A-

A+

KİŞİSEL VERİLERİ KORUMA KURUMU TARAFINDAN 17.12.2021 TARİHİNDE YAYINLANAN KARAR ÖZETLERİ

17 Aralık 2021 tarihinde Kişisel Verileri Koruma Kurulu tarafından 19 tane karar yayımlanmıştır. Bu kararları kategorize ederek aşağıdaki başlıklarda özetledik. Buna göre, kararların bir kısmı veri sorumlusu-veri işleyen kavramını incelerken, bir kısmı da ilgili verilerin üçüncü kişilerle paylaşılmasına, çalışanların veri ihlali konusuna, fotoğraf verisinin kullanılmasına ve reklam amaçlı SMS gönderimine dikkat çekmiştir. Buna ilaveten, kararların bir kısmı da sektör bazında ayrıma giderek sigorta şirketlerinin ve hukuk bürolarının veri işleme süreçlerine değinmiştir. Hazırladığımız özetleri bilginize sunuyoruz.

A) VERİ SORUMLUSU-VERİ İŞLEYEN KAVRAMLARINA İLİŞKİN KARARLAR

  1. “İlgili kişinin cep telefonu numarasının kampanya adı altında bir dijital platform bayisi tarafından edinilmesi, işlenmesi ve rızası olmaksızın arama yapılması” hakkında Kişisel Verileri Koruma Kurulunun 04/06/2021 tarih ve 2021/548 sayılı Karar Özeti

İlgili kişi Kuruma ilettiği şikayetinde özetle; şikayet olunan dijital platform ile bir ilişkisinin olmadığı halde, ilgili kişinin 0850’li bir çağrı merkezinden devamlı aranarak platforma üye olması yönünde pazarlama yapıldığı, ilgili kişinin dijital platforma yaptığı başvuruya verilen cevapta, ilgili kişinin müşteri olarak bir kaydının bulunmadığı ve kişisel verisinin nasıl elde edildiği, nerelerde kullanıldığına dair bir yanıt alınamamasından dolayı şirkete cezai yaptırımın uygulanması talep edilmiştir.

Dijital platform tarafından Kuruma ulaştırılan cevap yazısında;

  • İlgili kişinin hiçbir şekilde şirketin müşterisi olmadığı, şirket ile bir ilgisinin tespit edilemediği,
  • Şikâyet edilen numaranın, dijital platformun çağrı merkezi numarasının olmadığı; ancak “…..Expert” olarak faaliyet gösteren bir bayiye tahsis edildiği,
  • İlgili kişinin adının sistemlerde hiçbir şekilde kayıtlı olmadığından dolayı, kişisel verisinin nereden ve nasıl temin edildiğinin bilinmediği ve aramanın kendilerinin bilgi ve izni olmadan yapıldığı

ifade edilmiştir.

Başlatılan incelemede, dijital platformdan ilgili kişiyi aradığı iddia edilen bayi ile şirketleri arasındaki ilişkiyi tanımlayan bilgi ve belgelerin Kuruma iletilmesi talep edilmiştir.

Bayi Kuruma iletmiş olduğu yazıda;

  • “….Expert” olarak görev yürüten bayiye ürün ve hizmetlerin tanıtımı, pazarlama ve satışı, abonelik, montaj gibi satış sonrası hizmetler konusunda görev ve yetki tevdi edildiği,
  • Bayiyle yapılan abonelik sözleşmesi ve bayiliğin iptaline ilişkin e-posta çıktısının yazılarına eklendiği,
  • Bayinin kullandığı herhangi bir sistemin dijital platform tarafından kurulmadığını ve bayilerin bayilik sözleşmesindeki görev ve yetkiler kapsamında kendisine sağlanan kullanıcı adı ve şifre bilgileri ile dijital platformun CRM sistemine erişerek potansiyel müşteri oluşturabildiği,
  • İlgili kişiye ilişkin bir kayda rastlanmadığı için kişisel verilerinin nasıl ve ne şekilde elde edildiği sorularını cevaplayamadıkları

ifade edilmiştir.

Kurul yaptığı incelemede;

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun 3 üncü maddesinde “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi; “veri sorumlusu”nun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi; ve “veri işleyen”in ise veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlandığı,
  • Veri işleyenin; veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlandığı, buna göre veri işleyenin, veri sorumlusu adına, ondan aldığı yetki ve talimata göre kişisel veri işlemekte olduğu, bu minvalde “veri işleyen” sıfatının kazanılabilmesi için veri işleyenin, veri sorumlusunun idarî yapısından ayrı bir hukukî varlığının olması; bir başka diğer deyişle, veri sorumlusunun birimleri içerisinde bulunmaması gerekmekle birlikte veri işleyenin, veri sorumlusundan ayrı bir hukuk kişisi olarak veri sorumlusunun talimatı, denetimi ve yetkilendirmesi dâhilinde kişisel veri işleme faaliyeti yürüteceği,
  • Bayi ve dijital platform arasındaki sözleşme uyarınca, dijital platformun veri sorumlusu, bayinin ise veri işleyen olarak belirlendiği görülmekte ise de, bu olayda bayinin veri işleyen durumundan çıkarak veri sorumlusu haline geldiği; çünkü dijital platformun merkezi CRM Sisteminde müşteri veya potansiyel müşteri olarak kaydı bulunmayan ilgili kişiyi dijital platformun talimatı veya bilgisi olmadan aradığının anlaşıldığı, bu telefon numarasının bayiye dijital platform tarafından iletilmediğinden bayinin veri işleyen olarak veri sorumlusunun denetimi ve kontrolü altında kişisel veri işleme faaliyeti yürüttüğünden söz edilemeyeceği ve bayinin kendi iradesiyle ve dijital platformdan bağımsız olarak ilgili kişinin açık rızasına veya Kanunun 5 inci maddesinin (2) numaralı fıkrasında yer verilen işleme şartlarına dayanmaksızın ilgili kişinin kişisel verisi niteliğindeki telefon numarasını aramak suretiyle kişisel veri işleme faaliyetinde bulunmasından ötürü veri sorumlusu sıfatını haiz olduğu değerlendirilmiştir.

Tüm bu değerlendirmelerinden hareketle Kurul;

İlgili kişinin kişisel verisi olan telefon numarasının hukuka aykırı elde edildiği ve işlendiği dikkate alındığında Kanunun 12 nci maddesinin (1) numaralı fıkrasında yer alan teknik ve idari tedbirleri almayan veri sorumlusu bayii hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idarî para cezası uygulanmasına karar vermiştir.

  1. “Bir sigorta şirketi tarafından işlenen kişisel verilerin üçüncü kişiye aktarılması ve ilgili kişiye veri aktarımına ilişkin aydınlatma yapılmaması” hakkında Kişisel Verileri Koruma Kurulunun 05/04/2021 tarih ve 2021/333 sayılı Karar Özeti

Maliki olduğu aracı ile geçirdiği trafik kazası sonrası veri sorumlusu sigorta şirketi tarafından kasko poliçesi kapsamında hasar dosyası açıldığı, bununla birlikte veri sorumlusunun çağrı merkezini aradığında aracının pert süreci işlemlerinin üçüncü bir şirket tarafından yapıldığı ve bu şirketin kendisi ile iletişime geçeceğinin söylendiği, söz konusu kasko poliçesinde ve sigorta genel şartları mevzuatında pert işleminde ya da herhangi bir hasar halinde hasarın ya da aracın rayiç değerinin ve sovtaj değerinin tespitinin tarafsız ve bağımsız sigorta eksperince yapılacağının belirtildiği, bununla birlikte veri sorumlusu tarafından üçüncü kişi şirket ile onayı ve bilgisi olmadan kendisine ait aracın kaza fotoğraflarının, kimlik bilgilerini de içeren ruhsatın ve iletişim bilgilerinin paylaşıldığı, ancak üçüncü şirketin veri sorumlusu ile yapılan sözleşmenin tarafı olmadığı, sözleşmede adının geçmediği, rayiç tespiti ve sigortacılık işlemlerinin ilgili şirket ile yürütülmesinin poliçeye ve sigortacılık mevzuatına aykırı olduğu ve poliçe kapsamında kişisel verilerinin sadece sigorta eksperi ile paylaşılabileceği, veri sorumlusu tarafından kişisel verilerinin işlenmesinde onay istenmediği ve bildirim yapılmadığı, ayrıca konuya ilişkin veri sorumlusuna yapmış olduğu başvuruya cevap verilmediği ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Veri sorumlusu sigorta şirketi savunmasında;

  • Şirketlerinin sigortacılık faaliyetlerini gerçekleştirmek ve mevzuattan doğan yükümlülüklerini yerine getirmek amacıyla çeşitli tedarikçi şirketler ile hizmet satın alımı yoluyla iş birliği yaptığı, bu hizmetlere ilişkin usul ve esasların düzenlendiği Sigortacılık Destek Hizmetleri Hakkında Yönetmeliğin “Hizmet konuları”  başlıklı 4 üncü maddesinin (h) fıkrasında sovtaj yönetimi hizmetlerinin alınabilecek destek hizmetleri arasında sayıldığı,
  • Bu çerçevede üçüncü kişi şirket ile Ağır Hasarlı Araç Satış Sözleşmesi düzenlendiği, söz konusu sözleşmenin 13.9. maddesinde sigortalı ya da üçüncü kişilerin kişisel verilerinin Kanun ve ilgili mevzuata göre saklanabileceği, toplanabileceği, işlenebileceği ve aktarılabileceğinin düzenlendiği, yürütülen işlemlerin sigorta mevzuatına uygun olarak eksiksiz bir şekilde yerine getirildiği, kişisel verilerinin sadece sözleşmenin ifası için, ölçülü bir şekilde, hukuka, Kanun ve ilgili mevzuata uygun bir şekilde işlendiği,
  • Şikâyet konusu kişisel veri aktarımının poliçeden doğan hasarı tazmin etme yükümlülüğünü yerine getirmek amacıyla, Ağır Hasarlı Araç Satış Sözleşmesinde tanımlanan yükümlülüklere uygun şekilde işlemlerin yürütülmesi amacıyla şirketleri adına veri işleyen sıfatıyla üçüncü kişi şirkete aktarımının yapıldığı,
  • Şikâyete konu aktarım bakımından bilgilendirmenin verinin aktarılmasına başlanmadan önce ilgili kişiye gönderilen bilgilendirme formu aracılığıyla yapıldığı ve kişisel verilerinin poliçenin düzenlenebilmesi, risk değerlendirmesi yapılabilmesi, tazminat değerlendirmesi yapılabilmesi ve poliçedeki yükümlülüklerin yerine getirilebilmesi için şirketlerinin birlikte çalıştığı kuruluşlara aktarıldığı konusunda bilgilendirildiği,
  • Aktarım tarihinde internet sitelerinde yer alan aydınlatma metninde şirketlerinin kişisel verileri “Teklif, risk yönetimi, reasürans, hasar inceleme, tespit, tazmin, tazminat, tahsil, transfer, rücu, asistans hizmeti ve benzer süreçlerin yürütülmesi” amacıyla işlediği ve “Kişisel Verilerin Kimlere ve Hangi Amaçla Aktarılacağı” başlığı altında kişisel verilerin sayılan amaçlarla bağlantılı olarak aktarıldığı konusunda ilgili kişilerin bilgilendirildiği,
  • Güncel çağrı merkezi poliçe satış süreçlerinde de Kanun kapsamında aydınlatma ve bilgilendirmelerin kişisel verilerin elde edilmesi sırasında ilgili kişiye ön bilgilendirme yapılması suretiyle gerçekleştirildiği, ayrıca ilgili kişinin çağrı merkezi aracılığıyla kişinin internet sitesindeki aydınlatmaya yönlendirilmesi suretiyle katmanlı olarak bilgilendirme de yapıldığı

ifade edilmiştir.

Kurul yaptığı incelemede;

  • Kişisel verisi işlenen kişinin ilgili kişi ve kişisel verileri işleyen sigorta şirketinin veri sorumlusu, kişisel verilerin aktarıldığı üçüncü kişi şirketin ise veri işleyen olarak değerlendirildiği,
  • 5684 sayılı Sigortacılık Kanununun “Tanımlar” başlıklı 2 nci maddesinde destek hizmeti kuruluşunun “Bu Kanun kapsamındaki kuruluşlara, faaliyet alanlarıyla ilgili konularda yardımcı veya tamamlayıcı nitelikte hizmet veren kuruluşlar”, sigorta şirketinin ise, “Türkiye’de kurulmuş sigorta şirketi ile yurt dışında kurulmuş sigorta şirketinin Türkiye’deki teşkilâtı,” olarak tanımlandığı,
  • Sigortacılık Destek Hizmetleri Hakkında Yönetmelikte sigorta şirketlerinin ana faaliyet alanlarıyla ilgili konularda yardımcı veya tamamlayıcı nitelikte destek hizmeti alımına, destek hizmetlerinin verilişine ve bu hizmetleri sunan destek hizmeti sağlayıcılarına ilişkin usul ve esasların düzenlendiği, anılan Yönetmeliğin 4 üncü maddesinin birinci fıkrasının (h) bendinde ise sovtaj yönetimi hizmetlerinin dışarıdan temin edilebilecek destek hizmetleri arasında sayıldığı, 5 inci maddede destek hizmeti sunumunda hizmetin kimin adına sunulduğunun açıkça belirtileceği ve destek hizmeti sağlayıcılarının bu işleri nedeniyle bilgi sahibi oldukları sigortalılara, hak sahiplerine ve katılımcılara ait sırların korunmasına yönelik gerekli tedbirleri alacağının hüküm altına alındığı,
  • İlgili sigorta mevzuatı hükümleri uyarınca yardımcı veya tamamlayıcı nitelikteki sovtaj yönetimi hizmetlerinin destek hizmeti olarak alınabileceği, bu çerçevede ilgili kişinin, açık rızası alınmadan kişisel verilerinin işlenmesinin hukuka aykırı olduğu iddiasına ilişkin olarak, söz konusu veri işleme faaliyetinin sigorta poliçesindeki yükümlülüklerin yerine getirilebilmesini teminen Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan; “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.” veri işleme şartına dayanılarak gerçekleştirildiği anlaşıldığından söz konusu işlemde hukuka aykırılık bulunmadığı,
  • Veri sorumlusu ile veri işleyen üçüncü kişi Şirket arasında imzalanan Ağır Hasarlı Araç Satış Sözleşmesi incelendiğinde ise, üçüncü kişi şirketin veri sorumlusunun verdiği talimatlar doğrultusunda ve veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işlemesi sebebiyle veri işleyen olarak hareket ettiği anlaşıldığından, veri sorumlusu ile onun adına kişisel verileri işleyen arasında yapılan paylaşımların Kanunun 8 inci maddesi kapsamında ele alınamayacağı,
  • İlgili kişiye kişisel verisinin aktarımına ilişkin aydınlatma yapılmadığı iddiasına ilişkin olarak aydınlatma metni incelendiğinde; “Kişisel Verilerinizin Kimlere ve Hangi Amaçla Aktarılabileceği” bölümünde yer alan “Kişisel Verilerin İşlenme Amaçları” başlığı altında “sayılan amaçlarla ve bunlarla sınırlı olmamak üzere kişisel verilerin aktarılabileceğinin” belirtildiği tespit edilmiş olup söz konusu ibarenin Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin (Tebliğ) 5 inci maddesinin (1) numaralı fıkrasının (g) bendinde yer alan; “Aydınlatma yükümlülüğü kapsamında açıklanacak kişisel veri işleme amacının belirli, açık ve meşru olması gerekir. Aydınlatma yükümlülüğü yerine getirilirken, genel nitelikte ve muğlak ifadelere yer verilmemelidir.” hükmüne aykırı olduğu; ayrıca “Kişisel Veri Toplamanın Yöntemi ve Hukuki Sebebi” başlığı altında hangi kişisel verinin hangi veri işleme şartına dayanılarak işlendiğinin açıkça ortaya konulmadığı, bununla birlikte veri sorumlusunca daha sonra internet sitelerinde yayımlanan aydınlatma metninin güncellendiği ancak hangi kişisel verinin hangi veri işleme şartına dayanılarak işlendiğinin hala net olarak ortaya konulmadığı

belirtilmiştir.

  • Veri sorumlusunun kendisine yapılan başvuruları titizlikle kayıt altına alarak Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe uygun şekilde ilgili kişilerin başvurularına yanıt vermesi konusunda talimatlandırılmasına,
  • Şikâyete konu faaliyette veri sorumlusunun kişisel veri paylaşımı yaptığı üçüncü kişi şirketin veri işleyen olduğu dikkate alındığında, ilgili kişinin, açık rıza alınmadan kişisel verilerinin işlenmesinin hukuka aykırı olduğu iddiasına ilişkin olarak, söz konusu işlemenin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” veri işleme şartına dayanılarak gerçekleştirildiği anlaşıldığından söz konusu işlemde hukuka aykırılık bulunmadığına,
  • İlgili kişinin, tarafına aydınlatma yapılmadığı iddiasına ilişkin olarak, olay tarihinde yapılan aydınlatmanın usul açısından eksiklikler taşıdığı ancak sonrasında aydınlatma metninin güncellendiği, bununla birlikte söz konusu metinde hâlihazırda hangi kişisel verinin hangi veri işleme şartına dayanılarak işlendiğinin belli olmaması nedeniyle veri sorumlusunun metindeki bu eksikliğin giderilmesi hususunda talimatlandırılmasına karar verilmiştir.

B) SİGORTA ŞİRKETLERİNE İLİŞKİN KARARLAR

3.      “Sigortacılık ve bireysel emeklilik alanında faaliyet gösteren bir şirket tarafından ilgili kişiye ait kişisel verilerin hukuka aykırı olarak işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 09/06/2021 tarihli ve 2021/584 sayılı Karar Özeti

Sigortacılık ve Bireysel Emeklilik alanında faaliyet gösteren bir şirket tarafından ilgili kişinin cep telefonu numarasına “Sayın …., Sizinle görüşmemiz öncesinde, hakkımızdaki özet bilgilere aşağıda yer alan linki tıklayarak kolayca ulaşabilirsiniz… IPTAL: … Ret yazıp …’e gönderiniz. ONAY: … Onay yazıp …’e gönderiniz. Eğer bu mesaja 24 saat içerisinde tarafınızca herhangi bir <> yanıtı iletilmez ise, aranmak için olumlu yanıt verdiğiniz varsayılacaktır…” içerikli bir SMS gönderilmiş ve ilgili kişi tarafından bahsedilen şirket ile herhangi bir ilişkisinin olmadığı belirtilerek gerekli yaptırımın uygulanması talep edilmiştir.

