İlgili kişinin bir üniversiteye bağlı tıp merkezinde tedavi hizmeti kapsamında aldığı şahsi terapi ve eşi ile birlikte aldığı evlilik terapisinin kayıtlarını içeren hasta dosyasının, ilgili kişi ile eşi arasında görülen boşanma davası kapsamında hiçbir önlem alınmaksızın mahkemeye gönderildiği olayda,

Kurul tarafından yapılan değerlendirmede;

İlgili kişinin özel nitelikli kişisel verilerinin, aldığı sağlık hizmetine istinaden üniversite bünyesinde yer alan bir tıp merkezi tarafından işlenmesinin, Kanun’un 6’ncı maddesinin (3) numaralı fıkrası hükümleri kapsamında olduğu,
Özel nitelikli kişisel veri ihtiva eden bilgi ve belgeler üzerinde mahkeme tarafından gerçekleştirilen iş ve işlemler bakımından ise Kanun’un 28’inci maddesinin (1) numaralı fıkrasının (d) bendinde yer alan “Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi” hükmünün uygulama alanı bulması nedeniyle Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

“1.2. İlgili Kişinin Rapor ve İlaç Kayıtlarının Eczane Tarafından Eski Eşi ile Paylaşılması” Hakkında Kişisel Verileri Koruma Kurulunun 06/07/2023 Tarih ve 2023/1130 Sayılı Karar Özeti

İlgili kişinin eşinden boşandığı, ancak eski eşi ile aralarında velâyet davası görüldüğü, ilgili kişinin hastane rapor ve ilaç kayıtlarının eczacı tarafından Medula sisteminden çıkartılarak eski eşe verildiğinin dava dosyasından anlaşıldığı olayda,

Kurul tarafından yapılan değerlendirmede;

Veri sorumlusu eczacının Medula sistemini kullanarak edindiği ilgili kişiye ait özel nitelikli kişisel verileri Kanun’un 6’ncı maddesinde yer alan veri işleme şartlarından herhangi birine dayanmaksızın üçüncü kişi olan boşandığı eşi ile paylaştığının anlaşıldığı, bu kapsamda veri sorumlusunun Kişisel Verilerin Korunması Kanunu’nun 12’nci maddesinde yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alma yükümlülüğünü yerine getirmediği değerlendirilmekte olup veri sorumlusu hakkında 50.000 TL idari para cezası uygulanmasına karar verilmiştir.

1.3. “Evli çifte ait sağlık verilerini içeren özel nitelikli kişisel verilerin gazetede yayımlanmak suretiyle işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 11/05/2023 Tarihli ve 2023/767 Sayılı Karar Özeti

İlgili kişilerin özel bir hastaneden sağlık hizmeti aldıkları, tedavi sırasında yaşanan olumsuzluklar nedeniyle tedavi işlemini yapan doktor hakkında Sağlık Bakanlığına, Cumhuriyet Başsavcılığına ve ihtarname göndermek suretiyle hastaneye şikâyette bulundukları, tedavi tarihinden iki ay sonra yüksek tirajlı bir gazetede yayımlanan haber ile özel nitelikli kişisel verilerinin işlendiği, haberde hastaneye gönderdikleri ihtarnamenin kaynak olarak kullanıldığı kanaatinde oldukları,

Gazetenin internet sitesinden ve basılı neşriyatından yayımlanmak suretiyle yapılan paylaşımın birçok haber sitesinde de yayımlandığı, taraflarınca 5651 sayılı Kanun kapsamında gerekli başvuruların yapıldığı ve haber içeriklerinin yayından kaldırıldığı ancak bazı internet sitelerinde haberin yayımlanmaya devam ettiği olayda;

Kurul tarafından yapılan değerlendirmede;

Şikayete konu haberde yer alan özel nitelikli kişisel veriler bakımından ifade özgürlüğü ile kişilik hakları arasında yapılan karşılaştırma neticesinde ilgili kişiler bakımından kişilik hakkı ve özel hayatın gizliliğinin ihlal edildiği kanaatine ulaşılmış olması nedeniyle Kanun’un 28’inci maddesinde yer alan ifade özgürlüğü istisnasına öncelik tanınamayacağı, bu minvalde söz konusu haberde yer verilen özel nitelikli kişisel verilerin Kanun kapsamında geçerli bir işleme şartına dayanmaksızın işlenmiş olmasının Kanun’un 12’nci maddesinde yer alan “kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirlerin” alınmamış olduğunun göstergesi olduğu dikkate alındığında,

Veri sorumlusu gazete hakkında 100.000 TL idari para cezası uygulanmasına karar verilmiştir.

1.4. “Bir hastanenin reklam ve tanıtım faaliyetleri kapsamında sağlık verileri de dahil kişisel verilerin işlenmesine ilişkin olarak hastalardan açık rıza almasının hukuka aykırı olduğuna yönelik ihbar hakkında” Kişisel Verileri Koruma Kurulunun 11/05/2023 tarihli ve 2023/787 sayılı Kararı

Bir hastanenin hastalara imzalatılan onam formlarında hastaya ait görüntü ve videoların Hastane tarafından anlaşmalı olunan medya organları ile reklam ve tanıtım amacıyla paylaşılmasına dair hastalardan açık rıza istendiği ancak bu açık rızanın birçok aykırılığı içinde barındırdığı, hastalara ait sağlık verilerin ve görüntü kayıtlarının, özel nitelikli kişisel veri olarak kabul edildiği, bu nedenle bazı istisnalar dışında bu verilerin açık rıza alınmaksızın işlenmesinin yasaklandığı ve korunması konusunda daha sıkı tedbirler alınmasının hukuki bir zorunluluk olarak düzenlendiği, hastanın, buna aykırı olarak kaleme alınan sözde onam formlarına imza atmış olmasının da açık rızayı hukuka uygun hale getirmeyeceği, aksine veri sorumlusu sıfatı taşıyan özel hastanenin hastalara bu onamı dayatmasının ortaya çıkan hukuki sorumluluğu daha da ağırlaştırdığı iddia edilen olayda;

