Kişisel Verileri Koruma Kurulu’nun 24.04.2023 Tarihinde Yayınladığı Karar Özetlerine İlişkin Bülten
Kişisel Verileri Koruma Kurulu’nun (“Kurul”) resmi internet sitesinde 24.04.2023 tarihinde 6698 sayılı Kişisel Verilerin Korunması Kanunu (‘’Kanun’’) kapsamında alınan bazı karar özetleri yayınlanmış olup, aşağıda bu kararlar konularına göre sınıflandırılarak özetlenmiştir.
Kararlar içerisinde, daha önce de olduğu gibi, kişisel verilerin Kanun’a aykırı şekilde yurtdışına aktarımına yönelik bir idari para cezası kararı mevcuttur. Buna ek olarak, ilgili kişinin açık rızası olmaksızın verilerinin ticari elektronik ileti gönderimi için işlenmesi ve veri sorumlusunun internet sitesinde bir çerez politikasına yer verilmemesi nedeniyle verilen idari para cezası kararları da dikkat çekmektedir. Çalışan verileri bakımından ise, iş ilişkisinin sona ermesinden sonra işlenmeye devam eden verilere ilişkin kararlar dikkat çekmektedir.
A. İş İlişkisi Kapsamında İşlenen Verilere Yönelik Kararlar
Kişisel Verileri Koruma Kurumu’na (“Kurum”) intikal eden şikâyette özetle; ilgili kişinin ücretsiz izne gönderildiğine dair veri sorumlusu tarafından kendisine bir ihtarname iletildiği, söz konusu ihtarnamenin yedi kişiye daha gönderildiği, ihtarnamede T.C. kimlik numarası ve adresinin bulunması nedeniyle ilgili kişinin kişisel verilerinin alenen ifşa edildiği belirtilerek gereğinin yapılması talep edilmiştir.
Konuya ilişkin yapılan değerlendirme neticesinde; somut olayda, veri sorumlusu tarafından ilgili kişinin ve diğer yedi çalışanın bilgilerine aynı ihtarnamede yer verildiğinin görüldüğü ve veri sorumlusu tarafından da bu durumun ikrar edildiği belirtilmiş olup diğer yedi çalışanla birlikte ilgili kişinin kimlik ve iletişim verisinin aynı ihtarnamede yer alması ve söz konusu ihtarname keşide edilirken de herhangi bir şekilde karartma, muhataplara ayrı ayrı keşide etme vb. işlemin yapılmaması nedeniyle ilgili kişinin kişisel verilerinin diğer çalışanlarla paylaşıldığı, bu çerçevede Kanun’un 5’inci maddesinde yer alan herhangi bir işleme şartına dayanmaksızın gerçekleşen kişisel veri işleme faaliyetinin Kanun’un 12’nci maddesinin (1) numaralı fıkrası hükmüne aykırı olduğu değerlendirildiğinden veri sorumlusu 100.000 TL idari para cezası uygulanmasına karar verilmiştir.
İlgili kişi tarafından Kurum’a iletilen şikâyet dilekçesinde özetle; veri sorumlusu bünyesinde şirket müdürü olarak çalışmakta iken iş akdinin haksız şekilde sonlandırıldığı ve veri sorumlusuna ait sosyal medya hesabında “… Yaptığı usulsüzlükler nedeni ile işten ATILAN …..’ın sizlere vermiş olduğu rahatsızlıktan dolayı özür dileriz…” içerikli bir paylaşım yapıldığı, söz konusu paylaşımın silinmesi, durdurulması ve düzeltme metni yayınlanması için 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun ve Kanun gereği veri sorumlusuna ihtarda bulunduğu ancak tarafına cevap verilmediği, herhangi bir mahkeme kararı ve rızası olmadan yapılan bu duyurudan şikayetçi olduğu belirtilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin olarak yapılan incelemede neticesinde; somut olayda, ilgili kişinin açık ad ve soyadı ile ilgili kişi hakkındaki ithamları da içeren duyurunun sadece şirket müşterilerinin değil herkesin erişimine açık şekilde şirketin sosyal medyada yer alan kurumsal hesabında/sayfasında yayınlandığı, bu çerçevede, veri sorumlusunun sosyal medyadaki kurumsal hesabı/sayfasının sadece şirketin müşterilerine özel bir ortam olmadığı, herkese açık bir platform olduğu dikkate alındığında söz konusu eylemin Kanun’un 4’üncü maddesindeki ölçülülük ilkesine aykırılık teşkil ettiği ve ilgili kişinin kişisel verilerinin işlenmesine ilişkin Kanun’un 5’inci maddesi kapsamındaki bir işleme şartına dayanıldığına dair Kurum’a somut herhangi bir bilgi, belge sunulmadığı belirtilmiş olup, veri sorumlusunun ekonomik durumu dikkate alınarak, 30.000 TL idari para cezası uygulanmasına, ilgili sosyal medya paylaşımında yer verilen kişisel verilerin imha edilerek sonucundan Kurul’a bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.
İlgili kişinin şikâyetinde özetle; veri sorumlusu bir giyim mağazası tarafından satışa çıkarılan ürünlerin tanıtım ve görsellerinin veri sorumlusuna ait internet sayfasında paylaşıldığı, ilgili kişinin bünyesinde katalog modeli olarak çalıştığı veri sorumlusu ile iş ilişkisinin sona ermesine rağmen fotoğraflarının açık rızası olmaksızın veri sorumlusuna ait internet adreslerinde yayınlanmaya devam edildiği, ilgili kişinin fotoğrafların kaldırılması talebiyle veri sorumlusuna başvuruda bulunmasına rağmen fotoğrafların yayınlanmasına devam edildiği belirtilerek gereğinin yapılması talep edilmiştir.
Konuya ilişkin yapılan inceleme neticesinde; ilgili kişinin iş ilişkisinin sona ermesi nedeniyle fotoğraflarının veri sorumlusu şirketin internet sayfasından kaldırılması talebi ile ilgili olarak veri sorumlusunun, kıyafetlerin stoklarının bitene kadar paylaşıldığı beyanı ve ilgili kişinin fotoğraflarının ilgili kişi ile veri sorumlusu arasındaki sözleşmeye istinaden internet sitesinde yayınlamak suretiyle işlendiği dikkate alındığında veri sorumlusu şirket hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.
Kurum’a intikal eden şikâyette özetle; ilgili kişinin halihazırda bir şirket bünyesinde çalışmakta iken başka bir şirkete iş görüşmesi yapmak maksadıyla davet edildiği ve iş görüşmesinin gerçekleştirildiği, iş görüşmesi yapan veri sorumlusu şirket tarafından, ilgili kişinin halihazırda çalışmakta olduğu şirket hakkında itibarını zedeler nitelikte birçok beyanda bulunduğu bilgisinin ilgili kişinin mevcut iş yeri ile paylaşıldığı, bunun neticesinde ilgili kişinin mevcut iş yeri tarafından ücretsiz izne çıkarıldığı, bu durum üzerine ilgili kişi tarafından iş sözleşmesinin feshi için ihtarname gönderildiği, ilgili kişi tarafından kişisel verilerinin işlenip işlenmediği, kişisel verilerinin kimlerle paylaşıldığı konularında bilgi edinmek, ayrıca maddi ve manevi zararların tazmini ile kişisel verilerinin silinmesini talep etmek suretiyle iş görüşmesi yapan veri sorumlusuna başvuruda bulunulduğu ancak yasal süresi içerisinde yanıt verilmediği belirtilerek veri sorumlusu hakkında Kanun kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin olarak yapılan incelemede; veri sorumlusu tarafından ilgili kişinin şirketleri ile iş görüşmesi yaptığı bilgisi ile iş görüşmesinde ilgili kişinin hali hazırda çalışmakta olduğu iş yeri hakkında birçok söz beyan ettiği bilgisinin aktarılması faaliyetinin Kanun’un 8’nci maddesine uygun şekilde gerçekleştirilmediği değerlendirilmekte olup, veri sorumlusunun ilgili kişinin başvurularına yasal süresi içerisinde yanıt vermediği de dikkate alınarak veri sorumlusu hakkında 100.000 TL idari para cezası uygulanmasına karar verilmiştir.
Kurum’a intikal eden şikâyette özetle; ilgili kişi ile veri sorumlusu arasındaki iş akdinin haklı nedenle feshedildiği tarihe kadar geçen sürede bir iş ilişkisinin mevcut olduğu, bu doğrultuda veri sorumlusu tarafından ilgili kişiye ait kimlik, iletişim, özlük, mesleki deneyim, sağlık verileri gibi birtakım kişisel verilerin işlendiği, ancak bu kişisel veri işleme faaliyetlerine ilişkin ilgili kişiye herhangi bir aydınlatma yapılmadığı, ayrıca birtakım kişisel veriler işlenirken ilgili kişinin açık rızasının alınmadığı, bunların yanı sıra veri sorumlusu işveren tarafından ilgili kişinin adının geçtiği ceza soruşturma dosyasında yer alan adli yazışma bilgilerinin dosya ile herhangi bir bağlantısı olmadığı halde ilgili kişinin kardeşinin e-posta adresine iletildiği, ilgili hususta veri sorumlusuna başvuru yapılmışsa da cevap alınamadığı belirtilerek veri sorumlusu hakkında Kanun kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin yürütülen inceleme neticesinde; veri sorumlusu ile ilgili kişi arasında iş sözleşmesinin kurulmuş olduğu, veri sorumlusunun ilgili kişiye ait kimlik bilgilerini “kanunlarda açıkça öngörülme” şartına dayalı olarak işlendiği ve veri sorumlusu hakkında Kanun kapsamında herhangi bir işlem tesis edilmesine yer olmadığına, Veri sorumlusu tarafından ilgili kişiye ve başka gerçek kişilere ait kişisel verileri barındıran Savcılık şikayet dilekçesinin olayla herhangi bir ilgisi olmadığı anlaşılan ve ilgili kişinin kardeşi olduğu belirtilen üçüncü bir kişiye e-posta yoluyla iletilmesi işleminin, kişisel verilerin hukuka aykırı olarak işlenmesini önlemeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı hareket ettiği değerlendirildiğinden veri sorumlusu 150.000 TL idari para cezası uygulanmasına, diğer hususların veri sorumlusuna hatırlatılmasına karar verilmiştir.
İlgili kişinin Kurum’a intikal eden şikâyette özetle; mobilya-dekorasyon sektöründe faaliyet gösteren bir anonim şirket bünyesinde iç mimar olarak yaklaşık 3 yıl çalıştığı, iş akdinin feshi tarihinden sonra, pandemi döneminde veri sorumlusu şirket tarafından müşterilere yönelik olarak sosyal medya üzerinden gerçekleştirilen canlı yayınlardaki görüntüsünün TV reklamlarında, veri sorumlusu şirketin internet sitesinde, sosyal medya hesaplarında ve tanıtıma yönelik basılı materyallerde reklam ve pazarlama amacıyla kullanıldığı, görüntüsünün bu şekilde kullanımı ile ilgili olarak kendisine aydınlatma yapılmadığı, açık rızasının da alınmadığı, öte yandan iş akdinin feshedildiği tarihten sonra veri sorumlusunun taşıma süreçlerine ilişkin kargolarda hala ilgili kişinin cep telefonu numarasının kullanıldığı, yine iş akdinin feshedildiği tarihten sonra ilgili kişinin veri sorumlusu bünyesinde gerçekleştirilen satış ve tahsilat işlemlerinde işlemi gerçekleştiren kişi gibi göründüğü ifade edilerek Kanun kapsamında gereğinin yapılması ve hukuka aykırı olarak işlenen kişisel verilerinin imha edilmesi talep edilmiştir.
