A-

A+

KİŞİSEL VERİLERİ KORUMA KURUMU TARAFINDAN 14.04.2021 TARİHİNDE YAYINLANAN KARAR ÖZETLERİ

  1. İlgili kişinin veri sorumlusu ile abonelik sözleşmesi kurma amacıyla gerçekleştirdiği telefon görüşmesi kayıtlarına erişim talebi hakkında 29/09/2020 tarihli ve 2020/746 sayılı Karar Özeti

İlgili kişi şikayet başvurusunda veri sorumlusuna ait kayıtlı elektronik posta (KEP) adresi üzerinden veri sorumlusu ile yapılan görüşmeye ait ses kayıtlarının talebine ilişkin başvuru gerçekleştirdiğini, ancak kendisine yasal süre olan otuz gün içerisinde kendisine cevap verilmediğini, bunun üzerine müşteri hizmetleri ile görüştüğünü, görüşmede sözleşmenin (ses kayıtlarının) bir örneğinin tarafına verilmesi gerektiği ancak verilmediğini, bu verilerin ilgili kişiye ait kişisel veriler olduğunu bu sebeple tarafına iletilmesini talep ettiğini ancak verilmediğini ve müşteri hizmetleri ile yapılan görüşmede Cumhuriyet Savcılığına başvurulması gerektiğini ve söz konusu kişisel verilerin kendisine verilemeyeceğinin belirtildiğini ifade ederek, konunun 6698 Saylı Kanun (“Kanun”) kapsamında incelenmesi talep etmiştir.

İnceleme kapsamında sunmuş olduğu savunmasında veri sorumlusu (i) ilgili kişinin başvurusunu yaptığı KEP adresinin kişisel verilere ilişkin başvuruların yapılması amacıyla tahsis edilmiş bir KEP adresi olmadığı, kişisel verilerle ilgili talep ve soruların ana ortaklığın KEP adresine veya kendilerine ait https://www.......net/tr/gizlilik-ve-guvenlik linkinden iletilebileceğini, (ii) veri sorumlusu ve ilgili kişi arasında abonelik sözleşmesi kurulduğu, ilgili kişiye ait kişisel verilerin abonelik sözleşmesinin kurulmasıyla elde edildiği, abonelere ait kişisel verilerin abonelik ilişkisinin yanı sıra sunulan hizmetler kapsamında abonelik sözleşmesi, bayiler ve sair yüz yüze kanallar, çağrı merkezi, web sitesi, mobil uygulamalar, kısa mesaj, elektronik posta, sesli yanıt sistemi kanallarıyla elde edildiği, (iii) ilgili kişiye ait kişisel verilerin Kanunun 5 inci maddesinin ikinci fıkrasının (c) bendi kapsamında işlendiğini ve (iv) Veri sorumlusunun Kanun gereğince uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü idari ve teknik tedbiri alma yükümlülüğünün bulunduğu, bununla birlikte, veri sorumlusunun yükümlülüklerine uygun olarak ticari faaliyetlerini devam ettirme yönündeki genel prensibi uyarınca müşteri hizmetleri ile abonelerin yapmış olduğu görüşmelerin (ses kayıtları) sadece yetkili adli ve idari merciler tarafından yöneltilen yasal talepler çerçevesinde yetkili merciler ile paylaşıldığını ifade etmiştir.

Kurul yapmış olduğu incelemede;

