Posted on by Tarlan Avukatlık Bürosu

KİŞİSEL VERİLERİ KORUMA KURULU YENİ KARAR ÖZETLERİ

Kişisel Verileri Koruma Kurumu’nun (“Kurum”) web sitesinde 24.04.2023 tarihinde 40 adet yeni Kurul karar özeti yayınlanmıştır. Bu kararlardan 4 tanesinin özetini sizlerle paylaşmaktayız.

1)”Bir teknoloji şirketi tarafından ilgili kişinin kişisel verilerinin açık rızası olmaksızın yurt dışına aktarılması” hakkında Kişisel Verileri Koruma Kurulu’nun (“Kurul”) 17/03/2022 tarihli ve 2022/249 sayılı Karar Özeti

İlgili kişinin şikâyetinde özetle:

  • Veri sorumlusunun sistemine internet sitesi üzerinden üye olduğu, sitede çerez politikasının yer almadığı, aydınlatma metninde yurt dışına aktarım yapıldığının bildirildiği ancak bu yönde bir açık rızasının olmadığı,
  • Konuya ilişkin internet sitesinde yer alan aydınlatma metnindeki e-posta adresine başvuruda bulunduğu, bu başvuruda hangi verilerinin kaydedildiği ve aktarıldığı hususlarında bilgi talep edilmişse de yasal süre olan 30 gün içerisinde veri sorumlusundan bir cevap alınamadığı ifade edilerek veri sorumlusu hakkında Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında gereğinin yapılması talep edilmiştir.

Veri sorumlusunun savunmasında özetle:

  • İlgili kişi başvurularına özgülenen bir e-posta adresinin bulunduğu, ancak bu adrese gönderilen ilgili kişi başvurusunun sehven gözden kaçırılması sebebiyle yanıtsız kaldığı, 
  • İnternet sitesinde, gerek ilgili kişinin başvuru tarihinde bulunan aydınlatma metninde gerekse de halihazırda yürütülen KVKK Uyum Projesi kapsamında güncellenen aydınlatma metninde çerezler vasıtası ile işlenen kişisel verilere ilişkin bilgilerin belirtildiği, konu ile ilgili aydınlatmanın Kanun’a uygun olarak gerçekleştirildiği,
  • İngiltere, Polonya, Çek Cumhuriyeti, Macaristan, Romanya, Suudi Arabistan, Mısır ve Türkiye’de hizmet vermekte olduğu, hizmetlerini yurt dışında bulunan bulut servis teknolojileriyle sağladığı, internet sitesinde bulunan aydınlatma metninde yer alan yurt dışına aktarım bildiriminin verilerin bu sunucuda tutulması sebebiyle gerçekleştirildiği, sistemlerinin Kanun ve Avrupa Veri Koruma Tüzüğü (“GDPR”) düzenlemelerinin yürürlüğe girmesinden önce bu mimari üzerinde geliştirilmeye başlandığı, anılan kanunlar ve kişisel verilerin korunmasına ilişkin mevzuatın yürürlüğe girmesi akabinde de KVKK ve GDPR ile uyumlu hale getirilmek üzere titizlikle yapılan çalışmaların devam ettirildiği,
  • Türkiye’de bulunan barındırma hizmetlerinin yetersiz olduğu, barındırma hizmetlerinde ihtiyaç duyulan modern altyapı teknolojilerinin büyük çoğunluğunun bulunmadığı, bulunan teknolojilerin de kapasite, güvenlik ve özellik olarak birçok eksikliğinin olduğu, buna karşın yurtdışında bulunan söz konusu hizmet sağlayıcının altyapı teknolojilerine çok daha fazla yatırım yapma kapasitesinin olduğu, Türkiye’de bulunan bağımsız sunucu barındırma şirketlerinin benzer bir yatırım yapma kapasitesi olmadığı için altyapı teknolojilerinin avantajlı hale getirilmesinin son derece güç olduğu, bu sebeple Türkiye’de operasyonu bulunan birçok teknoloji şirketinin de kendilerinin çalıştığı şirketten hizmet aldığı,
  • Bulut servis sağlayıcı hizmetini tercih etmesindeki temel sebebin tüketicilerinin menfaatini üstün tutmak olduğu, siber saldırılar karşısında dahi tüketicilere kesintisiz hizmet verebildiği ve tüketicilerin verilerinin gizlilik ve güvenliğini bu saldırılara karşı koruyabildiği, iş modeli çerçevesinde tüketicilerin ihtiyaçlarını karşılayabilmesinin de ancak bu firmanın sağladığı yenilikçi yapay zeka ve veri aktarımı teknolojileri sayesinde mümkün olabildiği, tüm sermayeleri ile Türkiye merkezli olarak kalmaya devam edebilmesi açısından yurt dışında bulunan servis veya muadillerini kullanmasının gerekli olduğu,
  • Barındırma hizmeti aldığı firma ile Kanun kapsamında bir taahhütname çalışmasını uzun zamandır sürdürmekte olduğu, söz konusu taahhütnameyi de en kısa sürede Kurul’un onayına sunacağı ifade edilmiştir.

