17.12.2021 Tarihli KVKK Karar Özetleri

17.12.2021 Tarihli KVKK Karar Özetleri

“Bir eğitim kurumu tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmaksızın işlenmesi ve ilgili numaraya reklam içerikli SMS gönderilmesi” hakkında Kişisel Verileri Koruma Kurulunun 11/03/2021 tarihli ve 2021/227 sayılı Karar Özeti

Bir eğitim Kurumu tarafından ilgili kişinin cep telefonu numarasının ilgili kişinin açık rızasına ve herhangi bir veri işleme şartına dayanmaksızın işlenmesi ve ilgili numaraya reklam içerikli SMS gönderilmesi üzerine ilgili kişi tarafından kuruma şikayette bulunulmuştur. 

Olayda, şikayete konu şirket tarafından yapılan savunmada ilgili kişinin verilerinin anket yapılan bir firmadan alındığı ve anket dolduran kişilerin SMS ya da başka iletişim araçlarına onay vermiş olmasının şart olduğu iletilmiştir.

Kişisel Verileri Koruma Kurulu;

Kanunun 5. maddesindeki işlenme şartlarına göre kişisel verilerin işlenebileceği belirtilmiştir. Veri sorumlusunca anket yapan firmalardan belirli aralıklarla sosyal medya ve SMS onayı veren kişilerin bilgilerinin alındığı beyanı karşısında; yazıları ekinde gönderilen “Sosyal Medya ve Toplu SMS Anket Formu”nun incelenmesi sonucunda anketin 9 uncu sorusunun “Firmalardan ürünler hakkında bilgi ve tanıtımlarını SMS yoluyla almak ister misiniz” şeklindeki genel nitelikli bir sorunun, “Evet” olarak anlaşıldığı, veri sorumlusu tarafından iletilen belgede açık rızanın unsurlarının bulunmadığı, açık rızanın belirli bir konuya ilişkin olması gerektiği, belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki açık rızaların “battaniye rızalar” olarak kabul edileceği ve hukuken geçersiz sayılacağı hususları doğrultusunda, söz konusu sosyal medya şirketi tarafından yapılan ankette yer alan genel bir soruya verilen cevabın açık rıza kapsamında değerlendirilemeyeceği,

Veri sorumluları tarafından kendilerine bildirilen iletişim bilgilerinin doğruluğunu teyit edecek mekanizmaların oluşturulması adına gerekli idari ve teknik tedbirlerin alınması gerektiği,

Dolayısıyla mevcut olayda;

Veri sorumlusunun ticari elektronik ileti göndermesi suretiyle ilgili kişinin kişisel verisi olan telefon numarasını işlemesinin Kanunun 5 inci maddesinde sayılan şartlardan birine dayanmadığı dikkate alındığında Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı olarak işlenmesi önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı kanaatine varılan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına karar verilmiştir.

‘‘Veri sorumlusu tarafından ilgili kişinin cep telefonu numarasına reklam amaçlı SMS gönderilmesi’’ hakkında Kişisel Verileri Koruma Kurulunun 04/06/2021 tarihli 2021/545 sayılı Karar Özeti

Veri sorumlusu sıfatını haiz Hastane tarafından ilgili kişinin telefonuna reklam ve pazarlama amaçlı SMS gönderildiği, bununla birlikte ilgili kişi tarafından veri sorumlusuna kişisel verilerin işlenmesi konusunda açık rıza verilmediği ifade edilerek veri sorumlusu hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Veri sorumlusu savunmasında;

Söz konusu şikâyetçinin hastanede herhangi bir kaydı olmadığı, dolayısıyla tedavi kaydı bulunmayan kişinin kişisel verilerinin kaydedilmesinin de mümkün olamayacağını ve Gönderilen SMS’lerin iptali için ücretsiz gönderme seçeneği bulunduğu, iptal seçeneği kullanmayan kişilerin mesajların devamının zımnen kabul etmiş olduğunu ifade etmiştir.

Kişisel Verileri Koruma Kurulu ise;

Veri sorumlusunun iddialarında yer verilen SMS içeriklerinin ilgili kişiye gönderilen SMS içerikleri ile uyuştuğu ve mesajda belirtilen MERSİS numarasının veri sorumlusuna ait olduğunu ve veri sorumlusunun kendisine herhangi bir başvuru yapılmadığı iddiasına ilişkin şikâyetçi vekili tarafından veri sorumlusuna ihtarname gönderildiği ve ilgili barkod numaralı ihtarnamenin teslim alındığının anlaşıldığını bu sebeplerle;

Veri sorumlusu hastanenin, ilgili kişinin kişisel verisi niteliğindeki telefon numarasına Kanunun 5 inci maddesinde sayılan şartlardan birine dayanmaksızın SMS göndermesi suretiyle gerçekleşen kişisel veri işleme faaliyeti nedeniyle Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı olarak işlenmesi önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmediği dikkate alındığında, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca veri sorumlusu hakkında idari para cezası uygulanmasına karar vermiştir.

“İlgili kişinin cep telefonu numarasının kampanya adı altında bir dijital platform bayisi tarafından edinilmesi, işlenmesi ve rızası olmaksızın arama yapılması” hakkında Kişisel Verileri Koruma Kurulunun 04/06/2021 tarih ve 2021/548 sayılı Karar Özeti

İlgili kişi Kurum’a yaptığı şikayette, şikâyet ettiği dijital platform ile hiçbir ilişkisinin olmamasına karşın sürekli olarak 0850’li bir çağrı merkezinden arandığını ve tarafına, bu platforma üye olması yönünde pazarlama yapılmaya çalışıldığı belirtmiştir.

Dijital platformdan, ilgili kişiyi aradığı iddia olunan bayii ile şirketleri arasındaki iş ilişkisini tanımlayan bilgi ve belgelerin Kuruma iletilmesi talep edilmiş olup söz konusu talebe istinaden Kuruma iletilen cevap yazısında bayii tarafından kullanılan herhangi bir sistemin dijital platform tarafından kurulmayıp bayilerin kural olarak bayilik sözleşmesi ile görev ve yetkiler kapsamında kendisine sağlanan kullanıcı adı ve şifre bilgileri ile dijital platformun CRM Sistemine erişerek potansiyel müşteri oluşturabildiği ve ilgili kişi ile ilgili olarak herhangi bir kayda rastlanılamadığı için kişisel verilerinin ne şekilde elde edildiği ve benzeri soruların cevaplandırılmasının mümkün olmayacağı ifade edilmiştir.

Kişisel Verileri Koruma Kurulu ise;

Her ne kadar bayii ile dijital platform arasında akdedilen sözleşme hükümlerinden genel şekliyle dijital platformun veri sorumlusu, bayinin ise veri işleyen olarak belirlendiği görülmekte ise de somut hadisede bayinin veri işleyen sıfatından çıkarak veri sorumlusu hâline geldiği, zira dijital platformun merkezî CRM sisteminde müşteri/potansiyel müşteri olarak kaydı bulunmayan ilgili kişiyi dijital platformun talimatı veya bilgisi dâhilinde olmaksızın aradığının anlaşıldığı, bu telefon numarası bayiye dijital platform tarafından iletilmediğinden, bayinin veri işleyen olarak, veri sorumlusunun denetimi ve kontrolü altında kişisel veri işleme faaliyeti yürüttüğünden bahsedilemeyeceği; somut olayda bayinin, kendi iradesiyle ve dijital platformdan bağımsız bir şekilde ilgili kişinin açık rızası veya Kanunun 5 inci maddesinin (2) numaralı fıkrasında yer verilen işleme şartlarına dayanmaksızın ilgili kişinin kişisel verisi niteliğindeki telefon numarasını aramak suretiyle kişisel veri işleme faaliyetinde bulunmasından ötürü veri sorumlusu sıfatını haiz olduğu dolayısıyla;

İlgili kişinin kişisel verisi olan telefon numarasının Kanunun 5 inci maddesinde yer alan herhangi bir işleme şartına dayanmaksızın hukuka aykırı elde edildiği ve işlendiği dikkate alındığında Kanunun 12 nci maddesinin (1) numaralı fıkrasında yer alan teknik ve idari tedbirleri almayan veri sorumlusu bayii hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idarî para cezası uygulanmasına karar verilmiştir.

“Sigortacılık ve bireysel emeklilik alanında faaliyet gösteren bir şirket tarafından ilgili kişiye ait kişisel verilerin hukuka aykırı olarak işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 09/06/2021 tarihli ve 2021/584 sayılı Karar Özeti

Kuruma intikal eden şikayet dilekçesinde özetle; Sigortacılık ve Bireysel Emeklilik alanında faaliyet gösteren bir şirket tarafından ilgili kişinin cep telefonu numarasına SMS gönderildiği, kişinin adı geçen şirket ile herhangi bir ilişkisinin olmadığı, ilgili kişinin veri sorumlusundan talep ettiği yanıtta ad ve soyadının nasıl elde edildiğine ilişkin bilgiye yer verilmediği, ayrıca, gönderilen iletide ilk 24 saat içinde iptal yanıtı verilmezse aranmak için olumlu yanıt verildiğinin varsayılacağı bilgisinin yer aldığı bu işleyişin hukuka aykırı olduğu belirtilerek yukarıda yer verilen hususlara ilişkin olarak gerekli yaptırımın uygulanması talep edilmiştir.

