1. Türkiye Ticaret Sicili Gazetesinde açık bir şekilde ilan edilmeyen kişisel verilerin, talepleri üzerine kamu kurum ve kuruluşlarıyla paylaşılması hususuna ilişkin 22/04/2020 tarihli ve 2020/307 sayılı Karar Özeti

Konu Özeti: Türkiye Ticaret Sicili Gazetesinde açık bir şekilde ilan edilmeyen şirket ortakları ve yetkililerine ait şahsi kimlik numaraları, şahsi adresleri gibi kişisel verilerinin paylaşılması

- Aleniyet gereği herkes ticaret sicilinin içeriğini ve müdürlükte saklanan tüm senet ve belgeleri inceleyebilecek olsa da, bu durumun anılan bilgilerin kişisel verilerin korunmasına ilişkin mevzuattan muaf olması anlamına gelmeyeceği; aleniyet kapsamında işlenen kişisel verilerin aleniyetin amacıyla örtüşmesi gerektiği ve aleniyet amacı dışında kalan durumlarda bu verilerin işlenmesinin hukuka aykırı olacağı ve Ticaret sicilinin aleni olmasının sicilde yer alan kişisel verilerin, kişisel verilerin korunması kanunu hükümlerinden muaf olacağı anlamını taşımadığı,

- Nüfus hizmetleri kanununa göre kimlik bilgilerini paylaşmaya yetkili merci nüfus müdürlükleri olup, bu verilerin ticaret sicil müdürlüklerinden istenmesi hususunun nüfus hizmetleri kanununa aykırı olduğu, 

- Başka ifadeyle, talep edilecek kişisel verilerin özel düzenleme niteliğini haiz ilgili mevzuat hükümlerinde belirtilen yetkili kamu kurumlarından temin edilmesi gerektiği

- Müdürlük tarafından tutulan ticaret sicilinin kişisel verileri içerdiği ve sicilde yer alan kişisel veriler bakımından müdürlüğün kişisel veri işleme faaliyetini gerçekleştirdiği;

- Bu kapsamda müdürlük tarafından kamu kurum ve kuruluşlarına gerçekleştirilecek aktarımların kanunun 8 inci maddesinde yer alan düzenlemeye uygun biçimde yapılması ve sicilde aleni olarak işlenen verilerin işlenmesi noktasında aleniyet amacına bağlı kalınması gerektiği;

- Her türlü kişisel veri işleme faaliyetinde özellikle Kişisel Verilerin Korunması Kanunun (“Kanun”) 4. maddesinde yer alan “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi ve veri güvenliğine ilişkin gerekli her türlü teknik ve idari tedbirlerin alınması yükümlülüğünün birlikte gözetilmesi gerektiği

değerlendirilmiştir.

2. Veri sorumlusu eğitim kurumu tarafından şikayetçinin çocuklarının özel nitelikli kişisel verilerinin hukuka aykırı olarak işlenmesi hakkında 02/04/2020 tarihli ve 2020/255 sayılı Karar Özeti

Konu Özeti: velilerinden izin alınmadan, aydınlatma yükümlülüğü yerine getirilmeden veya açık rızaları alınmadan CAS (Cognitive Assessment System) Uygulama ve Değerlendirme testinin yapıldığı, CAS testinin klinik ve nörolojik değerlendirme yeteneği ile geniş yelpazede gelişimsel değerlendirme yapabilen güncel bir ölçek olduğu, çocukların bu test için KVKK 6 ncı maddesi ile belirlenmiş özel nitelikli kişisel verilerinin kullanılması

Kişisel Verilerin Korunması Kurulu (“Kurul”) tarafından,

- Milli Eğitim Bakanlığı Rehberlik Hizmetleri Yönetmeliğinin 10. maddesi çerçevesinde; bu kapsamdaki kişisel veri işleme faaliyetinin, veri sorumlusunun Kanunun 5/(ç) bendinde yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” kişisel veri işleme şartına dayandırılabileceği,

- CAS testinin uygulanması sonucunda, dikkat eksikliği ve hiperaktivite bozukluğu gibi öğrencinin ruh sağlığına ilişkin özel nitelikli kişisel verilerin de işlenmiş olduğu dikkate alındığında; Kanunun 6(3) numaralı fıkrasında yer verilen “kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi” amaçları da bulunmadığından, veri sorumlusu tarafından söz konusu veri işleme faaliyetinin “açık rıza” şartına dayandırılması gerektiği sonucuna varılacağı,

- Sağlık verisine ilişkin olarak; ilgili kişinin/velinin açık rızasının alınmadığı, açık rızanın aranmadığı diğer durumların da bulunmadığı gerekçesiyle Kanunun 12. maddesi uyarınca; kişisel verilerin hukuka aykırı olarak işlenmesinin engellenmesini teminen gerekli idari ve teknik tedbirleri almadığı kanaatine varılan veri sorumlusu hakkında Kanunun 18(1)(b) bendinde gereğince 50.000 TL idari para cezası uygulanmasına,

- öğrencilere sunulan rehberlik hizmeti sürecinin kişisel verilerin korunması mevzuatı ile uyumlu hale getirilmesi, hukuka aykırılıkların giderilmesi hususunda veri sorumlusunun talimatlandırılmasına,

- Veri sorumlusu tarafından aydınlatma yükümlülüğünün Kanunun 10. maddesi ve ilgili Tebliğ hükümlerine uygun şekilde yerine getirilmesi hususunda veri sorumlusunun talimatlandırılmasına,

- hukuka aykırı elde edilen verilerin Kanunun 7. maddesi kapsamında silinmesi, yok edilmesi veya anonim hale getirilmesi hususunda Şirketin talimatlandırılmasına,

- Diğer taraftan şikâyetçinin, yapılan yargılama masrafları vs. tüm giderlerin karşı tarafa yükletilmesine karar verilmesine yönelik talebinin Kanun kapsamında olmadığı dikkate alındığında bu hususta Kurulca yapılacak bir işlem bulunmadığına

karar verilmiştir.

