Kişisel Verileri Koruma Kurulu’nun 23.05.2022 Tarihinde Yayınladığı Kararlara İlişkin Bülten
Kişisel Verileri Koruma Kurulu’nun (“Kurul”) resmi internet sitesinde 23.05.2022 tarihinde 6698 sayılı Kişisel Verilerin Korunması Kanunu (‘’Kanun” veya “6698 sayılı Kanun’’) kapsamında alınan 15 adet karar yayınlanmış olup, kararlara ilişkin önemli hususlar aşağıda belirtilmektedir.
Kurul tarafından verilen kararlarda, aşağıdaki gibi bir takım önemli hususlara yer verilmiştir:
- Anayasa Mahkemesi’nin son dönemde verdiği ve çalışanların özel hayatına ait verilerin iş yerinde korunması ile ilgili kararlarına atıf yapılarak, işverenlerin çalışanlara ait e-postaları denetlemesi/incelemesi gibi konulara değinilmiştir.
E-ticaret sitelerinde bulunan cookie’ler (çerezler) aracılığıyla kişisel veri işleme faaliyetleri kapsamında ise veri sorumlularının kullandıkları çerez politikalarında Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’de (“Tebliğ”) belirtilen usul ve esaslara dikkat edilmesi gerektiği vurgulanmıştır.
- Daha önceki kararlarda da sıklıkla rastlanıldığı gibi, kişisel verilerin korunmasına ilişkin alınması gereken teknik ve idari tedbirlere, veri sorumluları tarafından gerçekleştirilen veri işleme faaliyetinin dayandığı şartların kanuna uygunluğuna, kişisel verilerin, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkelerine dikkat çekilmiştir.
Karar Özetleri:
1. E-ticaret sektöründe faaliyet gösteren veri sorumlusu şirket tarafından gerçekleştirilen veri ihlal bildirimi hakkında 10/03/2022 tarih ve 2022/229 sayılı Karar Özeti
Kurul tarafından:
- Bir internet sitesinin düzgün çalışması için zorunlu çerezlere ilişkin olarak ilgili kişilerin açık rızasına gerek duyulmayacak iken; reklam, pazarlama ve performans amacıyla çalışan çerezlerin kullanılmasının ilgili kişinin açık rızasına tabi olduğu,
- “Kesinlikle gerekli çerezler”, internet sitesinin düzgün çalışması için gerekli çerezler olup ilgili kişinin açık rızası olmaksızın Kanun’un 5’inci maddesinin (2) numaralı fıkrasında ve Kanun’un 6’ncı maddesinin (3) numaralı fıkrasında yer alan işleme şartlarından birine dayanılarak kişisel veri işleme faaliyeti gerçekleştirilebileceği,
- “Kesinlikle gerekli çerezler” statüsünde olmayan çerezler ile kişisel veri işleme faaliyeti gerçekleştirilmesi ve Kanun’un 5’inci maddesinin (2) numaralı fıkrası ile 6’ncı maddesinin (3) numaralı fıkrasında yer alan işleme şartlarından birinin bulunmaması durumunda ilgili kişinin açık rızasına başvurulması gerektiği,
- Veri sorumlusu tarafından çerezler vasıtasıyla gerçekleştirilen veri işleme faaliyetinin dayanağı olarak Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (f) bendi gösterilmişse de kesinlikle gerekli çerezler statüsünde olmayan çerezler vasıtasıyla gerçekleştirilen işleme faaliyeti bakımından anılan bende dayanılmasının mümkün olmadığı ve ilgili kişinin açık rızasına başvurulması gerektiği,
- Veri sorumlusu tarafından ilgili kişilerin kullanıcı tercihlerinin kesinlikle gerekli çerezler kapsamında değerlendirildiği anlaşılmakla birlikte bu çerezlerin zorunlu çerezler dışında kalan işlevselliği sağlama amacı ile kullanıldığı, ilgili kişinin bilgi toplumu hizmetini açıkça talep ettiğinin net olmadığı durumlarda açık rızaya dayanılması gerekeceği,
- Veri sorumlusunun internet sitesinde yer alan Çerez Politikasında “…İlgi alanlarınıza ve size daha uygun içerik ve reklamları sunmak için, diğer bir ifade ile hedeflenmiş reklam/tanıtım amacıyla kullanır.…Çerezler yoluyla elde edilen bilgileri sizlere ait diğer kişisel verilerle eşleştirerek; size daha uygun içerikleri, kişiye özel kampanya ve ürünleri sunar ve daha önceden istemediğinizi belirttiğiniz içerik veya fırsatları bir daha sunmaz.” ifadesinin yer aldığı, ayrıca veri sorumlusunun üçüncü taraf çerezlerini reklam ve yeniden hedefleme için nasıl kullandığına ilişkin açıklamaların bulunduğu, ilgili kişinin şikâyeti ekinde yer verilen veri sorumlusunun internet sitesinde bulunan çerezlere ilişkin listede de üçüncü taraf çerezlerin bulunduğu dikkate alındığında veri sorumlusu tarafından reklam/pazarlama çerezleri kullanılmak suretiyle kişisel veri işleme faaliyeti gerçekleştirildiğinin anlaşıldığı,
- Veri sorumlusunun internet sitesine girildiği anda sayfanın sol alt köşesinde çıkan bir pop-up ile “Çerez Kullanımı Çerezler (cookie), …web sitesini ve hizmetlerimizi daha etkin bir şekilde sunmamızı sağlamaktadır. Detaylı bilgi için Gizlilik ve Kişisel Verilerin Korunması Politikası ile Çerez Politikasını inceleyebilirsiniz.” şeklinde açıklamalar barındıran kutucuk ile bilgi verildiği, kesinlikle gerekli olmayan çerezler bakımından ilgili kişilerin açık rızasına başvurulduğuna ilişkin herhangi bir emareye rastlanmadığı,
- Veri sorumlusunun, internet sitesinde ve mobil uygulamalarında yer alan ve sitenin/uygulamanın düzgün çalışmasını sağlayan kesinlikle gerekli çerezler dışında yer alan işlevsel çerezler, performans-analitik çerezler, reklam/pazarlama çerezlerinin çalıştırılmasına ilişkin olarak açık rıza dışında bir veri işleme şartı bulunmuyor ise internet sitesini/mobil uygulamaları ziyaret eden kullanıcılardan internet sitesine/mobil uygulamaya giriş anında ilgili kişilerin iradi aktif hareketiyle söz konusu çerezlerin çalışmasına onay vermesini, dolayısıyla varsayılan ayar olarak çerezlerin çalışmamasını öngören “opt-in” mekanizmasına göre açık rıza alması gerektiği,
- Veri sorumlusunun internet sitesine girildiği anda sayfanın sol alt köşesinde çıkan bir pop-up ile “Çerez Kullanımı Çerezler (cookie), …web sitesini ve hizmetlerimizi daha etkin bir şekilde sunmamızı sağlamaktadır. Detaylı bilgi için Gizlilik ve Kişisel Verilerin Korunması Politikası ile Çerez Politikasını inceleyebilirsiniz.” şeklinde açıklamalar barındıran kutucuk ile bilgi verildiğinin görüldüğü, söz konusu politikaların her ikisinin de üzerine tıklandığında Gizlilik Politikalarının bulunduğu ana sayfaya yönlendirme yapıldığı ve bir süre sonra ilgili politikaların olduğu sayfanın ekranda belirdiği,
- Gizlilik ve Kişisel Verilerin Korunması Politikasında Çerezlere ilişkin olarak “…Çerez (Cookie) Kullanımı ve Yönetimi … tarafından kullanılan çerezler, çerez çeşitleri, amaçları, saklama süreleri ve çerez yönetimi ile ilgili detaylı bilgi için Çerez (Cookie) Politikamızı inceleyebilirsiniz.” şeklinde bilgilendirme bulunduğu, söz konusu metin içerisinde direkt olarak ilgili kişileri Çerez Politikasına yönlendirebilecek bir bağlantı eklenmesinin çerezler konusunda aydınlatmanın daha kolay erişilebilir olması adına önem arz ettiği, bu nedenle söz konusu metne çerezlere direkt olarak yönlendirme yapılacak bağlantının eklenmesi yönünde güncelleme yapılması gerektiği,
- Bu çerçevede Çerez Politikasında, Tebliğ’in 4’üncü maddesi uyarınca veri sorumlusunun kimliğine ilişkin açıklamalara yer verildiği; ancak kişisel verilerin hangi amaçla işleneceği, kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile ilgili kişinin Kanun’un 11’inci maddesinde sayılan diğer hakları konusunda doğru bir şekilde bilgilendirme yapılmadığı,
- Söz konusu Çerez Politikası Tebliğ’in 5’inci maddesinin (1) numaralı fıkrasının (g) bendi açısından değerlendirildiğinde, bu politikada kişisel veri işleme amaçlarının belirlendiği görülmekle birlikte hangi kişisel veri işleme faaliyetinin hangi işleme amacı ile örtüştüğüne ilişkin detaylı bilgilendirmeye yer verilmediği, öte yandan çerez çeşitlerinin her birine ilişkin amaçların tabloda gösterildiği anlaşılmakla beraber amacın ilgili kişiler tarafından anlaşılabilecek açıklıkta olmadığının görüldüğü,
- Tebliğ’in 5’inci maddesinin (1) numaralı fıkrasının (h) bendi hükmü açısından değerlendirildiğinde, veri sorumlusunca düzenlenen Çerez Politikasında hangi kişisel verinin hangi işleme amacı ve hukuki sebep olan işleme şartı ile ilişkilendirildiğinin açıkça belirtilmediğinin; anılan düzenleme (i) bendi kapsamında değerlendirildiğinde ise hangi kişisel verilerin hangi yöntem ile elde edildiğinin Çerez Politikasında açıkça belirtilmediğinin görüldüğü,
- Veri sorumlusunun hâlihazırda internet sitesinde ve mobil uygulamada kullanılan tüm çerezlere ilişkin süreçlerin gözden geçirilerek Çerez Politikası ile uyumluluğunun sağlanması gerektiği, bu çerçevede söz konusu Çerez Politikasının Kanun’un 10’uncu maddesi ve Tebliğ’e uygun olarak güncellenmesi gerektiği
değerlendirmelerinden hareketle;
- Veri sorumlusu tarafından kişisel veri niteliğinde “kesinlikle gerekli olmayan” çerezler kullanılması suretiyle Kanun’un 5’inci ve 6’ncı maddesinde yer alan şartlarından herhangi birine dayanılmaksızın işleme faaliyeti gerçekleştirildiği, Kanun’un 9’uncu maddesinde yer alan aktarım usullerinden herhangi birine dayanılmaksızın kişisel veri aktarıldığı ve bu hususların Kanun’un 12’nci maddesinin (1) numaralı fıkrası hükmüne aykırılık teşkil ettiği değerlendirilmekte olup Kurul tarafından Kanun’un 12’nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 800.000 TL idari para cezası uygulanmasına,
- Veri sorumlusu tarafından kesinlikle gerekli olmayan çerezler kullanılması suretiyle Kanun’un 5’inci ve 6’ncı maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanılmaksızın kişisel veri işleme faaliyeti gerçekleştirildiği ve bu veri işleme faaliyeti bakımından açık rıza mekanizmasının da bulunmadığı değerlendirildiğinden veri sorumlusu tarafından internet sitesinde ve mobil uygulamalarında yer alan ve sitenin/uygulamanın düzgün çalışmasını sağlayan kesinlikle gerekli çerezler dışında yer alan İşlevsel Çerezler, Performans-Analitik Çerezler, Reklam/Pazarlama Çerezlerinin çalıştırılmasına ilişkin olarak açık rıza dışında bir veri işleme şartı bulunmuyor ise internet sitesini/mobil uygulamaları ziyaret eden kullanıcılardan internet sitesine/mobil uygulamaya giriş anında ilgili kişilerin iradi aktif hareketiyle söz konusu çerezlerin çalışmasına onay verilmesinin sağlanması ve dolayısıyla varsayılan ayar olarak çerezlerin çalışmamasını öngören “opt-in” mekanizmasına göre açık rıza alınması,
- Veri sorumlusunun çerezler vasıtasıyla yurt dışına kişisel verileri aktarmak suretiyle gerçekleştirdiği faaliyetlerin Kanun’un 9’uncu maddesine uyumlu hâle getirilmesi,
- Gizlilik ve Kişisel Verilerin Korunması Politikası içerisinde direkt olarak ilgili kişileri Çerez Politikasına yönlendirebilecek bir bağlantı eklenmesinin çerezler konusunda aydınlatmanın daha kolay erişilebilir olması adına önem arz ettiği dikkate alındığında söz konusu metne çerezlere direkt olarak yönlendirme yapılacak bağlantının eklenmesi yönünde güncelleme yapılması,
- Veri sorumlusunun hâlihazırda internet sitesinde ve mobil uygulamasında kullanılan tüm çerezlere ilişkin süreçlerin gözden geçirilerek Çerez Politikası ile uyumluluğunun sağlanması ve söz konusu Çerez Politikasının Kanun’un 10’uncu maddesi ve Tebliğ’e uygun olarak güncellenmesi,
- Kullanıcı tercihleri ile ilgili çerezler zorunlu çerezlerin dışında kalan işlevselliği sağlama amacıyla kullanıldığından söz konusu çerezlerin kullanıcının talep etmiş olduğu bir bilgi toplumu hizmetinin yerine getirilebilmesi için zorunlu olarak kullanılıp kullanılmadığı hususunda veri sorumlusu tarafından değerlendirme yapılması suretiyle kişisel veri işleme şartının belirlenmesi, ilgili kişi tarafından bilgi toplumu hizmetinin açıkça talep edildiği net değil ise ilgili kişilerin açık rızasına başvurulması hususlarında gerekli düzenlemelerin yapılarak Kurula en geç 30 gün içinde bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına,
- Öte yandan ilgili kişinin Kanun’un 11’inci maddesi kapsamındaki bilgi taleplerinin veri sorumlusu tarafından yerine getirildiğine
karar verilmiştir.
