A-

A+

KİŞİSEL VERİLERİ KORUMA KURUMU TARAFINDAN 27.12.2021 TARİHİNDE YAYINLANAN KARAR ÖZETLERİ

27 Aralık 2021 tarihinde Kişisel Verileri Koruma Kurulu tarafından 14 tane karar yayımlanmıştır. Bu kararları kategorize ederek aşağıdaki başlıklarda özetledik. Buna göre, kararların bir kısmı kişisel verilerin hukuka aykırı işlenmesi ve açık rıza kavramını incelerken, bir kısmı da ilgili verilerin üçüncü kişilerle paylaşılmasına ve verilerin imha edilmesine dikkat çekmiştir. Buna ilaveten, kararların bir kısmı da sektör bazında ayrıma giderek avukatların veri işleme süreçlerine değinerek, aynı zamanda kimlik bilgilerinin telefon marifetiyle fotoğraflanmasına ve ilgili kişi başvurusu açısından veri işleyenin veri sorumlusu adına ilgili kişi taleplerini cevaplayabilmesine ilişkin kararlara imza atmıştır. Hazırladığımız özetleri bilginize sunuyoruz.

A) KİŞİSEL VERİLERİN HUKUKA AYKIRI İŞLENMESİNE İLİŞKİN KARAR

  1. “Veri sorumlusu kargo firması tarafından ilgili kişi adına sehven fatura düzenlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 30/09/2021 tarihli 2021/993 sayılı Karar Özeti

Başvurucu tarafından, herhangi bir hizmet almamasına rağmen, veri sorumlusu kargo şirketi tarafından ilgili kişinin e-posta adresine kendisi adına düzenlenen bir fatura gönderilmiş olup, veri sorumlusuna başvuru üzerine verilen yanıtta, faturalandırma işleminin sehven ilgili kişi adına yapıldığı belirtilmiş ve ilgili kişinin kişisel verilerinin kayıtlı olduğu meslek kuruluşuna kayıtlı üyelerin indirimli gönderim ücretlerinden yararlanmasını sağlayan sözleşme kapsamında işlendiği ve Şirket arşivinde bulunduğu ifade edilmiştir. Bunun üzerine, başvurucu tarafından veri sorumlusunun kanuni işleme şartına dayanmaksızın veri işlediği ve kişisel verilerinin silinmesi talebinin veri sorumlusu tarafından yerine getirilmediği gerekçesiyle konu, ilgili kişi tarafından şikâyete konu edilmiştir.

Kurul tarafından yapılan incelemede, söz konusu meslek kuruluşu ile yapılan kampanya kapsamında ilgili kişinin üye olup olmadığının tespit edilebilmesi için kullanılan sistem nezdinde işlenen kişisel verilerin, Kanunun 5 inci maddesinin (1) numaralı fıkrasının (c) bendi kapsamında sözleşmenin ifasıyla doğrudan ilgili olması hukuki şartına dayanarak işlendiği ve ilgili kişinin kişisel verilerinin veri sorumlusu tarafından temin edilmesinin hukuka uygun olduğu tespit edilmiş; ancak hukuka uygunluk sebebi bulunmaksızın ilgili kişi adına fatura düzenlenmesi suretiyle gerçekleştirilen kişisel işleme faaliyetinin hukuka aykırı olduğu vurgulanarak; bu kapsamda veri sorumlusunun Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendi çerçevesinde kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılması nedeniyle; veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına, veri sorumlusunun ilgili mevzuat gereği, işlenen kişisel verileri belirli süreler boyunca muhafaza etmesi gerektiğinden, ilgili kişinin kişisel verilerinin silinmesi talebinin yerine getirilmemesinde bir hukuka aykırılık bulunmadığına karar verilmiştir.

B) KİŞİSEL VERİLERİN SİLİNMESİNE VE İMHA EDİLMESİNE İLİŞKİN KARARLAR

  1. “İlgili kişinin internet alışveriş sayfası üzerinden ev adresine teslim talepli olarak vermiş olduğu siparişlerinin veri sorumlusu kargo şirketi tarafından, hiçbir suretle belirtmediği halde işyeri adresine gönderilmesi” hakkında Kişisel Verileri Koruma Kurulunun 22/06/2021 tarihli ve 2021/603 sayılı Karar Özeti

İlgili kişi, internet alışveriş sayfası üzerinden ev adresine siparişte bulunmasına rağmen siparişi işyeri adresine teslim edilmiştir. İlgili kişi bunun üzerine veri sorumlusuna başvurmuş ve kişisel verisi olan iş yeri adresinin yok edilmesi talebinde bulunmuştur. Kendisine cevap verilmemesi üzerine ilgili kişi, bu husus hakkında Kişisel Verileri Koruma Kurumu’na başvuruda bulunmuştur.

Kurul yaptığı incelemede;

  • Veri sorumlusu tarafından gönderinin kabulü aşamasında ilgili kişinin adresinin kaydedilmesinin hukuka uygun olduğunu; ancak veri sorumlusu tarafından ilgili kişinin belirtmiş olduğu adresten farklı bir adrese (daha önce ilgili kişinin kargo teslimatlarının yapıldığı iş yeri adresi) teslimatın yönlendirilerek iletişim bilgisinin işlenmesinin Kanunun 5 inci maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanmaksızın gerçekleştiği, dolayısıyla veri sorumlusunun Kanunun 12 nci maddesinin (1) numaralı fıkrasında belirtilen yükümlülüğe aykırı hareket ettiği kanaatine varılması nedeniyle veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı (b) bendi hükmü uyarınca idari para cezası uygulanmasına,
  • İlgili kişinin verilerinin silinmesine yönelik talebi ile ilgili olarak ise, Posta Gönderilerine İlişkin Usul ve Esaslar’ın Posta gönderilerinin kabulü ve teslimi aşamasında yapılacak işlemler başlıklı 4 üncü maddesinde gönderinin kabulü ve teslimi aşamasında en az 2 yıl süreyle saklanacak verilerin açıkça düzenlendiği, ilgili kişinin iş yeri adresine uygun olan son kargo hareketinin 26.02.2019 tarihli olduğu ve sehven yanlış adrese yapılan gönderimin ise 02.11.2019 tarihli olduğunun belirtildiği, bu çerçevede, ilgili kişinin kişisel verisi olan iş yeri adresinin silinmesi/yok edilmesi talebine ilişkin olarak veri sorumlusu bünyesinde Kanunun 7 nci maddesi kapsamında ilgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin ortadan kalkmadığı ve cari bilgilerin pasif hale getirildiği dikkate alındığında Kanun kapsamında bu çerçevede yapılacak bir işlem olmadığına,
  • Veri sorumlusuna tebliğ edildiği açık olan ilgili kişinin yazılı başvurusunun Kanuna uygun olarak cevaplandırılması için ilgili kişinin yönlendirilmediği, eksik hususların tamamlanmasına yönelik gerekli aksiyonun veri sorumlusu tarafından alınmadığı ve başvurusunun cevapsız bırakıldığı, dolayısıyla Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin 6 ncı maddesinin (1) numaralı fıkrasında belirtildiği üzere, ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almadığı değerlendirildiğinden, veri sorumlusunun ilgili kişinin başvurusundaki eksik hususların tamamlanmasına yönelik gerekli aksiyonları alması ve Tebliğ hükümlerine azami özeni göstermesi hususunda talimatlandırılmasına karar verilmiştir.
  1. “İlgili kişinin, doğal gaz dağıtımı yapan bir şirket tarafından düzenlenen faturasında kişisel verisi niteliğindeki banka bilgisine yer verilmesi” hakkında Kişisel Verileri Koruma Kurulunun 06/07/2021 tarihli ve 2021/664 sayılı Karar Özeti

