Kişisel Verileri Koruma Kurulu Tarafından 27.12.2023

Tarihinde Yayımlanan Yeni Karar Özetleri,

Kurt and Partners Hukuk Bürosu tarafından listelenmiştir.

Karar Tarihi               : 28/09/2023  

Karar No                    : 2023/1645 

Kararın Konusu        : Geniş katılımlı çevrim içi bir oyunun Türkiye’deki dağıtıcısı ve tek yetkilisi konumundaki veri sorumlusu tarafından kişisel verilerin hukuka aykırı işlenmesi

Karar Özeti                : Kuruma intikal ettirilen şikâyet dilekçesinde özetle; Veri sorumlusunun, geniş katılımlı çevrimiçi bir oyunun Türkiye’deki dağıtıcısı ve tek yetkilisi konumunda olduğu ve Türkiye’deki kullanıcılar için oyun adına her türlü işlemi yapan ve tüm ticari gelirleri elde eden firma olduğu, İlgili kişinin, Kanun’un 11. maddesi kapsamındaki haklarını kullanmak amacıyla veri sorumlusuna başvurduğu ancak kendisine verilen yanıtta pek çok talebinin yanıtsız bırakıldığı veya yanıltıcı ve eksik bilgi verildiği, veri sorumlusunun internet sitesinde yer alan ve “aydınlatma metni” olduğu belirtilen bilgilendirme yazısının, yine internet sitesinde yayımlanan gizlilik politikasının ve çerez politikasının incelenmesi neticesinde kişisel verilerin yurt dışına aktarıldığının kolaylıkla anlaşılabileceği ifade edilerek Kanun kapsamında gerekli işlemlerin yapılması talep edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 28/09/2023 tarihli ve 2023/1645 sayılı Kararı ile;

• Veri sorumlusuna ait internet sitesinde yayımlanan çerezlere ilişkin pop-up açıklaması altında “sadece gerekli çerezleri kullanın” ve “tüm çerezlere izin ver” olmak üzere iki seçeneğin sunulduğu, “tüm çerezlere izin ver” seçeneği sunularak gerekli çerezler kategorisi dışındaki her bir çerez tipi için topluca açık rıza alma yoluna gidildiği ve ilgili kişilere tercih etme imkanının sunulmadığı, Çerez Beyanı ve Çerez Politikası metinlerinde yer alan çerez tablosunda üçüncü taraf çerez sağlayıcıları tarafından çeşitli çerezlerin “gerekli çerezler” kategorisinde kullanıldığının belirtildiği, üçüncü taraf çerez sağlayıcısının yurt dışında yerleşik bir firma olduğu, veri sorumlusu tarafından internet sitesinde çerezler yoluyla açık rıza şartına dayalı olarak gerçekleştirilen kişisel veri işleme faaliyetinde açık rızanın unsurlarından olan “belirli bir konuya ilişkin olması” ve “özgür iradeyle verilmesi” unsurlarının sağlanmaması nedeniyle açık rızanın sakatlandığı ve Kanun’un 5’inci maddesi kapsamında hukuka uygun bir kişisel veri işleme faaliyetinin gerçekleştirilmediği; diğer taraftan sağlayıcısı yurt dışında yerleşik şirketler olan ve zorunlu çerez kategorisinde bulunan üçüncü taraf çerezler kullanılarak kişisel verilerin yurt dışına aktarımının yapılması suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin Kanun’un 9’uncu maddesinde belirtilen yurt dışına veri aktarım veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 750.000 TL idari para cezası uygulanmasına,
• Çerezler yoluyla kişisel verilerin yurt dışına aktarımı için ilgili kişilerden ayrıca açık rıza alınmasına yönelik gerekli düzenlemelerin internet sitesinde yapılması ve Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
• Veri sorumlusunun internet sitesinde yayımlanan kişisel verilerin işlenmesi faaliyetine ilişkin “Gizlilik Politikası”, “Kayıt Ol Aydınlatma Metni” ve “Kişisel Veri Koruma Politikası” başlıklı metinlerin birbirleriyle ve VERBİS’e işlenen bilgiler ile tutarlı ve uyumlu olacak şekilde Kanun’un 10’uncu maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun hale getirilmesi ve Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
• Veri sorumlusuna ait internet sitesinde sunulan çevrim içi oyun hizmetinde, oyun sunucularının yurtiçinde tutulması nedeniyle oyun sunucuları üzerinden oyuncuların/üyelerin kişisel verilerinin yurtdışına aktarımının yapılmadığı dikkate alındığında; web sitesinde yayımlanan “Gizlilik Politikası”, “Kullanıcı Sözleşmesi”, “Kayıt Ol Aydınlatma Metni” ve “Kişisel Veri Koruma Politikası”nın ve VERBİS kaydının kişisel verilerin yurt dışına aktarımı ile ilgili bölümlerinin güncellenmesi ve Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
• Veri sorumlusu tarafından yurt içinde tutulmak üzere 11 oyun sunucusunun satın alındığı; sunuculara ilişkin güvenlik, barındırma vb. hizmetler için bir firma ile Hizmet Sözleşmesi yapıldığı ve aylık hizmet bedeli ödendiği; söz konusu firmanın sistem odasında bulunan veri sorumlusuna ait oyun sunucularının numaralarının, Hizmet Sözleşmesi ekinde belirtilen sunucuların numaraları ile aynı olduğu; veri sorumlusu tarafından bir bulut bilişim sisteminde çevrim içi sanal oyunlar kapsamındaki bilgilerin yedeklendiği, oyuncuların/üyelerin kişisel verilerinin yedeklenmediğinin yerinde inceleme neticesinde tespit edildiği dikkate alındığında; oyun sunucularının yurt içinde tutulduğu ve oyun kullanıcısı/üye olan ilgili kişinin kişisel verilerinin yurt dışına aktarımının yapılmadığı ve veri sorumlusu hakkında tesis edilecek herhangi bir işlem bulunmadığına,
• İlgili kişi tarafından bahse konu çevrim içi oyun oynandığı sırada, veri sorumlusunca kullanılan ve şikayete konu olan yazılımın, oyun kullanıcısı tarafından hile ve sahtekarlık amacıyla bir yazılımın kullanılıp kullanılmadığını tespit etmek amaçlı olarak “exe.” uzantılı dosyaların türünü ayırt etmek için kullanılan bir yazılım olduğu dikkate alındığında; oyun kullanıcısı/üye olan ilgili kişinin bilgisayarındaki kişisel verilere erişim sağlamak suretiyle hukuka aykırı kişisel veri işleme faaliyetinde bulunulmadığı kanaatine varılmış olup bu hususta Kanun kapsamında veri sorumlusu hakkında tesis edilecek herhangi bir işlem bulunmadığına karar verilmiştir.

Karar Tarihi               : 14/09/2023 

Karar No                    : 2023/1578

Kararın Konusu        : İlgili Kişinin Hasta Dosyasında Yer Alan Özel Nitelikli Kişisel Verilerinin Mahkemeye Aktarılması

Karar Özeti                : Kurum’a intikal ettirilen şikâyet dilekçesinde özetle; ilgili kişinin bir üniversiteye bağlı tıp merkezinde tedavi hizmeti aldığı, tedavi hizmeti kapsamında aldığı şahsi terapi ve eşi ile birlikte aldığı evlilik terapisinin kayıtlarını içeren hasta dosyasının, ilgili kişi ile eşi arasında görülen boşanma davası kapsamında tıp merkezinde mesul müdür olarak görev yapan hekim tarafından herkesin görebileceği ve öğrenebileceği şekilde, hiçbir önlem almaksızın mahkemeye gönderildiği ve bu kapsamda 6698 sayılı Kanun kapsamında Tıp Merkezi hakkında gereğinin yapılması talep edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 14/09/2023 tarih ve 2023/1578 sayılı Kararı ile

• İlgili kişinin özel nitelikli kişisel verilerinin, aldığı sağlık hizmetine istinaden üniversite bünyesinde yer alan bir tıp merkezi tarafından işlenmesinin, Kanun’un 6’ncı maddesinin (3) numaralı fıkrası hükümleri kapsamında olduğuna,

• İlgili kişinin özel nitelikli kişisel verisi niteliğindeki sağlık kayıtlarının veri sorumlusu tarafından mahkemeye aktarılmasının, 6100 sayılı Hukuk Muhakemeleri Kanunu’nun 221’inci maddesinde yer alan hükme dayandığı dikkate alındığında söz konusu kişisel veri aktarımının Kanun’un 8’inci maddesinin (3) numaralı fıkrasında yer alan “Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” hükmü kapsamında olduğuna,

• Aktarım faaliyetlerinde, “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler konulu 2018/10 sayılı Kurul Kararı”na uygun olarak önlemlerin alınması gerektiği, bu kapsamda özel nitelikli kişisel verilerin gönderim yöntemlerinin gizlilik esaslarına riayet edilmek suretiyle seçilmesi gerektiği hususunda veri sorumlusuna hatırlatma yapılmasına,

• İlgili kişinin iddiaları arasında, söz konusu belgenin UYAP’a yüklenmek suretiyle üçüncü kişilerin erişimine açıldığı da belirtilmekle birlikte, müzekkere ile talep edilmesi nedeniyle veri sorumlusu tarafından mahkemeye sunulan özel nitelikli kişisel veri ihtiva eden bilgi ve belgeler üzerinde daha sonra mahkeme tarafından gerçekleştirilen işlemler bakımından veri sorumlusunun tıp merkezi olmadığına, mahkeme tarafından gerçekleştirilen iş ve işlemler bakımından ise Kanun’un 28’inci maddesinin (1) numaralı fıkrasının (d) bendinde yer alan “Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi” hükmünün uygulama alanı bulması nedeniyle Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

Karar Tarihi               : 07/09/2023 

Karar No                    : 2023/1548 

Kararın Konusu        : İlgili kişinin açık rızası alınmadan ses kaydının alınması, paylaşılması ve mahkeme dosyasına sunulması

Karar Özeti                : Kuruma intikal ettirilen şikâyet dilekçesinde özetle; ilgili kişinin uzun yıllardır veri sorumlusu bünyesinde çalıştığı ve hukuka uygun hiçbir nedene dayanılmadan kod46 ile işten çıkarıldığı, iş mahkemesinde veri sorumlusu aleyhine işçi alacağı davası açıldığı, mahkeme dosyasına veri sorumlusu tarafından sunulan dilekçede; “…Şikâyet sahibi kullanıcı bu telefon görüşmesini kayıt altına almış ve bilgileri gizli kalması koşulu ile tarafımıza sunmuştur. KVKK kapsamında ses kaydının doğrudan sayın mahkemenize sunmadığımızı şayet mahkemenizce istenir ise şifreli olarak sunabileceğimizi belirtmek isteriz. Ayrıca iş bu ses kaydının KVKK gereği halen şifreli ortamda saklandığını da belirmek isteriz.” beyanlarının yer aldığı, ses kaydı bahane edilerek ilgili kişinin işten çıkarıldığı, açık rızası alınmadan işlenen ses kaydının imha edilmesi talebi ile veri sorumlusuna başvuruda bulunduğu ancak veri sorumlusunun 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamına uygun hareket ettiğini iddia ettiği ifade edilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 07/09/2023 tarih ve 2023/1548 sayılı Kararı ile;

• Veri sorumlusu ile yüklenici firma arasında hizmet alım sözleşmesi akdedildiği ve esas sözleşme ekleri arasında gizlilik sözleşmesi ve KVK taahhüdünün yer aldığı, yüklenici firma bünyesinde çalışan ilgili kişinin iş sözleşmesinin İş Kanunu’nun 25’inci maddesinin (2) numaralı fıkrasının (e) bendi uyarınca “İşçinin, işverenin güvenini kötüye kullanmak, hırsızlık yapmak, işverenin meslek sırlarını ortaya atmak gibi doğruluk ve bağlılığa uymayan davranışlarda bulunması” nedeniyle feshedildiği, Feshin hukuka uygun olup olmamasının yargı merciine intikal eden bir husus olduğu, feshe gerekçe kılınan ses kaydının işveren tarafından muhafaza edilmesi ile mahkeme dosyasına sunulması hususlarının Kanun kapsamında değerlendirilmesi gerektiği,

• HMK’nun 189’uncu maddesi; “Hukuka aykırı olarak elde edilmiş olan deliller, mahkeme tarafından bir vakıanın ispatında dikkate alınamaz.” hükmünü haiz olduğundan hukuka aykırı olarak elde edilen ses kaydının kural olarak delil mahiyetinde kullanılamayacağı, bununla beraber izinsiz ses kaydı alınmasının, belli bazı durumlarda, Türk Ceza Kanunu kapsamında suç teşkil etmeyeceğinin ve hukuka uygun delil mahiyeti taşıyacağının Yargıtay içtihatları ile benimsendiği, 

• İşçi işveren uyuşmazlıklarında; işverenin iş sözleşmesini haklı nedenle feshettiğini başka türlü delil ile ispat etme imkânı yok ise ya da kaybolma ihtimali bulunan kanıtların kaybolmasının engellenmesi amacı var ise alınan ses kaydının hukuka uygun delil olarak kabul edilebileceği, 

• Veri sorumlusu tarafından Kurum kayıtlarına intikal eden cevabi yazıda; ses kaydının herhangi bir personel ile paylaşılmadığının, şifreli diske aktarılarak ve gerekli idari ve teknik tedbirler alınarak güvensiz ortamdan silinmesinin sağlandığının ve yasal saklama süresi ile sınırlı, şifreli bir biçimde muhafaza edildiğinin belirtildiği, Bu itibarla; iş sözleşmesinin feshine haklı gerekçe kılınan ses kaydı delilinin Kanun’un 8’inci maddesinin (2) numaralı fıkrasının atfı ile Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendinde yer alan “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hükümleri doğrultusunda Kanuna uygun bir şekilde mahkeme dosyasına sunulduğu değerlendirmelerinden hareketle;

İlgili kişiye ait ses kaydının Kanun’da sayılan hukuki sebeplerden; “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hükmü doğrultusunda mahkemeye aktarıldığı, ses kaydının erişim yetkisi olmayan işçiler tarafından dinlendiğine ilişkin iddiaların ise dosya kapsamında tevsik edilemediği hususları dikkate alındığında veri sorumlusu hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

Karar Tarihi               : 07/09/2023 

Karar No                    : 2023/1563

Kararın Konusu        : İlgili kişinin ortaklıktaki paylarının borsada işlem gören niteliğe dönüşmesi için Merkezi Kayıt Kuruluşu AŞ’ye yaptığı başvuru üzerine ad-soyadı ve pay bilgilerinin Kamuyu Aydınlatma Platformu internet sitesinde yayımlanması

Karar Özeti                :  Kuruma intikal eden şikâyette özetle; ilgili kişinin Borsa İstanbul’da satılamaz durumda olan hisselerinin bulunduğu, bu hisselerin satılabilir hale getirilmesi için aracı kuruma başvuru yaptığı, başvurunun da Merkezi Kayıt Kuruluşu AŞ’ye (MKK-veri sorumlusu) iletildiği, bu çerçevede MKK’nin kendisinin ad ve soyadı bilgisi ile birlikte hangi hissesinden kaç lot satılabilir hale getirildiği hususunu Kamuyu Aydınlatma Platformuna (KAP) ait www.kap.gov.tr sitesi üzerinden duyurduğu ve bu işlemin ilgili tebliğe dayandığı, kendisinin ad-soyadı bilgisinin ilandan çıkarılması için MKK’ye başvurduğu ancak bu talebinin kabul edilmediği ifade edilerek 6698 sayılı Kanun kapsamında gereğinin yapılması talep edilmiştir. 