Kurul tarafından yapılan değerlendirmede;

Veri sorumlusu tarafından ilgili kişilerin hastalıkları ve tedavi süreciyle ilgili video çekimlerinin yapılması ve sosyal medya hesaplarından paylaşılması suretiyle özel nitelikli kişisel veri olan sağlık verilerinin işlenmekte olduğu ve bu hususta reklam, pazarlama ve tanıtım amacıyla kişisel verilerin işlenmesine yönelik ilgili kişilerin “açık rızasının” bulunduğu, ancak her ne kadar ilgili kişilerin açık rızası bulunsa da sektörel düzenlemeler uyarınca özel hastanelerin talep yaratmaya yönelik tanıtım yapmalarının yasak olduğu, ayrıca Özel Hastaneler Yönetmeliği’nin 60’ıncı maddesinde yer alan yasaklayıcı hüküm dikkate alındığında somut olayda açık rızanın bir veri işleme şartı olarak ileri sürülemeyeceği ve dolayısıyla söz konusu veri işleme faaliyetinin Kanun’un 6’ncı maddesi kapsamında herhangi bir dayanağının bulunmadığı,

Bu sebeple kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli tedbirleri almayan veri sorumlusu hakkında 250.000 TL idari para cezası uygulanmasına

Söz konusu amaçlarla kişisel verilerin işlenmesine son verilmesi, ayrıca bugüne kadar işlenen ve muhafaza edilen kişisel verilerin Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun olarak imha edilmesi, eğer kişisel verilerin üçüncü kişilere aktarılması söz konusu ise imha edilmesine yönelik işlemlerin bu verilerin aktarıldığı üçüncü kişilere bildirilmesinin sağlanması hususlarının yerine getirilerek sonucundan Kurula bilgi verilmesi konusunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.

1.5. Bir özel sağlık kuruluşu tarafından sunulan sağlık hizmetinin açık rıza şartına bağlanması hakkında Kişisel Verileri Koruma Kurulunun 02/05/2023 tarihli ve 2023/692 sayılı Karar Özeti

Sağlık kuruluşuna (veri sorumlusu) ait internet sayfasında randevu almak üzere form doldurulması sırasında sağlık kuruluşuna ait hizmetlerden ve duyurulardan haberdar olmak üzere başvuru sahiplerinin verilerinin işlenmesine ve bu amaçla kişilerle iletişime geçilmesine onay verilmesinin zorunlu tutulduğu, tanıtım kutucuğuna onay verilmediği sürece randevu işleminin tamamlanmadığı ve veri sorumlusunca hizmetin açık rıza şartına bağlanmış olduğu ifade edilen olayda;

Kurul tarafından yapılan değerlendirmede;

İhbarın gerçekleştiği tarih itibariyle randevu kayıt sayfasında veri sorumlusunun tanıtım faaliyetleri kapsamında kişisel veri işleme faaliyetine açık rıza verilmeksizin randevu işleminin tamamlanamamasının açık rızanın unsurlarından “özgür irade ile verilme” unsurunu sakatlandığı, ayrıca veri sorumlusunun sunacağı hizmet kapsamında randevu başvuru formunda işlenmesi gereken kişisel verilerin “açık rıza” işleme şartı dışındaki işleme şartlarına dayanabilmesi mümkün iken açık rıza işleme şartına dayanmasının aldatıcı ve hakkın kötüye kullanımı niteliğinde dikkate alındığında veri sorumlusuna 300.000 TL idari para cezası uygulanmasına,

Randevu başvuru formunun altında yer alan “Kişisel verilerimin işlenmesine ilişkin aydınlatma metnini okudum. Kişisel Verilerin Korunması Kanunu’na uygun şekilde verilerimin işlenmesine onay veriyorum.” ifadesinin ilgili kişiler tarafından aydınlatma metnine onay veriliyormuş izlenimi yarattığı dikkate alındığında söz konusu metinden “onay veriyorum” ifadesinin çıkarılarak aydınlatma yükümlülüğünün yerine getirildiğinin veri sorumlusu tarafından ispat edilmesini teminen yalnızca aydınlatma metninin okunduğuna dair bir kutucuğun işaretlenmesi şeklinde bir düzenlemenin yapılması ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
Veri sorumlusu tarafından açık rıza kapsamında işlenen kişisel veriler mevcut ise bu verilere ilişkin açık rıza metinlerinin ayrıca düzenlenmesi ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.

