KİŞİSEL VERİLERİ KORUMA KURULUNUN GÜNCEL KARAR ÖZETLERİ

  

1.“Bir tasarruf finansman şirketi tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmaksızın işlenmesi ve ilgili numaraya reklam içerikli SMS gönderilmesi”

 

Tarih  : 10/02/2022

 

Sayı     :2022/107

 

Kararda, ticari elektronik iletiye ilişkin ayrı bir mevzuat bulunmakla birlikte somut olayda olduğu gibi ilgili kişiye ait cep telefon numarasının bir veri kayıt sisteminde depolanması suretiyle ticari nitelikli iletiler gönderilmesinin bir kişisel veri işleme faaliyeti olduğu, dolayısıyla ticari nitelikli bir elektronik iletinin ticari elektronik ileti gönderilmesine ilişkin mevzuata uygun olarak gönderilmesi gerekmekle birlikte, bu mesajların iletilmesi için kullanılan iletişim numarasının kişisel veri niteliğinde olması nedeniyle ticari elektronik iletilerin gönderilmesi süreçlerinin aynı zamanda kişisel verilerin korunması mevzuatına da uygun olması gerektiği belirtilmiştir.

Somut olayda, veri sorumlusu tarafından sunulan bilgi ve belgeler çerçevesinde  İleti Yönetim Sistemi’ne (“İYS”) kaydının yapılmasına temel teşkil edecek nitelikte ilgili kişinin veri sorumlusu ile bir ilişkisinin olduğunun tespit edilemediği veya veri sorumlusu tarafından ilgili kişinin kişisel verisinin işlenmesi hususunda açık rızasının olduğunun tevsik edilemediği dikkate alınarak, 6698 sayılı Kişisel Verilerin Korunması Kanun’un (“Kanun/6698 sayılı Kanun”) 12’nci maddesinin (1) numaralı fıkrası çerçevesinde gerekli teknik ve idari tedbirleri almadığı kanaatine varılan; veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 75.000 TL idari para cezası uygulanmasına karar verilmiştir.

Karar özetinin tam metnine buradan ulaşabilirsiniz.

2.“Bir teknoloji şirketi tarafından ilgili kişinin kişisel verilerinin açık rızası olmaksızın yurt dışına aktarılması”

Tarih  :17/03/2022

Sayı     :2022/249

Kararda, uygulamada veri sorumluları tarafından gizlilik politikası adı altında belgeler hazırlanıp ilgili kişilerin dikkatine sunuluyor olsa da Kanun’da ve ilgili diğer mevzuatta veri sorumluları tarafından gizlilik politikası hazırlanmasına dair bir yükümlülüğün yer almadığı, ilgili kişilerin kişisel verilerinin işlenmesiyle ilgili bilgilendirilmesi hususunda veri sorumlularının asli sorumluluğunun; kişisel verilerin ilgili kişiden elde edildiği durumlarda kural olarak kişisel veri işleme faaliyetinden önce aydınlatma yükümlülüğünün yerine getirilmesi olduğu ifade edilmiştir.

Veri sorumlusu tarafından sunucuları yurt dışında bulunan sistemin kullanılması aracılığıyla kişisel verilerin yurt dışına aktarılması faaliyetinin gerçekleştirildiği, söz konusu faaliyet gerçekleştirilmeden önce aktarım yapılacak ülkede yeterli korumanın sağlanacağına ilişkin bir taahhütnamenin Kurula sunulmadığı tespit edilmiştir.

Yurt dışına aktarım faaliyeti bakımından somut olayda açık rıza dışında bir hukuki sebep bulunmadığı, veri sorumlusu tarafından bu hususta ilgili kişilerden de açık rıza alınmadığı anlaşıldığından Kanun’un 12’nci maddesinin (1) numaralı fıkrası kapsamında uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirlerin alınmadığı kanaatine varılması sebebiyle, veri sorumlusu şirketin birçok ülkede faaliyet gösterdiği ve ekonomik durumu, kişisel verilerin işlenmesinde kullanılan uygulama ve internet sitesi aracılığıyla toplanan çok sayıda kişisel verinin hukuka aykırı olarak yurt dışına aktarıldığı, söz konusu fiilden etkilenen ilgili kişilerin fazla olduğu, yurt dışına kişisel veri aktarma fiilinin münferit bir olaydan kaynaklı olarak değil sistemli bir şekilde veri sorumlusu tarafından kasten ve icrai hareketle yapıldığının savunma dilekçesinde ikrar edildiği, kabahat teşkil eden ihlalin ticari amaç kapsamında gerçekleştirildiği ve 6698 sayılı Kanun’un yürürlüğe girdiği tarihin üzerinden 6 sene geçmiş olmasına rağmen yurt dışına aktarım faaliyetinin Kanun’a uygun hale getirilmemiş olduğu dikkate alınarak, veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 950.000 TL idari para cezası uygulanmasına karar verilmiştir.

Karar özetinin tam metnine buradan ulaşabilirsiniz.

3.“İlgili kişiye ait kişisel verileri içeren bir kargo paketinin üçüncü bir şahsın eline geçmesi”

Tarih  :24/03/2022

Sayı     :2022/277

Somut olayda veri sorumlusu tarafından ilgili kişiye ait kulaklığın onarımı için distribütör firmaya gönderilen ve ilgili kişiye ait bazı kişisel verileri içeren belgelerin de koyulduğu kargo paketinin kargo şirketinin hatasıyla konudan bağımsız üçüncü bir şahsa teslim edilmesi neticesinde ilgili kişinin kargo paketi içerisindeki kişisel verilerinin kanuni olmayan bir yolla konudan bağımsız üçüncü bir kişi tarafından elde edilmiş olduğu anlaşılmıştır.

Ancak olayın tüm şartları ve Kanun’un 12’nci maddesinin (5) numaralı fıkrasının amacı gözetildiğinde, ayrıca konuya ilişkin ilgili kişinin bilgisi olduğu dikkate alındığında; veri sorumlusu hakkında Kanun hükümleri dâhilinde yapılacak herhangi bir işlemin bulunmadığına, ancak gelecekte yaşanabilecek benzer olaylar için Kanun’un 12’nci maddesinin (5) numaralı fıkrası uyarınca en kısa sürede hem ilgilisine hem de Kurula bildirimde bulunması konusunda veri sorumlusunun talimatlandırılmasına ve ilgili kişinin şikâyetine esas olaylar ve bu olaylardaki rolü ile Kanun’un “Kapsam” başlıklı 2’nci maddesi dikkate alındığında, kargo içeriğine hâkim olması kendisinden beklenemeyecek kargo şirketinin kargo içeriği açısından veri sorumlusu veya veri işleyen sıfatlarını haiz olmayacağı ve bu yüzden somut olayda Kanun hükümlerine istinaden herhangi bir sorumluluğunun bulunmadığı anlaşılan kargo şirketi hakkında Kurul tarafından yapılacak herhangi bir işlemin bulunmadığına karar verilmiştir.

Karar özetinin tam metnine buradan ulaşabilirsiniz.

 

 

4.“İlgili kişi ile ilgisi bulunmayan bir işletme adına düzenlenmiş e-faturaların, ilgili kişinin e-posta adresine gönderilmesi”

Tarih  : 07/04/2022

Sayı     :2022/325

İlgili kişinin Kuruma intikal eden şikâyetinde özetle; bir pazarlama şirketinin Trabzon bölge müdürlüğü yetkilileri tarafından bir market adına düzenlenmiş e-faturaların ilgili kişinin kullanmakta olduğu e-posta adresine 13/01/2020 tarihinden 20/04/2020 tarihine kadar on beş kez gönderildiği, ilgili kişinin adına fatura düzenlenen market ile bir ilgisinin bulunmadığı, bu durum çeşitli iletişim kanalları üzerinden söz konusu şirkete bildirilmesine rağmen faturaların tarafına iletilmeye devam ettiği belirtilerek gereğinin yapılması talep edilmiştir. 

Fatura işlemlerinin yetkili satıcı tarafından gerçekleştirildiği belirtilmekle birlikte söz konusu işlemlerin ikinci pazarlama şirketi ile yetkili satıcı aralarındaki sözleşmenin yerine getirilmesi amacıyla gerçekleştirildiği, DBS’ye hangi verilerin girişinin yapılacağına ikinci pazarlama şirketi tarafından karar verildiği, şirketin fatura düzenlenmesi ve tebliğ edilmesi sürecinde hangi teknik ve organizasyonel araçların kullanılacağını yetkili satıcının takdirine bırakmış olmasının yetkili satıcı bakımından ayrı bir veri sorumluluğu doğurmayacağı, yetkili satıcının fatura süreçleri kapsamında gerçekleştirdiği işlemlerde sözleşme maddelerinin dışına çıkarak kendi işleme amaçlarını belirlemediği dikkate alındığında ikinci pazarlama şirketinin veri sorumlusu, yetkili satıcının ise bu şirket adına veri işleyen olarak kişisel veri işlediğinin tespit edilmiştir.

Şikâyette bulunulan ilk pazarlama şirketinin ilgili kişiye tarafı olmayan faturaların gönderilmesi faaliyetinde herhangi bir ilgisi ve sorumluluğunun bulunmadığı kanaatine varıldığından hakkında yapılacak bir işlem olmadığına, son satıcı olan market sahibi ile ilgili kişinin e-posta adresi benzerliği sebebiyle veri işleyen yetkili satıcı tarafından sehven ilgili kişinin e-posta adresinin sisteme kayıt edilerek herhangi bir kasıt bulunmaksızın işlendiği tespit edilmiştir.

İlgili kişinin faturaların tarafına gönderilmemesi yönündeki talebinin gerekli düzeltme yapılarak yerine getirildiği dikkate alındığında veri sorumlusu ikinci pazarlama şirketi hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına, veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına Kanuna aykırı şekilde gönderilen üçüncü kişilere ait kişisel veriler hakkında Kişisel Verileri Koruma Kurulunun 22/12/2020 tarih ve 2020/966 sayılı İlke Kararı kapsamında e-posta gönderilmesi hususunda gerekli teyit mekanizmalarının kurulmasının uygun olacağının veri sorumlusu ikinci pazarlama şirketine hatırlatılmasına karar verilmiştir.

Karar özetinin tam metnine buradan ulaşabilirsiniz.

5.“İlgili kişinin kişisel verilerinin yer aldığı ihtarnamenin, bordrolama hizmeti sunan veri sorumlusu tarafından başka çalışanlara da gönderilmesi”

Tarih  :07/04/2022

Sayı     :2022/328

Kuruma intikal eden şikâyette özetle; ilgili kişinin ücretsiz izne gönderildiğine dair veri sorumlusu tarafından kendisine bir ihtarname iletildiği, söz konusu ihtarnamenin yedi kişiye daha gönderildiği, ihtarnamede T.C. kimlik numarası ve adresinin bulunması nedeniyle ilgili kişinin kişisel verilerinin alenen ifşa edildiği belirtilerek gereğinin yapılması talep edilmiştir.