Bu karar çerçevesinde, Kurul’un çerezlere ilişkin olarak daha önce internet sitesinde yayınladığı ve henüz taslak niteliğinde olan rehberde yer verilen ilkeleri izlediği görülmektedir.
2. Bir insan kaynakları firması tarafından gerçekleştirilen veri ihlal bildirimi hakkında 09/12/2021 tarihli ve 2021/1243 sayılı Karar Özeti
Kurul tarafından:
- Veri sorumlusu tarafından ilgili kişiye ait e-posta adres bilgisinin ekonomik faaliyetleri çerçevesinde anket ve tanıtım işleri kapsamında edinildiği ve Kanun’un 5’inci maddesinin (d) bendi çerçevesinde “ilgili kişinin kendisi tarafından alenileştirilmiş olması” şartı kapsamında işlendiğinin ifade edildiği, ancak ilgili kişinin hangi yöntemle ve hangi platformda veya mecrada e-posta adres bilgisini alenileştirme iradesinde bulunduğuna ilişkin veri sorumlusu tarafından herhangi bir açıklamaya, anket ve tanıtım işleri çerçevesinden nasıl elde edildiğine ilişkin olarak kanıtlayıcı nitelikte herhangi bir belgeye yazı ekinde yer verilmediği,
- Bu anlamda veri sorumlusunun ilgili kişinin kişisel verilerinin nasıl elde edildiği ve hangi işleme şartı kapsamında işlendiğine ilişkin açıklamalarının hukuki dayanaktan yoksun olduğu, dolayısıyla veri sorumlusunun Kanun’un 5’inci maddesi çerçevesinde herhangi bir hukuki işleme şartı bulunmaksızın veri işleme faaliyetinde bulunduğu,
- Diğer taraftan Kanun’n “Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi” başlıklı 7’nci maddesine göre kişisel verilerin Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği, yok edileceği veya anonim hale getirileceğinin hüküm altına alındığı, bununla birlikte ilgili kişinin hakları hususunda düzenleme getiren Kanun’un 11’inci maddesinde de ilgili kişinin veri sorumlusuna başvurarak kendisiyle ilgili “7’nci maddede öngörülen şartlar çerçevesinde kişisel verilerinin silinmesini veya yok edilmesini isteme” hakkının düzenlendiği,
- Kanun’un 7’nci maddesinin (3) numaralı fıkrasına dayanılarak hazırlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 7’nci maddesinin “Kanunun 5 inci ve 6’ncı maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hale getirilmesi gerekir.” ve aynı maddenin (2) numaralı fıkrasının “Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde Kanunun 4’üncü maddesindeki genel ilkeler ile 12’nci maddesi kapsamında alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve kişisel veri saklama ve imha politikasına uygun hareket edilmesi zorunludur.” hükmünü haiz olduğu,
- Bu kapsamda ilgili kişinin e-posta bilgisinin Kanun’a aykırı olarak işlendiği ve ilgili kişinin veri sorumlusuna başvurusunda, kişisel verilerinin silinmesi talebini de ilettiğinin anlaşıldığı
değerlendirmelerinden hareketle;
- Veri sorumlusu tarafından ilgili kişinin kişisel verisi niteliğindeki e-posta adresinin ilgili kişiye ticari amaçlı bir e-posta gönderilmesi suretiyle işlendiği ancak Kanun’un 5’inci maddesinde yer alan işleme şartlarından herhangi birinin söz konusu olmadığı dolayısıyla, veri sorumlusu tarafından Kanun’un 12’nci maddesinin (1) numaralı fıkrası çerçevesinde “kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğüne aykırı davranıldığı anlaşıldığından veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrası uyarınca 50.000 TL idari para cezası uygulanmasına,
- İlgili kişinin e-posta adresi bilgisinin Kanun’a aykırı olarak işlendiği ve ilgili kişinin veri sorumlusuna başvurusunda kişisel verilerinin silinmesi talebini de ilettiği anlaşıldığından veri sorumlusunun, ilgili kişinin kişisel verilerini imha ederek imha işlemine ilişkin log kayıtlarının da Kurum’a iletilmesi suretiyle Kurul’a bilgi vermesi yönünde talimatlandırılmasına
karar verilmiştir.
3. Bir Banka tarafından gerçekleştirilen veri ihlal bildirimi hakkında 09/12/2021 tarihli ve 2021/1239 sayılı Karar Özeti
Kurul tarafından:
- İlgili kişinin hakim ortak olduğu (…) Anonim Şirketi ile veri sorumlusu arasında kredi sözleşmesi olduğu, veri sorumlusu Banka ile kredi başvuru süreci yürütülürken ilgili kişinin bazı kişisel verilerinin işlendiği, anılan sözleşmeden kaynaklanan bir borcun/riskin oluştuğu, oluşan risk üzerine ilgili kişiye cep telefonu numarasından ulaşılamadığı ve Risk Merkezi’nden yapılan sorgulama neticesinde alternatif numara olan Risk Merkezi sisteminde aynı zamanda “ev telefon numarası” şeklinde kayıtlı olan numaradan aramalar yapıldığı, bu aramaların ilgili mevzuat ve Kurulun “Risk Merkezinden temin edilen telefon numarası üzerinden yapılan arama ile müşterinin Banka ile münasebetinin yakınları ile paylaşılmasına ilişkin” 05.03.2021 tarihli yazısı doğrultusunda gerçekleştirildiği, ilgili kişinin anne-babasının kullandığı belirtilen telefon numarasına çeşitli tarihlerde veri sorumlusunca yetkilendirilmiş kişilerce arama yapıldığı,
- İlgili kişinin talebi üzerine yanlış numara aksiyonu alınması gerekirken, aramaların devam ettiği ve ilgili personelin bu konuda uyarıldığı tarihte “yanlış numara aksiyonu” alındığı, bu durumun Kuruma sunulan evraklardan da anlaşıldığı, ilgili kişinin başvurusuna binaen cevabî nitelikli yazı gönderildiği, yazıda kısaca ilgili mevzuattan bahsedilip bahis konusu telefon numarası ile ilgili gerekli aksiyonun alındığını da kapsayan özür ifadesinin yer aldığı, veri sorumlusu tarafından Kuruma gönderilen ve şikayete konu telefon numarası ile yapılan görüşmeleri kapsayan dökümlerde, ilgili kişinin borç bilgilerine ilişkin bilgi verilmediği, veri sorumlusu adına bilgi aktarımında bulunulacağının ifade edildiği ve (…) Anonim Şirketinin ortaklarının isimlerinin verildiği,
- Veri sorumlusunun ilgili kişinin verilerini kendisinin hâkim ortak olduğu şirket, 5411 sayılı Kanun ve ilgili diğer mevzuat hükümleri çerçevesinde “Risk Grubu” içerisinde yer aldığı için işlediği, bu işlemenin bankacılık faaliyetleri kapsamında, Banka bünyesinde kullanılmak ve Risk Merkezine aktarılmak amacıyla yapıldığı ve Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (ç) bendi uyarınca “veri sorumlusunun hukuki yükümlülüklerinin yerine getirilmesi kapsamında” olduğu, şikayete konu telefon numarasına yapılan aramalar hakkında ilgili kişi tarafından, numaranın kendisine ait olmadığı, anne-babası tarafından kullanıldığı bildiriminin yapıldığı, ilgili personelce gerekli işlemlerin yapılması için bilgi verilmediğinden, sonraki bir tarihte “yanlış numara aksiyonu” alınabildiği, veri sorumlusu tarafından ilgili personelin uyarıldığı,
değerlendirmelerinden hareketle;
- Veri sorumlusu tarafından, oluşan riskten dolayı yapılan borçlu takibinin Risk Merkezi sisteminde kayıtlı telefon numarasına yönelik yapıldığı, eldeki mevcut bilgi ve belgelerden veri sorumlusu tarafından kişisel veri paylaşıldığına yönelik bir tespitte bulunulamadığı ve ilgili kişinin talebi üzerine aramalara ilişkin kısa sürede gerekli aksiyonun alındığı dikkate alındığında veri sorumlusu hakkında Kanun kapsamında yapılacak bir işlem olmadığına,
- Telefon aramalarında kişisel verilerin korunması yönünden daha dikkatli olunması ve personelin bu konuda bilgilendirilmesi hususunun veri sorumlusuna hatırlatılmasına
karar verilmiştir.
