Selen İBRAHİMOĞLU GÜREŞ Avukat / Yönetici Ortak
Öykü DALGIÇ Avukat
[email protected]
19 Mart 2021
A-
A+
İlgili kişi şikayetinde özetle; cep telefonuna, kendisine ait herhangi bir içerik barındırmayan fakat yakınına ait bir borca ilişkin iki adet kısa mesaj (SMS) gönderildiği ve konuya ilişkin olarak ilgili hukuk bürosuna ve alacak sahibi şirkete başvuruda bulunduğunu ancak tarafına verilen yanıtların birbiri ile çelişkili ve yetersiz olduğu ifade ederek Kişisel Verilerin Korunması Kurumu’na (“Kurum”) başvuruda bulunmuştur.
Kişisel Verilerin Korunması Kurul’u (“Kurul”) yapmış olduğu inceleme sonucunda; Şirketin abonelerine ait borçların tahsilatına ilişkin olarak iki aşamalı bir süreci sözleşmeli avukatlar aracılığı ile uyguladığı, bu süreçlerin ‘idari takip aşaması’ ve ‘icra takip aşaması’ olarak adlandırıldığı ve bu iki aşama için farklı hukuk büroları ile çalışıldığı ve bu kapsamda (i) kişisel verilerin işlenme amaç ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yürütülmesinden sorumlu olan Şirket ile ilk Hukuk Bürosu çalışanının ilgili sistemde borçlu kişiye ait olmayan ve Yasal Takip Sisteminde (“YTS”) sisteminde bulunmayan numarayı bir şekilde temin ederek işlediği anlaşıldığından ilk Hukuk Bürosu Avukatının olay özelinde veri sorumlusu olduğu, (ii) borçlu kişiye ait olmadığı bilgisinin mevcut ve açıkça belirli olduğu halde kullanılarak SMS gönderildiği hususu dikkate alındığında SMS gönderimi işlemini yapan ikinci Hukuk Bürosu Avukatının da YTS isimli kayıt sistemi çerçevesinde kişisel veri işleme faaliyetinde bulunduğu dolayısıyla Şirket ve birinci hukuk bürosu avukatları ile birlikte veri sorumlusu olduğu, (iii) Veri sorumlusu şirket tarafından borç takibi yapılabilmesi amacıyla kullanılan sisteme ilk Avukat tarafından girilen verilerin doğruluğu ve güncelliği noktasında gerekli denetim ve kontroller yapılmaksızın dosyanın ikinci bir avukat ile paylaşıldığı anlaşıldığından Şirket tarafından doğru ve gerektiğinde güncel olma ilkesine aykırı hareket edildiği; (iv) ilgili kişinin telefon numarasının nasıl temin edildiği konusunda 118 sorgu gibi kamuya açık portallardan edinilmesi ya da borçlu şahıs veya yakınlarının paylaşması sonucu bu bilgiye ulaşılmış olunabileceği açıklamalarının açık rıza dışındaki işleme şartlarına ilişkin bir hukuki dayanak oluşturmadığından hareketler açık rıza dışındaki kişisel veri işleme şartlarından herhangi biri geçerli olmadığı halde kişisel veri niteliğinde olan ilgili kişiye ait iletişim bilgisinin, yakınının borcu olması dolayısıyla Avukat tarafından işlendiği sonucuna varıldığı ve (v) YTS sisteminde ilgili kişiye ait telefon numarasının kişinin yakınına ait olduğu bilgisinin mevcut olmasına rağmen bu sisteme erişimi bulunan ikinci Hukuk Bürosu Avukatı tarafından ilgili kişiye SMS göndermek suretiyle kişisel veri işleme şartlarından herhangi biri söz konusu olmadığı halde ayrıca işlendiği tespit edildiğinden, avukat tarafından kişisel verilerin hukuka aykırı işlenmesini önlemek adına gerekli dikkat ve özen yükümlülüğü yerine getirilmeyerek hukuka aykırı kişisel veri işleme faaliyetinde bulunulduğunu göz önünde bulundurarak;
İlgili kişi Kuruma’a iletmiş olduğu şikayetinde istifa dilekçesinin alınması sonrası özlük dosyası kapsamında yer alan kişisel verilerinin birer suretini Kanun’un 11 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında eski çalışanı olduğu veri sorumlusu kargo firmasından talep etmesine rağmen, tarafına 30 gün içerisinde herhangi bir cevap verilmemesi sebebiyle veri sorumlusu hakkında yaptırım uygulanması ve özlük dosyası kapsamında yer alan kişisel verilerinin birer suretinin tarafına verilmesi amacıyla veri sorumlusunun talimatlandırılmasını talep etmiştir.