İlgili kişi, doğal gaz dağıtım hizmeti veren bir şirketin abonesidir. Anılan şirkete ödeme yapması üzerine düzenlenen faturada, “Otomatik Ödeme Talimatı” bölümünde, ödeme yaptığı banka adı bilgisine yer verilmesinden dolayı faturalardan banka adı bilgisinin silinmesine ilişkin veri sorumlusu şirkete başvuruda bulunmuştur. Veri sorumlusundan kendisine olumsuz yanıt gelmesi üzerine, Kişisel Verileri Korunması Kanunu (“Kanun”) kapsamında gereğinin yapılmasını talep etmiştir.

Kurul yaptığı incelemede;

  • İlgili kişinin düzenlenen faturalardan banka adı bilgisinin silinmesi talebine yönelik veri sorumlusuna yaptığı başvuruya veri sorumlusu tarafından olumsuz yanıt verildiği iddiasına ilişkin olarak ise; veri sorumlusunca talep sonrası düzenlenen hiçbir faturada banka adı bilgisine yer verilmediği görüldüğü ve bu kapsamda ilgili kişinin talebinin yerine getirildiği kanaatine varıldığından hareketle;
  • Faturada yer verilen kişisel veri niteliğindeki banka adı bilgisinin, doğrudan ilgili kişiden elde edilmediği, ilgili kişinin faturalarının ödenmesini teminen bankaya verdiği otomatik ödeme talimatı dolayısıyla veri sorumlusu ile ilgili kişi arasında düzenlenen Doğalgaz Abonelik Sözleşmesi kapsamında Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” işleme şartına dayanılarak işlendiği; öte yandan ilgili kişinin söz konusu banka adı bilgisinin faturada yer alması nedeniyle herhangi bir hak ihlali yaşadığının tespit edilemediği ve veri sorumlusunun ilgili kişinin talebini yerine getirdiği hususları dikkate alındığında bu aşamada şikayete konu iddialar ile ilgili olarak Kanun kapsamında yapılacak bir işlem olmadığına;

karar verilmiştir.

  1. “İlgili kişinin veri sorumlusu bankaya yaptığı iş başvurusunun olumsuz sonuçlanması sonrası kişisel verilerinin işlenmeye devam etmesi” hakkında Kişisel Verileri Koruma Kurulunun 06/07/2021 tarih ve 2021/670 sayılı Karar Özeti

İlgili kişi, veri sorumlusu tarafından kurulmuş olan internet sitesi üzerinden iş başvurusunda bulunup kişisel verilerini içerir bilgileri veri sorumlusuyla paylaşmıştır. Mülakat neticesinde başarılı olamayıp bu sebeple veri sorumlusunun sisteminde kalan tüm kişisel verilerinin silinmesi adına veri sorumlusuna başvuruda bulunmuş; ancak veri sorumlusu tarafından kişisel verilerinin veri sorumlusuna yapacağı olası başvurular için saklanacağı belirtilmiştir. Bunun üzerine, ilgili kişi veri sorumlusu ile tekrar iletişime geçip veri sorumlusuna ilişkin herhangi bir iş talebi veya ilgisi olmadığını iletmesine rağmen, kişisel verilerinin silinmemesinden dolayı, Kuruma şikayette bulunmuştur.

Veri sorumlusu savunmasında;

  • İlgili kişinin iş başvurusunun kabul edilmemesinin akabinde; işlenen kişisel verilerin, ilgili kişinin talebi üzerine silindiği; ancak söz konusu kişisel verilerden yalnızca isim-soy isim ve kimlik numarasının muhafaza edildiği, bu verilerin muhafaza edilmesindeki amacın ise veri sorumlusuna iş başvurusunda bulunan kişilerin, reddedilen başvuru sonrasındaki dönemlerde yapacakları iş başvurularının değerlendirmesinde, önceki başvurusunun da dikkate alınabilmesi olduğu, zira bu şekilde sonraki başvurularda gerçeğe aykırı verilerle karşılaşmanın önüne geçilmesinin amaçlandığı ve
  • İlgili kişinin ikinci başvurusunda, isim-soy isim ve kimlik bilgisi verilerinin de silinmesini talep ettiğinin anlaşıldığı, ilgili kişinin kişisel verisi üzerindeki tasarruf yetkisinin öncelikli olduğu düşüncesinden hareketle ilgili kişinin isim-soy isim ve kimlik bilgilerinin de silinmesi kararının alındığı ve ilgili kişiye kişisel verilerinin ilk periyodik imha işleminde silineceği bilgisinin iletildiği

ifade edilmiştir.