4. Yurtdışında bulunan veri sorumlusu işveren tarafından gerçekleştirilen veri ihlal bildirimi hakkında 02/12/2021 tarihli ve 2021/1218 sayılı Karar Özeti
Kurul tarafından:
- “Veri sorumlusunun aralarındaki iş sözleşmesinin devamı sırasında ilgili kişiye karşı Kanun’un 10’uncu maddesinden kaynaklanan aydınlatma yükümlülüğünü yerine getirmediği” yönündeki iddia bakımından; dosyaya sunulan bilgi ve belgelerden; ilgili kişinin veri sorumlusunun Londra’da bulunan ofisinde işe başlaması nedeniyle ilgili kişiye Avrupa Birliği’nin birincil kişisel veri koruma düzenlemesi olan ve kısaca “GDPR” olarak bilinen Avrupa Birliği Genel Veri Koruma Tüzüğü’ne istinaden bilgilendirme yapıldığı, daha sonra ilgili kişinin Londra’daki görevinden ayrılarak veri sorumlusunun İstanbul’da bulunan irtibat ofisi bünyesinde görev yapmaya başladığı, dolayısıyla ilgili kişiye Avrupa Genel Veri Koruma Tüzüğü (GDPR) yükümlülükleri kapsamında yapılan bilgilendirmenin ilgili kişi hakkında veri sorumlusunca yürütülen kişisel veri işleme faaliyetleri açısından yeterli olduğu, ancak Türkiye’de işlenen kişisel veriler bakımından Kanun’un 10’uncu maddesine uygun olarak aydınlatma yükümlülüğünün yerine getirilmesi konusunda özen gösterilmesi hususunda veri sorumlusuna hatırlatmada bulunulmasının da uygun olacağı,
- “Veri sorumlusu ile olan iş sözleşmesinin eylemli fesih yoluyla sona erdirilmesinden sonra ilgili kişiye ait fotoğraf ve sair kişisel verilerin veri sorumlusunun internet sitesinde tutulmasına devam edildiği, söz konusu verilerin bu sitede tutulmasının ilgili kişinin açık rızasına bağlı olduğu ama konuya ilişkin olarak ilgili kişinin açık rızasının alınmadığı ve bu durumun da hukuka aykırı kişisel veri işleme faaliyeti teşkil ettiği” yönündeki iddia bakımından; (…)dosyaya sunulan tüm bilgi ve belgelerden, ilgili kişinin iş sözleşmesinin Nisan 2021 itibarıyla sona ermediği, ilgili kişinin Nisan 2021 ile Temmuz 2021 arasını kapsayan dönemde mevzuatın veri sorumlusuna Covid-19 salgınının ortaya çıkardığı şartlardan ötürü geçici olarak tanıdığı bir hak sayesinde alınabilen tek taraflı bir kararla ücretsiz izne çıkarıldığının anlaşıldığı ve mevzuattan kaynaklanan böyle bir durumda ilgili kişinin iş sözleşmesinin “eylemli fesih” yoluyla Nisan 2021’de sona erdirildiği iddiasının kabulünün mümkün görünmediği; neticede, ilgili kişinin fotoğraf ve sair verilerinin Nisan 2021 sonrası dönemde veri sorumlusunun internet sitesinde yayınlanmasından ibaret olan kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (f) bendindeki “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki sebebine dayanabileceği, bu yüzden de anılan faaliyeti dolayısıyla veri sorumlusu hakkında Kanun kapsamında yapılacak herhangi bir işlemin bulunmadığı,
- “İlgili kişinin Kanun’un 13’üncü maddesi uyarınca yaptığı başvuruya veri sorumlusu tarafından yeterli bir şekilde cevap verilmediği” yönündeki iddia bakımından; ilgili kişinin Kanun’un 11’inci ve 13’üncü maddeleri ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 5’inci maddesi uyarınca veri sorumlusuna yaptığı başvurunun, veri sorumlusu tarafından Kanun’un 13’üncü maddesi ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 6’ncı maddesi çerçevesinde etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırılmadığı, zira veri sorumlusu tarafından ilgili kişinin 26/05/2021 tarihli başvurusuna cevaben iletilen 07/06/2021 tarihli e-postada ilgili kişinin Kanun’un 11’inci maddesi kapsamında yönelttiği bilgi taleplerinin tamamının cevaplanmadığı,
- Dolayısıyla, veri sorumlusunun ileride kendisine yapılabilecek ilgili kişi başvurularını mevzuata uygun şekilde cevaplandırması hususunda talimatlandırılmasının yerinde olacağına
karar verilmiştir.
Bu karar, Avrupa Birliği’nde geçerli GDPR uyarınca bilgilendirme yükümlülüğünün yerine getirilmesinin, Kanun kapsamında da yeterli sayılacağı hususu açısından önemlidir.
5. Bir medya şirketinin veri ihlal bildirimi hakkında 02/12/2021 tarihli ve 2021/1217 sayılı Karar Özeti
Kurul tarafından:
- Şikâyete esas haberin esasını oluşturan “bir gencin eşinden boşanıp bir başkası ile evlenen annesinin kapısına dayanarak onu kalbinden bıçakladığı” bilgisinin paylaşılmasında herhangi bir kamu ilgi ve/veya yararının bulunduğundan bahsedilemeyeceği, buna karşın kamuoyu nezdinde “üçüncü sayfa haberi” olarak bilinen bu tarz haberlerin basında sıklıkla yer aldığı dikkate alındığında inceleme konusu haberin “haberin kamu ilgi ve yararı taşıyıp taşımadığı” kriteri kapsamındaki durumunun tartışmalı olduğu sonucuna ulaşıldığı,
- Haberin gerçek ve güncel olması kapsamında; gerçekliğin habere konu edilen olayın gerçek olması anlamına geldiği, ancak yerleşik yargı kararlarında gerçeklikten maddi gerçekliğin değil görünürdeki gerçekliğin anlaşılması gerektiği ve görünürdeki gerçekliğe uygun olarak yapılan haberlerden ötürü basının sorumlu tutulmamasının ihtimal dâhilinde olduğunun kabul edildiği,
- Bahsi geçen “maddi gerçeklik” kavramının haber konusu olayın haberde zikredildiği şekliyle gerçekleşip gerçekleşmediğini nitelemekte olduğu, “görünürdeki gerçeklik” kavramının ise haberin verildiği anda ve görünürde var olan olgulara uygunluğunu ifade ettiği,
- Diğer taraftan, bir haberin maddi gerçekliğe veya görünürdeki gerçekliğe uygun olup olmadığı konusunda bir değerlendirme yapılmadan önce, o habere konu bilgilerin gerçeğe uygun olup olmadığının araştırılması hususunda ilgili basın kuruluşu tarafından gereken her türlü dikkat ve özenin gösterilip gösterilmediğinin ele alınması gerektiği,
- Zira haber yapılmadan önce ilgili basın kuruluşunca gereken her türlü dikkat ve özen gösterilmemişse, orada artık maddi gerçeklik veya görünürdeki gerçeklik tartışması yapılmasının herhangi bir fayda sağlamayacağı,
- İnceleme konusu haber bu bilgiler ışığında ele alındığında; haberin dayandırıldığı olay örgüsünün gerçek olduğu ama bir bütün olarak bakıldığında haberin doğru/gerçek olmadığı, zira haberde mağdurun adının yanlış aktarıldığı ve olayla alakasız bir kişi konumunda olan ilgili kişinin çocuğu ile birlikte olduğu bir fotoğrafının blurlanarak/buzlanarak da olsa kullanıldığı, bunun da yapılan haber yayınlanmadan önce medya şirketi tarafından haber içeriğindeki unsurlarının doğruluğuna ilişkin gereken her türlü dikkat ve özenin gösterilmediğine işaret ettiği,
- Medya şirketi “haberin içeriğinin DHA, İHA ve AA gibi ajanslardan alınan bilgiler ile olay yerinde ve çevresinde yapılan araştırma ve röportajlara dayandığı, tüm açılardan bakıldığında haber içeriğinin somut gerçeğe uygun olduğu ve o aşamada yapılabilecek bir araştırmanın da bulunmadığı” yönünde bir savunma yapmış olsa da, yine medya şirketi tarafından Kuruma iletilen ve yapılan haberin kaynağı olarak gösterilen (İHA ve DHA haber ajanslarına ait) haberlerde mağdur kadının isminin doğru bir şekilde yazılmış olduğunun görüldüğü,
- Dolayısıyla, medya şirketince dikkatli ve özenli bir şekilde haber yapılmış olsa idi yapılan isim yanlışlığının en azından haberde görüntülerine yer verilen mağdur kadının eşinden teyit edilmek suretiyle düzeltilebileceğinin rahatlıkla söylenebileceği,
- Medya şirketi “mağdur kadının eşinin belki benzerlikten dolayı belki de olayın şoku ile kendisine gösterilen ve onaylaması üzerine haberde kullanılan fotoğrafın mağdura ait olduğunu teyit ettiği” yönünde bir savunma beyanında bulunmuş olsa da bu beyanın tevsik edici herhangi bir belge ile desteklenemediği, böyle bir eksikliğin ise medya şirketinin söz konusu beyanının salt olarak sorumluluktan kurtulmak amacıyla ortaya atılmış olabileceği izlenimini uyandırdığı,
