Posted on by Tarlan Avukatlık Bürosu

KİŞİSEL VERİLERİ KORUMA KURULU YENİ KARAR ÖZETLERİ

Kişisel Verileri Koruma Kurumu’nun (“Kurum”) web sitesinde 17.12.2021 tarihinde 19 adet yeni kurul karar özeti yayınlanmıştır. Bu kararlardan kalan son 5 tanesinin özetini aşağıda bilgilerinize sunarız.

1)“Bir bankanın mobil uygulamalar üzerinden ilgili kişiye rızası dışında tanıtım iletileri göndermesi” hakkında Kişisel Verileri Koruma Kurulunun(“Kurul”) 13/04/2021 tarihli ve 2021/361 sayılı Karar Özeti

Kuruma intikal eden şikâyet dilekçesinde özetle;

  • İlgili kişinin maaş müşterisi olduğu veri sorumlusu banka tarafından sunulan 2 adet mobil uygulama üzerinden cep telefonuna tanıtım iletileri gönderildiği, veri sorumlusunun tanıtım iletileri gönderme işlemi sırasında 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanunun (6563 sayılı Kanun) 6. maddesi ile 6698 sayılı Kişisel Verilerin Korunması Kanununun (“Kanun”) ilgili maddeleri kapsamında ilgili kişinin açık rızasına başvurmadığı veri sorumlusu tarafından kişisel verilerin hukuka aykırı biçimde işlenmesini önlemek adına gerekli teknik ve idari tedbirlerin alınmadığı,
  • İlgili kişinin, tanıtım iletilerinden dolayı duyduğu rahatsızlığı dile getirmek üzere veri sorumlusuna yazılı başvuruda bulunduğu, ancak bu başvurunun cevabının gelmesinden önce veri sorumlusuyla çağrı merkezi üzerinden de iletişime geçerek tanıtım iletilerinin gönderilmesine konu olan kişisel verilerinin silinmesi talebini ilettiği, yapılan sözlü ve yazılı başvuruların ardından, ilgili kişinin veri sorumlusundaki hesabı ile kredi kartlarının tamamen iptal edildiği,
  • İlgili kişinin veri sorumlusuna yaptığı ikinci başvuruda iptal sebebini sorduğu ve kendisine Kanun kapsamındaki talebi sebebiyle söz konusu iptal işleminin gerçekleştirildiği bilgisinin verildiği,
  • Hesabının silinmesi işleminin ilgili kişiyi maddi ve manevi zarara uğrattığı ve başlangıçtaki başvurusunun karşılanmamasının yanı sıra, hesabının kapatılmasının ikinci bir hukuka aykırılık teşkil ettiği belirtilerek veri sorumlusu hakkında gerekli incelemelerin yapılması ve idari para cezası uygulanması talep edilmiştir.

Kurum kararında özetle;

  • Veri sorumlusunun mobil uygulamalar üzerinden usulüne uygun açık rızası alınmaksızın tanıtım iletileri göndermek amacıyla ilgili kişinin kişisel verilerini işlemesinin hukuka aykırı olduğu dikkate alındığında, uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılan veri sorumlusu hakkında Kanunun 18/1(b) maddesi uyarınca idari para cezası uygulanmasına,
  • Bununla birlikte veri sorumlusunun sahibi olduğu mobil uygulama süreçlerini usulüne uygun açık rıza alınabilecek şekilde düzenlemesi ve bu işlemin sonucundan Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına karar verilmiştir.

2) “Telekomünikasyon hizmetleri sunan bir veri sorumlusunun ürün satışı esnasında müşterilerinin pasaport fotoğraflarını çekerek depolaması hakkında Kişisel Verileri Koruma Kurulunun 03/02/2021 tarihli ve 2021/78 sayılı Karar Özeti

Kuruma intikal eden bir ihbarda özetle;

  • Veri sorumlusu tarafından İstanbul Havalimanı şubesinde dış hatlara gelen yolculara kontörlü hat satışı gerçekleştirilirken müşterilerin rızası olmadan, ileride eksik evrak cezası almamak için, müşteri pasaport fotoğraflarının çekilerek çalışanlardan oluşturulan bir whatsapp grubunda depolandığı ve üçüncü kişilerle paylaşıldığı,
  • kendisinin de veri sorumlusunun eski bir çalışanı olarak söz konusu gruplara üye olduğu, bu kapsamda söz konusu gruplarda paylaşılan pasaport fotoğraflarının kendi telefonunda da depolandığı ifade edilerek başvuru ekinde söz konusu pasaport fotoğraflarının örneklerine yer verilmiş ve veri sorumlusu nezdinde gerekli denetimlerin yapılması talep edilmiştir.