Konunun Kişisel Verileri Koruma Kurulu (Kurul) tarafından değerlendirilmesi neticesinde Kurulun 07/09/2023 tarihli ve 2023/1563 sayılı Kararı ile;

İlgili kişinin, Borsa İstanbul’da yer alan hisselerinin satılabilir hale getirilmesi kapsamında “www.kap.gov.tr”sitesinde yayımlanması aşamasında ad ve soyadı bilgilerinin paylaşılmasına itiraz ettiği ve bu çerçevede işlemden sorumlu olan MKK’ya başvurduğu, MKK’nın ise söz konusu işlemi Pay Tebliği (VII-128.1)’nin 15’inci maddesinin üçüncü fıkrasına dayanarak gerçekleştirdiğini belirttiği ve ilgili fıkrada “MKK, borsada işlem gören niteliğe dönüştürülmek istenen payların nominal değerini, başvuruyu yapan kişilerin isim veya unvanını, günlük olarak toplu halde KAP vasıtasıyla kamuya duyurur.” ifadesinin yer aldığı görülmüş olup, sonuç itibariyle bahse konu kişisel veri işleme faaliyetinin Pay Tebliği uyarınca Kanun’un 5’inci maddesi kapsamında hukuki yükümlülüğün yerine getirilmesi amacıyla zorunlu olarak gerçekleştirildiği, bu anlamda veri sorumlusu tarafından yeterli açıklamalarda bulunulduğundan hareketle ilgili kişinin veri sorumlusu Merkezi Kayıt Kuruluşu AŞ hakkındaki şikâyetine ilişkin Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

Karar Tarihi               : 31/08/2023 

Karar No                    : 2023/1509

Kararın Konusu        : İlgili Kişinin Kişisel Verilerinin Bir Banka Tarafından Kredi Kayıt Bürosu AŞ’ye Aktarılması

Karar Özeti                :Kurum’a intikal ettirilen şikâyet dilekçesinde özetle; ilgili kişinin kişisel verilerinin 6698 sayılı Kanun’un 8’inci maddesinin birinci fıkrası uyarınca kredi kuruluşları ile finansal kuruluşlar arasında kurulmuş olan KKB Kredi Kayıt Bürosu AŞ’ye (Şirket/KKB) aktarılması konusunda veri sorumlusu bankaya başvurduğu, söz konusu başvuruda kişisel verilerinin aktarılmasını kabul etmediğini ifade ettiği ve bu konudaki açık rızasını geri çekme talebinde bulunduğu, ancak talebinin reddedildiği belirtilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 31/08/2023 tarih ve 2023/1509 sayılı Kararı ile;

• Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik’in “Sır saklama yükümlülüğünden istisna tutulan haller” başlıklı 5’inci maddesinin (2) numaralı fıkrasının (a) bendinin “Bankaların ve finansal kuruluşların, kendi aralarında doğrudan doğruya ya da Risk Merkezi veya en az beş banka ya da finansal kuruluş tarafından kurulacak şirketler vasıtasıyla her türlü bilgi ve belge alışverişinde bulunması”nın sır saklama yükümlülüğüne aykırılık teşkil etmeyeceği şeklinde hükme bağlandığı,

• Şirket’in internet sitesinde; 5411 Sayılı Kanun’un Ek 1’inci maddesi ile TBB nezdinde kredi kuruluşları ile BDDK’ce uygun görülecek finansal kuruluşların müşterilerinin risk bilgilerini toplamak ve söz konusu bilgileri bu kuruluşlar ile gerçek veya tüzel kişilerin kendileriyle ya da onay vermeleri koşuluyla özel hukuk tüzel kişileri ve üçüncü gerçek kişiler ile de paylaşılmasını sağlamak üzere Risk Merkezinin kurulduğu bilgilerinin yer aldığı,

• Kişisel verilerin ilgili kişinin açık rızası veya Kanun’un 5’inci maddesinin (2) numaralı fıkrasındaki diğer işleme şartları bulunmadan işlenemeyeceği, bununla birlikte, açık rıza ile Kanun’un 5’inci maddesinin (2) numaralı fıkrasındaki diğer işleme şartları arasında hiyerarşik bir ilişki bulunmadığı, kişisel veri işleme faaliyeti Kanun’da bulunan açık rıza dışındaki şartlardan birine dayanıyorsa bu durumda ilgili kişiden açık rıza alınmasına gerek bulunmamakla birlikte ilgili kişinin açık rızasının bulunmadığı veyahut açık rızasını geri aldığı itiraz ve beyanlarının da hukuken bir geçerliliğinin olmadığı, veri işleme faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılmasının; ilgili kişinin yanıltılması ve yanlış yönlendirilmesi dolayısıyla aldatıcı ve veri sorumlusunca hakkın kötüye kullanımı niteliğinde olacağı, nitekim, somut olayda da ilgili kişinin açık rızasına binaen bir işleme faaliyeti gerçekleştirilmediği, Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (a), (c), (ç) ve (f) bentlerinde belirtilen işleme şartlarının somut olayda gerçekleştirilen kişisel veri işleme faaliyetinde mevcut olduğu,

• Veri sorumlusu bankanın ilgili kişinin başvurusuna verdiği cevabi yazıda ilgili kişinin talebinin reddedilmesine ilişkin gerekçelere yer verilmediğinin görüldüğü değerlendirmelerinden hareketle;
   

Bankacılık hizmetlerinin gerektiği gibi sunulabilmesi ve bankacılık alanındaki yasal düzenlemeler gereğince veri sorumlusu banka tarafından ilgili kişinin kişisel verilerinin Şirket’e aktarılmasının Kanun’un 8’inci maddesinin (2) numaralı fıkrasının atfı ile Kanun’un 5’inci maddesinin (2) numaralı fıkrasına uygun olması sebebiyle veri sorumlusu hakkında tesis edilecek bir işlem bulunmadığına,

Kanun kapsamındaki başvuruların reddedileceği hallerde Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 6’ncı maddesinin (2) numaralı fıkrası uyarınca gerekçesi açıklanarak reddedilmesi gerektiğinin Veri Sorumlusuna hatırlatılmasına karar verilmiştir.

Karar Tarihi               : 24.08.2023

Karar No                    : 2023/1461

Kararın Konusu        : Bir eğitim kurumu tarafından kamera vasıtasıyla görüntü ve ses kaydı alınması

Karar Özeti                : Kuruma intikal ettirilen bir ihbar dilekçesinde özetle; veri sorumlusunun ilgili kişilerden birinin kiracısı olduğu, kira uyuşmazlığı nedeniyle aralarında bir görüşme gerçekleştiği, daha sonra veri sorumlusu tarafından gönderilen ihtarnamede, yapılan görüşme esnasında ilgili kişilere ait ses ve görüntü kayıtlarının alındığının beyan edildiği, bu doğrultuda ilgili kişiler tarafından veri sorumlusuna gönderilen cevap ihtarnamesinde ilgili kişilerin açık rızası dışında ses ve görüntü kaydının alınmasının Türk Ceza Kanunu’nun (TCK) 133’üncü maddesi vd. hükümleri gereği suç teşkil eden bir fiil olduğunun hatırlatıldığı, veri sorumlusu tarafından gönderilen ihtarnamede ise ilgili kişilerin ses ve görüntü kaydının açık rızası ve muvafakati olmadığı halde alınmasının veri sorumlusuna tanınmış yasal bir hak olduğunun belirtildiği, bununla birlikte veri sorumlusu tarafından ilgili kişilerden yalnızca birine cevap verildiği diğer ilgili kişiye ise cevap verilmediği belirtilerek gereğinin yapılması talep edilmiştir. 

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunma talep edilmiş olup, Kişisel Verileri Koruma Kurumu tarafından yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulu’nun 24.08.2023 tarihli ve 2023/1461 sayılı Kararı ile;

• Veri sorumlusunun Kurumu muhatap cevap yazısında, okulun genel kullanımına açık bulunan yerlerde Millî Eğitim Bakanlığı Özel Öğretim Kurumları Yönetmeliği hükümleri uyarınca mümkün hale getirildiğinden bahisle ve güvenlik amacıyla görüntü ve ses kaydı yapıldığı belirtilmişse de söz konusu hükümlerin yalnızca görüntü kaydına yönelik olduğu ve ses kaydı alınmasını meşru hale getiren özel bir hüküm ihdas etmediği,

• Görüntü kaydına ek olarak ses kaydının da alınmasının; kişisel verinin işlenmesi yönünden meşru bir menfaatin bulunup bulunmadığı, çatışan menfaatlerin söz konusu olup olmadığı ve meşru bir menfaatin bulunması halinde dahi işlemenin ölçülü olup olmadığının değerlendirilmesini gerektirdiği, güvenlik gerekçeleri ile kamera kaydı alınmasının yaygın bir uygulama olduğu ancak aynı gerekçe ileri sürülerek ses kaydı alınmasının, kişisel verisi işlenen ilgili kişilerin makul beklentilerinin ötesinde olduğu, 

• Görüntü kaydı yerine yalnızca ses kaydının alındığı varsayımında dahi bu işlemeyi mecburi kılacak bir sebebin bulunmadığı hallerde kişiler arasındaki iletişimin devamlı olarak kayıt altına alınmasının başta özel hayatın gizliliği hakkı olmak üzere kişinin maddi ve manevi varlığının korunması gibi birtakım diğer temel hak ve özgürlüklerine ağır bir müdahale teşkil edeceği, bu durumda çatışan menfaatler arasındaki denge testinin dikkatli biçimde yapılması ve işlemeyi mecburi kılacak sebeplerin genişletilmemesi gerektiği değerlendirmelerinden hareketle;

Ses kaydı alınması suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinde yer alan veri işleme şartlarından herhangi birine dayanılmaksızın gerçekleştirildiği, bu bakımdan veri sorumlusu tarafından, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alması zorunluluğunu getiren, Kanun’un 12’nci maddesine aykırılık uyarınca veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 200.000 TL, 

Kamera vasıtasıyla görüntü kaydı alınmasının Kanun’un 5’inci maddesindeki hukuki sebeplere uygun olduğu değerlendirilse de veri sorumlusunun aydınlatma yükümlülüğünün devam ettiği; buna karşılık aydınlatma yükümlülüğünün yerine getirildiğini ispat edemediği, bu bakımdan Kanun’un 10’uncu maddesinde düzenlenen hükme aykırı davranması nedeniyle veri sorumlusu hakkında 30.000 TL olmak üzere toplam 230.000 TL idari para cezası uygulanmasına karar verilmiştir.

Karar Tarihi               : 24.08.2023

Karar No                    : 2023/1465

Kararın Konusu        : Veri sorumlusuna ait internet sitesinde yapılan kullanıcı girişinde üçüncü kişiye ait kişisel verilerin görüntülenmesi

Karar Özeti                : Kuruma intikal ettirilen ihbar dilekçesinde özetle; ilgili kişinin araç kiralama şirketine ait internet sitesine sisteme kayıtlı kullanıcı adı ve e-posta adresi ile giriş yaparken bir başka kullanıcının hesabına yönlendirildiği, hatalı yönlendirme neticesinde üçüncü bir kişinin adres, telefon numarası, T.C. kimlik numarası ve ehliyet bilgisi gibi kişisel verilerine eriştiği, konu ile ilgili çağrı merkezine bildirimde bulunduğu, akabinde sistemdeki bilgilerin düzetildiği ancak veri sorumlusuna yapılan başvurudaki sorulara cevap verilmediği ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 24/08/2023 tarih ve 2023/1465 sayılı sayılı Kararı ile;

• İhbara konu olayda veri sorumlusuna ait internet sitesine kullanıcı girişi yapılmaya çalışılırken başka bir kullanıcının kişisel verilerinin görüntülendiği, ihbar sahibi ilgili kişiye ait kişisel verilerin ise üçüncü kişiler tarafından görüntülenmediği,

• Kanunun 3’üncü maddesinin (e) bendine göre kişisel verilerin elde edilebilir hale getirilmesinin bir kişisel veri işleme faaliyeti olduğu, veri sorumlusunun veri kayıt sistemindeki müşteri bilgilerinin güncellenmesinde kullanılan algoritmanın yanlış çalışması nedeniyle toplam dört kişinin kişisel verilerinin diğer kullanıcılar bakımından elde edilebilir hale geldiği,

• Hatalı e-posta girişi nedeniyle aksayan algoritmanın veri sorumlusunun hizmetlerini kullanmakta olan kişilerin kişisel verilerini yetkisiz erişime açık hale getirdiği, nitekim ilgili kişi tarafından üçüncü kişiye ait kişisel verilere erişildiği, somut olayın kişisel verilere hukuka aykırı erişimi ortaya koyar nitelikte olduğu,

• Kanunun 12’nci maddesi kapsamında Veri kayıt sistemindeki algoritmanın yanlış çalışmasından dolayı ortaya çıkan durum dört farklı kişiyi etkilemiş ise de Kanun kapsamında yapılmış bir veri ihlal bildiriminin bulunmadığı değerlendirmelerinden hareketle;

Veri sorumlusunun veri kayıt sistemindeki algoritmanın yanlış çalışması nedeniyle farklı kullanıcıların kişisel verilerine hukuka aykırı olarak erişim sağlandığı dikkate alındığında, veri güvenliğine ilişkin yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında Kanunun 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 200.000 TL idari para cezası uygulanmasına,

İlgili kişilerin kişisel verilerine üçüncü kişiler tarafından yetkisiz şekilde erişilmesi Kanunun 12’nci maddesinin beşinci fıkrası kapsamında veri ihlal bildirimini gerektirmekte olup veri sorumlusuna veri ihlal bildirimiyle ilgili yükümlülüklerinin hatırlatılmasına karar verilmiştir.

Karar Tarihi               :17/08/2023

Karar No                    :2023/1414

Karar Konusu           : İlgili kişiye ait özel nitelikli kişisel verilerin avukat tarafından mahkemeye aktarılması

Konu Özeti    :           Şikayet dilekçesine göre; ilgili kişi, kendi ve çocukları için gizlilik içinde bir DNA testi yaptırmış ve şirketle anlaşarak DNA raporlarını sadece ilgili kişinin bildiği e-posta adresine şifreli bir şekilde göndermiştir. Ancak, ilgili kişinin avukatı olan veri sorumlusu, bir alacak davasında ilgili kişinin şahsına ve çocuklarına ait DNA raporlarını hukuka aykırı bir şekilde ele geçirmiş ve bu bilgileri aleyhine kullanmıştır. Bu nedenle, ilgili kişi tarafından yapılan şikayetle veri sorumlusunun bu hukuka aykırı davranışının giderilmesi talep edilmektedir.

Konuya ilişkin başlatılan inceleme çerçevesinde şikâyet edilen veri sorumlusundan savunması talep edilmiş olup, yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 17/08/2023 tarihli ve 2023/1414 sayılı kararı ile;

• 1136 sayılı Avukatlık Kanunu’nun 2’nci maddesinde “Avukatlığın amacı; hukuki münasebetlerin düzenlenmesini, her türlü hukuki mesele ve anlaşmazlıkların adalet ve hakkaniyete uygun olarak çözümlenmesini ve hukuk kurallarının tam olarak uygulanmasını her derecede yargı organları, hakemler, resmi ve özel kişi, kurul ve kurumlar nezdinde sağlamaktır.” hükmü ve 35’inci maddesinde ise “Kanun işlerinde ve hukuki meselelerde mütalaa vermek, mahkeme, hakem veya yargı yetkisini haiz bulunan diğer organlar huzurunda gerçek ve tüzel kişilere ait hakları dava etmek ve savunmak, adli işlemleri takip etmek, bu işlere ait bütün evrakı düzenlemek, yalnız baroda yazılı avukatlara aittir.” hükmünün düzenlendiği,

• Medeni yargılama hukukunda uygulanacak usul ve esasların 6100 sayılı Hukuk Muhakemeleri Kanunu’nda (HMK) düzenlenen ispatın konusu, ispat yükü  karşı ispat ve tarafların belgeleri ibrazı zorunluluğu maddelerince ilgili değerlendirmelerin yapıldığı,

• İlgili kişinin Kuruma sunduğu şikâyette iddialarını destekler mahiyette belge sunmamış olduğu, bunun yerine yalnızca veri sorumlusuna yaptığı başvuru örneğine yer verdiği ve veri sorumlusunun veya davaya taraf olan ilgili kişinin eski eşi ve çocuklarının, ilgili kişiye ait DNA raporlarına hukuka aykırı biçimde (e-posta hesabına ele geçirmek suretiyle vb.) eriştiğine dair bir delilin bulunmadığının görüldüğü,

• Genetik veri kategorisinde olan DNA test raporunun yalnızca ilgili kişiye ait bilgileri içermediği, ilgili kişinin çocuklarına da ait bir rapor olması bakımından çocuklarıyla ortak bir kişisel veri niteliğinde olduğu, örnek olayın şartları gözetildiğinde bu belgenin mahkemeye aktarılması sebebiyle ilgili kişinin verisinin güvenliği bakımından aleyhinde bir sonuç doğurmasından bahsedilemeyeceği,

• Kanun’un 6’ncı maddesinin (3) numaralı fıkrasında sağlık ve cinsel hayat dışındaki kişisel verilerin kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebileceği hükmünün yer aldığı ve Avukatlık Kanunu’nun 2 ve 35’inci maddelerinin yanı sıra HMK’nin 219’uncu maddesindeki hükümler göz önünde bulundurularak söz konusu genetik verilerin veri sorumlusunca işlenmesinin Kanun’un 6’ncı maddesinin (3) numaralı fıkrasına uygun bir işleme faaliyeti olduğu ve ilgili mahkemelere aktarılmasının da Kanun’un 8’inci maddesine uygun bir kişisel veri aktarım faaliyeti olduğu değerlendirmelerinden hareketle,

İlgili kişiye ait genetik veri kategorisindeki DNA test raporlarının aynı zamanda ilgili kişinin çocuklarına ait raporlar olduğu göz önünde bulundurularak söz konusu kişisel verinin çocukların vekili olan veri sorumlusunca işlenmesinin ve aktarılmasının öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebileceği hükmüne uygun olduğu dolayısıyla ve söz konusu kişisel verinin İlgili Kişinin e-posta adresine hukuka aykırı biçimde erişilmek suretiyle Veri Sorumlusunca ele geçirildiğini gösterir bir belgeye yer verilmemiş olduğu anlaşıldığından bahse konu şikâyet ile ilgili olarak Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

Karar Tarihi               :           17/08/2023

Karar No                    :           2023/1430

Karar Konusu           :           Yemek kartı hizmeti sunan veri sorumlusuna ait mobil uygulamada T.C. kimlik numarasının işlenmesi

