Posted on by Tarlan Avukatlık Bürosu

KİŞİSEL VERİLERİ KORUMA KURULU YENİ KARAR ÖZETLERİ

Kişisel Verileri Koruma Kurumu’nun (KVKK) web sitesinde 10 adet yeni kurul karar özeti yayınlanmıştır.

1-“Veri sorumlusu havayolu şirketi bünyesindeki çalışanın ilgili kişiye ait kişisel verileri 6698 sayılı Kişisel Verilerin Korunması Kanununa aykırı şekilde şirket kayıtlarından elde etmesi” hakkında Kişisel Verileri Koruma Kurulunun 13/02/2020 tarihli ve 2020/124 sayılı Karar Özeti: İlgili kişi tarafından yapılan başvuruda özetle veri sorumlusu bünyesindeki çalışanın ilgili kişiye ait uçuş bilgilerini şirket kayıtlarından elde ettiği, bunu da bir başka çalışanla paylaştığı, bu çalışanın da söz konusu bilgileri ilgili kişiye ilettiği, aralarındaki husumet nedeniyle ilgili kişinin her uçuş sonrası aranarak verileri elde eden çalışan tarafından rahatsız edildiği, durumun veri sorumlusuna e-posta ile bildirildiği, ancak, aramalara devam edilmesi üzerine noter aracılığıyla veri sorumlusuna ihtarname gönderildiği, veri sorumlusunun vermiş olduğu cevapta çalışanın kişisel verileri elde ettiğinin tespit edildiği, fakat çalışan hakkında bir işlem yapılmadığının belirtildiği, daha sonrasında, aramaların devam ettiği, ilgili kişinin hakaret ve tehditlere maruz kaldığı, bunun üzerine, yetkili makamlara bildirimde bulunduğu, ancak yaptığı başvurular çerçevesinde veri sorumlusu tarafından verilen cevabın ve alınan aksiyonların yetersiz olduğu belirtilerek Kurum’a başvuruda bulunulduğu ifade edilmiştir. Kurul tarafından özetle; veri sorumlusu tarafından kişisel verilere erişim ile ilgili sınırlama getirilmemesi ve çalışanlara verilen eğitimin yetersiz olması sebebiyle Kişisel Verilerin Korunması Kanunu’nun (“KVKK” veya “Kanun” olarak anılacaktır.) 12’nci maddesinde yer alan veri güvenliğinin sağlanmasına yönelik gerekli idari ve teknik tedbirlerin alınmadığı kanaatine varıldığından veri sorumlusu hakkında 100.000 TL idari para cezası uygulanmasına karar verilmiştir.

2-Veri sorumlusu işveren tarafından, iş sözleşmesi tek taraflı olarak feshedilen ve işe iade davası açan ilgili kişiye ait özlük dosyasında yer alan sağlık raporunun dava savunmasında kullanılmak suretiyle mahkemeye sunulması” hakkında Kişisel Verileri Koruma Kurulunun 18/02/2020 tarihli ve 2020/138 sayılı Karar Özeti: İlgili kişi tarafından yapılan başvuruda özetle ilgili kişi tarafından veri sorumlusu işverene karşı açılan işe iade davasında mahkemenin talebi olmaksızın dava dosyasına, özlük dosyası ile birlikte içerisinde yer alan özel nitelikli kişisel verilerin de sunulduğu, sağlık durumu hakkında özellikle ilgili sağlık kurumu tarafından bir tanı konulmamış olmasına rağmen sağlık raporlarında yer alan “uzman” veya “bilirkişi” gibi ifadelerin büyük harfler içine alınarak psikolojik tanı koymaya yetkili bir kurum veya kişi sıfatı ile raporların davaya konu edilmesinin kişilik haklarının ihlal edilmesine sebebiyet verdiği ifade edilmiştir.  Kurul kararında özetle;

  • Özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğu,
  • Sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği,
  • İş Kanunu uyarınca işçilerin kimlik bilgilerinin yanında diğer kanunlarda öngörülen belge ve kayıtların da özlük dosyasında muhafaza edileceği,
  • Sağlık raporlarının işçiye ait özlük dosyasının içerisinde yer alıp alamayacağı hususuna ilişkin ise gerek 4857 sayılı İş Kanunu’nda gerekse 6331 sayılı İş Sağlığı ve Güvenliği Kanunu’nda özel bir hüküm bulunmadığı,
  • Somut olayda mahkemenin davaya ilişkin olarak yazmış olduğu müzekkerede davalı veri sorumlusundan davacı ilgili kişiye ait özlük dosyasının tüm içeriğinin tasdikli bir suretinin gönderilmesini istediğinin görüldüğü,
  • KVKK’nın 28’inci maddesinin (1) numaralı fıkrasının (d) bendinde yer alan “Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi” hükmü ile 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun’un “İncelenemeyecek Dilekçeler” başlıklı 6’ncı maddesinin (b) bendi dikkate alındığında konuya ilişkin Kurul tarafından tesis edilecek bir işlem bulunmadığına karar verilmiştir.

3-“Veri sorumlusu tarafından ilgili kişilerin kişisel verilerinin hukuka aykırı şekilde internet gazetesi üzerinden yayımlanması hakkında” Kişisel Verileri Koruma Kurulunun 18/02/2020 tarihli ve 2020/145 sayılı Karar Özeti: Kuruma intikal eden şikâyette;  ilgili kişilerin yönetim kurulu üyesi olduğu bir şirket hakkında şikâyette bulunulan veri sorumlusu ….Medya Yayıncılık A.Ş.’ye bağlı olarak yayın yapan …Medya isimli internet gazetesi üzerinden asılsız ve gerçeğe aykırı beyanlarda bulunulduğu, ilgili kişilerin yönetim kurulu üyesi olduğu şirket tarafından noter aracılığı ile veri sorumlusuna tekzip ihtarnamesinin gönderildiği, veri sorumlusunun ilgili kişiler tarafından gönderilen ihtarnamenin fotoğrafını çekmek suretiyle yeni bir haber şeklinde olduğu gibi yayımladığı, ilgili ihtarnamenin sonunda ilgili kişilerin T.C. kimlik numaralarının, nüfus kayıt bilgilerinin, anne-baba isimlerinin ve adres bilgilerinin yer aldığı, ilgili ihtarnamenin fotoğrafının çekilip olduğu gibi haberin içinde yayımlanması nedeniyle ilgili kişilerin kişisel bilgilerinin hukuka aykırı bir şekilde kamuya ifşa edildiği, kişisel verilerin hukuka aykırı şekilde yayımlanması nedeniyle veri sorumlusuna tekrar ihtarname gönderildiği ve bunun üzerine ihtarnamenin kişisel verilere ilişkin kısmının haber metninden çıkarıldığı ancak 10 gün boyunca ilgili kişilere ait kişisel verilerin hukuka aykırı şekilde yayımlanarak kamuya ifşa edildiği, veri sorumlusunun ilgili kişilerin şahsi kimlik bilgilerini kamuya açık alanda kasten yayımlayarak güvenliklerini tehlikeye düşürdüğü kadar ilgili kişilere ait kişisel verileri rızaları ve bilgileri dışında kullanarak üçüncü kişilerce dolandırılmalarına sebebiyet verecek işlemlerin önünü açtığı ifade edilmiştir. Kurul kararında özetle;

