1. İlgili kişinin veri sorumlusu ile abonelik sözleşmesi kurma amacıyla gerçekleştirdiği telefon görüşmesi kayıtlarına erişim talebi hakkında 29/09/2020 tarihli ve 2020/746 sayılı Karar Özeti

Konu Özeti: Kuruma intikal ettirilen şikâyette özetle, hizmet alımı esnasında yaşadığı ihtilaf nedeniyle ilgili kişinin veri sorumlusuna ait kayıtlı elektronik posta (KEP) adresi üzerinden veri sorumlusu ile yapılan görüşmeye ait ses kayıtlarının talebine ilişkin başvuru gerçekleştirdiği, 25.08.2011 tarihli ve 28036 sayılı Resmi Gazetede yayımlanan Kayıtlı Elektronik Posta Sistemine İlişkin Usul ve Esaslar Hakkında Yönetmeliğin 12 nci maddesinin ikinci fıkrası uyarınca iletinin okunduğunun kabul edildiği tarihten itibaren otuz gün içerisinde kendisine cevap verilmediği, bunun üzerine müşteri hizmetleri ile görüştüğü, görüşmede sözleşmenin (ses kayıtlarının) bir örneğinin tarafına verilmesi gerektiği ancak verilmediğini, bu verilerin kişisel veriler olduğunu, veri sorumlusunun hangi tarihte kaç kere aradığına dair kayıtlarının da tutulduğunu, ayrıca, bunların da kişisel veri niteliği taşıdığını, bu verileri bilmeye hakkı olduğunu belirterek bu sebeple, tarafına iletilmesini talep ettiği ancak verilmediği, müşteri hizmetleri ile yapılan görüşmede Cumhuriyet Savcılığına başvurulması gerektiği ve söz konusu kişisel verilerin kendisine verilemeyeceğinin belirtildiği ifade edilerek, konunun 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında incelenmesi talep edilmiştir.

Başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

- İlgili kişinin başvurusunu yaptığı KEP adresinin kişisel verilere ilişkin başvuruların yapılması amacıyla tahsis edilmiş bir KEP adresi olmadığı, kişisel verilerle ilgili talep ve soruların ana ortaklığın KEP adresine veya kendilerine ait https://www.......net/tr/gizlilik-ve-guvenlik linkinden iletilebileceği,

- İlgili kişiye ait kişisel verilerin Kanunun 5/2/c bendi kapsamında işlendiği,

- Müşteri Hizmetleri ile abonelerin yapmış olduğu görüşmelerin ses kayıtlarının müşterilere iletilmesi durumunda müşteriler tarafından farklı amaçlarla kullanıldığı, sosyal medyada yayımlandığı, soruşturmalar kapsamında ve adli makamlara üzerinde tahrifat yapılarak iletilmesi gibi güvenlik risklerinin oluşabileceği, müşteri hizmetleri ile yapılan görüşmelerin ses kayıtlarının görüşmeyi gerçekleştiren müşteri hizmetleri çalışanının da kişisel verileri içerdiği düşünüldüğünde söz konusu kayıtların ilgili kişilere iletilmesinin bu kişilerin hakkını da zedeleyebilecek ve bu kişiyi ifşa edebilecek şekilde kullanılması riskini de doğuracağının değerlendirildiği,

- Somut olayda ilgili kişinin müşteri hizmetleri ile gerçekleştirdiği görüşmeleri yanlış anlaması nedeniyle bir kampanyaya taahhüt vererek sözleşmenin kurulmuş olduğunu zannettiği ancak, esasen kurulmadığının kendisine daha sonra yapılan görüşmelerde izah edildiği, sonuç olarak aradaki yanlış anlamanın giderilerek ilgili kişinin veri sorumlusunca sunulan … Kampanyası'na kendi isteği ile tekrar taahhüt verdiği ve hâlihazırda hizmet almaya devam ettiği,

- Veri sorumlusunun Kanun gereğince uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü idari ve teknik tedbiri alma yükümlülüğünün bulunduğu, bununla birlikte, veri sorumlusunun yükümlülüklerine uygun olarak ticari faaliyetlerini devam ettirme yönündeki genel prensibi uyarınca müşteri hizmetleri ile abonelerin yapmış olduğu görüşmelerin (ses kayıtları) sadece yetkili adli ve idari merciler tarafından yöneltilen yasal talepler çerçevesinde yetkili merciler ile paylaşıldığı

ifade edilmiştir.

