Kişisel Verileri Koruma Kurulu Aralık Ayı Kararlarına İlişkin Bilgi Notu

1. İlgili kişinin cep telefonu numarasının kampanya adı altında bir dijital platform bayisi tarafından edinilmesi, işlenmesi ve rızası olmaksızın arama yapılması hakkında 04/06/2021 tarih ve 2021/548 sayılı Karar Özeti

Konunun Özeti: Şikayetçi olunan dijital platform ile hiçbir ilişkisinin olmamasına karşın ilgili kişinin sürekli olarak 0850’li bir çağrı merkezinden arandığı ve tarafına, bu platforma üye olması yönünde pazarlama yapılmaya çalışıldığı, Bunun üzerine ilgili kişinin reklamı yapılan dijital platformun internet adresinde bulunan irtibat formu vasıtasıyla başvuruda bulunduğu, kendisine e-posta ile verilen yanıtta ise ilgili kişinin müşteri olarak herhangi bir kaydının şirket nezdinde bulunmadığı yanıtını aldığı ancak kendisinin kişisel verilerinin nasıl elde edildiği ve nerelerde kullanıldığına ilişkin sorularına herhangi bir yanıt verilmediği, Dolayısıyla işlenen suçun kabul edildiği ancak detay içermeyen bir cevap ile geçiştirilmeye çalışıldığı hususları beyan edilerek konunun incelenmesi, şirketin ilgili kişinin kişisel verilerini nasıl elde ettiği hususunda kendisine bilgi vermesi konusunda talimatlandırılması ve gerekli cezai yaptırımın uygulanması talep edilmiştir.

Konuya ilişkin olarak başlatılan inceleme neticesinde, reklamı yapılan dijital platformdan bilgi ve belge talep edilmiş olup Kuruma ulaştırılan cevabî yazıda;

- İlgili kişinin hiçbir şekilde şirketin müşterisi olmadığı, şirket ile bir ilgisinin tespit edilemediği,

- Şikâyet edilen numaranın dijital platformun çağrı merkezi numarasının olmadığı, yapılan araştırmada ilgili kişiyi aradığı iddia edilen numaranın 21.12.2018 tarihinden 12.09.2019 tarihine kadar “…… Expert” unvanı ile faaliyet gösteren bir bayiye tahsis edildiği,

- İlgili kişinin adının sistemlerde hiçbir şekilde kayıtlı olmadığının anlaşıldığı, diğer bir ifade ile ilgili kişinin potansiyel bir müşteri olarak kayıtlı olmayıp herhangi bir elektronik ticari ileti izninin de bulunmadığı, bu sebeple ilgili kişinin kişisel verilerinin nereden ve ne şekilde temin edildiğinin bilinmediği,

- Şayet bayii bu şekilde bir arama gerçekleştirmiş ise bunun kendilerinin bilgisi ve izni dâhilinde yapılmadığı beyanlarına yer verildiği görülmüştür.

Bunun üzerine bahse konu dijital platformdan, ilgili kişiyi aradığı iddia olunan bayii ile şirketleri arasındaki iş ilişkisini tanımlayan bilgi ve belgelerin Kuruma iletilmesi talep edilmiş olup söz konusu talebe istinaden Kuruma iletilen cevap yazısında ise;

- Bayilik hizmeti kapsamında “…Expert” olarak görev yürüten bayiye ürün ve hizmetlerin pazarlanması, tanıtılması, satışı, söz konusu ürün ve hizmetlerle ilgili abonelik tesisi, abonelik uzatma, abonelik iptali, üst paketlere geçiş, satış sonrası hizmetler, tahsilat ve gerektiğinde kurulum ve montaj destek hizmetleri verilmesi ile sınırlı olmamak kaydıyla dijital platform tarafından bildirilecek diğer iş ve işlemler konusunda görev ve yetki tevdi edildiği,

- Bayii ile akdedilen abonelik sözleşmesi ve bu bayiliğin iptaline ilişkin e-posta çıktısının yazılarına eklendiği,

- Bayii tarafından kullanılan herhangi bir sistemin dijital platform tarafından kurulmayıp bayilerin kural olarak bayilik sözleşmesi ile görev ve yetkiler kapsamında kendisine sağlanan kullanıcı adı ve şifre bilgileri ile dijital platformun CRM Sistemine erişerek potansiyel müşteri oluşturabildiği,

- İlgili kişi ile ilgili olarak herhangi bir kayda rastlanılamadığı için kişisel verilerinin ne şekilde elde edildiği ve benzeri soruların cevaplandırılmasının mümkün olmayacağı ifade edilmiştir.

Yukarıda yer verilen bilgi ve belgelerin değerlendirmesi neticesinde alınan 04/06/2021 tarih ve 2021/548 sayılı Kurul Kararında özetle;

- Her ne kadar bayii ile dijital platform arasında akdedilen sözleşme hükümlerinden genel şekliyle dijital platformun veri sorumlusu, bayinin ise veri işleyen olarak belirlendiği görülmekte ise de somut hadisede bayinin veri işleyen sıfatından çıkarak veri sorumlusu hâline geldiği, zira dijital platformun merkezî CRM sisteminde müşteri/potansiyel müşteri olarak kaydı bulunmayan ilgili kişiyi dijital platformun talimatı veya bilgisi dâhilinde olmaksızın aradığının anlaşıldığı, bu telefon numarası bayiye dijital platform tarafından iletilmediğinden, bayinin veri işleyen olarak, veri sorumlusunun denetimi ve kontrolü altında kişisel veri işleme faaliyeti yürüttüğünden bahsedilemeyeceği,

- Somut olayda bayinin, kendi iradesiyle ve dijital platformdan bağımsız bir şekilde ilgili kişinin açık rızası veya Kanunun 5(2) numaralı fıkrasında yer verilen işleme şartlarına dayanmaksızın ilgili kişinin kişisel verisi niteliğindeki telefon numarasını aramak suretiyle kişisel veri işleme faaliyetinde bulunmasından ötürü veri sorumlusu sıfatını haiz olduğu

değerlendirmelerinden hareketle;

- İlgili kişinin kişisel verisi olan telefon numarasının Kanunun 5 inci maddesinde yer alan herhangi bir işleme şartına dayanmaksızın hukuka aykırı elde edildiği ve işlendiği dikkate alındığında Kanunun 12(1) numaralı fıkrasında yer alan teknik ve idari tedbirleri almayan veri sorumlusu bayii hakkında Kanunun 18(1)(b) bendi kapsamında idarî para cezası uygulanmasına karar verilmiştir.

2. Sigortacılık ve bireysel emeklilik alanında faaliyet gösteren bir şirket tarafından ilgili kişiye ait kişisel verilerin hukuka aykırı olarak işlenmesi hakkında 09/06/2021 tarihli ve 2021/584 sayılı Karar Özeti

Konunun Özeti: Sigortacılık alanında faaliyet gösteren bir şirket tarafından ilgili kişinin cep telefonu numarasına “Sayın …., Sizinle görüşmemiz öncesinde, hakkımızdaki özet bilgilere aşağıda yer alan linki tıklayarak kolayca ulaşabilirsiniz… IPTAL: … Ret yazıp …’e gönderiniz. ONAY: … Onay yazıp …’e gönderiniz. Eğer bu mesaja 24 saat içerisinde tarafınızca herhangi bir <> yanıtı iletilmez ise, aranmak için olumlu yanıt verdiğiniz varsayılacaktır…” içerikli bir SMS gönderildiği, kişinin adı geçen şirket ile herhangi bir ilişkisinin olmadığı veri sorumlusu tarafından ticari elektronik ileti gönderilmesi üzerine şikayette bulunulmuştur.

Veri sorumlusu Şirket, ilgili kişinin bilgilerine bir baronun web sitesinden ulaştığına dolayısıyla da bilgilerin alenileştirildiğine, ilgili kişinin cep telefonuna gönderilen SMS’in şirketlerinin faaliyet alanı ve meşru menfaatleri kapsamında ürün tanıtımı yapılmadan önce bu amaçla gönderildiğine değinmiştir.

İlgili kişinin kişisel verisi niteliğindeki telefon numarasının kısa mesaj gönderilmek amacıyla işlendiği iddiası incelendiğinde ilgili kişinin mesleki yetkinliğinden faydalanmak için kendisine ulaşılmaya çalışılmadığı, aksine şirket faaliyetlerine ilişkin randevu talebi ile ilgili kişiye ulaşıldığı değerlendirilmekte olup bu çerçevede ilgili kişinin kişisel verisi niteliğindeki telefon numarasının reklam, pazarlama ve bilgilendirme amacıyla kısa mesaj gönderilmek suretiyle işlenmesinin Kanunun 5 inci maddesinde yer alan herhangi bir işleme şartına dayanmaksızın gerçekleştirildiği dolayısı ile veri sorumlusunun uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı davrandığı kanaatine varıldığından veri sorumlusu hakkında idari para cezası uygulamasına karar verilmiştir.

3. İlgili kişinin kişisel verilerinin bir tur şirketi tarafından üçüncü kişilerle paylaşılması hakkında 18/03/2021 tarihli ve 2021/242 sayılı Karar Özeti

Konunun Özeti: İlgili kişinin veri sorumlusu tur şirketinden tatil paketi satın aldığı ve ilgili bilgilerini veri sorumlusu ile paylaştığı, paylaşılan bu verilerin veri sorumlusu tarafından üçüncü bir kişiye aktarıldığı, söz konusu üçüncü kişi tarafından bahsi geçen bilgilerin bir mahkeme dosyasına sunulduğu, veri sorumlusuna yapılan başvuruya verilen cevapta üçüncü kişilere hiçbir şekilde verilmediği söylenen kişisel verilerin mahkeme dosyasında nasıl yer aldığının açıklanmadığı, bu kapsamda ilgili kişinin rızası ve bilgisi olmaksızın kişisel verilerini üçüncü kişilerle paylaşmış olan veri sorumlusu hakkında cezai işlemlerin yapılması talep edilmiştir.

- Şikâyet dosyasında yer alan konaklamaya ilişkin detayları içeren “Alındı” belgesinin sadece konaklamayı satın alan tarafla paylaşılan bir doküman olduğu ve konaklamanın yapılacağı tesis ile paylaşılmadığı;

- Veri sorumlusunun Kuruma sunduğu log kayıtlarında konaklamaya ilişkin gönderilen “voucher” ve “alındı” dokümanlarının sadece ilgili kişinin e-posta adresine iletildiğinin belirlendiği ve konaklamaya yönelik veri sorumlusu personelinin yaptığı görüntülemelerin her birinin söz konusu belgelerin mahkemeye sunulma tarihi olan 04.04.2019 tarihinden sonra ve ilgili kişinin başvurusuna ve/veya Kurum tarafından yapılan bilgi ve belge talebine istinaden yapılan görüntülemeler olduğu dikkate alınmıştır.

İlgili kişinin verilerinin veri sorumlusu tarafından paylaşıldığını tevsik eden somut bilgi ve belge bulunmadığından ilgili şikâyet hakkında 6698 sayılı Kanun kapsamında tesis edilecek bir işlem bulunmadığına karar verilmiştir.

4. Ölenin sigorta poliçesine yasal mirasçısının erişim talebinin sigorta şirketi tarafından reddedilmesi hakkında 18/03/2021 tarihli ve 2021/241 sayılı Karar Özeti

Konunun Özeti: Şikâyetçinin ölen eşi ile veri sorumlusu sigorta şirketi arasında Hayat Sigortası Sözleşmesi kurulduğu, şikâyetçinin eşinin ölüm sebebinin iş kazası olduğunun mahkeme ilamı ile kesinleşmesi üzerine iş kazası nedeni ile yapılması gereken ödeme miktarının tespit edilebilmesi için Poliçenin ibrazı gerekliliğinin hâsıl olduğu, bu kapsamda çeşitli tarihlerde gönderilen ihtarnamelerle veri sorumlusundan söz konusu Poliçenin tesliminin talep edildiği, ancak veri sorumlusunca ilgili kişiye gönderilen yazı ile Kişisel Sağlık Verileri Hakkında Yönetmeliğin 10 uncu maddesi uyarınca “avukatların, müvekkilin sağlık verilerini genel vekaletname ile talep edemeyeceği, ilgili kişinin özel nitelikli kişisel verilerin işlenmesi ve aktarılmasına ilişkin açık rızasını gösteren özel bir hükmün bulunmasının gerektiği ve bu sebeple yazı ekinde gönderilen vekaletnamenin genel vekaletname niteliğinde olduğundan KVKK ve ilgili yönetmelik uyarınca özel nitelikli kişisel veri olan sağlık verilerinin paylaşılmasının mümkün olmadığı” hususları belirtilerek talebin reddedilmesi üzerine şikayette bulunulmuştur.

4721 sayılı Türk Medeni Kanununun 28 inci maddesinde ise kişiliğin, çocuğun sağ olarak tamamıyla doğduğu anda başladığı ve ölümle sona erdiği hükmünün yer aldığı, ölen eşin kişiliğinin de ölümle birlikte sona erdiği dikkate alındığında her ne kadar hayat sigortası ölen eşin adına yapılmış ve kişilik ölümle son bulduğundan ölen kişinin kişisel verilerine ilişkin talepler Kanun kapsamında değerlendirilemeyecek olsa da, hayat sigortasının lehdarlarının ölen kişinin kanuni mirasçıları olduğu, bu çerçevede ilgili Sigorta Poliçesinin lehdarı olmaları bakımından mirasçıların ilgili kişi niteliği kazandığı, bu sebeple ilgili kişi için de kanuni mirasçılıktan kaynaklı olarak, poliçeyi özetler belgede yer alan verilerin kişisel veri niteliği taşıdığı; öte yandan grup sigortalarına ilişkin hususların 6102 sayılı Türk Ticaret Kanununda düzenlendiği, sigortalanan kişilere poliçe yerine poliçeyi özetler belgenin verileceğinin anılan Kanunda hüküm altına alındığı ve somut olayda veri sorumlusu tarafından “Poliçeyi özetler belgenin/sertifika”nın ilgili kişiye verildiği; bu anlamda yapılacak bir işlem olmadığına karar verilmiştir.