1.6. “Özel Bir Tıp Merkezi Tarafından İlgili Kişinin e-Nabız Sistemindeki Verilerine Hukuka Aykırı Erişilmesi” Hakkında Kişisel Verileri Koruma Kurulunun 02/05/2023 tarihli ve 2023/695 sayılı Karar Özeti

Veri sorumlusu Tıp Merkezi çalışanı hekim tarafından ilgili kişinin sağlık verilerinin e-Nabız sistemi üzerinden görüntülendiğinin fark edildiği, ilgili kişinin daha önce veri sorumlusu bünyesinde sağlık hizmeti almadığı, bu yönde bir sağlık probleminin olmadığı, ayrıca adı geçen hekim ile ilgisi ve tanışıklığı bulunmadığı, durumun mahiyetini öğrenmek üzere veri sorumlusuna başvurulduğu, veri sorumlusu tarafından verilen cevapta tıp merkezinde sağlık hizmeti alan bir başka hastanın T.C. kimlik numarası ile ilgili kişiye ait T.C. kimlik numarasının birbirine çok benzer olması nedeniyle bir başka hastanın bilgilerinin sorgulanması yerine sehven ilgili kişi adına hasta kaydı açılmış olduğu ve e-Nabıza giriş yapıldığı ifade edilmişse de bu savunmanın kabul edilebilir olmadığı iddia edilen olayda;

Kurul tarafından yapılan değerlendirmede;

Kanun’un 6’ncı maddesinde yer alan işleme şartlarından herhangi birine dayanmaksızın ilgili kişinin e-Nabız sisteminde tutulan bilgilerine erişildiği, bu hususta veri sorumlusunun çalışanı olan hekimin e-Nabız şifresini korumak hususunda gerekli özeni göstermesini sağlamak adına gerekli önlemlerin alınmadığı, hekim ve ilgili çalışanlara kişisel verilerin korunması konusunda eğitim verildiğinin tevsik edilemediği hususları dikkate alındığında veri sorumlusunun kişisel verilere hukuka aykırı erişilmesini önlemek amacıyla makul tedbirleri almadığı kanaatine varıldığından;

Veri sorumlusu hakkında 200.000 TL idari para cezası uygulanmasına karar verilmiştir.

2. Otel

2.1 “İlgili kişinin kişisel verilerinin, konakladığı otel çalışanı tarafından üçüncü kişilerle paylaşılması hakkında” Kişisel Verileri Koruma Kurulunun 03/08/2023 Tarihli ve 2023/1327 Sayılı Karar Özeti

Kuruma intikal eden şikayette özetle; sosyal medya uygulamasından üçüncü bir kişi tarafından ilgili kişiye veri sorumlusuna ait otelde ikamet ettiği döneme ilişkin bilgiler ihtiva eden bir belge gönderildiği, ilgili kişinin bahsi geçen şahsa söz konusu belgenin kendisine nasıl ulaştığını sorduğunda şahsın otelde çalışan bir tanıdığından kendisine gönderilmesini istediğini belirttiği, bu belgenin veri sorumlusunun bünyesinde üretilen bir belge olduğunun tespiti üzerine;

Kurul tarafından yapılan değerlendirmede;

“Housekeeping Task Sheet” belgesinde konaklayanın adı, soyadı, unvanı, konakladığı oda numarası, konakladığı odaya ilişkin bilgiler, giriş ve çıkış tarihi olduğu ifade edilmişse de, kat görevlilerinin temel faaliyet alanının bakım ve temizlik hizmetleri olduğu, hizmetlerin yürütülmesinin konaklayan kişinin adını-soyadını bilmesini gerektirmediği, veri sorumlusunun konaklayanları özel hissettirmek amacından yola çıkarak kişisel verilerin korunması hakkını göz ardı etmemesinin gerektiği, “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesini zedeleyeceği, mezkur belgede ilgili kişilerin isim ve soy isim bilgilerine yer verilmesi uygulamasına son verilmesinin gerektiği,
Ayrıca Task Sheet’in 3 aylık periyotlar halinde imha edildiği ileri sürülmüşse de imha edildiğine dair bir belge sunulmadığı,
Veri sorumlusunun Registraton Card/Konaklama Belgesi üzerinde yer vermiş olduğu “Sorumsuzluk Kaydı”nda konaklama belgesini imzalayan kişilerin iletişim bilgilerine reklam, promosyon vb. ticari elektronik ileti gönderilmesini, bilgilerinin bu amaçla kullanılacağını kabul edeceğini, saklanacağını ve veri sorumlusunun hizmet alacağı üçüncü kişilerle paylaşılmasını kabul edeceğini belirttiği, Bu doğrultuda konaklama belgesini imzalayan kişilerin, mevzuat gereği bu belgeyi imzalamakla yükümlü oldukları dikkate alındığında, ayrıca iletişim bilgilerinin reklam ve pazarlama amaçlı işlenmesini kabul edecekleri şeklinde hüküm derç edilmesinin açık rızanın özgür irade unsurunu sakatlayacağı bu nedenle Reg Cardın açık rızayı ayırmak suretiyle revize edilmesi gerektiği,
Paylaşılmaya konu edilen Housekeeping Task Sheet belgesinde yer alan kişisel verilerin veri sorumlusu bünyesinde oluşturulduğu ve üçüncü kişiler tarafından elde edilmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin yalnızca veri sorumlusu tarafından idari ve teknik tedbirlerin alınmamış olması dolayısıyla teknik ve idarî tedbirleri alma yükümlülüğünün sağlanamadığı dikkate alındığında veri sorumlusu hakkında 500.000 TL idari para cezası uygulanmasına karar verilmiştir.