Konu Özeti                : Kuruma intikal eden ihbarda, yemek kartı hizmeti sunan veri sorumlusuna ait mobil uygulamayı kullanmak için kayıt olurken kişilerin T.C. kimlik numarası bilgilerinin istendiğinin belirtilmesi üzerine konu hakkında Kişisel Verileri Koruma Kurulu (Kurul) tarafından resen inceleme başlatılmıştır. Mobil uygulama üzerinde yapılan incelemede, mobil uygulamaya kayıt olurken isim, soy isim, telefon numarası, doğum tarihi, e-posta bilgilerinin talep edildiği; kişi profiline yemek kartı tanımlanmak istediğinde ise girilen bilgilerin T.C. kimlik numarası ile karşılaştırılacağının belirtildiği tespit edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde şikâyet edilen veri sorumlusundan savunması talep edilmiş olup, Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 17/08/2023 tarihli ve 2023/1430 sayılı Kararı ile;

• Telefon numarası ve T.C. kimlik numarası genel nitelikte kişisel veri kategorisinde yer almakla birlikte, T.C. kimlik numarasının niteliği itibariyle telefon numarasına nazaran daha önemli bir veri olduğu ve veri ihlali yaşanması halinde kişiler için daha büyük zararlara yol açabileceği gözetildiğinde; ilgili kişilerin menfaatlerinin korunması için çalışan tarafından fiziksel kartların mobil uygulamaya eklenmek istenmesi halinde uygulamadaki doğrulamanın, işveren aracılığıyla veri sorumlusuna ibraz edilecek kart bilgisi ve telefon numarası gibi bilgilerle sağlanması için yapılacak düzenlemelerin tasarımda mahremiyet, veri minimizasyonu ve kişisel verilerin amaca uygun ve ölçülü işlenmesi ilkelerine uygun olacağı değerlendirmelerinden hareketle,

Fiziksel yemek kartlarının mobil uygulamada kayıt altına alınması halinde kartın doğrulanması işleminin kişilerin T.C. kimlik numarası bilgisi işlenmeden, işveren aracılığıyla kart ve telefon numarası bilgisi işlenmesi gibi ilgili kişileri daha çok koruyacak yollarla yapılması mümkün olduğundan, T.C. kimlik numarası verisinin işlenmesinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 5’inci maddesindeki hukuki sebeplere dayanmaksızın yapıldığı ve Kanun’un 4’üncü maddesindeki kişisel verilerin işlendiği amaçla ölçülü işlenmesi ilkesine aykırı olduğu değerlendirildiğinden Kanun’un 12’nci maddesinin birinci fıkrasında yer alan yükümlülüklerini yerine getirmediği değerlendirilen veri sorumlusu hakkında 200.000 TL idari para cezası uygulanmasına karar verilmiştir.

Karar Tarihi               :10/08/2023

Karar No                    :2023/1356

Kararın Konusu        : Bir işveren tarafından işe iade davasına ilgili kişinin mescitte ibadet etme görüntülerinin ibraz edilmesi

Karar Özeti                :Kuruma intikal ettirilen şikayette özetle;ilgili kişinin özel nitelikli kişisel verisi niteliğindeki ibadethane içerisindeki ibadet etme görüntülerinin eski işvereni tarafından rızası dışında kayıt altına alındığı ve işe başladığı tarih itibarıyla şirket tarafından bu konuda aydınlatma yapılmadığı ve açık rızasının alınmadığı, şirket tarafından ilgili kişinin iş akdinin feshedilmesinden kısa bir süre önce, geriye dönük olarak kişisel verilerin işlenmesiyle ilgili belgelerin imzalanmasının istendiği ve belgeleri imzalamak istememesi üzerine, bir şirket çalışanı tarafından gönderilen bir elektronik posta ile belgelerin imzalanması gerektiğinin bildirildiği, şirket tarafından mescit içerisinde görüntü kaydı alma konusunda açıkça bir ifadenin bulunmadığı ve bu konuda bir bilgilendirme yapılmadığı ve özellikle bir bilgilendirme işaretinin de bulunmadığı, şirketin ibadethane içerisindeki görüntüleri kayda almasında diğer işçilerle arasında ayrımcılık yapmak amacının bulunduğu, ibadet eden çalışanlar ile ibadet etmeyen çalışanların tespit edilerek iş yerinde farklı muamelelere maruz bırakıldığı, ibadethanede kaydedilen görüntülerin şirketle ihtilaflı olduğu mahkeme dosyasına şirket tarafından ibraz edildiği ifade edilerek gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde ilgili şirketten savunması istenilmiş olup, Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 10/08/2023 tarih ve 2023/1356 sayılı Kararı ile;

• Söz konusu olayda, ilgili kişiye veri sorumlusu çalışanı tarafından gönderilen elektronik posta içeriğinden anlaşılacağı üzere açık rızanın özgür irade ile verilmediği ve ilgili kişinin işten çıkarılma korkusu ile geriye dönük olarak kişisel verilerin işlenmesiyle ilgili diğer belgeleri de rızası olmadan imzalamak zorunda bırakıldığı,

• Söz konusu veri işleme faaliyetinin her halükârda Kanun’un 4’üncü maddesinde yer alan genel ilkelerden “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine uygun olması gerektiği, çalışanların; soyunma odaları, tuvaletler, duşlar, mescit, dinlenme odaları ve emzirme odaları bakımından makul bir mahremiyet beklentisinde olduğu dikkate alındığında veri sorumlusu tarafından söz konusu alanlarda veri işleme faaliyeti gerçekleştirilmesinin çalışanların mahremiyet beklentilerini zedeler nitelikte ve özel alanlarının işgali niteliğinde sayılabileceği,

• Dolayısıyla, tüm bu hususların Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer verilen “Veri sorumlusu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmüne aykırılık teşkil ettiği, değerlendirmelerinden hareketle,

Veri sorumlusu tarafından mescitte kamera ile gerçekleştirilen kişisel veri işleme faaliyetine ilişkin olarak, ilgili kişinin açık rıza vermediği ve işten çıkarılma korkusuyla geriye dönük olarak kişisel verilerin rızası olmadan işlendiği sonucuna varılmıştır. Ayrıca, açık rıza alınsa dahi, söz konusu veri işleme faaliyetinin Kanun’un 4. maddesinde yer alan genel ilkelerden “işlendikleri amaçla bağlı, sınırlı ve ölçülü olma” ilkesine aykırılık teşkil ettiği ifade edilmiştir. Bu nedenle, veri sorumlusuna 300.000 TL idari para cezası uygulanmasına karar verilmiştir. Ayrıca, şikayete konu kişisel veri işleme faaliyetinin derhal durdurulması ve sonucun Kurula bildirilmesi için veri sorumlusuna talimat verilmiştir. Hukuka aykırı işlenen kişisel verilerin imha edilmesi ve sonucun Kurula bildirilmesi için de veri sorumlusuna talimat verilmiştir.

Karar Tarihi               :03/08/2023

Karar No                    :2023/1310

Konu Özeti                : İlgili kişinin bir bankanın (veri sorumlusu) bireysel ve kurumsal müşterisi olduğu, 19.11.2022 tarihinde mobil bankacılık uygulamasını kullanarak unutmuş olduğu kurumsal hesabına ilişkin şifreyi sıfırlamak istediği, kurumsal parola belirleme alanına girdikten sonra T.C. kimlik kartının veya kredi/banka kartının hazır edilmesinin talep edildiği, T.C. kimlik numarası ile devam edildiğinde ise T.C. kimlik kartı ile dijital parola üretmenin tek seçenek olarak geldiği, kurumsal hesaba giriş yapılırken dijital kimlik kartının kullanılmasının şart koşulduğu, T.C. kimlik kartı ile giriş yapılmak istendiğinde ise yüz verilerinin işlenmesi için onay ekranının çıktığı, onay verilmediği durumda ise hizmetten faydalanılamadığı ve sistemin başa döndüğü, böylece kişisel verilerinin zorla işlendiği ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin olarak başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 03/08/2023 tarihli ve 2023/1310 sayılı Kararı ile;

• Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik’in 34. maddesi, elektronik bankacılık hizmetlerinde müşteri kimlik doğrulama mekanizmalarını düzenler. Bu mekanizma en az iki bağımsız bileşenden oluşması gerektiği, kimlik doğrulama için kullanılan bileşenler müşterinin “bildiği”, “sahip olduğu” veya “biyometrik bir karakteristiği olan” unsurlardan seçilmelidir. Bu bileşenler bağımsız olmalı ve birinin ele geçirilmesi diğerinin güvenliğini tehlikeye atmaması gerektiğini, ilgili kişi, mobil bankacılık uygulamasında T.C. kimlik kartı veya kredi/banka kartı ile dijital parola oluşturma işlemleri için başvuruda bulunduğunu,

• Banka, mobil şube üzerinden dijital parola üretiminde müşterilere yüz izi verilerini işleme seçeneği sunduğunu ancak, bu işlem için özel nitelikli biyometrik veri olan yüz izi verilerinin işlenmesi için müşteriden açık rıza alınması gerektiğini ve müşteriler, açık rıza vermedikleri takdirde mobil şube üzerinden dijital parola işlemlerini gerçekleştirememekte ve sistemi kullanamadığını,

• Bununla birlikte, Bankanın şikayete konu olay tarihinde T.C. kimlik kartı ile işlem yapma seçeneğinde yüz izi verilerinin işlenmesine rıza göstermeyen müşteriler için işlemi herhangi bir bilgilendirme yapmadan sonlandırdığı, dijital parola belirleme hizmetinin alternatif kanallar ile yapılabildiğine ilişkin bilginin internet sitesinde başka bir bölümde belirtildiği değerlendirmelerinden hareketle,

Veri sorumlusu Bankanın hizmetleri kapsamında dijital parola oluşturmanın şikayet tarihinde mobil bankacılıkta yalnızca T.C. kimlik kartı ve yüz verilerinin işlenmesi suretiyle gerçekleşebildiği ancak müşterilerin dijital parola alma hizmetinden Bankanın Şube ve Telefon Bankacılığı kanalları aracılığıyla da yararlanabildiği ve bu hususun Bankanın internet sitesinde belirtildiği dikkate alındığında, bu hizmetin şarta bağlandığı iddiasının yerinde olmadığı değerlendirildiğinden veri sorumlusu hakkında yapılacak bir işlem bulunmadığına ve Bankanın şikayete konu olay tarihinde T.C. kimlik kartı ile işlem yapma seçeneğinde yüz izi verilerinin işlenmesine rıza göstermeyen müşteriler için işlemi herhangi bir bilgilendirme yapmadan sonlandırdığı, dijital parola belirleme hizmetinin alternatif kanallar ile yapılabildiğine ilişkin bilginin internet sitesinde başka bir bölümde belirtildiği anlaşıldığından, her ne kadar mevcut durumda şikayete konu hizmetin mobil bankacılıkta da alternatif bir yöntemle verilmesine başlanılmış olsa da, veri sorumlusu Bankanın hizmet süreçlerini gözden geçirmesi ve veri işleme faaliyetlerinde müşterileri tarafından yanlış anlaşılmaya sebebiyet verebilecek süreçler var ise ilgili kişilerin bu süreçler hakkında kolay anlaşılır/ulaşılır birşekilde bilgilendirilmesi hususunda azami özeni göstermesini teminen uyarılmasına karar verilmiştir.

Karar Tarihi               :           03/08/2023

Karar No                    :           2023/1309

Konu Konusu           :           Bir havayolu şirketi tarafından ilgili kişiye ait kişisel verilerin hukuka aykırı olarak üçüncü kişilerle paylaşılması

Karar Özeti                : İlgili kişi, ailesiyle bir seyahat acentesinden tur satın aldıktan sonra tur firması tarafından veri sorumlusu olan havayolu firması ile seyahatinin planlandığı ve uçuş bilgilerinin gönderildiği bir durumu Kurum’a şikayet etmiştir. İlgili kişi, havayolu şirketinin mobil uygulamasında check-in işlemi sırasında tanımadığı dört kişinin kişisel bilgilerini gördüğünü belirtmiştir. Bu kişilerin isim, soyisim, cinsiyet, doğum tarihi, uyruğu, belge türü, belgenin verildiği ülke, belge numarası, son geçerlilik tarihi, vize bilgileri gibi detaylı bilgilerinin görüldüğü ve bu bilgilerle bilet iptali ve değişikliği gibi işlemlerin yapılabildiği ifade edilmiştir. İlgili kişi, kendi kişisel verilerinin de başkaları tarafından görülebildiğini ve bu durumun hukuka aykırı olduğunu belirterek, mevcut ihlalin giderilmesi, bilgi verilmesi ve gerekli aksiyonların alınması talebinde bulunmuştur.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması talep edilmiş olup, ilişkin Kişisel Verileri Koruma Kurumu tarafından inceleme neticesinde, Kişisel Verileri Koruma Kurulu’nun 03/08/2023 tarih ve 2023/1309 sayılı Kararı ile;

• 2920 sayılı Türk Sivil Havacılık Kanunu’nun “Milli Sivil Havacılık Güvenlik Kurulu ve Havacılık Güvenliği” başlıklı 40’ncı maddesinin beşinci fıkrasında “Havayolu ile seyahat edecek kişilerin bilgileri kişilerin seyahatini kolaylaştırmak veya güvenlik ve risk değerlendirmesi yapmak amacıyla 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu çerçevesinde toplanabilir, kaydedilebilir, işlenebilir, paylaşılabilir, havacılık güvenliği ve emniyetini sağlamak üzere değerlendirilerek gereken tedbirler alınabilir…” hükmünün yer aldığı,

• Grup PNR uygulamasında farklı yolcu gruplarını bir araya getirmek için tedbirler alındığı ifade edilmiştir. Bu tedbirler arasında, Grup PNR’da yer alan bir yolcu check-in işlemi yapmak veya bilet işlemlerini yönetmek istendiğinde PNR + SOYADI kombinasyonu ile giriş yapmanın gerekliliği bulunmaktadır. Ancak, ilgili kişinin şikayeti doğrultusunda yapılan incelemede, PNR + SOYADI kombinasyonu ile yapılan giriş işlemi sonrasında soyadı eşleşen kayıtların yanı sıra farklı soyadına sahip kişilerin verilerine de erişim sağlandığı belirlenmiştir. Bu durum, veri sorumlusunun Kanun’un 12’nci maddesinin (1) numaralı fıkrası gereği kişisel verilerin hukuka aykırı olarak erişilmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığını göstermektedir. Ayrıca, şikayete konu işlemin ilgili kişi ile seyahat acentesi arasında gerçekleşen Paket Tur Sözleşmesi ile bağlantılı olduğu iddiasına rağmen, ilgili kişinin PNR bilgisini girdiğinde soyadı farklı olan kişilere erişim sağlandığı tespit edilmiştir.

İlgili kişinin şikayeti, Grup PNR uygulamasında yaşanan veri güvenliği ihlali ve veri koruma tedbirlerinin yetersizliği üzerinedir. İlgili kişinin ekran görüntülerine göre, Grup PNR’da soyadı eşleşen kayıtlar dışında farklı soyadlarına sahip kişilerin verilerine erişimin mümkün olduğu tespit edilmiştir. Bu durum, veri sorumlusunun gerekli teknik ve idari tedbirleri almadığını ve kişisel verilerin hukuka aykırı olarak erişildiğini göstermektedir. Veri sorumlusunun iddia ettiğinin aksine, PNR + SOYADI kombinasyonu ile yapılan girişin güvenlik düzeyini sağlamada yetersiz olduğu belirlenmiştir. Veri ihlali durumunda Kanun’un gerektirdiği bildirim yapılmamış ve bu durum çok sayıda kişiyi etkileme potansiyeline sahiptir. Bu nedenle, ilgili Kanun’un 12’nci maddesinin (5) numaralı fıkrası kapsamında Kuruma bir bildirim de yapılmadığı dikkate alındığında veri sorumlusu hakkında 300.000 TL idari para cezası uygulanmasına karar verilmiş olup, Veri sorumlusunun, ortak PNR oluşturulması durumlarında aynı soyadına sahip olmayan kişilerin verilerine erişim sağlanmasının bir veri ihlali olduğu belirlenmiştir. Veri sorumlusuna, bu durumu düzeltmek ve benzer olayların önlenmesi için ilave teknik tedbirler almak amacıyla Kurula bilgi vermesi için talimat verilmiştir. İlgili kişinin diğer bir iddiasına dair yapılan incelemede, veri sorumlusunun veri koruma tedbirleri ve veri işleme amaçlarına dair yeterli bilgi verdiği tespit edilmiştir. Bu nedenle, bu kısma ilişkin bir işlem yapılmasına gerek bulunmamıştır.