Veri sorumlusu savunmasında;

Veri sorumlusu tarafından ilgili kişinin adı soyadı ve telefon bilgisinin ürünlere ilişkin teklif araması yapılmadan önce gerçekleştirilen araştırmalar sonucunda bir Baronun resmi internet sitesi üzerinden temin edildiği, söz konusu sitede ilgili kişi gibi Baroya kayıtlı avukatların adı soyadı, telefon numarası ve e-posta adresi gibi iletişim bilgilerinin yer aldığı ve bu bilgilerin herkes tarafından ulaşılabilecek aleni veriler olduğu,  şirketlerinin hukuka uygun bir şekilde “belirli, açık ve meşru amaçlar“ çerçevesinde kişisel veri işlediği ve mevzuattan kaynaklanan idari ve teknik tedbirleri aldığı, Bu bağlamda ilgili kişinin söz konusu bilgilerinin, telefonla aranmadan önce zaten ilgili kişi tarafından alenileştirildiğinden açık rızası alınmadan işlenmesinin mevzuata aykırılık teşkil etmeyeceğinin değerlendirildiği, Şirketlerinin satış politikası gereğince meşru faaliyet alanı çerçevesinde elde edilen kişisel veri olan iletişim bilgileri üzerinden müşteri adaylarına ticari elektronik ileti almak isteyip istemediğinin sorulması suretiyle veri sorumlusunun ilgili kişilere açık rıza gösterme hakkı sağladığı ifade edilmiştir.

Kişisel Verileri Koruma Kurulu ise;

Somut olayda, veri sorumlusu tarafından söz konusu cep telefonu numarasının elde edildiği kaynak olarak iddia edilen internet sitesinde her ne kadar ilgili kişinin cep telefonu numarasına rastlanılmasa da ilgili kişi tarafından bağlı bulunduğu Baronun resmi internet sayfasında söz konusu kişisel verinin alenileştirilmesi hususunda öncelikle ilgili kişinin söz konusu alenileştirme kapsamında iradesi olması gerektiği, bu anlamda, tek başına kişisel verinin kamuoyuna açık hale gelmesinin, örneğin herkesin görebileceği bir yerde olması ya da herkesin erişimine açık durumda bulunmasının alenileştirilmiş olması bakımından yeterli olmadığı; eylemin, ilgili kişinin iradesi ile de desteklenmesi gerektiği, söz konusu olay kapsamında, veri sorumlusu tarafından ilgili kişinin telefon numarasının ilgili kişinin kayıtlı olduğu Baronun internet sayfasından elde edildiği kanıtlanamamakla birlikte yapılan incelemede de bu numaraya rastlanılmadığı, dolayısıyla söz konusu cep telefonu numarasının ilgili kişinin kendi iradesi ile alenileştirildiği hususuna ilişkin kanıtlayıcı herhangi bir bilgi ve belgenin de mevcut olmadığı, Kanunun 5 inci maddesinin (2) numaralı fıkrasının (d) bendinde yer alan “İlgili kişinin kendisi tarafından alenileştirilmiş olması” hükmü çerçevesinde değerlendirilemeyeceği sonucuna varıldığı ve bu sebeplerle;

İlgili kişinin kişisel verisi niteliğindeki telefon numarasının kısa mesaj gönderilmek amacıyla işlendiği iddiası incelendiğinde ilgili kişinin mesleki yetkinliğinden faydalanmak için kendisine ulaşılmaya çalışılmadığı, aksine şirket faaliyetlerine ilişkin randevu talebi ile ilgili kişiye ulaşıldığı değerlendirilmekte olup bu çerçevede ilgili kişinin kişisel verisi niteliğindeki telefon numarasının reklam, pazarlama ve bilgilendirme amacıyla kısa mesaj gönderilmek suretiyle işlenmesinin Kanunun 5 inci maddesinde yer alan herhangi bir işleme şartına dayanmaksızın gerçekleştirildiği dolayısı ile veri sorumlusunun Kanunun 12 nci maddesinde yer verilen veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı davrandığı kanaatine varıldığından veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulamasına karar verilmiştir.

“İlgili kişinin kişisel verilerinin bir tur şirketi tarafından üçüncü kişilerle paylaşılması” hakkında Kişisel Verileri Koruma Kurulunun 18/03/2021 tarihli ve 2021/242 sayılı Karar Özeti

İlgili kişi veri sorumlusu tur şirketinden tatil paketi satın aldığını ve ilgili tüm bilgilerini veri sorumlusu ile paylaştığı, paylaşılan bu verilerin veri sorumlusu tarafından üçüncü bir kişiye aktarıldığı, söz konusu üçüncü kişi tarafından bahsi geçen bilgilerin bir mahkeme dosyasına ve baro şikâyet dilekçesi ekine sunulduğu, veri sorumlusuna yapılan başvuruya verilen cevapta üçüncü kişilere hiçbir şekilde verilmediği söylenen kişisel verilerin mahkeme dosyasında nasıl yer aldığının açıklanmadığı, bu kapsamda ilgili kişinin rızası ve bilgisi olmaksızın kişisel verilerini üçüncü kişilerle paylaşmış olan veri sorumlusu hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gerekli hukuki ve cezai işlemlerin yapılması talep edilmiştir.

Veri sorumlusu savunmasında;

Kanunun yürürlüğe girmesinden önce veri sorumlusunun sistemlerinde güvenlik ve önlem amaçlı log kayıtlarının tutulduğu, şirketleri ile rezervasyonun; çağrı merkezi, acente ya da internet sitesi üzerinden yapılabildiği, tüm bu kanallardan yapılan satış ve rezervasyonların tek bir satış altyapısında saklandığı, satış sürecinde oluşan kişi kartının, kişi ile iletişim kurulacak telefon numarası ve e-posta gibi iletişim bilgilerinin her seferinde tekrardan kişiden alındığı, böylelikle kişinin bir önceki seyahatinden farklı iletişim bilgileri ile (cep telefonu, e-posta vs.) yeni seyahatini planlayabildiği, her bir satış kanalından yapılan rezervasyonlar için öncelikle ödemenin alındığına dair “alındı belgesi”, ardından da rezervasyon detaylarını ve şartlarını içeren “voucher” düzenlendiği, “voucher”in rezervasyonun onayı için hem ilgili tesisle hem de misafirin rezervasyon detayları ile bu rezervasyonun şartlarına hakim olmasını sağlamak amacıyla misafir ile paylaşıldığı, misafir ile paylaşım acente üzerinden yapılan satışlarda misafire elden imza karşılığı teslim edilerek yapılmakta iken, çağrı merkezi ve internet üzerinden gerçekleştirilen satışlarda rezervasyon sırasında bildirilen e-posta adresine gönderilmek suretiyle yapıldığı, Log mekanizmasında yazılımların içindeki erişim, değişiklik ve görüntülemelerin tarih, saat ve kişi bazlı olarak kayıt yapıldığı, yaşanabilecek siber saldırılardan korunmak için güvenlik duvarı sistemlerinin bulunduğu, güvenli paylaşımı sağlamak amacıyla güvenli bir dosya paylaşımı uygulamasının kullanıldığı, bu suretle veri sorumlusu tarafından yapılan paylaşımların kişi bazlı olarak gözlemlenebildiği, verilerin veri sorumlusu şirket içerisinde kullanılan cihazlardan USB, e-posta gibi yöntemlerle dışarı çıkarılmasının gerektiğinde engellenmesi ve yine log kaydı alınması için bir “Veri Kayıp Önleme” (DLP) ürününün satın alınıp kurumsal ekiplerinde konumlandırıldığı kuruma iletilmiştir.

