Selin ÖZBEK CITTONE Avukat / Yönetici Ortak
Gülce ERCENK Kıdemli Avukat
[email protected]
17 Aralık 2021
A-
A+
17 Aralık 2021 tarihinde Kişisel Verileri Koruma Kurulu tarafından 19 tane karar yayımlanmıştır. Bu kararları kategorize ederek aşağıdaki başlıklarda özetledik. Buna göre, kararların bir kısmı veri sorumlusu-veri işleyen kavramını incelerken, bir kısmı da ilgili verilerin üçüncü kişilerle paylaşılmasına, çalışanların veri ihlali konusuna, fotoğraf verisinin kullanılmasına ve reklam amaçlı SMS gönderimine dikkat çekmiştir. Buna ilaveten, kararların bir kısmı da sektör bazında ayrıma giderek sigorta şirketlerinin ve hukuk bürolarının veri işleme süreçlerine değinmiştir. Hazırladığımız özetleri bilginize sunuyoruz.
A) VERİ SORUMLUSU-VERİ İŞLEYEN KAVRAMLARINA İLİŞKİN KARARLAR
İlgili kişi Kuruma ilettiği şikayetinde özetle; şikayet olunan dijital platform ile bir ilişkisinin olmadığı halde, ilgili kişinin 0850’li bir çağrı merkezinden devamlı aranarak platforma üye olması yönünde pazarlama yapıldığı, ilgili kişinin dijital platforma yaptığı başvuruya verilen cevapta, ilgili kişinin müşteri olarak bir kaydının bulunmadığı ve kişisel verisinin nasıl elde edildiği, nerelerde kullanıldığına dair bir yanıt alınamamasından dolayı şirkete cezai yaptırımın uygulanması talep edilmiştir.
Dijital platform tarafından Kuruma ulaştırılan cevap yazısında;
ifade edilmiştir.
Başlatılan incelemede, dijital platformdan ilgili kişiyi aradığı iddia edilen bayi ile şirketleri arasındaki ilişkiyi tanımlayan bilgi ve belgelerin Kuruma iletilmesi talep edilmiştir.
Bayi Kuruma iletmiş olduğu yazıda;
Kurul yaptığı incelemede;
Tüm bu değerlendirmelerinden hareketle Kurul;
İlgili kişinin kişisel verisi olan telefon numarasının hukuka aykırı elde edildiği ve işlendiği dikkate alındığında Kanunun 12 nci maddesinin (1) numaralı fıkrasında yer alan teknik ve idari tedbirleri almayan veri sorumlusu bayii hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idarî para cezası uygulanmasına karar vermiştir.
Maliki olduğu aracı ile geçirdiği trafik kazası sonrası veri sorumlusu sigorta şirketi tarafından kasko poliçesi kapsamında hasar dosyası açıldığı, bununla birlikte veri sorumlusunun çağrı merkezini aradığında aracının pert süreci işlemlerinin üçüncü bir şirket tarafından yapıldığı ve bu şirketin kendisi ile iletişime geçeceğinin söylendiği, söz konusu kasko poliçesinde ve sigorta genel şartları mevzuatında pert işleminde ya da herhangi bir hasar halinde hasarın ya da aracın rayiç değerinin ve sovtaj değerinin tespitinin tarafsız ve bağımsız sigorta eksperince yapılacağının belirtildiği, bununla birlikte veri sorumlusu tarafından üçüncü kişi şirket ile onayı ve bilgisi olmadan kendisine ait aracın kaza fotoğraflarının, kimlik bilgilerini de içeren ruhsatın ve iletişim bilgilerinin paylaşıldığı, ancak üçüncü şirketin veri sorumlusu ile yapılan sözleşmenin tarafı olmadığı, sözleşmede adının geçmediği, rayiç tespiti ve sigortacılık işlemlerinin ilgili şirket ile yürütülmesinin poliçeye ve sigortacılık mevzuatına aykırı olduğu ve poliçe kapsamında kişisel verilerinin sadece sigorta eksperi ile paylaşılabileceği, veri sorumlusu tarafından kişisel verilerinin işlenmesinde onay istenmediği ve bildirim yapılmadığı, ayrıca konuya ilişkin veri sorumlusuna yapmış olduğu başvuruya cevap verilmediği ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.
Veri sorumlusu sigorta şirketi savunmasında;
belirtilmiştir.
B) SİGORTA ŞİRKETLERİNE İLİŞKİN KARARLAR
Sigortacılık ve Bireysel Emeklilik alanında faaliyet gösteren bir şirket tarafından ilgili kişinin cep telefonu numarasına “Sayın …., Sizinle görüşmemiz öncesinde, hakkımızdaki özet bilgilere aşağıda yer alan linki tıklayarak kolayca ulaşabilirsiniz… IPTAL: … Ret yazıp …’e gönderiniz. ONAY: … Onay yazıp …’e gönderiniz. Eğer bu mesaja 24 saat içerisinde tarafınızca herhangi bir <> yanıtı iletilmez ise, aranmak için olumlu yanıt verdiğiniz varsayılacaktır…” içerikli bir SMS gönderilmiş ve ilgili kişi tarafından bahsedilen şirket ile herhangi bir ilişkisinin olmadığı belirtilerek gerekli yaptırımın uygulanması talep edilmiştir.
Veri sorumlusu savunmasında;
sonucuna varmıştır.