Kişisel Verileri Koruma Kurulu tarafından yapılan değerlendirmeler neticesinde:

  • Veri sorumlusu tarafından sunucuları yurt dışında bulunan sistemin kullanılması aracılığıyla kişisel verilerin yurt dışına aktarılması faaliyetinin gerçekleştirildiği, söz konusu faaliyet gerçekleştirilmeden önce aktarım yapılacak ülkede yeterli korumanın sağlanacağına ilişkin bir taahhütnamenin Kurul’a sunulmadığı, yurt dışına aktarım faaliyeti bakımından somut olayda açık rıza dışında bir hukuki sebep bulunmadığı, veri sorumlusu tarafından bu hususta ilgili kişilerden de açık rıza alınmadığı anlaşıldığından Kanun kapsamında uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirlerin alınmadığı kanaatine varılması sebebiyle, veri sorumlusu şirketin birçok ülkede faaliyet gösterdiği ve ekonomik durumu, kişisel verilerin işlenmesinde kullanılan uygulama ve internet sitesi aracılığıyla toplanan çok sayıda kişisel verinin hukuka aykırı olarak yurt dışına aktarıldığı, söz konusu fiilden etkilenen ilgili kişilerin fazla olduğu, yurt dışına kişisel veri aktarma fiilinin sistemli bir şekilde veri sorumlusu tarafından kasten ve icrai hareketle yapıldığının savunma dilekçesinde ikrar edildiği, kabahat teşkil eden ihlalin ticari amaç kapsamında gerçekleştirildiği ve Kanun’un yürürlüğe girdiği tarihin üzerinden 6 sene geçmiş olmasına rağmen yurt dışına aktarım faaliyetinin Kanun’a uygun hale getirilmemiş olduğu dikkate alınarak, veri sorumlusu hakkında 950.000 TL idari para cezası uygulanmasına,
  • Kişisel verilerin yurt dışına aktarılmasına ilişkin işlemlerin Kanun’a uygun hale getirilmesini teminen gerekli düzenlemelerin ivedilikle yapılması ve sonucundan Kurul’a bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
  • Başvuru Usul ve Esasları Hakkında Tebliğ kapsamında ilgili kişiler tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri alması hususunda veri sorumlusunun uyarılmasına karar verilmiştir.

2) “İlgili kişi ile ilgisi bulunmayan bir işletme adına düzenlenmiş e-faturaların, ilgili kişinin e-posta adresine gönderilmesi” hakkında Kişisel Verileri Koruma Kurulu’nun 07/04/2022 tarih ve 2022/325 sayılı Karar Özeti

İlgili kişinin şikâyetinde özetle:

  • Bir pazarlama şirketinin Trabzon bölge müdürlüğü yetkilileri tarafından bir market adına düzenlenmiş e-faturaların şirketin kullanmakta olduğu e-posta adresine 13/01/2020 tarihinden 20/04/2020 tarihine kadar on beş kez gönderildiği,
  • Kendisinin adına fatura düzenlenen market ile bir ilgisinin bulunmadığı,
  • Bu durum çeşitli iletişim kanalları üzerinden söz konusu şirkete bildirilmesine rağmen faturaların tarafına iletilmeye devam edildiği belirtilerek gereğinin yapılması talep edilmiştir. 