Kişisel Verileri Koruma Kurulu ise;

“Voucher” ve “alındı” belgelerinde kimlik bilgileri kategorisinde ilgili kişinin adı soyadı, doğum tarihi gibi kişisel verilerin yer aldığı, “voucher” dokümanının acente üzerinden yapılan satışlarda misafire elden imza karşılığı verilirken, çağrı merkezi ve internet üzerinden gerçekleştirilen satışlarda rezervasyon sırasında bildirilen e-posta adresine gönderildiği, benzer şekilde “alındı” dokümanının konaklamanın yapılacağı tesis ile paylaşılmadığı ve sadece misafir ile e-posta üzerinden paylaşıldığı dolayısıyla;

Şikâyet dosyasında yer alan konaklamaya ilişkin detayları içeren “Alındı” belgesinin sadece konaklamayı satın alan tarafla paylaşılan bir doküman olduğu ve konaklamanın yapılacağı tesis ile paylaşılmadığı; veri sorumlusunun Kuruma sunduğu log kayıtlarında konaklamaya ilişkin gönderilen “voucher” ve “alındı” dokümanlarının sadece ilgili kişinin e-posta adresine iletildiğinin belirlendiği ve konaklamaya yönelik veri sorumlusu personelinin yaptığı görüntülemelerin her birinin söz konusu belgelerin mahkemeye sunulma tarihi olan 04.04.2019 tarihinden sonra ve ilgili kişinin başvurusuna ve/veya Kurum tarafından yapılan bilgi ve belge talebine istinaden yapılan görüntülemeler olduğu dikkate alındığında, ilgili kişinin verilerinin veri sorumlusu tarafından paylaşıldığını tevsik eden somut bilgi ve belge bulunmadığından ilgili şikâyet hakkında 6698 sayılı Kanun kapsamında tesis edilecek bir işlem bulunmadığına karar verilmiştir.

“Ölenin sigorta poliçesine yasal mirasçısının erişim talebinin sigorta şirketi tarafından reddedilmesi” hakkında Kişisel Verileri Koruma Kurulunun 18/03/2021 tarihli ve 2021/241 sayılı Karar Özeti

Şikâyetçinin ölen eşi ile veri sorumlusu sigorta şirketi arasında Hayat Sigortası Sözleşmesi kurulduğu, şikâyetçinin eşinin ölüm sebebinin iş kazası olduğunun mahkeme ilamı ile kesinleşmesi üzerine iş kazası nedeni ile yapılması gereken ödeme miktarının tespit edilebilmesi için Poliçenin ibrazı gerekliliğinin hâsıl olduğu ancak KVKK ve ilgili yönetmelik uyarınca özel nitelikli kişisel veri olan sağlık verilerinin paylaşılmasının mümkün olmadığı” hususları belirtilerek talebin reddedildiği dolayısıyla hak yoksunluklarına sebep olduğu belirtilmiş ve gereğinin yapılması talep edilmiştir.

Veri sorumlusu savunmasında;

Veri sorumlusu sigorta şirketi ile sigorta ettiren arasında imzalanan Grup Sigortası Sözleşmesi kapsamında sigorta ettiren tarafından bildirilen SGK’lı çalışanların sigortalandığı,  şikâyetçinin eşinin de bu çalışanlardan biri olarak Grup Hayat Sigorta Poliçesi ile sigortalandığı, bu kapsamda murislere toplamda 100.000,00 TL (poliçe teminatının tamamı) ödeme yapıldığı, Poliçe teminatının tamamının murislere ödenmesiyle veri sorumlusunun Poliçe kapsamındaki tüm yükümlülüklerini yerine getirdiği, Kanunun 11 inci maddesi gereği ilgili kişinin kural olarak kendisiyle ilgili konularda veri sorumlusuna başvurabilme hakkına sahip olduğu ancak şikâyetçinin, eşine ilişkin talep etmiş olduğu Poliçe bilgileri, sertifika, teminat ödemesi vb. hususları eksiksiz paylaşılmış olmasına ve ortada kendisine ait Kanuna aykırı işlenen veri bulunmazken, sigortacılık mevzuatı açısından da tüm yükümlülüklerini yerine getiren veri sorumlusuna yönelik yapılan şikâyetin haksız olduğu  ifade edilmiştir.

Kişisel Verileri Koruma Kurulu ise;

6698 sayılı Kişisel Verilerin Korunması Kanununun 3 üncü maddesinde ilgili kişinin “kişisel verileri işlenen gerçek kişi” olarak tanımlandığı, 4721 sayılı Türk Medeni Kanununun 28 inci maddesinde ise kişiliğin, çocuğun sağ olarak tamamıyla doğduğu anda başladığı ve ölümle sona erdiği hükmünün yer aldığı, ölen eşin kişiliğinin de ölümle birlikte sona erdiği dikkate alındığında her ne kadar hayat sigortası ölen eşin adına yapılmış ve kişilik ölümle son bulduğundan ölen kişinin kişisel verilerine ilişkin talepler Kanun kapsamında değerlendirilemeyecek olsa da, hayat sigortasının lehdarlarının ölen kişinin kanuni mirasçıları olduğu, bu çerçevede ilgili Sigorta Poliçesinin lehdarı olmaları bakımından mirasçıların ilgili kişi niteliği kazandığı, bu sebeple ilgili kişi için de kanuni mirasçılıktan kaynaklı olarak, poliçeyi özetler belgede yer alan verilerin kişisel veri niteliği taşıdığı; öte yandan grup sigortalarına ilişkin hususların 6102 sayılı Türk Ticaret Kanununda düzenlendiği, sigortalanan kişilere poliçe yerine poliçeyi özetler belgenin verileceğinin anılan Kanunda hüküm altına alındığı ve somut olayda veri sorumlusu tarafından  “Poliçeyi özetler belgenin/sertifika”nın ilgili kişiye verildiği; bu anlamda Kanunun 11 inci maddesinden kaynaklanan erişim hakkının kişiye sağlandığı dikkate alındığında söz konusu şikayet hakkında Kanun kapsamında yapılacak bir işlem olmadığına karar verilmiştir.

“İlgili kişinin kişisel verisinin kamu kurumu personeli olarak görev yapan eski eşi tarafından sorgulanarak elde edilmesi ve adli makamlar ile paylaşılması” hakkında Kişisel Verileri Koruma Kurulunun 11/03/2021 tarihli ve 2021/230 sayılı Karar Özeti

İlgili kişinin kamu kurumu personeli olarak görev yapan, boşanma sürecinde olduğu eşi tarafından görevi kötüye kullanmak suretiyle kendisine erişim yetkisi verilen bir sistem üzerinden, maaş bilgilerinin sorgulandığı, boşanma davasına ilişkin yargılama sürecinde talep edilmemesine rağmen bu bilginin mahkeme ile paylaşıldığı iletilmiştir.

Veri sorumlusu savunmasında;

Şikayete konu veri işleme faaliyetini gerçekleştiren personelin konuya ilişkin açıklamalarının alındığı, yapılan açıklamada söz konusu kişi tarafından rutin işinin bir parçası olarak bahsi geçen sorgulamaları sıkça yaptığı, eşinin memur maaş zammına ilişkin kendisini haberdar etmesi üzerine ve kendisinin bilgisi dâhilinde bahsi geçen bilgileri sorguladığı, söz konusu zaman diliminde evliliğin aynı çatı altında sürdüğü, Kanunen aynı konutta yaşayanların istisna kapsamında olduğu ve bahsi geçen bilgilerin eşin bilgisi dahilinde sorgulanmasının sakınca teşkil etmediğini düşündüğü, boşanma davasında eşinin iddiasının aksine maaş bilgisinin paylaşılmadığı, bu bilgileri eşi dışında hiç kimse ile paylaşmadığı ve bu hususta mahkemeden bilgi talep edilebileceği ayrıca söz konusu Portaldan sehven kişisel sorgulama yapması hasebiyle Hizmet Merkezlerince “yazılı olarak” uyarıldığının belirtildiği ifade edilmiştir.

Kişisel Verileri Koruma Kurulu ise;

İlgili kişinin kişisel verisinin, veri sorumlusu bünyesinde çalışan bir personel tarafından tanımlanmış hizmetlerin ve yasal mükellefiyetlerin yerine getirilmesi dışında başka bir amaçla kullanılması suretiyle işlenmesinin Kanunun 5 inci maddesinde yer alan işleme şartlarından birine dayanmaması nedeniyle hukuka aykırı olduğu ayrıca Kanunun 4 üncü maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak işlenmesi ilkesine aykırı bir veri işleme faaliyetinin gerçekleştiği, bu kapsamda söz konusu faaliyetinin Kanunun 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil ettiği değerlendirildiğinden Kanunun 18 inci maddesinin (3) numaralı fıkrası uyarınca veri sorumlusu bünyesinde görev yapan söz konusu personel hakkında disiplin hükümlerine göre işlem yapılmasına karar verilmiştir.

“İlgili kişinin fotoğrafının öğrencisi olduğu okul tarafından kullanılması’’ hakkında Kişisel Verileri Koruma Kurulunun 09/06/2021 tarihli 2021/572 sayılı Karar Özeti

İlgili kişinin öğrenci olarak öğretmenleri ile yaptığı bir görüşmede rızası olmaksızın fotoğrafının çekildiği, çekilen fotoğrafının ticari amaçla okul tarafından bastırılan broşürde kullanıldığı ve kendi internet sitesinde yayınlandığı, ilgili kişi ve velisinin kişisel verilerin işlenmesine, yayımlanmasına veya kullanılmasına zımni veya açık bir rıza vermediği dolayısıyla okul hakkında gerekli işlemlerin tesis edilmesini talep etmiştir.