A) Aleni veri savunması ile ilgili olarak;
İlgili kişinin kişisel verisi niteliğindeki telefon numarasının kısa mesaj gönderilmek amacıyla işlendiği iddiası incelendiğinde ilgili kişinin mesleki yetkinliğinden faydalanmak için kendisine ulaşılmaya çalışılmadığı, aksine şirket faaliyetlerine ilişkin randevu talebi ile ilgili kişiye ulaşıldığı değerlendirilmekte olup bu çerçevede ilgili kişinin kişisel verisi niteliğindeki telefon numarasının reklam, pazarlama ve bilgilendirme amacıyla kısa mesaj gönderilmek suretiyle işlenmesinin Kanunun 5 inci maddesinde yer alan herhangi bir işleme şartına dayanmaksızın gerçekleştirildiği dolayısı ile veri sorumlusunun Kanunun 12 nci maddesinde yer verilen veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı davrandığına ve veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulamasına karar verilmiştir.
B) Verilerin imhası ile ilgili olarak ise;
Kanunun kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini düzenleyen 7 nci maddesi ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğe uygun bir biçimde ilgili kişinin kişisel verilerinin imha edilmesi ve imha edildiğine dair kanıtlayıcı belgeler (log kaydı, vs) ile birlikte bu hususta Kurula en geç otuz gün içinde bilgi verilmesi yönünde veri sorumlusu şirketin talimatlandırılmasına karar verilmiştir.
Son olarak, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin 6. maddesine uyum konusunda gerekli hassasiyetin gösterilmesi hususunun hatırlatılmasına karar verilmiştir.
Kuruma intikal eden şikâyet dilekçesinde özetle; şikâyetçinin ölen eşi ile veri sorumlusu sigorta şirketi arasında Hayat Sigortası Sözleşmesi kurulduğu, iş kazası nedeni ile yapılması gereken ödeme miktarının tespit edilebilmesi için Poliçenin ibrazı gerekliliğinin hâsıl olduğu, veri sorumlusundan söz konusu Poliçenin tesliminin talep edildiği, ancak veri sorumlusunca ilgili kişiye gönderilen yazı ile Kişisel Sağlık Verileri Hakkında Yönetmeliğin 10 uncu maddesi uyarınca “avukatların, müvekkilin sağlık verilerini genel vekaletname ile talep edemeyeceği, ilgili kişinin özel nitelikli kişisel verilerin işlenmesi ve aktarılmasına ilişkin açık rızasını gösteren özel bir hükmün bulunmasının gerektiği ve bu sebeple yazı ekinde gönderilen vekaletnamenin genel vekaletname niteliğinde olduğundan KVKK ve ilgili yönetmelik uyarınca özel nitelikli kişisel veri olan sağlık verilerinin paylaşılmasının mümkün olmadığı” hususları belirtilerek talebin reddedildiği, bunun üzerine şikayetçinin kendi adına yeniden ihtarname düzenleyip veri sorumlusuna başvurduğu ancak veri sorumlusunca talebin karşılanmayarak hak yoksunluklarına sebep olduğu belirtilmiş ve gereğinin yapılması talep edilmiştir.
A) Gerçek kişi kavramı ile ilgili olarak;
İlgili kişinin “kişisel verileri işlenen gerçek kişi” olarak tanımlandığı, 4721 sayılı Türk Medeni Kanununun 28 inci maddesinde ise kişiliğin, çocuğun sağ olarak tamamıyla doğduğu anda başladığı ve ölümle sona erdiği hükmünün yer aldığı, diğer taraftan; Kişisel Sağlık Verileri Hakkında Yönetmeliğin 4 üncü maddesinde; kişisel sağlık verisinin kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgiler olarak tanımlamalara yer verildiği; anılan Yönetmeliğin “Ölünün sağlık verilerine erişim” başlıklı 11 inci maddesinde ise ölmüş bir kimsenin sağlık verilerini almaya, veraset ilamını ibraz etmek suretiyle murisin yasal mirasçılarının münferit olarak yetkili olduğuna yer verildiği, ölen kişilere ilişkin kişisel veriler hakkında 6698 sayılı Kanunda doğrudan bir düzenleme bulunmamakla birlikte Kişisel Verileri Koruma Kurulunun “Ölü kişilerin verilerine, ölenin yakınlarının erişim talebi hakkındaki 18/09/2019 tarihli ve 2019/273 sayılı kararında “(…) talep edilen kişisel verilerin talep eden gerçek kişiye ilişkin olmaması ve ölmüş kişiye ait olması sebebiyle talebin, Kanunun 11’inci maddesi kapsamında bir talep olarak değerlendirilmeyeceği kanısına varıldığından bu hususta 6698 sayılı Kanun kapsamında yapılacak bir işlemin olmadığına” karar verildiği,
Mirasçılar ile ilgili olarak;