Konuya ilişkin yapılan değerlendirme neticesinde; ilgili kişinin yer aldığı görüntülerin veri sorumlusunun arşivlerinde bulunmasının hukuka uygun olacağı ancak iş akdinin sona ermesinden sonra da söz konusu verilerin paylaşımına devam edilmesi suretiyle işlenmesinde Kanun kapsamında geçerli bir işleme şartının mevcut olmadığı, öte yandan ilgili kişinin kargo şirketleri nezdinde kayıtlı olan kişisel cep telefonu numarasının ve iş akdi feshedilmeden öncesinde çalıştığı mağazadaki dijital ödeme sistemleri, çeşitli evrak ve formlar içerisinde kayıtlı bulunan ve kendisini işlem yetkilisi olarak gösteren kişisel verilerinin “doğru ve gerektiğinde güncel olma” ilkesine aykırı şekilde işlendiği, bu verilerin işlenmesinde veri sorumlusunca bir başka hukuki nedenin de gösterilemediği görüldüğünden Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerini yerine getirmediği anlaşılan veri sorumlusu hakkında, ilgili kişinin hukuka aykırı olarak işlenen kimlik ve iletişim bilgileri kullanılarak yapılan satış, kargo gönderimi gibi yasal işlemlerin ilgili kişi üzerinde negatif sonuç doğurma riskinin yüksek olduğu hususu dikkate alınarak, 250.000 TL idari para cezası uygulanmasına karar verilmiştir.
Kurum’a intikal eden şikâyette özetle; ilgili kişinin veri sorumlusu şirkette iş akdinin feshedildiği, fesih sebebinin şirket içi verilerin şirketin tahsis etmiş olduğu e-posta adresi üzerinden kişisel e-posta adresine gönderilmesi ve şirketin bir başka çalışanı ile gerçekleştirilen telefon görüşmesinin gizlice kayıt altına alınarak yine kişisel e-posta adresi ile avukatının e-posta adresine gönderilmesi olduğu ifade edilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin yürütülen inceleme neticesinde; ilgili kişinin imzalamış olduğu metinlerde okunup anlaşıldığına ilişkin beyanda bulunduğu, dolayısıyla bu metinlerde yer alan e-posta denetimi vasıtasıyla işlenecek kişisel verilere ilişkin veri sorumlusu tarafından ilgili kişiye karşı aydınlatma yükümlülüğünün yerine getirildiği, şirket tarafından e-posta denetimi aracılığıyla gerçekleştirilen kişisel veri işleme faaliyetinin “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hükmü ile ( “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.” işleme şartları kapsamında gerçekleştirildiği, e-posta denetimi suretiyle elde edilen kişisel verilerin fesih bildirimine konu edilmesinin “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hükmü kapsamında gerçekleştirildiği, öte yandan, amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine de aykırılık teşkil etmediği değerlendirildiğinden şirket tarafından gerçekleştirilen kişisel veri işleme faaliyetinde herhangi bir hukuka aykırılık bulunmadığı hususları dikkate alındığında veri sorumlusu hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.
B. Müşteri/Potansiyel Müşteri Verilerinin İşlenmesine İlişkin Kararlar
İlgili kişi tarafından Kurum’a iletilen şikayet dilekçesinde özetle; veri sorumlusu bir tasarruf finansman şirketince kendisine birkaç kez kısa mesaj gönderildiği, bunun üzerine ilgili kişi tarafından kişisel verisi niteliğindeki cep telefonu numarasının açık rızası olmadan ne şekilde elde edildiği, nasıl ve hangi amaçla işlendiğine dair bilgi edinmek amacıyla veri sorumlusuna başvurulduğu, veri sorumlusu tarafından verilen cevapta özetle İleti Yönetim Sistemi (İYS) adı verilen sisteme kayıtlı kurumsal bir firma olduğunun, bu sisteme üyelerin rızası dahilinde veri girişi yapıldığının, istenildiği zaman İYS sisteminden çıkılabildiğinin, söz konusu mesaj içeriğinde ret imkanının bulunduğunun ve sistemde kayıtlı ilgili kişiye ait telefon numarasının SMS gönderimine kapatıldığının belirtildiği, veri sorumlusu tarafından verilen cevapta belirtildiğinin aksine ilgili kişi tarafından İYS aracılığıyla veri sorumlusuna herhangi bir açık rıza veya onay verilmediği, ilgili kişinin kişisel verilerinin nasıl, hangi amaçlarla işlendiği ve kişisel verilerinin açık rızası olmadan işlenmesi konularında yeterli cevap verilmemesi nedeniyle kişisel verilerinin Kanun’a aykırı olarak işlendiği ifade edilerek şirket hakkında Kanun kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin olarak yapılan incelemede; ticari elektronik iletiye ilişkin ayrı bir mevzuat bulunmakla birlikte somut olayda olduğu gibi ilgili kişiye ait cep telefon numarasının bir veri kayıt sisteminde depolanması suretiyle ticari nitelikli iletiler gönderilmesinin, bir kişisel veri işleme faaliyeti olduğu, dolayısıyla ticari nitelikli bir elektronik iletinin ticari elektronik ileti gönderilmesine ilişkin mevzuata uygun olarak gönderilmesi gerekmekle birlikte, bu mesajların iletilmesi için kullanılan iletişim numarasının kişisel veri niteliğinde olması nedeniyle ticari elektronik iletilerin gönderilmesi süreçlerinin aynı zamanda kişisel verilerin korunması mevzuatına da uygun olması gerektiği belirtilmiştir.
Somut olayda, veri sorumlusu tarafından sunulan bilgi ve belgeler çerçevesinde İYS sistemine kaydının yapılmasına temel teşkil edecek nitelikte ilgili kişinin veri sorumlusu ile bir ilişkisinin olduğunun tespit edilemediği veya veri sorumlusu tarafından ilgili kişinin kişisel verisinin işlenmesi hususunda açık rızasının olduğunun tevsik edilemediği dikkate alındığında, Kanun’un 12’nci maddesinin (1) numaralı fıkrası çerçevesinde gerekli teknik ve idari tedbirleri almadığı kanaatine varılan; veri sorumlusu hakkında 75.000 TL idari para cezası uygulanmasına, Hukuka aykırı işlendiği tespit edilen söz konusu kişisel verinin, başka bir işleme sebebi bulunmaması halinde, Kanun’un 7’nci maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun şekilde imha ederek sonucundan Kurula bilgi vermesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.
Kurum’a intikal eden dilekçede özetle; pazarlama şirketine ait bir ürün için serbest girişimci olan gerçek kişi tarafından 8 yaşındaki çocuğa (ilgili kişi) mektup yoluyla tanıtım amaçlı broşür gönderildiği, bunun üzerine, velisi tarafından mektupta telefon numarası bulunan gerçek kişiye telefonla ulaşılarak 8 yaşındaki kızının kişisel bilgilerine nereden ulaştığının sorulduğu, ancak yapılan bu görüşmede karşı tarafça kendisine bir bilgi verilmediği gibi kızının kişisel verileri ile ilgili herhangi bir işlemin yapılmadığı, bu çerçevede velisi tarafından çocuğun ev adresi ve ismi gibi kişisel verilerine nasıl ulaşıldığına ilişkin pazarlama şirketine başvuru yapıldığı, yapılan başvuru neticesinde yine herhangi bir bilgi verilmediği, velinin çocuğun kişisel verilerinin işlenmesine ilişkin herhangi bir rızası olmadığı ve ticari amaçla tanıtım yapmak amacıyla açık rıza olmaksızın çocuğun kişisel verilerinin işlendiği belirtilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin yürütülen inceleme neticesinde; ilgili kişiye tanıtım amaçlı gönderilen broşürün faturada belirtilen sipariş ile birlikte gönderilmediği, incelemeye konu salt broşür gönderiminin Kanun’da tanımlı işleme şartlarından herhangi birine dayanılmaksızın gerçekleştirildiği, bu bakımdan Kanun’un 12’nci maddesinin (1) numaralı fıkrasındaki yükümlülüklerin yerine getirilmediği ve kabahate konu eylemin yalnızca bir kez gerçekleştirildiği kanaatine varıldığından, 5326 sayılı Kabahatler Kanunu’nun 17’nci maddesinin (2) numaralı fıkrası uyarınca işlenen kabahatin haksızlık içeriği ile veri sorumlusunun kusuru ve ekonomik durumu birlikte göz önünde bulundurulduğunda veri sorumlusu hakkında 30.000 TL idari para cezası uygulanmasına karar verilmiştir.
İlgili kişinin Kurum’a intikal eden şikâyetinde özetle; ilaç sektöründe faaliyet gösteren bir şirketin çalışanı olduğu iddia edilen bir şahıstan e-posta aldığı, e-posta adresinin nasıl elde edildiğine ilişkin veri sorumluna başvurarak e-posta adresinin ecza depoları vasıtasıyla paylaşıldığı bilgisini edindiği ifade edilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin yapılan değerlendirme neticesinde; veri sorumlusu tarafından reklam ve pazarlama amaçlı, izinsiz ticari elektronik ileti gönderilmesi suretiyle ilgili kişinin kişisel verisi niteliğinde olan e-posta adresinin işlenmesinde kişisel veri işleme şartlarının bulunmadığı ve bu kapsamda veri sorumlusunun kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılması nedeniyle veri sorumlusu hakkında 50.000 TL idari para cezası uygulanmasına karar verilmiştir.
Kurum’a intikal eden dilekçede özetle; ilgili kişinin herhangi bir bağlantısı olmadığı halde veri sorumlusu şirket tarafından ilgili kişinin iş e-posta adresine kampanya, reklam vb. içerikli e-posta gönderildiği, ilgili kişi tarafından veri sorumlusuna ait e-posta adresine başvuruda bulunularak iletişim bilgilerinin ve kimlik bilgilerinin nereden ve nasıl temin edildiğinin sorulduğu, tarafına reklam/kampanya içerikli e-postaların gönderilmemesinin, kişisel verilerinin imha edilmesinin ve imha edilen bilgiler hakkında tarafına bilgi verilmesinin talep edildiği ancak veri sorumlusu tarafından verilen cevapta sadece e-posta adresi ve bilgilerinin kayıtlardan silindiğinin belirtildiği, verilerinin nereden temin edildiğine ilişkin herhangi bir bilgi verilmediği ifade edilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin yürütülen inceleme neticesinde; ilgili kişinin e-posta adres bilgisinin reklam ve pazarlama amacıyla işlenmesine yönelik herhangi bir platformda alenileştirme iradesinin bulunduğuna dair veri sorumlusu tarafından kanıtlayıcı nitelikte bir belgenin Kurum’a sunulmadığı, veri sorumlusunun ilgili kişinin kişisel verilerinin Kanunda yer alan işleme şartları kapsamında işlendiğine ilişkin açıklamalarının hukuki dayanaktan yoksun olduğu dikkate alındığında veri sorumlusunun Kanun’un 5’inci maddesi çerçevesinde herhangi bir kişisel veri işleme şartı bulunmaksızın veri işleme faaliyetinde bulunduğu kanaatine varıldığından veri sorumlusu hakkında 150.000 TL idari para cezası uygulanmasına karar verilmiştir.
