KİŞİSEL VERİLERİ KORUMA KURUMU TARAFINDAN 02.03.2021 TARİHİNDE YAYINLANAN KURUL KARAR ÖZETLERİ

1. Veri sorumlusu havayolu şirketi bünyesindeki çalışanın ilgili kişiye ait kişisel verileri 6698 sayılı Kişisel Verilerin Korunması Kanununa aykırı şekilde şirket kayıtlarından elde etmesi hakkında 13/02/2020 tarihli ve 2020/124 sayılı Karar Özeti

İlgili kişi tarafından Kurum’a iletilen şikayette; veri sorumlusu olan bir havayolu şirketinin çalışanın ilgili kişiye ait uçuş bilgilerini şirket kayıtlarından elde ettiği, ilgili kişinin her uçuş sonrası aranarak rahatsız edilmesi üzerine veri sorumlusuna başvuruda bulunduğu; başvuru üzerine veri sorumlusu tarafından çalışanın kişisel verileri elde ettiğinin tespit edildiğinin, fakat çalışan hakkında bir işlem yapılmadığının belirtilmesi ve aramaların devam etmesi üzerine, veri sorumlusu tarafından verilen cevabın ve alınan aksiyonların yetersiz kaldığı ifade edilerek olayın 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında incelenmesi talep edilmiştir. İlgili kişi şikayet ekinde veri sorumlusunun çalışanları ile gerçekleştirdiği kişisel telefonuna ait whatsapp konuşma görüntüleri, telefon çağrı geçmişi kayıtları ve PNR bilgilerini de sunmuştur.

Kurul yapmış olduğu inceleme sonucunda; (i) dilekçe ekinde yer verilen Whatsapp konuşma ve telefon çağrı geçmişi görüntülerinin veri sorumlusu çalışanlarına ait olup olmadığı konusunda herhangi bilginin bulunmadığı ve ayrıca veri sorumlusunun soruşturma raporuna göre kişisel verileri elde eden çalışanın bu iddiaları kabul etmediği göz önünde bulundurarak ilgili kişinin telefonunda yer alan kişisel telefon kayıtlarının tevsik edici belge olarak değerlendirilemeyeceği, (ii) çalışanın erişim yetkisinin görev tanımı gereği ve 2920 sayılı Türk Sivil Havacılık Kanununun 40 ıncı maddesinin dördüncü fıkrasında yer alan “Havayolu ile seyahat edecek kişilerin bilgileri kişilerin seyahatini kolaylaştırmak veya güvenlik ve risk değerlendirmesi yapmak amacıyla Kanun çerçevesinde toplanabilir, kaydedilebilir, işlenebilir, paylaşılabilir, havacılık güvenliği ve emniyetini sağlamak üzere değerlendirilerek gereken tedbirler alınabilir” hükmü doğrultusunda tanımlandığı ancak çalışanın yetkisini kötüye kullandığı (iii) çalışanın görev tanımını aşan düzeyde PNR sorgulaması gerçekleştirdiği, veri sorumlusunun PNR sorgulama sayısına bir sınırlama getirmediği veya gözetim mekanizması geliştirmemiş olduğunun anlaşıldığı, veri sorumlusu tarafından her ne kadar log kayıtları tutuluyor olsa da, bu kayıtlarda sıra dışı aktivitelerin gözlemlenebilir olması ve bu kayıtların analiz edilmesi ile kişisel verilerin hukuka aykırı işlenmesinin ve erişilmesinin tespitinin önem arz ettiği, (iv) her ne kadar çalışanlar eğitime tabi tutulmuş olsa da olay öncesinde eğitimlerin seyrek düzenlenmiş olduğu, (v) Kanun’un 17 nci maddesi (1) numaralı fıkrası uyarınca ise kişisel verilere ilişkin suçlar bakımından 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümlerinin çalışana uygulandığı bu kapsamda yürütülmekte olan bir soruşturmanın bulunması sebebiyle 5271 sayılı Ceza Muhakemesi Kanununun 158 inci maddesi hükmü uyarınca konunun Cumhuriyet Başsavcılığına bildirilmesine gerek olmadığı ifade edilerek veri sorumlusu tarafından kişisel verilere erişim ile ilgili sınırlama getirilmemesi ve çalışanlara verilen eğitimin yetersiz olması sebebiyle Kanunun 12 nci maddesinde yer alan veri güvenliğinin sağlanmasına yönelik gerekli idari ve teknik tedbirlerin alınmadığı değerlendirilerek veri sorumlusu hakkında 100.000 TL idari para cezası uygulanmasına karar vermiştir.