Cevabi yazıda özetle;

  • Veri sorumlusuna ait iş yerinin bir telekomünikasyon şirketi ile sözleşmesinin olduğu, sistemdeki her işlemin telekomünikasyon şirketi tarafından takip ve kontrol edildiği, hat açmak için Bilgi Teknolojileri ve İletişim Kurumu (BTK) düzenlemelerine uygun şekilde yeni müşterilere ait pasaport ve kimliklerin taratılarak sisteme yüklendiği, mağazada alınan kimlik bilgilerinin telekomünikasyon şirketinin depolama sistemine gönderilmesi nedeni ile çalışanlarının bu bilgilere tekrar ulaşmasının mümkün olmadığı,
  • İş yerinin telekomünikasyon şirketi ile olan sözleşme ve kendi prosedürleri gereği 24 saat kamera ile izlendiği, çalışanlara yalnızca şirket bilgisayarı temin edilmekte olduğu ve bu bilgisayarlarda yapılan tüm işlemlerin kamera görüş açısında olduğu, şahsi telefonların mağaza içerisinde kullanımının yasak olduğu, hat açmak için BTK düzenlemelerine uygun şekilde yeni müşterilere ait pasaport ve kimliklerin taratılarak sisteme yüklendiği, bilgilerin sisteme yüklendikten sonra ancak iş gereği kullanılabildiği, bilgilerin kayıt edilmesinin mümkün olmadığı, sistemin aynı zamanda Emniyet Genel Müdürlüğü’ne de entegre olduğu,
  • Şikayetçinin veri sorumlusu bünyesinde çalıştığı sırada kişisel verilerin korunması konusunda uyarılmasına rağmen şirketi suçlayıcı gerçeğe aykırı beyanlarda bulunduğu, şikayetçinin dürüstlük kuralına, hukuka ve hakkaniyete aykırı davrandığı, iddiaların asılsız olduğunun yapılacak yerinde inceleme ile kolayca anlaşılabileceği, ilgili telekomünikasyon şirketi tarafından veri sorumlusunun 9000 işleminin incelendiği ve hiçbir usulüz işleme rastlanılmadığı, şikayetçinin müşteri verilerini sisteme doğru işlememesinden doğan cezaların telekomünikasyon şirketi tarafından veri sorumlusuna rücu edildiği ifade edilmiştir.

Kurum kararında özetle;

  • Veri sorumlusu Şirketin kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı ve kendi kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorunda olduğu hükmüne aykırı harekete ettiği kanaatine varıldığından veri sorumlusu hakkında Kanunun 18/1(b) maddesi uyarınca idari para cezası uygulanmasına,
  • Veri sorumlusunun daha önce bir çalışanın müşteri verilerini sisteme doğru işlememesinden doğan cezaların telekomünikasyon şirketi tarafından veri sorumlusuna rücu edildiği, yine söz konusu çalışana verildiği anlaşılan uyarı yazısında, çalışanın Kişisel Verilerin Korunması Kanununa aykırı davranışlarının kamera ile tespit edildiği, kişinin müşteri kimlik resimlerinin kaydını şahsi cep telefonunda muhafaza ettiğinin anlaşıldığına yönelik ifadelerin yer aldığı ve söz konusu çalışandan kaynaklı olarak veri sorumlusu bünyesinde bir veri ihlali yaşandığı anlaşılmış olup, söz konusu ihlal kapsamında Kurula yapılmış bir bildirim olmadığı dikkate alındığında veri sorumlusu tarafından Kanun’a uygun hareket edilmemiş olması nedeniyle Kanunun 18/1(b) maddesi kapsamında veri sorumlusu hakkında idari para cezası uygulanmasına,
  • 5237 sayılı Türk Ceza Kanununun 136. maddesinde düzenlenen “Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.” hükmü gereğince ihbara konu aykırılıkların sorumluları hakkında Türk Ceza Kanunu kapsamında ihbaren Cumhuriyet Başsavcılığına bildirimde bulunulmasına karar verilmiştir.