3. Banka

3.1.“İlgili Kişinin Kişisel Verilerinin Bir Banka Tarafından Kredi Kayıt Bürosu AŞ’ye Aktarılması” Hakkında Kişisel Verileri Koruma Kurulunun 31/08/2023 Tarihli ve 2023/1509 Sayılı Karar Özeti

İlgili kişinin kişisel verilerinin kredi kuruluşları ile finansal kuruluşlar arasında her tür bilgi ve belge alışverişini sağlamak üzere kurulmuş olan KKB Kredi Kayıt Bürosu AŞ’ye (Şirket/KKB) aktarılması konusunda veri sorumlusu bankaya başvurduğu, söz konusu başvuruda kişisel verilerinin aktarılmasını kabul etmediğini ifade ettiği ve bu konudaki açık rızasını geri çekme talebinde bulunduğu, ancak talebinin reddedildiği olayda;

Kurul tarafından yapılan değerlendirmede;

Bankacılık hizmetlerinin gerektiği gibi sunulabilmesi ve bankacılık alanındaki yasal düzenlemeler gereğince veri sorumlusu banka tarafından ilgili kişinin kişisel verilerinin Şirket’e aktarılmasının Kanun’un 8’inci maddesinin (2) numaralı fıkrasının atfı ile Kanun’un 5’inci maddesinin (2) numaralı fıkrasına uygun olması sebebiyle veri sorumlusu hakkında tesis edilecek bir işlem bulunmadığına,
Kanun kapsamındaki başvuruların reddedileceği hallerde Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ uyarınca gerekçesi açıklanarak reddedilmesi gerektiğinin Veri Sorumlusuna hatırlatılmasına karar verilmiştir.

3.2. “Banka mobil uygulamasında dijital parola belirlerken yüz verisinin işlenmesi suretiyle kişisel verilerin işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 03/08/2023 Tarihli ve 2023/1310 Sayılı Karar Özeti

İlgili kişinin bir bankanın (veri sorumlusu) müşterisi olduğu, mobil bankacılık uygulamasını kullanarak unutmuş olduğu kurumsal hesabına ilişkin şifreyi sıfırlamak istediği, kurumsal parola belirleme alanına girdikten sonra T.C. kimlik kartının veya kredi/banka kartının hazır edilmesinin talep edildiği, T.C. kimlik numarası ile devam edildiğinde ise T.C. kimlik kartı ile dijital parola üretmenin tek seçenek olarak geldiği, kurumsal hesaba giriş yapılırken dijital kimlik kartının kullanılmasının şart koşulduğu, T.C. kimlik kartı ile giriş yapılmak istendiğinde ise yüz verilerinin işlenmesi için onay ekranının çıktığı, onay verilmediği durumda ise hizmetten faydalanamadığı ve sistemin başa döndüğü, böylece kişisel verilerinin zorla işlendiği olayda;

Kurul tarafından yapılan değerlendirmede;

Veri sorumlusu Bankanın hizmetleri kapsamında dijital parola oluşturmanın şikayet tarihinde mobil bankacılıkta yalnızca T.C. kimlik kartı ve yüz verilerinin işlenmesi suretiyle gerçekleşebildiği ancak müşterilerin dijital parola alma hizmetinden bankanın şube ve telefon bankacılığı kanalları aracılığıyla da yararlanabildiği ve bu hususun bankanın internet sitesinde belirtildiği dikkate alındığında, bu hizmetin şarta bağlandığı iddiasının yerinde olmadığı değerlendirildiğinden veri sorumlusu hakkında yapılacak bir işlem bulunmadığına karar verilmiştir.

3.3. “Veri sorumlusu bir banka tarafından ilgili kişinin para transferleri ile hesap bilgilerinin üçüncü kişiye ait e-postaya gönderilmesi” hakkında Kişisel Verileri Koruma Kurulunun 12/01/2023 tarihli ve 2023/67 sayılı Karar Özeti

Bir banka nezdindeki hesabına ilişkin ekstre ve anlık hesap hareketlerinin, ilgili kişinin bilgisi ve rızası dışında üçüncü bir kişinin e-posta adresine gönderildiği, bu suretle ilgili kişinin tüm para transferleri ile hesap bilgilerinin, üçüncü kişiler tarafından öğrenildiği, bu sebeple güvensizlik ve tedirginlik içinde olduğu, veri sorumlusu tarafından aydınlatma yükümlülüğünün yerine getirilmediği iddia edilen olayda;

Kurul tarafından yapılan değerlendirmede;

Şikâyete konu e-posta adresinin ilk olarak ilgili kişinin ortağı olduğu şirketin vekili tarafından banka ile paylaşıldığı sonrasında ilgili kişinin bireysel emeklilik başvurusu sırasında kendisine sunulan formda yer alan söz konusu e-posta adresini formu imzalamak suretiyle onayladığı, öte yandan ilgili kişinin başvurusu üzerine veri sorumlusunun hemen aksiyon alarak e-posta adresinde gerekli düzeltmeyi yaptığı hususları dikkate alındığında şikâyet konusu ile ilgili olarak veri sorumlusu banka hakkında Kanun kapsamında yapılacak bir işlem olmadığına,
“Veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına Kanun’a aykırı şekilde gönderilen üçüncü kişilere ait kişisel veriler hakkında Kişisel Verileri Koruma Kurulunun “22/12/2020 tarihli ve 2020/966 sayılı İlke Kararı” doğrultusunda, banka işlemlerinde kullanılan ilgili kişilerin iletişim bilgilerinin belirli periyotlarla doğrulanması ve güncelliğinin sağlanması hususunda gerekli mekanizmaların kurulmasına ilişkin veri sorumlusunun uyarılmasına karar verilmiştir.