Somut olayda, veri sorumlusu tarafından ilgili kişinin ve diğer yedi çalışanın bilgilerine aynı ihtarnamede yer verilmiştir. Senetler düzenleme ve onaylama şeklinde hazırlanabilmekle birlikte söz konusu belgenin noterlik tarafından “onaylama” şeklinde gerçekleştirildiği görülmüş ve ilgili kişinin kişisel verilerine ek olarak yedi çalışanın da kişisel verilerinin toplu bir şekilde aynı ihtarnamede yer almasından dolayı her birinin kişisel verilerinin birbirleriyle paylaşıldığı anlaşılmıştır.

Kanun’un 5’inci maddesinde yer alan herhangi bir işleme şartına dayanmaksızın gerçekleşen kişisel veri işleme faaliyetinin Kanun’un 12’nci maddesinin (1) numaralı fıkrası hükmüne aykırı olduğu değerlendirildiğinden veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına karar verilmiştir.

Karar özetinin tam metnine buradan ulaşabilirsiniz.

6.“Veri sorumlusu bünyesinde çalışan bir kişinin iş akdinin sonlandırılması hususunun veri sorumlusuna ait sosyal medya hesabında paylaşılması”

Tarih  :21/04/2022

Sayı     :2022/386

İlgili kişi tarafından Kuruma iletilen şikâyet dilekçesinde özetle; veri sorumlusu bünyesinde şirket müdürü olarak çalışmakta iken iş akdinin haksız şekilde sonlandırıldığı ve veri sorumlusuna ait sosyal medya hesabında “... Yaptığı usulsüzlükler nedeni ile işten ATILAN …..’ın sizlere vermiş olduğu rahatsızlıktan dolayı özür dileriz...” içerikli bir paylaşım yapıldığı, söz konusu paylaşımın silinmesi, durdurulması ve düzeltme metni yayınlanması için 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun ve 6698 sayılı Kanun gereği veri sorumlusuna ihtarda bulunduğu ancak tarafına cevap verilmediği, herhangi bir mahkeme kararı ve rızası olmadan yapılan bu duyurudan şikayetçi olduğu belirtilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.

Somut olayda, ilgili kişinin açık ad ve soyadı ile ilgili kişi hakkındaki ithamları da içeren duyurunun sadece şirket müşterilerinin değil herkesin erişimine açık şekilde şirketin sosyal medyada yer alan kurumsal hesabında/sayfasında yayınlandığı, bu çerçevede, veri sorumlusunun sosyal medyadaki kurumsal hesabı/sayfasının sadece şirketin müşterilerine özel bir ortam olmadığı, herkese açık bir platform olduğu dikkate alındığında söz konusu eylemin Kanun’un 4’üncü maddesindeki ölçülülük ilkesine aykırılık teşkil ettiği ve ilgili kişinin kişisel verilerinin işlenmesine ilişkin Kanun’un 5’inci maddesi kapsamındaki bir işleme şartına dayanıldığına dair Kuruma somut herhangi bir bilgi, belge sunulmadığı değerlendirilmiş ve 30.000 TL idari para cezası uygulanmasına ve ilgili sosyal medya paylaşımında yer verilen kişisel verilerin imha edilerek sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Karar özetinin tam metnine buradan ulaşabilirsiniz.

7.“Kamu tüzel kişiliğini haiz Birlik tarafından ilgili kişinin kişisel verilerini içeren belgelerin Birliğin vekili tayin edilen avukat ile paylaşılması ve müteakiben söz konusu belgelerin avukat tarafından Baroya aktarılması”

Tarih  :18/05/2022

Sayı     :2022/489

Birlik Başkanlığının ilgili kişinin kişisel verilerini içeren belgeleri Birliğin vekili tayin edilen avukat ile paylaşması ile ilgili olarak; Birliğin kamu tüzel kişiliğini haiz bir kurum olarak taraflarına hasredilen görevleri yerine getirmeleri sürecinde dışarıdan avukatlık hizmeti aldıkları ve bu durumda söz konusu avukat ile ilgili kişiye ait kişisel verileri içeren belgeleri paylaşmalarının Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendi çerçevesinde değerlendirilebileceği kanaatine varıldığından ilgili kişinin Birlik hakkındaki şikâyeti ile ilgili olarak Kanun kapsamında yapılacak herhangi bir işlem bulunmadığına ve veri sorumlusu sıfatını haiz avukatın ilgili kişinin kişisel verilerini içeren belgeleri yürütülen soruşturma kapsamında Baroya aktarmasının Kanun’un 8’inci maddesine uygun olarak Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendi çerçevesinde gerçekleştirildiği kanaatine varıldığından ilgili kişinin söz konusu avukat hakkındaki şikâyeti ile ilgili olarak Kanun kapsamında yapılacak herhangi bir işlem bulunmadığına karar verilmiştir.

Karar özetinin tam metnine buradan ulaşabilirsiniz.

 

 

8.“Veri sorumlusu bir giyim mağazası için katalog modeli olarak çalışan ilgili kişinin fotoğraflarının, iş ilişkisinin sona ermesinden sonraki süreçte açık rızası olmaksızın veri sorumlusuna ait internet sitesinde yayınlanmaya devam etmesi”

Tarih  :18/05/2022

Sayı     :2022/491

Somut olayda, ilgili kişi ile veri sorumlusu arasında iş ilişkisinden doğan yazılı olmayan bir sözleşme bulunmaktadır ve bu sözleşme kapsamında ilgili kişinin veri sorumlusu nezdinde fotomodellik yapmıştır. Söz konusu iş ilişkisinin sona ermesi nedeniyle ilgili kişinin veri sorumlusunun internet adresinde yayınlanan fotoğraflarının kaldırılmasını talep etmiştir, ilgili kişinin fotomodellik yaptığı kıyafetlerin stoklarının sona ermesinden sonra söz konusu fotoğrafların kaldırıldığı görülmüştür.

İlgili kişinin fotoğraflarının ilgili kişi ile veri sorumlusu arasındaki sözleşmeye istinaden Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendi çerçevesinde internet sitesinde yayınlamak suretiyle işlendiği dikkate alındığında veri sorumlusu şirket hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

Karar özetinin tam metnine buradan ulaşabilirsiniz.

 

 

9.“İlgili kişinin kişisel verilerinin hesabının bulunmadığı veri sorumlusu banka tarafından aydınlatma yükümlülüğü yerine getirilmeksizin ve açık rızası alınmaksızın işlenmesi”

Tarih  :02/06/2022

Sayı     :2022/545

 

Somut olayda ilgili kişinin daha önce bankada hiçbir hesabının olmadığı ve hiçbir işlem yapmadığı, bankaya gönderilen T.C. kimlik numarası ve cep telefonu numarası için veri sorumlusu bankanın ilgili kişiye yönelik herhangi bir aydınlatmada bulunmadığı, bu banka ile irtibatı bulunmayan bir kişi olmasına karşın veri sorumlusunun ilgili kişiye kısa süre içerisinde kredi limiti belirleyebildiği, bu durumun veri sorumlusu banka tarafından ilgili kişinin kişisel verilerinin bilgisi olmaksızın daha önceden işleniyor olduğunu gösterdiği, bu çerçevede veri sorumlusunun aydınlatma yükümlülüğünü yerine getirmediği, ilgili kişinin başvurusuna usulüne uygun bir yanıt verilmediği ve kişisel verileri işlenirken ilgili kişiden açık rıza alınmadığı belirtilmiş ve gerekli işlemlerin yapılması talep edilmiştir.

Veri sorumlusunun ilgili kişiye yönelik aydınlatmada bulunduğu, bu aydınlatmanın Kanun’un 10’uncu maddesi uyarınca hukuken geçerli ve muteber olduğu, ancak içerisinde Aydınlatma Tebliği’nde düzenlenen detay konularda birtakım eksiklikler bulunduğu tespitinin yapıldığı belirtilmiştir.

Veri sorumlusunun; ilgili kişinin T.C. kimlik numarası ve cep telefonu verisini Kimlik Paylaşım Sistemi (“KPS”) aracılığıyla MERNİS ve nüfus kayıtlarıyla eşleştirerek doğruladığı, bu bilgileri Kredi Kayıt Bürosu ve Türkiye Cumhuriyet Merkez Bankası’na aktararak kredi performansı ve çek, haciz bilgileri ile risk analizi yaptığı ve kredi sorgulaması amacıyla TBB Risk Merkezi’ne gönderdiği ve bu sonuçları otomatik algoritmalar ile hesaplayarak ilgili kişiye bir kredi miktarı çıkardığı, veri sorumlusunun bu hesaplamaları kendi nezdinde önceden tutulmuş hiçbir veri olmaksızın yaptığının anlaşıldığı, bu doğrultuda ilgili kişinin iddialarının gerçeği yansıtmadığı ve bu hususta bir hukuka aykırılık emaresine rastlanamadığı sonucuna varılmıştır.

İlgili kişiye hukuken muteber ve geçerli bir yanıt verilmiş ise de bu yanıtın aydınlatma yükümlülüğü ile ilgili yukarıda arz edilen detaylardan yoksun olduğunun ve bu haliyle ilgili kişinin taleplerine yönelik tam ve eksiksiz bir yanıt sağlamaktan uzak olduğunun görüldüğü bu sebeplerle veri sorumlusunun ilgili kişiye karşı tam ve eksiksiz aydınlatma ile ilgili arz edilen şartları sağlayan bir metinle yanıt verme yükümlülüğünü ihlâl ettiğinin anlaşıldığı değerlendirilmiştir. 

Netice itibariyle aydınlatma metninin Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun hale getirilmesi ve sonucundan otuz (30) günlük yasal süre içerisinde Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Karar özetinin tam metnine buradan ulaşabilirsiniz.

 

 

10.“Özel nitelikli kişisel sağlık verisi niteliğindeki bağımlılık yapıcı madde testinin sonuçlarının ilgili kişilerin açık rızası alınmaksızın veri sorumlusu özel bir sağlık kuruluşu tarafından ilgili kişilerin işyerinde görevli üçüncü bir kişiye ait e-posta adresine gönderilmesi”

Tarih  :22/06/2022

Sayı     :2022/594

İlgili kişilere ait özel nitelikli kişisel verilerin veri sorumlusu sağlık kuruluşu tarafından ilgili kişilerin işyerinde görevli üçüncü bir kişiye ait e-posta adresine gönderilmek suretiyle paylaşılması şeklindeki veri işleme faaliyetine ilişkin olarak her ne kadar veri sorumlusu tarafından ilgili kişinin özel nitelikli kişisel verilerinin söz konusu e-posta adresine iletilmesi konusunda açık beyanının bulunduğu ifade edilse de söz konusu açık rızayı kanıtlayıcı mahiyette herhangi bir bilgi ya da belgenin Kuruma iletilmediği tespit edilmiştir.