5. İlgili kişinin kişisel verisinin kamu kurumu personeli olarak görev yapan eski eşi tarafından sorgulanarak elde edilmesi ve adli makamlar ile paylaşılması hakkında 11/03/2021 tarihli ve 2021/230 sayılı Karar Özeti

Konunun Özeti: İlgili kişinin kamu kurumu personeli olarak görev yapan, boşanma sürecinde olduğu eşi tarafından görevi kötüye kullanmak suretiyle kendisine erişim yetkisi verilen bir sistem üzerinden, maaş bilgilerinin sorgulandığı, boşanma davasına ilişkin yargılama sürecinde talep edilmemesine rağmen bu bilginin mahkeme ile paylaşıldığı, belirtilen bu program ya da sistemle T.C. kimlik numarası bilinen kişilerin maaşlarının öğrenilmesinin hem 4A/4B bilgisinin kişiselliğine hem de özel şirketlerdeki maaş gizliliğinin ihlaline sebebiyet verdiği hususları ifade edilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.

Veri sorumlusu bünyesinde görev yapan söz konusu personel hakkında disiplin hükümlerine göre işlem yapılması, öte yandan kişisel verilere erişim yetkisi bulunan personelin söz konusu verilere amacı dışında erişmesinin önlenmesi hususunda gerekli tedbirlerin alınması ve yapılacak işlemlerin sonucundan Kurula bilgi verilmesi hususunda veri sorumlusu Kurumun talimatlandırılmasına karar verilmiştir.

6. İlgili kişinin fotoğrafının öğrencisi olduğu okul tarafından kullanılması hakkında 09/06/2021 tarihli 2021/572 sayılı Karar Özeti

Konunun Özeti: İlgili kişinin öğrenci olarak öğretmenleri ile yaptığı bir görüşmede rızası olmaksızın fotoğrafının çekildiği, çekilen fotoğrafının ticari amaçla okul tarafından bastırılan broşürde kullanıldığı ve kendi internet sitesinde yayınlandığı, ilgili kişi ve velisinin kişisel verilerin işlenmesine, yayımlanmasına veya kullanılmasına zımni veya açık bir rıza vermediği, konuya ilişkin veri sorumlusuna başvuruda bulunulduğu ancak verilen cevabın yetersiz olduğu ifade edilerek şikayetçi olunmuştur.

Veri sorumlusu savunmasında 2018-2019 döneminde öğrencileri olan ilgili kişinin fotoğrafının özel olarak çekilen bir fotoğraf olmadığı, tüm öğrencilerin katılmış olduğu ders ve etkinlikler sırasında çekilen bir fotoğraf olduğu, anılan dönemin sonunda öğrencinin okul değişikliği gerçekleştirdiği, mevcut durumda öğrencileri olmadığı, ilgili kişinin velisinden izin alındığı, bahse konu fotoğrafın aktif olarak kullanımda olmadığı hususlarını belirtmiştir.

Şikayet konusu fotoğrafların paylaşılmasına yönelik veri işleme faaliyetinin ilgili kişinin/velisinin açık rızası hukuki dayanağı çerçevesinde gerçekleştirildiği kanaatine varılmış olup ilgili kişinin fotoğraflarının haksız ve hukuka aykırı olarak ticari amaçla bastırılıp dağıtıldığı ve internet sitesinde paylaşıldığı iddiası hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

7. Hukuk Bürosu tarafından ilgili kişinin kişisel verilerinin muhatabı ve tarafı olmadığı icra takibi ile ilgili işlemlerde hukuka aykırı olarak işlenmesi ve icra dosyasına ilişkin ilgili kişinin telefon numaralarına mesajlar gönderilmesi hakkında 11/03/2021 tarihli ve 2021/228 sayılı Karar Özeti

Konunun Özeti: İlgili kişinin şahsına ait telefon numaralarına çeşitli tarihlerde tarafı olmadığı icra dosyası ile ilgili (alacaklı telekomünikasyon şirketi adına hareket eden) hukuk bürosu tarafından mesajlar gönderildiği, söz konusu mesajlarla ilgili herhangi bir muhataplık sıfatının, mesajda bahsi geçen icra dosyasında ise alacaklı ya da borçluluk sıfatının bulunmadığı, bunun üzerine gerek alacaklı telekomünikasyon şirketi gerek hukuk bürosuna yaptığı başvuruya yasal süre içerisinde yanıt alamaması nedeniyle şikayette bulunmuştur.

Şikayet edilen telekomünikasyon şirketi savunmasında; ilgili kişinin telefon numaralarına mesajları ileten avukat ile şirket arasında Avukatlık Sözleşmesi akdedildiği, bahsi geçen Avukatlık Sözleşmesi uyarınca avukatın, bu sözleşme ve yasal takip prosedürleri kapsamında şirkete dair her türlü icra, dava, tahsilat ve takip işlemlerini yürüttüğü ve buna istinaden taraflarca sözleşmede belirlenen ücrete hak kazandığını ve avukat ile paylaşılan tek bilginin borçlu tüzel kişi bilgisi ile borç bilgisi olduğunu, avukatın, hukuk bürosunda kendine özgü veri kayıt ortamında kendi belirlediği yöntemlerle ve vasıtalarla veri işleme faaliyetini gerçekleştirdiği, dolayısıyla şirket ile avukat arasında akdedilen vekâlet sözleşmesi uyarınca faaliyetlerini yürüten avukatın ayrı bir veri sorumlusu sıfatını haiz olduğunu belirtmiştir.

Alacaklı telekomünikasyon şirketinin veri sorumlusu sıfatını haiz olmadığı değerlendirildiğinden hakkında yapılacak bir işlem olmadığına, veri sorumlusu sıfatını haiz olduğu değerlendirilen avukatın uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmediği kanaatine varıldığından veri sorumlusu avukat hakkında idari para cezası uygulanmasına karar verilmiştir.

8. Veri sorumlusu tarafından ilgili kişinin cep telefonu numarasına reklam amaçlı SMS gönderilmesi hakkında 04/06/2021 tarihli 2021/545 sayılı Karar Özeti

Konunun Özeti: Veri sorumlusu Hastane tarafından ilgili kişinin telefonuna reklam ve pazarlama amaçlı SMS gönderildiği, bununla birlikte ilgili kişi tarafından veri sorumlusuna kişisel verilerin işlenmesi konusunda açık rıza verilmediği ifade edilerek şikayette bulunulmuştur.

Hastanenin savunmasında; şikâyetçinin hastanede herhangi bir kaydı olmadığı, dolayısıyla tedavi kaydı bulunmayan kişinin kişisel verilerinin kaydedilmesinin de mümkün olamayacağı, hastanede kaydı bulunan hastalara ise gönderilen SMS’lerin reklam amacı taşımadığı, gönderilen SMS’lerin asıl amacının Covid-19 sürecinde vatandaşlar için bilgilendirme amacı taşıdığı, gönderilen SMS’lerin iptali için ücretsiz gönderme seçeneği bulunduğu, iptal seçeneği kullanmayan kişilerin mesajların devamını zımnen kabul etmiş olduğu ifade edilmiştir.

Veri sorumlusunun, ilgili kişinin kişisel verisi niteliğindeki telefon numarasına SMS göndermesi suretiyle gerçekleşen kişisel veri işleme faaliyeti nedeniyle uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmediğinden idari para cezası uygulanmasına karar verilmiştir.

9. Bir eğitim kurumu tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmaksızın işlenmesi ve ilgili numaraya reklam içerikli SMS gönderilmesi hakkında 11/03/2021 tarihli ve 2021/227 sayılı Karar Özeti

Konunun Özeti: İlgili kişinin, şahsına ait cep telefonuna açık rızası olmaksızın bir eğitim kurumu tarafından reklam/bildirim amaçlı SMS gönderilmesi üzerine veri sorumlusuna yaptığı başvuruya yasal süre içerisinde yanıt alamadığı, ihlalin yaygın olduğu ve benzer mesajların herkese gönderildiğinin düşünüldüğü ifade edilerek şikayetçi olunmuştur.

Veri sorumlusu savunmasında SMS gönderme uygulamasının olmadığını ve ilgili kişiye mesaj gönderilmediğini, veri sorumlusu tarafından işletilen bir eğitim kurumu bulunmadığını, çeşitli kurumlar ile isim hakkı sözleşmesi düzenlendiğini, bu anlamda isim hakkı sözleşmesi düzenlenen ve eğitim alanında hizmet sunan bir şirketin şikâyete konu SMS gönderim eylemini gerçekleştirdiğini, söz konusu şirketin SMS gönderimini yasal olarak gerçekleştirdiklerini beyan ettiklerini ve şikâyete ilişkin bilgi ve belgelerin bu firmadan talep edilmesi gerektiğini belirtmiştir.

SMS’i gönderdiği iddia edilen şirketten alınan savunmada ise; anket yapan firmalardan belirli aralıklarla sosyal medya ve SMS onayı veren kişilerin bilgilerinin alındığı; ancak bu bilgilerin alınabilmesi için anket dolduran kişilerin SMS ya da başka iletişim araçlarına onay vermiş olmasının şart olduğu, şikâyete konu olaydaki telefon numarasının da bir medya anket şirketinden alındığı bununla birlikte sosyal medya ve toplu SMS anket formunu dolduran kişi tarafından, anketin doldurulması esnasında iletişim bilgisi olarak sehven şikâyetçinin iletişim bilgisinin verildiği, kendilerinin bunu denetleme imkanının olmadığı, anket içeriğinde SMS gönderimine izin verildiği, şirketlerinin onay vermeyen kimseye SMS göndermediği; dolayısıyla şirketlerinin ihlal iddiasına ilişkin bir kusurunun bulunmadığı ifade edilmiştir.

Veri sorumlusunun ticari elektronik ileti göndermesi suretiyle ilgili kişinin kişisel verisi olan telefon numarasını işlemesinde uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı kanaatine varılan veri sorumlusu hakkında idari para cezası uygulanmasına ve şikâyete konu olayda ismi geçen medya şirketi tarafından yapılan ankette “Firmalardan ürünler hakkında bilgi ve tanıtımlarını SMS yoluyla almak ister misiniz” şeklindeki sorunun belli bir şirketi işaret eder nitelikte olmadığı, genel nitelikte bir soru olduğu, bu anket kapsamında kişilerden alınan “evet” şeklindeki cevapların açık rıza olarak değerlendirilmesi suretiyle adı geçen eğitim kurumu ile paylaşıldığı, bu çerçevede anket firmasının veri sorumlusu olabileceğinden hareketle söz konusu şirket hakkında inceleme başlatılmasına karar verilmiştir.

10. Bir bankanın, varlık yönetim şirketinin ve üç farklı avukatın borçlu olmayan ilgili kişinin kişisel verisini işleyerek icra takibi başlattıkları iddiası hakkında 27/04/2021 tarihli ve 2021/424 sayılı Karar Özeti

Konunun Özeti: İlgili kişiye yönelik olarak yetkili icra dairesi tarafından icra takibi başlatıldığı, ilgili kişinin bu durumu 2017 yılı Şubat ayında ev kredisi çekmek isterken öğrendiği, 2010 yılında ilgili kişinin evine gelen bir saha müfettişinin, ilgili Bankaya borçlu olduğunu ve bunu ödemesi gerektiğini söylediği, ilgili kişinin bu şahsa, kendisinin Bankaya hiçbir şekilde gitmediğini ve bahse konu Bankada bir hesabının da bulunmadığını söylediği, adresini ne şekilde öğrendiğini sorduğunda “biz buluruz” cevabını aldığı, ilgili kişinin Banka şubesi ile görüştüğü, şube personelinin ilgili kişiye ait kimlik fotokopisini alarak merkeze faks çektiği ve ilgili kişiye, Bankaya borçlu olan şahsın kendisi değil, bir erkek olduğunu söyledikleri fakat aradan geçen yıllar içerisinde Varlık Yönetimi Şirketi tarafından ilgili kişinin sürekli olarak arandığı ve ilgili kişinin o kişinin kendisi olmadığı bilgisini Varlık Yönetim Şirketine iletmesine karşın bu aramaların sürdürüldüğü, söz konusu icra dosyasında gerçek borçluya ilişkin tüm bilgilerin bulunmasına karşın ilgili kişinin kimlik numarasını kullanarak Bankanın, Varlık Yönetim Şirketinin ve üç farklı avukatın borçlu olmayan ilgili kişiye icra takibi başlattıkları, ilgili kişinin konu hakkında BİMER’e bulunduğu şikâyet üzerine açılan soruşturma dosyasına Banka şubesinin verdiği cevapta ilgili kişinin 21.02.2017 tarihinde şubeye başvurması sonucu gerekli güncellemelerin yapılarak T.C. kimlik numarasının sistemden silindiği ve kredi kayıt bürosu (KKB) kayıtlarının düzeltildiği, takip hesabının devir yapıldığı Varlık Yönetimi Şirketine ayrıca bilgilendirmenin yapıldığının belirtildiği, Varlık Yönetim Şirketinin söz konusu borcu ilgili kişinin T.C. kimlik numarası üzerinden kaldırmadığı, Banka tarafından düzeltildiği iddia edilen KKB kayıtlarının düzeltilmediği, ilgili kişinin bu hususta aldığı TBB Risk Merkezi Raporunun bunu doğruladığı, BİMER vasıtasıyla alınan Banka yanıtının Varlık Yönetimi Şirketine faks yoluyla bildirilmesine karşın aramaların devam etmekte olduğu, Veri sorumlusu Banka, Varlık Yönetimi Şirketi ve avukatların ilgili kişinin T.C. kimlik numarasını nasıl ve nereden edindiğinin meçhul olduğu, bu bilgilerin üçüncü şahıslara verilerek ilgili kişinin mağdur edildiği, kara listeye aldırıldığı ve dosya bilgilerinin incelenmeksizin ilgili kişiye icra takibi yapmakta ısrar edildiği belirtilmiştir.