Karar Tarihi               :03/08/2023

Karar No                    :2023/1321

Kararın Konusu        : İlgili kişinin e-posta verilerinin, önceden ortağı olduğu veri sorumlusu Şirket tarafından işlenmeye devam edilmesi

Karar Özeti                : Kuruma intikal eden şikâyette özetle; ilgili kişinin daha önce ortağı olduğu veri sorumlusu Şirket’ten ayrılarak yeni bir şirket kurduğu, ancak veri sorumlusu Şirket’in ortağı iken kullandığı e-posta adresinin hala aktif olduğunu ve veri sorumlusunun söz konusu adrese iletilen e-postaları okuduğunu öğrendiği, bu durumun kendisi açısından haksız rekabet yarattığı ve maddi zarara uğradığı, bu konuda veri sorumlusuna başvuru yaptığı ancak herhangi bir cevap alamadığı ifade edilerek 6698 sayılı Kanun kapsamında gerekli işlemlerin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, Kişisel Verileri Koruma Kurumu tarafından yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 03/08/2023 tarihli ve 2023/1321 sayılı Kararı ile;

• Veri sorumlusu Şirket’ten ayrılmasından sonra ilgili kişinin, yeni kurduğu firmada daha önce ortağı olduğu veri sorumlusu Şirketin faaliyet alanı ile aynı işi yapmaya başladığı ve bu süreçte ilk olarak, veri sorumlusu nezdindeki ortaklığını bitirdiğini bilmeyen eski bir müşterinin ilgili kişinin eski e-posta adresine mesaj ilettiği, söz konusu mesajı okuyan veri sorumlusu Şirket yetkilisinin ilgili müşteriyle iletişime geçtiği,

• İkinci olarak ise ilgili kişinin yeni firmasının bir çalışanının sehven eski e-posta adresine mesaj ilettiği, veri sorumlusu Şirket yetkilisinin bu mesaja yorumsuz bir e-postayla dönüş yaptığı ve Veri sorumlusu, ilgili kişinin eski e-posta adresinin kapatıldığını ve şirketin kullanılan e-posta adresleri arasında bulunmadığını savunsa da, İlgili kişinin daha önce kullandığı ve şu anda pasif durumda olan eski e-posta adresine hala ileti gönderildiği, Bu e-posta verilerinin kişisel veri niteliği taşıdığı, İlgili kişinin işten ayrılmasının ardından, e-posta gönderilerek tanımsız e-postada iletilerin görüntülenmesine olanak tanıyarak kişisel verilerin işlenmeye devam edildiği belirtilmiştir. Ancak, bu işleme faaliyetinin Kanun’un 5. maddesinde belirtilen herhangi bir işleme şartına dayanmadığı değerlendirmelerinden hareketle,

İlgili kişinin daha önceden kullanmış olduğu ve şu an pasif durumda bulunan e-posta adresine ileti gönderilmeye devam edildiği, e-posta verilerinin kişisel veri niteliğini haiz olduğu, bu çerçevede ilgili kişinin işten ayrılmasından sonra e-posta gönderilmesinin engellenmemesi nedeniyle tanımsız e-postada iletilerin görüntülenmesine imkan sağlanmak suretiyle kişisel verilerinin işlenmeye devam edildiği, söz konusu kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesi kapsamında herhangi bir dayanağı bulunmaması nedeniyle Kanun’un 18’inci maddesi uyarınca 50.000 TL idari para cezası uygulanmasına, Söz konusu sistemin işten ayrılan kişilere ilişkin kişisel veri işlenme faaliyetine devam edilmemesini sağlayacak şekilde düzeltilerek sonucundan Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına ve Şikayete konu kişisel verilerin imha edilerek sonucundan Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Karar Tarihi   :03/08/2023

Karar No        :2023/1327

Kararın Konusu        : İlgili kişinin kişisel verilerinin konakladığı otel çalışanı tarafından üçüncü kişilerle paylaşılması hakkında

Karar Özeti : Kuruma intikal eden şikayette  özetle; sosyal medya uygulamasından üçüncü bir kişi tarafından ilgili kişiye veri sorumlusuna ait otelde ikamet ettiği döneme ilişkin bilgiler ihtiva eden bir belge gönderildiği, ilgili kişinin bahsi geçen şahsa söz konusu belgenin kendisine nasıl ulaştığını sorduğunda şahsın otelde çalışan bir tanıdığından kendisine gönderilmesini istediğini belirttiği, bu belgenin veri sorumlusunun bünyesinde üretilen bir belge olduğu, söz konusu belgenin üzerinde yer alan ilgili kişinin isim ve konaklama bilgilerinin üçüncü kişilerin eline geçtiği, diğer yandan veri sorumlusunca aydınlatma yükümlülüğünün de yerine getirilmediği hususları belirtilerek 6698 sayılı Kanun kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması talep edilmiş olup, Kişisel Verileri Koruma Kurulunun 03/08/2023 Tarihli ve 2023/1327 sayılı Kararı ile;

• İlgili kişinin şikâyetine ve veri sorumlusu tarafından üçüncü kişilerle paylaşıldığı iddiasına konu edilen “Housekeeping Task Sheet” belgesinin oteldeki temizlik- bakım hizmetleri için görevleri ve programı belirlemek amacıyla oluşturulduğu ve Temizlik Görev Kâğıdı olarak çevrilebileceği, kat görevlilerinin konaklayan misafirlerin isim ve soy isimleri bilgilerine vakıf olduğu,

• Registraton Card/Konaklama Belgesi düzenlenmesinin; 1774 sayılı Kimlik Bildirme Kanunu’nun 12’nci maddesine dayanılarak çıkarılan Kimlik Bildirme Kanununun Uygulanması ile İlgili Yönetmelik’in 23’üncü maddesindeki hüküm gereğince zorunlu olduğu, bu itibarla veri sorumlusunun bahse konu düzenleme nedeniyle hukuki bir yükümlülüğünün bulunduğu, bu itibarla ilgili kişilerin konaklama belgesini doldurmalarının ve imzalamalarının veri sorumlusunun sahip olduğu yasal bir yükümlülükten ileri geldiği ancak aynı belgede sorumsuzluk kaydı başlığı altında “konaklama belgesini imzalayan kişilerin iletişim bilgilerine reklam, promosyon vb. ticari elektronik ileti gönderilmesini, bilgilerinin bu amaçla kullanılacağını kabul edeceğini, saklanacağını ve veri sorumlusunun hizmet alacağı üçüncü kişilerle paylaşılmasını kabul edeceği” düzenlemesinin veri işlemenin bir genel işlem şartı olarak ileri sürüldüğünü gösterdiği, 

• Konaklama belgesini doldurma ve imzalamak zorunluluğu altında bulunan kişilere ayrıca belgeyi imzalamaları halinde reklam ve pazarlama amaçlı iletişim bilgilerinin işlenmesini kabul edecekleri düzenlemesinin getirilmesi halinde, kişisel verilerinin işlenmesi konusunda ilgili kişilerin iradelerinin sakatlanacağı ve Bu doğrultuda konaklama belgesini imzalayan kişilerin, mevzuat gereği bu belgeyi imzalamakla yükümlü oldukları dikkate alındığında, ayrıca iletişim bilgilerinin reklam ve pazarlama amaçlı işlenmesini kabul edecekleri şeklinde hüküm derç edilmesinin açık rızanın özgür irade unsurunu sakatlayacağı değerlendirmelerinden hareketle,

Housekeeping Task Sheet belgesinde müşterilere ait isim ve soy isime yer verilmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin Kanun’un 4’üncü maddesi kapsamında ölçüsüz bir veri işleme faaliyeti olduğu, üçüncü kişilerle paylaşılmaya konu edilen Housekeeping Task Sheet belgesinde yer alan kişisel verilerin veri sorumlusu bünyesinde oluşturulduğu ve üçüncü kişiler tarafından elde edilmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin yalnızca veri sorumlusu tarafından idari ve teknik tedbirlerin alınmamış olması dolayısıyla gerçekleşebileceği kanaatine varıldığından Kanun’un 12’nci maddesi uyarınca kişisel verilere hukuka aykırı olarak erişilmesini önlemek yükümlülüğü ile kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idarî tedbirleri alma yükümlülüğünün sağlanamadığı dikkate alındığında veri sorumlusu hakkında 500.000 TL idari para cezası uygulanmasına, Housekeeping Task Sheet belgesinde müşterilere ait isim ve soy isime yer verilmemesine yönelik olarak belgelerin düzenlenmesi ve sonucundan Kurul’a bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına,

Şikayet sonucunda, aydınlatma yükümlülüğünün yerine getirilmemesi sebebiyle konaklama belgesi ekindeki aydınlatma metni ile web sayfasındaki metin arasındaki farkların giderilmesi, ayrıca belgeyi imzalayan kişilere reklam ve pazarlama amaçlı iletişim bilgilerinin işlenmesine dair açık rızanın özgür iradeyi etkilememesi için revizyon yapılması gerektiği belirtilmiş. Veri sorumlusunun bu düzenlemeleri yapması ve Kurul’a bilgi vermesine karar verilmiştir.

Karar Tarihi: 20.07.2023

Karar No: 2023/1234

Kararın Konusu: Bir araç kiralama şirketi tarafından ilgili kişiden Findeks Raporu talep edilmesi suretiyle kişisel verilerinin işlenmesi

Karar Özeti: Bu şikayette; otobüs, feribot ve uçak firmalarının seyahat biletlerini kullanıcılara yönelik satışa açan Platform’un (Platform) resmi internet sitesi üzerinden bir araç kiralama şirketinden 7 günlük bir araç kiraladığı ancak araç teslim edilmeden önce; rezervasyon yaptığı ve bedelini ödediği aracın teslim edilmesi için depozito bedelinin ödenmesi için kredi kartının teslim edildiğinde gelen sms de kullanıcıdan ayrıca Findeks raporu ve açık rıza beyanı talep edildiği, kullanıcının bu talepleri kabul etmediği için rezervasyonunun iptal edildiği belirtiliyor. Kullanıcı, araç kiralama şirketinden tüm kişisel verilerinin imha edilmesini, bu imha işlemine dair kaydın verilmesini, verilerin aktarıldığı 3. kişiler varsa bu 3. kişilerde de imha işleminin gerçekleştirilmesini, hukuka aykırı uygulamaya son verilmesini ve araç kiralama şirketi sistemlerindeki kişisel verilerin derhal imha edilmesini talep etmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusu araç kiralama şirketinden ve Platform’dan savunması talep edilmiş olup, Kişisel Verileri Koruma Kurumu tarafından yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulu’nun 22/07/2023 tarihli ve 2023/1234 sayılı Kararı ile;

•  Araç kiralama hizmetlerine ilişkin kişisel verilerin işlenmesi konusunda araç kiralama şirketlerinin veri sorumlusu olduğu vurgulanmıştır. Ayrıca, 1174 sayılı Kimlik Bildirme Kanunu’na göre araç kiralama şirketlerinin, kiralama talebinde bulunan kişilerin kişisel verilerini işlediği belirtilmiş ve bu şirketlerin Kanunun 3. maddesinin (ı) bendine göre veri sorumlusu olduğu ifade edilmiştir.

• Findeks raporuna erişilmek suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin, Kanunda yer alan açık rıza dışındaki şartlardan birine dayanıyorsa, bu durumda ilgili kişiden açık rıza alınmasına gerek bulunmadığı ve veri işleme faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılmasının, aldatıcı ve hakkın kötüye kullanımı niteliğinde olacağı oysa somut olayda Findeks raporu bilgileri sorgulanması suretiyle kişisel verilerin işlenmesinin ancak Kanun’un 5’inci maddesinde sayılan açık rıza hukuki sebebine dayanarak işlenebileceğini, bu kapsamda veri sorumlusu tarafından Findeks raporu temin edilmeksizin kiralama işlemi yapılmaması suretiyle açık rızanın hizmet şartına bağlandığı dikkate alındığında Kanunun 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerin yerine getirilmediği, kişisel verilerin işlenmesi için açık rıza alınması gerektiği, bu rızanın özgür iradeyle verilmesi gerektiği ve ilgili kişinin bilgilendirilmiş olması gerektiği vurgulanmıştır.

Veri sorumlusunun açık rıza şartını hizmet şartına bağlaması ve açık rıza alınmaksızın kişisel verilerin işlenmesi nedeniyle; Findeks raporu bilgileri sorgulanması suretiyle kişisel verilerin işlenmesinin ancak Kanun’daki açık rıza hukuki sebebi gerçekleştirebileceği, bu kapsamda veri sorumlusu tarafından Findeks raporu temin edilmeksizin kiralama işlemi yapılmaması suretiyle açık rızanın hizmet şartına bağlandığı dikkate alındığında Kanunun 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında 100.000 TL idari para cezası uygulanmasına, ayrıca, veri sorumlusunun başvuruya eksik cevap vermesi nedeniyle de uyarıda bulunulmuş ve ilgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin ortadan kalkması ile birlikte, Kanun ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümleri kapsamında imha edilmesi gerektiği hususunun veri sorumlusuna hatırlatılmasına karar verilmiştir.

Karar Tarihi               :           06/07/2023

Karar No                    :           2023/1130

Kararın Konusu        : İlgili kişinin rapor ve ilaç kayıtlarının eczane tarafından eski eşi ile paylaşılması

Karar Özeti:               : Kuruma intikal eden şikâyette özetle; ilgili kişinin eşinden boşandığı, ancak eski eşi ile aralarında velâyet davası görüldüğü, ilgili kişinin hastane rapor ve ilaç kayıtlarının Eczacı tarafından Medula sisteminden çıkartılarak eski eşe verildiğinin dava dosyasından anlaşıldığı ifade edilerek 6698 sayılı Kanun kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde Eczacıdan savunması talep edilmiş olup, Kişisel Verileri Koruma Kurumu tarafından yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 06/07/2023 tarihli ve 2023/1130 sayılı Kararı ile;

• Medula Eczane’nin Genel Sağlık Sigortası hak sahiplerinin SGK ile sözleşmeli eczanelerden almış oldukları ilaçlara ait reçete bilgilerinin SGK tarafından belirlenmiş kurallara uygunluğunu çevrimiçi olarak denetleyerek elektronik ortamda kayda alınmasını ve faturalanmasını sağlayan bir bilgi teknolojileri servisi olduğu,

• Öyle ki bu sistem üzerinden hastaların raporlarının ve ilaç bilgilerinin kontrol edilmesinin tek başına veri sorumluluğu doğurmayacağı gibi eczacıların bu verilerin işleme amacını, vasıtasını belirlememekle birlikte Medula sisteminin kurulmasından ve yönetilmesinden de sorumlu olmadığı,

• Bu kapsamda, eczacıların ilaç temini sürecinde Medula sistemine girilen veriler açısından ayrı bir işleme faaliyeti yapmakla yetkilendirilmiş kişiler olmadığı, Kanun’un 3’üncü maddesi kapsamında veri sorumlusu özelliklerini taşımadıkları ve ödeme süreçlerinin tamamlanabilmesi için veri işleme faaliyeti yürüttükleri için veri işleyen sıfatını haiz olduğu,

• Öte yandan, Medula sisteminin işlevi için gerekenden fazla bir veri işleme faaliyeti yürütülmesi durumunda örneğin ilgili kişilerin rapor ve ilaç listesinin çıktısı alınarak hastalara ilişkin özel bir klasör oluşturulması veya söz konusu verinin üçüncü bir kişi ile paylaşılması durumlarında bu kişilerin veri sorumlusu sıfatını haiz olacağı,

• Kanun’un 6’ncı maddesinde özel nitelikli kişisel verilerin ne olduğu ve işlenme amaçlarının sayıldığı,

• T.C. Sağlık Bakanlığı tarafından yayınlanan İyi Eczacılık Uygulamaları Kılavuzunun 5b.2 maddesinde ise “Eczacı, yürürlükteki mevzuat çerçevesinde mesleki ve etik davranışlar sergiler, hastanın özel yaşam ve mahremiyetini korur”; 6.5. maddesinde “Eczanede, eczacı ve hasta arasında yapılan görüşmelerde hasta mahremiyeti göz önünde bulundurulur ve görüşmeler bu doğrultuda yapılır.”; 10.ç.5. maddesinde “Eczacı, hasta veya yakınına vereceği bilgileri belirli bir düzen içinde sunar; önemli noktaları görüşmenin başında anlatır, sonunda tekrarlar.” hükümlerinin yer aldığı,

• Eczacının saklaması gereken sır niteliğindeki bilgilerin kapsamının geniş olduğu, başkalarının öğrenmesi halinde hastanın maddi veya manevi zarara uğrayacağı, ayıplanacağı, dışlanacağı ya da hastanın psikolojik olarak kendini kötü hissedeceği bilgilerin sır olarak kabul edildiği, sır saklama yükümlülüğüne aykırı davranıştan dolayı hastaların tazminat talep edebildiği, Eczacının diğer yükümlülüklerde olduğu gibi sır saklama yükümlülüğünde de yanında çalıştırdığı kimselerden Türk Borçlar Kanunu’nun 116’ncı maddesi gereğince sorumlu olduğu,

• Çalıştırdığı personelin seçimi, bilgilendirilmesi, denetimi ve talimat verilmesinde gerekli objektif özen ve dikkati gösterdiğini ya da bunu göstermiş olsa bile zararın doğumuna engel olamayacağını kanıtlar nitelikte bir bilgi ve belge sunamayan ve ilgili kişinin sağlık verilerinin üçüncü bir kişi ile paylaşılmasına sebep verecek şekilde özen yükümlülüğüne aykırı olarak hareket ettiği değerlendirilen eczacının (veri sorumlusunun) kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alma yükümlülüğünü yerine getirmediği değerlendirmelerinden hareketle; 

