KİŞİSEL VERİLERİ KORUMA KURULU YENİ KARAR ÖZETLERİ

Kişisel Verileri Koruma Kurumu’nun (KVKK) websitesinde 12 adet yeni kurul karar özeti yayınlanmıştır.

1. “Bilimsel amaçlarla kayıt altına alınan bilimsel veri niteliğindeki kan, serum ve doku örneklerinin ihmal sonucu bozulması ve sonrasında imha edilmesi hakkındaki ihbar”a ilişkin Kişisel Verileri Koruma Kurulunun 30/10/2019 tarihli ve 2019/316 sayılı Karar Özeti: Hastalardan alınan kan, serum ve doku örneklerinin bilimsel amaçlarla kaydedildiği Kanun’un 28 inci maddesi kapsamında bu verilerin işlenmesinin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmediği ya da suç teşkil etmediği değerlendirildiğinden şikâyet hakkında bu aşamada yapılacak bir işlem olmadığına karar verilmiştir.

2. Kişisel Veri Güvenliği Rehberinde geçen “personel gizlilik sözleşmesi” imzalatılmasının 657 sayılı Devlet Memurları Kanununa tabii olarak çalışanlar için gerekli olup olmadığı ile ilgili Kişisel Verileri Koruma Kurulunun 26/12/2019 tarihli ve 2019/393 sayılı Karar Özeti: Devlet memurlarının kanundan kaynaklanan Anayasa’ya, Kanuna uyma yükümlülükleri bulunduğundan ayrıca gizlilik sözleşmesi imzalatılmasının gerekli olmadığı, 657 sayılı Kanun kapsamında çalışan personele, kişisel verilerin korunması hakkı kapsamında uymaları gereken usul ve esaslara dair bilgilendirici mahiyette bir metin tebliğ edilmesi ve bu konuda periyodik eğitimler düzenlenmesinin yeterli olacağı belirtilmiştir.

3. “İlgili kişinin ortağı olduğu şirkette kullandığı e-posta adresine izinsiz ve hukuka aykırı olarak erişildiği iddiası” hakkında Kişisel Verileri Koruma Kurulunun 27/01/2020 tarihli ve 2020/59 sayılı Karar Özeti: Kurul, kurumsal e-posta hesabını kişisel veri olarak değerlendirmiştir. Ancak kişinin ortağı olduğu şirkete ilişkin hakların korunması amacıyla söz konusu e-posta adresine ilişkin sunucu yedek kayıtlarından elde edilen kişisel verilerin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (e) bendinde yer alan “…. bir hakkın tesisi, kullanılması ve korunması kapsamında veri işlemenin zorunlu olması” kapsamında işlendiği ve kişisel veriler kullanılarak Asliye Ticaret Mahkemesi nezdinde açılan dava nedeniyle gerçekleştirilen kişisel veri işleme faaliyetinin ise Kanun’un 28’inci maddesinin 1 numaralı fıkrasının (d) bendi “…d) Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi…” hükmü kapsamında olduğu değerlendirildiğinden söz konusu şikayet ile ilgili Kanun kapsamında yapılacak bir işlem bulunmadığına karar vermiştir.