Türk Medeni Kanununun 499 uncu maddesinde ise sağ kalan eşin, birlikte bulunduğu zümredeki oranlara göre mirasbırakana mirasçı olacağı; 599 uncu maddesinde “Mirasçılar, mirasbırakanın ölümü ile mirası bir bütün olarak, kanun gereğince kazanırlar. Kanunda öngörülen ayrık durumlar saklı kalmak üzere mirasçılar, mirasbırakanın aynî haklarını, alacaklarını, diğer malvarlığı haklarını, taşınır ve taşınmazlar üzerindeki zilyetliklerini doğrudan doğruya kazanırlar ve mirasbırakanın borçlarından kişisel olarak sorumlu olurlar.” hükmüne; “Özel durumlar” başlıklı 601 inci maddesinin ikinci fıkrasında ise “Kendisine mirasbırakanın ölümünde ödenecek bir sigorta alacağı vasiyet edilen kimse, sigorta sözleşmesinden doğan istem hakkını sigortacıya karşı doğrudan doğruya kullanabilir.” hükmüne yer verildiği, bu doğrultuda ölen eşin kişiliğinin de ölümle birlikte sona erdiği dikkate alındığında her ne kadar hayat sigortası ölen eşin adına yapılmış ve kişilik ölümle son bulduğundan ölen kişinin kişisel verilerine ilişkin talepler Kanun kapsamında değerlendirilemeyecek olsa da, hayat sigortasının lehtarlarının ölen kişinin kanuni mirasçıları olduğu, bu çerçevede ilgili Sigorta Poliçesinin lehtarı olmaları bakımından mirasçıların ilgili kişi niteliği kazandığı, bu sebeple başvurucu için de kanuni mirasçılıktan kaynaklı olarak, Poliçeyi özetler belgede yer alan verilerin kişisel veri niteliği taşıdığı kanaatine varıldığı,
C) Grup sigortaları ile ilgili olarak;
Türk Ticaret Kanununun (Ticaret Kanunu) “Grup sigortaları” başlıklı 1496 ncı maddesinde “(2) Grupta yer alan her kişiye poliçe içeriğini özetleyen bir belge verilir.” hükmüne yer verildiği, bu kapsamda, ilgili kişinin eşi adına yapılan sigortanın da grup sigortası olarak yapıldığı gözetildiğinde, 6698 sayılı Kanunun 11 inci maddesi kapsamında talep edilebilecek belgenin grup poliçesinin kendisi yerine “poliçeyi özetler nitelikteki belgenin/sertifikanın” olabileceği kanaatine varıldığı ve somut olayda veri sorumlusu tarafından “Poliçeyi özetler belgenin/sertifika”nın ilgili kişiye verildiği,
D) Kanun’un 11. Maddesinden hakların kullanımına ilişkin olarak;
Anayasanın 20 nci maddesinin (3) numaralı fıkrasında yer verilen düzenleme ile “(…) kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme (…)” hakkına sahip olduğu, Kanunun 11 inci maddesinin (1) numaralı fıkrasının (b) bendi çerçevesinde ise ilgili kişilerin kişisel verileri işlenmişse buna ilişkin bilgi talep etme hakkına sahip olduğu düzenlemelerinin yer aldığı, bu çerçevede ilgili kişinin eşinin kanuni mirasçılıktan kaynaklı olarak müteveffanın kişisel verisi niteliğindeki “poliçeyi özetler belgeye” erişme hakkının olduğu ve bu hakkını veri sorumlusuna karşı ileri sürebileceği dikkate alındığında veri sorumlusundan kişisel veri niteliğinde olan “poliçeyi özetler belgeyi” Kanunun 11 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında talep edebileceği ve somut olayda veri sorumlusu tarafından “Poliçeyi özetler belgenin/sertifika”nın ilgili kişiye verildiği; bu anlamda Kanunun 11 inci maddesinden kaynaklanan erişim hakkının kişiye sağlandığı
değerlendirilerek söz konusu şikayet hakkında Kanun kapsamında yapılacak bir işlem olmadığına karar verilmiştir.
C) İLGİLİ VERİLERİN ÜÇÜNCÜ KİŞİLERLE PAYLAŞILMASINA İLİŞKİN KARARLAR
belirtilerek veri sorumlusu ile ilgili kişi arasında kurulan tüm iletişimin log kayıtlarına dair ekran görüntüleri Kurum ile paylaşılmıştır.
Şikâyet dosyasında yer alan konaklamaya ilişkin detayları içeren “Alındı” belgesinin sadece konaklamayı satın alan tarafla paylaşılan bir doküman olduğu ve konaklamanın yapılacağı tesis ile paylaşılmadığı; veri sorumlusunun Kuruma sunduğu log kayıtlarında konaklamaya ilişkin gönderilen “voucher” ve “alındı” dokümanlarının sadece ilgili kişinin e-posta adresine iletildiğinin belirlendiği ve ilgili kişinin verilerinin veri sorumlusu tarafından paylaşıldığını gösteren somut bilgi ve belge bulunmadığından ilgili şikâyet hakkında Kanun kapsamında tesis edilecek bir işlem bulunmadığına karar verilmiştir.
İlgili kişinin veri sorumlusu Bankanın kredi kartını kullandığı, veri sorumlusu tarafından ilgili kişinin kredi kartı borcuna ilişkin ilgili kişinin ablası ve babasına ait telefon numaralarının arandığı, ilgili kişinin bu hususta veri sorumlusuna başvurarak ailesinin iletişim bilgilerine nasıl ulaşıldığı, kişisel verilerinin üçüncü kişilerle neden paylaşıldığı konularında bilgi talep ettiği, veri sorumlusunun verdiği cevapta, ilgili kişinin kredi kartı borcu bilgilendirilmesi için arandığı ancak ulaşılamadığında alternatif telefon numaralarından da ilgili kişiye ulaşılmaya çalışıldığının, veri sorumlusu ile ilgili kişi arasında yapılan görüşme sonucunda ilgili kişinin veri sorumlusu bünyesinde kayıtlı olan cep telefonu dışındaki diğer numaralardan aranmaması için gerekli sistemsel güncellemelerin tamamlandığının ifade edildiği belirtilerek veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.