  • 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanunun "Amaç ve Kapsam" başlıklı 1 inci maddesinin ikinci fıkrasında elektronik iletişim araçlarıyla yapılan sözleşmelerin 6563 sayılı Kanun kapsamında olduğunun ifade edildiği, Avrupa Birliği Elektronik Ticaret Direktifi’nde olduğu gibi 6563 sayılı Kanunda da elektronik sözleşmenin tanımının yapılmadığı, ancak, “Tanımlar” başlıklı 2 nci maddesinin birinci fıkrasının (c) bendinde, ticari elektronik iletinin, “Telefon, çağrı merkezleri, faks, otomatik arama makineleri, akıllı ses kaydedici sistemler, elektronik posta, kısa mesaj hizmeti gibi vasıtalar kullanılarak elektronik ortamda gerçekleştirilen ve ticari amaçlarla gönderilen veri, ses ve görüntü içerikli iletileri” kapsadığı, bu doğrultuda, 6563 sayılı Kanunun 2 nci maddesinde yer alan ticarî elektronik ileti tanımından hareketle, telefon aracılığıyla yapılan sözleşmelerin 6563 sayılı Kanun kapsamında elektronik sözleşme olarak kabul edildiğinin anlaşıldığı, dolayısıyla, veri sorumlusu ve ilgili kişinin telefon aracılığıyla sözleşme kurmaya yönelik yaptıkları görüşmede Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan hüküm çerçevesinde kişisel verilerin işlenebileceği,
  • 2010 yılında 5982 sayılı Kanunla Anayasanın 20 nci maddesine eklenen fıkra ile herkesin kendisiyle ilgili kişisel verilerin korunmasını isteme hakkının anayasal bir hak olarak teminat altına alındığı, bu bağlamda, kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenme hakkının hükme bağlanmış olduğu ve Kanunun “İlgili Kişinin Hakları” başlıklı 11 inci maddesinin birinci fıkrasının (b) bendi hükmü kapsamında ilgili kişinin, kendisiyle ilgili kişisel veriler işlenmişse buna ilişkin bilgi talep etme hakkının söz konusu veriye erişim hakkını da kapsadığı ve erişim hakkının, bilgi talep etme hakkını tamamlayarak ilgili kişinin, kişisel verileri üzerindeki haklarını kullanabilmesi için, kişisel verilerinin ne şekilde işlendiğine dair tam olarak bilgi sahibi olmasına imkân sağlaması gerektiği,
  • Bu hakkın, veri sorumlusunun veri güvenliğine ilişkin yükümlülüklerinin de dikkate alınarak, işlenen kişisel verilerin, teknik/fiziki imkânların el verdiği ölçüde ve verinin muhtevasına/içeriğine makul bir şekilde ulaşılabilmesine imkân tanınarak kullanılması gerektiği,
  • İlgili kişinin erişim hakkı ile veri sorumlusunun konuşma kayıtlarının kaydedildiği kayıt ortamının kendisinin ancak yasal makamlar tarafından talep edildiği takdirde teslim edilebileceği yönündeki makul kabul edilebilecek açıklaması arasındaki dengenin talep edilen ses kayıtlarına ilişkin kayıt ortamlarının doğrudan ilgili kişiye teslim edilmeden dökümlerine erişim hakkı sağlanarak gerçekleştirilebileceği,

değerlendirmelerinden yola çıkarak;

Kanunun 11 inci maddesinin (1) numaralı fıkrasının (b) bendi hükmü kapsamında ilgili kişinin, kendisiyle ilgili kişisel veriler işlenmişse buna ilişkin bilgi talep etme hakkının, söz konusu veriye erişim hakkını da kapsadığına ve erişim hakkının, bilgi talep etme hakkını tamamlayarak ilgili kişinin, kişisel verileri üzerindeki haklarını kullanabilmesi için, kişisel verilerinin ne şekilde işlendiğine dair tam olarak bilgi sahibi olmasına imkân sağladığı dikkate alındığında söz konusu dökümün, ilgili kişi dışında başkalarının kişisel verileri varsa bunlar çıkarılmak veya maskelenmek gibi önlemler alınarak ilgili kişiye gönderilmesi yönünde veri sorumlusunun talimatlandırılmasına,

İlgili kişilerin Kanun kapsamındaki başvurularına Kanunun ilgili hükümleri ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ hükümleri uyarınca süresi içinde bir cevap verilmesi yönünde veri sorumlusunun talimatlandırılmasına,

İlgili kişilerin Kanun kapsamındaki başvurularını ana ortaklığın KEP adresi yerine veri sorumlusuna ait KEP adresi üzerinden iletebilmeleri için kendi bünyesinde gerekli düzenlemeleri yapması yönünde veri sorumlusunun talimatlandırılmasına karar vermiştir.