Söz konusu iddiaların incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 29/09/2020 tarih ve 2020/746 sayılı Kararında;

- İlgili kişinin erişim hakkı ile veri sorumlusunun konuşma kayıtlarının kaydedildiği kayıt ortamının kendisinin ancak yasal makamlar tarafından talep edildiği takdirde teslim edilebileceği yönündeki makul kabul edilebilecek açıklaması arasındaki dengenin talep edilen ses kayıtlarına ilişkin kayıt ortamlarının doğrudan ilgili kişiye teslim edilmeden dökümlerine erişim hakkı sağlanarak gerçekleştirilebileceği,

- Diğer taraftan, Kanunun “Veri Sorumlusuna Başvuru” başlıklı 13 üncü maddesinin ikinci fıkrası gereğince, veri sorumlusunun ilgili kişinin başvurusunda yer alan talepleri, talebin niteliğine göre ve en geç otuz gün içerisinde sonuçlandırması gerektiği, öte yandan, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin (Tebliğ) 5(1) numaralı fıkrasında, “İlgili kişi, Kanunun 11 inci maddesinde belirtilen hakları kapsamında taleplerini, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna iletir.” hükmüne yer verildiği, ayrıca, Tebliğin 6(2) numaralı fıkrasında, veri sorumlusunun başvuruyu kabul edeceği ya da gerekçesini açıklayarak reddedeceği, üçüncü fıkrasında ise, cevabın ilgili kişiye yazılı olarak veya elektronik ortamda bildirileceği

değerlendirmelerinden hareketle;

- Kanunun 11(1)(b) bendi hükmü kapsamında ilgili kişinin, kendisiyle ilgili kişisel veriler işlenmişse buna ilişkin bilgi talep etme hakkının, söz konusu veriye erişim hakkını da kapsadığına ve erişim hakkının, bilgi talep etme hakkını tamamlayarak ilgili kişinin, kişisel verileri üzerindeki haklarını kullanabilmesi için, kişisel verilerinin ne şekilde işlendiğine dair tam olarak bilgi sahibi olmasına imkân sağladığı dikkate alındığında söz konusu dökümün, ilgili kişi dışında başkalarının kişisel verileri varsa bunlar çıkarılmak veya maskelenmek gibi önlemler alınarak ilgili kişiye gönderilmesi yönünde veri sorumlusunun talimatlandırılmasına,

- İlgili kişilerin Kanun kapsamındaki başvurularına Kanunun ilgili hükümleri ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ hükümleri uyarınca süresi içinde bir cevap verilmesi yönünde veri sorumlusunun talimatlandırılmasına,

- İlgili kişilerin Kanun kapsamındaki başvurularını ana ortaklığın KEP adresi yerine veri sorumlusuna ait KEP adresi üzerinden iletebilmeleri için kendi bünyesinde gerekli düzenlemeleri yapması yönünde veri sorumlusunun talimatlandırılmasına,

karar verilmiştir.

2. İlgili kişinin eski çalışanı olduğu şirketi devralan veri sorumlusu şirket tarafından kanuna aykırı veri işleme faaliyetinde bulunulması hakkında 08/10/2020 tarihli ve 2020/769 sayılı Karar Özeti