Kurum’a intikal eden şikâyette özetle; veri sorumlusu şirket ile herhangi bir ticari faaliyette bulunulmamasına ve bu kapsamda iletişim onayı verilmemesine rağmen, aydınlatma yükümlülüğü yerine getirilmeden ve açık rızası alınmadan ilgili kişiye pazarlama amacıyla mesaj gönderildiği, veri sorumlusuna yapılan başvurunun cevabında, ilgili kişiden yanlışlık için özür dilenerek ilgili kişi tarafından pazar yerlerinden alışveriş yapılmış olması nedeniyle sistemin, cari kodunu sabit müşterileri gibi tanımlaması nedeniyle ilgili kişiye kısa mesaj gönderildiğinin ve başvuru akabinde gerekli düzeltmelerin yapıldığının belirtildiği ifade edilerek veri sorumlusu hakkında Kanun kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin yürütülen inceleme neticesinde; veri sorumlusu tarafından verilen yanıtta firmalarına ait olan internet sitesinde kendi rızasıyla e-posta/SMS alabilmek için onay veren müşterilerine/üyelerine iletilmesi gereken mesajın sehven satış platformundaki mağazalarından alışveriş yapan müşterilerine gönderilmiş olduğu, yapılan yanlışın fark edilmesi üzerine iptal işleminin başlatıldığı fakat bazı müşterilere kısa mesaj gitmesine engel olunamadığının beyan edildiği dikkate alındığında veri sorumlusunun Kanun’un 5’inci maddesinde yer alan işleme şartlarından herhangi birine dayanmaksızın ilgili kişinin kişisel verisi niteliğindeki telefon numarasını işlediği, bu çerçevede kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı, öte yandan şikâyet konusunun veri ihlal niteliği arz ettiği ancak veri sorumlusunun gerçekleşen veri ihlali ile ilgili Kurul’a bir bildirim yapmadığı kanaatine varıldığından veri sorumlusu hakkında 30.000 TL idari para cezası uygulanmasına karar verilmiştir.
Kurum’a iletilen şikayet dilekçesinde özetle; ilgili kişinin veri sorumlusunun sistemine internet sitesi üzerinden üye olduğu, internet sitesinde çerez politikasının yer almadığı, aydınlatma metninde yurt dışına aktarım yapıldığının bildirildiği ancak ilgili kişinin bu yönde bir açık rızasının olmadığı, bunun üzerine konuya ilişkin internet sitesinde yer alan aydınlatma metnindeki e-posta adresine başvuruda bulunduğu, bu başvuruda ilgili kişinin hangi verilerinin kaydedildiği ve aktarıldığı hususlarında bilgi talep edilmişse de yasal süre olan 30 gün içerisinde veri sorumlusundan bir cevap alınamadığı ifade edilerek veri sorumlusu hakkında Kanun kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin olarak yapılan incelemede; ilgili kişinin Kanun’un 13’üncü maddesi kapsamında veri sorumlusuna yaptığı başvurunun sehven gözden kaçırıldığı dikkate alındığında, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 6’ncı maddesinin (1) numaralı fıkrasında düzenlendiği üzere, veri sorumlusu tarafından ilgili kişilerce yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirlerin alınmadığı kanaatine varıldığı, veri sorumlusunun, Kurul tarafından onaylanmış taahhütname başvurusu bulunmamakla birlikte Kanun kapsamında yurt dışına aktarım faaliyetinin hukuka uygun olabilmesi için açık rızadan başka bir hukuki sebep bulunmadığı, veri sorumlusu tarafından somut olayda yurt dışına aktarım faaliyeti kapsamında ilgili kişilerden belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan açık rıza alınması yoluna da başvurulmadığı belirtilmiştir.
Yurt dışına kişisel veri aktarma fiilinin münferit bir olaydan kaynaklı olarak değil sistemli bir şekilde veri sorumlusu tarafından kasten ve icrai hareketle yapıldığının savunma dilekçesinde ikrar edildiği, kabahat teşkil eden ihlalin ticari amaç kapsamında gerçekleştirildiği ve Kanun’un yürürlüğe girdiği tarihin üzerinden 6 sene geçmiş olmasına rağmen yurt dışına aktarım faaliyetinin Kanun’a uygun hale getirilmemiş olduğu dikkate alınarak, veri sorumlusu hakkında 950.000 TL idari para cezası uygulanmasına, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ kapsamında ilgili kişiler tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri alması hususunda veri sorumlusunun uyarılmasına karar verilmiştir.
İlgili kişinin şikâyetinde özetle; ilgili kişinin alabileceği kredi tutarını öğrenebilmek adına T.C. kimlik numarasını yazarak belirtilen numaraya SMS gönderdiği, veri sorumlusu banka tarafından verilen SMS yanıtında ilgili kişinin kredi limitinin belirtildiği, ilgili kişinin daha önce bu bankada hiçbir hesabının olmadığı ve hiçbir işlem yapmadığı, bankaya gönderilen T.C. kimlik numarası ve cep telefonu numarası için veri sorumlusu bankanın ilgili kişiye yönelik herhangi bir aydınlatmada bulunmadığı, bu banka ile irtibatı bulunmayan bir kişi olmasına karşın veri sorumlusunun ilgili kişiye kısa süre içerisinde kredi limiti belirleyebildiği, bu durumun veri sorumlusu banka tarafından ilgili kişinin kişisel verilerinin bilgisi olmaksızın daha önceden işleniyor olduğunu gösterdiği, veri sorumlusunun ilgili kişinin başvurusuna usulüne uygun bir yanıt verilmediği ve kişisel verileri işlenirken ilgili kişiden açık rıza alınmadığı belirtilmiş ve gerekli işlemlerin yapılması talep edilmiştir.
Konuya ilişkin yapılan inceleme neticesinde; ilgili kişiye öncelikle kişisel verilerinin korunması ile ilgili olarak bir SMS gönderildiği ve bu SMS’te veri sorumlusunun aydınlatma metnine ulaşılmasını sağlayan bir bağlantının yer aldığı, sonrasında gelen SMS’te ise ilgili kişiye ait çekilebilecek kredi tutarının yer aldığının görüldüğü, şu hâlde ilgili kişinin iddiasının aksine veri sorumlusunun ilgili kişinin iradesiyle başlattığı veri işleme sürecini tamamlamadan evvel ilgili kişiye konuya ilişkin aydınlatmada bulunduğunun görüldüğü, veri sorumlusu ilgili kişinin kişisel verilerinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasında gösterilen şartlar dâhilinde işlendiğini ifade etmekte ise de bu verilerin hangi veriler olduğunun ve ilgili maddede gösterilen hangi şarta dayalı olarak işlendiğinin meçhul olduğu, bu sebeplerle veri sorumlusunun ilgili kişiye karşı tam ve eksiksiz aydınlatma ile ilgili arz edilen şartları sağlayan bir metinle yanıt verme yükümlülüğünü ihlâl ettiğinin anlaşıldığı belirtilmiş olup, veri sorumlusunun aydınlatma metninin Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun hale getirilmesi ve sonucundan otuz günlük yasal süre içerisinde Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına, ilgili kişinin veri sorumlusuna yaptığı başvuruya verilen yanıtın; ilgili kişinin taleplerini karşılamaktan uzak ve eksik bir yanıt olduğu dikkate alındığından veri sorumlusunun ilgili kişilerin başvurularına, Kanun’a ve Tebliğ’e uygun şekilde yanıt vermesi hususunda azamî dikkat ve özeni göstermesi konusunda uyarılmasına karar verilmiştir.
Kurum’a intikal eden dilekçelerde özetle; ilgili kişilerin, işveren bünyesinde tüm çalışanlar gibi hiçbir sebep ve açıklama olmaksızın baskıyla uyuşturucu testine zorlandığı, testin yapılması sırasında ilgili kişilerin iletişim bilgileri alınmadığı gibi test sonuçlarının hukuka aykırı olarak ilgili kişilerin işyerindeki bir personele ait e-posta adresine gönderildiği, dolayısıyla kişisel sağlık verilerinin kendilerinden izin alınmaksızın ve hiçbir aydınlatma yapılmaksızın, açık rızaları dışında üçüncü bir kişiye aktarıldığı, veri sorumlusu sağlık kuruluşu tarafından verilen cevap yazısında ilgili kişilerin işvereni olduğu belirtilse de söz konusu kişinin işverenleri olmadığı, sonuç olarak tetkik sonuçlarının taraflarına gönderilmek yerine üçüncü bir kişiye gönderildiği ifade edilerek gereğinin yapılması talep edilmiştir.
Konuya ilişkin yapılan inceleme neticesinde; ilgili kişilere ait özel nitelikli kişisel verilerin veri sorumlusu sağlık kuruluşu tarafından ilgili kişilerin işyerinde görevli üçüncü bir kişiye ait e-posta adresine gönderilmek suretiyle paylaşılması şeklindeki veri işleme faaliyetine ilişkin olarak her ne kadar veri sorumlusu tarafından ilgili kişinin özel nitelikli kişisel verilerinin söz konusu e-posta adresine iletilmesi konusunda açık beyanının bulunduğu ifade edilse de söz konusu açık rızayı kanıtlayıcı mahiyette herhangi bir bilgi ya da belgenin Kurum’a iletilmediği bu anlamda veri sorumlusunun söz konusu veriyi Kanun’un 6’ncı maddesinde yer alan herhangi bir veri işleme faaliyetine dayanmaksızın paylaştığı, dolayısıyla kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı ve bu hususun Kanun’un 12’nci maddesinin (1) numaralı fıkrasına aykırılık teşkil ettiği kanaatine varıldığından, söz konusu ihlalden etkilenen kişi sayısının ilgili kişilerle sınırlı kalmadığı, ilgili veri işleme faaliyetinde kişilerin özel nitelikli kişisel veri niteliğini haiz sağlık verilerinin işlendiği, veri sorumlusunun yaklaşık 600’e yakın çalışan ile birçok ilde sağlık hizmetleri verdiği hususları da dikkate alınarak, veri sorumlusu hakkında 75.000 TL idari para cezası uygulanmasına karar verilmiştir.