Veri sorumlusunun söz konusu veriyi Kanun’un 6’ncı maddesinde yer alan herhangi bir veri işleme faaliyetine dayanmaksızın paylaştığı, dolayısıyla kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı ve bu hususun Kanun’un 12’nci maddesinin (1) numaralı fıkrasına aykırılık teşkil ettiği kanaatine varıldığından, söz konusu ihlalden etkilenen kişi sayısının ilgili kişilerle sınırlı kalmadığı, ilgili veri işleme faaliyetinde kişilerin özel nitelikli kişisel veri niteliğini haiz sağlık verilerinin işlendiği, veri sorumlusunun yaklaşık 600'e yakın çalışan ile birçok ilde sağlık hizmetleri verdiği hususları da dikkate alınarak, Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında veri sorumlusu hakkında 75.000 TL idari para cezası uygulanmasına karar verilmiştir.

Karar özetinin tam metnine buradan ulaşabilirsiniz.

11.“İlgili kişinin ameliyat sırasında çekilen fotoğraflarının veri sorumlusu hastanede çalışan bir doktorun sosyal medya hesabında paylaşılması”

Tarih  :29/06/2022

Sayı     :2022/630

İlgili kişinin, veri sorumlusu bünyesinde çalışan doktor tarafından burun estetiği ameliyatında baygın olduğu sırada çekilen görsellerinin açık rızası alınmaksızın sosyal medya hesabında paylaşıldığı iddiasına ilişkin olarak, ilgili kişinin açık rıza gösterdiği tarafın veri sorumlusu hastane olduğu, baygın olduğu esnada çekilen görsellerinin bahsi geçen doktor tarafından paylaşılması konusunda açık rıza beyanının bulunmadığı, bununla birlikte veri sorumlusu hastanenin söz konusu fotoğrafların adı geçen doktor tarafından sosyal medya hesabında paylaşıldığı hususunda bilgisinin bulunduğu, bu itibarla veri sorumlusunun ilgili kişinin kişisel verisi olan görselin adı geçen doktor tarafından sosyal medya hesabında paylaşılmasını önleyici gerekli idari ve teknik tedbirleri almadığı tespit edilmiştir.

Kanun’un 12’nci maddesinin (1) numaralı fıkrası çerçevesinde kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirleri yeterli düzeyde almadığı kanaatine varılması nedeniyle veri sorumlusu hastane hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 100.000 TL idari para cezası uygulanmasına karar verilmiştir.

Karar özetinin tam metnine buradan ulaşabilirsiniz.

 

 

12.“İlgili kişinin, çevrimiçi alışveriş hizmeti veren veri sorumlusundan gerçekleştirdiği alışverişine ilişkin kredi kartı ve cep telefonu bilgilerinin kendisine bildirilmesi talebi”

Tarih  :07/07/2022

Sayı     :2022/653

 

Üyelik hesabından giriş yapıldığında verilen siparişin teslimatının yapılacağı kişinin bilgileri kapsamında halihazırda üçüncü kişinin isim, soy ismi ve adres bilgisine ulaşabildiği, telefon numarasının ise maskeli olarak gösterildiği dikkate alındığında, ilgili kişinin erişim talebinin gerekçesinin makul olması ve bu talep ile bağlantılı dolandırıcılık riski bulunmaması halinde üçüncü kişinin hak ve özgürlüklerinin ilgili kişinin kişisel veriye erişim hakkına üstün gelmediği kanaatine varıldığından, ilgili kişinin üyelik hesabından verilen siparişlerin teslimatı için bildirilen telefon numarasının kimlik doğrulama mekanizmaları aracılığıyla ilgili kişiye sağlanması yönünde veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Karar özetinin tam metnine buradan ulaşabilirsiniz.

 

 

13.“Tasfiye edilmiş şirketin yönetim kurulu üyeleri olan ilgili kişilerin kişisel verilerinin, şirket borcu kapsamında kısa mesaj gönderme ve arama suretiyle veri sorumlusu avukat tarafından hukuka aykırı olarak işlenmesi”

Tarih  :07/07/2022

Sayı     :2022/655

Avukatların uzlaşma amacıyla karşı tarafla iletişim kurduğu anda kendini tanıtması, veriyi nereden temin ettiğinin, ne amaçla iletişim kurduğunun karşı tarafa bildirilmesi hayatın doğal akışı içerisinde değerlendirilebilecekken verilerin ne kadar süreyle işleneceği, hangi yöntemler kullanılarak dosyalandığı/saklandığı gibi hususların bildirilmesinin bu akış içerisinde mümkün olmayacağı belirtilmiştir.

Aynı hususun borçlu ilgili kişilere icra takibi başlatılması ya da dava açılması sürecinde müvekkilden elde edilen karşı taraf bilgilerinin yine vekâlet ilişkisinin yürütülmesi amacıyla işlenmesinde aydınlatma yükümlülüğünün bir veri sorumlusundan uygulanması gereken şekilde yerine getirilmesinin beklenemeyeceği değerlendirilmekle birlikte  bu hususun avukatın aydınlatma yükümlülüğünden muaf olduğu anlamına gelmediği; avukatın, vekâlet ilişkisi kurduğu kişiyi-yani müvekkilini- Kanun’un 10’uncu maddesi hükmü gereğince aydınlatma yükümlülüğü bulunduğu ve  bu veri işleme faaliyetini gerçekleştirirken öğrendiği diğer bilgiler açısından zaten Avukatlık Kanunu gereğince sır saklama yükümlülüğü altında olduğu değerlendirilmiştir.

Bu bağlamda, ilgili kişilerin borcun doğduğu/icra takibinin başlatıldığı dönemde münfesih şirketin yönetim kurulunda yer aldığı, bu hususun da Ticaret Sicil Gazetesi’nde aleni bir şekilde paylaşıldığı, veri sorumlusu avukatın Avukatlık Kanunu ve sair mevzuat çerçevesinde vekâlet ilişkisi içerisinde bulunulan müvekkile ait alacağın tahsili amacıyla ilgili kişilerin ad, soyadı, T.C. kimlik numarası, adresi, telefon numarası gibi verilerini UHAP/bilinmeyen numara servisleri vb. mevzuata uygun faaliyet yürüten yasal platformlar üzerinden edinmesinin ve işlemesinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 5’inci maddesinin (2) numaralı fıkrasının (ç) bendi gereğince veri sorumlusunun vekâlet ilişkisinden doğan hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması şartına ve (e) bendi gereğince alacaklının hak arama hürriyetinin tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması şartına dayandığı dikkate alınarak bu iddia açısından Kanun kapsamında yapılacak bir işlem olmadığına karar verilmiştir.

Karar özetinin tam metnine buradan ulaşabilirsiniz.

 

 

14.“Veri sorumlusu banka tarafından ilgili kişinin kişisel verilerinin açık rızası alınmaksızın bir sigorta şirketine aktarılması”

Tarih  :03/08/2022

Sayı     :2022/768

 

Veri sorumlusunun Kuruma ilettiği savunmasında yer alan ilgili kişinin ticari elektronik ileti gönderimine izin verdiğini gösteren belgenin “Kampanya İletişim Tercihleri Talimatı” olduğu, ilgili talimatın incelenmesi neticesinde “Bankanızın tüm fırsat ve kampanyalarına ilişkin tüm kanallardan tanıtım iletisi almak istiyorum” seçeneğinin, “İleti almak istediğim kanal/kanallar” başlığı altındaki “Hepsi, SMS, telefon, E-mail, adres” seçeneklerinden “Hepsi” seçeneğinin , “İleti almak istediğim ürün/ürünler” başlığı altında “Elementer Sigortayı” (Hayat sigortası dışındaki sigortaların genel adı)  da içerecek şekilde yine “Hepsi” ibaresinin seçili olduğunun tespit edildiği, ilgili kişinin şikâyet konusu özelinde kişisel verilerinin aktarılacağı bilgisinin kendisine sunulmadığı ve bu durumun açık rızanın “bilgilendirmeye dayanma” ilkesine aykırılık teşkil ettiği ve dolayısıyla ilgili belgenin kişisel verilerin aktarılması kapsamında açık rıza örneği teşkil etmediği ifade edilmiştir.

İlgili talimat ekranının en alt kısmında “İşbu formda yer alan “tüm kanal ve ürünler” seçeneğinin seçilmesi suretiyle izin verilen kanal ve ürünler, formun imzalanmasından sonraki bir tarihte Bankaca kullanılabilecek ve/veya tanımlanabilecek kanal ve ürünleri de kapsayacaktır.” ifadesinin yer aldığı, bu ifadenin açık rıza şartlarından “özgür iradeye dayanma” unsuruna uygun olmadığı, geleceğe yönelik muğlak bir ifade olduğu, aynı unsura aykırılık oluşturduğu izlenimi yaratan bir diğer hususun ise ilgili belgede kutucukların otomatik olarak doldurulduğunun gözlemlenmesi olduğu, bu kutucukların ilgili kişinin kendi iradesiyle doldurulduğunun şüphe barındırdığı, zira veri sorumluları tarafından ilgili kişilerden alınacak açık rıza beyanlarında opt-out yani bireyin önceden onayını almaksızın kişisel verilerinin işlenmesine otomatik onay verdiklerinin kabul edildiği ve bu kapsamda kişilere bu onayı kaldırmaları yönünde imkân veren bir sistemin değil, opt-in yani bireyin bilinçli eylemi ile kişisel verilerinin işlenmesine onay vereceği bir sistemin kullanılmasının gerekli olduğu; veri sorumlusunun savunmasında ise, kutucukların ilgili kişi tarafından doldurulduğunu ispatlayıcı herhangi bir ifadeye yer verilmediği belirtilmiştir.

İlgili kişinin kişisel verisi niteliğinde olan telefon numarasının, veri sorumlusu tarafından Kanun’un 5’inci maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanılmaksızın ilgili sigorta şirketine Kanun’un 8’inci maddesine aykırı olarak aktarıldığı; bu minvalde Kanun’un 12’nci maddesinin (1) numaralı fıkrasında öngörülen kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli idari ve teknik tedbirlerin alınması yükümlülüğünün yerine getirilmediği göz önünde bulundurulduğunda veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 250.000 TL idari para cezası uygulanmasına karar verilmiştir.

Karar özetinin tam metnine buradan ulaşabilirsiniz.

