Kişisel Verileri Koruma Kurulu’nun (“Kurul”) resmi internet sitesinde 17.12.2021 tarihinde 6698 sayılı Kişisel Verilerin Korunması Kanunu (‘’Kanun’’) kapsamında alınan 19 adet karar yayınlanmış olup, kararlara ilişkin önemli hususlar aşağıda belirtilmektedir.  

Kurul tarafından verilen kararlarda, Veri Sorumlularının ilgililerden açık rıza almalarına ilişkin ispat yükümlülüğünü yerine getirmekte zorlandıklarını görmek mümkündür. Ayrıca, ilgili kişilere karşı aydınlatma yükümlüğünün ve ilgili kişilerden açık rıza almanın, Kurul kararları ve rehberleri doğrultusunda usulüne uygun olarak yerine getirilmesi gerektiği belirtilmektedir.

İlaveten, Veri Sorumlularının, ilgili kişiler tarafından kendilerine yapılan başvuruları zamanında cevaplandırmadığı ve Kurul’un bu konuda Veri Sorumlularının talimatlandırılmasına karar verdiği görülmektedir. Bu kapsamda, ilgililerden gelen başvurulara süresi içerisinde cevap verilmesinin atlanmaması için gerekli önlemlerin alınmasını öneririz.

Karar Özetleri:

1. Bir dijital platform bayisinin veri ihlal bildirimi hakkında 04/06/2021 tarih ve 2021/548 sayılı Karar Özeti

Kurul tarafından:

  • Her ne kadar bayii ile dijital platform arasında akdedilen sözleşme hükümlerinden genel şekliyle dijital platformun veri sorumlusu, bayinin ise veri işleyen olarak belirlendiği görülmekte ise de somut hadisede bayinin veri işleyen sıfatından çıkarak veri sorumlusu hâline geldiği, zira dijital platformun merkezî CRM sisteminde müşteri/potansiyel müşteri olarak kaydı bulunmayan ilgili kişiyi dijital platformun talimatı veya bilgisi dâhilinde olmaksızın aradığının anlaşıldığı, bu telefon numarası bayiye dijital platform tarafından iletilmediğinden, bayinin veri işleyen olarak, veri sorumlusunun denetimi ve kontrolü altında kişisel veri işleme faaliyeti yürüttüğünden bahsedilemeyeceği,
  • Somut olayda bayinin, kendi iradesiyle ve dijital platformdan bağımsız bir şekilde ilgili kişinin açık rızası veya Kanunun 5 inci maddesinin (2) numaralı fıkrasında yer verilen işleme şartlarına dayanmaksızın ilgili kişinin kişisel verisi niteliğindeki telefon numarasını aramak suretiyle kişisel veri işleme faaliyetinde bulunmasından ötürü veri sorumlusu sıfatını haiz olduğu

değerlendirmelerinden hareketle;

  • İlgili kişinin kişisel verisi olan telefon numarasının Kanunun 5 inci maddesinde yer alan herhangi bir işleme şartına dayanmaksızın hukuka aykırı elde edildiği ve işlendiği dikkate alındığında Kanunun 12 nci maddesinin (1) numaralı fıkrasında yer alan teknik ve idari tedbirleri almayan veri sorumlusu bayii hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idarî para cezası uygulanmasına

karar verilmiştir.

2. Bir sigortacılık ve bireysel emeklilik alanında faaliyet gösteren bir şirketin veri ihlal bildirimi hakkında 09/06/2021 tarihli ve 2021/574 sayılı Karar Özeti

Kurul tarafından:

  • Somut olayda, veri sorumlusu tarafından söz konusu cep telefonu numarasının elde edildiği kaynak olarak iddia edilen internet sitesinde her ne kadar ilgili kişinin cep telefonu numarasına rastlanılmasa da ilgili kişi tarafından bağlı bulunduğu Baronun resmi internet sayfasında söz konusu kişisel verinin alenileştirilmesi hususunda öncelikle ilgili kişinin söz konusu alenileştirme kapsamında iradesi olması gerektiği, bu anlamda, tek başına kişisel verinin kamuoyuna açık hale gelmesinin, örneğin herkesin görebileceği bir yerde olması ya da herkesin erişimine açık durumda bulunmasının alenileştirilmiş olması bakımından yeterli olmadığı; eylemin, ilgili kişinin iradesi ile de desteklenmesi gerektiği, söz konusu olay kapsamında, veri sorumlusu tarafından ilgili kişinin telefon numarasının ilgili kişinin kayıtlı olduğu Baronun internet sayfasından elde edildiği kanıtlanamamakla birlikte yapılan incelemede de bu numaraya rastlanılmadığı, dolayısıyla söz konusu cep telefonu numarasının ilgili kişinin kendi iradesi ile alenileştirildiği hususuna ilişkin kanıtlayıcı herhangi bir bilgi ve belgenin de mevcut olmadığı,
  • Veri sorumlusu tarafından iddia edildiği üzere Baronun internet sayfasından cep telefonu numarası elde edildiği kabul edilse dahi ilgili kişinin ne amaç ile kişisel verilerini alenileştirdiğinin tespitinin gerektiği, bu bağlamda ilgili kişinin kendisi tarafından alenileştirilen, bir başka ifadeyle herhangi bir şekilde kamuoyuna açıklanmış olan kişisel verileri işlenebilecek olup söz konusu olayda da avukatın avukatlık faaliyeti kapsamında kendisiyle iletişime geçilmesi amacıyla iletişim bilgilerini kamuya açık bir hale getirdiği, alenileştirme eylemi, ilgili kişilerin kişisel verilerini kamuoyu ile paylaşma amacıyla sınırlı olup veri sorumlularının ilgili kişinin alenileştirme amacından farklı ya da bu amacı aşan şekilde kişisel veri işleme faaliyetinde bulunmalarının, başkaca bir işleme şartına dayanılmadığı sürece, Kanuna aykırılık oluşturacağı, bu kapsamda ilgili kişinin kişisel verisi niteliğindeki telefon numarasına gönderilen kısa mesajlar incelendiğinde ilgili kişinin mesleki yetkinliğinden faydalanmak için kendisine ulaşılmaya çalışılmadığı, aksine Şirket faaliyetlerine ilişkin randevu talebi ile ilgili kişiye ulaşıldığı, içeriklerin reklam, pazarlama ve bilgilendirme amaçlı olduğu değerlendirilmekte olup bu çerçevede ilgili kişinin telefon numarasının reklam, pazarlama ve bilgilendirme amacıyla kısa mesaj gönderilmek suretiyle işlenmesinin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (d) bendinde yer alan “İlgili kişinin kendisi tarafından alenileştirilmiş olması” hükmü çerçevesinde değerlendirilemeyeceği sonucuna varıldığı,
  • Veri sorumlusunun, faaliyetleri sonucunda ticari kazanç elde etmeyi amaçlayan ve sektördeki diğer tüm şirketler gibi faaliyet alanında meşru çalışmalar yürüten bir tüzel kişilik olduğu, söz konusu faaliyetlerin yürütülmesi sırasında şirketin var olma amaçlarından olan poliçe satış işleminin gerçekleştirilmesinin de şirketleri için meşru bir menfaat olması sebebiyle bu kapsamda gerçekleştirilen kişisel veri işleme faaliyetlerinin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendinde yer alan “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” şartı kapsamında ilgili kişinin kişisel verilerinin işlendiğine ilişkin açıklamaları ile ilgili olarak ise, veri sorumlusu tarafından reklam ve pazarlama amacıyla kişisel verilerin meşru menfaat kapsamında işlenmesinin kişilerin kişisel verileri üzerindeki denetiminin sağlanmasını engelleyeceği, öte yandan poliçe satışının gerçekleştirilmesi için kişisel veri işlenmesinin bir zorunluluk olmadığı ve başka yollarla da ticari anlamda kazanç sağlanmasının mümkün olduğu, ilgili kişilerin bu şekilde ilgilendikleri veya ilgilenmedikleri alanlarda reklam ve pazarlama amacıyla aranma ve kısa mesaj almaya maruz bırakılmasının temel hak ve hürriyetlerinin zarar görmesine yol açacağı, sonuç olarak salt ekonomik fayda elde etmek amacıyla kişisel verilerin reklam, pazarlama ve bilgilendirme amacıyla işlenmesinin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendinde yer alan “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hükmü çerçevesinde değerlendirilemeyeceği,
  • Veri sorumlusu tarafından finansal güvence danışmanlarının müşteri adayları ile iletişime geçmeden önce kontrol etmesi gereken bir “Aranmayacaklar Listesi” oluşturulduğu, kişisel verilerinin silinmesini veya kendisi ile iletişime geçilmemesini talep eden ilgili kişilerin verilerinin işlenmesinin böylelikle engellendiğinin iddia edildiği ancak herhangi bir veri işleme şartına dayanılmaksızın işlenmiş olan kişisel verilerin “Aranmayacaklar Listesi”ne alınmak suretiyle kişisel veri işleme faaliyetine devam edildiği, bu anlamda, reklam ve pazarlama amacıyla gerçekleştirilen aramalardan kişisel verisi hukuka uygun olarak elde edilmiş ilgili kişiler bakımından rızanın/onayın geri çekilmesi durumunda kişisel verilerin bu listeye eklenmesi anlaşılabilir olmakla birlikte, kişisel verileri hukuka aykırı olarak elde edilmiş olan ilgili kişilerin kişisel verilerinin burada işlenmeye devam etmesi hususunun Kanunun 5 inci maddesinde yer alan veri işleme şartlarından herhangi birine dayanılmaksızın gerçekleştirilmesinin hukuka aykırılık barındırdığı, bu çerçevede Kanunun 11 inci maddesinin (e) bendi kapsamında herkesin, veri sorumlusuna başvurarak kendisiyle ilgili; 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme hakkına sahip olduğu hükmü uyarınca ilgili kişinin kişisel verilerinin silinmesi talebinin veri sorumlusu tarafından yerine getirilmediği,

değerlendirmelerinden hareketle;

  • İlgili kişinin kişisel verisi niteliğindeki telefon numarasının kısa mesaj gönderilmek amacıyla işlendiği iddiası incelendiğinde ilgili kişinin mesleki yetkinliğinden faydalanmak için kendisine ulaşılmaya çalışılmadığı, aksine şirket faaliyetlerine ilişkin randevu talebi ile ilgili kişiye ulaşıldığı değerlendirilmekte olup bu çerçevede ilgili kişinin kişisel verisi niteliğindeki telefon numarasının reklam, pazarlama ve bilgilendirme amacıyla kısa mesaj gönderilmek suretiyle işlenmesinin Kanunun 5 inci maddesinde yer alan herhangi bir işleme şartına dayanmaksızın gerçekleştirildiği dolayısı ile veri sorumlusunun Kanunun 12 nci maddesinde yer verilen veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı davrandığı kanaatine varıldığından veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulamasına,

karar verilmiştir.