3) “İlgili kişinin kişisel verilerinin bilgisi dışında veri sorumlusu banka nezdinde sorgulanması” hakkında Kişisel Verileri Koruma Kurulunun 12/01/2021 tarihli ve 2021/32 sayılı Karar Özeti

 İlgili kişi adına vekilinden alınan şikâyette özetle,

  • İlgili kişinin, şikâyet edilen veri sorumlusu banka bünyesinde müdür yardımcısı pozisyonunda çalışmakta olan eşi ile boşanma davasının mevcut olduğu, bu süreçte şikâyet edilen banka aracılığıyla, müvekkiline ait kişisel veri niteliğinde bilgilerin sorgulandığı ve bu bilgilerin boşanma davası dosyasına sunulduğu,
  • Bahse konu evrakın, müvekkilinin geçmiş yıllara ilişkin karşılıksız çek bilgileri ve yine müvekkili hakkındaki tedbir kararlarına ilişkin olduğu, bu bilgilerin ancak müvekkilinin izin ve onayı dâhilinde sorgulanabileceği, söz konusu sorgulamanın banka aracılığıyla yapılmış olmakla kalmayıp müvekkilinin kişisel verilerinin, kişisel çıkar amacıyla mahkemeye sunulmak suretiyle paylaşıldığı ve bu kapsamda özel hayatın gizliliğinin ihlal edildiği,
  • veri sorumlusu bankaya aykırılığı gidermesi ve söz konusu durumdan doğan zararları tazmin etmesi amacıyla iadeli taahhütlü başvuru yapılmasına rağmen 30 günlük yasal süre içerisinde herhangi bir cevap alınamadığı ifade edilerek, veri sorumlusu banka hakkında gerekli işlemlerin yapılması talep edilmiştir.

Kurum kararında özetle;

  • İlgili kişinin kişisel verisi niteliğindeki bilgilerin veri sorumlusu bünyesinde çalışan kişi tarafından sorgulanıp mahkemeye sunulması nedeniyle söz konusu kişisel verilere kanuni olmayan yollarla başkaları tarafından erişim sağlandığı, Kurulun 31.05.2018 tarih ve 2018/63 sayılı “Veri Sorumlusu Nezdindeki Kişisel Verilere Erişim Yetkisi Bulunan Personelin Yetkisi ve Amacı Dışında Söz Konusu Verileri İşlemesi Hususunun Değerlendirilmesine İlişkin İlke Kararı”nda da düzenlenen bu hususun Kanunun 12/1 maddesi çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmadığının bir göstergesi olduğu dikkate alındığında, veri sorumlusu Banka hakkında idari yaptırım uygulanmasına
  • Veri sorumlusunun kişisel verilerin güvenliğini tesis etmeye yönelik gerekli teknik ve idari tedbirleri aldığı hususunda tevsik edici belgeleri Kuruma iletmesi hususunda talimatlandırılmasına,
  • Kişisel verilere kanuni olmayan yollarla başkaları tarafından erişim sağlanması halinde bu durumun en kısa sürede ilgilisine ve Kurula bildirilmesi gerektiği hususunda veri sorumlusuna hatırlatmada bulunulmasına,
  • Ayrıca, 5237 sayılı Türk Ceza Kanununun “Verileri hukuka aykırı olarak verme veya ele geçirme” başlıklı 136 ncı maddesinde yer alan suçların işlenmiş olabileceği dikkate alınarak, Türk Ceza Kanununun 136 ncı maddesi çerçevesinde ilgili kişinin kişisel veri niteliğindeki kimlik, müşteri işlem ve finansal bilgilerini (geçmiş yıllara ilişkin karşılıksız çek ve tedbir kararı bilgileri) sorgulayıp mahkemeye sunan veri sorumlusu bünyesinde çalışan şahıs hakkında gerekli hukuki işlemlerin tesisi için konunun Cumhuriyet Başsavcılığına bildirilebileceği yönünde ilgili kişinin bilgilendirilmesine karar verilmiştir.