İlgili kişinin kişisel verilerinin Banka tarafından 6698 s. Kanun yürürlüğe girmeden önce işlendiği, akdedilen alacak temlik sözleşmesine dayanarak hukuka uygun olarak Varlık Yönetim Şirketine aktardığı, öte yandan ilgili kişinin 2017 yılında yaptığı başvuruya istinaden ilgili kişinin kişisel verilerinin Banka tarafından düzeltildiği dikkate alındığında Veri sorumlusu Banka hakkında Kanun kapsamında yapılacak bir işlem olmadığına, Varlık Yönetim Şirketinin ilgili kişinin gerçek borçlu olmadığına dair bilgileri 2017 yılı içerisinde gerek Bankadan gerekse de ilgili kişi cihetinden tarafına ulaşan bilgi ve belgeler vasıtasıyla edinmesine karşın ilgili kişinin kişisel verilerini işlemeye devam etmesi nedeniyle hakkında idari para cezası uygulanmasına karar verilmiştir.

11. İşten çıkarma sürecinde veri sorumlusu işveren tarafından, ilgili kişinin kişisel verilerinin hukuka aykırı olarak işlenmesi hakkında 09/03/2021 tarihli ve 2021/205 sayılı Karar Özeti

Konu Özeti: İlgili kişinin iş sözleşmesinin feshedildiği tarihe kadar veri sorumlusu şirketin bir çalışanı olduğu, veri sorumlusu tarafından ilgili kişiye noter aracılığıyla ihtarname gönderilerek iş sözleşmesinin haksız olarak sona erdirildiği, işten çıkarma sürecinde şahsına ait iş eşyalarının yanı sıra ailevi özel eşyalarına da el konulduğu, veri sorumlusu şirketin çalışanlarının iş yerindeki odasına girerek masasında yer alan şirket bilgisayarını izinsiz ve haber vermeden aldığı, e-posta hesabının kapatıldığı, e-postalarına erişiminin ve e-posta göndermesinin engellendiği, bilgisayar ve e-postalarına bakıldığı, ilgili kişinin odasında arama yapıldığı, bunların yanında ilgili kişinin şahsına ait kişisel harici hard diskin de alındığı, özel bilgi ve belgeleri, banka bilgileri ve şifreleri ile fotoğraflarının ekrana yansıtılmak suretiyle odasında bulunan kişilerce izlendiği ve bu suretle veri sorumlusu tarafından kişisel verilerine karşı ihlal gerçekleştirildiği ifade edilerek veri sorumlusu hakkında gerekli incelemenin yapılması talep edilmiştir.

Veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

- Eski çalışanı olması nedeniyle başta İş Kanununun 75 inci maddesi ve Sosyal Sigorta İşlemleri Yönetmeliğinin 107 nci maddesi olmak üzere sair mevzuat uyarınca tutulması gereken iş yeri belgelerinin 10 yıl süre ile saklanmasını gerektiren yasal zorunluluk ve ilgili kişi ile veri sorumlusu arasında halen devam etmekte olan davaların takibi amacıyla tutulduğu, söz konusu kişisel verilerin saklama sürelerinin sonunda mevzuata uygun şekilde silineceği, yok edileceği veya anonim hâle getirileceği,

- Eski çalışanı olması sebebiyle işlenen ve ilgili kişiyle devam etmekte olan davalar nedeniyle tutulan kişisel veriler dışında, ilgili kişiye ait “özel hard disk” ve “şifrelerin” veri sorumlusu bünyesinde saklanmadığı veya sair yollarla taraflarınca işlenmediği,

- Türk Borçlar Kanununun İşçinin Kişiliğinin Korunması başlığı altında yer alan, Kişisel Verilerin Kullanılması alt başlıklı 419 uncu maddesinin “İşveren, işçiye ait kişisel verileri, ancak işçinin işe yatkınlığıyla ilgili veya hizmet sözleşmesinin ifası için zorunlu olduğu ölçüde kullanabilir.” şeklinde olduğu, bu düzenleme ile İş Mahkemelerinin görev alanında kişisel verilerin nasıl kullanılacağının (işleneceğinin) veya kullanılamayacağının (işlenemeyeceğinin) yer aldığı, mahkemenin bu konuda bir değerlendirmede bulunurken kişisel verilerin korunması ile ilgili tüm mevzuatı göz önünde bulunduracağının açık olduğu,

- Bununla birlikte mahkemenin ilgili kişi tarafından ileri sürülen bu iddialara herhangi bir sonuç bağlamadığı, yukarıda belirtilen davalardaki taleplerin reddedildiği göz önünde bulundurulduğunda ilgili kişinin iddialarının mahkeme tarafından haklı bulunmadığının görüleceği, kaldı ki davaların hala istinaf aşamasında olmasının ilgili kişinin mahkeme tarafından haklı bulunmayan kişisel verilerle ilgili iddialarının istinaf aşamasında tekrar ileri sürmesi için bir imkân olduğu,

- İlgili kişinin kişisel verilerinin hukuka aykırı işlenmesi ile ilgili iddialarının Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesinin (b) bendi kapsamında söz konusu davalarda da öne sürüldüğü ve konunun yargının görev alanına girdiği, şikâyetçinin dile getirdiği konuları daha önce dava konusu yapmış olmasının Kurulun bu konuda bir karar almasına engel olduğu,

- Veri sorumlusu tarafından ilgili kişiye kullanımı için verilmiş olan dizüstü bilgisayarın işten çıkış aşamasında geri alındığı, kişinin dizüstü bilgisayarındaki veriler teslim alındıktan sonra hiçbir verisi kopyalanmadan, geri döndürülemeyecek şekilde silindiği,

- İlgili kişinin şirkete ait e-posta hesabının işten ayrıldıktan sonra kapatılmasının, şirket hesabı ile şirket adına işlem yapılmasının engellenmesi amacıyla uygulanan standart bir prosedür olduğu

ifade edilmiştir.

KVK Kurulu’nun yapmış olduğu değerlendirme,

- 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesi kapsamında yargı mercilerinin görevine giren konularla ilgili olan dilekçelerin Kurum tarafından incelenemeyeceği,

- Somut olayda ilgili kişinin Kuruma vermiş olduğu şikâyet dilekçesinde iddia ettiği hususları veri sorumlusu ile aralarında devam etmekte olan davalarda belirtmişse de bu davaların işçilik alacağı ve işe iade talepli davalar olduğu, bu dava dilekçelerinde ilgili kişinin, kişisel verileriyle ilgili iddialarını da belirttiği ancak kişisel verilerine ilişkin bir talep oluşturmadığı, ilgili kişi tarafından bu davaların ikame edilmesindeki amacın kişisel verilerine yönelik koruma talep etmek değil işe iade ve işçilik alacağı olduğu,

- Veri sorumlusu tarafından verilen cevaptan ilgili kişinin kişisel verilerinin Kanunun 5(2)(ç) bendinde yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” hükmüne ve (e) bendinde yer alan “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hükmüne istinaden gerçekleştirildiğinin anlaşıldığı,

- Diğer taraftan iş sözleşmesi feshedildikten sonra ilgili kişinin kullanımına tahsis edilen şirket bilgisayarının formatlanması ve şirket e-postasının kapatılmasının Kanuna aykırılık teşkil etmediği, iş sözleşmesinin sonlanmasından sonra veri sorumlusu şirket tarafından, işçinin e-posta adresinin kapatılmasının ve işçinin kullanımına tahsis edilmiş bilgisayarın geri alınmasının hayatın olağan akışı gereği olduğu, ilgili kişi e-posta adresinin kapatılması suretiyle hesabına erişiminin engellendiğini belirtmişse de bu durumun Kanuna aykırılık teşkil etmeyeceği,

- Yargıtay 9. Hukuk Dairesinin 05/02/2007 tarihli E.2006/30107, K.2007/2011 sayılı kararında bilgisayar kaynaklarının amacına uygun kullanılması ile ilgili işyeri iç düzenlemesine rağmen, davacının şirket bilgisayarını mesai saatleri içinde kişisel mailinde kullandığı, davacının bu davranışının şirketin iç işleyişi ile ilgili düzenlenen kurala aykırı olduğu gibi, mesai saatleri içinde kişisel ihtiyaçlarında işyeri bilgisayarını kullanarak iş görme edinimini yeterince yerine getirmediği, bu davranışının işyerinde olumsuzluklara neden olduğu, feshin geçerli nedene dayandığı sonucuna varıldığı, buradan hareketle işçinin kullanımına tahsis edilen bilgisayar ve e-posta adreslerinin sadece iş görme amacıyla kullanılması gerektiğinin değerlendirildiği, dolayısıyla ilgili kişinin e-posta adresinin sadece iş ile alakalı hususları içeriyor olması gerektiği, bu durumda ilgili kişi ile aralarında iş ilişkisi kalmayan veri sorumlusuna ait şirket e-posta hesabına ilgili kişinin ulaşmasında yararının bulunmadığının değerlendirildiği, dizüstü bilgisayar açısından da durumun benzer olduğu, veri sorumlusu tarafından dizüstü bilgisayarın içindeki verilerin geri döndürülemeyecek şekilde formatlanmış olduğu belirtildiği, sadece iş ile ilgili hususları içerdiği varsayılan bu bilgisayarın iş ilişkisi sonlandıktan sonra ilgili kişiden alınmasının Kanuna aykırılık teşkil etmediği,

- İlgili kişinin, kişisel harici hard diskinin, şahsına ve ailesine ait özel bilgilerinin, banka bilgilerinin, banka şifrelerinin ve fotoğraflarının ekrana yansıtılmak suretiyle odasında bulunan kişilerce izlendiğine ilişkin iddialarıyla ilgili dosya kapsamında tevsik edici bir bilgi veya belgeye yer verilmediği

değerlendirmelerinden hareketle;

- Veri sorumlusu ile ilgili kişi arasındaki iş sözleşmesi feshedildikten sonra ilgili kişinin kullanımına tahsis edilen şirket bilgisayarının formatlanması ve şirket e-postasının kapatılması suretiyle hesabına erişiminin engellenmesinin Kanuna aykırılık teşkil etmediğine,

- İlgili kişinin, kişisel harici hard diskinin, özel bilgi ve belgelerinin, şahsına ve ailesine ait özel şeylerin, banka bilgilerinin, banka şifrelerinin ve fotoğraflarının ekrana yansıtılmak suretiyle odasında bulunan kişilerce izlendiğine ilişkin iddialarıyla ilgili dosya kapsamında tevsik edici bir bilgi veya belge bulunmadığından bu aşamada yapılacak bir işlem bulunmadığına

karar verilmiştir.

12. İlgili kişinin Kanunun 11 nci maddesi kapsamındaki başvurusuna veri sorumlusu tarafından verilen cevabın yeterli bulunmaması hakkında 03/02/2021 tarihli ve 2021/85 sayılı Karar Özeti

Konu Özeti: Kuruma intikal eden şikâyette; ilgili kişinin “….com.tr” adresinden ürün siparişi verdiği, bu işlem ve veri sorumlusunun e-bültenine kayıt olması esnasında kişisel verilerinin işlenmesine ilişkin bir aydınlatmanın sunulmadığı, 26.06.2019 tarihinde veri sorumlusuna; hangi kişisel verilerinin hangi amaçlarla işlendiği, hangi verilerinin ne kadar süre ile saklandığı ve bu kişisel verilerin üçüncü taraflarla paylaşılıp paylaşılmadığı hususlarının yanıtlanması için başvuruda bulunduğu, veri sorumlusunun bu hususlardaki yanıtlarını içeren cevabî yazısının, 6698 sayılı Kanununun 13 üncü maddesi uyarınca 30 günlük süre içerisinde 23.07.2019 tarihinde ilgili kişiye iletildiği ancak ilgili kişinin veri sorumlusunun cevabını yeterli bulmadığı anlaşılmıştır.

- Veri sorumlusunun internet sitesinde bulunan "Kişisel Veriler Politikası" (Politika) bölümünün bir aydınlatma olmadığı, tüm siteyi kapsamaya çalışan karışık bir metin olduğundan ötürü "belirli ve açık" olmadığı,

- İlgili kişi veri sorumlusuna başvurduğunda kendisine verilen cevap ile veri sorumlusuna ait internet adresinde yer alan Politikanın kimi yerlerde çeliştiği; Politikada IP, Çerez gibi verilerin sayıldığı ancak ilgili kişiye verilen cevapta bu konularda bir bilgilendirmenin yapılmadığı,

- İlgili kişiye verilen cevap metni içerisinde kişisel verilerin, “idarî ve resmî makamlar ile taşıma şirketlerine sınırlı ve orantılı bir şekilde aktarıldığı”nın ifade edildiği fakat Politika metni içerisinde kişisel verilerin "yurt içi/yurt dışı kuruluşlar ile diğer üçüncü kişilere" aktarıldığının söylendiği,

- Politika metni içerisinde birçok veri ve veri aktarımından söz edildiği ancak veri bazında bir bilgilendirmenin yapılmadığı, örneğin kimlik bilgilerinin ya da adreslerin hangi şirketlere aktarıldığı hususunda bir açıklama yer almadığı

ifade edilerek veri sorumlusu hakkında gerekli işlemlerin tesis edilmesi talep edilmiştir.

Veri sorumlusu şirketin savunması talep edilmiş olup veri sorumlusunun cevabi yazısında özetle;

- İlgili kişinin internet siteleri üzerinden üyelik kaydı oluşturarak ürün sipariş ettiği, Kanunun yürürlüğe girmesiyle birlikte veri sorumlusunun Kanun kapsamında bir kişisel verileri koruma politikası uygulamaya başladığı, ilgili kişinin başvuru tarihinden itibaren geçen süre içerisinde politika metninde iyileştirmeler yapıldığı ve “Kişisel Verilerin Korunması ve İşlenmesi Hakkında Aydınlatma Metni”nin veri sorumlusunun sitesinde yer aldığı, ilgili kişinin başvurusunda belirli ve açık olmadığını ileri sürdüğü metnin yeniden düzenlenerek daha açık bir anlama kavuşturulduğu,

- IP, Çerez gibi verilere ilişkin açıklamaların halihazırda Aydınlatma Metninde yer aldığı, veri sorumlusunun internet sitesinde ayrıca Çerez Politikasına da yer verildiği, metinde yer alan bilgilendirme ve açıklamaların Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin (Tebliğ) 4 üncü maddesine uygun kapsamda olduğu, 24.06.2019 tarihli Mesafeli Satış Sözleşmesi gereği ilgili kişinin siparişinin ulaştırılması için zorunlu olarak işlenen ve kargo firmasına aktarılan verileri dışında herhangi bir veri paylaşımının gerçekleştirilmediği

ifade edilmiştir.

