Kişisel Verileri Koruma Kurulu'nun Yeni Yayımlanan Karar Özetleri

1. İlgili Kişinin Cep Telefonu Numarasının Kampanya Adı Altında Bir Dijital Platform Bayisi Tarafından Edinilmesi, İşlenmesi ve Rızası Olmaksızın Arama Yapılması Hakkında İdari Para Cezası Uygulanmasına İlişkin Kurul Kararı

Kişisel Verileri Koruma Kurulunun 04/06/2021 tarih ve 2021/548 sayılı Kararı

İlgili kişiden alınan şikâyet dilekçesinde özetle;

• Şikâyet olunan dijital platform ile hiçbir ilişkisinin olmamasına karşın ilgili kişinin sürekli olarak 0850’li bir çağrı merkezinden arandığı ve tarafına, bu platforma üye olması yönünde pazarlama yapılmaya çalışıldığı, 
• Bunun üzerine ilgili kişinin reklamı yapılan dijital platformun internet adresinde bulunan irtibat formu vasıtasıyla başvuruda bulunduğu, kendisine e-posta ile verilen yanıtta ise ilgili kişinin müşteri olarak herhangi bir kaydının şirket nezdinde bulunmadığı yanıtını aldığı ancak kendisinin kişisel verilerinin nasıl elde edildiği ve nerelerde kullanıldığına ilişkin sorularına herhangi bir yanıt verilmediği,
• Dolayısıyla işlenen suçun kabul edildiği ancak detay içermeyen bir cevap ile geçiştirilmeye çalışıldığı 

hususları beyan edilerek konunun incelenmesi, şirketin ilgili kişinin kişisel verilerini nasıl elde ettiği hususunda kendisine bilgi vermesi konusunda talimatlandırılması ve gerekli cezai yaptırımın uygulanması talep edilmiştir.  

04/06/2021 tarih ve 2021/548 sayılı Kurul Kararında özetle;

• Her ne kadar bayii ile dijital platform arasında akdedilen sözleşme hükümlerinden genel şekliyle dijital platformun veri sorumlusu, bayinin ise veri işleyen olarak belirlendiği görülmekte ise de somut hadisede bayinin veri işleyen sıfatından çıkarak veri sorumlusu hâline geldiği, zira dijital platformun merkezî CRM sisteminde müşteri/potansiyel müşteri olarak kaydı bulunmayan ilgili kişiyi dijital platformun talimatı veya bilgisi dâhilinde olmaksızın aradığının anlaşıldığı, bu telefon numarası bayiye dijital platform tarafından iletilmediğinden, bayinin veri işleyen olarak, veri sorumlusunun denetimi ve kontrolü altında kişisel veri işleme faaliyeti yürüttüğünden bahsedilemeyeceği,
• Somut olayda bayinin, kendi iradesiyle ve dijital platformdan bağımsız bir şekilde ilgili kişinin açık rızası veya Kanunun 5 inci maddesinin (2) numaralı fıkrasında yer verilen işleme şartlarına dayanmaksızın ilgili kişinin kişisel verisi niteliğindeki telefon numarasını aramak suretiyle kişisel veri işleme faaliyetinde bulunmasından ötürü veri sorumlusu sıfatını haiz olduğu

değerlendirmelerinden hareketle;

• İlgili kişinin kişisel verisi olan telefon numarasının Kanunun 5 inci maddesinde yer alan herhangi bir işleme şartına dayanmaksızın hukuka aykırı elde edildiği ve işlendiği dikkate alındığında Kanunun 12 nci maddesinin (1) numaralı fıkrasında yer alan teknik ve idari tedbirleri almayan veri sorumlusu bayii hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idarî para cezası uygulanmasına

karar verilmiştir.

Bahsi geçen karar özetinin tam metnine  buradan ulaşabilirsiniz.

 

2)Sigortacılık ve Bireysel Emeklilik Alanında Faaliyet Gösteren Bir Şirket Tarafından İlgili Kişiye Ait Kişisel Verilerin Hukuka Aykırı Olarak İşlenmesi Hakkında İdari Para Cezası Uygulanmasına İlişkin Kurul Kararı

Kişisel Verileri Koruma Kurulunun 09/06/2021 tarihli ve 2021/584 sayılı Karar Özeti

Kuruma intikal eden şikayet dilekçesinde özetle; Sigortacılık ve Bireysel Emeklilik alanında faaliyet gösteren bir şirket tarafından ilgili kişinin cep telefonu numarasına “Sayın …., Sizinle görüşmemiz öncesinde, hakkımızdaki özet bilgilere aşağıda yer alan linki tıklayarak kolayca ulaşabilirsiniz… IPTAL: … Ret yazıp …’e gönderiniz. ONAY: … Onay yazıp …’e gönderiniz. Eğer bu mesaja 24 saat içerisinde tarafınızca herhangi bir <> yanıtı iletilmez ise, aranmak için olumlu yanıt verdiğiniz varsayılacaktır…” içerikli bir SMS gönderildiği, kişinin adı geçen şirket ile herhangi bir ilişkisinin olmadığı, veri sorumlusu tarafından ticari elektronik ileti gönderilmesi üzerine ilgili kişi tarafından veri sorumlusuna e-postayla başvuruda bulunulduğu, başvuruda telefon numarası, ad/ soyadının nasıl elde edildiği, başka kişisel verilerinin işlenip işlenmediği hakkında bilgi talebinde bulunduğu, şirket tarafından verilen cevapta SMS gönderen finansal danışmanın elindeki bir soğuk referans listesinden telefon numarasına ulaşıldığı, söz konusu iletinin tarafına tanıtım yapabilmek için izin amaçlı gönderildiği, GSM numarası ve isminin aranmayacak kişiler listesine alındığı, bilgilerin üçüncü şahıslara ya da herhangi bir platforma aktarılmadığı ve referans listelerinden silindiği, taraflarınca gerekli idari ve teknik önlemlerin alındığı bilgisinin verildiği, söz konusu şirket tarafından ilgili kişinin aranmayacak kişiler listesine aktarıldığı bilgisinden kişisel veri işlemeye devam edildiğinin anlaşıldığı, bununla birlikte verilen yanıtta ilgili kişinin ad ve soyadının nasıl elde edildiğine ilişkin bilgiye yer verilmediği, ayrıca, gönderilen iletide ilk 24 saat içinde iptal yanıtı verilmezse aranmak için olumlu yanıt verildiğinin varsayılacağı bilgisinin yer aldığı bu işleyişin hukuka aykırı olduğu belirtilerek yukarıda yer verilen hususlara ilişkin olarak gerekli yaptırımın uygulanması talep edilmiştir.

09/06/2021 tarihli ve 2021/584 sayılı Kurul Kararında özetle;

• İlgili kişinin kişisel verisi niteliğindeki telefon numarasının kısa mesaj gönderilmek amacıyla işlendiği iddiası incelendiğinde ilgili kişinin mesleki yetkinliğinden faydalanmak için kendisine ulaşılmaya çalışılmadığı, aksine şirket faaliyetlerine ilişkin randevu talebi ile ilgili kişiye ulaşıldığı değerlendirilmekte olup bu çerçevede ilgili kişinin kişisel verisi niteliğindeki telefon numarasının reklam, pazarlama ve bilgilendirme amacıyla kısa mesaj gönderilmek suretiyle işlenmesinin Kanunun 5 inci maddesinde yer alan herhangi bir işleme şartına dayanmaksızın gerçekleştirildiği dolayısı ile veri sorumlusunun Kanunun 12 nci maddesinde yer verilen veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı davrandığı kanaatine varıldığından veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmasına,
• Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 6 ncı maddesine uyum konusunda gerekli hassasiyetin gösterilmesi hususunun hatırlatılmasına,
• Kanunun kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini düzenleyen 7 nci maddesi ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun bir biçimde ilgili kişinin kişisel verilerinin imha edilmesi ve imha edildiğine dair kanıtlayıcı belgeler (log kaydı, vs) ile birlikte bu hususta Kurula en geç otuz gün içinde bilgi verilmesi yönünde veri sorumlusu şirketin talimatlandırılmasına

karar verilmiştir.

Bahsi geçen karar özetinin tam metnine  buradan ulaşabilirsiniz.

 

2)İlgili Kişinin Kişisel Verilerinin Bir Tur Şirketi Tarafından Üçüncü Kişilerle Paylaşılmasının Hukuka Aykırı Olmadığına İlişkin Kurul Kararı

Karar Özeti18/03/2021 tarihli ve 2021/242 sayılıKişisel Verileri Koruma Kurulunun

Kuruma intikal eden şikâyet dilekçesinde özetle; ilgili kişinin veri sorumlusu tur şirketinden tatil paketi satın aldığı ve ilgili tüm bilgilerini veri sorumlusu ile paylaştığı, paylaşılan bu verilerin veri sorumlusu tarafından üçüncü bir kişiye aktarıldığı, söz konusu üçüncü kişi tarafından bahsi geçen bilgilerin bir mahkeme dosyasına ve baro şikâyet dilekçesi ekine sunulduğu, veri sorumlusuna yapılan başvuruya verilen cevapta üçüncü kişilere hiçbir şekilde verilmediği söylenen kişisel verilerin mahkeme dosyasında nasıl yer aldığının açıklanmadığı, bu kapsamda ilgili kişinin rızası ve bilgisi olmaksızın kişisel verilerini üçüncü kişilerle paylaşmış olan veri sorumlusu hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında gerekli hukuki ve cezai işlemlerin yapılması talep edilmiştir.    

18/03/2021 tarihli ve 2021/242 sayılı Kurul Kararında özetle;

• Şikâyet dosyasında yer alan konaklamaya ilişkin detayları içeren “Alındı” belgesinin sadece konaklamayı satın alan tarafla paylaşılan bir doküman olduğu ve konaklamanın yapılacağı tesis ile paylaşılmadığı; veri sorumlusunun Kuruma sunduğu log kayıtlarında konaklamaya ilişkin gönderilen “voucher” ve “alındı” dokümanlarının sadece ilgili kişinin e-posta adresine iletildiğinin belirlendiği ve konaklamaya yönelik veri sorumlusu personelinin yaptığı görüntülemelerin her birinin söz konusu belgelerin mahkemeye sunulma tarihi olan 04.04.2019 tarihinden sonra ve ilgili kişinin başvurusuna ve/veya Kurum tarafından yapılan bilgi ve belge talebine istinaden yapılan görüntülemeler olduğu dikkate alındığında, ilgili kişinin verilerinin veri sorumlusu tarafından paylaşıldığını tevsik eden somut bilgi ve belge bulunmadığından ilgili şikâyet hakkında 6698 sayılı Kanun kapsamında tesis edilecek bir işlem bulunmadığına karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz

 

3)Ölenin Sigorta Poliçesine Yasal Mirasçısının Erişim Talebinin Sigorta Şirketi Tarafından Reddedilmesinin Hukuka Aykırı Olmadığına İlişkin Kurul Kararı

Kişisel Verileri Koruma Kurulunun 18/03/2021 tarihli ve 2021/241 sayılı Karar Özeti

Kuruma intikal eden şikâyet dilekçesinde özetle; şikâyetçinin ölen eşi ile veri sorumlusu sigorta şirketi arasında Hayat Sigortası Sözleşmesi kurulduğu, şikâyetçinin eşinin ölüm sebebinin iş kazası olduğunun mahkeme ilamı ile kesinleşmesi üzerine iş kazası nedeni ile yapılması gereken ödeme miktarının tespit edilebilmesi için Poliçenin ibrazı gerekliliğinin hâsıl olduğu, bu kapsamda çeşitli tarihlerde gönderilen ihtarnamelerle veri sorumlusundan söz konusu Poliçenin tesliminin talep edildiği, ancak veri sorumlusunca ilgili kişiye gönderilen yazı ile Kişisel Sağlık Verileri Hakkında Yönetmeliğin 10 uncu maddesi uyarınca “avukatların, müvekkilin sağlık verilerini genel vekaletname ile talep edemeyeceği, ilgili kişinin özel nitelikli kişisel verilerin işlenmesi ve aktarılmasına ilişkin açık rızasını gösteren özel bir hükmün bulunmasının gerektiği ve bu sebeple yazı ekinde gönderilen vekaletnamenin genel vekaletname niteliğinde olduğundan KVKK ve ilgili yönetmelik uyarınca özel nitelikli kişisel veri olan sağlık verilerinin paylaşılmasının mümkün olmadığı” hususları belirtilerek talebin reddedildiği, bunun üzerine şikayetçinin kendi adına yeniden veri sorumlusuna başvurduğu ancak veri sorumlusunca talebin karşılanmayarak hak yoksunluklarına sebep olduğu belirtilmiş ve gereğinin yapılması talep edilmiştir.                                                                                                             

Konuya ilişkin olarak yapılan değerlendirme neticesinde Kişisel Verileri Koruma Kurulunun 18/03/2021 tarih ve 2021/241 sayılı Kararı ile;

• Kişisel Verileri Koruma Kurulunun, Ölü kişilerin verilerine, ölenin yakınlarının erişim talebi hakkındaki 18/09/2019 tarihli ve 2019/273 sayılı  kararında “(…) talep edilen kişisel verilerin talep eden gerçek kişiye ilişkin olmaması ve ölmüş kişiye ait olması sebebiyle talebin, Kanunun 11’inci maddesi kapsamında bir talep olarak değerlendirilmeyeceği kanısına varıldığından bu hususta 6698 sayılı Kanun kapsamında yapılacak bir işlemin olmadığına” karar verildiği, 
• Diğer taraftan 4721 sayılı Türk Medeni Kanunu’nun 499 uncu maddesinde ise sağ kalan eşin, birlikte bulunduğu zümredeki oranlara göre mirasbırakana mirasçı olacağı; 599 uncu maddesinde “Mirasçılar, mirasbırakanın ölümü ile mirası bir bütün olarak, kanun gereğince kazanırlar. Kanunda öngörülen ayrık durumlar saklı kalmak üzere mirasçılar, mirasbırakanın aynî haklarını, alacaklarını, diğer malvarlığı haklarını, taşınır ve taşınmazlar üzerindeki zilyetliklerini doğrudan doğruya kazanırlar ve mirasbırakanın borçlarından kişisel olarak sorumlu olurlar.” hükmüne;  “Özel durumlar” başlıklı 601 inci maddesinin ikinci fıkrasında ise “Kendisine mirasbırakanın ölümünde ödenecek bir sigorta alacağı vasiyet edilen kimse, sigorta sözleşmesinden doğan istem hakkını sigortacıya karşı doğrudan doğruya kullanabilir.” hükmüne yer verildiği, bu doğrultuda ölen eşin kişiliğinin de ölümle birlikte sona erdiği dikkate alındığında her ne kadar hayat sigortası ölen eşin adına yapılmış ve kişilik ölümle son bulduğundan ölen kişinin kişisel verilerine ilişkin talepler Kanun kapsamında değerlendirilemeyecek olsa da, hayat sigortasının lehtarlarının ölen kişinin kanuni mirasçıları olduğu, bu çerçevede ilgili Sigorta Poliçesinin lehtarı olmaları bakımından mirasçıların ilgili kişi niteliği kazandığı, bu sebeple başvurucu için de kanuni mirasçılıktan kaynaklı olarak, Poliçeyi özetler belgede yer alan verilerin kişisel veri niteliği taşıdığı kanaatine varıldığı,
• Öte yandan, 6102 sayılı Türk Ticaret Kanunu’nun “Grup sigortaları” başlıklı 1496 ncı maddesinde “(2) Grupta yer alan her kişiye poliçe içeriğini özetleyen bir belge verilir.” hükmüne yer verildiği,
• Veri sorumlusundan kişisel veri niteliğinde olan “poliçeyi özetler belgeyi” Kanunun 11 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında talep edebileceği ve somut olayda veri sorumlusu tarafından “Poliçeyi özetler belgenin/sertifika”nın ilgili kişiye verildiği; bu anlamda Kanunun 11 inci maddesinden kaynaklanan erişim hakkının kişiye sağlandığı 

değerlendirmelerinden hareketle; 

• 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 3 üncü maddesinde ilgili kişinin “kişisel verileri işlenen gerçek kişi” olarak tanımlandığı, 4721 sayılı Türk Medeni Kanununun 28 inci maddesinde ise kişiliğin, çocuğun sağ olarak tamamıyla doğduğu anda başladığı ve ölümle sona erdiği hükmünün yer aldığı, ölen eşin kişiliğinin de ölümle birlikte sona erdiği dikkate alındığında her ne kadar hayat sigortası ölen eşin adına yapılmış ve kişilik ölümle son bulduğundan ölen kişinin kişisel verilerine ilişkin talepler Kanun kapsamında değerlendirilemeyecek olsa da, hayat sigortasının lehdarlarının ölen kişinin kanuni mirasçıları olduğu, bu çerçevede ilgili Sigorta Poliçesinin lehdarı olmaları bakımından mirasçıların ilgili kişi niteliği kazandığı, bu sebeple ilgili kişi için de kanuni mirasçılıktan kaynaklı olarak, poliçeyi özetler belgede yer alan verilerin kişisel veri niteliği taşıdığı; öte yandan grup sigortalarına ilişkin hususların 6102 sayılı Türk Ticaret Kanunu’nda düzenlendiği, sigortalanan kişilere poliçe yerine poliçeyi özetler belgenin verileceğinin anılan Kanunda hüküm altına alındığı ve somut olayda veri sorumlusu tarafından  “Poliçeyi özetler belgenin/sertifika”nın ilgili kişiye verildiği; bu anlamda Kanunun 11 inci maddesinden kaynaklanan erişim hakkının kişiye sağlandığı dikkate alındığında söz konusu şikayet hakkında Kanun kapsamında yapılacak bir işlem olmadığına karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz  

4. İlgili Kişinin Kişisel Verisinin Kamu Kurumu Personeli Olarak Görev Yapan Eski Eşi Tarafından Sorgulanarak Elde Edilmesi ve Adli Makamlar ile Paylaşılmasının Hukuka Aykırı Olduğuna İlişkin Kurul Kararı

Kişisel Verileri Koruma Kurulunun 11/03/2021 tarihli ve 2021/230 sayılı Karar Özeti

Kuruma intikal eden şikâyet dilekçesinde özetle; ilgili kişinin kamu kurumu personeli olarak görev yapan, boşanma sürecinde olduğu eşi tarafından görevi kötüye kullanmak suretiyle kendisine erişim yetkisi verilen bir sistem üzerinden, maaş bilgilerinin sorgulandığı, boşanma davasına ilişkin yargılama sürecinde talep edilmemesine rağmen bu bilginin mahkeme ile paylaşıldığı, belirtilen bu program ya da sistemle T.C. kimlik numarası bilinen kişilerin maaşlarının öğrenilmesinin hem 4A/4B bilgisinin kişiselliğine hem de özel şirketlerdeki maaş gizliliğinin ihlaline sebebiyet verdiği hususları ifade edilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin olarak yapılan incelemede Kişisel Verileri Koruma Kurulunun 11/03/2021 tarihli ve 2021/230 sayılı Kararı ile;