  •  İlgili kişilerin şikayet konusu tekzip ihtarnamesinde yer alan ad, soyadı, T.C. kimlik numaraları, nüfus kayıt bilgileri, anne-baba isimleri, adres bilgilerinin birer kişisel veri, veri sorumlusu medya şirketinin, kişilere ait bu verilerin internet gazetesinde yayımlanması işleminin de kişisel veri işleme faaliyeti olduğu,
  • 5187 sayılı Basın Kanunu’nun 14’üncü maddesinde ise “Süreli yayınlarda kişilerin şeref ve haysiyetini ihlâl edici veya kişilerle ilgili gerçeğe aykırı yayım yapılması halinde, bundan zarar gören kişinin yayım tarihinden itibaren iki ay içinde göndereceği suç unsuru içermeyen, üçüncü kişilerin hukuken korunan menfaatlerine aykırı olmayan düzeltme ve cevap yazısını; sorumlu müdür hiçbir düzeltme ve ekleme yapmaksızın, günlük süreli yayınlarda yazıyı aldığı tarihten itibaren en geç üç gün içinde, diğer süreli yayınlarda yazıyı aldığı tarihten itibaren üç günden sonraki ilk nüshada, ilgili yayının yer aldığı sayfa ve sütunlarda, aynı puntolarla ve aynı şekilde yayımlamak zorundadır” düzenlemesine yer verildiği,
  • Veri sorumlusunun bahse konu olan tekzip ihtarnamesini yayımlamasının, 5187 sayılı Basın Kanunu’nun 14’üncü maddesinde yer alan yükümlülüğünü yerine getirmek amacıyla “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması” hükmü doğrultusunda hukuka uygun olduğu, ancak ilgili ihtarnamenin kişisel verilere ilişkin bölümünü herhangi bir güvenlik önlemi almaksızın olduğu gibi yayımlanmasının, daha sonra bu bölüm internet sitesinden kaldırılmış olsa dahi “amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi ile bağdaşmadığı dikkate alındığında bu durumun veri sorumlusu tarafından kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerin alınmadığının göstergesi olduğu

hususları tespit edilerek veri sorumlusu hakkında 55.000.-TL idari para cezası verilmesine karar vermiştir.

4-“İlgili kişinin kullanımına izin vermediği kredi kartı bilgilerinin veri sorumlusu araç kiralama şirketi tarafından kullanılması hakkında” Kişisel Verileri Koruma Kurulunun 27/02/2020 tarihli ve 2020/166 sayılı Karar Özeti:  İlgili kişi tarafın Kurul’a yapılan şikayet başvurusunda özetle kimlik kartı bilgilerini paylaşarak 1 günlük araç kiraladıktan sonra kullanmış olduğu HGS ücretinin farklı bir kartından çekilmeye çalışıldığını tespit ettiği, bunun üzerine müşteri temsilcisini aradığında “araç kira bedeli ödemesi hangi kredi kartı ile yapılmış ise HGS bedelinin de aynı kredi kartından yapılması gerektiği” bilgisini edindiği, yaşadığı olay ile ilgili olarak kişisel veri güvenliğinin ihlal edildiği gerekçesi ile tarafına açıklama yapılması için müşteri hizmetleri ile birçok kez görüşme yaptığı ve konuya ilişkin şikâyetlerini elektronik posta yolu ile de müşteri hizmetlerine bildirdiği, müşteri hizmetleri tarafından konunun hukuk birimine yönlendirildiğinin belirtildiği ancak olayın üzerinden 2 ay geçmesine rağmen kendisine son yazışma tarihinden itibaren hiç bir geri dönüş yapılmadığı ifade edilmiştir. Veri sorumlusu tarafından taraflar arasında yer alan sözleşmede eğer ilgili kişi tarafından belirtilen kredi kartından çekim işlemi gerçekleştirilemezse daha önceki kiralama sözleşmelerinde belirtilen kredi kartı bilgilerinin kullanılabileceğinin yer aldığı, tahsil etme amacıyla bu yolun denendiği ifade edilmiştir. Kurul tarafından verilen kararda özetle; İlgili kişinin veri sorumlusu ile daha önce yaptığı araç kiralama sözleşmesi kapsamında kullanımına onay verdiği kredi kartı bilgilerinin; veri sorumlusu tarafından daha sonra gerçekleştirilmesi düşünülen amaçlar doğrultusunda kullanılmak üzere sistemde saklanarak, haksız şart niteliği gösteren sözleşme hükmüne dayanmak suretiyle somut vakada kişinin makul beklentisine ve çıkarına aykırı olumsuz bir durum oluşturarak haklı bir gerekçe olmaksızın kullanılmasına ilişkin kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinde yer alan şartlardan herhangi birine dayandırılamayacağı ve Kanun’da yer alan “hukuka ve dürüstlük kurallarına uygun olma” ile “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırılık teşkil ettiği kanaatine varılmış olup bu itibarla, veri sorumlusu hakkında 75.000 TL idari para cezası uygulanmasına karar verilmiştir.