Kişisel Verileri Koruma Kurulunun yapmış olduğu değerlendirme,

- Kanunun veri sorumlusuna yüklediği “Aydınlatma Yükümlülüğü”nün amacının, ilgili kişilerin, kişisel verilerini belirli işlemler için veri sorumlularına vermeden önce; kişisel verilerinin kullanımı, aktarımı, bu işlemlerin hukukî mesnetleri ve başvuru mercii olan veri sorumlusunun kimliği ile kendilerinin kişisel verileri üzerinde var olan haklarıyla alakalı olarak bilgilendirilerek, kişisel verileri üzerindeki hakimiyetlerini tamamen yitirmelerini önlemek olduğu, aydınlatma yükümlülüğünün varlığı, şeffaflık ilkesinin bir gereği olup şeffaflığın şartının da ilgili kişinin anlaşılabilir bir şekilde bilgilendirilmesi olduğu,

- Bu doğrultuda hazırlanan bir Aydınlatma Metninin, ilgili kişilere, yaptıkları işlem bazında, söz konusu işlem dahilinde kullanılan kişisel verilerine ilişkin bilgilendirme sağlamasının beklendiği, veri sorumluları için genel hukukî metinler niteliğinde olan “Gizlilik Politikası”, “Veri İşleme Politikası” gibi metinlerin, karışık yapıları ve ilgili kişilerin ihtiyacı olan belirlilikteki bilgilendirmeleri sağlayamamaları nedenleriyle Aydınlatma Metni olarak kullanılmamaları gerektiği,

- Zira 26.06.2020 tarihinde Kurumun internet sitesinden yayınlanan “Aydınlatma Yükümlülüğünün Yerine Getirilmesi Hakkında Kamuoyu Duyurusu”nun (h) maddesinde de bu durumun, “İşleme faaliyeti ile sınırlı olmayan, veri sorumlusu için genel veri işleme belgesi niteliğinde olan gizlilik politikaları veya veri işleme politikaları, aydınlatma metinleri olarak kullanılmamalıdır.” şeklinde açıklandığı,

- Nitekim Kişisel Verileri Koruma Kurumu tarafından yayınlanan “Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi”nde de “Kanun’un 4’üncü maddesinde yer alan temel ilkeler gereği veri sorumlularının, faaliyetleri kapsamında işlediği kişisel verileri, hangi işleme amacına dayanarak işlediğini kişisel veri bazında belirlemesi ve bu amacın da aydınlatma metinlerinde açıkça belirtilmesi gerekmektedir.” denilerek, aydınlatma yükümlülüğünün işlenecek kişisel veri bazında yerine getirilmesi gerektiğinin ifade edildiği,

- Veri sorumlusunun güncel Aydınlatma Metni incelendiğinde Kanunda ifade olunan asgari unsurlara (veri sorumlusunun kimliği, kişisel verilerin işlenme amaçları, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve 11 inci maddede sayılan diğer haklar) yer verildiğinin görüldüğü, ayrıca veri sorumlusunun işlediği kişisel verilerin de kategorik olarak Aydınlatma Metninde sunulduğu,

- Veri sorumlusunun internet sitesinden (….com.tr) sipariş verilmek istendiğinde iki seçenek olduğu; bunlardan birincisinin internet sitesine üye olarak siparişi gerçekleştirmek, diğerinin ise üye olmadan devam ederek siparişi tamamlamak olduğu; söz konusu internet sitesinde bulunan “Üye Ol” sayfasına tıklandığında “Kişisel Verilerin Korunması hakkındaki açık rıza metnini okudum, onaylıyorum” butonu aktif edilmeden siteye üye olunamadığı, bir Aydınlatma Metni hüviyetini taşımayan bu metnin de kendi içerisinde Gizlilik Politikası metnine bir bağlantı içermediği, üye olunmadan devam edildiği takdirde ise aydınlatmaya dair herhangi bir buton veya pop-up yardımıyla aydınlatmada bulunulmadığı,

- Açık Rıza Metinlerinin, ilgili kişilere, işlenecek kişisel verileri hakkında sade ve özet bilgiler sunan metinler olduğu; bununla birlikte detaylı bilgilendirme için veri sorumlularının ilgili kişileri Aydınlatma Metnine yönlendirdikleri, bu durumun aydınlatmanın kişisel verilerin işlenmesinden önce yapılması adına önemli bir gereklilik olduğu fakat veri sorumlusunun bu gerekliliği yerine getirmediğinin anlaşıldığı,

- Tebliğin “Usul ve esaslar” başlığını haiz 5(1)(e) bendine göre aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna ait olduğundan, veri sorumlusunun internet sitesinin en alt bölümünde bir link olarak yer verdiği politika metninin internet sitesinden alışveriş yapan ilgili kişilerin aydınlatıldığını ispatta yetersiz kaldığı,

- Zira söz konusu Aydınlatma Metninin, ilgili kişilerin sipariş vermesi ve üye olması sırasında ekrana gelmediğinden ilgili kişilerin bahse konu metni okuyup okumadığının belirsiz olduğu, bu noktada, internet sitesinden sipariş verilmesi veya internet sitesine üye olunması gibi, ilgili kişilerin kişisel verilerinin işlenmesine sebebiyet verecek işlemler esnasında ilgili kişilere, gerçekleştirdikleri işlemler özelinde; işlenecek kişisel veri kategorileri, bu verilerin işlenme amacı, hangi veri kategorilerinin hangi alıcı gruplarına ne maksatla aktarıldığı, sipariş kapsamında gerçekleştirilen veri işleme faaliyetlerinin hukukî sebeplerinin belirtildiği bir metin vasıtasıyla, işlenecek kişisel veriler bazında aydınlatma yapılarak sonrasında ilgili kişilere, veri sorumlusunun genel veri işleme politikasını yansıtan metnine, örneğin bir link eklenmesi vasıtasıyla yönlendirme yapılabileceği,

- Bu anlamda, veri sorumlusunun ilgili kişilere, kişisel verilerinin en geç elde edilmesi esnasında, bahse konu işlemler bazında, “belirli ve açık” bir aydınlatmada bulunmadığı ve Aydınlatma Metninde eksiklikler bulunduğu; bu sebeplerle de Tebliğin 5 inci maddesinin (1) numaralı fıkrasının; “Aydınlatma yükümlülüğü kapsamında açıklanacak kişisel veri işleme amacının belirli, açık ve meşru olması gerekir. Aydınlatma yükümlülüğü yerine getirilirken, genel nitelikte ve muğlak ifadelere yer verilmemelidir. Gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadeler kullanılmamalıdır.” şeklindeki (g), “Aydınlatma yükümlülüğü kapsamında ilgili kişiye yapılacak bildirimin anlaşılır, açık ve sade bir dil kullanılarak gerçekleştirilmesi gerekmektedir.” hükmünü amir (ğ) ve “Aydınlatma yükümlülüğü yerine getirilirken eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmemelidir.” hükmünü ihtiva eden (j) bentlerine aykırı hareket ettiği

değerlendirmelerinden hareketle

- Veri sorumlusunun, internet sitesi üzerinden sipariş verilmesi veya üye olunması gibi ilgili kişilerin kişisel verilerinin işlenmesine sebebiyet verecek işlemler esnasında, o anda ve sonrasında gerçekleştirilecek veri işleme faaliyetine ilişkin bir aydınlatmada bulunmadığı, ilgili kişilerin kişisel verilerinin kullanımı ile ilgili olarak bilgi alabilmek için kendilerinin bahse konu politika metnini arayıp bulmaları gerektiği, bu metnin de tüm siteyi kapsayan bir politika metni hüviyetinde olduğu ve bu durumun Tebliğin 5(1)(g), (ğ) ve (j) bentlerine aykırılık teşkil ettiği kanaatine varılmış olup Kanunun “Şikayet üzerine veya resen incelemenin usul ve esasları”nı düzenleyen 15 inci maddesinin (5) numaralı fıkrasının “Şikayet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması halinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.” hükmü uyarınca veri sorumlusunun, söz konusu hukuka aykırılıkların giderilmesi ve sonucundan Kurula bilgi vermesi hususlarında talimatlandırılmasına karar verilmiştir.

13. Veri sorumlusu banka tarafından ilgili kişinin verilerinin yakınları ile paylaşılması hakkında 03/02/2021 tarihli ve 2021/79 sayılı Karar Özeti

Konu Özeti: Kuruma intikal eden şikâyette; ilgili kişinin veri sorumlusu Bankanın kredi kartını kullandığı, veri sorumlusu tarafından ilgili kişinin kredi kartı borcuna ilişkin ilgili kişinin ablası ve babasına ait telefon numaralarının arandığı, ilgili kişinin bu hususta 15/11/2019 tarihinde veri sorumlusuna başvurarak ailesinin iletişim bilgilerine nasıl ulaşıldığı, kişisel verilerinin üçüncü kişilerle neden paylaşıldığı konularında bilgi talep ettiği, veri sorumlusunun 19/11/2019 tarihinde verdiği cevapta, ilgili kişinin kredi kartı borcu bilgilendirilmesi için arandığı ancak ulaşılamadığında alternatif telefon numaralarından da ilgili kişiye ulaşılmaya çalışıldığının, veri sorumlusu ile ilgili kişi arasında yapılan görüşme sonucunda ilgili kişinin veri sorumlusu bünyesinde kayıtlı olan cep telefonu dışındaki diğer numaralardan aranmaması için gerekli sistemsel güncellemelerin tamamlandığının ifade edildiği belirtilerek veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması talep edilmiş olup veri sorumlusu tarafından Kuruma intikal eden cevabi yazıda özetle;

- İlgili kişinin 2016 yılından bu yana beri veri sorumlusu bankaya ait kredi kartını kullandığı, söz konusu kredi kartının 25/08/2018 tarihinden başlayarak gecikmeye girdiği, ilgili kişinin kartının gecikmeye girmesi sebebiyle kendisi ile görüşüldüğü, ilgili kişinin gecikmede olan kartı için 23/10/2018, 28/12/2018 ve 28/03/2019 tarihlerinde, ilgili kişinin vermiş olduğu iletişim numarasından arandığı ancak ulaşılamadığı,

- İlgili kişiye bünyelerindeki iletişim numarasından ulaşmak mümkün olmayınca, 23/10/2018 tarihinde, sistemlerinde alternatif numara olarak tutulan ***10 numaralı telefon ile 28/12/2018 ve 28/03/2019 tarihlerinde ise ***55 numaralı telefonların arandığı ve söz konusu numaralar ile yapılan görüşmelerde, ilgili kişinin kişisel verilerinin hiçbir şekilde üçüncü şahıslar ile paylaşılmadığı, sadece aranan kişilere, ilgili kişinin taraflarını geri araması için not bırakıldığı, yapılan görüşme kayıtlarına ilişkin dökümlerin yazıları ekinde Kuruma gönderildiği,

- Risk Merkezinden sorgulamalar yapıldığı, bu çerçevede, ilgili kişinin bünyelerinde kayıtlı olan telefon bilgilerinin, Risk Merkezinden yapılan sorgulama vasıtasıyla temin edilerek, ilgili kişiye ulaşılmak maksadı ile ve sadece bu amaçla sınırlı kalınarak kullanıldığı,

- 15/11/2019 tarihinde ilgili kişi ile yapılan görüşme sonucunda, ilgili kişinin talebi üzerine, ilgili kişi ile yakınlarının kişisel verisi olan ***10 ve ***55 telefon numaralarından iletişime geçilmemesi için, 18/11/2019 tarihinde gerekli sistemsel güncellenmelerin gerçekleştirildiği ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 03/02/2021 tarih ve 2021/79 sayılı Kararı ile;

- 5411 sayılı Bankacılık Kanununun 73 üncü maddesinde, (Değişik üçüncü fıkra: 13/2/2011-6111/146 md.) “Sıfat ve görevleri dolayısıyla bankalara veya müşterilerine ait sırları öğrenenler, söz konusu sırları bu konuda kanunen açıkça yetkili kılınan mercilerden başkasına açıklayamazlar. Bu yükümlülük görevden ayrıldıktan sonra da devam eder. (Ek cümleler:20/2/2020-7222/10 md.) Bankacılık faaliyetlerine özgü olarak bankalarla müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ait veriler, müşteri sırrı haline gelir. Diğer kanunların emredici hükümleri saklı kalmak kaydıyla, müşteri sırrı niteliğindeki bilgiler, bu maddede belirtilen sır saklama yükümlülüğünden istisna tutulan haller haricinde, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca müşterinin açık rızası alınsa dahi, müşteriden gelen bir talep ya da talimat olmaksızın yurt içindeki ve yurt dışındaki üçüncü kişilerle paylaşılamaz ve bunlara aktarılamaz. Kurul ekonomik güvenliğe ilişkin yapacağı değerlendirme neticesinde, müşteri sırrı ya da banka sırrı niteliğinde olan her türlü verinin, yurt dışındaki üçüncü kişilerle paylaşılmasını ya da bunlara aktarılmasını yasaklamaya, ayrıca bankaların faaliyetlerini yürütmede kullandıkları bilgi sistemleri ve bunların yedeklerinin yurt içinde bulundurulması hususunda karar almaya yetkilidir. Bu maddede belirtilen sır saklama yükümlülüğünden istisna tutulan hallerde yapılacak paylaşımlar da dahil olmak üzere, müşteri sırrı ve banka sırrı niteliğindeki bilgiler, sadece belirtilen amaçlarla sınırlı olmak ve ölçülülük ilkesine uygun olarak bu amaçların gerektirdiği kadar veriyi içermek kaydıyla paylaşılabilir…” hükmüne yer verildiği,

