Selin ÖZBEK CITTONE Avukat / Yönetici Ortak
Gülce ERCENK Kıdemli Avukat
[email protected]
27 Aralık 2021
A-
A+
27 Aralık 2021 tarihinde Kişisel Verileri Koruma Kurulu tarafından 14 tane karar yayımlanmıştır. Bu kararları kategorize ederek aşağıdaki başlıklarda özetledik. Buna göre, kararların bir kısmı kişisel verilerin hukuka aykırı işlenmesi ve açık rıza kavramını incelerken, bir kısmı da ilgili verilerin üçüncü kişilerle paylaşılmasına ve verilerin imha edilmesine dikkat çekmiştir. Buna ilaveten, kararların bir kısmı da sektör bazında ayrıma giderek avukatların veri işleme süreçlerine değinerek, aynı zamanda kimlik bilgilerinin telefon marifetiyle fotoğraflanmasına ve ilgili kişi başvurusu açısından veri işleyenin veri sorumlusu adına ilgili kişi taleplerini cevaplayabilmesine ilişkin kararlara imza atmıştır. Hazırladığımız özetleri bilginize sunuyoruz.
A) KİŞİSEL VERİLERİN HUKUKA AYKIRI İŞLENMESİNE İLİŞKİN KARAR
Başvurucu tarafından, herhangi bir hizmet almamasına rağmen, veri sorumlusu kargo şirketi tarafından ilgili kişinin e-posta adresine kendisi adına düzenlenen bir fatura gönderilmiş olup, veri sorumlusuna başvuru üzerine verilen yanıtta, faturalandırma işleminin sehven ilgili kişi adına yapıldığı belirtilmiş ve ilgili kişinin kişisel verilerinin kayıtlı olduğu meslek kuruluşuna kayıtlı üyelerin indirimli gönderim ücretlerinden yararlanmasını sağlayan sözleşme kapsamında işlendiği ve Şirket arşivinde bulunduğu ifade edilmiştir. Bunun üzerine, başvurucu tarafından veri sorumlusunun kanuni işleme şartına dayanmaksızın veri işlediği ve kişisel verilerinin silinmesi talebinin veri sorumlusu tarafından yerine getirilmediği gerekçesiyle konu, ilgili kişi tarafından şikâyete konu edilmiştir.
Kurul tarafından yapılan incelemede, söz konusu meslek kuruluşu ile yapılan kampanya kapsamında ilgili kişinin üye olup olmadığının tespit edilebilmesi için kullanılan sistem nezdinde işlenen kişisel verilerin, Kanunun 5 inci maddesinin (1) numaralı fıkrasının (c) bendi kapsamında sözleşmenin ifasıyla doğrudan ilgili olması hukuki şartına dayanarak işlendiği ve ilgili kişinin kişisel verilerinin veri sorumlusu tarafından temin edilmesinin hukuka uygun olduğu tespit edilmiş; ancak hukuka uygunluk sebebi bulunmaksızın ilgili kişi adına fatura düzenlenmesi suretiyle gerçekleştirilen kişisel işleme faaliyetinin hukuka aykırı olduğu vurgulanarak; bu kapsamda veri sorumlusunun Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendi çerçevesinde kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılması nedeniyle; veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına, veri sorumlusunun ilgili mevzuat gereği, işlenen kişisel verileri belirli süreler boyunca muhafaza etmesi gerektiğinden, ilgili kişinin kişisel verilerinin silinmesi talebinin yerine getirilmemesinde bir hukuka aykırılık bulunmadığına karar verilmiştir.
B) KİŞİSEL VERİLERİN SİLİNMESİNE VE İMHA EDİLMESİNE İLİŞKİN KARARLAR
İlgili kişi, internet alışveriş sayfası üzerinden ev adresine siparişte bulunmasına rağmen siparişi işyeri adresine teslim edilmiştir. İlgili kişi bunun üzerine veri sorumlusuna başvurmuş ve kişisel verisi olan iş yeri adresinin yok edilmesi talebinde bulunmuştur. Kendisine cevap verilmemesi üzerine ilgili kişi, bu husus hakkında Kişisel Verileri Koruma Kurumu’na başvuruda bulunmuştur.