Veri sorumlusunun Medula sistemini kullanarak edindiği ilgili kişiye ait özel nitelikli kişisel verileri Kanun’un 6’ncı maddesinde yer alan veri işleme şartlarından herhangi birine dayanılmaksızın üçüncü kişi olan boşandığı eşi ile paylaştığının anlaşıldığı, bu kapsamda veri sorumlusunun Kanun’un 12’nci maddesinde yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alma yükümlülüğünü yerine getirmediği değerlendirilmekte olup veri sorumlusu hakkında 50.000 TL idari para cezası uygulanmasına,

Karar Tarihi               :15/06/2023

Karar No                    : 2023/1050

Kararın Konusu        : Veri sorumlusu Banka’nın, müşteri temsilcisi ile ilgili kişi arasında gerçekleştirilen görüşmeye ilişkin ses kaydı dökümünün ilgili kişiye sağlanması yönündeki talebi yerine getirmemesi

Karar Özeti: Kuruma intikal ettirilen şikâyette özetle; ilgili kişinin veri sorumlusu Banka’nın müşteri iletişim merkezi ile yaptığı görüşmede sanal kartının kopyalandığı ve bu nedenle tarafına bilgi verilmeden kartının kullanıma kapatıldığını öğrendiği, buna istinaden 6698 sayılı Kanun’un 11’inci maddesi kapsamında, sanal kartının kapatılmasına neden olan kişisel veri kopyalanması ile ilgili tespit uyarınca hangi kişisel verilerinin kopyalanmış olabileceği ve hangi banka işlemi nedeniyle bu tespite ulaşıldığı hususlarında bilgi edinme talebi ile veri sorumlusuna başvuruda bulunduğu ancak bu başvurusunun veri sorumlusu tarafından yanıtsız bırakıldığı, aynı konuya ilişkin olarak farklı bir tarihte ikinci kez veri sorumlusuna yaptığı başvuruda Kanun’un 11’inci maddesi kapsamında kişisel verilerinin işlenip işlenmediğinin teyidini ve müşteri temsilcisi ile gerçekleştirdiği görüşmeye ilişkin ses kaydını veya bu kaydın dökümünü talep ettiği; ancak bu başvurusunun da veri sorumlusunca yanıtsız bırakıldığı ifade edilerek ilgili ses kayıt dökümünün tarafına sağlanması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması talep edilmiş olup, Kişisel Verileri Koruma Kurumu tarafından yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 15/06/2023 tarihli ve 2023/1050 sayılı Kararı ile;

• İlgili kişinin, veri sorumlusu Banka’nın müşteri temsilcisi ile gerçekleştirdiği görüşmeye ilişkin ses kaydı veya bu kaydın dökümünün ilgili kişi ile paylaşılmamasının gerekçesi olarak veri sorumlusunca ileri sürülen “sır saklama yükümlülüğü”nün 5411 sayılı Bankacılık Kanunu’nun “Sırların Saklanması” başlıklı 73’üncü maddesinde düzenlendiği, anılan maddenin (3) numaralı fıkrasında bankacılık hukukuna özgü bir kavram olan “müşteri sırrı” kavramının sınırlarının ortaya konulduğu ve bankacılık faaliyetlerine özgü olarak bankalarla müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ait verilerin müşteri sırrı hâline geleceğinin düzenlendiği, 

• Diğer yandan, Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik”te banka sırrı ve müşteri sırrı niteliğindeki bilgilerin paylaşımı ve aktarımına ilişkin kapsam, şekil, usul ve esasların belirlenmesinin amaçlandığı ve sır saklama yükümlülüğünün kapsamı, bu yükümlülükten istisna tutulan hâller ile sır niteliğindeki bilgilerin paylaşılmasına ilişkin genel ilkelerin çerçevesinin çizildiği,

• 5411 sayılı Bankacılık Kanunu ve ilgili mevzuatta düzenlenen sır saklama yükümlülüğünün, kanuni düzenlemelerin öngördüğü hukuka uygunluk hâlleri dışında, müşteri ile ilgili ticari bağlantı nedeniyle elde edilmiş olan bilgi ve olaylar hakkında üçüncü kişilere bilgi verilmemesini gerektirdiği ve diğer yandan 6698 sayılı Kanun’un 11’inci maddesi kapsamında düzenlenen, ilgili kişilerin kendileriyle ilgili kişisel veriler işlenmişse buna ilişkin bilgi talep etme haklarının söz konusu veriye erişim hakkını da kapsadığı değerlendirmelerinden hareketle;

5411 sayılı Bankacılık Kanunu ve ilgili mevzuatta yer verilen “sır saklama yükümlülüğü”nün, kanuni düzenlemelerin öngördüğü hukuka uygunluk hâlleri dışında, müşteri ile ilgili ticari bağlantı nedeniyle elde edilmiş olan bilgi ve olaylar hakkında üçüncü kişilere bilgi verilmemesini gerektirdiği ve diğer yandan 6698 sayılı Kanun’un 11’inci maddesi hükümleri kapsamında ilgili kişilerin, kendileriyle ilgili kişisel veriler işlenmişse buna ilişkin bilgi talep etme haklarının, söz konusu veriye erişim hakkını da kapsadığı ve erişim hakkının da bilgi talep etme hakkını tamamlayarak ilgili kişilerin kişisel verileri üzerindeki haklarını kullanabilmeleri için kişisel verilerinin ne şekilde işlendiğine dair bilgi sahibi olmalarına imkân sağladığı dikkate alındığında, tarafların görüşme sırasındaki doğrudan ifadelerini içeren söz konusu dökümün, ilgili kişi dışında başkalarının kişisel verileri varsa bunların çıkarılması/maskelenmesi gibi önlemler alınarak İlgili Kişiye gönderilmesi ve buna ilişkin tesis edilen işlemler hakkında Kurula bilgi verilmesi yönünde Veri Sorumlusunun talimatlandırılmasına karar verilmiştir.

Karar Tarihi:  15/06/2023

Karar No:       2023/1041

Kararın Konusu: Veri sorumlusunun internet sitesinde aydınlatma yükümlülüğünü usulüne uygun olarak yerine getirmemesi ve sunduğu hizmeti açık rıza şartına bağlaması

Karar Özeti: Kuruma intikal eden şikayette özetle; ilgili kişinin tetkik ve takip için vücuda takılan şeker ölçüm cihazlarından almak istediği, bu özellikleri karşılayan ve Veri Sorumlusu tarafından satışa sunulan ürünün, gizlilik ve aydınlatma metinlerinde işaretlenmek üzere boş bırakılan alanlar doldurulmadan satışının yapılmadığı veya internet sitesine üyelik işleminin gerçekleştirilemediği, ürünün satın alınabilmesi için söz konusu metinlerde bulunan alanların doldurulmasının zorunlu kılındığı, özel sağlık bilgilerinin ticari ve pazarlama amaçlı faaliyetlerde kullanılması ve bu bilgiler paylaşılmaksızın ürünün satılmamasının hastanın teşhis ve tedavi hakkını kısıtladığı ve hiçbir kişisel verisinin yurt dışına aktarılmasını kabul etmediği belirtilerek gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması talep edilmiş olup, Kişisel Verileri Koruma Kurumu tarafından yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 15/06/2023 tarihli ve 2023/1041 sayılı Kararı ile;

• Kişisel verilerin yurt dışına aktarılmasına ilişkin açık rıza metnine onay verilmeksizin satış işleminin gerçekleştirilmediği iddiası yönünden; somut olayda Veri Sorumlusu tarafından verilen hizmetin İlgili Kişinin “açık rıza” vermesi şartına bağlanıp bağlanmadığının ele alınması gerektiği,

• Bununla birlikte, açık rıza bir irade beyanı olduğundan, kişinin özgür bir şekilde rıza gösterebilmesi için, neye rıza gösterdiğini de bilmesi gerektiği, ayrıca kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olması beklendiğinden bilgilendirmenin, veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmesi ve mutlaka verinin işlenmesinden önce yapılması gerektiği, herhangi bir ürün ve/veya hizmetin sunumunun da (ya da herhangi bir üründen ve/veya hizmetten yararlandırılmasının) ilgili kişi tarafından açık rıza verilmesi şartına bağlanmaması, tarafların eşit konumda olmadığı veya taraflardan birinin diğeri üzerinde etkili olduğu durumlarda rızanın özgür iradeyle verilip verilmediğinin dikkatle değerlendirilmesi gerektiği, zira hizmetin açık rıza şartına bağlanması özgür iradeyi ortadan kaldıracağından ilgili kişinin rıza beyanının da hukuken geçerli bir “açık rıza” olarak değerlendirilemeyeceğinden hareketle;

Gizlilik ve aydınlatma metinleri işaretlenmeksizin üyelik ve satış işlemlerinin gerçekleştirilememesi yönündeki uygulamanın, Veri Sorumlusunun Kanun’dan doğan aydınlatma yükümlülüğünü yerine getirmek üzere benimsendiği ve müşterilerin aydınlatma metnini okuyarak bilgilendirilmesi ve bu suretle düşünmeye sevk edilmesi maksadı taşıdığı; diyabet hastalarının kullanımına sunulan bir ürünün satışının yapılması yolu ile bu ürünü satın alan müşterilerin sağlık verilerinin işlendiği sonucuna varılamayacağı ve bu sebeple özel nitelikli kişisel veri işlendiği iddiasının kabul edilebilir olmadığı; İlgili Kişinin kişisel verilerinin pazarlama amacıyla işlenmesi için açık rızanın arandığı ve somut olayda bu rızanın özgür olarak verilmesini engelleyecek herhangi bir durum olmadığı dikkate alınarak İlgili Kişinin gizlilik ve aydınlatma metinleri işaretlenmeden satışın gerçekleştirilemediği ve üyelik işleminin yapılamadığı, sağlık verilerinin ticari ve pazarlama amaçlı faaliyetlerde kullanıldığı iddiaları yönünden Kanun’a aykırılık bulunmadığına,

Kişisel verilerin yurt dışına aktarılmasına ilişkin açık rıza metnine onay verilmeksizin satış işleminin gerçekleştirilmediği iddiası yönünden ise şikâyet tarihinde internet sitesi üzerinden yapılan alışverişlerde müşterilerin kişisel verilerinin yurt dışına aktarılmasına ilişkin açık rıza alındığı ancak kişisel verilerinin yurt dışına aktarılmasına rıza göstermeyen müşteriler için müşteri hizmetleri aracılığıyla satış kanalının mevcut olduğu, bu sebeple hizmetin açık rıza şartına bağlanmadığının değerlendirildiği ancak bu Karar tarihinde ise Veri Sorumlusunun internet sitesinde yapılan değişiklik neticesinde alternatif satış kanalının anlaşılmasının neredeyse imkansız hale getirildiği dikkate alınarak şeffaf bir bilgilendirme yapılmasını teminen üyelik ve satış ekranlarında alternatif satış kanalına ilişkin yolun açık ve anlaşılır biçimde gösterilmesi hususunda Veri Sorumlusunun talimatlandırılmasına karar verilmiştir.

Karar Tarihi               :01/06/2023

Karar No                    :2023/892

Kararın Konusu        : İlgili kişinin kişisel verilerinin, Kooperatif ortaklığından ayrılmasına rağmen hukuka aykırı olarak işlenmeye devam edilmesi

Karar Özeti                : Kuruma intikal ettirilen bir ihbar dilekçesinde özetle; Kişisel verilerinin KOOPBİS’e (Kooperatif Bilgi Sistemi) hukuka aykırı olarak işlendiği, Kooperatif ortaklığından, Kooperatife sunduğu ihtarname ile ayrılmış olmasına rağmen Kooperatif tarafından kendisine genel kurul davetiyesi gönderilmesi suretiyle kişisel verilerinin işlenmeye devam edildiği, kişisel verilerinin 6698 sayılı Kanunun 7’nci maddesine uygun olarak imha edilmesi talebinin yerine getirilmediği, İlgili kişi tarafından veri sorumlusuna yapılmış olan başvuruya süresi içinde cevap verilmediği belirtilerek Kooperatif hakkında 6698 sayılı Kanun kapsamında gerekli işlemlerin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması talep edilmiş olup, Kişisel Verileri Koruma Kurumu tarafından yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 25/05/2023 tarihli ve 2023/892 sayılı Kararı ile;

• KOOPBİS’in veri kayıt sisteminin kurulmasından ve yönetilmesinden Ticaret Bakanlığının sorumlu olduğu dikkate alındığında söz konusu sisteme kaydedilen veriler bakımından Kooperatifin bir sorumluluğunun bulunmadığı, nitekim ilgili kişinin kişisel verilerinin Kooperatif tarafından KOOPBİS sistemine kaydedilmediği dikkate alındığında ilgili kişinin kişisel verilerinin KOOPBİS’e kaydedilmek suretiyle hukuka aykırı olarak işlendiği iddiası bakımından Kurul tarafından yapılacak bir işlem olmadığı,

• 1163 sayılı Kooperatifler Kanunu çerçevesinde, ilgili kişinin talebi üzerine Noterlik tarafından gönderilen evrak, Kooperatife yapmış olduğu ihtarname ile, yine aynı kanun uyarınca uyarınca ilgili kişinin Kooperatif ortaklığının sona erdiğinin anlaşıldığı, ilgili kişinin çıktığını bildirdiği tarihten itibaren kişisel verilerin işlenme şartlarının ortadan kalktığı dikkate alındığında veri sorumlusu tarafından ilgili kişinin kişisel verilerinin Kooperatif ortaklığından ayrılmasına rağmen genel kurul davetiyesi gönderilmesi suretiyle işlenmeye devam edildiği,

• İlgili kişinin kişisel verilerin imha edilmesi talebinin yerine getirilmediği iddiası bakımından Kooperatife ait internet sitesinde ortakların sahip olduğu payları ve ortakların adını ve soyadını gösterir şemaya yer verildiği görülmüş olmakla birlikte, Kurul Kararı tarihi itibariyle söz konusu erişim adresinde yer alan şemadan ilgili kişinin adının ve soyadının kaldırıldığının görüldüğü değerlendirmelerinden hareketle;

Kooperatifler Kanunu’nun “Ortaklıktan çıkmayı kabulden kaçınma” başlıklı 13’üncü maddesi hükmü gereği ilgili kişinin çıktığını bildirdiği tarihten itibaren kişisel verilerin işlenme şartlarının ortadan kalktığı dikkate alındığında veri sorumlusu tarafından ilgili kişinin kişisel verilerinin Kooperatif ortaklığından ayrılmasına rağmen genel kurul davetiyesi gönderilmesi suretiyle işlenmeye devam edildiği, söz konusu kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinde yer alan veri işleme şartlarına dayanmadığı dikkate alındığında Kanun’un 12’nci maddesinde yer alan veri güvenliğine ilişkin yükümlülükleri yerine getirmediği değerlendirilen veri sorumlusu hakkında 50.000 TL idari para cezası uygulanmasına,

İlgili kişinin kişisel verilerinin Kanun’un 7’nci maddesine uygun olarak imha edilmesi talebinin veri sorumlusu tarafından yerine getirilmiş olması nedeniyle Kanun kapsamında yapılacak bir işlem olmadığına,

KOOPBİS’in veri kayıt sisteminin kurulmasından ve yönetilmesinden Ticaret Bakanlığının sorumlu olduğu dikkate alındığında söz konusu sisteme kaydedilen veriler bakımından Kooperatifin bir sorumluluğunun bulunmadığı, nitekim ilgili kişinin kişisel verilerinin Kooperatif tarafından KOOPBİS sistemine kaydedilmediği dikkate alındığında ilgili kişinin kişisel verilerinin KOOPBİS’e kaydedilmek suretiyle hukuka aykırı olarak işlendiği iddiası bakımından Kurul tarafından yapılacak bir işlem olmadığına karar verilmiştir.