Veri sorumlusu tarafından ilgili kişinin ablası ve babasının Risk Merkezi vasıtasıyla temin edilen telefon numarası üzerinden aranması suretiyle ilgili kişinin banka ile münasebetinin yakınları ile paylaşılmasının Kanunun 5 inci maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanmaksızın, hukuka aykırı olarak gerçekleştirildiği dikkate alındığında veri sorumlusunun Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendinde öngörülen “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğünü yerine getirmediği kanaatine varıldığından, veri sorumlusu hakkında, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına karar verilmiştir.
D) FOTOĞRAF VERİSİNİ KULLANMAYA İLİŞKİN KARARLAR
Kuruma intikal eden şikâyette özetle, ilgili kişinin öğrenci olarak öğretmenleriyle yaptığı görüşmede rızası dışında fotoğrafının çekildiği ve okul tarafından bastırılan ticari amaçlı broşürde fotoğrafının kullanıldığı, kendi internet sitesinde yayınlandığı, ilgili kişi veya velisinin açık veya zımni bir rızasının bulunmadığı, veri sorumlusuna yapılan başvurudan da tatmin edici cevap alınamadığından dolayı, veri sorumlusu okul hakkında gerekli hukuki işlemlerin yapılması talep edilmiştir.
Veri sorumlusu savunmasında; kişinin özel olarak çekilen bir fotoğrafının olmadığı, tüm öğrencilerin katıldığı etkinliklerde çekilen bir fotoğraf olduğu ve velisinden izin alındığı, dönem sonunda da öğrencinin okul değiştirdiği, yeni bir paylaşım durumunun olmadığı, konu fotoğrafın aktif olarak kullanımda olmadığı belirtilmiştir.
tespit edilmiştir.
karar verilmiştir.
İlgili kişinin veri sorumlusunun işyerinde pilates eğitmeni olarak çalıştığı, iş ilişkisinin sona ermesinden sonra veri sorumlusunun sosyal medya hesabından ilgili kişinin fotoğraflarını kullanarak herkese açık şekilde paylaşımlarda bulunduğu, veri sorumlusuna başvurularak, bu paylaşımların kaldırılması, fotoğrafların ilgili kişiye iadesi ve yok edilmesi ve reklam veya başka bir sebeple sosyal medyada kullanılmamasının talep edildiği, veri sorumlusunun başvuruya cevabında fotoğrafların kullanılmasından vazgeçildiğini belirtmesine karşın sosyal medya hesabında yayınlanmaya devam ettiği, ilgili kişiye bilgilendirme yapılmadığı ve aydınlatma yükümlülüğünün yerine getirilmediği gerekçesiyle veri sorumlusu hakkında gerekli işlemlerin yapılması talep edilmiştir.
Başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş ancak veri sorumlusu tarafından savunma, bilgi ve belge talepli Kurum yazısına herhangi bir cevap verilmemiştir.
Ancak, veri sorumlusunun ilgili kişiye cevaben gönderdiği yazıda; ilgili kişinin şirket çalışanı olarak kendi isteğiyle reklam çekimlerinde yer alması nedeniyle ilgili kişiye ait fotoğrafların şirket tanıtımına ilişkin bölümlerde yer aldığı, fotoğrafların ilgili kişinin bilgisi ve izni ile çekildiği, ihtarname sonrası fotoğrafların kullanımından vazgeçildiği, bu yüzden şirket yönünden bir zarar oluştuğu ifade edilmiştir.
Kurul’un yaptığı inceleme sonucunda;
İlgili kişinin fotoğraflarının veri sorumlusuna ait sosyal medya hesabından kaldırılmaması nedeniyle veri sorumlusunun uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılması nedeniyle veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına ve veri sorumlusunun sosyal medya hesabında bulunan ilgili kişiye ait tüm fotoğrafların kaldırılması ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümleri uyarınca uygun usulle silinmesi/yok edilmesi, söz konusu fotoğrafların başka hiçbir mecrada kullanılmaması ve bu işlemlerin sonucundan Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına karar verilmiştir.
E) HUKUK BÜROLARI VE AVUKATLARA İLİŞKİN KARARLAR
değerlendirilmiştir.
Kurum’a ulaşan şikayet dilekçesinde özetle;
Banka’nın Kurum’a ilettiği cevap yazısında;
Veri sorumlusu Varlık Yönetim Şirketinden alınan cevap yazısında;
İlk avukattan alınan cevap yazısında; kısa bir dönem ilgili Bankanın vekillik görevini icra ettiği ve 2008 yılı içinde vekillik görevinden ayrılarak tüm dosyaları bankaya devir ve teslim ettiği, bu tarihten sonra bu dosyalarla ilgili hiçbir işlemin tarafı olmadığı ve icra takiplerine ilişkin ad, soyad, adres gibi bilgilerin tamamının Banka tarafından kendisine iletildiği belirtilmiştir.
İkinci avukattan alınan cevap yazısında ise; tahsili gecikmiş alacak dosyalarında yeni bir icra takip işleminin yapılmayıp bankaların daha önce açmış olduğu icra takipleri üzerinden işlemlere devam edilmekte olduğu, dolayısıyla yeni bir takip yapılmadığından bankalarca icra dosyası açılırken girilen bilgilerin dosyanın devamında kullanılmakta olduğu, Kişisel verilerin kendisine ait hukuk bürosu uhdesinde kayıt altında tutulmadığı, müvekkil Şirket ile yapılan yazışmalarda da müvekkil Şirketin hem şirket bünyesinde hem de Bankada tutulan bilgilerin silinmesini sağladığı bilgilerinin kendilerine iletildiği belirtilmiştir.