Kurul yaptığı incelemede;
İlgili kişi, doğal gaz dağıtım hizmeti veren bir şirketin abonesidir. Anılan şirkete ödeme yapması üzerine düzenlenen faturada, “Otomatik Ödeme Talimatı” bölümünde, ödeme yaptığı banka adı bilgisine yer verilmesinden dolayı faturalardan banka adı bilgisinin silinmesine ilişkin veri sorumlusu şirkete başvuruda bulunmuştur. Veri sorumlusundan kendisine olumsuz yanıt gelmesi üzerine, Kişisel Verileri Korunması Kanunu (“Kanun”) kapsamında gereğinin yapılmasını talep etmiştir.
karar verilmiştir.
İlgili kişi, veri sorumlusu tarafından kurulmuş olan internet sitesi üzerinden iş başvurusunda bulunup kişisel verilerini içerir bilgileri veri sorumlusuyla paylaşmıştır. Mülakat neticesinde başarılı olamayıp bu sebeple veri sorumlusunun sisteminde kalan tüm kişisel verilerinin silinmesi adına veri sorumlusuna başvuruda bulunmuş; ancak veri sorumlusu tarafından kişisel verilerinin veri sorumlusuna yapacağı olası başvurular için saklanacağı belirtilmiştir. Bunun üzerine, ilgili kişi veri sorumlusu ile tekrar iletişime geçip veri sorumlusuna ilişkin herhangi bir iş talebi veya ilgisi olmadığını iletmesine rağmen, kişisel verilerinin silinmemesinden dolayı, Kuruma şikayette bulunmuştur.
Veri sorumlusu savunmasında;
ifade edilmiştir.
Kurul tüm bu değerlendirmelerden hareketle;
İlgili kişinin Kuruma intikal eden şikâyetinde özetle; bir şirkete ait web sitesi üzerinden daha önce kullandığı ancak şu anda kullanmadığı adres bilgilerinin silinmesini talep ettiği ancak bu yöndeki talebinin iki kez reddedildiği ve silme işleminin gerçekleştirilmeyeceğinin bildirildiği beyan ve iddiaları ile veri sorumlusu hakkında gerekli yasal işlemlerin yapılması talep edilmiştir.
Kurul yaptığı incelemede; bireysel hesap üzerinde güncel adres bilgilerinin bulunması gereken alanda hâlihazırda kullanılmayan adres bilgilerinin de yer aldığı ve bu adres bilgileri üzerinde ilgili kişiler tarafından herhangi bir işlem yapılamadığı dikkate alındığında, Kanunun 4 üncü maddesinin (2) numaralı fıkrasının (b) bendinde yer alan kişisel verilerin “doğru ve gerektiğinde güncel olma” ilkesinin yerine getirilebilmesi ve bu kapsamda kişisel verilerin güncellenmesine/imha edilmesine ve güncel olmayan kişisel verilerin ilgili kişilere gösterilmemesine imkân sağlayacak kanalların oluşturulması ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.
C) KİŞİSEL VERİLERİN ÜÇÜNCÜ KİŞİYE AKTARILMASINA İLİŞKİN KARARLAR
İlgili kişinin oğlunun doğum belgesinin bilgisayar ekranı fotoğrafı, hastaneden ilgili kişinin eski eşi tarafından temin edilmiş ve oğlunun doğum belgesi Aile Mahkemesinde görülen dosyaya delil olarak sunulmuştur. İlgili kişi hastaneye yazılı olarak başvurmuş, ancak başvurusuna bir cevap verilmemiştir. Bunun üzerine ilgili kişi, Kurum’a başvuruda bulunmuştur.