2. Veri sorumlusu işveren tarafından, iş sözleşmesi tek taraflı olarak feshedilen ve işe iade davası açan ilgili kişiye ait özlük dosyasında yer alan sağlık raporunun dava savunmasında kullanılmak suretiyle mahkemeye sunulması hakkında 18/02/2020 tarihli ve 2020/138 sayılı Karar Özeti

İlgili kişi tarafından gerçekleştirilen şikayette, iş akdinin tek taraflı feshi nedeniyle veri sorumlusu işveren hakkında açtığı işe iade davasında, dava içeriği ile ilgili olmamasına rağmen özlük dosyasında yer alan kendisine ait özel nitelikli kişisel verilerinin mahkemenin talebi olmadığı hâlde dava dosyasına sunulduğu ve özlük dosyasında yer alan sağlık raporlarının davaya konu edilmesinin kişilik haklarının ihlal edilmesine sebebiyet verdiğini belirterek Kanun kapsamında Kurum’dan veri sorumlusu hakkında gerekli işlemlerin tesis edilmesi talep edilmiştir.

Kurul yapmış olduğu inceleme sonucunda; (i) 4857 sayılı İş Kanununun işçi özlük dosyası başlıklı 75 inci maddesine göre; işverenin çalıştırdığı her işçi için bir özlük dosyası düzenlediği, ancak sağlık raporlarının işçiye ait özlük dosyasının içerisinde yer alıp alamayacağı hususuna ilişkin ise gerek 4857 sayılı İş Kanununda gerekse 6331 sayılı İş Sağlığı ve Güvenliği Kanununda özel bir hüküm bulunmadığı, (ii) 6100 sayılı Hukuk Muhakemeleri Kanununun 219 uncu maddesinin 1 inci fıkrası uyarınca, tarafların, kendilerinin veya karşı tarafın delil olarak dayandıkları ve ellerinde bulunan tüm belgeleri mahkemeye ibraz etmek zorunda olduğu; (iii) 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun “İncelenemeyecek Dilekçeler” başlıklı 6 ncı maddesinde, Türkiye Büyük Millet Meclisine veya yetkili makamlara verilen veya gönderilen dilekçelerden yargı mercilerinin görevine giren konularla ilgili olanların incelenemeyeceğinin hüküm altına alındığı ve (iv) şikayete konu olayda mahkemenin davaya ilişkin olarak yazmış olduğu müzekkerede davalı veri sorumlusundan davacı ilgili kişiye ait özlük dosyasının tüm içeriğinin tasdikli bir suretinin gönderilmesini istediğinin görüldüğü değerlendirilerek Kanun’un 28 inci maddesinin (1) numaralı fıkrasının (d) bendinde yer alan “Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi” hükmü kapsamında tesis edilecek bir işlem bulunmadığına karar vermiştir.

3. Veri sorumlusu tarafından ilgili kişilerin kişisel verilerinin hukuka aykırı şekilde internet gazetesi üzerinden yayımlanması hakkında 18/02/2020 tarihli ve 2020/145 sayılı Karar Özeti

Kurum’a iletilen şikayet kapsamında, bir internet gazetesi üzerinde asılsız ve gerçeğe aykırı beyanlarda bulunulduğu, ilgili kişilerin yönetim kurulu üyesi olduğu şirket tarafından noter aracılığı ile veri sorumlusuna tekzip ihtarnamesinin gönderildiği, veri sorumlusunun ilgili kişiler tarafından gönderilen ihtarnamenin fotoğrafını çekmek suretiyle yeni bir haber şeklinde olduğu gibi yayımladığı, ilgili ihtarnamenin sonunda ilgili kişilerin T.C. kimlik numaralarının, nüfus kayıt bilgilerinin, anne-baba isimlerinin ve adres bilgilerinin yer aldığı, ilgili ihtarnamenin herhangi güvenlik tedbiri uygulanmaksızın haberin içinde 10 gün boyunca yayımlanması nedeniyle ilgili kişilerin güvenliklerinin tehlikeye düşürülmesine sebebiyet veren veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Kurul yapmış olduğu inceleme sonucunda; veri sorumlusunun bahse konu olan tekzip ihtarnamesini yayımlamasının, 5187 sayılı Basın Kanununun 14 üncü maddesinde yer alan yükümlülüğünü yerine getirmek amacıyla Kanunun 5 inci maddesinin 2 numaralı fıkrasının (ç) bendinde yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması” hükmü doğrultusunda hukuka uygun olduğu, ancak ilgili ihtarnamenin kişisel verilere ilişkin bölümünü herhangi bir güvenlik önlemi almaksızın olduğu gibi yayımlanmasının, daha sonra bu bölüm internet sitesinden kaldırılmış olsa dahi Kanunun genel ilkeler başlıklı 4 üncü maddesinde düzenlenen “amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi ile bağdaşmadığı göz önünde bulundurulduğunda bu durumun veri sorumlusu tarafından kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerin alınmadığına işaret ettiğini belirterek Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendinde öngörülen yükümlülüğünü yerine getirmediği sonucuna varılan veri sorumlusu hakkında 55.000 TL idari para cezası verilmesine karar vermiştir.