3. İlgili kişinin, bir Valilikte görev yapmakta iken, Valilik çalışanı tarafından hukuka aykırı olarak elde edildiği iddia edilen kişisel verilerinin Valiliğe dijital ortamda sunulması hakkında 19/03/2020 tarih ve 2020/226 sayılı Karar Özeti

Konu Özeti: Valilikte çalışan kişi hakkında 657 sayılı Devlet Memurları Kanunu gereğince disiplin soruşturması başlatıldığı ve disiplin cezası aldığı, başka bir ilde alt kadroya atandığı, 6698 Kanun kapsamında İçişleri Bakanlığına müracaat ederek Kanuna aykırı olarak gerçekleştirilen disiplin soruşturması sonucunda tarafına verilen disiplin cezalarının ve atama işleminin iptali ve hukuka aykırı olarak elde edilen ve üçüncü şahıslara aktarılan kişisel verilerinin yok edilmesi talebinde bulunduğu, İçişleri Bakanlığının bu talebi veri sorumlusuna gönderdiği, veri sorumlusu tarafından disiplin cezalarının kaldırılması ve atama işleminin iptali ile ilgili talebe karşılık yetersiz bir cevap verildiği iddia edilerek gereğinin yapılması talep edilmiştir.

- Kanunun 17(1) numaralı fıkrasında, kişisel verilere ilişkin suçlar bakımından Türk Ceza Kanununun 135 ila 140. madde hükümlerinin uygulanacağı belirtilmekte olup, Kişisel verileri hukuka aykırı olarak elde eden Valilik çalışanı açısından şikâyete konu iddiaların esasen Türk Ceza Kanunu hükümleri uyarınca değerlendirilmesi gerektiğinden 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesi de dikkate alınarak söz konusu başvurunun Kanun kapsamında değerlendirilemeyeceğine,

- Kanunun istisnalar başlıklı 28(c) bendinde yer alan kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması durumunda uygulanmayacağının belirtildiği, Veri sorumlusunun işlediği kişisel verilerin disiplin soruşturma veya kovuşturması kapsamında Kanunun 28(2)(c) bendi kapsamında işlendiğinden bu aşamada Kanun çerçevesinde yapılacak bir işlem bulunmadığına,

- Öte yandan işlenen veriler ve yürütülen soruşturma sonucunda ilgili kişi hakkında uygulanan yaptırımların ise 657 sayılı Kanun gereğince özlük dosyalarında saklanması gerektiği, Kamu Personeli Genel Tebliğine (Seri No: 2) göre görevi herhangi bir şekilde sona eren memurların özlük dosyalarının kurumlarınca saklanacağı ve Devlet Arşiv Hizmetleri Hakkında Yönetmeliğe göre son işlem tarihi üzerinden yüz bir yıl geçmemiş memuriyet sicil dosyaları içerisinde yer aldığı dikkate alınarak, ilgili kişinin veri sorumlusu nezdindeki bahse konu verilerinin silinmesi talebinin de 6698 sayılı Kanunun 7. maddesinde belirtildiği üzere kişisel verilerin işlenmesini gerektiren sebeplerin henüz ortadan kalkmaması dolayısıyla veri sorumlusu tarafından karşılanmasının mümkün olmadığına

karar verilmiştir.

4. Ses kayıt özelliği bulunan güvenlik kamerası kullanılması ile 12/03/2020 tarihli ve 2020/212 sayılı Karar Özeti

Konu Özeti: Bir kamu kurumu olan veri sorumlusu tarafından ses kayıt özelliği bulunan güvenlik kamerası kullanılması.

Kurul tarafından,

- sesli kamera kaydının hukuka uygun bir kişisel veri işleme faaliyeti olarak değerlendirilebilmesi için Anayasada belirtilen temel hak ve özgürlüklerin sınırlanmasında gözetilmesi gereken ilkelere uygun olması gerekmektedir. Bu kapsamda söz konusu kayıt ile beklenen faydanın ses kaydı olmaksızın görüntü kaydı ile elde edilebileceği hallerde ses kaydının da yapılması, gerçekleştirilecek kişisel veri işleme faaliyeti ile ulaşılmak istenen amaç arasındaki dengenin bozulmasına yol açacağından ölçülülük ilkesine aykırılık teşkil edeceği,

- Gözetim sistemlerinde görüntü kaydı ile birlikte ses kayıt sisteminin de kullanılmasının sadece görüntü kaydına göre çok daha müdahaleci olacağı açıktır. Diğer taraftan, kameralar vasıtasıyla görüntü ile birlikte ses kaydı yapılması, bireylerde her açıdan gözetim altında tutuldukları endişesi yaratabilecek olup, kişilerin kamusal alanda bile özel bir kısım diyaloglarının ya da yaşantı kesitlerinin bulunabileceği de dikkate alındığında bu yönde bir uygulamanın hakkın özüne zarar vereceği,

- Güvenlik amacıyla kamu kurumunun halk girişine takılması yönünde ihtiyaç bulunduğu belirtilerek ses kaydı yapan kameraların kullanılması, benzer nitelikteki her türlü ortam açısından da gerekli olduğu yönünde genel bir değerlendirmeye neden olabileceğinden, kişisel verilerin korunması hakkına yönelik oldukça geniş nitelikte bir istisna oluşması sonucunu doğurabilecektir ki, bu hususun da hakkın özüne zarar vereceği

değerlendirilmiştir.