• Somut olayda veri sorumlusu Kurum bünyesinde, kişilerin kimlik numaraları ile SGK Sorgulaması yapılması kapsamında kişisel verilerin işlenmesinin Kanunun 5 inci maddesinin 2 numaralı fıkrasının (ç) bendine göre veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olduğu, bununla birlikte veri sorumlusunun hizmetlerini elektronik ortamda sürdürmesine ilişkin mevzuatta “Kişisel Verilerin Korunması” başlıklı maddede sistemde yer alan kişisel verilerin kullanılmasında mevzuatta yer alan özel hayatın gizliliğine ilişkin hükümlerin esas alınacağı, ayrıca kullanıcılardan alınan bilgilerin, tanımlanmış hizmetler ve yasal mükellefiyetlerin yerine getirilmesi dışında başka bir amaçla kullanılamayacağının düzenlendiği, 
• Bu doğrultuda ilgili kişinin kişisel verisinin, kendisi tarafından talep edilmeksizin görev yapan eski eşi tarafından Portal üzerinden sorgulanarak elde edildiği ve söz konusu kişisel verilerin mahkeme ile paylaşıldığı da dikkate alındığında, kişisel veri işleme faaliyetinde kişisel verilerin, hem üçüncü kişilere verildiği hem de görev yetkisi ve tanımlanmış hizmetin dışında bir işleme faaliyetinde işlendiği göz önünde bulundurulduğunda kişisel verilerin hukuka aykırı işlenmesi ve erişilmesini önlemek ile muhafazasını sağlamak amacıyla veri güvenliğine ilişkin yükümlülüklere uyulmadığı sonucuna varıldığı

değerlendirmelerinden hareketle, 

• İlgili kişinin kişisel verisinin, veri sorumlusu bünyesinde çalışan bir personel tarafından tanımlanmış hizmetlerin ve yasal mükellefiyetlerin yerine getirilmesi dışında başka bir amaçla kullanılması suretiyle işlenmesinin Kanunun 5 inci maddesinde yer alan işleme şartlarından birine dayanmaması nedeniyle hukuka aykırı olduğu ayrıca Kanunun 4 üncü maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak işlenmesi ilkesine aykırı bir veri işleme faaliyetinin gerçekleştiği, bu kapsamda söz konusu faaliyetinin Kanunun 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil ettiği değerlendirildiğinden Kanunun 18 inci maddesinin (3) numaralı fıkrası uyarınca veri sorumlusu bünyesinde görev yapan söz konusu personel hakkında disiplin hükümlerine göre işlem yapılması, öte yandan kişisel verilere erişim yetkisi bulunan personelin söz konusu verilere amacı dışında erişmesinin önlenmesi hususunda 31/05/2018 tarih ve 2018/63 sayılı Kişisel Verileri Koruma Kurulu İlke Kararı da dikkate alınarak gerekli tedbirlerin alınması ve yapılacak işlemlerin sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

5. İlgili Kişinin Fotoğrafının Öğrencisi Olduğu Okul Tarafından Kullanılmasının Hukuka Aykırı Olmadığına İlişkin Kurul Kararı

Kişisel Verileri Koruma Kurulunun 09/06/2021 Tarihli 2021/572 Sayılı Karar Özeti

Kuruma intikal eden şikayette özetle; ilgili kişinin öğrenci olarak öğretmenleri ile yaptığı bir görüşmede rızası olmaksızın fotoğrafının çekildiği, çekilen fotoğrafının ticari amaçla okul tarafından bastırılan broşürde kullanıldığı ve kendi internet sitesinde yayınlandığı, ilgili kişi ve velisinin kişisel verilerin işlenmesine, yayımlanmasına veya kullanılmasına zımni veya açık bir rıza vermediği, konuya ilişkin veri sorumlusuna başvuruda bulunulduğu ancak verilen cevabın yetersiz olduğu ifade edilerek, 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca veri sorumlusu okul hakkında gerekli işlemlerin tesis edilmesi talep edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 09/06/2021 tarih ve 2021/572 sayılı kararı ile;

• Veri sorumlusunun internet sitesinde yapılan incelemede şikayete konu fotoğrafların yer aldığı iddia edilen okul broşürünün halihazırda internet sitesinde erişime açık şekilde “pdf” formatında yer aldığı, şikayet konusu fotoğrafların da anılan broşürün 6 ncı ve 9 uncu sayfalarında yer aldığının görüldüğü,
• Şikayetçi veli tarafından, ilgili kişinin fotoğraflarının veri sorumlusu tarafından açık rızası olmaksızın hukuka aykırı olarak işlendiği iddiası ile ilgili olarak veri sorumlusunun Kurumu muhatap cevap yazıları ve ekleri incelendiğinde; veri sorumlusu tarafından öğrencilerin kişisel verisi olan fotoğraflarının paylaşılmak suretiyle işlenmesine ilişkin “sosyal medya paylaşımı” konulu bir bilgilendirme metninin düzenlendiği, anılan metinde “Okulumuzda yapılacak etkinliklerde öğrencilerimizin fotoğraf ve videoları çekilmektedir. Öğrencilerimizin fotoğraf ve videolarının resmi web sitesinde sosyal medya hesaplarında, okul dergimiz ve okul panolarımızda paylaşılması ile ilgili aşağıdaki izin yazısını doldurarak sınıf/mentor öğretmeninize göndermenizi rica ederim” şeklinde bilgilendirmeye yer verildiği; söz konusu paylaşıma izin verilmesine ilişkin olarak öğrenci velilerinden izin alınmasına yönelik bu metnin alt kısmında ayrı bir bölümün düzenlendiği, bu bölümde ise söz konusu sosyal medya paylaşım yazısının okunduğu ve okul bünyesinde yapılacak etkinliklerde çekilen fotoğraf ve videoların kullanılmasına izin verildiği ya da verilmediğine ilişkin iki seçeneğin sunulduğu; somut olayda ise şikayetçi veli tarafından ilgili kişinin fotoğraflarının belirtilen amaçlar kapsamında kullanılmak suretiyle işlenmesine izin verildiğine ilişkin seçeneğin seçildiği ve belgenin ıslak imza ile imzalanarak açık rıza verildiğinin görüldüğü,
• Şikayet dilekçesi ve eklerinden ilgili kişi vekilinin veri sorumlusundan, şikayete konu kişisel verilerinin silinmesini talep ettiği ancak veri sorumlusu tarafından bahse konu fotoğrafın aktif olarak kullanımda olmadığı ve yeni bir paylaşım durumunun da söz konusu olmadığı hususlarına yer verilmiş olmasına rağmen şikayete konu fotoğrafların muhafaza edilme süresi ile silinmesi veya yok edilmesine ilişkin herhangi bir bilgiye yer verilmediği, bu kapsamda ilgili kişinin okul ile öğrencilik ilişkisinin 2018-2019 yıllarında mevcut olduğu ve güncel durumda ise okul ile arasında öğrencilik ilişkisinin kalmadığı anlaşıldığından Kanunun 15 inci maddesinin (5) numaralı fıkrası uyarınca, şikayet konusu fotoğraftaki ilgili kişinin görüntüsünün ayrılabilir olup olmadığının veri sorumlusunca ele alınması gerektiği

değerlendirmelerinden hareketle;

• Şikayet konusu fotoğrafların paylaşılmasına yönelik veri işleme faaliyetinin Kanunun 5 inci maddesinin (1) numaralı fıkrasında yer alan ilgili kişinin/velisinin açık rızası hukuki dayanağı çerçevesinde gerçekleştirildiği kanaatine varılmış olup ilgili kişinin fotoğraflarının haksız ve hukuka aykırı olarak ticari amaçla bastırılıp dağıtıldığı ve internet sitesinde paylaşıldığı iddiası hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına,
• Veri sorumlusu tarafından ilgili kişinin talepleri hakkında yeterli açıklamaya yer verilmediği dikkate alındığında veri sorumlusu okulun 6698 sayılı Kanun ve “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ”in ilgili hükümlerine uyum konusunda gerekli dikkat ve özeni göstermesi gerektiği konusunda talimatlandırılmasına,
• İlgili kişinin okul ile öğrencilik ilişkisinin 2018-2019 yıllarında mevcut olduğu ve güncel durumda ise okul ile arasında öğrencilik ilişkisinin kalmadığı anlaşıldığından Kanunun 15 inci maddesinin (5) numaralı fıkrası uyarınca, şikayet konusu fotoğraftaki ilgili kişinin görüntüsünün ayrılabilir olup olmadığının veri sorumlusunca değerlendirilerek buzlanması ya da imha edilmesi ve sonucundan Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına,
• Veri sorumlusuna tebliğ edilmesinden sonra geçerli olmak üzere, veri sorumlusu tarafından okul bünyesinde çekilen fotoğraf ve videoların çeşitli mecralarda paylaşılmasına ilişkin daha önce hazırlanmış olan aydınlatma ve açık rıza metinlerinin Kanunun 3 üncü maddesinde yer alan unsurlar ve Aydınlatma Tebliğinde yer verilen hükümler dikkate alınmak ve bu yönde alınacak açık rızanın okulu tanıtıcı basılı yayınlarda/broşürlerde, web sitesinde veya sosyal medya hesaplarında paylaşılmasına yönelik her bir işleme faaliyeti özelinde ilgili kişilere ayrı ayrı seçenek sunulmak suretiyle revize edilmesi gerektiği yönünde veri sorumlusunun bilgilendirilmesine

karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

 

6. Avukat Tarafından İlgili Kişinin Kişisel Verilerinin Muhatabı ve Tarafı Olmadığı İcra Takibi İle İlgili İşlemlerde Hukuka Aykırı Olarak İşlenmesi Ve İcra Dosyasına İlişkin İlgili Kişinin Telefon Numaralarına Mesajlar Gönderilmesi Hakkında İdari Para Cezasına Uygulanmasına İlişkin Kurul Kararı

 Kişisel Verileri Koruma Kurulunun 11/03/2021 tarihli ve 2021/228 sayılı Karar Özeti

Kuruma intikal eden şikayette özetle; ilgili kişinin şahsına ait telefon numaralarına çeşitli tarihlerde, muhatabı ve tarafı olmadığı icra dosyası ile ilgili (alacaklı telekomünikasyon şirketi adına hareket eden) hukuk bürosu tarafından mesajlar gönderildiği, söz konusu mesajlarla ilgili herhangi bir muhataplık sıfatının, mesajda bahsi geçen icra dosyasında ise alacaklı ya da borçluluk sıfatının bulunmadığı, bunun üzerine gerek alacaklı telekomünikasyon şirketi gerek avukat-hukuk bürosuna yaptığı başvuruya yasal süre içerisinde yanıt alamaması nedeniyle Kişisel Verileri Koruma Kuruluna şikâyette bulunulduğu belirtilmiştir.

Konuya ilişkin olarak yapılan değerlendirme neticesinde Kişisel Verileri Koruma Kurulunun 11/03/2021 tarih ve 2021/228 sayılı Kararı ile;

• Somut olayda, Kuruma iletilen yasal takip otomasyon sistemlerine ilişkin ekran görüntülerinde yalnızca borçlu olan tüzel kişinin bilgisinin yer aldığı, herhangi bir iletişim bilgisinin yer almadığı görüldüğünden alacaklı telekomünikasyon şirketinin şikâyete konu olayda veri sorumlusu sıfatını haiz olmadığı, 
• Bu doğrultuda veri sorumlusunun, vekil sıfatıyla taraflarına devredilen icra dosyası kapsamındaki veri işleme süreçlerinde serbestçe karar verme yetkisine sahip olan ve ilgili kişinin şikâyetine konu kişisel verilerinin işleme amaç ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan hukuk bürosu adına hareket eden ilgili avukat olduğu, 
• Avukatların müvekkilleri adına, müvekkilin hak ve menfaatlerini korumak amacıyla hareket ettiği durumlarda Avukatlık Kanunu’ndan kaynaklanan yükümlülükleri ve yürütmekte olduğu icra işlemleri bakımından İcra ve İflas Kanunu ve ikincil mevzuat düzenlemelerinden kaynaklanan hukuki yükümlülüklerini yerine getirmek amacıyla borçluya ait bilgileri, kanuna uygun olarak işleme ve ilgili birim/mercilere bildirme yetkisi olduğu ve bu bağlamda işlediği kişisel verileri Kanunun 5 inci maddesinin (2) numaralı fıkrası çerçevesinde ilgili kişinin açık rızası olmaksızın işlemesinin hukuka uygun olduğu,
• İlgili kişinin borçlu Şirket ile olan ilişkisine ilişkin, veri sorumlusunun yazı ekinde ilettiği Ticaret Sicil Gazetesinden ilgili kişinin borçlu Şirketin ortağı olduğunun görüldüğü, ancak bu kapsamda yapılan incelemede, ilgili kişinin hissesini devrettiği ve Şirket ortaklığının son bulduğunun değerlendirildiği, borçlu Şirket ortaklığının son bulduğu bilgisinin Ticaret Sicil Gazetesinde ilan edildiği,
• İncelemeye konu olayda, ilgili kişinin borçlu Şirket ortaklığının son bulduğu bilgisinin 31.03.2015 tarihinde Ticaret Sicil Gazetesinde ilan edildiği, ancak borçlu Şirketin icra takibine ilişkin mesajların ilgili kişiye 2019 tarihinde gönderildiği hususları göz önünde bulundurulduğunda bu süre zarfında veri sorumlusu tarafından Ticaret Sicil Gazetesi üzerinden yapılan araştırmada ilgili kişinin borçlu Şirket ortaklığının son bulduğu bilgisine de ulaşabileceği sonucuna varıldığı,
• İlgili kişi tarafından gönderilen başvuru dilekçesi ve dilekçenin tebliğine ilişkin PTT Gönderi Takip belgesinin incelenmesi neticesinde, başvurusunun veri sorumlusuna teslim edildiğinin anlaşıldığı

değerlendirmelerinden hareketle, 

• Alacaklı telekomünikasyon şirketinin veri sorumlusu sıfatını haiz olmadığı değerlendirildiğinden hakkında yapılacak bir işlem olmadığına, 
• Veri sorumlusu sıfatını haiz olduğu değerlendirilen avukat tarafından halihazırda herhangi bir ilgisinin bulunmadığı borçlu şirketin icra takibine ilişkin mesajlar gönderilmesi suretiyle ilgili kişinin kişisel verisi olan telefon numaralarının işlenmesinin Kanunun 5 inci maddesinde sayılan işleme şartlarından herhangi birine dayanmadığı değerlendirildiğinden Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmediği kanaatine varılan veri sorumlusu avukat hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına,
• İlgili kişilerin başvurularına Kanunun ilgili maddeleri ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e uygun bir cevap verilmesi kapsamında gerekli dikkat ve özenin gösterilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

7)Veri Sorumlusu Tarafından İlgili Kişinin Cep Telefonu Numarasına Reklam Amaçlı SMS Gönderilmesi Hakkında İdari Para Cezası Uygulanmasına İlişkin Kurul Kararı

 

Kişisel Verileri Koruma Kurulunun 04/06/2021 Tarihli 2021/545 Sayılı Karar Özeti

 

Kuruma intikal eden şikâyette özetle; veri sorumlusu sıfatını haiz Hastane tarafından ilgili kişinin telefonuna reklam ve pazarlama amaçlı SMS gönderildiği, bununla birlikte ilgili kişi tarafından veri sorumlusuna kişisel verilerin işlenmesi konusunda açık rıza verilmediği ifade edilerek veri sorumlusu hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında gereğinin yapılması talep edilmiştir.

 

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 04/06/2021 tarih ve 2021/545 sayılı kararı ile; 

• Veri sorumlusunun iddialarında yer verilen SMS içeriklerinin ilgili kişiye gönderilen SMS içerikleri ile uyuştuğu ve mesajda belirtilen MERSİS numarasının veri sorumlusuna ait olduğu,
• Veri sorumlusunun kendisine herhangi bir başvuru yapılmadığı iddiasına ilişkin şikâyetçi vekili tarafından veri sorumlusuna ihtarname gönderildiği ve ilgili barkod numaralı ihtarnamenin teslim alındığının anlaşıldığı

değerlendirmelerinden hareketle;

• Veri sorumlusunun, ilgili kişinin kişisel verisi niteliğindeki telefon numarasına Kanunun 5 inci maddesinde sayılan şartlardan birine dayanmaksızın SMS göndermesi suretiyle gerçekleşen kişisel veri işleme faaliyeti nedeniyle Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı olarak işlenmesi önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmediği dikkate alındığında, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca veri sorumlusu hakkında idari para cezası uygulanmasına,
• Veri sorumlusunun ilgili kişinin başvurusuna cevap vermediği dikkate alındığında Kanun kapsamında yapılan başvurulara cevap vermek konusunda gerekli dikkat ve özenin gösterilmesi hususunda veri sorumlusunun talimatlandırılmasına,
• Hukuka aykırı işlendiği değerlendirilen şikâyete konu kişisel verinin imha edilmesi ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir. 

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

8. Bir Eğitim Kurumu Tarafından İlgili Kişinin Cep Telefonu Numarasının Herhangi Bir Veri İşleme Şartına Dayanmaksızın İşlenmesi ve İlgili Numaraya Reklam İçerikli SMS Gönderilmesi Hakkında İdari Para Cezası Uygulanmasına İlişkin Kurul Kararı

Kişisel Verileri Koruma Kurulunun 11/03/2021 Tarihli ve 2021/227 Sayılı Karar Özeti 

Kuruma iletilen şikayet dilekçesinde özetle; ilgili kişinin, şahsına ait cep telefonuna açık rızası olmaksızın bir eğitim kurumu tarafından reklam/bildirim amaçlı SMS gönderilmesi üzerine veri sorumlusuna yaptığı başvuruya yasal süre içerisinde yanıt alamadığı, ihlalin yaygın olduğu ve benzer mesajların herkese gönderildiğinin düşünüldüğü ifade edilerek eğitim kurumu hakkında gerekli işlemlerin tesis edilmesi istenilmiştir.