İlgili kişinin Kurum’a intikal eden şikâyetinde özetle; özel bir hastanede gerçekleştirilen burun ameliyatı esnasında baygın olduğu sırada açık rızası alınmaksızın çekilen kişisel verisi niteliğindeki fotoğraflarının veri sorumlusu hastanede çalışan ve ameliyatı gerçekleştiren doktorun sosyal medya hesabında reklam amaçlı olarak paylaşıldığı ve söz konusu fotoğrafların yaklaşık iki yıl boyunca bu hesapta tutulduğu, ilgili kişinin yaptığı başvuru sonrasında fotoğraflar kaldırılmış olmakla birlikte kişisel verilerinin reklam ve pazarlama amaçlı işlenmesinde açık rızasının bulunmadığı belirtilerek gereğinin yapılması talep edilmiştir.
Konuya ilişkin yapılan değerlendirme neticesinde, ilgili kişinin, baygın olduğu esnada çekilen görsellerinin bahsi geçen doktor tarafından paylaşılması konusunda açık rıza beyanının bulunmadığı, bununla birlikte veri sorumlusu hastanenin söz konusu fotoğrafların adı geçen doktor tarafından sosyal medya hesabında paylaşıldığı hususunda bilgisinin bulunduğu, bu itibarla veri sorumlusunun ilgili kişinin kişisel verisi olan görselin adı geçen doktor tarafından sosyal medya hesabında paylaşılmasını önleyici gerekli idari ve teknik tedbirleri almadığı dikkate alındığında; veri sorumlusu hastane hakkında 100.000 TL idari para cezası uygulanmasına karar verilmiştir.
İlgili kişinin Kurum’a intikal eden şikâyet dilekçesinde özetle; şahsi telefonundan bir sigorta şirketince pek çok kez arandığı, sigorta şirketi ile yapılan görüşmede cep telefonu numarasının veri sorumlusu bir banka aracılığıyla elde edildiğini öğrendiği, veri sorumlusu bankada hesabının bulunduğu fakat veri sorumlusu dışında veri sorumlusuyla ilişikli başkaca bir kurum veya kuruluşla ilişkisinin bulunmadığı, bu çerçevede veri sorumlusuna başvuru yapıldığı ancak veri sorumlusu tarafından verilen cevabın yeterli olmadığı ifade edilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin yapılan incelemede neticesinde; ilgili kişinin kişisel verisi niteliğinde olan telefon numarasının, veri sorumlusu tarafından Kanun’un 5’inci maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanılmaksızın ilgili sigorta şirketine Kanun’un 8’inci maddesine aykırı olarak aktarıldığı; bu minvalde Kanun’un 12’nci maddesinin (1) numaralı fıkrasında öngörülen kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli idari ve teknik tedbirlerin alınması yükümlülüğünün yerine getirilmediği göz önünde bulundurulduğunda veri sorumlusu hakkında 250.000 TL idari para cezası uygulanmasına karar verilmiştir.
Kurum’a intikal eden şikâyette özetle; ilgili kişinin başka bir bankada bulunan hesabından veri sorumlusu bankada bulunan üçüncü tarafa ait bir hesaba para gönderdiği, akabinde kendisiyle iletişim kurulmasına ilişkin rıza vermediği ve tarafına herhangi bir aydınlatma yapılmadığı halde veri sorumlusu banka tarafından tanıtım amacıyla aynı gün telefonla arandığı, ilgili hususta veri sorumlusu bankaya başvurduğu, posta gönderi takibinden banka tarafından başvurunun teslim alındığı görüntülenmişse de yasal süresi içerisinde cevap verilmediği belirtilerek veri sorumlusu hakkında Kanun kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin yürütülen inceleme neticesinde; ilgili kişinin kendisiyle iletişime geçilmesi amacıyla veri sorumlusu bankayla paylaşmış olduğu cep telefonu bilgisinin, Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’un 6’ncı maddesi ile Ticari İletişim ve Ticari Elektronik İletiler Yönetmeliği’nin 6’ncı maddesinin (2) numaralı fıkrası uyarınca, devam eden müşteri ilişkisi sebebiyle, veri sorumlusu tarafından herhangi bir mal veya hizmet özendirilmesi ya da tanıtımı yapılmaksızın, kullanılmakta olan hizmete ilişkin bilgi verilmek amacıyla “Kanunlarda açıkça öngörülme” hukuki işleme şartına dayalı olarak işlendiği kanaatine varıldığından, veri sorumlusu banka hakkında yapılacak bir işlem bulunmadığına karar verilmiştir.
İlgili kişinin Kurum’a intikal eden şikayetinde özetle; bir oyun platformunun internet sayfasına giriş yapıldığında çerez işleme süreçleriyle ilgili kullanıcılara aydınlatma yapılmadığı ve zorunlu olmayan çerezler için açık rıza alınmadığı, siteye üye olan kullanıcılardan kimlik ve iletişim bilgilerinin talep edildiği ancak aydınlatma ve açık rıza metinlerinin sunulmadığı, ilgili şirkete başvuru yapılmakla birlikte yeterli bir cevap alınamadığı ifade edilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin yapılan değerlendirme neticesinde; veri sorumlusu tarafından internet sayfasında herhangi bir işleme şartına dayanmadan reklam ve pazarlama amacı gibi zorunlu olmayan çerezler vasıtasıyla kişisel veri işlendiği, bu durumun ise Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklere aykırılık teşkil ettiği dikkate alındığında veri sorumlusu hakkında 300.000 TL idari para cezası uygulanmasına karar verilmiştir.
İlgili kişinin Kurum’a intikal eden şikâyetinde özetle; bir spor salonunun işletmecisi olan veri sorumlusunun spor salonundan hizmet alan kişilerin sağlık verilerini (detaylı yağ, kilo ve performans ölçümü, kan grubu, yıllık hastane ziyaret sayısı, içilen sigara bilgisi vb.), biyometrik verilerini (salona girişte alınan parmak izi) ve kamera görüntülerini işlediği ancak bu verilerle ilgili olarak Kanun kapsamında aydınlatma yapılmadığı ve kişilerin açık rızalarının alınmadığı, ilgili kişinin kişisel verilerinin işlenmesine ilişkin soru ve taleplerini içeren e-postanın veri sorumlusu tarafından yasal süre içerisinde cevaplandırılmadığı, ilgili kişilere ait kişisel verileri içeren kartlara spor salonunda görevli herkesçe erişilebildiği ve bu bilgilerin güvenliğinin sağlanmadığı, sağlık verilerinin de aralarında bulunduğu bu kartların zaman zaman kaybolduğu ve kimlerin eline geçtiğinin belirsiz olduğu, spor salonu görevlilerinin kamera kayıtlarını izlediği ve ilgili kişilerin salon içerisindeki davranışlarıyla bu kayıtların eşleştirilmesi suretiyle yorum yapılabildiği belirtilerek veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.
Konuya ilişkin yapılan değerlendirme neticesinde, spor salonu üyeliği için özel nitelikli kişisel veri niteliğindeki kan grubu verisinin işlendiği ve bu işleme için açık rıza alınmadığı dikkate alındığında Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında, veri sorumlusunca işletilen spor salonunun üyelik sözleşmesi kapsamında çok sayıda üyenin kişisel verilerinin işlendiği, bunlar arasında özel nitelikli kişisel verilerin de bulunmasının kullanıcıların mahremiyeti açısından önemli bir risk arz ettiği, veri sorumlusunca ilgili kişi başvurusunun cevapsız bırakıldığı ve spor salonu işletmeciliğinin yanı sıra turizm ve otel işletmeciliği ile inşaat taahhüt gibi birçok sektörde faaliyet gösteren veri sorumlusunun ekonomik durumu da dikkate alınarak 100.000 TL idari para cezası uygulanmasına, aydınlatma ve açık rıza metinlerinin üyelere sunulan sözleşme metni içerisinde değil ayrıca düzenlenmesi, açık rızanın ilgili kişilere her bir faaliyet açısından onay verme ve vermeme seçeneklerini içerecek şekilde sunulması, aydınlatma metninin Kanun’un 10’uncu maddesinin yanı sıra Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in ilgili hükümlerine uygun şekilde düzenlenmesi ve yapılan işlemlerin sonucundan Kurulu bilgilendirmesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.
İlgili kişinin şikâyetinde özetle; ilgili kişinin kulaklığını onarım yapılması için bir elektronik perakende zincirinin AVM’deki şubesine teslim ettiği, mağaza yetkililerinin de kulaklığı distribütör firmaya iletilmek üzere kargo şirketine teslim ettiği ama kargonun distribütör firma yerine konuyla ilgisiz üçüncü bir şahsa teslim edildiği, ilgili kişinin kargonun teslim edildiği üçüncü şahsın kendisine ulaşması üzerine konudan haberdar olduğu, elektronik perakende zinciri yetkililerinin konu kapsamında herhangi bir suçlarının olmadığını ve hatanın tamamen kargo şirketinde olduğunu ileri sürdükleri, ancak taşınan kargonun içine ilgili kişiye ait isim, soy isim, cep telefonu numarası, e-posta adresi, ikamet ettiği il ve ilçe ile ödeme yaptığı kredi kartının ilk altı hanesi gibi bilgileri haiz belgelerin koyulduğu belirtilmiş ve konu hakkında Kanun kapsamında gerekli işlemlerin yapılması talep edilmiştir.
Konuya ilişkin yürütülen inceleme neticesinde; ilgili kişinin bazı kişisel verilerini içeren belgelerin veri sorumlusu tarafından bir onarım işleminin yapılabilmesi için distribütör firmaya gönderilmesinden ibaret olan kişisel veri işleme/aktarım faaliyetine dayanan ve ilgili kişinin şikâyetine esas olan olay veri sorumlusunun Kanun’un 12’nci maddesinin (1) numaralı fıkrasından kaynaklanan yükümlülüğü kapsamında ele alındığında ise; veri sorumlusunun ilgili kişinin kişisel verilerini içeren kargo paketini “göndericisi veri sorumlusu, alıcısı ise distribütör firma” olacak şekilde kargo şirketine teslim etmiş olmasından dolayı Kanun’un 12’nci maddesinin (1) numaralı fıkrasına aykırı herhangi bir eyleminin mevcut olmadığı belirtilmiş, somut olayda veri sorumlusunca bir onarım işleminin yapılabilmesi için distribütör firmaya gönderilen belgelerde yer alan ilgili kişiye ait kişisel verilerin mahiyetleri göz önünde bulundurularak veri sorumlusu hakkında Kanun kapsamında herhangi bir işlem tesis edilmesine gerek görülmemiş olsa da gelecekte onarım amacıyla veri sorumlusu tarafından onarım firmalarına iletilebilecek kargo paketleri içindeki formlarda minimum düzeyde kişisel veri paylaşılması ve paylaşılan kişisel verilerin de mümkün olduğunca maskelenmesini teminen gerekli önlemlerin alınması hususunda veri sorumlusunun uyarılmasına ve ilgili kişi tarafından yapılan başvuruya cevaben de olsa- ilgili kişiye bilgi verildiği”, “yaşanan hatalı kargo teslimatından ilgili kişi dışında herhangi bir kişinin etkilenme ihtimalinin bulunmadığı”, “olay sebebiyle ilgili kişi hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesi veya en aza indirilmesine imkân verecek ve ilgili kişi tarafından Kurulun yönlendirmesi olmaksızın düşünülemeyecek ilave bir önlemin bulunup bulunmadığı konusunun tartışmalı olduğu” ve “konu hakkında veri sorumlusunca Kurula bildirim yapılmamış olmasının ilgili kişinin kişisel verilerinin korunması bağlamında somut nitelikte bir tehlikeye yol açmayabileceği” hususları göz önünde bulundurulduğunda; gelecekte yaşanabilecek benzer olaylar için Kanun’un 12’nci maddesinin (5) numaralı fıkrası uyarınca ilgilisine ve Kurula bildirimde bulunması konusunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.