5. İlgili kişinin oturmakta olduğu binaya, komşusu tarafından kamera yerleştirilerek kayıt ve izleme gerçekleştirilmesi hakkında 27/02/2020 tarihli ve 2020/187 sayılı Karar Özeti

Konu Özeti: komşusu tarafından 2 tanesi dışarıyı, 1 tanesi apartman girişini, 1 tanesi kat arasını gösterecek şekilde 4 tane kamera yerleştirildiği, bu kameralarla kayıt ve izleme gerçekleştirildiği, kişilerin huzur ve sükûnunu bozma, hukuka aykırı olarak kişisel verileri kaydetme, özel hayatın gizliliğini ihlal etme suçlarının işlendiği, kameraları yerleştiren komşu hakkında savcılığa da şikâyette bulunulduğu ifade edilerek gereğinin yapılması, şahsın cezalandırılması ve kamera görüntülerinin tarafına iadesi talep edilmektedir.

Kurul tarafından,

- İlgili kişinin, komşusu hakkındaki hukuka aykırı olarak kamera taktırılması ve görüntü kaydı alınmasına ilişkin şikâyetlerinin Türk Ceza Kanunu hükümleri çerçevesinde suç unsuru barındırabileceği ve bu çerçevede 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6. maddesi dikkate alınarak söz konusu şikâyetin Kanun kapsamında değerlendirilemeyeceğine

karar verilmiştir.

6. İlgili kişinin cep telefonunun özel bir hastane tarafından izinsiz aranması hakkında 27/02/2020 tarih ve 2020/172 sayılı Karar Özeti

Konu Özeti: Hastane adına bir şahsın aradığı ve Hastanenin reklamını yapmaya çalıştığı, fakat kendisinin bu tip reklamlardan rahatsız olması sebebiyle konuşmak istemediğini dile getirerek telefonu kapattığı, akabinde, Hastanenin e-posta adresine yazılı olarak 6698 sayılı Kanununa istinaden başvurarak bilgi talep ettiği, kendisini Hastanenin bir çalışanının aradığı ve bu konuyu konuşmak istediğini söylediği, ancak kendisinin sözlü değil de yazılı cevap talep etmesi üzerine kendisine e-posta yolu ile cevap verildiği, konu ile alakalı olarak gelen bu cevabı yeterli bulmayınca Kuruma şikâyet hakkının gündeme geldiği belirtilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.

- Hastaneden savunması istenilmiş olup, Arama yapan numaranın taraflarına ait bir hat olmadığı, ilgili kişinin başvurusuna ilişkin kayıtlarında ilgili kişiye ait herhangi bir bilgi, arama vb. Bilgi, belgenin mevcut olmadığı, ilgili kişiye yapılan aramanın Hastaneleri bilgisi dâhilinde gerçekleştirilmediğinden ilgili kişinin şikâyetine konu iddialarının muhatabının da taraflarının olmadığı, bu nedenle ilgili kişinin kişisel verilerinin bünyelerinde bulunmadığı yani hiçbir zaman işlenmediği ve yurt içi ve yurt dışında herhangi bir kuruma aktarılmadığı ifade edilmiştir.

- Şikâyete konu telefon numarası arandığında hattın Hastanenin checkup departmanına ait olduğu ve çalışanların diğer müşterilere hizmet vermekte olması nedeniyle kısa sürede arayana dönüş sağlanacağını belirten sesli bir mesajla açıldığının görüldüğü, Hastaneyi, muhatap ikinci bir yazı ile şikâyete konu telefon numarasının hangi şirkete ait olduğu, checkup hizmetleri başta olmak üzere hasta yönlendirme, reklam ve tanıtım vb. Konularda çeşitli firmalardan hizmet alıp almadığı, alıyorsa bu hizmetlere ilişkin sözleşme örnekleri ile sözleşme kapsamında yapılan aramalarda veya SMS gönderiminde kullanılan telefon numaralarının nasıl temin edildiği hususlarındaki açıklamaların tevsik edici belge ve bilgilerle birlikte Kuruma iletilmesi talep edilmiştir.

Hastane tarafından Kuruma iletilen cevap yazısında özetle:

- Şikâyete konu telefon numarasının taraflarına ait olmadığı ancak yaptıkları inceleme sonrasında ilgili numaranın ……Sağlık ve Danışmanlık Hizmetlerinin kullandığı bir numara olduğunun tespit edildiği, ilgili firma ile yapılan sözleşmenin ekte sunulduğu,

- Sözleşmenin, Firma ile taraflarının üçüncü kişilere checkup hizmetinin pazarlanması ve satışı ile Hastanenin checkup hizmetini ilgili Firmanın bulmuş olduğu müşterilere sağlamasına ilişkin olduğu, ilgili sözleşmenin 4. maddesinde Firmanın müşteri bulurken Kanundan ve sözleşmeden kaynaklanan yükümlülüklere riayet etme zorunluluğunun bulunduğu, sözleşmede bahse konu maddeye aykırı davranılması halinde doğacak tüm zarardan Firmanın sorumlu olduğunun belirtildiği,

açıklamalarına yer verilmiştir.

