Bultenler

Kişisel Verileri Koruma Kurumu Karar Özetleri

  1. Bir Alacak Yönetim Şirketi Tarafından İlgili Kişinin Borç Bilgilerinin Üçüncü Kişilerle Paylaşılması Hakkında Karar Özeti

Kişisel Verileri Koruma Kurulu’nun (“Kurul”) 04.03.2022 tarihli ve 2022/184 sayılı karar özeti, 18.07.2022 tarihinde Kişisel Verileri Koruma Kurumu’nun (“Kurum”) internet sitesinde yayımlanmıştır.

Kurum’a intikal eden şikâyet dilekçesinde özetle;

  • İlgili kişinin kardeşi ve askeri personel olan eşi adına kayıtlı hatlara veri sorumlusu alacak yönetim şirketinin unvanını taşıyan bir başlık altında SMS gönderildiği,
  • Söz konusu SMS ile ilgili kişinin bir telekomünikasyon şirketine olan borcunun süresinin dolacağının ve ödenmemesi halinde icra işlemlerine başlanacağının bildirildiği,
  • İlgili kişinin kişisel verilerinin ifşa edilmesinden ötürü ilgili alacak yönetim şirketinin hukuk bürosuna başvuruda bulunduğu ancak kendisine yazılı bir cevap verilmediği,
  • Akabinde ilgili kişinin eşine ait hattın hukuk bürosu çalışanı olduğunu söyleyen bir şahıs tarafından arandığı,
  • Konuşma esnasında konuyu hukuk yoluyla değil konuşarak çözelim nedir durum neden dilekçe yazdınız şeklinde hitapta bulunulduğu,
  • Sonrasında ilgili kişinin eşinin, kişisel verileri istedikleri gibi ifşa edemeyeceklerini, bunun 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) uyarınca suç teşkil ettiğini, kendileri hakkında hukuki olarak gereken her türlü yasal yollara başvuracaklarını bildirdiği,
  • İlgili kişinin rızası olmadan kişisel verilerinin üçüncü kişilerle paylaşıldığı beyan edilerek Kanun kapsamında şikâyetçi olunduğu

ifade edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde Kurul’un 04/03/2022 tarihli ve 2022/184 sayılı kararı ile;

  • Veri sorumlusunu arayan telefon numaralarının ilgili kişinin telefon numarası olarak kaydedilmesi ve bu telefonların aranması suretiyle borç bilgilerinin üçüncü kişiler ile paylaşılmasında Kanun’un 5’inci maddesi çerçevesinde bir işleme şartının geçerli olmadığı dikkate alındığında Kanun’un 12’nci maddesinin (1) numaralı fıkrası çerçevesinde kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı tespit edilen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi çerçevesinde 50.000 TL idari para cezası uygulanmasına,
  • Veri sorumlusunu bilgi almak amacıyla arayan kişilerin telefon numaralarının veri sorumlusu sistemlerine otomatik olarak borcu olan kişilerin iletişim bilgileri olarak kaydedilmesi uygulamasına son verilmesi ve sonucundan Kurul’a bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

  1. Banka Çağrı Merkezi Tarafından İlgili Kişinin Telefon Numarasının Üçüncü Kişilerle Paylaşılması Hakkında Karar Özeti

Kurul’un 10/03/2022 tarihli ve 2022/224 sayılı karar özeti, 18.07.2022 tarihinde Kurum’un internet sitesinde yayımlanmıştır.

Kurum’a intikal eden şikâyette özetle;

  • İlgili kişi tarafından üçüncü bir kişinin kartının Banka ATM’sinde bulunduğu,
  • Akabinde veri sorumlusu Banka’nın çağrı merkezi ile iletişime geçildiği, 
  • Görüşme sırasında çağrı merkezi yetkilisi tarafından ilgili kişinin telefon numarasını kart sahibi üçüncü kişiyle paylaşmak suretiyle, kartın ilgili kişiden teslim alınmasının önerildiği, bu çözüm önerisine ilgili kişinin rıza göstermediği ve çağrı merkezi yetkilisinin kartı havalimanındaki güvenlik görevlilerine teslim etmesini rica etmesi üzerine ilgili kişinin banka kartını görevlilere teslim ettiği, ancak ilerleyen saatlerde kart sahibi tarafından ilgili kişiye şahsi telefon numarası üzerinden mesaj gönderildiği,
  • İşlenen verilerin ilgili kişinin açık rızası olmamasına rağmen kart sahibine iletildiğinin anlaşıldığı, bu itibarla isim ve soy ismi ile telefon numarasının işlenmesine dair ilgili kişinin aydınlatılmadığı ve verilerinin aktarılmasına açık rıza göstermediği belirtilerek