 

 

15.“Veri sorumlusu bir e-ticaret sitesinden alışveriş yapan üçüncü kişiye ait sipariş bilgilerinin ilgili kişinin e-posta adresine gönderilmesi”

Tarih  :03/08/2022

Sayı     :2022/774

Veri sorumlusu tarafından taraflara yönelik bir teyit mekanizması kurulmadan satış sözleşmesi ile ilgisiz üçüncü kişi konumundaki ilgili kişiye sipariş bilgilendirmesine dair e-posta gönderilmesi suretiyle kişisel verisinin Kanun’un 5’inci maddesinde yer alan işleme şartlarından herhangi birine dayanılmaksızın işlendiği görülmüştür.

Bu bakımdan Kanun’un 12’nci maddesinin (1) numaralı fıkrasındaki yükümlülüklerin yerine getirilmediği kanaatine varıldığından, veri sorumlusunun 550+ çalışan ve 40.000+ tedarikçi ağından oluşan bir ekiple süreçlerini yürütmekte olduğu, şikayete konu olayda veri sorumlusunun Kanun’un 12’nci maddesindeki yükümlülüklerini yerine getirmeyerek ihmali davranışla e-postanın gönderileceği alıcı gruplarına yönelik bir teyit mekanizması kurmadan uzaktan satış sözleşmesinin tarafı olmayan ilgili kişinin e-posta adresinin işlenmesine, dolaylı olarak e-postada yer alan gönderici ve alıcıya ait bilgilerinin ise ilgili kişiye açıklanmasına sebebiyet verildiği, bu e-postanın yanlış muhataba gönderilmesi halinde hak kaybına yol açabileceği hususları da dikkate alınarak, veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 120.000 TL idari para cezası uygulanmasına karar verilmiştir.

Karar özetinin tam metnine buradan ulaşabilirsiniz.

 

 

16.“Veri sorumlusu bir pazarlama şirketi tarafından çocuğun kişisel verilerinin velisinin açık rızası alınmaksızın tanıtım amaçlı broşür gönderilmesi suretiyle işlenmesi”

Tarih  :03/08/2022

Sayı     :2022/776

 

Pazarlama şirketine ait bir ürün için serbest girişimci olan gerçek kişi tarafından sekiz (8) yaşındaki çocuğa (ilgili kişi) mektup yoluyla tanıtım amaçlı broşür gönderilmesi üzerine çocuğun annesi tarafından 8 yaşındaki kızının kişisel bilgilerine nereden ulaştığı sorulmuştur, ancak yapılan görüşmede karşı tarafça kendisine bir bilgi verilmemiştir. Bu çerçevede velisi tarafından çocuğun ev adresi ve ismi gibi kişisel verilerine nasıl ulaşıldığına ilişkin pazarlama şirketine başvuru yapılmış ancak yine herhangi bir bilgi verilmemiştir.

Bunun üzerine velinin çocuğun kişisel verilerinin işlenmesine ilişkin herhangi bir rızası olmadan ve ticari amaçla tanıtım yapmak amacıyla açık rıza olmaksızın çocuğun kişisel verilerinin işlendiği belirtilerek 6698 sayılı Kanun kapsamında gereğinin yapılması talep edilmiştir.

İlgili kişi adına mektup yolu ile tanıtım amaçlı broşürün gönderilmesi suretiyle ilgili kişinin kişisel verisi niteliğindeki isim ve iletişim bilgilerinin işlenmesinin veri sorumlusu tarafından ibraz edilen faturaya konu sipariş ile bir bağlantısı olmadığı, ilgili kişiye tanıtım amaçlı gönderilen broşürün faturada belirtilen sipariş ile birlikte gönderilmediği, incelemeye konu salt broşür gönderiminin Kanun’da tanımlı işleme şartlarından herhangi birine dayanılmaksızın gerçekleştirildiği tespit edilmiştir. Bu bakımdan Kanun’un 12’nci maddesinin (1) numaralı fıkrasındaki yükümlülüklerin yerine getirilmediği ve kabahate konu eylemin yalnızca bir kez gerçekleştirildiği kanaatine varıldığından, 5326 sayılı Kabahatler Kanunu’nun 17’nci maddesinin (2) numaralı fıkrası uyarınca işlenen kabahatin haksızlık içeriği ile veri sorumlusunun kusuru ve ekonomik durumu birlikte göz önünde bulundurulduğunda veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 30.000 TL idari para cezası uygulanmasına karar verilmiştir.

Karar özetinin tam metnine buradan ulaşabilirsiniz.

 

 

17.“Ev eşyası satan veri sorumlusu tarafından ilgili kişinin telefon numarasının üçüncü bir kişinin borcu için iletişim kurulmak suretiyle işlenmesi”

Tarih  :04/08/2022

Sayı     :2022/787

 

Veri sorumlusu tarafından iletilen cevap yazısında ilgili kişiyi arayan telefon hatlarının şirketlerine ait olduğu kabul edilmiştir. Veri sorumlusu ile üçüncü kişi arasında imzalanan sözleşmede ilgili kişinin numarasından farklı bir telefon numarasının olduğunun görüldüğü, veri sorumlusu tarafından üçüncü kişi müşterinin irtibat numarası olarak ilgili kişinin numarasının bildirildiğine ilişkin herhangi bir kanıt sunulmadığı, ilgili kişiye ait telefonun 2019 yılından 2021 yılına kadar veri sorumlusu tarafından pek çok defa arandığı, bahse konu numaranın asıl borçlu olan  üçüncü kişiye ait olmayıp ilgili kişiye ait olduğunun öğrenilmesine rağmen ilgili kişinin silme talebinin reddedilmesi suretiyle ilgili kişinin aranmasına devam edildiği görülmüştür.

 

İlgili kişinin kişisel verisi niteliğindeki telefon numarasının Kanun’un 4’üncü maddesinde yer alan kişisel verilerin “doğru ve gerektiğinde güncel olma” ile “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine ve Kanun’un 5’inci maddesinde yer alan kişisel verilerin işlenme şartlarına aykırı olarak işlendiği tespit edilmiştir.

Veri sorumlusunun Kanun’un 4’üncü maddesinde yer alan kişisel verilerin “doğru ve gerektiğinde güncel olma” ile “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırı olarak ve Kanun’un 5’inci maddesinde yer alan kişisel verilerin işlenme şartlarından herhangi biri bulunmaksızın ilgili kişiye ait olmadığını bildiği bir borca ilişkin olarak ilgili kişiyi defaatle aramak suretiyle kişisel verisi niteliğindeki telefon numarasını işlemeye devam ettiği göz önünde bulundurulduğunda, Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı hareket ettiği kanaatine varıldığından, arama yapılan telefon numarasının takibi yapılan asıl borçluya değil, söz konusu borçla ilgisi olmayan ilgili kişiye ait olduğunu öğrenmesine rağmen veri sorumlusunun ilgili kişiyi aramaya devam ettiği ve veri sorumlusunun ekonomik durumu dikkate alınarak, Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 200.000 TL idari para cezası uygulanmasına karar verilmiştir.

Karar özetinin tam metnine buradan ulaşabilirsiniz.

 

 

18.“Bir üniversite hastanesi tarafından ilgili kişinin sağlık verilerinin idari bir davaya esas teşkil etmek üzere talebine binaen davalı kamu kurumuna aktarılması”

Tarih  :04/08/2022

Sayı     :2022/790

 

Bir kamu kurumu ile ilgili kişi arasında idare mahkemesi nezdinde yürütülen dava dosyası ile ilgili olarak davalı kamu kurumu tarafından üniversite hastanesinden birtakım bilgilerin talep edilmesi üzerine üniversite hastanesi tarafından ilgili kişiye ait sağlık verilerinin kamu kurumuna teslim edilmiştir.

 

Üniversitenin yapmış olduğu ihlal nedeni ile ilgili kişinin manevi zarara uğradığı ve bu kapsamda manevi tazminat talebinde bulunulduğu, üniversite tarafından yapılan hukuka aykırı eylem nedeni ile hastanede gerçekleşen muayenesi sonucunda ilgili kişi için düzenlenen hasta anamnez formunda belirtilen “… ara sıra tek tük esrar kullanmak zorunda kaldığını söylüyor" içerikli beyan üzerine hakkında Cumhuriyet Başsavcılığına suç duyurusunda bulunulmuştur.

 

Üniversite hastanesinde çalışmakta olan doktorun sorusuna verdiği cevabın doktor tarafından yanlış anlaşılarak hasta muayene bilgilerinin hikaye bölümüne yanlış şekilde yazıldığı, yapılan soruşturma neticesinde ilgili kişi hakkında kovuşturmaya yer olmadığına dair karar verildiği, uyuşturucu madde kullanmadığının Cumhuriyet Başsavcılığının Kararı ile sabit olmuştur. Bu nedenle ilgili kişiye ait sağlık dosyasında “esrar maddesi kullanıldığına ilişkin verilerin ve bilgilerin silinmesi” talep edilmiş ancak üniversiteden taleplere cevap verilmemiştir.

 

Veri sorumlusu tarafından kamu kurumuna teslim edilen rapor ve belgeler özel nitelikli kişisel veridir. Ayrıca Kurum tarafından talep edilenden fazla özel nitelikli kişisel veri aktarımı gerçekleştirilmiştir. İlgili kişinin açık rızası mevcut olmadığı halde ilgili kişiye ilişkin özel nitelikli kişisel veri olan sağlık verilerinin Kanun’a aykırı olarak kamu kurumuna aktarılmıştır.

 

Ayrıca talep edilen bilgiden daha geniş kapsamda bilgi paylaşıldığı dikkate alındığında veri sorumlusu üniversite hastanesinin Kanun’un 12’nci maddesinin (1) numaralı fıkrasına göre kişisel verilerin güvenliğine ilişkin gerekli her türlü teknik ve idari tedbiri alma yükümlülüğünü yerine getirmediği değerlendirildiğinden sorumlular hakkında Kanun’un 18’inci maddesinin (3) numaralı fıkrası çerçevesinde disiplin hükümlerine göre işlem yapılmasına ve yapılan işlem hakkında Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına, veri sorumlusu tarafından gerek kendi bünyesinde ve gerektiği takdirde ilgili kişiyi de yönlendirmek suretiyle İl Sağlık Müdürlüğü nezdinde gerekli işlemlerin yapılması ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına, ilgili kişilerin Kanun kapsamındaki taleplerini Kanun’a ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e uygun olarak talebin niteliğine göre en kısa sürede ve en geç otuz (30) gün içinde sonuçlandırması gerektiğinin veri sorumlusuna hatırlatılmasına karar verilmiştir.

Karar özetinin tam metnine buradan ulaşabilirsiniz.