- Bu çerçevede; veri sorumlusu tarafından ilgili kişinin kredi kartı borcuna ilişkin ilgili kişinin ablası ve babasına ait telefon numaralarının birkaç kere arandığı iddiası ile ilgili olarak, veri sorumlusundan alınan cevabi yazı ve ekindeki açıklamalar dikkate alındığında veri sorumlusu tarafından ilgilinin kişinin ablası ve babasının arandığı ikrar edilerek yapılan görüşme kayıtlarına ilişkin dökümlerin de ekte yer aldığı ve söz konusu kayıtlarda; ilgili kişinin ablasının bir defa, babasının ise iki defa arandığı, konuşma içeriğinde müşteri temsilcisi tarafından Bankanın Genel Müdürlüğünden arandığı ve ilgili kişinin taraflarına dönüş yapmasının söylendiği görüldüğünden ilgili kişinin ablası ve babasının Risk Merkezi üzerinden temin edilen telefon numarası üzerinden aranması suretiyle ilgili kişinin banka ile münasebetinin yakınları ile paylaşılmasının Kanunun 5 inci maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanmaksızın gerçekleştirildiği,

değerlendirmelerinden hareketle,

- Veri sorumlusu tarafından ilgili kişinin ablası ve babasının Risk Merkezi vasıtasıyla temin edilen telefon numarası üzerinden aranması suretiyle ilgili kişinin banka ile münasebetinin yakınları ile paylaşılmasının Kanunun 5 inci maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanmaksızın, hukuka aykırı olarak gerçekleştirildiği dikkate alındığında veri sorumlusunun Kanunun 12(1)(a) bendinde öngörülen “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğünü yerine getirmediği kanaatine varıldığından, veri sorumlusu hakkında, Kanunun 18(1)(b) bendi uyarınca idari para cezası uygulanmasına karar verilmiştir.[BBÖ1]

14. İlgili kişinin fotoğraflarının veri sorumlusuna ait bir sosyal medya hesabında paylaşılması suretiyle gerçekleşen kişisel veri işleme faaliyeti hakkında 27/04/2021 tarihli ve 2021/422 sayılı Karar Özeti

Konu Özeti: Kuruma intikal eden şikâyet dilekçesinde özetle; ilgili kişinin veri sorumlusunun iş yerinde pilates eğitmeni olarak çalıştığı, iş ilişkisinin sona ermesinden sonraki tarihlerde veri sorumlusunun sosyal medya hesabından ilgili kişinin fotoğraflarını kullanarak herkese açık şekilde paylaşımlarda bulunduğu, bu sebeple veri sorumlusuna başvuruda bulunularak ilgili paylaşımının kaldırılması, fotoğrafların ilgili kişiye iade edilmesi, veri sorumlusunda bulunan fotoğrafların yok edilmesi ve veri sorumlusu nezdinde reklam veya başka bir amaçla sosyal medyada kullanılmamasının talep edildiği, veri sorumlusunun başvuruya cevabında söz konusu fotoğrafların kullanımından vazgeçildiğini belirtmesine karşın, herkes tarafından erişilebilir sosyal medya hesabında fotoğrafların yayınlanmaya devam ettiği, ilgili kişinin açık rızası alınmamasına rağmen fotoğrafların paylaşıldığı ve talebe rağmen sosyal medya platformundan kaldırılmadığı, paylaşılan fotoğrafla ilgili olarak ilgili kişiye hiçbir bilgilendirme yapılmadığı ve aydınlatma yükümlülüğünün de yerine getirilmediği, söz konusu fotoğraf paylaşımının 6698 sayılı Kişisel Verilerin Korunması Kanununa aykırı olduğu belirtilerek, veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş ancak veri sorumlusu tarafından savunma, bilgi ve belge talepli Kurum yazısına herhangi bir cevap verilmemiştir.

Bununla birlikte, ilgili kişinin şikâyeti neticesinde veri sorumlusunun ilgili kişiye ilettiği cevabî nitelikli yazısında; veri sorumlusunun eski çalışanı olan ve çalıştığı döneme ilişkin olarak veri sorumlusu reklamlarında şahsi hiçbir özelliği ön plana çıkarılmadan, şirket çalışanı olarak o tarihte kendi isteği ile reklam çekimlerinde yer alması nedeniyle ilgili kişiye ait fotoğrafların şirketin tanıtımına ilişkin bölümlerde yer aldığı, tanıtım fotoğraflarında ilgili kişinin şahsına ilişkin bir kayıt ve bilgi bulunmadığı, fotoğrafların ilgili kişinin bilgisi ve izni ile çekildiği, ilgili kişinin şahsına ve kişilik haklarına ilişkin bir aykırılık bulunmadığı yine de ihtarname sonrası ilgili kişinin talebi doğrultusunda fotoğrafların kullanımından vazgeçildiği, ilgili kişinin izni ile reklam şirketi tarafından tanıtım amaçlı çekilen şirket faaliyetlerine ilişkin fotoğrafların şirket reklamlarındaki görsellerden kaldırılması nedeniyle şirket yönünden ayrıca bir zarar oluştuğu ifadelerine yer verildiği görülmüştür.

Eldeki bilgi ve belgeler çerçevesinde konuya ilişkin yapılan incelemede Kişisel Verileri Koruma Kurulunun 27/04/2021 tarihli ve 2021/422 sayılı Kararı ile;

- Şikâyet konusu sosyal medya hesabında, ilgili kişinin paylaşılan fotoğraflarının yayınlanmaya devam ettiği ve hesaptan kaldırılmadığı, 15.05.2019 tarihli paylaşımda ilgili kişinin fotoğrafının arka planda ve hafif bulanık şekilde paylaşıldığı, 20.05.2019 tarihli paylaşımda ilgili kişinin fotoğrafının net şekilde seçilebildiği,

- Veri sorumlusunun savunma, bilgi ve belge talepli Kurum yazısına yasal süre içerisinde herhangi bir cevap vermemesi karşısında, ilgili kişinin söz konusu veri işleme faaliyeti açısından açık rızasının alındığına ilişkin herhangi bir somut bilgi veya belge edinilemediği için, veri sorumlusunun Kanunun 5 inci maddesi kapsamında herhangi bir kişisel veri işleme şartına dayanmaksızın ilgili kişinin kişisel verilerini hukuka aykırı şekilde işlemek suretiyle Kanunun 12(1) numaralı fıkrası kapsamında uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı,

- Öte yandan ilgili kişinin talebi üzerine fotoğraflarının Yönetmeliğin 12(1)(a) bendinde öngörülen otuz günlük yasal süre içinde silinmesi/ yok edilmesi gerektiği, yasal süre geçtikten sonra halen devam eden veri işleme faaliyetinin bu kapsamda yine hukuka aykırı olduğu

değerlendirmelerinden hareketle;

- İlgili kişinin fotoğraflarının veri sorumlusuna ait sosyal medya hesabından kaldırılmaması nedeniyle veri sorumlusunun Kanunun 5 inci maddesi kapsamında herhangi bir kişisel veri işleme şartına dayanmaksızın kişisel verileri hukuka aykırı şekilde işlemek suretiyle Kanunun 12(1) numaralı fıkrası kapsamında uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılması nedeniyle veri sorumlusu hakkında Kanunun 18(1)(b) bendi kapsamında idari para cezası uygulanmasına,

- Veri sorumlusunun sosyal medya hesabında bulunan ilgili kişiye ait tüm fotoğrafların kaldırılması ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümleri uyarınca uygun usulle silinmesi/yok edilmesi, söz konusu fotoğrafların başka hiçbir mecrada kullanılmaması ve bu işlemlerin sonucundan Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına karar verilmiştir.

15. Bir bankanın mobil uygulamalar üzerinden ilgili kişiye rızası dışında tanıtım iletileri göndermesi hakkında 13/04/2021 tarihli ve 2021/361 sayılı Karar Özeti

Konu Özeti: Kuruma intikal eden şikâyet dilekçesinde özetle; ilgili kişinin maaş müşterisi olduğu veri sorumlusu banka tarafından sunulan 2 adet mobil uygulama üzerinden cep telefonuna tanıtım iletileri gönderildiği, veri sorumlusunun tanıtım iletileri gönderme işlemi sırasında ilgili kişinin açık rızasına başvurmadığı ve veri sorumlusu tarafından Kanunun 12 nci maddesi uyarınca kişisel verilerin hukuka aykırı biçimde işlenmesini önlemek adına gerekli teknik ve idari tedbirlerin alınmadığı, ilgili kişinin, tanıtım iletilerinden dolayı duyduğu rahatsızlığı dile getirmek üzere veri sorumlusuna yazılı başvuruda bulunduğu, ancak bu başvurunun cevabının gelmesinden önce veri sorumlusuyla çağrı merkezi üzerinden de iletişime geçerek tanıtım iletilerinin gönderilmesine konu olan kişisel verilerinin silinmesi talebini ilettiği, yapılan sözlü ve yazılı başvuruların ardından, ilgili kişinin veri sorumlusundaki hesabı ile kredi kartlarının tamamen iptal edildiği, ilgili kişinin veri sorumlusuna yaptığı ikinci başvuruda iptal sebebini sorduğu ve kendisine Kanun kapsamındaki talebi sebebiyle söz konusu iptal işleminin gerçekleştirildiği bilgisinin verildiği, hesabının silinmesi işleminin ilgili kişiyi maddi ve manevi zarara uğrattığı ve başlangıçtaki başvurusunun karşılanmamasının yanı sıra, hesabının kapatılmasının ikinci bir hukuka aykırılık teşkil ettiği belirtilerek veri sorumlusu hakkında gerekli incelemelerin yapılması ve idari para cezası uygulanması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, verilen cevapta özetle;

- Mobil uygulamaların, müşterilere yönelik pazarlama amaçlı tesis edilen bir iletişim kanalı olarak kullanıldığı ve bu uygulamaların ayarlarında, kullanıcıların ileti almamaya ilişkin tercih hakkının bulunduğu,

- Kullanıcıların akıllı telefonlarına uygulamayı indirdikten sonra, tanıtım iletisi gönderilmesi için tercihlerinin istenildiği ve izin verilmesi durumunda kendilerine pazarlama içerikli bildirimlerin gönderildiği,

- Kullanıcıların bu bildirimlere en başta izin vermeme veya herhangi bir zamanda bu bildirimleri kapatma haklarının her zaman mevcut olduğu,

- Şikâyete konu olayda, ilgili kişinin uygulama ayarlarını bildirim almaya izin verecek şekilde düzenlemesi neticesinde kendisine tanıtım iletilerinin gönderildiği,

- İlgili kişinin veri sorumlusuna yaptığı başvuruda Kanunun 11(1)(e) bendi uyarınca kişisel verilerinin silinmesini veya yok edilmesini istemesi üzerine, Kanunun 7(1) numaralı fıkrası uyarınca işlem yapılabilmesi için ilgili kişinin hesabının ve kredi kartlarının kapatıldığı,

- İlgili kişiye ait kişisel verilerin, Kanunun 5(2) numaralı fıkrasında yer verilen “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” ve “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartları kapsamında işlendiği ve yine kendisinin talebi doğrultusunda silindiği,

- Hesabının kapatılması sonrasında ilgili kişinin veri sorumlusuna tekrar başvuruda bulunduğu ve kendisine yeniden hesap açıldığı,

- Hesabının kapatılması neticesinde ilgili kişi açısından bir zararın oluşmadığının tespit edildiği bildirilmiştir.

Konuya ilişkin yapılan incelemede Kişisel Verileri Koruma Kurulunun 13/04/2021 tarih ve 2021/361 sayılı Kararı ile;

- Somut olayda cihazlarında Android işletim sistemi bulunan veri sorumlusu banka müşterilerinin, yükledikleri bankacılık uygulamasının ayarlarında elektronik ileti alma tercihinin otomatik olarak onaylı olmasının ve müşterilerin bu tercihi değiştirmediği sürece onay tercihinin geçerli kabul edilmesinin ilgili mevzuata uygun olmadığı,

- Zira hizmet sunucuları tarafından mobil uygulamalar üzerinden kullanıcılara anlık olarak gönderilen ve “push bildirim” olarak adlandırılan bu tarz bildirimlerin mobil uygulamaların varsayılan ayarlarında onaylı olarak bulunmasının hem 6563 sayılı Kanunda belirtilen elektronik iletilerin alıcıların onaylarına tabi olacağı düzenlemesiyle çeliştiği hem de Kanunun 5 inci maddesinde yer verilen kişisel verilerin işlenmesinde açık rızaya dayanma şartını ihlal ettiği,

- Çok sayıda yerel şubesinin ve müşterisinin yanı sıra yurt dışı iştirak şubeleri de bulunan veri sorumlusunun bahsi geçen tasarrufu sebebiyle hukuka aykırı kişisel veri işleme faaliyetinin yaygın bir biçimde meydana geldiği ve ilgili kişi olan müşteriler bakımından veri güvenliği riskinin mevcut olduğu,

- Veri sorumlusunun, Android işletim sistemi kullanıcılarına yönelik olarak işletmekte olduğu mobil uygulamalar üzerinden tanıtım iletisi gönderme seçeneğini, açık rızanın Kanunda yer alan bütün unsurlarına yer verecek şekilde yeniden düzenlemesi ve bu kapsamda uygulamanın varsayılan ayarlarını tanıtım iletisi almama biçiminde kullanıma sunması gerektiği,

- Veri sorumlusunun ilgili kişilerden usulüne uygun şekilde açık rıza almaksızın tanıtım iletisi göndermek suretiyle hukuka aykırı olarak kişisel veri işleme faaliyetinde bulunmasının Kanunun 12(1) numaralı fıkrasında zikredilen uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığını gösterdiği

değerlendirmelerinden hareketle;

- Veri sorumlusunun mobil uygulamalar üzerinden usulüne uygun açık rızası alınmaksızın tanıtım iletileri göndermek amacıyla ilgili kişinin kişisel verilerini işlemesinin hukuka aykırı olduğu dikkate alındığında, Kanunun 12(1) numaralı fıkrası çerçevesinde uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılan veri sorumlusu hakkında Kanunun 18(1)(b) bendi uyarınca idari para cezası uygulanmasına,

- Bununla birlikte veri sorumlusunun sahibi olduğu mobil uygulama süreçlerini usulüne uygun açık rıza alınabilecek şekilde düzenlemesi ve bu işlemin sonucundan Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına karar verilmiştir.