veri sorumlusu Banka hakkında gereğinin yapılması talep edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde, Kurul’un 10/03/2022 tarihli ve 2022/224 sayılı Kararı ile;

  • İlgili kişinin kişisel verisi niteliğindeki ad, soyadı ve telefon numarası bilgilerinin Kanun’a aykırı olarak üçüncü kişiyle paylaşılması nedeniyle veri ihlaline sebebiyet verildiği dikkate alındığında; Kanun’un 12’inci maddesi çerçevesinde veri sorumlusu Banka tarafından bünyesinde işlediği kişisel verilerin hukuka aykırı işlenmesini önlemek ve muhafazasını sağlamak adına yükümlülüklerinin gereği gibi yerine getirilmemesi nedeniyle Kanun’un 18’inci maddesi kapsamında veri sorumlusu hakkında idari yaptırım uygulanmasına,
  • İlgili kişinin kişisel verilerinin işlenmesi sürecinde aydınlatma yükümlülüğünün yerine getirilmediği iddiasına ilişkin olarak; çağrı merkezi aracılığıyla banka ile iletişim kurulduğunda arayan kişiye KVKK aydınlatma metninin sunulduğunun tespit edildiği, aynı zamanda veri sorumlusu tarafından iletilen belgelerde, ilgili kişinin veri sorumlusunun internet sitesinde bulunan ‘Bize Ulaşın’ bölümünden başvuruda bulunurken, "Kişisel Verilerin Korunması Kanunu kapsamında yapılan Bilgilendirmeyi okudum, anladım" kutucuğunun işaretlendiği hususları dikkate alındığında, veri sorumlusu banka tarafından aydınlatma yükümlülüğünün yerine getirildiği anlaşıldığından söz konusu iddia hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına

karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

  1. İnternet Üzerinden Sipariş Verilirken Yanlış E-Posta Adresine Fatura Gönderilmesi Hakkında Karar Özeti

Kurul’un 17/03/2022 tarihli ve 2022/243 sayılı karar özeti, 18.07.2022 tarihinde Kurum’un internet sitesinde yayımlanmıştır.

Kurum’a intikal eden şikâyette özetle;

  • İlgili kişinin, kendisi ile aynı isme sahip bir şahsın internet üzerinden hizmet veren veri sorumlusuna üye olduğu ve sipariş verdiği,
  • Bu şahsın siparişi verirken ilgili kişiye ait e-posta adresini kullandığı,
  • Veri sorumlusunun e-posta adresinin doğruluğunu kontrol etmeden ve onaylamadan üyelik işlemini gerçekleştirmek suretiyle siparişe ilişkin faturayı ilgili kişiye gönderdiği

belirtilerek veri sorumlusu hakkında 6698 sayılı Kanun kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin yapılan incelemede Kurul’un 17/03/2022 tarihli ve 2022/243 sayılı Kararı ile;

  • Veri sorumlusunun faturanın gönderileceği alıcı gruplarına yönelik bir teyit mekanizması kurmadan uzaktan satış sözleşmesinin tarafı olmayan ilgili kişinin e-posta adresinin işlenmesine ve dolaylı olarak faturada yer alan gönderici ve alıcıya ait bilgilerinin ise ilgili kişiye açıklanmasına sebebiyet verdiği dikkate alındığında söz konusu işleme faaliyetinde Kanun’un 5’inci maddesinde yer alan herhangi bir işleme şartına dayanmadığı ve bu minvalde Kanun’un 12’nci maddesinin (1) numaralı fıkrasındaki yükümlülüklerini yerine getirmediği değerlendirilen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 100.000 TL idari para cezası uygulanmasına,
  • Veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına Kanun’a aykırı şekilde gönderilen üçüncü kişilere ait kişisel veriler hakkında” Kurul’un 22.12.2020 tarihli ve 2020/966 sayılı İlke Kararının gereğini yerine getirmesi hususunda uyarılmasına,
  • Veri sorumlusunun savunmasında Avrupa Birliği Genel Veri Koruma Tüzüğünün muhtelif hükümlerine ve değerlendirmelere yer verilmiş olduğu görülmüş olup Kanun hükümlerine uyumun sağlanmasının öncelikli olduğu hususunun veri sorumlusuna hatırlatılmasına

karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

  1. Şirketin Sicil Bilgilerinin Görüntülendiği İnternet Adresinde Kişisel Verilerin Hukuka Aykırı Olarak Paylaşılması Hakkında Karar Özeti

Kurum’un 06/01/2022 tarih ve 2022/6 sayılı karar özeti, 18.07.2022 tarihinde Kurum’un internet sitesinde yayımlanmıştır.

Kurum’a intikal eden şikâyette özetle;

  • İlgili kişinin eski ortağı olduğu şirkete ait sicil bilgilerinin yer aldığı “…” internet sayfasında eski ortaklar başlığı altında ad ve soyadının yazılı olduğu,
  • Şirketle herhangi bir hukuki veya idari bağının kalmadığı, dolayısıyla kişisel verilerinin üçüncü kişilerle izni olmaksızın paylaşılmasını istemediği,
  • Bu kapsamda veri sorumlusu Ticaret Odası’na sözlü ve yazılı olarak başvuruda bulunulduğu, Ticaret Odası tarafından ilgili kişinin talebinin Türk Ticaret Kanunu ve Ticaret Sicili Yönetmeliği gereğince yerine getirilemeyeceği

belirtilerek gereğinin yapılması talep edilmiştir.

Kurum tarafından konuya ilişkin değerlendirme neticesinde;

  • Kanun’un “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi” başlıklı 7 nci maddesinde yer alan “Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.” hükmüne istinaden söz konusu kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkmadığı sonucuna varılmış olup ilgili kişinin bu yöndeki talebi ile ilgili olarak Kanun kapsamında tesis edilecek herhangi bir işlem bulunmadığına

karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

5.Sağlık Sektöründe Faaliyet Gösteren Veri Sorumlusunun İlgili Kişiye Açık Rızası Alınmaksızın Ticarî Elektronik İleti Göndermesi Hakkında Karar Özeti

Kurum’un 18.01.2022 tarihli ve 2022/31 sayılı karar özeti, 18.07.2022 tarihinde Kurum’un internet sitesinde yayımlanmıştır.

İlgili kişinin Kurum’a intikal eden şikâyetinde özetle;

  • E-posta adresine sağlık sektöründe faaliyet gösteren veri sorumlusu tarafından ticarî içerikli bir ileti gönderildiği, bu durumun 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’un (“ETK”) 6’ncı maddesinin (1) numaralı fıkrasındaki “Ticarî elektronik iletiler, alıcılara ancak önceden onayları alınmak kaydıyla gönderilebilir…” hükmüne aykırılık teşkil ettiği,
  • Öte yandan kişisel verilerin hukuka uygun olarak işlenebilmesi için Kanun’un 5’inci maddesinin (1) numaralı fıkrası gereği ilgili kişinin açık rızasının alınmasının veya aynı maddenin (2) numaralı fıkrasında sayılan açık rızanın aranmadığı özel şartlardan birinin sağlanmasının gerektiği, ancak somut hadisede ne kendisinin açık rızasının alındığı ne de 6698 sayılı Kanun’da gösterilen özel şartların sağlandığı,
  • Kişisel verilerinin e-posta adresine ileti gönderilmek suretiyle işlenmesinden ötürü Kanun’un 12/1-a hükmünün ihlal edildiğinin ortada olduğu,
  • Veri sorumlusu tarafından ilgili kişiye verilen cevapta ETK ve Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik kapsamında herhangi bir bilgiye yer verilmediğinden, kampanya ve reklamcılık faaliyetleri çerçevesinde ticari elektronik ileti gönderimine ilişkin yapılan savunmanın yerinde olmadığı hususları ifade edilmiş ve 6698 sayılı Kanun hükümleri uyarınca gerekli işlemlerin yapılması talep edilmiştir.