Veri sorumlusunun savunmasında özetle:

  • Faturaları gönderen yetkililerden birinin önceden şirketlerinin Trabzon eski baş bayisi olduğu ancak Kasım 2018 itibariyle ilişiklerinin kesildiği, 
  • İlgili kişinin başvurusunu yönelttiği e-posta adreslerinin bir kısmının alan adının aktif olmadığı ve ad sunucusu bilgilerinin şirketlerine ait olmadığı, 
  • Sistemlerinde ilgili kişinin e-posta adresine rastlanmadığı, bu nedenle herhangi bir ilişkileri bulunmayan işletme adına düzenlenen ve gerçek kişiye ait herhangi bir bilgi içermemesi nedeniyle kişisel veri ihlali teşkil etmeyecek fatura paylaşımının şirketleri tarafından gerçekleştirilmesinin mümkün olmadığı,
  • Şirketlerinde herhangi bir üyelik sistemi bulunmadığından, doğrudan e-posta adresi ile başvuru yönteminin açık olmadığı ve ilgili kişi tarafından şirketlerine yapılan usulüne uygun bir başvuru tespit edilemediği ifade edilmiştir. 

Veri sorumlusu şirketin daha önce Trabzon baş bayisi olan ve fatura düzenleyen şahsın savunmasında özetle:

  • Taraflarının adı geçen şirketin bayisi iken başka bir pazarlama şirketine devir teslim işlemi yapılmasının ardından yeni şirket ile bayilik sözleşmesi imzalandığı,
  • E-fatura sistemine geçildiğinden dolayı, gazete dağıtımı yapan son satıcılardan e-posta ve telefon bilgilerinin güncellenmesinin talep edildiği, bunun üzerine bahsi geçen market tarafından güncellenmesi istenen e-posta adresinin taraflara el yazısı ile iletilmesi sebebiyle yanlışlıkla (ad.soyad@… şeklinde) olan e-posta adresinin, (adsoyad@… şeklinde) kaydedildiği,
  • İlgili kişinin taraflarına ulaşmasının ardından düzeltme işlemi yapıldığı ve ilgili kişiye e-posta gitmesinin önlendiği belirtilmiştir.

Veri sorumlusu ikinci pazarlama şirketinin savunmasında özetle:

  • Şirketlerinin Türkiye’deki yazılı basın sektörünün tamamına hizmet vermek üzere bir dağıtım ağı oluşturduğu,
  • Şirketleri ile şikâyete konu fatura düzenleyen kişi arasında Temmuz 2018’de dağıtım yetkili satıcı sözleşmesi imzalandığı ve söz konusu kişinin yetkili satıcı olarak atandığı, adına fatura düzenlenen marketin ise söz konusu yetkili satıcının yayınlarının pazarlama, dağıtım ve satışını yaptığı son satıcılardan biri olduğu,
  • Bu ilişkide şirketlerinin yayınları okuyuculara ulaştıran son satıcılar ile herhangi bir sözleşmesel ilişki içerisine girmediği ve son satıcılara yönelik dağıtım, pazarlama ve satış faaliyetlerini yetkili satıcıların yürüttüğü,
  • Yetkili satıcılar tarafından yayınların Türkiye geneline dağıtımı, pazarlanması ve satış süreçlerinin sağlanması adına dağıtım bilgi sistemi (DBS) kullanıldığı, yetkili satıcıların DBS’ye tanımlanması ile erişim/kullanım hakkı tanındığı, yetkili satıcının yetkili olduğu il dahilinde yer alan son satıcıları kendi inisiyatifinde olmak üzere belirleyip anlaşma yaptığı ve son satıcılardan elde edilen bilgilerin DBS’ye girilmesi suretiyle son satıcı kayıtlarının yapıldığı, 
  • Yetkili satıcıların yalnızca kendileri tarafından kaydedilen bilgilere erişim imkânının bulunduğu, öte yandan son satıcıların DBS’ye herhangi bir erişiminin bulunmadığı, 
  • DBS’ye kaydedilen son satıcı bilgilerinin, şirketlerinden bağımsız bir şekilde ve herhangi bir yönlendirmede bulunulmadan elde edildiği, yetkili satıcıların söz konusu veriler üzerinde tam bir hâkimiyete sahip oldukları, bu bilgileri kendi inisiyatifleri doğrultusundaki süreçler/faaliyetler dahilinde belirledikleri amaçlar ile işledikleri, gerek gördüklerinde diledikleri gibi değiştirebildikleri ve silebildikleri, 
  • Şirketlerinin gerek DBS gerek başka bir vasıtayla yetkili satıcılara ve mevcut ya da potansiyel son satıcılara ilişkin herhangi bir bilgi toplamadığı ve aktarmadığı, dolayısıyla son satıcılara ait herhangi bir iletişim bilgisinin yetkili satıcılara sağlanması gibi bir uygulama bulunmadığı,
  • DBS’ye girilen bilgilerin doğru, güncel ve eksiksiz olma sorumluluğunun son satıcılar ile doğrudan hukuki/ticari ilişki içerisinde bulunan yetkili satıcılara ait olduğu, zira DBS’ye şirket yetkilileri dışında yalnızca yetkili satıcıların doğrudan erişiminin olduğu; ayrıca şirketlerinin yetkili satıcı sözleşmesi ile ilgili mevzuat hükümlerine uygun faaliyette bulunulması ve bu kapsamda gereken tedbirlerin alınması konusunda yetkili satıcılara sorumluluk yüklediği, 
  • DBS’nin, sunduğu raporlama imkânı ile yetkili satıcının doğrudan DBS üzerinden resmi bir irsaliye/fatura oluşturmasının mümkün olmadığı, DBS üzerinden doğrudan son satıcılar ile iletişime geçilmesini sağlayan (e-posta gönderimi, fatura gönderimi, irsaliye gönderimi gibi) herhangi bir hizmetin de sunulmadığı, yine herhangi bir üçüncü parti yazılımı (e-fatura, e-arşiv sistemleri, CRM gibi) ile entegrasyonun da bulunmadığı,
  • Şirketlerinin yetkili satıcıların son satıcılar nezdinde yapmış olduğu planlama, dağıtım ve iade operasyonlarını DBS üzerinden takip ettiği, bu operasyonlar dahilinde sisteme girilen satış bilgileri dikkate alınarak tiraj tahminlerini yaptığı, basım, üretim ve planlama süreçlerini yönettiği,
  • Somut olayda da yetkili satıcının markete ilişkin kendi fatura süreçleri dahilinde ve veri sorumlusu olarak işlediği e-posta verisini yaptığı hata sonucu e-fatura hizmeti sistemine hatalı şekilde aktardığı, zira son satıcı bilgilerinin kaydedildiği DBS üzerinden yalnızca ön muhasebe işlemlerinin yapılabildiği, e-fatura işlemlerinin üçüncü taraflara ait sistemler üzerinden gerçekleştirildiği,
  • Yetkili satıcının, yayınların son satıcılar nezdindeki planlama, dağıtım ve iade operasyonlarını yürütmesi kapsamındaki faturalama süreçlerinde ve dolayısıyla şikâyete konu olay özelinde e-posta verisinin işlenmesi faaliyeti bakımından şirketlerinden bağımsız şekilde ayrı bir veri sorumlusu sıfatı ile hareket ettiği, işlenecek kişisel veriler bakımından emir veya talimat almadığı, e-posta verisinin DBS dahilinde kaydedilmesi gereken zorunlu bir veri dahi olmadığı ifade edilmiştir. 

Kişisel Verileri Koruma Kurulu tarafından yapılan değerlendirmeler neticesinde:

  • Şikâyette bulunulan ilk pazarlama şirketinin ilgili kişiye tarafı olmayan faturaların gönderilmesi faaliyetinde herhangi bir ilgisi ve sorumluluğunun bulunmadığı kanaatine varıldığından hakkında yapılacak bir işlem olmadığına,
  • Son satıcı olan market sahibi ile ilgili kişinin e-posta adresi benzerliği sebebiyle veri işleyen yetkili satıcı tarafından sehven ilgili kişinin e-posta adresinin sisteme kaydedilerek herhangi bir kasıt bulunmaksızın işlendiği ve ilgili kişinin faturaların tarafına gönderilmemesi yönündeki talebinin gerekli düzeltme yapılarak yerine getirildiği dikkate alındığında veri sorumlusu ikinci pazarlama şirketi hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına,
  • Veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına Kanun’a aykırı şekilde gönderilen üçüncü kişilere ait kişisel veriler hakkında e-posta gönderilmesi hususunda gerekli teyit mekanizmalarının kurulmasının uygun olacağının veri sorumlusu ikinci pazarlama şirketine hatırlatılmasına karar verilmiştir. 