16. Telekomünikasyon hizmetleri sunan bir veri sorumlusunun ürün satışı esnasında müşterilerinin pasaport fotoğraflarını çekerek depolaması hakkında 03/02/2021 tarihli ve 2021/78 sayılı Karar Özeti

Konu Özeti: Kuruma intikal eden bir ihbarda; veri sorumlusu tarafından İstanbul Havalimanı şubesinde dış hatlara gelen yolculara kontörlü hat satışı gerçekleştirilirken müşterilerin rızası olmadan, ileride eksik evrak cezası almamak için, müşteri pasaport fotoğraflarının çekilerek çalışanlardan oluşturulan bir whatsapp grubunda depolandığı ve üçüncü kişilerle paylaşıldığı, kendisinin de veri sorumlusunun eski bir çalışanı olarak söz konusu gruplara üye olduğu, bu kapsamda söz konusu gruplarda paylaşılan pasaport fotoğraflarının kendi telefonunda da depolandığı ifade edilerek başvuru ekinde söz konusu pasaport fotoğraflarının örneklerine yer verilmiş ve veri sorumlusu nezdinde gerekli denetimlerin yapılması talep edilmiştir.

Başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, veri sorumlusunun avukatı tarafından Kuruma intikal eden cevabi yazıda özetle;

- Veri sorumlusuna ait iş yerinin bir telekomünikasyon şirketi ile sözleşmesinin olduğu, sistemdeki her işlemin telekomünikasyon şirketi tarafından takip ve kontrol edildiği, hat açmak için Bilgi Teknolojileri ve İletişim Kurumu (BTK) düzenlemelerine uygun şekilde yeni müşterilere ait pasaport ve kimliklerin taratılarak sisteme yüklendiği, mağazada alınan kimlik bilgilerinin telekomünikasyon şirketinin depolama sistemine gönderilmesi nedeni ile çalışanlarının bu bilgilere tekrar ulaşmasının mümkün olmadığı,

- Veri sorumlusuna ait iş yerinin telekomünikasyon şirketi ile olan sözleşme ve kendi prosedürleri gereği 24 saat kamera ile izlendiği, çalışanlara yalnızca şirket bilgisayarı temin edilmekte olduğu ve bu bilgisayarlarda yapılan tüm işlemlerin kamera görüş açısında olduğu, şahsi telefonların mağaza içerisinde kullanımının yasak olduğu, bilgisayarlarda ise telekomünikasyon şirketine ait sisteme giriş için her bir çalışana yalnızca kendisi tarafından bilinen bir kod verilmekte olduğu ve yapılacak her türlü işlemlerden sorumluluğu olduğu konusunda çalışanların bilgilendirildiği, sistemdeki her işlemin telekomünikasyon şirketi tarafından takip ve kontrol edildiği, hat açmak için BTK düzenlemelerine uygun şekilde yeni müşterilere ait pasaport ve kimliklerin taratılarak sisteme yüklendiği, bilgilerin sisteme yüklendikten sonra ancak iş gereği kullanılabildiği, bilgilerin kayıt edilmesinin mümkün olmadığı, sistemin aynı zamanda Emniyet Genel Müdürlüğü’ne de entegre olduğu, mağazada alınan kimlik bilgilerinin telekomünikasyon şirketinin depolama sistemine gönderilmesi nedeni ile şirket çalışanlarının bu bilgilere tekrar ulaşmasının mümkün olmadığı,

- Hat açma işlemlerinin akabinde müşteri bilgilerinin ve kontratın telekomünikasyon şirketi tarafından incelendiği ve eksik veya yanlış bilgi olması durumunda telekomünikasyon şirketi tarafından ceza kesildiği, veri sorumlusunun prim alabilmesinin yapılan satış adedine ve satışın BTK kurallarına uygun olarak eksiksiz yerine getirilmesine bağlı olduğu,

- Şikayetçinin veri sorumlusu bünyesinde çalıştığı sırada kişisel verilerin korunması konusunda uyarılmasına rağmen şirketi suçlayıcı gerçeğe aykırı beyanlarda bulunduğu, şikayetçinin dürüstlük kuralına, hukuka ve hakkaniyete aykırı davrandığı, iddiaların asılsız olduğunun yapılacak yerinde inceleme ile kolayca anlaşılabileceği, ilgili telekomünikasyon şirketi tarafından veri sorumlusunun 9000 işleminin incelendiği ve hiçbir usulüz işleme rastlanılmadığı, şikayetçinin müşteri verilerini sisteme doğru işlememesinden doğan cezaların telekomünikasyon şirketi tarafından veri sorumlusuna rücu edildiği ifade edilmiştir.

Bahse konu savunma üzerine, çalışanlara yönelik verildiği ifade edilen eğitimleri kanıtlayıcı nitelikte belgeler ile eğitimlerin içeriğine ilişkin bilgiler ve yürütüldüğü ifade edilen incelemelere ilişkin raporların birer örneği ile veri sorumlusunca Kanunun 12 nci maddesi kapsamında alınan tüm idari ve teknik tedbirlere ilişkin kanıtlayıcı nitelikte belgelerin Kuruma iletilmesi talep edilmiş olup veri sorumlusunun cevabi yazısında özetle; yeni işe başlayan çalışanlara yazıları ekinde sunulan kitapçığın verildiği, bu kitapçıkta yer alan oryantasyon konularından birinin de “kişisel verilerin korunması” olduğu, eğitimde müşterilerin kişisel verilerinin korunmasına ilişkin bilgilendirmelerin çalışanlara yapıldığı, çalışanların şahsi telefonlarını kullanmalarının yasak olduğu, bu nedenle şahsi telefonlarla fotoğraf çekilmediği ve ilgili kişilere ait kişisel verilerin whatsapp’ta depolanmadığı, telekomünikasyon şirketinin portalı üzerinden yapılan bu işlemlerin veri sorumlusunca saklanmasının mümkün olmadığı belirtilmiştir.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 03/02/2021 tarih ve 2021/78 sayılı Kararı ile;

- Somut olayda, pasaportların işlenmekte olduğu sistemin telekomünikasyon şirketi tarafından kurulan ve yönetilen bir sistem olduğu anlaşılmakla birlikte, pasaportların sisteme işlenmesini sağlayan çalışanların veri güvenliğine ilişkin yükümlülüklere uymasını ve sisteme işleme sırasında kişisel verilerin güvenliğini sağlamak hususunda şikâyet olunan şirketin sorumluluğu olduğu kanaatine varıldığından şikâyet olunan şirketin somut olayda veri sorumlusu olduğu,

- Veri sorumlusu tarafından çalışanlara yalnızca şirket bilgisayarı temin edildiği, şahsi telefonların mağaza içerisinde kullanımının yasak olduğu, bilgisayarlarda ise telekomünikasyon şirketine ait sisteme giriş için her bir çalışana yalnızca kendisi tarafından bilinen bir kod verildiği ve yapılacak her türlü işlemlerden sorumluluğu olduğu konusunda çalışanların bilgilendirildiği, sistemdeki her işlemin telekomünikasyon şirketi tarafından takip ve kontrol edildiği, hat açmak için BTK düzenlemelerine uygun şekilde yeni müşterilere ait pasaport ve kimliklerin taratılarak sisteme yüklendiği ve çalışanlarının bu bilgilere tekrar ulaşmasının mümkün olmadığı belirtilmekle birlikte, ihbar ekinde, pasaport bilgilerinin bir grupta paylaşıldığını gösterir kanıtlayıcı nitelikte belgeler olduğu görüldüğünden söz konusu ihbara ilişkin olarak veri sorumlusu Şirketin Kanunun 12(1) numaralı fıkrası kapsamında kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı ve Kanunun 12(3) numaralı fıkrası kapsamında yer alan veri sorumlusunun, kendi kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorunda olduğu hükmüne aykırı hareket ettiği,

- Öte yandan, veri sorumlusunun daha önce bir çalışanının müşteri verilerini sisteme doğru işlememesinden doğan cezaların telekomünikasyon şirketi tarafından veri sorumlusu şirkete rücu edildiği, bu çalışanın Kanuna aykırı davranışlarının kamera ile tespit edildiği ve söz konusu çalışandan kaynaklı olarak veri sorumlusu bünyesinde bir veri ihlali yaşandığı anlaşılmış olup söz konusu ihlal kapsamında Kurula yapılmış bir bildirim olmadığı dikkate alındığında veri sorumlusu tarafından Kanunun 12(5) numaralı fıkrasında yer verilen, “işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildireceği, Kurulun, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği” hükmüne uygun hareket edilmediği değerlendirmelerinden hareketle,

- Veri sorumlusu tarafından sunulan belgelere karşın ihbar ekinde, pasaport bilgilerinin bir grupta paylaşıldığının anlaşılması nedeni ile ihbara ilişkin olarak veri sorumlusu Şirketin Kanunun 12(1) numaralı fıkrası kapsamında kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı ve Kanunun 12(3) numaralı fıkrası kapsamında yer alan veri sorumlusunun, kendi kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorunda olduğu hükmüne aykırı harekete ettiği kanaatine varıldığından veri sorumlusu hakkında Kanunun 18(1)(b) bendi uyarınca idari para cezası uygulanmasına,

- Veri sorumlusunun daha önce bir çalışanın müşteri verilerini sisteme doğru işlememesinden doğan cezaların telekomünikasyon şirketi tarafından veri sorumlusuna rücu edildiği, yine söz konusu çalışana verildiği anlaşılan uyarı yazısında, çalışanın Kişisel Verilerin Korunması Kanununa aykırı davranışlarının kamera ile tespit edildiği, kişinin müşteri kimlik resimlerinin kaydını şahsi cep telefonunda muhafaza ettiğinin anlaşıldığına yönelik ifadelerin yer aldığı ve söz konusu çalışandan kaynaklı olarak veri sorumlusu bünyesinde bir veri ihlali yaşandığı anlaşılmış olup, söz konusu ihlal kapsamında Kurula yapılmış bir bildirim olmadığı dikkate alındığında veri sorumlusu tarafından Kanunun 12(5) numaralı fıkrasına uygun hareket edilmemiş olması nedeniyle Kanunun 18(1)(b) bendi kapsamında veri sorumlusu hakkında idari para cezası uygulanmasına,

- 5237 sayılı Türk Ceza Kanununun 136 ncı maddesinde düzenlenen “Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.” hükmü gereğince ihbara konu aykırılıkların sorumluları hakkında Türk Ceza Kanunu kapsamında ihbaren Cumhuriyet Başsavcılığına bildirimde bulunulmasına karar verilmiştir.

17. İlgili kişinin kişisel verilerinin bilgisi dışında veri sorumlusu banka nezdinde sorgulanması hakkında 12/01/2021 tarihli ve 2021/32 sayılı Karar Özeti

Konu Özeti: İlgili kişi adına vekilinden alınan şikâyette, ilgili kişinin, şikâyet edilen veri sorumlusu banka bünyesinde müdür yardımcısı pozisyonunda çalışmakta olan eşi ile boşanma davasının mevcut olduğu, bu süreçte şikâyet edilen banka aracılığıyla, müvekkiline ait kişisel veri niteliğinde bilgilerin sorgulandığı ve bu bilgilerin boşanma davası dosyasına sunulduğu, bahse konu evrakın, müvekkilinin geçmiş yıllara ilişkin karşılıksız çek bilgileri ve yine müvekkili hakkındaki tedbir kararlarına ilişkin olduğu, bu bilgilerin ancak müvekkilinin izin ve onayı dâhilinde sorgulanabileceği, söz konusu sorgulamanın banka aracılığıyla yapılmış olmakla kalmayıp müvekkilinin kişisel verilerinin, kişisel çıkar amacıyla mahkemeye sunulmak suretiyle paylaşıldığı ve bu kapsamda özel hayatın gizliliğinin ihlal edildiği, bu durumun 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) aykırılık teşkil ettiği ve şikâyet edilen veri sorumlusu bankaya aykırılığı gidermesi ve söz konusu durumdan doğan zararları tazmin etmesi amacıyla iadeli taahhütlü başvuru yapılmasına rağmen 30 günlük yasal süre içerisinde herhangi bir cevap alınamadığı ifade edilerek, veri sorumlusu banka hakkında gerekli işlemlerin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusu Bankadan savunması istenilmiş olup, alınan cevabi yazıda özetle;

- İlgili kişinin başvurusu üzerine Bankanın ilgili iş birimince gereken incelemenin yapıldığı, Şube Operasyon Yetkilisi’nin, eşi ve aynı zamanda Bankanın müşterisi olan ilgili kişinin istihbarat sorgusunu yaparak sonuçlarını ilgili kişinin bilgisi ve isteği dışında, katılma alacağı davasına ilişkin mahkemeye sunduğunun tespit edildiği, bu süre zarfında, ilgili kişinin avukatı ile iletişime geçilerek Bankanın ilgili birimi nezdinde inceleme başlatılmış olduğu,

- Banka tarafından yapılan inceleme sonucunda, İnsan Kaynakları Uygulama Esas ve Usulleri’nin (KINAMA) “9.4…. Bankaya veya Bankanın müşterilerine ait sırları açığa vurmak, personele ait gizli belge ve bilgileri ilgisi olmayan kişilere vermek” maddesine temas etmesi nedeni ile; mahkemenin bu veriye ulaşmak istediği takdirde Bankadan temin edebileceği ve eşler arasında zaten bilinen bir konunun diğer eşin avukatı marifetiyle -konuyla ilgisiz üçüncü kişilere açık etmeksizin- mahkemeye sunması hususları bir arada değerlendirilerek, diğer eşin bir mektupla dikkatinin çekilmesine karar verildiği ve yazı ile müşteri başvurusunun yanıtlandığı, bu itibarla başvurucunun talebi doğrultusunda Kuruma başvurulmadan önce Banka tarafından gerekli işlemler tesis edildiğinden, Kuruma yapılan başvuruya ilişkin talebin konusuz kaldığı ve başvurunun haklı ve yasal dayanağının bulunmadığı,

- Bankanın müşterisi olan ilgili kişinin kişisel verilerinin Banka tarafından, kişisel verilerin işlenmesine dair hukuka uygunluk nedenleri çerçevesinde hukuka uygun olarak işlendiği ve kişisel verilerinin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirin alındığı,

- İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi şeklinde ortaya çıkan veri güvenliği ihlallerinin, veri sorumlusu sıfatını haiz Banka ya da yurtiçi iştirakinin yetkili veya çalışanları değil, bu verilere yetkisiz ve hukuka aykırı olarak erişen üçüncü kişiler tarafından gerçekleştirilebileceği, bu verilere görevinden kaynaklı olarak erişim yetkisi bulunmakta olan Banka personeli diğer eşin hukuka aykırı bir erişiminin söz konusu olmadığı,

- Diğer eşin şahsi görevinden kaynaklanmayan sebeplerle ilgili kişinin kişisel verilerine ulaşarak mahkemeye sunmasında Bankanın bir kusuru olmadığı ve bunun da ötesinde, Bankanın objektif olarak alabileceği bir güvenlik önleminin de bulunmadığı,

- Sonuç itibariyle, Bankanın kişisel verilerin korunmasına ilişkin mevzuatı uygulama konusundaki azami dikkat ve hassasiyeti ile şikâyete konu ilgili kişinin talep doğrultusunda gerekli araştırmanın yapıldığı, Bankanın kişisel verilerin işlenmesinde hukuka aykırı herhangi bir iş ve işleminin bulunmadığı ve öngörülen veri güvenliğine ilişkin yükümlülüklerini yerine getiren Bankanın bir kusuru ve dolayısıyla sorumluluğu bulunmadığı belirtilmiştir.