Veri sorumlusu savunmasında;

  • İlgili kişinin adı soyadı ve telefon bilgisinin ürünlere ilişkin teklif araması yapılmadan önce gerçekleştirilen araştırmalar sonucunda bir Baronun resmi internet sitesi üzerinden temin edildiği ve alenileştirilen verilerin işlenmesinde korunması gereken hukuki yararın ortadan kalktığının belirtildiği, bu bağlamda ilgili kişinin söz konusu bilgilerinin, telefonla aranmadan önce zaten ilgili kişi tarafından alenileştirildiğinden açık rızası alınmadan işlenmesinin mevzuata aykırılık teşkil etmeyeceğinin değerlendirildiği,
  • Poliçelerinin tanıtım ve satışını yaparak satış sonrasında sigortacılık konusunda müşterilerine hizmet verdiği, gönderilen SMS’in de şirketlerinin faaliyet alanı ve meşru menfaatleri kapsamında ürün tanıtımı yapılmadan önce bu amaçla gönderildiği, veri sorumlusunun sigortacılık ve bireysel emeklilik alanında faaliyet gösteren, bu faaliyetleri sonucunda ticari kazanç elde etmeyi amaçlayan ve sektördeki diğer tüm şirketler gibi faaliyet alanında meşru çalışmalar yürüten bir tüzel kişilik olduğu, dolayısıyla şirketlerinin var olması için poliçe satışı yapmak zorunda olduğu,
  • İlgili kişinin, başvurusu üzerine veri sorumlusu nezdinden tutulan "Aranmayacaklar Listesi"ne alındığı, bunun ötesinde verilerinin hiçbir şekilde işlenmediği,
  • İlgili kişiye SMS gönderimi yapılan 18.06.2020 tarihinde henüz ticari elektronik ileti gönderiminden önce onay alınmasına ilişkin yürürlüğe giren bir zorunluluk bulunmadığı ve
  • Şirketlerinin satış politikası gereğince meşru faaliyet alanı çerçevesinde elde edilen kişisel veri olan iletişim bilgileri üzerinden müşteri adaylarına ticari elektronik ileti almak isteyip istemediğinin sorulması suretiyle veri sorumlusunun ilgili kişilere açık rıza gösterme hakkı sağladığı

ifade edilmiştir.

Kurul yaptığı incelemede;

  • Somut olayda, veri sorumlusu tarafından söz konusu cep telefonu numarasının elde edildiği kaynak olarak iddia edilen internet sitesinde her ne kadar ilgili kişinin cep telefonu numarasına rastlanılmasa da ilgili kişi tarafından bağlı bulunduğu Baronun resmi internet sayfasında söz konusu kişisel verinin alenileştirilmesi hususunda öncelikle ilgili kişinin söz konusu alenileştirme kapsamında iradesi olması gerektiği, bu anlamda, tek başına kişisel verinin kamuoyuna açık hale gelmesinin, örneğin herkesin görebileceği bir yerde olması ya da herkesin erişimine açık durumda bulunmasının alenileştirilmiş olması bakımından yeterli olmadığı; eylemin, ilgili kişinin iradesi ile de desteklenmesi gerektiği, söz konusu olay kapsamında, veri sorumlusu tarafından ilgili kişinin telefon numarasının ilgili kişinin kayıtlı olduğu Baronun internet sayfasından elde edildiği kanıtlanamamakla birlikte yapılan incelemede de bu numaraya rastlanılmadığı, dolayısıyla söz konusu cep telefonu numarasının ilgili kişinin kendi iradesi ile alenileştirildiği hususuna ilişkin kanıtlayıcı herhangi bir bilgi ve belgenin de mevcut olmadığı,
  • Veri sorumlusu tarafından iddia edildiği üzere Baronun internet sayfasından cep telefonu numarası elde edildiği kabul edilse dahi ilgili kişinin ne amaç ile kişisel verilerini alenileştirdiğinin tespitinin gerektiği, bu bağlamda ilgili kişinin kendisi tarafından alenileştirilen, bir başka ifadeyle herhangi bir şekilde kamuoyuna açıklanmış olan kişisel verileri işlenebilecek olup söz konusu olayda da avukatın avukatlık faaliyeti kapsamında kendisiyle iletişime geçilmesi amacıyla iletişim bilgilerini kamuya açık bir hale getirdiği, ilgili kişinin alenileştirme amacından farklı ya da bu amacı aşan şekilde kişisel veri işleme faaliyetinde bulunmalarının, başkaca bir işleme şartına dayanılmadığı sürece, Kanuna aykırılık oluşturacağı, bu çerçevede ilgili kişinin telefon numarasının reklam, pazarlama ve bilgilendirme amacıyla kısa mesaj gönderilmek suretiyle işlenmesinin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (d) bendinde yer alan “İlgili kişinin kendisi tarafından alenileştirilmiş olması” hükmü çerçevesinde değerlendirilemeyeceği sonucuna varıldığı,
  • Veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartı kapsamında ilgili kişinin kişisel verilerinin işlendiğine ilişkin açıklamaları ile ilgili olarak ise, veri sorumlusu tarafından reklam ve pazarlama amacıyla kişisel verilerin meşru menfaat kapsamında işlenmesinin kişilerin kişisel verileri üzerindeki denetiminin sağlanmasını engelleyeceği, öte yandan poliçe satışının gerçekleştirilmesi için kişisel veri işlenmesinin bir zorunluluk olmadığı ve başka yollarla da ticari anlamda kazanç sağlanmasının mümkün olduğu, salt ekonomik fayda elde etmek amacıyla kişisel verilerin reklam, pazarlama ve bilgilendirme amacıyla işlenmesinin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendinde yer alan “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hükmü çerçevesinde değerlendirilemeyeceği,
  • Veri sorumlusu tarafından finansal güvence danışmanlarının müşteri adayları ile iletişime geçmeden önce kontrol etmesi gereken bir “Aranmayacaklar Listesi” oluşturulduğu, kişisel verilerinin silinmesini veya kendisi ile iletişime geçilmemesini talep eden ilgili kişilerin verilerinin işlenmesinin böylelikle engellendiğinin iddia edildiği ancak herhangi bir veri işleme şartına dayanılmaksızın işlenmiş olan kişisel verilerin “Aranmayacaklar Listesi”ne alınmak suretiyle kişisel veri işleme faaliyetine devam edildiği,
  • İlgili kişiye SMS gönderimi yapılan 18.06.2020 tarihinde henüz ticari elektronik ileti gönderiminden önce onay alınmasına ilişkin yürürlüğe giren bir zorunluluk bulunmadığı belirtilse de, Elektronik Ticaretin Düzenlenmesi Hakkında Kanunun 05.11.2014 tarihinde, söz konusu Kanuna dayanılarak hazırlanan Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmeliğin ise 15.07.2015 tarihinde yürürlüğe girdiği, bu kapsamda şikayete konu ticari elektronik iletinin gönderilmiş olduğu 18.06.2020 tarihinde ticari elektronik ileti gönderilmesine ilişkin onay alınması zorunluluğunun bulunduğu

sonucuna varmıştır.

A) Aleni veri savunması ile ilgili olarak;

İlgili kişinin kişisel verisi niteliğindeki telefon numarasının kısa mesaj gönderilmek amacıyla işlendiği iddiası incelendiğinde ilgili kişinin mesleki yetkinliğinden faydalanmak için kendisine ulaşılmaya çalışılmadığı, aksine şirket faaliyetlerine ilişkin randevu talebi ile ilgili kişiye ulaşıldığı değerlendirilmekte olup bu çerçevede ilgili kişinin kişisel verisi niteliğindeki telefon numarasının reklam, pazarlama ve bilgilendirme amacıyla kısa mesaj gönderilmek suretiyle işlenmesinin Kanunun 5 inci maddesinde yer alan herhangi bir işleme şartına dayanmaksızın gerçekleştirildiği dolayısı ile veri sorumlusunun Kanunun 12 nci maddesinde yer verilen veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı davrandığına ve veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulamasına karar verilmiştir.

B) Verilerin imhası ile ilgili olarak ise;

Kanunun kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini düzenleyen 7 nci maddesi ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğe uygun bir biçimde ilgili kişinin kişisel verilerinin imha edilmesi ve imha edildiğine dair kanıtlayıcı belgeler (log kaydı, vs) ile birlikte bu hususta Kurula en geç otuz gün içinde bilgi verilmesi yönünde veri sorumlusu şirketin talimatlandırılmasına karar verilmiştir.

Son olarak, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin 6. maddesine uyum konusunda gerekli hassasiyetin gösterilmesi hususunun hatırlatılmasına karar verilmiştir.

4.      “Ölenin sigorta poliçesine yasal mirasçısının erişim talebinin sigorta şirketi tarafından reddedilmesi” hakkında Kişisel Verileri Koruma Kurulunun 18/03/2021 tarihli ve 2021/241 sayılı Karar Özeti

Kuruma intikal eden şikâyet dilekçesinde özetle; şikâyetçinin ölen eşi ile veri sorumlusu sigorta şirketi arasında Hayat Sigortası Sözleşmesi kurulduğu, iş kazası nedeni ile yapılması gereken ödeme miktarının tespit edilebilmesi için Poliçenin ibrazı gerekliliğinin hâsıl olduğu, veri sorumlusundan söz konusu Poliçenin tesliminin talep edildiği, ancak veri sorumlusunca ilgili kişiye gönderilen yazı ile Kişisel Sağlık Verileri Hakkında Yönetmeliğin 10 uncu maddesi uyarınca “avukatların, müvekkilin sağlık verilerini genel vekaletname ile talep edemeyeceği, ilgili kişinin özel nitelikli kişisel verilerin işlenmesi ve aktarılmasına ilişkin açık rızasını gösteren özel bir hükmün bulunmasının gerektiği ve bu sebeple yazı ekinde gönderilen vekaletnamenin genel vekaletname niteliğinde olduğundan KVKK ve ilgili yönetmelik uyarınca özel nitelikli kişisel veri olan sağlık verilerinin paylaşılmasının mümkün olmadığı” hususları belirtilerek talebin reddedildiği, bunun üzerine şikayetçinin kendi adına yeniden ihtarname düzenleyip veri sorumlusuna başvurduğu ancak veri sorumlusunca talebin karşılanmayarak hak yoksunluklarına sebep olduğu belirtilmiş ve gereğinin yapılması talep edilmiştir.

Veri sorumlusu sigorta şirketi savunmasında;

  • Şikâyetçinin eşinin sigorta ettireninin bir banka olduğu,
  • Veri sorumlusu sigorta şirketi ile sigorta ettiren arasında imzalanan sözleşme kapsamında, sigorta ettiren tarafından bildirilen SGK'lı çalışanların sigortalandığı (grup sigorta),  şikâyetçinin eşinin de bu çalışanlardan biri olarak sigortalandığı, bu kapsamda murislere ödeme yapıldığı ve veri sorumlusunun Poliçe kapsamındaki tüm yükümlülüklerini yerine getirdiği,
  • Şikâyet konusu Poliçenin müteveffanın eşi varise verilmemesinin hukuki gerekçesi ile ilgili olarak Poliçenin sigorta ettiren banka ile veri sorumlusu arasında imzalanan sözleşmeye istinaden düzenlenmiş olduğu, sigortalıların bu grup sözleşmesinin tarafı olmadığı ve sigortalılara ayrı ayrı Poliçeler yerine sertifikalar verildiği, bu kapsamda, müteveffanın sigortalılığını gösteren sertifikanın da veri sorumlusu tarafından şikâyetçi ile paylaşıldığı,
  • Anılan sözleşmede, sigorta ettiren bankaya ait ticari bilgilerin ve o sözleşmeyi imzalayanların kişisel verilerinin yer aldığı, dolayısıyla müteveffanın tarafı olmadığı Grup Hayat Sigortası sözleşmesinin ve buna istinaden düzenlenen Grup Poliçesinin de ne sigortalılarla ne de murisleri ile paylaşma yükümlülüklerinin bulunmadığı,
  • Kanunun 11 inci maddesi gereği ilgili kişinin kural olarak kendisiyle ilgili konularda veri sorumlusuna başvurabilme hakkına sahip olduğu ancak şikâyetçinin, eşine ilişkin talep etmiş olduğu Poliçe bilgileri, sertifika, teminat ödemesi vb. hususları eksiksiz paylaşılmış olmasına ve ortada kendisine ait Kanuna aykırı işlenen veri bulunmazken, sigortacılık mevzuatı açısından da tüm yükümlülüklerini yerine getiren veri sorumlusuna yönelik yapılan şikâyetin haksız olduğu 

ifade edilmiştir.

Kurul yaptığı incelemede;

A) Gerçek kişi kavramı ile ilgili olarak;

İlgili kişinin “kişisel verileri işlenen gerçek kişi” olarak tanımlandığı, 4721 sayılı Türk Medeni Kanununun 28 inci maddesinde ise kişiliğin, çocuğun sağ olarak tamamıyla doğduğu anda başladığı ve ölümle sona erdiği hükmünün yer aldığı, diğer taraftan; Kişisel Sağlık Verileri Hakkında Yönetmeliğin 4 üncü maddesinde; kişisel sağlık verisinin kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgiler olarak tanımlamalara yer verildiği; anılan Yönetmeliğin “Ölünün sağlık verilerine erişim” başlıklı 11 inci maddesinde ise ölmüş bir kimsenin sağlık verilerini almaya, veraset ilamını ibraz etmek suretiyle murisin yasal mirasçılarının münferit olarak yetkili olduğuna yer verildiği, ölen kişilere ilişkin kişisel veriler hakkında 6698 sayılı Kanunda doğrudan bir düzenleme bulunmamakla birlikte Kişisel Verileri Koruma Kurulunun “Ölü kişilerin verilerine, ölenin yakınlarının erişim talebi hakkındaki 18/09/2019 tarihli ve 2019/273 sayılı  kararında “(…) talep edilen kişisel verilerin talep eden gerçek kişiye ilişkin olmaması ve ölmüş kişiye ait olması sebebiyle talebin, Kanunun 11’inci maddesi kapsamında bir talep olarak değerlendirilmeyeceği kanısına varıldığından bu hususta 6698 sayılı Kanun kapsamında yapılacak bir işlemin olmadığına” karar verildiği,

Mirasçılar ile ilgili olarak;

Türk Medeni Kanununun 499 uncu maddesinde ise sağ kalan eşin, birlikte bulunduğu zümredeki oranlara göre mirasbırakana mirasçı olacağı; 599 uncu maddesinde “Mirasçılar, mirasbırakanın ölümü ile mirası bir bütün olarak, kanun gereğince kazanırlar. Kanunda öngörülen ayrık durumlar saklı kalmak üzere mirasçılar, mirasbırakanın aynî haklarını, alacaklarını, diğer malvarlığı haklarını, taşınır ve taşınmazlar üzerindeki zilyetliklerini doğrudan doğruya kazanırlar ve mirasbırakanın borçlarından kişisel olarak sorumlu olurlar.” hükmüne;  “Özel durumlar” başlıklı 601 inci maddesinin ikinci fıkrasında ise “Kendisine mirasbırakanın ölümünde ödenecek bir sigorta alacağı vasiyet edilen kimse, sigorta sözleşmesinden doğan istem hakkını sigortacıya karşı doğrudan doğruya kullanabilir.” hükmüne yer verildiği, bu doğrultuda ölen eşin kişiliğinin de ölümle birlikte sona erdiği dikkate alındığında her ne kadar hayat sigortası ölen eşin adına yapılmış ve kişilik ölümle son bulduğundan ölen kişinin kişisel verilerine ilişkin talepler Kanun kapsamında değerlendirilemeyecek olsa da, hayat sigortasının lehtarlarının ölen kişinin kanuni mirasçıları olduğu, bu çerçevede ilgili Sigorta Poliçesinin lehtarı olmaları bakımından mirasçıların ilgili kişi niteliği kazandığı, bu sebeple başvurucu için de kanuni mirasçılıktan kaynaklı olarak, Poliçeyi özetler belgede yer alan verilerin kişisel veri niteliği taşıdığı kanaatine varıldığı,

C) Grup sigortaları ile ilgili olarak;

Türk Ticaret Kanununun (Ticaret Kanunu) “Grup sigortaları” başlıklı 1496 ncı maddesinde “(2) Grupta yer alan her kişiye poliçe içeriğini özetleyen bir belge verilir.” hükmüne yer verildiği, bu kapsamda,  ilgili kişinin eşi adına yapılan sigortanın da grup sigortası olarak yapıldığı gözetildiğinde, 6698 sayılı Kanunun 11 inci maddesi kapsamında talep edilebilecek belgenin grup poliçesinin kendisi yerine “poliçeyi özetler nitelikteki belgenin/sertifikanın” olabileceği kanaatine varıldığı ve somut olayda veri sorumlusu tarafından “Poliçeyi özetler belgenin/sertifika”nın ilgili kişiye verildiği,

D) Kanun’un 11. Maddesinden hakların kullanımına ilişkin olarak;

Anayasanın 20 nci maddesinin (3) numaralı fıkrasında yer verilen düzenleme ile “(…) kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme (…)” hakkına sahip olduğu, Kanunun 11 inci maddesinin (1) numaralı fıkrasının (b) bendi çerçevesinde ise ilgili kişilerin kişisel verileri işlenmişse buna ilişkin bilgi talep etme hakkına sahip olduğu düzenlemelerinin yer aldığı, bu çerçevede ilgili kişinin eşinin kanuni mirasçılıktan kaynaklı olarak müteveffanın kişisel verisi niteliğindeki “poliçeyi özetler belgeye” erişme hakkının olduğu ve bu hakkını veri sorumlusuna karşı ileri sürebileceği dikkate alındığında veri sorumlusundan kişisel veri niteliğinde olan “poliçeyi özetler belgeyi” Kanunun 11 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında talep edebileceği ve somut olayda veri sorumlusu tarafından  “Poliçeyi özetler belgenin/sertifika”nın ilgili kişiye verildiği; bu anlamda Kanunun 11 inci maddesinden kaynaklanan erişim hakkının kişiye sağlandığı 

değerlendirilerek söz konusu şikayet hakkında Kanun kapsamında yapılacak bir işlem olmadığına karar verilmiştir.