Kurul yapmış olduğu inceleme sonucunda ; veri sorumlusunun ilgili kişiden 30.09.2019 tarihinde aldığı yazılı savunma ve 18.10.2019 ile 17.10.2019 tarihli istifa dilekçelerinin içerik itibariyle kişisel veri niteliğinde olduğu; Anayasanın 20 nci maddesinin (3) numaralı fıkrasında “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” hükmünün yer aldığı; bu kapsamda Anayasa’nın bahsi geçen düzenlemesi ile birlikte “… kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme…” hakkına sahip olduğunu düzenleyen Kanunun 11 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında ilgili kişinin kişisel verilerine erişme hakkının olduğu ve bu hakkını veri sorumlusuna karşı ileri sürebileceği; Anayasa’nın 38. Maddesinde düzenlenen susma hakkına dayanılarak Veri Sorumlusu tarafından ilgili kişinin talebine cevap verilmediği iddiasının veri sorumlusunun tüzel kişi olması sebebiyle geçerli olmadığı ve Veri Sorumlusu Şirket tarafından Kurul’un 24.12.2018 tarih ve 2018/156 sayılı karar özetine atıf yapılmak suretiyle ilgili kişi tarafından şikayet konusu yapılan hususun yargı mercilerinin görevine giren konularla ilgili olduğu, bu nedenle şikayetin reddinin gerektiği iddiasının ilgili kişinin veri sorumlusuna karşı açmış olduğu davanın konusunun kişisel verilere ilişkin olmaması sebebiyle kabul edilebilir olmadığından bahisle; ilgili kişinin başvurusunun, Kanunda düzenlenen haklara ilişkin olmadığı ve başvurunun Kanunda düzenlenmeyen bir konu olan belge örneği talebi içerdiği için Kanunun 11 inci maddesi kapsamında karşılanmasının mümkün olmadığı gerekçesiyle veri sorumlusu tarafından 30 günlük yasal süre içerisinde cevaplandırılmadığı dikkate alındığında, veri sorumlusunun ilgili kişiye ait kişisel veri niteliğindeki bilgilerini içeren 30.09.2019 tarihli savunma yazısı ile 18.10.2019 tarihli ve 17.10.2019 tarihli istifa dilekçelerinin birer örneğinin ilgili kişiye verilmesi hususunda Kanunun 15 inci maddesinin (5) numaralı fıkrası kapsamında ve ilgili kişiler tarafından Kanun kapsamında yapılan başvurulara yasal süresi içerisinde cevap vermesi noktasında azami dikkat ve özeni göstermesi gerektiği hususunda talimatlandırılmasına karar vermiştir.
İlgili kişinin vekili tarafından sunulan şikayet dilekçesinde özetle; Müvekkilinin Google arama motorunda adı ve soyadının aratılması sonucunda veri sorumlusu Gazetenin internet sitesinin linkine ulaşıldığı, söz konusu haberde müvekkilinin hüküm giydiği suça ilişkin bilgilerin yer aldığı ve haberin 2009 Haziran dönemine ait olması sebebiyle yaklaşık 10 yıl öncesine ilişkin olduğu, söz konusu cezanın tamamının infaz edildiği, ulaşılan haberler nedeniyle müvekkilinin iş hayatı ve ailesinin bu durumdan olumsuz etkilendiği, veri sorumlusu Gazeteye başvurulduğu; ancak başvurusunun reddedilmesi sebebiyle Kurum’dan veri sorumlusu gazeteye Kanun kapsamında idari para cezası verilmesi, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması nedeniyle veri işlenmesinin ve verinin yurt dışına aktarılmasının durdurulması, ilgili kurumlar hakkında Savcılığa suç duyurusunda bulunulması talep edilmiştir.
