Bu metin Eralp Danışmanlık tarafından Kişisel Verileri Koruma Kurul’ u (KVK) tarafından son yayınlanan karar özetleri çerçevesinde, veri sorumlularının, veri işleyenlerin ve ilgili kişilerin bilgilendirilmesi amacıyla hazırlanmıştır.
“İlgili kişinin telefon numarası bilgisinin farklı veri sorumluları tarafından hukuka aykırı olarak işlenmesi”ne ilişkin Kişisel Verileri Koruma Kurulunun 09/02/2021 tarihli ve 2021/111 sayılı Karar Özeti
Anahtar Kelimeler:GSM Numarası, Yasal Takip Sistemi, veri sorumlusu, genel ilkeler(doğru ve güncel olma)
Özet: İlgili kişinin telefon numarasının ilk Hukuk Bürosu çalışanı tarafından temin edilmesi ve işlenmesine ilişkin olarak, 5/2 dışındaki açık rıza işleme şartlarından herhangi birinin bulunmaması nedeniyle 50.000 TL, doğruluğu ve güncelliğini sağlama noktasında gerekli denetim ve kontroller yapılmaksızın ikinci Avukat ile paylaşılması sebebiyle veri sorumlusu Şirketin gerekli teknik ve idari tedbirleri almadığı dolayısıyla idari ve teknik tedbirlerin alınmamış olması nedeniyle 115.000 TL , YTS sisteminde bulunan telefon numarasının, kişinin yakınına ait olduğu bilgisi mevcut olmasına rağmen veri sorumlusu Avukat tarafından ilgili kişiye SMS göndermek suretiyle Kanunun 5 inci maddesinde yer alan kişisel veri işleme şartlarından herhangi biri söz konusu olmadığı için 50.000 TL para cezasına hükmedilmiştir.
- İlgili kişinin yakınının numarası not şeklinde veri sorumlusu avukat tarafından alınarak dosyaya eklenmiştir. Herhangi bir aydınatlama ve açık rıza yapılmamıştır. Kurul tarafından, aydınlatma yapılmadan yalnızca not şeklinde alınan telefon numarasının işlenebilmesi için kişisel veri işleme şartlarından herhangi birinin bulunmadığına kanaat getirilmiştir.
- İkinci avukatlık bürosu nezdinde ilgili kişinin telefon numarasının 118 hattından yani kamuya açık bilgi sisteminden elde edilmiş olmasına rağmen, bu bilginin doğru ve güncelliği teyit edilmeden kullanılması genel ilkelerden doğru ve güncel olmaya; ilgili kişiye kişisel veri işleme açısından aydınlatma yapılmamasını da kişisel veri işleme şartlarının bulunmaması nedeniyle hukuka aykırı bulmuştur.
“Bir kargo firmasında çalışan ilgili kişinin iş akdinin haksız feshedilmesi sonrası özlük dosyası kapsamında yer alan kişisel verilerinin birer suretinin tarafına verilmesi talebine veri sorumlusu tarafından cevap verilmemesi” hakkında Kişisel Verileri Koruma Kurulunun 28/05/2020 tarihli ve 2020/435 sayılı Karar Özeti
Anahtar kelimeler: Özlük Dosyası, AY.20, KVKK 4,11,13
Karar Özet: İlgili kişinin başvurusunun, Kanunda düzenlenen haklara ilişkin olmadığı ve başvurunun Kanunda düzenlenmeyen bir konu olan belge örneği talebi içerdiği için Kanunun 11 inci maddesi kapsamında karşılanmasının mümkün olmadığı gerekçesiyle veri sorumlusu tarafından 30 günlük yasal süre içerisinde cevaplandırılmadığı dikkate alındığında, ilgili kişiye ait kişisel veri niteliğindeki bilgilerini içeren 30.09.2019 tarihli savunma yazısı ile 18.10.2019 tarihli ve 17.10.2019 tarihli istifa dilekçelerinin birer örneğinin ilgili kişiye verilmesi hususunda Kanunun 15 inci maddesinin (5) numaralı fıkrası kapsamında veri sorumlusunun talimatlandırılmasına karar verilmiştir.
Bu karardan hareketle;
- Veri sorumlusunun ilgili kişiden aldığı yazılı savunma ve istifa dilekçelerinin içerik itibariyle kişiye ilişkin bilgiler içerdiği ve bu bilgilerin ilgili kişiyi belirli veya belirlenebilir kıldığı bu nedenle bu bilgilerin kişisel veri niteliğinde olduğu sonucuna varıldığı görülmektedir.