4. İlgili kişinin kullanımına izin vermediği kredi kartı bilgilerinin veri sorumlusu araç kiralama şirketi tarafından kullanılması hakkında 27/02/2020 tarihli ve 2020/166 sayılı Karar Özeti

Kuruma iletmiş olduğu şikayetinde ilgili kişi; veri sorumlusu araç kiralama şirketi arasında imzalanan araç kiralama sözleşmesi kapsamında 1 günlük süreyle araç kiraladığını ve veri sorumlusu ile arasındaki sözleşme uyarınca araç kiralama bedeli ve provizyonun çekilmesi için ...22 ile biten kredi kartının kullanımına onay verdiğini, kiralama süresi içerisinde 1 kez HGS kullandığını ve kiralama süresi sona erdiğinde aracı teslim ettikten sonra telefonuna gelen SMS ile söz konusu HGS bedelinin …67 ile biten başka bir kredi kartından tahsil edilmeye çalışıldığını fark ettiğini, bunun üzerine müşteri temsilcisini aradığında “araç kira bedeli ödemesi hangi kredi kartı ile yapılmış ise HGS bedelinin de aynı kredi kartından yapılması gerektiği” bilgisini edindiği, yaşadığı olay ile ilgili olarak kişisel veri güvenliğinin ihlal edildiği gerekçesi ile veri sorumlusuna başvurmuşsa da kendisine son yazışma tarihinden itibaren hiçbir geri dönüş yapılmadığını, bu durumun 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 13 üncü maddesine aykırılık teşkil ettiğini belirterek araç kiralama şirketi hakkında gerekli yaptırımın uygulanarak kendisine bilgi verilmesini talep etmiştir.

Kurul yapmış olduğu inceleme sonucunda;

(i)İlgili kişinin veri sorumlusu ile daha önce yaptığı araç kiralama sözleşmesi kapsamında kullanımına onay verdiği kredi kartı bilgilerinin; veri sorumlusu tarafından daha sonra gerçekleştirilmesi düşünülen amaçlar doğrultusunda kullanılmak üzere sistemde saklanmasında ilgili kişinin tüketici olması sebebiyle menfaatlerin yarışabilir olmadığı ve;

(ii) Tüketici Sözleşmelerindeki Haksız Şartlar Hakkında Yönetmelik uyarınca haksız şart niteliği gösteren “kiracı tarafından bildirilen kredi kartından tahsilat yapılamadığı durumlarda; kiracının kiralayan ile yapmış olduğu başkaca araç kiralama sözleşmelerinde bildirdiği kredi kartı ve/veya nakit hesaplarından, kiralayanın tahsil etme hakkı saklıdır” sözleşme hükmüne dayanmak suretiyle kredi kartının saklanmasının ve kullanılmasının somut olayda kişinin makul beklentisine ve çıkarına aykırı olumsuz bir durum oluşturduğu dolayısıyla söz konusu veri işleme faaliyetinin “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” kişisel veri işleme şartına dayandırılmasının uygun olmadığı;

(iii) İlgili kişinin kartının bu şekilde haklı bir gerekçe olmaksızın kullanılmasının Kanun’un “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesinde yer alan şartlardan herhangi birine dayandırılamayacağı ve dolayısıyla hukuka aykırı bir veri işleme faaliyetinin mevcut olduğu ve;

(iv) Söz konusu sözleşme maddesine dayanılarak veri işlenmesinin Kanunun “Genel ilkeler” başlıklı 4’ üncü maddesi uyarınca “hukuka ve dürüstlük kurallarına uygun olma” ilkesine aykırılık teşkil ettiği ve de;

(v) Kredi kartı bilgilerinin kiralama süreci sonrasında araç tesliminin gerçekleşmesi ve bütün bedellerin tahsil edilmesiyle birlikte sözleşmenin sona ermesi, veri işleme amacının ortadan kalkması ve mevcutta olmayan ve sonradan gerçekleşmesi düşünülen amaçlarla işlenmeye devam edilmesinin Kanun’un Genel ilkeler” başlıklı 4’ üncü maddesi uyarınca “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine de aykırılık teşkil ettiği kanaatine varılarak

Şikayetçinin hem ilgili kişi hem de tüketici sıfatıyla güçsüz konumda olduğu da göz önünde bulundurularak veri sorumlusunun Kanunun 12’nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülüklerini yerine getirmemiş olması nedeniyle veri sorumlusu hakkında 75.000 TL idari para cezası uygulanmasına karar vermiştir.