4. “Veri sorumlusu hastanede uygulanan beyaz kod kapsamında ilgili kişinin işlenen kişisel verileri” hakkında Kişisel Verileri Koruma Kurulunun 27/01/2020 tarihli ve 2020/63 sayılı Karar Özeti: İlgili kişi tarafından Kuruma yapılan şikâyette özetle, babasının tedavisi için gittikleri hastanede hastane görevlileri ile arasında yaşadığı tartışma sonucunda barkot alamadan hastaneden ayrılmak durumunda kaldığı, bahse konu hastane görevlilerinin yaşanan tartışma olayından 1 yıl 3 ay sonra tutanak tuttuğu, daha sonra bu tutanak aracılığıyla savcılığa suç duyurusunda bulunulduğu, bu sebeple adli para cezasına mahkûm edildiği ve vekâlet ücreti ödemek zorunda kaldığı, hastane görevlilerinin kamu gücünü kullanarak ilgili kişinin açık rızası olmaksızın adı, soyadı ve T.C. kimlik numarası bilgilerini hastane verilerinden alarak olay yeri tutanağına işlediği, bu durumun 6698 sayılı Kişisel Verilerin Korunması Kanunu’na aykırılık teşkil ettiği belirtilerek, konunun incelenmesi talep edilmiştir. Olay ile ilgili tutanağın 1 yıl 3 ay sonra değil, olayla aynı gün tutulduğu, Sağlık Bakanlığı Hukuk Müşavirliği Hukuki Yardım ve Beyaz Kod Uygulamasına dair 2016/3 Genelgesine göre işlem başlatılarak Cumhuriyet Savcılığına bildirildiği; ayrıca Kanunun 6’ncı maddesi uyarınca kişisel verilerin, hastane kapsamında sır saklamakla yükümlü bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından paylaşıldığı yanıtları karşısında ilgili kişinin Kurum’a yaptığı şikâyet başvurusunun, veri sorumlusundan alınan bilgi ve belgeler ve yukarıda belirtilen hukuki gerekçeler çerçevesinde incelenmesi sonucunda; söz konusu kişisel verilerin veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi kapsamında işlendiği kanaati oluştuğundan, söz konusu şikâyete ilişkin Kanun kapsamında yapılacak bir işlem olmadığına karar verilmiştir.

5. “İlgili kişinin irtibat numarasının bir elektrik dağıtım şirketi tarafından herhangi bir işleme şartına dayanılmaksızın işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 27/01/2020 tarihli ve 2020/66 sayılı Karar Özeti: İlgili kişinin irtibat numarasına, bir elektrik dağıtım firması tarafından kendisine ait olmayan birkaç elektrik abone numarasına ilişkin farklı konularda bilgilendirme amaçlı SMS’ler gönderildiği, söz konusu aboneliklere dair bilgilendirme mesajı almak istemediği, kendisine ait irtibat numarasının söz konusu sözleşmelerin iletişim bilgilerinden silinmesi ve başvurusunun sonucu hakkında yazılı olarak haberdar edilmesi konusunda veri sorumlusuna abone numarası sayısı kadar başvuruda bulunulduğu, ancak veri sorumlusu tarafından başvuru kapsamında herhangi bir işlem yapılmadığı ve kendisine cevap verilmediği, buna karşın irtibat numarasına hâlen bilgilendirme mesajı gönderildiği belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında gerekli işlemin yapılması talep edilmiştir. Kurul, Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaması sebebiyle veri sorumlusu hakkında 100.000-TL idari para cezasına ve ilgili kişinin numarasının silinerek ilgili kişiye bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına karar vermiştir.

6. “Veri sorumlusu ve veri işleyenin tespitinde göz önünde bulundurulması gereken hususlar ile aydınlatma yükümlülüğünün kim tarafından yerine getirileceği”ne ilişkin Kişisel Verileri Koruma Kurulunun 30/01/2020 tarihli ve 2020/71 sayılı Karar Özeti: Veri sorumlusunun yetki vermesi halinde, veri işleyen veri işleme faaliyetleri esnasında önemli ölçüde bir özerkliğe sahip olabilir ve bu doğrultuda işleme faaliyetinin temel olmayan öğelerini de tanımlayabilir. Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi veri işleyen tarafından işlenmesi halinde; alınan her türlü teknik ve idari tedbirler hususunda bu kişilerle birlikte müştereken sorumludur. Bununla birlikte veri sorumlusu, yapacağı kişisel veri işleme sözleşmesi ile;
   • Kişisel verilerin toplanması için hangi bilgi teknolojileri sistemlerinin veya diğer metotların kullanılacağı, 
   • Kişisel verilerin hangi yöntemle saklanacağı, 
   • Kişisel verilerin korunması için alınacak güvenlik önlemlerinin detayları, 
   • Kişisel verilerin aktarımının hangi yöntemle yapılacağı, 
   • Kişisel verilerin saklanmasına ilişkin sürelerin doğru uygulanabilmesi için kullanılacak metot, 
   • Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi yöntemleri 