  1. İlgili kişinin eski çalışanı olduğu şirketi devralan veri sorumlusu şirket tarafından kanuna aykırı veri işleme faaliyetinde bulunulması hakkında 08/10/2020 tarihli ve 2020/769 sayılı Karar Özeti

İlgili kişi şikayetinde; eski çalışanı olduğu şirketin, başka bir şirkete bütün borç, ödev ve yükümlülükleri ile devrolduğu ancak kişisel verilerin elde edilmesi sırasında tarafına herhangi bir aydınlatma yapılmadığı, veri sorumlusu devralan şirketin internet sitesinde sunulan aydınlatma metninin açık ve belirli olmayan muğlak ifadeler içerdiği, şahsına ilişkin özlük dosyasında sağlık verilerinin de bulunduğu ve 6698 sayılı Kişisel Verilerin Korunması Kanununun 6 ncı (Kanun) maddesi uyarınca bu veri işleme faaliyeti için açık rızasının alınmadığını, öte yandan Kanunun 11 inci maddesi kapsamındaki haklarına ilişkin başvurusuna karşılık veri sorumlusunun cevabında yer alan kişisel verileri saklama sürelerine ilişkin 10 yıllık sürenin geçersiz olduğu ve İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği uyarınca 15 yıl saklanması gerektiğini, ayrıca veri sorumlusu tarafından kendisine gönderilen ticari elektronik iletiler aracılığıyla herhangi bir hukuka uygunluk sebebi olmaksızın kişisel verilerinin işlendiğini iddia ederek veri sorumlusu hakkında gereğinin yapılmasını talep etmiştir.

Kurul yapmış olduğu inceleme kapsamında

  • İlgili kişinin kişisel verilerinin elde edilmesi sırasında tarafına herhangi bir aydınlatma yapılmadığı iddiasına ilişkin olarak veri sorumlusu tarafından verilen yanıtta veri sorumlusunun ilgili kişilerle hukuki ilişkilerinin sürmekte olduğu ve/veya doğrudan üçüncü taraflar vasıtasıyla temas etmekte olduğu faaliyetler bakımından Kanun uyarınca aydınlatma ve açık rıza alınmasına ilişkin yükümlülükler doğrultusunda uyumlaştırmaların gerçekleştirildiği ancak Şirketin aktif bir hukuki ilişki içerisinde olmadığı, ilgili mevzuatlar kapsamındaki saklama yükümlülükleri ile sınırlı olarak veri işleme faaliyeti gerçekleştirdiği eski çalışanlar bakımından aydınlatma yükümlülüğünün gerçekleştirilmesinin pratikte mümkün olmadığının belirtildiğini,
  • İşverenin çalışanlarının özlük dosyalarını düzenlemesi bakımından veri sorumlusu sıfatını haiz olduğu, bu kapsamda İş Kanunu ve Sosyal Sigortalar Kanunu kapsamındaki yükümlülükleri dolayısıyla veri işleme faaliyetinin gerçekleştirildiği, söz konusu veri işleme faaliyetinin Kanunun 5 inci maddesinin ikinci fıkrasının (a) bendinde yer alan ‘kanunlarda açıkça öngörülme’ ve aynı fıkranın (ç) bendinde yer alan ‘veri sorumlusunun hukuki yükümlülüğünün yerine getirilebilmesi için zorunlu olması’ şartlarına dayanılarak gerçekleştirildiği sonucuna varıldığını;
  • İlgili kişinin açık rızası olmaksızın sağlık verilerinin işlenmesine ilişkin olarak;
  • Çalışanlara ait sağlık verisi içeren kayıtların kişisel sağlık dosyalarında saklanmakta olduğu, kişisel sağlık dosyalarının yalnızca sır saklama yükümlülüğü altında bulunan iş yeri hekiminin erişimi ile sınırlı olarak saklanmakta olduğu ve Şirketin sistemlerinde kayıtlı olmadığı,
  • İşyeri Hekimi ve Diğer Sağlık Personelinin Görev, Yetki, Sorumluluk ve Eğitimleri Hakkında Yönetmeliğin “İşyeri Hekiminin Yükümlülükleri” başlıklı 11 inci maddesinde “İşyeri hekimleri, bu Yönetmelikte belirtilen görevlerini yaparken, işin normal akışını mümkün olduğu kadar aksatmamak ve verimli bir çalışma ortamının sağlanmasına katkıda bulunmak, işverenin ve işyerinin meslek sırları, ekonomik ve ticari durumları hakkındaki bilgiler ile çalışanın kişisel sağlık dosyasındaki bilgileri gizli tutmakla yükümlüdürler.” hükmü uyarınca iş yeri hekimlerinin sır saklama yükümlülüğü altında bulunan kişilerden olduğu hususları dikkate alınarak Kurul tarafından belirlenen özel nitelikli kişisel verilerin işlenmesinde veri sorumlularınca alınması gereken yeterli önlemler alınmak suretiyle mevzuatta öngörülen görevleri kapsamında iş yeri hekimi tarafından sağlık verisinin işlenmesinin mümkün olduğu,