3. Bir tur şirketinin veri ihlal bildirimi hakkında 18/03/2021 tarihli ve 2021/242 sayılı Karar Özeti

Kurul tarafından:

  • Konaklama satın almaya ilişkin işlemlerin tur şirketinin kendisine ait çağrı merkezi üzerinden yürütülmesi; rezervasyon takibinin yapıldığı ve otel ile tur şirketi arasındaki ilişkiyi kuran satışa ilişkin tek bir satış altyapısının varlığı ve bunun kurulması ve yönetilmesinden tur şirketinin sorumlu olması sebebiyle tur şirketinin  Kanunun 3 üncü maddesinde tanımlanan veri sorumlusu sıfatını taşıdığı, 
  •  “Voucher” ve “alındı” belgelerinde kimlik bilgileri kategorisinde ilgili kişinin adı soyadı, doğum tarihi gibi kişisel verilerin yer aldığı,
  • Somut olayda, ilgili kişinin rezervasyonuna ilişkin log kayıtlarının ekran görüntülerine ilişkin detaylar incelendiğinde; rezervasyon işlemine ilişkin görüntüleme detaylarının 25 satırda takip edildiği, bunlardan ilk 16 adetinin ilgili kişinin veri sorumlusuna yaptığı başvuruya istinaden farklı saatlerdeki görüntüleme kayıtları olduğu, geri kalan 9 adetinin de Kurumdan gönderilen tebligata istinaden tekrar kontrol amaçlı olarak şirket içindeki görüntülemeye yönelik log kayıtlarının olduğu, her bir görüntüleme işlemine ilişkin olarak log kayıtlarının IP numarası dahil kullanıcı adını(USER_NAME) içerecek şekilde tutulduğu, yukarıda bahsi geçen 25 satırlık log kaydına ilişkin olarak 4 farklı kullanıcı tarafından rezervasyon ve sonrasındaki inceleme işlemlerine yönelik kaydın yer aldığının görüldüğü,
  • İlgili kişiye gönderilen e-postaların iletim tarihi ve adresine ilişkin olarak log kayıtlarına bakıldığında, veri sorumlusu tarafından ilgili kişinin e-posta adresine 20.11.2018, 21.11.2018 ve 05.12.2018 tarihlerinde şikâyete konu rezervasyon için elektronik posta gönderildiği, bu mesajların içeriğine ilişkin log kayıtlarına bakıldığında; 20.11.2018 ve 21.11.2018 tarihinde gönderilen e-postaların onay için olduğu, 05.12.2018 tarihinde gönderilen e-postada ise rezervasyona ilişkin bilgilendirme yapıldığı,
  • Ayrıca, “voucher” dokümanının acente üzerinden yapılan satışlarda misafire elden imza karşılığı verilirken, çağrı merkezi ve internet üzerinden gerçekleştirilen satışlarda rezervasyon sırasında bildirilen e-posta adresine gönderildiği, benzer şekilde “alındı” dokümanının konaklamanın yapılacağı tesis ile paylaşılmadığı ve sadece misafir ile e-posta üzerinden paylaşıldığı

değerlendirmelerinden hareketle;

  • Şikâyet dosyasında yer alan konaklamaya ilişkin detayları içeren “Alındı” belgesinin sadece konaklamayı satın alan tarafla paylaşılan bir doküman olduğu ve konaklamanın yapılacağı tesis ile paylaşılmadığı; veri sorumlusunun Kuruma sunduğu log kayıtlarında konaklamaya ilişkin gönderilen “voucher” ve “alındı” dokümanlarının sadece ilgili kişinin e-posta adresine iletildiğinin belirlendiği ve konaklamaya yönelik veri sorumlusu personelinin yaptığı görüntülemelerin her birinin söz konusu belgelerin mahkemeye sunulma tarihi olan 04.04.2019 tarihinden sonra ve ilgili kişinin başvurusuna ve/veya Kurum tarafından yapılan bilgi ve belge talebine istinaden yapılan görüntülemeler olduğu dikkate alındığında, ilgili kişinin verilerinin veri sorumlusu tarafından paylaşıldığını tevsik eden somut bilgi ve belge bulunmadığından ilgili şikâyet hakkında 6698 sayılı Kanun kapsamında tesis edilecek bir işlem bulunmadığına

karar verilmiştir.

4. Bir sigorta şirketinin veri ihlal bildirimi hakkında 18/03/2021 tarihli ve 2021/241 sayılı Karar Özeti

Kurul tarafından:

  • Kişisel Sağlık Verileri Hakkında Yönetmeliğin 4 üncü maddesinde; kişisel sağlık verisinin kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgiler olarak tanımlamalara yer verildiği; anılan Yönetmeliğin “Ölünün sağlık verilerine erişim” başlıklı 11 inci maddesinde ise ölmüş bir kimsenin sağlık verilerini almaya, veraset ilamını ibraz etmek suretiyle murisin yasal mirasçılarının münferit olarak yetkili olduğuna yer verildiği, ölen kişilere ilişkin kişisel veriler hakkında 6698 sayılı Kanunda doğrudan bir düzenleme bulunmamakla birlikte Kişisel Verileri Koruma Kurulunun “Ölü kişilerin verilerine, ölenin yakınlarının erişim talebi hakkındaki 18/09/2019 tarihli ve 2019/273 sayılı  kararında “(…) talep edilen kişisel verilerin talep eden gerçek kişiye ilişkin olmaması ve ölmüş kişiye ait olması sebebiyle talebin, Kanunun 11’inci maddesi kapsamında bir talep olarak değerlendirilmeyeceği kanısına varıldığından bu hususta 6698 sayılı Kanun kapsamında yapılacak bir işlemin olmadığına” karar verildiği, 
  • Ölen eşin kişiliğinin de ölümle birlikte sona erdiği dikkate alındığında her ne kadar hayat sigortası ölen eşin adına yapılmış ve kişilik ölümle son bulduğundan ölen kişinin kişisel verilerine ilişkin talepler Kanun kapsamında değerlendirilemeyecek olsa da, hayat sigortasının lehtarlarının ölen kişinin kanuni mirasçıları olduğu, bu çerçevede ilgili Sigorta Poliçesinin lehtarı olmaları bakımından mirasçıların ilgili kişi niteliği kazandığı, bu sebeple başvurucu için de kanuni mirasçılıktan kaynaklı olarak, Poliçeyi özetler belgede yer alan verilerin kişisel veri niteliği taşıdığı kanaatine varıldığı,
  • Öte yandan, 6102 sayılı Türk Ticaret Kanununun (Ticaret Kanunu) “Grup sigortaları” başlıklı 1496 ncı maddesinde “(2) Grupta yer alan her kişiye poliçe içeriğini özetleyen bir belge verilir.” hükmüne yer verildiği, bu kapsamda,  ilgili kişinin eşi adına yapılan sigortanın da grup sigortası olarak yapıldığı gözetildiğinde, 6698 sayılı Kanunun 11 inci maddesi kapsamında talep edilebilecek belgenin grup poliçesinin kendisi yerine “poliçeyi özetler nitelikteki belgenin/sertifikanın” olabileceği kanaatine varıldığı,
  • Kişilerin, kişisel verileri işlenmişse buna ilişkin bilgi talep etme hakkına sahip olduğu düzenlemelerinin yer aldığı, bu çerçevede ilgili kişinin eşinin kanuni mirasçılıktan kaynaklı olarak müteveffanın kişisel verisi niteliğindeki “poliçeyi özetler belgeye” erişme hakkının olduğu ve bu hakkını veri sorumlusuna karşı ileri sürebileceği dikkate alındığında veri sorumlusundan kişisel veri niteliğinde olan “poliçeyi özetler belgeyi” Kanunun 11 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında talep edebileceği ve somut olayda veri sorumlusu tarafından  “Poliçeyi özetler belgenin/sertifika”nın ilgili kişiye verildiği; bu anlamda Kanunun 11 inci maddesinden kaynaklanan erişim hakkının kişiye sağlandığı 

değerlendirmelerinden hareketle; 

  • Ölen eşin kişiliğinin de ölümle birlikte sona erdiği dikkate alındığında her ne kadar hayat sigortası ölen eşin adına yapılmış ve kişilik ölümle son bulduğundan ölen kişinin kişisel verilerine ilişkin talepler Kanun kapsamında değerlendirilemeyecek olsa da, hayat sigortasının lehdarlarının ölen kişinin kanuni mirasçıları olduğu, bu çerçevede ilgili Sigorta Poliçesinin lehdarı olmaları bakımından mirasçıların ilgili kişi niteliği kazandığı, bu sebeple ilgili kişi için de kanuni mirasçılıktan kaynaklı olarak, poliçeyi özetler belgede yer alan verilerin kişisel veri niteliği taşıdığı; öte yandan grup sigortalarına ilişkin hususların 6102 sayılı Türk Ticaret Kanununda düzenlendiği, sigortalanan kişilere poliçe yerine poliçeyi özetler belgenin verileceğinin anılan Kanunda hüküm altına alındığı ve somut olayda veri sorumlusu tarafından  “Poliçeyi özetler belgenin/sertifika”nın ilgili kişiye verildiği; bu anlamda Kanunun 11 inci maddesinden kaynaklanan erişim hakkının kişiye sağlandığı dikkate alındığında söz konusu şikayet hakkında Kanun kapsamında yapılacak bir işlem olmadığına

karar verilmiştir.