Üçüncü avukat tarafından ise Kurum yazısına herhangi bir cevap verilmemiştir.
A) Banka kapsamında yapılan inceleme neticesinde;
İlgili kişinin kişisel verilerinin Banka tarafından Kanun yürürlüğe girmeden önce işlendiği, akdedilen alacak temlik sözleşmesine dayanarak hukuka uygun olarak Varlık Yönetim Şirketine aktardığı, öte yandan ilgili kişinin 2017 yılında yaptığı başvuruya istinaden ilgili kişinin kişisel verilerinin Banka tarafından düzeltildiği dikkate alındığında Veri sorumlusu Banka hakkında Kanun kapsamında yapılacak bir işlem olmadığına ve Bankanın ilgili kişiye cevap vermemesinden dolayı Veri sorumlusu Bankanın ilgili kişilere yasal süre dâhilinde, Kanuna ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe uygun bir şekilde cevap vermesi konusunda azami dikkat göstermesi hususunda talimatlandırılmasına karar verilmiştir.
B) Varlık Yönetim Şirketi kapsamında yapılan inceleme neticesinde;
Varlık Yönetim Şirketinin ilgili kişinin gerçek borçlu olmadığına dair bilgileri 2017 yılı içerisinde gerek Bankadan gerekse de ilgili kişiden tarafına ulaşan bilgi ve belgeler vasıtasıyla edinmesine karşın ilgili kişinin kişisel verilerini işlemeye devam ederek borcun tahsili amacıyla ilgili kişinin aranması yoluna gidilerek 2019 yılı Haziran-Temmuz dönemine kadar veri tabanında, UYAP’ta ve TBB Risk Merkezindeki kayıtların düzeltilmediği, ilgili kişinin başvurusuna verilen yanıtta 2019 tarihinde TBB Risk Merkezindeki kayıtların güncellendiğinin ifade edilmesine karşın bu iddiayı açıklayıcı bir belgenin Kuruma iletilmediği, ilgili kişinin halen Varlık Yönetim Şirketine dosya bakımından borçlu olarak göründüğü, bu kapsamda Şirketin Kanunun 5 inci maddesinde yer alan işleme şartlarına dayanmaksızın ilgili kişinin kişisel verilerini işlediği dikkate alındığında, Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendi çerçevesinde kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli tedbirleri almadığı kanaatine varılması nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında Varlık Yönetim Şirketi hakkında idari para cezası uygulanmasına ve ayrıca Varlık Yönetimi Şirketinin ilgili kişinin TBB Risk Merkezinde bulunan bilgilerini güncellediğini ve ilgili kişinin Risk Raporunda bulunan ve esasen kendisine ait olmayan borç bilgilerinin silindiğine dair açıklayıcı bilgi, belge ve kayıtları, Kanunun 15 inci maddesinin (5) numaralı fıkrası uyarınca 30 (otuz) günlük yasal süre içerisinde Kurula iletmesi konusunda talimatlandırılmasına karar verilmiştir.
C) Avukatlar kapsamında yapılan inceleme neticesinde;
Avukatların veri sorumlusu sıfatını haiz olmadıkları dikkate alındığında haklarında Kanun kapsamında tesis edilecek idarî bir işlemin bulunmadığına karar verilmiştir.
Kurul, bu hususlara ilaven ilgili kişinin maddî ve manevî zarara uğratıldığı yönündeki iddialarına ilişkin olarak adlî yargıya başvuru hakkının saklı olduğu hususunda bilgilendirilmesine karar vermiştir.
F) REKLAM AMAÇLI SMS GÖNDERİLMESİNE İLİŞKİN KARARLAR
a) Veri sorumlusunun iddialarında yer verilen SMS içeriklerinin ilgili kişiye gönderilen SMS içerikleri ile uyuştuğu ve mesajda belirtilen MERSİS numarasının veri sorumlusuna ait olduğu ve
b) Veri sorumlusunun kendisine herhangi bir başvuru yapılmadığı iddiasına ilişkin şikâyetçi vekili tarafından veri sorumlusuna ihtarname gönderildiği ve ilgili barkod numaralı ihtarnamenin teslim alındığı anlaşılmıştır.
Yukarıdaki değerlendirmeler sonucu,
İlgili kişiye ait cep telefonuna açık rızası olmadan bir eğitim kurumu tarafından reklam/bildirim amaçlı SMS gönderilmesi üzerine, veri sorumlusuna yaptığı başvuruya yasal sürede yanıt alamadığı ifade edilerek eğitim kurumu hakkında gerekli işlemlerin yapılması istenmiştir.