Kurul yaptığı incelemede;

  • İlgili kişinin veri sorumlusuna yaptığı ilk müracaata istinaden veri sorumlusu banka tarafından verilen yanıtta yer alan “ilgili kişinin olası iş başvuruları adına kimlik bilgileri, ad, soyadı bilgilerinin bankanın meşru menfaati çerçevesinde saklanacağı” ifadesinde muğlaklık söz konusu olduğu ve meşru menfaati çerçevesinde veri işlemesinin, veri sorumlusuna sınırsız bir alan tanımadığı,
  • İlgili kişinin verilerinin tamamının silinmesi talebine karşın veri sorumlusunun bahse konu verileri ilk periyodik imhada dikkate alacağına yönelik açıklamasının veri sorumlusunun söz konusu menfaate ulaşılabilmesi bakımından kişisel veri işlenmesinin zorunluluk arz etmediğinin bir göstergesi olduğu, dolayısıyla, veri sorumlusunun işleme faaliyetinden sağlaması beklenen yararın kişisel veri işlenmeksizin başkaca bir yol ve yöntemle elde edilebileceği ve söz konusu veri işleme faaliyetinin çok sayıda kişiyi etkileyecek şekilde kurumsal bir fayda sağlamadığı değerlendirildiğinden söz konusu kişisel verilerin işlenmesinde veri sorumlusunun meşru menfaatinin ilgili kişinin temel hak ve özgürlüklerine baskın gelmediği

ifade edilmiştir.

Kurul tüm bu değerlendirmelerden hareketle;

  • İlgili kişinin veri sorumlusuna yaptığı iş müracaatının olumsuz sonuçlanması üzerine veri sorumlusu tarafından işlenen kişisel verilerinin silinmesi talebinin veri sorumlusu tarafından önce kısmen kabul görerek ad, soyadı ve kimlik bilgilerinin işlenmesine devam edilmesi, sonrasında ise ilgili kişinin veri sorumlusuna aynı bağlamda yapılan ikinci başvurusu sonucunda yapılan değerlendirmede, söz konusu verilerin veri sorumlusunun imha politikası çerçevesinde gerçekleştirilecek ilk periyodik imha sürecinde imha edileceği kararının alındığının bildirilmesi dolayısıyla, ilgili kişinin talebine karşın kişisel verilerinin Kişisel Verilerin Silinmesi Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 12 inci maddesi gereğince 30 gün içerisinde silinmemiş olmasının ve Kanunun 5 inci maddesinde yer alan herhangi bir işleme şartına dayanmaksızın ilgili kişinin kişisel verilerinin işlenmeye devam edilmesinin veri sorumlusunun Kanunun 12 inci maddesinin (1) numaralı fıkrası kapsamında kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığını gösterdiği kanaatine varıldığından veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına,
  • İlgili kişinin kişisel verilerinin imha edilerek ilgili kişiye ve Kurula konu hakkında bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına ve iş müracaatı olumsuz sonuçlanmış başka kişilerin bulunması durumunda onların da kişisel verilerinin Kanunun 7 nci maddesi hükümleri çerçevesinde imha edilmesi ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.
  1. “İlgili kişinin bir web sitesinden kişisel verilerinin silinmesi talebinin veri sorumlusu tarafından yerine getirilmemesi” hakkında Kişisel Verileri Koruma Kurulunun 26/08/2021 tarihli ve 2021/847 sayılı Karar Özeti

İlgili kişinin Kuruma intikal eden şikâyetinde özetle; bir şirkete ait web sitesi üzerinden daha önce kullandığı ancak şu anda kullanmadığı adres bilgilerinin silinmesini talep ettiği ancak bu yöndeki talebinin iki kez reddedildiği ve silme işleminin gerçekleştirilmeyeceğinin bildirildiği beyan ve iddiaları ile veri sorumlusu hakkında gerekli yasal işlemlerin yapılması talep edilmiştir.

Kurul yaptığı incelemede; bireysel hesap üzerinde güncel adres bilgilerinin bulunması gereken alanda hâlihazırda kullanılmayan adres bilgilerinin de yer aldığı ve bu adres bilgileri üzerinde ilgili kişiler tarafından herhangi bir işlem yapılamadığı dikkate alındığında, Kanunun 4 üncü maddesinin (2) numaralı fıkrasının (b) bendinde yer alan kişisel verilerin “doğru ve gerektiğinde güncel olma” ilkesinin yerine getirilebilmesi ve bu kapsamda kişisel verilerin güncellenmesine/imha edilmesine ve güncel olmayan kişisel verilerin ilgili kişilere gösterilmemesine imkân sağlayacak kanalların oluşturulması ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.

C) KİŞİSEL VERİLERİN ÜÇÜNCÜ KİŞİYE AKTARILMASINA İLİŞKİN KARARLAR

  1. “Şikâyetçinin yeni doğan bebeğine ait doğum belgesinde yer alan kişisel verilerin üçüncü kişiler tarafından Özel Hastane olarak faaliyet gösteren veri sorumlusundan hukuka aykırı olarak ele geçirilmesi” hakkında Kişisel Verileri Koruma Kurulunun 06/07/2021 tarihli ve 2021/666 sayılı Karar Özeti

İlgili kişinin oğlunun doğum belgesinin bilgisayar ekranı fotoğrafı, hastaneden ilgili kişinin eski eşi tarafından temin edilmiş ve oğlunun doğum belgesi Aile Mahkemesinde görülen dosyaya delil olarak sunulmuştur. İlgili kişi hastaneye yazılı olarak başvurmuş, ancak başvurusuna bir cevap verilmemiştir. Bunun üzerine ilgili kişi, Kurum’a başvuruda bulunmuştur.

Veri sorumlu hastaneden savunması istenmiş ve veri sorumlusu hastane savunmasında;

  • Doğumhane/bebek odasındaki hastaların bilgilerinin takip edildiği ekrana, ilgili birimde çalışanların ve hemşirelerin erişim yetkisinin bulunduğu ve bu kişilerin Kişisel Verilerin Korunması Kanunu ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında eğitim aldığı
  • Şikâyetçinin yapmış olduğu suç duyurusu üzerine adı geçen iki şüphelinin de görevliye fark ettirmeden gizlice ekran görüntüsünü çektikleri ve bu hususun zapt altına alındığı

ifade edilmiştir.