5. İlgili kişinin cep telefonunun özel bir hastane tarafından izinsiz aranması hakkında 27/02/2020 tarih ve 2020/172 sayılı Karar Özeti

Kurum’a intikal eden şikayet kapsamında; ilgili kişi hastane olarak faaliyet gösteren veri sorumlusu tarafından şahsına ait cep telefonunun hastane adına bir şahsın aradığını ve hastanenin reklamını yapmaya çalıştığını, ilgili kişinin bu durumdan rahatsız olması sebebiyle, hastanenin e-posta adresine yazılı olarak başvurarak Kanun’a dayanarak bilgi talep ettiğini, ancak konu ile alakalı olarak verilen cevabı yeterli bulmayarak Kanun kapsamında gereğinin yapılmasını talep etmiştir.

Kurul tarafından yapılan incelemede; öncelikle şikâyete konu Hastane ile bir Firma arasında üçüncü kişilere checkup hizmetinin pazarlanması ve satışı ile ilgili olarak bir sözleşme imzalanmış olduğu ve ilgili kişinin aslen bu firma tarafından aranmış olduğu tespit edilerek ilgili kişinin aranmasına ilişkin olarak sorumluluğun kimde olduğunun tespit edilmesi amacıyla bu sözleşme incelenmiştir. İnceleme kapsamında (i) Firmanın Hastane adına hareket ederek hem hastanenin eski müşterilerine hem de kendi bulduğu müşterilere checkup panelini pazarlayan bir çağrı merkezi olduğu; (ii) sözleşmede Firmanın satış esnasında kanundan ya da sözleşmeden kaynaklı yükümlülüklere riayet etmemesi sebebiyle doğacak tüm zararlar nedeniyle Hastanenin Firmaya rücu hakkına sahip olduğu hükmünün bulunduğu ve bu anlamda Hastanenin checkup hizmetinin pazarlanması ve satışı için Firmaya yetki verdiği; (iii) yeni müşterilerin nereden bulunacağı ve bu müşterilere ürünlerin hangi yollarla pazarlanacağına ilişkin karar verme yetkisinin Firmaya bırakılması sebebi ile Hastanenin checkup panelinin Hastanenin kayıtlarında bulunan müşterilerine pazarlanmasına yönelik kişisel veri işlenmesinde Firma veri işleyen olarak değerlendirilirken; Hastane kayıtlarında bulunmayan ancak Firmanın kendisi tarafından bulunan yeni müşterilerin pazarlama amacıyla aranarak kişisel verilerinin işlenmesinde Firmanın veri sorumlusu olduğu kanaatine varılmıştır. Bu çerçevede Kurul ilgili kişinin cep telefonu numarasının veri sorumlusu Firma tarafından reklam amacıyla aranması suretiyle kullanılmasının, Kanunun 5 inci maddesinde düzenlenen işleme şartlarından herhangi birine dayanılarak yapılmaması sebebiyle Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin (1) numaralı fıkrasının (a) bendinde öngörülen “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğünün yerine getirilmediği sonucuna vararak incelemeye konu olay açısından veri sorumlusu olarak kabul edilen Firma hakkında, 50.000 TL idari para cezası uygulanmasına karar vermiştir.

6. İlgili kişinin oturmakta olduğu binaya, komşusu tarafından kamera yerleştirilerek kayıt ve izleme gerçekleştirilmesi hakkında 27/02/2020 tarihli ve 2020/187 sayılı Karar Özeti

Kurum iletilen şikayet kapsamında; ilgili kişi oturmakta olduğu bina içerisine komşusu tarafından 2 tanesi dışarıyı, 1 tanesi apartman girişini, 1 tanesi kat arasını gösterecek şekilde 4 tane kamera yerleştirildi, bu kameralarla kayıt ve izleme gerçekleştirildiği, kişilerin huzur ve sükûnunu bozma, hukuka aykırı olarak kişisel verileri kaydetme, özel hayatın gizliliğini ihlal etme suçlarının işlendiğini belirterek kameraları yerleştiren komşu hakkında savcılığa şikâyette bulunulduğu da ifade ederek gereğinin yapılması, şahsın cezalandırılması ve kamera görüntülerinin tarafına iadesi edilmesini talep etmiştir.

Kurul yapmış olduğu incelemede, Kanun’un 15 inci maddesinin birinci fıkrasında Kurul’un, şikayet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapacağı; aynı maddenin ikinci fıkrasında ise; 1/11/1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesinde belirtilen; a) Belli bir konuyu ihtiva etmeyen, b) Yargı mercilerinin görevine giren konularla ilgili olan, c) 4 üncü maddede gösterilen şartlardan (dilekçe sahibinin adı soyadı ve imzası ile iş veya ikametgâh adresi) herhangi birini taşımayan ihbar veya şikâyetleri incelemeye alınmayacağının düzenlendiğini ve hukuka aykırı olarak kamera taktırılması ve görüntü kaydı alınmasına ilişkin şikâyetlerinin Türk Ceza Kanunu hükümleri çerçevesinde suç unsuru barındırabileceği ve bu kapsamda Kanunun 17 nci maddesinin birinci fıkrasında kişisel verilere ilişkin suçlar bakımından 26/09/2004 tarih ve 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümlerinin uygulanacağını belirterek söz konusu şikâyetin Kanun kapsamında değerlendirilemeyeceğine karar vermiştir.