Veri sorumlu hastaneden savunması istenmiş ve veri sorumlusu hastane savunmasında;
D) İLGİLİ KİŞİLERİN GÖRSEL VERİLERİNİN İŞLENMESİ AÇISINDAN AÇIK RIZA KAVRAMINA İLİŞKİN KARARLAR
Halı saha işletmeciliği yapan veri sorumlusu hakkında, tesislerde spor yapanların rızaları alınmadan görüntülerinin kaydedildiği ve kayıtların veri sorumlusunun internet platformunda yayınlandığı gerekçesiyle gereken işlemin yapılması talep edilmiştir.
Veri sorumlusundan alınan savunma yazısında;
Kurum tarafından yapılan incelemede,
Açık rızanın, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile ya da karşı taraftan gelen istek üzerine, onay vermesi anlamını taşıdığı, açık rızanın, rıza veren kişinin “olumlu irade beyanı”nı içermesi gerektiği ve açık rızanın alınmasının şekil şartına bağlı olmadığını; elektronik ortam ve çağrı merkezi gibi yollarla da alınabileceğini ve ispat yükümlülüğünün veri sorumlusuna ait olduğunu; ancak veri sorumlusunun açık rızaya ait form uygulamasını henüz hayata geçirmemesinden dolayı, ilgili kişinin kişisel verisi olan görüntüsünün Kanunda yer alan herhangi bir kişisel veri işleme şartına dayanmaksızın veri sorumlusu tarafından işlendiği dikkate alındığından, veri sorumlusunun Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı sonucuna varılması nedeniyle, veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına ve söz konusu veri işleme faaliyetinin ancak ilgili kişilerin açık rızası kapsamında gerçekleştirilebileceği dikkate alındığında açık rıza konusunda gerekli düzenlemelerin yapılarak Kuruma bilgi verilmesi hususunda talimatlandırılmasına karar verilmiştir.
Bir veri sorumlusu bünyesinde yer alan internet sitesinin haber içeriğinde kullanılan fotoğrafın kullanılmasında ilgili kişinin açık rızasının bulunmadığı, gerçek dışı haber içeriği sonucu mağduriyet yaşadığı ve ilgili kişinin kişilik haklarının ihlal edildiği gerekçesiyle söz konusu haber içeriği şikâyete konu edilmiştir.
Fotoğrafın yer aldığı içeriğin veri sorumlusunun bünyesinde içerik üreten bir editör tarafından oluşturulduğunun anlaşılmasından dolayı, şirketin somut olay nezdinde veri sorumlusu sıfatını haiz olduğu; ancak bu kapsamda, başvuru konusunun Kanun hükümlerinin uygulama alanı dışında kalıp kalmadığının değerlendirilmesi gerektiği, bu çerçevede, ifade özgürlüğünün bir yansıması olan basın özgürlüğü ile kişilik hakları karşı karşıya geldiğinde haberin
kriterleri kapsamında değerlendirilmesi suretiyle hangi hakka üstünlük tanınması gerektiğinin belirlenmesi gerektiği belirtilerek ilgili kişi açısından bahse konu olayda yer alan haber içeriğinin kamu ilgi ve yararının varlığına sebep olabilecek bir nitelik taşımadığı, haber içeriğinde yer alan bilgilerin ilgili kişi açısından doğru olmadığı ve kişilik haklarını ihlal ettiği hususları göz önünde bulundurulduğunda şikâyet konusu içeriğin Kanunun 28 inci maddesinin (1) numaralı fıkrasının (c) bendi kapsamında değerlendirilemeyeceği ve ilgili kişinin adına vasisinin açık rızası ya da Kanunun 5 inci maddesinde yer alan diğer işleme şartlarından biri olmaksızın ilgili kişiye ait fotoğrafın veri sorumlusu bünyesinde çalışan bir editör tarafından ilgili kişi ile ilgili olmayan yanlış bir içerikle internet sitesinde yayımlandığı dikkate alındığında, veri sorumlusunun Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin (1) numaralı fıkrasının (a) bendinde öngörülen yükümlülüğünü yerine getirmediği sonucuna varılmış olup veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına karar verilmiştir.