3)”Özel nitelikli kişisel sağlık verisi niteliğindeki bağımlılık yapıcı madde testinin sonuçlarının ilgili kişilerin açık rızası alınmaksızın veri sorumlusu özel bir sağlık kuruluşu tarafından ilgili kişilerin işyerinde görevli üçüncü bir kişiye ait e-posta adresine gönderilmesi” hakkında Kişisel Verileri Koruma Kurulu’nun 22/06/2022 tarihli ve 2022/594 sayılı Karar Özeti

İlgili kişinin şikâyetinde özetle:

  • İşveren bünyesindeki tüm çalışanlar gibi hiçbir sebep ve açıklama olmaksızın baskıyla uyuşturucu testine zorlandığı, evlerinden çağrılarak veri sorumlusu özel sağlık kuruluşunda test yaptırıldığı, 
  • Testin yapılması sırasında iletişim bilgileri alınmadığı gibi test sonuçlarının hukuka aykırı olarak işyerindeki bir personele ait e-posta adresine gönderilerek kişisel sağlık verilerinin kendilerinden izin alınmaksızın ve hiçbir aydınlatma yapılmaksızın, açık rızaları dışında üçüncü bir kişiye aktarıldığı, 
  • Konu ile ilgili olarak yapılan başvurulara istinaden veri sorumlusu tarafından verilen cevapta ilgili kişilerin, çalıştıkları kurumun işvereni olarak bildirdikleri üçüncü kişi ile birlikte laboratuvar birimine gelerek bağımlılık yapıcı madde taraması yaptırmak istediklerini beyan ettikleri, her hastaya yapıldığı gibi kayıt aşamasında T.C. kimlik numarası, doğum tarihi, telefon numarası ve sonucun bildirileceği e-posta adresinin istenerek kayıt işlemlerinin yapıldığı, bahsi geçen hastaların ödemesinin beraber geldikleri işverenleri tarafından yapıldığı, hastaların yanında duyabilecekleri şekilde ve kameraların önünde kendi rızaları ile sözlü olarak onay alındıktan sonra işverene ait e-posta adresinin, sonuçların gönderilmesi için kayıtlara işlendiği ve bu duruma hiçbir itirazının olmadığı, kişisel verilerin işlenmesindeki amacın tüm sağlık kuruluşlarında olduğu gibi kişiye özel bir kayıt oluşturmak ve çalışan test sonuçlarını raporlamak olduğunun beyan edildiği, 
  • Diğer arkadaşlarından öğrendikleri şekliyle, test sonrasında şikâyette belirtilen üçüncü kişinin sonuçların kendisine gönderilmesini istediğini ve kayıt alan kişinin de hiçbir açık rıza beyanı almaya gerek duymaksızın verilen bilgiyi kayda aldığı,
  • Her ne kadar veri sorumlusu sağlık kuruluşu tarafından verilen cevap yazısında işverenleri olduğu belirtilen söz konusu kişinin işverenleri olmadığı, sonuç olarak tetkik sonuçlarının taraflarına gönderilmek yerine üçüncü bir kişiye gönderildiği ifade edilerek gereğinin yapılması talep edilmiştir.

Veri sorumlusunun savunmasında özetle:

  • İlgili kişilerin bağımlılık yapıcı madde tarama testi yaptırmak için şikâyette belirtilen üçüncü kişi ile kliniğe başvurduğu, bunun ardından standart hasta kayıt kabul prosedürü gereği kayıt sürecinin başlatıldığı,
  • İlgili kişilerden alınan bilgiler çerçevesinde kayıt oluşturularak işlemin başlatıldığı, tüm bilgilerin ilgili kişilerin açık beyanı üzerine kayıt altına alındığı, işlem ödemesinin anılan üçüncü kişi tarafından yapılacağının beyan edildiği, ilgili kişiler tarafından söz konusu testlerin rıza dışında yaptırıldığına ilişkin bir geri bildirimde bulunulmadığı, ödeme alınarak ve faturası ilgili adına düzenlenerek test sürecinin başlatıldığı,
  • Laboratuvar işleyişinde ilgili kişilerin beyan ettiği adres, telefon ve e-posta adresi gibi bilgiler iletişim adresi kabul edilerek tüm bildirimlerin anılan adrese yapıldığı, ilgili kişilerin kayıt esnasında kendi rızasıyla üçüncü kişiye ait e-posta adresini verdiği, 
  • İlgili kişilerin veri sorumlusu hakkında somut olayla ilgili açtığı manevi tazminat davasının devam ettiği,
  • Sağlık hizmeti sunucusunun banko, gişe ve masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda yakın konumda hizmet alanların birbirlerine ait kişisel verilerini duymalarını, görmelerini, öğrenmelerini veya ele geçirmelerini engelleyecek nitelikte gerekli fiziki, teknik ve idari tedbirleri almakla; tahlil ve tetkik sonuçları gibi hastaya ait kişisel sağlık verilerini içeren basılı materyal üzerinde gerekli kısmi kimliksizleştirme veya maskeleme tedbirlerini uygulamakla ve söz konusu materyalin yetkisiz kişilerin eline geçmesi halinde kime ait olduğunun tespit edilmesini zorlaştıracak tedbirleri almakla yükümlü olduğu,
  • Kişisel sağlık verilerinin hasta yakınları ile paylaşımında, KVKK ilkelerine aykırılık teşkil etmeyecek şekilde, bilginin, mümkün olduğunca sade şekilde, tereddüt ve şüpheye yer verilmeden, hastanın sosyal ve kültürel düzeyine uygun olarak anlayabileceği şekilde verildiği,
  • Hastanın kendisinin bilgilendirilmesinin esas olduğu, hastanın kendisi yerine bir başkasının bilgilendirilmesini talep etmesi halinde, bu talebin kişinin imzası ile yazılı olarak kayıt altına alınmak kaydıyla yerine getirildiği, bilgilendirmenin uygun ortamda ve hastanın mahremiyeti korunarak yapıldığı hususları bildirilmiştir. 

İlgili kişilerin işvereninin savunmasında özetle:

  • Bünyesinde çalışan personelden edinilen bilgi ile mağazanın alt katındaki depodan koku geldiğinin öğrenildiği, bu kokunun uyuşturucu dumanı kokusu olabileceğinin anılan üçüncü kişi personele iletildiği, bu iddia karşısında personellerin uyuşturucu testi yaptırmasının uygun olacağının karşılıklı olarak kararlaştırıldığı,
  • İki personelin yaşlarından, bir personelin ise durumu bildiren kişi olmasından ötürü test sürecinden hariç tutulduğu, gönüllü olarak uyuşturucu testi yaptırmak isteyen beş personelden birinin hastalığını gerekçe göstererek test yaptırmadığı, kalan personelin ise ilgili testi yaptırdığı, 
  • Bahsi geçen personel test verdikten sonra sağlık kuruluşunda görevli bir kişinin test sonuçlarının hangi e-posta adresine gönderileceğini sorduğu, bunun üzerine personelin, test sonuçlarının anılan üçüncü kişinin e-posta adresine gösterilmesine sözlü olarak rıza gösterdiği, bu sebeple anılan üçüncü kişinin e-posta adresini klinikteki görevliye verdiği, 
  • Test sonuçlarının gönderildiği tarihte veri sorumlusu tarafından test veren personele gösterildiği ve sonrasında test sonuçlarını içeren e-postanın anılan üçüncü kişi tarafından derhal silindiği, 
  • Kanun’a aykırı bir durumun söz konusu olmadığı, personelin ilgili işlemi kendi rızası ile yaptığı, ilgili tarihte anılan üçüncü kişinin herhangi bir yetkisinin bulunmadığı, mağaza çalışanı olarak görev yaptığı, üçüncü kişinin e-postasının kliniğe kendisi tarafından bildirilmediği ve olayla ilgili herhangi bir hukuki ve cezai sorumluluğunun bulunmadığı ifade edilmiştir. 