7. Ses kayıt özelliği bulunan güvenlik kamerası kullanılması” ile ilgili 12/03/2020 tarihli ve 2020/212 sayılı Karar Özeti

Kurul, bir kamu kurumu olan veri sorumlusu tarafından ses kayıt özelliği bulunan güvenlik kamerası kullanılmasına ilişkin olarak yapmış olduğu değerlendirme neticesinde Kanun’da yer alan kişisel veri işleme şartlarını, Kanun’un 4. Maddesinde düzenlenen kişisel verilerin işlenmesinde uyulması gereken genel ilkeleri, Anayasa’nın 20.Maddesi ve Anayasa Mahkemesi’nin 8/09/2017 tarihli ve 2016/125 E. 2017/143 K. sayılı kararını göz önünde bulundurarak:

• Sesli kamera kaydının hukuka uygun bir kişisel veri işleme faaliyeti olarak değerlendirilebilmesi için Anayasada belirtilen temel hak ve özgürlüklerin sınırlanmasında gözetilmesi gereken ilkelere uygun olması gerektiği,
• Söz konusu kayıt ile beklenen faydanın ses kaydı olmaksızın görüntü kaydı ile elde edilebileceği hallerde ses kaydının da yapılması, gerçekleştirilecek kişisel veri işleme faaliyeti ile ulaşılmak istenen amaç arasındaki dengenin bozulmasına yol açacağından ölçülülük ilkesine aykırılık teşkil edeceği;
• Bu anlamda, gözetim sistemlerinde görüntü kaydı ile birlikte ses kayıt sisteminin de kullanılmasının sadece görüntü kaydına göre çok daha müdahaleci olacağı
• Diğer taraftan ise kameralar vasıtasıyla görüntü ile birlikte ses kaydı yapılması, bireylerde her açıdan gözetim altında tutuldukları endişesi yaratabileceği ve kişilerin kamusal alanda bile özel bir kısım diyaloglarının ya da yaşantı kesitlerinin bulunabileceği de dikkate alındığında bu yönde bir uygulamanın hakkın özüne de zarar vereceği ve
• Ayrıca güvenlik amacıyla kamu kurumunun halk girişine takılması yönünde ihtiyaç bulunduğu belirtilerek ses kaydı yapan kameraların kullanılması, benzer nitelikteki her türlü ortam açısından da gerekli olduğu yönünde genel bir değerlendirmeye neden olabileceğinden, kişisel verilerin korunması hakkına yönelik oldukça geniş nitelikte bir istisna oluşması sonucunu doğurabileceğinden bu hususun da hakkın özüne zarar vereceği kanaatine varmıştır.

8. İlgili kişinin, bir Valilikte görev yapmakta iken, Valilik çalışanı tarafından hukuka aykırı olarak elde edildiği iddia edilen kişisel verilerinin Valiliğe dijital ortamda sunulması 19/03/2020 tarih ve 2020/226 sayılı Karar Özeti

Kuruma iletin şikayet başvurusunda, ilgili kişi veri sorumlusu bir Valilikte görev yapmakta iken, veri sorumlusunun bir çalışanı tarafından hukuka aykırı olarak elde edildiği iddia edilen kişisel verilerinin veri sorumlusuna dijital ortamda sunulduğu, söz konusu verilere dayanılarak ilgili kişi hakkında 657 sayılı Devlet Memurları Kanunu gereğince disiplin soruşturması başlatıldığı ve disiplin cezası aldığını, başka bir ilde alt kadroya atandığını, Kanun kapsamında İçişleri Bakanlığına müracaat ederek Kanuna aykırı olarak gerçekleştirilen disiplin soruşturması sonucunda tarafına verilen disiplin cezalarının ve atama işleminin iptali ve hukuka aykırı olarak elde edilen ve üçüncü şahıslara aktarılan kişisel verilerinin yok edilmesi talebinde bulunduğunu, İçişleri Bakanlığının bu talebi veri sorumlusuna gönderdiğini ancak veri sorumlusu tarafından disiplin cezalarının kaldırılması ve atama işleminin iptali ile ilgili talebe karşılık yetersiz bir cevap verildiğinden bahisle gereğinin yapılmasını talep etmiştir.