5. Bir kamu görevlisinin veri ihlal bildirimi hakkında 11/03/2021 tarihli ve 2021/230 sayılı Karar Özeti

Kurul tarafından:

  • Somut olayda veri sorumlusu Kurum bünyesinde, kişilerin kimlik numaraları ile SGK Sorgulaması yapılması kapsamında kişisel verilerin işlenmesinin Kanunun 5 inci maddesinin 2 numaralı fıkrasının (ç) bendine göre veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olduğu, bununla birlikte veri sorumlusunun hizmetlerini elektronik ortamda sürdürmesine ilişkin mevzuatta “Kişisel Verilerin Korunması” başlıklı maddede sistemde yer alan kişisel verilerin kullanılmasında mevzuatta yer alan özel hayatın gizliliğine ilişkin hükümlerin esas alınacağı, ayrıca kullanıcılardan alınan bilgilerin, tanımlanmış hizmetler ve yasal mükellefiyetlerin yerine getirilmesi dışında başka bir amaçla kullanılamayacağının düzenlendiği, 
  • Bu doğrultuda ilgili kişinin kişisel verisinin, kendisi tarafından talep edilmeksizin görev yapan eski eşi tarafından Portal üzerinden sorgulanarak elde edildiği ve söz konusu kişisel verilerin mahkeme ile paylaşıldığı da dikkate alındığında, kişisel veri işleme faaliyetinde kişisel verilerin, hem üçüncü kişilere verildiği hem de görev yetkisi ve tanımlanmış hizmetin dışında bir işleme faaliyetinde işlendiği göz önünde bulundurulduğunda kişisel verilerin hukuka aykırı işlenmesi ve erişilmesini önlemek ile muhafazasını sağlamak amacıyla veri güvenliğine ilişkin yükümlülüklere uyulmadığı sonucuna varıldığı,

değerlendirmelerinden hareketle, 

  • İlgili kişinin kişisel verisinin, veri sorumlusu bünyesinde çalışan bir personel tarafından tanımlanmış hizmetlerin ve yasal mükellefiyetlerin yerine getirilmesi dışında başka bir amaçla kullanılması suretiyle işlenmesinin Kanunun 5 inci maddesinde yer alan işleme şartlarından birine dayanmaması nedeniyle hukuka aykırı olduğu ayrıca Kanunun 4 üncü maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak işlenmesi ilkesine aykırı bir veri işleme faaliyetinin gerçekleştiği, bu kapsamda söz konusu faaliyetinin Kanunun 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil ettiği değerlendirildiğinden Kanunun 18 inci maddesinin (3) numaralı fıkrası uyarınca veri sorumlusu bünyesinde görev yapan söz konusu personel hakkında disiplin hükümlerine göre işlem yapılması, öte yandan kişisel verilere erişim yetkisi bulunan personelin söz konusu verilere amacı dışında erişmesinin önlenmesi hususunda 31/05/2018 tarih ve 2018/63 sayılı Kişisel Verileri Koruma Kurulu İlke Kararı da dikkate alınarak gerekli tedbirlerin alınması ve yapılacak işlemlerin sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

6. Bir okulun veri ihlal bildirimi hakkında 09/06/2021 tarihli ve 2021/572 sayılı Karar Özeti

Kurul tarafından:

  • Açık rıza vermenin, kişiye sıkı sıkıya bağlı bir hak olduğundan, verilen açık rızanın geri alınabileceği, bu bağlamda kişisel verilerin geleceğini belirleme hakkı ilgili kişiye ait olduğundan, kişinin dilediği zaman veri sorumlusuna vermiş olduğu açık rızasını geri alabileceği ancak, geri alma işlemi ileriye yönelik sonuç doğuracağından, açık rızaya dayalı olarak gerçekleştirilen tüm faaliyetlerin geri alma beyanının veri sorumlusuna ulaştığı andan itibaren veri sorumlusu tarafından durdurulması gerektiği, başka bir diğer deyişle, geri alma beyanının veri sorumlusuna ulaştığı andan itibaren hüküm doğurduğu,
  • Veri sorumlusunun internet sitesinde yapılan incelemede şikayete konu fotoğrafların yer aldığı iddia edilen okul broşürünün halihazırda internet sitesinde erişime açık şekilde “pdf” formatında yer aldığı, şikayet konusu fotoğrafların da anılan broşürün 6 ncı ve 9 uncu sayfalarında yer aldığının görüldüğü,
  • Şikayetçi veli tarafından, ilgili kişinin fotoğraflarının veri sorumlusu tarafından açık rızası olmaksızın hukuka aykırı olarak işlendiği iddiası ile ilgili olarak veri sorumlusunun Kurumu muhatap cevap yazıları ve ekleri incelendiğinde; veri sorumlusu tarafından öğrencilerin kişisel verisi olan fotoğraflarının paylaşılmak suretiyle işlenmesine ilişkin “sosyal medya paylaşımı” konulu bir bilgilendirme metninin düzenlendiği, anılan metinde “Okulumuzda yapılacak etkinliklerde öğrencilerimizin fotoğraf ve videoları çekilmektedir. Öğrencilerimizin fotoğraf ve videolarının resmi web sitesinde sosyal medya hesaplarında, okul dergimiz ve okul panolarımızda paylaşılması ile ilgili aşağıdaki izin yazısını doldurarak sınıf/mentor öğretmeninize göndermenizi rica ederim” şeklinde bilgilendirmeye yer verildiği; söz konusu paylaşıma izin verilmesine ilişkin olarak öğrenci velilerinden izin alınmasına yönelik bu metnin alt kısmında ayrı bir bölümün düzenlendiği, bu bölümde ise söz konusu sosyal medya paylaşım yazısının okunduğu ve okul bünyesinde yapılacak etkinliklerde çekilen fotoğraf ve videoların kullanılmasına izin verildiği ya da verilmediğine ilişkin iki seçeneğin sunulduğu; somut olayda ise şikayetçi veli tarafından ilgili kişinin fotoğraflarının belirtilen amaçlar kapsamında kullanılmak suretiyle işlenmesine izin verildiğine ilişkin seçeneğin seçildiği ve belgenin ıslak imza ile imzalanarak açık rıza verildiğinin görüldüğü,
  • Şikayet dilekçesi ve eklerinden ilgili kişi vekilinin veri sorumlusundan, şikayete konu kişisel verilerinin silinmesini talep ettiği ancak veri sorumlusu tarafından Bahse konu fotoğrafın aktif olarak kullanımda olmadığı ve yeni bir paylaşım durumunun da söz konusu olmadığı hususlarına yer verilmiş olmasına rağmen şikayete konu fotoğrafların muhafaza edilme süresi ile silinmesi veya yok edilmesine ilişkin herhangi bir bilgiye yer verilmediği, bu kapsamda ilgili kişinin okul ile öğrencilik ilişkisinin 2018-2019 yıllarında mevcut olduğu ve güncel durumda ise okul ile arasında öğrencilik ilişkisinin kalmadığı anlaşıldığından Kanunun 15 inci maddesinin (5) numaralı fıkrası uyarınca, şikayet konusu fotoğraftaki ilgili kişinin görüntüsünün ayrılabilir olup olmadığının veri sorumlusunca ele alınması gerektiği

değerlendirmelerinden hareketle;

  • Şikayet konusu fotoğrafların paylaşılmasına yönelik veri işleme faaliyetinin Kanunun 5 inci maddesinin (1) numaralı fıkrasında yer alan ilgili kişinin/velisinin açık rızası hukuki dayanağı çerçevesinde gerçekleştirildiği kanaatine varılmış olup ilgili kişinin fotoğraflarının haksız ve hukuka aykırı olarak ticari amaçla bastırılıp dağıtıldığı ve internet sitesinde paylaşıldığı iddiası hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına,
  • Veri sorumlusu tarafından ilgili kişinin talepleri hakkında yeterli açıklamaya yer verilmediği dikkate alındığında veri sorumlusu okulun 6698 sayılı Kanun ve “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ”in ilgili hükümlerine uyum konusunda gerekli dikkat ve özeni göstermesi gerektiği konusunda talimatlandırılmasına,
  • İlgili kişinin okul ile öğrencilik ilişkisinin 2018-2019 yıllarında mevcut olduğu ve güncel durumda ise okul ile arasında öğrencilik ilişkisinin kalmadığı anlaşıldığından Kanunun 15 inci maddesinin (5) numaralı fıkrası uyarınca, şikayet konusu fotoğraftaki ilgili kişinin görüntüsünün ayrılabilir olup olmadığının veri sorumlusunca değerlendirilerek buzlanması ya da imha edilmesi ve sonucundan Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına,
  • Veri sorumlusuna tebliğ edilmesinden sonra geçerli olmak üzere, veri sorumlusu tarafından okul bünyesinde çekilen fotoğraf ve videoların çeşitli mecralarda paylaşılmasına ilişkin daha önce hazırlanmış olan aydınlatma ve açık rıza metinlerinin Kanunun 3 üncü maddesinde yer alan unsurlar ve Aydınlatma Tebliğinde yer verilen hükümler dikkate alınmak ve bu yönde alınacak açık rızanın okulu tanıtıcı basılı yayınlarda/broşürlerde, web sitesinde veya sosyal medya hesaplarında paylaşılmasına yönelik her bir işleme faaliyeti özelinde ilgili kişilere ayrı ayrı seçenek sunulmak suretiyle revize edilmesi gerektiği yönünde veri sorumlusunun bilgilendirilmesine

karar verilmiştir.

7. Bir hukuk bürosunun veri ihlal bildirimi hakkında 11/03/2021 tarihli ve 2021/228 sayılı Karar Özeti

Kurul tarafından:

  • Somut olayda, Kuruma iletilen yasal takip otomasyon sistemlerine ilişkin ekran görüntülerinde yalnızca borçlu olan tüzel kişinin bilgisinin yer aldığı, herhangi bir iletişim bilgisinin yer almadığı görüldüğünden alacaklı telekomünikasyon şirketinin şikâyete konu olayda veri sorumlusu sıfatını haiz olmadığı, 
  • Bu doğrultuda veri sorumlusunun, vekil sıfatıyla taraflarına devredilen icra dosyası kapsamındaki veri işleme süreçlerinde serbestçe karar verme yetkisine sahip olan ve ilgili kişinin şikâyetine konu kişisel verilerinin işleme amaç ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan hukuk bürosu adına hareket eden ilgili avukat olduğu, 
  • Avukatların müvekkilleri adına, müvekkilin hak ve menfaatlerini korumak amacıyla hareket ettiği durumlarda Avukatlık Kanunundan kaynaklanan yükümlülükleri ve yürütmekte olduğu icra işlemleri bakımından İcra İflas Kanunu ve ikincil mevzuat düzenlemelerinden kaynaklanan hukuki yükümlülüklerini yerine getirmek amacıyla borçluya ait bilgileri, kanuna uygun olarak işleme ve ilgili birim/mercilere bildirme yetkisi olduğu ve bu bağlamda işlediği kişisel verileri Kanunun 5 inci maddesinin (2) numaralı fıkrası çerçevesinde ilgili kişinin açık rızası olmaksızın işlemesinin kanuna uygun olduğu,
  • İlgili kişinin borçlu Şirket ile olan ilişkisine ilişkin, veri sorumlusunun yazı ekinde ilettiği Ticaret Sicil Gazetesinden ilgili kişinin borçlu Şirketin ortağı olduğunun görüldüğü, ancak bu kapsamda yapılan incelemede, ilgili kişinin hissesini devrettiği ve Şirket ortaklığının son bulduğunun değerlendirildiği, borçlu Şirket ortaklığının son bulduğu bilgisinin Ticaret Sicil Gazetesinde ilan edildiği,
  • İncelemeye konu olayda, ilgili kişinin borçlu Şirket ortaklığının son bulduğu bilgisinin 31.03.2015 tarihinde Ticaret Sicil Gazetesinde ilan edildiği, ancak borçlu Şirketin icra takibine ilişkin mesajların ilgili kişiye 2019 tarihinde gönderildiği hususları göz önünde bulundurulduğunda bu süre zarfında veri sorumlusu tarafından Ticaret Sicil Gazetesi üzerinden yapılan araştırmada ilgili kişinin borçlu Şirket ortaklığının son bulduğu bilgisine de ulaşabileceği sonucuna varıldığı,
  • İlgili kişi tarafından gönderilen başvuru dilekçesi ve dilekçenin tebliğine ilişkin PTT Gönderi Takip belgesinin incelenmesi neticesinde, başvurusunun veri sorumlusuna teslim edildiğinin anlaşıldığı