Veri sorumlusundan istenen savunma metninde;
İlgili kişinin şikayetine ilişkin bahsi geçen şirkete bilgi verilmiş ve savunması istenmiştir. Anılan şirketin cevap yazısında;
A) Açık rıza kapsamında yapılan inceleme neticesinde;
B) Teknik ve idari tedbirler kapsamında yapılan inceleme neticesinde;
Veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına Kanuna aykırı şekilde gönderilen üçüncü kişilere ait kişisel veriler hakkında Kişisel Verileri Koruma Kurulunun 22/12/2020 tarihli ve 2020/966 sayılı İlke Kararı kapsamında; Kanunun 12 nci maddesinin (1) numaralı fıkrası gereğince veri sorumluları tarafından kendilerine bildirilen iletişim bilgilerinin doğruluğunu teyit edecek mekanizmaların oluşturulması adına gerekli idari ve teknik tedbirlerin alınması gerektiği,
C) Ticari elektronik iletiler kapsamında yapılan inceleme neticesinde;
Elektronik Ticaretin Düzenlenmesi Hakkında Kanunun 6 ncı maddesinin “Ticari elektronik iletiler, alıcılara ancak önceden onayları alınmak kaydıyla gönderilebilir.” hükmünü amir olduğu, Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmeliğin 7 nci maddesinin (1) numaralı fıkrasında “Onay, yazılı olarak veya her türlü elektronik iletişim aracıyla alınabilir. Onayda, alıcının ticari elektronik ileti gönderilmesini kabul ettiğine dair olumlu irade beyanı, adı ve soyadı ile elektronik iletişim adresi yer alır.”, (3) numaralı fıkrasında “Onayın elektronik ortamda alınması durumunda, onayın alındığı bilgisi, reddetme imkanı da tanınmak suretiyle, alıcının elektronik iletişim adresine aynı gün içinde iletilir.”, (10) numaralı fıkrasında ise “Onayın alındığına ilişkin ispat yükümlülüğü hizmet sağlayıcıya aittir.” hükümlerinin yer aldığı belirtilmiştir.
Bu değerlendirmelerinden hareketle Kurul;
İlgili kişinin maaş müşterisi olduğu veri sorumlusu banka tarafından sunulan 2 adet mobil uygulama üzerinden cep telefonuna tanıtım iletileri gönderildiği, veri sorumlusunun tanıtım iletileri gönderme işlemi sırasında ilgili kişinin açık rızasına başvurmadığı ve veri sorumlusu tarafından Kanunun 12 nci maddesi uyarınca kişisel verilerin hukuka aykırı biçimde işlenmesini önlemek adına gerekli teknik ve idari tedbirlerin alınmadığı, ilgili kişinin, tanıtım iletilerinden dolayı duyduğu rahatsızlığı dile getirmek üzere veri sorumlusuna yazılı başvuruda bulunduğu, ancak bu başvurunun cevabının gelmesinden önce veri sorumlusuyla çağrı merkezi üzerinden de iletişime geçerek tanıtım iletilerinin gönderilmesine konu olan kişisel verilerinin silinmesi talebini ilettiği, yapılan sözlü ve yazılı başvuruların ardından, ilgili kişinin veri sorumlusundaki hesabı ile kredi kartlarının tamamen iptal edildiği, ilgili kişinin veri sorumlusuna yaptığı ikinci başvuruda iptal sebebini sorduğu ve kendisine Kanun kapsamındaki talebi sebebiyle söz konusu iptal işleminin gerçekleştirildiği bilgisinin verildiği, hesabının silinmesi işleminin ilgili kişiyi maddi ve manevi zarara uğrattığı ve başlangıçtaki başvurusunun karşılanmamasının yanı sıra, hesabının kapatılmasının ikinci bir hukuka aykırılık teşkil ettiği belirtilerek veri sorumlusu hakkında gerekli incelemelerin yapılması ve idari para cezası uygulanması talep edilmiştir.
G) ÇALIŞANLARIN VERİ İHLALİNE İLİŞKİN KARARLAR
Veri sorumlusu tarafından İstanbul Havaalanı şubesinde dış hatlara gelen yolculara kontörlü hat satışı gerçekleştirilirken, müşterilerin rızası olmadan müşteri pasaport fotoğraflarının çekilerek çalışanlardan oluşturulan bir WhatsApp grubunda depolandığı ve üçüncü kişilerle paylaşıldığı, kendisinin de eski bir çalışan olarak gruba üye olduğu pasaport fotoğraflarının kendi telefonunda da depolandığını, bu yüzden veri sorumlusu hakkında gerekli denetimlerin yapılması talep edilmiştir.
Yapılan incelemeler çerçevesinde, savunması istenilen veri sorumlusunun avukatı aracılığıyla cevaben gönderilen yazıda;
Bunun üzerine, Kurum, veri sorumlusundan eğitimleri kanıtlayan nitelikte bilgi ve belge gönderilmesini talep etmiş ve veri sorumlusu tarafından yeni işe başlayan çalışanlara kitapçık verildiği, bu kitapçıkta yer alan oryantasyon konularından birinin de “kişisel verilerin korunması” olduğu, eğitimde müşterilerin kişisel verilerinin korunmasına ilişkin bilgilendirmelerin çalışanlara yapıldığı, çalışanların şahsi telefonlarını kullanmalarının yasak olduğu, bu nedenle şahsi telefonlarla fotoğraf çekilmediği ve ilgili kişilere ait kişisel verilerin WhatsApp’ta depolanmadığı, telekomünikasyon şirketinin portalı üzerinden yapılan bu işlemlerin veri sorumlusunca saklanmasının mümkün olmadığı belirtilmiştir.
Yapılan incelemeler sonucunda;
görülmüştür.
A) Teknik ve idari tedbirler kapsamında yapılan inceleme sonucunda;
Veri sorumlusu tarafından sunulan belgelere karşın ihbar ekinde, pasaport bilgilerinin bir grupta paylaşıldığının anlaşılması nedeni ile ihbara ilişkin olarak veri sorumlusu Şirketin Kanunun 12 nci maddesinin (1) numaralı fıkrası kapsamında kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı ve Kanunun 12 nci maddesinin (3) numaralı fıkrası kapsamında yer alan veri sorumlusunun, kendi kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorunda olduğu hükmüne aykırı harekete ettiği kanaatine varıldığından veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına karar verilmiştir.