Karar Tarihi               :01/06/2023

Karar No                    :2023/924

Kararın Konusu        : Otopark işletmecisi veri sorumlusu tarafından ilgili kişinin kişisel verilerinin hukuka aykırı işlenmesi ve aydınlatma yükümlülüğünün yerine getirilmemesi

Karar Özeti                : Kuruma intikal ettirilen bir ihbar dilekçesinde özetle; Otopark işletmecisi veri sorumlusu tarafından, ilgili kişinin aracının park borcu olduğu iddiasıyla icra takibi başlatıldığı ve söz konusu icra takibine itiraz etmesi neticesinde tüketici mahkemesinde kendisi aleyhine itirazın iptali davası açıldığı, söz konusu dava kapsamında veri sorumlusu tarafından kişisel verilerinin Kanun’a aykırı olarak işlendiği, aracının ruhsat bilgilerinin hangi yolla temin edildiğinin belirsiz olduğu, dava dosyasına aracına ait fotoğraflar sunulduğu, bu fotoğrafların kim tarafından ve hangi gerekçe ile çekildiğinin belli olmadığı, borç bilgisine bir internet sitesinde aracın plakası ile yapılan sorgulama neticesinde alenen ulaşılabildiği ve kişisel verilerinin işlenmesi konusunda kendisine aydınlatma yapılmadığı hususları ifade edilerek 6698 Kanun kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusu otopark işletmecisinden savunması istenilmiş olup, Kişisel Verileri Koruma Kurumu tarafından yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun (Kurul) 01/06/2023 tarih ve 2023/924 sayılı Kararı ile;

• Veri sorumlusu otopark işletmecisi ile aralarında kurulan sözleşme kapsamında park borcundan kaynaklanan alacağın tahsiline ilişkin icra takibi ve sonrasında dava açılabilmesi için ilgili kişinin kimlik bilgilerine ulaşılmasının, bu amaçla ilgili kişinin kişisel verilerinin, ilgili kişiye ait araç plakasının ilgili makamlardan sordurulmak suretiyle kimlik bilgilerine ulaşılarak işlenmesinin, veri sorumlusunun sözleşmeden kaynaklanan haklarını kullanabilmesi için zorunlu olduğu, bu kapsamda söz konusu veri işleme faaliyetinin Kanun’ca düzenlenen “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hakkındaki hukuka uygunluk hükmü kapsamında kaldığı,

• Anılan hükümler doğrultusunda, veri sorumlusu otopark işletmecisinin ilgili kişi ile aralarında kurulmuş olan sözleşmeden doğan alacağını tahsil edebilmek amacı ile açtığı itirazın iptali davasında, iddiasını ispatlayabilmesi için iddianın dayanağı olan delilleri mahkemeye sunmasının zorunlu olduğu, dolayısıyla delilerin dava dosyasına sunulması suretiyle kişisel veri işleme faaliyetinin Kanun’ca düzenlenen “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hakkındaki hukuka uygunluk hükmü kapsamında kaldığı,

• Kurum’a intikal ettirilen bilgi ve belgelerden veri sorumlusu tarafından adlarına kayıtlı araç plakasının ne kadar otopark borcu olduğunu öğrenmek isteyen kullanıcıların plakalarını yazarak sorgulamak suretiyle borç tutarını öğrenebildiği bir sayfa olarak ifade edilen internet adresinde, başka herhangi bir ek bilgi gerekmeksizin bir araç plakası ve araç plakasının yazıldığı kutucuğun hemen yanında yer alan doğrulama sayıları ile yapılan sorgulama neticesinde, söz konusu araç plakasına ait borç bilgisine ulaşılabildiği, araç plakasının ait olduğu kişi bilindiğinde yahut öğrenildiğinde, söz konusu uygulamanın, araç sahiplerinin borç bilgilerine rahatlıkla ulaşma imkanı verdiğinin tespit edildiği,

• Kurum tarafından yayımlanan “Kişisel Veri Güvenliği Rehberi kişisel verilere gerekli durumlarda uzaktan erişilmesi halinde iki kademeli kimlik doğrulama kontrolünün uygulanmasının, güvenliğin sağlanması adına alınması gereken tedbirler arasında sayıldığı, bu itibarla kişisel verilere uzaktan erişilmesi halinde üçüncü kişilerin kolayca ulaşamayacağı şekilde iki aşamalı sorgulama sistemi kullanılmasının gerekli olduğu,

• Somut olay bakımından veri sorumlusunun aydınlatma yükümlülüğünün mevcut olduğu, ilgili kişiye ait kişisel verilerin işlenmesi bakımından ilgili kişiye aydınlatma yapma yükümlülüğü bulunan veri sorumlusunun, bu yükümlülüğünü yerine getirmediği, değerlendirmelerinden hareketle,

İlgili kişinin araç plakası sorgulatılarak kimlik bilgilerine ulaşılması ve ilgili kişinin aracının veri sorumlusunun işlettiği otopark alanlarında fotoğrafının çekilerek bu fotoğrafların ilgili kişi ile veri sorumlusu arasında görülen dava dosyasına sunulması suretiyle gerçekleştirilen kişisel veri işleme faaliyetlerinin, Kanun’un kişisel verilerin işlenme şartlarını içeren 5’inci maddesi kapsamında olduğu dikkate alındığında Kanun kapsamında yapılacak bir işlem olmadığına, 

İşlediği kişisel veriler bakımından Kanunun 10’uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kanunun kabahatleri düzenleyen 18’inci maddesinin birinci fıkrasının (a) bendi uyarınca 75.000 TL idari para cezası uygulanmasına,

Otopark kullanıcılarına ilişkin olarak Aydınlatma Yükümlülüğünün yerine getirilmesine yönelik Kanun ve Tebliğ’e uygun olarak ve kişisel verilerin hangi durumlarda işleneceği bilgisine yer verilmek suretiyle Aydınlatma Metni hazırlanması ve sonucundan Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına,

İlgili kişi de dahil olmak üzere veri sorumlusunun işlettiği otopark alanlarından yararlanan kişilerin kullanımına sunulmuş internet adresinde yer alan plaka sorgulanması suretiyle ödeme yapılmasına imkan sağlayan sistemin çift faktörlü doğrulama yapılarak gerçekleştirilmesi mümkün ise bu şekilde kullanıcılara sunulması veya bu şekilde sunulması mümkün değil ise Kanun’un 15’nci maddesinin 7’inci fıkrası uyarınca kişisel verilerin işlenmesine son verilmesi ve her iki durum bakımından da yapılacak işlemlerin sonucundan Kurula bilgi verilmesine karar verilmiştir.

Karar Tarihi               :01/06/2023

Karar No                    :2023/928

Kararın Konusu        : Bir üniversite tarafından ilgili kişilerin kişisel ve özel nitelikli kişisel verilerinin yer aldığı belgenin e-posta ekinde üçüncü kişilerle paylaşılması

Karar Özeti                : Üniversite rektörü tarafından ilgili kişilere gönderilen e-posta ile ekinde bulunan dosyada ilgili kişilere ve üçüncü kişilere ait, kişisel ve özel nitelikteki kişisel verilerinin toplu e-posta gönderisi ile alenileştirmek suretiyle üçüncü kişilere aktarıldığının anlaşıldığı,Bunun üzerine, Kanun’un veri sahibi başvurusunda bulunulduğu, ilgili kişilerin veri sorumlusuna yaptıkları başvuruya, “…ilgili kişilerin de arasında olduğu bir kısım personelin aşı olmadığı halde PCR testi de yaptırmaması nedeniyle üniversite rektörü tarafından aşı olmayan personelin PCR testi yaptırması gerektiği yönünde e-posta atılmış fakat e-posta ekinde sehven Excel dosyası da gönderilmiştir. İlgili e-postada yer alan kişiler üniversitemiz bir kısım çalışanı ve PCR testlerinin takibini sağlamak adına söz konusu personelin idari amirleridir. Tarafınızca yapılan başvuru neticesinde fark edilen bu olay ile ilgili olarak; ilgili e-posta ekinde sehven gönderilmiş bulunan Excel dosyası ile ilgili olarak e-posta gönderilen personel ile iletişime geçilerek e-posta ve ekinin ilgililerden silinmiştir.” şeklinde yanıt verildiği,ancak, şikâyete konu e-posta gönderisinden önceki bir e-posta gönderisinde de ilgili kişilere ve üçüncü kişilere ait kişisel verilerin toplu e-posta gönderisi ile alenileştirildiği, dolayısı ile işlemin sehven yapılmış olması olanağının bulunmadığı belirtilerek veri sorumlusu hakkında gerekli işlemlerin yapılması talep edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 01/06/2023 tarihli ve 2023/928 sayılı Kararı ile;

• İlgili Kişilere gönderilen e-posta içeriği ve söz konusu Excel dosyası incelendiğinde, tabloda çalışanlara ait olduğu tahmin edilen ve yalnızca kendileri tarafından bilinebilecek olan cep telefonu numaraları, e-posta adresleri, adres bilgileri, HES kodları, aşı bilgileri, risk durumu bilgileri gibi kişisel ve özel nitelikli kişisel verilerinin açık bir şekilde yer aldığı,

• Bununla birlikte, şikâyete konu e-postaya ilişkin ekran görüntüsünden, gönderinin alıcı kısmında ilgili kişilere ait e-posta adresleri ile beraber üçüncü kişilere ait e-posta adreslerinin yer aldığı görüldüğünden söz konusu tablonun üçüncü kişiler ile paylaşılması hususunun söz konusu ekran görüntüsü ile sabit olduğu,

• Öte yandan, veri sorumlusu e-posta ekinde sehven bir Excel dosyası gönderildiğini belirtmiş olsa da ilgili kişiler adına Kurum’a iletilen şikâyet dilekçesi ve ekleri incelendiğinde söz konusu e-postanın gönderilmesinden önce ilgili kişiler ile birlikte üçüncü kişilere ait kişisel verilerin toplu e-posta gönderisi ile paylaşıldığı görülmüş olup, sehven gönderilme gibi bir durumun kabul edilemeyeceği,

• Diğer yandan, söz konusu e-postanın üniversitenin çalışanları ve idari amirlerine gönderilmesi ile çalışanların aşı bilgileri, risk durumu vb. verilerinin paylaşılmasının, kişisel verilerin üçüncü kişiler ile paylaşılması anlamına geleceği ve şikâyete konu verilerin imha edilmesi hususu veri sorumlusu tarafından cevap yazısı ekinde yer verilen İmha Tutanağı ile tevsik edilmiş olmakla birlikte, söz konusu verilerin yer aldığı e-posta ve ekinin, e-posta gönderilen ilgililerden imha edilmesinin veri ihlalini ortadan kaldırmayacağı

• Veri sorumlusu üniversite rektörü tarafından ilgili kişilere ait kişisel ve özel nitelikli kişisel verilerin yer aldığı Excel dosyasının e-posta ekinde yer verilerek üçüncü kişilerle paylaşılmasının Kanun’un 5’inci ve 6’ncı maddelerinde belirtilen işleme şartlarına dayanılmaksızın gerçekleştirildiği, bu kapsamda Veri sorumlusunun Kanunun 12’nci maddesinin birinci fıkrasının (b) bendi çerçevesinde kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirleri yeterli düzeyde almadığı,

• Şikâyete konu veri işleme faaliyetinin veri ihlali niteliği taşıdığı ancak veri sorumlusu tarafından Kurul’a bir veri ihlal bildiriminde bulunulmadığının tespit edildiği, bu durumun Kanun’un 12’nci maddesinin beşinci fıkrasında düzenlenen Kurul’a bildirimde bulunma yükümlülüğüne aykırılık teşkil ettiği kanaatine varılması nedeniyle Kanunun kamu tüzel kişiliği niteliğindeki veri sorumlusu bünyesinde görev yapan sorumlular hakkında disiplin hükümlerine göre işlem yapılarak sonucundan Kurul’a bilgi verilmesine karar verilmiştir.

Karar Tarihi               :01/06/2023

Karar No                    :2023/938

Kararın Konusu        : Bir üniversite tarafından, öğrencisi olan ilgili kişinin elektronik posta adresine günlük elektronik postalar gönderilmesi

Karar Özeti                :İlgili kişinin Üniversitenin öğrencisi olduğu, Üniversite tarafından kendisinin elektronik posta adresine kendisiyle doğrudan alakası olmayan ve içeriklerinin ilgi alanına girmediği günlük elektronik postalar gönderildiği, söz konusu elektronik postaları almak istemediği ve bu konuda üniversiteye birçok defa başvuruda bulunduğu ve e-posta listesinden çıkmak istediğini belirttiği, buna rağmen kişisel verisi niteliğinde olan elektronik posta adresinin Üniversite tarafından işlenmeye ve listede tutulmaya devam edildiği ifade edilerek gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, Kişisel Verileri Koruma Kurumu tarafından yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun (Kurul) 01/06/2023 tarih ve 2023/938 sayılı Kararı ile;

• Yapılan incelemede veri sorumlusu tarafından ilgili kişinin kurumsal elektronik posta adresine farklı tarihlerde elektronik posta gönderildiğinin anlaşıldığı; söz konusu elektronik postaların içeriğinde veri sorumlusu bünyesinde yapılan etkinliklerin, idari faaliyetlerin, eğitim olanaklarının ve veri sorumlusunun yapmış olduğu diğer duyuruların bulunduğunun tespit edildiği; aynı zamanda, söz konusu elektronik postaların veri sorumlusu tarafından ilgili kişiye tahsis edilen edu.tr uzantılı kurumsal elektronik posta adreslerine gönderildiğinin belirtildiği ancak elektronik posta adresinin veri sorumlusu tarafından ilgili kişiye tahsis edilmesinin söz konusu elektronik posta adresinin kişisel veri olma niteliğini değiştirmeyeceği,
• İlgili kişinin kişisel veri niteliğini haiz kurumsal elektronik posta adresine veri sorumlusu tarafından elektronik postalar gönderilmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinde yer alan “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” kapsamında gerçekleştirildiği,
• Bunun yanı sıra, öğrencilere kurumsal elektronik posta adresinden üniversite hakkında duyuru yapılacağına ilişkin bilgilendirmeye aydınlatma metninde yer verilmesi gerektiği değerlendirmelerinden hareketle;

İlgili kişinin kişisel verisi niteliğinde olan şahsına ait kurumsal elektronik posta adresine veri sorumlusu tarafından elektronik postalar gönderilmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinde yer alan “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” kapsamında gerçekleştirildiği dikkate alındığında Kanun kapsamında yapılacak işlem bulunmadığına, 

Öğrencilere kurumsal elektronik posta adresinden üniversiteye ilişkin duyuru yapılacağına ilişkin bilgilendirmeye yer verilmek suretiyle aydınlatma metninin güncellenmesi ve sonucundan Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Karar Tarihi               :01/06/2023

Karar No                    :2023/932

Kararın Konusu        : İlgili kişinin Bankaya iletişim numarası olarak bildirmediği telefon numarasının kredi işlemleri ile ilgili olarak bilgilendirme yapılması suretiyle işlenmesi

Karar Özeti                :İlgili kişinin cep telefonu numarası aracılığıyla online olarak veri sorumlusu Banka’nın müşterisi olduğu ve aynı gün bireysel kredi başvurusunda bulunduğu, aynı gün içerisinde hem ilgili Banka’ya vermiş olduğu telefon numarasına hem de adınakayıtlı olan ama Banka ile olan işlemlerinde kullanmadığı telefon numarasına kredi başvurusu ile ilgili ve içeriği farklı kısa mesajlar iletildiği, bu konu ile ilgili olarak yaptığı ilk başvuruya verilen cevapta Banka’nın şikayet konusu numarayı Kredi Kayıt Bürosu’ndan (KKB) aldığını belirttiği, yaptığı ikinci başvuruya Banka tarafından verilen cevapta ise şikayet konusu numaranın diğer bankalarla yapılmış olan sözleşmelere istinaden başka bankalardan alındığının belirtildiği, KKB’nin internet sitesinde araştırma yaptığında ise ilgili kuruluşta kayıtlı telefon numarasının Banka’ya vermiş olduğu telefon numarası ile aynı olduğu yani şikayet konusu numara olmadığı ifade edilerek 6698 sayılı Kanun kapsamında gerekli işlemlerin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusu otopark işletmecisinden savunması istenilmiş olup, Kişisel Verileri Koruma Kurumu tarafından yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun (Kurul) 01/06/2023 tarih ve 2023/932 sayılı Kararı ile;

• Veri sorumlusunun; ilgili kişinin kredi talebi sürecinde müşterinin beyan ettiği ve sistemleri aracılığıyla makul yöntemlerle doğrulanmış mobil iletişim bilgisinin kaydedildiği, söz konusu alternatif iletişim bilgisine, bankaların kanunen yerine getirmekle yükümlü olduğu başvuru güvenliği/dolandırıcılığın önlenmesi sürecinde, veri sorumlusunun Kredi Kayıt Bürosu (KKB) ile imzalamış olduğu veri aktarım sözleşmesi çerçevesinde otomatik olarak veya bankadaki görev tanımları dolandırıcılık girişimlerini önlemek olan sorumlu ekip üyelerince manuel olarak erişildiği, 
• Bu çerçevede; ilgili kişinin, veri sorumlusunun online banka müşterisi olması akabinde 19.08.2022 tarihinde veri sorumlusuna kredi başvurusunda bulunduğu, öncelikle ilgili kişi tarafından Bankaya iletişim bilgisi olarak verilmiş olan telefonuna kredi işlemlerine ilişkin bir bilginin iletildiği, aynı zamanda KKB kayıtlarında kişinin kredi başvuru sürecinde beyan ettiği iletişim bilgisine rastlanmadığı, farklı numaraların varlığının tespiti halinde bu durumun potansiyel bir dolandırıcılık işlemine dair erken uyarı sinyali olarak algılandığı ve ilgili kişiye ait KKB’de kayıtlı en güncel iletişim bilgileri üzerinden başvuru sahibi ile iletişime geçildiği, söz konusu telefon numarasının KKB kayıtlarından edinildiği, söz konusu mesajın KKB’de kayıtlı adrese iletilmesi suretiyle gerçekleştirilen işlemin, sahte bir kimlik ile beraber alternatif bir iletişim numarası kullanılarak gerçekleştirilebilecek bir kredi başvurusunun banka tarafından sehven onaylanması halinde hem bankanın ilave zarara maruz kalmamasına hem de gerçekte borç ile hiçbir ilişkisi olmayan bir müşterinin ilave maddi/hukuki yük altına girmesinin engellenmesine hizmet ettiği, söz konusu işlemlerin Bankacılık Kanunu ve Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik uyarınca gerçekleştirildiği değerlendirmelerinden hareketle;

Veri sorumlusu tarafından ilgili kişinin iletişim numarası olarak bildirmediği telefon numarasının kredi işlemleri ile ilgili olarak bilgilendirme yapılması suretiyle işlenmesinin Kanunun 5’inci maddesinde yer alan “Kanunlarda açıkça öngörülmesi” ve “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartlarına dayalı olarak gerçekleştirildiği değerlendirildiğinden veri sorumlusu hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına,

İlgili kişinin KKB kayıtlarının hangi kapsamda güncellendiği yönündeki bilgi talebi ve KKB tarafından Bankalara sağlanan bilgilerin kapsamının yanlış veya güncel olmadığı yönünde iddiaları mevcut ise ilgili kişi tarafından öncelikle KKB nezdinde bu talep ve iddiaların ileri sürülmesi gerektiği hususunun ilgili kişiye hatırlatılmasına karar verilmiştir.