Kurul yapmış olduğu incelemede ifade özgürlüğünün bir yansıması olan basın özgürlüğü ile kişilik hakları karşı karşıya geldiğinde haberin a) kamu ilgi ve yararı taşıması, b) gerçek ve güncel olması, c) özü ile biçimi arasındaki denge kriterleri değerlendirilerek hangi hakka üstünlük tanınması gerektiğinin belirlenmesinin önem teşkil ettiğini ifade ederek ilgili kişinin şikayetini söz konusu kriterleri ayrı ayrı ele alarak değerlendirmiş olup ilgili kişinin kendisine ilişkin verinin söz konusu habere konu edilerek yayımlanmasında hâlihazırda kamu yararı bulunduğu ve bu itibarla çatışan haklar bakımından ifade özgürlüğünün kişilik haklarına üstün geldiği sonucuna vararak ve söz konusu başvurunun Kanunun 28 inci maddesinin birinci fıkrasının (c) bendi kapsamında girmesi sebebiyle ilgili kişinin şikayeti ile ilgili olarak Kanun kapsamında yapılacak bir işlem bulunmadığına karar vermiştir.
İlgili kişi Veri Sorumlusu hastane tarafından tahlil sonuçlarının e-posta yoluyla kendisine iletildiği, ancak aynı e-postanın başka bir e-posta adresine ve tanımadığı bir kişiye daha gönderildiğini fark etmesi üzerine Kanun kapsamında gereğinin yapılması amacıyla Kurum’a şikayette bulunmuştur.
Kurul tarafından başlatılan inceleme kapsamında Veri Sorumlusundan alınan savunmada Veri Sorumlusu ilgili kişinin tahlil sonuçlarının aynı gün aynı test için hastalarını hastane laboratuvarına yönlendirmiş olan başka bir doktorun özel asistanına ve hastaların kendilerine e-posta olarak iletildiğini belirtmiştir.
Kurul tarafından gerçekleştirilen değerlendirmeler sonucunda; ilgili kişinin veri sorumlusu Hastanede bulunan tahlil sonuçlarının sağlığa ilişkin özel nitelikli kişisel veri olduğu dikkate alındığında, bahse konu tahlil sonuçlarının üçüncü bir taraf olarak, hastaneden bağımsız şekilde çalışan ve ayrı bir gerçek kişi veri sorumlusu olarak değerlendirilen doktorun asistanına Kanunun 8 inci maddesinde belirtilen ilgili kişinin açık rızası ya da 6 ncı maddede düzenlenen işleme şartlarından biri olmadığı halde mail atılmak suretiyle aktarılmasının hukuka aykırı işleme olması sebebiyle Veri Sorumlusu Hastane’nin Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin birinci fıkrasına yönelik yükümlülüğünü yerine getirmediği kanaatine varılarak Hastane hakkında Kurul 100.000 TL idari para cezası uygulanmasına karar vermiştir.
İlgili kişi Kurum yapmış olduğu şikayetinde; Çalışmakta olduğu veri sorumlusu şirketten Kanun’un 11. maddesi kapsamındaki hakları kapsamında bilgi talebinde bulunduğu, söz konusu talebine yeterli cevap alamadığı bu kapsamda
hukuka aykırı uygulamaları nedeniyle veri sorumlusu hakkında gerekli yaptırımların uygulanmasını talep etmiştir.