C) İLGİLİ VERİLERİN ÜÇÜNCÜ KİŞİLERLE PAYLAŞILMASINA İLİŞKİN KARARLAR

5.      “İlgili kişinin kişisel verilerinin bir tur şirketi tarafından üçüncü kişilerle paylaşılması” hakkında Kişisel Verileri Koruma Kurulunun 18/03/2021 tarihli ve 2021/242 sayılı Karar Özeti

Kuruma bildirilen şikayet dilekçesinde özetle, ilgili kişinin veri sorumlusu tur şirketinden tatil paketi satın aldığı, veri sorumlusuyla paylaştığı tüm bilgilerin veri sorumlusu tarafından üçüncü bir kişiye aktarıldığı, bu üçüncü kişi tarafından bilgilerin bir mahkeme dosyasına ve baro şikayet dilekçesi ekine sunulduğu, veri sorumlusuna yapılan başvuruya verilen cevapta üçüncü kişiye bilgi verilmediği söylendiği ve mahkeme dosyasında nasıl yer aldığının açıklanmadığı görüldüğünden, kişinin rızası ve bilgisi dışında kişisel verilerini üçüncü kişiyle paylaşmış olan veri sorumlusu hakkında gerekli hukuki ve cezai işlemlerin yapılması talep edilmiştir.

Veri sorumlusu savunmasında;

  • Kanunun yürürlüğe girmesinden önce veri sorumlusunun sistemlerinde güvenlik ve önlem amaçlı log kayıtlarının tutulduğu, şirketleri ile rezervasyonun; çağrı merkezi, acente ya da internet sitesi üzerinden yapılabildiği, satış sürecinde oluşan kişi kartının, kişi ile iletişim kurulacak telefon numarası ve e-posta gibi iletişim bilgilerinin her seferinde tekrardan kişiden alındığı, böylelikle kişinin bir önceki seyahatinden farklı iletişim bilgileri ile (cep telefonu, e-posta vs.) yeni seyahatini planlayabildiği,
  • İnternet sitesinden gerçekleştirilen bir seyahat alım sürecinde kredi kartı bilgileri kaydedilmeden banka sistemleri üzerinden işlem yapıldığı ve onay sürecinde bankanın paylaştığı son 4 hane ile ilk 6 haneyi içeren bilgiler ile kişi adı gibi detayların ödeme kısmında saklandığı,
  • Çağrı merkezi ve acente sistemlerinin aynı altyapıda olduğu, çağrı merkezinden yapılan alımlarda kişi kartlarındaki iletişim bilgilerinin Kanuna uygun olarak alınan teknik ve idari tedbirler kapsamında tamamen boş geldiği ve satış personelinin/müşteri temsilcisinin gereken bilgileri seyahat özelinde misafirden talep ederek ve talebe uygun olarak doldurduğu, her bir rezervasyonda rezervasyon bilgilerinin iletileceği e-posta adresi ve telefon bilgilerinin güncellenmekte olduğu,
  • Her bir satış kanalından yapılan rezervasyonlar için öncelikle ödemenin alındığına dair “alındı belgesi”, ardından da rezervasyon detaylarını ve şartlarını içeren “voucher” düzenlendiği, “voucher”in rezervasyonun onayı için hem ilgili tesisle hem de misafirin rezervasyon detayları ile bu rezervasyonun şartlarına hakim olmasını sağlamak amacıyla misafir ile paylaşıldığı,
  • Log mekanizmasında yazılımların içindeki erişim, değişiklik ve görüntülemelerin tarih, saat ve kişi bazlı olarak kayıt yapıldığı, yaşanabilecek siber saldırılardan korunmak için güvenlik duvarı sistemlerinin bulunduğu, güvenli paylaşımı sağlamak amacıyla güvenli bir dosya paylaşımı uygulamasının kullanıldığı, bu suretle veri sorumlusu tarafından yapılan paylaşımların kişi bazlı olarak gözlemlenebildiği, verilerin veri sorumlusu şirket içerisinde kullanılan cihazlardan USB, e-posta gibi yöntemlerle dışarı çıkarılmasının gerektiğinde engellenmesi ve yine log kaydı alınması için bir “Veri Kayıp Önleme” (DLP) ürününün satın alınıp kurumsal ekiplerinde konumlandırıldığı

belirtilerek veri sorumlusu ile ilgili kişi arasında kurulan tüm iletişimin log kayıtlarına dair ekran görüntüleri Kurum ile paylaşılmıştır.

Kurul yaptığı incelemede;

  • Konaklama satın almaya ilişkin işlemlerin tur şirketinin kendisine ait çağrı merkezi üzerinden yürütülmesi; rezervasyon takibinin yapıldığı ve otel ile tur şirketi arasındaki ilişkiyi kuran satışa ilişkin tek bir satış altyapısının varlığı ve bunun kurulması ve yönetilmesinden tur şirketinin sorumlu olması sebebiyle tur şirketinin  Kanunun 3 üncü maddesinde tanımlanan veri sorumlusu sıfatını taşıdığı,
  • “Voucher” ve “alındı” belgelerinde kimlik bilgileri kategorisinde ilgili kişinin adı soyadı, doğum tarihi gibi kişisel verilerin yer aldığı,
  • Somut olayda, ilgili kişinin rezervasyonuna ilişkin log kayıtlarının ekran görüntülerine ilişkin detaylar incelendiğinde; rezervasyon işlemine ilişkin görüntüleme detaylarının 25 satırda takip edildiği, bunlardan ilk 16 adetinin ilgili kişinin veri sorumlusuna yaptığı başvuruya istinaden farklı saatlerdeki görüntüleme kayıtları olduğu, geri kalan 9 adetinin de Kurumdan gönderilen tebligata istinaden tekrar kontrol amaçlı olarak şirket içindeki görüntülemeye yönelik log kayıtlarının olduğu, her bir görüntüleme işlemine ilişkin olarak log kayıtlarının IP numarası dahil kullanıcı adını (USER_NAME) içerecek şekilde tutulduğu, yukarıda bahsi geçen 25 satırlık log kaydına ilişkin olarak 4 farklı kullanıcı tarafından rezervasyon ve sonrasındaki inceleme işlemlerine yönelik kaydın yer aldığının görüldüğü,
  • Ayrıca, “voucher” dokümanının acente üzerinden yapılan satışlarda misafire elden imza karşılığı verilirken, çağrı merkezi ve internet üzerinden gerçekleştirilen satışlarda rezervasyon sırasında bildirilen e-posta adresine gönderildiği, benzer şekilde “alındı” dokümanının konaklamanın yapılacağı tesis ile paylaşılmadığı ve sadece misafir ile e-posta üzerinden paylaşıldığı

belirtilmiştir.

Tüm bu değerlendirmelerinden hareketle Kurul;

Şikâyet dosyasında yer alan konaklamaya ilişkin detayları içeren “Alındı” belgesinin sadece konaklamayı satın alan tarafla paylaşılan bir doküman olduğu ve konaklamanın yapılacağı tesis ile paylaşılmadığı; veri sorumlusunun Kuruma sunduğu log kayıtlarında konaklamaya ilişkin gönderilen “voucher” ve “alındı” dokümanlarının sadece ilgili kişinin e-posta adresine iletildiğinin belirlendiği ve ilgili kişinin verilerinin veri sorumlusu tarafından paylaşıldığını gösteren somut bilgi ve belge bulunmadığından ilgili şikâyet hakkında Kanun kapsamında tesis edilecek bir işlem bulunmadığına karar verilmiştir.

  1. “Veri sorumlusu banka tarafından ilgili kişinin verilerinin yakınları ile paylaşılması” hakkında Kişisel Verileri Koruma Kurulunun 03/02/2021 tarihli ve 2021/79 sayılı Karar Özeti

İlgili kişinin veri sorumlusu Bankanın kredi kartını kullandığı, veri sorumlusu tarafından ilgili kişinin kredi kartı borcuna ilişkin ilgili kişinin ablası ve babasına ait telefon numaralarının arandığı, ilgili kişinin bu hususta veri sorumlusuna başvurarak ailesinin iletişim bilgilerine nasıl ulaşıldığı, kişisel verilerinin üçüncü kişilerle neden paylaşıldığı konularında bilgi talep ettiği, veri sorumlusunun verdiği cevapta, ilgili kişinin kredi kartı borcu bilgilendirilmesi için arandığı ancak ulaşılamadığında alternatif telefon numaralarından da ilgili kişiye ulaşılmaya çalışıldığının, veri sorumlusu ile ilgili kişi arasında yapılan görüşme sonucunda ilgili kişinin veri sorumlusu bünyesinde kayıtlı olan cep telefonu dışındaki diğer numaralardan aranmaması için gerekli sistemsel güncellemelerin tamamlandığının ifade edildiği belirtilerek veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Veri sorumlusu savunmasında;

  • İlgili kişi tarafından kullanılan kredi kartının gecikmeye girdiği ve bu hususa ilişkin ilgili kişinin vermiş olduğu iletişim numarasından arandığı ancak ulaşılamadığı,
  • İlgili kişiye bünyelerindeki iletişim numarasından ulaşmak mümkün olmayınca, sistemlerinde alternatif numara olarak tutulan ***10 numaralı telefon ile ***55 numaralı telefonların arandığı ve söz konusu numaralar ile yapılan görüşmelerde, ilgili kişinin kişisel verilerinin hiçbir şekilde üçüncü şahıslar ile paylaşılmadığı, sadece aranan kişilere, ilgili kişinin taraflarını geri araması için not bırakıldığı, yapılan görüşme kayıtlarına ilişkin dökümlerin yazıları ekinde Kuruma gönderildiği,
  • İlgili mevzuat uyarınca Risk Merkezince istenilen müşterileri ile ilgili her türlü bilgiyi vermeye yükümlü olduklarını ve bu doğrultuda, Risk Merkezi ile sözleşme imzalamaya yetkili olduğu, bu çerçevede, Risk Merkezi Yönetiminin, özel hukuk tüzel kişileri, kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları ve bunların üst kuruluşlarından aldığı bilgiler ile bilgi alışverişine yönelik imzalanan sözleşmeler kapsamında temin ettiği bilgileri, üyelerinin maruz kalacakları riskleri ölçmek, karşı tarafın mali gücünü düzenli olarak analiz etmek ve izlemek için ihtiyaç duydukları gerekli bilgileri dikkate alarak paylaştığı,
  • Risk Merkezi ile veri sorumlusu Banka arasında bu çerçevede bir gizlilik sözleşmesi imzalandığı, müşterilerinin, kredilendirme süreçlerinde kullanabilmek ve risk bilgilerini alabilmek amaçları ile Risk Merkezinden sorgulamalar yapıldığı, bu çerçevede, ilgili kişinin bünyelerinde kayıtlı olan telefon bilgilerinin, Risk Merkezinden yapılan sorgulama vasıtasıyla temin edilerek, ilgili kişiye ulaşılmak maksadı ile ve sadece bu amaçla sınırlı kalınarak kullanıldığı,
  • İlgili kişi ile yapılan görüşme sonucunda, ilgili kişinin talebi üzerine, ilgili kişi ile yakınlarının kişisel verisi olan ***10 ve ***55 telefon numaralarından iletişime geçilmemesi için, gerekli sistemsel güncellenmelerin gerçekleştirildiği

ifade edilmiştir.

Kurul yaptığı incelemede;

  • 5411 sayılı Bankacılık Kanununun 73 üncü maddesinde, (“Sıfat ve görevleri dolayısıyla bankalara veya müşterilerine ait sırları öğrenenler, söz konusu sırları bu konuda kanunen açıkça yetkili kılınan mercilerden başkasına açıklayamazlar. Bu yükümlülük görevden ayrıldıktan sonra da devam eder. Bankacılık faaliyetlerine özgü olarak bankalarla müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ait veriler, müşteri sırrı haline gelir. Diğer kanunların emredici hükümleri saklı kalmak kaydıyla, müşteri sırrı niteliğindeki bilgiler, bu maddede belirtilen sır saklama yükümlülüğünden istisna tutulan haller haricinde, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca müşterinin açık rızası alınsa dahi, müşteriden gelen bir talep ya da talimat olmaksızın yurt içindeki ve yurt dışındaki üçüncü kişilerle paylaşılamaz ve bunlara aktarılamaz. … Bu maddede belirtilen sır saklama yükümlülüğünden istisna tutulan hallerde yapılacak paylaşımlar da dahil olmak üzere, müşteri sırrı ve banka sırrı niteliğindeki bilgiler, sadece belirtilen amaçlarla sınırlı olmak ve ölçülülük ilkesine uygun olarak bu amaçların gerektirdiği kadar veriyi içermek kaydıyla paylaşılabilir…” hükmüne yer verildiği,
  • Bu çerçevede; veri sorumlusu tarafından ilgili kişinin kredi kartı borcuna ilişkin ilgili kişinin ablası ve babasına ait telefon numaralarının birkaç kere arandığı iddiası ile ilgili olarak, veri sorumlusundan alınan cevabi yazı ve ekindeki açıklamalar dikkate alındığında veri sorumlusu tarafından ilgilinin kişinin ablası ve babasının arandığı ikrar edilerek yapılan görüşme kayıtlarına ilişkin dökümlerin de ekte yer aldığı, konuşma içeriğinde müşteri temsilcisi tarafından Bankanın Genel Müdürlüğünden arandığı ve ilgili kişinin taraflarına dönüş yapmasının söylendiği görüldüğünden ilgili kişinin ablası ve babasının Risk Merkezi üzerinden temin edilen telefon numarası üzerinden aranması suretiyle ilgili kişinin banka ile münasebetinin yakınları ile paylaşılmasının Kanunun 5 inci maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanmaksızın gerçekleştirildiği

ifade edilmiştir.

Veri sorumlusu tarafından ilgili kişinin ablası ve babasının Risk Merkezi vasıtasıyla temin edilen telefon numarası üzerinden aranması suretiyle ilgili kişinin banka ile münasebetinin yakınları ile paylaşılmasının Kanunun 5 inci maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanmaksızın, hukuka aykırı olarak gerçekleştirildiği dikkate alındığında veri sorumlusunun Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendinde öngörülen “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğünü yerine getirmediği kanaatine varıldığından, veri sorumlusu hakkında, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına karar verilmiştir.

D) FOTOĞRAF VERİSİNİ KULLANMAYA İLİŞKİN KARARLAR

7.      “İlgili kişinin fotoğrafının öğrencisi olduğu okul tarafından kullanılması” hakkında Kişisel Verileri Koruma Kurulunun 09/06/2021 tarihli 2021/572 sayılı Karar Özeti

Kuruma intikal eden şikâyette özetle, ilgili kişinin öğrenci olarak öğretmenleriyle yaptığı görüşmede rızası dışında fotoğrafının çekildiği ve okul tarafından bastırılan ticari amaçlı broşürde fotoğrafının kullanıldığı, kendi internet sitesinde yayınlandığı, ilgili kişi veya velisinin açık veya zımni bir rızasının bulunmadığı, veri sorumlusuna yapılan başvurudan da tatmin edici cevap alınamadığından dolayı, veri sorumlusu okul hakkında gerekli hukuki işlemlerin yapılması talep edilmiştir.

Veri sorumlusu savunmasında; kişinin özel olarak çekilen bir fotoğrafının olmadığı, tüm öğrencilerin katıldığı etkinliklerde çekilen bir fotoğraf olduğu ve velisinden izin alındığı, dönem sonunda da öğrencinin okul değiştirdiği, yeni bir paylaşım durumunun olmadığı, konu fotoğrafın aktif olarak kullanımda olmadığı belirtilmiştir.

Kurul yaptığı incelemede;

  • Açık rızanın “Belirli bir konuya ilişkin olması”, “Rızanın bilgilendirmeye dayanması” ve “Özgür iradeyle açıklanması” şeklinde üç unsuru bulunduğu, bu kapsamda, veri işlemek üzere verilen açık rızanın geçerli olması için, açık rızanın öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak verilmesi gerektiği, veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması gerektiği, kişinin neye rıza gösterdiğini de bilmesi gerektiği, sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olması gerektiği, bu sebeple, bilgilendirmenin, veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmesi ve mutlaka verinin işlemesinden de önce yapılması gerektiği,
  • Açık rıza vermenin, kişiye sıkı sıkıya bağlı bir hak olduğundan, verilen açık rızanın geri alınabileceği, geri alma işlemi ileriye yönelik sonuç doğuracağından, açık rızaya dayalı olarak gerçekleştirilen tüm faaliyetlerin geri alma beyanının veri sorumlusuna ulaştığı andan itibaren veri sorumlusu tarafından durdurulması gerektiği, başka bir diğer deyişle, geri alma beyanının veri sorumlusuna ulaştığı andan itibaren hüküm doğurduğu,
  • Internet sitesinde yapılan incelemede şikâyete konu fotoğrafların olduğu broşürün halihazırda erişime açık şekilde yer aldığının görüldüğü,
  • Veri sorumlusu tarafından öğrencilerin kişisel verisi olan fotoğraflarının paylaşılmak suretiyle işlenmesine ilişkin “sosyal medya paylaşımı” konulu bir bilgilendirme metninin düzenlendiği, öğrenci velilerinden izin alınmasına yönelik bu metnin alt kısmında ayrı bir bölümün düzenlendiği, bu bölümde ise söz konusu sosyal medya paylaşım yazısının okunduğu ve okul bünyesinde yapılacak etkinliklerde çekilen fotoğraf ve videoların kullanılmasına izin verildiği ya da verilmediğine ilişkin iki seçeneğin sunulduğu; somut olayda ise şikayetçi veli tarafından ilgili kişinin fotoğraflarının belirtilen amaçlar kapsamında kullanılmak suretiyle işlenmesine izin verildiğine ilişkin seçeneğin seçildiği ve belgenin ıslak imza ile imzalanarak açık rıza verildiğinin görüldüğü

tespit edilmiştir.