Konu Özeti: İlgili kişinin Kuruma intikal eden şikayetinde özetle; eski çalışanı olduğu şirketin, başka bir şirkete bütün borç, ödev ve yükümlülükleri ile devrolduğu ancak kişisel verilerin elde edilmesi sırasında tarafına herhangi bir aydınlatma yapılmadığı, veri sorumlusu devralan şirketin internet sitesinde sunulan aydınlatma metninin açık ve belirli olmayan muğlak ifadeler içerdiği, şahsına ilişkin özlük dosyasında sağlık verilerinin de bulunduğu ve 6698 sayılı Kişisel Verilerin Korunması Kanununun 6 ncı (Kanun) maddesi uyarınca bu veri işleme faaliyeti için açık rızasının alınmadığı, öte yandan Kanunun 11 inci maddesi kapsamındaki haklarına ilişkin başvurusuna karşılık veri sorumlusunun cevabında yer alan kişisel verileri saklama sürelerine ilişkin 10 yıllık sürenin geçersiz olduğu ve İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği uyarınca 15 yıl saklanması gerektiği, ayrıca veri sorumlusu tarafından kendisine gönderilen ticari elektronik iletiler aracılığıyla herhangi bir hukuka uygunluk sebebi olmaksızın kişisel verilerinin işlendiği iddia edilerek veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 08/10/2020 tarihli ve 2020/769 sayılı Kararı ile;

İlgili kişinin kişisel verilerinin elde edilmesi sırasında tarafına herhangi bir aydınlatma yapılmadığı iddiasına ilişkin olarak veri sorumlusu tarafından verilen yanıtta veri sorumlusunun ilgili kişilerle hukuki ilişkilerinin sürmekte olduğu ve/veya doğrudan üçüncü taraflar vasıtasıyla temas etmekte olduğu faaliyetler bakımından 6698 sayılı Kanun uyarınca aydınlatma ve açık rıza alınmasına ilişkin yükümlülükler doğrultusunda uyumlaştırmaların gerçekleştirildiği ancak Şirketin aktif bir hukuki ilişki içerisinde olmadığı, ilgili mevzuatlar kapsamındaki saklama yükümlülükleri ile sınırlı olarak veri işleme faaliyeti gerçekleştirdiği eski çalışanlar bakımından aydınlatma yükümlülüğünün gerçekleştirilmesinin pratikte mümkün olmadığının belirtildiği,

Veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen Kanunun 10 uncu maddesi uyarınca kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişinin, ilgili kişilere; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, 11 inci maddede sayılan diğer hakları konusunda bilgi vermekle yükümlü olduğu, ilgili kişinin şikayet başvurusu ve veri sorumlusunun cevabi yazısından anlaşıldığı üzere ilgili kişinin kişisel verilerinin 2014-2015 yıllarında işlendiği, 6698 sayılı Kişisel Verilerin Korunması Kanununun 07.04.2016 itibariyle yürürlüğe girdiği, bu çerçevede söz konusu tarihler itibariyle Kanunun yürürlüğe girmemiş olması sebebiyle kişisel verilerin elde edilmesi sırasında aydınlatma yükümlülüğünün yerine getirilmesinin de mümkün olmadığı sonucuna varıldığı,,

İlgili kişinin açık rızası olmaksızın sağlık verilerinin işlenmesine ilişkin olarak; Çalışanlara ait sağlık verisi içeren kayıtların kişisel sağlık dosyalarında saklanmakta olduğu, kişisel sağlık dosyalarının yalnızca sır saklama yükümlülüğü altında bulunan iş yeri hekiminin erişimi ile sınırlı olarak saklanmakta olduğu ve Şirketin sistemlerinde kayıtlı olmadığı,

İşyeri Hekimi ve Diğer Sağlık Personelinin Görev, Yetki, Sorumluluk ve Eğitimleri Hakkında Yönetmeliğin “İşyeri Hekiminin Yükümlülükleri” başlıklı 11 inci maddesinde “İşyeri hekimleri, bu Yönetmelikte belirtilen görevlerini yaparken, işin normal akışını mümkün olduğu kadar aksatmamak ve verimli bir çalışma ortamının sağlanmasına katkıda bulunmak, işverenin ve işyerinin meslek sırları, ekonomik ve ticari durumları hakkındaki bilgiler ile çalışanın kişisel sağlık dosyasındaki bilgileri gizli tutmakla yükümlüdürler.” hükmü uyarınca iş yeri hekimlerinin sır saklama yükümlülüğü altında bulunan kişilerden olduğu,