İlgili kişinin şikayetinde özetle; bir e-ticaret firmasından satın aldığı ürünü tarafına teslim edecek kargo firmasının siparişi ilgili kişiye teslim etmesini müteakip ilgili kişi tarafından kargo paketinin üzerinde kendisi dışında isim benzerliği bulunan başka bir kişiye (üçüncü kişi) ait adres ve iletişim bilgilerinin yer aldığını gördüğü, veri sorumlusu kargo firmasına Kanun kapsamında başvuruda bulunarak kendisi dışında üçüncü kişiye ait kişisel verilerin hangi hukuki gerekçeyle tarafına gönderildiği, benzer şekilde kendisine ait kişisel verilerin de üçüncü kişilere aktarılıp aktarılmadığı ve aktarıldıysa hangi hukuki nedenlere dayanılarak aktarıldığı hususlarına ilişkin bilgi talep ettiği, veri sorumlusu tarafından verilen cevabi yazıda söz konusu durumun barkodlama işlemi sırasında gerçekleşen bir hata sonucunda meydana geldiğinin ve ilgili kişiye ait gönderinin üçüncü kişiden iade alınarak gönderici firmaya teslim edildiğinin belirtildiği, söz konusu beyanlardan hareketle veri sorumlusunun yapmış olduğu çapraz kargo gönderimi hatası nedeniyle ilgili kişiye teslim edilmesi gereken kargo paketinin üçüncü kişiye gönderildiği ve bu suretle ilgili kişiye ait kişisel verilerin üçüncü kişi ile paylaşıldığı sonucuna varıldığı, bu itibarla veri sorumlusunun hem ilgili kişiye hem de üçüncü kişiye ait kişisel verileri Kanun’un 8’inci maddesine aykırı olarak aktardığı belirtilerek gereğinin yapılması talep edilmiştir.
Konuya ilişkin yapılan inceleme neticesinde; ilgili kişinin kişisel verilerinin üçüncü kişi ile paylaşılmasının yeni bir veri işleme faaliyeti olduğu, söz konusu veri işlemenin Kanun’da yer alan herhangi bir işleme şartına dayanmadığı, veri sorumlusunun anılan fiilinin Kanun’un veri güvenliğine ilişkin yükümlülüklere aykırılık teşkil ettiği, öte yandan söz konusu durumun bir veri ihlali olmasına karşın veri sorumlusunun Kurula veri ihlal bildiriminde bulunmadığı da dikkate alındığında; Kanun’un 12’nci maddesinde yer alan yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında 75.000 TL idari para cezası uygulanmasına karar verilmiştir.
İlgili kişinin Kurum’a intikal eden şikâyetinde özetle; bir pazarlama şirketinin Trabzon bölge müdürlüğü yetkilileri tarafından bir market adına düzenlenmiş e-faturaların ilgili kişinin kullanmakta olduğu e-posta adresine 13/01/2020 tarihinden 20/04/2020 tarihine kadar on beş kez gönderildiği, ilgili kişinin adına fatura düzenlenen market ile bir ilgisinin bulunmadığı, bu durum çeşitli iletişim kanalları üzerinden söz konusu şirkete bildirilmesine rağmen faturaların tarafına iletilmeye devam ettiği belirtilerek gereğinin yapılması talep edilmiştir.
Konuya ilişkin yapılan değerlendirme neticesinde, ilgili kişi, yetkili satıcının ilk sözleşme imzaladığı pazarlama şirketi hakkında Kurul’a şikâyette bulunmuş olmakla birlikte şikâyete konu faturayı düzenleyen kişi ile Kasım 2018 tarihi itibariyle ilişiklerinin kesildiği ve fatura tarihinin Şubat 2020 olduğu göz önünde bulundurulduğunda söz konusu ilk sözleşme imzalanan pazarlama şirketinin veri sorumlusu sıfatını haiz olmadığı, son satıcı olan market ile sözleşme kurduğunun anlaşıldığı, veri işleyen tarafından ilgili kişinin e-posta adresinin sehven sisteme kaydedilmesi suretiyle herhangi bir kasıt bulunmaksızın işlendiği ve şikâyete konu durumun düzeltildiği belirtilmiş olup şikâyette bulunulan ilk pazarlama şirketinin ilgili kişiye tarafı olmayan faturaların gönderilmesi faaliyetinde herhangi bir ilgisi ve sorumluluğunun bulunmadığı kanaatine varıldığından hakkında yapılacak bir işlem olmadığına, son satıcı olan market sahibi ile ilgili kişinin e-posta adresi benzerliği sebebiyle veri işleyen yetkili satıcı tarafından sehven ilgili kişinin e-posta adresinin sisteme kayıt edilerek herhangi bir kasıt bulunmaksızın işlendiği ve ilgili kişinin faturaların tarafına gönderilmemesi yönündeki talebinin gerekli düzeltme yapılarak yerine getirildiği dikkate alındığında veri sorumlusu ikinci pazarlama şirketi hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına, veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına Kanuna aykırı şekilde gönderilen üçüncü kişilere ait kişisel veriler hakkında Kurul’un 22/12/2020 tarih ve 2020/966 sayılı İlke Kararı kapsamında e-posta gönderilmesi hususunda gerekli teyit mekanizmalarının kurulmasının uygun olacağının veri sorumlusu ikinci pazarlama şirketine hatırlatılmasına karar verilmiştir.
Kurum’a intikal eden şikayette özetle; ilgili kişinin e-posta adresine bir e-ticaret sitesinden alışveriş yapan üçüncü bir kişinin sipariş bilgilerinin gönderildiği, söz konusu e-posta içeriğinde ödenen tutar, resimli olarak siparişin içeriği, gönderici adı soyadı, alıcının adı soyadı, adresi, telefon numarası gibi bilgilerin açık bir biçimde yer aldığı, ayrıca e-postada yer alan “Sipariş Takibi ve Güncelleme” adlı buton sayesinde tüm sipariş detaylarının görülebileceği bir sayfaya yönlendirme yapıldığı, bu sayfada ise gönderici ve alıcı bilgilerine ek olarak sipariş edilen ürünün içerik adı, ürün kodu, rengi ve gönderici tarafından alıcıyı muhatap gönderi notunun görüntülendiği, gönderici veya alıcı bilgileri ile gönderi notu bilgilerinin düzenlenebilir durumda olmakla birlikte sipariş iptal butonunun da aktif olduğu, söz konusu olayların veri ihlali olduğunu tespit ederek ve şahsına ait kişisel verilerinin de belirttiği şekilde başkaları tarafından görülebileceğini düşünerek öncelikle e-ticaret sitesine ait müşteri hizmetleriyle canlı destek sistemi üzerinden irtibata geçtiği, müşteri hizmetleri tarafından müşterinin isim benzerliği neticesinde yanlış e-posta verdiğinin, bu sebeple söz konusu sipariş bildiriminin iletildiğinin, bu siparişten kendisine ait e-posta adresinin silindiğinin ve artık kendisine bildirim iletilmeyeceğinin ifade edildiği, ancak bahse konu e-posta adresine halen veri sorumlusu e-ticaret sitesi tarafından reklam içerikli e-postaların iletildiği belirtilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin olarak yapılan incelemede; bireyler tarafından manuel olarak yapılan bilgi girişlerinde yanlış beyanlarda bulunulabilmesinin muhtemel olduğu, veri sorumluları tarafından ise Kanun’un 12’nci maddesinin (1) numaralı fıkrasında tanımlanan kişisel verilerin hukuka aykırı olarak işlenmesini önlemeye yönelik idari ve teknik tedbirlerin alınması yükümlülüğü kapsamında, bu yanlış bilgi girişleri sebebiyle üçüncü kişilere ait kişisel verilerin hukuka aykırı bir biçimde işlenmesinin önüne geçilebilmesi adına, kendilerine bildirilen iletişim bilgilerinin doğruluğunu teyit edecek mekanizmaların oluşturulmasına yönelik gerekli idari ve teknik tedbirlerin alınması gerektiği, söz konusu işlemde bir teyit mekanizmasının bulunmaması nedeniyle e-ticaret sitesine üye olmadan misafir girişi ile yapılan tüm alışveriş işlemlerinin veri ihlal riski taşıdığı belirtilmiş olup şikayete konu olayda veri sorumlusunun Kanun’un 12’nci maddesindeki yükümlülüklerini yerine getirmeyerek ihmali davranışla e-postanın gönderileceği alıcı gruplarına yönelik bir teyit mekanizması kurmadan uzaktan satış sözleşmesinin tarafı olmayan ilgili kişinin e-posta adresinin işlenmesine, bu e-postanın yanlış muhataba gönderilmesi halinde hak kaybına yol açabileceği hususları da dikkate alınarak, veri sorumlusu hakkında 120.000 TL idari para cezası uygulanmasına karar verilmiştir.
Kurum’a intikal eden şikâyette özetle; ilgili kişinin ev eşyası satan bir veri sorumlusu tarafından arandığı, ertesi gün de cep telefonuna mesaj gönderildiği, sonraki bir tarihte de veri sorumlusu tarafından üç kez arandığı ve yapılan son aramada veri sorumlusu tarafından alışveriş yapan kişinin numarasının sorulduğu, ilgili kişinin bu kişinin numarasını bilmediğini ve kendisinin herhangi bir borcunun ya da kefilliğinin bulunmadığını belirttiği ancak veri sorumlusu tarafından borçlu borcunu bitirene kadar sürekli rahatsız edileceğinin söylendiği, en son arandığında numarasının sistemden silinmesi talebine olumsuz cevap verildiği, ayrıca veri sorumlusuna yapılan silme talebini içeren yazılı başvuruya cevap verilmediği ve aramalara devam edildiği ifade edilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin yürütülen inceleme neticesinde, veri sorumlusunun Kanun’un 4’üncü maddesinde yer alan kişisel verilerin “doğru ve gerektiğinde güncel olma” ile “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırı olarak ve Kanun’un 5’inci maddesinde yer alan kişisel verilerin işlenme şartlarından herhangi biri bulunmaksızın ilgili kişiye ait olmadığını bildiği bir borca ilişkin olarak ilgili kişiyi defaatle aramak suretiyle kişisel verisi niteliğindeki telefon numarasını işlemeye devam ettiği göz önünde bulundurulduğunda, veri sorumlusunun ekonomik durumu dikkate alınarak, hakkında 200.000 TL idari para cezası uygulanmasına karar verilmiştir.