Kurum tarafından konuya ilişkin değerlendirmeler neticesinde;

  • İlgili kişinin kişisel verilerinin veri sorumlusu tarafından temin edilmesi hukuka uygun olsa da söz konusu kişisel verilerin elde edilme amaçlarıyla alakalı olarak kullanılmamasından ötürü şikâyet edilen veri işleme faaliyetinin hukuka aykırı olduğu, bu kapsamda veri sorumlusu tarafından bir veri işleme şartı olmaksızın ilgili kişinin e-posta adresine reklam ve pazarlama amacıyla bildirim gönderilmesi suretiyle kişisel verisinin işlenmesi sebebiyle 6698 sayılı Kanun’un 12’nci maddesinin (1) numaralı fıkrasının (a) bendi çerçevesinde kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli tedbirleri almadığı kanaatine varılan veri sorumlusu hakkında 6698 sayılı Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 100.000 TL idari para cezası uygulanmasına 

karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

6.İcra Takibine İlişkin Dosya İçeriğinin Sosyal Medyada Paylaşılması Hakkında Karar Özeti

Kurum’un 10.02.2022 tarihli ve 2022/103 sayılı karar özeti, 18.07.2022 tarihinde Kurum’un internet sitesinde yayımlanmıştır.

Kurum’a intikal eden şikâyet dilekçesinde özetle;

  • Bir tekstil firması (veri sorumlusu) ile yapılan alışveriş sonrasında veri sorumlusu tarafından ilgili kişinin adının geçtiği yedek parça şirketi (Şirket) hakkında icra takibi başlatıldığı,
  • Bu süreçte bir şahıs tarafından Facebook üzerinden herkese açık olan bir grupta “Şirketin aldığı maskelerin ödemesini yapmadığı, dolandırıcı olduğu, bu doğrultuda Şirket hakkında icra takibi başlatıldığı ve icraya ilişkin evrakların bu grupta paylaşılacağı” hususlarında herkese açık bir yorum yapıldığı, paylaşımı yapan şahıs adına internette yapılan araştırmalar neticesinde veri sorumlusu firmanın muhatabı olarak tanındığının tespit edildiği,
  • Bahsi geçen şahısla ilgili kişinin hiçbir ticari ilişkisi olmamasına rağmen icra dosyası içerisinde yer alan kişisel verilerinin üçüncü kişilerle paylaşılması suretiyle kişilik haklarının ihlal edildiği,
  • Veri sorumlusu firmanın ticaret sicil kaydında ismi geçmeyen ancak kendisini firma yetkilisiymiş gibi tanıtan söz konusu şahıs tarafından icra dosyası hakkında nasıl bilgi edinildiğinin anlaşılamadığı,
  • Bu hususta Kanun’un 11. maddesi kapsamındaki hakları uyarınca veri sorumlusuna başvuruda bulunulduğu ancak süresi içinde bir yanıt alınamadığı

ifade edilerek veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Kurum tarafından konuya ilişkin yapılan inceleme neticesinde;

  • Her ne kadar şikâyete konu edilen Şirket adında ilgili kişinin ad ve soyadı geçse de sosyal medyada yapılan paylaşımlarda tüzel kişiliğin hedeflendiği anlaşıldığından söz konusu veri gerçek kişiye değil tüzel kişiliğe ait veri olarak değerlendirildiğinden şikâyet konusunun Kanun kapsamında olmadığı kanaatine varılması nedeniyle yapılacak bir işlem olmadığına

karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

7.İşe Alım Sürecinde Adaylardan Özel Nitelikli Kişisel Veri Talep Edilmesi Hakkında Karar Özeti

Kurum’un 24.02.2022 tarihli ve 2022/172 sayılı karar özeti, 18.07.2022 tarihinde Kurum’un internet sitesinde yayımlanmıştır.