Kurul tarafından gerçekleştirilen inceleme sonucunda;
Veri sorumlusu tarafından öne sürülen çalışanların “…parmak izlerinin kriptografik yöntemlerle muhafaza edildiğini, bu sebeple bu verilerin biyometrik veri niteliği taşımadığı…” iddiası karşısında biyometrik verilerin hash yöntemi ile saklandıklarında biyometrik veri olma niteliklerini kaybetmedikleri, bu bakımdan açık rızanın bulunmadığı hallerde biyometrik verilerin ancak Kanun’un 6. maddesinde öngörülen kanunlarda öngörülme şartı doğrultusunda işlenebileceği;
Diğer taraftan Şirket tarafından çalışanların biyometrik veri niteliğindeki parmak izi verisinin toplanmasının Kanunun 4.maddesinin (2) numaralı fıkrasında yer alan “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi ile bağdaşmadığı zira, acil durum yönetimi sürecinin yürütülmesi, fiziksel mekan güvenliği ve yetkili kurum ve kuruluşlara bilgi verilmesi amaçlarının örneğin; fiziksel mekan güvenliğinin sağlanabilmesi için giriş esnasında manyetik kart sistemi, RFID etiketi, cep telefonuna gönderilecek bir SMS’in sisteme girilmesi gibi alternatif yollar ile sağlanması mümkünken parmak izi verisinin alınmasının orantısız bir veri işleme faaliyeti olduğu;
İşlenen kişisel verilerin aktarıldığı üçüncü kişiler arasında “Bu bölümde sayılan şirketlerin yerini alabilecek diğer şirketler” vb. ifadelerin yer alması halinde, işlenecek kişisel verilerin tam olarak nereye aktarılacağının rıza verecek ilgili kişi tarafından tam olarak anlaşılması mümkün olmayacağından, bu şekilde verilen rızanın açık rıza olarak değerlendirilmeyeceği, dahası 31.05.2019 tarihli ve 2019/157 sayılı Kurul kararı gereğince bulut gibi serverları yurt dışında bulunan hizmetlerin kullanımının yurt dışına kişisel veri aktarımı olduğu ve Kanunun 9 uncu maddesine uygun hareket edilmesi gerekmesine rağmen Şirket’in bu maddeye aykırı şekilde çalışan kişisel verilerini çalışanlarının açık rızası olmaksızın aktarıldığının tespit edildiğini belirtilerek
Kanunun 12 nci maddesinin birinci fıkrasında yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ile kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı hareket ettiği kanaatine varılan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 200.000 TL idari para cezası uygulanmasına karar vermiştir.
İlgili kişi Kurum’a ilettiği şikâyet dilekçesinde özetle, memuriyete ilk giriş tarihinden önce hakkında verilmiş olan ceza kararının özlük dosyasında yer aldığı, verilen kararda yer alan beş yıllık denetim süresinin dolduğu ve davanın düşmesine karar verildiği, kararın adli sicil kaydından silindiği, bu itibarla özlük dosyasında yer alan mezkûr karar ve ilgili dosyanın kaldırılarak imha edilmesi için çalıştığı veri sorumlusu kuruma başvuru yapmış olmasına rağmen bu başvurusunun reddedildiği; ancak söz konusu dosyanın açık rızası dâhilinde, resmi olarak güvenlik soruşturması yapılmadan, kurumda çalışmaya ilk başladığı tarihte İl Yazı İşleri Müdürünün kendisine sözlü olarak güvenlik soruşturması yapması ve mahkeme sürecinin devam etmesi sebebiyle mahkeme kararını getirmesinin gerekmesi üzerine özlük dosyasına konulduğu, anılan verinin muhafazasını gerektiren bir sebebin bulunmadığı belirtilerek özlük dosyasında yer alan mahkeme dosyasının kaldırılması talep edilmiştir.
Kurul gerçekleştirdiği inceleme neticesinde: (i) ilgili kişinin Kuruma yapmış olduğu başvuruya konu ettiği mahkeme kararlarının kişiyi belirli kılma niteliğinin bulunması sebebiyle kişisel veri olduğu; söz konusu mahkeme kararlarının Kanunun 6 ncı maddesi kapsamında özel nitelikli kişisel veri niteliğini haiz bulunduğunu, (ii) İlgili kişinin, başvurusunda resmi dayanağı olmaksızın yapıldığını iddia ettiği güvenlik soruşturması evrakının 2013 yılına ait olduğu, söz konusu tarihte 03.11.1994 sayılı Resmi Gazetede yayımlanan 4045 sayılı “Güvenlik Soruşturması, Bazı Nedenlerle Görevlerine Son Verilen Kamu Personeli ile Kamu Görevine Alınmayanların Haklarının Geri Verilmesine ve 1402 Numaralı Sıkıyönetim Kanununda Değişiklik Yapılmasına İlişkin Kanun” un yürürlükte bulunduğu, anılan Kanunun 1 inci maddesi uyarınca güvenlik soruşturması işleminin yapılabilmesinin ön koşulunun; ilgili personelin