değerlendirmelerinden hareketle, 

  • Alacaklı telekomünikasyon şirketinin veri sorumlusu sıfatını haiz olmadığı değerlendirildiğinden hakkında yapılacak bir işlem olmadığına, 
  • Veri sorumlusu sıfatını haiz olduğu değerlendirilen avukat tarafından halihazırda herhangi bir ilgisinin bulunmadığı borçlu şirketin icra takibine ilişkin mesajlar gönderilmesi suretiyle ilgili kişinin kişisel verisi olan telefon numaralarının işlenmesinin Kanunun 5 inci maddesinde sayılan işleme şartlarından herhangi birine dayanmadığı değerlendirildiğinden Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmediği kanaatine varılan veri sorumlusu avukat hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına,
  • İlgili kişilerin başvurularına Kanunun ilgili maddeleri ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe uygun bir cevap verilmesi kapsamında gerekli dikkat ve özenin gösterilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

8. Bir veri sorumlusunun veri ihlal bildirimi hakkında 04/06/2021 tarihli ve 2021/545 sayılı Karar Özeti

Kurul tarafından:

  • Veri sorumlusunun iddialarında yer verilen SMS içeriklerinin ilgili kişiye gönderilen SMS içerikleri ile uyuştuğu ve mesajda belirtilen MERSİS numarasının veri sorumlusuna ait olduğu,
  • Veri sorumlusunun kendisine herhangi bir başvuru yapılmadığı iddiasına ilişkin şikâyetçi vekili tarafından veri sorumlusuna ihtarname gönderildiği ve ilgili barkod numaralı ihtarnamenin teslim alındığının anlaşıldığı

değerlendirmelerinden hareketle;

  • Veri sorumlusunun, ilgili kişinin kişisel verisi niteliğindeki telefon numarasına Kanunun 5 inci maddesinde sayılan şartlardan birine dayanmaksızın SMS göndermesi suretiyle gerçekleşen kişisel veri işleme faaliyeti nedeniyle Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı olarak işlenmesi önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmediği dikkate alındığında, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca veri sorumlusu hakkında idari para cezası uygulanmasına,
  • Veri sorumlusunun ilgili kişinin başvurusuna cevap vermediği dikkate alındığında Kanun kapsamında yapılan başvurulara cevap vermek konusunda gerekli dikkat ve özenin gösterilmesi hususunda veri sorumlusunun talimatlandırılmasına,
  • Hukuka aykırı işlendiği değerlendirilen şikâyete konu kişisel verinin imha edilmesi ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

9. Bir eğitim kurumunun veri ihlal bildirimi hakkında 11/03/2021 tarihli ve 2021/227 sayılı Karar Özeti

Kurul tarafından:

  • Veri sorumlusunca anket yapan firmalardan belirli aralıklarla sosyal medya ve SMS onayı veren kişilerin bilgilerinin alındığı beyanı karşısında; yazıları ekinde gönderilen “Sosyal Medya ve Toplu SMS Anket Formu”nun incelenmesi sonucunda anketin 9 uncu sorusunun “Firmalardan ürünler hakkında bilgi ve tanıtımlarını SMS yoluyla almak ister misiniz” şeklindeki genel nitelikli bir sorunun, “Evet” olarak anlaşıldığı, veri sorumlusu tarafından iletilen belgede açık rızanın unsurlarının bulunmadığı, açık rızanın belirli bir konuya ilişkin olması gerektiği, belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki açık rızaların “battaniye rızalar” olarak kabul edileceği ve hukuken geçersiz sayılacağı hususları doğrultusunda, söz konusu sosyal medya şirketi tarafından yapılan ankette yer alan genel bir soruya verilen cevabın açık rıza kapsamında değerlendirilemeyeceği,
  • Ankette belirtilen numaranın anketi dolduran kişiden farklı bir kişiye ait olması ve veri sorumlusunun bu durumu kontrol etme şansının bulunmadığı iddiası karşısında; açık rızanın alındığına ilişkin ispat yükümlülüğünün veri sorumlusuna ait olması nedeniyle “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” tanımına uygun şekilde açık rızanın alınmamış olduğu, battaniye rızanın açık rıza olarak değerlendirilemeyeceği,
  • Veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına Kanuna aykırı şekilde gönderilen üçüncü kişilere ait kişisel veriler hakkında Kişisel Verileri Koruma Kurulunun 22/12/2020 tarihli ve 2020/966 sayılı İlke Kararı kapsamında; Kanunun 12 nci maddesinin (1) numaralı fıkrası gereğince veri sorumluları tarafından kendilerine bildirilen iletişim bilgilerinin doğruluğunu teyit edecek mekanizmaların oluşturulması adına gerekli idari ve teknik tedbirlerin alınması gerektiği,

değerlendirmelerinden hareketle;

  • Veri sorumlusunun ticari elektronik ileti göndermesi suretiyle ilgili kişinin kişisel verisi olan telefon numarasını işlemesinin Kanunun 5 inci maddesinde sayılan şartlardan birine dayanmadığı dikkate alındığında Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı olarak işlenmesi önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı kanaatine varılan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına,
  • Hukuka aykırı işlendiği tespit edilen kişisel verilerin yok edilmesi hususunda veri sorumlusu eğitim kurumunun talimatlandırılmasına,
  • Şikâyete konu olayda ismi geçen medya şirketi tarafından yapılan ankette “Firmalardan ürünler hakkında bilgi ve tanıtımlarını SMS yoluyla almak ister misiniz” şeklindeki sorunun belli bir şirketi işaret eder nitelikte olmadığı, genel nitelikte bir soru olduğu, bu anket kapsamında kişilerden alınan “evet” şeklindeki cevapların açık rıza olarak değerlendirilmesi suretiyle adı geçen eğitim kurumu ile paylaşıldığı, bu çerçevede anket firmasının veri sorumlusu olabileceğinden hareketle söz konusu şirket hakkında Kanunun 15 inci maddesinin (1) numaralı fıkrası kapsamında resen inceleme başlatılmasına

karar verilmiştir. 

10. Bir bankanın, varlık yönetim şirketinin ve üç farklı avukatın veri ihlal bildirimi hakkında 27/04/2021 tarihli ve 2021/424 sayılı Karar Özeti

Kurul tarafından:

  • Şikâyet konusu evrakta ilgili kişiye ait T.C. kimlik numarasının yer aldığı görülmekle birlikte cinsiyet, adres, anne ve baba adı gibi verilerin farklı olduğu, Emniyet Müdürlüğünün İcra Müdürlüğüne böyle bir kişinin belirtilen adreste bulunmadığı bilgisini ilettiği, bunun üzerine veri sorumlusu Banka tarafından borçlunun adres bilgilerinin tespiti için müzekkere yazdırıldığı, bu müzekkerede de ilgili kişinin borçlu ile aynı olan isim, soy isim ve doğum tarihi bilgileri dışında T.C. kimlik numarasının da yer aldığı fakat doğum tarihi ve ana baba adı gibi verilerinin kendisine ait olmadığının tespit edildiği,
  • İlgili kişinin dilekçe ile veri sorumlusu bankaya ve BİMER (CİMER) üzerinden savcılığa şikâyette bulunması üzerine Cumhuriyet Başsavcılığı tarafınca açılan Soruşturma Dosyası kapsamında veri sorumlusu Banka tarafından Başsavcılığa verilen yanıtta ilgili kişinin şubelerine başvurması sonucu gerekli güncellemelerin yapılarak T.C. kimlik numarasının sistemden silindiği, KKB kayıtlarının düzeltildiği, takip hesabının devir yapıldığı, Varlık Yönetim Şirketine ayrıca bilgilendirme yapıldığının veri sorumlusu Bankanın 2017 yılı içerisindeki kendi içerisinde ve Varlık Yönetimi Şirketi ile yaptığı yazışmalardan görüldüğü,
  • Öte yandan ilgili kişinin de 06.07.2017 tarihinde veri sorumlusu Varlık Yönetimi Şirketinin hattına, bankanın Cumhuriyet Başsavcılığına verdiği yanıtı faks gönderdiği, bununla birlikte 2017-2019 yılları arasında Varlık Yönetimi Şirketinin kurumsal hesabıyla WhatsApp uygulaması üzerinden yapılan yazışmalar ile, konuyu kendilerine intikal ettirmesine ve talebinin ilgili birime iletildiğine dair geri bildirim almasına karşın ilgili kişiye Varlık Yönetimi Şirketi tarafından yapılan aramaların 2019 yılı içerisinde dahi devam ettiği, ilgili kişiye ait borçların sistemden ve TBB Risk Merkezinden ilgili kişinin şikâyet kaydının oluşturulduğu Haziran-Temmuz 2019 tarihlerine kadar silinmediğinin anlaşıldığı,
  • Somut olayda Banka ile Varlık Yönetimi Şirketinin Kanunun 3 üncü maddesi kapsamında veri sorumlusu sıfatını haiz olduğu, bununla birlikte veri sorumlusu Banka ve Varlık Yönetim Şirketi ile birlikte şikâyet olunan avukatların ise Bankanın/Varlık Yönetim Şirketinin dosya kapsamındaki vekilleri olduğu, kendilerinin veri sorumlusu Banka ile veri sorumlusu Varlık Yönetim Şirketinin talimatları altında kişisel veri işlediği ve birtakım yasal işlemleri yürütmekten ibaret olan vazifelerini yerine getirdikleri, şikâyet edilen avukatların kendi iradeleriyle “kişisel verilerin işlenme amaçlarını belirleyerek” herhangi bir kişisel veri işleme faaliyeti yürüttüğüne dair tevsik edici bir belge Kuruma ulaşmamış olduğundan mezkûr şahısların veri sorumlusu sıfatını haiz olmadıklarının anlaşıldığı,
  • İlgili kişinin kişisel verilerinin veri sorumlusu Banka tarafından Kanun yürürlüğe girmeden önce işlendiği, akdedilen alacak temlik sözleşmesine dayanarak hukuka uygun olarak veri sorumlusu Varlık Yönetim Şirketine aktarıldığı, öte yandan Kanunun Geçici 1 inci maddesinin (3) numaralı fıkrasında yer alan “Kanunun yayımı tarihinden önce işlenmiş kişisel veriler yayımı tarihinden itibaren iki yıl içinde Kanuna uygun hale getirilir” hükmü çerçevesinde ilgili kişinin 2017 yılında yaptığı başvuruya istinaden ilgili kişinin kişisel verilerinin Banka tarafından düzeltildiği,
  • Bununla birlikte veri sorumlusu Bankanın, ilgili kişinin kendisine yaptığı başvuruya Kanun ve Tebliğ hükümleri kapsamında cevap vermediğinin görüldüğü,
  • Veri sorumlusu Varlık Yönetimi Şirketinin, veri sorumlusu Banka tarafından akdedilen sözleşme kapsamında kendisine aktarılmış olan kişisel verileri kullandığı görülmekle birlikte, ilgili kişiye ait kişisel verilerin veri sorumlusu Banka tarafından veri sorumlusu Varlık Yönetimi Şirketine aktarımının, Kanunun 5 inci maddesinin (2) numaralı fıkrasının (e) bendinde ifade olunan “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” uyarınca hukuka uygun olduğu kanaatinin hâsıl olduğu,
  • Ancak veri sorumlusu varlık yönetimi şirketinin ilgili kişi ve veri sorumlusu Banka tarafından 2017 yılı içerisinde yapılan e-posta, faks ve WhatsApp uygulaması yollarıyla yapılan bütün bildirimlere karşın ilgili kişinin dosyası hakkında bir şikâyet kaydı oluşturmadığı, bu sebeple ilgili kişinin aslında var olmayan borcunu ödemesi hususunda telefonla rahatsız edilmeye devam edildiği, şirket bünyesindeki kişisel verilerinin silinmeyip UYAP’tan taraf kaydının kaldırılmadığı, bu sebeple TBB Risk Merkezi veri tabanında ilgili kişiye kayıtlı borçların görüntülenmeye devam edildiği, bu durumun Kanunun 12 nci maddesini ihlâl ettiği