Kurul yaptığı incelemede;

  • Veri sorumlusu bünyesinde kayıt altına alınan kişisel verilerin yer aldığı ve doğumhane/bebek odasındaki hastaların bilgilerinin takip edildiği sisteme Kanuna aykırı olarak üçüncü kişiler tarafından erişim sağlandığı, şikâyete konu olan ekran görüntüsünün hastanenin veri kayıt sistemine ait ekrandan temin edildiği ve şikâyete konu olan ekran görüntüsünün çekildiği dikkate alındığında, bu konuda veri sorumlusu hastanenin gerekli teknik ve idari tedbirleri almadığı; bu minvalde veri güvenliğine ilişkin yükümlülüklerin düzenlendiği Kanunun 12 inci maddesinin (1) numaralı fıkrasına aykırı hareket ettiği değerlendirildiğinden, veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına,
  • Veri sorumlusunun Kanun kapsamında kendisine yapılan başvurularda Kanunun 13 üncü maddesi ve Tebliğin 6 ncı maddesine uygun olarak hareket etmesi yönünde uyarıda bulunulmasına, bu minvalde, ilgili kişiye veri sorumlusu tarafından cevap verilememesi nedeniyle ilgili kişinin başvurusunda talep ettiği hususlara ilişkin olarak cevap verilmesi ve ilgili kişiye verilen cevaba dair Kurula bilgi verilmesi hususlarında veri sorumlusunun talimatlandırılmasına karar verilmiştir.
  1. “Kişisel sağlık verilerinin hastanedeki yetkisiz çalışanlar tarafından velayete sahip olmayan ebeveyn ile paylaşılması” hakkında Kişisel Verileri Koruma Kurulunun 06/08/2021 tarihli ve 2021/761 sayılı Karar Özeti

Şikayetçinin aralarında boşanma davası devam eden eşi, müşterek çocuklarını taciz ettiği iddiasıyla yargılanmakta olup istinaf dilekçesinde çocuklarına ait sağlık raporlarına yer verilmiştir. Anılan sağlık raporunun şikayetçi annenin izni olmadan hastane tarafından hapiste bulunan eşinin vekiline Çocuk Hastalıkları Uzmanı doktoru tarafından verildiği; ancak şikayetçinin çocuğunu söz konusu doktora hiç muayeneye götürmediği anlaşılmıştır. Konu hakkında ilgili Cumhuriyet Başsavcılığına suç duyurusunda bulunulmuş ve doktorun açık ikrarına rağmen Valilikçe soruşturma izni verilmemiştir. Bunun üzerine, ilgili kişinin kişisel verilerini hukuka aykırı olarak işleyen ve velisinin rızası dışında kullanan veri sorumlusu hakkında gerekli idari yaptırımların uygulanması talep edilmiştir.

A.    Valilik İl İdare Kurulu Müdürlüğünce alınan Kararda özetle;

·        Sağlık raporunun sisteme arşiv memuru tarafından eklendiği, raporlarda değişiklik yapılmadığının görüldüğü, tüm poliklinik hasta kayıt personeli ve doktorların tüm hastaların dosyalarını görme yetkisine sahip olduğu, 

  • Doktorun söz konusu belgeleri verdiği ikrarı ile; hekimin yoğun poliklinik şartları altında, kendisine yapılan tüm taleplerle ilgili yasaları bilmesinin mümkün olmadığı, muhatap olduğu hastaların kendisini ifade edemeyecek, 18 yaşın altındaki bireylerden oluşması ve raporları talep eden kişinin avukat olması ve müvekkilinin çocuğuna dair sağlık bilgilerini talep etmesi nedeniyle teslim etmesinden dolayı doktorun bilerek ve isteyerek bir kişinin mağduriyetine sebep olma isteği taşıyamayacağının anlaşılması nedeniyle, Valilik tarafından soruşturma izni verilmemesine karar verildiği bilgileri yer almaktadır.

Kurul yaptığı incelemede;

  • Kişisel Sağlık Verileri Hakkında Yönetmeliğin 8. Maddesinin “Anne ve babanın boşanması halinde velayet hakkı üzerinde bırakılmayan taraf, çocuk ile velinin faydası gözetilmek suretiyle kişisel verilerin korunması mevzuatına uygun şekilde ve Genel Müdürlükçe belirlenen sınırlar çerçevesinde çocuğa ilişkin sağlık verilerine erişebilir.” Şeklinde düzenlendiği, aynı Yönetmeliğin 10. Maddesinin ise, “Avukatlar, müvekkilinin sağlık verilerini genel vekaletname ile talep edemezler. Müvekkiline ait sağlık verilerinin avukata aktarılması için düzenlenmiş olan vekaletnamede, ilgili kişinin özel nitelikli kişisel verilerinin işlenmesi ve aktarılmasına ilişkin açık rızasını gösteren özel bir hüküm bulunması gerekir.” Şeklinde düzenlendiği,
  • Veri sorumlusu nezdinde görevli çocuk doktorunun söz konusu bilgileri kendi branşı dışında görüntülediğinin anlaşılması ve çıktısını almak suretiyle üçüncü bir kişiyle, gerek vekâletnamede avukat ile özel nitelikli kişisel verilerin paylaşılabileceği yönünde özel bir hüküm bulunmaması gerekse de çocuğun geçici velayetinin o esnada annesinde bulunması bakımından Kanuna aykırı bir şekilde paylaştığı, anılan doktorun söz konusu bilgi ve belgeleri paylaşımının hastanın muayene ve tedavisi amacıyla bağlantılı, sınırlı ve ölçülü olmadığı

ifade edilmiştir.

Kurul bu incelemelerinden hareketle;

  • Veri sorumlusu Sağlık Bakanlığı bünyesindeki çalışanların takip edebilecekleri ayrı bir politika hazırlaması gerektiği hususunda veri sorumlusunun talimatlandırılmasına,

·        İdari bir tedbir olarak ilgili Eğitim ve Araştırma Hastanesi çalışanlarının kişisel verilerin korunması uyum çalışmaları kapsamında eğitim alması, alınan eğitim belgelerinin Kuruma sunulması hususunda veri sorumlusunun talimatlandırılmasına,

·        Kişisel verilerin güvenliğinin sağlanması açısından teknik bir tedbir olarak hastane otomasyon sisteminin erişim loglarının görüntüleme işlemi de dâhil olmak üzere tutulmasını sağlamak için sistemin güncellenmesi ve Kuruma bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,

·        Hastanedeki tüm doktor ve hasta kayıt personelinin tüm hasta kayıtlarına erişmesi yerine, yalnızca hastaların muayene ve tedavisi ile ilgili olarak çalışan personelin ve doktorların söz konusu verilere erişmesine dair yetki matrisinin net bir şekilde ortaya konulması hususunda veri sorumlusunun talimatlandırılmasına,