Karar Tarihi   :           25.05.2023

Karar No                    : 2023/890

Kararın Konusu        : Bir hava yolu şirketinin özel yolcu programı hizmetinin açık rıza şartına bağlanması

Karar Özeti                : Kuruma intikal ettirilen şikâyette özetle, veri sorumlusu hava yolu şirketinin özel yolcu programında biriken millerini görmek için internet sitesine giriş yaptığı; ancak söz konusu özel yolcu programı hizmetlerinden yararlanabilmesi için profildeki zorunlu alanların doldurulması ve kişisel verilerinin kendisine özel ürün ve hizmetler oluşturulması ile tanıtılması için pazarlama faaliyetlerinde kullanılmasının kabul edildiğine ilişkin kutucuğun işaretlenmesi gerektiği; şayet ilgili kutucuk işaretlenmezse söz konusu sistemin ilerlemesine izin vermediği belirtilmiş olup Kanun kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan resen inceleme çerçevesinde ihbar edilen veri sorumlusundan savunması talep edilmiş olup, Kişisel Verileri Koruma Kurumu tarafından yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulu’nun 25/05/2023 tarihli ve 2023/890 sayılı Kararı ile;

• Şikâyete konu özel yolcu programının bir sadakat programı olduğu, ilgili kişinin bu sadakat programına katılmaksızın da veri sorumlusunun temel hizmeti olan uçak bileti satışı hizmetinden faydalanabildiği, programın üyelerine yalnızca ek imkanlar sağladığı,

• Somut olayda hediye millerin görüntülenmesi şikâyete konu edilmiş olup, yapılan incelemelerde millerin görüntülenmesi değil ekstra millerin kazanılmasının ancak özel yolcu programına üye olunması ile mümkün olduğu; üyeliğin ise ilgili kişinin açık rızası ile oluşturulabildiği,
• Ek menfaatlerin açık rıza koşuluna bağlanmasının “açık rızanın özgür irade ile verilmesi” koşulunu ortadan kaldırmayacağının Avrupa Birliği mevzuatında da açıkça kabul edildiği; nitekim, Kişisel Verileri Koruma Kurulunun 05/07/2019 tarihli ve 2019/198 sayılı Kararında da “Sadakat programı kapsamında ürün/hizmetlerin ek menfaat ile indirimli olarak sunulmasının açık rızanın koşul olarak dayatılması anlamına gelmediği”nin değerlendirmelerinden hareketle;

Şikâyete konu olayın açık rızanın koşul olarak dayatılması ve bu anlamda ilgili kişininaçık rızasının bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmesi niteliği taşımadığı dikkate alındığında veri sorumlusu hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

Karar Tarihi               : 18.05.2023

Karar No                    : 2023/845

Kararın Konusu        : Bir kargo şirketi çalışanı tarafından kargo teslimi akabinde ilgili kişinin telefonuna kısa mesaj gönderilmesi suretiyle kişisel verilerin hukuka aykırı işlenmesi

Karar Özeti                : Kuruma intikal eden şikayette özetle; bir online alışveriş sitesi üzerinden alışveriş gerçekleştirdiği, sipariş tarihinden bir gün sonra satın aldığı ürünün veri sorumlusu bünyesinde çalışan kurye tarafından teslim edildiği, sonrasında ise kurye tarafından cep telefonu numarasına taciz içerikli mesaj gönderildiği ve mesajı gönderenin kurye olduğu hususunun kargo şirketi (veri sorumlusu) tarafından teyit edildiği, veri sorumlusunun kişisel veri güvenliğini sağlayamadığı ve çalışanının kendisini rahatsız ettiği belirtilerek gereğinin yapılması talep edilmiştir. 

Konuya ilişkin başlatılan resen inceleme çerçevesinde ihbar edilen veri sorumlusundan savunması talep edilmiş olup, Kişisel Verileri Koruma Kurumu tarafından yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulu’nun 18/05/2023 tarihli ve 2023/845 sayılı Kararı ile;

• İlgili kişinin kişisel verilerinin hukuka aykırı olarak işlendiği iddiası bakımından yapılan incelemede, 6098 sayılı Türk Borçlar Kanunu 66’ncı maddesinde “Adam çalıştıran, çalışanın, kendisine verilen işin yapılması sırasında başkalarına verdiği zararı gidermekle yükümlüdür. Adam çalıştıran, çalışanını seçerken, işiyle ilgili talimat verirken, gözetim ve denetimde bulunurken, zararın doğmasını engellemek için gerekli özeni gösterdiğini ispat ederse, sorumlu olmaz. Bir işletmede adam çalıştıran, işletmenin çalışma düzeninin zararın doğmasını önlemeye elverişli olduğunu ispat etmedikçe, o işletmenin faaliyetleri dolayısıyla sebep olunan zararı gidermekle yükümlüdür.” hükmünün mevcut olduğu,
• İş Kanunu 2’nci maddesinin 6 ve 7’nci fıkralarında, “Bir işverenden, işyerinde yürüttüğü mal veya hizmet üretimine ilişkin yardımcı işlerinde veya asıl işin bir bölümünde işletmenin ve işin gereği ile teknolojik nedenlerle uzmanlık gerektiren işlerde iş alan ve bu iş için görevlendirdiği işçilerini sadece bu işyerinde aldığı işte çalıştıran diğer işveren ile iş aldığı işveren arasında kurulan ilişkiye asıl işveren-alt işveren ilişkisi denir. Bu ilişkide asıl işveren, alt işverenin işçilerine karşı o işyeri ile ilgili olarak bu Kanundan, iş sözleşmesinden veya alt işverenin taraf olduğu toplu iş sözleşmesinden doğan yükümlülüklerinden alt işveren ile birlikte sorumludur. Asıl işverenin işçilerinin alt işveren tarafından işe alınarak çalıştırılmaya devam ettirilmesi suretiyle hakları kısıtlanamaz veya daha önce o işyerinde çalıştırılan kimse ile alt işveren ilişkisi kurulamaz. Aksi halde ve genel olarak asıl işveren alt işveren ilişkisinin muvazaalı işleme dayandığı kabul edilerek alt işverenin işçileri başlangıçtan itibaren asıl işverenin işçisi sayılarak işlem görürler. İşletmenin ve işin gereği ile teknolojik nedenlerle uzmanlık gerektiren işler dışında asıl iş bölünerek alt işverenlere verilemez.” hükümlerinin mevcut olduğu,
• Türk Borçlar Kanunu ve İş Kanunu’nun ilgili hükümlerine göre veri sorumlusunun söz konusu hukuka aykırı veri işleme olayında sorumluluk sahibi olduğunun değerlendirildiği, buna rağmen veri sorumlusu vekili tarafından Kuruma iletilen cevap yazısından, söz konusu olayı gerçekleştiren ve olayın gerçekleştiği sırada veri sorumlusu adına çalışan şahsa, kişisel verilerin korunması ve veri güvenliği konusunda herhangi bir eğitim verilmediği ve gerekli bilgilendirmenin yapılmadığının anlaşıldığı, 
• İlgili kişinin kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi bakımından yapılan incelemede, kişisel verilerin veri sorumlusu kayıtlarına işlenmesinin sebebinin taşıma hizmeti olduğu ve taşıma hizmetinin verilebilmesi ve gönderilerin alıcılara teslim edilebilmesi için kargo alıcılarının ad, soyadı, adres ve iletişim bilgilerinin veri sorumlusu kayıtlarına işlenmesinin gerektiği ve 6102 sayılı Türk Ticaret Kanunu gereği fatura ve irsaliyelerin 10 yıl boyunca saklanmasının zorunlu olduğu değerlendirmelerinden hareketle;

Veri sorumlusu tarafından ilgili kişinin kişisel verisi niteliğinde olan cep telefonu numarasının, Kanun’un 5’inci maddesinde öngörülen kişisel veri işleme şartlarına dayanılmaksızın hukuka aykırı olarak paylaşıldığı, bu kapsamda veri sorumlusunun Kanun’un 12’nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılması nedeniyle veri sorumlusu hakkında 250.000 TL idari para cezası uygulanmasına karar verilmiştir.

Karar Tarihi               : 11.05.2023

Karar No                    : 2023/767

Kararın Konusu        : Evli çifte ait sağlık verilerini içeren özel nitelikli kişisel verilerin gazetede yayınlanmak suretiyle işlenmesi

Karar Özeti                :İlgili kişilerin özel bir hastaneden sağlık hizmeti aldıkları, tedavi sırasında yaşanan olumsuzluklar nedeniyle tedavi işlemini yapan doktor hakkında Sağlık Bakanlığına, Cumhuriyet Başsavcılığına ve ihtarname göndermek suretiyle hastaneye şikâyette bulundukları, tedavi tarihinden iki ay sonra yüksek tirajlı bir gazetede yayımlanan haber ile özel nitelikli kişisel verilerinin işlendiği, haberde hastaneye gönderdikleri ihtarnamenin kaynak olarak kullanıldığı kanaatinde oldukları, yapılan paylaşımın birçok haber sitesinde de yayımlandığı, taraflarınca 5651 sayılı Kanun kapsamında gerekli başvuruların yapıldığı ve haber içeriklerinin yayından kaldırıldığı ancak bazı internet sitelerinde haberin yayımlanmaya devam ettiğini belirtilerek veri sorumlusu hakkında 6698 sayılı Kanun kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan resen inceleme çerçevesinde ihbar edilen veri sorumlusundan savunması talep edilmiş olup, Kişisel Verileri Koruma Kurumu tarafından yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulu’nun 11/05/2023 tarihli ve 2023/767 sayılı Kararı ile;

• Kanun’un “İstisnalar” başlıklı 28’inci maddesinin (1) numaralı fıkrasının (c) bendi kapsamında; “kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği, özel hayatın gizliliği veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi” halinin Kanun’un uygulama alanı bulmayacağı haller arasında sayıldığı, 
• Kişisel veri işlemesinin ifade özgürlüğü kapsamında tam istisnai hal olarak değerlendirilebilmesi için suç teşkil etmemek kaydıyla özel hayatın gizliliğini de ihlal etmemesi gerektiği,
• Kişilik haklarına saldırı mahiyetinde olmayan haberin hukuka uygun olduğunun kabul edilebilmesi için; kamu ilgi ve yararı taşıması, gerçek ve güncel olması, öz ile biçim arasındaki dengenin gözetilmiş olması gerektiği,
• Kamu yararının tespitinde haberin kişilerin gereksiz merak duygularına mı yoksa yüksek ahlaki ve hukuki değerlerin korunmasına mı hizmet ettiği değerlendirilerek bir sonuca varılmasının uygun olacağı, toplumsal ilgi uyandıran, kamuoyunu düşünmeye ve tartışmaya sevk eden, belli bir sorunun aydınlatılmasına ve çözüm yollarının gösterilmesine hizmet eden olayların açıklamasında kamu yararının bulunduğunun söylenebileceği;
• Haberin gerçekliğinin habere yahut eleştiriye konu olayın gerçek olmasını ifade edeceği, buradaki gerçeklikten maddi gerçekliğin değil görünür gerçekliğin anlaşılması gerektiği, bir başka deyişle, gerçeklik unsurunun somut gerçeğe değil, olayın, haberin verildiği andaki biçimine uygunluk olarak anlaşılması gerektiği, zira olayın maddi gerçekliğinin araştırılmasının beklenilmesinin basının önemli ölçüde kısıtlanmasına neden olacağı, bu açıdan haberi yapan kimsenin yükümlülüğünün doğruluk kanıtı sunması değil kabul edilebilir seviyede ön araştırmayı yapması ve haberin doğru olduğuna dair iyi niyetli yaklaşımının olması şeklinde ele alınması gerektiği, bu kapsamda basının haber yapmasını ve değerlendirmede bulunmasını imkânsız hale getirecek şekilde ispat zorunluluğu aranmasının basın özgürlüğü hakkının özünü zedeler nitelikte olacağı, haberin güncel olmasının ise somut olayın açıklandığı tarihlerde kamu yararının bulunması esasına dayandığı, üzerinden süre geçmiş ve açıklanmasında artık kamu yararı bulunmayan bir olayın yayımlanmasında haber verme hakkından söz edilemeyeceğinden kişilik hakkına üstünlük tanınması gerekeceği, bu noktada geçmişteki bir olayın gündeme getirildiği haberin hukuka uygun kabul edilebilmesi için kamu yararı taşıması gerekmediği,
• İncelemeye konu haberde; ilgili kişilerin isim ve soyadları, kamu görevlisi olduğu bilgisi, sağlık hizmeti almak üzere başvurdukları hastane adı, hizmet aldıkları doktorun adı, alınan sağlık hizmetinin detayları, ilgili kişiler ile doktor arasında yaşanan hadisenin detayları, tarafların birbirlerine sarf ettikleri iddia edilen sözler ve tarafların mahkemelik olduklarına dair kişisel verilere yer verildiği, özel nitelikli kişisel verilerden sağlık ve cinsel hayata ilişkin verilerin de bulunduğu, ilgili kişilerin kişilik hakları ile basın özgürlüğü arasında mezkûr kriterler kapsamında değerlendirme yapılması gerektiği,
• Şikâyete konu haber gerçek ve güncel olma kriteri açısından değerlendirildiğinde haberin maddi gerçekliği yansıtmasa dahi görünür gerçeklik üzerinden haberleştirildiğinin anlaşıldığı ve haberin yayımlandığı tarih itibariyle güncellik kriterinin sağlandığı,
• Hastanelerin kamusal alan olduğu ve buralarda meydana gelen adli olayların veya doktorlar ile hastalar arasında yaşanan hadiselerin haberleştirilmesinde kamu yararının mevcut olduğu, ilgili kişilerin kişisel verilerinin söz konusu olaya ilişkin bir haberde yer almasının kamu ilgi ve yararı taşıyabileceği, ayrıca ilgili kişilerden birinin kamu görevlisi olması nedeniyle kamu ilgi ve yararı kriterinin bu bakımdan da sağlanabileceği ancak kamu yararı taşıma kriterinin özle biçim arasındaki denge kriteri ile birlikte yeniden değerlendirilmesi gerektiği,
• Haberin yapılmasında kamu ilgi ve yararı kriteri mevcut ise de habere konu edilen detayların kamuoyu tarafından bilinmesinde bir menfaat olmadığı, söz konusu kişisel verilerin yayımlanmasının toplumun genelini ilgilendiren ya da ilgilendirmesi gereken bir durum olmadığı, toplumu bir olayı düşünmeye sevk etmediği ya da kamuoyunda tartışılan bir meseleye katkı sağlayabilecek nitelikte olmadığı, aksine ilgili kişilerin kişisel verilerinin korunması hakkının ihlal edilmesi sonucu kişilik haklarını zedelediği, öte yandan haberde yer verilen kişisel verilerin özel nitelikli veri niteliğini haiz olması, Bu kapsamda, haberde yer alan kişisel veriler bakımından Kanun’un 28’inci maddesinde yer alan istisna hükmüne dayanılamayacağı, Kanun’un 5’inci ve 6’ncı maddelerinde yer alan geçerli bir işleme şartı mevcut olmaksızın kişisel verilerin işlenmiş olmasının Kanun’un 12’nci maddesinde yer alan “kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirlerin” alınmamış olduğunun göstergesi olduğu, öz ile biçim arasındaki denge unsurunun sağlanamadığını gösterdiği değerlendirmelerinden hareketle;

Şikayete konu haberde yer alan özel nitelikli kişisel veriler bakımından ifade özgürlüğü ile kişilik hakları arasında yapılan karşılaştırma neticesinde ilgili kişiler bakımından kişilik hakkı ve özel hayatın gizliliğinin ihlal edildiği kanaatine ulaşılmış olması nedeniyle Kanun’un 28’inci maddesinde yer alan ifade özgürlüğü istisnasına öncelik tanınamayacağı, bu minvalde söz konusu haberde yer verilen özel nitelikli kişisel verilerin Kanun kapsamında geçerli bir işleme şartına dayanmaksızın işlenmiş olmasının Kanun’un 12’nci maddesinde yer alan “kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirlerin” alınmamış olduğunun göstergesi olduğu dikkate alındığında veri sorumlusu gazete hakkında 100.000 TL idari para cezası uygulanmasına karar verilmiştir.