Konuya ilişkin olarak yapılan değerlendirme neticesinde Kişisel Verileri Koruma Kurulunun 11/03/2021 tarih ve 2021/227 sayılı Kararı ile, 

• Veri sorumlusunca anket yapan firmalardan belirli aralıklarla sosyal medya ve SMS onayı veren kişilerin bilgilerinin alındığı beyanı karşısında; yazıları ekinde gönderilen “Sosyal Medya ve Toplu SMS Anket Formu”nun incelenmesi sonucunda anketin 9 uncu sorusunun “Firmalardan ürünler hakkında bilgi ve tanıtımlarını SMS yoluyla almak ister misiniz” şeklindeki genel nitelikli bir sorunun, “Evet” olarak anlaşıldığı, veri sorumlusu tarafından iletilen belgede açık rızanın unsurlarının bulunmadığı, açık rızanın belirli bir konuya ilişkin olması gerektiği, belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki açık rızaların “battaniye rızalar” olarak kabul edileceği ve hukuken geçersiz sayılacağı hususları doğrultusunda, söz konusu sosyal medya şirketi tarafından yapılan ankette yer alan genel bir soruya verilen cevabın açık rıza kapsamında değerlendirilemeyeceği,
• Ankette belirtilen numaranın anketi dolduran kişiden farklı bir kişiye ait olması ve veri sorumlusunun bu durumu kontrol etme şansının bulunmadığı iddiası karşısında; açık rızanın alındığına ilişkin ispat yükümlülüğünün veri sorumlusuna ait olması nedeniyle “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” tanımına uygun şekilde açık rızanın alınmamış olduğu, battaniye rızanın açık rıza olarak değerlendirilemeyeceği,
• Ticari elektronik iletilere ilişkin alınacak onayların şekline ilişkin 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’un 6 ncı maddesinin “Ticari elektronik iletiler, alıcılara ancak önceden onayları alınmak kaydıyla gönderilebilir.” hükmünü amir olduğu, 15.07.2015 tarihli ve 29417 sayılı Resmi Gazete’de yayımlanan Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmeliğin 7 nci maddesinin (1) numaralı fıkrasında “Onay, yazılı olarak veya her türlü elektronik iletişim aracıyla alınabilir. Onayda, alıcının ticari elektronik ileti gönderilmesini kabul ettiğine dair olumlu irade beyanı, adı ve soyadı ile elektronik iletişim adresi yer alır.”, (3) numaralı fıkrasında “Onayın elektronik ortamda alınması durumunda, onayın alındığı bilgisi, reddetme imkanı da tanınmak suretiyle, alıcının elektronik iletişim adresine aynı gün içinde iletilir.”, (10) numaralı fıkrasında ise “Onayın alındığına ilişkin ispat yükümlülüğü hizmet sağlayıcıya aittir.” hükümlerinin yer aldığı

değerlendirmelerinden hareketle;

• Veri sorumlusunun ticari elektronik ileti göndermesi suretiyle ilgili kişinin kişisel verisi olan telefon numarasını işlemesinin Kanunun 5 inci maddesinde sayılan şartlardan birine dayanmadığı dikkate alındığında Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı olarak işlenmesi önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı kanaatine varılan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına,
• Hukuka aykırı işlendiği tespit edilen kişisel verilerin yok edilmesi hususunda veri sorumlusu eğitim kurumunun talimatlandırılmasına,
• Şikâyete konu olayda ismi geçen medya şirketi tarafından yapılan ankette “Firmalardan ürünler hakkında bilgi ve tanıtımlarını SMS yoluyla almak ister misiniz” şeklindeki sorunun belli bir şirketi işaret eder nitelikte olmadığı, genel nitelikte bir soru olduğu, bu anket kapsamında kişilerden alınan “evet” şeklindeki cevapların açık rıza olarak değerlendirilmesi suretiyle adı geçen eğitim kurumu ile paylaşıldığı, bu çerçevede anket firmasının veri sorumlusu olabileceğinden hareketle söz konusu şirket hakkında Kanunun 15 inci maddesinin (1) numaralı fıkrası kapsamında resen inceleme başlatılmasına

karar verilmiştir. 

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

9. Sigorta Şirketi Tarafından İşlenen Kişisel Verilerin Üçüncü Kişiye Aktarılması ve İlgili Kişiye Veri Aktarımına Dair Aydınlatma Yapılmamasının Hukuka Aykırı Olduğuna İlişkin Kurul Kararı

Kişisel Verileri Koruma Kurulunun 05/04/2021 tarihli ve 2021/333 sayılı Karar Özeti

Kişisel Verileri Koruma Kurumu’na intikal eden şikâyette özetle;

• Maliki olduğu aracı ile geçirdiği trafik kazası sonrası veri sorumlusu sigorta şirketi tarafından kasko poliçesi kapsamında hasar dosyası açıldığı,
• Bununla birlikte veri sorumlusunun çağrı merkezini aradığında aracının pert süreci işlemlerinin üçüncü bir şirket tarafından yapıldığı ve bu şirketin kendisi ile iletişime geçeceğinin söylendiği,
• Söz konusu kasko poliçesinde ve sigorta genel şartları mevzuatında pert işleminde ya da herhangi bir hasar halinde hasarın ya da aracın rayiç değerinin ve sovtaj değerinin tespitinin tarafsız ve bağımsız sigorta eksperince yapılacağının belirtildiği,
• Bununla birlikte veri sorumlusu tarafından üçüncü kişi şirket ile onayı ve bilgisi olmadan kendisine ait aracın kaza fotoğraflarının, kimlik bilgilerini de içeren ruhsatın ve iletişim bilgilerinin paylaşıldığı,
• Ancak üçüncü şirketin veri sorumlusu ile yapılan sözleşmenin tarafı olmadığı ve sözleşmede adının geçmediği,
• Rayiç tespiti ve sigortacılık işlemlerinin ilgili şirket ile yürütülmesinin poliçeye ve sigortacılık mevzuatına aykırı olduğu ve poliçe kapsamında kişisel verilerinin sadece sigorta eksperi ile paylaşılabileceği

belirtilerek, veri sorumlusu tarafından kişisel verilerinin işlenmesinde onay istenmediği ve bildirim yapılmadığı, ayrıca konuya ilişkin veri sorumlusuna yapmış olduğu başvuruya cevap verilmediği ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Bu bilgiler ışığında Kurul tarafından yapılan inceleme ve değerlendirmede;

• Veri sorumlusunun kendisine yapılan başvuruları titizlikle kayıt altına alarak Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e uygun şekilde ilgili kişilerin başvurularına yanıt vermesi konusunda talimatlandırılmasına,
• Şikâyete konu faaliyette veri sorumlusunun kişisel veri paylaşımı yaptığı üçüncü kişi şirketin veri işleyen olduğu dikkate alındığında, ilgili kişinin, açık rıza alınmadan kişisel verilerinin işlenmesinin hukuka aykırı olduğu iddiasına ilişkin olarak, söz konusu işlemenin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” veri işleme şartına dayanılarak gerçekleştirildiği anlaşıldığından söz konusu işlemde hukuka aykırılık bulunmadığına,
• İlgili kişinin, tarafına aydınlatma yapılmadığı iddiasına ilişkin olarak, olay tarihinde yapılan aydınlatmanın usul açısından eksiklikler taşıdığı ancak sonrasında aydınlatma metninin güncellendiği, bununla birlikte söz konusu metinde hâlihazırda hangi kişisel verinin hangi veri işleme şartına dayanılarak işlendiğinin belli olmaması nedeniyle veri sorumlusunun metindeki bu eksikliğin giderilmesi hususunda talimatlandırılmasına

karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

 

10. Banka Tarafından SMS Gönderilmesi ve İlgili Kişinin Banka Nezdindeki Kişisel Verilerinin İmha Edilmesi Talebinin Yerine Getirilmemesinin Hukuka Aykırı Olmadığına İlişkin Kurul Kararı

Kişisel Verileri Koruma Kurulunun 13/04/2021 tarihli ve 2021/358 sayılı Karar Özeti

Kişisel Verileri Koruma Kurumu’na intikal eden şikayette özetle;

• Veri sorumlusu bir banka ile ilgili kişi arasındaki ilişkinin 22/11/2003 tarihinde müşteri numarasının oluşturulmasıyla kurulduğu ve son işleminin de bu tarih olduğu,
• İlgili kişinin veri sorumlusuyla ilişiğinin 16 yıl önce kesilmiş olmasına rağmen kişisel verilerinin veri sorumlusu tarafından halen saklandığı,
• İlgili kişiye SMS’ler gönderildiği ve kredi kartı isteyip istemediğine ilişkin telefon aramalarının yapıldığı, ilgili kişinin bu kapsamda yaptığı başvurunun veri sorumlusuna tebliğ edildiği,
• Ancak veri sorumlusu tarafından ilgili kişiye cevabın mevzuatta belirlenen süre sonrasında iletildiği,
• Veri sorumlusu tarafından verilen cevabın yetersiz olduğu,
• İlgili kişiye verilen cevapta kişisel verilerin yurt dışına aktarılabildiği hususuna yer verildiği, ancak bu konuda ilgili kişinin açık rıza vermediği ve veri sorumlusunun 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 9 uncu maddesi kapsamında yurt dışına veri aktarım istisnalarından yararlanıldığına dair herhangi bir bilgiye de yer verilmediği,

Veri sorumlusu ile ilgili kişi arasında 2003 yılında kurulmuş olan sözleşmesel ilişkinin sona ermiş olmasına rağmen ilgili kişinin kişisel verilerinin silinip silinmeyeceğinin açıkça belirtilmemesinin ve ilgili kişiye ait bilgilerin 10 sene daha saklanmasının açıkça mevzuata aykırı olduğu belirtilerek veri sorumlusu hakkında Kanun kapsamında gerekli tedbirlerin alınması talep edilmiştir.

Bu bilgiler ışığında Kurul tarafından yapılan inceleme ve değerlendirmede;

• Somut olayda, ilgili kişinin veri sorumlusu nezdinde tutulan cep telefon numarasının bir kişisel veri olduğu, kişiye SMS gönderilmesi suretiyle ise kişisel veri niteliğindeki cep telefonu numarası ile ilgili işleme faaliyeti gerçekleştiği,
• İlgili kişinin şikâyet dilekçesinde veri sorumlusu tarafından ilgili kişiye hukuka aykırı olarak mesajlar gönderildiği ve kredi kartı isteyip istemediğine yönelik telefon aramaları gerçekleştirildiği iddia edilse de, dilekçesinin ekinde sadece gönderilen bir adet SMS’e ilişkin görüntü kaydına yer verildiği, buna karşın aramalara ilişkin tevsik edici herhangi bir belgeye yer verilmediği ve ilgili kişi tarafından veri sorumlusuna yapılan başvuruda sadece gönderilen SMS’lerden bahsedildiği anlaşıldığından; ilgili kişinin veri sorumlusuna yöneltmediği ancak şikâyet başvurusunda değindiği “telefon aramaları”nın inceleme kapsamına alınmamasının uygun olacağı,
• Kişinin telefon numarasının Kanunun “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartına dayalı olarak işlendiği, ilgili iletinin yasal bilgilendirme içermesi ve herhangi bir mal veya hizmetin tanıtımının da söz konusu olmaması sebebiyle ilgili kişinin rızasının/izninin alınmasına gerek olmadığı, dolayısıyla veri sorumlusu tarafından ilgili kişiye yasal bilgilendirme içerikli SMS’in gönderilmesi suretiyle telefon numarasının işlenmesinde herhangi bir hukuka aykırılık bulunmadığı,
• İlgili mevzuat hükümleri dikkate alındığında, ilgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin henüz ortadan kalkmaması sebebiyle, ilgili kişinin silme talebinin veri sorumlusu tarafından yerine getirilmemesinin hukuka aykırı olmadığı,

değerlendirmelerinden hareketle;

• İlgili iletinin yasal bilgilendirme içermesi ve herhangi bir mal veya hizmetin tanıtımının da söz konusu olmaması sebebiyle ilgili kişinin rızasının/izninin alınmasına gerek olmadığı bu çerçevede veri sorumlusu tarafından ilgili kişiye yasal bilgilendirme içerikli SMS’in gönderilmesi suretiyle kişisel verilerinin işlenmesinde hukuka aykırılığın bulunmadığı kanısına varıldığından bu hususta Kanun kapsamında yapılacak bir işlemin olmadığına,
• İlgili kişinin veri sorumlusu nezdindeki son işlem tarihinin 13/12/2013’te gerçekleştirilen kredi kartı kapatma işlemi olduğu ve dolayısıyla son işlem tarihi üzerinden 10 yıllık sürenin geçmemiş olduğu dikkate alındığında; ilgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin henüz ortadan kalkmaması sebebiyle silme talebinin veri sorumlusu tarafından yerine getirilmemesinin Kanunun 7 nci maddesi hükümleri dikkate alındığında hukuka aykırı olmadığı kanısına varıldığından bu hususta Kanun kapsamında yapılacak bir işlemin olmadığına,
• İlgili kişinin, kişisel verilerinin veri sorumlusu tarafından yurt dışına aktarıldığı iddiasına ilişkin olarak Kuruma tevsik edici bir bilgi veya belge sunmadığı dikkate alındığında söz konusu iddiaya ilişkin olarak Kanun kapsamında yapılacak bir işlem olmadığına

karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

 

11. Kişisel Verilerinin İlgili Kişinin Bilgisi Dışında Veri Sorumlusu Banka Nezdinde Sorgulanmasının Hukuka Aykırı Olduğuna İlişkin Kurul Kararı

Kişisel Verileri Koruma Kurulunun 12/01/2021 tarihli ve 2021/32 sayılı Karar Özeti

Kişisel Verileri Koruma Kurumu’na intikal eden şikayette özetle;

• Şikâyet edilen banka aracılığıyla, müvekkiline ait kişisel veri niteliğinde bilgilerin sorgulandığı ve bu bilgilerin boşanma davası dosyasına sunulduğu,
• Bahse konu evrakın, müvekkilinin geçmiş yıllara ilişkin karşılıksız çek bilgileri ve yine müvekkili hakkındaki tedbir kararlarına ilişkin olduğu, bu bilgilerin ancak müvekkilinin izin ve onayı dâhilinde sorgulanabileceği,
• Söz konusu sorgulamanın banka aracılığıyla yapılmış olmakla kalmayıp müvekkilinin kişisel verilerinin, kişisel çıkar amacıyla mahkemeye sunulmak suretiyle paylaşıldığı ve bu kapsamda özel hayatın gizliliğinin ihlal edildiği,

Bu durumun 6698 sayılı Kişisel Verilerin Korunması Kanunu’na aykırılık teşkil ettiği ve şikâyet edilen veri sorumlusu bankaya aykırılığı gidermesi ve söz konusu durumdan doğan zararları tazmin etmesi amacıyla iadeli taahhütlü başvuru yapılmasına rağmen 30 günlük yasal süre içerisinde herhangi bir cevap alınamadığı ifade edilerek, veri sorumlusu banka hakkında gerekli işlemlerin yapılması talep edilmiştir.

Bu bilgiler ışığında Kurul tarafından yapılan inceleme ve değerlendirmede;

• İlgili kişinin kişisel verisi niteliğindeki kimlik, müşteri işlem ve finansal bilgilerinin (geçmiş yıllara ilişkin karşılıksız çek ve tedbir kararı bilgileri) veri sorumlusu bünyesinde çalışan kişi tarafından sorgulanıp mahkemeye sunulması nedeniyle söz konusu kişisel verilere kanuni olmayan yollarla başkaları tarafından erişim sağlandığı, Kurulun 31.05.2018 tarih ve 2018/63 sayılı “Veri Sorumlusu Nezdindeki Kişisel Verilere Erişim Yetkisi Bulunan Personelin Yetkisi ve Amacı Dışında Söz Konusu Verileri İşlemesi Hususunun Değerlendirilmesine İlişkin İlke Kararı”nda da düzenlenen bu hususun Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmadığının bir göstergesi olduğu dikkate alındığında, veri sorumlusu Banka hakkında idari yaptırım uygulanmasına,
• Kişisel verilere kanuni olmayan yollarla başkaları tarafından erişim sağlanması halinde Kanunun 12 nci maddesinin (5) numaralı fıkrasında düzenlenen hüküm gereği, bu durumun en kısa sürede ilgilisine ve Kurula bildirilmesi gerektiği hususunda veri sorumlusuna hatırlatmada bulunulmasına,
• 5237 sayılı Türk Ceza Kanunu’nun “Verileri hukuka aykırı olarak verme veya ele geçirme” başlıklı 136 ncı maddesinde yer alan suçların işlenmiş olabileceği dikkate alınarak, Türk Ceza Kanununun 136 ncı maddesi çerçevesinde ilgili kişinin kişisel veri niteliğindeki kimlik, müşteri işlem ve finansal bilgilerini (geçmiş yıllara ilişkin karşılıksız çek ve tedbir kararı bilgileri) sorgulayıp mahkemeye sunan veri sorumlusu bünyesinde çalışan şahıs hakkında gerekli hukuki işlemlerin tesisi için konunun Cumhuriyet Başsavcılığına bildirilebileceği yönünde ilgili kişinin bilgilendirilmesine

karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

12. Grubunda Depolaması Hakkında İdari Para Cezası Uygulanmasına İlişkin Kurul KararıWhatsappTelekomünikasyon Hizmetleri Sunan Bir Veri Sorumlusunun Ürün Satışı Esnasında Müşterilerinin Pasaport Fotoğraflarını Çekerek

Kişisel Verileri Koruma Kurulunun 03/02/2021 tarihli ve 2021/78 sayılı Karar Özeti

Kişisel Verileri Koruma Kurumu’na intikal eden ihbarda özetle;

• Veri sorumlusu tarafından İstanbul Havalimanı şubesinde dış hatlara gelen yolculara kontörlü hat satışı gerçekleştirilirken müşterilerin rızası olmadan, ileride eksik evrak cezası almamak için, müşteri pasaport fotoğraflarının çekilerek çalışanlardan oluşturulan bir whatsapp grubunda depolandığı ve üçüncü kişilerle paylaşıldığı, kendisinin de veri sorumlusunun eski bir çalışanı olarak söz konusu gruplara üye olduğu, bu kapsamda söz konusu gruplarda paylaşılan pasaport fotoğraflarının kendi telefonunda da depolandığı ifade edilerek başvuru ekinde söz konusu pasaport fotoğraflarının örneklerine yer verilmiş ve veri sorumlusu nezdinde gerekli denetimlerin yapılması talep edilmiştir.