B) Veri ihlali kapsamında yapılan inceleme sonucunda;
Veri sorumlusunun daha önce bir çalışanın müşteri verilerini sisteme doğru işlememesinden doğan cezaların telekomünikasyon şirketi tarafından veri sorumlusuna rücu edildiği, yine söz konusu çalışana verildiği anlaşılan uyarı yazısında, çalışanın Kişisel Verilerin Korunması Kanununa aykırı davranışlarının kamera ile tespit edildiği, kişinin müşteri kimlik resimlerinin kaydını şahsi cep telefonunda muhafaza ettiğinin anlaşıldığına yönelik ifadelerin yer aldığı ve söz konusu çalışandan kaynaklı olarak veri sorumlusu bünyesinde bir veri ihlali yaşandığı anlaşılmış olup, söz konusu ihlal kapsamında Kurula yapılmış bir bildirim olmadığı dikkate alındığında veri sorumlusu tarafından Kanunun 12 nci maddesinin (5) numaralı fıkrasına uygun hareket edilmemiş olması nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında veri sorumlusu hakkında idari para cezası uygulanmasına karar verilmiştir.
C) Türk Ceza Kanunu kapsamında yapılan inceleme sonucunda;
Türk Ceza Kanununun 136 ncı maddesinde düzenlenen “Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.” hükmü gereğince ihbara konu aykırılıkların sorumluları hakkında Türk Ceza Kanunu kapsamında ihbaren Cumhuriyet Başsavcılığına bildirimde bulunulmasına karar verilmiştir.
Kuruma intikal eden şikâyet dilekçesinde özetle; ilgili kişinin kamu kurumu personeli olarak görev yapan, boşanma sürecinde olduğu eşi tarafından görevi kötüye kullanmak suretiyle kendisine erişim yetkisi verilen bir sistem üzerinden, maaş bilgilerinin sorgulandığı, boşanma davasına ilişkin yargılama sürecinde talep edilmemesine rağmen bu bilginin mahkeme ile paylaşıldığı ifade edilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.
Veri sorumlusu kamu kurumu yazısında;
İlgili kişinin kişisel verisinin, veri sorumlusu bünyesinde çalışan bir personel tarafından tanımlanmış hizmetlerin ve yasal mükellefiyetlerin yerine getirilmesi dışında başka bir amaçla kullanılması suretiyle işlenmesinin Kanunun 5 inci maddesinde yer alan işleme şartlarından birine dayanmaması nedeniyle hukuka aykırı olduğu ayrıca Kanunun 4 üncü maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak işlenmesi ilkesine aykırı bir veri işleme faaliyetinin gerçekleştiği, bu kapsamda söz konusu faaliyetinin Kanunun 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil ettiği değerlendirildiğinden Kanunun 18 inci maddesinin (3) numaralı fıkrası uyarınca veri sorumlusu bünyesinde görev yapan söz konusu personel hakkında disiplin hükümlerine göre işlem yapılması, öte yandan kişisel verilere erişim yetkisi bulunan personelin söz konusu verilere amacı dışında erişmesinin önlenmesi hususunda 31/05/2018 tarih ve 2018/63 sayılı Kişisel Verileri Koruma Kurulu İlke Kararı da dikkate alınarak gerekli tedbirlerin alınması ve yapılacak işlemlerin sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.
İlgili kişinin, şikâyet edilen veri sorumlusu banka bünyesinde müdür yardımcısı pozisyonunda çalışmakta olan eşi ile boşanma davasının mevcut olduğu, bu süreçte şikâyet edilen banka aracılığıyla, müvekkiline ait kişisel veri niteliğinde bilgilerin sorgulandığı ve bu bilgilerin boşanma davası dosyasına sunulduğu, bahse konu evrakın, müvekkilinin geçmiş yıllara ilişkin karşılıksız çek bilgileri ve yine müvekkili hakkındaki tedbir kararlarına ilişkin olduğu, bu bilgilerin ancak müvekkilinin izin ve onayı dâhilinde sorgulanabileceği, söz konusu sorgulamanın banka aracılığıyla yapılmış olmakla kalmayıp müvekkilinin kişisel verilerinin, kişisel çıkar amacıyla mahkemeye sunulmak suretiyle paylaşıldığı, şikâyet edilen veri sorumlusu bankaya aykırılığı gidermesi ve söz konusu durumdan doğan zararları tazmin etmesi amacıyla iadeli taahhütlü başvuru yapılmasına rağmen 30 günlük yasal süre içerisinde herhangi bir cevap alınamadığı ifade edilerek, veri sorumlusu banka hakkında gerekli işlemlerin yapılması talep edilmiştir.
Veri sorumlusu Banka savunmasında;
İlgili kişinin kişisel verisi niteliğindeki kimlik, müşteri işlem ve finansal bilgilerinin veri sorumlusu bünyesinde çalışan kişi tarafından sorgulanıp mahkemeye sunulması nedeniyle söz konusu kişisel verilere kanuni olmayan yollarla başkaları tarafından erişim sağlandığı, Kurulun 31.05.2018 tarih ve 2018/63 sayılı “Veri Sorumlusu Nezdindeki Kişisel Verilere Erişim Yetkisi Bulunan Personelin Yetkisi ve Amacı Dışında Söz Konusu Verileri İşlemesi Hususunun Değerlendirilmesine İlişkin İlke Kararı”nda da düzenlenen bu hususun Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmadığının bir göstergesi olduğu dikkate alındığında, veri sorumlusu Banka hakkında idari yaptırım uygulanmasına ve veri sorumlusunun kişisel verilerin güvenliğini tesis etmeye yönelik gerekli teknik ve idari tedbirleri aldığı hususunda açıklayıcı belgeleri Kuruma iletmesi hususunda talimatlandırılmasına karar verilmiştir.