 

 

19.“İlgili kişinin bir şirket ile iş görüşmesi yaptığı bilgisi ile görüşmenin içeriği hakkındaki muhtelif bilgilerin iş görüşmesi yapılan şirket tarafından halihazırdaki iş yeri ile paylaşılması”

Tarih  :04/08/2022

Sayı     :2022/798

İlgili kişinin halihazırda bir şirket bünyesinde çalışmakta iken başka bir şirkete iş görüşmesi yapmak maksadıyla davet edildiği ve iş görüşmesinin gerçekleştirildiği, iş görüşmesi yapan veri sorumlusu şirket tarafından, ilgili kişinin halihazırda çalışmakta olduğu şirket hakkında itibarını zedeler nitelikte birçok beyanda bulunduğu bilgisinin ilgili kişinin mevcut iş yeri ile paylaşılmıştır. Bunun neticesinde ilgili kişi mevcut iş yeri tarafından ücretsiz izne çıkarılmış, bu durum üzerine ilgili kişi tarafından iş sözleşmesinin feshi için ihtarname gönderilmiştir. İlgili kişi tarafından kişisel verilerinin işlenip işlenmediği, kişisel verilerinin kimlerle paylaşıldığı konularında bilgi edinmek, ayrıca maddi ve manevi zararların tazmini ile kişisel verilerinin silinmesini talep etmek suretiyle iş görüşmesi yapan veri sorumlusuna başvuruda bulunulmuş ancak yasal süresi içerisinde yanıt verilmediği belirtilerek veri sorumlusu hakkında 6698 sayılı Kanun kapsamında gereğinin yapılması talep edilmiştir.

Veri  sorumlusu tarafından ilgili kişinin şirketleri ile iş görüşmesi yaptığı bilgisi ile iş görüşmesinde ilgili kişinin halihazırda çalışmakta olduğu iş yeri hakkında birçok beyanda bulunduğu bilgisinin aktarılması faaliyetinin Kanun’un 8’nci maddesine uygun şekilde gerçekleştirilmediği değerlendirilmekte olup bu durumun Kanun’un 12’nci maddesinde yer verilen “veri sorumlusu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır” hükmüne aykırılık teşkil etmesi nedeniyle, veri sorumlusunun 1997 yılından beri faaliyet gösterdiği, Türkiye genelinde 7 ofis, 1 depo ve 135 çalışan ile lojistik faaliyetlerini yürüttüğü ve ilgili kişinin başvurularına yasal süresi içerisinde yanıt vermediği de dikkate alınarak veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 100.000 TL idari para cezası uygulanmasına karar verilmiştir.

Karar özetinin tam metnine buradan ulaşabilirsiniz.

20.“Bir yasal bahis platformu tarafından ilgili kişinin e-posta adresinin işlenerek bir üyesinin kişisel verilerinin üçüncü şahıs konumundaki ilgili kişinin e-posta adresine gönderilmesi”

 

Tarih  :01/09/2022

 

Sayı     :2022/853

Bir yasal bahis platformu tarafından ilgili kişinin e-posta adresinin işlenerek bir üyesinin kişisel verilerinin üçüncü şahıs konumundaki ilgili kişinin e-posta adresine gönderilmesi üzerine 6698 sayılı Kanun bakımından asıl sorunun veri sorumlusunun kişisel veriyi işlerken herhangi bir kontrol mekanizması oluşturmamış olduğu, üçüncü bir şahıs, ilgili kişiye ait e-postayı sisteme üyelikte kullanmak istediğinde veri sorumlusunun bunu doğrudan geçerli ve doğru kabul ederek ilgili kişinin e-posta adresine e-postalar göndermeye başlamakla hata yaptığı beyan edilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.

Kararda şirketin faaliyet alanına ilişkin özel mevzuat hükümleri uyarınca çeşitli yükümlülüklerinin bulunmasının 6698 sayılı Kanun’dan kaynaklanan yükümlülüklerden muaf olmasını/tutulmasını sağlamayacağı belirtilmiştir.

Veri sorumlusunun kişisel veri işleme faaliyetlerini yürüttüğü elektronik sistemi 6698 sayılı Kanun’un 4’üncü maddesinin (2) numaralı fıkrasında düzenlenen “Hukuka ve dürüstlük kurallarına uygun olma”, “Doğru ve gerektiğinde güncel olma” ve “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” genel ilkelerine uygun tasarlamamış/tasarlatmamış olmasından dolayı hem ilgili kişinin kişisel verisi olan e-posta adresini 6698 sayılı Kanun’un 5’inci maddesinde öngörülen herhangi bir hukuki şarta dayanmaksızın işlediği hem de bir üyesinin “isim-soy isim” ve “üyelik numarası” kişisel verilerini 6698 sayılı Kanun’un 5’inci maddesinde öngörülen herhangi bir hukuki şarta dayanmaksızın “üçüncü şahıs” konumundaki ilgili kişi ile paylaştığı kanaatine varıldığından; veri sorumlusunun anılan fiillerinin 6698 sayılı Kanun’un veri güvenliğine ilişkin yükümlülüklerin düzenlendiği 12’nci maddesinin (1) numaralı fıkrasının (a) bendi hükmüne aykırılık teşkil ettiği dikkate alınarak 6698 sayılı Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendine istinaden veri sorumlusu hakkında 250.000 TL idari para cezası uygulanmasına karar verilmiştir.

Karar özetinin tam metnine buradan ulaşabilirsiniz.

 

 

21.“İlgili kişinin internet arama motorlarında yapılan aramalardan elde edilen iş yeri e-postasının açık rızası alınmaksızın veri sorumlusu bir pazarlama şirketi tarafından ticarî elektronik ileti gönderilmesi suretiyle işlenmesi”

Tarih  :01/09/2022

Sayı     :2022/861

 

İlgili kişinin e-posta adres bilgisinin reklam ve pazarlama amacıyla işlenmesine yönelik herhangi bir platformda alenileştirme iradesinin bulunduğuna dair veri sorumlusu tarafından kanıtlayıcı nitelikte bir belge Kuruma sunulmamıştır.

Veri sorumlusunun ilgili kişinin kişisel verilerinin Kanunda yer alan işleme şartları kapsamında işlendiğine ilişkin açıklamalarının hukuki dayanaktan yoksun olduğu dikkate alındığında veri sorumlusunun Kanun’un 5’inci maddesi çerçevesinde herhangi bir kişisel veri işleme şartı bulunmaksızın veri işleme faaliyetinde bulunduğu kanaatine varıldığından veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 150.000 TL idari para cezası uygulanmasına karar verilmiştir.

Karar özetinin tam metnine buradan ulaşabilirsiniz.

 

 

22.“Bir bankanın müşteri hizmetlerinin aydınlatma yükümlülüğünü yerine getirmeden ve açık rızasını almadan ilgili kişiyi telefonla aramak suretiyle kişisel verilerini işlemesi”

Tarih  :01/09/2022

Sayı     :2022/863

 

İlgili kişinin başka bir bankada bulunan hesabından veri sorumlusu bankada bulunan üçüncü tarafa ait bir hesaba para gönderdiği, akabinde kendisiyle iletişim kurulmasına ilişkin rıza vermediği ve tarafına herhangi bir aydınlatma yapılmadığı halde veri sorumlusu banka tarafından tanıtım amacıyla aynı gün telefonla arandığı, ilgili hususta veri sorumlusu bankaya başvurduğu, posta gönderi takibinden banka tarafından başvurunun teslim alındığı görüntülenmişse de yasal süresi içerisinde cevap verilmediği belirtilerek veri sorumlusu hakkında 6698 sayılı Kanun kapsamında gereğinin yapılması talep edilmiştir.  

İlgili kişinin kendisiyle iletişime geçilmesi amacıyla veri sorumlusu bankayla paylaşmış olduğu cep telefonu bilgisinin, Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’un 6’ncı maddesi ile Ticari İletişim ve Ticari Elektronik İletiler Yönetmeliği’nin 6’ncı maddesinin (2) numaralı fıkrası uyarınca, devam eden müşteri ilişkisi sebebiyle, veri sorumlusu tarafından herhangi bir mal veya hizmet özendirilmesi ya da tanıtımı yapılmaksızın, kullanılmakta olan hizmete ilişkin bilgi verilmek amacıyla 6698 sayılı Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (a) bendinde yer alan "Kanunlarda açıkça öngörülme" hukuki işleme şartına dayalı olarak işlendiği kanaatine varılmıştır.

İlgili kişilerin Kanun'un 11’inci maddesi kapsamındaki başvurularına cevaben düzenlenen yazıların "adi posta" ile gönderilmesinin kişisel bilgi içeren söz konusu belgelerin ilgisi olmayan üçüncü kişilerin eline geçmesine ve  dolayısıyla güvenlik açığına sebebiyet verebileceği değerlendirilmiş olduğundan veri sorumlusunun Tebliğ’in 6’ncı maddesine uygun olarak ilgili kişilere göndereceği kişisel bilgi içeren cevapları daha güvenilir ve takip edilebilir bir yöntemle iletmesi hususunda uyarılmasına karar verilmiştir.

Karar özetinin tam metnine buradan ulaşabilirsiniz.

 

 

23.“Veri sorumlusu eski işveren tarafından ilgili kişinin kişisel verilerinin yer aldığı adli yazışma bilgilerinin kardeşi ile paylaşılması”

Tarih  :02/09/2022

Sayı     :2022/896

Veri sorumlusu tarafından ilgili kişiye ve başka gerçek kişilere ait kişisel verileri barındıran Savcılık şikayet dilekçesinin olayla herhangi bir ilgisi olmadığı anlaşılan ve  ilgili kişinin kardeşi olduğu belirtilen üçüncü bir kişiye e-posta yoluyla iletilmesi işleminin, Kanun’un 5’inci maddesinde yer alan kişisel verilerin işlenmesi şartlarından herhangi birine dayanmadığı ve bu kapsamda veri sorumlusunun Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı hareket ettiği değerlendirildiğinden veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 150.000 TL idari para cezası uygulanmasına karar verilmiştir.

Karar özetinin tam metnine buradan ulaşabilirsiniz.

24.“İlgili kişinin açık rızası alınmadan pazarlama amacıyla kısa mesaj gönderilmesi suretiyle kişisel verilerinin işlenmesi”

Tarih  :02/09/2022

Sayı     :2022/902

Somut olayda veri sorumlusu firmaya ait internet sitesinden SMS/e-posta alabilmek için onay veren müşterilere gönderilmesi gereken mesajın sehven veri sorumlusunun satış platformundaki mağazalarından alışveriş yapan müşterilere gönderilmiştir.

 

Yapılan yanlışın fark edilmesi üzerine iptal işleminin başlatıldığı fakat bazı müşterilere kısa mesaj gitmesine engel olunamadığı beyan edilmiştir. Veri sorumlusunun Kanun’un 5’inci maddesinde yer alan işleme şartlarından herhangi birine dayanmaksızın ilgili kişinin kişisel verisi niteliğindeki telefon numarasını işlediği, bu çerçevede Kanun’un 12’nci maddesinin (1) numaralı fıkrası kapsamında kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı, öte yandan şikâyet konusunun veri ihlal niteliği arz ettiği ancak veri sorumlusunun gerçekleşen veri ihlali ile ilgili Kanun’un 12’nci maddesinin (5) numaralı fıkrası kapsamında Kurula bir bildirim yapmadığı kanaatine varıldığından Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca veri sorumlusu hakkında 30.000 TL idari para cezası uygulanmasına karar verilmiştir.