5-“İlgili kişinin cep telefonunun özel bir hastane tarafından izinsiz aranması” hakkında Kişisel Verileri Koruma Kurulunun 27/02/2020 tarih ve 2020/172 sayılı Karar Özeti: İlgili kişinin şikâyet başvurusunda, Hastane tarafından şahsına ait cep telefonunu, Hastane adına bir şahsın aradığı ve Hastanenin reklamını yapmaya çalıştığı, fakat kendisinin bu tip reklamlardan rahatsız olması sebebiyle konuşmak istemediğini dile getirerek telefonu kapattığı, akabinde, Hastanenin e-posta adresine yazılı olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu’na istinaden başvurarak bilgi talep ettiği, kendisini Hastanenin bir çalışanının aradığı ve bu konuyu konuşmak istediğini söylediği, ancak kendisinin sözlü değil de yazılı cevap talep etmesi üzerine kendisine e-posta yolu ile cevap verildiği, konu ile alakalı olarak gelen bu cevabı yeterli bulmayınca Kurum’a şikayet başvurusunda bulunduğu belirtilmiştir. İlgili hastane tarafından verilen cevabi yazıda özetle arama yapan telefon numarasının kendilerine ait olmadığı, bu telefon numarasının aralarında üçüncü kişilere checkup hizmetinin pazarlanması ve satışı ile Hastanenin checkup hizmetini ilgili Firmanın bulmuş olduğu müşterilere sağlamasına ilişkin bir sözleşme olan Firmaya ait olduğu belirtilmiştir. Kurul tarafından hastanenin checkup panelinin Hastanenin kayıtlarında bulunan müşterilerine pazarlanmasına yönelik kişisel veri işlenmesinde Firma veri işleyen olarak değerlendirilirken; Hastane kayıtlarında bulunmayan ancak Firmanın kendisi tarafından bulunan yeni müşterilerin pazarlama amacıyla aranarak kişisel verilerinin işlenmesinde Firmanın veri sorumlusu olduğu kanaatine varılmıştır. Bu sebeple ilgili kişinin kişisel verisi olan cep telefonu numarasının veri sorumlusu Firma tarafından reklam amacıyla aranması suretiyle kullanılmasının, kişisel verilerin korunması mevzuatı açısından bir veri işleme faaliyeti olduğu,  bu işlemenin Kanun’un 5’inci maddesinde düzenlenen işleme şartlarından herhangi birine dayanılarak yapılmaması sebebiyle de Kanun’da öngörülen “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğünün yerine getirilmediği kanaatine varıldığından, incelemeye konu olay açısından veri sorumlusu olarak kabul edilen Firma hakkında, 50.000 TL idari para cezası uygulanmasına karar verilmiştir.

6-“İlgili kişinin oturmakta olduğu binaya, komşusu tarafından kamera yerleştirilerek kayıt ve izleme gerçekleştirilmesi hakkında” Kişisel Verileri Koruma Kurulunun 27/02/2020 tarihli ve 2020/187 sayılı Karar Özeti: Kuruma intikal eden şikâyet dilekçesinde özetle; ilgili kişinin oturmakta olduğu bina içerisine komşusu tarafından 2 tanesi dışarıyı, 1 tanesi apartman girişini, 1 tanesi kat arasını gösterecek şekilde 4 tane kamera yerleştirildiği, bu kameralarla kayıt ve izleme gerçekleştirildiği, kişilerin huzur ve sükûnunu bozma, hukuka aykırı olarak kişisel verileri kaydetme, özel hayatın gizliliğini ihlal etme suçlarının işlendiği, kameraları yerleştiren komşu hakkında savcılığa da şikâyette bulunulduğu ifade edilerek gereğinin yapılması, şahsın cezalandırılması ve kamera görüntülerinin tarafına iadesi talep edilmiştir. Kurul kararında özetle; yargı mercilerinin görevine giren konularla ilgili olan ihbar ve şikayetlerin inceleme konusu yapılamayacağını belirterek Kanun’un 17’nci maddesinin birinci fıkrasında kişisel verilere ilişkin suçlar bakımından 5237 sayılı Türk Ceza Kanunu’nun 135 ila 140’ıncı madde hükümlerinin uygulanacağını bu sebeple ilgili şikayetin KVKK kapsamında Kurul tarafından değerlendirilemeyeceğine karar vermiştir.