İlgili kişinin yurt dışında mukim veri sorumlusunun Türkiye’deki irtibat bürosu hakkındaki şikâyetinde özetle;

  • İlgili kişinin işe kabulü yapılırken veri sorumlusunun irtibat bürosunca kendisinden adli sicil kaydı, sağlık raporu, akciğer filmi raporu, kan grubu belgesi, ehliyet fotokopisi, evlilik cüzdanı fotokopisi ve aile bireylerinin nüfus cüzdanı fotokopilerinin istenildiği ve ilgili kişi tarafından bu belgelerin teslim edildiği,
  • İrtibat bürosunun bahse konu özel nitelikli kişisel verilerin işlenmesi için ilgili kişiden açık rıza almadığı, 
  • Aile bireylerinin nüfus cüzdanı bilgilerinin talep edilmesinin Kanun’un 4’üncü maddesinde yer alan genel ilkeler ile çeliştiği,
  • Veri sorumlusunun özel nitelikli kişisel verilerin işlenmesinde Kurul’un aldığı 31/01/2018 tarihli ve 2018/10 sayılı Kararda belirtilen hususları yerine getirmediği, 
  • Veri sorumlusunun yurt dışında mukim olması sebebiyle, ilgili kişiye ait kişisel verilerin yurt dışına da aktarılmış olabileceği,
  • İlgili kişinin başvurusuna veri sorumlusu tarafından 30 günlük yasal süre içinde herhangi bir yanıt verilmediği

hususları belirtilmiş ve Kanun uyarınca gerekli işlemlerin yapılması talep edilmiştir.

Kurum tarafından yapılan inceleme neticesinde;

  • İlgili kişilerin başvuruları konusunda azamî dikkat ve özeni göstermesi,
  • İlgili kişinin kişisel verilerinin şirket merkezi ve irtibat bürosu nezdinde imha edildiğini gösterir belgenin ilgili kişiye iletilerek bu hususu tevsik edici belge ile birlikte işlemin sonucundan Kurula bilgi vermesi hususlarında talimatlandırılmasına

karar verilmiştir. 

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

  1. Sadakat Programı Kapsamında Veri Sorumlusunca Hukuka Aykırı Kişisel Veri İşlendiğine İlişkin İhbar Hakkında Karar Özeti

Kurum’un 05/07/2019 tarihli ve 2019/198 sayılı kararı, 18.07.2022 tarihinde Kurum’un internet sitesinde yayımlanmıştır.

Kurum’a intikal eden şikayet dilekçesinde özetle;

  • Veri sorumlusunun mağazasında satılan bazı ürünlere sadakat karta özel indirim uygulandığı, böylece özel indirimlerin şarta bağlandığı,
  • Söz konusu sadakat programına üyelik ve kart temini için de müşterinin kişisel verilerinin talep edildiği ve açık rızanın koşul olarak dayatıldığı

 

belirtilerek veri sorumlusu hakkında ihbarda bulunulmuştur.

Kurum tarafından konuya ilişkin yürütülen inceleme neticesinde;

  • 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 3’üncü maddesinin (1) numaralı fıkrasının (a) bendi hükmü uyarınca açık rızanın belirli bir konuya ilişkin olma, bilgilendirmeye dayanma, özgür irade ile açıklanma şeklinde üç unsuru olduğu,
  • İncelemeye konu ihbar niteliğindeki dilekçede yer alan bilgiler çerçevesinde veri sorumlusunun 99,99 TL olan ürünün fiyatını sadakat karta özel indirim kapsamında 79,99 TL olarak belirlediğinin ve satışa sunduğunun anlaşıldığı,
  • Sadakat kart programına dahil olmak istemeyen ve/veya söz konusu program dahilinde açık rıza vermek istemeyen ilgili kişilerin veri sorumlusunun mağazalarından alışveriş yapma imkanının ortadan kaldırılmadığı ve sadakat programına üye olmayan müşterilere indirimsiz fiyatlar üzerinden satış yapılmaya devam edildiği,
  • Sadakat programı kapsamında ürün/hizmetlerin ek menfaat ile indirimli olarak sunulmasının açık rızanın koşul olarak dayatılması anlamına gelmediği ifade edilerek,
  • Veri sorumlusunun mağazalarında sunulan ürün veya hizmetlerin, gerçekleştirilen kampanyalar dahilinde ve veri sorumlusu şirketin sadakat programına özel indirimli fiyatlar üzerinden ek bir menfaatle sunuluyor olmasının, açık rızanın koşul olarak dayatılması ve bu anlamda ilgili kişinin açık rızasının bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmesi olarak kabul edilemeyeceğinden, söz konusu dilekçeye ilişkin olarak Kanun hükümleri kapsamında yapılacak bir işlem olmadığına