Tüm bu değerlendirmelerinden hareketle Kurul;

  • Şikayet konusu fotoğrafların paylaşılmasına yönelik veri işleme faaliyetinin Kanunun 5 inci maddesinin (1) numaralı fıkrasında yer alan ilgili kişinin/velisinin açık rızası hukuki dayanağı çerçevesinde gerçekleştirildiği kanaatine varılmış olup ilgili kişinin fotoğraflarının haksız ve hukuka aykırı olarak ticari amaçla bastırılıp dağıtıldığı ve internet sitesinde paylaşıldığı iddiası hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına,
  • Veri sorumlusu tarafından ilgili kişinin talepleri hakkında yeterli açıklamaya yer verilmediği dikkate alındığında Veri sorumlusunun gerekli dikkat ve özeni göstermesi gerektiği konusunda talimatlandırılmasına,
  • Şikâyet konusu fotoğraftaki ilgili kişinin görüntüsünün ayrılabilir olup olmadığının veri sorumlusunca değerlendirilerek buzlanması ya da imha edilmesi ve sonucundan Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına,
  • Veri sorumlusuna tebliğ edilmesinden sonra geçerli olmak üzere, veri sorumlusu tarafından okul bünyesinde çekilen fotoğraf ve videoların çeşitli mecralarda paylaşılmasına ilişkin daha önce hazırlanmış olan aydınlatma ve açık rıza metinlerinin okulu tanıtıcı basılı yayınlarda/broşürlerde, web sitesinde veya sosyal medya hesaplarında paylaşılmasına yönelik her bir işleme faaliyeti özelinde ilgili kişilere ayrı ayrı seçenek sunulmak suretiyle revize edilmesi gerektiği yönünde veri sorumlusunun bilgilendirilmesine

karar verilmiştir.

8.      “İlgili kişinin fotoğraflarının veri sorumlusuna ait bir sosyal medya hesabında paylaşılması suretiyle gerçekleşen kişisel veri işleme faaliyeti” hakkında Kişisel Verileri Koruma Kurulunun 27/04/2021 tarihli ve 2021/422 sayılı Karar Özeti

İlgili kişinin veri sorumlusunun işyerinde pilates eğitmeni olarak çalıştığı, iş ilişkisinin sona ermesinden sonra veri sorumlusunun sosyal medya hesabından ilgili kişinin fotoğraflarını kullanarak herkese açık şekilde paylaşımlarda bulunduğu, veri sorumlusuna başvurularak, bu paylaşımların kaldırılması, fotoğrafların ilgili kişiye iadesi ve yok edilmesi ve reklam veya başka bir sebeple sosyal medyada kullanılmamasının talep edildiği, veri sorumlusunun başvuruya cevabında fotoğrafların kullanılmasından vazgeçildiğini belirtmesine karşın sosyal medya hesabında yayınlanmaya devam ettiği, ilgili kişiye bilgilendirme yapılmadığı ve aydınlatma yükümlülüğünün yerine getirilmediği gerekçesiyle veri sorumlusu hakkında gerekli işlemlerin yapılması talep edilmiştir.

Başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş ancak veri sorumlusu tarafından savunma, bilgi ve belge talepli Kurum yazısına herhangi bir cevap verilmemiştir.

Ancak, veri sorumlusunun ilgili kişiye cevaben gönderdiği yazıda; ilgili kişinin şirket çalışanı olarak kendi isteğiyle reklam çekimlerinde yer alması nedeniyle ilgili kişiye ait fotoğrafların şirket tanıtımına ilişkin bölümlerde yer aldığı, fotoğrafların ilgili kişinin bilgisi ve izni ile çekildiği, ihtarname sonrası fotoğrafların kullanımından vazgeçildiği, bu yüzden şirket yönünden bir zarar oluştuğu ifade edilmiştir.

Kurul’un yaptığı inceleme sonucunda;

  • Şikâyet konusu sosyal medya hesabında, ilgili kişinin paylaşılan fotoğraflarının yayınlanmaya devam ettiği ve hesaptan kaldırılmadığı,
  • Veri sorumlusunun savunma, bilgi ve belge talepli Kurum yazısına yasal süre içerisinde herhangi bir cevap vermemesi karşısında, ilgili kişinin söz konusu veri işleme faaliyeti açısından açık rızasının alındığına ilişkin herhangi bir somut bilgi veya belge edinilemediği için, veri sorumlusunun Kanunun 5 inci maddesi kapsamında herhangi bir kişisel veri işleme şartına dayanmaksızın ilgili kişinin kişisel verilerini hukuka aykırı şekilde işlemek suretiyle Kanunun 12 nci maddesinin (1) numaralı fıkrası kapsamında uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı,
  • İlgili kişinin talebi üzerine fotoğraflarının Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 12 nci maddesinin (1) numaralı fıkrasının (a) bendinde öngörülen otuz günlük yasal süre içinde silinmesi/ yok edilmesi gerektiği, yasal süre geçtikten sonra halen devam eden veri işleme faaliyetinin bu kapsamda yine hukuka aykırı olduğu belirtilerek yapılan değerlendirmede;

İlgili kişinin fotoğraflarının veri sorumlusuna ait sosyal medya hesabından kaldırılmaması nedeniyle veri sorumlusunun uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılması nedeniyle veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına ve veri sorumlusunun sosyal medya hesabında bulunan ilgili kişiye ait tüm fotoğrafların kaldırılması ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümleri uyarınca uygun usulle silinmesi/yok edilmesi, söz konusu fotoğrafların başka hiçbir mecrada kullanılmaması ve bu işlemlerin sonucundan Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına karar verilmiştir.

E) HUKUK BÜROLARI VE AVUKATLARA İLİŞKİN KARARLAR

9.      “Hukuk Bürosu tarafından ilgili kişinin kişisel verilerinin muhatabı ve tarafı olmadığı icra takibi ile ilgili işlemlerde hukuka aykırı olarak işlenmesi ve icra dosyasına ilişkin ilgili kişinin telefon numaralarına mesajlar gönderilmesi” hakkında Kişisel Verileri Koruma Kurulunun 11/03/2021 tarihli ve 2021/228 sayılı Karar Özeti

Kuruma gönderilen şikayette özetle, ilgili kişinin telefon numaralarına farklı tarihlerde muhatabı ve tarafı olmadığı icra dosyasıyla ilgili (alacaklı telekomünikasyon şirketi adına hareket eden) hukuk bürosu tarafından mesajlar gönderildiği, hem alacaklı telekomünikasyon şirketine hem hukuk bürosuna ilgili kişinin yaptığı başvuruya yasal sürede yanıt alamadığından dolayı şikayette bulunulmuştur.

Telekomünikasyon şirketinin gönderdiği cevap yazısında;

·        Mesajları ileten avukat ile telekomünikasyon şirketi arasında avukatlık sözleşmesi akdedildiği, bu sözleşme gereğince her türlü icra, takip, tahsilat işlemlerinin yürütüldüğü, avukatla paylaşılan tek bilginin borçlu tüzel kişisi bilgisi ve borç bilgisi olduğu,

  • Avukatın, hukuk bürosunda kendine özgü veri kayıt ortamında kendi belirlediği yöntemlerle ve vasıtalarla veri işleme faaliyetini gerçekleştirdiği, dolayısıyla şirket ile avukat arasında akdedilen vekâlet sözleşmesi uyarınca faaliyetlerini yürüten avukatın ayrı bir veri sorumlusu sıfatını haiz olduğunu,
  • İlgili kişinin başvurusuna cevap verilmemesine ilişkin şirketin web sitesinde yer alan ve Kanunun 10 uncu maddesi kapsamında oluşturulmuş aydınlatma metninde ilgili kişilerin Kanunun “ilgili kişinin hakları” başlıklı 11 inci maddesi kapsamında başvurularını iletebilecekleri adreslere yer verildiği, ilgili kişinin söz konusu aydınlatma metninde belirtilen adreslerine/ilgili kanallarına herhangi bir başvurusunun bulunmadığının tespit edildiği, bu sebeple bahse konu taleplerinin değerlendirilemediği 

ifade edilmiştir.

Telekomünikasyon şirketinin avukatı tarafından Kurum’a iletilen cevap yazısında ise;

  • İlgili kişi tarafından usulüne uygun olarak yapılan ve taraflarına tebliğ edilmiş bir başvurunun bulunmadığı, usulüne uygun bir tebligat yapılmadığından Kuruma şikâyette bulunulmayacağı ve şikâyetin incelenmesinin hukuken mümkün olmadığı,
  • Telekomünikasyon şirketi ile arasında yapılan vekalet sözleşmesi gereği tüm hukuki işlemlerin kendisi tarafından yürütüldüğü, şikayete konu icra dosyasında borçlu şirket hakkında yapılan araştırmada Ticaret Sicili Gazetesi üzerinden borçlu şirketin ortağı olarak ilgili kişinin ismine ulaşıldığı, Bilgi Teknolojileri Kurumu tarafından yetkilendirilmiş kuruluş vasıtasıyla ilgili kişinin telefon numarasına ulaşıldığı, borçlu şirket yetkililerine borcun bildirildiği, şirket borcundan dolayı ortakların sorumlu olduğu iddiasında bulunulmadığı, uzlaşı sağlamak amacıyla arandığı ve mesaj gönderildiğini, bunun müvekkilin hukuki menfaatlerini korumak adına hak arama hürriyeti kapsamında değerlendirmesi gerektiği

ifade edilmiştir.

Kurulun değerlendirmeleri sonucu alınan karar ile;

  • Kuruma iletilen yasal takip otomasyon sistemlerine ilişkin ekran görüntülerinde yalnızca borçlu olan tüzel kişinin bilgisinin yer aldığı, herhangi bir iletişim bilgisinin yer almadığı görüldüğünden alacaklı telekomünikasyon şirketinin şikâyete konu olayda veri sorumlusu sıfatını haiz olmadığı,
  • Bu doğrultuda veri sorumlusunun, vekil sıfatıyla taraflarına devredilen icra dosyası kapsamındaki veri işleme süreçlerinde serbestçe karar verme yetkisine sahip olan ve ilgili kişinin şikâyetine konu kişisel verilerinin işleme amaç ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan hukuk bürosu adına hareket eden ilgili avukat olduğu,
  • Avukatların müvekkilin hak ve menfaatlerini korumak amacıyla hareket ettiği durumlarda Avukatlık Kanunundan kaynaklanan yükümlülükleri ve yürütmekte olduğu icra işlemleri bakımından İcra İflas Kanunu ve ikincil mevzuat düzenlemelerinden kaynaklanan hukuki yükümlülüklerini yerine getirmek amacıyla borçluya ait bilgileri, kanuna uygun olarak işleme ve ilgili birim/mercilere bildirme yetkisi olduğu ve bu bağlamda işlediği kişisel verileri Kanunun 5 inci maddesinin (2) numaralı fıkrası çerçevesinde ilgili kişinin açık rızası olmaksızın işlemesinin kanuna uygun olduğu,
  • Veri sorumlusunun yazı ekinde ilettiği Ticaret Sicil Gazetesinden ilgili kişinin borçlu Şirketin ortağı olduğunun görüldüğü, ancak bu kapsamda yapılan incelemede, ilgili kişinin hissesini devrettiği, borçlu Şirket ortaklığının son bulduğu bilgisinin Ticaret Sicil Gazetesinde ilan edildiği ve Ticaret Sicil Gazetesi üzerinden yapılan araştırmada ilgili kişinin borçlu Şirket ortaklığının son bulduğu bilgisine de ulaşabileceği sonucuna varıldığı,
  • İlgili kişi tarafından gönderilen başvuru dilekçesi ve dilekçenin tebliğine ilişkin PTT Gönderi Takip belgesinin incelenmesi neticesinde, başvurusunun veri sorumlusuna teslim edildiğinin anlaşıldığı

değerlendirilmiştir.

Tüm bu değerlendirmeler sonucunda;

  • Alacaklı telekomünikasyon şirketinin veri sorumlusu sıfatını haiz olmadığı değerlendirildiğinden hakkında yapılacak bir işlem olmadığına,
  • Veri sorumlusu avukat tarafından herhangi bir ilgisinin bulunmadığı borçlu şirketin icra takibine ilişkin mesajlar gönderilmesi suretiyle ilgili kişinin kişisel verisi olan telefon numaralarının işlenmesinin Kanunun 5 inci maddesinde sayılan işleme şartlarından herhangi birine dayanmadığı değerlendirildiğinden Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmediği kanaatine varılan veri sorumlusu avukat hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına,
  • İlgili kişilerin başvurularına Kanunun ilgili maddeleri ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe uygun bir cevap verilmesi kapsamında gerekli dikkat ve özenin gösterilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

  1. “Bir bankanın, varlık yönetim şirketinin ve üç farklı avukatın borçlu olmayan ilgili kişinin kişisel verisini işleyerek icra takibi başlattıkları iddiası” hakkında Kişisel Verileri Koruma Kurulunun 27/04/2021 tarihli ve 2021/424 sayılı Karar Özeti

Kurum’a ulaşan şikayet dilekçesinde özetle;

  • Yetkili icra dairesi tarafından ilgili kişiye yönelik icra takibi başlatıldığı, ilgili kişinin bu durumu 2017 yılı Şubat ayında ev kredisi çekmek isterken öğrendiği, 2010 yılında ilgili kişinin evine gelen bir saha müfettişinin, ilgili Bankaya borçlu olduğunu ve bunu ödemesi gerektiğini söylediği ve ilgili kişinin bu şahsa, kendisinin Bankaya hiçbir şekilde gitmediğini ve bahse konu Bankada bir hesabının da bulunmadığını söylediği, adresini ne şekilde öğrendiğini sorduğunda “biz buluruz” cevabını aldığı,
  • İlgili kişinin Banka şubesi ile görüştüğü, şube personelinin ilgili kişiye ait kimlik fotokopisini alarak merkeze faks çektiği ve ilgili kişiye, Bankaya borçlu olan şahsın kendisi olmadığını söyledikleri fakat aradan geçen yıllar içerisinde Varlık Yönetimi Şirketi tarafından ilgili kişinin sürekli olarak arandığı ve ilgili kişinin o kişinin kendisi olmadığı bilgisini Varlık Yönetim Şirketine iletmesine karşın bu aramaların sürdürüldüğü,
  • Söz konusu icra dosyasında gerçek borçluya ilişkin tüm bilgilerin bulunmasına karşın ilgili kişinin kimlik numarasını kullanarak Bankanın, Varlık Yönetim Şirketinin ve üç farklı avukatın borçlu olmayan ilgili kişiye icra takibi başlattıkları,
  • Banka şubesinin gerekli güncellemeleri yaparak ilgili kişinin T.C. kimlik numarasının sistemden silindiği ve kredi kayıt bürosu kayıtlarının düzeltildiği, Varlık Yönetimi Şirketine ayrıca bilgilendirmenin yapıldığının belirtildiği, Varlık Yönetimi Şirketinin ise, söz konusu borcu ilgili kişinin T.C. kimlik numarası üzerinden kaldırmadığı ve kayıtların düzeltmediği,
  • Veri sorumlusu Banka, Varlık Yönetimi Şirketi ve avukatların ilgili kişinin T.C. kimlik numarasını nasıl ve nereden edindiğinin meçhul olduğu, bu bilgilerin üçüncü şahıslara verilerek ilgili kişinin mağdur edildiği, kara listeye aldırıldığı ve dosya bilgilerinin incelenmeksizin ilgili kişiye icra takibi yapmakta ısrar edildiği bildirilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.

Banka’nın Kurum’a ilettiği cevap yazısında;

  • İlgili kişi ile Banka arasındaki müşteri ilişkisinin 2003 tarihinde kurulduğu ve kredinin 2007 tarihinde bankanın kanuni takip hesaplarına intikal ettiği, ödeme yapılmaması üzerine 2008 tarihinde yetkili İcra Müdürlüğünün dosyası ile kredili müşteri aleyhine icra takibi başlatıldığı, takip süreci içerisinde herhangi bir tahsilat sağlanamadığından kredi riskinin 2010 tarihinde Varlık Yönetim Şirketine temlik edildiği,
  • 2017 tarihinde Bankanın ilgili şubesine şikayetçi tarafından başvuru yapılarak borçlu olarak görünen kişi ile isim benzerliği olduğunu ve hatanın düzeltilmesini talep ettiği, yapılan kontrollerde, ilgili kişi ile borçlunun Banka sistemlerinde sadece T.C. kimlik numarasının aynı olup diğer tüm verilerinin ise farklı olduğunun tespit edildiği, böylelikle takip borçlusu için 23.06.2003 tarihinde müşteri kaydı oluşturulduğu sırada T.C. kimlik numarası olarak sehven ilgili kişiye ait T.C. kimlik numarasının kaydedildiğinin anlaşıldığı ve borçlunun müşteri bilgileri altından silinmesinin sağlandığı

ifade edilmiştir.

Veri sorumlusu Varlık Yönetim Şirketinden alınan cevap yazısında;

  • Kredi borcu bakımından alacağın takibine ve tahsiline yönelik hukuki işlemlerin temlik sözleşmesinin imzalanmasından önceki dönemde Banka tarafından başlatılmış olduğu ve borçlu taraf olarak ilgili kişi ile arasında isim benzerliği bulunan üçüncü kişinin gösterilmesi gerekirken ilgili kişinin borçlu taraf olarak gösterildiği,
  • İlgili kişinin Haziran 2019 tarihine kadar Şirketlerine herhangi bir başvuruda bulunmadığı, bu tarihte iletilen şikâyet üzerine ivedilikle veri sorumlusu Banka ile iletişime geçerek bilgi talebinde bulunduğu ve Bankadan yapılan, ilgili kişinin T.C. kimlik numarasının sehven borçluya ait MBB numarasının üzerine kaydedildiği bilgilendirmesi üzerine veri sorumlusu şirket tarafından ilgili kişiye, dosyadan taraf kaydının ve T.C. kimlik numarasının silindiğine dair bilgilendirmede bulunulduğu, ilgili kişinin kişisel verilerinin tahsilat sisteminden silindiği ve ilgili kişinin kendilerine borçlu olmadığına dair güncellemenin gerçekleştirildiği,
  • Bu konulara ilişkin bilgilendirmenin ilgili kişiye noter ihtarnamesi vasıtasıyla yapıldığı ve İlgili kişiye ait kişisel verilerin arşiv kayıtlarının saklanmasının hukukî mesnedinin ileride doğabilecek uyuşmazlıklarda delil teşkil etmesi bakımından ilgili mahkeme veya yetkili kurum ve kuruluşlara ibraz edilmesi amacıyla sınırlı olarak, Kanunun 5 inci maddesinin (2) numaralı fıkrasının (e) bendinde yer verilen kişisel verilerin işlenmesinin bir hakkın tesisi, kullanılması veya korunması için zorunlu olması hükmü olduğu

ifade edilmiştir.