İlgili kişinin şikâyetinde özetle; Nisan 2022 içerisinde ilgili kişinin şahsi e-posta hesabı olan *************@gmail.com’a yasal bahis platformu olan ******.com tarafından bir e-postanın gönderildiği ve söz konusu e-postada özetle “Sayın ******* ******, Üyelik işlemleriniz ile ilgili detayları aşağıda bulabilirsiniz: Üye Numaranız: ********. Üye numaranız, kullanıcı adınız, TC kimlik numaranız ile ******.com hesabınıza giriş yapabilirsiniz. Güvenlik önlemi olarak ******.com’a giriş şifrenizi belirli aralıklarla değiştirmenizi tavsiye ediyoruz.” denildiği, hemen ardından gelen ikinci bir e-posta ile ise “Sayın Üyemiz, E-posta adresinize reklam, promosyon vb. ticari elektronik iletilerin gönderilmesini onayladınız.” denildiği, ilgili kişi tarafından ******.com sitesine herhangi bir üyeliğin asla gerçekleştirilmediği, Veri sorumlusunun ise “İletmiş olduğunuz talebinize istinaden E-posta adresiniz kayıtlı olduğu üyelikten kaldırılmıştır.” şeklinde cevap verdiği, somut olayda Kanun bakımından asıl sorunun veri sorumlusunun kişisel veriyi işlerken herhangi bir kontrol mekanizması oluşturmamış olması olduğu beyan edilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin yürütülen inceleme neticesinde; veri sorumlusunun kişisel veri işleme faaliyetlerini yürüttüğü elektronik sistemi Kanun’un 4’üncü maddesinin (2) numaralı fıkrasında düzenlenen “Hukuka ve dürüstlük kurallarına uygun olma”, “Doğru ve gerektiğinde güncel olma” ve “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” genel ilkelerine uygun tasarlamamış/tasarlatmamış olmasından dolayı; veri sorumlusunun anılan fiillerinin Kanun’un veri güvenliğine ilişkin yükümlülüklerin düzenlendiği 12’nci maddesinin (1) numaralı fıkrasının (a) bendi hükmüne aykırılık teşkil ettiği dikkate alınarak veri sorumlusu hakkında 250.000 TL idari para cezası uygulanmasına karar verilmiştir.
İlgili kişinin Kurum’a intikal eden şikâyetinde özetle; ilgili kişinin daha önce veri sorumlusu telekomünikasyon şirketi hakkında kendisine ait e-posta adresine başka bir aboneye ait e-faturaların gönderilmesi nedeniyle şikâyette bulunduğu, bu kapsamda veri sorumlusu telekomünikasyon şirketi hakkında Kurul tarafından idari para cezası uygulanmasına ve kişisel verilerin güvenliğine ilişkin gerekli tüm idari ve teknik tedbirlerin alınması hususunda veri sorumlusunun talimatlandırılmasına karar verildiği ancak 2018 yılından beri 053..….4 numaralı hattın sahibinin e-faturalarının veri sorumlusu tarafından ilgili kişiye iletildiği bununla birlikte 054.…..9 numaralı hattın sahibinin e-faturalarının da kendisine iletilmeye başlandığı ifade edilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin yapılan değerlendirme neticesinde; ilgili kişinin e-posta adresinin üçüncü kişilere ait faturanın iletilmesi suretiyle işlenmesi ve bu durumun “doğru ve gerektiğinde güncel olma” ilkesine aykırılık teşkil etmesi sebebiyle Kanun’un 12’nci maddesinin (1) numaralı fıkrasındaki yükümlülükleri yerine getirmediği kanaatine varılan veri sorumlusu hakkında, daha önce verilen Kurul kararında abonelerin kişisel verilerinin güvenliğine ilişkin gerekli idari ve teknik tedbirlerin alınması hususunda talimatlandırıldığı da dikkate alınarak, 200.000 TL idari para cezası uygulanmasına karar verilmiştir.
İlgili kişi tarafından Kurum’a intikal ettirilen dilekçede özetle; bir banka nezdindeki hesabına ilişkin ekstre ve anlık hesap hareketlerinin, ilgili kişinin bilgisi ve rızası dışında üçüncü bir kişinin e-posta adresine gönderildiği, bu suretle ilgili kişinin tüm para transferleri ile hesap bilgilerinin, üçüncü kişiler tarafından öğrenildiği, bu sebeple güvensizlik ve tedirginlik içinde olduğu, veri sorumlusu tarafından aydınlatma yükümlülüğünün yerine getirilmediği belirtilerek veri güvenliğinin ihlal edilmesi sebebiyle gereğinin yapılması talep edilmiştir.
Konuya ilişkin yapılan inceleme neticesinde; şikâyete konu e-posta adresinin ilk olarak ilgili kişinin ortağı olduğu şirketin vekili tarafından banka ile paylaşıldığı sonrasında ilgili kişinin bireysel emeklilik başvurusu sırasında kendisine sunulan formda yer alan söz konusu e-posta adresini formu imzalamak suretiyle onayladığı, öte yandan ilgili kişinin başvurusu üzerine veri sorumlusunun hemen aksiyon alarak e-posta adresinde gerekli düzeltmeyi yaptığı hususları dikkate alındığında şikâyet konusu ile ilgili olarak veri sorumlusu banka hakkında Kanun kapsamında yapılacak bir işlem olmadığına, “Veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına Kanun’a aykırı şekilde gönderilen üçüncü kişilere ait kişisel veriler hakkında Kurul’un “22/12/2020 tarihli ve 2020/966 sayılı İlke Kararı” doğrultusunda, banka işlemlerinde kullanılan ilgili kişilerin iletişim bilgilerinin belirli periyotlarla doğrulanması ve güncelliğinin sağlanması hususunda gerekli mekanizmaların kurulmasına ilişkin veri sorumlusunun uyarılmasına karar verilmiştir.
Kurum’a intikal eden şikâyetinde özetle ilgili kişinin; Ocak 2018 tarihinde hastanede bir doktor tarafından muayene edildiği, ilgili doktorun hastaneden ayrılarak özel muayenehane açtığı ve akabinde ilgili kişinin cep telefonu numarasına reklam amaçlı SMS gönderdiği, bu sebeple doktor tarafından hastaneden ayrılırken kişisel verilerinin hukuka aykırı olarak temin edildiğini düşündüğü, konuya ilişkin ilgili doktora ve hastaneye başvurduğu ancak yeterli bir cevabın alınamadığı, kendisinin ne hastane nezdinde ne de doktor nezdinde devam eden ya da takip edilen hiçbir sağlık probleminin söz konusu olmadığı ifade edilerek Kanun kapsamında hastane ve doktor hakkında gereğinin yapılması talep edilmiştir.
Konuya ilişkin yapılan değerlendirme neticesinde; eldeki bilgi ve belgeler çerçevesinde söz konusu kişisel verilerin hastanenin veri tabanından alındığının tevsik edilemediği dikkate alındığında hastane hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına, veri sorumlusu doktor tarafından telefon numarasının ilgili kişinin kendisinden alındığının beyan edildiği bu çerçevede söz konusu iletişim verisinin hasta doktor ilişkisi çerçevesinde muayene/tedavi süreçlerine ilişkin bilgilendirme amacıyla temin edildiğinin anlaşıldığı ancak daha sonra doktor tarafından reklam içerikli SMS göndermek amacıyla ilgili kişinin telefon numarasının işlendiği dikkate alındığında söz konusu kişisel veri işleme faaliyetinin herhangi bir işleme şartına dayanmadığına, bu kapsamda Kanun’un 12’nci maddesine aykırı uygulamada bulunan gerçek kişi veri sorumlusu doktor hakkında 100.000 TL idari para cezası uygulanmasına karar verilmiştir.
Kurum’a iletilen şikayet dilekçesinde özetle; bir kamu kurumu ile ilgili kişi arasında idare mahkemesi nezdinde yürütülen dava dosyası ile ilgili olarak davalı kamu kurumu tarafından üniversite hastanesinden birtakım bilgilerin talep edildiği, söz konusu talep üzerine üniversite hastanesi tarafından ilgili kişiye ait sağlık verilerinin kamu kurumuna teslim edildiği, üniversitenin yapmış olduğu ihlal nedeni ile ilgili kişinin manevi zarara uğradığı ve bu kapsamda manevi tazminat talebinde bulunulduğu, hastanede gerçekleşen muayenesi sonucunda ilgili kişi için düzenlenen hasta anamnez formunda belirtilen “… ara sıra tek tük esrar kullanmak zorunda kaldığını söylüyor” içerikli beyan üzerine ilgili kişinin gözaltında kaldığı, konutu ve arabasının arandığı, ilgili kişinin üniversite hastanesinde çalışmakta olan doktorun sorusuna verdiği cevabın doktor tarafından yanlış anlaşılarak hasta muayene bilgilerinin hikaye bölümüne yanlış şekilde yazıldığı, ilgili kişi hakkında kovuşturmaya yer olmadığına dair karar verildiği, uyuşturucu madde kullanmadığının Cumhuriyet Başsavcılığının Kararı ile sabit olduğu, bu nedenle ilgili kişiye ait sağlık dosyasında “esrar maddesi kullanıldığına ilişkin verilerin ve bilgilerin silinmesi”nin talep edildiği, belirtilen taleplerine ilişkin olarak başvurusuna üniversite tarafından cevap verilmediği ifade edilerek üniversite hakkında Kanun kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin olarak yapılan incelemede; özel nitelikli kişisel verilerin aktarılmasına ilişkin ilgili kişinin açık rızası mevcut olmadığı halde ilgili kişiye ilişkin özel nitelikli kişisel veri olan sağlık verilerinin Kanun’a aykırı olarak kamu kurumuna aktarıldığı, öte yandan talep edilen bilgiden daha geniş kapsamda bilgi paylaşıldığı dikkate alındığında veri sorumlusu üniversite hastanesinin kişisel verilerin güvenliğine ilişkin gerekli her türlü teknik ve idari tedbiri alma yükümlülüğünü yerine getirmediği değerlendirildiğinden sorumlular hakkında disiplin hükümlerine göre işlem yapılmasına ve yapılan işlem hakkında Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına, ilgili kişinin “Anamnez Formu”nda geçen “esrar maddesi kullanıldığına ilişkin verilerin” düzeltilmesini talep etme hakkı dikkate alındığında; “doğru ve gerektiğinde güncel olma” ilkesine uygun olarak, veri sorumlusu tarafından gerek kendi bünyesinde ve gerektiği takdirde ilgili kişiyi de yönlendirmek suretiyle İl Sağlık Müdürlüğü nezdinde gerekli işlemlerin yapılması ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.