 

karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

  1. İlgili Kişinin Kişisel Verilerinin İş Akdinin Sona Erdiği Veri Sorumlusu Şirket Tarafından Hukuka Aykırı Olarak İşlenmesi Hakkında Karar Özeti

Kurum’un 6/12/2021 tarihli ve 2021/1258 sayılı kararı, 18.07.2022 tarihinde Kurum’un internet sitesinde yayımlanmıştır.

İlgili kişinin şikayetinde özetle;

  • veri sorumlusu şirket nezdinde 10.12.2018 tarihinde işe başladığı, söz konusu görevden 30.12.2019 tarihinde ayrıldığı, kişisel verilerine yönelik olarak veri sorumlusu şirkete başvuru yapmak istediğinde şirketin bir başvuru formunun bulunmadığı gibi başvuru yollarının da tarafına bildirilmediği,
  • Aydınlatma yükümlülüğünün hukuka uygun olarak yerine getirilmediği, özel nitelikli kişisel verilerinin açık rızası olmaksızın işlendiği, veri sorumlusu şirkete parmak izi ve yüz tarama sistemi ile giriş yapıldığı, grup şirketinin farklı firmalarının yurt dışında şubesinin olduğu ve ilgili kişi yurt dışı şubesine ziyarete gittiğinde kişisel verilerinin açık rızası olmaksızın yurt dışına aktarılmış olduğu,
  • Kişisel verilerine yönelik yeterli teknik ve idari güvenlik tedbirlerinin alınmadığı, veri sorumlusu şirketin internet sitesinde gizlilik politikasının bulunmadığı hususları

 

ifade edilerek veri sorumlusu şirket hakkında Kanun kapsamında gereğinin yapılması talep edilmiştir.

Kurum tarafından yapılan inceleme neticesinde;

  • Veri sorumlusunun biyometrik veri işlemekte hukuki sebep olarak ileri sürdüğü iş sözleşmesinde bir madde olarak yer alan açık rıza metninin, ilgili kişinin iş sözleşmesini imzalamadan işe başlamak gibi bir şansı bulunmadığından, özgür irade ile imzalanmadığı, söz konusu açık rıza metnini kabul etmeme imkanının etkin bir biçimde ilgili kişiye tanınmamış olduğu, personelin işyerine giriş çıkışlarında kullanılan biyometrik verilerle ulaşılmak istenen amaca başka vasıtalarla ulaşılabilecek olmasına rağmen açık rıza şartına dayanılarak biyometrik veri işlenmesinin Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesinde yer alan amaç ile ölçülü olma ilkesine aykırı olduğu gerekçeleriyle Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı hareket ettiği kanaatine varılan veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 125.000 TL idari para cezası uygulanmasına karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

  1. Bir Sigorta Şirketi Tarafından İlgili Kişinin Banka Verilerinin İşlenmesi Hakkında Karar Özeti

Kurum’un 16/12/2021 tarihli ve 2021/1262 sayılı kararı, 18.07.2022 tarihinde Kurum’un internet sitesinde yayımlanmıştır.

Kurum’a intikal eden şikayet dilekçesinde özetle;

 

  • İlgili kişinin banka bilgilerini veri sorumlusu sigorta şirketi ile paylaşmadığı halde bu bilgilerin sigorta şirketi tarafından hukuka aykırı olarak işlendiği,
  • İlgili kişinin konuya ilişkin olarak veri sorumlusundan vekili aracılığıyla bilgi talebinde bulunduğu, ayrıca kişisel verilerinin silinmesi veya yok edilmesinin talep edildiği ancak başvurusunun yanıtsız bırakıldığı

 

belirtilerek veri sorumlusu hakkında Kanun kapsamında gerekli idari yaptırımların uygulanması talep edilmiştir. 