İlk avukattan alınan cevap yazısında; kısa bir dönem ilgili Bankanın vekillik görevini icra ettiği ve 2008 yılı içinde vekillik görevinden ayrılarak tüm dosyaları bankaya devir ve teslim ettiği, bu tarihten sonra bu dosyalarla ilgili hiçbir işlemin tarafı olmadığı ve icra takiplerine ilişkin ad, soyad, adres gibi bilgilerin tamamının Banka tarafından kendisine iletildiği belirtilmiştir.

İkinci avukattan alınan cevap yazısında ise; tahsili gecikmiş alacak dosyalarında yeni bir icra takip işleminin yapılmayıp bankaların daha önce açmış olduğu icra takipleri üzerinden işlemlere devam edilmekte olduğu, dolayısıyla yeni bir takip yapılmadığından bankalarca icra dosyası açılırken girilen bilgilerin dosyanın devamında kullanılmakta olduğu, Kişisel verilerin kendisine ait hukuk bürosu uhdesinde kayıt altında tutulmadığı, müvekkil Şirket ile yapılan yazışmalarda da müvekkil Şirketin hem şirket bünyesinde hem de Bankada tutulan bilgilerin silinmesini sağladığı bilgilerinin kendilerine iletildiği belirtilmiştir.

Üçüncü avukat tarafından ise Kurum yazısına herhangi bir cevap verilmemiştir.

Kurul yaptığı incelemede;

  • Şikâyet konusu evrakta ilgili kişiye ait T.C. kimlik numarasının yer aldığı görülmekle birlikte cinsiyet, adres, anne ve baba adı gibi verilerin farklı olduğu, Emniyet Müdürlüğünün İcra Müdürlüğüne böyle bir kişinin belirtilen adreste bulunmadığı bilgisini ilettiği, bunun üzerine veri sorumlusu Banka tarafından borçlunun adres bilgilerinin tespiti için müzekkere yazdırıldığı, bu müzekkerede de ilgili kişinin borçlu ile aynı olan isim, soy isim ve doğum tarihi bilgileri dışında T.C. kimlik numarasının da yer aldığı fakat doğum tarihi ve ana baba adı gibi verilerinin kendisine ait olmadığının tespit edildiği,
  • Banka tarafından, ilgili kişinin şubelerine başvurması sonucu gerekli güncellemelerin yapılarak T.C. kimlik numarasının sistemden silindiği, KKB kayıtlarının düzeltildiği, takip hesabının devir yapıldığı, Varlık Yönetim Şirketine ayrıca bilgilendirme yapıldığının görüldüğü, buna rağmen, Varlık Yönetimi Şirketi tarafından yapılan aramaların 2019 yılı içerisinde dahi devam ettiği, ilgili kişiye ait borçların sistemden ve TBB Risk Merkezinden ilgili kişinin şikâyet kaydının oluşturulduğu Haziran-Temmuz 2019 tarihlerine kadar silinmediğinin anlaşıldığı,
  • Banka ile Varlık Yönetimi Şirketinin Kanunun 3 üncü maddesi kapsamında veri sorumlusu sıfatını haiz olduğu, bununla birlikte veri sorumlusu Banka ve Varlık Yönetim Şirketi ile birlikte şikâyet olunan avukatların ise Bankanın/Varlık Yönetim Şirketinin dosya kapsamındaki vekilleri olduğu, kendilerinin veri sorumlusu Banka ile veri sorumlusu Varlık Yönetim Şirketinin talimatları altında kişisel veri işlediği ve birtakım yasal işlemleri yürütmekten ibaret olan vazifelerini yerine getirdikleri, şikâyet edilen avukatların kendi iradeleriyle “kişisel verilerin işlenme amaçlarını belirleyerek” herhangi bir kişisel veri işleme faaliyeti yürüttüğüne dair açıklayıcı bir belge Kuruma ulaşmamış olduğundan anılan şahısların veri sorumlusu sıfatını haiz olmadıklarının anlaşıldığı,
  • İlgili kişinin kişisel verilerinin veri sorumlusu Banka tarafından Kanun yürürlüğe girmeden önce işlendiği, akdedilen alacak temlik sözleşmesine dayanarak hukuka uygun olarak veri sorumlusu Varlık Yönetim Şirketine aktarıldığı, öte yandan Kanunun Geçici 1 inci maddesinin (3) numaralı fıkrasında yer alan “Kanunun yayımı tarihinden önce işlenmiş kişisel veriler yayımı tarihinden itibaren iki yıl içinde Kanuna uygun hale getirilir”hükmü çerçevesinde ilgili kişinin 2017 yılında yaptığı başvuruya istinaden ilgili kişinin kişisel verilerinin Banka tarafından düzeltildiği,
  • Veri sorumlusu Varlık Yönetimi Şirketinin, veri sorumlusu Banka tarafından akdedilen sözleşme kapsamında kendisine aktarılmış olan kişisel verileri kullandığı görülmekle birlikte, ilgili kişiye ait kişisel verilerin veri sorumlusu Banka tarafından veri sorumlusu Varlık Yönetimi Şirketine aktarımının, Kanunun 5 inci maddesinin (2) numaralı fıkrasının (e) bendinde ifade olunan“Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” uyarınca hukuka uygun olduğu kanaatinin hâsıl olduğu,
  • Veri sorumlusu varlık yönetimi şirketinin ilgili kişi ve veri sorumlusu Banka tarafından yapılan bütün bildirimlere karşın ilgili kişinin dosyası hakkında bir şikâyet kaydı oluşturmadığı, bu sebeple ilgili kişinin aslında var olmayan borcunu ödemesi hususunda telefonla rahatsız edilmeye devam edildiği, şirket bünyesindeki kişisel verilerinin silinmeyip UYAP’tan taraf kaydının kaldırılmadığı, bu sebeple TBB Risk Merkezi veri tabanında ilgili kişiye kayıtlı borçların görüntülenmeye devam edildiği, bu durumun Kanunun 12 nci maddesini ihlâl ettiği

ifade edilmiştir.

A) Banka kapsamında yapılan inceleme neticesinde;

İlgili kişinin kişisel verilerinin Banka tarafından Kanun yürürlüğe girmeden önce işlendiği, akdedilen alacak temlik sözleşmesine dayanarak hukuka uygun olarak Varlık Yönetim Şirketine aktardığı, öte yandan ilgili kişinin 2017 yılında yaptığı başvuruya istinaden ilgili kişinin kişisel verilerinin Banka tarafından düzeltildiği dikkate alındığında Veri sorumlusu Banka hakkında Kanun kapsamında yapılacak bir işlem olmadığına ve Bankanın ilgili kişiye cevap vermemesinden dolayı Veri sorumlusu Bankanın ilgili kişilere yasal süre dâhilinde, Kanuna ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe uygun bir şekilde cevap vermesi konusunda azami dikkat göstermesi hususunda talimatlandırılmasına karar verilmiştir.

B) Varlık Yönetim Şirketi kapsamında yapılan inceleme neticesinde;

Varlık Yönetim Şirketinin ilgili kişinin gerçek borçlu olmadığına dair bilgileri 2017 yılı içerisinde gerek Bankadan gerekse de ilgili kişiden tarafına ulaşan bilgi ve belgeler vasıtasıyla edinmesine karşın ilgili kişinin kişisel verilerini işlemeye devam ederek borcun tahsili amacıyla ilgili kişinin aranması yoluna gidilerek 2019 yılı Haziran-Temmuz dönemine kadar veri tabanında, UYAP’ta ve TBB Risk Merkezindeki kayıtların düzeltilmediği, ilgili kişinin başvurusuna verilen yanıtta 2019 tarihinde TBB Risk Merkezindeki kayıtların güncellendiğinin ifade edilmesine karşın bu iddiayı açıklayıcı bir belgenin Kuruma iletilmediği, ilgili kişinin halen Varlık Yönetim Şirketine dosya bakımından borçlu olarak göründüğü, bu kapsamda Şirketin Kanunun 5 inci maddesinde yer alan işleme şartlarına dayanmaksızın ilgili kişinin kişisel verilerini işlediği dikkate alındığında, Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendi çerçevesinde kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli tedbirleri almadığı kanaatine varılması nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında Varlık Yönetim Şirketi hakkında idari para cezası uygulanmasına ve ayrıca Varlık Yönetimi Şirketinin ilgili kişinin TBB Risk Merkezinde bulunan bilgilerini güncellediğini ve ilgili kişinin Risk Raporunda bulunan ve esasen kendisine ait olmayan borç bilgilerinin silindiğine dair açıklayıcı bilgi, belge ve kayıtları, Kanunun 15 inci maddesinin (5) numaralı fıkrası uyarınca 30 (otuz) günlük yasal süre içerisinde Kurula iletmesi konusunda talimatlandırılmasına karar verilmiştir.

C) Avukatlar kapsamında yapılan inceleme neticesinde;

Avukatların veri sorumlusu sıfatını haiz olmadıkları dikkate alındığında haklarında Kanun kapsamında tesis edilecek idarî bir işlemin bulunmadığına karar verilmiştir.

Kurul, bu hususlara ilaven ilgili kişinin maddî ve manevî zarara uğratıldığı yönündeki iddialarına ilişkin olarak adlî yargıya başvuru hakkının saklı olduğu hususunda bilgilendirilmesine karar vermiştir.

F) REKLAM AMAÇLI SMS GÖNDERİLMESİNE İLİŞKİN KARARLAR

11.   “Veri sorumlusu tarafından ilgili kişinin cep telefonu numarasına reklam amaçlı SMS gönderilmesi” hakkında Kişisel Verileri Koruma Kurulunun 04/06/2021 tarihli 2021/545 sayılı Karar Özeti 

Kuruma intikal eden şikâyette özetle, veri sorumlusu sıfatını haiz Hastane tarafından ilgili kişinin telefonuna reklam ve pazarlama amaçlı SMS gönderildiği, ilgili kişi tarafından veri sorumlusuna kişisel verilerin işlenmesi konusunda açık rıza verilmediği ifade edilerek veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Veri sorumlusu savunmasında;

  • Şikâyetçinin hastanede herhangi bir kaydı olmadığı ve Şikâyetçi tarafından konuya ilişkin herhangi bir başvuru yapılmadığı,
  • Hastanede kaydı bulunan hastalara gönderilen SMS’lerin reklam yapmak amacı taşımadığı, gönderilen SMS’lerin asıl amacının Covid-19 sürecinde vatandaşlar için bilgilendirme amacı taşıdığı,
  • Gönderilen SMS’lerin iptali için ücretsiz gönderme seçeneği bulunduğu, iptal seçeneği kullanmayan kişilerin mesajların devamının zımnen kabul etmiş olduğu

belirtilmiştir.

Yapılan inceleme sonucunda;

a) Veri sorumlusunun iddialarında yer verilen SMS içeriklerinin ilgili kişiye gönderilen SMS içerikleri ile uyuştuğu ve mesajda belirtilen MERSİS numarasının veri sorumlusuna ait olduğu ve

b) Veri sorumlusunun kendisine herhangi bir başvuru yapılmadığı iddiasına ilişkin şikâyetçi vekili tarafından veri sorumlusuna ihtarname gönderildiği ve ilgili barkod numaralı ihtarnamenin teslim alındığı anlaşılmıştır.

Yukarıdaki değerlendirmeler sonucu,

  • Veri sorumlusunun, ilgili kişinin kişisel verisi niteliğindeki telefon numarasına Kanunun 5 inci maddesinde sayılan şartlardan birine dayanmaksızın SMS göndermesi suretiyle gerçekleşen kişisel veri işleme faaliyeti nedeniyle Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı olarak işlenmesi önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmediği dikkate alındığında, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca veri sorumlusu hakkında idari para cezası uygulanmasına,
  • Veri sorumlusunun ilgili kişinin başvurusuna cevap vermediği dikkate alındığında Kanun kapsamında yapılan başvurulara cevap vermek konusunda gerekli dikkat ve özenin gösterilmesi hususunda veri sorumlusunun talimatlandırılmasına,
  • Hukuka aykırı işlendiği değerlendirilen şikâyete konu kişisel verinin imha edilmesi ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

  1. “Bir eğitim kurumu tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmaksızın işlenmesi ve ilgili numaraya reklam içerikli SMS gönderilmesi” hakkında Kişisel Verileri Koruma Kurulunun 11/03/2021 tarihli ve 2021/227 sayılı Karar Özeti

İlgili kişiye ait cep telefonuna açık rızası olmadan bir eğitim kurumu tarafından reklam/bildirim amaçlı SMS gönderilmesi üzerine, veri sorumlusuna yaptığı başvuruya yasal sürede yanıt alamadığı ifade edilerek eğitim kurumu hakkında gerekli işlemlerin yapılması istenmiştir.

Veri sorumlusundan istenen savunma metninde;

  • Veri sorumlusunun SMS gönderme uygulamasının olmadığı ve ilgili kişiye mesaj gönderilmediği,
  • Veri sorumlusu tarafından işletilen bir eğitim kurumu bulunmadığı, çeşitli kurumlar ile isim hakkı sözleşmesi düzenlendiği, isim hakkı sözleşmesi düzenlenen ve eğitim alanında hizmet sunan bir şirketin şikâyete konu SMS gönderim eylemini gerçekleştirdiği ve şikâyete ilişkin bilgi ve belgelerin bu firmadan talep edilmesi gerektiği

ifade edilmiştir.

İlgili kişinin şikayetine ilişkin bahsi geçen şirkete bilgi verilmiş ve savunması istenmiştir. Anılan şirketin cevap yazısında;

  • Anket yapan firmalardan sosyal medya ve SMS onayı veren kişilerin bilgilerinin alındığı; ancak bu bilgilerin alınabilmesi için anket dolduran kişilerin SMS ya da başka iletişim araçlarına onay vermiş olmasının şart olduğu,
  • Şikâyete konu olaydaki telefon numarasının da bir medya anket şirketinden alındığı bununla birlikte sosyal medya ve toplu SMS anket formunu dolduran kişi tarafından, anketin doldurulması esnasında iletişim bilgisi olarak sehven şikâyetçinin iletişim bilgisinin verildiği, kendilerinin bunu denetleme imkanının olmadığı,
  • Anket içeriğinde SMS gönderimine izin verildiği, şirketlerinin onay vermeyen kimseye SMS göndermediği; dolayısıyla şirketlerinin ihlal iddiasına ilişkin bir kusurunun bulunmadığı 

ifade edilmiştir.

A) Açık rıza kapsamında yapılan inceleme neticesinde;

  • Veri sorumlusunca anket yapan firmalardan belirli aralıklarla sosyal medya ve SMS onayı veren kişilerin bilgilerinin alındığı beyanı karşısında; “Firmalardan ürünler hakkında bilgi ve tanıtımlarını SMS yoluyla almak ister misiniz” şeklindeki genel nitelikli bir sorunun, “Evet” olarak anlaşıldığı, veri sorumlusu tarafından iletilen belgede açık rızanın unsurlarının bulunmadığı, açık rızanın belirli bir konuya ilişkin olması gerektiği, belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki açık rızaların “battaniye rızalar” olarak kabul edileceği ve hukuken geçersiz sayılacağı hususları doğrultusunda, söz konusu sosyal medya şirketi tarafından yapılan ankette yer alan genel bir soruya verilen cevabın açık rıza kapsamında değerlendirilemeyeceği,
  • Ankette belirtilen numaranın anketi dolduran kişiden farklı bir kişiye ait olması ve veri sorumlusunun bu durumu kontrol etme şansının bulunmadığı iddiası karşısında; açık rızanın alındığına ilişkin ispat yükümlülüğünün veri sorumlusuna ait olması nedeniyle “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” tanımına uygun şekilde açık rızanın alınmamış olduğu, battaniye rızanın açık rıza olarak değerlendirilemeyeceği,

B) Teknik ve idari tedbirler kapsamında yapılan inceleme neticesinde;

Veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına Kanuna aykırı şekilde gönderilen üçüncü kişilere ait kişisel veriler hakkında Kişisel Verileri Koruma Kurulunun 22/12/2020 tarihli ve 2020/966 sayılı İlke Kararı kapsamında; Kanunun 12 nci maddesinin (1) numaralı fıkrası gereğince veri sorumluları tarafından kendilerine bildirilen iletişim bilgilerinin doğruluğunu teyit edecek mekanizmaların oluşturulması adına gerekli idari ve teknik tedbirlerin alınması gerektiği,

C) Ticari elektronik iletiler kapsamında yapılan inceleme neticesinde;

Elektronik Ticaretin Düzenlenmesi Hakkında Kanunun 6 ncı maddesinin “Ticari elektronik iletiler, alıcılara ancak önceden onayları alınmak kaydıyla gönderilebilir.” hükmünü amir olduğu, Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmeliğin 7 nci maddesinin (1) numaralı fıkrasında “Onay, yazılı olarak veya her türlü elektronik iletişim aracıyla alınabilir. Onayda, alıcının ticari elektronik ileti gönderilmesini kabul ettiğine dair olumlu irade beyanı, adı ve soyadı ile elektronik iletişim adresi yer alır.”, (3) numaralı fıkrasında “Onayın elektronik ortamda alınması durumunda, onayın alındığı bilgisi, reddetme imkanı da tanınmak suretiyle, alıcının elektronik iletişim adresine aynı gün içinde iletilir.”, (10) numaralı fıkrasında ise “Onayın alındığına ilişkin ispat yükümlülüğü hizmet sağlayıcıya aittir.” hükümlerinin yer aldığı belirtilmiştir.

Bu değerlendirmelerinden hareketle Kurul;

  • Veri sorumlusunun ticari elektronik ileti göndermesi suretiyle ilgili kişinin kişisel verisi olan telefon numarasını işlemesinin Kanunun 5 inci maddesinde sayılan şartlardan birine dayanmadığı dikkate alındığında Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı olarak işlenmesi önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı kanaatine varılan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına,
  • Hukuka aykırı işlendiği tespit edilen kişisel verilerin yok edilmesi hususunda veri sorumlusu eğitim kurumunun talimatlandırılmasına,
  • Anket firmasının veri sorumlusu olabileceğinden hareketle söz konusu şirket hakkında Kanunun 15 inci maddesinin (1) numaralı fıkrası kapsamında resen inceleme başlatılmasına

karar verilmiştir.