·        Hastane otomasyon sisteminden hasta kayıt örneklerinin çıktı alınması konusunda belirli prosedürlerin ve yetkili personelin belirlenmesi hususunda veri sorumlusunun talimatlandırılmasına ve sonucundan Kurula bilgi verilmesine,

·        Veri sorumlusu bünyesinde çalışan kişinin, ilgili kişinin çocuğuna ait özel nitelikli kişisel verileri ilgili avukata 6698 sayılı Kanunun 8 inci maddesinde yer alan aktarım şartlarından herhangi birine dayanmadan aktardığı, bu çerçevede veri sorumlusu tarafından Kanunun 12 nci maddesi kapsamında gerekli idari ve teknik tedbirlerin alınmadığı kanaatine varıldığından, Kanunun 18 inci maddesinin (3) numaralı fıkrası uyarınca ilgili kamu kurum ve kuruluşundaki sorumlular hakkında disiplin hükümlerine göre işlem yapılmasına ve sonucundan Kurula bilgi verilmesine

karar verilmiştir.

D) İLGİLİ KİŞİLERİN GÖRSEL VERİLERİNİN İŞLENMESİ AÇISINDAN AÇIK RIZA KAVRAMINA İLİŞKİN KARARLAR

  1. “İlgili kişinin, bir spor tesisi tarafından açık rızası alınmaksızın yer aldığı müsabakaların kaydedilip yayınlanması” hakkında Kişisel Verileri Koruma Kurulunun 03/09/2021 tarihli ve 2021/889 sayılı Karar Özeti

Halı saha işletmeciliği yapan veri sorumlusu hakkında, tesislerde spor yapanların rızaları alınmadan görüntülerinin kaydedildiği ve kayıtların veri sorumlusunun internet platformunda yayınlandığı gerekçesiyle gereken işlemin yapılması talep edilmiştir.

Veri sorumlusundan alınan savunma yazısında;

  • Tesislerinin sosyal alanlarında poster ve afişlerle tesiste oynanan maçların yayınlandığı hususunun tesise gelen her ziyaretçinin kolaylıkla fark edebileceği şekilde açıkça duyurulduğu ve ilgili kişilerin bu yolla aydınlatıldığını,
  • Tesiste olan tüm ilgili kişilerin açık rızasının alınabilmesi için açık rıza formlarının hazırlanıp pilot tesislerde uygulanmaya başladığına yer verilmiştir.

Kurum tarafından yapılan incelemede,

Açık rızanın, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile ya da karşı taraftan gelen istek üzerine, onay vermesi anlamını taşıdığı, açık rızanın, rıza veren kişinin “olumlu irade beyanı”nı içermesi gerektiği ve açık rızanın alınmasının şekil şartına bağlı olmadığını; elektronik ortam ve çağrı merkezi gibi yollarla da alınabileceğini ve ispat yükümlülüğünün veri sorumlusuna ait olduğunu; ancak veri sorumlusunun açık rızaya ait form uygulamasını henüz hayata geçirmemesinden dolayı, ilgili kişinin kişisel verisi olan görüntüsünün Kanunda yer alan herhangi bir kişisel veri işleme şartına dayanmaksızın veri sorumlusu tarafından işlendiği dikkate alındığından, veri sorumlusunun Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı sonucuna varılması nedeniyle, veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına ve söz konusu veri işleme faaliyetinin ancak ilgili kişilerin açık rızası kapsamında gerçekleştirilebileceği dikkate alındığında açık rıza konusunda gerekli düzenlemelerin yapılarak Kuruma bilgi verilmesi hususunda talimatlandırılmasına karar verilmiştir.

  1. “İlgili kişiye ait görselin, açık rızası alınmaksızın bir internet sitesinde yer alan haber içeriğinde kullanılması” hakkında Kişisel Verileri Koruma Kurulunun 30/09/2021 tarihli 2021/989 sayılı Karar Özeti

Bir veri sorumlusu bünyesinde yer alan internet sitesinin haber içeriğinde kullanılan fotoğrafın kullanılmasında ilgili kişinin açık rızasının bulunmadığı, gerçek dışı haber içeriği sonucu mağduriyet yaşadığı ve ilgili kişinin kişilik haklarının ihlal edildiği gerekçesiyle söz konusu haber içeriği şikâyete konu edilmiştir.

Kurul yaptığı incelemede;

Fotoğrafın yer aldığı içeriğin veri sorumlusunun bünyesinde içerik üreten bir editör tarafından oluşturulduğunun anlaşılmasından dolayı, şirketin somut olay nezdinde veri sorumlusu sıfatını haiz olduğu; ancak bu kapsamda, başvuru konusunun Kanun hükümlerinin uygulama alanı dışında kalıp kalmadığının değerlendirilmesi gerektiği, bu çerçevede, ifade özgürlüğünün bir yansıması olan basın özgürlüğü ile kişilik hakları karşı karşıya geldiğinde haberin

  • Kamu ilgi ve yararı taşıması, 
  • Gerçek ve güncel olması, 
  • Özü ile biçimi arasındaki denge

kriterleri kapsamında değerlendirilmesi suretiyle hangi hakka üstünlük tanınması gerektiğinin belirlenmesi gerektiği belirtilerek ilgili kişi açısından bahse konu olayda yer alan haber içeriğinin kamu ilgi ve yararının varlığına sebep olabilecek bir nitelik taşımadığı, haber içeriğinde yer alan bilgilerin ilgili kişi açısından doğru olmadığı ve kişilik haklarını ihlal ettiği hususları göz önünde bulundurulduğunda şikâyet konusu içeriğin Kanunun 28 inci maddesinin (1) numaralı fıkrasının (c) bendi kapsamında değerlendirilemeyeceği ve ilgili kişinin adına vasisinin açık rızası ya da Kanunun 5 inci maddesinde yer alan diğer işleme şartlarından biri olmaksızın ilgili kişiye ait fotoğrafın veri sorumlusu bünyesinde çalışan bir editör tarafından ilgili kişi ile ilgili olmayan yanlış bir içerikle internet sitesinde yayımlandığı dikkate alındığında, veri sorumlusunun Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin (1) numaralı fıkrasının (a) bendinde öngörülen yükümlülüğünü yerine getirmediği sonucuna varılmış olup veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına karar verilmiştir.