7-“Ses kayıt özelliği bulunan güvenlik kamerası kullanılması” ile ilgili Kişisel Verileri Koruma Kurulunun 12/03/2020 tarihli ve 2020/212 sayılı Karar Özeti: Kişisel verilerin korunmasını isteme hakkı Anayasal bir haktır. Bu sebeple hem KVKK’da yer alan hem de Anayasa’da yer alan kurallara ve ilkelere riayet edilmesi gerekmektedir. Dolayısıyla temel hak ve özgürlük niteliğini haiz kişisel verilerin korunması hakkının sınırlandırılmasının, demokratik bir toplumda gerekli olduğu ölçüde, hakkın kullanımının ciddi surette güçleştirilip amacına ulaşmasının engellenmemesi ve etkisinin ortadan kaldırılmaması şartıyla mümkün olmasının yanı sıra, Devlet’in de bu tür hakları ortadan kaldıracak veya bu haklara ölçüsüz müdahale teşkil edecek tutumlardan kaçınması gerekmektedir. Bu kapsamda söz konusu kayıt ile beklenen faydanın ses kaydı olmaksızın görüntü kaydı ile elde edilebileceği hallerde ses kaydının da yapılması, gerçekleştirilecek kişisel veri işleme faaliyeti ile ulaşılmak istenen amaç arasındaki dengenin bozulmasına yol açacağından ölçülülük ilkesine aykırılık teşkil edecektir. Bu anlamda, gözetim sistemlerinde görüntü kaydı ile birlikte ses kayıt sisteminin de kullanılmasının sadece görüntü kaydına göre çok daha müdahaleci olacağı açıktır. Kurul tarafından ayrıca güvenlik amacıyla kamu kurumunun halk girişine takılması yönünde ihtiyaç bulunduğu belirtilerek ses kaydı yapan kameraların kullanılması, benzer nitelikteki her türlü ortam açısından da gerekli olduğu yönünde genel bir değerlendirmeye neden olabileceğinden, kişisel verilerin korunması hakkına yönelik oldukça geniş nitelikte bir istisna oluşması sonucunu doğurabilecektir ki, bu hususun da hakkın özüne zarar vereceği değerlendirilmiştir.

8-İlgili kişinin, bir Valilikte görev yapmakta iken, Valilik çalışanı tarafından hukuka aykırı olarak elde edildiği iddia edilen kişisel verilerinin Valiliğe dijital ortamda sunulması” hakkında Kişisel Verileri Koruma Kurulunun 19/03/2020 tarih ve 2020/226 sayılı Karar Özeti: Kuruma intikal eden şikâyet başvurusunda, ilgili kişinin, veri sorumlusu bir Valilikte görev yapmakta iken, veri sorumlusunun bir çalışanı tarafından hukuka aykırı olarak elde edildiği iddia edilen kişisel verilerinin veri sorumlusuna dijital ortamda sunulduğu, söz konusu verilere dayanılarak ilgili kişi hakkında 657 sayılı Devlet Memurları Kanunu gereğince disiplin soruşturması başlatıldığı ve disiplin cezası aldığı, 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında İçişleri Bakanlığına müracaat ederek Kanuna aykırı olarak gerçekleştirilen disiplin soruşturması sonucunda tarafına verilen disiplin cezalarının ve atama işleminin iptali ve hukuka aykırı olarak elde edilen ve üçüncü şahıslara aktarılan kişisel verilerinin yok edilmesi talebinde bulunduğu, İçişleri Bakanlığının bu talebi veri sorumlusuna gönderdiği, veri sorumlusu tarafından disiplin cezalarının kaldırılması ve atama işleminin iptali ile ilgili talebe karşılık yetersiz bir cevap verildiği iddia edilmiştir. Kurul tarafından kişisel verileri hukuka aykırı olarak elde eden Valilik çalışanı açısından şikâyete konu iddiaların esasen Türk Ceza Kanunu hükümleri uyarınca değerlendirilmesi gerektiğinden KVKK kapsamında olmadığına ve Kurul tarafından incelemeye konu edilemeyeceğine, Veri sorumlusu Valilik’in işlediği kişisel verilerin disiplin soruşturma veya kovuşturması kapsamında Kanun’un 28’inci maddesinin (2) numaralı fıkrasının (c) bendi kapsamında işlendiğinden bu aşamada Kanun çerçevesinde yapılacak bir işlem bulunmadığına karar verilmiştir.