hususlarında karar verme yetkisini veri işleyene bırakabilir. Yani, özellikle bazı teknik konularda veri sorumlusunun menfaatlerine bağlı kalmak ve talimatlarına uymak koşuluyla, veri işleyen de bazı konularda karar verme yetkisini haiz olabilir. Veri sorumlusunun yükümlülüklerinden biri olan aydınlatma yükümlülüğünü veri işleyen aracılığıyla da yerine getirebilir.

7. “Geçmiş sağlık verilerinin düzeltilmesine/silinmesine yönelik şikâyetler” hakkında Kişisel Verileri Koruma Kurulunun 06/02/2020 tarihli ve 2020/93 sayılı Karar Özeti: İlgili kişilerden alınan şikâyet dilekçelerinde özetle; geçmişte çeşitli sebeplerle kaydedilen sağlık raporlarının ve özellikle psikiyatrik hastalık tanılarının yaşamlarında sorun teşkil ettiği ve girmiş oldukları ve/veya girmeyi planladıkları çeşitli sınavların bu kayıtlardan dolayı olumsuz sonuçlandığı ve/veya sonuçlanacağı, ancak bu rapor/tanıların gerçeği yansıtmadığı ifadelerine yer verilerek söz konusu kişisel verilerin sağlık kayıtlarından düzeltilmesi ya da silinmesi talep edilmiştir. Kişisel sağlık verilerinin işlenme şartlarının “kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi” şartının ortadan kalkmaması sebebiyle kaydedilen sağlık verilerinin bu amaca hizmet ettiği dikkate alındığında bahse konu şikâyetler ile ilgili olarak Kanun kapsamında yapılacak bir işlem olmadığına kara verilmiştir.

8. “Bazı avukatların avukat sorgulama siteleri ile ilgili ihbar başvuruları” hakkında Kişisel Verileri Koruma Kurulunun 30/06/2020 tarih ve 2020/508 sayılı Karar Özeti: Kuruma intikal eden ihbarlarda, ihbar başvurusu sahiplerinin muhtelif avukat sorgulama sitelerinde taraflarına ait ad soyadı, kayıtlı bulundukları baro, baro ve Türkiye Barolar Birliği (TBB) sicil numaraları, e-posta adresleri ve fotoğraflarının yayımlandığı, söz konusu verilerin rızaları olmaksızın hukuka aykırı olarak elde edildiği, bahsi geçen internet sitelerince gerek taraflarına gerek çok sayıda avukata ait kişisel verilerin hukuka aykırı olarak elde edildiği ve bu suretle paylaşıldığı, söz konusu internet sitelerinde ve bu siteler ile ilişkili bulunan kurum/kuruluş ya da alan adında yer alan tüm profillerin kaldırılması gerektiği yönünde ihbarda bulunularak gereğinin yapılması talep edilmiştir. Bahsi geçen internet sitelerinde; il baroları levhalarında ve TBB internet sitelerinde yayımlanan bilgilerden farklı bir bilgi yayımlanmadığı, yayımlanan bilgilerin il baroları levhalarında ve TBB internet sitesinde yayımlanma amacından farklı bir amaçla yayımlandığına ilişkin bir tespit yapılamadığı, söz konusu kişisel verileri düzeltme veya silme imkânlarının ilgili kişilere tanındığı göz önünde bulundurulmakla yapılacak bir işlem olmadığına karar verilmiştir.