13.   “Bir bankanın mobil uygulamalar üzerinden ilgili kişiye rızası dışında tanıtım iletileri göndermesi” hakkında Kişisel Verileri Koruma Kurulunun 13/04/2021 tarihli ve 2021/361 sayılı Karar Özeti

İlgili kişinin maaş müşterisi olduğu veri sorumlusu banka tarafından sunulan 2 adet mobil uygulama üzerinden cep telefonuna tanıtım iletileri gönderildiği, veri sorumlusunun tanıtım iletileri gönderme işlemi sırasında ilgili kişinin açık rızasına başvurmadığı ve veri sorumlusu tarafından Kanunun 12 nci maddesi uyarınca kişisel verilerin hukuka aykırı biçimde işlenmesini önlemek adına gerekli teknik ve idari tedbirlerin alınmadığı, ilgili kişinin, tanıtım iletilerinden dolayı duyduğu rahatsızlığı dile getirmek üzere veri sorumlusuna yazılı başvuruda bulunduğu, ancak bu başvurunun cevabının gelmesinden önce veri sorumlusuyla çağrı merkezi üzerinden de iletişime geçerek tanıtım iletilerinin gönderilmesine konu olan kişisel verilerinin silinmesi talebini ilettiği, yapılan sözlü ve yazılı başvuruların ardından, ilgili kişinin veri sorumlusundaki hesabı ile kredi kartlarının tamamen iptal edildiği, ilgili kişinin veri sorumlusuna yaptığı ikinci başvuruda iptal sebebini sorduğu ve kendisine Kanun kapsamındaki talebi sebebiyle söz konusu iptal işleminin gerçekleştirildiği bilgisinin verildiği, hesabının silinmesi işleminin ilgili kişiyi maddi ve manevi zarara uğrattığı ve başlangıçtaki başvurusunun karşılanmamasının yanı sıra, hesabının kapatılmasının ikinci bir hukuka aykırılık teşkil ettiği belirtilerek veri sorumlusu hakkında gerekli incelemelerin yapılması ve idari para cezası uygulanması talep edilmiştir.

Veri sorumlusu savunmasında;

·        Mobil uygulamaların, müşterilere yönelik pazarlama amaçlı tesis edilen bir iletişim kanalı olarak kullanıldığı ve bu uygulamaların ayarlarında, kullanıcıların ileti almamaya ilişkin tercih hakkının bulunduğu,

·        Kullanıcıların akıllı telefonlarına uygulamayı indirdikten sonra, tanıtım iletisi gönderilmesi için tercihlerinin istenildiği ve izin verilmesi durumunda kendilerine pazarlama içerikli bildirimlerin gönderildiği ve kullanıcıların bu bildirimlere en başta izin vermeme veya herhangi bir zamanda bu bildirimleri kapatma haklarının her zaman mevcut olduğu,

·        Şikâyete konu olayda, ilgili kişinin uygulama ayarlarını bildirim almaya izin verecek şekilde düzenlemesi neticesinde kendisine tanıtım iletilerinin gönderildiği,

·        İlgili kişinin veri sorumlusuna yaptığı başvuruda Kanunun 11 inci maddesinin (1) numaralı fıkrasının (e) bendi uyarınca kişisel verilerinin silinmesini veya yok edilmesini istemesi üzerine, Kanunun 7 nci maddesinin (1) numaralı fıkrası uyarınca işlem yapılabilmesi için ilgili kişinin hesabının ve kredi kartlarının kapatıldığı ve hesabının kapatılması sonrasında ilgili kişinin veri sorumlusuna tekrar başvuruda bulunduğu ve kendisine yeniden hesap açıldığı,

·        İlgili kişiye ait kişisel verilerin, Kanunun 5 inci maddesinin (2) numaralı fıkrasında yer verilen “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” ve “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartları kapsamında işlendiği ve yine kendisinin talebi doğrultusunda silindiği

bildirilmiştir.

Ticari elektronik ileti kapsamında yapılan inceleme sonucunda;

  • Cihazlarında Android işletim sistemi bulunan veri sorumlusu banka müşterilerinin, yükledikleri bankacılık uygulamasının ayarlarında elektronik ileti alma tercihinin otomatik olarak onaylı olmasının ve müşterilerin bu tercihi değiştirmediği sürece onay tercihinin geçerli kabul edilmesinin ilgili mevzuata uygun olmadığı,
  • Zira hizmet sunucuları tarafından mobil uygulamalar üzerinden kullanıcılara anlık olarak gönderilen ve “push bildirim” olarak adlandırılan bu tarz bildirimlerin mobil uygulamaların varsayılan ayarlarında onaylı olarak bulunmasının hem 6563 sayılı Kanunda belirtilen elektronik iletilerin alıcıların onaylarına tabi olacağı düzenlemesiyle çeliştiği hem de Kanunun 5 inci maddesinde yer verilen kişisel verilerin işlenmesinde açık rızaya dayanma şartını ihlal ettiği,

·        Çok sayıda yerel şubesinin ve müşterisinin yanı sıra yurt dışı iştirak şubeleri de bulunan veri sorumlusunun bahsi geçen tasarrufu sebebiyle hukuka aykırı kişisel veri işleme faaliyetinin yaygın bir biçimde meydana geldiği ve ilgili kişi olan müşteriler bakımından veri güvenliği riskinin mevcut olduğu,

·        Veri sorumlusunun, Android işletim sistemi kullanıcılarına yönelik olarak işletmekte olduğu mobil uygulamalar üzerinden tanıtım iletisi gönderme seçeneğini, açık rızanın Kanunda yer alan bütün unsurlarına yer verecek şekilde yeniden düzenlemesi ve bu kapsamda uygulamanın varsayılan ayarlarını tanıtım iletisi almama biçiminde kullanıma sunması gerektiği,

·        Veri sorumlusunun ilgili kişilerden usulüne uygun şekilde açık rıza almaksızın tanıtım iletisi göndermek suretiyle hukuka aykırı olarak kişisel veri işleme faaliyetinde bulunmasının Kanunun 12 nci maddesinin (1) numaralı fıkrasında belirtilen uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığını gösterdiği

anlaşılmıştır.

Veri sorumlusunun mobil uygulamalar üzerinden usulüne uygun açık rızası alınmaksızın tanıtım iletileri göndermek amacıyla ilgili kişinin kişisel verilerini işlemesinin hukuka aykırı olduğu dikkate alındığında, Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına, ve veri sorumlusunun sahibi olduğu mobil uygulama süreçlerini usulüne uygun açık rıza alınabilecek şekilde düzenlemesi ve bu işlemin sonucundan Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına karar verilmiştir.

G) ÇALIŞANLARIN VERİ İHLALİNE İLİŞKİN KARARLAR

  1. “Telekomünikasyon hizmetleri sunan bir veri sorumlusunun ürün satışı esnasında müşterilerinin pasaport fotoğraflarını çekerek depolaması” hakkında Kişisel Verileri Koruma Kurulunun 03/02/2021 tarihli ve 2021/78 sayılı Karar Özeti

Veri sorumlusu tarafından İstanbul Havaalanı şubesinde dış hatlara gelen yolculara kontörlü hat satışı gerçekleştirilirken, müşterilerin rızası olmadan müşteri pasaport fotoğraflarının çekilerek çalışanlardan oluşturulan bir WhatsApp grubunda depolandığı ve üçüncü kişilerle paylaşıldığı, kendisinin de eski bir çalışan olarak gruba üye olduğu pasaport fotoğraflarının kendi telefonunda da depolandığını, bu yüzden veri sorumlusu hakkında gerekli denetimlerin yapılması talep edilmiştir.

Yapılan incelemeler çerçevesinde, savunması istenilen veri sorumlusunun avukatı aracılığıyla cevaben gönderilen yazıda;

  • Veri sorumlusuna ait iş yerinin bir telekomünikasyon şirketi ile sözleşmesinin olduğu, sistemdeki her işlemin telekomünikasyon şirketi tarafından takip ve kontrol edildiği, hat açmak için Bilgi Teknolojileri ve İletişim Kurumu (BTK) düzenlemelerine uygun şekilde yeni müşterilere ait pasaport ve kimliklerin taratılarak sisteme yüklendiği, mağazada alınan kimlik bilgilerinin telekomünikasyon şirketinin depolama sistemine gönderilmesi nedeni ile çalışanlarının bu bilgilere tekrar ulaşmasının mümkün olmadığı,
  • Veri sorumlusuna ait iş yerinin telekomünikasyon şirketi ile olan sözleşme ve kendi prosedürleri gereği 24 saat kamera ile izlendiği, çalışanlara yalnızca şirket bilgisayarı temin edilmekte olduğu ve bu bilgisayarlarda yapılan tüm işlemlerin kamera görüş açısında olduğu, şahsi telefonların mağaza içerisinde kullanımının yasak olduğu, bilgisayarlarda ise telekomünikasyon şirketine ait sisteme giriş için her bir çalışana yalnızca kendisi tarafından bilinen bir kod verilmekte olduğu ve yapılacak her türlü işlemlerden sorumluluğu olduğu konusunda çalışanların bilgilendirildiği, bilgilerin sisteme yüklendikten sonra ancak iş gereği kullanılabildiği, bilgilerin kayıt edilmesinin mümkün olmadığı, sistemin aynı zamanda Emniyet Genel Müdürlüğü’ne de entegre olduğu, mağazada alınan kimlik bilgilerinin telekomünikasyon şirketinin depolama sistemine gönderilmesi nedeni ile şirket çalışanlarının bu bilgilere tekrar ulaşmasının mümkün olmadığı,
  • Hat açma işlemlerinin akabinde müşteri bilgilerinin ve kontratın telekomünikasyon şirketi tarafından incelendiği ve eksik veya yanlış bilgi olması durumunda telekomünikasyon şirketi tarafından ceza kesildiği, veri sorumlusunun prim alabilmesinin yapılan satış adedine ve satışın BTK kurallarına uygun olarak eksiksiz yerine getirilmesine bağlı olduğu,
  • Şikayetçinin veri sorumlusu bünyesinde çalıştığı sırada kişisel verilerin korunması konusunda uyarılmasına rağmen şirketi suçlayıcı gerçeğe aykırı beyanlarda bulunduğu, şikayetçinin dürüstlük kuralına, hukuka ve hakkaniyete aykırı davrandığı, iddiaların asılsız olduğunun yapılacak yerinde inceleme ile kolayca anlaşılabileceği, şikayetçinin müşteri verilerini sisteme doğru işlememesinden doğan cezaların telekomünikasyon şirketi tarafından veri sorumlusuna rücu edildiği

belirtilmiştir.

Bunun üzerine, Kurum, veri sorumlusundan eğitimleri kanıtlayan nitelikte bilgi ve belge gönderilmesini talep etmiş ve veri sorumlusu tarafından yeni işe başlayan çalışanlara kitapçık verildiği, bu kitapçıkta yer alan oryantasyon konularından birinin de “kişisel verilerin korunması” olduğu, eğitimde müşterilerin kişisel verilerinin korunmasına ilişkin bilgilendirmelerin çalışanlara yapıldığı, çalışanların şahsi telefonlarını kullanmalarının yasak olduğu, bu nedenle şahsi telefonlarla fotoğraf çekilmediği ve ilgili kişilere ait kişisel verilerin WhatsApp’ta depolanmadığı, telekomünikasyon şirketinin portalı üzerinden yapılan bu işlemlerin veri sorumlusunca saklanmasının mümkün olmadığı belirtilmiştir.

Yapılan incelemeler sonucunda;

  • Somut olayda, pasaportların işlenmekte olduğu sistemin telekomünikasyon şirketi tarafından kurulan ve yönetilen bir sistem olduğu anlaşılmakla birlikte, pasaportların sisteme işlenmesini sağlayan çalışanların veri güvenliğine ilişkin yükümlülüklere uymasını ve sisteme işleme sırasında kişisel verilerin güvenliğini sağlamak hususunda şikâyet olunan şirketin sorumluluğu olduğu kanaatine varıldığından şikâyet olunan şirketin somut olayda veri sorumlusu olduğu,
  • Veri sorumlusu tarafından çalışanlara yalnızca şirket bilgisayarı temin edildiği, şahsi telefonların mağaza içerisinde kullanımının yasak olduğu, bilgisayarlarda ise telekomünikasyon şirketine ait sisteme giriş için her bir çalışana yalnızca kendisi tarafından bilinen bir kod verildiği ve yapılacak her türlü işlemlerden sorumluluğu olduğu konusunda çalışanların bilgilendirildiği, sistemdeki her işlemin telekomünikasyon şirketi tarafından takip ve kontrol edildiği, hat açmak için BTK düzenlemelerine uygun şekilde yeni müşterilere ait pasaport ve kimliklerin taratılarak sisteme yüklendiği ve çalışanlarının bu bilgilere tekrar ulaşmasının mümkün olmadığı belirtilmekle birlikte, ihbar ekinde, pasaport bilgilerinin bir grupta paylaşıldığını gösterir kanıtlayıcı nitelikte belgeler olduğu görüldüğünden söz konusu ihbara ilişkin olarak veri sorumlusu Şirketin Kanunun 12 nci maddesinin (1) numaralı fıkrası kapsamında kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı ve Kanunun 12 nci maddesinin (3) numaralı fıkrası kapsamında yer alan veri sorumlusunun, kendi kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorunda olduğu hükmüne aykırı hareket ettiği,
  • Öte yandan, veri sorumlusunun daha önce bir çalışanının müşteri verilerini sisteme doğru işlememesinden doğan cezaların telekomünikasyon şirketi tarafından veri sorumlusu şirkete rücu edildiği, bu çalışanın Kanuna aykırı davranışlarının kamera ile tespit edildiği ve söz konusu çalışandan kaynaklı olarak veri sorumlusu bünyesinde bir veri ihlali yaşandığı anlaşılmış olup söz konusu ihlal kapsamında Kurula yapılmış bir bildirim olmadığı dikkate alındığında veri sorumlusu tarafından Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen, “işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildireceği, Kurulun, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği” hükmüne uygun hareket edilmediği

görülmüştür.

A) Teknik ve idari tedbirler kapsamında yapılan inceleme sonucunda;

Veri sorumlusu tarafından sunulan belgelere karşın ihbar ekinde, pasaport bilgilerinin bir grupta paylaşıldığının anlaşılması nedeni ile ihbara ilişkin olarak veri sorumlusu Şirketin Kanunun 12 nci maddesinin (1) numaralı fıkrası kapsamında kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı ve Kanunun 12 nci maddesinin (3) numaralı fıkrası kapsamında yer alan veri sorumlusunun, kendi kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorunda olduğu hükmüne aykırı harekete ettiği kanaatine varıldığından veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına karar verilmiştir.

B) Veri ihlali kapsamında yapılan inceleme sonucunda;

Veri sorumlusunun daha önce bir çalışanın müşteri verilerini sisteme doğru işlememesinden doğan cezaların telekomünikasyon şirketi tarafından veri sorumlusuna rücu edildiği, yine söz konusu çalışana verildiği anlaşılan uyarı yazısında, çalışanın Kişisel Verilerin Korunması Kanununa aykırı davranışlarının kamera ile tespit edildiği, kişinin müşteri kimlik resimlerinin kaydını şahsi cep telefonunda muhafaza ettiğinin anlaşıldığına yönelik ifadelerin yer aldığı ve söz konusu çalışandan kaynaklı olarak veri sorumlusu bünyesinde bir veri ihlali yaşandığı anlaşılmış olup, söz konusu ihlal kapsamında Kurula yapılmış bir bildirim olmadığı dikkate alındığında veri sorumlusu tarafından Kanunun 12 nci maddesinin (5) numaralı fıkrasına uygun hareket edilmemiş olması nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında veri sorumlusu hakkında idari para cezası uygulanmasına karar verilmiştir.

C) Türk Ceza Kanunu kapsamında yapılan inceleme sonucunda;

Türk Ceza Kanununun 136 ncı maddesinde düzenlenen “Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.” hükmü gereğince ihbara konu aykırılıkların sorumluları hakkında Türk Ceza Kanunu kapsamında ihbaren Cumhuriyet Başsavcılığına bildirimde bulunulmasına karar verilmiştir.

15.   “İlgili kişinin kişisel verisinin kamu kurumu personeli olarak görev yapan eski eşi tarafından sorgulanarak elde edilmesi ve adli makamlar ile paylaşılması” hakkında Kişisel Verileri Koruma Kurulunun 11/03/2021 tarihli ve 2021/230 sayılı Karar Özeti

Kuruma intikal eden şikâyet dilekçesinde özetle; ilgili kişinin kamu kurumu personeli olarak görev yapan, boşanma sürecinde olduğu eşi tarafından görevi kötüye kullanmak suretiyle kendisine erişim yetkisi verilen bir sistem üzerinden, maaş bilgilerinin sorgulandığı, boşanma davasına ilişkin yargılama sürecinde talep edilmemesine rağmen bu bilginin mahkeme ile paylaşıldığı ifade edilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.

Veri sorumlusu kamu kurumu yazısında;

  • Konu ile ilgili olarak ….  İl Müdürlüğünden bilgi ve belge talep edildiği ve ilgili İl Müdürlüğünce, Kanun ile ilgili Kurumun tüm personelinin defaten bilgilendirildiği ve talimatlandırıldığının bildirildiği,
  • Tabi olunan mevzuat kapsamında, Kurumları ile Sosyal Güvenlik Kurumunun (SGK) görev-yetki alanına giren iş ve işlemlerin ilintili olması nedeniyle tüm personel tarafından ilgili Kurum Portalına erişim sağlanabildiği ve “kontrol arayüzü” üzerinden sınırlı şekilde iş ve işlemler gerçekleştirebildiği,
  • Bu sınırlı erişim içerisinde kişilerin kimlik numaraları ile çeşitli sorgulamalar yapılabildiğinden, adı geçen personel de dahil olmak üzere tüm personel tarafından hem rutin işler için hem de günlük rutin dışı talepler nedeniyle söz konusu sorgulamanın sürekli yapıldığı,
  • Şikayete konu veri işleme faaliyetini gerçekleştiren personelin konuya ilişkin açıklamalarının alındığı, yapılan açıklamada söz konusu kişi tarafından rutin işinin bir parçası olarak bahsi geçen sorgulamaları sıkça yaptığı, eşinin memur maaş zammına ilişkin kendisini haberdar etmesi üzerine ve kendisinin bilgisi dâhilinde bahsi geçen bilgileri sorguladığı, bahsi geçen bilgilerin eşin bilgisi dahilinde sorgulanmasının sakınca teşkil etmediğini düşündüğü, boşanma davasında eşinin iddiasının aksine maaş bilgisinin paylaşılmadığı, bu bilgileri eşi dışında hiç kimse ile paylaşmadığı ve bu hususta mahkemeden bilgi talep edilebileceği ayrıca söz konusu Portaldan sehven kişisel sorgulama yapması hasebiyle Hizmet Merkezlerince “yazılı olarak” uyarıldığının belirtildiği 

ifade edilmiştir.