Konuya ilişkin olarak yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 12/01/2021 tarih ve 2021/32 sayılı Kararı ile;

- Kurulun 31/05/2018 tarih ve 2018/63 sayılı Kararı ile bir veri sorumlusu nezdinde bulundukları pozisyon veya görev itibariyle kişisel verilere erişme yetkisi olanlar tarafından, yetkileri aşmak ve/veya yetkilerini kötüye kullanmak suretiyle, kişisel amaçlara veya nedenlere bağlı olarak işleme amacı dışında söz konusu kişisel verilerin işlenmesi ve/veya bu verilerin üçüncü kişilerle paylaşılmasının 6698 sayılı Kişisel Verilerin Korunması Kanununun 12(1) numaralı fıkrasına aykırılık teşkil edeceğinden, bu kapsamdaki eylemlerin önlenmesi amacıyla veri sorumlularınca uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirin alınması gerektiği hususunda veri sorumlularının bilgilendirilmesine karar verildiği,

- Somut olayda ilgili kişiye ait kişisel veri niteliğinde bilgilerin veri sorumlusu bünyesinde çalışan diğer eş tarafından sorgulandığı ve bu bilgilerin boşanma davası dosyasına sunulduğu iddiasının Banka bünyesinde yapılan inceleme sonucunda veri sorumlusu Banka tarafından da kabul edildiği ve bu kapsamda, Bankanın İnsan Kaynakları Uygulama Esas ve Usulleri’nin (KINAMA) “9.4... Bankaya veya Bankanın müşterilerine ait sırları açığa vurmak, personele ait gizli belge ve bilgileri ilgisi olmayan kişilere vermek” maddesine temas etmesi nedeniyle veri sorumlusu tarafından Banka çalışanı diğer eşin bir mektupla dikkatinin çekilmesine karar verildiği,

- Veri sorumlusu Banka tarafından ilgili kişinin kişisel verilerinin hukuka uygun olarak işlendiği ve Kanunun 12 nci maddesi kapsamında kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirin alındığı, veri sorumlusu bünyesinde çalışan diğer eşin görevinden kaynaklı olarak erişim yetkisi bulunduğu ve şikâyet konusuna ilişkin olarak Bankanın objektif olarak alabileceği bir güvenlik önleminin bulunmadığı, Kişisel Verilerin Korunması Kanununa ve ikincil mevzuata uyum ve uygun veri güvenliği düzeyini temin etmeye ilişkin olarak düzenlemelerin hazırlandığı ve veri sorumlusu bünyesinde çalışan personele farkındalıklarının artması için eğitim verildiği hususları belirtilmekle birlikte Kişisel Verilerin Korunması Uygulama Esas ve Usulleri başlıklı idari ve teknik tedbirlerin listelendiği bir bölüme yer verilmesi dışında isimleri geçen düzenlemeler, personele verilen eğitimler ve veri sorumlusu nezdinde uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü idari ve teknik tedbirin alındığına ilişkin herhangi bir tevsik edici belgenin Kuruma sunulmadığı,

- Veri sorumlusu Banka tarafından işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi kapsamındaki ihlalin varlığından haberdar olunmasına rağmen Kanunun 12(5) numaralı fıkrası uyarınca ve Kurulun 24.01.2019 tarih ve 2019/10 sayılı Kararı kapsamında ilgilisine ve Kurula herhangi bir veri ihlal bildirimi yapılmadığı

değerlendirmelerinden hareketle;

- İlgili kişinin kişisel verisi niteliğindeki kimlik, müşteri işlem ve finansal bilgilerinin (geçmiş yıllara ilişkin karşılıksız çek ve tedbir kararı bilgileri) veri sorumlusu bünyesinde çalışan kişi tarafından sorgulanıp mahkemeye sunulması nedeniyle söz konusu kişisel verilere kanuni olmayan yollarla başkaları tarafından erişim sağlandığı, Kurulun 31.05.2018 tarih ve 2018/63 sayılı “Veri Sorumlusu Nezdindeki Kişisel Verilere Erişim Yetkisi Bulunan Personelin Yetkisi ve Amacı Dışında Söz Konusu Verileri İşlemesi Hususunun Değerlendirilmesine İlişkin İlke Kararı”nda da düzenlenen bu hususun Kanunun 12(1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmadığının bir göstergesi olduğu dikkate alındığında, veri sorumlusu Banka hakkında idari yaptırım uygulanmasına

- Veri sorumlusunun kişisel verilerin güvenliğini tesis etmeye yönelik gerekli teknik ve idari tedbirleri aldığı hususunda tevsik edici belgeleri Kuruma iletmesi hususunda talimatlandırılmasına,

- Kişisel verilere kanuni olmayan yollarla başkaları tarafından erişim sağlanması halinde Kanunun 12(5) numaralı fıkrasında düzenlenen hüküm gereği bu durumun en kısa sürede ilgilisine ve Kurula bildirilmesi gerektiği hususunda veri sorumlusuna hatırlatmada bulunulmasına,

- Ayrıca, 5237 sayılı Türk Ceza Kanununun “Verileri hukuka aykırı olarak verme veya ele geçirme” başlıklı 136 ncı maddesinde yer alan suçların işlenmiş olabileceği dikkate alınarak, Türk Ceza Kanununun 136 ncı maddesi çerçevesinde ilgili kişinin kişisel veri niteliğindeki kimlik, müşteri işlem ve finansal bilgilerini (geçmiş yıllara ilişkin karşılıksız çek ve tedbir kararı bilgileri) sorgulayıp mahkemeye sunan veri sorumlusu bünyesinde çalışan şahıs hakkında gerekli hukuki işlemlerin tesisi için konunun Cumhuriyet Başsavcılığına bildirilebileceği yönünde ilgili kişinin bilgilendirilmesine karar verilmiştir.​​​​​​​

18. İlgili kişiye bir banka tarafından SMS gönderilmesi ve ilgili kişinin bu banka nezdindeki kişisel verilerinin imha edilmesi talebinin yerine getirilmemesi hakkında 13/04/2021 tarihli ve 2021/358 sayılı Karar Özeti

Konu Özeti: Kuruma intikal eden şikâyet dilekçesinde özetle; veri sorumlusu bir banka ile ilgili kişi arasındaki ilişkinin 22/11/2003 tarihinde müşteri numarasının oluşturulmasıyla kurulduğu, ilgili kişinin veri sorumlusu nezdindeki son işleminin de bu tarih olduğu, ilgili kişinin veri sorumlusuyla ilişiğinin 16 yıl önce kesilmiş olmasına rağmen kişisel verilerinin veri sorumlusu tarafından halen saklandığı, ilgili kişiye SMS’ler gönderildiği ve kredi kartı isteyip istemediğine ilişkin telefon aramalarının yapıldığı, ilgili kişinin bu kapsamda yaptığı başvurunun veri sorumlusuna tebliğ edildiği, ancak veri sorumlusu tarafından ilgili kişiye cevabın mevzuatta belirlenen süre sonrasında iletildiği, veri sorumlusu tarafından verilen cevabın yetersiz olduğu, ilgili kişiye verilen cevapta kişisel verilerin yurt dışına aktarılabildiği hususuna yer verildiği, ancak bu konuda ilgili kişinin açık rıza vermediği ve veri sorumlusunun 6698 sayılı Kişisel Verilerin Korunması Kanununun 9 uncu maddesi kapsamında yurt dışına veri aktarım istisnalarından yararlanıldığına dair herhangi bir bilgiye de yer verilmediği, veri sorumlusu ile ilgili kişi arasında 2003 yılında kurulmuş olan sözleşmesel ilişkinin sona ermiş olmasına rağmen ilgili kişinin kişisel verilerinin silinip silinmeyeceğinin açıkça belirtilmemesinin ve ilgili kişiye ait bilgilerin 10 sene daha saklanmasının açıkça mevzuata aykırı olduğu belirtilerek veri sorumlusu hakkında Kanun kapsamında gerekli tedbirlerin alınması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, verilen cevapta özetle;

- İlgili kişinin kendilerine tebliğ edilen başvurusuna verilen cevabın sehven ilgili kişiye 2 gün gecikmeli olarak gönderildiği, yapılan bu hatayla ilgili veri sorumlusu bünyesinde gerekli tedbirlerin alındığı,

- İlgili kişinin veri sorumlusu nezdindeki müşteri numarasının 2003 yılında oluşturulduğu, bu yıl ilk kredi kartı girişinin yapıldığı, bu çerçevede ilgili kişi ile veri sorumlusu arasında 18/11/2003 tarihli Kredi Kartı Başvuru Formu ve Bankacılık İşlemleri Sözleşmesinin ve 14/11/2011 tarihli Bilgi Güncelleme, Kimlik Adres Tespit Tutanağı ve Bankacılık İşlemleri Sözleşmesinin mevcut olduğu,

- Veri sorumlusu nezdinde ilgili kişiye ait herhangi bir açık hesap ya da ürünün bulunmadığı, ilgili kişiye müşteri ilişkisi çerçevesinde hizmet sağlanamıyor olsa da 5411 sayılı Bankacılık Kanunu kapsamında yükümlülüklerinin halen devam ediyor olması sebebiyle ilgili kişinin bilgilerinin veri sorumlusunun veri tabanında saklandığı,

- 08/11/2019 tarihinde Gelir İdaresi Başkanlığının bildirimine istinaden ilgili kişinin veri sorumlusunda hak ve alacağının olmaması nedeniyle e-haciz uygulanamamış olduğu, aynı gün yine kurumdan gelen iptal bilgisine istinaden kayıtlara geçen haciz bilgisi iptal işleminin veri sorumlusu sisteminde kayıtlı bulunan cep telefonuna “Değerli müşterimiz, hesap limitiniz üzerinde bulunan e-haciz kısıtı, KADIKÖY V.D.’den Bankamıza iletilen bildirime istinaden kaldırılmıştır” şeklinde yasal bilgilendirme içeren SMS’in gönderildiği,

- Elektronik Ticaretin Düzenlenmesi Hakkında Kanuna istinaden 01/05/2015 tarihinden itibaren iletişim izni olmayan müşterilere pazarlama, temenni, kutlama içerikli elektronik iletilerin gönderilmemesi gerektiği, ayrıca Ticari İletişim ve Ticari Elektronik İletiler Yönetmeliğinin 6(2) numaralı fıkrası uyarınca iletilerin yasal bilgilendirme içermesi halinde bu konuda iletişim izni bulunmasına gerek olmadığı,

- Veri sorumlusu nezdinde, vergi dairelerinden dosya borçlusu kişiler aleyhine/adına gelen haciz bildirimleri için birbirini tetikleyen bir sürecin mevcut olduğu, bu süreçte bahse konu müşterilere konu hakkında bilgilendirme mesajlarının gönderilmesinin de yer aldığı, bu mesajların yasal bilgilendirme içeriyor olması sebebiyle de otomatik tetiklenen bilgilendirme SMS’lerinde müşterinin iletişim izni durumuna bakılmadığı,

- 5411 sayılı Bankacılık Kanununun “Belgelerin Saklanması” başlıklı 42 nci maddesi gereğince müşterilerin banka nezdinde yaptığı işlemlere ilişkin belgelerin, son işlem/talimat tarihinden itibaren 10 yıl süreyle saklandığı, 10 yıl hareketsiz kalan hesapların banka sistemlerinde taranarak 6 ayda bir periyodik silme işlemine tabi tutulduğu, bunun yanı sıra hesaba bağlı olmaksızın müşterilerden gelen talepler için de son işlem tarihinden itibaren 10 yıl geçmesi akabinde veri sorumlusu nezdindeki verilerin silindiği,

- İlgili kişinin veri sorumlusu nezdindeki son işleminin 13/12/2013’te gerçekleştirilen kredi kartı kapatma işlemi olduğu, 16/12/2019 tarihinde ise daha önce izni bulunan kampanya bilgilendirmesine yönelik iznini iptal ettiği,

- Veri sorumlusunun hukuki yükümlülüklerini yerine getirebilmesi için zorunluluk halinin devam ettiği, diğer bir ifadeyle Kanunun 5 inci ve 6 ncı maddelerinde sayılan işleme şartlarının tamamen ortadan kalkmamış olması sebebiyle ilgili kişiye ait verilerin ancak veri sorumlusu nezdindeki son işlem tarihinden itibaren 10 yıl sonra silinebileceği,

- İlgili kişinin verilerinin Kanunun 9 uncu maddesinde yer alan ve açık rıza gerektiren haller kapsamında yurt dışına aktarılmadığı,

- Veri sorumlusu nezdinde işlenen kişisel verilerin Kanunun 12 nci maddesi kapsamında güvenlik düzeyini sağlamaya yönelik idari ve teknik tedbirlerin alındığı ifade edilmiştir.