E) AVUKATLARA VE AVUKATLAR TARAFINDAN YÜRÜTÜLEN FAALİYETLERE İLİŞKİN KARARLAR
İlgili kişinin kardeşine ait borç için başlatılan icra takibi kapsamında bir avukat tarafından ilgili kişiye haciz ihbarnamesi gönderildiği, veri sorumlusu avukata başvurulduğu; ancak başvuruya cevap verilmediği, ilgili kişinin rızası alınmadan kişisel verisinin icra dairesine verildiği gerekçesiyle veri sorumlusu avukat hakkında gerekli işlemin yapılması talep edilmiştir.
Veri sorumlusu avukat savunmasında;
Kurum ise yaptığı incelemede; alacaklı ve vekili arasındaki vekalet ilişkisi gereğince icra müdürlüğünce ilgili kişinin kişisel verisinin işlenmesinin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (a) ve (e) bentlerinde yer alan “kanunlarda açıkça öngörülme” ve “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” şartına dayanarak gerçekleştirildiği, bu çerçevede ilgili şikayete ilişkin olarak Kanun kapsamında tesis edilebilecek bir işlem bulunmadığına ve veri sorumlusu avukata, ilgili kişilerin kişisel verilerine ilişkin Kanunun 11 inci maddesi kapsamına giren taleplerine yine Kanunun 13 üncü maddesi gereğince süresi içinde başvuruya cevap vermesi gerektiğinin hatırlatılmasına karar vermiştir.
İş sözleşmesinin sendikal nedenle feshedildiğini iddia eden bir işçi hakkında, veri sorumlusu avukat tarafından açılan işe iade davasına ilişkin dava dilekçesinde, aynı işyerinde çalışan ilgili kişinin de işveren baskısı sonucu sendikalılıktan ayrıldığına dair, ilgili kişi ismine ve sendikalılık bilgisine yer verilmesi, özel nitelikli kişisel verisinin rızası olmaksızın işlendiği gerekçesi ile, söz konusu iş yerinde çalışmaya devam eden ilgili kişi tarafından şikâyete konu edilmiştir.
Kurum tarafından, “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6 ncı maddesinin (1) numaralı fıkrasında özel nitelikli kişisel verilerin “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” olarak sayıldığı, yine aynı maddenin (2) numaralı fıkrasında özel nitelikli kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (3) numaralı fıkrasında ise birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebileceğinin düzenlendiği, 4857 sayılı İş Kanununun 20 nci maddesinin (2) numaralı fıkrasının “Feshin geçerli bir sebebe dayandığını ispat yükümlülüğü işverene aittir. İşçi, feshin başka bir sebebe dayandığını iddia ettiği takdirde, bu iddiasını ispatla yükümlüdür” hükmünü haiz olduğu ve fesihlerin sendikal nedene dayandığı hususunda ispat yükünün işçide bulunduğu, bu nedenle ispat külfetinin veri sorumlusu avukata ait olduğu davada, müvekkili ile aynı işyerinde çalışan ilgili kişinin sendikalılıktan ayrılmış olma bilgisinin dosyayla ilgili olması sebebiyle, Avukatlık Kanununun 2 nci maddesinde yer alan hüküm ve Hukuk Muhakemeleri Kanununun 119 uncu maddesi uyarınca işe iade dava dilekçesinde ilgili kişinin kişisel verilerinin kullanmasının Kanunun 6 ncı maddesine aykırılık teşkil etmediği kararına varıldığından Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.
F) KİMLİK BİLGİLERİNİN TELEFON MARİFETİYLE FOTOĞRAFLANMASINA İLİŞKİN KARARLAR
İhbar sahibi, ablası adına kayıtlı hattın taşıma işlemi için bir telekomünikasyon şirketinin bayisine uğrayarak, kişinin ablasının kimliğinin bayide çalışan bir şahsa ait olan telefon ile fotoğraflandığını ve çalışanların fotoğrafı şirketlerine ait bir uygulama üzerinden sisteme yüklediğini görmüştür. İhbar sahibi bu durumun veri güvenliğini tehlikeye düşürdüğünü iddia ederek konu hakkında gerekli incelemenin yürütülmesini talep etmiştir.