Karar özetinin tam metnine buradan ulaşabilirsiniz.

25.“İlgili kişinin telefon numarasının hastaneden ayrılan doktor tarafından SMS gönderilmesi suretiyle işlenmesi hakkında”

Tarih  :08/09/2022

Sayı     :2022/923

İlgili kişi Ocak 2018 tarihinde hastanede bir doktor tarafından muayene edilmiştir. İlgili doktor hastaneden ayrılarak özel muayenehane açmış ve akabinde ilgili kişinin cep telefonu numarasına reklam amaçlı SMS göndermiştir.

Veri sorumlusu doktor tarafından telefon numarasının ilgili kişinin kendisinden alındığı beyan edilmiştir. Bu çerçevede söz konusu iletişim verisinin hasta doktor ilişkisi çerçevesinde muayene/tedavi süreçlerine ilişkin bilgilendirme amacıyla temin edildiği anlaşılmıştır. Ancak daha sonra doktor tarafından reklam içerikli SMS göndermek amacıyla ilgili kişinin telefon numarasının işlendiği dikkate alındığında söz konusu kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinde yer alan herhangi bir işleme şartına dayanmadığına, bu kapsamda Kanun’un 12’nci maddesine aykırı uygulamada bulunan gerçek kişi veri sorumlusu doktor hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına karar verilmiştir.

Karar özetinin tam metnine buradan ulaşabilirsiniz.

 

 

26.“İlgili kişinin e-posta adresine başka abonelere ait e-faturaların gönderilmesi”

Tarih  :08/09/2022

Sayı     :2022/925

 

Somut olayda ilgili kişinin ilk başvurusuna istinaden verilen Kurul kararı kapsamında veri sorumlusunun kişisel verilerin güvenliğine ilişkin gerekli tüm idari ve teknik tedbirlerin alınması hususunda talimatlandırılmasına rağmen, üçüncü kişilere ilişkin faturanın ilgili kişinin e-posta adresine iletilmeye devam edilmesinin ve yine üçüncü bir kişiye ait abonelik sözleşmesinde ilgili kişinin e-posta adresinin bildirilmiş olmasının,  mevcut ve yeni üyelerin e-posta adresi gibi iletişim kanallarının doğrulanmasına yönelik bir mekanizmanın bulunmadığını göstermiştir.

 

İlgili kişinin e-posta adresinin üçüncü kişilere ait faturanın iletilmesi suretiyle işlenmesi ve bu durumun Kanun’un 4 üncü maddesinin (2) numaralı fıkrasının (b) bendinde yer alan “doğru ve gerektiğinde güncel olma” ilkesine aykırılık teşkil etmesi sebebiyle Kanun’un 12’nci maddesinin (1) numaralı fıkrasındaki yükümlülükleri yerine getirmediği kanaatine varılan veri sorumlusu hakkında, daha önce  verilen Kurul Kararında abonelerin kişisel verilerinin güvenliğine ilişkin gerekli idari ve teknik tedbirlerin alınması hususunda talimatlandırıldığı da dikkate alınarak, Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 200.000 TL idari para cezası uygulanmasına karar verilmiştir.

Karar özetinin tam metnine buradan ulaşabilirsiniz.

27.“İlgili kişinin kişisel verisi niteliğindeki e-posta adresinin reklam amaçlı ileti gönderilmesi suretiyle işlenmesi”

Tarih  :07/10/2022

Sayı     :2022/1072

Veri sorumlusu tarafından reklam ve pazarlama amaçlı, izinsiz ticari elektronik ileti gönderilmesi suretiyle ilgili kişinin kişisel verisi niteliğinde olan e-posta adresinin işlenmesinde Kanun’un “Kişisel verilerin işlenme şartları” başlıklı 5’inci maddesinde öngörülen kişisel veri işleme şartlarının bulunmadığı ve bu kapsamda veri sorumlusunun Kanun’un 12’nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılması nedeniyle Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendine istinaden veri sorumlusu hakkında 50.000 TL idari para cezası uygulanmasına karar verilmiştir.

Karar özetinin tam metnine buradan ulaşabilirsiniz.

 

 

28.“İlgili kişinin kişisel verilerinin iş akdinin feshinden sonra işveren tarafından işlenmeye devam edilmesi”

Tarih  :20/10/2022

Sayı     :2022/1147

 

İlgili kişi mobilya-dekorasyon sektöründe faaliyet gösteren bir anonim şirket bünyesinde iç mimar olarak yaklaşık 3 yıl çalışmıştır. İş akdinin feshi tarihinden sonra, pandemi döneminde veri sorumlusu şirket tarafından müşterilere yönelik olarak sosyal medya üzerinden gerçekleştirilen canlı yayınlardaki görüntüsünün TV reklamlarında, veri sorumlusu şirketin internet sitesinde, sosyal medya hesaplarında ve tanıtıma yönelik basılı materyallerde reklam ve pazarlama amacıyla kullanıldığı, görüntüsünün bu şekilde kullanımı ile ilgili olarak kendisine aydınlatma yapılmadığı, açık rızasının da alınmadığı, öte yandan iş akdinin feshedildiği tarihten sonra veri sorumlusunun taşıma süreçlerine ilişkin kargolarda hala ilgili kişinin cep telefonu numarasının kullanıldığı, yine iş akdinin feshedildiği tarihten sonra ilgili kişinin veri sorumlusu bünyesinde gerçekleştirilen satış ve tahsilat işlemlerinde işlemi gerçekleştiren kişi gibi göründüğü görülmüştür. Şikayete konu durum ve delillerin Ankara 4. Fikri ve Sınai Haklar Hukuk Mahkemesinin 2022/… D.İş sayılı dosyası üzerinden bilirkişi raporu ile tespit edilmiştir.

Somut olayda ilgili kişinin reklam ve pazarlama amacıyla yayınlanan görüntülerinin ilgili kişinin veri sorumlusu bünyesinde çalışırken kendisinin iş tanımı kapsamı içerisinde alındığının anlaşıldığı ve bu nedenle söz konusu kişisel verilerin, veri sorumlusu bünyesindeki arşivlerde yasal süre müddetince muhafaza edilmesinin hukuka uygun olduğu kanaatine ulaşılmış ise de ilgili kişinin mesleğinin esas itibariyle mimarlık olduğu, bu mesleğin icrasının ekran önünde görünmeyi gerektirmemesi ve ilgili kişi ile veri sorumlusu arasındaki çalışma akdinin hâlihazırda feshedilmiş olması, dolayısıyla ilgili kişinin başka bir şirket nezdinde çalışmaya başlaması veya kendi ticari faaliyetlerini yürütmeye karar vermesi gibi durumlarda veri sorumlusunun halen ilgili kişinin görüntülerini kullanarak reklam ve pazarlama maksatlı faaliyetler yürütmesinin hayatın olağan akışına aykırı olacağı tespit edilmiştir.

İlgili kişinin yer aldığı görüntülerin veri sorumlusunun arşivlerinde bulunmasının hukuka uygun olacağı ancak iş akdinin sona ermesinden sonra da söz konusu verilerin paylaşımına devam edilmesi suretiyle işlenmesinde Kanun kapsamında geçerli bir işleme şartının mevcut olmadığı, öte yandan ilgili kişinin kargo şirketleri nezdinde kayıtlı olan kişisel cep telefonu numarasının ve iş akdi feshedilmeden öncesinde çalıştığı mağazadaki dijital ödeme sistemleri, çeşitli evrak ve formlar içerisinde kayıtlı bulunan ve kendisini işlem yetkilisi olarak gösteren kişisel verilerinin Kanun’un 4’üncü maddesinde yer alan Genel İlkelerden “doğru ve gerektiğinde güncel olma” ilkesine aykırı şekilde işlendiği, bu verilerin işlenmesinde veri sorumlusunca bir başka hukuki nedenin de gösterilemediği görüldüğünden Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerini yerine getirmediği anlaşılan veri sorumlusu hakkında, ilgili kişinin hukuka aykırı olarak işlenen kimlik ve iletişim bilgileri kullanılarak yapılan satış, kargo gönderimi gibi yasal işlemlerin ilgili kişi üzerinde negatif sonuç doğurma riskinin yüksek olduğu hususu dikkate alınarak, Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 250.000 TL idarî para cezası uygulanmasına karar verilmiştir.

Karar özetinin tam metnine buradan ulaşabilirsiniz.

 

 

29.“İlgili kişinin Resmî Gazete’nin internet sayfasından erişilebilen bir ilana ilişkin olarak arama motorunda adı ve soy adı ile yapılan aramada ulaşılan sonuçların indeksten çıkarılması talebi”

Tarih  :10/11/2022

Sayı     :2022/1201

İlgili kişinin ismi ile veri sorumlusu arama motoru üzerinden arama yapıldığında https://www.resmigazete.gov.tr/arsiv/*****.pdf sayfasına ulaşıldığı, ilgili kişinin ismiyle yapılan arama sonucunda çıkan sayfanın “unutulma hakkı” kapsamında kaldırılmasının veri sorumlusundan talep edildiği, ancak taraflarına verilen yanıtta “içeriğin engellenmemesine” karar verildiğinin bildirildiği hususları beyan edilerek ilgili kişinin ismiyle veri sorumlusu arama motoru üzerinde arama yapıldığında ilgili adresin çıkmamasının sağlanması için gereğinin yapılması talep edilmiştir.

 

İnternette yer alan sayfalardaki kişisel veri barındıran içerikleri belirli bir sistematiğe göre indeksleyerek arama sonuçlarında listelemesi suretiyle gerçekleştirilen işlemler “kişisel veri işleme faaliyeti”dir.

Şikâyete konu Resmî Gazete sayfasının veri sorumlusu arama motoru üzerinden ilgili kişinin ismi ile ilişkilendirilerek indekslenmesindeki veri işleme faaliyetinin amacının ilgili içeriğin kamu bilgisine sunulması değil ilgili kişiye tebliğin yapılmasının sağlanması olduğu anlaşılmıştır.

Bununla birlikte Tebligat Kanunu kapsamında ve Resmî Gazete’de belirtildiği üzere söz konusu içeriğin ilan tarihinden itibaren 15 gün sonra tebliğ edilmiş sayılacağı, bu anlamda ilgili kişiye tebliğ amacının gerçekleştiği görülmüştür.

İlgili kişinin bir şirketin yönetim kurulu üyesi ve başkanı olduğu ancak söz konusu içeriğin ilgili kişinin iş yaşamına ilişkin olmadığı, ayrıca içerikte yer alan verilerin işlenmesindeki amacın ilgili içeriğin kamu bilgisine sunulması değil ilgili kişiye tebliğinin sağlanması olduğu dikkate alındığında yayınlanmasında kamu yararı bulunmadığı sonucuna varılmıştır.