Kurul tarafından yapılan inceleme ve değerlendirme neticesinde;

• Veri sorumlusu tarafından sunulan belgelere karşın ihbar ekinde, pasaport bilgilerinin bir grupta paylaşıldığının anlaşılması nedeni ile ihbara ilişkin olarak veri sorumlusu Şirketin Kanunun 12 nci maddesinin (1) numaralı fıkrası kapsamında kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı ve Kanunun 12 nci maddesinin (3) numaralı fıkrası kapsamında yer alan veri sorumlusunun, kendi kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorunda olduğu hükmüne aykırı harekete ettiği kanaatine varıldığından veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına,
• Veri sorumlusunun daha önce bir çalışanın müşteri verilerini sisteme doğru işlememesinden doğan cezaların telekomünikasyon şirketi tarafından veri sorumlusuna rücu edildiği, yine söz konusu çalışana verildiği anlaşılan uyarı yazısında, çalışanın Kişisel Verilerin Korunması Kanununa aykırı davranışlarının kamera ile tespit edildiği, kişinin müşteri kimlik resimlerinin kaydını şahsi cep telefonunda muhafaza ettiğinin anlaşıldığına yönelik ifadelerin yer aldığı ve söz konusu çalışandan kaynaklı olarak veri sorumlusu bünyesinde bir veri ihlali yaşandığı anlaşılmış olup, söz konusu ihlal kapsamında Kurula yapılmış bir bildirim olmadığı dikkate alındığında veri sorumlusu tarafından Kanunun 12 nci maddesinin (5) numaralı fıkrasına uygun hareket edilmemiş olması nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında veri sorumlusu hakkında idari para cezası uygulanmasına,
• 5237 sayılı Türk Ceza Kanunu’nun 136 ncı maddesinde düzenlenen “Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.” hükmü gereğince ihbara konu aykırılıkların sorumluları hakkında Türk Ceza Kanunu kapsamında ihbaren Cumhuriyet Başsavcılığına bildirimde bulunulmasına

karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

 

13. Bankanın Mobil Uygulamalar Üzerinden İlgili Kişiye Rızası Dışında Tanıtım İletileri Göndermesi Hakkında İdari Para Cezası Uygulanmasına İlişkin Kurul Kararı

Kişisel Verileri Koruma Kurulunun 13/04/2021 tarihli ve 2021/361 sayılı Karar Özeti

Kişisel Verileri Koruma Kurumu’na intikal eden şikayet dilekçesinde özetle;

• Veri sorumlusu banka tarafından mobil uygulama üzerinden ilgili kişinin cep telefonuna tanıtım iletileri gönderildiği, veri sorumlusunun tanıtım iletileri gönderme işlemi sırasında ilgili kişinin açık rızasına başvurmadığı, ilgili kişi tarafından yapılan sözlü ve yazılı başvuruların ardından, ilgili kişinin veri sorumlusundaki hesabı ile kredi kartlarının tamamen iptal edildiği, ilgili kişinin veri sorumlusuna yaptığı ikinci başvuruda iptal sebebini sorduğu ve kendisine Kanun kapsamındaki talebi sebebiyle söz konusu iptal işleminin gerçekleştirildiği bilgisinin verildiği, hesabının silinmesi işleminin ilgili kişiyi maddi ve manevi zarara uğrattığı ve başlangıçtaki başvurusunun karşılanmamasının yanı sıra, hesabının kapatılmasının ikinci bir hukuka aykırılık teşkil ettiği belirtilerek veri sorumlusu hakkında gerekli incelemelerin yapılması ve idari para cezası uygulanması talep edilmiştir.

Kurul tarafından yapılan inceleme ve değerlendirmede;

• Veri sorumlusunun ilgili kişilerden usulüne uygun şekilde açık rıza almaksızın tanıtım iletisi göndermek suretiyle hukuka aykırı olarak kişisel veri işleme faaliyetinde bulunmasının Kanunun 12 nci maddesinin (1) numaralı fıkrasında zikredilen uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığını gösterdiği,
• Veri sorumlusunun, Android işletim sistemi kullanıcılarına yönelik olarak işletmekte olduğu mobil uygulamalar üzerinden tanıtım iletisi gönderme seçeneğini, açık rızanın Kanunda yer alan bütün unsurlarına yer verecek şekilde yeniden düzenlemesi ve bu kapsamda uygulamanın varsayılan ayarlarını tanıtım iletisi almama biçiminde kullanıma sunması gerektiği,

vurgulanmış ve;

• Veri sorumlusunun mobil uygulamalar üzerinden usulüne uygun açık rızası alınmaksızın tanıtım iletileri göndermek amacıyla ilgili kişinin kişisel verilerini işlemesinin hukuka aykırı olduğu dikkate alması nedeniyle veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına,
• Bununla birlikte veri sorumlusunun sahibi olduğu mobil uygulama süreçlerini usulüne uygun açık rıza alınabilecek şekilde düzenlemesi ve bu işlemin sonucundan Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

14. İlgili Kişinin Fotoğraflarının Veri Sorumlusuna Ait Bir Sosyal Medya Hesabında Paylaşılması Hakkında İdari Para Cezası Uygulanmasına İlişkin Kurul Kararı

Kişisel Verileri Koruma Kurulunun 27/04/2021 tarihli ve 2021/422 sayılı Karar Özeti

Kişisel Verileri Koruma Kurumu’na intikal eden şikâyet dilekçesinde özetle;

• İş ilişkisinin sona ermesinden sonraki tarihlerde veri sorumlusunun sosyal medya hesabından ilgili kişinin fotoğraflarını kullanarak herkese açık şekilde paylaşımlarda bulunduğu, bu sebeple veri sorumlusuna başvuruda bulunularak ilgili paylaşımının kaldırılması, fotoğrafların ilgili kişiye iade edilmesi, veri sorumlusunda bulunan fotoğrafların yok edilmesi ve veri sorumlusu nezdinde reklam veya başka bir amaçla sosyal medyada kullanılmamasının talep edildiği, ilgili kişinin açık rızası alınmamasına rağmen fotoğrafların paylaşıldığı ve talebe rağmen sosyal medya platformundan kaldırılmadığı, paylaşılan fotoğrafla ilgili olarak ilgili kişiye hiçbir bilgilendirme yapılmadığı ve aydınlatma yükümlülüğünün de yerine getirilmediği, söz konusu fotoğraf paylaşımının 6698 sayılı Kişisel Verilerin Korunması Kanunu’na aykırı olduğu belirtilerek, veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Kurul tarafından yapılan inceleme ve değerlendirme neticesinde;

• İlgili kişinin fotoğraflarının veri sorumlusuna ait sosyal medya hesabından kaldırılmaması nedeniyle veri sorumlusunun Kanunun 5 inci maddesi kapsamında herhangi bir kişisel veri işleme şartına dayanmaksızın kişisel verileri hukuka aykırı şekilde işlemek suretiyle Kanunun 12 nci maddesinin (1) numaralı fıkrası kapsamında uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılması nedeniyle veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına,
• Veri sorumlusunun sosyal medya hesabında bulunan ilgili kişiye ait tüm fotoğrafların kaldırılması ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümleri uyarınca uygun usulle silinmesi/yok edilmesi, söz konusu fotoğrafların başka hiçbir mecrada kullanılmaması ve bu işlemlerin sonucundan Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

 

15. Veri Sorumlusu Banka Tarafından İlgili Kişinin Verilerinin Yakınları İle Paylaşılması Hakkında İdari Para Cezası Uygulanmasına İlişkin Kurul Kararı

Kişisel Verileri Koruma Kurulunun 03/02/2021 tarihli ve 2021/79 sayılı Karar Özeti

Kişisel Verileri Koruma Kurumu’na intikal eden şikayette özetle;

• İlgili kişinin veri sorumlusu Bankanın kredi kartını kullandığı, veri sorumlusu tarafından ilgili kişinin kredi kartı borcuna ilişkin ilgili kişinin ablası ve babasına ait telefon numaralarının arandığı, ilgili kişinin bu hususta veri sorumlusuna başvurarak ailesinin iletişim bilgilerine nasıl ulaşıldığı, kişisel verilerinin üçüncü kişilerle neden paylaşıldığı konularında bilgi talep ettiği, veri sorumlusunun verdiği cevapta, ilgili kişinin kredi kartı borcu bilgilendirilmesi için arandığı ancak ulaşılamadığında alternatif telefon numaralarından da ilgili kişiye ulaşılmaya çalışıldığının, veri sorumlusu ile ilgili kişi arasında yapılan görüşme sonucunda ilgili kişinin veri sorumlusu bünyesinde kayıtlı olan cep telefonu dışındaki diğer numaralardan aranmaması için gerekli sistemsel güncellemelerin tamamlandığının ifade edildiği belirtilerek veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Kurul tarafından yapılan inceleme ve değerlendirme neticesinde;

• Veri sorumlusu tarafından ilgili kişinin ablası ve babasının Risk Merkezi vasıtasıyla temin edilen telefon numarası üzerinden aranması suretiyle ilgili kişinin banka ile münasebetinin yakınları ile paylaşılmasının Kanunun 5 inci maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanmaksızın, hukuka aykırı olarak gerçekleştirildiği dikkate alındığında veri sorumlusunun Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendinde öngörülen “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğünü yerine getirmediği kanaatine varıldığından, veri sorumlusu hakkında, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına

karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

 

16. Veri Sorumlusunun İnternet Sayfasında Yayınladığı Aydınlatma Metinlerinin Belirli ve Açık Olmamasının Hukuka Aykırılığına İlişkin Kurul Kararı

Kişisel Verileri Koruma Kurulunun 03/02/2021 tarihli ve 2021/85 sayılı Karar Özeti

Kişisel Verileri Koruma Kurumu’na intikal eden şikayette özetle;

Veri sorumlusunun e-bültenine kayıt olması esnasında kişisel verilerinin işlenmesine ilişkin bir aydınlatmanın sunulmadığı, 26.06.2019 tarihinde veri sorumlusuna; hangi kişisel verilerinin hangi amaçlarla işlendiği, hangi verilerinin ne kadar süre ile saklandığı ve bu kişisel verilerin üçüncü taraflarla paylaşılıp paylaşılmadığı hususlarının yanıtlanması için başvuruda bulunduğu, veri sorumlusunun bu hususlardaki yanıtlarını içeren cevabî yazısının, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 13 üncü maddesi uyarınca 30 günlük süre içerisinde 23.07.2019 tarihinde ilgili kişiye iletildiği ancak ilgili kişinin veri sorumlusunun cevabını yeterli bulmadığı zira;

• Veri sorumlusunun internet sitesinde bulunan "Kişisel Veriler Politikası" bölümünün bir aydınlatma olmadığı, tüm siteyi kapsamaya çalışan karışık bir metin olduğundan ötürü "belirli ve açık" olmadığı,
• İlgili kişi veri sorumlusuna başvurduğunda kendisine verilen cevap ile veri sorumlusuna ait internet adresinde yer alan Politikanın kimi yerlerde çeliştiği; Politikada IP, Çerez gibi verilerin sayıldığı ancak ilgili kişiye verilen cevapta bu konularda bir bilgilendirmenin yapılmadığı,
• İlgili kişiye verilen cevap metni içerisinde kişisel verilerin, “idarî ve resmî makamlar ile taşıma şirketlerine sınırlı ve orantılı bir şekilde aktarıldığı”nın ifade edildiği fakat Politika metni içerisinde kişisel verilerin "yurt içi/yurt dışı kuruluşlar ile diğer üçüncü kişilere" aktarıldığının söylendiği,
• Politika metni içerisinde birçok veri ve veri aktarımından söz edildiği ancak veri bazında bir bilgilendirmenin yapılmadığı, örneğin kimlik bilgilerinin ya da adreslerin hangi şirketlere aktarıldığı hususunda bir açıklama yer almadığı

ifade edilerek veri sorumlusu hakkında gerekli işlemlerin tesis edilmesi talep edilmiştir.

Kurul tarafından yapılan inceleme ve değerlendirme neticesinde;

• Veri sorumlusunun, internet sitesi üzerinden sipariş verilmesi veya üye olunması gibi ilgili kişilerin kişisel verilerinin işlenmesine sebebiyet verecek işlemler esnasında, o anda ve sonrasında gerçekleştirilecek veri işleme faaliyetine ilişkin bir aydınlatmada bulunmadığı, ilgili kişilerin kişisel verilerinin kullanımı ile ilgili olarak bilgi alabilmek için kendilerinin bahse konu politika metnini arayıp bulmaları gerektiği, bu metnin de tüm siteyi kapsayan bir politika metni hüviyetinde olduğu ve bu durumun Tebliğin 5 inci maddesinin (1) numaralı fıkrasının (g), (ğ) ve (j) bentlerine aykırılık teşkil ettiği kanaatine varılmış olup Kanunun “Şikayet üzerine veya resen incelemenin usul ve esasları”nı düzenleyen 15 inci maddesinin (5) numaralı fıkrasının “Şikayet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması halinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.” hükmü uyarınca veri sorumlusunun, söz konusu hukuka aykırılıkların giderilmesi ve sonucundan Kurula bilgi vermesi hususlarında talimatlandırılmasına

karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz. 

 

17. İş Sözleşmesinin Feshinden Sonra Veri Sorumlusu İşveren Tarafından Çalışanın Şirket Bilgisayarının ve E-Posta Hesabının Kapatılmasının Hukuka Aykırı Olmadığına İlişkin Kurul Kararı

Kişisel Verileri Koruma Kurulunun 09/03/2021 tarihli ve 2021/205 sayılı Karar Özeti

Kişisel Verileri Koruma Kurumu’na intikal eden şikayette özetle;

• İlgili kişinin iş sözleşmesinin feshedildiği tarihe kadar veri sorumlusu şirketin bir çalışanı olduğu, veri sorumlusu tarafından ilgili kişiye noter aracılığıyla ihtarname gönderilerek iş sözleşmesinin haksız olarak sona erdirildiği, işten çıkarma sürecinde şahsına ait iş eşyalarının yanı sıra ailevi özel eşyalarına da el konulduğu, veri sorumlusu şirketin çalışanlarının iş yerindeki odasına girerek masasında yer alan şirket bilgisayarını izinsiz ve haber vermeden aldığı, e-posta hesabının kapatıldığı, e-postalarına erişiminin ve e-posta göndermesinin engellendiği, bilgisayar ve e-postalarına bakıldığı, ilgili kişinin odasında arama yapıldığı, bunların yanında ilgili kişinin şahsına ait kişisel harici hard diskin de alındığı, özel bilgi ve belgeleri, banka bilgileri ve şifreleri ile fotoğraflarının ekrana yansıtılmak suretiyle odasında bulunan kişilerce izlendiği ve bu suretle veri sorumlusu tarafından kişisel verilerine karşı ihlal gerçekleştirildiği ifade edilerek veri sorumlusu hakkında gerekli incelemenin yapılması talep edilmiştir.

Kurul tarafından yapılan inceleme ve değerlendirme neticesinde;

• Veri sorumlusu ile ilgili kişi arasındaki iş sözleşmesi feshedildikten sonra ilgili kişinin kullanımına tahsis edilen şirket bilgisayarının formatlanması ve şirket e-postasının kapatılması suretiyle hesabına erişiminin engellenmesinin Kanuna aykırılık teşkil etmediğine,
• İlgili kişinin, kişisel harici hard diskinin, özel bilgi ve belgelerinin, şahsına ve ailesine ait özel şeylerin, banka bilgilerinin, banka şifrelerinin ve fotoğraflarının ekrana yansıtılmak suretiyle odasında bulunan kişilerce izlendiğine ilişkin iddialarıyla ilgili dosya kapsamında tevsik edici bir bilgi veya belge bulunmadığından bu aşamada yapılacak bir işlem bulunmadığına

karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

 

18. Bankanın, Varlık Yönetim Şirketinin ve Üç Farklı Avukatın Borçlu Olmayan İlgili Kişinin Kişisel Verisini İşleyerek İcra Takibi Başlattıkları İddiası Kapsamında İdari Para Cezası Uygulanmasına İlişkin Kurul Kararı

Kişisel Verileri Koruma Kurulunun 27/04/2021 tarihli ve 2021/424 sayılı Karar Özeti

Kişisel Verileri Koruma Kurumu’na intikal eden şikayet dilekçesinde özetle;

• İlgili kişinin Banka şubesi ile görüştüğü, şube personelinin ilgili kişiye ait kimlik fotokopisini alarak merkeze faks çektiği ve ilgili kişiye, Bankaya borçlu olan şahsın kendisi değil, bir erkek olduğunu söyledikleri fakat aradan geçen yıllar içerisinde Varlık Yönetimi Şirketi tarafından ilgili kişinin sürekli olarak arandığı ve ilgili kişinin o kişinin kendisi olmadığı bilgisini Varlık Yönetim Şirketine iletmesine karşın bu aramaların sürdürüldüğü,
• Söz konusu icra dosyasında gerçek borçluya ilişkin tüm bilgilerin bulunmasına karşın ilgili kişinin kimlik numarasını kullanarak Bankanın, Varlık Yönetim Şirketinin ve üç farklı avukatın borçlu olmayan ilgili kişiye icra takibi başlattıkları,
• Varlık Yönetim Şirketinin söz konusu borcu ilgili kişinin T.C. kimlik numarası üzerinden kaldırmadığı, Banka tarafından düzeltildiği iddia edilen KKB kayıtlarının düzeltilmediği, ilgili kişinin bu hususta aldığı TBB Risk Merkezi Raporunun bunu doğruladığı, BİMER vasıtasıyla alınan Banka yanıtının Varlık Yönetimi Şirketine faks yoluyla bildirilmesine karşın aramaların devam etmekte olduğu,
• Veri sorumlusu Banka, Varlık Yönetimi Şirketi ve avukatların ilgili kişinin T.C. kimlik numarasını nasıl ve nereden edindiğinin meçhul olduğu, bu bilgilerin üçüncü şahıslara verilerek ilgili kişinin mağdur edildiği, kara listeye aldırıldığı ve dosya bilgilerinin incelenmeksizin ilgili kişiye icra takibi yapmakta ısrar edildiği

hususları ifade edilerek anılan taraflar hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında gereğinin yapılması talep edilmiştir.

Kurul tarafından yapılan inceleme ve değerlendirme neticesinde;

• İlgili kişinin kişisel verilerinin Banka tarafından Kanun yürürlüğe girmeden önce işlendiği, akdedilen alacak temlik sözleşmesine dayanarak hukuka uygun olarak Varlık Yönetim Şirketine aktarıldığı, öte yandan ilgili kişinin 2017 yılında yaptığı başvuruya istinaden ilgili kişinin kişisel verilerinin Banka tarafından düzeltildiği dikkate alındığında Veri sorumlusu Banka hakkında Kanun kapsamında yapılacak bir işlem olmadığına,
• Varlık Yönetim Şirketinin ilgili kişinin gerçek borçlu olmadığına dair bilgileri 2017 yılı içerisinde gerek Bankadan gerekse de ilgili kişi cihetinden tarafına ulaşan bilgi ve belgeler vasıtasıyla edinmesine karşın ilgili kişinin kişisel verilerini işlemeye devam ederek borcun tahsili amacıyla ilgili kişinin aranması yoluna gidilerek 2019 yılı Haziran-Temmuz dönemine kadar veri tabanında, UYAP’ta ve TBB Risk Merkezindeki kayıtların düzeltilmediği, ilgili kişinin başvurusuna verilen yanıtta 29.07.2019 tarihinde TBB Risk Merkezindeki kayıtların güncellendiğinin ifade edilmesine karşın bu iddiayı tevsik edici bir belgenin Kuruma iletilmediği, ayrıca ilgili kişinin Kuruma intikal ettirdiği 04.12.2019 tarihli TBB Risk Merkezi Raporunda halen Varlık Yönetim Şirketine dosya bakımından borçlu olarak göründüğü, bu kapsamda Şirketin Kanunun 5 inci maddesinde yer alan işleme şartlarına dayanmaksızın ilgili kişinin kişisel verilerini işlediği dikkate alındığında, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli tedbirleri almadığı kanaatine varılması nedeniyle Varlık Yönetim Şirketi hakkında idari para cezası uygulanmasına,
• Veri sorumlusu Varlık Yönetimi Şirketinin ayrıca ilgili kişinin TBB Risk Merkezinde bulunan bilgilerini güncellediğini ve ilgili kişinin Risk Raporunda bulunan ve esasen kendisine ait olmayan borç bilgilerinin silindiğine dair tevsik edici bilgi, belge ve kayıtları, Kanunun 15 inci maddesinin (5) numaralı fıkrası uyarınca 30 (otuz) günlük yasal süre içerisinde Kurula iletmesi konusunda talimatlandırılmasına

karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

1. İlgili Kişinin Cep Telefonu Numarasının Kampanya Adı Altında Bir Dijital Platform Bayisi Tarafından Edinilmesi, İşlenmesi ve Rızası Olmaksızın Arama Yapılması Hakkında İdari Para Cezası Uygulanmasına İlişkin Kurul Kararı

Kişisel Verileri Koruma Kurulunun 04/06/2021 tarih ve 2021/548 sayılı Kararı

İlgili kişiden alınan şikâyet dilekçesinde özetle;

• Şikâyet olunan dijital platform ile hiçbir ilişkisinin olmamasına karşın ilgili kişinin sürekli olarak 0850’li bir çağrı merkezinden arandığı ve tarafına, bu platforma üye olması yönünde pazarlama yapılmaya çalışıldığı, 
• Bunun üzerine ilgili kişinin reklamı yapılan dijital platformun internet adresinde bulunan irtibat formu vasıtasıyla başvuruda bulunduğu, kendisine e-posta ile verilen yanıtta ise ilgili kişinin müşteri olarak herhangi bir kaydının şirket nezdinde bulunmadığı yanıtını aldığı ancak kendisinin kişisel verilerinin nasıl elde edildiği ve nerelerde kullanıldığına ilişkin sorularına herhangi bir yanıt verilmediği,
• Dolayısıyla işlenen suçun kabul edildiği ancak detay içermeyen bir cevap ile geçiştirilmeye çalışıldığı 

hususları beyan edilerek konunun incelenmesi, şirketin ilgili kişinin kişisel verilerini nasıl elde ettiği hususunda kendisine bilgi vermesi konusunda talimatlandırılması ve gerekli cezai yaptırımın uygulanması talep edilmiştir.  