9. “Bir sigorta şirketinin ilgili kişiye vereceği hizmeti açık rıza şartına bağlaması sebebiyle Kuruma iletilen şikâyet” hakkında Kişisel Verileri Koruma Kurulunun 03/09/2020 tarihli ve 2020/667 sayılı Karar Özeti: Kuruma intikal eden şikâyet dilekçesinde özetle; ilgili kişinin veri sorumlusu bir sigorta şirketine başvurarak ailesi adına düzenlettiği sağlık sigortası poliçesini yeniletmek istediği; ancak veri sorumlusunun kendisinden poliçeyi yenilemek için açık rıza almak istediği ifade edilmiş olup bu durumun 6698 sayılı Kişisel Verilerin Korunması Kanunu’na aykırı olduğu gerekçesi ile veri sorumlusu hakkında gereğinin yapılması talep edilmiştir. Bu kapsamda; sağlık sigortası poliçesinin özel nitelikli kişisel veri niteliğini haiz sağlık verilerini içerdiği, poliçede yer alan sağlık verilerinin ise Kanun’un 6’ncı maddesinin (3) numaralı fıkrası kapsamında işlenemeyeceği, veri işlemenin ancak ilgili kişiden açık rıza alınması yoluyla gerçekleştirilebileceği ve bu nedenle ilgili kişiden açık rıza alınması talebinin Kanuna aykırılık teşkil etmediği kanaatine varmıştır.

10. “İcra Müdürlükleri tarafından ilgili kişilerin yakınlarına haciz ihbarnamesi gönderilmesi” hakkında Kişisel Verileri Koruma Kurulunun 17/09/2020 tarih ve 2020/710 sayılı Karar Özeti: İlgili kişiler hakkında yürütülen icra takibi esnasında söz konusu icra takibi ile ilgisi bulunmayan, borçlu durumunda olmayan akrabalarının kişisel bilgilerinin araştırılması, adres ve kimlik bilgilerinin İcra Müdürlüğünün görevi kapsamında bulunmadığı halde tespit edilmesi ve bu çerçevede kişisel verilerinin hukuka aykırı bir şekilde akrabaları ile paylaşılmasının 6698 sayılı Kişisel Verilerin Korunması Kanunu’na aykırılık teşkil ettiği ifade edilerek İcra Müdürlükleri hakkında gereğinin yapılması talep edilmiştir. İlgili kişilerin kişisel verilerinin üçüncü kişilerle paylaşılması hususuna ilişkin olarak; İcra ve İflas Kanununun 89’uncu maddesi kapsamında borçlunun üçüncü kişilerdeki alacağının tahsili amacıyla alacaklı tarafından bildirilen gerçek veya tüzel kişilere İcra Müdürlüklerince birinci haciz ihbarnamesi gönderilmesinde hukuken engel bulunmadığına, İcra Müdürlükleri nezdinde gerçekleştirilen ilgili kişilerin kişisel verilerinin işlenmesi faaliyetinin Kanunun 5’inci maddesinin (2) numaralı fıkrası kapsamında ‘Kanunlarda açıkça öngörülme’ şartına dayanılarak gerçekleştirildiğine, bu çerçevede söz konusu başvuruya ilişkin olarak Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

11. “Belediyede memur olarak görev yapan ilgili kişinin, veri sorumlusu bünyesinde işe giriş çıkış takibinin biyometrik veri işlenerek yapılması” hakkında Kişisel Verileri Koruma Kurulunun 01/12/2020 tarihli ve 2020/915 sayılı Karar Özeti: İlgili kişinin veri sorumlusu bünyesinde 657 sayılı Devlet Memurları Kanunu kapsamında çalışan memur olduğu, veri sorumlusu bünyesinde personel giriş çıkışlarının takibi için parmak izi okuma cihazları ile kişisel verilerinin, her personel için parmak izi bilgilerinin alındığı ve sisteme tanıtıldığı, bu konudaki uygulama için kendisine ait olan parmak izi bilgilerinin veri sorumlusunun kayıt sisteminden, kağıt ortamından ve elektronik ortamdan silinmesi ve kendisine bilgi verilmesi talebiyle veri sorumlusuna başvuru yaptığı; kendisine verilen cevapta sistemlerinden bu bilgilerin silinemeyeceğinin beyan edildiği, parmak izi bilgilerinin onayı olmadan işlenemeyeceği ve resmi başvuru yapmasına rağmen verilerinin silinmesi isteğinin kabul edilmediği belirtilmiştir. Kurul özetle; üstün güvenlik önlemlerinin alınmasına gerek bulunan bir durum olmadığına, mesai takibi için alınan parmak izinin her ne kadar ilgili kişilerin açık rızası olsa da ölçüsüz bir uygulama olduğuna, parmak izinin silinmesini isteyen ilgili kişi bakımından artık açık rızaya da dayanılamayacağına karar vermiştir. Bu sebeple ilgili kurumda konu ile ilgili işlem yapan personeller hakkında disiplin hükümlerinin işletilmesine, bu uygulamaya derhal son verilmesi yönünde veri sorumlusunun talimatlandırılmasına, sistemde yer alan mevcut parmak izlerinin silinerek, imha kayıtlarının kuruma sunulmasına karar verilmiştir.