Veri sorumlusu savunmasında;

İlgili kişinin velisinden izin alındığı, bahse konu fotoğrafın aktif olarak kullanımda olmadığı ve yeni bir paylaşım durumunun da olmadığı, ilgili kişinin avukatı tarafından gönderilen ihtarnameye istinaden velinin “Sosyal Medya Paylaşımı” konulu yazılı izninin bir örneğinin bulunduğu ifade edilmiştir.

Kişisel Verileri Koruma Kurulu ise;

Açık rıza vermenin, kişiye sıkı sıkıya bağlı bir hak olduğundan, verilen açık rızanın geri alınabileceği, bu bağlamda kişisel verilerin geleceğini belirleme hakkı ilgili kişiye ait olduğundan, kişinin dilediği zaman veri sorumlusuna vermiş olduğu açık rızasını geri alabileceği ancak, geri alma işlemi ileriye yönelik sonuç doğuracağından, açık rızaya dayalı olarak gerçekleştirilen tüm faaliyetlerin geri alma beyanının veri sorumlusuna ulaştığı andan itibaren veri sorumlusu tarafından durdurulması gerektiği, başka bir diğer deyişle, geri alma beyanının veri sorumlusuna ulaştığı andan itibaren hüküm doğurduğu,

Şikayet konusu fotoğrafların paylaşılmasına yönelik veri işleme faaliyetinin veri sorumlusu tarafından öğrencilerin kişisel verisi olan fotoğraflarının paylaşılmak suretiyle işlenmesine ilişkin “sosyal medya paylaşımı” konulu bir bilgilendirme metninin düzenlendiği ve  ıslak imza ile imzalanarak açık rıza verildiğinin görüldüğü dolayısıyla Kanunun 5 inci maddesinin (1) numaralı fıkrasında yer alan ilgili kişinin/velisinin açık rızası hukuki dayanağı çerçevesinde gerçekleştirildiği kanaatine varılmış olup ilgili kişinin fotoğraflarının haksız ve hukuka aykırı olarak ticari amaçla bastırılıp dağıtıldığı ve internet sitesinde paylaşıldığı iddiası hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına,

İlgili kişinin okul ile öğrencilik ilişkisinin 2018-2019 yıllarında mevcut olduğu ve güncel durumda ise okul ile arasında öğrencilik ilişkisinin kalmadığı anlaşıldığından Kanunun 15 inci maddesinin (5) numaralı fıkrası uyarınca, şikayet konusu fotoğraftaki ilgili kişinin görüntüsünün ayrılabilir olup olmadığının veri sorumlusunca değerlendirilerek buzlanması ya da imha edilmesi ve sonucundan Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına ve  açık rızanın okulu tanıtıcı basılı yayınlarda/broşürlerde, web sitesinde veya sosyal medya hesaplarında paylaşılmasına yönelik her bir işleme faaliyeti özelinde ilgili kişilere ayrı ayrı seçenek sunulmak suretiyle revize edilmesi gerektiği yönünde veri sorumlusunun bilgilendirilmesine karar verilmiştir.

“Hukuk Bürosu tarafından ilgili kişinin kişisel verilerinin muhatabı ve tarafı olmadığı icra takibi ile ilgili işlemlerde hukuka aykırı olarak işlenmesi ve icra dosyasına ilişkin ilgili kişinin telefon numaralarına mesajlar gönderilmesi” hakkında Kişisel Verileri Koruma Kurulunun 11/03/2021 tarihli ve 2021/228 sayılı Karar Özeti

İlgili kişinin şahsına ait telefon numaralarına çeşitli tarihlerde, muhatabı ve tarafı olmadığı icra dosyası ile ilgili (alacaklı telekomünikasyon şirketi adına hareket eden) hukuk bürosu tarafından mesajlar gönderildiği, gerek alacaklı telekomünikasyon şirketi gerek avukat-hukuk bürosuna yaptığı başvuruya yasal süre içerisinde yanıt alamaması nedeniyle Kişisel Verileri Koruma Kuruluna şikâyette bulunulduğu belirtilmiştir.

Veri sorumluları savunmasında;

İlgili kişinin telefon numaralarına mesajları ileten avukat ile telekomünikasyon şirketi arasında Avukatlık Sözleşmesi akdedildiği, bahsi geçen Avukatlık Sözleşmesi uyarınca avukatın, bu sözleşme ve yasal takip prosedürleri kapsamında şirkete dair her türlü icra, dava, tahsilat ve takip işlemlerini yürüttüğü ve buna istinaden taraflarca sözleşmede belirlenen ücrete hak kazandığı ve avukat ile paylaşılan tek bilginin borçlu tüzel kişi bilgisi ile borç bilgisi olduğu, ilgili kişinin başvurusuna cevap verilmemesine ilişkin şirketin web sitesinde yer alan ve Kanunun 10 uncu maddesi kapsamında oluşturulmuş aydınlatma metninde ilgili kişilerin Kanunun “ilgili kişinin hakları” başlıklı 11 inci maddesi kapsamında başvurularını iletebilecekleri adreslere yer verildiği, ilgili kişinin söz konusu aydınlatma metninde belirtilen adreslerine/ilgili kanallarına herhangi bir başvurusunun bulunmadığının tespit edildiği, bu sebeple bahse konu taleplerinin değerlendirilemediği, Şikayete konu icra dosyası ve borcun tahsili açısından dosya borçlusu şirket hakkında yapılan araştırma neticesinde Ticaret Sicil Gazetesi üzerinden borçlu şirketin ortağı olarak ilgili kişinin ismine ulaşıldığı, Bilgi Teknolojileri Kurumu tarafından yetkilendirilmiş rehberlik hizmeti sağlayan bir kuruluşun sunduğu hizmetten yararlanarak ilgili kişinin telefon numaralarına ulaşıldığı ve borçlu şirket yetkililerine borcun bildirildiği, kişilerin telefon numaralarına ulaşılmasının ardından şirket borcundan dolayı ortakların sorumlu olduğu iddiasında hiçbir zaman bulunulmadığı yalnızca şirket borcundan dolayı şirket yetkililerine borç bildirildiği, söz konusu telefon numaralarının Avukatlık Kanununun 35/A maddesi gereğince uzlaşı sağlamak amacıyla arandığı ve mesaj gönderildiği, bununla birlikte, müvekkilin hukuki menfaatlerini korumak adına borçlunun iletişim bilgilerine ulaşma çabasının hak arama hürriyeti kapsamında değerlendirilmesi gerektiği belirtmiştir.

Kişisel Verileri Koruma Kurulu ise;

Kuruma iletilen yasal takip otomasyon sistemlerine ilişkin ekran görüntülerinde yalnızca borçlu olan tüzel kişinin bilgisinin yer aldığı, herhangi bir iletişim bilgisinin yer almadığı görüldüğünden alacaklı telekomünikasyon şirketinin veri sorumlusu sıfatını haiz olmadığı değerlendirildiğinden hakkında yapılacak bir işlem olmadığına, 

Veri sorumlusu sıfatını haiz olduğu değerlendirilen avukat tarafından halihazırda herhangi bir ilgisinin bulunmadığı borçlu şirketin icra takibine ilişkin mesajlar gönderilmesi suretiyle ilgili kişinin kişisel verisi olan telefon numaralarının işlenmesinin Kanunun 5 inci maddesinde sayılan işleme şartlarından herhangi birine dayanmadığı değerlendirildiğinden Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmediği kanaatine varılan veri sorumlusu avukat hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına karar verilmiştir.

“Bir bankanın, varlık yönetim şirketinin ve üç farklı avukatın borçlu olmayan ilgili kişinin kişisel verisini işleyerek icra takibi başlattıkları iddiası” hakkında Kişisel Verileri Koruma Kurulunun 27/04/2021 tarihli ve 2021/424 sayılı Karar Özeti

İcra dosyasında gerçek borçluya ilişkin tüm bilgilerin bulunmasına karşın ilgili kişinin kimlik numarasını kullanarak Bankanın, Varlık Yönetim Şirketinin ve üç farklı avukatın borçlu olmayan ilgili kişiye icra takibi başlattıkları, Veri sorumlusu Banka, Varlık Yönetimi Şirketi ve avukatların ilgili kişinin T.C. kimlik numarasını nasıl ve nereden edindiğinin meçhul olduğu, bu bilgilerin üçüncü şahıslara verilerek ilgili kişinin mağdur edildiği, kara listeye aldırıldığı ve dosya bilgilerinin incelenmeksizin ilgili kişiye icra takibi yapmakta ısrar edildiği belirtilmiştir.