04/06/2021 tarih ve 2021/548 sayılı Kurul Kararında özetle;

• Her ne kadar bayii ile dijital platform arasında akdedilen sözleşme hükümlerinden genel şekliyle dijital platformun veri sorumlusu, bayinin ise veri işleyen olarak belirlendiği görülmekte ise de somut hadisede bayinin veri işleyen sıfatından çıkarak veri sorumlusu hâline geldiği, zira dijital platformun merkezî CRM sisteminde müşteri/potansiyel müşteri olarak kaydı bulunmayan ilgili kişiyi dijital platformun talimatı veya bilgisi dâhilinde olmaksızın aradığının anlaşıldığı, bu telefon numarası bayiye dijital platform tarafından iletilmediğinden, bayinin veri işleyen olarak, veri sorumlusunun denetimi ve kontrolü altında kişisel veri işleme faaliyeti yürüttüğünden bahsedilemeyeceği,
• Somut olayda bayinin, kendi iradesiyle ve dijital platformdan bağımsız bir şekilde ilgili kişinin açık rızası veya Kanunun 5 inci maddesinin (2) numaralı fıkrasında yer verilen işleme şartlarına dayanmaksızın ilgili kişinin kişisel verisi niteliğindeki telefon numarasını aramak suretiyle kişisel veri işleme faaliyetinde bulunmasından ötürü veri sorumlusu sıfatını haiz olduğu

değerlendirmelerinden hareketle;

• İlgili kişinin kişisel verisi olan telefon numarasının Kanunun 5 inci maddesinde yer alan herhangi bir işleme şartına dayanmaksızın hukuka aykırı elde edildiği ve işlendiği dikkate alındığında Kanunun 12 nci maddesinin (1) numaralı fıkrasında yer alan teknik ve idari tedbirleri almayan veri sorumlusu bayii hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idarî para cezası uygulanmasına

karar verilmiştir.

Bahsi geçen karar özetinin tam metnine  buradan ulaşabilirsiniz.

 

2)Sigortacılık ve Bireysel Emeklilik Alanında Faaliyet Gösteren Bir Şirket Tarafından İlgili Kişiye Ait Kişisel Verilerin Hukuka Aykırı Olarak İşlenmesi Hakkında İdari Para Cezası Uygulanmasına İlişkin Kurul Kararı

Kişisel Verileri Koruma Kurulunun 09/06/2021 tarihli ve 2021/584 sayılı Karar Özeti

Kuruma intikal eden şikayet dilekçesinde özetle; Sigortacılık ve Bireysel Emeklilik alanında faaliyet gösteren bir şirket tarafından ilgili kişinin cep telefonu numarasına “Sayın …., Sizinle görüşmemiz öncesinde, hakkımızdaki özet bilgilere aşağıda yer alan linki tıklayarak kolayca ulaşabilirsiniz… IPTAL: … Ret yazıp …’e gönderiniz. ONAY: … Onay yazıp …’e gönderiniz. Eğer bu mesaja 24 saat içerisinde tarafınızca herhangi bir <> yanıtı iletilmez ise, aranmak için olumlu yanıt verdiğiniz varsayılacaktır…” içerikli bir SMS gönderildiği, kişinin adı geçen şirket ile herhangi bir ilişkisinin olmadığı, veri sorumlusu tarafından ticari elektronik ileti gönderilmesi üzerine ilgili kişi tarafından veri sorumlusuna e-postayla başvuruda bulunulduğu, başvuruda telefon numarası, ad/ soyadının nasıl elde edildiği, başka kişisel verilerinin işlenip işlenmediği hakkında bilgi talebinde bulunduğu, şirket tarafından verilen cevapta SMS gönderen finansal danışmanın elindeki bir soğuk referans listesinden telefon numarasına ulaşıldığı, söz konusu iletinin tarafına tanıtım yapabilmek için izin amaçlı gönderildiği, GSM numarası ve isminin aranmayacak kişiler listesine alındığı, bilgilerin üçüncü şahıslara ya da herhangi bir platforma aktarılmadığı ve referans listelerinden silindiği, taraflarınca gerekli idari ve teknik önlemlerin alındığı bilgisinin verildiği, söz konusu şirket tarafından ilgili kişinin aranmayacak kişiler listesine aktarıldığı bilgisinden kişisel veri işlemeye devam edildiğinin anlaşıldığı, bununla birlikte verilen yanıtta ilgili kişinin ad ve soyadının nasıl elde edildiğine ilişkin bilgiye yer verilmediği, ayrıca, gönderilen iletide ilk 24 saat içinde iptal yanıtı verilmezse aranmak için olumlu yanıt verildiğinin varsayılacağı bilgisinin yer aldığı bu işleyişin hukuka aykırı olduğu belirtilerek yukarıda yer verilen hususlara ilişkin olarak gerekli yaptırımın uygulanması talep edilmiştir.

09/06/2021 tarihli ve 2021/584 sayılı Kurul Kararında özetle;

• İlgili kişinin kişisel verisi niteliğindeki telefon numarasının kısa mesaj gönderilmek amacıyla işlendiği iddiası incelendiğinde ilgili kişinin mesleki yetkinliğinden faydalanmak için kendisine ulaşılmaya çalışılmadığı, aksine şirket faaliyetlerine ilişkin randevu talebi ile ilgili kişiye ulaşıldığı değerlendirilmekte olup bu çerçevede ilgili kişinin kişisel verisi niteliğindeki telefon numarasının reklam, pazarlama ve bilgilendirme amacıyla kısa mesaj gönderilmek suretiyle işlenmesinin Kanunun 5 inci maddesinde yer alan herhangi bir işleme şartına dayanmaksızın gerçekleştirildiği dolayısı ile veri sorumlusunun Kanunun 12 nci maddesinde yer verilen veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı davrandığı kanaatine varıldığından veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmasına,
• Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 6 ncı maddesine uyum konusunda gerekli hassasiyetin gösterilmesi hususunun hatırlatılmasına,
• Kanunun kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini düzenleyen 7 nci maddesi ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun bir biçimde ilgili kişinin kişisel verilerinin imha edilmesi ve imha edildiğine dair kanıtlayıcı belgeler (log kaydı, vs) ile birlikte bu hususta Kurula en geç otuz gün içinde bilgi verilmesi yönünde veri sorumlusu şirketin talimatlandırılmasına

karar verilmiştir.

Bahsi geçen karar özetinin tam metnine  buradan ulaşabilirsiniz.

 

2)İlgili Kişinin Kişisel Verilerinin Bir Tur Şirketi Tarafından Üçüncü Kişilerle Paylaşılmasının Hukuka Aykırı Olmadığına İlişkin Kurul Kararı

Karar Özeti18/03/2021 tarihli ve 2021/242 sayılıKişisel Verileri Koruma Kurulunun

Kuruma intikal eden şikâyet dilekçesinde özetle; ilgili kişinin veri sorumlusu tur şirketinden tatil paketi satın aldığı ve ilgili tüm bilgilerini veri sorumlusu ile paylaştığı, paylaşılan bu verilerin veri sorumlusu tarafından üçüncü bir kişiye aktarıldığı, söz konusu üçüncü kişi tarafından bahsi geçen bilgilerin bir mahkeme dosyasına ve baro şikâyet dilekçesi ekine sunulduğu, veri sorumlusuna yapılan başvuruya verilen cevapta üçüncü kişilere hiçbir şekilde verilmediği söylenen kişisel verilerin mahkeme dosyasında nasıl yer aldığının açıklanmadığı, bu kapsamda ilgili kişinin rızası ve bilgisi olmaksızın kişisel verilerini üçüncü kişilerle paylaşmış olan veri sorumlusu hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında gerekli hukuki ve cezai işlemlerin yapılması talep edilmiştir.    

18/03/2021 tarihli ve 2021/242 sayılı Kurul Kararında özetle;

• Şikâyet dosyasında yer alan konaklamaya ilişkin detayları içeren “Alındı” belgesinin sadece konaklamayı satın alan tarafla paylaşılan bir doküman olduğu ve konaklamanın yapılacağı tesis ile paylaşılmadığı; veri sorumlusunun Kuruma sunduğu log kayıtlarında konaklamaya ilişkin gönderilen “voucher” ve “alındı” dokümanlarının sadece ilgili kişinin e-posta adresine iletildiğinin belirlendiği ve konaklamaya yönelik veri sorumlusu personelinin yaptığı görüntülemelerin her birinin söz konusu belgelerin mahkemeye sunulma tarihi olan 04.04.2019 tarihinden sonra ve ilgili kişinin başvurusuna ve/veya Kurum tarafından yapılan bilgi ve belge talebine istinaden yapılan görüntülemeler olduğu dikkate alındığında, ilgili kişinin verilerinin veri sorumlusu tarafından paylaşıldığını tevsik eden somut bilgi ve belge bulunmadığından ilgili şikâyet hakkında 6698 sayılı Kanun kapsamında tesis edilecek bir işlem bulunmadığına karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz

 

3)Ölenin Sigorta Poliçesine Yasal Mirasçısının Erişim Talebinin Sigorta Şirketi Tarafından Reddedilmesinin Hukuka Aykırı Olmadığına İlişkin Kurul Kararı

Kişisel Verileri Koruma Kurulunun 18/03/2021 tarihli ve 2021/241 sayılı Karar Özeti

Kuruma intikal eden şikâyet dilekçesinde özetle; şikâyetçinin ölen eşi ile veri sorumlusu sigorta şirketi arasında Hayat Sigortası Sözleşmesi kurulduğu, şikâyetçinin eşinin ölüm sebebinin iş kazası olduğunun mahkeme ilamı ile kesinleşmesi üzerine iş kazası nedeni ile yapılması gereken ödeme miktarının tespit edilebilmesi için Poliçenin ibrazı gerekliliğinin hâsıl olduğu, bu kapsamda çeşitli tarihlerde gönderilen ihtarnamelerle veri sorumlusundan söz konusu Poliçenin tesliminin talep edildiği, ancak veri sorumlusunca ilgili kişiye gönderilen yazı ile Kişisel Sağlık Verileri Hakkında Yönetmeliğin 10 uncu maddesi uyarınca “avukatların, müvekkilin sağlık verilerini genel vekaletname ile talep edemeyeceği, ilgili kişinin özel nitelikli kişisel verilerin işlenmesi ve aktarılmasına ilişkin açık rızasını gösteren özel bir hükmün bulunmasının gerektiği ve bu sebeple yazı ekinde gönderilen vekaletnamenin genel vekaletname niteliğinde olduğundan KVKK ve ilgili yönetmelik uyarınca özel nitelikli kişisel veri olan sağlık verilerinin paylaşılmasının mümkün olmadığı” hususları belirtilerek talebin reddedildiği, bunun üzerine şikayetçinin kendi adına yeniden veri sorumlusuna başvurduğu ancak veri sorumlusunca talebin karşılanmayarak hak yoksunluklarına sebep olduğu belirtilmiş ve gereğinin yapılması talep edilmiştir.                                                                                                             

Konuya ilişkin olarak yapılan değerlendirme neticesinde Kişisel Verileri Koruma Kurulunun 18/03/2021 tarih ve 2021/241 sayılı Kararı ile;

• Kişisel Verileri Koruma Kurulunun, Ölü kişilerin verilerine, ölenin yakınlarının erişim talebi hakkındaki 18/09/2019 tarihli ve 2019/273 sayılı  kararında “(…) talep edilen kişisel verilerin talep eden gerçek kişiye ilişkin olmaması ve ölmüş kişiye ait olması sebebiyle talebin, Kanunun 11’inci maddesi kapsamında bir talep olarak değerlendirilmeyeceği kanısına varıldığından bu hususta 6698 sayılı Kanun kapsamında yapılacak bir işlemin olmadığına” karar verildiği, 
• Diğer taraftan 4721 sayılı Türk Medeni Kanunu’nun 499 uncu maddesinde ise sağ kalan eşin, birlikte bulunduğu zümredeki oranlara göre mirasbırakana mirasçı olacağı; 599 uncu maddesinde “Mirasçılar, mirasbırakanın ölümü ile mirası bir bütün olarak, kanun gereğince kazanırlar. Kanunda öngörülen ayrık durumlar saklı kalmak üzere mirasçılar, mirasbırakanın aynî haklarını, alacaklarını, diğer malvarlığı haklarını, taşınır ve taşınmazlar üzerindeki zilyetliklerini doğrudan doğruya kazanırlar ve mirasbırakanın borçlarından kişisel olarak sorumlu olurlar.” hükmüne;  “Özel durumlar” başlıklı 601 inci maddesinin ikinci fıkrasında ise “Kendisine mirasbırakanın ölümünde ödenecek bir sigorta alacağı vasiyet edilen kimse, sigorta sözleşmesinden doğan istem hakkını sigortacıya karşı doğrudan doğruya kullanabilir.” hükmüne yer verildiği, bu doğrultuda ölen eşin kişiliğinin de ölümle birlikte sona erdiği dikkate alındığında her ne kadar hayat sigortası ölen eşin adına yapılmış ve kişilik ölümle son bulduğundan ölen kişinin kişisel verilerine ilişkin talepler Kanun kapsamında değerlendirilemeyecek olsa da, hayat sigortasının lehtarlarının ölen kişinin kanuni mirasçıları olduğu, bu çerçevede ilgili Sigorta Poliçesinin lehtarı olmaları bakımından mirasçıların ilgili kişi niteliği kazandığı, bu sebeple başvurucu için de kanuni mirasçılıktan kaynaklı olarak, Poliçeyi özetler belgede yer alan verilerin kişisel veri niteliği taşıdığı kanaatine varıldığı,
• Öte yandan, 6102 sayılı Türk Ticaret Kanunu’nun “Grup sigortaları” başlıklı 1496 ncı maddesinde “(2) Grupta yer alan her kişiye poliçe içeriğini özetleyen bir belge verilir.” hükmüne yer verildiği,
• Veri sorumlusundan kişisel veri niteliğinde olan “poliçeyi özetler belgeyi” Kanunun 11 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında talep edebileceği ve somut olayda veri sorumlusu tarafından “Poliçeyi özetler belgenin/sertifika”nın ilgili kişiye verildiği; bu anlamda Kanunun 11 inci maddesinden kaynaklanan erişim hakkının kişiye sağlandığı 

değerlendirmelerinden hareketle; 

• 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 3 üncü maddesinde ilgili kişinin “kişisel verileri işlenen gerçek kişi” olarak tanımlandığı, 4721 sayılı Türk Medeni Kanununun 28 inci maddesinde ise kişiliğin, çocuğun sağ olarak tamamıyla doğduğu anda başladığı ve ölümle sona erdiği hükmünün yer aldığı, ölen eşin kişiliğinin de ölümle birlikte sona erdiği dikkate alındığında her ne kadar hayat sigortası ölen eşin adına yapılmış ve kişilik ölümle son bulduğundan ölen kişinin kişisel verilerine ilişkin talepler Kanun kapsamında değerlendirilemeyecek olsa da, hayat sigortasının lehdarlarının ölen kişinin kanuni mirasçıları olduğu, bu çerçevede ilgili Sigorta Poliçesinin lehdarı olmaları bakımından mirasçıların ilgili kişi niteliği kazandığı, bu sebeple ilgili kişi için de kanuni mirasçılıktan kaynaklı olarak, poliçeyi özetler belgede yer alan verilerin kişisel veri niteliği taşıdığı; öte yandan grup sigortalarına ilişkin hususların 6102 sayılı Türk Ticaret Kanunu’nda düzenlendiği, sigortalanan kişilere poliçe yerine poliçeyi özetler belgenin verileceğinin anılan Kanunda hüküm altına alındığı ve somut olayda veri sorumlusu tarafından  “Poliçeyi özetler belgenin/sertifika”nın ilgili kişiye verildiği; bu anlamda Kanunun 11 inci maddesinden kaynaklanan erişim hakkının kişiye sağlandığı dikkate alındığında söz konusu şikayet hakkında Kanun kapsamında yapılacak bir işlem olmadığına karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz  

4. İlgili Kişinin Kişisel Verisinin Kamu Kurumu Personeli Olarak Görev Yapan Eski Eşi Tarafından Sorgulanarak Elde Edilmesi ve Adli Makamlar ile Paylaşılmasının Hukuka Aykırı Olduğuna İlişkin Kurul Kararı

Kişisel Verileri Koruma Kurulunun 11/03/2021 tarihli ve 2021/230 sayılı Karar Özeti

Kuruma intikal eden şikâyet dilekçesinde özetle; ilgili kişinin kamu kurumu personeli olarak görev yapan, boşanma sürecinde olduğu eşi tarafından görevi kötüye kullanmak suretiyle kendisine erişim yetkisi verilen bir sistem üzerinden, maaş bilgilerinin sorgulandığı, boşanma davasına ilişkin yargılama sürecinde talep edilmemesine rağmen bu bilginin mahkeme ile paylaşıldığı, belirtilen bu program ya da sistemle T.C. kimlik numarası bilinen kişilerin maaşlarının öğrenilmesinin hem 4A/4B bilgisinin kişiselliğine hem de özel şirketlerdeki maaş gizliliğinin ihlaline sebebiyet verdiği hususları ifade edilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin olarak yapılan incelemede Kişisel Verileri Koruma Kurulunun 11/03/2021 tarihli ve 2021/230 sayılı Kararı ile;