3.4. “İlgili kişinin Bankaya iletişim numarası olarak bildirmediği telefon numarasının kredi işlemleri ile ilgili olarak bilgilendirme yapılması suretiyle işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 01/06/2023 Tarihli ve 2023/932 Sayılı Karar Özeti

İlgili kişinin cep telefonu numarası aracılığıyla online olarak veri sorumlusu Banka’nın müşterisi olduğu ve aynı gün bireysel kredi başvurusunda bulunduğu,

Aynı gün içerisinde hem ilgili Banka’ya vermiş olduğu telefon numarasına hem de adına kayıtlı olan ama Banka ile olan işlemlerinde kullanmadığı telefon numarasına kredi başvurusu ile ilgili ve içeriği farklı kısa mesajlar iletildiği,

Bu konu ile ilgili olarak yaptığı ilk başvuruya verilen cevapta Banka’nın şikayet konusu numarayı Kredi Kayıt Bürosu’ndan (KKB) aldığını belirttiği olayda;

Kurul tarafından yapılan değerlendirmede;

Veri sorumlusu tarafından ilgili kişinin iletişim numarası olarak bildirmediği telefon numarasının kredi işlemleri ile ilgili olarak bilgilendirme yapılması suretiyle işlenmesinin Kanunun 5’inci maddesinde yer alan “Kanunlarda açıkça öngörülmesi” ve “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartlarına dayalı olarak gerçekleştirildiği değerlendirildiğinden veri sorumlusu hakkında kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

3.5. “Veri sorumlusu Banka’nın, müşteri temsilcisi ile ilgili kişi arasında gerçekleştirilen görüşmeye ilişkin ses kaydı dökümünün ilgili kişiye sağlanması yönündeki talebi yerine getirmemesi” hakkında Kişisel Verileri Koruma Kurulunun 15/06/2023 Tarih ve 2023/1050 Sayılı Karar Özeti

İlgili kişinin veri sorumlusu Banka’nın müşteri iletişim merkezi ile yaptığı görüşmede sanal kartının kopyalandığı ve bu nedenle tarafına bilgi verilmeden kartının kullanıma kapatıldığını öğrendiği, buna istinaden 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 11’inci maddesi kapsamında, sanal kartının kapatılmasına neden olan kişisel veri kopyalanması ile ilgili tespit uyarınca hangi kişisel verilerinin kopyalanmış olabileceği ve hangi banka işlemi nedeniyle bu tespite ulaşıldığı hususlarında bilgi edinme talebi ile veri sorumlusuna başvuruda bulunduğu ancak bu başvurusunun veri sorumlusu tarafından yanıtsız bırakıldığı, aynı konuya ilişkin olarak farklı bir tarihte ikinci kez veri sorumlusuna yaptığı başvuruda Kanun’un 11’inci maddesi kapsamında kişisel verilerinin işlenip işlenmediğinin teyidini ve müşteri temsilcisi ile gerçekleştirdiği görüşmeye ilişkin ses kaydını veya bu kaydın dökümünü talep ettiği; ancak bu başvurusunun da veri sorumlusunca yanıtsız bırakıldığı olayda;

Kurul tarafından yapılan değerlendirmede;

5411 sayılı Bankacılık Kanunu ve ilgili mevzuatta yer verilen “sır saklama yükümlülüğü”nün, kanuni düzenlemelerin öngördüğü hukuka uygunluk hâlleri dışında, müşteri ile ilgili ticari bağlantı nedeniyle elde edilmiş olan bilgi ve olaylar hakkında üçüncü kişilere bilgi verilmemesini gerektirdiği
Diğer yandan 6698 sayılı Kanun’un 11’inci maddesi kapsamında ilgili kişilerin, kendileriyle ilgili kişisel veriler işlenmişse buna ilişkin bilgi talep etme haklarının, söz konusu veriye erişim hakkını da kapsadığı ve erişim hakkının da bilgi talep etme hakkını tamamlayarak ilgili kişilerin kişisel verileri üzerindeki haklarını kullanabilmeleri için kişisel verilerinin ne şekilde işlendiğine dair bilgi sahibi olmalarına imkân sağladığı dikkate alındığında, tarafların görüşme sırasındaki doğrudan ifadelerini içeren söz konusu dökümün, ilgili kişi dışında başkalarının kişisel verileri varsa bunların çıkarılması/maskelenmesi gibi önlemler alınarak ilgili kişiye gönderilmesi gerektiği,
Buna ilişkin tesis edilen işlemler hakkında Kurula bilgi verilmesi yönünde Veri Sorumlusunun talimatlandırılmasına karar verilmiştir.

4. Avukatlık

4.1. “İlgili kişiye ait özel nitelikli kişisel verilerin avukat tarafından mahkemeye aktarılması” hakkında Kişisel Verileri Koruma Kurulunun 17/08/2023 Tarihli ve 2023/1414 Sayılı Karar Özeti

İlgili kişinin uyuşmazlık yaşadığı aile üyelerine karşı şahsi husumeti sebebiyle açılan soy bağının tespiti davasında müvekkili olan aile üyelerinin talebiyle Avukat tarafından İlgili kişinin DNA testi raporlarının, ilgili kişinin çocuklarının da DNA testlerinin bulunduğu çeşitli dava dosyalarına taraflar eliyle sunulduğu olayda,

Kurul tarafından yapılan değerlendirmede;

Avukatlık Kanunu’nun 2 ve 35’inci maddelerinin yanı sıra HMK’nın 219’uncu maddesindeki hükümler göz önünde bulundurularak söz konusu genetik verilerin veri sorumlusunca işlenmesinin Kanun’un 6’ncı maddesinin (3) numaralı fıkrasına uygun bir işleme faaliyeti olduğu ve ilgili mahkemelere aktarılmasının da Kanun’un 8’inci maddesine uygun bir kişisel veri aktarım faaliyeti olduğu değerlendirmelerinden hareketle;