ya kamu kurum veya kuruluşlarında “gizlilik dereceli birim” olarak nitelendirilen birimlerde ya da düzenlemede sınırlı olarak sayılan kurumlarda yahut görevlerde çalıştırılacak olması durumlarından birisinin gerçekleşmesi olduğu, bu bağlamda herhangi bir kamu kurum ve kuruluşunda görev yapmakta olan personelin, hukuki anlamda olmasa da, fiili olarak gizlilik dereceli birim ve kısımda çalışıyor olarak kabul edildiği/varsayıldığının değerlendirildiği, (iii) 657 sayılı Devlet Memurları Kanununun 48 inci maddesinde yer verilen şartlar arasında gösterilen “Kamu haklarından mahrum bulunmamak” ve “Türk Ceza Kanununun 53 üncü maddesinde belirtilen süreler geçmiş olsa bile; kasten işlenen bir suçtan dolayı bir yıl veya daha fazla süreyle hapis cezasına ya da affa uğramış olsa bile devletin güvenliğine karşı suçlar, Anayasal düzene ve bu düzenin işleyişine karşı suçlar, zimmet, irtikâp, rüşvet, hırsızlık, dolandırıcılık, sahtecilik, güveni kötüye kullanma, hileli iflas, ihaleye fesat karıştırma, edimin ifasına fesat karıştırma, suçtan kaynaklanan malvarlığı değerlerini aklama veya kaçakçılık suçlarından mahkûm olmamak.” koşullarının adayda bulunup bulunmadığının tespit edilebilmesini teminen birtakım belgelerin, aday tarafından veri sorumlusuna sunulmasının gerektiği; ancak atamaya esas teşkil eden belgelerin neler olduğuna ilişkin olarak 657 sayılı Kanunda herhangi bir hükmün yer almadığı, bununla birlikte; özel nitelikli kişisel veri niteliğini haiz bulunan “Ceza Mahkûmiyeti ve Güvenlik Tedbirleri” bilgisinin 657 sayılı Kanun uyarınca atamayı yapacak kuruma sağlanması hususunda adli sicil bilgisinin talep edilmesinin, Kanuna aykırılık teşkil etmediğinin değerlendirildiği, (iv) öte yandan, ilgili kişinin, 657 sayılı Devlet Memurları Kanunundaki koşulları taşıyıp taşımadığının araştırılması noktasında yeterli olduğu düşünülen adli sicil kaydının, bilgi ve belge talepli Kurum yazısına veri sorumlusu tarafından gönderilen cevap ve ekinde yer almadığının görüldüğü, bu itibarla, söz konusu mahkeme kararlarının; adli sicil kaydı istenmeksizin/verilmeksizin, doğrudan mahkeme kararlarının talep edilmesi/verilmesi şeklinde gerçekleştiği ve bu durumun ilgili kişinin bilgisi ve talebi doğrultusunda gerçekleşmesi sebebiyle Kanunun yürürlüğe girdiği tarihten önce gerçekleşen söz konusu olgunun, olayın gerçekleştiği tarihte yürürlükte bulunan mevzuat bakımından hukuka aykırılık içermediği, (vi) Kurumca, Devlet Personel Başkanlığından (“DBP”) talep edilen görüş neticesinde iletilen cevap yazısında kurumlarca lüzum görülen tüm belgelerin ilgili bölümlere konulmasının uygun olacağı, dosyanın dördüncü bölümünde memurun yalnızca çalışma hayatına ilişkin değil yargı organlarınca memur hakkında verilen tüm karar örneklerinin bulunması gerektiğinin ifade edildiği ve bu kapsamda DPB’nin Kurum görüş talebine verdiği cevap ve 2 Seri No’lu Kamu Personeli Genel Tebliği hükümleri uyarınca sözü edilen kararların özlük dosyasından çıkarılmasına yer olmadığı ve son olarak (vii) mülga Devlet Arşiv Hizmetleri Hakkında Yönetmelik arşivlik malzeme olarak kabul edilen memuriyet sicil dosyalarının, yeni Yönetmelik kapsamında arşivlik belge olarak değerlendirilmediği ve memuriyet sicil dosyalarına ve bunların yüz bir yıl saklanacağına ilişkin düzenlemeye yer verilmediği, buna karşın, süre bakımından arşiv belgesi vasfını kazanamayan belgelerin arşivlik belge kabul edilmesi sebebiyle memuriyet özlük dosyalarının da bu kapsamda yer aldığı ve bunların imha işlemine tabi tutulmadığı değerlendirilerek,
Kurul şikâyete konu kişisel verinin özel nitelikli kişisel veri olduğu ve ilgili kişinin söz konusu mahkeme kararlarının özlük dosyasında yer almasına ilişkin hâlihazırda açık rızasının bulunmadığı; bununla birlikte, Kanun bakımından söz konusu kişisel verinin işlenmesine ilişkin “kanunilik” unsurunun öğretide ifade edilen “maddi kanun” olarak değerlendirilmesi gerektiği kanaatine varıldığından DPB’nin Kurum görüş talebine verdiği cevap ve 2 Seri No’lu Kamu Personeli Genel Tebliği hükümleri uyarınca mer’i mevzuat bakımından sözü edilen kararların özlük dosyasından çıkarılmasına yer olmadığına karar vermiştir.