- Şikayet başvurusunda bulunan kişinin ilgili kişi, kargo firmasının veri sorumlusu, ilgili kişiye ait istifa dilekçesinin özlük dosyası kapsamında muhafaza edilmesinin ise veri işleme faaliyeti olduğu görülmektedir.
- Veri Sorumlularına yapılan ilgili kişi başvurularının cevaplandırılması için yasal süre 30 gün olduğuna dikkat çekilmelidir.
“Hakkında hüküm verildiği suçtan dolayı cezası infaz edilen ilgili kişiye ait haberin yayımlandığı gazetenin internet sitesinden kaldırılması talebi” hakkında Kişisel Verileri Koruma Kurulunun 22/05/2020 tarihli ve 2020/414 sayılı Karar Özeti
Anahtar Kelimeler:İfade Özgürlüğü, Hukuka uygunluk, kamunun haber alma hakkı,erişimin engellenmesi, denge testi, özel nitelikli kişisel veriler.
Özet: İlgili kişinin kendisine ilişkin verinin söz konusu habere konu edilerek yayımlanmasında hâlihazırda kamu yararı bulunduğu ve bu itibarla çatışan haklar bakımından ifade özgürlüğünün kişilik haklarına üstün geldiği sonucuna varıldığı ve söz konusu başvurunun Kanunun 28 inci maddesinin birinci fıkrasının (c) bendi çerçevesinde değerlendirilmesi nedeniyle ilgili kişinin şikayeti ile ilgili olarak Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.
- Kişinin hakkında verilen ceza ile ilgili haberin hala güncel olması (10 yıl),
- Haberin verilişinde haberin özü ile biçimi arasında denge bulunması nedenleriyle kamu yararının devam ettiği gerekçesi gösterilmiştir.
“İlgili kişinin tahlil sonuçlarının veri sorumlusu hastane tarafından hukuka aykırı şekilde üçüncü kişilere aktarılması” hakkında Kişisel Verileri Koruma Kurulunun 20/05/2020 tarihli ve 2020/407 sayılı Karar Özeti
Anahtar kelimeler: Sağlık verisi, Özel Nitelikli Kişisel Veriler, Sır Saklama Yükümlülüğü,
Özet: Veri sorumlusu Hastane tarafından, ilgili kişinin özel nitelikli kişisel verisinin 6698 sayılı Kanunun 8 inci maddesinde belirtilen ilgili kişinin açık rızası ya da 6 ncı maddede düzenlenen işleme şartlarından biri olmadığı halde üçüncü kişilere aktarılmak suretiyle hukuka aykırı olarak işlenmesi sebebiyle, Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin birinci fıkrasına yönelik yükümlülüğünü yerine getirmediği kanaatine varılan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına karar verilmiştir.
- İlgili kişinin veri sorumlusu Hastanede bulunan tahlil sonuçlarının sağlığa ilişkin özel nitelikli kişisel veridir.
- Doktor, Hastaneden bağımsız şekilde çalışan ve ayrı bir gerçek kişi veri sorumlusu olarak değerlendirilmiştir.
- Olaya konu tahlil sonuçlarının üçüncü bir taraf olarak, asistanına mail atılmak suretiyle aktarılmasında Kanunun 8 inci maddesi kapsamında herhangi bir hukuki dayanak söz konusu olmadığından ve veri sorumlusu Hastane tarafından da söz konusu aktarımın sehven yapıldığının beyan edilmiş olmasından hareketle ilgili kişinin kişisel verilerinin hukuka aykırı olarak aktarıldığı kanaatine varıldığı görülmektedir.
“İşverenin, işçisine ait kişisel verileri ve özel nitelikli kişisel verileri; aydınlatma yükümlülüğünü yerine getirmeden ve hukuka aykırı işlemesi” hakkında Kişisel Verileri Koruma Kurulunun 20/05/2020 tarihli ve 2020/404 sayılı Karar Özeti
Anahtar Kelimeler: Biyometrik veri,orantılılık, ölçülülük,
Özet: Aydınlatma yükümlülüğünü yerine getirmediği kanaatine varıldığından veri sorumlusu hakkında Kanunun 18 inci maddesinin birinci fıkrasının (a) bendi uyarınca 50.000 TL idari para cezası uygulanmasına,
Veri sorumlusunun çalışanlarının ve yakınlarının açık rızaları olmaksızın kişisel verilerini ve özel nitelikli kişisel verilerini işlediği, işlediği özel nitelikli kişisel veriler bakımından Kanunun 4 üncü maddesinde yer alan genel ilkelerden ölçülülük ilkesine aykırı hareket ettiği ve bu verileri yine çalışanlarının açık rızası olmaksızın yurtiçi ve /veya yurtdışına aktardığı görüldüğünden, Kanunun 12 nci maddesinin birinci fıkrasında yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ile kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı hareket ettiği kanaatine varılan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 200.000 TL idari para cezası uygulanmasına karar verilmiştir.