Kişisel verilere kanuni olmayan yollarla başkaları tarafından erişim sağlanması halinde Kanunun 12 nci maddesinin (5) numaralı fıkrasında düzenlenen hüküm gereği bu durumun en kısa sürede ilgilisine ve Kurula bildirilmesi gerektiği hususunda veri sorumlusuna hatırlatmada bulunulmasına karar verilmiştir.
Türk Ceza Kanununun “Verileri hukuka aykırı olarak verme veya ele geçirme” başlıklı 136 ncı maddesinde yer alan suçların işlenmiş olabileceği dikkate alınarak, Türk Ceza Kanununun 136 ncı maddesi çerçevesinde ilgili kişinin kişisel veri niteliğindeki kimlik, müşteri işlem ve finansal bilgilerini (geçmiş yıllara ilişkin karşılıksız çek ve tedbir kararı bilgileri) sorgulayıp mahkemeye sunan veri sorumlusu bünyesinde çalışan şahıs hakkında gerekli hukuki işlemlerin tesisi için konunun Cumhuriyet Başsavcılığına bildirilebileceği yönünde ilgili kişinin bilgilendirilmesine karar verilmiştir.
H) DİĞER KARARLAR
İlgili kişinin “…com.tr” adresinden ürün sipariş verdiği, bu işlem ve veri sorumlusunun e-bültenine kayıt esnasında kişisel verilerin işlenmesine dair bir aydınlatmanın sunulmadığı, hangi verilerin ne amaçla işlendiği, ne kadar süre saklandığı konusunda veri sorumlusundan süresi içinde alınan cevap yazısının yeterli bulunmadığı zira;
Veri sorumlusu tarafından Kurum’a iletilen savunma metninde; Kanun’un yürürlüğe girmesiyle Politika metninde iyileştirmeler yapıldığı, ilgili kişinin belirli ve açık olmadığını ileri sürdüğü aydınlatma metninin yeniden düzenlenip daha açık bir anlama kavuşturulduğu, IP, Çerez gibi verilere ilişkin açıklamaların aydınlatma metninde yer aldığı, veri sorumlusunun internet sitesinde ayrıca Çerez Politikasına da yer verildiği, Mesafeli Satış Sözleşmesi gereği ilgili kişinin siparişinin ulaştırılması için zorunlu olarak işlenen ve kargo firmasına aktarılan veriler dışında, herhangi bir veri paylaşılmadığı ifade edilmiştir.
Aydınlatma yükümlülüğü kapsamında yapılan inceleme neticesinde;
Kurul’un değerlendirmeleri sonucunda;
Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ edilmesi, bu kararın tebliğden itibaren en geç 30 gün içinde yerine getirilmesi hükmü uyarınca, veri sorumlusunun söz konusu hukuka aykırılıklarının giderilmesi ve sonucundan Kurul’a bilgi verilmesi hususlarında talimatlandırılmasına karar verilmiştir.
Veri sorumlusu bir banka ile ilgili kişi arasındaki ilişkinin 22.11.2003 tarihinde, müşteri numarası alınmasıyla kurulduğu, son işlem tarihinin de bu tarih olduğu, veri sorumlusu ile ilgili kişinin ilişiğinin 16 yıl önce kesilmesine rağmen, kişisel verilerinin veri sorumlusu tarafından halen saklandığı, ilgili kişiye halen SMSler gönderildiği, kredi kartı isteyip istemediğine ilişkin telefon aramalarının yapıldığı, veri sorumlusuna başvuru yapıldığı, verilen yanıtın süresinde yapılmadığı ve yetersiz olduğu, kişisel verilerinin yurt dışına aktarılabildiği hususuna yer verildiği, bu konuda ilgili kişinin açık rıza vermediği, yurt dışına veri aktarım istisnalarından yararlanıldığına dair bir bilgi verilmediği, 2003 yılında veri sorumlusu ile yapılmış sözleşmenin sona ermesine rağmen ilgili kişinin kişisel verilerinin silinip silinmeyeceğinin açıkça belirtilmediği ve bu bilgilerin 10 yıl daha saklanmasının mevzuata aykırı olduğu belirtilerek veri sorumlusu hakkında Kanun kapsamında gerekli tedbirlerin alınması talep edilmiştir.
Veri sorumlusu bankanın Kurum’a iletilen savunma yazısında;
Bu değerlendirmeler sonucunda;
İlgili kişinin iş sözleşmesinin feshedildiği tarihe kadar veri sorumlusu şirketin bir çalışanı olduğu, iş sözleşmesinin haksız olarak sona erdirildiği, bu süreçte şahsına ait ve ailevi özel eşyalarına el konulduğu, bilgisayarını habersiz aldığını, e-posta hesabının kapatıldığı, şahsına ait harici hard diskinin alındığı, özel bilgi ve belgeleri, banka bilgileri ve şifreleri ile fotoğraflarının ekrana yansıtılmak suretiyle odasında bulunan kişilerce izlendiği ifade edilerek gerekli incelemenin yapılması talep edilmiştir.
Veri sorumlusunun savunma yazısında;
karar vermiştir.
Yayınlara dön