazılı olarak Kanun’a istinaden başvuru yaparak bilgi talep etmiştir ancak verilen cevabın yeterli bulunmaması nedeniyle başvuru sahibi Kurul’a şikayette bulunmuştur
İlgili kişinin kişisel verisi olan cep telefonu numarasının veri sorumlusu Firma tarafından reklam amacıyla aranması suretiyle kullanılmasının, kişisel verilerin korunması mevzuatı açısından bir veri işleme faaliyeti olduğu, bu işlemenin Kanunun 5. maddesinde düzenlenen işleme şartlarından herhangi birine dayanılarak yapılmaması sebebiyle de Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12.maddesinin (1) numaralı fıkrasının (a) bendinde öngörülen “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğünün yerine getirilmediği kanaatine varıldığından, incelemeye konu olay açısından veri sorumlusu olarak kabul edilen hastane hakkında, Kanun’un 18. maddesinin (1) numaralı fıkrasının (b) bendi hükmü uyarınca 50.000 TL idari para cezası uygulanmasına karar verilmiştir.
Bu karardan anlaşılan; Kurul’un daha önceki kararlarında da belirtildiği üzere, pazarlama amaçlı ileti gönderimi faaliyetinin açık rızaya tabi bir veri işleme faaliyeti olmasıdır. Burada, idari para cezasının Veri Güvenliğine İlişkin Yükümlülükler’e aykırılık nedeniyle verildiği dikkat çekmektedir.
6.İlgili kişinin oturmakta olduğu binaya, komşusu tarafından kamera yerleştirilerek kayıt ve izleme gerçekleştirilmesi hakkında 27/02/2020 tarihli ve 2020/187 numaralı karar
Başvuru sahibi kişinin oturmakta olduğu binaya, komşusu tarafından kamera yerleştirilerek kayıt ve izleme gerçekleştirilmesi sonucunda Kurul; ilgili kişinin komşusu hakkındaki hukuka aykırı olarak kamera taktırılması ve görüntü kaydı alınmasına ilişkin şikâyetlerinin Türk Ceza Kanunu hükümleri çerçevesinde suç unsuru barındırabileceği ve bu çerçevede 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun’un 6. maddesi dikkate alınarak söz konusu şikâyetin Kanun kapsamında değerlendirilemeyeceğine karar vermiştir.
Bu karar kapsamında Kurul, hukuka aykırı veri işleme faaliyetinin suç oluşturabileceği durumlarda Kanun’a göre idari işlem tesis etmekten kaçınmıştır.
7.Ses kayıt özelliği bulunan güvenlik kamerası kullanılması hakkında 12/03/2020 tarihli ve 2020/212 numaralı karar
Bir kamu kurumu olan veri sorumlusu tarafından ses kayıt özelliği bulunan güvenlik kamerası kullanılmasına ilişkin karardır. Kararda, sesli kamera kaydının hukuka uygun bir kişisel veri işleme faaliyeti olarak değerlendirilebilmesi için Anayasada belirtilen temel hak ve özgürlüklerin sınırlanmasında gözetilmesi gereken ilkelere uygun olması gerektiği belirtilmektedir. Bu kapsamda söz konusu kayıt ile beklenen faydanın ses kaydı olmaksızın görüntü kaydı ile elde edilebileceği hallerde ses kaydının da yapılması, gerçekleştirilecek kişisel veri işleme faaliyeti ile ulaşılmak istenen amaç arasındaki dengenin bozulmasına yol açacağından ölçülülük ilkesine aykırılık teşkil edecektir. Ayrıca belirtmek gerekir ki, güvenlik amacıyla kamu kurumunun halk girişine takılması yönünde ihtiyaç bulunduğu belirtilerek ses kaydı yapan kameraların kullanılması, benzer nitelikteki her türlü ortam açısından da gerekli olduğu yönünde genel bir değerlendirmeye neden olabileceğinden, kişisel verilerin korunması hakkına yönelik oldukça geniş nitelikte bir istisna oluşması sonucunu doğurabilecektir ki, bu hususun da hakkın özüne zarar vereceği değerlendirilmiştir.
Bu karar, güvenlik nedeniyle kamera kaydı yapan işletmeler için önem arz etmektedir. Buna göre; görüntü ile birlikte ses kaydı alınmasında ayrıca bir fayda yoksa, sesli kamera kayıt sistemi Kanun kapsamında ihlal teşkil edebilecektir.
8.İlgili kişinin, bir Valilikte görev yapmakta iken, Valilik çalışanı tarafından hukuka aykırı olarak elde edildiği iddia edilen kişisel verilerinin Valiliğe dijital ortamda sunulması hakkında 19/03/2020tarih ve 2020/226 sayılı karar
İlgili kişinin, bir Valilikte görev yapmakta iken, Valilik çalışanı tarafından hukuka aykırı olarak elde edildiği iddia edilen kişisel verilerinin Valiliğe dijital ortamda sunulmasına ilişkin karardır.