-
- Biyometrik verilerin hash yöntemi ile saklandıklarında biyometrik veri olma niteliklerini kaybetmedikleri, bu bakımdan açık rızanın bulunmadığı hallerde biyometrik verilerin ancak Kanunun 6 ncı maddesinde öngörülen kanunlarda öngörülme şartı doğrultusunda işlenebileceği görülmektedir. Bununla birlikte söz konusu verinin işlenme amacının da Kanunun genel ilkeleri arasında yer alan “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine de aykırı olduğu anlaşılmaktadır.
- Örneğin fiziksel mekan güvenliğinin sağlanabilmesi için giriş esnasında manyetik kart sistemi, RFID etiketi, cep telefonuna gönderilecek bir SMS’in sisteme girilmesi gibi alternatif yollar ile sağlanması mümkünken çalışanların biyometrik veri niteliğindeki parmak izi verisinin alınmasının Kanunun 4 üncü maddesinin “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi ile bağdaşmadığı, bu çerçevede “acil durum yönetimi sürecinin yürütülmesi, fiziksel mekan güvenliği ve yetkili kurum ve kuruluşlara bilgi verilmesi amaçları”nın farklı yollarla da hasıl olması mümkünken söz konusu veri işleme faaliyeti ile orantısız bir veri işleme yapıldığının değerlendirildiği görülmektedir.
- İşlenen kişisel verilerin aktarıldığı üçüncü kişiler arasında “Bu bölümde sayılan şirketlerin yerini alabilecek diğer şirketler” benzeri ifadelerin yer alması halinde, işlenecek kişisel verilerin tam olarak nereye aktarılacağının rıza verecek ilgili kişi tarafından tam olarak bilinemeyebileceğinden, bu şekilde verilen rızanın açık rıza olarak değerlendirilmesinin mümkün olmayacağı görülmektedir.
“İlgili kişinin, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili özel nitelikli kişisel verilerinin özlük dosyasından çıkarılması talebi” hakkında Kişisel Verileri Koruma Kurulunun 20/05/2020 tarihli ve 2020/396 sayılı Kararı
Anahtar kelimeler: Adli sicil kaydı, saklama süresi, özlük dosyası
Özet: Şikâyete konu kişisel verinin özel nitelikli kişisel veri olduğu ve ilgili kişinin söz konusu mahkeme kararlarının özlük dosyasında yer almasına ilişkin hâlihazırda açık rızasının bulunmadığı; bununla birlikte, Kanun bakımından söz konusu kişisel verinin işlenmesine ilişkin “kanunilik” unsurunun öğretide ifade edilen “maddi kanun” olarak değerlendirilmesi gerektiği kanaatine varıldığından DPB’nin Kurum görüş talebine verdiği cevap ve 2 Seri No’lu Kamu Personeli Genel Tebliği hükümleri uyarınca mer’i mevzuat bakımından sözü edilen kararların özlük dosyasından çıkarılmasına yer olmadığına karar verilmiştir.
“Bir tıp merkezinin internet sitesinde video tanıtım bölümü içerisinde görsel ve işitsel kişisel verileri işlenen ilgili kişinin başvurusuna veri sorumlusu tıp merkezi tarafından cevap verilmemesi” hakkında Kişisel Verileri Koruma Kurulunun 14/05/2020 tarihli ve 2020/379 sayılı Karar Özeti
Anahtar Kelimeler: kişisel verilerin işlenme sebepleri,İlgili kişisin silme talebi,
Özet: Kanunun 11 inci maddesi uyarınca, ilgili kişinin tüm kişisel verilerinin silinmesi veya yok edilmesi talebinin, işlenmesini gerektiren sebep ortadan kalktığı halde; Kanunun 7 nci maddesinin (1) numaralı fıkrası gereği veri sorumlusu tarafından yerine getirilmediği, kişinin silme talebinin üzerinden makul süre geçmesine rağmen söz konusu kişisel veri işleme faaliyetine Kanunun 5 inci maddesinde yer alan şartlarından herhangi birine dayanmaksızın devam edildiği, bu durumun ise Kanuna aykırılık teşkil ettiği, bu kapsamda Kanunun 12 nci maddesinin (1) numaralı fıkrası hükümleri gereğince, kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 75.000 TL idari para cezası uygulanmasına karar verilmiştir.