- Zira medya şirketinin savunmasında bahsedildiği gibi bir “onay” işleminin mevcut olması durumunda, bahsi geçen onay işlemin işini dikkatli ve özenli yapan bir basın kuruluşu tarafından yazılı ve/veya görüntülü olarak kayıt altına alınmasının hayatın olağan akışına uygun olacağı ve haberin yapımı ve yayınlanması sürecini sekteye uğratacak ek bir külfet de getirmeyeceği,
- Öte yandan, “haberin güncel olması” kriterinin somut olayın açıklandığı tarihlerde kamu yararının bulunması esasına dayandığı, üzerinden süre geçmiş ve açıklanmasında artık kamu yararı bulunmayan bir olayın yayınlanmasında haber verme hakkından söz edilemeyeceğinin ve kişilik hakkına üstünlük tanınması gerekeceğinin savunulabileceği,
- Bu kapsamda, somut olayda habere konu olayın haberleştirilmesinde kamu yararının bulunup bulunmadığının tartışmalı olduğu düşünülse de, habere konu olayın gerçekleşme tarihi ile haberin veriliş tarihi göz önüne alındığında haberin güncel olduğunun söylenebileceği,
- Biçim ve öz arasındaki denge kriteri açısından; kullanılacak dil ve ifade ile yapılacak niteleme ve vurgunun haberin gerektirdiği biçim ve ölçü çerçevesinde kalmasının gerektiği (diğer bir deyişle, haberde kullanılan dil, ifade, resim/şekil/tablo ve fotoğrafların haberin veriliş biçiminin gerektirdiği ölçüde olması gerektiği),
- Haber verilirken gerekli, yararlı ve ilgili olmayan içeriklerin kullanılmasının kişilik haklarına ölçüsüz müdahale anlamına gelebileceği, bu yüzden inceleme konusu haberin verilişinin –kullanılan fotoğrafların blurlanmış/buzlanmış olması nedeniyle- ölçülü olduğunun ilk bakışta savunulabileceği,
- Ancak ilgili kişinin isim ve soy isim bilgisinin haber içeriğinde zikredilmesi ve bu isim-soy isim bilgileri kullanılarak fotoğrafların açık kaynaklardan teyit edilebilmesinin mümkün olması sebepleriyle, yapılan haberin biçimi ile özü arasında makul bir dengenin bulunmadığının, diğer bir ifadeyle haberin ölçüsüz olduğunun kabul edilmesi gerektiği, ayrıca haberin biçimi açısından anılan fotoğrafların blurlanmış/buzlanmış şekilde de olsa ekrana yansıtılmasının gerekli olmadığının da savunulabileceği,
- Yayınlanan bir haber kapsamında çatışan haklar konumundaki ifade özgürlüğü ile kişilik hakkı arasında yapılan denge testi neticesinde ifade özgürlüğüne öncelik tanınabilmesi için zikredilen üç kriterin de aynı anda karşılanmasının gerektiği, ancak inceleme konusu şikâyetin dayandığı haber bakımından bahsi geçen kriterlerin tamamını karşılanmadığı,
- Bu yüzden, veri sorumlusu tarafından ilgili kişi ile çocuğuna ait bilgiler ve fotoğraf da kullanılarak yapılan haberin 6698 sayılı Kanun’un 28’inci maddesinin (1) numaralı fıkrasının (c) bendi uyarınca 6698 sayılı Kanun hükümlerinden istisna tutulamayacağı,
- Bununla birlikte, somut olayda veri sorumlusu tarafından ilgili kişiler hakkında yürütülen kişisel veri işleme faaliyetleri için 6698 sayılı Kanun’da düzenlenen herhangi bir hukuki sebebe dayanılmadığının görüldüğü, bu durumun ise mezkûr kişisel veri işleme faaliyetini hukuka aykırı hale getirdiği,
- İnceleme konusu habere ilişkin olarak, bir yargı kararına istinaden veri sorumlusu tarafından süresi içerisinde cevap ve düzeltme metninin yayınlanması suretiyle yayının ilk ulaştığı izleyicilere haberde yapılan hata hakkında bildirimde bulunulmuş olmasının veri sorumlusu tarafından yürütülen hukuka aykırı kişisel veri işleme faaliyetini ortadan kaldırmayacağı,
- İlgili kişiler tarafından Kurula yapılan şikâyetin, mahkeme kararına istinaden bir cevap ve düzeltme metninin yayınlanmasından sonra yapılmış olmasının konuya ilişkin olarak 6698 sayılı Kanun hükümleri uyarınca yapılacak müstakil değerlendirmeleri etkilemeyeceği
değerlendirmelerinden hareketle;
- Mevcut tüm bilgi ve belgeler itibarıyla, ilgili kişilere ait kişisel verilerin veri sorumlusunca herhangi bir işleme şartına dayanmadan işlendiği, bu hususun ise veri güvenliğine ilişkin yükümlülüklerin düzenlendiği 6698 sayılı Kanun’un 12’nci maddesinin (1) numaralı fıkrasının (a) bendinde yer alan “Veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmüne aykırılık teşkil ettiği kanaatine varıldığından, veri sorumlusu hakkında 6698 sayılı Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 300.000 TL idari para cezası uygulanmasına,
- Veri sorumlularınca hukuka aykırı kişisel veri işleme faaliyetinde bulunulduğundan bahisle ilgili kişiler tarafından öne sürülebilecek maddi ve/veya manevi tazminat talepleri için adli makamlar nezdinde girişimde bulunulabileceği konusunda ilgili kişilerin bilgilendirilmesine
karar verilmiştir.
6. Bir üniversitenin veri ihlal bildirimi hakkında 02/12/2021 tarihli ve 2021/1214 sayılı Karar Özeti
Kurul tarafından:
- Şikâyet konusu hakkında veri sorumlularından alınan bilgi ve belgeler ilgili mevzuat kapsamında değerlendirildiğinde, kullanılan devam takip çizelgesinde aynı ad ve soyadı bilgisine sahip kişilerin olması gibi durumlarda karışıklığın önlenmesini teminen, kişilerin ad ve soyadı bilgisinin yanı sıra kişiyi belirleyici kılan başka bir verinin (örneğin T.C. kimlik numarasının) kullanılmasının gerekmesi halinde ilgili verinin maskelenerek kullanılması gerektiği,
- Konuya ilişkin olarak Üniversiteden alınan yazıda; Kanun’un 10’uncu maddesi ve Tebliğ hükümleri gereğince kişisel verilerin işlenmesi sürecine ilişkin olarak, Sürekli Eğitim Merkezinde eğitim öncesinde diğer tüm katılımcılar gibi ilgili kişiyle de, sözleşme imzalandığının ifade edildiği, söz konusu sözleşme ile veri sorumlusu tarafından aydınlatma yükümlülüğünün gereği gibi yerine getirilip getirilmediği incelendiğinde; anılan sözleşmede aydınlatma yükümlülüğünün gereği gibi yerine getirilmesini sağlayıcı nitelikteki asgari unsurlar olan; kişisel verilerin hangi amaçla işleneceği, kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve ilgili kişinin diğer haklarına ilişkin bilgilendirmelere yer verilmediği görüldüğünden veri sorumlusu tarafından aydınlatma yükümlülüğünün gereği gibi yerine getirilmediği sonucuna varıldığı
değerlendirmelerinden hareketle;
- Bakanlık tarafından ilgili kişinin başvurusuna 30 günlük süreden sonra yanıt verildiği anlaşıldığından Kanun’un 13’üncü maddesi çerçevesinde yapılan başvurulara yanıt verilirken 30 günlük sürenin gözetilmesi yönünde hatırlatmada bulunulmasına,
- Veri sorumlusu Üniversite tarafından devam takibine yönelik hukuki yükümlülük yerine getirilirken kullanılan devam takip çizelgesinde kişilerin ad ve soyadı dışında kişiyi belirleyici başka bir veriye (T.C. kimlik numarası) yer verilmesinin gerekmesi halinde; ilgili verinin maskelenmesi bu kapsamda devam takip çizelgesinin tekrar gözden geçirilerek uygulamaya geçirilmesi yönünde veri sorumlusu Üniversitenin talimatlandırılmasına ve sonucundan Kurula bilgi verilmesine,
- İlgili eğitimi veren başka kuruluşların bulunduğu ve benzer uygulamaların söz konusu olabileceği hususları dikkate alındığında, bu eğitimi veren diğer eğitim kuruluşlarına da konu hakkında bilgi verilmesi yönünde Bakanlığa bilgilendirmede bulunulmasına,
- Kanun’un 15’inci maddesinin (5) numaralı fıkrası çerçevesinde; veri sorumlusu Üniversiteye eğitim verilirken kursiyerlere ait kişisel verilerin işlenmesi sürecinde Kanun’un “Veri sorumlusunun aydınlatma yükümlülüğü” başlıklı 10’uncu maddesi ve Tebliğ’de yer verilen hükümlere uygun olacak şekilde bir uygulama geliştirmesi ve bu hususa ilişkin olarak Kurula bilgi verilmesi yönünde talimat verilmesine
karar verilmiştir.