İlgili kişiye ait genetik veri kategorisindeki DNA test raporlarının aynı zamanda ilgili kişinin çocuklarına ait raporlar olduğu göz önünde bulundurularak söz konusu kişisel verinin çocukların vekili olan veri sorumlusunca işlenmesinin ve aktarılmasının kişisel verilerin kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebileceği hükmüne uygun olduğu değerlendirildiğinden Kanun kapsamında yapılacak bir işlem olmadığına,
Söz konusu kişisel verinin ilgili kişinin e-posta adresine hukuka aykırı biçimde erişilmek suretiyle Veri Sorumlusunca ele geçirildiğini gösterir bir belgeye yer verilmemiş olduğu anlaşıldığından kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

4.2. “Bir avukatlık ortaklığı tarafından borçlu ilgili kişiye kısa mesaj gönderilmesi suretiyle kişisel verilerinin işlenmesi” hakkında Kişisel Verileri Koruma Kurulu’nun 22/03/2023 Tarihli ve 2023/437 Sayılı Kararı

Bir Avukatlık Ortaklığı tarafından vekili olduğu Şirket ve ilgili kişi arasındaki abonelik ilişkisi kapsamında, borcun takibi ve hatırlatılması amacıyla ilgili kişiye beş kez kısa mesaj gönderilmesi olayında;

Kurul tarafından yapılan değerlendirmede;

Veri sorumlusu tarafından ilgili kişinin telefon numarasının işlenmesi suretiyle gerçekleşen kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinin ikinci fıkrasının (e) bendinde yer alan bir hakkın tesisi, korunması veya kullanılması için veri işlemenin zorunlu olması hükmü kapsamında hukuka uygun olduğu değerlendirildiğinden söz konusu şikâyet kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

5. İşveren

5.1. “İlgili kişinin açık rızası alınmadan ses kaydının alınması, paylaşılması ve mahkeme dosyasına sunulması” hakkında Kişisel Verileri Koruma Kurulunun 07/09/2023 Tarihli ve 2023/1548 Sayılı Karar Özeti

Veri sorumlusu tarafından işçinin ses kaydının mahkemeye delil olarak sunulduğu, işçinin ses kaydının işten çıkarılmasını isteyen kişilerce açık rızası alınmadan kaydedildiğini ve mahkemeye sunulduğunu iddia ettiği, ses kaydının silinmesi için veri sorumlusuna başvurduğu olayda;

Kurul tarafından yapılan değerlendirmede;

Veri sorumlusunun ses kaydını flash disk ile şifreleyerek mahkemeye iletildiği, ilgili kişiye ait ses kaydının 8’inci maddenin (2) numaralı fıkrasının atfı ile Kanun’un 5’inci maddesinde yer alan “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hükmü doğrultusunda mahkemeye aktarıldığı,
Ses kaydının erişim yetkisi olmayan işçiler tarafından dinlendiğine ilişkin iddiaların ise dosya kapsamında tevsik edilemememesi doğrultusunda, veri sorumlusu hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

5.2. “Bir işveren tarafından işe iade davasına, ilgili kişinin mescitte ibadet etme görüntülerinin ibraz edilmesi” hakkında Kişisel Verileri Koruma Kurulunun 10/08/2023 Tarihli ve 2023/1356 Sayılı Karar Özeti

İlgili kişinin özel nitelikli kişisel verisi niteliğindeki ibadethane içerisindeki ibadet etme görüntülerinin eski işvereni tarafından rızası dışında kayıt altına alındığı ve bununla ilgili hiçbir bilgilendirme yapılmadığı, iş akdinin feshedilmesinden kısa bir süre önce, geriye dönük olarak kişisel verilerin işlenmesiyle ilgili belgelerin imzalanmasının işçiden istendiği olayda;

Kurul tarafından yapılan değerlendirmede;

Veri sorumlusu tarafından mescitte kamera vasıtasıyla gerçekleştirilen kişisel veri işleme faaliyetine ilişkin ilgili kişinin açık rızasını özgür irade ile vermediği ve işten çıkarılma korkusu ile geriye dönük olarak kişisel verilerin işlenmesiyle ilgili diğer belgeleri de rızası olmadan imzalamak zorunda bırakıldığı kanaatine varıldığından;
Diğer taraftan açık rıza alınsa dahi söz konusu veri işleme faaliyetinin Kanun’un 4’üncü maddesinde yer alan genel ilkelerden “işlendikleri amaçla bağlı, sınırlı ve ölçülü olma” ilkesine aykırılık teşkil edeceği sonucuna varılmakta olduğu için

veri sorumlusu hakkında 300.000 TL idari para cezası uygulanmasına karar verilmiştir.

Şikâyete konu kişisel veri işleme faaliyetinin Kanun’un 15’inci maddesinin (7) numaralı fıkrası kapsamında ivedilikle durdurulması ve sonucundan Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına,
Şikâyete konu hukuka aykırı olarak işlenen kişisel verilerin imha edilerek sonucundan Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına karar verilmiştir.