Öncelikle, ilgili kişinin aranması ile ilgili olarak sorumluluğun kimde olduğunun tespit edilmesi amacıyla Hastane ile Firma arasındaki sözleşme incelenmiş olup inceleme neticesinde;

- Hastanenin sözleşmede belirtilen ürünlerle ilgili SMS gönderme yetkisini de Firmaya verdiği,

- “Gizlilik Yasağı” başlıklı sözleşme maddesi altında Hastanenin müşteri verilerini Firmanın kullanımına açabileceği, Firmanın hem Hastanenin eski müşterilerine hem de kendi oluşturacağı yeni müşterilere checkup panelini satacağı, Firmanın Hastaneden aldığı datayı üçüncü kişilerle paylaşamayacağı, dağıtamayacağı, yayınlayamayacağı, böyle bir durumun tespiti halinde Hastanenin sözleşmeyi derhal fesih hakkının bulunduğu ve bu sebeple uğrayacağı maddi zararın karşılanmasını Firmadan talep edebileceği, benzer şekilde Hastanenin de Firmanın Hastaneye kazandırdığı yeni hastaları başka çağrı merkezleri ile paylaşamayacağı, bu durumda da Firmanın zararının tazmin edilmesini talep hakkı bulunduğu hususlarının düzenlendiği,

şartlarına yer verildiğinin görüldüğü,

- Kanunun 3. maddesinde “veri sorumlusu”nun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak

- “veri işleyen”in ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlandığı,

- veri sorumlusunun, veri işleme faaliyetinin genel anlamda “neden” ve “nasıl” yapıldığını belirleyen kişi olduğu,

- ancak veri sorumlusunun, akdedeceği bir sözleşme ile “kişisel verilerin toplanmasında hangi bilişim sistemlerinin kullanılacağı, kişisel verilerin nasıl saklanacağı, veri güvenliğinin sağlanmasının detayları, kişisel verilerin bir şirketten diğerine aktarılmasında hangi yöntemin kullanılacağı, veri saklama periyoduna uyulmasını sağlamak için kullanılacak yöntemin ne olduğu, kişisel verilerin silinmesinde hangi yöntemin kullanılacağı” gibi konularda karar alma yetkisini veri işleyene bırakabildiği,

- Kurum tarafından yayımlanan Kişisel Verilerin Korunması Kanunu Hakkında Sıkça Sorulan Sorular rehberinde ve Madde 29 Çalışma Grubu’nun WP 169 sayılı Veri Sorumlusu ve Veri İşleyen Hakkında Görüşünde de çağrı merkezinin veri işleyen olduğunu,

- Firmanın bu satışı ilgili kanunlar çerçevesinde elektronik posta, posta, kapıdan dağıtım, kapıdan satış, internet üzerinden satış, telefonla satış, medya üzerinden satış ve sair yollarla yapabileceği; bu ürünü ister web sitesi aracılığı ile, ister kapıdan satış yöntemi ile, ister kurumsal satış şekliyle, isterse tele marketing yoluyla, yazılı, işitsel ve görsel medya yoluyla veya başka bir yolla pazarlayabileceği ve satabileceği; sözleşmede belirtilen ürünlerle ilgili SMS gönderebileceği hükümleri ile satış esnasında kanundan ya da sözleşmeden kaynaklı yükümlülüklere riayet etmemesi sebebiyle doğacak tüm zararlar nedeniyle Hastanenin Firmaya rücu hakkına sahip olduğu hükmü dikkate alındığında, Hastanenin checkup hizmetinin pazarlanması ve satışı için Firmaya yetki verdiği; bu kapsamda yeni müşterilerin nereden bulunacağı ve bu müşterilere ürünlerin hangi yollarla pazarlanacağına ilişkin karar verme yetkisinin Firmaya bırakıldığı, bu sebeple Hastanenin checkup panelinin Hastanenin kayıtlarında bulunan müşterilerine pazarlanmasına yönelik kişisel veri işlenmesinde Firma veri işleyen olarak değerlendirilirken; Hastane kayıtlarında bulunmayan ancak Firmanın kendisi tarafından bulunan yeni müşterilerin pazarlama amacıyla aranarak kişisel verilerinin işlenmesinde Firmanın veri sorumlusu olduğu kanaatine varıldığı,

- Firmanın Hastane tarafından kendisine bildirilmemiş olan ilgili kişinin cep telefonuna erişmesi ve kişinin cep telefon numarasını, Kanunun 5. maddesinde belirtilen açık rıza ya da diğer işleme şartlarından herhangi biri geçerli olmadığı halde aramak suretiyle işlemesinin Kanunun 5. maddesine aykırı olduğu

değerlendirmelerinden hareketle;

- İlgili kişinin kişisel verisi olan cep telefonu numarasının veri sorumlusu Firma tarafından reklam amacıyla aranması suretiyle kullanılmasının, kişisel verilerin korunması mevzuatı açısından bir veri işleme faaliyeti olduğu, bu işlemenin Kanunun 5. maddesinde düzenlenen işleme şartlarından herhangi birine dayanılarak yapılmaması sebebiyle de Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 (1)(a) bendinde öngörülen “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğünün yerine getirilmediği kanaatine varıldığından Firma hakkında, Kanunun 18(1)(b) bendi hükmü uyarınca 50.000 TL idari para cezası uygulanmasına

karar verilmiştir.