Kurul yapmış olduğu inceleme sonucunda; (i) kişisel verileri hukuka aykırı olarak elde eden Valilik çalışanı açısından şikâyete konu iddiaların esasen Türk Ceza Kanunu hükümleri uyarınca değerlendirilmesi gerektiğinden 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesi de dikkate alınarak söz konusu başvurunun Kanun kapsamında değerlendirilemeyeceğine, (ii) Veri sorumlusu Valiliğin işlediği kişisel verilerin disiplin soruşturma veya kovuşturması kapsamında Kanunun 28 inci maddesinin (2) numaralı fıkrasının (c) bendi kapsamında işlendiğinden bu aşamada Kanun çerçevesinde yapılacak bir işlem bulunmadığına, (iii) diğer yandan işlenen veriler ve yürütülen soruşturma sonucunda ilgili kişi hakkında uygulanan yaptırımların ise 657 sayılı Kanun gereğince özlük dosyalarında saklanması gerektiği, Kamu Personeli Genel Tebliğine (Seri No: 2) göre görevi herhangi bir şekilde sona eren memurların özlük dosyalarının kurumlarınca saklanacağı ve Devlet Arşiv Hizmetleri Hakkında Yönetmeliğe göre son işlem tarihi üzerinden yüz bir yıl geçmemiş memuriyet sicil dosyaları içerisinde yer aldığı dikkate alınarak, ilgili kişinin veri sorumlusu nezdindeki bahse konu verilerinin silinmesi talebinin de 6698 sayılı Kanunun 7 inci maddesinde belirtildiği üzere kişisel verilerin işlenmesini gerektiren sebeplerin henüz ortadan kalkmaması dolayısıyla veri sorumlusu tarafından karşılanmasının mümkün olmadığına karar vermiştir.

9. Veri sorumlusu eğitim kurumu tarafından şikayetçinin çocuklarının özel nitelikli kişisel verilerinin hukuka aykırı olarak işlenmesi hakkında 02/04/2020 tarihli ve 2020/255 sayılı Karar Özeti

Kuruma iletilen şikâyet kapsamında; şikayetçi velisi bulunduğu çocuklarının veri sorumlusuna ait okulda eğitim gördüğü, öğrencilerin okulda eğitim gördükleri sırada velilerinden herhangi bir şekilde izin alınmadan, aydınlatma yükümlülüğü yerine getirilmeden veya açık rızaları alınmadan CAS (Cognitive Assessment System) Uygulama ve Değerlendirme testinin yapıldığını, CAS testinin klinik ve nörolojik değerlendirme yeteneği ile geniş yelpazede gelişimsel değerlendirme yapabilen güncel bir ölçek olduğu, çocukların bu test için Kanun’un 6. maddesi ile belirlenmiş özel nitelikli kişisel verilerinin kullanıldığı ve işlendiğini, aynı madde hükmünce ilgili kişilerin veya velisinin açık rızası bulunmadan bu verilerin işlenmesinin kesinlikle yasaklandığını, Kanunun 10 uncu maddesi hükümlerince aydınlatma yükümlülüğünün yerine getirilmediğini, veri sorumlusuna başvuruda bulunulduğu ancak yeterli bir cevap alamadığını bu çerçevede Kurula şikâyette bulunduğunu belirtilerek, veri sorumlusunun Kanunun 18 inci maddesi uyarınca aydınlatma yükümlülüğü ve veri güvenliğine ilişkin yükümlülüklerini ihlal fiillerinden dolayı cezalandırılması, işlenen verilerin Kanunun 7 nci maddesi doğrultusunda silinmesi, yok edilmesi veya anonim hale getirilmesi ve yapılan yargılama masrafları vs. tüm giderlerin karşı tarafa yükletilmesine karar verilmesini talep etmiştir.