7. Bir işverenin veri ihlal bildirimi hakkında 25/11/2021 tarihli ve 2021/1187 sayılı Karar Özeti
Kurul tarafından:
- AİHM’in çalışanların iş yerinde dahi özel hayata sahip olabileceği ve bu kapsamda kişisel verilerin korunmasının son derece önemli olduğunu vurgulayan bir karar verdiği, AİHM’nin mezkûr kararının, işverenlerin çalışanlar üzerinde herhangi bir denetim mekanizmasından yoksun olduğunu göstermediği, ancak özellikle çalışanların gözetlenmesi ve iletişimlerinin denetlenmesi faaliyetlerinin Mahkeme tarafından belirlenen kriterler ölçüsünde hassasiyetle uygulanması gerektiğinin ifade edildiği,
- Bu kapsamda, konu ile ilgili olarak değinilen AYM ve AİHM kararlarında yer verilen kriterler de göz önünde bulundurulduğunda, iş ilişkisi kapsamında ilgili kişiye veri sorumlusu tarafından kurumsal faaliyetlerde ve işin gerektirdiği ölçüde kullanılmak üzere bir kurumsal e-posta hesabının tahsis edildiği, ancak veri sorumlusunun cevabi yazısında da belirtildiği üzere ilgili kişiye söz konusu hesabın sadece işin ifası amacı ile kullanılacağına veya işveren tarafından çalışanların e-postalarının incelenebileceğine/denetlenebileceğine ilişkin olarak Kanun’un 10’uncu maddesi ile Tebliğ’in 4’üncü maddesi kapsamında herhangi bir aydınlatma yapılmadığının görüldüğü,
- İlgili kişiye Kanun ve Tebliğ hükümleri kapsamında herhangi bir aydınlatma yapmaması nedeniyle veri sorumlusu tarafından ilgili kişinin e-postalarının incelenmesinin Kanun’un 5’inci maddesinde yer verilen herhangi bir işleme şartına dayanmadığı dikkate alındığında, Kanun’un 12’nci maddesi kapsamındaki yükümlülüklerin ihlal edildiği,
- Diğer taraftan, ilgili kişinin, verilerinin yetkisiz üçüncü kişilerin erişimine açıldığı iddiasına ilişkin olarak; veri sorumlusunun Kuruma intikal eden cevabi yazısından ve ilgili kişiye vermiş olduğu cevabi yazıdan anlaşıldığı üzere taraflarına ulaşan veri sorumlusuna başvuru metninin içeriğinde söz konusu iddianın mevcut olmadığı görüldüğünden ilgili kişinin bu husustaki iddialarını Kanun’un 14’üncü maddesi kapsamında öncelikle veri sorumlusuna iletmesi gerektiğinin hatırlatılmasının uygun olacağı,
- İlgili kişinin açık rızası olmaksızın işlenen özel hayatı ile ilgili e-posta içeriklerinin, şahsi banka hesap dökümlerinin, harcama kayıtlarının ve Kanun’un 5’inci maddesinin (2) numaralı fıkrası kapsamında işleme şartını haiz olmadan işlenen diğer kişisel verilerinin silinmesi veya yok edilmesi şeklindeki talebine ilişkin olarak; veri sorumlusunun ilgili kişiye verdiği cevapta; söz konusu kurumsal e-posta hesabında yer alan yazışmaların devam etmekte olan davada delil olarak mahkemeye sunulmuş olması sebebiyle silinemeyeceğinin belirtildiği dikkate alındığında, yargı konusu olan hususlara ilişkin inceleme yapılamayacağından hareketle ilgili kişinin söz konusu talebi çerçevesinde yapılacak işlem bulunmadığı,
- Somut olay kapsamında ilgili kişinin tüm yazışmalarını kurumsal e-posta adresi aracılığı ile yapmış olmasında ilgili kişinin verilerini kamuoyuna açıklama gibi bir iradesi bulunmadığından, kişisel verilerin alenileştirilmesinden bahsedilemeyeceği
değerlendirmelerinden hareketle;
- İlgili kişiye Kanun ve Tebliğ hükümleri kapsamında herhangi bir aydınlatma yapılmaması dolayısıyla veri sorumlusu tarafından ilgili kişinin e-postalarının incelenmesinin Kanun’un 5’inci maddesinde yer verilen herhangi bir işleme şartına dayanmadığı dikkate alındığında, Kanun’un 12’nci maddesinin (1) numaralı fıkrasına aykırılık teşkil eden uygulaması nedeniyle veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 250.000 TL idari para cezası uygulanmasına,
- İlgili kişinin, verilerinin yetkisiz üçüncü kişilerin erişimine açıldığı iddiasına ilişkin olarak; veri sorumlusunun Kuruma intikal eden cevabi yazısından ve ilgili kişiye vermiş olduğu cevabi yazıdan anlaşıldığı üzere taraflarına ulaşan veri sorumlusuna başvuru metninin içeriğinde söz konusu iddianın mevcut olmadığı görüldüğünden ilgili kişinin bu husustaki iddialarını Kanun’un 14’üncü maddesi kapsamında öncelikle veri sorumlusuna iletmesi gerektiğinin hatırlatılmasına,
- İlgili kişinin bahse konu verilerinin silinmesi talebi çerçevesinde, veri sorumlusunun “ilgili kişinin kurumsal e-posta hesabında yer alan yazışmaların devam etmekte olan davada delil olarak mahkemeye sunulmuş olması sebebiyle silinemeyeceği” yönündeki cevabı dikkate alındığında, yargı konusu olan hususlara ilişkin inceleme yapılamayacağından hareketle ilgili kişinin söz konusu talebi çerçevesinde yapılacak işlem bulunmadığına,
- Öte yandan, ilgili kişinin “müşterilerinin ve çalışanlarının bilgilerinin muhafaza edildiği hizmet sağlayıcı firma olan Microsoft serverlarının yurtdışında bulunuyor olmasından dolayı söz konusu kişisel veri işlemenin Kanun’un 9’uncu maddesine uygun olarak gerçekleştirmesi gerektiği” yönündeki iddiasına ilişkin olarak; Kanun’un 15’inci maddesinin (1) numaralı fıkrası kapsamında resen inceleme başlatılmasına
karar verilmiştir.
8. Tıbbi ürünler satan veri sorumlusunun veri ihlal bildirimi hakkında 11/11/2021 tarihli ve 2021/1153 sayılı Karar Özeti
Kurul tarafından:
- Veri sorumlusundan daha önce hizmet aldığı iddia edilen şahsa ilişkin bir cihaz satış belgesinin Kurum’a iletildiği, söz konusu belgenin üzerindeki bilgilerden bu satışın 2019 yılında gerçekleştirildiğinin ve iletişim bilgisi olarak ilgili kişinin cep telefonu numarasının yer aldığının anlaşıldığı,
- Söz konusu cep telefonu numarası bahsi geçen müşteri yerine ilgili kişiye ait olsa da veri sorumlusu tarafından bu durumun bilinmediği ve söz konusu numaranın anılan müşteriye ilişkin bir veri olarak işlendiği, dolayısıyla ilgili kişinin cep telefonu numarasının veri sorumlusu kayıtlarında kendisi ile ilişkilendirilmiş bir veri olarak işlenmediği ve müşteri tarafından sehven hatalı numaranın bildirilmesi sonucu şikâyete konu olayın vuku bulduğu kanaatine varıldığı,
- Veri sorumlusu tarafından belirtilen müşterinin imzalamış olduğu dilekçeden, reklam ve pazarlama amaçlı olarak kendisine elektronik ileti gönderilmesi hususunda açık rızasının bulunduğunun anlaşıldığı,
- Veri sorumlusunun Kuruma verdiği yanıtta, ilgili kişinin başvurusu üzerine söz konusu numaranın “kara liste”ye alındığı belirtilerek ilgili listeye ilişkin ekran görüntüsüne yer verilmişse de herhangi bir veri işleme şartına dayanılmaksızın işlenmiş olan kişisel verilerin kara listeye alınmak suretiyle kişisel veri işleme faaliyetine devam edildiği ve bu anlamda ilgili kişinin şikâyetine konu kişisel verisinin Kanun’un 7’inci maddesine uygun olarak imha edilmediği sonucuna varıldığı
değerlendirmelerinden hareketle;
- İlgili kişiye ticari elektronik ileti gönderilmesi suretiyle kişisel verilerinin hukuka aykırı olarak işlenmesi hususuna ilişkin olarak; söz konusu cep telefonu numarasının veri sorumlusu kayıtlarında kendisi ile ilişkilendirmiş bir veri olarak işlenmediği, bir müşteri tarafından sehven hatalı numaranın bildirilmesi sonucu şikâyete konu olayın vuku bulduğu ve bu hususların veri sorumlusu tarafından belgeleri ile tevsik edilebildiği kanaatine varılmış olup veri sorumlusu hakkında Kanun kapsamında tesis edilecek herhangi bir işlem bulunmadığına,
- Bununla birlikte, Kanun’un kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesini düzenleyen 7’nci maddesi ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi Hakkında Yönetmeliğe uygun bir biçimde ilgili kişinin kişisel verilerinin imha edilmesi ve bu hususta Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına
karar verilmiştir.
9. Bir üniversitenin veri ihlal bildirimi hakkında 04/11/2021 tarihli ve 2021/1127 sayılı Karar Özeti
Kurul tarafından:
- İlgili kişiye ait kişisel verileri içeren belgenin tüm üniversite çalışanlarına akademik ya da akademik olmayan ilgili ya da ilgisiz tüm personele e-posta olarak gönderildiği iddiasının değerlendirilmesi neticesinde; ilgili kişinin, kendisinin kişisel verilerini içeren belgenin veri sorumlusu tarafından tüm üniversite çalışanlarına, akademik ya da akademik olmayan ilgili ya da ilgisiz tüm personele e-posta olarak gönderildiğini iddia etmesine karşılık bu iddiasına ilişkin tevsik edici bilgi ve belge sunulmadığından ilgili kişiye ait kişisel verileri içeren belgenin EBYS aracılığıyla fakülte dekanlarına gönderildiği yönünde değerlendirme yapılmış olup mevzuatın incelenmesi neticesinde, akademik teşvik, atama ve yükseltmelere etki edecek nitelik taşıyan belgede yer alan ilgili kişiye ait kişisel verilerin veri sorumlusu Üniversite tarafından fakülte dekanları ile EBYS aracılığıyla paylaşılmasının Kanun’un 5’inci maddesinin ikinci fıkrasının (ç) ve (e) bentleri çerçevesinde veri sorumlusunun hukuki yükümlüğünü yerine getirebilmesi ve bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması işleme şartlarına dayanması sebebiyle Kanun’a aykırılık teşkil etmediği,
- İlgili kişiye ait kişisel verileri içeren belgenin üniversiteye ait internet sitesi üzerinden paylaşılmasına ilişkin değerlendirmede; TÜBİTAK Başkanlığı tarafından YÖK Başkanlığına gönderilen yazıda, ilgili kişinin sahibi ve yazarı olduğu ekli listede isimleri verilen dergilerin “yağmacı yayıncılık” açısından derin kuşkular içermesi nedeniyle akademik teşvik, atama ve yükseltmelerde söz konusu dergilerin değerlendirme dışı bırakılması için gerekli işlemlerin başlatılmasının ifade edildiği dikkate alındığında; fakülte dekanlarına ilgili belgenin gönderilmesine ilişkin incelenen ilgili mevzuat kapsamında, veri sorumlusunun savunmasında iddia ettiği üzere Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (f) bendinde yer alan meşru menfaat işleme şartı kapsamında değerlendirilememekle birlikte aynı fıkranın (e) bendine göre bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması şartına uygun olarak kullanımı yasaklanan söz konusu dergilerin çalışmalarda esas alınmaması adına veri sorumlusu Üniversitenin yüksek lisans ve doktora öğrencileri ile akademik personele bilgi vermesi gerekliliğinin mevcut olduğu kanaatine varılabileceği,
- Ancak her ne kadar veri sorumlusu Üniversite tarafından ilgili kişiye ilişkin kişisel verileri içeren belge, Üniversitenin herkesin ilk aşamada ulaşabileceği tanıtım ve bilgi amaçlı kullanılan ve tüm ziyaretçilere açık olan adresten farklı olarak bilimsel çalışmalarda bulunan akademik aktörler tarafından proje geliştirme amacıyla kullanılan akademik kullanım amaçlı site üzerinden yayımlanmış ve veri sorumlusu tarafından ilgili kişinin başvurusu sonrası paylaşımın sehven yapıldığı belirtilmek suretiyle kaldırılmış olsa da yüksek lisans ve doktora öğrencileri ile akademik personeli bilgilendirme amacını aşacak şekilde, TÜBİTAK Başkanlığı tarafından YÖK Başkanlığına “GİZLİ” olarak gönderilen belgede yer alan üçüncü kişilere ait kişisel verilerin, ilgili kişiye ait adres bilgisi, taraf olduğu soruşturma bilgileri, hakkındaki görüş yazıları ve komisyon görüşü gibi kişisel verilerin tamamının veri sorumlusu tarafından Üniversiteye ait internet sitesinde paylaşılması ile veri minimizasyonu ilkesine aykırı hareket edildiği, bu anlamda Kanun’un 4’üncü maddesinin ikinci fıkrasının (ç) bendi gereğince kişisel verilerin işlenmesinde işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkelerinin gözetilmediği
değerlendirmelerinden hareketle;
- Akademik teşvik, atama ve yükseltmelere etki edecek nitelikte belgede yer alan ilgili kişiye ilişkin kişisel verilerin fakülte dekanları ile Kurumun EBYS sistemi aracılığıyla paylaşılmasının Kanun’un 5’inci maddesinin ikinci fıkrasının (ç) ve (e) bentleri çerçevesinde veri sorumlusunun hukuki yükümlüğünü yerine getirebilmesi ve bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması işleme şartları kapsamında hukuka uygun olduğu değerlendirildiğinden bu hususta Kanun kapsamında yapılacak işlem olmadığına,
- Belgede yer alan ilgili kişiye ait kişisel verilerin akademik çalışmalar için kullanılan Üniversiteye ait internet sayfasında yayımlanmak suretiyle Kanun’un 5’inci maddesinin ikinci fıkrasının (e) bendine uygun olarak kullanımı yasaklanan söz konusu dergilerin çalışmalarda esas alınmaması adına veri sorumlusu Üniversitenin yüksek lisans ve doktora öğrencileri ile akademik personele bilgi vermesi gerekliliğinin Kanun’a uygun olduğu değerlendirilmekle birlikte veri sorumlusu tarafından bilgilendirme amacını aşacak nitelikte söz konusu belgede yer alan kişisel verilerin tamamının Üniversiteye ait internet sitesinde paylaşılmasının Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (ç) bendi gereğince kişisel verilerin işlenmesinde işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkelerine aykırılık teşkil ettiği ve bu doğrultuda Kanun’un 12’nci maddesinin birinci fıkrasına aykırı olarak veri sorumlusu Üniversite tarafından kişisel verilerin güvenliğine yönelik gerekli yükümlülüklerin yerine getirilmediği kanaatine ulaşıldığından sorumlular hakkında Kanun’un 18’inci maddesinin (3) numaralı fıkrası çerçevesinde işlem yapılması ve işlemin sonucu hakkında Kurula bilgi verilmesine
karar verilmiştir.