7. İlgili kişinin kullanımına izin vermediği kredi kartı bilgilerinin veri sorumlusu araç kiralama şirketi tarafından kullanılması hakkında 27/02/2020 tarihli ve 2020/166 sayılı Karar Özeti

Konu Özeti: ilgili kişinin 1 günlük süreyle araç kiraladığı ve söz konusu sözleşme uyarınca araç kiralama bedeli ve provizyonun çekilmesi için  ...22 ile biten kredi kartının kullanımına onay verildiği, kiralama süresi içerisinde 1 kez HGS kullandığı ve kiralama süresi sona erdiğinde aracı teslim ettikten sonra telefonuna gelen SMS ile söz konusu HGS bedelinin …67 ile biten başka bir kredi kartından tahsil edilmeye çalışıldığını fark ettiği, müşteri hizmetleri tarafından konunun hukuk birimine yönlendirildiğinin belirtildiği ancak olayın üzerinden 2 ay geçmesine rağmen kendisine son yazışma tarihinden itibaren hiç bir geri dönüş yapılmadığı ile veri sorumlusu araç kiralama şirketi hakkında gerekli yaptırımın uygulanarak kendisine bilgi verilmesi talep edilmiştir.

Kişisel Verileri Koruma Kurulu değerlendirmesinde ise,

- kiracının kiralayan ile yapmış olduğu başkaca araç kiralama sözleşmelerinde bildirdiği kredi kartı ve/veya nakit hesaplarından, kiralayanın tahsil etme hakkı saklıdır” hükmünün somut vaka itibariyle ilgili müşteri aleyhine bir durum oluşturduğu ve ilgili kişinin makul beklentisini ve çıkarlarını göz önüne almayarak dürüstlük kurallarına aykırılık teşkil ettiği bu nedenle ilgili şartın Tüketici Sözleşmesindeki Haksız Şartlar Hakkında Yönetmelik hükümleri uyarınca haksız şart teşkil ettiği ve ilgili şart uyarınca müşterinin kredi kartı bilgilerinin işlenmesinin kişisel verilerin korunmasına ilişkin mevzuata aykırılık teşkil ettiği kanaatine varılmış olup bu itibarla, veri güvenliğine ilişkin yükümlülüklerini yerine getirmemiş olması nedeniyle veri sorumlusu hakkında Kanunun 18(1)(b) bendi uyarınca 75.000 TL idari para cezası uygulanmasına

karar verilmiştir.

Karar ile birlikte bir sözleşme kapsamında araç kiralama sözleşmelerinde yer alsa dahi her kiralama döneminde yalnızca ilgili kiralama sözleşmesinde yer alan kredi kartının kullanılması gerekmektedir. Önceki kiralama sözleşmesinde vermiş olduğu kredi kartı bilgileri bir sonraki kiralama sözleşmesinde kullanılamayacak olup, ilgili kartı bilgilerinin veri sistemlerinden imha edilmesi gerekmektedir.

8. Veri sorumlusu tarafından ilgili kişilerin kişisel verilerinin hukuka aykırı şekilde internet gazetesi üzerinden yayımlanması hakkında 18/02/2020 tarihli ve 2020/145 sayılı Karar Özeti

Konu Özeti: ilgili kişilerin yönetim kurulu üyesi olduğu bir şirket hakkında şikâyette bulunulan veri sorumlusu ….Medya Yayıncılık A.Ş.’ye bağlı olarak yayın yapan …Medya isimli internet gazetesi üzerinden asılsız ve gerçeğe aykırı beyanlarda bulunulduğu, ilgili kişilerin yönetim kurulu üyesi olduğu şirket tarafından noter aracılığı ile veri sorumlusuna tekzip ihtarnamesinin gönderildiği, veri sorumlusunun ilgili kişiler tarafından gönderilen ihtarnamenin fotoğrafını çekmek suretiyle yeni bir haber şeklinde olduğu gibi yayımladığı, ilgili ihtarnamenin sonunda ilgili kişilerin T.C. kimlik numaralarının, nüfus kayıt bilgilerinin, anne-baba isimlerinin ve adres bilgilerinin yer aldığı, ilgili ihtarnamenin fotoğrafının çekilip olduğu gibi haberin içinde yayımlanması nedeniyle ilgili kişilerin kişisel bilgilerinin hukuka aykırı bir şekilde kamuya ifşa edildiği, tekrar ihtarname gönderildiği ve bunun üzerine ihtarnamenin kişisel verilere ilişkin kısmının haber metninden çıkarıldığı ancak 10 gün boyunca ilgili kişilere ait kişisel verilerin hukuka aykırı şekilde yayımlanarak kamuya ifşa edildiği, veri sorumlusunun ilgili kişilerin şahsi kimlik bilgilerini kamuya açık alanda kasten yayımlayarak Kanununa aykırı davrandığı hususları belirtilerek, ilgili kişilere ait kişisel verileri rızaları ve bilgileri dışında kullanarak üçüncü kişilerce dolandırılmalarına sebebiyet verecek işlemlerin önünü açan veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

- Kanun’un m.28(1)(c) bendinde “Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi” halinde Kanun hükümlerinin uygulanmayacağının belirtildiği,