Veri sorumluları savunmasında;

21.02.2017 tarihinde Bankanın ilgili şubesine şikayetçi tarafından başvuru yapılarak borçlu olarak görünen kişi ile isim benzerliği olduğunu ve hatanın düzeltilmesini talep ettiği, bunun üzerine yapılan kontrollerde, ilgili kişiye ait T.C. kimlik numarasının, borçlu adına tanımlı olduğunun ve ilgili kişi ile borçlunun Banka sistemlerinde sadece T.C. kimlik numarasının aynı olup diğer tüm verilerinin ise farklı olduğunun tespit edildiği, böylelikle takip borçlusu için 23.06.2003 tarihinde müşteri kaydı oluşturulduğu sırada T.C. kimlik numarası olarak sehven ilgili kişiye ait T.C. kimlik numarasının kaydedildiğinin anlaşıldığı, Veri sorumlusu Bankaya şikâyetin ulaştığı 21.02.2017 tarihinde derhal ilgili kişinin T.C. kimlik numarasının, borçlunun müşteri bilgileri altından silinmesinin sağlandığı, ayrıca Kredi Referans Sistemi (KRS) ekranlarında yapılan kontrollerde 5 yıl geçtiği için kayıtların da silindiğinin görüldüğü ifade edilmiştir.

Kişisel Verileri Koruma Kurulu ise;

Şikâyet konusu evrakta ilgili kişiye ait T.C. kimlik numarasının yer aldığı görülmekle birlikte cinsiyet, adres, anne ve baba adı gibi verilerin farklı olduğu, Emniyet Müdürlüğünün İcra Müdürlüğüne böyle bir kişinin belirtilen adreste bulunmadığı bilgisini ilettiği, bunun üzerine veri sorumlusu Banka tarafından borçlunun adres bilgilerinin tespiti için müzekkere yazdırıldığı, bu müzekkerede de ilgili kişinin borçlu ile aynı olan isim, soyisim ve doğum tarihi bilgileri dışında T.C. kimlik numarasının da yer aldığı fakat doğum tarihi ve ana baba adı gibi verilerinin kendisine ait olmadığının tespit edildiği, İlgili kişinin dilekçe ile veri sorumlusu bankaya ve BİMER (CİMER) üzerinden savcılığa şikâyette bulunması üzerine Cumhuriyet Başsavcılığı tarafınca açılan Soruşturma Dosyası kapsamında veri sorumlusu Banka tarafından Başsavcılığa verilen yanıtta ilgili kişinin şubelerine başvurması sonucu gerekli güncellemelerin yapılarak T.C. kimlik numarasının sistemden silindiği, KKB kayıtlarının düzeltildiği, takip hesabının devir yapıldığı, Varlık Yönetim Şirketine ayrıca bilgilendirme yapıldığının veri sorumlusu Bankanın 2017 yılı içerisindeki kendi içerisinde ve Varlık Yönetimi Şirketi ile yaptığı yazışmalardan görüldüğü, Banka ile Varlık Yönetimi Şirketinin Kanunun 3 üncü maddesi kapsamında veri sorumlusu sıfatını haiz olduğu, bununla birlikte veri sorumlusu Banka ve Varlık Yönetim Şirketi ile birlikte şikâyet olunan avukatların ise Bankanın/Varlık Yönetim Şirketinin dosya kapsamındaki vekilleri olduğu, kendilerinin veri sorumlusu Banka ile veri sorumlusu Varlık Yönetim Şirketinin talimatları altında kişisel veri işlediği ve birtakım yasal işlemleri yürütmekten ibaret olan vazifelerini yerine getirdikleri, şikâyet edilen avukatların kendi iradeleriyle “kişisel verilerin işlenme amaçlarını belirleyerek” herhangi bir kişisel veri işleme faaliyeti yürüttüğüne dair tevsik edici bir belge Kuruma ulaşmamış olduğundan mezkûr şahısların veri sorumlusu sıfatını haiz olmadıklarının anlaşıldığı, veri sorumlusu varlık yönetimi şirketinin ilgili kişi ve veri sorumlusu Banka tarafından 2017 yılı içerisinde yapılan e-posta, faks ve WhatsApp uygulaması yollarıyla yapılan bütün bildirimlere karşın ilgili kişinin dosyası hakkında bir şikâyet kaydı oluşturmadığı, bu sebeple ilgili kişinin aslında var olmayan borcunu ödemesi hususunda telefonla rahatsız edilmeye devam edildiği, şirket bünyesindeki kişisel verilerinin silinmeyip UYAP’tan taraf kaydının kaldırılmadığı, bu sebeple TBB Risk Merkezi veri tabanında ilgili kişiye kayıtlı borçların görüntülenmeye devam edildiği, bu durumun Kanunun 12 nci maddesini ihlâl ettiği ve bu tespitlerden hareketle;

İlgili kişinin kişisel verilerinin Banka tarafından Kanun yürürlüğe girmeden önce işlendiği, akdedilen alacak temlik sözleşmesine dayanarak hukuka uygun olarak Varlık Yönetim Şirketine aktardığı, öte yandan ilgili kişinin 2017 yılında yaptığı başvuruya istinaden ilgili kişinin kişisel verilerinin Banka tarafından düzeltildiği dikkate alındığında Veri sorumlusu Banka hakkında Kanun kapsamında yapılacak bir işlem olmadığına,

Varlık Yönetim Şirketinin ilgili kişinin gerçek borçlu olmadığına dair bilgileri 2017 yılı içerisinde gerek Bankadan gerekse de ilgili kişi cihetinden tarafına ulaşan bilgi ve belgeler vasıtasıyla edinmesine karşın ilgili kişinin kişisel verilerini işlemeye devam ederek borcun tahsili amacıyla ilgili kişinin aranması yoluna gidilerek 2019 yılı Haziran-Temmuz dönemine kadar veri tabanında, UYAP’ta ve TBB Risk Merkezindeki kayıtların düzeltilmediği, bu kapsamda Şirketin Kanunun 5 inci maddesinde yer alan işleme şartlarına dayanmaksızın ilgili kişinin kişisel verilerini işlediği dikkate alındığında, Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendi çerçevesinde kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli tedbirleri almadığı kanaatine varılması nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında Varlık Yönetim Şirketi hakkında idari para cezası uygulanmasına ve şikâyet edilen diğer taraflar olan avukatların ise veri sorumlusu sıfatını haiz olmadıkları dikkate alındığında haklarında Kanun kapsamında tesis edilecek idarî bir işlemin bulunmadığına karar verilmiştir.

“İşten çıkarma sürecinde veri sorumlusu işveren tarafından ilgili kişinin kişisel verilerinin hukuka aykırı olarak işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 09/03/2021 tarihli ve 2021/205 sayılı Karar Özeti

İlgili kişinin iş sözleşmesinin feshedildiği tarihe kadar veri sorumlusu şirketin bir çalışanı olduğu, veri sorumlusu tarafından ilgili kişiye noter aracılığıyla ihtarname gönderilerek iş sözleşmesinin haksız olarak sona erdirildiği, işten çıkarma sürecinde şahsına ait iş eşyalarının yanı sıra ailevi özel eşyalarına da el konulduğu, veri sorumlusu şirketin çalışanlarının iş yerindeki odasına girerek masasında yer alan şirket bilgisayarını izinsiz ve haber vermeden aldığı, e-posta hesabının kapatıldığı, e-postalarına erişiminin ve e-posta göndermesinin engellendiği, bilgisayar ve e-postalarına bakıldığı, ilgili kişinin odasında arama yapıldığı, bunların yanında ilgili kişinin şahsına ait kişisel harici hard diskin de alındığı, özel bilgi ve belgeleri, banka bilgileri ve şifreleri ile fotoğraflarının ekrana yansıtılmak suretiyle odasında bulunan kişilerce izlendiği ve bu suretle veri sorumlusu tarafından kişisel verilerine karşı ihlal gerçekleştirildiği ifade edilerek veri sorumlusu hakkında gerekli incelemenin yapılması talep edilmiştir. 

Veri sorumlusu savunmasında;

İlgili kişinin kişisel verilerinin, veri sorumlusunun eski çalışanı olması nedeniyle başta İş Kanununun 75 inci maddesi ve Sosyal Sigorta İşlemleri Yönetmeliğinin 107 nci maddesi olmak üzere sair mevzuat uyarınca tutulması gereken iş yeri belgelerinin 10 yıl süre ile saklanmasını gerektiren yasal zorunluluk ve ilgili kişi ile veri sorumlusu arasında halen devam etmekte olan davaların takibi amacıyla tutulduğu, söz konusu kişisel verilerin saklama sürelerinin sonunda mevzuata uygun şekilde silineceği, yok edileceği veya anonim hâle getirileceği, mahkemenin ilgili kişi tarafından ileri sürülen bu iddialara herhangi bir sonuç bağlamadığı, yukarıda belirtilen davalardaki taleplerin reddedildiği göz önünde bulundurulduğunda ilgili kişinin iddialarının mahkeme tarafından haklı bulunmadığının görüleceği, kaldı ki davaların hala istinaf aşamasında olmasının ilgili kişinin mahkeme tarafından haklı bulunmayan kişisel verilerle ilgili iddialarının istinaf aşamasında tekrar ileri sürmesi için bir imkân olduğu, veri sorumlusu tarafından ilgili kişiye kullanımı için verilmiş olan dizüstü bilgisayarın işten çıkış aşamasında geri alındığı, kişinin dizüstü bilgisayarındaki veriler teslim alındıktan sonra hiçbir verisi kopyalanmadan, geri döndürülemeyecek şekilde silindiği, ilgili kişinin şirkete ait e-posta hesabının işten ayrıldıktan sonra kapatılmasının, şirket hesabı ile şirket adına işlem yapılmasının engellenmesi amacıyla uygulanan standart bir prosedür olduğu ifade edilmiştir. 