Arama sonuçlarının öznesinin çocuk olmadığının açık olduğu, şikayete konu URL adresinde yer alan Resmî Gazetenin **/**/2000 ve mahkeme kararının da 1999 tarihli olduğu göz önüne alındığında 20 yıldan fazla süre geçmiş olduğu ve bu anlamda içeriğin güncelliğini yitirdiği, her ne kadar içerikte yer alan bilgi ilgili kişinin üzerine atılı suçtan mahkeme kararıyla beraat ettiğinin teyidi olsa da ilgili kişi hakkında önyargıya sebep olabileceği, içeriğin ilgili kişinin kendisi tarafından yayınlanmadığı, içeriğin gazetecilik faaliyeti kapsamında işlenen verileri içermediği değerlendirildiğinden, ilgili kişinin ad ve soyadıyla yapılan arama sonucunda çıkan https://www.resmigazete.gov.tr/arsiv/*****.pdf URL adresinin ilgili kişinin ad ve soy adıyla ilişkilendirilemeyecek şekilde indeksten çıkarılması hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Karar özetinin tam metnine buradan ulaşabilirsiniz.

 

 

30.“İlgili kişinin döviz bürosundaki güvenlik kamerası ile kayıt altına alınmış görüntülerinin haber ajansları ile paylaşılması”

Tarih  :24/11/2022

Sayı     :2022/1249

Veri sorumlusu tarafından ilgili kişiye yapılan fazla-haksız ödemenin iadesinin sağlanabilmesini ve ekonomik kaybın önlenmesini teminen ilgili kişinin göz çevresinin ve siluetinin görüntülendiği kamera kaydı görüntülerinin ilan amacıyla yerel haber kanalına aktarılmasının Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (f) bendine göre, “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” işleme şartı kapsamında olduğundan hareketle bu hususta Kanun kapsamında yapılacak bir işlem olmadığına karar verilmiştir. 

Karar özetinin tam metnine buradan ulaşabilirsiniz.

 

 

31.“İcra takibi dolayısıyla veri sorumlusu avukat tarafından borçlunun borç bilgisinin oğlu ile paylaşılması ve kendisi ile borç bilgisi paylaşılan borçlunun oğlunun telefon numarasının bu suretle hukuka aykırı olarak işlenmesi”

Tarih  :01/12/2022

Sayı     :2022/1281

 

Borçlunun oğlunun haciz esnasında haciz mahallinde olduğu ve haczedilen malların yediemin sıfatıyla kendisine bırakılmış olduğu da dikkate alındığında, eldeki mevcut bilgi ve belgelerden veri sorumlusunun borçlunun oğlunun telefon numarasını hukuka aykırı işlediğinin tevsik edilemediği anlaşıldığından söz konusu iddia hakkında Kanun kapsamında yapılacak bir işlem olmadığına karar verilmiştir.

Karar özetinin tam metnine buradan ulaşabilirsiniz.

 

32.“Veri sorumlusu bir banka tarafından ilgili kişinin para transferleri ile hesap bilgilerinin üçüncü kişiye ait e-postaya gönderilmesi”

Tarih  :12/01/2023

Sayı     :2023/67

Söz konusu karar, ilgili kişinin bir banka nezdindeki hesabına ilişkin ekstre ve anlık hesap hareketlerinin, ilgili kişinin bilgisi ve rızası dışında üçüncü bir kişinin e-posta adresine gönderilmesine ilişkindir.

Şikâyete konu e-posta adresi ilk olarak ilgili kişinin ortağı olduğu şirketin vekili tarafından banka ile paylaşılmıştır. Sonrasında ilgili kişinin bireysel emeklilik başvurusu sırasında kendisine sunulan formda yer alan söz konusu e-posta adresini formu imzalamak suretiyle onayladığı, öte yandan ilgili kişinin başvurusu üzerine veri sorumlusunun hemen aksiyon alarak e-posta adresinde gerekli düzeltmeyi yaptığı göz önünde bulundurulduğunda, somut olaya konu olan işleme faaliyetinin hukuka uygun yürütülmesi bakımından veri sorumlusunun özen yükümlülüğü çerçevesinde hareket ettiği sonucuna varılmıştır.

Banka işlemlerinde kullanılan ilgili kişilerin iletişim bilgilerinin belirli periyotlarla doğrulanması ve güncelliğinin sağlanması hususunda gerekli mekanizmaların kurulmasına ilişkin veri sorumlusunun uyarılmasına karar verilmiştir.

Karar özetinin tam metnine buradan ulaşabilirsiniz.

 

 

33.“Spor salonu işletmecisi olan veri sorumlusunun, özel nitelikli kişisel veri niteliğini haiz kan grubu verisini ilgili kişinin açık rızasını almaksızın işlemesi”

Tarih  :23/12/2022

Sayı     :2022/1357

Spor salonu üyeliği için özel nitelikli kişisel veri niteliğindeki kan grubu verisinin işlendiği ve bu işleme için açık rıza alınmadığı dikkate alındığında Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında, veri sorumlusunca işletilen spor salonunun üyelik sözleşmesi kapsamında çok sayıda üyenin kişisel verilerinin işlendiği, bunlar arasında özel nitelikli kişisel verilerin de bulunmasının kullanıcıların mahremiyeti açısından önemli bir risk arz ettiği, veri sorumlusunca ilgili kişi başvurusunun cevapsız bırakıldığı görülmüştür.

 

Spor salonu işletmeciliğinin yanı sıra turizm ve otel işletmeciliği ile inşaat taahhüt gibi birçok sektörde faaliyet gösteren veri sorumlusunun ekonomik durumu da dikkate alınarak Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 100.000 TL idari para cezası uygulanmasına ve aydınlatma ve açık rıza metinlerinin üyelere sunulan sözleşme metni içerisinde değil ayrıca düzenlenmesi, açık rızanın ilgili kişilere her bir faaliyet açısından onay verme ve vermeme seçeneklerini içerecek şekilde sunulması, aydınlatma metninin Kanun’un 10’uncu maddesinin yanı sıra Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in ilgili hükümlerine uygun şekilde düzenlenmesi ve yapılan işlemlerin sonucundan Kurulu bilgilendirmesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Karar özetinin tam metnine buradan ulaşabilirsiniz.

 

 

34.“Bir internet sitesinde yer alan çerezlere ilişkin aydınlatma ve açık rıza metinlerinin sunulmaması”

Tarih  :23/12/2022

Sayı     :2022/1358

 

İlgili kişi tarafından bir oyun platformunun internet sayfasına giriş yapıldığında çerez işleme süreçleriyle ilgili kullanıcılara aydınlatma yapılmadığı ve zorunlu olmayan çerezler için açık rıza alınmadığı, siteye üye olan kullanıcılardan kimlik ve iletişim bilgilerinin talep edildiği ancak aydınlatma ve açık rıza metinlerinin sunulmadığı,  ilgili şirkete başvuru yapılmakla birlikte yeterli bir cevap alınamadığı ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

 

Bir internet sitesinin düzgün çalışması için zorunlu çerezler vasıtasıyla kişisel verilerin işlenmesinde kişilerin açık rızasına gerek duyulmayacak iken; reklam, pazarlama ve performans amacıyla çalışan çerezlerin kullanılmasının ilgili kişinin açık rızasına tabidir.

 

Veri sorumlusu tarafından internet sayfasında herhangi bir işleme şartına dayanmadan reklam ve pazarlama amacı gibi zorunlu olmayan çerezler vasıtasıyla kişisel veri işlendiği, bu durumun ise Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklere aykırılık teşkil ettiği dikkate alındığında veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 300.000 TL idari para cezası uygulanmasına karar verilmiştir.

Karar özetinin tam metnine buradan ulaşabilirsiniz.

35.“Bir kargo firmasının çapraz barkodlama hatası nedeniyle kişisel verilerin hukuka aykırı olarak paylaşımına sebep olması”

Tarih  :05/01/2023

Sayı     :2023/4

Taşıma hizmeti kapsamında alıcıların isim ve adres bilgilerinin kargo üzerine yazılmasını gerektiren bir yükümlülüğün mevzuatta öngörülmüş olmasının, veri sorumlularının somut olayda olduğu gibi kişisel verileri hatalı olarak işlediği (aslında kargoyla alakası olmayan ilgili kişilerin kişisel verilerinin kargo paketi üzerine yazıldığı) durumlarda geçerli bir kişisel veri işleme sebebi/şartı olarak kabul edilemeyeceği, dolayısıyla, somut olayda veri sorumlusu tarafından ilgili kişinin kişisel verilerinin “çapraz barkodlama hatası” yapılarak üçüncü bir kişi ile paylaşılması suretiyle yürütülen kişisel veri işleme faaliyetinde Kanun’un 5’inci maddesinde düzenlenen herhangi bir hukuki şartına dayanılmadığı sonucuna ulaşılmıştır

İlgili kişinin kişisel verilerinin üçüncü kişi ile paylaşılmasının yeni bir veri işleme faaliyeti olduğu, söz konusu veri işlemenin Kanun’da yer alan herhangi bir işleme şartına dayanmadığı, veri sorumlusunun anılan fiilinin Kanun’un veri güvenliğine ilişkin yükümlülüklerin düzenlendiği 12’nci maddesinin (1) numaralı fıkrasının (a) bendi hükmüne aykırılık teşkil ettiği, öte yandan söz konusu durumun bir veri ihlali olmasına karşın veri sorumlusunun Kanun’un 12’nci maddesinin (5) numaralı fıkrası kapsamında Kurula veri ihlal bildiriminde bulunmadığı da dikkate alındığında; Kanun’un 12’nci maddesinde yer alan yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendine istinaden 75.000 TL idari para cezası uygulanmasına karar verilmiştir.

Karar özetinin tam metnine buradan ulaşabilirsiniz.

 

 

36.“İlgili kişinin borç bilgisinin ortağı olduğu şirketin kurumsal numaralarına kısa mesaj olarak gönderilmesi”

Tarih  :19/01/2023

Sayı     :2023/78

İlgili kişinin ortağı olduğu Şirkete ait kurumsal iletişim numaralarının, veri sorumlusu ile arasındaki bireysel sözleşmelerde de iletişim numarası olarak kullanılmasının veri sorumlusu tarafından Kanun’un 4’üncü maddesinde yer alan Genel İlkelerden “doğru ve gerektiğinde güncel” olma ilkesine aykırılık teşkil ettiği anlaşılmıştır.