• Somut olayda veri sorumlusu Kurum bünyesinde, kişilerin kimlik numaraları ile SGK Sorgulaması yapılması kapsamında kişisel verilerin işlenmesinin Kanunun 5 inci maddesinin 2 numaralı fıkrasının (ç) bendine göre veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olduğu, bununla birlikte veri sorumlusunun hizmetlerini elektronik ortamda sürdürmesine ilişkin mevzuatta “Kişisel Verilerin Korunması” başlıklı maddede sistemde yer alan kişisel verilerin kullanılmasında mevzuatta yer alan özel hayatın gizliliğine ilişkin hükümlerin esas alınacağı, ayrıca kullanıcılardan alınan bilgilerin, tanımlanmış hizmetler ve yasal mükellefiyetlerin yerine getirilmesi dışında başka bir amaçla kullanılamayacağının düzenlendiği, 
• Bu doğrultuda ilgili kişinin kişisel verisinin, kendisi tarafından talep edilmeksizin görev yapan eski eşi tarafından Portal üzerinden sorgulanarak elde edildiği ve söz konusu kişisel verilerin mahkeme ile paylaşıldığı da dikkate alındığında, kişisel veri işleme faaliyetinde kişisel verilerin, hem üçüncü kişilere verildiği hem de görev yetkisi ve tanımlanmış hizmetin dışında bir işleme faaliyetinde işlendiği göz önünde bulundurulduğunda kişisel verilerin hukuka aykırı işlenmesi ve erişilmesini önlemek ile muhafazasını sağlamak amacıyla veri güvenliğine ilişkin yükümlülüklere uyulmadığı sonucuna varıldığı

değerlendirmelerinden hareketle, 

• İlgili kişinin kişisel verisinin, veri sorumlusu bünyesinde çalışan bir personel tarafından tanımlanmış hizmetlerin ve yasal mükellefiyetlerin yerine getirilmesi dışında başka bir amaçla kullanılması suretiyle işlenmesinin Kanunun 5 inci maddesinde yer alan işleme şartlarından birine dayanmaması nedeniyle hukuka aykırı olduğu ayrıca Kanunun 4 üncü maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak işlenmesi ilkesine aykırı bir veri işleme faaliyetinin gerçekleştiği, bu kapsamda söz konusu faaliyetinin Kanunun 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil ettiği değerlendirildiğinden Kanunun 18 inci maddesinin (3) numaralı fıkrası uyarınca veri sorumlusu bünyesinde görev yapan söz konusu personel hakkında disiplin hükümlerine göre işlem yapılması, öte yandan kişisel verilere erişim yetkisi bulunan personelin söz konusu verilere amacı dışında erişmesinin önlenmesi hususunda 31/05/2018 tarih ve 2018/63 sayılı Kişisel Verileri Koruma Kurulu İlke Kararı da dikkate alınarak gerekli tedbirlerin alınması ve yapılacak işlemlerin sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

5. İlgili Kişinin Fotoğrafının Öğrencisi Olduğu Okul Tarafından Kullanılmasının Hukuka Aykırı Olmadığına İlişkin Kurul Kararı

Kişisel Verileri Koruma Kurulunun 09/06/2021 Tarihli 2021/572 Sayılı Karar Özeti

Kuruma intikal eden şikayette özetle; ilgili kişinin öğrenci olarak öğretmenleri ile yaptığı bir görüşmede rızası olmaksızın fotoğrafının çekildiği, çekilen fotoğrafının ticari amaçla okul tarafından bastırılan broşürde kullanıldığı ve kendi internet sitesinde yayınlandığı, ilgili kişi ve velisinin kişisel verilerin işlenmesine, yayımlanmasına veya kullanılmasına zımni veya açık bir rıza vermediği, konuya ilişkin veri sorumlusuna başvuruda bulunulduğu ancak verilen cevabın yetersiz olduğu ifade edilerek, 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca veri sorumlusu okul hakkında gerekli işlemlerin tesis edilmesi talep edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 09/06/2021 tarih ve 2021/572 sayılı kararı ile;

• Veri sorumlusunun internet sitesinde yapılan incelemede şikayete konu fotoğrafların yer aldığı iddia edilen okul broşürünün halihazırda internet sitesinde erişime açık şekilde “pdf” formatında yer aldığı, şikayet konusu fotoğrafların da anılan broşürün 6 ncı ve 9 uncu sayfalarında yer aldığının görüldüğü,
• Şikayetçi veli tarafından, ilgili kişinin fotoğraflarının veri sorumlusu tarafından açık rızası olmaksızın hukuka aykırı olarak işlendiği iddiası ile ilgili olarak veri sorumlusunun Kurumu muhatap cevap yazıları ve ekleri incelendiğinde; veri sorumlusu tarafından öğrencilerin kişisel verisi olan fotoğraflarının paylaşılmak suretiyle işlenmesine ilişkin “sosyal medya paylaşımı” konulu bir bilgilendirme metninin düzenlendiği, anılan metinde “Okulumuzda yapılacak etkinliklerde öğrencilerimizin fotoğraf ve videoları çekilmektedir. Öğrencilerimizin fotoğraf ve videolarının resmi web sitesinde sosyal medya hesaplarında, okul dergimiz ve okul panolarımızda paylaşılması ile ilgili aşağıdaki izin yazısını doldurarak sınıf/mentor öğretmeninize göndermenizi rica ederim” şeklinde bilgilendirmeye yer verildiği; söz konusu paylaşıma izin verilmesine ilişkin olarak öğrenci velilerinden izin alınmasına yönelik bu metnin alt kısmında ayrı bir bölümün düzenlendiği, bu bölümde ise söz konusu sosyal medya paylaşım yazısının okunduğu ve okul bünyesinde yapılacak etkinliklerde çekilen fotoğraf ve videoların kullanılmasına izin verildiği ya da verilmediğine ilişkin iki seçeneğin sunulduğu; somut olayda ise şikayetçi veli tarafından ilgili kişinin fotoğraflarının belirtilen amaçlar kapsamında kullanılmak suretiyle işlenmesine izin verildiğine ilişkin seçeneğin seçildiği ve belgenin ıslak imza ile imzalanarak açık rıza verildiğinin görüldüğü,
• Şikayet dilekçesi ve eklerinden ilgili kişi vekilinin veri sorumlusundan, şikayete konu kişisel verilerinin silinmesini talep ettiği ancak veri sorumlusu tarafından bahse konu fotoğrafın aktif olarak kullanımda olmadığı ve yeni bir paylaşım durumunun da söz konusu olmadığı hususlarına yer verilmiş olmasına rağmen şikayete konu fotoğrafların muhafaza edilme süresi ile silinmesi veya yok edilmesine ilişkin herhangi bir bilgiye yer verilmediği, bu kapsamda ilgili kişinin okul ile öğrencilik ilişkisinin 2018-2019 yıllarında mevcut olduğu ve güncel durumda ise okul ile arasında öğrencilik ilişkisinin kalmadığı anlaşıldığından Kanunun 15 inci maddesinin (5) numaralı fıkrası uyarınca, şikayet konusu fotoğraftaki ilgili kişinin görüntüsünün ayrılabilir olup olmadığının veri sorumlusunca ele alınması gerektiği

değerlendirmelerinden hareketle;

• Şikayet konusu fotoğrafların paylaşılmasına yönelik veri işleme faaliyetinin Kanunun 5 inci maddesinin (1) numaralı fıkrasında yer alan ilgili kişinin/velisinin açık rızası hukuki dayanağı çerçevesinde gerçekleştirildiği kanaatine varılmış olup ilgili kişinin fotoğraflarının haksız ve hukuka aykırı olarak ticari amaçla bastırılıp dağıtıldığı ve internet sitesinde paylaşıldığı iddiası hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına,
• Veri sorumlusu tarafından ilgili kişinin talepleri hakkında yeterli açıklamaya yer verilmediği dikkate alındığında veri sorumlusu okulun 6698 sayılı Kanun ve “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ”in ilgili hükümlerine uyum konusunda gerekli dikkat ve özeni göstermesi gerektiği konusunda talimatlandırılmasına,
• İlgili kişinin okul ile öğrencilik ilişkisinin 2018-2019 yıllarında mevcut olduğu ve güncel durumda ise okul ile arasında öğrencilik ilişkisinin kalmadığı anlaşıldığından Kanunun 15 inci maddesinin (5) numaralı fıkrası uyarınca, şikayet konusu fotoğraftaki ilgili kişinin görüntüsünün ayrılabilir olup olmadığının veri sorumlusunca değerlendirilerek buzlanması ya da imha edilmesi ve sonucundan Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına,
• Veri sorumlusuna tebliğ edilmesinden sonra geçerli olmak üzere, veri sorumlusu tarafından okul bünyesinde çekilen fotoğraf ve videoların çeşitli mecralarda paylaşılmasına ilişkin daha önce hazırlanmış olan aydınlatma ve açık rıza metinlerinin Kanunun 3 üncü maddesinde yer alan unsurlar ve Aydınlatma Tebliğinde yer verilen hükümler dikkate alınmak ve bu yönde alınacak açık rızanın okulu tanıtıcı basılı yayınlarda/broşürlerde, web sitesinde veya sosyal medya hesaplarında paylaşılmasına yönelik her bir işleme faaliyeti özelinde ilgili kişilere ayrı ayrı seçenek sunulmak suretiyle revize edilmesi gerektiği yönünde veri sorumlusunun bilgilendirilmesine

karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

 

6. Avukat Tarafından İlgili Kişinin Kişisel Verilerinin Muhatabı ve Tarafı Olmadığı İcra Takibi İle İlgili İşlemlerde Hukuka Aykırı Olarak İşlenmesi Ve İcra Dosyasına İlişkin İlgili Kişinin Telefon Numaralarına Mesajlar Gönderilmesi Hakkında İdari Para Cezasına Uygulanmasına İlişkin Kurul Kararı

 Kişisel Verileri Koruma Kurulunun 11/03/2021 tarihli ve 2021/228 sayılı Karar Özeti

Kuruma intikal eden şikayette özetle; ilgili kişinin şahsına ait telefon numaralarına çeşitli tarihlerde, muhatabı ve tarafı olmadığı icra dosyası ile ilgili (alacaklı telekomünikasyon şirketi adına hareket eden) hukuk bürosu tarafından mesajlar gönderildiği, söz konusu mesajlarla ilgili herhangi bir muhataplık sıfatının, mesajda bahsi geçen icra dosyasında ise alacaklı ya da borçluluk sıfatının bulunmadığı, bunun üzerine gerek alacaklı telekomünikasyon şirketi gerek avukat-hukuk bürosuna yaptığı başvuruya yasal süre içerisinde yanıt alamaması nedeniyle Kişisel Verileri Koruma Kuruluna şikâyette bulunulduğu belirtilmiştir.

Konuya ilişkin olarak yapılan değerlendirme neticesinde Kişisel Verileri Koruma Kurulunun 11/03/2021 tarih ve 2021/228 sayılı Kararı ile;

• Somut olayda, Kuruma iletilen yasal takip otomasyon sistemlerine ilişkin ekran görüntülerinde yalnızca borçlu olan tüzel kişinin bilgisinin yer aldığı, herhangi bir iletişim bilgisinin yer almadığı görüldüğünden alacaklı telekomünikasyon şirketinin şikâyete konu olayda veri sorumlusu sıfatını haiz olmadığı, 
• Bu doğrultuda veri sorumlusunun, vekil sıfatıyla taraflarına devredilen icra dosyası kapsamındaki veri işleme süreçlerinde serbestçe karar verme yetkisine sahip olan ve ilgili kişinin şikâyetine konu kişisel verilerinin işleme amaç ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan hukuk bürosu adına hareket eden ilgili avukat olduğu, 
• Avukatların müvekkilleri adına, müvekkilin hak ve menfaatlerini korumak amacıyla hareket ettiği durumlarda Avukatlık Kanunu’ndan kaynaklanan yükümlülükleri ve yürütmekte olduğu icra işlemleri bakımından İcra ve İflas Kanunu ve ikincil mevzuat düzenlemelerinden kaynaklanan hukuki yükümlülüklerini yerine getirmek amacıyla borçluya ait bilgileri, kanuna uygun olarak işleme ve ilgili birim/mercilere bildirme yetkisi olduğu ve bu bağlamda işlediği kişisel verileri Kanunun 5 inci maddesinin (2) numaralı fıkrası çerçevesinde ilgili kişinin açık rızası olmaksızın işlemesinin hukuka uygun olduğu,
• İlgili kişinin borçlu Şirket ile olan ilişkisine ilişkin, veri sorumlusunun yazı ekinde ilettiği Ticaret Sicil Gazetesinden ilgili kişinin borçlu Şirketin ortağı olduğunun görüldüğü, ancak bu kapsamda yapılan incelemede, ilgili kişinin hissesini devrettiği ve Şirket ortaklığının son bulduğunun değerlendirildiği, borçlu Şirket ortaklığının son bulduğu bilgisinin Ticaret Sicil Gazetesinde ilan edildiği,
• İncelemeye konu olayda, ilgili kişinin borçlu Şirket ortaklığının son bulduğu bilgisinin 31.03.2015 tarihinde Ticaret Sicil Gazetesinde ilan edildiği, ancak borçlu Şirketin icra takibine ilişkin mesajların ilgili kişiye 2019 tarihinde gönderildiği hususları göz önünde bulundurulduğunda bu süre zarfında veri sorumlusu tarafından Ticaret Sicil Gazetesi üzerinden yapılan araştırmada ilgili kişinin borçlu Şirket ortaklığının son bulduğu bilgisine de ulaşabileceği sonucuna varıldığı,
• İlgili kişi tarafından gönderilen başvuru dilekçesi ve dilekçenin tebliğine ilişkin PTT Gönderi Takip belgesinin incelenmesi neticesinde, başvurusunun veri sorumlusuna teslim edildiğinin anlaşıldığı

değerlendirmelerinden hareketle, 

• Alacaklı telekomünikasyon şirketinin veri sorumlusu sıfatını haiz olmadığı değerlendirildiğinden hakkında yapılacak bir işlem olmadığına, 
• Veri sorumlusu sıfatını haiz olduğu değerlendirilen avukat tarafından halihazırda herhangi bir ilgisinin bulunmadığı borçlu şirketin icra takibine ilişkin mesajlar gönderilmesi suretiyle ilgili kişinin kişisel verisi olan telefon numaralarının işlenmesinin Kanunun 5 inci maddesinde sayılan işleme şartlarından herhangi birine dayanmadığı değerlendirildiğinden Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmediği kanaatine varılan veri sorumlusu avukat hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına,
• İlgili kişilerin başvurularına Kanunun ilgili maddeleri ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e uygun bir cevap verilmesi kapsamında gerekli dikkat ve özenin gösterilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

7)Veri Sorumlusu Tarafından İlgili Kişinin Cep Telefonu Numarasına Reklam Amaçlı SMS Gönderilmesi Hakkında İdari Para Cezası Uygulanmasına İlişkin Kurul Kararı

 

Kişisel Verileri Koruma Kurulunun 04/06/2021 Tarihli 2021/545 Sayılı Karar Özeti

 

Kuruma intikal eden şikâyette özetle; veri sorumlusu sıfatını haiz Hastane tarafından ilgili kişinin telefonuna reklam ve pazarlama amaçlı SMS gönderildiği, bununla birlikte ilgili kişi tarafından veri sorumlusuna kişisel verilerin işlenmesi konusunda açık rıza verilmediği ifade edilerek veri sorumlusu hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında gereğinin yapılması talep edilmiştir.

 

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 04/06/2021 tarih ve 2021/545 sayılı kararı ile; 

• Veri sorumlusunun iddialarında yer verilen SMS içeriklerinin ilgili kişiye gönderilen SMS içerikleri ile uyuştuğu ve mesajda belirtilen MERSİS numarasının veri sorumlusuna ait olduğu,
• Veri sorumlusunun kendisine herhangi bir başvuru yapılmadığı iddiasına ilişkin şikâyetçi vekili tarafından veri sorumlusuna ihtarname gönderildiği ve ilgili barkod numaralı ihtarnamenin teslim alındığının anlaşıldığı

değerlendirmelerinden hareketle;

• Veri sorumlusunun, ilgili kişinin kişisel verisi niteliğindeki telefon numarasına Kanunun 5 inci maddesinde sayılan şartlardan birine dayanmaksızın SMS göndermesi suretiyle gerçekleşen kişisel veri işleme faaliyeti nedeniyle Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı olarak işlenmesi önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmediği dikkate alındığında, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca veri sorumlusu hakkında idari para cezası uygulanmasına,
• Veri sorumlusunun ilgili kişinin başvurusuna cevap vermediği dikkate alındığında Kanun kapsamında yapılan başvurulara cevap vermek konusunda gerekli dikkat ve özenin gösterilmesi hususunda veri sorumlusunun talimatlandırılmasına,
• Hukuka aykırı işlendiği değerlendirilen şikâyete konu kişisel verinin imha edilmesi ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir. 

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

8. Bir Eğitim Kurumu Tarafından İlgili Kişinin Cep Telefonu Numarasının Herhangi Bir Veri İşleme Şartına Dayanmaksızın İşlenmesi ve İlgili Numaraya Reklam İçerikli SMS Gönderilmesi Hakkında İdari Para Cezası Uygulanmasına İlişkin Kurul Kararı

Kişisel Verileri Koruma Kurulunun 11/03/2021 Tarihli ve 2021/227 Sayılı Karar Özeti 

Kuruma iletilen şikayet dilekçesinde özetle; ilgili kişinin, şahsına ait cep telefonuna açık rızası olmaksızın bir eğitim kurumu tarafından reklam/bildirim amaçlı SMS gönderilmesi üzerine veri sorumlusuna yaptığı başvuruya yasal süre içerisinde yanıt alamadığı, ihlalin yaygın olduğu ve benzer mesajların herkese gönderildiğinin düşünüldüğü ifade edilerek eğitim kurumu hakkında gerekli işlemlerin tesis edilmesi istenilmiştir.