Kişisel Verileri Koruma Kurulu ise;

ilgili kişinin Kuruma vermiş olduğu şikâyet dilekçesinde iddia ettiği hususları veri sorumlusu ile aralarında devam etmekte olan davalarda belirtmişse de bu davaların işçilik alacağı ve işe iade talepli davalar olduğu, bu dava dilekçelerinde ilgili kişinin, kişisel verileriyle ilgili iddialarını da belirttiği ancak kişisel verilerine ilişkin bir talep oluşturmadığı, ilgili kişi tarafından bu davaların ikame edilmesindeki amacın kişisel verilerine yönelik koruma talep etmek değil işe iade ve işçilik alacağı olduğu, Diğer taraftan iş sözleşmesi feshedildikten sonra ilgili kişinin kullanımına tahsis edilen şirket bilgisayarının formatlanması ve şirket e-postasının kapatılmasının Kanuna aykırılık teşkil etmediği, iş sözleşmesinin sonlanmasından sonra veri sorumlusu şirket tarafından, işçinin e-posta adresinin kapatılmasının ve işçinin kullanımına tahsis edilmiş bilgisayarın geri alınmasının hayatın olağan akışı gereği olduğu, ilgili kişi e-posta adresinin kapatılması suretiyle hesabına erişiminin engellendiğini belirtmişse de bu durumun Kanuna aykırılık teşkil etmeyeceği, Yargıtay 9. Hukuk Dairesinin 05/02/2007 tarihli E.2006/30107, K.2007/2011 sayılı kararında bilgisayar kaynaklarının amacına uygun kullanılması ile ilgili işyeri iç düzenlemesine rağmen, davacının şirket bilgisayarını mesai saatleri içinde kişisel mailinde kullandığı, davacının bu davranışının şirketin iç işleyişi ile ilgili düzenlenen kurala aykırı olduğu gibi, mesai saatleri içinde kişisel ihtiyaçlarında işyeri bilgisayarını kullanarak iş görme edinimini yeterince yerine getirmediği, bu davranışının işyerinde olumsuzluklara neden olduğu, feshin geçerli nedene dayandığı sonucuna varıldığı, İlgili kişinin, kişisel harici hard diskinin, şahsına ve ailesine ait özel bilgilerinin, banka bilgilerinin, banka şifrelerinin ve fotoğraflarının ekrana yansıtılmak suretiyle odasında bulunan kişilerce izlendiğine ilişkin iddialarıyla ilgili dosya kapsamında tevsik edici bir bilgi veya belgeye yer verilmediği değerlendirmelerinden hareketle;

Veri sorumlusu ile ilgili kişi arasındaki iş sözleşmesi feshedildikten sonra ilgili kişinin kullanımına tahsis edilen şirket bilgisayarının formatlanması ve şirket e-postasının kapatılması suretiyle hesabına erişiminin engellenmesinin Kanuna aykırılık teşkil etmediğine, İlgili kişinin, kişisel harici hard diskinin, özel bilgi ve belgelerinin, şahsına ve ailesine ait özel şeylerin, banka bilgilerinin, banka şifrelerinin ve fotoğraflarının ekrana yansıtılmak suretiyle odasında bulunan kişilerce izlendiğine ilişkin iddialarıyla ilgili dosya kapsamında tevsik edici bir bilgi veya belge bulunmadığından bu aşamada yapılacak bir işlem bulunmadığına karar verilmiştir. 

“İlgili kişinin Kanunun 11 nci maddesi kapsamındaki başvurusuna veri sorumlusu tarafından verilen cevabın yeterli bulunmaması” hakkında Kişisel Verileri Koruma Kurulunun 03/02/2021 tarihli ve 2021/85 sayılı Karar Özeti

İlgili kişinin “….com.tr” adresinden ürün siparişi verdiği, bu işlem ve veri sorumlusunun e-bültenine kayıt olması esnasında kişisel verilerinin işlenmesine ilişkin bir aydınlatmanın sunulmadığı ve veri sorumlusunun internet sitesinde bulunan “Kişisel Veriler Politikası” (Politika) bölümünün bir aydınlatma olmadığı, tüm siteyi kapsamaya çalışan karışık bir metin olduğundan ötürü “belirli ve açık” olmadığı ifade edilmedilmiştir.

Veri sorumlusu savunmasında;

İlgili kişinin internet siteleri üzerinden üyelik kaydı oluşturarak ürün sipariş ettiği, Kanunun yürürlüğe girmesiyle birlikte veri sorumlusunun Kanun kapsamında bir kişisel verileri koruma politikası uygulamaya başladığı, ilgili kişinin başvuru tarihinden itibaren geçen süre içerisinde politika metninde iyileştirmeler yapıldığı ve “Kişisel Verilerin Korunması ve İşlenmesi Hakkında Aydınlatma Metni”nin veri sorumlusunun sitesinde yer aldığı, ilgili kişinin başvurusunda belirli ve açık olmadığını ileri sürdüğü metnin yeniden düzenlenerek daha açık bir anlama kavuşturulduğu belirtmiştir.

Kişisel Verileri Koruma Kurulu ise;

Veri sorumlusunun, internet sitesi üzerinden sipariş verilmesi veya üye olunması gibi ilgili kişilerin kişisel verilerinin işlenmesine sebebiyet verecek işlemler esnasında, o anda ve sonrasında gerçekleştirilecek veri işleme faaliyetine ilişkin bir aydınlatmada bulunmadığı, ilgili kişilerin kişisel verilerinin kullanımı ile ilgili olarak bilgi alabilmek için kendilerinin bahse konu politika metnini arayıp bulmaları gerektiği, bu metnin de tüm siteyi kapsayan bir politika metni hüviyetinde olduğu ve bu durumun Tebliğin 5 inci maddesinin (1) numaralı fıkrasının (g), (ğ) ve (j) bentlerine aykırılık teşkil ettiği kanaatine varılmış olup Kanunun “Şikayet üzerine veya resen incelemenin usul ve esasları”nı düzenleyen 15 inci maddesinin (5) numaralı fıkrasının “Şikayet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması halinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.” hükmü uyarınca veri sorumlusunun, söz konusu hukuka aykırılıkların giderilmesi ve sonucundan Kurula bilgi vermesi hususlarında talimatlandırılmasına  karar verilmiştir.

“Veri sorumlusu banka tarafından ilgili kişinin verilerinin yakınları ile paylaşılması hakkında” Kişisel Verileri Koruma Kurulunun 03/02/2021 tarihli ve 2021/79 sayılı Karar Özeti

İlgili kişinin veri sorumlusu Bankanın kredi kartını kullandığı, veri sorumlusu tarafından ilgili kişinin kredi kartı borcuna ilişkin ilgili kişinin ablası ve babasına ait telefon numaralarının arandığı, ilgili kişinin bu hususta 15/11/2019 tarihinde veri sorumlusuna başvurarak ailesinin iletişim bilgilerine nasıl ulaşıldığı, kişisel verilerinin üçüncü kişilerle neden paylaşıldığı konularında bilgi talep ettiği, veri sorumlusunun 19/11/2019 tarihinde verdiği cevapta, ilgili kişinin kredi kartı borcu bilgilendirilmesi için arandığı ancak ulaşılamadığında alternatif telefon numaralarından da ilgili kişiye ulaşılmaya çalışıldığının, veri sorumlusu ile ilgili kişi arasında yapılan görüşme sonucunda ilgili kişinin veri sorumlusu bünyesinde kayıtlı olan cep telefonu dışındaki diğer numaralardan aranmaması için gerekli sistemsel güncellemelerin tamamlandığının ifade edildiği belirtilerek veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Veri sorumlusu savunmasında;

Risk Merkezi ile veri sorumlusu Banka arasında bu çerçevede bir gizlilik sözleşmesi akdedilmiş olduğu bahsi geçen yasal düzenlemeler ile alt mevzuatın belirlediği kapsamla sınırlı ve yine bu düzenlemelerde yer verilen esas ve usullere uygun olarak, müşterilerinin, kredilendirme süreçlerinde kullanabilmek ve risk bilgilerini alabilmek amaçları ile Risk Merkezinden sorgulamalar yapıldığı, bu çerçevede, ilgili kişinin bünyelerinde kayıtlı olan telefon bilgilerinin, Risk Merkezinden yapılan sorgulama vasıtasıyla temin edilerek, ilgili kişiye ulaşılmak maksadı ile ve sadece bu amaçla sınırlı kalınarak kullanıldığı,

15/11/2019 tarihinde ilgili kişi ile yapılan görüşme sonucunda, ilgili kişinin talebi üzerine, ilgili kişi ile yakınlarının kişisel verisi olan ***10 ve ***55 telefon numaralarından iletişime geçilmemesi için, 18/11/2019 tarihinde gerekli sistemsel güncellenmelerin gerçekleştirildiği ifade edilmiştir.