değerlendirmelerinden hareketle;

  • İlgili kişinin kişisel verilerinin Banka tarafından Kanun yürürlüğe girmeden önce işlendiği, akdedilen alacak temlik sözleşmesine dayanarak hukuka uygun olarak Varlık Yönetim Şirketine aktardığı, öte yandan ilgili kişinin 2017 yılında yaptığı başvuruya istinaden ilgili kişinin kişisel verilerinin Banka tarafından düzeltildiği dikkate alındığında Veri sorumlusu Banka hakkında Kanun kapsamında yapılacak bir işlem olmadığına,
  • Veri sorumlusu Bankanın ilgili kişilere yasal süre dâhilinde, Kanuna ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe uygun bir şekilde cevap vermesi konusunda azami dikkat göstermesi hususunda talimatlandırılmasına,
  • Varlık Yönetim Şirketinin ilgili kişinin gerçek borçlu olmadığına dair bilgileri 2017 yılı içerisinde gerek Bankadan gerekse de ilgili kişi cihetinden tarafına ulaşan bilgi ve belgeler vasıtasıyla edinmesine karşın ilgili kişinin kişisel verilerini işlemeye devam ederek borcun tahsili amacıyla ilgili kişinin aranması yoluna gidilerek 2019 yılı Haziran-Temmuz dönemine kadar veri tabanında, UYAP’ta ve TBB Risk Merkezindeki kayıtların düzeltilmediği, ilgili kişinin başvurusuna verilen yanıtta 29.07.2019 tarihinde TBB Risk Merkezindeki kayıtların güncellendiğinin ifade edilmesine karşın bu iddiayı tevsik edici bir belgenin Kuruma iletilmediği, ayrıca ilgili kişinin Kuruma intikal ettirdiği 04.12.2019 tarihli TBB Risk Merkezi Raporunda halen Varlık Yönetim Şirketine dosya bakımından borçlu olarak göründüğü, bu kapsamda Şirketin Kanunun 5 inci maddesinde yer alan işleme şartlarına dayanmaksızın ilgili kişinin kişisel verilerini işlediği dikkate alındığında, Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendi çerçevesinde kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli tedbirleri almadığı kanaatine varılması nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında Varlık Yönetim Şirketi hakkında idari para cezası uygulanmasına,
  • Şikâyet edilen diğer taraflar olan avukatların ise veri sorumlusu sıfatını haiz olmadıkları dikkate alındığında haklarında Kanun kapsamında tesis edilecek idarî bir işlemin bulunmadığına,
  • İlgili kişinin maddî ve manevî zarara uğratıldığı yönündeki iddialarına ilişkin olarak adlî yargıya başvuru hakkının saklı olduğu hususunda bilgilendirilmesine,
  • Veri sorumlusu Varlık Yönetimi Şirketinin ayrıca ilgili kişinin TBB Risk Merkezinde bulunan bilgilerini güncellediğini ve ilgili kişinin Risk Raporunda bulunan ve esasen kendisine ait olmayan borç bilgilerinin silindiğine dair tevsik edici bilgi, belge ve kayıtları, Kanunun 15 inci maddesinin (5) numaralı fıkrası uyarınca 30 (otuz) günlük yasal süre içerisinde Kurula iletmesi konusunda talimatlandırılmasına

karar verilmiştir.

11. Veri sorumlusu işverenin veri ihlal bildirimi hakkında 09/03/2021 tarihli ve 2021/205 sayılı Karar Özeti

Kurul tarafından:

  • 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesi kapsamında yargı mercilerinin görevine giren konularla ilgili olan dilekçelerin Kurum tarafından incelenemeyeceği, 
  • Somut olayda ilgili kişinin Kuruma vermiş olduğu şikâyet dilekçesinde iddia ettiği hususları veri sorumlusu ile aralarında devam etmekte olan davalarda belirtmişse de bu davaların işçilik alacağı ve işe iade talepli davalar olduğu, bu dava dilekçelerinde ilgili kişinin, kişisel verileriyle ilgili iddialarını da belirttiği ancak kişisel verilerine ilişkin bir talep oluşturmadığı, ilgili kişi tarafından bu davaların ikame edilmesindeki amacın kişisel verilerine yönelik koruma talep etmek değil işe iade ve işçilik alacağı olduğu,
  • Diğer taraftan iş sözleşmesi feshedildikten sonra ilgili kişinin kullanımına tahsis edilen şirket bilgisayarının formatlanması ve şirket e-postasının kapatılmasının Kanuna aykırılık teşkil etmediği, iş sözleşmesinin sonlanmasından sonra veri sorumlusu şirket tarafından, işçinin e-posta adresinin kapatılmasının ve işçinin kullanımına tahsis edilmiş bilgisayarın geri alınmasının hayatın olağan akışı gereği olduğu, ilgili kişi e-posta adresinin kapatılması suretiyle hesabına erişiminin engellendiğini belirtmişse de bu durumun Kanuna aykırılık teşkil etmeyeceği,
  • Yargıtay 9. Hukuk Dairesinin 05/02/2007 tarihli E.2006/30107, K.2007/2011 sayılı kararında bilgisayar kaynaklarının amacına uygun kullanılması ile ilgili işyeri iç düzenlemesine rağmen, davacının şirket bilgisayarını mesai saatleri içinde kişisel mailinde kullandığı, davacının bu davranışının şirketin iç işleyişi ile ilgili düzenlenen kurala aykırı olduğu gibi, mesai saatleri içinde kişisel ihtiyaçlarında işyeri bilgisayarını kullanarak iş görme edinimini yeterince yerine getirmediği, bu davranışının işyerinde olumsuzluklara neden olduğu, feshin geçerli nedene dayandığı sonucuna varıldığı, buradan hareketle işçinin kullanımına tahsis edilen bilgisayar ve e-posta adreslerinin sadece iş görme amacıyla kullanılması gerektiğinin değerlendirildiği, dolayısıyla ilgili kişinin e-posta adresinin sadece iş ile alakalı hususları içeriyor olması gerektiği, bu durumda ilgili kişi ile aralarında iş ilişkisi kalmayan veri sorumlusuna ait şirket e-posta hesabına ilgili kişinin ulaşmasında yararının bulunmadığının değerlendirildiği, dizüstü bilgisayar açısından da durumun benzer olduğu, veri sorumlusu tarafından dizüstü bilgisayarın içindeki verilerin geri döndürülemeyecek şekilde formatlanmış olduğu belirtildiği, sadece iş ile ilgili hususları içerdiği varsayılan bu bilgisayarın iş ilişkisi sonlandıktan sonra ilgili kişiden alınmasının Kanuna aykırılık teşkil etmediği,
  • İlgili kişinin, kişisel harici hard diskinin, şahsına ve ailesine ait özel bilgilerinin, banka bilgilerinin, banka şifrelerinin ve fotoğraflarının ekrana yansıtılmak suretiyle odasında bulunan kişilerce izlendiğine ilişkin iddialarıyla ilgili dosya kapsamında tevsik edici bir bilgi veya belgeye yer verilmediği

değerlendirmelerinden hareketle;

  • Veri sorumlusu ile ilgili kişi arasındaki iş sözleşmesi feshedildikten sonra ilgili kişinin kullanımına tahsis edilen şirket bilgisayarının formatlanması ve şirket e-postasının kapatılması suretiyle hesabına erişiminin engellenmesinin Kanuna aykırılık teşkil etmediğine,
  • İlgili kişinin, kişisel harici hard diskinin, özel bilgi ve belgelerinin, şahsına ve ailesine ait özel şeylerin, banka bilgilerinin, banka şifrelerinin ve fotoğraflarının ekrana yansıtılmak suretiyle odasında bulunan kişilerce izlendiğine ilişkin iddialarıyla ilgili dosya kapsamında tevsik edici bir bilgi veya belge bulunmadığından bu aşamada yapılacak bir işlem bulunmadığına

karar verilmiştir. 