- Sorumlu müdürün, Basın Kanunu m.14’ten kaynaklı olarak düzeltme metnini veya cevap yazısını hiçbir düzeltme ve ekleme yapmaksızın yayımlama yükümlülüğünün bulunduğu, ancak bu amaç yerine getirilirken sorumlu müdürün bu amaçla bağlantılı, sınırlı ve ölçülü olacak şekilde hareket etmesi beklenmektedir. Düzeltme metni yayımlanırken, haberle ve metnin içeriğiyle ilgisi olmayan ve yayımlanması halinde kişilerin kişilik haklarının zarara uğramasına sebep olacak kişisel verileri içeren kısımların yayımlanması, amaç ile orantılı olarak değerlendirilmediğinden söz konusu düzeltme metninin kişilik haklarını ihlal ederek internet sitesinde yayımlanmasının, Kanun’un m.28(1)(c) bendi kapsamında değerlendirilmeyerek şikâyetin incelemeye alındığı,

Veri sorumlusunun bahse konu tekzip ihtarnamesinin yayımlamasının, “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması” hükmü kapsamında hukuka uygun olduğuna karar verilmiştir. Ancak ilgili ihtarnamenin kişisel verilere ilişkin bölümünün olduğu gibi yayımlanmasının, daha sonra bu bölümü internet sitesinden kaldırmış olsa dahi, Kanun’un ‘’Genel İlkeler’’ başlıklı m.4’te düzenlenen “amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi ile bağdaşmadığı dikkate alındığında bu durumun Şirketin kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığına işaret ettiği ve bu kapsamda Kanun madde 12’de öngörülen yükümlülüğünü yerine getirmediği kanaatine varılan veri sorumlusu hakkında 55.000 TL idari para cezası verilmesine karar verilmiştir.

9. Veri sorumlusu işveren tarafından, iş sözleşmesi tek taraflı olarak feshedilen ve işe iade davası açan ilgili kişiye ait özlük dosyasında yer alan sağlık raporunun dava savunmasında kullanılmak suretiyle mahkemeye sunulması hakkında 18/02/2020 tarihli ve 2020/138 sayılı Karar Özeti

Konu Özeti: dava dosyasına sunulan sağlık durumu hakkında özellikle ilgili sağlık kurumu tarafından bir tanı konulmamış olmasına rağmen sağlık raporlarında yer alan “uzman” veya “bilirkişi” gibi ifadelerin büyük harfler içine alınarak psikolojik tanı koymaya yetkili bir kurum veya kişi sıfatı ile raporların davaya konu edilmesinin kişilik haklarının ihlal edilmesine sebebiyet verdiği ifade edilerek 6698 sayılı Kanun uyarınca veri sorumlusu hakkında gerekli işlemlerin tesis edilmesi talep edilmiştir.

Konuya ilişkin olarak Kurul Kararı ile başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

- İşverenin 6331 sayılı İş Sağlığı ve Güvenliği Kanununun 15. maddesine göre çalışanın sağlık muayenelerini yapmasını sağlamak zorunda olduğu, İş Sağlığı ve Güvenliği Yönetmeliğinin 7 nci maddesinde yer alan hüküm uyarınca işten ayrılma tarihinden itibaren en az 15 yıl süreyle çalışanların kişisel sağlık dosyalarının saklanacağı, bu sebeple çalışanın sağlık verilerinin anılan Kanun ve Yönetmelik hükümlerince işlendiği,

- Söz konusu raporların herhangi bir gerekçe ile talep edilmeksizin izin taleplerinin bir mazereti olarak bizzat ilgili kişinin kendisi tarafından ibraz edildiği, ilgili kişinin tüm uyarılara rağmen görev ve sorumluluklarının gereğini yerine getirmemesi ile birlikte işyerinde sergilediği olumsuz tutum ve beyanlar nedeniyle işyerinin çalışma düzenine ve iş huzurunun bozulmasına sebebiyet verdiği, bu nedenle 4857 sayılı İş Kanununun 25. maddesi uyarınca iş akdinin feshedildiği,

- Mahkeme tarafından ilgili kişiye ait özlük dosyasının tüm içeriğinin kendilerine gönderilmesinin istendiği, bu bağlamda mahkeme tarafından talep edilen özlük dosyasının tüm içeriğinin şikâyete konu sağlık raporları da dâhil olmak üzere herhangi bir bilgi ve belge ayırt edilmeksizin mahkeme ile paylaşıldığı, mahkeme emrinin yerine getirilmesini müteakip şikâyete konu raporların şirket savunması ve iş akdi feshi sebebine ilişkin maddi vakıaların ispatı amacıyla hukuka ve dürüstlük kurallarına uygun ve işlendiği amaç ile bağlantılı, sınırlı ve ölçülü olarak cevap dilekçesine de eklenerek mahkemeye sunulduğu

ifade edilmiştir.

Kurul tarafından,

- 4857 sayılı İş Kanununun işçi özlük dosyası başlıklı 75 inci maddesine göre; işverenin çalıştırdığı her işçi için bir özlük dosyası düzenlediği, bu dosyada, işçinin kimlik bilgilerinin yanında, bu kanun ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları istendiği zaman yetkili memur ve mercilere göstermek zorunda olduğu, ayrıca idari para cezası başlıklı 104 üncü maddesinde Kanunun 75 inci maddesinde belirtilen işçi özlük dosyalarını düzenlemeyen işveren veya işveren vekiline idari para cezası verileceği, ancak sağlık raporlarının işçiye ait özlük dosyasının içerisinde yer alıp alamayacağı hususuna ilişkin ise gerek 4857 sayılı İş Kanununda gerekse 6331 sayılı İş Sağlığı ve Güvenliği Kanununda özel bir hüküm bulunmadığı,