Kişisel Verileri Koruma Kurulu ise;

Veri sorumlusu tarafından ilgili kişinin kredi kartı borcuna ilişkin ilgili kişinin ablası ve babasına ait telefon numaralarının birkaç kere arandığı iddiası ile ilgili olarak, veri sorumlusundan alınan cevabi yazı ve ekindeki açıklamalar dikkate alındığında veri sorumlusu tarafından ilgilinin kişinin ablası ve babasının arandığı ikrar edilerek yapılan görüşme kayıtlarına ilişkin dökümlerin de ekte yer aldığı ve söz konusu kayıtlarda; ilgili kişinin ablasının bir defa, babasının ise iki defa arandığı, konuşma içeriğinde müşteri temsilcisi tarafından Bankanın Genel Müdürlüğünden arandığı ve ilgili kişinin taraflarına dönüş yapmasının söylendiği görüldüğünden ilgili kişinin ablası ve babasının Risk Merkezi üzerinden temin edilen telefon numarası üzerinden aranması suretiyle ilgili kişinin banka ile münasebetinin yakınları ile paylaşılmasının Kanunun 5 inci maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanmaksızın gerçekleştirildiği

değerlendirmelerinden hareketle, 

Veri sorumlusu tarafından ilgili kişinin ablası ve babasının Risk Merkezi vasıtasıyla temin edilen telefon numarası üzerinden aranması suretiyle ilgili kişinin banka ile münasebetinin yakınları ile paylaşılmasının Kanunun 5 inci maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanmaksızın, hukuka aykırı olarak gerçekleştirildiği dikkate alındığında veri sorumlusunun Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendinde öngörülen “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğünü yerine getirmediği kanaatine varıldığından, veri sorumlusu hakkında, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına karar verilmiştir.

“İlgili kişinin fotoğraflarının veri sorumlusuna ait bir sosyal medya hesabında paylaşılması suretiyle gerçekleşen kişisel veri işleme faaliyeti” hakkında Kişisel Verileri Koruma Kurulunun 27/04/2021 tarihli ve 2021/422 sayılı Karar Özeti

İlgili kişinin veri sorumlusunun iş yerinde pilates eğitmeni olarak çalıştığı, iş ilişkisinin sona ermesinden sonraki tarihlerde veri sorumlusunun sosyal medya hesabından ilgili kişinin fotoğraflarını kullanarak herkese açık şekilde paylaşımlarda bulunduğu, bu sebeple veri sorumlusuna başvuruda bulunularak ilgili paylaşımının kaldırılması, fotoğrafların ilgili kişiye iade edilmesi, veri sorumlusunda bulunan fotoğrafların yok edilmesi ve veri sorumlusu nezdinde reklam veya başka bir amaçla sosyal medyada kullanılmamasının talep edildiği, veri sorumlusunun başvuruya cevabında söz konusu fotoğrafların kullanımından vazgeçildiğini belirtmesine karşın, herkes tarafından erişilebilir sosyal medya hesabında fotoğrafların yayınlanmaya devam ettiği, ilgili kişinin açık rızası alınmamasına rağmen fotoğrafların paylaşıldığı ve talebe rağmen sosyal medya platformundan kaldırılmadığı, paylaşılan fotoğrafla ilgili olarak ilgili kişiye hiçbir bilgilendirme yapılmadığı ve aydınlatma yükümlülüğünün de yerine getirilmediği, söz konusu fotoğraf paylaşımının 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) aykırı olduğu belirtilerek, veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Kişisel Verileri Koruma Kurulu;

İlgili kişinin fotoğraflarının veri sorumlusuna ait sosyal medya hesabından kaldırılmaması nedeniyle veri sorumlusunun Kanunun 5 inci maddesi kapsamında herhangi bir kişisel veri işleme şartına dayanmaksızın kişisel verileri hukuka aykırı şekilde işlemek suretiyle Kanunun 12 nci maddesinin (1) numaralı fıkrası kapsamında uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılması nedeniyle veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına, 

Veri sorumlusunun sosyal medya hesabında bulunan ilgili kişiye ait tüm fotoğrafların kaldırılması ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümleri uyarınca uygun usulle silinmesi/yok edilmesi, söz konusu fotoğrafların başka hiçbir mecrada kullanılmaması ve bu işlemlerin sonucundan Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına karar vermiştir.

“Bir bankanın mobil uygulamalar üzerinden ilgili kişiye rızası dışında tanıtım iletileri göndermesi” hakkında Kişisel Verileri Koruma Kurulunun 13/04/2021 tarihli ve 2021/361 sayılı Karar Özeti

İlgili kişinin maaş müşterisi olduğu veri sorumlusu banka tarafından sunulan 2 adet mobil uygulama üzerinden cep telefonuna tanıtım iletileri gönderildiği, veri sorumlusunun tanıtım iletileri gönderme işlemi sırasında 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanunun (6563 sayılı Kanun) 6 ncı maddesi ile 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) ilgili maddeleri kapsamında ilgili kişinin açık rızasına başvurmadığı ve veri sorumlusu tarafından Kanunun 12 nci maddesi uyarınca kişisel verilerin hukuka aykırı biçimde işlenmesini önlemek adına gerekli teknik ve idari tedbirlerin alınmadığı ifade edilmiştir.

Veri sorumlusu savunmasında;

Kullanıcıların akıllı telefonlarına uygulamayı indirdikten sonra, tanıtım iletisi gönderilmesi için tercihlerinin istenildiği ve izin verilmesi durumunda kendilerine pazarlama içerikli bildirimlerin gönderildiği belirtilmiştir.

Kişisel Verileri Koruma Kurulu;

cihazlarında Android işletim sistemi bulunan veri sorumlusu banka müşterilerinin, yükledikleri bankacılık uygulamasının ayarlarında elektronik ileti alma tercihinin otomatik olarak onaylı olmasının ve müşterilerin bu tercihi değiştirmediği sürece onay tercihinin geçerli kabul edilmesinin ilgili mevzuata uygun olmadığı,çok sayıda yerel şubesinin ve müşterisinin yanı sıra yurt dışı iştirak şubeleri de bulunan veri sorumlusunun bahsi geçen tasarrufu sebebiyle hukuka aykırı kişisel veri işleme faaliyetinin yaygın bir biçimde meydana geldiği ve ilgili kişi olan müşteriler bakımından veri güvenliği riskinin mevcut olduğu, Veri sorumlusunun ilgili kişilerden usulüne uygun şekilde açık rıza almaksızın tanıtım iletisi göndermek suretiyle hukuka aykırı olarak kişisel veri işleme faaliyetinde bulunmasının Kanunun 12 nci maddesinin (1) numaralı fıkrasında zikredilen uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığını gösterdiği değerlendirmelerinden hareketle idari para cezası uygulanmasına karar verilmiştir.

“Telekomünikasyon hizmetleri sunan bir veri sorumlusunun ürün satışı esnasında müşterilerinin pasaport fotoğraflarını çekerek depolaması hakkında Kişisel Verileri Koruma Kurulunun 03/02/2021 tarihli ve 2021/78 sayılı Karar Özeti

Kuruma intikal eden bir ihbarda; veri sorumlusu tarafından İstanbul Havalimanı şubesinde dış hatlara gelen yolculara kontörlü hat satışı gerçekleştirilirken müşterilerin rızası olmadan, ileride eksik evrak cezası almamak için, müşteri pasaport fotoğraflarının çekilerek çalışanlardan oluşturulan bir whatsapp grubunda depolandığı ve üçüncü kişilerle paylaşıldığı iletilmiş ve veri sorumlusu nezdinde gerekli denetimlerin yapılması talep edilmiştir.

Veri sorumlusu savunmasında;

Veri sorumlusuna ait iş yerinin bir telekomünikasyon şirketi ile sözleşmesinin olduğu, sistemdeki her işlemin telekomünikasyon şirketi tarafından takip ve kontrol edildiği, hat açmak için Bilgi Teknolojileri ve İletişim Kurumu (BTK) düzenlemelerine uygun şekilde yeni müşterilere ait pasaport ve kimliklerin taratılarak sisteme yüklendiği, mağazada alınan kimlik bilgilerinin telekomünikasyon şirketinin depolama sistemine gönderilmesi nedeni ile çalışanlarının bu bilgilere tekrar ulaşmasının mümkün olmadığı ifade edilmiştir.