Kişisel Verileri Koruma Kurulu tarafından yapılan değerlendirmeler neticesinde:

  • İlgili kişilere ait özel nitelikli kişisel verilerin veri sorumlusu sağlık kuruluşu tarafından ilgili kişilerin işyerinde görevli üçüncü bir kişiye ait e-posta adresine gönderilmek suretiyle paylaşılması şeklindeki veri işleme faaliyetine ilişkin olarak açık rızanın bulunduğu ifade edilse de açık rızayı kanıtlayıcı mahiyette herhangi bir bilgi ya da belgenin Kurum’a iletilmediği, bu anlamda veri sorumlusunun söz konusu veriyi Kanun’da yer alan herhangi bir veri işleme faaliyetine dayanmaksızın paylaştığı,
  • Dolayısıyla kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı kanaatine varıldığından,
  • Söz konusu ihlalden etkilenen kişi sayısının ilgili kişilerle sınırlı kalmadığı, ilgili veri işleme faaliyetinde kişilerin özel nitelikli kişisel veri niteliğini haiz sağlık verilerinin işlendiği, veri sorumlusunun yaklaşık 600’e yakın çalışan ile birçok ilde sağlık hizmetleri verdiği hususları da dikkate alınarak hakkında 75.000 TL idari para cezası uygulanmasına karar verilmiştir.

4) “İlgili kişinin Resmî Gazete’nin internet sayfasından erişilebilen bir ilana ilişkin olarak arama motorunda adı ve soyadı ile yapılan aramada ulaşılan sonuçların indeksten çıkarılması talebi” hakkında Kişisel Verileri Koruma Kurulu’nun 10/11/2022 tarihli ve 2022/1201 sayılı Karar Özeti

İlgili kişinin şikâyetinde özetle:

  • İlgili kişinin ismi ile veri sorumlusu arama motoru üzerinden arama yapıldığında https://www.resmigazete.gov.tr/arsiv/*****.pdf sayfasına ulaşıldığı, ilgili kişinin ismiyle yapılan arama sonucunda çıkan sayfanın “unutulma hakkı” kapsamında kaldırılmasının veri sorumlusundan talep edildiği, ancak taraflarına verilen yanıtta “içeriğin engellenmemesine” karar verildiğinin bildirildiği hususları beyan edilerek ilgili kişinin ismiyle veri sorumlusu arama motoru üzerinde arama yapıldığında ilgili adresin çıkmamasının sağlanması için gereğinin yapılması talep edilmiştir.

Veri sorumlusunun savunmasında özetle:

  • https://www.resmigazete.gov.tr/arsiv/*****.pdf adresine ilişkin olarak ilgili kişinin öncelikle veri sorumlusu tarafından unutulma hakkına dayalı taleplerini iletmek isteyen ilgili kişiler için sağlanan etkili bir kanal olan çevrimiçi form aracılığıyla başvurduğu ve talebinin kayıt altına alındığı,
  • İlgili kişinin talebinin süresi içinde ve Kurul tarafından öngörülen kriterler kapsamında değerlendirildiği, ilgili kişinin adının arama sonuçlarından kaldırılmasındaki mahremiyet menfaati ile halkın bilgiye erişim hakkı dahil ifade özgürlüğü arasında denge testi yapıldığı, tüm koşulları değerlendirdikten sonra menfaat dengesinin arama sonuçlarında kalmasından yana olduğu sonucuna vardığı ve değerlendirmenin sonucuna ilişkin olarak ilgili kişiyi bilgilendirdiği,
  • Veri sorumlusu olarak üçüncü kişi internet sayfalarında sunulan beyanların doğruluğunu veya yanlışlığını değerlendirmeye uygun bir konumda olmadığı, dolayısıyla kamu menfaati için önem arz eden ancak halihazırda yanlış veya hakaretamiz olduğu iddia edilen ifadelerin ele alınması için uygun yöntemin mahkemelerin delilleri değerlendirmesi ve maddi gerçeklikleri tespit etmesi olduğu, unutulma hakkı konusunda rehber olarak Kurul’un 23/06/2020 tarihli ve 2020/481 sayılı kararındaki kriterlerin dikkate alındığı,
  • İlgili kişinin başvurusuna konu olan https://www.resmigazete.gov.tr/arsiv/*****.pdf uzantılı URL adresinin birden çok ilan içeren **/**/2000 tarihli Resmî Gazete’ye ilişkin olduğu, Resmî Gazete’nin **. sayfasında ilgili kişinin bazı suçlara istinaden yapılan bir yargılamadan beraat ettiğine dair karara ilişkin bir tebliğin yer aldığı, ayrıca ilgili kişinin ikametgahının ve iş yeri adresinin tespit edilememesi nedeniyle kararın ilgili kişiye tebliğ edilemediğinin, Tebligat Kanunu’nu uyarınca kararın Resmî Gazete’de yayımı tarihinden itibaren 15 gün sonra davalıya tebliğ edilmiş sayılacağının belirtildiği, bu kapsamda söz konusu içeriğin Resmî Gazete’de yayınlanan ve herkesin erişimine açık bir ilan olduğu, Resmî Gazete’nin mevcut durumda olduğu üzere resmî tebligat veya kişilerin yokluğunda bir bildirim aracı olduğu gibi belirli durumlarda hukukun uygulanmasının yanı sıra arşiv ve bilgi almanın temel bir aracı olduğu,
  • İçeriğin ilgili kanunların emrettiği şekilde Resmî Gazete’de yayınlanan bir mahkeme kararı ilanı olduğu dikkate alındığında veri sorumlusunun aksi yönde bir eyleminin hukuk ve uygulaması açısından elzem bilgileri edinmek isteyebilecek çok sayıda kişinin Anayasa’da düzenlenen temel haklarının ihlali sayılabileceğinin değerlendirildiği, 
  • Söz konusu ilanın dayanağı Tebligat Kanunu olduğundan bu bilginin işlenmesinin açıkça kanun tarafından öngörüldüğü ve işleme faaliyetinin aynı zamanda Kanun uyarınca muafiyetlerden “kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi” kapsamında değerlendirilebileceği açıklamalarına yer verilmiştir.

Kişisel Verileri Koruma Kurulu tarafından yapılan değerlendirmeler neticesinde:

  • Şikâyete konu Resmî Gazete sayfasının veri sorumlusu arama motoru üzerinden ilgili kişinin ismi ile ilişkilendirilerek indekslenmesindeki veri işleme faaliyetinin amacının ilgili içeriğin kamu bilgisine sunulması değil ilgili kişiye tebliğin yapılmasının sağlanması olduğu, bununla birlikte Tebligat Kanunu kapsamında ve Resmî Gazete’de belirtildiği üzere söz konusu içeriğin ilan tarihinden itibaren 15 gün sonra tebliğ edilmiş sayılacağı, bu anlamda ilgili kişiye tebliğ amacının gerçekleştiği, bununla birlikte ilgili kişinin bir şirketin yönetim kurulu üyesi ve başkanı olduğu ancak söz konusu içeriğin ilgili kişinin iş yaşamına ilişkin olmadığı, ayrıca içerikte yer alan verilerin işlenmesindeki amacın ilgili içeriğin kamu bilgisine sunulması değil ilgili kişiye tebliğinin sağlanması olduğu dikkate alındığında yayınlanmasında kamu yararı bulunmadığı, arama sonuçlarının öznesinin çocuk olmadığının açık olduğu, şikayete konu adreste yer alan Resmî Gazete’nin ve mahkeme kararının üzerinden 20 yıldan fazla süre geçmiş olduğu ve bu anlamda içeriğin güncelliğini yitirdiği, her ne kadar içerikte yer alan bilgi ilgili kişinin üzerine atılı suçtan mahkeme kararıyla beraat ettiğinin teyidi olsa da ilgili kişi hakkında önyargıya sebep olabileceği, içeriğin ilgili kişinin kendisi tarafından yayınlanmadığı, içeriğin gazetecilik faaliyeti kapsamında işlenen verileri içermediği değerlendirildiğinden, ilgili kişinin ad ve soyadıyla yapılan arama sonucunda çıkan adresin ilgili kişinin ad ve soy adıyla ilişkilendirilemeyecek şekilde indeksten çıkarılması hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Stj. Av. Cemre Zeynep EROĞUZ

TARLAN AVUKATLIK BÜROSU

                                                                   AV. AYLİN TARLAN

Leave a comment