- Diğer yandan 6100 sayılı Hukuk Muhakemeleri Kanununun 219(1) fıkrası uyarınca, tarafların, kendilerinin veya karşı tarafın delil olarak dayandıkları ve ellerinde bulunan tüm belgeleri mahkemeye ibraz etmek zorunda olduğu, bununla birlikte, anılan Kanunun 220(3) fıkrası uyarınca, belgeyi ibraz etmesine karar verilen tarafın, kendisine verilen sürede belge ibraz edilmez ve aynı sürede, delillerle birlikte ibraz edilmemesi hakkında kabul edilebilir bir mazeret gösterilmez ya da belgenin elinde bulunduğu inkâr edilirse, mahkemenin, duruma göre belgenin içeriği konusunda diğer tarafın beyanını kabul edebileceği,

- 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun “İncelenemeyecek Dilekçeler” başlıklı 6 ncı maddesinde, Türkiye Büyük Millet Meclisine veya yetkili makamlara verilen veya gönderilen dilekçelerden yargı mercilerinin görevine giren konularla ilgili olanların incelenemeyeceğinin hüküm altına alındığı,

- Somut olayda mahkemenin davaya ilişkin olarak yazmış olduğu müzekkerede davalı veri sorumlusundan davacı ilgili kişiye ait özlük dosyasının tüm içeriğinin tasdikli bir suretinin gönderilmesini istediğinin görüldüğü

- 6698 sayılı Kanunun 28(1)(d) bendinde yer alan “Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi” hükmü ile 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun’un “İncelenemeyecek Dilekçeler” başlıklı 6(b) bendi dikkate alındığında konuya ilişkin Kurul tarafından tesis edilecek bir işlem bulunmadığına

karar verilmiştir.

10. Veri sorumlusu havayolu şirketi bünyesindeki çalışanın ilgili kişiye ait kişisel verileri 6698 sayılı Kişisel Verilerin Korunması Kanununa aykırı şekilde şirket kayıtlarından elde etmesi hakkında 13/02/2020 tarihli ve 2020/124 sayılı Karar Özeti

Konu Özeti: veri sorumlusu bünyesindeki çalışanın ilgili kişiye ait uçuş bilgilerini şirket kayıtlarından elde ettiği, bunu da bir başka çalışanla paylaştığı, bu çalışanın da söz konusu bilgileri ilgili kişiye ilettiği, aralarındaki husumet nedeniyle ilgili kişinin her uçuş sonrası aranarak verileri elde eden çalışan tarafından rahatsız edildiği, durumun veri sorumlusuna e-posta ile bildirildiği, ancak, aramalara devam edilmesi üzerine noter aracılığıyla veri sorumlusuna ihtarname gönderildiği, veri sorumlusunun vermiş olduğu cevapta çalışanın kişisel verileri elde ettiğinin tespit edildiği, fakat çalışan hakkında bir işlem yapılmadığının belirtildiği, daha sonrasında, aramaların devam ettiği, ilgili kişinin hakaret ve tehditlere maruz kaldığı, bunun üzerine, yetkili makamlara bildirimde bulunduğu, ancak yaptığı başvurular çerçevesinde veri sorumlusu tarafından verilen cevabın ve alınan aksiyonların yetersiz olduğu belirtilerek konunun 6698 sayılı Kanun kapsamında incelenmesi talep edilmiştir.

Kuruma intikal eden şikayet dilekçesi ekinde yer alan veri sorumlusunun ilgili kişiye verdiği cevapta özetle,

- Kişisel verileri elde eden çalışanın görevi gereği yolcu bilgilerine erişim yetkisinin olduğu, bu çalışanın bilgiye erişim kayıtlarının incelenmesi neticesinde gerekli yaptırımların uygulandığı,

- Şikâyete konu kişiler arası görüşmelerin içeriğinin tespit edilemediği,

- Değerlendirmeler sonucunda, ilgili kişiye ait kişisel verilerin bazı ek kontroller uygulanmadan güvenlik amacıyla görüntülenmesini engelleyecek ek tedbirlerin uygulamaya alındığı, Kanunda belirtilen amaçlar ve yasal dayanaklara istinaden veri sorumlusu tarafından saklanan ilgili kişiye ait kişisel verilerin herhangi bir yetkisiz erişime konu olmadığı, kişisel verilerin gerekli teknik ve idari tedbirler uygulanarak muhafaza edildiği

ifade edilmiştir.

Başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

- İlgili kişinin ilk olarak çalışanlar hakkında veri sorumlusuna dolandırıcılık ve haksız menfaat iddiasıyla şikâyette bulunduğu,

- Şikâyetin aynı gün iç denetim birimlerine iletildiği ve konu hakkında soruşturma başlatıldığı, ilgili kişi ve çalışanlarla yapılan görüşmeler ile veri sorumlusunun kayıtlarının incelenmesi sonucunda hiçbir aşamada dolandırıcılık, tehdit ve benzeri bir eylem tespit edilemediği,

- şikâyetçi olduğu kişilere ait özel hayatın gizliliğini ihlal eder nitelikteki bazı görsel kayıtların da bizzat ilgili kişi tarafından veri sorumlusuna iletildiği, gerçek kişiler arasındaki bu durumun birden fazla adli sürece konu olduğu ve devam ettiği, bununla birlikte, kişilerin karşılıklı olarak 6284 sayılı Kanun kapsamında adli tedbir talep ettiği, bu durumda ilgili kişilerin birbirlerine ait kimlik ve iletişim bilgilerine şirketlerinin müdahalesi ve kayıtları dışında sahip oldukları ve veri sorumlusunun ilgili kişi ile çalışanlar arasındaki kişisel ilişkilerin tarafı olmadığı, bu nedenle, veri sorumlusunun yürüttüğü incelemenin PNR kayıtlarına erişim ve bunların kullanımı üzerine olduğu,