12. “Unutulma hakkı kapsamında ilgili kişinin arama motorunda adı ve soyadı ile bağlantılı sonuçların kaldırılması talebi”ne ilişkin Kişisel Verileri Koruma Kurulunun 08/12/2020 tarihli ve 2020/927 sayılı Karar Özeti: Üniversitede öğretim üyesi olarak görev yapmakta olan bir kişinin aynı üniversitede açılan akademik kadroya aile yakınının alınmasında usulsüzlük bulunduğu hususunda yapılan haberlerin arama motorunda ilgili kişinin adı ve soyadı ile arama yapıldığında listelenmemesine yönelik talebi bulunmaktadır. İlgili kişinin kamu üniversitesinde görev yapmakta olduğu, başvuru konusu hususlarda ilgili kişinin aile yakınının işe alınması ile ilgili usulsüzlük iddiaları sonucunda üniversite tarafından soruşturma açıldığı bilgisinin doğru olduğu, söz konusu bağlantılarda yer alan haberin ilgili kişinin çalışma yaşamına ilişkin olduğu ve ilgili kişinin hâlihazırda aynı işi yaptığı, bilgilerin özel nitelikli kişisel veri niteliği taşımadığı, yapılan haberlerin 2020 tarihli olduğu, dolayısıyla güncel olduğu, bilginin kişi açısından risk doğurmadığı ve içeriklerin gazetecilik faaliyeti kapsamında değerlendirilebileceği, öte yandan, bilginin kişi hakkında ön yargıya sebep olabileceği ancak bunun kanıtlanabilir nitelikte olmadığı, ilgili kişiye ilişkin bilgilerin yayınlanmasında yasal zorunluluk bulunmadığı, bilginin kişinin kendisi tarafından yayımlanmadığı, bilginin ceza gerektiren bir suçla ilgili olmadığı hususları göz önünde bulundurularak ilgili kişi hakkında yayınlanan içeriklerin arama motorundan kaldırılması yönündeki talebine ilişkin olarak veri sorumlusu tarafından yapılan işlemin 23.06.2020 tarih ve 2020/481 sayılı Kurul Kararı ekinde yer alan kriterler açısından yerinde olduğuna, bu kapsamda söz konusu şikayet ile ilgili olarak Kanun kapsamında tesis edilecek bir işlem bulunmadığına, diğer taraftan ilgili kişinin haber içeriğinin gerçeği yansıtmadığına yönelik iddialarının ise yargı mercileri nezdinde ileri sürülmesi gerektiğine karar verilmiştir.

Yukarıda yer alan karar özetleri KVKK’nın websitesinde yayınlanan kurul karar özetlerinin bir özeti şeklinde bilgi amaçlı paylaşılmış olup, detaylı bilgiye https://www.kvkk.gov.tr/Icerik/6881/Kisisel-Verileri-Koruma-Kurulu-nun-Yeni-Yayinlanan-Karar-Ozetleri adresi üzerinden ulaşabilirsiniz.

Av. Sinem İLİKLİ

TARLAN BAKSI AVUKATLIK BÜROSU

---

AV. AYLİN TARLAN – AV. DERYA BAKSI