E) AVUKATLARA VE AVUKATLAR TARAFINDAN YÜRÜTÜLEN FAALİYETLERE İLİŞKİN KARARLAR

  1. “İlgili kişinin kardeşine ait borca dair yürütülen icra takibi kapsamında, veri sorumlusu avukat tarafından ilgili kişinin kişisel verilerinin İcra Müdürlüğüne iletilmesi” hakkında Kişisel Verileri Koruma Kurulunun 09/09/2021 tarihli ve 2021/909 sayılı Karar Özeti

İlgili kişinin kardeşine ait borç için başlatılan icra takibi kapsamında bir avukat tarafından ilgili kişiye haciz ihbarnamesi gönderildiği, veri sorumlusu avukata başvurulduğu; ancak başvuruya cevap verilmediği, ilgili kişinin rızası alınmadan kişisel verisinin icra dairesine verildiği gerekçesiyle veri sorumlusu avukat hakkında gerekli işlemin yapılması talep edilmiştir.

Veri sorumlusu avukat savunmasında;

  • Borçlunun ikamet adresinin bulunamadığı, dolayısıyla müvekkilinin alacağını tahsil etmek amacıyla ne bir haciz yapılabildiği ne de bir tebligat gönderilebildiği,
  • Takibin kesinleşmesi üzerine ve alacaklının talebi ile icra dairesinin, borçlunun üçüncü kişideki alacağının haczine karar vererek, haciz tutanağı düzenleyeceği ve bu haczi üçüncü kişiye bir haciz ihbarnamesi göndermek suretiyle bildireceği; bu ihbarnameye birinci haciz ihbarnamesi dendiği, dolayısıyla, haciz ihbarnamesi gönderilmesinde hiçbir hukuka aykırılığın söz konusu olmadığı ifade edilmiştir.

Kurum ise yaptığı incelemede; alacaklı ve vekili arasındaki vekalet ilişkisi gereğince icra müdürlüğünce ilgili kişinin kişisel verisinin işlenmesinin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (a) ve (e) bentlerinde yer alan “kanunlarda açıkça öngörülme” ve “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” şartına dayanarak gerçekleştirildiği, bu çerçevede ilgili şikayete ilişkin olarak Kanun kapsamında tesis edilebilecek bir işlem bulunmadığına ve veri sorumlusu avukata, ilgili kişilerin kişisel verilerine ilişkin Kanunun 11 inci maddesi kapsamına giren taleplerine yine Kanunun 13 üncü maddesi gereğince süresi içinde başvuruya cevap vermesi gerektiğinin hatırlatılmasına karar vermiştir.

  1. “İlgili kişinin sendika üyeliği bilgisinin hukuka aykırı şekilde elde edilmesi ve paylaşılması” hakkında 16/09/2021 tarihli ve 2021/925 sayılı Karar Özeti

İş sözleşmesinin sendikal nedenle feshedildiğini iddia eden bir işçi hakkında, veri sorumlusu avukat tarafından açılan işe iade davasına ilişkin dava dilekçesinde, aynı işyerinde çalışan ilgili kişinin de işveren baskısı sonucu sendikalılıktan ayrıldığına dair, ilgili kişi ismine ve sendikalılık bilgisine yer verilmesi, özel nitelikli kişisel verisinin rızası olmaksızın işlendiği gerekçesi ile, söz konusu iş yerinde çalışmaya devam eden ilgili kişi tarafından şikâyete konu edilmiştir.

Kurum tarafından, “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6 ncı maddesinin (1) numaralı fıkrasında özel nitelikli kişisel verilerin “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” olarak sayıldığı, yine aynı maddenin (2) numaralı fıkrasında özel nitelikli kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (3) numaralı fıkrasında ise birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebileceğinin düzenlendiği, 4857 sayılı İş Kanununun 20 nci maddesinin (2) numaralı  fıkrasının “Feshin geçerli bir sebebe dayandığını ispat yükümlülüğü işverene aittir. İşçi, feshin başka bir sebebe dayandığını iddia ettiği takdirde, bu iddiasını ispatla yükümlüdür” hükmünü haiz olduğu ve fesihlerin sendikal nedene dayandığı hususunda ispat yükünün işçide bulunduğu, bu nedenle ispat külfetinin veri sorumlusu avukata ait olduğu davada, müvekkili ile aynı işyerinde çalışan ilgili kişinin sendikalılıktan ayrılmış olma bilgisinin dosyayla ilgili olması sebebiyle, Avukatlık Kanununun 2 nci maddesinde yer alan hüküm ve Hukuk Muhakemeleri Kanununun 119 uncu maddesi uyarınca işe iade dava dilekçesinde ilgili kişinin kişisel verilerinin kullanmasının Kanunun 6 ncı maddesine aykırılık teşkil etmediği kararına varıldığından Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

F) KİMLİK BİLGİLERİNİN TELEFON MARİFETİYLE FOTOĞRAFLANMASINA İLİŞKİN KARARLAR

  1. “Şikayetçinin ablasının kimlik bilgilerinin numara taşıma işlemi adına bir telekomünikasyon şirketinin bayi çalışanına ait telefon marifetiyle fotoğraflanarak kullanılan sisteme yüklenmesi” hakkındaki ihbara ilişkin Kişisel Verileri Koruma Kurulunun 26/08/2021 tarihli ve 2021/850 sayılı Karar Özeti

İhbar sahibi, ablası adına kayıtlı hattın taşıma işlemi için bir telekomünikasyon şirketinin bayisine uğrayarak, kişinin ablasının kimliğinin bayide çalışan bir şahsa ait olan telefon ile fotoğraflandığını ve çalışanların fotoğrafı şirketlerine ait bir uygulama üzerinden sisteme yüklediğini görmüştür. İhbar sahibi bu durumun veri güvenliğini tehlikeye düşürdüğünü iddia ederek konu hakkında gerekli incelemenin yürütülmesini talep etmiştir.