Kurul tarafından Kişisel verileri hukuka aykırı olarak elde eden Valilik çalışanı açısından şikâyete konu iddiaların esasen Türk Ceza Kanunu hükümleri uyarınca değerlendirilmesi gerektiğinden söz konusu başvurunun Kanun kapsamında değerlendirilemeyeceğine karar verilmiştir.
Öte yandan, işlenen veriler ve yürütülen soruşturma sonucunda ilgili kişi hakkında uygulanan yaptırımların 657 sayılı Kanun gereğince özlük dosyalarında saklanması gerektiği, Kamu Personeli Genel Tebliğine (Seri No: 2) göre görevi herhangi bir şekilde sona eren memurların özlük dosyalarının kurumlarınca saklanacağı ve Devlet Arşiv Hizmetleri Hakkında Yönetmelik’e göre son işlem tarihi üzerinden yüz bir yıl geçmemiş memuriyet sicil dosyaları içerisinde yer aldığı dikkate alınarak, ilgili kişinin veri sorumlusu nezdindeki bahse konu verilerinin silinmesi talebinin de 6698 sayılı Kanun’un 7. maddesinde belirtildiği üzere kişisel verilerin işlenmesini gerektiren sebeplerin henüz ortadan kalkmaması dolayısıyla veri sorumlusu tarafından karşılanmasının mümkün olmadığına karar verilmiştir.
9.Veri sorumlusu eğitim kurumu tarafından şikayetçinin çocuklarının özel nitelikli kişisel verilerinin hukuka aykırı olarak işlenmesi hakkında 02/04/2020 tarihli ve 2020/255 numaralı karar
Veri sorumlusu eğitim kurumu tarafından başvuru sahibinin çocuğuna ait özel nitelikli kişisel verilerinin hukuka aykırı olarak işlenmesine ilişkin karardır. Kararda veri sorumlusu eğitim kurumu tarafından çocukların özel nitelikli kişisel verileri kapsamında olan sağlık verilerinin işlenmesine ilişkin olarak; ilgili kişinin/velisinin açık rızasının alınmadığı, açık rızanın aranmadığı diğer durumların da bulunmadığı gerekçesiyle Kanun’un 12. maddesi uyarınca; kişisel verilerin hukuka aykırı olarak işlenmesinin engellenmesini teminen gerekli idari ve teknik tedbirleri almadığı kanaatine varılan veri sorumlusu hakkında Kanunun 18. maddesinin (1) numaralı fıkrasının (b) bendinde gereğince 50.000 TL idari para cezası uygulanmasına, karar verilmiştir.
Yine bu kararda da açık rıza gerektiren bir veri işleme faaliyeti ile ilgili açık rıza alınmaması neticesinde, Veri Güvenliğine İlişkin Yükümlülükler’in ihlaline dayanılarak idari para cezası düzenlenmiştir.
10.Türkiye Ticaret Sicili Gazetesinde açık bir şekilde ilan edilmeyen kişisel verilerin, talepleri üzerine kamu kurum ve kuruluşlarıyla paylaşılması hakkında 22/04/2020 tarihli ve 2020/307 numaralı karar
Türkiye Ticaret Sicili Gazetesi’nde açık bir şekilde ilan edilmeyen şirket ortakları ve yetkililerine ait şahsi kimlik numaraları, şahsi adresleri gibi kişisel verilerinin Ticaret Sicil Müdürlüğü tarafından kamu kurum ve kuruluşları ile paylaşılması hakkındaki kararda Kurul, özetle;
• Ticaret Sicil Müdürlüğü tarafından tutulan ticaret sicilinin kişisel verileri içerdiği ve sicilde yer alan kişisel veriler bakımından Ticaret Sicil Müdürlüğü’nün kişisel veri işleme faaliyetini gerçekleştirdiği;
• Ticaret sicilinin aleni olmasının sicilde yer alan kişisel verilerin Kanun hükümlerinden muaf olacağı anlamını taşımadığı,
• Ticaret Sicil Müdürlüğü’nün her türlü kişisel veri işleme faaliyetinde özellikle Kanun’un 4. maddesinde yer alan “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi ve veri güvenliğine ilişkin gerekli her türlü teknik ve idari tedbirlerin alınması yükümlülüğünün birlikte gözetilmesi gerektiği,
• Buna göre Ticaret Sicil Müdürlüğü’nün kamu kurum ve kuruluşlarına yapacağı kişisel veri aktarımları yönünden “aleniyet” ilkesini gözetmesi gerektiği, bu doğrultuda eğer aleni olmayan bir veri söz konusu ise, bunların aktarımı yerine doğrudan bu verileri işleme faaliyetinin özel olarak düzenlendiği ilgili mevzuatlarca yetkili kılınmış kuruluşlardan talep edilmesi gerektiği değerlendirilmiştir.