4) “İlgili kişiye bir banka tarafından SMS gönderilmesi ve ilgili kişinin bu banka nezdindeki kişisel verilerinin imha edilmesi talebinin yerine getirilmemesi hakkında” Kişisel Verileri Koruma Kurulunun 13/04/2021 tarihli ve 2021/358 sayılı Karar Özeti

Kuruma intikal eden şikâyet dilekçesinde özetle;

  • Veri sorumlusu bir banka ile ilgili kişi arasındaki ilişkinin 22/11/2003 tarihinde müşteri numarasının oluşturulmasıyla kurulduğu, ilgili kişinin veri sorumlusu nezdindeki son işleminin de bu tarih olduğu, ilgili kişinin veri sorumlusuyla ilişiğinin 16 yıl önce kesilmiş olmasına rağmen kişisel verilerinin veri sorumlusu tarafından halen saklandığı, ilgili kişiye SMS’ler gönderildiği ve kredi kartı isteyip istemediğine ilişkin telefon aramalarının yapıldığı,
  • İlgili kişinin bu kapsamda yaptığı başvurunun veri sorumlusuna tebliğ edildiği, ancak veri sorumlusu tarafından ilgili kişiye cevabın mevzuatta belirlenen süre sonrasında iletildiği ve yetersiz olduğu, ilgili kişiye verilen cevapta kişisel verilerin yurt dışına aktarılabildiği hususuna yer verildiği, ancak bu konuda ilgili kişinin açık rıza vermediği ve veri sorumlusunun Kanun kapsamında yurt dışına veri aktarım istisnalarından yararlanıldığına dair herhangi bir bilgiye de yer verilmediği,
  • Veri sorumlusu ile ilgili kişi arasında 2003 yılında kurulmuş olan sözleşmesel ilişkinin sona ermiş olmasına rağmen ilgili kişinin kişisel verilerinin silinip silinmeyeceğinin açıkça belirtilmemesinin ve ilgili kişiye ait bilgilerin 10 sene daha saklanmasının açıkça mevzuata aykırı olduğu belirtilerek veri sorumlusu hakkında Kanun kapsamında gerekli tedbirlerin alınması talep edilmiştir.

Kurum kararında özetle;

  • İlgili kişinin Kanun kapsamında yaptığı başvurusuna, kendisine ulaşmasına rağmen 30 günlük yasal süre geçtikten sonra cevap vermesi sebebiyle veri sorumlusunun Kanunun ve Tebliğin ilgili hükümlerine uyum konusunda gerekli dikkat ve özeni göstermesi gerektiği konusunda talimatlandırılmasına,
  • Veri sorumlusu tarafından söz konusu iletinin gönderilmesi suretiyle ilgili kişinin kişisel verisi olan cep telefonu numarasının işlenmesinin Kanunun 5/2 maddesinde yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartına dayandığı, öte yandan ilgili iletinin yasal bilgilendirme içermesi ve herhangi bir mal veya hizmetin tanıtımının da söz konusu olmaması sebebiyle ilgili kişinin rızasının alınmasına gerek olmadığı bu çerçevede veri sorumlusu tarafından ilgili kişiye yasal bilgilendirme içerikli SMS’in gönderilmesi suretiyle kişisel verilerinin işlenmesinde hukuka aykırılığın bulunmadığı kanısına varıldığından bu hususta Kanun kapsamında yapılacak bir işlemin olmadığına,
  • İlgili kişinin veri sorumlusu nezdindeki son işlem tarihinin 13/12/2013’te gerçekleştirilen kredi kartı kapatma işlemi olduğu ve dolayısıyla son işlem tarihi üzerinden 10 yıllık sürenin geçmemiş olduğu dikkate alındığında; ilgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin henüz ortadan kalkmaması sebebiyle silme talebinin veri sorumlusu tarafından yerine getirilmemesinin Kanunun 7.  maddesi hükümleri dikkate alındığında hukuka aykırı olmadığı kanısına varıldığından bu hususta Kanun kapsamında yapılacak bir işlemin olmadığına,
  • İlgili kişinin, kişisel verilerinin veri sorumlusu tarafından yurt dışına aktarıldığı iddiasına ilişkin olarak Kuruma tevsik edici bir bilgi veya belge sunmadığı dikkate alındığında söz konusu iddiaya ilişkin olarak Kanun kapsamında yapılacak bir işlem olmadığına karar verilmiştir.