12. Bir veri sorumlusunun veri ihlal bildirimi hakkında 03/02/2021 tarihli ve 2021/85 sayılı Karar Özeti

Kurul tarafından:

  • Kanunda belirtilen doğrultuda hazırlanan bir Aydınlatma Metninin, ilgili kişilere, yaptıkları işlem bazında, söz konusu işlem dahilinde kullanılan kişisel verilerine ilişkin bilgilendirme sağlamasının beklendiği, veri sorumluları için genel hukukî metinler niteliğinde olan “Gizlilik Politikası”, “Veri İşleme Politikası” gibi metinlerin, karışık yapıları ve ilgili kişilerin ihtiyacı olan belirlilikteki bilgilendirmeleri sağlayamamaları nedenleriyle Aydınlatma Metni olarak kullanılmamaları gerektiği,
  • Zira 26.06.2020 tarihinde Kurumun internet sitesinden yayınlanan “Aydınlatma Yükümlülüğünün Yerine Getirilmesi Hakkında Kamuoyu Duyurusu”nun (h) maddesinde de bu durumun, “İşleme faaliyeti ile sınırlı olmayan, veri sorumlusu için genel veri işleme belgesi niteliğinde olan gizlilik politikaları veya veri işleme politikaları, aydınlatma metinleri olarak kullanılmamalıdır.” şeklinde açıklandığı,
  • Veri sorumlusunun güncel Aydınlatma Metni incelendiğinde Kanunda ifade olunan asgari unsurlara (veri sorumlusunun kimliği, kişisel verilerin işlenme amaçları, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve 11 inci maddede sayılan diğer haklar) yer verildiğinin görüldüğü, ayrıca veri sorumlusunun işlediği kişisel verilerin de kategorik olarak Aydınlatma Metninde sunulduğu,
  • Veri sorumlusunun internet sitesinden (….com.tr) sipariş verilmek istendiğinde iki seçenek olduğu; bunlardan birincisinin internet sitesine üye olarak siparişi gerçekleştirmek, diğerinin ise üye olmadan devam ederek siparişi tamamlamak olduğu; söz konusu internet sitesinde bulunan “Üye Ol” sayfasına tıklandığında “Kişisel Verilerin Korunması hakkındaki açık rıza metnini okudum, onaylıyorum” butonu aktif edilmeden siteye üye olunamadığı, bir Aydınlatma Metni hüviyetini taşımayan bu metnin de kendi içerisinde Gizlilik Politikası metnine bir bağlantı içermediği, üye olunmadan devam edildiği takdirde ise aydınlatmaya dair herhangi bir buton veya pop-up yardımıyla aydınlatmada bulunulmadığı, 
  • Açık Rıza Metinlerinin, ilgili kişilere, işlenecek kişisel verileri hakkında sade ve özet bilgiler sunan metinler olduğu; bununla birlikte detaylı bilgilendirme için veri sorumlularının ilgili kişileri Aydınlatma Metnine yönlendirdikleri, bu durumun aydınlatmanın kişisel verilerin işlenmesinden önce yapılması adına önemli bir gereklilik olduğu fakat veri sorumlusunun bu gerekliliği yerine getirmediğinin anlaşıldığı,
  • Tebliğin “Usul ve esaslar” başlığını haiz 5 inci maddesinin (1) numaralı fıkrasının (e) bendine göre aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna ait olduğundan, veri sorumlusunun internet sitesinin en alt bölümünde bir link olarak yer verdiği politika metninin internet sitesinden alışveriş yapan ilgili kişilerin aydınlatıldığını ispatta yetersiz kaldığı zira söz konusu Aydınlatma Metninin, ilgili kişilerin sipariş vermesi ve üye olması sırasında ekrana gelmediğinden ilgili kişilerin bahse konu metni okuyup okumadığının belirsiz olduğu, bu noktada, internet sitesinden sipariş verilmesi veya internet sitesine üye olunması gibi, ilgili kişilerin kişisel verilerinin işlenmesine sebebiyet verecek işlemler esnasında ilgili kişilere, gerçekleştirdikleri işlemler özelinde; işlenecek kişisel veri kategorileri, bu verilerin işlenme amacı, hangi veri kategorilerinin hangi alıcı gruplarına ne maksatla aktarıldığı, sipariş kapsamında gerçekleştirilen veri işleme faaliyetlerinin hukukî sebeplerinin belirtildiği bir metin vasıtasıyla, işlenecek kişisel veriler bazında aydınlatma yapılarak sonrasında ilgili kişilere, veri sorumlusunun genel veri işleme politikasını yansıtan metnine, örneğin bir link eklenmesi vasıtasıyla yönlendirme yapılabileceği,
  • Bu anlamda, veri sorumlusunun ilgili kişilere, kişisel verilerinin en geç elde edilmesi esnasında, bahse konu işlemler bazında, “belirli ve açık” bir aydınlatmada bulunmadığı ve Aydınlatma Metninde eksiklikler bulunduğu; bu sebeplerle de Tebliğin 5 inci maddesine aykırı hareket ettiği

değerlendirmelerinden hareketle, 

  • Veri sorumlusunun, internet sitesi üzerinden sipariş verilmesi veya üye olunması gibi ilgili kişilerin kişisel verilerinin işlenmesine sebebiyet verecek işlemler esnasında, o anda ve sonrasında gerçekleştirilecek veri işleme faaliyetine ilişkin bir aydınlatmada bulunmadığı, ilgili kişilerin kişisel verilerinin kullanımı ile ilgili olarak bilgi alabilmek için kendilerinin bahse konu politika metnini arayıp bulmaları gerektiği, bu metnin de tüm siteyi kapsayan bir politika metni hüviyetinde olduğu ve bu durumun Tebliğin 5 inci maddesinin (1) numaralı fıkrasının (g), (ğ) ve (j) bentlerine aykırılık teşkil ettiği kanaatine varılmış olup Kanunun “Şikayet üzerine veya resen incelemenin usul ve esasları”nı düzenleyen 15 inci maddesinin (5) numaralı fıkrasının “Şikayet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması halinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.” hükmü uyarınca veri sorumlusunun, söz konusu hukuka aykırılıkların giderilmesi ve sonucundan Kurula bilgi vermesi hususlarında talimatlandırılmasına 

karar verilmiştir.

13. Bir bankanın veri ihlal bildirimi hakkında 03/02/2021 tarihli ve 2021/79 sayılı Karar Özeti

Kurul tarafından:

  • Veri sorumlusu tarafından ilgili kişinin kredi kartı borcuna ilişkin ilgili kişinin ablası ve babasına ait telefon numaralarının birkaç kere arandığı iddiası ile ilgili olarak, veri sorumlusundan alınan cevabi yazı ve ekindeki açıklamalar dikkate alındığında veri sorumlusu tarafından ilgilinin kişinin ablası ve babasının arandığı ikrar edilerek yapılan görüşme kayıtlarına ilişkin dökümlerin de ekte yer aldığı ve söz konusu kayıtlarda; ilgili kişinin ablasının bir defa, babasının ise iki defa arandığı, konuşma içeriğinde müşteri temsilcisi tarafından Bankanın Genel Müdürlüğünden arandığı ve ilgili kişinin taraflarına dönüş yapmasının söylendiği görüldüğünden ilgili kişinin ablası ve babasının Risk Merkezi üzerinden temin edilen telefon numarası üzerinden aranması suretiyle ilgili kişinin banka ile münasebetinin yakınları ile paylaşılmasının Kanunun 5 inci maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanmaksızın gerçekleştirildiği

değerlendirmelerinden hareketle, 

  • Veri sorumlusu tarafından ilgili kişinin ablası ve babasının Risk Merkezi vasıtasıyla temin edilen telefon numarası üzerinden aranması suretiyle ilgili kişinin banka ile münasebetinin yakınları ile paylaşılmasının Kanunun 5 inci maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanmaksızın, hukuka aykırı olarak gerçekleştirildiği dikkate alındığında veri sorumlusunun Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendinde öngörülen “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğünü yerine getirmediği kanaatine varıldığından, veri sorumlusu hakkında, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına

karar verilmiştir.

14. Veri sorumlusunun veri ihlal bildirimi hakkında 27/04/2021 ve 2021/422 sayılı Karar Özeti

Kurul tarafından:

  • Şikâyet konusu sosyal medya hesabında, ilgili kişinin paylaşılan fotoğraflarının yayınlanmaya devam ettiği ve hesaptan kaldırılmadığı, 15.05.2019 tarihli paylaşımda ilgili kişinin fotoğrafının arka planda ve hafif bulanık şekilde paylaşıldığı, 20.05.2019 tarihli paylaşımda ilgili kişinin fotoğrafının net şekilde seçilebildiği,
  • Veri sorumlusunun savunma, bilgi ve belge talepli Kurum yazısına yasal süre içerisinde herhangi bir cevap vermemesi karşısında, ilgili kişinin söz konusu veri işleme faaliyeti açısından açık rızasının alındığına ilişkin herhangi bir somut bilgi veya belge edinilemediği için, veri sorumlusunun Kanunun 5 inci maddesi kapsamında herhangi bir kişisel veri işleme şartına dayanmaksızın ilgili kişinin kişisel verilerini hukuka aykırı şekilde işlemek suretiyle Kanunun 12 nci maddesinin (1) numaralı fıkrası kapsamında uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı,
  • Öte yandan ilgili kişinin talebi üzerine fotoğraflarının Yönetmeliğin 12 nci maddesinin (1) numaralı fıkrasının (a) bendinde öngörülen otuz günlük yasal süre içinde silinmesi/ yok edilmesi gerektiği, yasal süre geçtikten sonra halen devam eden veri işleme faaliyetinin bu kapsamda yine hukuka aykırı olduğu

değerlendirmelerinden hareketle;

  • İlgili kişinin fotoğraflarının veri sorumlusuna ait sosyal medya hesabından kaldırılmaması nedeniyle veri sorumlusunun Kanunun 5 inci maddesi kapsamında herhangi bir kişisel veri işleme şartına dayanmaksızın kişisel verileri hukuka aykırı şekilde işlemek suretiyle Kanunun 12 nci maddesinin (1) numaralı fıkrası kapsamında uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılması nedeniyle veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına, 
  • Veri sorumlusunun sosyal medya hesabında bulunan ilgili kişiye ait tüm fotoğrafların kaldırılması ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümleri uyarınca uygun usulle silinmesi/yok edilmesi, söz konusu fotoğrafların başka hiçbir mecrada kullanılmaması ve bu işlemlerin sonucundan Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

15. Bir bankanın veri ihlal bildirimi hakkında 13/04/2021 tarihli ve 2021/361 sayılı Karar Özeti      

Kurul tarafından:

  • Somut olayda cihazlarında Android işletim sistemi bulunan veri sorumlusu banka müşterilerinin, yükledikleri bankacılık uygulamasının ayarlarında elektronik ileti alma tercihinin otomatik olarak onaylı olmasının ve müşterilerin bu tercihi değiştirmediği sürece onay tercihinin geçerli kabul edilmesinin ilgili mevzuata uygun olmadığı,
  • Zira hizmet sunucuları tarafından mobil uygulamalar üzerinden kullanıcılara anlık olarak gönderilen ve “push bildirim” olarak adlandırılan bu tarz bildirimlerin mobil uygulamaların varsayılan ayarlarında onaylı olarak bulunmasının hem 6563 sayılı Kanunda belirtilen elektronik iletilerin alıcıların onaylarına tabi olacağı düzenlemesiyle çeliştiği hem de Kanunun 5 inci maddesinde yer verilen kişisel verilerin işlenmesinde açık rızaya dayanma şartını ihlal ettiği,
  • Çok sayıda yerel şubesinin ve müşterisinin yanı sıra yurt dışı iştirak şubeleri de bulunan veri sorumlusunun bahsi geçen tasarrufu sebebiyle hukuka aykırı kişisel veri işleme faaliyetinin yaygın bir biçimde meydana geldiği ve ilgili kişi olan müşteriler bakımından veri güvenliği riskinin mevcut olduğu,
  • Veri sorumlusunun, Android işletim sistemi kullanıcılarına yönelik olarak işletmekte olduğu mobil uygulamalar üzerinden tanıtım iletisi gönderme seçeneğini, açık rızanın Kanunda yer alan bütün unsurlarına yer verecek şekilde yeniden düzenlemesi ve bu kapsamda uygulamanın varsayılan ayarlarını tanıtım iletisi almama biçiminde kullanıma sunması gerektiği,
  • Veri sorumlusunun ilgili kişilerden usulüne uygun şekilde açık rıza almaksızın tanıtım iletisi göndermek suretiyle hukuka aykırı olarak kişisel veri işleme faaliyetinde bulunmasının Kanunun 12 nci maddesinin (1) numaralı fıkrasında zikredilen uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığını gösterdiği

değerlendirmelerinden hareketle;

  • Veri sorumlusunun mobil uygulamalar üzerinden usulüne uygun açık rızası alınmaksızın tanıtım iletileri göndermek amacıyla ilgili kişinin kişisel verilerini işlemesinin hukuka aykırı olduğu dikkate alındığında, Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına,
  • Bununla birlikte veri sorumlusunun sahibi olduğu mobil uygulama süreçlerini usulüne uygun açık rıza alınabilecek şekilde düzenlemesi ve bu işlemin sonucundan Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

16. Bir telekomünikasyon hizmetleri sunan veri sorumlusunun veri ihlal bildirimi hakkında 03/02/2021 tarihli ve 2021/78 sayılı Karar Özeti

Kurul tarafından:

  • Somut olayda, pasaportların işlenmekte olduğu sistemin telekomünikasyon şirketi tarafından kurulan ve yönetilen bir sistem olduğu anlaşılmakla birlikte, pasaportların sisteme işlenmesini sağlayan çalışanların veri güvenliğine ilişkin yükümlülüklere uymasını ve sisteme işleme sırasında kişisel verilerin güvenliğini sağlamak hususunda şikâyet olunan şirketin sorumluluğu olduğu kanaatine varıldığından şikâyet olunan şirketin somut olayda veri sorumlusu olduğu,
  • Veri sorumlusu tarafından çalışanlara yalnızca şirket bilgisayarı temin edildiği, şahsi telefonların mağaza içerisinde kullanımının yasak olduğu, bilgisayarlarda ise telekomünikasyon şirketine ait sisteme giriş için her bir çalışana yalnızca kendisi tarafından bilinen bir kod verildiği ve yapılacak her türlü işlemlerden sorumluluğu olduğu konusunda çalışanların bilgilendirildiği, sistemdeki her işlemin telekomünikasyon şirketi tarafından takip ve kontrol edildiği, hat açmak için BTK düzenlemelerine uygun şekilde yeni müşterilere ait pasaport ve kimliklerin taratılarak sisteme yüklendiği ve çalışanlarının bu bilgilere tekrar ulaşmasının mümkün olmadığı belirtilmekle birlikte, ihbar ekinde, pasaport bilgilerinin bir grupta paylaşıldığını gösterir kanıtlayıcı nitelikte belgeler olduğu görüldüğünden söz konusu ihbara ilişkin olarak veri sorumlusu Şirketin Kanunun 12 nci maddesinin (1) numaralı fıkrası kapsamında kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı ve Kanunun 12 nci maddesinin (3) numaralı fıkrası kapsamında yer alan veri sorumlusunun, kendi kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorunda olduğu hükmüne aykırı hareket ettiği,
  • Öte yandan, veri sorumlusunun daha önce bir çalışanının müşteri verilerini sisteme doğru işlememesinden doğan cezaların telekomünikasyon şirketi tarafından veri sorumlusu şirkete rücu edildiği, bu çalışanın Kanuna aykırı davranışlarının kamera ile tespit edildiği ve söz konusu çalışandan kaynaklı olarak veri sorumlusu bünyesinde bir veri ihlali yaşandığı anlaşılmış olup söz konusu ihlal kapsamında Kurula yapılmış bir bildirim olmadığı dikkate alındığında veri sorumlusu tarafından Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen, “işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildireceği, Kurulun, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği” hükmüne uygun hareket edilmediği

değerlendirmelerinden hareketle,

  • Veri sorumlusu tarafından sunulan belgelere karşın ihbar ekinde, pasaport bilgilerinin bir grupta paylaşıldığının anlaşılması nedeni ile ihbara ilişkin olarak veri sorumlusu Şirketin Kanunun 12 nci maddesinin (1) numaralı fıkrası kapsamında kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı ve Kanunun 12 nci maddesinin (3) numaralı fıkrası kapsamında yer alan veri sorumlusunun, kendi kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorunda olduğu hükmüne aykırı harekete ettiği kanaatine varıldığından veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına,
  • Veri sorumlusunun daha önce bir çalışanın müşteri verilerini sisteme doğru işlememesinden doğan cezaların telekomünikasyon şirketi tarafından veri sorumlusuna rücu edildiği, yine söz konusu çalışana verildiği anlaşılan uyarı yazısında, çalışanın Kişisel Verilerin Korunması Kanununa aykırı davranışlarının kamera ile tespit edildiği, kişinin müşteri kimlik resimlerinin kaydını şahsi cep telefonunda muhafaza ettiğinin anlaşıldığına yönelik ifadelerin yer aldığı ve söz konusu çalışandan kaynaklı olarak veri sorumlusu bünyesinde bir veri ihlali yaşandığı anlaşılmış olup, söz konusu ihlal kapsamında Kurula yapılmış bir bildirim olmadığı dikkate alındığında veri sorumlusu tarafından Kanunun 12 nci maddesinin (5) numaralı fıkrasına uygun hareket edilmemiş olması nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında veri sorumlusu hakkında idari para cezası uygulanmasına,
  • 5237 sayılı Türk Ceza Kanununun 136 ncı maddesinde düzenlenen “Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.” hükmü gereğince ihbara konu aykırılıkların sorumluları hakkında Türk Ceza Kanunu kapsamında ihbaren Cumhuriyet Başsavcılığına bildirimde bulunulmasına

karar verilmiştir.

17. Bir bankanın veri ihlal bildirimi hakkında 12/01/2021 tarihli ve 2021/32 sayılı Karar Özeti

Kurul tarafından:

  • Kurul, 24.01.2019 tarih ve 2019/10 sayılı Kararı ile Kanunun 12 inci maddesinin (5) numaralı fıkrasında yer alan “en kısa sürede” ifadesinin 72 saat olarak yorumlanmasına ve bu kapsamda veri sorumlusunun “işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi” durumunu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirmesine, veri sorumlusunca söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılmasına karar verildiği,
  • Somut olayda ilgili kişiye ait kişisel veri niteliğinde bilgilerin veri sorumlusu bünyesinde çalışan diğer eş tarafından sorgulandığı ve bu bilgilerin boşanma davası dosyasına sunulduğu iddiasının Banka bünyesinde yapılan inceleme sonucunda veri sorumlusu Banka tarafından da kabul edildiği ve bu kapsamda, Bankanın İnsan Kaynakları Uygulama Esas ve Usulleri’nin (KINAMA) “9.4… Bankaya veya Bankanın müşterilerine ait sırları açığa vurmak, personele ait gizli belge ve bilgileri ilgisi olmayan kişilere vermek” maddesine temas etmesi nedeniyle veri sorumlusu tarafından Banka çalışanı diğer eşin bir mektupla dikkatinin çekilmesine karar verildiği,
  • Veri sorumlusu Banka tarafından ilgili kişinin kişisel verilerinin hukuka uygun olarak işlendiği ve Kanunun 12 nci maddesi kapsamında kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirin alındığı, veri sorumlusu bünyesinde çalışan diğer eşin görevinden kaynaklı olarak erişim yetkisi bulunduğu ve şikâyet konusuna ilişkin olarak Bankanın objektif olarak alabileceği bir güvenlik önleminin bulunmadığı, Kişisel Verilerin Korunması Kanununa ve ikincil mevzuata uyum ve uygun veri güvenliği düzeyini temin etmeye ilişkin olarak düzenlemelerin hazırlandığı ve veri sorumlusu bünyesinde çalışan personele farkındalıklarının artması için eğitim verildiği hususları belirtilmekle birlikte Kişisel Verilerin Korunması Uygulama Esas ve Usulleri başlıklı idari ve teknik tedbirlerin listelendiği bir bölüme yer verilmesi dışında isimleri geçen düzenlemeler, personele verilen eğitimler ve veri sorumlusu nezdinde uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü idari ve teknik tedbirin alındığına ilişkin herhangi bir tevsik edici belgenin Kuruma sunulmadığı,
  • Veri sorumlusu Banka tarafından işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi kapsamındaki ihlalin varlığından haberdar olunmasına rağmen Kanunun 12 inci maddesinin (5) numaralı fıkrası uyarınca ve Kurulun 24.01.2019 tarih ve 2019/10 sayılı Kararı kapsamında ilgilisine ve Kurula herhangi bir veri ihlal bildirimi yapılmadığı

değerlendirmelerinden hareketle;

  • İlgili kişinin kişisel verisi niteliğindeki kimlik, müşteri işlem ve finansal bilgilerinin (geçmiş yıllara ilişkin karşılıksız çek ve tedbir kararı bilgileri) veri sorumlusu bünyesinde çalışan kişi tarafından sorgulanıp mahkemeye sunulması nedeniyle söz konusu kişisel verilere kanuni olmayan yollarla başkaları tarafından erişim sağlandığı, Kurulun 31.05.2018 tarih ve 2018/63 sayılı “Veri Sorumlusu Nezdindeki Kişisel Verilere Erişim Yetkisi Bulunan Personelin Yetkisi ve Amacı Dışında Söz Konusu Verileri İşlemesi Hususunun Değerlendirilmesine İlişkin İlke Kararı”nda da düzenlenen bu hususun Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmadığının bir göstergesi olduğu dikkate alındığında, veri sorumlusu Banka hakkında idari yaptırım uygulanmasına
  • Veri sorumlusunun kişisel verilerin güvenliğini tesis etmeye yönelik gerekli teknik ve idari tedbirleri aldığı hususunda tevsik edici belgeleri Kuruma iletmesi hususunda talimatlandırılmasına,
  • Ayrıca, 5237 sayılı Türk Ceza Kanununun “Verileri hukuka aykırı olarak verme veya ele geçirme” başlıklı 136 ncı maddesinde yer alan suçların işlenmiş olabileceği dikkate alınarak, Türk Ceza Kanununun 136 ncı maddesi çerçevesinde ilgili kişinin kişisel veri niteliğindeki kimlik, müşteri işlem ve finansal bilgilerini (geçmiş yıllara ilişkin karşılıksız çek ve tedbir kararı bilgileri) sorgulayıp mahkemeye sunan veri sorumlusu bünyesinde çalışan şahıs hakkında gerekli hukuki işlemlerin tesisi için konunun Cumhuriyet Başsavcılığına bildirilebileceği yönünde ilgili kişinin bilgilendirilmesine

karar verilmiştir.