Kurul tarafından gerçekleştirilen incelemede; öncelikle (i)CAS testi uygulanması sonrasında, veri sorumlusunun rehberlik servisinde görevli rehberlik öğretmeni/ psikolojik danışman tarafından yapılan ve öğrenciye ilişkin duygu durum, davranış, bilişsel yetenekler vb. unsurları içerdiği kanaatine varılan test sonucuna ilişkin değerlendirmenin kişisel veri işleme faaliyeti kapsamında olduğu, (ii) i sorumlusu ile veli arasında, bireysel görüşme formları ve e-posta yazışmaları yoluyla en az 7 ay süren rehberlik sürecinde ilgili kişi öğrencinin ruh sağlığına ilişkin bilgilerin paylaşıldığı ve CAS testinin uygulanması sonucunda dikkat eksikliği/ hiperaktivite bozukluğu/ kaygı bozukluğu gibi ilgili kişinin ruh sağlığına ilişkin özel nitelikli kişisel verilerin de işlendiği, (iii) psikolojik testlerin ölçüm alanları itibariyle farklılık gösterdiği ve eğitim sürecinde; öğrencinin öğrenme becerilerinin geliştirilmesi, akademik performansının arttırılması, sosyal faaliyetlere yönlendirilmesi, meslek seçimi vb. konulara yönelik çalışmalar yapılmasını desteklemek amacıyla öğrencinin kişilik özelliklerini, akademik başarısını, zeka düzeyini, yeteneklerini, ilgi alanlarını ölçen psikolojik testlerin uygulanması sonucunda elde edilen değerlendirmelerin dahi kişisel veri içerdiği, Milli Eğitim Bakanlığı Rehberlik Hizmetleri Yönetmeliğinin 10 uncu maddesi çerçevesinde; bu kapsamdaki kişisel veri işleme faaliyetinin, veri sorumlusunun Kanunun 5 inci maddesinin (ç) bendinde yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” kişisel veri işleme şartına dayandırılabileceği  (iv) ancak, CAS testinin uygulanması sonucunda, zekâ ve bilişsel becerilerin yanı sıra dikkat eksikliği ve hiperaktivite bozukluğu gibi öğrencinin ruh sağlığına ilişkin özel nitelikli kişisel verilerin de işlenmiş olduğu göz önünde bulundurulduğunda Kanunun 6. maddesinin (3) numaralı fıkrasında yer verilen “kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi” amaçları da bulunmadığından, veri sorumlusu tarafından söz konusu veri işleme faaliyetinin “açık rıza” şartına dayandırılması gerektiği sonucuna varıldığı, (v) CAS testinin velinin bilgi ve onayı dâhilinde uygulandığının ifade edildiği, bunun da daha önce iletilen velinin imzasının bulunduğu bireysel görüşme formları ve e-posta yazışmaları ile açıkça kanıtlandığı ancak açık rızanın alındığına veya talep edildiğine dair herhangi bir bilgi/ belge iletilmediği, (vi) ilgili kişilerin reşit olmaması nedeniyle velisinin açık rızasına dayanmadan özel nitelikli kişisel verilerini işlediği, ilgili kişilerin açık rızasının alınmadığı hususunda taraflar arasında ihtilaf olmadığı, söz konusu verilerin özel nitelikli verileri de içermesi nedeniyle ilgili kişilerin açık rızası olmadan gerçekleştirilen veri işleme faaliyetinin hukuka aykırı bir veri işleme faaliyeti olduğu, (vi) veri sorumlusu her ne kadar CAS testinin uygulanması süreci ve testin sonucu hakkında velinin bilgisi ve onayının olduğunu kanıtlasa da, aydınlatma yükümlülüğünün yerine getirilmesi için Kanunda öngörülen gerekli şartlar ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğde yer alan usul ve esasları tam olarak yerine getirmediğini belirterek

Kurul:

• Öğrencinin saağlık verisine ilişkin olarak; ilgili kişinin/velinin açık rızasının alınmadığı, açık rızanın aranmadığı diğer durumların da bulunmadığı gerekçesiyle Kanunun 12 inci maddesi uyarınca; kişisel verilerin hukuka aykırı olarak işlenmesinin engellenmesini teminen gerekli idari ve teknik tedbirleri almadığı kanaatine varılan veri sorumlusu hakkında 000 TL idari para cezası uygulanmasına;
• İlgili kişinin özel nitelikli kişisel veri olan sağlık verisinin ilgili kişilerin/velinin açık rızası alınmadan işlenmesi nedeniyle hukuka aykırı bir şekilde veri işlendiği dikkate alınarak velilere ve öğrencilere sunulan rehberlik hizmeti sürecinin kişisel verilerin korunması mevzuatı ile uyumlu hale getirilmesi, hukuka aykırılıkların giderilmesi hususunda veri sorumlusunun talimatlandırılmasına,
• Veri sorumlusu tarafından gerçekleştirilen kişisel veri işleme faaliyetlerine ilişkin olarak aydınlatma yükümlülüğünün Kanunun 10 uncu maddesi ve ilgili Tebliğ hükümlerine uygun şekilde yerine getirilmesi hususunda veri sorumlusunun talimatlandırılmasına,
• Öte yandan, hukuka aykırı elde edilen verilerin Kanunun 7 nci maddesi kapsamında silinmesi, yok edilmesi veya anonim hale getirilmesi hususunda Şirketin talimatlandırılmasına,
• Diğer taraftan şikâyetçinin, yapılan yargılama masrafları vs. tüm giderlerin karşı tarafa yükletilmesine karar verilmesine yönelik talebinin Kanun kapsamında olmadığı dikkate alındığında bu hususta Kurulca yapılacak bir işlem bulunmadığına

karar vermiştir.