Değerlendirmelerinden yola çıkarak Kurul;

Şikayet dilekçesi ve veri sorumlusunun cevaplarından ilgili kişinin kişisel verilerinin 2014-2015 yıllarında işlendiğinin tespit edildiği, Kanununun 07.04.2016 itibariyle yürürlüğe girdiği, bu çerçevede söz konusu tarihler itibariyle Kanunun yürürlüğe girmemiş olması sebebiyle kişisel verilerin elde edilmesi sırasında aydınlatma yükümlülüğünün yerine getirilmesinin de mümkün olmadığı, dolayısıyla bu hususta Kanun kapsamında yapılacak bir işlem bulunmadığına ve ilgili kişinin ticari elektronik ileti gönderilmek suretiyle kişisel verilerinin hukuka aykırı işlendiği iddiasına ilişkin olarak herhangi bir somut delile rastlanılamadığından bu aşamada Kurum tarafından bu konuya ilişkin olarak da yapılacak herhangi bir işlem bulunmadığını karar vermiştir.

  1. İlgili kişinin aidat borcu bilgisinin site yönetimi tarafından ev sahibine iletilmesi” hakkında 29/09/2020 tarihli ve 2020/755 sayılı Karar Özeti

İlgili kişi şikayetinde; ev sahibinden, aidatının bazı aylarda eksik, bazı aylarda ise hiç yatırılmadığına dair bir SMS aldığını, bu SMS iletimini kendisine ait kişisel verilerin hukuka aykırı olarak işlendiğini ortaya koyduğunu; ilgili kişinin, kişisel verilerinin site yönetimi tarafından ev sahibi ile paylaşılmasında hiçbir bilgisi ve bu hususta açık rıza alındığına dair bir belge yahut herhangi bir hukuka uygunluk sebebinin de sunulamadığını belirterek Kurum’dan veri sorumlusu site yönetimi hakkında idarî para cezası uygulanmasını talep etmiştir.

Kurul tarafından yapılan değerlendirmeler sonucunda;

34 sayılı Kat Mülkiyeti Kanununun “Ortak Giderlerin Teminatı” başlığını hâiz 22. maddesinin, “Kat malikinin, 20’nci madde uyarınca payına düşecek gider ve avans borcundan ve gecikme tazminatından, bağımsız bölümlerin birinde kira akdine, oturma (sükna) hakkına veya başka bir sebebe dayanarak devamlı bir şekilde faydalananlar da müştereken ve müteselsilen sorumludur; ancak, kiracının sorumluluğu ödemekle yükümlü olduğu kira miktarı ile sınırlı olup, yaptığı ödeme kira borcundan düşülür…” hükmü mevcuttur. Söz konusu hüküm uyarınca ev sahibi ile kiracının ortak giderler ve gecikme tazminatından müştereken ve müteselsilen sorumlu olduğu dikkate alındığında, ev sahibinin, kiracısının oturduğu dairenin aidat gibi apartmanın ortak giderlerinden payına düşen kısımlarını ödeyip ödemediğinden haberdar olmasında gerek ev sahibi gerek site yönetiminin menfaati bulunduğu, dolayısıyla söz konusu veri işleme faaliyetinin; Kanunun 5 inci maddesinin (2) numaralı fıkrasının (e) bendi kapsamında bir hakkın tesisi, kullanılması veya korunması çerçevesinde gerçekleştirildiği;

Bu minvalde; veri sorumlusunun ilgili kişiye verdiği cevapta da ev sahibinin isteği üzerine ilgili kişinin borç bilgilerinin ev sahibi ile paylaşıldığının ifade edildiği dikkate alındığında ilgili kişiye veri sorumlusu tarafından verilen yanıtın, ilgili kişinin iddialarına konu hususları yeterli derecede açıklayıcı olduğu ve bu sebeple söz konusu şikâyet hakkında Kanun kapsamında yapılacak bir işlem olmadığına karar vermiştir.