“İlgili kişinin kendisine iletilmesi gereken cevap yazısının veri sorumlusu tarafından resmi yazı şeklinde, çalıştığı birime gönderilmesi” hakkında Kişisel Verileri Koruma Kurulunun 05/05/2020 tarihli ve 2020/336 sayılı Karar Özeti
Anahtar Kelimeler: Bilgi edinme hakkı, kişisel verilerin işlenmesinde uygun güvenlik düzeyinin temini
Özet:Veri sorumlusunun Kanunun 13 üncü maddesi kapsamında kendisine yapılan başvuruya cevap vermemesinin Tebliğin 6 ncı maddesinde yer alan başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırma yükümlülüğüne aykırı olduğu ve azami dikkat ve özenin gösterilmediği,
Başvuruya konu olayda ilgili kişinin Bilgi Edinme Hakkı Kanunu kapsamında veri sorumlusuna başvurusuna verilen yanıtın, ilgili kişinin çalıştığı birime gönderilmesi suretiyle kişisel verilerinin açıklanmasında Kanunun 5 inci maddesi kapsamında herhangi bir hukuki dayanak söz konusu olmadığından veri sorumlusu tarafından Kanunun 12 inci maddesinin (1) numaralı fıkrası kapsamında kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerin alınmadığı kanaatine varıldığı görülmektedir.
“İlgili kişinin araç kiralama hizmeti alması esnasında kişisel verilerinin işlenmesine dair açık rıza vermemesi üzerine kiralama hizmetinden yararlandırılmaması”na ilişkin Kişisel Verileri Koruma Kurulu’nun 05/05/2020 tarihli ve 2020/335 sayılı Karar Özeti
Anahtar Kelimeler: Araç Kiralama, Kimlik Bildirme Kanunu, Hizmet Şartı, Açık rıza
Özet:Somut olayda Veri sorumlusu şirket, sunduğu araç kiralama hizmeti için müşterileriyle imzaladığı sözleşmede işlemesi kanunen zorunlu kişisel veriler hakkında müşterilerine yaptığı aydınlatma metninde muğlak bir ifadelere yer vermiştir. Metinde yer alan yer alan kişisel veri grupları, işlemenin ve aktarımların hukuki sebeplerinin uygun şekilde belirtilmemesi nedeniyle veri sorumlusunun “kanunlarda öngörülmesi hukuki sebebi”ne dayanabileceği kişisel verilerin açık rıza şartına bağlamıştır. Bu nedenle veri sorumlusunun sunduğu hizmet açık rıza şartına bağlanmış hale gelmiştir. Bu nedenle de hukuka aykırılığa sebep olmuştur.
Kurul, hizmetin ifası için gerekli olmamasına rağmen kişisel verilerin talep edilmesi ve açık rıza verilmemesi durumunda da kişilere hizmet verilmediği görülen olayda; hukuka aykırı veri işleme faaliyetinin söz konusu olduğu yönünde kararıyla Kanunun 18 inci maddesinin birinci fıkrasının (b) bendi uyarınca 50.000 TL idari para cezası uygulanmasına karar verilmiştir.
Şirket Tarafından;
- 1174 sayılı Kimlik Bildirme Kanunu Ek Madde 3’e göre araç kiralama şirketlerinin yasal yükümlülükleri arasında “Araç kiralama şirketlerinin sorumlu işleticileri ve yöneticileri, kiralanan araç bilgileri ile aracı kiralayanların kimlik bilgileri ve kira sözleşmesi kayıtlarını usulüne uygun şekilde günü gününe tutmak ve bu kapsamda mevcut bilgi, belge ve kayıtları genel kolluk kuvvetlerinin her an incelemelerine hazır bulundurmak zorundadırlar. Ancak araç kiralayanın kamu kurum veya kuruluşu olması hâlinde sadece kamu kurum veya kuruluşuyla yapılan sözleşme ile araç bilgileri sisteme kaydedilir. Araç kiralama esnasında gerçeğe aykırı kimlik kullananlar ile birinci fıkra kapsamında elde edilen bilgi ve kayıtları, hukuka aykırı olarak kullanan, bir başkasına veren, yayan veya ele geçiren kişi, 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanunu hükümlerine göre cezalandırılır. Birinci fıkrada belirtilen yükümlülüklere aykırı hareket edenlere beş bin Türk Lirası, gerçeğe aykırı kayıt tutan veya bilgi verenlere on bin Türk Lirası idari para cezası, mülki idare amirlerince verilir. Bu Kanuna göre verilen idari para cezaları tebliğinden itibaren 1 ay içinde ödenir. İşlenen bir suçun gizlenmesi amacıyla bilgilerin yok edilmesi hâlinde işletme ruhsatı iptal edilir. Bu fıkraya göre idari yaptırımların uygulanması ceza soruşturması ve kovuşturması yapılmasına engel değildir.” olduğu görülmektedir.