İlgili kişinin Kurum’a intikal eden dilekçesinde özetle; veri sorumlusu şirketin sunduğu hizmetlerden biri olan çevrimiçi alışveriş platformu üzerinden gerçekleştirdiği alışveriş ile ilgili olarak, uygulamaya girdiği kredi kartı bilgilerinin ve sipariş teslimatı için verilen iletişim -cep telefonu numarası- bilgisinin Kanun uyarınca veri sorumlusundan talep edildiği, kayıt altına alındığı beyan edilen bilgilerin sisteme kayıtlı kullanıcı e-postası ve telefon yoluyla talep edilmesine rağmen bu bilgilerin kendisiyle paylaşılmamasının Kanun’a aykırı olduğu ifade edilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin yapılan incelemede; ilgili kişinin kredi kartı bilgilerinin mobil ödeme teknolojisi sağlayıcısı aracı şirket bünyesinde tutulduğu dikkate alındığında veri sorumlusu hakkında bu açıdan yapılacak bir işlem olmadığına karar verilmiştir.
Kurum’a intikal ettirilen bir ihbar dilekçesinde özetle; tüketici finansman kredisiyle alışveriş imkânı sunan Şirketten senetle televizyon alındığı sırada kendisinden e-Devlet şifresinin talep edildiği,
Kurum’a intikal ettirilen bir diğer ihbar dilekçesinde ise özetle; şirketin ihbar edenden e-Devlet şifresini istediği, ihbar edenin ısrarlar sonucunda şifre almadığını söyleyerek talebi reddettiği, ihbar edenin kendisi dışında birçok vatandaştan da e-Devlet şifrelerinin alındığının bilindiği hususları Kanun kapsamında gerekli işlemlerin yapılması talep edilmiştir.
Konuya ilişkin yapılan inceleme neticesinde, ilgili kişilerin e-Devlet şifrelerine erişim sağlandığı yönünde güçlü bir kanaat oluştuğu, ilgili kişilerin e-Devlet şifreleri talep edilerek hassas nitelikli olanlar da dahil pek çok kişisel veriye erişim sağlanabileceği sonucuna varıldığından veri sorumlusundan yapılan taksitli alışverişlerde e-Devlet şifrelerinin talep edilmesinin Kanun’un 5’inci maddesinde yer alan herhangi bir veri işleme şartına dayanmaması nedeniyle Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerini yerine getirmediği değerlendirilen veri sorumlusu hakkında 400.000 TL idari para cezası uygulanmasına karar verilmiştir.
C. Avukatlar Tarafından İşlenen Kişisel Verilere İlişkin Kararlar
Bir Avukatlık Ortaklığı tarafından vekili olduğu Şirket ve Şirket ile ilgili kişi arasındaki abonelik ilişkisi kapsamında, borcun takibi ve hatırlatılması amacıyla ilgili kişiye beş kez kısa mesaj gönderilmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyeti ile ilgili olarak Kurum’a intikal eden şikâyet dilekçesinde özetle; veri sorumlusu olarak Avukatlık Ortaklığı tarafından Şirketten elde edilen kişisel veriler hakkında ilgili kişiyle iletişime geçildiği ilk anda aydınlatma yükümlülüğünün yerine getirilmemesi ve ayrıca çağrı merkezi vasıtasıyla yapılan görüşme bağlamında ses kaydı hakkında ses kaydı gerçekleşmeden önce aydınlatma yükümlülüğünün yerine getirilmemesi nedeniyle veri sorumlusu hakkında yaptırım uygulanması, toplamda beş kez aynı konu ve içerikle ilgili kişiye kısa mesaj gönderilmesi nedeniyle veri sorumlusu hakkında yaptırım uygulanması talep edilmiştir.
Konuya ilişkin yapılan inceleme neticesinde; veri sorumlusu tarafından ilgili kişinin telefon numarasının işlenmesi suretiyle gerçekleşen kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinin ikinci fıkrasının (e) bendinde yer alan bir hakkın tesisi, korunması veya kullanılması için veri işlemenin zorunlu olması hükmü kapsamında hukuka uygun olduğu değerlendirildiğinden söz konusu şikâyet kapsamında yapılacak bir işlem bulunmadığına, ilgili kişinin, veri sorumlusunun Şirketten elde ettiği kişisel veriler hakkında ilgili kişiyle iletişime geçildiği ilk anda aydınlatma yükümlülüğünün yerine getirilmemesi ve ilgili kişinin kendisine gönderilen kısa mesajlar hakkında bilgi almak üzere veri sorumlusunun çağrı merkezini araması sırasında alınan ses kaydı hakkında ses kaydı gerçekleşmeden önce aydınlatma yükümlülüğünün yerine getirilmemesi nedeniyle Kanun’un 18’inci maddesinin birinci fıkrasının (a) bendi uyarınca cezalandırılması talebine ilişkin olarak ilgili kişinin veri sorumlusuna başvurusunda söz konusu iddialara ilişkin bir açıklama veya talebin bulunmadığı anlaşıldığından Kanun kapsamında yapılacak bir işlem bulunmadığına, ilgili kişinin, veri sorumlusu nezdinde hukuka aykırı olarak elde edilen veriler üzerinden vatandaşların kimlik ve iletişim bilgileri gibi kişisel verilerin sorgulanmasına imkân tanıyan yazılım/program/uygulama kullanıp kullanmadığı hususunda denetim yapılması talebine ilişkin olarak veri sorumlusunun cevabi yazısında ilgili kişinin bu iddiasının reddedilmiş olduğu ve ilgili kişi tarafından da iddiasını tevsik edici nitelikte herhangi bir bilgi, belge veya kaydın Kurum’a iletilmemiş olduğu dikkate alındığında bahse konu talep hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.
İlgili kişilerin vekillerinin Kurum’a intikal eden şikâyet dilekçesinde özetle; ilgili kişilerin ortağı olduğu ve tasfiyesi gerçekleşmiş limited şirkete ait olduğu iddia edilen bir borç nedeniyle veri sorumlusu avukatın ve bünyesinde çalışanların ilgili kişilerle kısa mesaj gönderme ve arama yoluyla iletişim kurduğu ve bu kapsamda kişisel verilerinin işlendiği ifade edilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin yapılan incelemede; ilgili kişilerin borcun doğduğu/icra takibinin başlatıldığı dönemde münfesih şirketin yönetim kurulunda yer aldığı, bu hususun da Ticaret Sicil Gazetesi’nde aleni bir şekilde paylaşıldığı, veri sorumlusu avukatın Avukatlık Kanunu ve sair mevzuat çerçevesinde vekâlet ilişkisi içerisinde bulunulan müvekkile ait alacağın tahsili amacıyla ilgili kişilerin ad, soyadı, T.C. kimlik numarası, adresi, telefon numarası gibi verilerini UHAP/bilinmeyen numara servisleri vb. mevzuata uygun faaliyet yürüten yasal platformlar üzerinden edinmesinin ve işlemesinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (ç) bendi gereğince veri sorumlusunun vekâlet ilişkisinden doğan hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması şartına ve (e) bendi gereğince alacaklının hak arama hürriyetinin tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması şartına dayandığı dikkate alınarak bu iddia açısından Kanun kapsamında yapılacak bir işlem olmadığına karar verilmiştir.
İlgili kişilerin (borçlu ve oğlu) aynı konuya ilişkin Kurum’a intikal eden şikayetlerinde özetle; borçlu hakkında başlatılan icra takibi ile ilgili olarak oğluna ait telefon numarasının veri sorumlusu avukat tarafından defalarca aranarak borca ilişkin bilgi verildiği, borçlunun hukuki işlem ve finansal bilgilerinin açık rızası olmaksızın üçüncü kişi konumundaki oğlu paylaşıldığı, öte yandan kendisi ile borç bilgisi paylaşılan borçlunun oğlunun ise telefon numarasının hukuka aykırı olarak elde edildiği ve kullanıldığı, konu ile ilgili olarak ilgili kişilerin veri sorumlusu avukata yaptıkları başvurunun veri sorumlusunca tebellüğ edilmesine rağmen cevaplandırılmadığı ifade edilerek, Kanun kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin yapılan değerlendirme neticesinde; borçlunun oğlunun haciz esnasında haciz mahallinde olduğu ve haczedilen malların yediemin sıfatıyla kendisine bırakılmış olduğu da dikkate alındığında, eldeki mevcut bilgi ve belgelerden veri sorumlusunun borçlunun oğlunun telefon numarasını hukuka aykırı işlediğinin tevsik edilemediği anlaşıldığından söz konusu iddia hakkında Kanun kapsamında yapılacak bir işlem olmadığına karar verilmiştir.
İlgili kişinin Kurum’a intikal eden dilekçesinde özetle; ilgili kişi ile GSM operatörü veri sorumlusu arasında mobil internet hattına ilişkin yapılan sözleşmenin ilgili kişi tarafından iptal edilmesi sonucu tarafına borç çıkarıldığı, ilgili kişi adına çıkarılan borcun tahsili için GSM operatörünün bir avukatlık ortaklığına yetki verdiği, avukatlık ortaklığı tarafından borcun tahsilini sağlamak amacıyla ilgili kişinin ortağı olduğu şirkete ait 4 farklı cep telefonu numarasına ilgili kişinin soyadını maskeleyerek fakat adının açıkça görüneceği şekilde borçlu olduğu miktar hakkında icra takibi başlatılacağı bilgilerini içeren bir kısa mesaj gönderildiği, bahsi geçen mesajlar nedeniyle, ilgili kişinin ortağı olduğu şirket hatlarını kullanan çalışanların konu ile ilgileri bulunmamasına karşın ilgili kişinin borç bilgilerinden haberdar olduğu, ayrıca şirkette ilgili kişiyle aynı ada sahip başkaca kimse bulunmadığından soyadı maskelenmiş olsa dahi bahsi geçen kısa mesajda kimliğinin bilinir kılındığı, konuya ilişkin olarak avukatlık ortaklığına ve GSM operatörüne başvurduğu, verilen cevaplarda bilgi amaçlı gönderilen kısa mesajın maskelenerek paylaşıldığı belirtilmiş ise de ilgili kişiye ait kişisel verilerin, ilgili kişinin ortağı olduğu şirket hatlarına hangi amaçla iletildiğinin açıklanamadığı ifade edilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin yapılan incelemede, ilgili kişinin ortağı olduğu Şirkete ait kurumsal iletişim numaralarının, veri sorumlusu ile arasındaki bireysel sözleşmelerde de iletişim numarası olarak kullanılmasının veri sorumlusu tarafından “doğru ve gerektiğinde güncel” olma ilkesine aykırılık teşkil ettiği anlaşılmış olup, bu hukuka aykırı veri işleme faaliyeti nedeniyle avukatlık ortaklığı tarafından ilgili kişiye ilişkin kişisel verileri içeren kısa mesajların şirkete ait iletişim numaralarına gönderilmesi neticesinde, borca konu işlemle ilgisi olmayan üçüncü kişi şirket çalışanları ile ilgili kişiye ilişkin kişisel veri olan borç bilgisinin herhangi bir işleme şartı bulunmaksızın paylaşıldığı gözetildiğinde; Kanun’un 12’nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülüklerini yerine getirmediği kanaatine varılan veri sorumlusu hakkında 85.000 TL idari para cezası uygulanmasına, veri sorumlusu tarafından verilen talimat çerçevesinde borcun tahsili amacıyla ilgili kişiye ilişkin olduğu belirtilen telefon numaralarına bir adet kısa mesaj gönderen ve sınırlı yetkisi çerçevesinde söz konusu numaralara ilişkin doğrulama imkânı olmayan veri işleyen avukatlık ortaklığı hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.