9-“Veri sorumlusu eğitim kurumu tarafından şikayetçinin çocuklarının özel nitelikli kişisel verilerinin hukuka aykırı olarak işlenmesi hakkında” Kişisel Verileri Koruma Kurulunun 02/04/2020 tarihli ve 2020/255 sayılı Karar Özeti: Kuruma intikal eden şikâyet başvurusunda özetle;  şikayetçinin velisi bulunduğu çocuklarının veri sorumlusuna ait okulda eğitim gördüğü, gerek bu öğrencilere gerekse de diğer öğrencilerin okulda eğitim gördükleri sırada velilerinden herhangi bir şekilde izin alınmadan ve aydınlatma yükümlülüğü yerine getirilmeden veya açık rızaları alınmadan CAS (Cognitive Assessment System) Uygulama ve Değerlendirme testinin yapıldığı, CAS testinin klinik ve nörolojik değerlendirme yeteneği ile geniş yelpazede gelişimsel değerlendirme yapabilen güncel bir ölçek olduğu, çocukların bu test için özel nitelikli kişisel verilerinin kullanıldığı ve işlendiği, veri sorumlusunun uzun süredir şikayetçinin velayeti altında bulunan çocuklara eğitim vermekte iken hiçbir kayıt işleminde kişisel verilerin işlenmesinden bahsetmediği, aydınlatma yükümlülüğünün yerine getirilmediği, veri sorumlusuna başvuruda bulunulduğu ancak yeterli bir cevap alınamadığı bu çerçevede Kurula şikâyette bulunulduğu belirtilmiştir. Veri sorumlusu tarafından verilen cevabi yazıda özetle; Testin Milli Eğitim Bakanlığı’nın Rehberlik Hizmetleri mevzuatı çerçevesinde, rehberlik hizmetleri amaçları doğrultusunda uygulandığı ve veri sorumlusu eğitim kurumunun mevzuat ile tanımlanmış görev ve yetkilerini aşmadığı, testin uygulanmasında Kanuna aykırı davranılmadığı belirtilmiştir. Kurul tarafından verilen kararda özetle; veri sorumlusu eğitim kurumu tarafından ilgili kişilerin özel nitelikli kişisel veri kapsamında olan sağlık verisine ilişkin olarak; ilgili kişinin/velinin açık rızasının alınmadığı, açık rızanın aranmadığı diğer durumların da bulunmadığı gerekçesiyle; kişisel verilerin hukuka aykırı olarak işlenmesinin engellenmesini teminen gerekli  idari ve teknik tedbirleri almadığı kanaatine varılan veri sorumlusu hakkında 50.000 TL idari para cezası uygulanmasına, Kanun’un “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6’ncı maddesi uyarınca, özel nitelikli kişisel veri kapsamında olan ilgili kişinin sağlık verisinin ilgili kişilerin/velinin açık rızası alınmadan işlenmesi nedeniyle hukuka aykırı bir şekilde veri işlendiği dikkate alınarak velilere ve öğrencilere sunulan rehberlik hizmeti sürecinin kişisel verilerin korunması mevzuatı ile uyumlu hale getirilmesi, hukuka aykırılıkların giderilmesi hususunda veri sorumlusunun talimatlandırılmasına, veri sorumlusu tarafından gerçekleştirilen kişisel veri işleme faaliyetlerine ilişkin olarak aydınlatma yükümlülüğünün yerine getirilmesi hususunda veri sorumlusunun talimatlandırılmasına, öte yandan, hukuka aykırı elde edilen verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi hususunda Şirketin talimatlandırılmasına karar verilmiştir.