5.3. “İlgili kişinin e-posta verilerinin, önceden ortağı olduğu veri sorumlusu Şirket tarafından işlenmeye devam edilmesi” hakkında Kişisel Verileri Koruma Kurulunun 03/08/2023 Tarihli ve 2023/1321 Sayılı Karar Özeti

İlgili kişinin daha önce ortağı olduğu veri sorumlusu Şirket’ten ayrılarak yeni bir şirket kurduğu, ancak veri sorumlusu Şirket’in ortağı iken kullandığı e-posta adresinin hala aktif olduğunu ve veri sorumlusunun söz konusu adrese iletilen e-postaları okuduğunu öğrendiği, bu durumun kendisi açısından haksız rekabet yarattığı ve maddi zarara uğradığı, bu konuda veri sorumlusuna başvuru yaptığı ancak herhangi bir cevap alamadığı olayda;

İlgili kişinin daha önceden kullanmış olduğu ve şu an pasif durumda bulunan e-posta adresine ileti gönderilmeye devam edildiği, e-posta verilerinin kişisel veri niteliğini haiz olduğu, bu çerçevede ilgili kişinin işten ayrılmasından sonra e-posta gönderilmesinin engellenmemesi nedeniyle tanımsız e-postada iletilerin görüntülenmesine imkan sağlanmak suretiyle kişisel verilerinin işlenmeye devam edildiği, söz konusu kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesi kapsamında herhangi bir dayanağı bulunmaması nedeniyle,

Veri sorumlusu hakkında 50.000 TL idari para cezası uygulanmasına karar verilmiştir.

5.4. “Veri sorumlusunun çalışanlarına tahsis ettiği kurumsal e-posta adresindeki içerikleri izleme, erişme ve depolama suretiyle kişisel verileri işlemesi” hakkında Kişisel Verileri Koruma Kurulunun 19/01/2023 tarihli ve 2023/86 sayılı Karar Özeti

İlgili kişinin veri sorumlusu şirkette iş akdinin feshedildiği, fesih sebebinin şirket içi verilerin şirketin tahsis etmiş olduğu e-posta adresi üzerinden kişisel e-posta adresine gönderilmesi ve şirketin bir başka çalışanı ile gerçekleştirilen telefon görüşmesinin gizlice kayıt altına alınarak yine kişisel e-posta adresi ile avukatının e-posta adresine gönderilmesi olduğu, ilgili kişi işe başlarken şirket tarafından imzalatılan formlarda bilgisayardaki tüm hareketler ve e-posta içeriği dahil olmak üzere kişisel veri işleme süreçlerine ilişkin düzenlemelerin yer almadığı, bu anlamda iş sözleşmesi ekinde yer alan formlar/taahhütnamelerin battaniye rıza niteliğinde olduğu ve belgelerde yer alan açıklamaların muğlaklıklar içerdiği, fesih tarihinden 607 gün ve 149 gün önce elde edilen e-postaların fesih tarihinde kullanılmasının şirketin e-postaları izlediğinin, süresiz depoladığının ve fesih konusu iddialarını oluşturan e-postalar üzerinde genel denetimde bulunduğunun göstergesi olduğu, e-posta içeriklerinin izlenmesi, erişilmesi ve depolanması suretiyle kişisel verilerinin hukuka aykırı işlendiği iddia edilen olayda;

İlgili kişinin imzalamış olduğu metinlerde okunup anlaşıldığına ilişkin beyanda bulunduğu, dolayısıyla bu metinlerde yer alan e-posta denetimi vasıtasıyla işlenecek kişisel verilere ilişkin veri sorumlusu tarafından ilgili kişiye karşı aydınlatma yükümlülüğünün yerine getirildiği,
Şirket tarafından e-posta denetimi aracılığıyla gerçekleştirilen kişisel veri işleme faaliyetinin “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hükmü ile “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.” işleme şartları kapsamında gerçekleştirildiği,
E-posta denetimi aracılığıyla gerçekleştirilen kişisel veri işleme faaliyetinin işlendikleri, amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine de aykırılık teşkil etmediği,
E-posta denetimi suretiyle elde edilen kişisel verilerin fesih bildirimine konu edilmesinin “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hükmü kapsamında gerçekleştirildiği, öte yandan, işlendikleri, amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine de aykırılık teşkil etmediği değerlendirildiğinden şirket tarafından gerçekleştirilen kişisel veri işleme faaliyetinde herhangi bir hukuka aykırılık bulunmadığı hususları dikkate alındığında veri sorumlusu hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

6. İnternet Sitesi

6.1. “Veri sorumlusuna ait internet sitesinde yapılan kullanıcı girişinde üçüncü kişiye ait kişisel verilerin görüntülenmesi” hakkında Kişisel Verileri Koruma Kurulunun 24.08/2023 Tarihli ve 2023/1465 Sayılı Karar Özeti

İlgili kişinin araç kiralama şirketine ait internet sitesine sisteme kayıtlı kullanıcı adı ve e-posta adresi ile giriş yaparken bir başka kullanıcının hesabına yönlendirildiği olayda;

Kurul tarafından yapılan değerlendirmede;

Hatalı e-posta girişi nedeniyle aksayan algoritmanın veri sorumlusunun hizmetlerini kullanmakta olan kişilerin kişisel verilerini yetkisiz erişime açık hale getirdiği,
Kanunun 12’nci maddesi kapsamında veri sorumlularının kişisel verilere hukuka aykırı erişilmesini önlemek için gerekli her türlü teknik ve idari tedbiri almakla yükümlü oldukları,
Veri kayıt sistemindeki algoritmanın yanlış çalışmasından dolayı ortaya çıkan durum dört farklı kişiyi etkilemiş ise de Kanun kapsamında yapılmış bir veri ihlal bildiriminin bulunmadığı anlaşıldığından;

Veri sorumlusu hakkında 200.000 TL idari para cezası uygulanmasına karar verilmiştir.