Şikayet dilekçesinde ilgili kişi özetle; bir Tıp Merkezinin internet sitesinde pazarlama amaçlı olarak “Video Tanıtım” bölümü içerisinde görsel ve işitsel kişisel verilerinin işlendiği, akdedilen iş sözleşmesi sona ermiş olduğundan kullanılan bu verilerin işleme amacı veya konusunun kalmadığı gerekçesiyle veri işlemenin durdurulmasını ve verilerin kaldırılmasını talep ettiğini, bu çerçevede veri sorumlusuna başvuruda bulunmasına rağmen kendine bilgi verilmediğini ve internet sitesindeki videoların silinmediğini ifade ederek veri sorumlusu Tıp Merkezine ait internet sitesinde bulunan kişisel verilerinin silinmesi ve başkaca işlenen kişisel verilerinin bulunup bulunmadığı, hangi verilerinin hangi amaçla işlendiği hususlarında tarafına bilgi verilmesi talep edilmiştir.
Kurul tarafından başlatılan inceleme kapsamında savunmasının alınmasına yönelik Kurum yazısı veri sorumlusuna tebliğ edilmişse de veri sorumlusu Kurula herhangi bir savunma ve bilgi/belge iletmemiştir.
Kurul yapmış olduğu inceleme kapsamında; (i) Tıp Merkezinin veri sorumlusu olduğunu ve veri sorumlusu tarafından reklam yapmak amacıyla ilgili kişinin görüntülerinin kullanılmasının kişisel veri işleme faaliyeti olduğunu; (ii) Kanunun “Veri Sorumlusuna Başvuru” başlıklı 13 üncü maddesinin (2) numaralı fıkrasında yer alan “Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır.” hükmü ile “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ” gereği; ilgili kişinin veri sorumlusuna başvurduğu ancak 30 günlük yasal süre içerisinde veri sorumlusundan herhangi bir cevap alamadığının anlaşıldığı, bu nedenle veri sorumlusu tarafından ilgili kişinin başvurusunu cevaplama yükümlülüğünün yerine getirilmediğini değerlendirilerek
İlgili kişi kuruma yapmış olduğu başvuruda; çalıştığı veri sorumlusu Üniversitenin Sanat Tarihi Bölümüne iletmiş olduğu dilekçesinin akıbeti hakkında 4982 sayılı Bilgi Edinme Hakkı Kanunu kapsamında veri sorumlusundan kendisine bilgi verilmesini talep ettiğini, bu kapsamdaki talebine ilişkin cevabın, doğrudan ve sadece kendisine verilmesi gerekirken başvurusunun halihazırda görevli olduğu aynı Üniversitenin Meslek Yüksekokulu Müdürlüğüne, tüm taraflara açık biçimde yazılmış ve personele iletilen alelade resmi yazı şeklinde iletildiğini, üçüncü kişilerin erişimine açılan kişisel bilgilerinin Kanun kapsamında korunmasına yönelik olarak veri sorumlusundan gerekli tedbirleri almasını talep etmesine karşılık yasal süre içinde gerekli tedbirlerin alınmadığı ve tarafına cevap verilmediğini belirtilerek Kanun kapsamında gereğinin yapılması talep etmiştir.