Konuya ilişkin olarak yapılan değerlendirme neticesinde Kişisel Verileri Koruma Kurulunun 11/03/2021 tarih ve 2021/227 sayılı Kararı ile, 

• Veri sorumlusunca anket yapan firmalardan belirli aralıklarla sosyal medya ve SMS onayı veren kişilerin bilgilerinin alındığı beyanı karşısında; yazıları ekinde gönderilen “Sosyal Medya ve Toplu SMS Anket Formu”nun incelenmesi sonucunda anketin 9 uncu sorusunun “Firmalardan ürünler hakkında bilgi ve tanıtımlarını SMS yoluyla almak ister misiniz” şeklindeki genel nitelikli bir sorunun, “Evet” olarak anlaşıldığı, veri sorumlusu tarafından iletilen belgede açık rızanın unsurlarının bulunmadığı, açık rızanın belirli bir konuya ilişkin olması gerektiği, belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki açık rızaların “battaniye rızalar” olarak kabul edileceği ve hukuken geçersiz sayılacağı hususları doğrultusunda, söz konusu sosyal medya şirketi tarafından yapılan ankette yer alan genel bir soruya verilen cevabın açık rıza kapsamında değerlendirilemeyeceği,
• Ankette belirtilen numaranın anketi dolduran kişiden farklı bir kişiye ait olması ve veri sorumlusunun bu durumu kontrol etme şansının bulunmadığı iddiası karşısında; açık rızanın alındığına ilişkin ispat yükümlülüğünün veri sorumlusuna ait olması nedeniyle “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” tanımına uygun şekilde açık rızanın alınmamış olduğu, battaniye rızanın açık rıza olarak değerlendirilemeyeceği,
• Ticari elektronik iletilere ilişkin alınacak onayların şekline ilişkin 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’un 6 ncı maddesinin “Ticari elektronik iletiler, alıcılara ancak önceden onayları alınmak kaydıyla gönderilebilir.” hükmünü amir olduğu, 15.07.2015 tarihli ve 29417 sayılı Resmi Gazete’de yayımlanan Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmeliğin 7 nci maddesinin (1) numaralı fıkrasında “Onay, yazılı olarak veya her türlü elektronik iletişim aracıyla alınabilir. Onayda, alıcının ticari elektronik ileti gönderilmesini kabul ettiğine dair olumlu irade beyanı, adı ve soyadı ile elektronik iletişim adresi yer alır.”, (3) numaralı fıkrasında “Onayın elektronik ortamda alınması durumunda, onayın alındığı bilgisi, reddetme imkanı da tanınmak suretiyle, alıcının elektronik iletişim adresine aynı gün içinde iletilir.”, (10) numaralı fıkrasında ise “Onayın alındığına ilişkin ispat yükümlülüğü hizmet sağlayıcıya aittir.” hükümlerinin yer aldığı

değerlendirmelerinden hareketle;

• Veri sorumlusunun ticari elektronik ileti göndermesi suretiyle ilgili kişinin kişisel verisi olan telefon numarasını işlemesinin Kanunun 5 inci maddesinde sayılan şartlardan birine dayanmadığı dikkate alındığında Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı olarak işlenmesi önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı kanaatine varılan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına,
• Hukuka aykırı işlendiği tespit edilen kişisel verilerin yok edilmesi hususunda veri sorumlusu eğitim kurumunun talimatlandırılmasına,
• Şikâyete konu olayda ismi geçen medya şirketi tarafından yapılan ankette “Firmalardan ürünler hakkında bilgi ve tanıtımlarını SMS yoluyla almak ister misiniz” şeklindeki sorunun belli bir şirketi işaret eder nitelikte olmadığı, genel nitelikte bir soru olduğu, bu anket kapsamında kişilerden alınan “evet” şeklindeki cevapların açık rıza olarak değerlendirilmesi suretiyle adı geçen eğitim kurumu ile paylaşıldığı, bu çerçevede anket firmasının veri sorumlusu olabileceğinden hareketle söz konusu şirket hakkında Kanunun 15 inci maddesinin (1) numaralı fıkrası kapsamında resen inceleme başlatılmasına

karar verilmiştir. 

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

9. Sigorta Şirketi Tarafından İşlenen Kişisel Verilerin Üçüncü Kişiye Aktarılması ve İlgili Kişiye Veri Aktarımına Dair Aydınlatma Yapılmamasının Hukuka Aykırı Olduğuna İlişkin Kurul Kararı

Kişisel Verileri Koruma Kurulunun 05/04/2021 tarihli ve 2021/333 sayılı Karar Özeti

Kişisel Verileri Koruma Kurumu’na intikal eden şikâyette özetle;

• Maliki olduğu aracı ile geçirdiği trafik kazası sonrası veri sorumlusu sigorta şirketi tarafından kasko poliçesi kapsamında hasar dosyası açıldığı,
• Bununla birlikte veri sorumlusunun çağrı merkezini aradığında aracının pert süreci işlemlerinin üçüncü bir şirket tarafından yapıldığı ve bu şirketin kendisi ile iletişime geçeceğinin söylendiği,
• Söz konusu kasko poliçesinde ve sigorta genel şartları mevzuatında pert işleminde ya da herhangi bir hasar halinde hasarın ya da aracın rayiç değerinin ve sovtaj değerinin tespitinin tarafsız ve bağımsız sigorta eksperince yapılacağının belirtildiği,
• Bununla birlikte veri sorumlusu tarafından üçüncü kişi şirket ile onayı ve bilgisi olmadan kendisine ait aracın kaza fotoğraflarının, kimlik bilgilerini de içeren ruhsatın ve iletişim bilgilerinin paylaşıldığı,
• Ancak üçüncü şirketin veri sorumlusu ile yapılan sözleşmenin tarafı olmadığı ve sözleşmede adının geçmediği,
• Rayiç tespiti ve sigortacılık işlemlerinin ilgili şirket ile yürütülmesinin poliçeye ve sigortacılık mevzuatına aykırı olduğu ve poliçe kapsamında kişisel verilerinin sadece sigorta eksperi ile paylaşılabileceği

belirtilerek, veri sorumlusu tarafından kişisel verilerinin işlenmesinde onay istenmediği ve bildirim yapılmadığı, ayrıca konuya ilişkin veri sorumlusuna yapmış olduğu başvuruya cevap verilmediği ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Bu bilgiler ışığında Kurul tarafından yapılan inceleme ve değerlendirmede;

• Veri sorumlusunun kendisine yapılan başvuruları titizlikle kayıt altına alarak Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e uygun şekilde ilgili kişilerin başvurularına yanıt vermesi konusunda talimatlandırılmasına,
• Şikâyete konu faaliyette veri sorumlusunun kişisel veri paylaşımı yaptığı üçüncü kişi şirketin veri işleyen olduğu dikkate alındığında, ilgili kişinin, açık rıza alınmadan kişisel verilerinin işlenmesinin hukuka aykırı olduğu iddiasına ilişkin olarak, söz konusu işlemenin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” veri işleme şartına dayanılarak gerçekleştirildiği anlaşıldığından söz konusu işlemde hukuka aykırılık bulunmadığına,
• İlgili kişinin, tarafına aydınlatma yapılmadığı iddiasına ilişkin olarak, olay tarihinde yapılan aydınlatmanın usul açısından eksiklikler taşıdığı ancak sonrasında aydınlatma metninin güncellendiği, bununla birlikte söz konusu metinde hâlihazırda hangi kişisel verinin hangi veri işleme şartına dayanılarak işlendiğinin belli olmaması nedeniyle veri sorumlusunun metindeki bu eksikliğin giderilmesi hususunda talimatlandırılmasına

karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

 

10. Banka Tarafından SMS Gönderilmesi ve İlgili Kişinin Banka Nezdindeki Kişisel Verilerinin İmha Edilmesi Talebinin Yerine Getirilmemesinin Hukuka Aykırı Olmadığına İlişkin Kurul Kararı

Kişisel Verileri Koruma Kurulunun 13/04/2021 tarihli ve 2021/358 sayılı Karar Özeti

Kişisel Verileri Koruma Kurumu’na intikal eden şikayette özetle;

• Veri sorumlusu bir banka ile ilgili kişi arasındaki ilişkinin 22/11/2003 tarihinde müşteri numarasının oluşturulmasıyla kurulduğu ve son işleminin de bu tarih olduğu,
• İlgili kişinin veri sorumlusuyla ilişiğinin 16 yıl önce kesilmiş olmasına rağmen kişisel verilerinin veri sorumlusu tarafından halen saklandığı,
• İlgili kişiye SMS’ler gönderildiği ve kredi kartı isteyip istemediğine ilişkin telefon aramalarının yapıldığı, ilgili kişinin bu kapsamda yaptığı başvurunun veri sorumlusuna tebliğ edildiği,
• Ancak veri sorumlusu tarafından ilgili kişiye cevabın mevzuatta belirlenen süre sonrasında iletildiği,
• Veri sorumlusu tarafından verilen cevabın yetersiz olduğu,
• İlgili kişiye verilen cevapta kişisel verilerin yurt dışına aktarılabildiği hususuna yer verildiği, ancak bu konuda ilgili kişinin açık rıza vermediği ve veri sorumlusunun 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 9 uncu maddesi kapsamında yurt dışına veri aktarım istisnalarından yararlanıldığına dair herhangi bir bilgiye de yer verilmediği,

Veri sorumlusu ile ilgili kişi arasında 2003 yılında kurulmuş olan sözleşmesel ilişkinin sona ermiş olmasına rağmen ilgili kişinin kişisel verilerinin silinip silinmeyeceğinin açıkça belirtilmemesinin ve ilgili kişiye ait bilgilerin 10 sene daha saklanmasının açıkça mevzuata aykırı olduğu belirtilerek veri sorumlusu hakkında Kanun kapsamında gerekli tedbirlerin alınması talep edilmiştir.

Bu bilgiler ışığında Kurul tarafından yapılan inceleme ve değerlendirmede;

• Somut olayda, ilgili kişinin veri sorumlusu nezdinde tutulan cep telefon numarasının bir kişisel veri olduğu, kişiye SMS gönderilmesi suretiyle ise kişisel veri niteliğindeki cep telefonu numarası ile ilgili işleme faaliyeti gerçekleştiği,
• İlgili kişinin şikâyet dilekçesinde veri sorumlusu tarafından ilgili kişiye hukuka aykırı olarak mesajlar gönderildiği ve kredi kartı isteyip istemediğine yönelik telefon aramaları gerçekleştirildiği iddia edilse de, dilekçesinin ekinde sadece gönderilen bir adet SMS’e ilişkin görüntü kaydına yer verildiği, buna karşın aramalara ilişkin tevsik edici herhangi bir belgeye yer verilmediği ve ilgili kişi tarafından veri sorumlusuna yapılan başvuruda sadece gönderilen SMS’lerden bahsedildiği anlaşıldığından; ilgili kişinin veri sorumlusuna yöneltmediği ancak şikâyet başvurusunda değindiği “telefon aramaları”nın inceleme kapsamına alınmamasının uygun olacağı,
• Kişinin telefon numarasının Kanunun “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartına dayalı olarak işlendiği, ilgili iletinin yasal bilgilendirme içermesi ve herhangi bir mal veya hizmetin tanıtımının da söz konusu olmaması sebebiyle ilgili kişinin rızasının/izninin alınmasına gerek olmadığı, dolayısıyla veri sorumlusu tarafından ilgili kişiye yasal bilgilendirme içerikli SMS’in gönderilmesi suretiyle telefon numarasının işlenmesinde herhangi bir hukuka aykırılık bulunmadığı,
• İlgili mevzuat hükümleri dikkate alındığında, ilgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin henüz ortadan kalkmaması sebebiyle, ilgili kişinin silme talebinin veri sorumlusu tarafından yerine getirilmemesinin hukuka aykırı olmadığı,

değerlendirmelerinden hareketle;

• İlgili iletinin yasal bilgilendirme içermesi ve herhangi bir mal veya hizmetin tanıtımının da söz konusu olmaması sebebiyle ilgili kişinin rızasının/izninin alınmasına gerek olmadığı bu çerçevede veri sorumlusu tarafından ilgili kişiye yasal bilgilendirme içerikli SMS’in gönderilmesi suretiyle kişisel verilerinin işlenmesinde hukuka aykırılığın bulunmadığı kanısına varıldığından bu hususta Kanun kapsamında yapılacak bir işlemin olmadığına,
• İlgili kişinin veri sorumlusu nezdindeki son işlem tarihinin 13/12/2013’te gerçekleştirilen kredi kartı kapatma işlemi olduğu ve dolayısıyla son işlem tarihi üzerinden 10 yıllık sürenin geçmemiş olduğu dikkate alındığında; ilgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin henüz ortadan kalkmaması sebebiyle silme talebinin veri sorumlusu tarafından yerine getirilmemesinin Kanunun 7 nci maddesi hükümleri dikkate alındığında hukuka aykırı olmadığı kanısına varıldığından bu hususta Kanun kapsamında yapılacak bir işlemin olmadığına,
• İlgili kişinin, kişisel verilerinin veri sorumlusu tarafından yurt dışına aktarıldığı iddiasına ilişkin olarak Kuruma tevsik edici bir bilgi veya belge sunmadığı dikkate alındığında söz konusu iddiaya ilişkin olarak Kanun kapsamında yapılacak bir işlem olmadığına

karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

 

11. Kişisel Verilerinin İlgili Kişinin Bilgisi Dışında Veri Sorumlusu Banka Nezdinde Sorgulanmasının Hukuka Aykırı Olduğuna İlişkin Kurul Kararı

Kişisel Verileri Koruma Kurulunun 12/01/2021 tarihli ve 2021/32 sayılı Karar Özeti

Kişisel Verileri Koruma Kurumu’na intikal eden şikayette özetle;

• Şikâyet edilen banka aracılığıyla, müvekkiline ait kişisel veri niteliğinde bilgilerin sorgulandığı ve bu bilgilerin boşanma davası dosyasına sunulduğu,
• Bahse konu evrakın, müvekkilinin geçmiş yıllara ilişkin karşılıksız çek bilgileri ve yine müvekkili hakkındaki tedbir kararlarına ilişkin olduğu, bu bilgilerin ancak müvekkilinin izin ve onayı dâhilinde sorgulanabileceği,
• Söz konusu sorgulamanın banka aracılığıyla yapılmış olmakla kalmayıp müvekkilinin kişisel verilerinin, kişisel çıkar amacıyla mahkemeye sunulmak suretiyle paylaşıldığı ve bu kapsamda özel hayatın gizliliğinin ihlal edildiği,

Bu durumun 6698 sayılı Kişisel Verilerin Korunması Kanunu’na aykırılık teşkil ettiği ve şikâyet edilen veri sorumlusu bankaya aykırılığı gidermesi ve söz konusu durumdan doğan zararları tazmin etmesi amacıyla iadeli taahhütlü başvuru yapılmasına rağmen 30 günlük yasal süre içerisinde herhangi bir cevap alınamadığı ifade edilerek, veri sorumlusu banka hakkında gerekli işlemlerin yapılması talep edilmiştir.

Bu bilgiler ışığında Kurul tarafından yapılan inceleme ve değerlendirmede;

• İlgili kişinin kişisel verisi niteliğindeki kimlik, müşteri işlem ve finansal bilgilerinin (geçmiş yıllara ilişkin karşılıksız çek ve tedbir kararı bilgileri) veri sorumlusu bünyesinde çalışan kişi tarafından sorgulanıp mahkemeye sunulması nedeniyle söz konusu kişisel verilere kanuni olmayan yollarla başkaları tarafından erişim sağlandığı, Kurulun 31.05.2018 tarih ve 2018/63 sayılı “Veri Sorumlusu Nezdindeki Kişisel Verilere Erişim Yetkisi Bulunan Personelin Yetkisi ve Amacı Dışında Söz Konusu Verileri İşlemesi Hususunun Değerlendirilmesine İlişkin İlke Kararı”nda da düzenlenen bu hususun Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmadığının bir göstergesi olduğu dikkate alındığında, veri sorumlusu Banka hakkında idari yaptırım uygulanmasına,
• Kişisel verilere kanuni olmayan yollarla başkaları tarafından erişim sağlanması halinde Kanunun 12 nci maddesinin (5) numaralı fıkrasında düzenlenen hüküm gereği, bu durumun en kısa sürede ilgilisine ve Kurula bildirilmesi gerektiği hususunda veri sorumlusuna hatırlatmada bulunulmasına,
• 5237 sayılı Türk Ceza Kanunu’nun “Verileri hukuka aykırı olarak verme veya ele geçirme” başlıklı 136 ncı maddesinde yer alan suçların işlenmiş olabileceği dikkate alınarak, Türk Ceza Kanununun 136 ncı maddesi çerçevesinde ilgili kişinin kişisel veri niteliğindeki kimlik, müşteri işlem ve finansal bilgilerini (geçmiş yıllara ilişkin karşılıksız çek ve tedbir kararı bilgileri) sorgulayıp mahkemeye sunan veri sorumlusu bünyesinde çalışan şahıs hakkında gerekli hukuki işlemlerin tesisi için konunun Cumhuriyet Başsavcılığına bildirilebileceği yönünde ilgili kişinin bilgilendirilmesine

karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

12. Grubunda Depolaması Hakkında İdari Para Cezası Uygulanmasına İlişkin Kurul KararıWhatsappTelekomünikasyon Hizmetleri Sunan Bir Veri Sorumlusunun Ürün Satışı Esnasında Müşterilerinin Pasaport Fotoğraflarını Çekerek

Kişisel Verileri Koruma Kurulunun 03/02/2021 tarihli ve 2021/78 sayılı Karar Özeti

Kişisel Verileri Koruma Kurumu’na intikal eden ihbarda özetle;

• Veri sorumlusu tarafından İstanbul Havalimanı şubesinde dış hatlara gelen yolculara kontörlü hat satışı gerçekleştirilirken müşterilerin rızası olmadan, ileride eksik evrak cezası almamak için, müşteri pasaport fotoğraflarının çekilerek çalışanlardan oluşturulan bir whatsapp grubunda depolandığı ve üçüncü kişilerle paylaşıldığı, kendisinin de veri sorumlusunun eski bir çalışanı olarak söz konusu gruplara üye olduğu, bu kapsamda söz konusu gruplarda paylaşılan pasaport fotoğraflarının kendi telefonunda da depolandığı ifade edilerek başvuru ekinde söz konusu pasaport fotoğraflarının örneklerine yer verilmiş ve veri sorumlusu nezdinde gerekli denetimlerin yapılması talep edilmiştir.

Kurul tarafından yapılan inceleme ve değerlendirme neticesinde;

• Veri sorumlusu tarafından sunulan belgelere karşın ihbar ekinde, pasaport bilgilerinin bir grupta paylaşıldığının anlaşılması nedeni ile ihbara ilişkin olarak veri sorumlusu Şirketin Kanunun 12 nci maddesinin (1) numaralı fıkrası kapsamında kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı ve Kanunun 12 nci maddesinin (3) numaralı fıkrası kapsamında yer alan veri sorumlusunun, kendi kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorunda olduğu hükmüne aykırı harekete ettiği kanaatine varıldığından veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına,
• Veri sorumlusunun daha önce bir çalışanın müşteri verilerini sisteme doğru işlememesinden doğan cezaların telekomünikasyon şirketi tarafından veri sorumlusuna rücu edildiği, yine söz konusu çalışana verildiği anlaşılan uyarı yazısında, çalışanın Kişisel Verilerin Korunması Kanununa aykırı davranışlarının kamera ile tespit edildiği, kişinin müşteri kimlik resimlerinin kaydını şahsi cep telefonunda muhafaza ettiğinin anlaşıldığına yönelik ifadelerin yer aldığı ve söz konusu çalışandan kaynaklı olarak veri sorumlusu bünyesinde bir veri ihlali yaşandığı anlaşılmış olup, söz konusu ihlal kapsamında Kurula yapılmış bir bildirim olmadığı dikkate alındığında veri sorumlusu tarafından Kanunun 12 nci maddesinin (5) numaralı fıkrasına uygun hareket edilmemiş olması nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında veri sorumlusu hakkında idari para cezası uygulanmasına,
• 5237 sayılı Türk Ceza Kanunu’nun 136 ncı maddesinde düzenlenen “Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.” hükmü gereğince ihbara konu aykırılıkların sorumluları hakkında Türk Ceza Kanunu kapsamında ihbaren Cumhuriyet Başsavcılığına bildirimde bulunulmasına

karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

 

13. Bankanın Mobil Uygulamalar Üzerinden İlgili Kişiye Rızası Dışında Tanıtım İletileri Göndermesi Hakkında İdari Para Cezası Uygulanmasına İlişkin Kurul Kararı

Kişisel Verileri Koruma Kurulunun 13/04/2021 tarihli ve 2021/361 sayılı Karar Özeti

Kişisel Verileri Koruma Kurumu’na intikal eden şikayet dilekçesinde özetle;

• Veri sorumlusu banka tarafından mobil uygulama üzerinden ilgili kişinin cep telefonuna tanıtım iletileri gönderildiği, veri sorumlusunun tanıtım iletileri gönderme işlemi sırasında ilgili kişinin açık rızasına başvurmadığı, ilgili kişi tarafından yapılan sözlü ve yazılı başvuruların ardından, ilgili kişinin veri sorumlusundaki hesabı ile kredi kartlarının tamamen iptal edildiği, ilgili kişinin veri sorumlusuna yaptığı ikinci başvuruda iptal sebebini sorduğu ve kendisine Kanun kapsamındaki talebi sebebiyle söz konusu iptal işleminin gerçekleştirildiği bilgisinin verildiği, hesabının silinmesi işleminin ilgili kişiyi maddi ve manevi zarara uğrattığı ve başlangıçtaki başvurusunun karşılanmamasının yanı sıra, hesabının kapatılmasının ikinci bir hukuka aykırılık teşkil ettiği belirtilerek veri sorumlusu hakkında gerekli incelemelerin yapılması ve idari para cezası uygulanması talep edilmiştir.