Kurul yaptığı incelemede;

  • Her ne kadar müşterinin kimlik belgesinin fotoğrafı, çalışanların kendi şahsî cep telefonlarıyla çekilse de, veri sorumlusunun; söz konusu kimlik bilgilerinin, konuyla ilgili mevzuattan kaynaklanan yasal zorunluluk gereği alınıp elektronik ortama aktardığını, bu aktarım işlemini gerçekleştiren uygulamayla ilgili her türlü teknik ve idarî tedbiri aldığını, müşteri kimlik bilgilerinin asla şahsî telefonlarda depolanmadığı ve uygulamadaki tedbirler sayesinde veri sorumlusunun çalışanlarının çekilen kimlik fotoğraflarına tekrar erişemediği ve
  • Bahse konu uygulamayı kullanan personele yönelik de gizlilik taahhütnameleri imzalatmak, eğitim vermek, farkındalık duyuruları yayınlamak gibi idarî tedbirlere de başvurduğu nedeniyle yükümlülüklerini yerine getirdiği anlaşıldığından Kanuna ve ilgili mevzuata aykırılık teşkil etmediğine ve Kanunun 12nci maddesinde belirtilen yükümlülüklere aykırı bir husus bulunmadığına karar vermiştir.

Buna ilaveten Kurul, 4 üncü maddesinin (2) numaralı fıkrası çerçevesinde, kişisel verilerin işlenmesindeki genel ilkelere uyum sağlanmasına ilişkin veri sorumlusunun personelin şahsî cihazlarından ziyade bayilere tanımlanmış, düzenli olarak denetlenen ve takibi yapılan kurumsal cihazlar vasıtasıyla iş ve işlemlerinin yürütülmesi usulünün hızlandırılması hususunda talimatlandırılmasına ve Kanunun 10 uncu maddesinde düzenlenen aydınlatma yükümlülüğünün gereklerinin yerine getirilmesini teminen bayilerde numara taşıma işlemi yapan ilgili kişilere kurumsal bir uygulama üzerinden kimlik fotokopilerinin kayıt edildiğine dair aydınlatmanın yapılması hususunda veri sorumlusunun talimatlandırılmasına karar vermiştir.

  1. “İlgili kişinin internet hizmeti aboneliğini sağlamak üzere evine gelen şirket yetkilisinin aboneliği oluşturmak adına ilgili kişiye ait kimliğin fotoğrafını cep telefonu aracılığıyla çekmesi suretiyle kişisel verilerini işlemesi” hakkında Kişisel Verileri Koruma Kurulunun 26/08/2021 tarihli ve 2021/859 sayılı Karar Özeti

Şikayette bulunan ilgili kişinin evine internet hizmeti alımı talebini karşılamak amacıyla şirket yetkilileri gelmiştir. Şirket yetkilileri, kişinin kimlik bilgilerini sözleşme üzerine yazmış ayrıca kimlik fotoğrafının da çekilmesini talep etmiştir. İlgili kişi, kimlik üzerine “Müstenidattır” yazısı ekleyerek fotoğraf çekmelerini istemiş ancak yetkililer bunun firma tarafından kabul edilmediğini ifade etmiştir. Bunun üzerine kişi hizmet alımını reddederek veri sorumlusundan kimlik bilgilerinin silinmesini talep etmiş, ancak kimliğin şirketin daha sonraki olası işlemlerde kendisini hatırlaması amacıyla saklandığı belirtilmiştir. Bunun üzerine, ilgili kişi Kanun kapsamında gereğinin yapılmasını talep etmiştir.

Kurul yaptığı incelemede; ilgili kişi ile veri sorumlusu şirket arasında hizmet sözleşmesi kurulmasını teminen ilgili kişinin kimlik verilerinin işlendiğini; ancak ilgili kişi tarafından sonradan sözleşme kurulmasından vazgeçilmesi sebebiyle verilerin silinmesi talebinde bulunulduğu, ancak ilgili kişinin veri sorumlusu hakkında muhtelif mercilere yapabileceği şikayetler kapsamında sınırlı düzeyde kişisel verilerinin işlenmesinin zorunlu olduğu dikkate alındığında Kanunun 5 inci maddesinin (2) numaralı fıkrasının (e) bendinde yer alan “bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması” hükmü uyarınca veri sorumlusu tarafından ilgili kişiye ait asgari düzeyde kimlik verisinin işlenmesinde hukuka aykırılık bulunmadığına ve söz konusu verilerin amaçla bağlantılı olarak asgari süreyle sınırlı olarak saklanması ve amacı dışında kullanılmaması ile veri sorumlusu tarafından sözleşme vasıtasıyla işlenen kişinin diğer verilerinin ise imha politikasına uygun bir şekilde imha edilmesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.

G) ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ VE KİŞİSEL VERİLERİN YURT DIŞINA AKTARIM AÇISINDAN AÇIK RIZAYA DAYANILMASI, İLGİLİ KİŞİ BAŞVURUSU AÇISINDAN VERİ İŞLEYENİN VERİ SORUMLUSU ADINA İLGİLİ KİŞİ TALEPLERİNİ CEVAPLAYABİLMESİNE İLİŞKİN KARAR

  1. İlgili kişinin uluslararası geçerliliği olan bir dil sınavı konusunda Türkiye’deki akredite kuruluş tarafından kişisel verilerinin hukuka aykırı işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 12/08/2021 tarihli ve 2021/799 sayılı Karar Özeti

Karar, ilgili kişinin uluslararası geçerliliği olan bir dil sınavı konusunda Türkiye’deki akredite kuruluş tarafından kişisel verilerinin hukuka aykırı işlenmesi hakkındadır. Buna göre, ilgili kişi, akredite kuruluşun düzenlemiş olduğu dil sınavına girmiş ve özel nitelikli kişisel verisi olan görsel kaydı (biyometrik fotoğraf) ve parmak izi alınmıştır. Kuruluşa başvuruda bulunarak kişisel verilerinin ne şekilde imha edildiği hakkında bilgi edinme talebinde bulunmuş; ancak başvurusu haksız ve mesnetsiz gerekçelerle reddedilmiştir. İlgili kişi, Kuruma başvuruda bulunarak, kuruluşun çeşitli uluslararası kurum ve kuruluşların yetkilendirdiği bir tüzel kişilik olduğunu, sınava katılan adayların kişisel verilerinin yurt dışına aktarılmasının kaçınılmaz olduğunu ve iletişim bilgilerinin de reklam ve pazarlama amaçlı olarak açık rızası alınmaksızın ve aydınlatma yükümlülüğü yerine getirilmeksizin hukuka aykırı olarak işlendiğini ifade etmiş ve gereğinin yapılmasını talep etmiştir.