Bu maddeye aykırı hareket edenler, araç kiralamalarını sisteme girmeyen, istendiğinde bilgileri paylaşmayanlar hakkında cezai yaptırımlar öngörüldüğü, buna göre bu bilgilerin araç kiralama şirketi olarak alınmasının zorunlu olduğu, bu bilgilerin bilişim sisteminde arşivlenmesi maksadıyla yüklüce masraf ve gider yapıldığı, ayrıca bunlara veri paylaşım izni verilmediği takdirde fiilen araç kiralaması yapılmasının mümkün olmayacağı açıktır.
-
Şirketin müşteriler ile imzaladığı sözleşmelerden kaynaklanan ilişkilerden doğan kanuni zorunlulukları uyarınca bu evrakları saklama ve yargı makamlarınca celbi talep edildiğinde ibraz etme yükümlülüğünün bulunmasına
-
Şirketin bu şekilde kanuni zorunlulukları bulunması nedeniyle şirketin veri işleyen sıfatını haiz olduğu kiralama hizmetine ilişkin kişisel verileri temin etmesi ve saklaması gerektiği sebepleri sunulmasına rağmen Kurul;
İlgili kişinin başvurusunun ekinde yer alan ve veri sorumlusu tarafından imzalatılmak istenen yazının;
“… olarak Kişisel verilerin korunması mevzuatına uygun hareket edebilmemizi teminen size hizmet sağlayabilme ve hizmetlerimizi geliştirebilme doğrultusunda yürüttüğümüz operasyonlarımız kapsamında mevzuatın istisna kıldığı haller haricinde kişisel verilerinizin işlenmesi ve aktarılması hususunda açık rızanızı almamız gerekmektedir.
… Kişisel verilerinizin yasa gereği sözleşmenin ifası için gerektiği ölçüde işlenmesi ve aktarılması halleri haricinde, işbu onayınız ile Şirketimize vereceğiniz kişisel verilerinizin yukarıda belirtilen bilgiler kapsamında işleneceğine, yurtiçi ve yurtdışındaki üçüncü kişilere aktarılacağına rıza göstermektesiniz. ”
şeklinde olması nedeniyle; Kanunun 5 inci maddesinin ikinci fıkrasının söz konusu olmadığı diğer hallerde açık rıza alınması yoluna gidilmesi yolunun seçildiğine kanaat getirmiştir.
Bu nedenle şikayete konu olayda da açık rıza verilmemesi halinde hizmetten yararlandırılmadığı dolayısıyla hizmetin açık rıza şartına dayandırıldığının anlaşıldığı görülmektedir.”
Sonuç:
Bu anlamda açık rızanın özgür irade ile açıklanması için;
- Olayda açık rıza alınmasına gerek olmayan kişisel veriler söz konusu olmasına rağmen, hukuki sebep ve amaçları ayrılmadan topluca açık rızaya dahil edilmiştir. Şirket açık rıza ile hem kendini hem de müşterisine sunacağı hizmeti bağlamıştır.
- İlgili kişinin açık rızasının alınmasının bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmemesi gerekir.
- Öyle ki; Kişisel verilerin veri sorumlusu tarafından Kanunun 5/2 maddesi kapsamında işlendiği haller haricinde kişisel verilerin işlenmesi ve yurtdışına aktarımın sağlanması amacıyla açık rıza almasının ayrıca açık rızanın hizmetin dolayısıyla sözleşmenin bir koşulu olarak dayatılması olduğuna karar verilmiştir.
- Kişisel veri işleme şartlarının varlığı söz konusu iken açık rıza alınması, ilgili kişinin yanıltılması ve yanlış yönlendirilmesi kabul edilmektedir. Dolayısıyla veri sorumlusunca hakkın kötüye kullanılması anlamına da geldiği hakkında görüş belirterek ilgili cezaya hükmetmiştir.
Diğer Kurul Kararları Hakkında: