Selen İBRAHİMOĞLU GÜREŞ Avukat / Yönetici Ortak
Öykü DALGIÇ Avukat
[email protected]
18 Mayıs 2021
A-
A+
1.Belediyeler tarafından sunulan internet hizmetlerine ilişkin 25/02/2021 tarih ve 2021/140 sayılı Karar Özeti
Kurum’a intikal eden çeşitli ihbarlar kapsamında belediyelerin internet üzerinden emlak vergisi veya beyan bilgisini sorgulama sayfalarında yalnızca TC kimlik numarası girilerek vatandaşın emlak bilgilerine ulaşılmasının kişisel verilerin korunması açısından problem teşkil ettiği ifade edilmiş olup bu çerçevede Kurum’dan konunun 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında incelenmesi talep edilmiştir.
Kurul yapmış olduğu incelemede, (i) Kanun’un 12. Maddesini göz önünde bulundurarak ve (ii) Kurum’un “Kişisel Veri Güvenliği Rehberi’nde” kişisel veri içeren sistemlere erişimin sınırlı olması gerektiği, kişilere yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınması ve kullanıcı adı ve şifre kullanılmak suretiyle ilgili sistemlere erişim sağlanabileceği, ayrıca uzaktan erişim için iki kademeli kimlik doğrulama kontrolünün uygulanmasının önemli olduğu hususlarına yer verilmiş olduğunu vurgulayarak gerçekleştirmiş olduğu inceleme kapsamında bazı belediyeler tarafından internet üzerinden verilen vergi ödeme hizmetlerinin üyelik ve şifre ya da çift doğrulama yolu ile sisteme giriş yapılması sureti ile gerçekleştirildiği ve bu uygulamaların Kanuna uygun olduğu, ancak bazı belediyeler tarafından sunulan hızlı sorgulama ya da borç ödeme uygulamalarında sadece tek bir bilgi girilerek kişilerin borç bilgisine ulaşılabildiği; her ne kadar kişiye ait isim ya da mülke ilişkin bilgilere erişim mümkün olmasa da borca ilişkin bilgiye erişim sağlanabildiğinin anlaşıldığı, bu durumun Kanunun 12 nci maddesinin 1 numaralı fıkrasının (b) bendine aykırı olduğunu tespit etmiştir.
Kurul bu değerlendirmesi sonucunda;
karar vermiştir.
Karara konu şikayet kapsamında ilgili kişi özetle; oturduğu sitenin yönetiminden sorumlu şirketin kendisine ait telefon numarasını yönetim hizmetleri kapsamında kullanılan bir mobil uygulama aracılığı ile rızası dışında paylaşıldığını ve ilgili uygulamadan kendisine bilgi mesajı gönderildiğini ifade ederek Kurum’dan Kanun kapsamında gerekli yaptırımın uygulanmasını talep etmiştir.
Kurul tarafından başlatılan inceleme kapsamında ilgili sitenin yönetim işlemlerini yürüten şirket (Site Yönetim Hizmeti Sunan Şirket) ile aktarım yapılan uygulama ile ilgili hizmeti sunan şirketin (Uygulama Hizmeti Sunan Şirket) savunmaları talep edilmiştir. Site Yönetim Hizmeti Sunan Şirket savunmasında özetle; yönetim firması olması sebebiyle hizmetlerini sunarken birçok yönetim programından yararlanıldığını, kişisel verilerin aktarıldığı iddia edilen uygulamanın da Şirketin bu anlamda yönetim hizmetlerini verirken kullandığı bir program olduğunu, site sakinlerinin kişisel verilerinin kesinlikle üçüncü kişilerle paylaşılmadığını, söz konusu uygulamayı sunan Şirket ile aralarında hizmet sözleşmesi bulunduğunu, ilgili kişiye ait kişisel verilerin mezkur uygulamaya aktarılması ya da uygulamaya kaydının taraflarınca yapılması gibi bir durumun söz konusu olmadığını, şirketlerine üçüncü bir taraftan gelen yüksek meblağlı bir ürünle ilgili indirimin site sakinlerince yönetim hizmetlerinin gerçekleştirilmesi için hali hazırda kullanılan bir uygulama (ilk uygulama) üzerinden site sakinlerine bilgi verme amaçlı olarak bildirildiği, kişisel verilerin aktarıldığı iddia edilen yeni uygulamaya (ikinci uygulama) üye olmayı gerektiren bu indirimden yararlanabilmenin tamamen ilgili kişinin inisiyatifinde olduğu, ilgili kişinin kendi seçimi ile yeni uygulamaya/ikinci uygulamaya kaydolduğu, bu çerçevede aydınlatılmanın söz konusu uygulama ve ilgili kişinin arasında bir durum olduğu, ilgili kişinin mezkur uygulamaya kaydının Şirketlerince yapılmadığı, ilgili kişinin uygulamaya kendi özgür iradesiyle kayıt olduğunu ifade etmiştir. Uygulama Hizmeti Sunan Şirket ise cevap yazısında özetle; Yönetim Hizmeti Sunan Şirkete bulut hizmeti sağlandığını, sisteme kullanıcı kaydı ve girişi, hesap oluşturma ve sair tüm işlemlerin Yönetim Hizmeti Sunan Şirket tarafından oluşturulduğunu, bu kapsamda kendilerinin veri sorumlusu sıfatını haiz olmadıkları ve veri işleyen sıfatını haiz olduklarını, ilgili kişinin kişisel verilerinin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendi çerçevesinde işlenebileceği, bu kapsamda açık rıza aranmasının söz konusu olmadığını, Yönetim Hizmeti Sunan Şirket tarafından ilk uygulamaya kaydı yapılan kullanıcıların bilgi aktarımının otomatik olarak ikinci uygulamaya yapıldığı ve ilgili kişinin sisteme giriş yapabilmesi için telefon numarasına bilgilendirme SMS’i gönderildiğini savunmuştur.
Kurul yapmış olduğu incelemede, (i) Yönetim Hizmeti Sunan Şirketin kişisel verilerin aktarıldığı iddia edilen uygulama/ikinci uygulama ile hizmet sözleşmesi akdettiği ve bu sözleşmenin eki niteliğinde olan KVKK Protokolünde Yönetim Hizmeti Sunan Şirketin veri sorumlusu sıfatını haiz olduğuna yer verildiği göz önünde bulundurularak Yönetim Hizmeti Sunan Şirketin kişisel verilerin aktarıldığı iddia edilen ikinci uygulama ile yaptığı sözleşme kapsamında kişisel verilerin işlenme amaç ve yöntemini belirleyen kişi olarak veri sorumlusu sıfatını taşıdığı, (ii) Uygulama Hizmetini Sunan Şirketin ise Yönetim Hizmeti Sunan Şirketin verdiği yetki kapsamında onun adına veri işleme faaliyetini gerçekleştiren veri işleyen sıfatını haiz olduğu, (iii) veri sorumlusu Şirket ve veri işleyen Uygulama Hizmeti Sunan Şirket arasında akdedilmiş olan Protokolün “Protokol Koşulları” başlıklı maddesinde Yönetim Hizmeti Sunan Şirketin hizmet sözleşmesi kapsamında uygulamayı kullanarak uygulama ile yazılı olarak, elektronik ortamda veya sair şekillerde bilgi, belge ve veri paylaşacağı, Yönetim Hizmeti Sunan Şirketin uygulama ile paylaşacağı her türlü verinin sözleşme ilişkisi kapsamında uygulamaya aktarıldığını ve KVKK anlamında gerekli kabul edilmesi halinde Protokolün paylaşılacak her türlü kişisel veri bakımından açık rıza niteliğinde olduğunu kabul, beyan ve taahhüt edeceği, İlgili kişilerin KVKK kapsamında açık rıza vermesi gerekli ise ilgili kişilerin verilerinin uygulama ile paylaşılması konusunda ilgili kişilerden açık rıza aldığını kabul beyan ve taahhüt edeceği hususlarına yer verildiği; (iv) veri sorumlusu Yönetim Hizmeti Sunan Şirket her ne kadar ilgili kişinin kişisel verilerini ikinci uygulama ile paylaşmadığını iddia etse de, bu uygulama ile aralarında akdedilmiş olan Protokol maddelerine ve Uygulama Hizmeti Sunan Şirketten alınan cevap yazısına göre taraflar arasında söz konusu kişisel veri paylaşımı hususunun mümkün olduğu; keza Uygulama Hizmeti Sunan Şirketten alınan cevap yazısından da veri sorumlusu Şirketin kullanmış olduğu ilk uygulamada mevcut verilerin ikinci uygulama ile paylaşılması kapsamında veri sorumlusu Yönetim Hizmeti Sunan Şirket tarafından ikinci uygulamaya tanınan yetki çerçevesin ilgili kişinin de bulunduğu ilk uygulamadaki kullanıcı bilgilerinin ikinci uygulama ile paylaşıldığı, (v) ikinci uygulamaya katılımın, site yönetim işlerinden ayrı bir amaca hizmet ettiği ve isteğe bağlı olduğunun anlaşıldığı, bu uygulamaya ilgili kişilerin katılımını sağlamak amacıyla kişisel verilerin işlenmesinin ise Kanunun 5 inci maddesinin (2) numaralı fıkrasında yer alan işleme şartlarına dayandırılamayacağı ancak ilgili kişinin açık rızası ile gerçekleştirilebileceği ancak somut olayda ilgili kişinin açık rızasının alınmadığı tespit edilmiştir.
Bu tespitleri sonucunda Kurul kişisel verilerin aktarıldığı iddia edilen uygulamaya katılımın, site yönetim işlerinden ayrı bir amaca hizmet ettiği ve isteğe bağlı olduğu, bu uygulamaya ilgili kişilerin katılımını sağlamak amacıyla kişisel verilerin işlenmesinin Kanunun 5 inci maddesinin (2) numaralı fıkrasında yer alan işleme şartlarına dayandırılamayacağı ancak ilgili kişinin açık rızası ile gerçekleştirilebileceği ancak somut olayda ilgili kişinin açık rızasının alınmamış olması sebebiyle hukuka aykırı kişisel veri işlendiğini değerlendirerek Kanunun 12 nci maddesinin (1) numaralı fıkrası hükmüne aykırı hareket eden veri sorumlusu Yönetim Hizmeti Sunan Şirket hakkında 100.000 TL idari para cezası uygulanmasına karar vermiştir.
Kuruma iletilen şikayet kapsamında, ilgili kişi bir sigorta şirketinden (Şirket) bireysel emeklilik sözleşmesi (BES) yaptırdığını, Şirketin internet sayfasından poliçe bilgilerine ulaşmak için giriş yapmaya çalıştığında bir onay kutucuğu sunularak kişisel verilerin işlenmesine rıza göstermek zorunda bırakıldığını ve bu kutucuğu işaretlememesi halinde hiçbir işlem yapamayacağının anlaşıldığını ancak kişisel verilerinin işlenmesine onay vermek zorunda bırakılmasının hukuka aykırı olduğunu belirterek Kanun uyarınca Kurum’dan gereğinin yapılması talep etmiştir.
Kurul tarafından yapılan incelemede
A. Aydınlatma Metninin Mevzuata Uygunluğuna İlişkin Olarak:
(i)Veri sorumlusu sigorta şirketinin internet sayfasında sisteme giriş için doldurulması gerekli olan kutucukların alt kısmında bulunan aydınlatma metninde hukuka uygunluk sebebi olarak Kanunda düzenlenen 5 inci veya 6 ncı maddelerden hangisine veya hangilerine dayanıldığına ilişkin bir bilgilendirmede bulunulmadığının anlaşıldığı; (ii) kişisel verilerin hangi mevzuat gereğince aktarıldığının muğlak olduğu zira kişisel verilerin aktarımı hangi mevzuat kapsamında gerçekleştiriliyor ise ayrı ayrı açıkça belirtilmesi gerektiği, aktarılan kurum ve kuruluş isimlerinin güncellenmemiş olduğu; (iii) tek bir kutucuk işaretlendiğinde ilgili kişinin hem aydınlatma metnine hem de kişisel verilerinin işlenmesine onay verdiği, ancak Tebliğin 5 inci maddesinin birinci fıkrasının (f) bendine göre, kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiğinin hüküm altına alındığı, dolayısıyla kişisel verilerin işlenmesinin hukuki sebebinin açık rıza olduğu durumlar için ayrı bir açık rıza metninin de oluşturulması gerektiği değerlendirilmiştir.
B. Açık Rızanın Hizmet Şartına Bağlanıp Bağlanmadığına İlişkin Olarak:
Bireysel Emeklilik Tasarruf ve Yatırım Sistemi Kanunu’nun “ Emeklilik sistemine katılma ve emeklilik sözleşmesi” başlıklı 4. Maddesinin 1. Fıkrası kapsamında “…sisteme katılmak için şirket ile emeklilik sözleşmesi akdedilir…” hükmünün yer aldığı ve ayrıca Bireysel Emeklilik Sistemi Hakkında Yönetmeliğin (BES Yönetmeliği) “Bilgilendirme, teklif ve sözleşmenin düzenlenmesi” başlıklı 5. Maddesine atıfta bulunarak Veri Sorumlusu’nun Kanunun 5 inci maddesinin ikinci fıkrasında yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” veri işleme şartına dayanması gerektiği ve bu sebeple hizmetin açık rıza şartına bağlanmasından söz edilemeyeceği ve söz konusu kişisel veri işleme faaliyeti, Kanunda yer alan açık rıza dışındaki şartlardan birine dayanıyorsa, bu durumda ilgili kişiden açık rıza alınmasına gerek bulunmadığı ve veri işleme faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılmasının, aldatıcı ve hakkın kötüye kullanımı niteliğinde olacağı ve bu durumun ise Kanunun 4 üncü maddesinin ikinci fıkrasının (a) bendinde düzenlenen “hukuka ve dürüstlük kurallarına uygun olma” ilkesine aykırılık teşkil ettiği değerlendirilmiştir.
Bu bağlamda Kurul yapmış olduğu inceleme sonucunda;
Kanunun 5 inci maddesinde yer alan diğer işleme şartları mevcut iken ilgili kişilerin açık rızasının alınmasının Kanunun 4 üncü maddesinde yer alan “hukuka ve dürüstlük kurallarına uygun olma” ilkesine aykırı olduğu dikkate alındığında Kanunun 12 nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında, söz konusu uygulamanın ihbar eden dışında pek çok kişi üzerinde olumsuz etki doğurabileceği, veri sorumlusunun sunduğu hizmet bakımından geniş bir müşteri kitlesi bulunduğu, Şirketin kusuru, ekonomik durumu ve haksızlık içeriği gibi hususlar da göz önünde bulundurularak 250.000 TL idari para cezası uygulanmasına,
Açık rıza alınması ile ilgili kişiye aydınlatma yapılması tek bir onaya bağlandığından açık rıza ve aydınlatma metinlerinin ayrı ayrı düzenlenmesi ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
Aydınlatma metninde muğlak ifadelere yer verildiği dikkate alındığında veri sorumlusunun aydınlatma yükümlülüğünü Kanun ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümleri ile uyumlu olacak şekilde düzenlenmesi ve sonucundan Kurula bilgi verilmesi hususunda talimatlandırılmasına
Veri sorumlusu bir hastane tarafından Kuruma intikal ettirilen veri ihlal bildirimi kapsamında;
Kurul tarafından yapılan inceleme sonucunda;
A. Teknik ve idari tedbirler ile ilgili olarak;
Değerlendirilerek veri güvenliğini sağlamaya yönelik gerekli tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak 450.000 TL idari para cezası uygulanmasına;
B. Kuruma ve ilgili kişilere yapılan bildirim ile ilgili olarak:
göz önünde bulundurularak Kanunun 12 nci maddesinin (5) numaralı fıkrası hükmü ve Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10 sayılı Kararında yer alan ‘en kısa sürede’ ifadesinin 72 saat olarak yorumlanmasına yönelik ifadeleri çerçevesinde bildirim yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da değerlendirilerek 150.000 TL idari para cezası uygulanmasına ve ilgili kişilere Kurulun 24.01.2019 tarih ve 2019/10 sayılı Kararında yer alan hususları içeren bir bildirim yapılarak sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına karar vermiştir.
Yayınlara dön