Konuya ilişkin olarak yapılan incelemede Kişisel Verileri Koruma Kurulunun 13/04/2021 tarih ve 2021/358 sayılı Kararı ile;

- Somut olayda, ilgili kişinin veri sorumlusu nezdinde tutulan cep telefon numarasının bir kişisel veri olduğu, kişiye SMS gönderilmesi suretiyle ise kişisel veri niteliğindeki cep telefonu numarası ile ilgili işleme faaliyeti gerçekleştiği,

- İlgili kişinin veri sorumlusuna yaptığı başvurunun veri sorumlusu tarafından Kanunda ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğde (Tebliğ) öngörülen süre içerisinde cevaplanmadığı,

- İlgili kişinin şikâyet dilekçesinde veri sorumlusu tarafından ilgili kişiye hukuka aykırı olarak mesajlar gönderildiği ve kredi kartı isteyip istemediğine yönelik telefon aramaları gerçekleştirildiği iddia edilse de, dilekçesinin ekinde sadece gönderilen bir adet SMS’e ilişkin görüntü kaydına yer verildiği, buna karşın aramalara ilişkin tevsik edici herhangi bir belgeye yer verilmediği ve ilgili kişi tarafından veri sorumlusuna yapılan başvuruda sadece gönderilen SMS’lerden bahsedildiği anlaşıldığından; ilgili kişinin veri sorumlusuna yöneltmediği ancak şikâyet başvurusunda değindiği “telefon aramaları”nın inceleme kapsamına alınmamasının uygun olacağı,

- Veri sorumlusu tarafından ilgili kişiye “Değerli müşterimiz, hesap limitiniz üzerinde bulunan e-haciz kısıtı, KADIKÖY V.D.’den Bankamıza iletilen bildirime istinaden kaldırılmıştır” şeklinde olan iletinin gönderilmesi suretiyle kişinin telefon numarasının Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5(2) numaralı fıkrasında yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartına dayalı olarak işlendiği, ilgili iletinin yasal bilgilendirme içermesi ve herhangi bir mal veya hizmetin tanıtımının da söz konusu olmaması sebebiyle ilgili kişinin rızasının/izninin alınmasına gerek olmadığı, dolayısıyla veri sorumlusu tarafından ilgili kişiye yasal bilgilendirme içerikli SMS’in gönderilmesi suretiyle telefon numarasının işlenmesinde herhangi bir hukuka aykırılık bulunmadığı,

- İlgili mevzuat hükümleri dikkate alındığında, ilgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin henüz ortadan kalkmaması sebebiyle, ilgili kişinin silme talebinin veri sorumlusu tarafından yerine getirilmemesinin hukuka aykırı olmadığı,

- İlgili kişinin kişisel verilerinin veri sorumlusu tarafından yurt dışına aktarıldığı iddiasına ilişkin olarak Kuruma tevsik edici bir bilgi veya belge sunulmadığı

değerlendirmelerinden hareketle;

- İlgili kişinin Kanun kapsamında yaptığı başvurusuna, kendisine ulaşmasına rağmen 30 günlük yasal süre geçtikten sonra cevap vermesi sebebiyle veri sorumlusunun Kanunun ve Tebliğin ilgili hükümlerine uyum konusunda gerekli dikkat ve özeni göstermesi gerektiği konusunda talimatlandırılmasına,

- Veri sorumlusu tarafından söz konusu iletinin gönderilmesi suretiyle ilgili kişinin kişisel verisi olan cep telefonu numarasının işlenmesinin Kanunun 5(2) numaralı fıkrasında yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartına dayandığı, öte yandan ilgili iletinin yasal bilgilendirme içermesi ve herhangi bir mal veya hizmetin tanıtımının da söz konusu olmaması sebebiyle ilgili kişinin rızasının/izninin alınmasına gerek olmadığı bu çerçevede veri sorumlusu tarafından ilgili kişiye yasal bilgilendirme içerikli SMS’in gönderilmesi suretiyle kişisel verilerinin işlenmesinde hukuka aykırılığın bulunmadığı kanısına varıldığından bu hususta Kanun kapsamında yapılacak bir işlemin olmadığına,

- İlgili kişinin veri sorumlusu nezdindeki son işlem tarihinin 13/12/2013’te gerçekleştirilen kredi kartı kapatma işlemi olduğu ve dolayısıyla son işlem tarihi üzerinden 10 yıllık sürenin geçmemiş olduğu dikkate alındığında; ilgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin henüz ortadan kalkmaması sebebiyle silme talebinin veri sorumlusu tarafından yerine getirilmemesinin Kanunun 7 nci maddesi hükümleri dikkate alındığında hukuka aykırı olmadığı kanısına varıldığından bu hususta Kanun kapsamında yapılacak bir işlemin olmadığına,

- İlgili kişinin, kişisel verilerinin veri sorumlusu tarafından yurt dışına aktarıldığı iddiasına ilişkin olarak Kuruma tevsik edici bir bilgi veya belge sunmadığı dikkate alındığında söz konusu iddiaya ilişkin olarak Kanun kapsamında yapılacak bir işlem olmadığına karar verilmiştir.​​​​​​​

19. Bir sigorta şirketi tarafından işlenen kişisel verilerin üçüncü kişiye aktarılması ve ilgili kişiye veri aktarımına ilişkin aydınlatma yapılmaması hakkında 05/04/2021 tarih ve 2021/333 sayılı Karar Özeti

Konu Özeti: İlgili kişinin Kuruma intikal eden şikâyetinde özetle; maliki olduğu aracı ile geçirdiği trafik kazası sonrası veri sorumlusu sigorta şirketi tarafından kasko poliçesi kapsamında hasar dosyası açıldığı, bununla birlikte veri sorumlusunun çağrı merkezini aradığında aracının pert süreci işlemlerinin üçüncü bir şirket tarafından yapıldığı ve bu şirketin kendisi ile iletişime geçeceğinin söylendiği, söz konusu kasko poliçesinde ve sigorta genel şartları mevzuatında pert işleminde ya da herhangi bir hasar halinde hasarın ya da aracın rayiç değerinin ve sovtaj değerinin tespitinin tarafsız ve bağımsız sigorta eksperince yapılacağının belirtildiği, bununla birlikte veri sorumlusu tarafından üçüncü kişi şirket ile onayı ve bilgisi olmadan kendisine ait aracın kaza fotoğraflarının, kimlik bilgilerini de içeren ruhsatın ve iletişim bilgilerinin paylaşıldığı, ancak üçüncü şirketin veri sorumlusu ile yapılan sözleşmenin tarafı olmadığı, sözleşmede adının geçmediği, rayiç tespiti ve sigortacılık işlemlerinin ilgili şirket ile yürütülmesinin poliçeye ve sigortacılık mevzuatına aykırı olduğu ve poliçe kapsamında kişisel verilerinin sadece sigorta eksperi ile paylaşılabileceği, veri sorumlusu tarafından kişisel verilerinin işlenmesinde onay istenmediği ve bildirim yapılmadığı, ayrıca konuya ilişkin veri sorumlusuna yapmış olduğu başvuruya cevap verilmediği ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında gereğinin yapılması talep edilmiştir.

Başlatılan inceleme çerçevesinde söz konusu iddialara ilişkin olarak veri sorumlusu sigorta şirketinin savunması istenilmiş olup alınan cevabi yazıda özetle;

- Şirketlerinin sigortacılık faaliyetlerini gerçekleştirmek ve mevzuattan doğan yükümlülüklerini yerine getirmek amacıyla çeşitli tedarikçi şirketler ile hizmet satın alımı yoluyla iş birliği yaptığı, bu hizmetlere ilişkin usul ve esasların düzenlendiği Sigortacılık Destek Hizmetleri Hakkında Yönetmeliğin “Hizmet konuları” başlıklı 4 üncü maddesinin (h) fıkrasında sovtaj yönetimi hizmetlerinin alınabilecek destek hizmetleri arasında sayıldığı,

- Bu çerçevede üçüncü kişi şirket ile Ağır Hasarlı Araç Satış Sözleşmesi düzenlendiği, söz konusu sözleşmenin 13.9. maddesinde sigortalı ya da üçüncü kişilerin kişisel verilerinin Kanun ve ilgili mevzuata göre saklanabileceği, toplanabileceği, işlenebileceği ve aktarılabileceğinin düzenlendiği, yürütülen işlemlerin sigorta mevzuatına uygun olarak eksiksiz bir şekilde yerine getirildiği, kişisel verilerinin sadece sözleşmenin ifası için, ölçülü bir şekilde, hukuka, Kanun ve ilgili mevzuata uygun bir şekilde işlendiği,

- Şikâyet konusu kişisel veri aktarımının poliçeden doğan hasarı tazmin etme yükümlülüğünü yerine getirmek amacıyla, Kanunun 8(2)(a) bendi atfıyla 5(2)(c) bendinde yer alan; “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” hukuki sebebine dayanılarak Ağır Hasarlı Araç Satış Sözleşmesinde tanımlanan yükümlülüklere uygun şekilde işlemlerin yürütülmesi amacıyla şirketleri adına veri işleyen sıfatıyla üçüncü kişi şirkete aktarımının yapıldığı,

- Şikâyete konu aktarım bakımından bilgilendirmenin verinin aktarılmasına başlanmadan önce ilgili kişiye gönderilen bilgilendirme formu aracılığıyla yapıldığı ve kişisel verilerinin poliçenin düzenlenebilmesi, risk değerlendirmesi yapılabilmesi, tazminat değerlendirmesi yapılabilmesi ve poliçedeki yükümlülüklerin yerine getirilebilmesi için şirketlerinin birlikte çalıştığı kuruluşlara aktarıldığı konusunda bilgilendirildiği,

- Aktarım tarihinde internet sitelerinde yer alan aydınlatma metninde şirketlerinin kişisel verileri “Teklif, risk yönetimi, reasürans, hasar inceleme, tespit, tazmin, tazminat, tahsil, transfer, rücu, asistans hizmeti ve benzer süreçlerin yürütülmesi” amacıyla işlediği ve “Kişisel Verilerin Kimlere ve Hangi Amaçla Aktarılacağı” başlığı altında kişisel verilerin sayılan amaçlarla bağlantılı olarak aktarıldığı konusunda ilgili kişilerin bilgilendirildiği,

- Güncel çağrı merkezi poliçe satış süreçlerinde de Kanun kapsamında aydınlatma ve bilgilendirmelerin kişisel verilerin elde edilmesi sırasında ilgili kişiye ön bilgilendirme yapılması suretiyle gerçekleştirildiği, ayrıca ilgili kişinin çağrı merkezi aracılığıyla kişinin internet sitesindeki aydınlatmaya yönlendirilmesi suretiyle katmanlı olarak bilgilendirme de yapıldığı ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 05/04/2021 tarihli ve 2021/333 sayılı Kararı ile;

- Veri sorumlusu ile veri işleyen üçüncü kişi Şirket arasında imzalanan Ağır Hasarlı Araç Satış Sözleşmesi incelendiğinde ise, üçüncü kişi şirketin veri sorumlusunun verdiği talimatlar doğrultusunda ve veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işlemesi sebebiyle veri işleyen olarak hareket ettiği anlaşıldığından, veri sorumlusu ile onun adına kişisel verileri işleyen arasında yapılan paylaşımların Kanunun 8 inci maddesi kapsamında ele alınamayacağı,

- İlgili kişiye kişisel verisinin aktarımına ilişkin aydınlatma yapılmadığı iddiasına ilişkin olarak aydınlatma metni incelendiğinde; “Kişisel Verilerinizin Kimlere ve Hangi Amaçla Aktarılabileceği” bölümünde yer alan “Kişisel Verilerin İşlenme Amaçları” başlığı altında “sayılan amaçlarla ve bunlarla sınırlı olmamak üzere kişisel verilerin aktarılabileceğinin” belirtildiği tespit edilmiş olup söz konusu ibarenin Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin 5(1)(g) bendinde yer alan; “Aydınlatma yükümlülüğü kapsamında açıklanacak kişisel veri işleme amacının belirli, açık ve meşru olması gerekir. Aydınlatma yükümlülüğü yerine getirilirken, genel nitelikte ve muğlak ifadelere yer verilmemelidir.” hükmüne aykırı olduğu; ayrıca “Kişisel Veri Toplamanın Yöntemi ve Hukuki Sebebi” başlığı altında hangi kişisel verinin hangi veri işleme şartına dayanılarak işlendiğinin açıkça ortaya konulmadığı, bununla birlikte veri sorumlusunca daha sonra internet sitelerinde yayımlanan aydınlatma metninin güncellendiği ancak hangi kişisel verinin hangi veri işleme şartına dayanılarak işlendiğinin hala net olarak ortaya konulmadığı

değerlendirmelerinden hareketle;

- Veri sorumlusunun kendisine yapılan başvuruları titizlikle kayıt altına alarak Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe uygun şekilde ilgili kişilerin başvurularına yanıt vermesi konusunda talimatlandırılmasına,

- Şikâyete konu faaliyette veri sorumlusunun kişisel veri paylaşımı yaptığı üçüncü kişi şirketin veri işleyen olduğu dikkate alındığında, ilgili kişinin, açık rıza alınmadan kişisel verilerinin işlenmesinin hukuka aykırı olduğu iddiasına ilişkin olarak, söz konusu işlemenin Kanunun 5(2)(c) bendinde yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” veri işleme şartına dayanılarak gerçekleştirildiği anlaşıldığından söz konusu işlemde hukuka aykırılık bulunmadığına,

- İlgili kişinin, tarafına aydınlatma yapılmadığı iddiasına ilişkin olarak, olay tarihinde yapılan aydınlatmanın usul açısından eksiklikler taşıdığı ancak sonrasında aydınlatma metninin güncellendiği, bununla birlikte söz konusu metinde hâlihazırda hangi kişisel verinin hangi veri işleme şartına dayanılarak işlendiğinin belli olmaması nedeniyle veri sorumlusunun metindeki bu eksikliğin giderilmesi hususunda talimatlandırılmasına karar verilmiştir.

Av. Beyza Begüm ÖZBALCI