- “Kamu tüzel kişiliğini haiz Birlik tarafından ilgili kişinin kişisel verilerini içeren belgelerin Birliğin vekili tayin edilen avukat ile paylaşılması ve müteakiben söz konusu belgelerin avukat tarafından Baroya aktarılması” hakkında 18/05/2022 tarihli ve 2022/489 sayılı Karar Özeti:
İlgili kişinin şikâyetinde özetle; kendisinin avukatlık mesleğini icra ettiği, kamu tüzel kişiliğini haiz Birlik ile arasındaki hukuki danışmanlık ve avukatlık sözleşmesinin fesih görüşmeleri sırasında kendisini Birlik vekili olarak tanıtan bir avukatın ilgili kişiyi aradığı ve sözleşmeyi feshetmesini istediği, bunun üzerine Birlik ile konu hakkındaki görüşmeleri devam ederken kendisini Birlik vekili gibi tanıttığı ve avukatlık meslek etiğine uygun olmayacak şekilde konuşması nedeniyle hakkında disiplin soruşturması yapılmasını teminen ilgili kişinin söz konusu avukatı Baroya şikâyet ettiği, avukatın Baro Başkanlığına sunduğu savunması ile ilgisi olmayan, sadece Birlikte asılları bulunan ve danışmanlık sözleşmesi kapsamında Birliğe kesilen serbest meslek makbuzu ve stopaj ödeme listesinin fotokopilerine savunma dilekçesi ekinde yer verdiği, bunun üzerine ilgili kişinin söz konusu avukata ve Birliğe başvuruda bulunduğu ancak yanıt alamadığı belirtilerek Kanun kapsamında gerekli işlemlerin yapılması talep edilmiştir.
Konuya ilişkin yapılan inceleme neticesinde; Birlik Başkanlığının ilgili kişinin kişisel verilerini içeren belgeleri Birliğin vekili tayin edilen avukat ile paylaşması ile ilgili olarak; Birliğin kamu tüzel kişiliğini haiz bir kurum olarak taraflarına hasredilen görevleri yerine getirmeleri sürecinde dışarıdan avukatlık hizmeti aldıkları ve bu durumda söz konusu avukat ile ilgili kişiye ait kişisel verileri içeren belgeleri paylaşmalarının Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendi çerçevesinde değerlendirilebileceği kanaatine varıldığından ilgili kişinin Birlik hakkındaki şikâyeti ile ilgili olarak Kanun kapsamında yapılacak herhangi bir işlem bulunmadığına, veri sorumlusu sıfatını haiz avukatın ilgili kişinin kişisel verilerini içeren belgeleri yürütülen soruşturma kapsamında Baroya aktarmasının Kanun’un 8’inci maddesine uygun olarak Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendi çerçevesinde gerçekleştirildiği kanaatine varıldığından ilgili kişinin söz konusu avukat hakkındaki şikâyeti ile ilgili olarak Kanun kapsamında yapılacak herhangi bir işlem bulunmadığına karar verilmiştir.
D. Diğer Veri İşleme Faaliyetlerine Yönelik Kararlar
Kurum’a yapılan şikâyette özetle; ilgili kişinin ismi ile veri sorumlusu arama motoru üzerinden arama yapıldığında https://www.resmigazete.gov.tr/arsiv/*****.pdf sayfasına ulaşıldığı, ilgili kişinin ismiyle yapılan arama sonucunda çıkan sayfanın “unutulma hakkı” kapsamında kaldırılmasının veri sorumlusundan talep edildiği, ancak taraflarına verilen yanıtta “içeriğin engellenmemesine” karar verildiğinin bildirildiği hususları beyan edilerek ilgili kişinin ismiyle veri sorumlusu arama motoru üzerinde arama yapıldığında ilgili adresin çıkmamasının sağlanması için gereğinin yapılması talep edilmiştir.
Konuya ilişkin yürütülen inceleme neticesinde; şikâyete konu Resmî Gazete sayfasının veri sorumlusu arama motoru üzerinden ilgili kişinin ismi ile ilişkilendirilerek indekslenmesindeki veri işleme faaliyetinin amacının ilgili içeriğin kamu bilgisine sunulması değil ilgili kişiye tebliğin yapılmasının sağlanması olduğu, bununla birlikte Tebligat Kanunu kapsamında ve Resmî Gazete’de belirtildiği üzere söz konusu içeriğin ilan tarihinden itibaren 15 gün sonra tebliğ edilmiş sayılacağı, bu anlamda ilgili kişiye tebliğ amacının gerçekleştiği, bununla birlikte ilgili kişinin bir şirketin yönetim kurulu üyesi ve başkanı olduğu ancak söz konusu içeriğin ilgili kişinin iş yaşamına ilişkin olmadığı, ayrıca içerikte yer alan verilerin işlenmesindeki amacın ilgili içeriğin kamu bilgisine sunulması değil ilgili kişiye tebliğinin sağlanması olduğu dikkate alındığında yayınlanmasında kamu yararı bulunmadığı, arama sonuçlarının öznesinin çocuk olmadığının açık olduğu, şikayete konu URL adresinde yer alan Resmî Gazetenin **/**/2000 ve mahkeme kararının da 1999 tarihli olduğu göz önüne alındığında 20 yıldan fazla süre geçmiş olduğu ve bu anlamda içeriğin güncelliğini yitirdiği, her ne kadar içerikte yer alan bilgi ilgili kişinin üzerine atılı suçtan mahkeme kararıyla beraat ettiğinin teyidi olsa da ilgili kişi hakkında önyargıya sebep olabileceği, içeriğin ilgili kişinin kendisi tarafından yayınlanmadığı, içeriğin gazetecilik faaliyeti kapsamında işlenen verileri içermediği değerlendirildiğinden, ilgili kişinin ad ve soyadıyla yapılan arama sonucunda çıkan https://www.resmigazete.gov.tr/arsiv/*****.pdf URL adresinin ilgili kişinin ad ve soy adıyla ilişkilendirilemeyecek şekilde indeksten çıkarılması hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.
İlgili kişinin Kurum’a intikal eden şikâyetinde özetle; bir ilçe belediyesinin sosyal medya hesabından paylaşılan olağan meclis toplantısı videosunda, kişisel verilerinin hukuka aykırı olarak işlendiği, bahse konu toplantıda belediye başkanı tarafından ilgili kişinin özel hayatına, kişisel verilerine ve bazı dava dosyaları ile ilgili adli işlemlere ilişkin bilgileri içeren bir konuşma gerçekleştirildiği ve bu konuşmanın belediyenin sosyal medya hesabından kamuoyu ile paylaşıldığı, bu çerçevede kişisel verilerinin ihlal edilmesine ilişkin olarak Belediyeye başvuruda bulunulduğu, ancak Belediye tarafından Kanun kapsamında herhangi bir hak ihlaline rastlanmadığı şeklinde cevap verildiği ifade edilerek gereğinin yapılması talep edilmiştir.
Konuya ilişkin yapılan değerlendirme neticesinde; ilgili kişinin Belediyesi Meclis Toplantısında kişisel verilerinin Kanun’a aykırı olarak paylaşıldığı ve ilgili video kaydının sosyal medya platformu üzerinde yayımlandığı iddiasıyla Kurula intikal eden şikâyetinin incelenmesi neticesinde; ilgili kişinin eski meclis üyesi olduğu ve konuya ilişkin olarak kamuoyunun bilgilendirilmesinde kamu ilgi ve yararının mevcut olduğu, öte yandan 5393 sayılı Belediye Kanunu’nun 20’nci maddesinin altıncı fıkrasında “Toplantılar, meclisin kararıyla sesli ve görüntülü cihazlarla da kaydedilebilir.” hükmüne, Belediye Meclisi Çalışma Yönetmeliği’nin 11’inci maddesinin dokuzuncu fıkrasında ise “Meclis toplantıları halka açıktır. Meclis başkanı veya üyelerden herhangi birinin gerekçeli teklifi üzerine kapalı oturum yapılmasına karar verilebilir. (…)” hükmüne yer verildiği dikkate alındığında söz konusu veri işleme faaliyetinin “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması” hükmü kapsamında olduğu değerlendirildiğinden Belediye Başkanlığı hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.
İlgili kişinin şikâyetinde özetle; veri sorumlusuna ait döviz bürosunda gişe görevlisi tarafından yapılan yanlış işlem sebebiyle ilgili kişiye fazla ödeme yapıldığı, fazla ödemenin ilgili kişi tarafından öğrenilmesi üzerine fazla ödenen kısmın iade edildiği, bununla birlikte döviz bürosunda bulunan güvenlik kamerası ile kayda alınmış ilgili kişiye ait görüntülerin haber ajans ve siteleri ile ilgili kişinin açık rızası alınmaksızın paylaşıldığı, Veri sorumlusunun iş yerinde görüntü kaydı yapıldığına ilişkin herhangi bir uyarı levhasının bulunmadığı, ilgili kişi tarafından Kanun’un 11’inci maddesindeki hakları uyarınca veri sorumlusuna yazılı şekilde başvuruda bulunulduğu ancak başvuru dilekçesindeki hususlara makul ve yeterli cevap verilmediği ve ihlal durumunun veri sorumlusunca reddedildiği belirtilmiş ve gerekli işlemlerin yapılması talep edilmiştir.
Konuya ilişkin yapılan inceleme neticesinde; döviz bürolarında kamera bulundurulmasının hukuki bir yükümlülük olduğu bu itibarla kamera-video kaydı yapmak suretiyle ilgili kişinin görüntülerinin veri sorumlusunun hukuki yükümlülüğünün yerine getirilmesi işleme şartına dayandığı, öte yandan ilgili kişinin kamera kaydı yapıldığına ilişkin aydınlatma yapılmadığı iddialarına ilişkin olarak veri sorumlusunun savunması ve eklerinde iletmiş olduğu fotoğrafların incelenmesinden döviz bürosunun muhtelif yerlerinde “Bu iş yeri güvenliğiniz için 7/24 kamera ile izlenmektedir” levhalarının asılı olduğu görüldüğünden, kamera kaydı yapıldığına ilişkin ilgililerin aydınlatılmasının sağlandığı kanaati hasıl olmuş olup ilgili kişinin söz konusu şikâyeti hakkında Kanun kapsamında yapılacak bir işlem olmadığına, veri sorumlusu tarafından ilgili kişiye yapılan fazla-haksız ödemenin iadesinin sağlanabilmesini ve ekonomik kaybın önlenmesini teminen ilgili kişinin göz çevresinin ve siluetinin görüntülendiği kamera kaydı görüntülerinin ilan amacıyla yerel haber kanalına aktarılmasının, “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” işleme şartı kapsamında olduğundan hareketle bu hususta Kanun kapsamında yapılacak bir işlem olmadığına karar verilmiştir.