10. Türkiye Ticaret Sicili Gazetesinde açık bir şekilde ilan edilmeyen kişisel verilerin, talepleri üzerine kamu kurum ve kuruluşlarıyla paylaşılması 22/04/2020 tarihli ve 2020/307 sayılı Karar Özeti

İşbu kararı kapsamında;

Kurul ticaret sicilinin aleni olduğunu ve MERSİS ile getirilen aleniyetle gerçek anlamda şeffaflık sağlanarak kayıtlardaki yolsuzlukların, aykırılıkların ve düzensizliklerin önüne geçilmesinin hedeflendiğini belirtmiştir. Kurul, sicilin aleni olması sayesinde herkesin ticaret sicilinin içeriğini ve dairede saklanan bütün senet ve belgeleri inceleyebilmekte, bunların onaylı suretlerini alabilmekte olduğunu ve bir hususun sicilde kayıtlı olup olmadığına dair onaylı belgenin verilmesinin istenebildiğini ifade etmiştir. Bu çerçevede Kurul tarafından;

Kanun’un 3.1.(d) Maddesi kapsamında tacirlerin ya da şirket hissedarlarının isim, kimlik, adres ve benzeri bilgileri üzerinde Müdürlükler tarafından yapılan işlemlerin kişisel veri işleme faaliyeti olduğu, bu kapsamda, tescil ve ilanı öngörülen bilgiler, kişisel veri de içerdiği ve bu verilere herkes tarafından kolaylıkla ulaşılabildiği için bu verilerin kötü niyetli kullanımını engellemek amacıyla alınması gereken teknik ve idari tedbirlerin mevzuatta belirtildiği ortaya koyulmuştur.

Diğer yandan, Ticaret Sicili Yönetmeliğinin “İlan” başlıklı 41 inci maddesinde bu Yönetmelik uyarınca tescil edilen gerçek kişilerin kimlik numaralarının ilan edilmeyeceği hususunun düzenlendiği, ve Türkiye Ticaret Sicili Gazetesinde yapılan ilanlarda T.C. kimlik numaralarının maskelenmek suretiyle yayımlanmakta olduğu ve gerçek kişilerin yerleşim yeri adresleri olarak yalnızca il ve ilçe bilgisi ilan edildiği vurgulanmıştır.

Müdürlükler nezdinde tutulan kişisel verilerin çeşitli kamu kurum ve kuruluşlarıyla paylaşılmasının bir “aktarım” faaliyeti olduğu ifade edilmiştir. Bu anlamda, ticaret sicili müdürlükleri nezdinde tutulan kişisel verilerin başka kamu kurum ve kuruluşlarıyla paylaşılmasında bir başka ifadeyle diğer kamu kurum ve kuruluşlarına aktarılmasında da 6698 sayılı Kanunun 8 inci maddesine uygun hareket edilmesi gerektiğini değerlendirilmiştir.

Nüfus Hizmetleri Kanununa göre kimlik bilgilerini paylaşmaya yetkili merci nüfus müdürlükleri olup, bu verilerin ticaret sicil müdürlüklerinden istenmesi hususunun Nüfus Hizmetleri Kanununa aykırı olduğu, bir başka ifadeyle, talep edilecek kişisel verilerin özel düzenleme niteliğini haiz ilgili mevzuat hükümlerinde belirtilen yetkili kamu kurumlarından temin edilmesi gerektiği yönünde kanaat oluştuğu belirtilmiştir.

Bu açıklamaları neticesinde Kurul;

• Müdürlük tarafından tutulan ticaret sicilinin kişisel verileri içerdiği ve sicilde yer alan kişisel veriler bakımından Müdürlüğün kişisel veri işleme faaliyetini gerçekleştirdiğini;
• Ticaret sicilinin aleni olmasının sicilde yer alan kişisel verilerin 6698 sayılı Kanun hükümlerinden muaf olacağı anlamını taşımadığını,
• Bu kapsamda Müdürlük tarafından kamu kurum ve kuruluşlarına gerçekleştirilecek aktarımların Kanunun 8 inci maddesinde yer alan düzenlemeye uygun biçimde yapılması ve sicilde aleni olarak işlenen verilerin işlenmesi noktasında aleniyet amacına bağlı kalınması gerektiği;
• Aktarımı talep edilen kişisel verilerin, bu verileri işleme faaliyetinin özel olarak düzenlendiği ilgili mevzuatlarca yetkili kılınmış kuruluşlardan talep edilmesini,
• Her türlü kişisel veri işleme faaliyetinde özellikle Kanunun 4. maddesinde yer alan “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi ve veri güvenliğine ilişkin gerekli her türlü teknik ve idari tedbirlerin alınması yükümlülüğünün birlikte gözetilmesi gerektiği

sonuçlarına ulaşmıştır.