A-

A+

KİŞİSEL VERİLERİ KORUMA KURULU’NDAN ÖNEMLİ KARARLAR

Kişisel Verileri Koruma Kurulu, 17 Temmuz 2019 tarihinde önemli kararlar yayınladı. Kararların detaylarını size ayrı bir yazı dizisi şeklinde açıklayacağız. Ama öncelikle kararların özetini sizinle paylaşalım istedik:

2019/157 sayılı Karar (Yurt dışı merkezli e-posta hizmeti alınması):

Veri sorumlusunun ücretsiz bir kurumsal e-posta hizmeti sunan açık kaynak kodlu Zimbra aracılığıyla …... uzantılı kurumsal e-posta adreslerinin, Google (gmail) üzerinden yine aynı uzantıya sahip olarak kullanılıp kullanılamayacağı hususunda görüş talebi sonucunda Kurul, yurt dışında sunucusu bulunan mail hizmetlerinin Kişisel Verilerin Korunması Kanunu’nun yurt dışına aktarım için öngördüğü şartları taşıması gerektiği konusunda karar vermiştir.

2019/159 sayılı Karar (Aynı içerikteki mesajların aynı kişiye birden fazla gönderilmesi):

Her ne kadar şikayetçinin kişisel verisi olan telefon numarası verisinin veri sorumlusunun, Şikayetçinin ilgili bankalardan kullanmış olduğu kredi borçlarının yeni alacaklısı olması, bu kapsamda 6098 sayılı Kanunun 186 ncı maddesi çerçevesinde borçlunun önceki alacaklılara karşı borcunu ifa etmesinin engellenmesi ve taraflarınca Şikayetçiye sağlanacak kolaylıklar ile borcun ödenmemesi durumunda Şikayetçinin maruz kalabileceği hukuki risklerin bildirilmesi amacıyla işlenmiş olmasının,  hukuka uygun olduğuna karar verse de Kurul; Şirket tarafından ilgili kişinin telefon numarasına aynı içerikteki mesajların farklı tarihlerde birden fazla kez gönderilmesinin veri sorumlusunun sahip olduğu hakkı kötüye kullanımı olarak değerlendirmiştir. Bu çerçevede, kişisel verilerin işlenmesinin hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırılık teşkil ettiği gerekçesiyle veri sorumlusuna kişisel verilerin hukuka aykırı olarak işlenmesini önlemeye yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğü ihlalinden idari para cezası kesilmesine karar vermiştir.

2019/162 sayılı Karar (Açık rıza olmaksızın elektronik ticari ileti gönderilmesi):

Kurul, reklam amaçlı elektronik ticari ileti gönderme faaliyetini de bir kişisel veri işleme faaliyeti olarak değerlendirmiş ve açık rıza olmaksızın ve Kanun’daki işleme şartlarından herhangi birini içermeksizin yapılan bu işlemin, Kanun’un 12 nci maddesinin (1) numaralı fıkrasının (a) bendine aykırı olduğuna karar vererek idari para cezası tesis etmiştir.

2019/165 sayılı Karar (Veri sorumlularının, üyelerinin giriş-çıkış kontrolünü biyometrik veri işleyerek yapması)

Kurul,

  • Spor kulübünde giriş çıkış kontrolünün yapılabilmesi ve kulüp hizmetlerinden faydalanmak isteyen kişilere ilişkin giriş kontrolünün alternatif yollar ile sağlanması mümkün iken; kişilerin biyometrik veri niteliğindeki avuç içi izi verisinin alınmasının “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi ile bağdaşmadığı, özel nitelikli kişisel verilerin Kanun kapsamında ancak ilgili kişilerin açık rızasına ya da Kanunun 6 ncı maddesinin (3) numaralı fıkrasında sayılan şartlar çerçevesinde işlenebileceği, bu kapsamda adı geçen veri sorumlusu tarafından avuç içi izi verisinin işlenmesi için kişilerden açık rızalarının alınması yoluna gidildiği ancak açık rıza verilmemesi durumunda kulüp hizmetlerinden yararlanamadıkları hususunun da açık rızanın hizmet şartına bağlanmış olması sebebiyle özgür iradeye bağlı bir rıza sayılamayacağından hareketle idari para cezası tesis etmiştir.
  • İlgili spor salonlarının Kişisel Verileri Koruma Kurulu’nun 21/12/2017 tarih ve 2017/62 sayılı “Banko, Gişe, Masa Gibi Hizmet Alanlarında Kişisel Verilerin Korunması”na ilişkin Kararı çerçevesinde üyelere ait kişisel bilgilerin üçüncü kişiler tarafından görülmesini önleyecek gerekli teknik ve idari tedbirleri almaması sebebiyle idari para cezası tesis etmiştir.
  • Spor Kulübünde giriş çıkış kontrolünün ve kulüp içerisindeki güvenliğin temini noktasında, kulüp hizmetlerinden faydalanmak isteyen kişilere ilişkin giriş kontrollerinin biyometrik verileri işlemenin haricinde alternatif yollar ile sağlanması, biyometrik veri ile giriş çıkış işlemleri yapılmasının ve biyometrik veri işlemenin ivedilikle durdurulması ve ilgili biyometrik verilerin derhal yok edilmesi konusunda veri sorumlularının talimatlandırılmasına karar vermiştir.

2019/166 sayılı Karar (İlgili kişiye ait telefon numarasına kendisine ait olmayan içeriğin gönderilmesi)

Kurul, ilgili kişiye bir mesajın gönderilmesi yerine o ilgili kişinin kişisel verilerini içeren mesajın başkasına gönderilmesini, ilgili kişinin de mesaj gönderilen kişinin yeğeni oluşu dikkate alınarak, hem kişisel bilgilerin yanlış kişiye gönderilmesi, hem de şikayetçiye ait telefon numarasının, Kanunda düzenlenen işleme şartlarından herhangi birine dayanmadan işlenmesi şeklindeki iki farklı aykırılıktan dolayı idari para cezası tesis etmiştir.