Kurul yaptığı incelemede incelediği hususlar neticesinde aşağıdaki kararları vermiştir:

  • Veri sorumlusu sıfatının belirlenmesi açısından;Türkiye’deki şirketin, dil sınavının Türkiye’de uygulanmasında yetkili kılınan bir tedarikçi olduğu, dolayısıyla, yurt dışı merkezli şirketin emir ve talimatlarıyla bağlı olduğu, adaylardan edinilen genel nitelikteki kişisel verilerin işlenmesine ilişkin veri işleyen sıfatını haiz olduğu,

Sınava giren adayların kimliklerinin doğrulanmasına ilişkin alınan parmak taraması konusunda ise yine; Türkiye’deki şirketin, yurt dışı merkezli şirketin emir ve talimatlarıyla hareket etmek zorunda olduğu ve parmak taraması alınması yönündeki kişisel veri işleme faaliyetinin zorunlu olarak yapıldığı anlaşıldığından, Türkiye’deki iştirakin yine veri işleyen, yurt dışı merkezli şirketin ise veri sorumlusu olduğu,

  • İlgili kişinin başvurusunun reddedilmesi açısından;İlgili kişinin Türkiye’deki şirkete yaptığı başvuruda ad-soyad bilgisini bir harf eksik olarak yanlış yazdığı ancak kişinin kimliğinin teyit edilmesini sağlayacak T.C. kimlik numarasının tam olarak iletildiği ve e-posta adresinin şirketin sisteminde kayıtlı olduğu anlaşılmış olduğundan bir harf sebebiyle ilgili kişinin başvurusunu reddetmesinin dürüstlük kuralına uygun olmadığı,
  • İlgili kişinin görsel kaydının ve parmak izinin herhangi bir veri işleme şartına dayanmaksızın alındığı iddiası açısından; sınavın güvenirliliğinin ve güvenliğinin sağlanmasına ilişkin adaylardan parmak taramalarının alınmasında ilgili kişiden/adaylardan alternatif yollar yerine açık rızalarının alınması yoluna gidildiğinden  “ölçülü olma” ilkesine aykırı davranıldığı ve hizmetin açık rıza şartına bağlandığı, bu kapsamda açık rızanın Kanunda sayılan unsurları taşımadığı ve işleme şartlarına dayanmadan gerçekleştirildiği,
  • Reklam ve pazarlama içerikli e-postalara rıza vermediği ve bu konuda aydınlatılmadığı iddiası açısından: Konu hakkında ilgili kişinin veri sorumlusuna başvuruda bulunmamış olmasının Kanunda yer verilen usul şartlarına uygun olmadığı sonucuna varıldığı,
  • İlgili kişinin kişisel verilerinin yurt içi ve yurt dışına aktarılmasına ilişkin bilgilendirilmediği iddiası hakkında: Açık rızanın sadece yurt dışına aktarıma yönelik olarak alınmadığı, yurt dışına aktarıma ilişkin rızanın sınava ilişkin diğer koşulların da yer aldığı “şartlar ve koşullar” metnine istinaden hizmetten faydalanmanın şartı olarak alındığı belirtilmiştir. Bu nedenle, kişisel verilerin yurt dışına aktarılmasında alınması gereken açık rızanın sınava ilişkin şartlar ve koşulların yer aldığı metinler aracılığıyla genel olarak alınmasının açık rızayı sakatlayacağı dikkate alınarak, açık rızanın yurt dışına aktarım özelinde münferiden alınması gerektiği veya bir taahhütname hazırlanarak Kurulun onayına sunulması gerektiği belirtilmiştir.

Buna göre Kurul;

  • İlgili kişinin Türkiye’deki şirketin sisteminde kayıtlı olduğu ve ilgili kişinin kimliğinin tespit edilebileceği anlaşılmış olduğundan bir harf sebebiyle “…başvurucu ismi kayıtlarımızda bulunamamıştır…” şeklinde ilgili kişiye cevap verilmesinin Tebliğin 6 ncı maddesinde belirtilen dürüstlük kuralına uygun olarak değerlendirilmemesi sebebiyle Kanun kapsamında kendisine yapılan başvurulara cevap verirken 6698 sayılı Kanun ve Tebliğin ilgili hükümlerine uyum konusunda gerekli dikkat ve özeni göstermesi gerektiği konusunda uyarılmasına,
  • İlgili kişinin taleplerinin Türkiye’deki şirket tarafından yanıtsız bırakıldığı göz önüne alındığında ise ilgili kişinin başvurusunda yer alan taleplerini veri işleyenin veri sorumlusu adına cevaplayabileceği dikkate alındığında, veri işleyenin bu talepleri yanıtlamasına ve sonucundan Kurula bilgi vermesi gerektiği yönünde talimatlandırılmasına,
  • Parmak tarama kayıtlarının işlenmesine ilişkin hizmetin açık rıza şartına bağlandığı, bu kapsamda açık rızanın Kanunda sayılan unsurları taşımadığı ve dolayısıyla söz konusu işlemenin Kanunda yer alan işleme şartlarına dayanmadan gerçekleştirildiği dikkate alındığında Kanunun 12 nci maddesinin (1) numaralı fıkrasında sayılan tedbirlerin alınmadığı kanaatine varıldığından, yurt dışı merkezli veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına,
  • Adaylardan parmak taraması kaydı alınması uygulamasına alternatif bir kimlik doğrulama sisteminin kullanılması ve sonucundan Kurula bilgi verilmesi gerektiği yönünde veri sorumlusunun talimatlandırılmasına,
  • İlgili kişinin şikayet dilekçesinde Kurula ilettiği “reklam, pazarlama ve tanıtım amaçlı maillerin geldiği, bu işleme faaliyetine rıza vermediği ve söz konusu işleme faaliyeti konusunda aydınlatılmadığı” iddialarına ilişkin veri sorumlusuna başvuruda bulunmamış olmasının Kanunda yer verilen usul şartlarına uygun olmadığının değerlendirilmesi sebebiyle, veri sorumlusunu muhatap başvurusunda talep etmediği, ancak Kurula yaptığı başvuruda talep ettiği konuların inceleme sürecine dahil edilmediği hususlarında ilgili kişiye bilgi verilmesine

karar verilmiştir.