Kişisel Verileri Koruma Kurulu;

Veri sorumlusu tarafından sunulan belgelere karşın ihbar ekinde, pasaport bilgilerinin bir grupta paylaşıldığının anlaşılması nedeni ile ihbara ilişkin olarak veri sorumlusu Şirketin Kanunun 12 nci maddesinin (1) numaralı fıkrası kapsamında kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı ve Kanunun 12 nci maddesinin (3) numaralı fıkrası kapsamında yer alan veri sorumlusunun, kendi kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorunda olduğu hükmüne aykırı harekete ettiği kanaatine varıldığından veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına karar vermiştir.

“İlgili kişinin kişisel verilerinin bilgisi dışında veri sorumlusu banka nezdinde sorgulanması” hakkında Kişisel Verileri Koruma Kurulunun 12/01/2021 tarihli ve 2021/32 sayılı Karar Özeti

 ilgili kişinin, şikâyet edilen veri sorumlusu banka bünyesinde müdür yardımcısı pozisyonunda çalışmakta olan eşi ile boşanma davasının mevcut olduğu, bu süreçte şikâyet edilen banka aracılığıyla, müvekkiline ait kişisel veri niteliğinde bilgilerin sorgulandığı ve bu bilgilerin boşanma davası dosyasına sunulduğu, bahse konu evrakın, müvekkilinin geçmiş yıllara ilişkin karşılıksız çek bilgileri ve yine müvekkili hakkındaki tedbir kararlarına ilişkin olduğu, bu bilgilerin ancak müvekkilinin izin ve onayı dâhilinde sorgulanabileceği, söz konusu sorgulamanın banka aracılığıyla yapılmış olmakla kalmayıp müvekkilinin kişisel verilerinin, kişisel çıkar amacıyla mahkemeye sunulmak suretiyle paylaşıldığı ve bu kapsamda özel hayatın gizliliğinin ihlal edildiği, bu durumun 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) aykırılık teşkil ettiği ve şikâyet edilen veri sorumlusu bankaya aykırılığı gidermesi ve söz konusu durumdan doğan zararları tazmin etmesi amacıyla iadeli taahhütlü başvuru yapılmasına rağmen 30 günlük yasal süre içerisinde herhangi bir cevap alınamadığı ifade edilerek, veri sorumlusu banka hakkında gerekli işlemlerin yapılması talep edilmiştir.

Veri sorumlusu savunmasında;

İlgili kişinin başvurusu üzerine Bankanın ilgili iş birimince gereken incelemenin yapıldığı, Şube Operasyon Yetkilisi’nin, eşi ve aynı zamanda Bankanın müşterisi olan ilgili kişinin istihbarat sorgusunu yaparak sonuçlarını ilgili kişinin bilgisi ve isteği dışında, katılma alacağı davasına ilişkin mahkemeye sunduğunun tespit edildiği, bu süre zarfında, ilgili kişinin avukatı ile iletişime geçilerek Bankanın ilgili birimi nezdinde inceleme başlatılmış olduğu ifade edilmiştir.

Kişisel Verileri Koruma Kurulu;

İlgili kişinin kişisel verisi niteliğindeki kimlik, müşteri işlem ve finansal bilgilerinin (geçmiş yıllara ilişkin karşılıksız çek ve tedbir kararı bilgileri) veri sorumlusu bünyesinde çalışan kişi tarafından sorgulanıp mahkemeye sunulması nedeniyle söz konusu kişisel verilere kanuni olmayan yollarla başkaları tarafından erişim sağlandığı, Kurulun 31.05.2018 tarih ve 2018/63 sayılı “Veri Sorumlusu Nezdindeki Kişisel Verilere Erişim Yetkisi Bulunan Personelin Yetkisi ve Amacı Dışında Söz Konusu Verileri İşlemesi Hususunun Değerlendirilmesine İlişkin İlke Kararı”nda da düzenlenen bu hususun Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmadığının bir göstergesi olduğu dikkate alındığında, veri sorumlusu Banka hakkında idari yaptırım uygulanmasına karar vermiştir.

“İlgili kişiye bir banka tarafından SMS gönderilmesi ve ilgili kişinin bu banka nezdindeki kişisel verilerinin imha edilmesi talebinin yerine getirilmemesi hakkında” Kişisel Verileri Koruma Kurulunun 13/04/2021 tarihli ve 2021/358 sayılı Karar Özeti

 veri sorumlusu bir banka ile ilgili kişi arasındaki ilişkinin 22/11/2003 tarihinde müşteri numarasının oluşturulmasıyla kurulduğu, ilgili kişinin veri sorumlusu nezdindeki son işleminin de bu tarih olduğu, ilgili kişinin veri sorumlusuyla ilişiğinin 16 yıl önce kesilmiş olmasına rağmen kişisel verilerinin veri sorumlusu tarafından halen saklandığı, ilgili kişiye SMS’ler gönderildiği ve kredi kartı isteyip istemediğine ilişkin telefon aramalarının yapıldığı ifade edilmiş ve veri sorumlusu hakkında Kanun kapsamında gerekli tedbirlerin alınması talep edilmiştir.

Veri sorumlusu savunmasında;

5411 sayılı Bankacılık Kanununun “Belgelerin Saklanması” başlıklı 42 nci maddesi gereğince müşterilerin banka nezdinde yaptığı işlemlere ilişkin belgelerin, son işlem/talimat tarihinden itibaren 10 yıl süreyle saklandığı, 10 yıl hareketsiz kalan hesapların banka sistemlerinde taranarak 6 ayda bir periyodik silme işlemine tabi tutulduğu, bunun yanı sıra hesaba bağlı olmaksızın müşterilerden gelen talepler için de son işlem tarihinden itibaren 10 yıl geçmesi akabinde veri sorumlusu nezdindeki verilerin silindiği belirtilmiştir.

Kişisel Verileri Koruma Kurulu;

İlgili kişinin veri sorumlusu nezdindeki son işlem tarihinin 13/12/2013’te gerçekleştirilen kredi kartı kapatma işlemi olduğu ve dolayısıyla son işlem tarihi üzerinden 10 yıllık sürenin geçmemiş olduğu dikkate alındığında; ilgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin henüz ortadan kalkmaması sebebiyle silme talebinin veri sorumlusu tarafından yerine getirilmemesinin Kanunun 7 nci maddesi hükümleri dikkate alındığında hukuka aykırı olmadığı kanısına varıldığından bu hususta Kanun kapsamında yapılacak bir işlemin olmadığına karar vermiştir.

“Bir sigorta şirketi tarafından işlenen kişisel verilerin üçüncü kişiye aktarılması ve ilgili kişiye veri aktarımına ilişkin aydınlatma yapılmaması” hakkında Kişisel Verileri Koruma Kurulunun 05/04/2021 tarih ve 2021/333 sayılı Karar Özeti

İlgili kişi maliki olduğu aracı ile geçirdiği trafik kazası sonrası veri sorumlusu sigorta şirketi tarafından kasko poliçesi kapsamında hasar dosyası açıldığı, bununla birlikte veri sorumlusu tarafından üçüncü kişi şirket ile onayı ve bilgisi olmadan kendisine ait aracın kaza fotoğraflarının, kimlik bilgilerini de içeren ruhsatın ve iletişim bilgilerinin paylaşıldığı, ancak üçüncü şirketin veri sorumlusu ile yapılan sözleşmenin tarafı olmadığı, sözleşmede adının geçmediği, rayiç tespiti ve sigortacılık işlemlerinin ilgili şirket ile yürütülmesinin poliçeye ve sigortacılık mevzuatına aykırı olduğu ve poliçe kapsamında kişisel verilerinin sadece sigorta eksperi ile paylaşılabileceği, veri sorumlusu tarafından kişisel verilerinin işlenmesinde onay istenmediği ve bildirim yapılmadığı, ayrıca konuya ilişkin veri sorumlusuna yapmış olduğu başvuruya cevap verilmediği ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Veri sorumlusu savunmasında;

Şikâyet konusu kişisel veri aktarımının poliçeden doğan hasarı tazmin etme yükümlülüğünü yerine getirmek amacıyla, Kanunun 8 inci maddesinin (2) numaralı fıkrasının (a) bendi atfıyla 5 inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan; “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” hukuki sebebine dayanılarak Ağır Hasarlı Araç Satış Sözleşmesinde tanımlanan yükümlülüklere uygun şekilde işlemlerin yürütülmesi amacıyla şirketleri adına veri işleyen sıfatıyla üçüncü kişi şirkete aktarımının yapıldığı ifade edilmiştir.

Kişisel Verileri Koruma Kurulu;

Şikâyete konu faaliyette veri sorumlusunun kişisel veri paylaşımı yaptığı üçüncü kişi şirketin veri işleyen olduğu dikkate alındığında, ilgili kişinin, açık rıza alınmadan kişisel verilerinin işlenmesinin hukuka aykırı olduğu iddiasına ilişkin olarak, söz konusu işlemenin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” veri işleme şartına dayanılarak gerçekleştirildiği anlaşıldığından söz konusu işlemde hukuka aykırılık bulunmadığına karar vermiştir.

(KAYNAK)

Yazar Hakkında