 

Bu hukuka aykırı veri işleme faaliyeti nedeniyle avukatlık ortaklığı tarafından ilgili kişiye ilişkin kişisel verileri içeren kısa mesajların şirkete ait iletişim numaralarına gönderilmesi neticesinde, borca konu işlemle ilgisi olmayan üçüncü kişi şirket çalışanları ile ilgili kişiye ilişkin kişisel veri olan borç bilgisinin Kanun’un 5’inci maddesinde yer alan herhangi bir işleme şartı bulunmaksızın paylaşıldığı gözetildiğinde; Kanun’un 12’nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülüklerini yerine getirmediği kanaatine varılan veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 85.000 TL idari para cezası uygulanmasına karar verilmiştir.

Karar özetinin tam metnine buradan ulaşabilirsiniz.

 

 

37.“Veri sorumlusunun çalışanlarına tahsis ettiği kurumsal e-posta adresindeki içerikleri izleme, erişme ve depolama suretiyle kişisel verileri işlemesi”

Tarih  :19/01/2023

Sayı     :2023/86

 

Veri sorumlusu tarafından e-posta denetimi aracılığıyla gerçekleştirilen kişisel veri işleme faaliyeti ile ilgili olarak aydınlatma yükümlülüğünün yerine getirilmesi hususuna ilişkin Kuruma intikal ettirilen Yazılım Alışverişi Politikası, Çalışanlara Ait Kişisel Verilerin İşlenmesi ve Korunması Politikası, Çalışanlara Ait Kişisel Verilerin İşlenmesi ve Korunmasına İlişkin Bilgilendirme, E-Posta Güvenliği, Pazarlama ve İç İletişim Yöneticisi Görev Tanımları, Taahhütname başlıklı metinler incelendiğinde; e-posta yazışmalarının işveren tarafından hangi amaçlarla işlenebileceği, hangi durumlarda e-postaların izlenmesi suretiyle kişisel veri işlenebileceği bilgilerine yer verildiği, iş yeri tarafından tahsis edilen kurumsal e-posta hesabının yalnızca iş amaçlı kullanılabileceği, kişisel kullanımların en makul seviyede tutulması gerektiği hususlarına yer verildiği dikkate alındığında ilgili kişinin imzalamış olduğu metinlerde atıfta bulunulan  hususların okunup anlaşıldığına ilişkin beyanda bulunmuş olduğu ve dolayısı ile bu metinlerde yer alan e-posta denetimi vasıtasıyla işlenecek kişisel verilere ilişkin veri sorumlusu tarafından ilgili kişiye karşı Kanun’un 10’uncu maddesi çerçevesinde aydınlatma yükümlülüğünün yerine getirilmiştir.

 

E-posta denetimi aracılığıyla gerçekleştirilen kişisel veri işleme faaliyetlerinin amacı ve hukuki dayanağı hususlarına ilişkin olarak; veri sorumlusunun giyim sektöründe ticari faaliyette bulunan bir şirket olduğu, iş ile ilgili ticari sır veya herhangi bir bilginin üçüncü taraflarla paylaşılmamasını isteme noktasında ve kurumsal iletişim araçlarının kişisel amaçlarla kullanılmamasının sağlanması hususunda haklı menfaati bulunduğu tespit edilmiştir.

 

Ayrıca ilgili kişinin yönetici pozisyonunda görev yaptığı ve bu anlamda şirketin gizli kalmasında menfaati bulunan bilgileri haiz olabileceği dikkate alındığında, İş Kanunu’nun 25’inci maddesinde yer alan “işverenin meslek sırlarını ortaya atmak gibi doğruluk ve bağlılığa uymayan davranışlar”ın tespiti ve Türk Borçlar Kanunu’nun 396’ncı maddesinde yer alan “işverene ait teknik sistemlerin usulüne uygun kullanılması ve iş sırları gibi bilgileri hizmet ilişkisinin devamı süresince kendi yararına kullanamayacağı ve başkalarına açıklayamayacağı” hususlarının tespiti amacıyla veri sorumlusunun e-posta denetimi suretiyle kişisel verileri işlemesinde haklı menfaati bulunmaktadır.

Veri sorumlusunun e-posta denetimi aracılığıyla ulaşılması istenen amaç ile orantılı bir kişisel veri işleme faaliyetinde bulunup bulunmadığı ve söz konusu denetim gerçekleşmeksizin veri sorumlusunun amacına ulaşıp ulaşamayacağı hususlarına ilişkin olarak;

• veri sorumlusu tarafından Kuruma intikal ettirilen Bilgi Güvenliği Yönetim Sistemi Kurumsal Mail Aktivite Denetim Raporu ve elde edilen bulgulara ilişkin ekran görüntüsü incelendiğinde veri sorumlusunun şüpheli konuya sahip ve kurumsal e-posta adresinden üçüncü şahıslar ve çalışanın şahsi e-posta adresine iletilen e-postaların tespit edildiği,
• sonrasında iletişimin içeriğine ilişkin bir denetim gerçekleştirildiğinin anlaşıldığı, iletişimin denetlenmesi hususunda iletişim akışı ve iletişim içeriklerinin denetlenmesi arasında bir ayrım yapılmasının önem arz ettiği,
• iletişim içeriklerinin denetlenmesinin daha katı gerekçelere bağlı olduğu,
• e-posta kullanımının denetlenmesinde işverenin amacı elverdiği kadarıyla iletişimin içeriğinden ziyade öncelikli olarak işverenin menfaatine ters düşecek şekilde bir güvenlik, sadakat ve kullanım ihlali olabilecek durumların tespiti sonrasında iletişimin içeriğine ilişkin bir denetim yapılması gerektiği,
• veri sorumlusunun herhangi bir ihlalin gerçekleşip gerçekleşmediğini ancak içerik denetimi ile ortaya koyabileceği dikkate alındığında veri sorumlusu tarafından yalnızca ilgili personelle ve amaca yönelik kişisel veri ile sınırlı tutularak ve yine yalnızca amaçlanan çerçevede bir kişisel veri işleme faaliyeti gerçekleştirildiği

dolayısıyla söz konusu işlemenin Kanun’un Genel İlkeler başlıklı 4’üncü maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan “işlendikleri, amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine de aykırılık teşkil etmediği tespit edilmiştir.

Karar özetinin tam metnine buradan ulaşabilirsiniz.

 

 

38.“Bir belediyenin meclis toplantısı videosunun sosyal medya hesabından paylaşılması suretiyle ilgili kişinin kişisel verilerinin hukuka aykırı olarak işlenmesi”

Tarih  :16/02/2023

Sayı     :2023/224

 

Bir ilçe belediyesinin sosyal medya hesabından paylaşılan olağan meclis toplantısı videosunda, kişisel verilerinin hukuka aykırı olarak işlendiği, bahse konu toplantıda belediye başkanı tarafından ilgili kişinin özel hayatına, kişisel verilerine ve bazı dava dosyaları ile ilgili adli işlemlere ilişkin bilgileri içeren bir konuşma gerçekleştirildiği ve bu konuşmanın belediyenin sosyal medya hesabından kamuoyu ile paylaşıldığı bu sebeple kişisel verilerinin ihlal edilmesine ilişkin olarak Belediyeye başvuruda bulunulmuştur.

İlgili kişinin eski meclis üyesi olduğu ve konuya ilişkin olarak kamuoyunun bilgilendirilmesinde kamu ilgi ve yararının mevcut olduğu tespit edilmiştir. Öte yandan 5393 sayılı Belediye Kanunu’nun 20’nci maddesinin altıncı fıkrasında “Toplantılar, meclisin kararıyla sesli ve görüntülü cihazlarla da kaydedilebilir.” hükmüne, Belediye Meclisi Çalışma Yönetmeliği’nin 11’inci maddesinin dokuzuncu fıkrasında ise “Meclis toplantıları halka açıktır. Meclis başkanı veya üyelerden herhangi birinin gerekçeli teklifi üzerine kapalı oturum yapılmasına karar verilebilir. (...)” hükmüne yer verildiği dikkate alındığında söz konusu veri işleme faaliyetinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması” hükmü kapsamında olduğu değerlendirildiğinden Belediye Başkanlığı hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir. 

Karar özetinin tam metnine buradan ulaşabilirsiniz.

 

 

39.“Bir avukatlık ortaklığı tarafından borçlu ilgili kişiye kısa mesaj gönderilmesi suretiyle kişisel verilerinin işlenmesi”

Tarih :22/03/2023

Sayı   :2023/437

Veri sorumlusu tarafından avukatlık faaliyetleri kapsamında Şirketin alacaklarının borçlu ilgili kişiden tahsil edilebilmesi ve ilgili kişiye sağlanacak kolaylıklar ile borcun ödenmemesi durumunda ilgili kişinin maruz kalabileceği hukuki risklerin bildirilmesi amacıyla Kanunun 5’inci maddesinin ikinci fıkrasının (e) bendinde öngörülen “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” işleme şartına dayanılarak kısa mesaj göndermek suretiyle ilgili kişinin kişisel verilerinin işlenmesinin mümkün olduğu değerlendirilmiştir.

Şikâyete konu somut olayda veri sorumlusu tarafından benzer içerikli 5 kısa mesajın, yaklaşık 1 aylık periyotlarla ilgili kişiye gönderildiği, veri sorumlusunun Kurumu muhatap cevabi yazısında da belirtildiği üzere söz konusu mesajların, ayda yalnızca bir (1) kereye mahsus olmak üzere, hafta içi, mesai saatleri içerisinde ilgili kişiye gönderildiği, bu kapsamda, söz konusu işleme faaliyetinin Kanunun 4’üncü maddesinin ikinci fıkrasının (a) bendinde yer alan “hukuka ve dürüstlük kurallarına uygun olma” ve (ç) bendinde yer alan “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine de aykırılık teşkil etmediği sonucuna varılmıştır.

Karar özetinin tam metnine buradan ulaşabilirsiniz.

 

 

40.“Tüketici Finansman Kredisiyle Alışveriş İmkânı Sunan Şirket Tarafından İlgili Kişilerden e-Devlet Şifrelerinin Talep Edilmesi”

Tarih  :22/03/2023

Sayı     :2023/426

İlgili kişilerin e-Devlet şifrelerine erişim sağlandığı yönünde güçlü bir kanaat oluştuğu, ilgili kişilerin e-Devlet şifreleri talep edilerek hassas nitelikli olanlar da dahil pek çok kişisel veriye erişim sağlanabileceği sonucuna varıldığından veri sorumlusundan yapılan taksitli alışverişlerde e-Devlet şifrelerinin talep edilmesinin Kanun’un 5’inci maddesinde yer alan herhangi bir veri işleme şartına dayanmaması nedeniyle Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerini yerine getirmediği değerlendirilen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 400.000 TL idari para cezası uygulanmasına ve Hukuka aykırı işlendiği değerlendirilen kişisel verilerin Kanun’un 7’nci maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca imha edilerek sonucundan Kurula bilgi verilmesine karar verilmiştir. 

ulaşabilirsiniz.buradanKarar özetinin tam metnine