Karar Tarihi               : 02.05.2023

Karar No                    : 2023/695

Kararın Konusu        : Özel Bir Tıp Merkezi Tarafından İlgili Kişinin e-Nabız Sistemindeki Verilerine Hukuka Aykırı Erişilmesi 

Karar Özeti                : Veri sorumlusu Tıp Merkezi çalışanı hekim tarafından ilgili kişinin sağlık verilerinin e-Nabız sistemi üzerinden görüntülendiğinin fark edildiği, ilgili kişinin daha önce veri sorumlusu bünyesinde sağlık hizmeti almadığı, bu yönde bir sağlık probleminin olmadığı, ayrıca adı geçen hekim ile ilgisi ve tanışıklığı bulunmadığı, durumun mahiyetini öğrenmek üzere veri sorumlusuna başvurulduğu, veri sorumlusu tarafından verilen cevapta tıp merkezinde sağlık hizmeti alan bir başka hastanın T.C. kimlik numarası ile ilgili kişiye ait T.C. kimlik numarasının birbirine çok benzer olması nedeniyle bir başka hastanın bilgilerinin sorgulanması yerine sehven ilgili kişi adına hasta kaydı açılmış olduğu ve e-Nabıza giriş yapıldığı ifade edilmişse de bu savunmanın kabul edilebilir olmadığı, zira böyle bir yanlışlığın düşük bir olasılık olduğu gerekçeleriyle 6698 sayılı Kanun uyarınca gereğinin yapılmasını talep etmiştir.

Konuya ilişkin başlatılan resen inceleme çerçevesinde ihbar edilen veri sorumlusundan savunması talep edilmiş olup, Kişisel Verileri Koruma Kurumu tarafından yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulu’nun 02/05/2023 tarihli ve 2023/695 sayılı Kararı ile;

• e-Nabız sisteminin Sağlık Bakanlığı tarafından bütün hasta ve hekimlerin kendilerine özgü amaçlarla istifade edilmek üzere kullanımlarına sunulan ulusal çapta bir sağlık kayıt yönetim sistemi olduğu, Sağlık Bakanlığı’ndan veya özel sağlık kuruluşlarından sağlık hizmeti alan kişilere ait teşhis, tedavi, reçete vb. bilgilerin, takip amacıyla bu sistem üzerinden muhafaza edilmekte olduğu, kişilere ait sayfalarda tutulan sağlık kayıtlarına erişim izinlerinin ise, (yine kişilerin tercihlerine bağlı olarak) hekimlerin kullanımı amacıyla çeşitli seviyelerde sağlandığı,
• Somut olayda ise -veri sorumlusunun beyanı da dikkate alınarak- ilgili kişinin erişim yetkisini “Sağlık Bakanlığına Bağlı Tüm Hekimler Verilerimi Görsün” şeklinde ayarlamış olabileceği ancak kişilerin kendi kayıtlarına erişim yetkisini vermesinin, diğer sağlık personeline/hekimlere bu verileri amacı dışında işleme hakkını vermediği, kişilerin verilerine erişim yetkisini geniş tutarak bütün hekimlerin erişimine açmış olmasının, yalnızca sağlık durumlarının gerektirdiği hallerle sınırlı bir erişim anlamına geleceği, bunun aksinin kabulü halinde ise herhangi bir hekimin “Sağlık Bakanlığına Bağlı Tüm Hekimler Verilerimi Görsün” tercihini işaretlemiş olan herkesin sağlık verilerine istediği gibi erişmesi ve bu veriler üzerinde hukukun çizdiği sınırların dışında tasarrufta bulunabilmesi anlamına geleceği, böyle bir durumun kişilere bağlı sıkı sıkıya korunan bir hak olan kişisel verilerin korunmasını isteme hakkına aykırılık teşkil edeceği hususunun izahtan vareste olduğu,
• Kanun’da sağlık ve cinsel hayata ilişkin verilerin işlenmesinin genel nitelikli kişisel verilere kıyasla daha sıkı şartlara bağlandığı, özel nitelikli kişisel verilerin korunması bakımından hassasiyet göstermesi beklenen adı geçen hekimin bu hususta hassasiyet göstermediği, bunun neticesi olarak yalnızca sınırlı amaçlarla erişilmesi gereken sisteme üçüncü kişilerce erişilmek suretiyle kişisel veri işleme faaliyetinin hukuka aykırı biçimde gerçekleşmiş olduğu,
• Söz konusu hukuka aykırı erişimin veri sorumlusu çalışanları eliyle gerçekleştiği dikkate alınarak söz konusu işleme faaliyetindeki sorumluluğun veri sorumlusu üzerinde olacağı ve dolayısıyla teknik ve idari tedbirlerin veri sorumlusunca makul düzeyde alınmadığı ve bunun yanında veri sorumlusunun savunmasında dile getirilen sisteme erişim yetkilerinin sınırlandırılmasında gerekli düzenlemelerin (gizlilik sözleşmesi, erişim yetkisi tanımlamaları vb.) hekim bakımından hayata geçirilmediği sonucuna ulaşıldığı değerlendirmelerinden hareketle;

Kanun’un 6’ncı maddesinde yer alan işleme şartlarından herhangi birine dayanılmaksızın ilgili kişinin e-Nabız sisteminde tutulan bilgilerine erişildiği, bu hususta veri sorumlusunun çalışanı olan hekimin e-Nabız şifresini korumak hususunda gerekli özeni göstermesini sağlamak adına gerekli önlemlerin alınmadığı, hekim ve ilgili çalışanlara kişisel verilerin korunması konusunda eğitim verildiğinin tevsik edilemediği hususları dikkate alındığında veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önleme ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüklerine uymadığı değerlendirilen veri sorumlusu hakkında 200.000 TL idari para cezası uygulanmasına karar verilmiştir.

Karar Tarihi               : 27.04.2023

Karar No                    : 2023/646

Kararın Konusu        : Bir üniversite bünyesinde çalışanların özlük bilgilerinin tüm personelle paylaşılması

Karar Özeti                : Kuruma intikal eden şikayet dilekçesinde özetle, bir Üniversitenin Fakülte Dekanı imzasıyla gönderilen bir e-posta ekinde bulunan dosya ile, ilgili kişinin kendisinin ve Üniversitede çalışan tüm öğretim üyelerinin sicil numaralarını, çalıştıkları birimi ve izin durumlarını gösterir verilerin Fakültenin idari ve akademik tüm kadrosuna aktarıldığı, Üniversite tarafından bu verilerin herhangi bir ayrım veya gerekçeye dayanmadan toplu bir e-posta ile tüm personelle paylaşılmasının hukuka aykırı olduğu hususları belirtilerek, KVKK kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan resen inceleme çerçevesinde ihbar edilen veri sorumlusundan savunması talep edilmiş olup, Kişisel Verileri Koruma Kurumu tarafından yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulu’nun 27/04/2023 tarihli ve 2023/646 sayılı Kararı ile;

• Somut olayda, her ne kadar veri sorumlusunun cevap yazısında şikâyete konu kişisel veri paylaşımının izin kullanımı konusunda ilgili personelin uyarılması amacıyla Kanun’da sayılan hukuki sebeplerden; “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” şartına dayanılarak gerçekleştirildiği ifade edilmiş olsa da mezkûr işleme şartının ilgili kişinin izin durumuna ilişkin kişisel verilerinin veri sorumlusu bünyesinde çalışan diğer kişilerle paylaşılması bakımından geçerli olmayacağı,
• İlgili kişinin izin kullanımı hususunda uyarılması amacıyla ilgili kişinin çalıştığı birimde görevli diğer tüm personelle kişisel verilerinin paylaşılmasının gereklilik arz etmediği ve bu amaçla yalnızca ilgili kişi muhatap alınmak suretiyle alternatif süreçlerin işletilebileceği değerlendirmelerinden hareketle;

Veri sorumlusu tarafından ilgili kişinin izin durumuna ilişkin kişisel verilerinin ilgili kişinin çalıştığı birimde görevli diğer personelle paylaşılması suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinde yer alan işleme şartlarından herhangi birine dayanmadığı ve bu durumun Kanun’un 12’nci maddesinin (1) numaralı fıkrasına aykırılık teşkil ettiği kanaatine varıldığından veri sorumlusu bünyesinde görev yapan ilgili personel hakkında disiplin hükümlerine göre işlem yapılması ve işlemin sonucu hakkında Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Karar Tarihi               : 11.04.2023

Karar No                    : 2023/570

Kararın Konusu        :           İlgili kişinin kripto varlık hizmet sağlayıcısı nezdinde bulunan üyeliğinin seviyesinin artırılması için gereğinden fazla kişisel veri talep edilmesi

Karar Özeti                : Kuruma intikal eden şikayette özetle; bir kripto varlık hizmet sağlayıcısı olan veri sorumlusuna ait platformdaki üyelik seviyesinin arttırılması talebine istinaden ilgili kişinin kimliğinin ön ve arka yüzünün fotoğrafının kendi fotoğrafı ile birlikte talep edildiği, veri sorumlusunca gerektiğinden fazla ve ölçüsüz olarak kişisel veri işlendiği hususları belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan resen inceleme çerçevesinde ihbar edilen veri sorumlusundan savunması talep edilmiş olup, Kişisel Verileri Koruma Kurumu tarafından yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulu’nun 11/04/2023 tarihli ve 2023/570 sayılı Kararı ile;

• Veri sorumlusunun kripto para alım satım işlemleri yapılmasına aracılık etme faaliyetinde bulunması itibarıyla Kripto Varlık Hizmet Sağlayıcısı olarak 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun (5549 sayılı Kanun) ve buna dayanılarak çıkarılan Suç Gelirlerinin Aklanmasının ve Terörün Finansmanının Önlenmesine Dair Tedbirler Hakkında Yönetmelik’in “Yükümlü” başlıklı 4’üncü maddesinin 1’inci fıkrasının (ü) bendi kapsamında yükümlü olarak bu mevzuata tabi kılındığı,
• 5549 sayılı Kanun’un “Müşterinin tanınması” başlıklı 3’üncü maddesinde yükümlülerin, müşterinin tanınmasına ilişkin esaslar kapsamında; kendileri nezdinde yapılan veya aracılık ettikleri işlemlerde işlem yapılmadan önce, işlem yapanlar ile nam veya hesaplarına işlem yapılanların kimliklerini tespit etmek ve gerekli diğer tedbirleri almak zorunda olduğuna işaret edildiği, kimlik tespitine esas belge nevilerini belirlemeye Bakanlığın (Hazine ve Maliye Bakanlığı) yetkili olduğu, kimlik tespitini gerektiren işlem türleri, bunların parasal sınırları ile müşterinin tanınmasına ilişkin ve konuyla ilgili diğer usûl ve esasların yönetmelikle belirleneceğinden hareketle;

Veri sorumlusunun kişisel verilerin işlenmesi hususunda 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun başta olmak üzere ilgili mevzuattan kaynaklanan bir yükümlülüğünün bulunduğu, bu itibarla veri sorumlusu tarafından kullanıcıların kimliğinin tespit edilebilmesi ve ilgili kullanıcı tarafından işlem yapıldığının tespit ve teyit edilebilmesi için kişisel verilerinin işlenmesinin Kanun’da sayılan hukuki sebeplerden “kanunlarda açıkça öngörülmesi” hukuki işleme şartına dayandığı, diğer yandan ilgili kişinin kişisel verilerinin silinmesi talebine ilişkin olarak ilgili kişinin bahsi geçen talebini Kanun ve Tebliğ’de belirlenen usul ve yöntemler çerçevesinde öncelikle veri sorumlusuna iletmediği, üyeliğinin devam etmesi nedeniyle kişisel verilerinin sözleşme kapsamında işlemeye devam edildiğinin anlaşıldığı dikkate alındığında ilgili kişinin şikayeti hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

Karar Tarihi: 11.04.2023

Karar No: 2023/567

Kararın Konusu: Bir e-ticaret sitesinden alışveriş yapılabilmesi için banka/kredi kartı bilgilerinin kaydedilmesinin zorunlu tutulması hakkında

Karar Özeti: Kuruma intikal eden şikâyette özetle; lgili kişinin e-ticaret sitesi üzerinden alışveriş yapacağı sırada ödeme ekranında açılan “kredi/banka kartı ekle” butonu ile kredi/banka kartı bilgilerini kaydetmesinin talep edildiği, ilgili kişinin siteden alışveriş yapabilmesi için kredi/banka kartı bilgilerini kaydetmesinin zorunlu tutulduğu ve ilgili bilgiler girilmeksizin “devam et” butonlarının işlemediği ve alışveriş yapılmasının mümkün olmadığı; Veri sorumlusu tarafından kredi/banka kartı bilgilerinin kaydedilmesi için KVKK kapsamında geçerli bir veri işleme şartı bulunmadığı, ilgili kişinin veri sorumlusuna verilmiş bir açık rızası da olmadığı; Öte yandan ilgili kişiye bu işlemeye ilişkin bir aydınlatma da yapılmadığı belirtilerek aracı hizmet sağlayıcı hakkında Kanun kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan resen inceleme çerçevesinde ihbar edilen veri sorumlusundan savunması talep edilmiş olup, Kişisel Verileri Koruma Kurumu tarafından yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulu’nun 11/04/2023 tarihli ve 2023/567 sayılı Kararı ile;

• İlgili kişinin iddiası ile uyumlu şekilde, kart bilgisi sisteme kaydedilmeden alışverişin tamamlanamadığı ve alışveriş tamamlandıktan sonra da kart bilgilerinin cüzdan bölümünde kayıtlı olmaya devam ettiğinin anlaşıldığı,
• Alışverişin tamamlanması için kart bilgilerinin kaydedilmesinin zorunlu olması ve önceki alışveriş için veri sorumlusunun internet sayfasına girilen kart bilgilerinin alışverişin tamamlanmasının ardından kayıtlı olmaya devam etmesinde veri sorumlusu tarafından öne sürülen işleme şartlarının geçerli olup olamayacağının değerlendirilmesinin gerektiği,
• Avrupa Veri Koruma Otoritesi (EDPB) tarafından 19 Mayıs 2021 tarihinde kabul edilen “Kredi Kartı Verilerinin Yalnızca Sonraki Çevrimiçi Satın almaları Kolaylaştırmak Amacıyla İşlenmesinde Veri İşleme Şartları Konulu 02/2021 sayılı Tavsiye Kararı”nda satın almaları kolaylaştırmak amacıyla kart bilgilerinin işlenmeye devam edilmesinde dayanılabilecek işleme şartının rıza olduğunun belirtildiği,
• Veri sorumlusu tarafından ödeme aracı ekleyen ilgili kişilerin sonraki satın almaları kolaylıkla yapabildiklerinin belirtildiği dikkate alındığında veri sorumlusu tarafından yeni bir veri işleme amacının ortaya koyulduğu,

Veri sorumlusunun internet sayfasındaki üyelik hesabı kapsamında alışverişin tamamlanması için girilmesi gerekli olan kart bilgilerinin alışverişin tamamlanmasının ardından sonraki alışverişlerin kolaylaştırılması amacıyla ilgili kişinin cüzdan hesabında işlenmeye devam edildiği, bu amaçla veri işlemenin Kanun’da sayılan hukuki sebeplerden açık rıza işleme şartı kapsamında gerçekleştirilebileceği ancak veri sorumlusu tarafından kart bilgilerinin sisteme kaydedilmesinin zorunlu tutularak ilgili kişilerce sonradan bu bilgilerin silinmesine izin verildiği, bu suretle hem kart bilgilerinin kaydedilmesinde Kanun’un 5’inci maddesi kapsamında geçerli bir açık rızanın alınmadığı hem de Kanunda düzenlenen “hukuka ve dürüstlük kuralına uyma”, “belirli, açık ve meşru amaçla işleme” ve “işlendikleri amaçla bağlı sınırlı ve ölçülü olma” ilkelerine aykırı hareket edildiği ve bu suretle Kanun’un 12’nci maddesinde yer alan veri güvenliğine ilişkin yükümlülüklerini yerine getirmediği değerlendirilen veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu dikkate alınarak 500.000 TL idari para cezası uygulanmasına; Öte yandan, bir alışveriş kapsamında kaydedilen kart bilgilerinin üyelik hesabında işlenmeye devam edilmesinin ancak ilgili kişilerin bu yönde Kanun’a uygun şekilde açık rızalarının alınması halinde mümkün olabileceği dikkate alındığında kredi kartı bilgilerinin üyelik hesabına kaydedilebilmesi için ilgili kişilerin aktif olarak buna rıza göstermelerini sağlayacak bir sistem geliştirilerek sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına; İlgili kişilerin kredi kartı verilerinin üyelik hesaplarında ancak açık rıza işleme şartı kapsamında işlenebileceği kanaatine varıldığından bu hususta aydınlatma metinlerinde de gerekli düzenlemelerin yapılarak sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.

İşbu bilgi notunda yer alan karar özetleri, Kişisel Verileri Koruma Kurumu’nun resmi internet sitesi üzerinde yer alan Kurul kararlarından elde edilmiş olup, karar hakkında detaylı bilgiye https://www.kvkk.gov.tr/Icerik/7785/-Kisisel-Verileri-Koruma-Kurulu-nun-Yeni-Yayimlanan-Karar-Ozetleri üzerinden ulaşabilirsiniz.