10-“Türkiye Ticaret Sicili Gazetesinde açık bir şekilde ilan edilmeyen kişisel verilerin, talepleri üzerine kamu kurum ve kuruluşlarıyla paylaşılması” hususuna ilişkin Kişisel Verileri Koruma Kurulunun 22/04/2020 tarihli ve 2020/307 sayılı Karar Özeti: MERSİS’in ticaret sicili kayıtlarının güvenli ve birbirinin yedeği olacak şekilde olmasını sağlayacağı ve ticaret sicili kayıtlarının aleniyetine imkân tanıyacağı belirtilmiştir. MERSİS ile getirilen aleniyetle gerçek anlamda şeffaflığın sağlanması ve hukuka aykırılıkların önüne geçilmesi hedeflenmiştir. Bilindiği üzere ticaret sicili alenidir ve herkes ticaret sicilinde bulunan kayıtları inceleyebilecektir. Ayrıca yine bilindiği gibi Kişisel verikimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Buna göre tacirlerin ya da şirket hissedarlarının isim, kimlik, adres ve benzeri bilgileri üzerinde Müdürlükler tarafından yapılan işlemlerin kişisel veri işleme faaliyeti olduğu açıktır. Bu sebeple Ticaret Sicili Yönetmeliğinin “Sicil kayıtlarına erişim hakkı” başlıklı 15 inci maddesinde bu bilgilerin kişisel verilerin korunmasını ve bilgi güvenliğini sağlayacak şekilde saklanacağına ve alenileştirileceğine ilişkin hüküm yer almaktadır. Yine aynı Yönetmelik’te Ticaret Sicili Gazetesinde yapılan ilanlarda T.C. kimlik numaraları maskelenmek suretiyle yayımlanacağı ve gerçek kişilerin yerleşim yeri adresleri olarak yalnızca il ve ilçe bilgisi ilan edileceği düzenlenmiştir. Diğer taraftan, Müdürlükler nezdinde tutulan kişisel verilerin çeşitli kamu kurum ve kuruluşlarıyla paylaşılması bir “aktarım” faaliyeti olup, Kanunda yer alan kişisel verilerin işlenmesi tanımında da düzenlendiği üzere, kişisel verilerin aktarımı da bir kişisel veri işleme faaliyetidir. Nüfus Hizmetleri Kanununa göre kimlik bilgilerini paylaşmaya yetkili merci nüfus müdürlükleri olup, bu verilerin ticaret sicil müdürlüklerinden istenmesi hususunun Nüfus Hizmetleri Kanununa aykırı olduğu, bir başka ifadeyle, talep edilecek kişisel verilerin özel düzenleme niteliğini haiz ilgili mevzuat hükümlerinde belirtilen yetkili kamu kurumlarından temin edilmesi gerektiği değerlendirilmektedir. Bu sebeple aktarımı talep edilen kişisel verilerin, bu verileri işleme faaliyetinin özel olarak düzenlendiği ilgili mevzuatlarca yetkili kılınmış kuruluşlardan talep edilmesi gerekecektir. Yetkili kamu kurumlarından yapılacak aktarımlarda dahi özellikle Kanun’da yer alan “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi ve veri güvenliğine ilişkin gerekli her türlü teknik ve idari tedbirlerin alınması yükümlülüğünün birlikte gözetilmesi gerekmektedir.

Yukarıda yer alan karar özetleri KVKK’nın websitesinde yayınlanan kurul karar özetlerinin bir özeti şeklinde bilgi amaçlı paylaşılmış olup, kararlar hakkında detaylı bilgiye https://www.kvkk.gov.tr/Icerik/6896/Kisisel-Verileri-Koruma-Kurulu-nun-Yeni-Yayinlanan-Karar-Ozetleri adresi üzerinden ulaşabilirsiniz.

Av. Sinem İLİKLİ

TARLAN BAKSI AVUKATLIK BÜROSU

AV. AYLİN TARLAN – AV. DERYA BAKSI

Leave a comment