Kanunun 6 ncı maddesinin dördüncü fıkrasında ise özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şartının bulunduğu, bu kapsamda “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 tarihli ve 2018/10 sayılı Kararı çerçevesinde yeterli önlemlerin belirlendiği hususları dikkate alınarak Kurul tarafından özel nitelikli kişisel verilerin işlenmesinde veri sorumlularınca alınması gereken yeterli önemler alınmak suretiyle mevzuatta öngörülen görevleri kapsamında iş yeri hekimi tarafından sağlık verisinin işlenmesinin mümkün olduğu

değerlendirmelerinden hareketle

- Şikayet dilekçesi ve veri sorumlusunun cevaplarından ilgili kişinin kişisel verilerinin 2014-2015 yıllarında işlendiğinin anlaşıldığı, 6698 sayılı Kişisel Verilerin Korunması Kanununun 07.04.2016 itibariyle yürürlüğe girdiği, bu çerçevede söz konusu tarihler itibariyle Kanunun yürürlüğe girmemiş olması sebebiyle kişisel verilerin elde edilmesi sırasında aydınlatma yükümlülüğünün yerine getirilmesinin de mümkün olmadığı, dolayısıyla bu hususta Kanun kapsamında yapılacak bir işlem bulunmadığına,

- İşverenin çalışanlarının özlük dosyalarını düzenlemesi bakımından veri sorumlusu sıfatını haiz olduğu, bu kapsamda İş Kanunu ve Sosyal Sigortalar Kanunu kapsamındaki yükümlülükleri dolayısıyla veri işleme faaliyetinin gerçekleştirildiği, söz konusu veri işleme faaliyetinin Kanunun 5 inci maddesinin ikinci fıkrasının (a) bendinde yer alan ‘kanunlarda açıkça öngörülme’ ve aynı fıkranın (ç) bendinde yer alan ‘veri sorumlusunun hukuki yükümlülüğünün yerine getirilebilmesi için zorunlu olması’ şartlarına dayanarak gerçekleştirildiğine,

- İlgili kişinin açık rızası olmaksızın sağlık verilerinin işlenmesine ilişkin olarak; İşyeri Hekimi ve Diğer Sağlık Personelinin Görev, Yetki, Sorumluluk ve Eğitimleri Hakkında Yönetmeliğin “İşyeri Hekiminin Yükümlülükleri” başlıklı 11 inci maddesi hükmü uyarınca iş yeri hekimlerinin sır saklama yükümlülüğü altında bulunan kişilerden olduğu, aynı Yönetmeliğin “İşyeri Hekimlerinin Görevleri” başlıklı 9 uncu maddesinin ikinci fıkrasının (c) bendinde yer aldığı üzere çalışanların yapacakları işe uygun olduklarını belirten işe giriş ve periyodik sağlık muayenesi ile gerekli tetkiklerin sonuçlarını yönetmelik ekinde verilen örneğe uygun olarak düzenleme ve işyerinde muhafaza etme görevlerinin bulunduğu, 6698 sayılı Kanunun 6 ncı maddesi uyarınca özel nitelikli kişisel veriler arasında sayılan sağlık verilerini içermesi sebebiyle gerek çalışan gerekse de eski çalışanlarına ait kişisel sağlık dosyalarının yalnızca sır saklama yükümlülüğü altında bulunan iş yeri hekiminin erişimi ile sınırlı olarak saklanmakta olduğunun beyan edildiği ve ilgili kişinin kişisel verilerinin güvenliğinin sağlanmadığına yönelik bir iddiası olmadığı hususları dikkate alınarak Kurul tarafından belirlenen özel nitelikli kişisel verilerin işlenmesinde veri sorumlularınca alınması gereken yeterli önlemler alınmak suretiyle mevzuatta öngörülen görevleri kapsamında iş yeri hekimi tarafından sağlık verisinin işlenmesinin mümkün olduğuna,

- İlgili kişinin ticari elektronik ileti gönderilmek suretiyle kişisel verilerinin hukuka aykırı işlendiği iddiasına ilişkin olarak herhangi bir somut delile rastlanılamadığından bu aşamada Kurum tarafından yapılacak herhangi bir işlem bulunmadığına

karar verilmiştir.