Kurul tarafından yapılan inceleme ve değerlendirmede;

• Veri sorumlusunun ilgili kişilerden usulüne uygun şekilde açık rıza almaksızın tanıtım iletisi göndermek suretiyle hukuka aykırı olarak kişisel veri işleme faaliyetinde bulunmasının Kanunun 12 nci maddesinin (1) numaralı fıkrasında zikredilen uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığını gösterdiği,
• Veri sorumlusunun, Android işletim sistemi kullanıcılarına yönelik olarak işletmekte olduğu mobil uygulamalar üzerinden tanıtım iletisi gönderme seçeneğini, açık rızanın Kanunda yer alan bütün unsurlarına yer verecek şekilde yeniden düzenlemesi ve bu kapsamda uygulamanın varsayılan ayarlarını tanıtım iletisi almama biçiminde kullanıma sunması gerektiği,

vurgulanmış ve;

• Veri sorumlusunun mobil uygulamalar üzerinden usulüne uygun açık rızası alınmaksızın tanıtım iletileri göndermek amacıyla ilgili kişinin kişisel verilerini işlemesinin hukuka aykırı olduğu dikkate alması nedeniyle veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına,
• Bununla birlikte veri sorumlusunun sahibi olduğu mobil uygulama süreçlerini usulüne uygun açık rıza alınabilecek şekilde düzenlemesi ve bu işlemin sonucundan Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

14. İlgili Kişinin Fotoğraflarının Veri Sorumlusuna Ait Bir Sosyal Medya Hesabında Paylaşılması Hakkında İdari Para Cezası Uygulanmasına İlişkin Kurul Kararı

Kişisel Verileri Koruma Kurulunun 27/04/2021 tarihli ve 2021/422 sayılı Karar Özeti

Kişisel Verileri Koruma Kurumu’na intikal eden şikâyet dilekçesinde özetle;

• İş ilişkisinin sona ermesinden sonraki tarihlerde veri sorumlusunun sosyal medya hesabından ilgili kişinin fotoğraflarını kullanarak herkese açık şekilde paylaşımlarda bulunduğu, bu sebeple veri sorumlusuna başvuruda bulunularak ilgili paylaşımının kaldırılması, fotoğrafların ilgili kişiye iade edilmesi, veri sorumlusunda bulunan fotoğrafların yok edilmesi ve veri sorumlusu nezdinde reklam veya başka bir amaçla sosyal medyada kullanılmamasının talep edildiği, ilgili kişinin açık rızası alınmamasına rağmen fotoğrafların paylaşıldığı ve talebe rağmen sosyal medya platformundan kaldırılmadığı, paylaşılan fotoğrafla ilgili olarak ilgili kişiye hiçbir bilgilendirme yapılmadığı ve aydınlatma yükümlülüğünün de yerine getirilmediği, söz konusu fotoğraf paylaşımının 6698 sayılı Kişisel Verilerin Korunması Kanunu’na aykırı olduğu belirtilerek, veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Kurul tarafından yapılan inceleme ve değerlendirme neticesinde;

• İlgili kişinin fotoğraflarının veri sorumlusuna ait sosyal medya hesabından kaldırılmaması nedeniyle veri sorumlusunun Kanunun 5 inci maddesi kapsamında herhangi bir kişisel veri işleme şartına dayanmaksızın kişisel verileri hukuka aykırı şekilde işlemek suretiyle Kanunun 12 nci maddesinin (1) numaralı fıkrası kapsamında uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılması nedeniyle veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına,
• Veri sorumlusunun sosyal medya hesabında bulunan ilgili kişiye ait tüm fotoğrafların kaldırılması ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümleri uyarınca uygun usulle silinmesi/yok edilmesi, söz konusu fotoğrafların başka hiçbir mecrada kullanılmaması ve bu işlemlerin sonucundan Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

 

15. Veri Sorumlusu Banka Tarafından İlgili Kişinin Verilerinin Yakınları İle Paylaşılması Hakkında İdari Para Cezası Uygulanmasına İlişkin Kurul Kararı

Kişisel Verileri Koruma Kurulunun 03/02/2021 tarihli ve 2021/79 sayılı Karar Özeti

Kişisel Verileri Koruma Kurumu’na intikal eden şikayette özetle;

• İlgili kişinin veri sorumlusu Bankanın kredi kartını kullandığı, veri sorumlusu tarafından ilgili kişinin kredi kartı borcuna ilişkin ilgili kişinin ablası ve babasına ait telefon numaralarının arandığı, ilgili kişinin bu hususta veri sorumlusuna başvurarak ailesinin iletişim bilgilerine nasıl ulaşıldığı, kişisel verilerinin üçüncü kişilerle neden paylaşıldığı konularında bilgi talep ettiği, veri sorumlusunun verdiği cevapta, ilgili kişinin kredi kartı borcu bilgilendirilmesi için arandığı ancak ulaşılamadığında alternatif telefon numaralarından da ilgili kişiye ulaşılmaya çalışıldığının, veri sorumlusu ile ilgili kişi arasında yapılan görüşme sonucunda ilgili kişinin veri sorumlusu bünyesinde kayıtlı olan cep telefonu dışındaki diğer numaralardan aranmaması için gerekli sistemsel güncellemelerin tamamlandığının ifade edildiği belirtilerek veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Kurul tarafından yapılan inceleme ve değerlendirme neticesinde;

• Veri sorumlusu tarafından ilgili kişinin ablası ve babasının Risk Merkezi vasıtasıyla temin edilen telefon numarası üzerinden aranması suretiyle ilgili kişinin banka ile münasebetinin yakınları ile paylaşılmasının Kanunun 5 inci maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanmaksızın, hukuka aykırı olarak gerçekleştirildiği dikkate alındığında veri sorumlusunun Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendinde öngörülen “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğünü yerine getirmediği kanaatine varıldığından, veri sorumlusu hakkında, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına

karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

 

16. Veri Sorumlusunun İnternet Sayfasında Yayınladığı Aydınlatma Metinlerinin Belirli ve Açık Olmamasının Hukuka Aykırılığına İlişkin Kurul Kararı

Kişisel Verileri Koruma Kurulunun 03/02/2021 tarihli ve 2021/85 sayılı Karar Özeti

Kişisel Verileri Koruma Kurumu’na intikal eden şikayette özetle;

Veri sorumlusunun e-bültenine kayıt olması esnasında kişisel verilerinin işlenmesine ilişkin bir aydınlatmanın sunulmadığı, 26.06.2019 tarihinde veri sorumlusuna; hangi kişisel verilerinin hangi amaçlarla işlendiği, hangi verilerinin ne kadar süre ile saklandığı ve bu kişisel verilerin üçüncü taraflarla paylaşılıp paylaşılmadığı hususlarının yanıtlanması için başvuruda bulunduğu, veri sorumlusunun bu hususlardaki yanıtlarını içeren cevabî yazısının, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 13 üncü maddesi uyarınca 30 günlük süre içerisinde 23.07.2019 tarihinde ilgili kişiye iletildiği ancak ilgili kişinin veri sorumlusunun cevabını yeterli bulmadığı zira;

• Veri sorumlusunun internet sitesinde bulunan "Kişisel Veriler Politikası" bölümünün bir aydınlatma olmadığı, tüm siteyi kapsamaya çalışan karışık bir metin olduğundan ötürü "belirli ve açık" olmadığı,
• İlgili kişi veri sorumlusuna başvurduğunda kendisine verilen cevap ile veri sorumlusuna ait internet adresinde yer alan Politikanın kimi yerlerde çeliştiği; Politikada IP, Çerez gibi verilerin sayıldığı ancak ilgili kişiye verilen cevapta bu konularda bir bilgilendirmenin yapılmadığı,
• İlgili kişiye verilen cevap metni içerisinde kişisel verilerin, “idarî ve resmî makamlar ile taşıma şirketlerine sınırlı ve orantılı bir şekilde aktarıldığı”nın ifade edildiği fakat Politika metni içerisinde kişisel verilerin "yurt içi/yurt dışı kuruluşlar ile diğer üçüncü kişilere" aktarıldığının söylendiği,
• Politika metni içerisinde birçok veri ve veri aktarımından söz edildiği ancak veri bazında bir bilgilendirmenin yapılmadığı, örneğin kimlik bilgilerinin ya da adreslerin hangi şirketlere aktarıldığı hususunda bir açıklama yer almadığı

ifade edilerek veri sorumlusu hakkında gerekli işlemlerin tesis edilmesi talep edilmiştir.

Kurul tarafından yapılan inceleme ve değerlendirme neticesinde;

• Veri sorumlusunun, internet sitesi üzerinden sipariş verilmesi veya üye olunması gibi ilgili kişilerin kişisel verilerinin işlenmesine sebebiyet verecek işlemler esnasında, o anda ve sonrasında gerçekleştirilecek veri işleme faaliyetine ilişkin bir aydınlatmada bulunmadığı, ilgili kişilerin kişisel verilerinin kullanımı ile ilgili olarak bilgi alabilmek için kendilerinin bahse konu politika metnini arayıp bulmaları gerektiği, bu metnin de tüm siteyi kapsayan bir politika metni hüviyetinde olduğu ve bu durumun Tebliğin 5 inci maddesinin (1) numaralı fıkrasının (g), (ğ) ve (j) bentlerine aykırılık teşkil ettiği kanaatine varılmış olup Kanunun “Şikayet üzerine veya resen incelemenin usul ve esasları”nı düzenleyen 15 inci maddesinin (5) numaralı fıkrasının “Şikayet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması halinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.” hükmü uyarınca veri sorumlusunun, söz konusu hukuka aykırılıkların giderilmesi ve sonucundan Kurula bilgi vermesi hususlarında talimatlandırılmasına

karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz. 

 

17. İş Sözleşmesinin Feshinden Sonra Veri Sorumlusu İşveren Tarafından Çalışanın Şirket Bilgisayarının ve E-Posta Hesabının Kapatılmasının Hukuka Aykırı Olmadığına İlişkin Kurul Kararı

Kişisel Verileri Koruma Kurulunun 09/03/2021 tarihli ve 2021/205 sayılı Karar Özeti

Kişisel Verileri Koruma Kurumu’na intikal eden şikayette özetle;

• İlgili kişinin iş sözleşmesinin feshedildiği tarihe kadar veri sorumlusu şirketin bir çalışanı olduğu, veri sorumlusu tarafından ilgili kişiye noter aracılığıyla ihtarname gönderilerek iş sözleşmesinin haksız olarak sona erdirildiği, işten çıkarma sürecinde şahsına ait iş eşyalarının yanı sıra ailevi özel eşyalarına da el konulduğu, veri sorumlusu şirketin çalışanlarının iş yerindeki odasına girerek masasında yer alan şirket bilgisayarını izinsiz ve haber vermeden aldığı, e-posta hesabının kapatıldığı, e-postalarına erişiminin ve e-posta göndermesinin engellendiği, bilgisayar ve e-postalarına bakıldığı, ilgili kişinin odasında arama yapıldığı, bunların yanında ilgili kişinin şahsına ait kişisel harici hard diskin de alındığı, özel bilgi ve belgeleri, banka bilgileri ve şifreleri ile fotoğraflarının ekrana yansıtılmak suretiyle odasında bulunan kişilerce izlendiği ve bu suretle veri sorumlusu tarafından kişisel verilerine karşı ihlal gerçekleştirildiği ifade edilerek veri sorumlusu hakkında gerekli incelemenin yapılması talep edilmiştir.

Kurul tarafından yapılan inceleme ve değerlendirme neticesinde;

• Veri sorumlusu ile ilgili kişi arasındaki iş sözleşmesi feshedildikten sonra ilgili kişinin kullanımına tahsis edilen şirket bilgisayarının formatlanması ve şirket e-postasının kapatılması suretiyle hesabına erişiminin engellenmesinin Kanuna aykırılık teşkil etmediğine,
• İlgili kişinin, kişisel harici hard diskinin, özel bilgi ve belgelerinin, şahsına ve ailesine ait özel şeylerin, banka bilgilerinin, banka şifrelerinin ve fotoğraflarının ekrana yansıtılmak suretiyle odasında bulunan kişilerce izlendiğine ilişkin iddialarıyla ilgili dosya kapsamında tevsik edici bir bilgi veya belge bulunmadığından bu aşamada yapılacak bir işlem bulunmadığına

karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

 

18. Bankanın, Varlık Yönetim Şirketinin ve Üç Farklı Avukatın Borçlu Olmayan İlgili Kişinin Kişisel Verisini İşleyerek İcra Takibi Başlattıkları İddiası Kapsamında İdari Para Cezası Uygulanmasına İlişkin Kurul Kararı

Kişisel Verileri Koruma Kurulunun 27/04/2021 tarihli ve 2021/424 sayılı Karar Özeti

Kişisel Verileri Koruma Kurumu’na intikal eden şikayet dilekçesinde özetle;

• İlgili kişinin Banka şubesi ile görüştüğü, şube personelinin ilgili kişiye ait kimlik fotokopisini alarak merkeze faks çektiği ve ilgili kişiye, Bankaya borçlu olan şahsın kendisi değil, bir erkek olduğunu söyledikleri fakat aradan geçen yıllar içerisinde Varlık Yönetimi Şirketi tarafından ilgili kişinin sürekli olarak arandığı ve ilgili kişinin o kişinin kendisi olmadığı bilgisini Varlık Yönetim Şirketine iletmesine karşın bu aramaların sürdürüldüğü,
• Söz konusu icra dosyasında gerçek borçluya ilişkin tüm bilgilerin bulunmasına karşın ilgili kişinin kimlik numarasını kullanarak Bankanın, Varlık Yönetim Şirketinin ve üç farklı avukatın borçlu olmayan ilgili kişiye icra takibi başlattıkları,
• Varlık Yönetim Şirketinin söz konusu borcu ilgili kişinin T.C. kimlik numarası üzerinden kaldırmadığı, Banka tarafından düzeltildiği iddia edilen KKB kayıtlarının düzeltilmediği, ilgili kişinin bu hususta aldığı TBB Risk Merkezi Raporunun bunu doğruladığı, BİMER vasıtasıyla alınan Banka yanıtının Varlık Yönetimi Şirketine faks yoluyla bildirilmesine karşın aramaların devam etmekte olduğu,
• Veri sorumlusu Banka, Varlık Yönetimi Şirketi ve avukatların ilgili kişinin T.C. kimlik numarasını nasıl ve nereden edindiğinin meçhul olduğu, bu bilgilerin üçüncü şahıslara verilerek ilgili kişinin mağdur edildiği, kara listeye aldırıldığı ve dosya bilgilerinin incelenmeksizin ilgili kişiye icra takibi yapmakta ısrar edildiği

hususları ifade edilerek anılan taraflar hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında gereğinin yapılması talep edilmiştir.

Kurul tarafından yapılan inceleme ve değerlendirme neticesinde;

• İlgili kişinin kişisel verilerinin Banka tarafından Kanun yürürlüğe girmeden önce işlendiği, akdedilen alacak temlik sözleşmesine dayanarak hukuka uygun olarak Varlık Yönetim Şirketine aktarıldığı, öte yandan ilgili kişinin 2017 yılında yaptığı başvuruya istinaden ilgili kişinin kişisel verilerinin Banka tarafından düzeltildiği dikkate alındığında Veri sorumlusu Banka hakkında Kanun kapsamında yapılacak bir işlem olmadığına,
• Varlık Yönetim Şirketinin ilgili kişinin gerçek borçlu olmadığına dair bilgileri 2017 yılı içerisinde gerek Bankadan gerekse de ilgili kişi cihetinden tarafına ulaşan bilgi ve belgeler vasıtasıyla edinmesine karşın ilgili kişinin kişisel verilerini işlemeye devam ederek borcun tahsili amacıyla ilgili kişinin aranması yoluna gidilerek 2019 yılı Haziran-Temmuz dönemine kadar veri tabanında, UYAP’ta ve TBB Risk Merkezindeki kayıtların düzeltilmediği, ilgili kişinin başvurusuna verilen yanıtta 29.07.2019 tarihinde TBB Risk Merkezindeki kayıtların güncellendiğinin ifade edilmesine karşın bu iddiayı tevsik edici bir belgenin Kuruma iletilmediği, ayrıca ilgili kişinin Kuruma intikal ettirdiği 04.12.2019 tarihli TBB Risk Merkezi Raporunda halen Varlık Yönetim Şirketine dosya bakımından borçlu olarak göründüğü, bu kapsamda Şirketin Kanunun 5 inci maddesinde yer alan işleme şartlarına dayanmaksızın ilgili kişinin kişisel verilerini işlediği dikkate alındığında, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli tedbirleri almadığı kanaatine varılması nedeniyle Varlık Yönetim Şirketi hakkında idari para cezası uygulanmasına,
• Veri sorumlusu Varlık Yönetimi Şirketinin ayrıca ilgili kişinin TBB Risk Merkezinde bulunan bilgilerini güncellediğini ve ilgili kişinin Risk Raporunda bulunan ve esasen kendisine ait olmayan borç bilgilerinin silindiğine dair tevsik edici bilgi, belge ve kayıtları, Kanunun 15 inci maddesinin (5) numaralı fıkrası uyarınca 30 (otuz) günlük yasal süre içerisinde Kurula iletmesi konusunda talimatlandırılmasına

karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

Saygılarımızla,

Zümbül Hukuk ve Danışmanlık

info@zumbul.av.tr