Kurum tarafından yapılan inceleme neticesinde;

  • Veri sorumlusunun yasal temsilci vekâletnamelerinde “özel yetki” aramaması hususunda uyarılması, vekâletnamelerde “özel yetki” bulunması gerektiğine dair veri sorumlusu tarafından tanzim edilen ilgili kişi başvuru formu, aydınlatma metni ve kişisel verilerin korunması ile alakalı diğer dokümanlardan bu ibarenin kaldırılarak Kurula bilgi verilmesi ile Tebliğ’in 6’ncı maddesi uyarınca başvuruların gerekçesi açıklanarak reddedilmesi hususlarında veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

  1. Araç Kiralama Programları Yazılımcısı ve Satıcısı Firmalar Tarafından İlgili Kişilerin Verilerinin İşlenmesi ve Kara Liste Programı Oluşturulması Hakkında Karar Özeti

Kurum’un 23/12/2021 tarihli ve 2021/1303 sayılı kararı, 18.07.2022 tarihinde Kurum’un internet sitesinde yayımlanmıştır.

Kuruma intikal eden şikayet dilekçesinde özetle;

  • İhbar edilen veri sorumlularının araba kiralama yazılımı üreticileri veya satıcıları olduğu, 
  • Bu yazılımları kullanan araba kiralama şirketlerinin müşterileri hakkında elde ettikleri tüm verileri bu yazılımlar vasıtasıyla kayıt altında tuttuğu, bu kapsamda aynı yazılımları kullanan diğer şirketlerin de rızaları olmaksızın ilgili müşterilerin kişisel verilerini uygulamadaki kara liste havuzundan görebildiği ve böylece bu yazılımı kullanan diğer kullanıcılara verilerin ifşa edildiği,
  • Bir araç kiralama firmasının kiraladığı aracına gelecek muhtemel zararlardan korunmak maksatlı birtakım önlemleri almasının ticaret hayatının olağan akışına uygun olduğu ancak müşterilerin rızası alınmaksızın bu yazılım vasıtasıyla kara listeye alındıkları ve böylece bu yazılımı kullanan diğer kullanıcılar ile kişisel verilerinin paylaşıldığı

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde;

  • Araç kiralayan gerçek kişi müşterilerin kişisel verilerinin de yer aldığı “kara liste” uygulamaları ile Kanunun 12’nci maddesinde düzenlenen müşterilere ilişkin araç kiralama firmalarınca ilk elden girilen kişisel verilere hukuka aykırı olarak erişilmesini önlemek, bu verilerin hukuka aykırı olarak işlenmesini önlemek ve muhafazasını sağlamak yükümlülüklerine aykırı olarak söz konusu verilerin yazılım şirketlerinin müşterileri olan başka araç kiralama firmalarının erişimine de açılması; fiili durumun araç kiralama firmalarınca da bilinmesi; aktarımın direkt bir araç kiralama firmasından diğer araç kiralama firmasına değil öncelikli olarak yazılıma yapılması; yazılım şirketlerinin bu veriyi bilinmeyen sayıda ve nitelikte kullanıcıya (diğer araç kiralama firmalarına) açması halinde hem veri sorumlusu haline geleceği, hem de Kanunun 4’üncü maddesinin 2 numaralı fıkrası hükmü gereğince kişisel verilerin işlenmesinde “hukuka ve dürüstlük kurallarına uygun olma”, “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine ve Kanunun 8’inci maddesinde belirtilen ilgili kişinin açık rızası ya da 5’inci maddenin (2) numaralı  fıkrasında düzenlenen işleme şartlarından biri olmadığı halde üçüncü kişilere aktarmak suretiyle hukuka aykırı olarak işlenmesine sebebiyet vereceği dikkate alındığında, ihbar konusu olayda araç kiralama yazılımı üreten ve satan şirketlerin araç kiralama firmaları ile birlikte ortak veri sorumlusu olarak hareket ettiğine,
  • Öte yandan bu minvalde işlenen kişisel verilerin Kanuna aykırılık doğuracağı dikkate alındığında bu yönde işlenmiş kişisel verilerin Kanunun 7’nci maddesinde düzenlenen hükümler ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun şekilde imha edilmesi hususunda ihbar kapsamında incelenen veri sorumlularının talimatlandırılmasına

karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

Sagılarımızla,

Zümbül Hukuk ve Danışmanlık 

info@zumbul.av.tr