5) “Bir sigorta şirketi tarafından işlenen kişisel verilerin üçüncü kişiye aktarılması ve ilgili kişiye veri aktarımına ilişkin aydınlatma yapılmaması” hakkında Kişisel Verileri Koruma Kurulunun 05/04/2021 tarih ve 2021/333 sayılı Karar Özeti

Kuruma intikal eden şikâyette özetle;

  • Maliki olduğu aracı ile geçirdiği trafik kazası sonrası veri sorumlusu sigorta şirketi tarafından kasko poliçesi kapsamında hasar dosyası açıldığı, bununla birlikte veri sorumlusunun çağrı merkezini aradığında aracının pert süreci işlemlerinin üçüncü bir şirket tarafından yapıldığı ve bu şirketin kendisi ile iletişime geçeceğinin söylendiği, söz konusu kasko poliçesinde ve sigorta genel şartları mevzuatında pert işleminde ya da herhangi bir hasar halinde hasarın ya da aracın rayiç değerinin ve sovtaj değerinin tespitinin tarafsız ve bağımsız sigorta eksperince yapılacağının belirtildiği,
  • Bununla birlikte veri sorumlusu tarafından üçüncü kişi şirket ile onayı ve bilgisi olmadan kendisine ait aracın kaza fotoğraflarının, kimlik bilgilerini de içeren ruhsatın ve iletişim bilgilerinin paylaşıldığı, ancak üçüncü şirketin veri sorumlusu ile yapılan sözleşmenin tarafı olmadığı, sözleşmede adının geçmediği, rayiç tespiti ve sigortacılık işlemlerinin ilgili şirket ile yürütülmesinin poliçeye ve sigortacılık mevzuatına aykırı olduğu ve poliçe kapsamında kişisel verilerinin sadece sigorta eksperi ile paylaşılabileceği,
  • Veri sorumlusu tarafından kişisel verilerinin işlenmesinde onay istenmediği ve bildirim yapılmadığı, ayrıca konuya ilişkin veri sorumlusuna yapmış olduğu başvuruya cevap verilmediği ifade edilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.

Kurul kararında özetle;

  • Veri sorumlusunun kendisine yapılan başvuruları titizlikle kayıt altına alarak Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe uygun şekilde ilgili kişilerin başvurularına yanıt vermesi konusunda talimatlandırılmasına,
  • Şikâyete konu faaliyette veri sorumlusunun kişisel veri paylaşımı yaptığı üçüncü kişi şirketin veri işleyen olduğu dikkate alındığında, ilgili kişinin, açık rıza alınmadan kişisel verilerinin işlenmesinin hukuka aykırı olduğu iddiasına ilişkin olarak, söz konusu işlemenin Kanunun 5/2(c) maddesinde yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” veri işleme şartına dayanılarak gerçekleştirildiği anlaşıldığından söz konusu işlemde hukuka aykırılık bulunmadığına,
  • İlgili kişinin, tarafına aydınlatma yapılmadığı iddiasına ilişkin olarak, olay tarihinde yapılan aydınlatmanın usul açısından eksiklikler taşıdığı ancak sonrasında aydınlatma metninin güncellendiği, bununla birlikte söz konusu metinde halihazırda hangi kişisel verinin hangi veri işleme şartına dayanılarak işlendiğinin belli olmaması nedeniyle veri sorumlusunun metindeki bu eksikliğin giderilmesi hususunda talimatlandırılmasına karar verilmiştir.

Stj. Av. Sıla ATİLLA

TARLAN – BAKSI AVUKATLIK BÜROSU

AV. AYLİN TARLAN – AV. DERYA BAKSI

Leave a comment