Kurul yaptığı incelemede;

  • Somut olayda veri sorumlusu Kurum bünyesinde, kişilerin kimlik numaraları ile SGK Sorgulaması yapılması kapsamında kişisel verilerin işlenmesinin Kanunun 5 inci maddesinin 2 numaralı fıkrasının (ç) bendine göre veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olduğu, bununla birlikte veri sorumlusunun hizmetlerini elektronik ortamda sürdürmesine ilişkin mevzuatta “Kişisel Verilerin Korunması” başlıklı maddede sistemde yer alan kişisel verilerin kullanılmasında mevzuatta yer alan özel hayatın gizliliğine ilişkin hükümlerin esas alınacağı, ayrıca kullanıcılardan alınan bilgilerin, tanımlanmış hizmetler ve yasal mükellefiyetlerin yerine getirilmesi dışında başka bir amaçla kullanılamayacağının düzenlendiği,
  • Bu doğrultuda ilgili kişinin kişisel verisinin, kendisi tarafından talep edilmeksizin görev yapan eski eşi tarafından Portal üzerinden sorgulanarak elde edildiği ve söz konusu kişisel verilerin mahkeme ile paylaşıldığı da dikkate alındığında, kişisel veri işleme faaliyetinde kişisel verilerin, hem üçüncü kişilere verildiği hem de görev yetkisi ve tanımlanmış hizmetin dışında bir işleme faaliyetinde işlendiği göz önünde bulundurulduğunda kişisel verilerin hukuka aykırı işlenmesi ve erişilmesini önlemek ile muhafazasını sağlamak amacıyla veri güvenliğine ilişkin yükümlülüklere uyulmadığı sonucuna varıldığı,

değerlendirilmiştir.

Tüm bu değerlendirmelerinden hareketle Kurul;

İlgili kişinin kişisel verisinin, veri sorumlusu bünyesinde çalışan bir personel tarafından tanımlanmış hizmetlerin ve yasal mükellefiyetlerin yerine getirilmesi dışında başka bir amaçla kullanılması suretiyle işlenmesinin Kanunun 5 inci maddesinde yer alan işleme şartlarından birine dayanmaması nedeniyle hukuka aykırı olduğu ayrıca Kanunun 4 üncü maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak işlenmesi ilkesine aykırı bir veri işleme faaliyetinin gerçekleştiği, bu kapsamda söz konusu faaliyetinin Kanunun 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil ettiği değerlendirildiğinden Kanunun 18 inci maddesinin (3) numaralı fıkrası uyarınca veri sorumlusu bünyesinde görev yapan söz konusu personel hakkında disiplin hükümlerine göre işlem yapılması, öte yandan kişisel verilere erişim yetkisi bulunan personelin söz konusu verilere amacı dışında erişmesinin önlenmesi hususunda 31/05/2018 tarih ve 2018/63 sayılı Kişisel Verileri Koruma Kurulu İlke Kararı da dikkate alınarak gerekli tedbirlerin alınması ve yapılacak işlemlerin sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.

  1. “İlgili kişinin kişisel verilerinin bilgisi dışında veri sorumlusu banka nezdinde sorgulanması” hakkında Kişisel Verileri Koruma Kurulunun 12/01/2021 tarihli ve 2021/32 sayılı Karar Özeti

İlgili kişinin, şikâyet edilen veri sorumlusu banka bünyesinde müdür yardımcısı pozisyonunda çalışmakta olan eşi ile boşanma davasının mevcut olduğu, bu süreçte şikâyet edilen banka aracılığıyla, müvekkiline ait kişisel veri niteliğinde bilgilerin sorgulandığı ve bu bilgilerin boşanma davası dosyasına sunulduğu, bahse konu evrakın, müvekkilinin geçmiş yıllara ilişkin karşılıksız çek bilgileri ve yine müvekkili hakkındaki tedbir kararlarına ilişkin olduğu, bu bilgilerin ancak müvekkilinin izin ve onayı dâhilinde sorgulanabileceği, söz konusu sorgulamanın banka aracılığıyla yapılmış olmakla kalmayıp müvekkilinin kişisel verilerinin, kişisel çıkar amacıyla mahkemeye sunulmak suretiyle paylaşıldığı, şikâyet edilen veri sorumlusu bankaya aykırılığı gidermesi ve söz konusu durumdan doğan zararları tazmin etmesi amacıyla iadeli taahhütlü başvuru yapılmasına rağmen 30 günlük yasal süre içerisinde herhangi bir cevap alınamadığı ifade edilerek, veri sorumlusu banka hakkında gerekli işlemlerin yapılması talep edilmiştir.

Veri sorumlusu Banka savunmasında;

  • İlgili kişinin başvurusu üzerine Bankanın ilgili iş birimince gereken incelemenin yapıldığı, Şube Operasyon Yetkilisi’nin, eşi ve aynı zamanda Bankanın müşterisi olan ilgili kişinin istihbarat sorgusunu yaparak sonuçlarını ilgili kişinin bilgisi ve isteği dışında, katılma alacağı davasına ilişkin mahkemeye sunduğunun tespit edildiği, bu süre zarfında, ilgili kişinin avukatı ile iletişime geçilerek Bankanın ilgili birimi nezdinde inceleme başlatılmış olduğu,
  • Banka tarafından yapılan inceleme sonucunda, diğer eşin bir mektupla dikkatinin çekilmesine karar verildiği ve yazı ile müşteri başvurusunun yanıtlandığı, bu itibarla başvurucunun talebi doğrultusunda Kuruma başvurulmadan önce Banka tarafından gerekli işlemler tesis edildiğinden, Kuruma yapılan başvuruya ilişkin talebin konusuz kaldığı ve başvurunun haklı ve yasal dayanağının bulunmadığı,
  • Bankanın müşterisi olan ilgili kişinin kişisel verilerinin Banka tarafından, kişisel verilerin işlenmesine dair hukuka uygunluk nedenleri çerçevesinde hukuka uygun olarak işlendiği ve kişisel verilerinin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirin alındığı,
  • İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi şeklinde ortaya çıkan veri güvenliği ihlallerinin, veri sorumlusu sıfatını haiz Banka ya da yurtiçi iştirakinin yetkili veya çalışanları değil, bu verilere yetkisiz ve hukuka aykırı olarak erişen üçüncü kişiler tarafından gerçekleştirilebileceği, bu verilere görevinden kaynaklı olarak erişim yetkisi bulunmakta olan Banka personeli diğer eşin hukuka aykırı bir erişiminin söz konusu olmadığı,
  • Diğer eşin şahsi görevinden kaynaklanmayan sebeplerle ilgili kişinin kişisel verilerine ulaşarak mahkemeye sunmasında Bankanın bir kusuru olmadığı ve bunun da ötesinde, Bankanın objektif olarak alabileceği bir güvenlik önleminin de bulunmadığı,
  • Sonuç itibariyle, Bankanın kişisel verilerin korunmasına ilişkin mevzuatı uygulama konusundaki azami dikkat ve hassasiyeti ile şikâyete konu ilgili kişinin talep doğrultusunda gerekli araştırmanın yapıldığı, Bankanın kişisel verilerin işlenmesinde hukuka aykırı herhangi bir iş ve işleminin bulunmadığı ve öngörülen veri güvenliğine ilişkin yükümlülüklerini yerine getiren Bankanın bir kusuru ve dolayısıyla sorumluluğu bulunmadığı

belirtilmiştir.

Kurul yaptığı incelemede;

  • İlgili kişiye ait kişisel veri niteliğinde bilgilerin veri sorumlusu bünyesinde çalışan diğer eş tarafından sorgulandığı ve bu bilgilerin boşanma davası dosyasına sunulduğu iddiasının Banka bünyesinde yapılan inceleme sonucunda veri sorumlusu Banka tarafından da kabul edildiği ve bu kapsamda, diğer eşin bir mektupla dikkatinin çekilmesine karar verildiği,
  • Veri sorumlusu Banka tarafından ilgili kişinin kişisel verilerinin hukuka uygun olarak işlendiği ve Kanunun 12 nci maddesi kapsamında kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirin alındığı belirtilmekle birlikte, personele verilen eğitimler ve veri sorumlusu nezdinde uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü idari ve teknik tedbirin alındığına ilişkin herhangi bir açıklayıcı belgenin Kuruma sunulmadığı,
  • Veri sorumlusu Banka tarafından işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi kapsamındaki ihlalin varlığından haberdar olunmasına rağmen ilgilisine ve Kurula herhangi bir veri ihlal bildirimi yapılmadığı

görülmüştür.

A) Teknik ve idari tedbirler kapsamında yapılan inceleme sonucunda;

İlgili kişinin kişisel verisi niteliğindeki kimlik, müşteri işlem ve finansal bilgilerinin veri sorumlusu bünyesinde çalışan kişi tarafından sorgulanıp mahkemeye sunulması nedeniyle söz konusu kişisel verilere kanuni olmayan yollarla başkaları tarafından erişim sağlandığı, Kurulun 31.05.2018 tarih ve 2018/63 sayılı “Veri Sorumlusu Nezdindeki Kişisel Verilere Erişim Yetkisi Bulunan Personelin Yetkisi ve Amacı Dışında Söz Konusu Verileri İşlemesi Hususunun Değerlendirilmesine İlişkin İlke Kararı”nda da düzenlenen bu hususun Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmadığının bir göstergesi olduğu dikkate alındığında, veri sorumlusu Banka hakkında idari yaptırım uygulanmasına ve veri sorumlusunun kişisel verilerin güvenliğini tesis etmeye yönelik gerekli teknik ve idari tedbirleri aldığı hususunda açıklayıcı belgeleri Kuruma iletmesi hususunda talimatlandırılmasına karar verilmiştir.

B) Veri ihlali kapsamında yapılan inceleme sonucunda;

Kişisel verilere kanuni olmayan yollarla başkaları tarafından erişim sağlanması halinde Kanunun 12 nci maddesinin (5) numaralı fıkrasında düzenlenen hüküm gereği bu durumun en kısa sürede ilgilisine ve Kurula bildirilmesi gerektiği hususunda veri sorumlusuna hatırlatmada bulunulmasına karar verilmiştir.

C) Türk Ceza Kanunu kapsamında yapılan inceleme sonucunda;

Türk Ceza Kanununun “Verileri hukuka aykırı olarak verme veya ele geçirme” başlıklı 136 ncı maddesinde yer alan suçların işlenmiş olabileceği dikkate alınarak, Türk Ceza Kanununun 136 ncı maddesi çerçevesinde ilgili kişinin kişisel veri niteliğindeki kimlik, müşteri işlem ve finansal bilgilerini (geçmiş yıllara ilişkin karşılıksız çek ve tedbir kararı bilgileri) sorgulayıp mahkemeye sunan veri sorumlusu bünyesinde çalışan şahıs hakkında gerekli hukuki işlemlerin tesisi için konunun Cumhuriyet Başsavcılığına bildirilebileceği yönünde ilgili kişinin bilgilendirilmesine karar verilmiştir.

H) DİĞER KARARLAR

  1. “İlgili kişinin Kanunun 11 nci maddesi kapsamındaki başvurusuna veri sorumlusu tarafından verilen cevabın yeterli bulunmaması” hakkında Kişisel Verileri Koruma Kurulunun 03/02/2021 tarihli ve 2021/85 sayılı Karar Özeti

İlgili kişinin “…com.tr” adresinden ürün sipariş verdiği, bu işlem ve veri sorumlusunun e-bültenine kayıt esnasında kişisel verilerin işlenmesine dair bir aydınlatmanın sunulmadığı, hangi verilerin ne amaçla işlendiği, ne kadar süre saklandığı konusunda veri sorumlusundan süresi içinde alınan cevap yazısının yeterli bulunmadığı zira;

  • veri sorumlusunun “Kişisel Veri Politikası” bölümünün belirli ve açık bir aydınlatma olmadığı,
  • veri sorumlusunun internet sitesinde yer alan “Politika” bölümünde IP, Çerez gibi konularda yeterli bilgilendirme yapılmadığı,
  • ilgili kişiye verilen cevap metninde kişisel verilerin idari ve resmi makamlar, taşıma şirketleri, yurt içi ve yurt dışı kuruluşlar ve 3. kişilere aktarıldığının söylendiği ve hangi şirketlere aktarıldığının belirtilmediği ifade edilerek gerekli işlemlerin tesisi istemiyle Kurum’a başvurulmuştur.

Veri sorumlusu tarafından Kurum’a iletilen savunma metninde; Kanun’un yürürlüğe girmesiyle Politika metninde iyileştirmeler yapıldığı, ilgili kişinin belirli ve açık olmadığını ileri sürdüğü aydınlatma metninin yeniden düzenlenip daha açık bir anlama kavuşturulduğu, IP, Çerez gibi verilere ilişkin açıklamaların aydınlatma metninde yer aldığı, veri sorumlusunun internet sitesinde ayrıca Çerez Politikasına da yer verildiği, Mesafeli Satış Sözleşmesi gereği ilgili kişinin siparişinin ulaştırılması için zorunlu olarak işlenen ve kargo firmasına aktarılan veriler dışında, herhangi bir veri paylaşılmadığı ifade edilmiştir.

Aydınlatma yükümlülüğü kapsamında yapılan inceleme neticesinde;

  • Kanunun veri sorumlusuna yüklediği “Aydınlatma Yükümlülüğü”nün amacının, ilgili kişilerin, kişisel verilerini belirli işlemler için veri sorumlularına vermeden önce; kişisel verilerinin kullanımı, aktarımı, bu işlemlerin hukukî mesnetleri ve başvuru mercii olan veri sorumlusunun kimliği ile kendilerinin kişisel verileri üzerinde var olan haklarıyla alakalı olarak bilgilendirilerek, kişisel verileri üzerindeki hakimiyetlerini tamamen yitirmelerini önlemek olduğu, aydınlatma yükümlülüğünün varlığı, şeffaflık ilkesinin bir gereği olup şeffaflığın şartının da ilgili kişinin anlaşılabilir bir şekilde bilgilendirilmesi olduğu,
  • Bu doğrultuda hazırlanan bir Aydınlatma Metninin, ilgili kişilere, yaptıkları işlem bazında, söz konusu işlem dahilinde kullanılan kişisel verilerine ilişkin bilgilendirme sağlamasının beklendiği, “Gizlilik Politikası”, “Veri İşleme Politikası” gibi metinlerin, karışık yapıları ve ilgili kişilerin ihtiyacı olan belirlilikteki bilgilendirmeleri sağlayamamaları nedenleriyle Aydınlatma Metni olarak kullanılmamaları gerektiği ve aydınlatma yükümlülüğünün işlenecek kişisel veri bazında yerine getirilmesi gerektiği,
  • Veri sorumlusunun güncel Aydınlatma Metni incelendiğinde Kanunda ifade olunan asgari unsurlara yer verildiğinin görüldüğü, ayrıca veri sorumlusunun işlediği kişisel verilerin de kategorik olarak Aydınlatma Metninde sunulduğu,
  • Veri sorumlusunun internet sitesinden (….com.tr) sipariş verilmek istendiğinde iki seçenek olduğu; bunlardan birincisinin internet sitesine üye olarak siparişi gerçekleştirmek, diğerinin ise üye olmadan devam ederek siparişi tamamlamak olduğu; söz konusu internet sitesinde bulunan “Üye Ol” sayfasına tıklandığında “Kişisel Verilerin Korunması hakkındaki açık rıza metnini okudum, onaylıyorum” butonu aktif edilmeden siteye üye olunamadığı, bir Aydınlatma Metni hüviyetini taşımayan bu metnin de kendi içerisinde Gizlilik Politikası metnine bir bağlantı içermediği, üye olunmadan devam edildiği takdirde ise aydınlatmaya dair herhangi bir buton veya pop-up yardımıyla aydınlatmada bulunulmadığı,
  • Açık Rıza Metinlerinin, ilgili kişilere, işlenecek kişisel verileri hakkında sade ve özet bilgiler sunan metinler olduğu; bununla birlikte detaylı bilgilendirme için veri sorumlularının ilgili kişileri Aydınlatma Metnine yönlendirdikleri, bu durumun aydınlatmanın kişisel verilerin işlenmesinden önce yapılması adına önemli bir gereklilik olduğu fakat veri sorumlusunun bu gerekliliği yerine getirmediğinin anlaşıldığı,
  • Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna ait olduğundan, veri sorumlusunun internet sitesinin en alt bölümünde bir link olarak yer verdiği politika metninin internet sitesinden alışveriş yapan ilgili kişilerin aydınlatıldığını ispatta yetersiz kaldığı zira söz konusu Aydınlatma Metninin, ilgili kişilerin sipariş vermesi ve üye olması sırasında ekrana gelmediğinden ilgili kişilerin bahse konu metni okuyup okumadığının belirsiz olduğu, bu noktada, internet sitesinden sipariş verilmesi veya internet sitesine üye olunması gibi, ilgili kişilerin kişisel verilerinin işlenmesine sebebiyet verecek işlemler esnasında ilgili kişilere, gerçekleştirdikleri işlemler özelinde; işlenecek kişisel veri kategorileri, bu verilerin işlenme amacı, hangi veri kategorilerinin hangi alıcı gruplarına ne maksatla aktarıldığı, sipariş kapsamında gerçekleştirilen veri işleme faaliyetlerinin hukukî sebeplerinin belirtildiği bir metin vasıtasıyla, işlenecek kişisel veriler bazında aydınlatma yapılarak sonrasında ilgili kişilere, veri sorumlusunun genel veri işleme politikasını yansıtan metnine, örneğin bir link eklenmesi vasıtasıyla yönlendirme yapılabileceği,
  • Bu açıklamalar ışığında, veri sorumlusunun ilgili kişilere, kişisel verilerinin en geç elde edilmesi esnasında, bahse konu işlemler bazında, “belirli ve açık” bir aydınlatmada bulunmadığı ve Aydınlatma Metninde eksiklikler bulunduğu; Tebliğ’in 5. Maddesi uyarınca, “…aydınlatma yükümlülüğü yerine getirilirken, genel ve muğlak ifadelere yer verilmemeli, başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadeler kullanılmamalı, ilgili kişiye yapılacak bildirimin anlaşılır, açık ve sade bir dil kullanılması gerektiği; eksik, yanıltıcı ve yanlış bilgilere yer verilmemesi…” hükmüne aykırı hareket ettiği ifade edilmiştir.