Buna ilaveten Kurul, 4 üncü maddesinin (2) numaralı fıkrası çerçevesinde, kişisel verilerin işlenmesindeki genel ilkelere uyum sağlanmasına ilişkin veri sorumlusunun personelin şahsî cihazlarından ziyade bayilere tanımlanmış, düzenli olarak denetlenen ve takibi yapılan kurumsal cihazlar vasıtasıyla iş ve işlemlerinin yürütülmesi usulünün hızlandırılması hususunda talimatlandırılmasına ve Kanunun 10 uncu maddesinde düzenlenen aydınlatma yükümlülüğünün gereklerinin yerine getirilmesini teminen bayilerde numara taşıma işlemi yapan ilgili kişilere kurumsal bir uygulama üzerinden kimlik fotokopilerinin kayıt edildiğine dair aydınlatmanın yapılması hususunda veri sorumlusunun talimatlandırılmasına karar vermiştir.
Şikayette bulunan ilgili kişinin evine internet hizmeti alımı talebini karşılamak amacıyla şirket yetkilileri gelmiştir. Şirket yetkilileri, kişinin kimlik bilgilerini sözleşme üzerine yazmış ayrıca kimlik fotoğrafının da çekilmesini talep etmiştir. İlgili kişi, kimlik üzerine “Müstenidattır” yazısı ekleyerek fotoğraf çekmelerini istemiş ancak yetkililer bunun firma tarafından kabul edilmediğini ifade etmiştir. Bunun üzerine kişi hizmet alımını reddederek veri sorumlusundan kimlik bilgilerinin silinmesini talep etmiş, ancak kimliğin şirketin daha sonraki olası işlemlerde kendisini hatırlaması amacıyla saklandığı belirtilmiştir. Bunun üzerine, ilgili kişi Kanun kapsamında gereğinin yapılmasını talep etmiştir.
Kurul yaptığı incelemede; ilgili kişi ile veri sorumlusu şirket arasında hizmet sözleşmesi kurulmasını teminen ilgili kişinin kimlik verilerinin işlendiğini; ancak ilgili kişi tarafından sonradan sözleşme kurulmasından vazgeçilmesi sebebiyle verilerin silinmesi talebinde bulunulduğu, ancak ilgili kişinin veri sorumlusu hakkında muhtelif mercilere yapabileceği şikayetler kapsamında sınırlı düzeyde kişisel verilerinin işlenmesinin zorunlu olduğu dikkate alındığında Kanunun 5 inci maddesinin (2) numaralı fıkrasının (e) bendinde yer alan “bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması” hükmü uyarınca veri sorumlusu tarafından ilgili kişiye ait asgari düzeyde kimlik verisinin işlenmesinde hukuka aykırılık bulunmadığına ve söz konusu verilerin amaçla bağlantılı olarak asgari süreyle sınırlı olarak saklanması ve amacı dışında kullanılmaması ile veri sorumlusu tarafından sözleşme vasıtasıyla işlenen kişinin diğer verilerinin ise imha politikasına uygun bir şekilde imha edilmesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.
G) ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ VE KİŞİSEL VERİLERİN YURT DIŞINA AKTARIM AÇISINDAN AÇIK RIZAYA DAYANILMASI, İLGİLİ KİŞİ BAŞVURUSU AÇISINDAN VERİ İŞLEYENİN VERİ SORUMLUSU ADINA İLGİLİ KİŞİ TALEPLERİNİ CEVAPLAYABİLMESİNE İLİŞKİN KARAR
Sınava giren adayların kimliklerinin doğrulanmasına ilişkin alınan parmak taraması konusunda ise yine; Türkiye’deki şirketin, yurt dışı merkezli şirketin emir ve talimatlarıyla hareket etmek zorunda olduğu ve parmak taraması alınması yönündeki kişisel veri işleme faaliyetinin zorunlu olarak yapıldığı anlaşıldığından, Türkiye’deki iştirakin yine veri işleyen, yurt dışı merkezli şirketin ise veri sorumlusu olduğu,
Buna göre Kurul;
Yayınlara dön