10. Bir avukatın veri ihlal bildirimi hakkında 02/11/2021 tarihli ve 2021/1111 sayılı Karar Özeti
Kurul tarafından:
- Somut olayda ilgili kişinin adli sicil kaydı bilgilerinin veri sorumlusunca elde edilmesinin 6698 sayılı Kanun’un 6’ncı maddesindeki hukuki sebeplerden birine dayanıp dayanmadığının öncelikle ele alınması gerektiği, zira ilgili kişinin adli sicil kaydı verilerinin veri sorumlusunca 6698 sayılı Kanun’un 6’ncı maddesindeki hukuki sebeplerden birine dayanılmadan elde edilmiş (ve sonrasında da kullanılmış/verilmiş) olması durumunda söz konusu fiillerin hukuka aykırı nitelikte birer veri işleme faaliyeti teşkil edeceği,
- Dosyaya sunulan bilgi ve belgelerden; ilgili kişinin adli sicil verilerinin işlenebilmesi için veri sorumlusuna vermiş olduğu bir açık rızanın bulunmadığının görüldüğü, veri sorumlusunun “ilgili kişinin adli sicil kaydı bilgilerinin Avukatlık Kanunu’na uygun olarak adliyeden temin edildiği, taraflarınca yapılan iş ve işlemlerde herhangi bir hukuka aykırılık bulunmadığı” yönündeki savunmasından ise ilgili kişi hakkında yürütülen kişisel veri işleme faaliyetinde 6698 sayılı Kanun’un 6’ncı maddesinin (3) numaralı fıkrasında düzenlenen “Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilir.” düzenlemesine dayanıldığının anlaşıldığı, bu yüzden de veri sorumlusunun savunmasında zikrettiği Avukatlık Kanunu’nun 2’nci maddesi hükmünün 6698 sayılı Kanun’un 6’ncı maddesinin (3) numaralı fıkrasında geçen “kanunlarda öngörülen haller”in kapsamına girip girmediğinin açıklığa kavuşturulması gerektiği,
- Mezkûr mevzuat hükümlerinin lafızlarına istinaden, Avukatlık Kanunu’nun 2’nci maddesinde yer alan düzenlemenin Adlî Sicil Kanunu’nun 7’nci maddesinde mevcut olan “özel hüküm” karşısında bir “genel hüküm” niteliği taşıdığının açık olduğu ve avukatlara ilgili kişilerin adli sicil kaydı bilgilerine resen erişim yetkisi vermediği, dolayısıyla ilgili kişiye ait adli sicil bilgilerinin veri sorumlusu tarafından hukuka aykırı olarak elde edildiği, bu sebeple de veri sorumlusu tarafından ilgili kişi hakkında yürütülen kişisel veri işleme faaliyetinin hukuka aykırı olduğu sonucuna ulaşıldığı,
- İlgili kişinin -veri sorumlusu tarafından yürütülmüş olan kişisel veri işleme faaliyetlerine konu olan- özel nitelikli kişisel veri niteliğindeki adli sicil bilgilerinin en başta hukuka aykırı olarak elde edilmiş olmasının veri sorumlusunun tüm kişisel veri işleme faaliyetlerini başlangıçtan itibaren hukuka aykırı hale getirdiği, zira hukuka uygun olmayan bir şeyin üzerine meşru bir şeyin bina edilemeyeceği konusunda herhangi bir şüphenin bulunmadığı
değerlendirmelerinden hareketle;
- Mevcut tüm bilgi ve belgeler itibarıyla; ilgili kişinin adli sicil bilgisi kişisel verisinin işlenmesi faaliyetinde veri sorumlusu tarafından 6698 sayılı Kanun’un 6’ncı maddesinde düzenlenen hukuki sebeplerden herhangi birine dayanılmadığı, bu hususun ise veri güvenliğine ilişkin yükümlülüklerin düzenlendiği 6698 sayılı Kanun’un 12’nci maddesinin (1) numaralı fıkrasının (a) bendinde yer alan “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmüne aykırılık teşkil ettiği dikkate alındığında 6698 sayılı Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendine istinaden veri sorumlusu hakkında 75.000 TL idari para cezası uygulanmasına,
- Veri sorumlusu tarafından ilgili kişi hakkında başlangıçtan itibaren hukuka aykırı nitelikte kişisel veri işleme faaliyetinde bulunulduğu kanaatine ulaşıldığından, ilgili kişinin veri sorumlusu nezdinde tutulan ve hukuka aykırı işleme amacıyla bağlantılı kişisel verilerinin 6698 sayılı Kanun’un 7’nci maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca imha edilmesi ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
- Söz konusu verinin paylaşılmasının 5237 sayılı Türk Ceza Kanunu hükümleri kapsamında suç unsuru barındırabileceği dikkate alındığında, bu hususta işlem tesis edilmesini teminen Cumhuriyet Başsavcılığına başvurulabileceği hususunda ilgili kişiye bilgi verilmesine
karar verilmiştir.
11. Veri sorumlusu holdingin veri ihlal bildirimi hakkında 02/11/2021 tarihli ve 2021/1110 sayılı Karar Özeti
Kurul tarafından:
- Somut olayda, ihbar dilekçesinin Kurul’a Cumhurbaşkanlığı İletişim Merkezi (CİMER) üzerinden intikal ettiği, ilgili kişinin dilekçesinde kendisine ait herhangi bir verinin bu internet adresinde paylaşıldığını ya da başka bir suretle işlendiğini iddia etmediği, Kanun’un 15’inci maddesinin birinci fıkrasında yer alan “Kurul, şikayet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.” hükmü gereğince Kurulun şikayet veya ihbar üzerine inceleme yapabileceği gibi şikayet veya ihbar olmasa dahi görev alanına giren konularda resen inceleme başlatmasının mümkün olduğu, bir veri ihlali iddiasıyla ilgili olarak Kurulun harekete geçmesi için ihlalden etkilenen ilgili kişilerin Kurula şikayet başvurusunda bulunmasının gerekmediği göz önünde bulundurulduğunda CİMER üzerinden iletilen dilekçenin ihbar niteliğinde kabul edilerek Kurulun konu hakkında inceleme başlatılmasına karar verdiği,
- İncelemeye konu internet adresinin veri sorumlusuna Kurum tarafından bilgi ve belge talebi gönderilmesinden önce incelenmesi neticesinde, internet adresinde ilgili kişilerin isimleri, T.C. kimlik numaraları, adresleri, yakalama kararı çıkartılan araçların plakaları ve modelleri ile icra dosyalarının hangi hukuk bürosu tarafından takip edildiği bilgilerinin yer aldığı ve bu bilgiler arasında araç plakası, şehir ve ilçeye göre arama yapılabildiğinin tespit edildiği, Kurum tarafından gönderilen bilgi ve belge talebi yazısı veri sorumlusuna tebliğ edildikten sonra söz konusu internet adresine ulaşılmaya çalışıldığında ise siteye ulaşılamadığı uyarısı alındığı,
- Veri sorumlusu tarafından İcra ve İflas Kanunu hükümleri çerçevesinde borçlu müşterilerden alacağını tahsil etmek için icra takibi başlatılması, malvarlığı sorgulaması sonucu haciz konulması için kişisel veri işlenmesi Kanun’un 5’inci maddesinin ikinci fıkrasının (a) ve (e) bentlerinde düzenlenen kanunlarda açıkça öngörülme ve bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması hukuki sebeplerine dayanabilirse de bu verilerin herkesin erişimine açık internet ortamında veri sorumlusu tarafından yayımlanmasının herhangi bir veri işleme şartına dayanmadan yapılan hukuka aykırı bir veri işleme faaliyeti olduğu,
değerlendirmelerinden hareketle,
- Söz konusu internet adresinde yer alan kişisel verilerin incelemenin başlatıldığı tarihte herkesin erişimine açık olan internet ortamında veri sorumlusu tarafından yayınlanmasının Kanun’un 5’inci maddesi kapsamında herhangi bir veri işleme şartına dayanmadığı kanaatine varıldığından Kanun’un 12’nci maddesinin (1) numaralı fıkrası kapsamında uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı değerlendirilen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca, ihbara konu internet sitesinde yayınlanmakta olan kişisel verilerin çokluğu ve önemi ile bu verilerin internet ortamında ifşa edilmesi dolayısıyla hukuka aykırı veri işleme faaliyetinin arz ettiği güvenlik riskinin yoğunluğu da dikkate alınarak 200.000 TL idari para cezası uygulanmasına
karar verilmiştir.