Kurul’un değerlendirmeleri sonucunda;

Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ edilmesi, bu kararın tebliğden itibaren en geç 30 gün içinde yerine getirilmesi hükmü uyarınca, veri sorumlusunun söz konusu hukuka aykırılıklarının giderilmesi ve sonucundan Kurul’a bilgi verilmesi hususlarında talimatlandırılmasına karar verilmiştir.

  1. “İlgili kişiye bir banka tarafından SMS gönderilmesi ve ilgili kişinin bu banka nezdindeki kişisel verilerinin imha edilmesi talebinin yerine getirilmemesi hakkında” Kişisel Verileri Koruma Kurulunun 13/04/2021 tarihli ve 2021/358 sayılı Karar Özeti

Veri sorumlusu bir banka ile ilgili kişi arasındaki ilişkinin 22.11.2003 tarihinde, müşteri numarası alınmasıyla kurulduğu, son işlem tarihinin de bu tarih olduğu, veri sorumlusu ile ilgili kişinin ilişiğinin 16 yıl önce kesilmesine rağmen, kişisel verilerinin veri sorumlusu tarafından halen saklandığı, ilgili kişiye halen SMSler gönderildiği, kredi kartı isteyip istemediğine ilişkin telefon aramalarının yapıldığı, veri sorumlusuna başvuru yapıldığı, verilen yanıtın süresinde yapılmadığı ve yetersiz olduğu, kişisel verilerinin yurt dışına aktarılabildiği hususuna yer verildiği, bu konuda ilgili kişinin açık rıza vermediği, yurt dışına veri aktarım istisnalarından yararlanıldığına dair bir bilgi verilmediği, 2003 yılında veri sorumlusu ile yapılmış sözleşmenin sona ermesine rağmen ilgili kişinin kişisel verilerinin silinip silinmeyeceğinin açıkça belirtilmediği ve bu bilgilerin 10 yıl daha saklanmasının mevzuata aykırı olduğu belirtilerek veri sorumlusu hakkında Kanun kapsamında gerekli tedbirlerin alınması talep edilmiştir.

Veri sorumlusu bankanın Kurum’a iletilen savunma yazısında;

  • İlgili kişinin kendilerine tebliğ edilen başvurusuna verilen cevabın sehven ilgili kişiye 2 gün gecikmeli olarak gönderildiği,
  • İlgili kişinin veri sorumlusu nezdindeki müşteri numarasının 2003 yılında oluşturulduğu, bu yıl ilk kredi kartı girişinin yapıldığı, bu çerçevede ilgili kişi ile veri sorumlusu arasında 18/11/2003 tarihli Kredi Kartı Başvuru Formu ve Bankacılık İşlemleri Sözleşmesinin ve 14/11/2011 tarihli Bilgi Güncelleme, Kimlik Adres Tespit Tutanağı ve Bankacılık İşlemleri Sözleşmesinin mevcut olduğu,
  • Veri sorumlusu nezdinde ilgili kişiye ait herhangi bir açık hesap ya da ürünün bulunmadığı, ilgili kişiye müşteri ilişkisi çerçevesinde hizmet sağlanamıyor olsa da 5411 sayılı Bankacılık Kanunu kapsamında yükümlülüklerinin halen devam ediyor olması sebebiyle ilgili kişinin bilgilerinin veri sorumlusunun veri tabanında saklandığı,
  • 08/11/2019 tarihinde Gelir İdaresi Başkanlığının bildirimine istinaden ilgili kişinin veri sorumlusunda hak ve alacağının olmaması nedeniyle e-haciz uygulanamamış olduğu, aynı gün yine kurumdan gelen iptal bilgisine istinaden kayıtlara geçen haciz bilgisi iptal işleminin veri sorumlusu sisteminde kayıtlı bulunan cep telefonuna “Değerli müşterimiz, hesap limitiniz üzerinde bulunan e-haciz kısıtı, KADIKÖY V.D.’den Bankamıza iletilen bildirime istinaden kaldırılmıştır” şeklinde yasal bilgilendirme içeren SMS’in gönderildiği,
  • Elektronik Ticaretin Düzenlenmesi Hakkında Kanuna istinaden iletişim izni olmayan müşterilere pazarlama, temenni, kutlama içerikli elektronik iletilerin gönderilmemesi gerektiği, ayrıca Ticari İletişim ve Ticari Elektronik İletiler Yönetmeliğinin 6 ncı maddesinin (2) numaralı fıkrası uyarınca iletilerin yasal bilgilendirme içermesi halinde bu konuda iletişim izni bulunmasına gerek olmadığı,
  • Veri sorumlusu nezdinde, vergi dairelerinden dosya borçlusu kişiler aleyhine/adına gelen haciz bildirimleri için birbirini tetikleyen bir sürecin mevcut olduğu, bu süreçte bahse konu müşterilere konu hakkında bilgilendirme mesajlarının gönderilmesinin de yer aldığı, bu mesajların yasal bilgilendirme içeriyor olması sebebiyle de otomatik tetiklenen bilgilendirme SMS’lerinde müşterinin iletişim izni durumuna bakılmadığı,
  • Bankacılık Kanununun “Belgelerin Saklanması” başlıklı 42 nci maddesi gereğince müşterilerin banka nezdinde yaptığı işlemlere ilişkin belgelerin, son işlem/talimat tarihinden itibaren 10 yıl süreyle saklandığı, 10 yıl hareketsiz kalan hesapların banka sistemlerinde taranarak 6 ayda bir periyodik silme işlemine tabi tutulduğu, bunun yanı sıra hesaba bağlı olmaksızın müşterilerden gelen talepler için de son işlem tarihinden itibaren 10 yıl geçmesi akabinde veri sorumlusu nezdindeki verilerin silindiği, ilgili kişinin veri sorumlusu nezdindeki son işleminin 2013’te gerçekleştirilen kredi kartı kapatma işlemi olduğu, 2019 tarihinde ise daha önce izni bulunan kampanya bilgilendirmesine yönelik iznini iptal ettiği,
  • Veri sorumlusunun hukuki yükümlülüklerini yerine getirebilmesi için zorunluluk halinin devam ettiği, ilgili kişiye ait verilerin ancak veri sorumlusu nezdindeki son işlem tarihinden itibaren 10 yıl sonra silinebileceği,
  • İlgili kişinin verilerinin Kanunun 9 uncu maddesinde yer alan ve açık rıza gerektiren haller kapsamında yurt dışına aktarılmadığı,
  • Veri sorumlusu nezdinde işlenen kişisel verilerin Kanunun 12 nci maddesi kapsamında güvenlik düzeyini sağlamaya yönelik idari ve teknik tedbirlerin alındığı

ifade edilmiştir.

Kurul yaptığı incelemede;

  • İlgili kişinin veri sorumlusu nezdinde tutulan cep telefon numarasının bir kişisel veri olduğu, kişiye SMS gönderilmesi suretiyle ise kişisel veri niteliğindeki cep telefonu numarası ile ilgili işleme faaliyeti gerçekleştiği,
  • İlgili kişinin veri sorumlusuna yaptığı başvurunun veri sorumlusu tarafından Kanunda ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğde (Tebliğ) öngörülen süre içerisinde cevaplanmadığı,
  • İlgili kişinin şikâyet dilekçesinde veri sorumlusu tarafından ilgili kişiye hukuka aykırı olarak mesajlar gönderildiği ve kredi kartı isteyip istemediğine yönelik telefon aramaları gerçekleştirildiği iddia edilse de, dilekçesinin ekinde sadece gönderilen bir adet SMS’e ilişkin görüntü kaydına yer verildiği, buna karşın aramalara ilişkin açıklayıcı herhangi bir belgeye yer verilmediği ve ilgili kişi tarafından veri sorumlusuna yapılan başvuruda sadece gönderilen SMS’lerden bahsedildiği anlaşıldığından; ilgili kişinin veri sorumlusuna yöneltmediği ancak şikâyet başvurusunda değindiği “telefon aramaları”nın inceleme kapsamına alınmamasının uygun olacağı,
  • Veri sorumlusu tarafından ilgili kişiye yasal bir iletinin gönderilmesi suretiyle kişinin telefon numarasının Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (2) numaralı fıkrasında yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartına dayalı olarak işlendiği, ilgili iletinin yasal bilgilendirme içermesi ve herhangi bir mal veya hizmetin tanıtımının da söz konusu olmaması sebebiyle ilgili kişinin rızasının/izninin alınmasına gerek olmadığı, dolayısıyla veri sorumlusu tarafından ilgili kişiye yasal bilgilendirme içerikli SMS’in gönderilmesi suretiyle telefon numarasının işlenmesinde herhangi bir hukuka aykırılık bulunmadığı,
  • İlgili mevzuat hükümleri dikkate alındığında, ilgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin henüz ortadan kalkmaması sebebiyle, ilgili kişinin silme talebinin veri sorumlusu tarafından yerine getirilmemesinin hukuka aykırı olmadığı,
  • İlgili kişinin kişisel verilerinin veri sorumlusu tarafından yurt dışına aktarıldığı iddiasına ilişkin olarak Kuruma açıklayıcı bir bilgi veya belge sunulmadığı

belirtilmiştir.

Bu değerlendirmeler sonucunda;

  • İlgili kişinin yaptığı başvuruya, 30 günlük yasal süre geçtikten sonra cevap vermesi sebebiyle veri sorumlusunun gerekli dikkat ve özeni göstermesi gerektiği konusunda talimatlandırılmasına,
  • Veri sorumlusu tarafından ilgili kişiye yasal bilgilendirme içerikli SMS’in gönderilmesi suretiyle kişisel verilerinin işlenmesinde hukuka aykırılığın bulunmadığı kanısına varıldığından bu hususta Kanun kapsamında yapılacak bir işlemin olmadığına,
  • İlgili kişinin veri sorumlusu nezdindeki son işlem tarihinin 2013’te gerçekleştirilen kredi kartı kapatma işlemi olduğu ve dolayısıyla son işlem tarihi üzerinden 10 yıllık sürenin geçmemiş olduğu dikkate alındığında; ilgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin henüz ortadan kalkmaması sebebiyle silme talebinin veri sorumlusu tarafından yerine getirilmemesinin Kanunun 7 nci maddesi hükümleri dikkate alındığında hukuka aykırı olmadığı kanısına varıldığından yapılacak bir işlemin olmadığına,
  • İlgili kişinin, kişisel verilerinin veri sorumlusu tarafından yurt dışına aktarıldığı iddiasına ilişkin olarak Kuruma açıklayıcı bir bilgi veya belge sunmadığı dikkate alındığında söz konusu iddiaya ilişkin olarak Kanun kapsamında yapılacak bir işlem olmadığına karar verilmiştir
  1. “İşten çıkarma sürecinde veri sorumlusu işveren tarafından ilgili kişinin kişisel verilerinin hukuka aykırı olarak işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 09/03/2021 tarihli ve 2021/205 sayılı Karar Özeti

İlgili kişinin iş sözleşmesinin feshedildiği tarihe kadar veri sorumlusu şirketin bir çalışanı olduğu, iş sözleşmesinin haksız olarak sona erdirildiği, bu süreçte şahsına ait ve ailevi özel eşyalarına el konulduğu, bilgisayarını habersiz aldığını, e-posta hesabının kapatıldığı, şahsına ait harici hard diskinin alındığı, özel bilgi ve belgeleri, banka bilgileri ve şifreleri ile fotoğraflarının ekrana yansıtılmak suretiyle odasında bulunan kişilerce izlendiği ifade edilerek gerekli incelemenin yapılması talep edilmiştir.

Veri sorumlusunun savunma yazısında;

  • İlgili mevzuat uyarınca, tutulması gereken iş yeri belgelerinin 10 yıl süre ile saklanmasını gerektiren yasal zorunluluk ve ilgili kişi ile veri sorumlusu arasında halen devam etmekte olan davaların takibi amacıyla tutulduğu,
  • İlgili kişiye ait “özel hard disk” ve “şifrelerin” veri sorumlusu bünyesinde saklanmadığı veya sair yollarla işlenmediği,
  • İlgili kişiyle aralarında dava bulunduğu, mahkemenin ilgili kişi tarafından ileri sürülen bu iddialara herhangi bir sonuç bağlamadığı, davalardaki taleplerin reddedildiği göz önünde bulundurulduğunda ilgili kişinin iddialarının mahkeme tarafından haklı bulunmadığının görüleceği ve dolayısıyla, şikâyetçinin dile getirdiği konuları daha önce dava konusu yapmış olmasının Kurulun bu konuda bir karar almasına engel olduğu,
  • Veri sorumlusu tarafından ilgili kişiye kullanımı için verilmiş olan dizüstü bilgisayarın işten çıkış aşamasında geri alındığı, kişinin dizüstü bilgisayarındaki veriler teslim alındıktan sonra hiçbir verisi kopyalanmadan, geri döndürülemeyecek şekilde silindiği,
  • İlgili kişinin şirkete ait e-posta hesabının işten ayrıldıktan sonra kapatılmasının, şirket hesabı ile şirket adına işlem yapılmasının engellenmesi amacıyla uygulanan standart bir prosedür olduğu

ifade edilmiştir. 

Kurul yaptığı incelemede;

  • İlgili kişinin iddia ettiği hususları veri sorumlusu ile aralarında devam etmekte olan davalarda belirtmişse de bu davaların işçilik alacağı ve işe iade talepli davalar olduğu, bu dava dilekçelerinde ilgili kişinin, kişisel verileriyle ilgili iddialarını da belirttiği ancak kişisel verilerine ilişkin bir talep oluşturmadığı, ilgili kişi tarafından bu davaların ikame edilmesindeki amacın kişisel verilerine yönelik koruma talep etmek değil işe iade ve işçilik alacağı olduğu,
  • İş sözleşmesi feshedildikten sonra ilgili kişinin kullanımına tahsis edilen şirket bilgisayarının formatlanması ve şirket e-postasının kapatılmasının Kanuna aykırılık teşkil etmediği, iş sözleşmesinin sonlanmasından sonra veri sorumlusu şirket tarafından, işçinin e-posta adresinin kapatılmasının ve işçinin kullanımına tahsis edilmiş bilgisayarın geri alınmasının hayatın olağan akışı gereği olduğu, ilgili kişi e-posta adresinin kapatılması suretiyle hesabına erişiminin engellendiğini belirtmişse de bu durumun Kanuna aykırılık teşkil etmeyeceği,
  • Yargıtay 9. Hukuk Dairesinin 05/02/2007 tarihli E.2006/30107, K.2007/2011 sayılı kararında bilgisayar kaynaklarının amacına uygun kullanılması ile ilgili işyeri iç düzenlemesine rağmen, davacının şirket bilgisayarını mesai saatleri içinde kişisel mailinde kullandığı, davacının bu davranışının şirketin iç işleyişi ile ilgili düzenlenen kurala aykırı olduğu gibi, mesai saatleri içinde kişisel ihtiyaçlarında işyeri bilgisayarını kullanarak iş görme edinimini yeterince yerine getirmediği, bu davranışının işyerinde olumsuzluklara neden olduğu, feshin geçerli nedene dayandığı sonucuna varıldığı, buradan hareketle işçinin kullanımına tahsis edilen bilgisayar ve e-posta adreslerinin sadece iş görme amacıyla kullanılması gerektiğinin değerlendirildiği, dolayısıyla ilgili kişinin e-posta adresinin sadece iş ile alakalı hususları içeriyor olması gerektiği, bu durumda ilgili kişi ile aralarında iş ilişkisi kalmayan veri sorumlusuna ait şirket e-posta hesabına ilgili kişinin ulaşmasında yararının bulunmadığının değerlendirildiği, dizüstü bilgisayar açısından da durumun benzer olduğu, veri sorumlusu tarafından dizüstü bilgisayarın içindeki verilerin geri döndürülemeyecek şekilde formatlanmış olduğu belirtildiği, sadece iş ile ilgili hususları içerdiği varsayılan bu bilgisayarın iş ilişkisi sonlandıktan sonra ilgili kişiden alınmasının Kanuna aykırılık teşkil etmediği,
  • İlgili kişinin, kişisel harici hard diskinin, şahsına ve ailesine ait özel bilgilerinin, banka bilgilerinin, banka şifrelerinin ve fotoğraflarının ekrana yansıtılmak suretiyle odasında bulunan kişilerce izlendiğine ilişkin iddialarıyla ilgili dosya kapsamında açıklayıcı bir bilgi veya belgeye yer verilmediği

belirtilmiştir.

Tüm bu değerlendirmelerinden hareketle Kurul;

  • Veri sorumlusu ile ilgili kişi arasındaki iş sözleşmesi feshedildikten sonra ilgili kişinin kullanımına tahsis edilen şirket bilgisayarının formatlanması ve şirket e-postasının kapatılması suretiyle hesabına erişiminin engellenmesinin Kanuna aykırılık teşkil etmediğine,
  • İlgili kişinin, kişisel harici hard diskinin, özel bilgi ve belgelerinin, şahsına ve ailesine ait özel şeylerin, banka bilgilerinin, banka şifrelerinin ve fotoğraflarının ekrana yansıtılmak suretiyle odasında bulunan kişilerce izlendiğine ilişkin iddialarıyla ilgili dosya kapsamında tevsik edici bir bilgi veya belge bulunmadığından bu aşamada yapılacak bir işlem bulunmadığına

karar vermiştir.