3. İlgili kişinin aidat borcu bilgisinin site yönetimi tarafından ev sahibine iletilmesi hakkında 29/09/2020 tarihli ve 2020/755 sayılı Karar Özeti

Konu Özeti: kendisine ev sahibinden, aidatının bazı aylarda eksik, bazı aylarda ise hiç yatırılmadığına dair bir SMS iletildiği, bu SMS iletimi hadisesinin kendisine ait kişisel verilerin hukuka aykırı olarak işlendiğini ortaya koyduğu; ilgili kişinin, kişisel verilerinin site yönetimi tarafından ev sahibi ile paylaşılmasında hiçbir bilgisi ve rızasının bulunmadığı, bu doğrultuda veri sorumlusu site yönetimine başvurmak suretiyle 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 11 inci maddesinde gösterilen haklarını kullandığı ve işlenen/aktarılan kişisel verileri ile ilgili olarak tarafına bir aydınlatma yapılıp yapılmadığı hususlarında bilgi talep ettiği, site yönetiminin ise verdiği yanıtta, ilgili kişinin aidat ödeme bilgilerinin ev sahibinin talebi doğrultusunda paylaşıldığının belirtildiği fakat ilgili kişiye aydınlatma yapıldığına veya kendisinden bu hususta açık rıza alındığına dair bir belge yahut herhangi bir hukuka uygunluk sebebinin de sunulamadığı belirtilerek veri sorumlusu site yönetimi hakkında idarî para cezası uygulanması talep edilmiştir.

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun 29/09/2020 tarihli ve 2020/755 sayılı Kararı ile;

634 sayılı Kat Mülkiyeti Kanununun “Ortak Giderlerin Teminatı” başlığını hâiz 22 nci maddesinin, “Kat malikinin, 20’nci madde uyarınca payına düşecek gider ve avans borcundan ve gecikme tazminatından, bağımsız bölümlerin birinde kira akdine, oturma (sükna) hakkına veya başka bir sebebe dayanarak devamlı bir şekilde faydalananlar da müştereken ve müteselsilen sorumludur. Ancak, kiracının sorumluluğu ödemekle yükümlü olduğu kira miktarı ile sınırlı olup, yaptığı ödeme kira borcundan düşülür…” hükmünü amir olduğu,

Söz konusu hüküm uyarınca ev sahibi ile kiracının ortak giderler ve gecikme tazminatından müştereken ve müteselsilen sorumlu olduğu dikkate alındığında, ev sahibinin, kiracısının oturduğu dairenin aidat gibi apartmanın ortak giderlerinden payına düşen kısımlarını ödeyip ödemediğinden haberdar olmasında gerek ev sahibi gerek site yönetiminin menfaati bulunduğu, dolayısıyla söz konusu veri işleme faaliyetinin; 6698 sayılı Kanunun 5(2)(e) bendi kapsamında bir hakkın tesisi, kullanılması veya korunması çerçevesinde gerçekleştirildiği,

Bu itibarla veri sorumlusunun ilgili kişiye verdiği cevapta da ev sahibinin isteği üzerine ilgili kişinin borç bilgilerinin ev sahibi ile paylaşıldığının ifade edildiği dikkate alındığında ilgili kişiye veri sorumlusu tarafından verilen yanıtın, ilgili kişinin iddialarına konu hususları yeterli derecede açıklayıcı olduğu

değerlendirmelerinden hareketle;

İlgili kişinin kişisel verisi niteliğinde olan aidat borç bilgilerinin, veri sorumlusu tarafından ev sahibinin isteği üzerine paylaşıldığı, bu paylaşımın 634 sayılı Kat Mülkiyeti Kanununun 22 nci maddesinde yer alan hüküm uyarınca gerçekleştirildiği dikkate alınarak, veri sorumlusu site yönetimi tarafından ilgili kişiye iletilen cevap metninde yer verilen açıklamaların ilgili kişinin iddiasına konu hususları açıklayıcı nitelikte olduğuna, bu çerçevede, söz konusu şikâyet hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

KAYNAK: https://kvkk.gov.tr/Icerik/6957/Kisisel-Verileri-Koruma-Kurulu-nun-Yeni-Yayinlanan-Karar-Ozetleri