12. Bir bankanın veri ihlal bildirimi hakkında 02/11/2021 tarihli ve 2021/1107 sayılı Karar Özeti
Kurul tarafından:
- Somut olayda veri sorumlusunun, banka niteliğini haiz olmakla birlikte 5411 sayılı Kanun’un Ek 1’inci maddesi uyarınca Risk Merkezine üye olma zorunluluğunun bulunduğu ve gerek 5411 sayılı Kanun gerekse Risk Merkezi Yönetmeliği gereğince; Risk Merkezine müşterilerine ait kredi bilgisi, kredi riski vb. bilgileri bildirmesi gerektiği, bu kapsamda ilgili kişiye ait finans verilerinin veri sorumlusu tarafından Risk Merkezine bildirilmesinin Kanun’un 8’inci maddesi anlamında aktarım anlamına gelmekte olduğu ve söz konusu aktarım faaliyetinin Kanun’un 5’inci maddesinde yer alan işleme şartlarından birine dayanması gerektiği,
- Somut olay bakımından, kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması bakımından, veri sorumlusu Banka’nın aktif özen yükümlülüğü altında olduğu, zira, kredi verme, kredi kartı kullanımı, hesap özeti çıkarılması gibi işlemler bakımından banka hesap bilgilerinin güncelliğinin önem arz ettiği,
- Söz konusu verilerin yalnızca veri sorumlusu bünyesinde tutulmadığı ve pek çok kredi ve finans kuruluşunun erişebildiği Risk Merkezine de aktarıldığı, bununla birlikte, veri sorumlusu Banka’nın, Risk Merkezi Yönetmeliğinin 17’nci maddesinin birinci fıkrasının (a) bendi gereğince de; Risk Merkezi tarafından bu Yönetmelik kapsamında talep edilen her türlü bilgi ve belgeyi zamanında, tam ve gerçeğe uygun olarak verme sorumluluğu bulunduğu,
- Somut olay bakımından, Kuruma intikal eden belgeler incelendiğinde, veri sorumlusu Banka tarafından ilgili kişiye cevap verildiği ancak konuyu aydınlatacak ve ilgili kişinin şikâyetini çözümleyecek derecede yeterli bir cevap verilmediği,
- Zira ilgili kişinin farklı zamanlarda veri sorumlusu ile e-posta yoluyla iletişime geçerek Risk Merkezine yanlış aktarılan finans verilerinin düzeltilmesini tekraren talep ettiğinin görüldüğü,
- İlgili kişi tarafından veri sorumlusuna iletilen, sair tarihlerdeki e-postaların tamamının aynı konuya ilişkin olduğu, veri sorumlusu tarafından bu durumun giderilmesine yönelik olarak gerekli sistem geliştirmesinin planlandığı ve 2020 yılı Mayıs ayı içerisinde gerçekleşecek sistem güncellemesi sonrasında aktif hale geleceği ve konu hakkında Kuruma ayrıca bilgi verileceği ve çalışmalar tamamlanıncaya kadar ilgili kişiye ilişkin kayıtların manuel olarak kontrol edilmeye ve gerekirse düzeltilmeye devam edileceği belirtilmiş olup, yazının farklı birçok tarihe ilişkin “Acil Güncelleme Sistemi” ekran görüntülerine yer verildiğinin görüldüğü,
- Söz konusu ekran görüntüleri incelendiğinde; ilgili kişiye ait hesap kaydı detaylarının revize edildiği, veri sorumlusundan alınan yazıda bahsedilen sistem geliştirmelerinin tamamlandığı, yapılan geliştirmenin sonuçlarının titizlikle izlendiği ve bu süreçte, ilgili kişiye ilişkin Risk Merkezi bildirimlerinde düzeltme gerektiren bir hususa rastlanmadığı ve yapılan geliştirmenin başarılı olarak sonuçlandığının teyit edildiğinin belirtildiği, bu kapsamda veri sorumlusu tarafından ilgili kişinin Risk Merkezine yanlış aktarılan kişisel verilerinin düzeltilmesi talebinin veri sorumlusu tarafından yerine getirildiği,
- Öte yandan, her ne kadar ilgili kişinin yanlış işlenen kişisel verileri veri sorumlusu tarafından ilgili kişinin talebi doğrultusunda düzeltilmiş olsa da başlangıçta gerçeğe aykırı olarak işlenen ve Risk Merkezine aktarılan kişisel veriler bakımından hukuka aykırı bir kişisel veri işleme faaliyetinin gerçekleştirildiği, veri sorumlusu tarafından gerek manuel düzeltmeler yapılması gerek sistemsel iyileştirmelere gidilmesi suretiyle ilgili kişinin talebi yerine getirilmiş olsa dahi, ilgili kişinin veri sorumlusunun bir dönem Kredi Kayıt Bürosuna yaptığı hatalı raporlamalar suretiyle kişisel verilerinin yanlış işlendiği dikkate alındığında veri sorumlusunun kişisel verilerin hukuka aykırı işlenmesini önlemek üzere gerekli idari ve teknik tedbirleri almadığının anlaşıldığı,
- Zira, Kanun’un 4’üncü maddesinde düzenlenen genel ilkelere bütün kişisel veri işleme faaliyetleri bakımından riayet edilmesi gerekmekle birlikte, somut olay bakımından veri sorumlusunun işlediği kişisel verilerin doğru ve güncel tutulması bakımından aktif özen yükümlülüğünün bulunduğu,
- Bir kişisel veri işleme faaliyetinin hukuka uygunluk arz edebilmesi için gerek Kanun’un 5’inci ve 6’ncı maddesindeki işleme şartlarından birinin varlığı gerek Kanun’un 4’üncü maddesinde düzenlenen genel ilkelere uygunluğun sağlanması gerektiği, somut olay bakımından da, veri sorumlusu tarafından yanlış işlenen kişisel verilerin Risk Merkezine aktarılması sonucunda ortaya çıkan finansal durumdan ötürü ilgili kişinin mağduriyet yaşadığı ve zarara uğratıldığı
değerlendirmelerinden hareketle,
- İlgili kişiye ait kişisel veri niteliğini haiz kredi notu bilgisinin veri sorumlusu tarafından yanlış işlenmesi ve Risk Merkezine aktarılmasının Kanun’un 4’üncü maddesinde yer alan genel ilkelerden; “doğru ve gerektiğinde güncel olma” ilkesine aykırılık teşkil ettiği dikkate alındığında, Kanun’un 12’nci maddesinin (1)numaralı fıkrasının (a) bendinde bulunan “…Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek…” yükümlülüğüne aykırı davranan veri sorumlusu hakkında;
- Veri sorumlusunun bankacılık sektöründe oldukça büyük bir güce sahip olması,
- Veri sorumlusunun oldukça fazla sayıda müşteri ve potansiyel müşteri ile irtibat halinde olması, çeşitlilik arz eden konulara yönelik iletişim kurabilmesi ve bu konularda ilgili kişiler hakkında işlem tesis edebilmesi,
- Veri sorumlusunun banka niteliğini haiz olması dolayısıyla, işlediği kişisel veriler üzerinden ilgili kişiler hakkında sonuç elde etmesi ve bu sonuçlar doğrultusunda iş ve eylemlerini gerçekleştirmesi nedeniyle işlenen kişisel veriler bakımından doğruluk ve güncelliğin sağlanması adına aktif özen yükümlülüğünün bulunması,
- Veri sorumlusunun işlediği kişisel verileri düzenli ve sistematik olarak Risk Merkezine bildirme yükümlülüğünün bulunması ve bu sisteme bildirilen veriler üzerinden, ilgili kişiler hakkında finansal anlamda önemli sonuçların oluşturulması nedeniyle yanlış bildirilen kişisel verilerin ilgili kişilerin mağduriyetlerine yol açabilmesi
- hususları da göz önünde bulundurularak Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 150.000 TL idari para cezası uygulanmasına,
- İlgili kişi başvurularına Kanun ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’de belirlenen usule uygun ve yeterli bir cevap verilmesi gerektiğinin veri sorumlusuna hatırlatılmasına
karar verilmiştir.
13. Bir bankanın veri ihlal bildirimi hakkında 02/11/2021 tarihli ve 2021/1104 sayılı Karar Özeti
Kurul tarafından:
- Şikâyete konu SMS’lerin gönderildiği döneme ilişkin, yeni tip Covid 19 salgını ile mücadele kapsamında İçişleri Bakanlığı’nın 81 İl Valiliği’ne, büyükşehir statüsündeki 30 il ile Zonguldak’ta 30.04.2020 günü saat 24.00 ile 03.05.2020 günü saat 24.00 arasında sokağa çıkma kısıtlamasının uygulanacağına ilişkin 03.04.2020 tarih ve 6235 sayılı Sokağa Çıkma Kısıtlaması Genelgesini gönderdiği, genelgede bankalar başta olmak üzere yurt çapında yaygın hizmet ağı olan kurum, kuruluş ve işletmelerin bilgi işlem merkezleri ile çalışanlarının asgari sayıda olmak kaydıyla sokağa çıkma kısıtlamasından muaf tutulanlar listesinde belirtildiğinin görüldüğü,
- İlgili kişinin müşterisi olduğu Banka’ya kendisine ait iş ve işlemlerde ulaşılması adına vermiş olduğu telefon numarası bilgisinin, Banka nezdindeki hesaplarını kapatmış olmasına diğer bir ifadeyle pasif hale getirmiş olmasına ve Bankanın da kişisel verilerin saklama amacı dışında işlenmeyeceği yönünde ilgili kişiye cevap vermiş olmasına rağmen, veri sorumlusu tarafından başlangıçta alınan işleme amacından başka bir amaçla SMS göndermek suretiyle ilgili kişinin kişisel verilerini işlemesinin farklı bir işleme amacına hizmet ettiği,
- Diğer taraftan, 5411 sayılı Bankacılık Kanunu’nun 42’nci maddesinde; alınan yazıların ve faaliyetler ile ilgili belgelerin asıllarının veya bunun mümkün olmadığı hallerde sıhhatlerinden şüpheye mahal vermeyecek kopyalarının ve yazılan yazıların makine ile alınmış, tarih ve numara sırası verilerek düzenlenecek suretlerinin, usulleri çerçevesinde ilgili banka nezdinde on yıl süreyle saklanacağının hükme bağlandığı,
- 5411 sayılı Bankacılık Kanunu’nun 42’nci maddesine dayanılarak hazırlanan Bankaların Muhasebe Uygulamalarına ve Belgelerin Saklanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik’in 17’nci maddesinin (1) numaralı fıkrasında ise “Bankaların, müşterilerinden ve resmî ya da özel kurum ve kuruluşlardan aldıkları mektup, telgraf, elektronik posta mesajı, ilam ve tebligatlar ile diğer yazıları ve Bankaların İç Sistemleri Hakkında Yönetmelik uyarınca hazırlayacakları raporlar da dahil olmak üzere, faaliyetleri ile ilgili belgelerin asıllarını veya mümkün olmadığı hallerde sıhhatlerinden şüpheye mahal vermeyecek kopyalarını ve müşterilerine ve resmî ya da özel kurum ve kuruluşlara yazdıkları yazıların makine ile alınmış, tarih ve numara sırası verilerek düzenlenecek suretlerini istenildiğinde ibraz edilebilecek şekilde nezdlerinde on yıl süreyle saklamaları zorunludur.” hükmünün yer aldığı,
- Dolayısıyla veri sorumlusu tarafından ilgili kişinin kişisel verilerinin silindiğine ilişkin herhangi bir beyanda bulunulmadığı, sadece hesapların kapatıldığı ve pazarlama amaçlı olarak kişisel verilerin işlenmeyeceğine yönelik ticari ileti iletilmesine dair tercihlerin hiçbir kanaldan ulaşılmaması yönünde güncellendiği bilgisinin verildiğinin anlaşıldığı,
- Öte yandan veri sorumlusunun sunduğu belgeler ile 5411 sayılı Kanun’un 42’nci maddesinde belirtilen 10 yıl saklama süresi hükmü ve 6698 sayılı Kanun’un 4’üncü maddesinde belirtilen “İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” ilkesinin birlikte değerlendirilmesi neticesinde, ilgili kişinin banka nezdindeki son işleminin 03.08.2019’da gerçekleştirilen aktif ürünlerinin kapatılması işlemi olduğu ve dolayısıyla son işlem tarihi üzerinden 10 yıllık sürenin geçmemiş olduğu dikkate alındığında; ilgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin henüz ortadan kalkmaması sebebiyle silme talebinin veri sorumlusu tarafından yerine getirilmemesinin hukuka aykırı olmadığı
değerlendirmelerinden hareketle,
- İlgili kişinin kişisel verilerinin silinmesi talebi ile ilgili olarak Bankanın kişisel verilerin saklama amacı dışında işlenmeyeceği yönünde ilgili kişiye verdiği cevaba rağmen Banka tarafından bilgilendirme amaçlı SMS göndermek suretiyle ilgili kişinin kişisel verilerini işlemesinin Kanun’un 5’inci maddesinde yer alan herhangi bir işleme şartına dayanmadığı dikkate alındığında, Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 50.000 TL idari para cezası uygulanmasına,
- İlgili kişinin veri sorumlusu banka nezdindeki son işleminin 03.08.2019’da gerçekleştirilen aktif ürünlerinin kapatılması işlemi olduğu ve dolayısıyla son işlem tarihi üzerinden 10 yıllık sürenin geçmemiş olduğu dikkate alındığında; ilgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin henüz ortadan kalkmaması sebebiyle silme talebinin veri sorumlusu tarafından yerine getirilmemesinin hukuka aykırı olmadığı kanısına varıldığından bu hususta 6698 sayılı Kanun kapsamında yapılacak bir işlemin olmadığına
karar verilmiştir.