18. Bir bankanın veri ihlal bildirimi hakkında 13/04/2021 tarihli ve 221/358 sayılı Karar Özeti

Kurul tarafından:

  • Somut olayda, ilgili kişinin veri sorumlusu nezdinde tutulan cep telefon numarasının bir kişisel veri olduğu, kişiye SMS gönderilmesi suretiyle ise kişisel veri niteliğindeki cep telefonu numarası ile ilgili işleme faaliyeti gerçekleştiği,
  • İlgili kişinin veri sorumlusuna yaptığı başvurunun veri sorumlusu tarafından Kanunda ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğde (Tebliğ) öngörülen süre içerisinde cevaplanmadığı,
  • İlgili kişinin şikâyet dilekçesinde veri sorumlusu tarafından ilgili kişiye hukuka aykırı olarak mesajlar gönderildiği ve kredi kartı isteyip istemediğine yönelik telefon aramaları gerçekleştirildiği iddia edilse de, dilekçesinin ekinde sadece gönderilen bir adet SMS’e ilişkin görüntü kaydına yer verildiği, buna karşın aramalara ilişkin tevsik edici herhangi bir belgeye yer verilmediği ve ilgili kişi tarafından veri sorumlusuna yapılan başvuruda sadece gönderilen SMS’lerden bahsedildiği anlaşıldığından; ilgili kişinin veri sorumlusuna yöneltmediği ancak şikâyet başvurusunda değindiği “telefon aramaları”nın inceleme kapsamına alınmamasının uygun olacağı,
  • Veri sorumlusu tarafından ilgili kişiye “Değerli müşterimiz, hesap limitiniz üzerinde bulunan e-haciz kısıtı, KADIKÖY V.D.’den Bankamıza iletilen bildirime istinaden kaldırılmıştır” şeklinde olan iletinin gönderilmesi suretiyle kişinin telefon numarasının Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (2) numaralı fıkrasında yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartına dayalı olarak işlendiği, ilgili iletinin yasal bilgilendirme içermesi ve herhangi bir mal veya hizmetin tanıtımının da söz konusu olmaması sebebiyle ilgili kişinin rızasının/izninin alınmasına gerek olmadığı, dolayısıyla veri sorumlusu tarafından ilgili kişiye yasal bilgilendirme içerikli SMS’in gönderilmesi suretiyle telefon numarasının işlenmesinde herhangi bir hukuka aykırılık bulunmadığı,
  • İlgili mevzuat hükümleri dikkate alındığında, ilgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin henüz ortadan kalkmaması sebebiyle, ilgili kişinin silme talebinin veri sorumlusu tarafından yerine getirilmemesinin hukuka aykırı olmadığı,
  • İlgili kişinin kişisel verilerinin veri sorumlusu tarafından yurt dışına aktarıldığı iddiasına ilişkin olarak Kuruma tevsik edici bir bilgi veya belge sunulmadığı

değerlendirmelerinden hareketle;

  • İlgili kişinin Kanun kapsamında yaptığı başvurusuna, kendisine ulaşmasına rağmen 30 günlük yasal süre geçtikten sonra cevap vermesi sebebiyle veri sorumlusunun Kanunun ve Tebliğin ilgili hükümlerine uyum konusunda gerekli dikkat ve özeni göstermesi gerektiği konusunda talimatlandırılmasına,
  • Veri sorumlusu tarafından söz konusu iletinin gönderilmesi suretiyle ilgili kişinin kişisel verisi olan cep telefonu numarasının işlenmesinin Kanunun 5 inci maddesinin (2) numaralı fıkrasında yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartına dayandığı, öte yandan ilgili iletinin yasal bilgilendirme içermesi ve herhangi bir mal veya hizmetin tanıtımının da söz konusu olmaması sebebiyle ilgili kişinin rızasının/izninin alınmasına gerek olmadığı bu çerçevede veri sorumlusu tarafından ilgili kişiye yasal bilgilendirme içerikli SMS’in gönderilmesi suretiyle kişisel verilerinin işlenmesinde hukuka aykırılığın bulunmadığı kanısına varıldığından bu hususta Kanun kapsamında yapılacak bir işlemin olmadığına,
  • İlgili kişinin veri sorumlusu nezdindeki son işlem tarihinin 13/12/2013’te gerçekleştirilen kredi kartı kapatma işlemi olduğu ve dolayısıyla son işlem tarihi üzerinden 10 yıllık sürenin geçmemiş olduğu dikkate alındığında; ilgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin henüz ortadan kalkmaması sebebiyle silme talebinin veri sorumlusu tarafından yerine getirilmemesinin Kanunun 7 nci maddesi hükümleri dikkate alındığında hukuka aykırı olmadığı kanısına varıldığından bu hususta Kanun kapsamında yapılacak bir işlemin olmadığına,
  • İlgili kişinin, kişisel verilerinin veri sorumlusu tarafından yurt dışına aktarıldığı iddiasına ilişkin olarak Kuruma tevsik edici bir bilgi veya belge sunmadığı dikkate alındığında söz konusu iddiaya ilişkin olarak Kanun kapsamında yapılacak bir işlem olmadığına

karar verilmiştir.

19. Bir sigorta şirketinin veri ihlal bildirimi hakkında 05/04/2021 tarihli ve 2021/333 sayılı Karar Özeti

Kurul tarafından:

  • İlgili sigorta mevzuatı hükümleri uyarınca yardımcı veya tamamlayıcı nitelikteki sovtaj yönetimi hizmetlerinin destek hizmeti olarak alınabileceği, bu çerçevede ilgili kişinin, açık rızası alınmadan kişisel verilerinin işlenmesinin hukuka aykırı olduğu iddiasına ilişkin olarak, söz konusu veri işleme faaliyetinin sigorta poliçesindeki yükümlülüklerin yerine getirilebilmesini teminen Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan; “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.” veri işleme şartına dayanılarak gerçekleştirildiği anlaşıldığından söz konusu işlemde hukuka aykırılık bulunmadığı,
  • Veri sorumlusu ile veri işleyen üçüncü kişi Şirket arasında imzalanan Ağır Hasarlı Araç Satış Sözleşmesi incelendiğinde ise, üçüncü kişi şirketin veri sorumlusunun verdiği talimatlar doğrultusunda ve veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işlemesi sebebiyle veri işleyen olarak hareket ettiği anlaşıldığından, veri sorumlusu ile onun adına kişisel verileri işleyen arasında yapılan paylaşımların Kanunun 8 inci maddesi kapsamında ele alınamayacağı,
  • İlgili kişiye kişisel verisinin aktarımına ilişkin aydınlatma yapılmadığı iddiasına ilişkin olarak aydınlatma metni incelendiğinde; “Kişisel Verilerinizin Kimlere ve Hangi Amaçla Aktarılabileceği” bölümünde yer alan “Kişisel Verilerin İşlenme Amaçları” başlığı altında “sayılan amaçlarla ve bunlarla sınırlı olmamak üzere kişisel verilerin aktarılabileceğinin” belirtildiği tespit edilmiş olup söz konusu ibarenin Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin (Tebliğ) 5 inci maddesinin (1) numaralı fıkrasının (g) bendinde yer alan; “Aydınlatma yükümlülüğü kapsamında açıklanacak kişisel veri işleme amacının belirli, açık ve meşru olması gerekir. Aydınlatma yükümlülüğü yerine getirilirken, genel nitelikte ve muğlak ifadelere yer verilmemelidir.” hükmüne aykırı olduğu; ayrıca “Kişisel Veri Toplamanın Yöntemi ve Hukuki Sebebi” başlığı altında hangi kişisel verinin hangi veri işleme şartına dayanılarak işlendiğinin açıkça ortaya konulmadığı, bununla birlikte veri sorumlusunca daha sonra internet sitelerinde yayımlanan aydınlatma metninin güncellendiği ancak hangi kişisel verinin hangi veri işleme şartına dayanılarak işlendiğinin hala net olarak ortaya konulmadığı

değerlendirmelerinden hareketle;

  • Veri sorumlusunun kendisine yapılan başvuruları titizlikle kayıt altına alarak Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe uygun şekilde ilgili kişilerin başvurularına yanıt vermesi konusunda talimatlandırılmasına,
  • Şikâyete konu faaliyette veri sorumlusunun kişisel veri paylaşımı yaptığı üçüncü kişi şirketin veri işleyen olduğu dikkate alındığında, ilgili kişinin, açık rıza alınmadan kişisel verilerinin işlenmesinin hukuka aykırı olduğu iddiasına ilişkin olarak, söz konusu işlemenin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” veri işleme şartına dayanılarak gerçekleştirildiği anlaşıldığından söz konusu işlemde hukuka aykırılık bulunmadığına,
  • İlgili kişinin, tarafına aydınlatma yapılmadığı iddiasına ilişkin olarak, olay tarihinde yapılan aydınlatmanın usul açısından eksiklikler taşıdığı ancak sonrasında aydınlatma metninin güncellendiği, bununla birlikte söz konusu metinde hâlihazırda hangi kişisel verinin hangi veri işleme şartına dayanılarak işlendiğinin belli olmaması nedeniyle veri sorumlusunun metindeki bu eksikliğin giderilmesi hususunda talimatlandırılmasına

karar verilmiştir.

Batuhan Şahmay
Behiç Ateş Gülenç