- İlgili kişinin çalışanlar tarafından arandığının tevsiki için bildirdiği telefon numarasının veri sorumlusuna ait olmadığı ve telefon görüşmelerinin içeriğine yönelik şikâyetlerin soruşturma kapsamında değerlendirilmediği,

- Yapılan incelemeler neticesinde veri sorumlusu çalışanının ilgili kişiye ait PNR kayıtlarına yönelik sistemde arama yaptığının tespit edildiği,

- Erişim yetkisinin kişinin görev tanımı gereği ve 2920 sayılı Türk Sivil Havacılık Kanununun 40 ıncı maddesi dördüncü fıkrasında yer alan “Havayolu ile seyahat edecek kişilerin bilgileri kişilerin seyahatini kolaylaştırmak veya güvenlik ve risk değerlendirmesi yapmak amacıyla Kanun çerçevesinde toplanabilir, kaydedilebilir, işlenebilir, paylaşılabilir, havacılık güvenliği ve emniyetini sağlamak üzere değerlendirilerek gereken tedbirler alınabilir” hükmü doğrultusunda tanımlamış olması nedeniyle hukuka aykırı bir erişimin söz konusu olmadığı,

- Kişisel verilerin iş amacı dışında kullanılması sonucu oluşan bir zarar tespit edilmediği,

- Kanuna aykırı olarak kişisel verileri görüntüleyen çalışan hakkında yazılı uyarı verildiği ve yetkilerinin iptal edilerek görevleri kapsamındaki tüm sorgulama taleplerinin ayrı bir departman üzerinden gerçekleştirilmesinin sağlandığı,

- İç denetim birimleri tarafından yapılan kontroller sonucunda şikâyet bildiriminin yapılmasından sonra herhangi bir sorgulama gerçekleştirilmediği, bu nedenle, alınan tedbirlerin olumlu sonuç doğurduğu,

ifade edilmiştir.

Kurul tarafından,

- Dilekçe ekinde yer verilen söz konusu Whatsapp konuşma ve telefon çağrı geçmişi görüntülerinin veri sorumlusu çalışanlarına ait olup olmadığı konusunda herhangi bir bilginin bulunmadığı, bununla birlikte, veri sorumlusunun soruşturma raporuna göre kişisel verileri elde eden çalışanın bu iddiaları kabul etmediği dikkate alındığında, ilgili kişinin telefonunda yer alan kişisel telefon kayıtlarının tevsik edici belge olarak değerlendirilemeyeceği,

- Diğer taraftan, veri sorumlusu tarafından şikâyete konu olan kişiler arası görüşmelerin içeriğinin tespit edilemediği, telefon görüşmelerine ilişkin şikâyetlerin olaya konu olan kişiler arasındaki bireysel ilişkilerin geçmişinden kaynaklanma ihtimalinin yüksek olduğunun belirtildiği,

- Ayrıca, çalışanın görev tanımı gereği yetkisi çerçevesinde PNR sorgulaması gerçekleştirdiği ancak Kasım 2018 tarihinde bir adet, Aralık 2018 tarihinde on iki adet, Ocak 2019 tarihinde beş adet, Mart 2019 tarihinde on adet sorgulama yapıldığı, veri sorumlusunun PNR sorgulama sayısına bir sınırlama getirmediği veya gözetim mekanizması geliştirmemiş olduğunun anlaşıldığı, veri sorumlusu tarafından her ne kadar log kayıtları tutuluyor olsa da, bu kayıtlarda sıra dışı aktivitelerin gözlemlenebilir olması ve bu kayıtların analiz edilmesi ile kişisel verilerin hukuka aykırı işlenmesinin ve erişilmesinin tespitinin önem arz ettiği dolayısıyla, veri sorumlusunun Kanunun 12 nci maddesi kapsamında aldığı idari ve teknik tedbirlerin yeterli olmadığı,

- ilgili kişinin, çalışanlar ile birlikte veri sorumlusu hakkında 5237 sayılı Kanunun 135 ila 140 ıncı maddeleri kapsamında suç duyurusunda bulunduğu ve soruşturmanın halen devam ettiği, bu doğrultuda, 5237 sayılı Kanun kapsamında yürütülmekte olan bir soruşturmanın bulunması sebebiyle, 5237 sayılı Kanununun ilgili hükümleri çerçevesinde işlem tesis edilmesini teminen 5271 sayılı Ceza Muhakemesi Kanununun 158 inci maddesi hükmü uyarınca konunun Cumhuriyet Başsavcılığına bildirilmesine gerek olmadığı

değerlendirilmiş olup bu doğrultuda, veri sorumlusu tarafından kişisel verilere erişim ile ilgili sınırlama getirilmemesi ve çalışanlara verilen eğitimin yetersiz olması sebebiyle Kanunun 12 nci maddesinde yer alan veri güvenliğinin sağlanmasına yönelik gerekli idari ve teknik tedbirlerin alınmadığı kanaatine varıldığından Kanunun 18(1)(b) bendi çerçevesinde veri sorumlusu hakkında 100.000 TL idari para cezası uygulanmasına

karar verilmiştir.

KAYNAK: https://www.kvkk.gov.tr/Icerik/5406/Kurul-Karar-Ozetleri?&page=1