14. Bir avukatın veri ihlal bildirimi hakkında 21/10/2021 tarihli ve 2021/1069 sayılı Karar Özeti
Kurul tarafından:
- Veri sorumlusunun vekili olduğu Banka adına borçlu tarafın yakınlarına 89/1 haciz ihbarnamesi göndermesinde, Bankanın haklarını ve menfaatlerini korumak amacıyla hareket ettiği, bu anlamda Avukatlık Kanunu’ndan kaynaklanan yükümlülükleri ve yürütmekte olduğu icra işlemleri bakımından İcra İflas Kanunu ve ikincil mevzuat düzenlemelerinden kaynaklanan yükümlülüklerini yerine getirmek amacıyla ilgili birim/mercilere bildirme yetkisi olduğu ve bu bağlamda işlediği kişisel verilerin Kanun’un 5’ inci maddesinin (2) numaralı fıkrası çerçevesinde ilgili kişinin açık rızası olmaksızın işlemesinin kanuna uygun olacağı kanaatine varıldığı
değerlendirmelerden hareketle;
- Bankanın somut olayda veri sorumlusu olmaması nedeniyle Kanun kapsamında hakkında yapılacak bir işlem olmadığına,
- Avukat tarafından vekili olduğu bankanın alacağını tahsil etmek amacı ile yürütmekle yükümlü olduğu işlemlerin tesisi için üçüncü kişilere İcra ve İflas Kanunu’nun 89’uncu maddesinin (1) numaralı fıkrası kapsamında haciz ihbarnamesi gönderilmesi amacıyla ilgili kişinin adı, soyadı, kimlik numarası ve adres bilgisinin işlenmesi Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendinde yer alan “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması hükmü” kapsamında Kanuna uygun olduğu değerlendirildiğinden söz konusu şikâyet ile ilgili olarak veri sorumlusu Avukat hakkında da Kanun kapsamında tesis edilecek bir işlem olmadığına
karar verilmiştir.
15. Bir istihdam platformunun veri ihlal bildirimi hakkında 14/10/2021 tarihli ve 2021/1051 sayılı Karar Özeti
Kurul tarafından:
- Somut olayda, ilgili kişinin kişisel verilerine erişim talebinin yerine getirilmemesi konusundaki iddiasına ilişkin olarak; ilgili kişinin veri sorumlusunun ilk cevabından sonra talebinin karşılanmadığı düşüncesiyle Kurula şikâyette bulunduğu anlaşılmış olmakla birlikte, ilgili kişinin kişisel verilerine erişim talebinin Kurula şikâyette bulunma tarihinden sonra ve Kanun’un 13’üncü maddesinin (2) numaralı fıkrasına uygun şekilde “talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde” sonuçlandırıldığı dolayısıyla ilgili kişi tarafından yapılan iş başvurularına ilişkin bilgi edinme talebinin veri sorumlusunun e-postası ile yerine getirildiği görüldüğünden, ilgili kişinin talebinin karşılanmadığına yönelik şikâyeti hakkında Kanun kapsamında yapılacak bir işlem bulunmadığı,
- İlgili kişinin talebi olmaksızın kişisel verilerinin veri sorumlusu tarafından silineceğinin / imha edileceğinin bildirilmesi hususundaki iddialarına yönelik olarak veri sorumlusunca ilgili kişinin başvurusunda Kanun’un 11’inci maddesinin (1) numaralı fıkrasının tüm bentlerindeki haklarını kullanma talebinde bulunması nedeniyle söz konusu fıkranın (e) bendinde yer alan kişisel verilerinin silinmesi talebinde de bulunduğunun anlaşıldığı fakat ilgili kişinin cevabı üzerine böyle bir talebin olmadığının anlaşılması halinde silme ve imhaya yönelik işlemin derhal durdurulduğu ve ilgili kişiye ilişkin herhangi bir kişisel veri kaybının söz konusu olmadığının belirtildiği görülmüş olup; ilgili kişinin veri sorumlusu nezdindeki kişisel verilerinin silindiği/silineceği iddiasına yönelik veri sorumlusu beyanı aksine bir bilgi veya belgenin ilgili kişi tarafından Kurum’a sunulmaması, ilgili kişinin iş başvurusu bilgilerinin e-posta ile ilgili kişiye iletilmiş olması, ilgili kişinin şikâyet tarihinden sonra da veri sorumlusuna ait platformda iş başvurularına devam ettiği bilgisinin verilmesi ve ilgili kişinin başvurusu ile Kanun’un 11’inci maddesi kapsamındaki tüm haklarını kullanmak istediğini belirtmesi karşısında verilerinin silinmesini de talep ettiğinin anlaşılmasında veri sorumlusuna herhangi bir kusur yüklenemeyeceği değerlendirilerek; ilgili kişinin talebi olmaksızın kişisel verilerinin veri sorumlusu tarafından silineceğinin/ imha edileceğinin bildirilmesine yönelik şikâyeti hakkında Kanun kapsamında yapılacak bir işlem bulunmadığı,
- İlgili kişinin bilgisi ve onayı olmaksızın iş başvuruları ve iş görüşmelerine ilişkin kişisel verilerinin diğer işverenlerle paylaşılması iddialarına ilişkin olarak ilgili kişinin bu iddiaya yönelik şüphenin ötesine geçen herhangi bir tevsik edici bilgi veya belge sunması, veri sorumlusunun ise işverenlerin yalnızca çalışan adaylarının platforma yüklediği bilgileri görebildiğini, işverenlerin kendilerine başvuruda bulunan çalışan adaylarına ilişkin notlarını ve izlenimlerini platforma yükleyebildiği ancak bu durumun tamamen işverenlerin takdirinde olduğu ve işverenlerin çalışan adayları hakkında aldığı notların ve izlenimlerinin diğer işverenler ile paylaşılması gibi bir uygulamanın söz konusu olmadığını beyan etmesi karşısında; ilgili kişinin bu şikâyetiyle ilgili olarak Kanun kapsamında yapılacak bir işlem bulunmadığı
değerlendirmelerinden hareketle;
- İlgili kişinin veri sorumlusunun ilk cevabından sonra talebinin karşılanmadığı düşüncesiyle Kurul’a şikâyette bulunduğu, ilgili kişinin kişisel verilerine erişim talebinin Kurul’a şikâyette bulunma tarihinden sonra ve Kanun’un 13’üncü maddesinin ikinci fıkrasına uygun şekilde “talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde” sonuçlandırıldığı görüldüğünden, ilgili kişinin kişisel verilerine erişim talebinin karşılanmadığına yönelik şikâyeti hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına,
- İlgili kişinin veri sorumlusu nezdindeki kişisel verilerinin silindiği/silineceği iddiasına yönelik veri sorumlusunun beyanı aksine bir bilgi veya belgenin ilgili kişi tarafından Kuruma sunulmaması, ilgili kişinin iş başvurusu bilgilerinin e-posta ile ilgili kişiye iletilmiş olması, ilgili kişinin şikâyet tarihinden sonra da veri sorumlusuna ait platformda iş başvurularına devam ettiği bilgisinin verilmesi ve ilgili kişinin başvurusu ile Kanun’un 11’inci maddesi kapsamındaki tüm haklarını kullanmak istediğini belirtmesi karşısında verilerinin silinmesini de talep ettiğinin anlaşılmasında veri sorumlusuna herhangi bir kusur yüklenemeyeceği değerlendirilerek; ilgili kişinin talebi olmaksızın kişisel verilerinin veri sorumlusu tarafından silineceğinin/imha edileceğinin bildirilmesine yönelik şikâyeti hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına,
- İlgili kişinin bilgisi ve onayı olmaksızın iş başvuruları ve iş görüşmelerine ilişkin kişisel verilerinin diğer işverenlere aktarıldığı iddiasına yönelik şüphenin ötesine geçen herhangi bir tevsik edici bilgi veya belge sunmamış olması, veri sorumlusunun ise işverenlerin yalnızca çalışan adaylarının platforma yüklediği bilgileri görebildiğini, işverenlerin kendilerine başvuruda bulunan çalışan adaylarına ilişkin notlarını ve izlenimlerini platforma yükleyebildiği ancak bu durumun tamamen işverenlerin takdirinde olduğu ve işverenlerin çalışan adayları hakkında aldığı notların ve izlenimlerinin diğer işverenlere aktarılması gibi bir uygulamanın söz konusu olmadığını beyan etmesi karşısında; ilgili kişinin bu şikâyetiyle ilgili olarak Kanun kapsamında yapılacak bir işlem bulunmadığına
karar verilmiştir.