Kurul yapmış olduğu incelemede; kişisel verilerin işlenmesi faaliyetinin Kanunun 3 üncü maddesinde kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığını, bu çerçevede başvuruya konu olayda ilgili kişinin Bilgi Edinme Hakkı Kanunu kapsamında veri sorumlusuna başvurusuna verilen yanıtın, ilgili kişinin çalıştığı birime gönderilmesi suretiyle kişisel verilerinin açıklanmasında Kanunun 5 inci maddesi kapsamında herhangi bir hukuki dayanak söz konusu olmadığından veri sorumlusu tarafından Kanunun 12 inci maddesinin (1) numaralı fıkrası kapsamında kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerin alınmadığı kanaatine varılmış olup Kanun’un 8 inci maddesinin birinci fıkrasının (b) bendinde Kanunun 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verileceği ile aynı maddenin üçüncü fıkrasında birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılacağı ve sonucunun Kurula bildirileceğinin hükme bağlandığı göz önünde bulundurularak
karar vermiştir.
İlgili kişi şikâyet dilekçesinde; veri sorumlusu araç kiralama şirketinin hizmet noktasında, yetkilisi olduğu şirket adına kısa süreli araç kiralamak istediğini ve bu kapsamda araç kiralama sözleşmesi ve ilgili belgelerin kendisi tarafından imzalanmasının talep edildiğini, imzalanması talep edilen evrakları incelendiğinde önceki kiralamalardan farklı olarak kişisel verilerinin işlenmesine dair açık rıza verdiğine ilişkin evrakın da içinde bulunduğunu tespit ettiğini, bunun üzerine kişisel verilerinin işlenmesine rıza göstermek istemediğini, bu nedenle de ilgili evrakı imzalamayacağını çalışana beyan etmesi üzerine araç kiralama işleminin gerçekleştirilmediğini, konuyla ilgili olarak veri sorumlusuna yetkilisi olduğu şirket tarafından başvuruda bulunulduğunu, başvuruya veri sorumlusu tarafından cevap verildiğini ancak cevap yazısından taleplerine yönelik hiçbir cevap veya çözüm önerisinin yer almadığı gerekçesiyle Kurum’dan Kanun kapsamında gereğinin yapılması talep etmiştir.
Kurum tarafından veri sorumlusuna yapılan başvuruların ilgili kişinin yetkilisi olduğu Şirket veya Şirket çalışanları tarafından yapıldığı, veri sorumlusunun da Şirketi muhatap alarak cevap verdiği görüldüğünden Kanunun ilgili maddeleri hakkında bilgi verilerek Kanun kapsamında mağduriyet yaşamış olan Şirket yetkilisinin Kanunda belirtilen usul çerçevesinde öncelikle kendi adına veri sorumlusuna başvuruda bulunması sonrasında ise ilgili kişinin başvurusunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde ise; Kurul şikâyette bulunulması durumunda konunun incelemeye alınabileceği hususunda bilgi verilmiştir. İlgili kişi Kurum’un bu yazısına istinaden ayrıca veri sorumlusuna doğrudan da başvuruda bulunduğunu ancak veri sorumlusu tarafından kendisine 30 günlük yasal süre içinde herhangi bir cevap verilmediğini ifade etmiştir.
Kurulun başlatmış olduğu inceleme kapsamında ilettiği savunmada veri sorumlusu;
Konuya ilişkin olarak Kurul tarafından yapılan incelemede;
tespit edildiğinden;
Veri sorumlusunun Kanun kapsamında kendisine yapılan başvurulara Tebliğe uygun olarak cevap vermesi yönünde talimatlandırılmasına ve Araç kiralama hizmeti alımı esnasında veri sorumlusu tarafından Kanunun 5 maddesinin ikinci fıkrasında yer alan işleme şartları dışındaki haller kapsamında hizmetten faydalanmak isteyen kişilerin kişisel verilerinin işlenmesi amacıyla toptan bir şekilde açık rıza alımı yoluna gidildiği, hizmetin ifası için gerekli olmamasına rağmen kişisel verilerin talep edildiği ve açık rıza verilmemesi durumunda da kişilere hizmet verilmediği dikkate alındığında; hukuka aykırı veri işleme faaliyetinin söz konusu olduğu bu durumun ayrıca Kanunun 4 üncü maddesinde yer alan hukuka ve dürüstlük kurallarına uygun olma ilkesine de aykırılık teşkil etmesi sebebiyle, veri sorumlusunun Kanunun 12 nci maddesinin birinci fıkrasının (a) bendinde öngörülen “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğünü yerine getirmediği kanaatine varıldığından, 50.000 TL idari para cezası uygulanmasına karar verilmiştir.
Yayınlara dön