6.2. “Bir e-ticaret sitesinden alışveriş yapılabilmesi için kredi/banka kartı bilgilerinin kaydedilmesinin zorunlu tutulması hakkında” Kişisel Verileri Koruma Kurulunun 11/04/2023 Tarihli ve 2023/567 Sayılı Karar Özeti

İlgili kişinin e-ticaret sitesi üzerinden alışveriş yapacağı sırada ödeme ekranında açılan “kredi/banka kartı ekle” butonu ile kredi/banka kartı bilgilerini kaydetmesinin talep edildiği, ilgili kişinin siteden alışveriş yapabilmesi için kredi/banka kartı bilgilerini kaydetmesinin zorunlu tutulduğu ve ilgili bilgiler girilmeksizin “devam et” butonlarının işlemediği ve alışveriş yapılmasının mümkün olmadığı, Veri sorumlusu tarafından kredi/banka kartı bilgilerinin kaydedilmesi için kanun kapsamında geçerli bir veri işleme şartı bulunmadığı, ilgili kişinin veri sorumlusuna verilmiş bir açık rızası da olmadığı ve ilgili kişiye bu işlemeye ilişkin bir aydınlatma da yapılmadığı aktarılan olayda;

Kurul tarafından yapılan değerlendirmede;

Veri sorumlusunun internet sayfasındaki üyelik hesabı kapsamında alışverişin tamamlanması için girilmesi gerekli olan kart bilgilerinin alışverişin tamamlanmasının ardından sonraki alışverişlerin kolaylaştırılması amacıyla ilgili kişinin cüzdan hesabında işlenmeye devam edildiği, bu amaçla veri işlemenin açık rıza işleme şartı kapsamında gerçekleştirilebileceği ancak veri sorumlusu tarafından kart bilgilerinin sisteme kaydedilmesinin zorunlu tutularak ilgili kişilerce sonradan bu bilgilerin silinmesine izin verildiği, bu suretle hem kart bilgilerinin kaydedilmesinde geçerli bir açık rızanın alınmadığı hem de “hukuka ve dürüstlük kuralına uyma”, “belirli, açık ve meşru amaçla işleme” ve “işlendikleri amaçla bağlı sınırlı ve ölçülü olma” ilkelerine aykırı hareket edildiği ve veri güvenliğine ilişkin yükümlülüklerini yerine getirmediği gerekçesiyle veri sorumlusunun kusuru ve ekonomik durumu dikkate alınarak 500.000 TL idari para cezası uygulanmasına,
Kredi kartı bilgilerinin üyelik hesabına kaydedilebilmesi için ilgili kişilerin aktif olarak buna rıza göstermelerini sağlayacak bir sistem geliştirilerek sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
İlgili kişilerin kredi kartı verilerinin üyelik hesaplarında ancak açık rıza işleme şartı kapsamında işlenebileceği kanaatine varıldığından bu hususta aydınlatma metinlerinde de gerekli düzenlemelerin yapılarak sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.

6.3. “Bir internet sitesinde yer alan çerezlere ilişkin aydınlatma ve açık rıza metinlerinin sunulmaması” hakkında Kişisel Verileri Koruma Kurulunun 23/12/2022 tarihli ve 2022/1358 sayılı Karar Özeti

İlgili kişi, bir oyun platformunun internet sayfasına giriş yapıldığında çerez işleme süreçleriyle ilgili kullanıcılara aydınlatma yapılmadığı ve zorunlu olmayan çerezler için açık rıza alınmadığı, siteye üye olan kullanıcılardan kimlik ve iletişim bilgilerinin talep edildiği ancak aydınlatma ve açık rıza metinlerinin sunulmadığı gerekçesiyle Veri Sorumlusuna başvuru yapmıştır.

Kurul tarafından yapılan değerlendirmede;

İnternet sayfasında herhangi bir işleme şartına dayanmadan reklam ve pazarlama amacı gibi zorunlu olmayan çerezler vasıtasıyla kişisel veri işlendiği, bu durumun uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerin alınmasını hükmüne aykırılık teşkil ettiği dikkate alındığında 300.000 TL idari para cezası uygulanmasına,
Sitede çerezlerle işlenen kişisel veriler bakımından uygun biçimde ilgili kişilere yönelik aydınlatma yükümlülüğünün yerine getirilmesi ve sonucundan Kurula bilgi vermesi yönünde veri sorumlusunun talimatlandırılmasına,
Kullanıcılara sunulan kayıt formunun doldurulması sırasında işlenen kişisel verilerle ilgili olarak sitede aydınlatma metninin sunulmakta olduğu anlaşılmış olmakla birlikte söz konusu aydınlatma metninde tespit edilen eksikliklerin düzenlenerek sonucundan Kurula bilgi vermesi yönünde veri sorumlusunun talimatlandırılmasına karar verilmiştir.

6.4. “Veri sorumlusunun internet sitesinde aydınlatma yükümlülüğünü usulüne uygun olarak yerine getirmemesi ve sunduğu hizmeti açık rıza şartına bağlaması hakkında” Kişisel Verileri Koruma Kurulunun 15/06/2023 Tarihli ve 2023/1041 Sayılı Karar Özeti

İlgili kişinin tetkik ve takip için vücuda takılan şeker ölçüm cihazlarından almak istediği, bu özellikleri karşılayan ve Veri Sorumlusu tarafından satışa sunulan ürünün, gizlilik ve aydınlatma metinlerinde işaretlenmek üzere boş bırakılan alanlar doldurulmadan satışının yapılmadığı veya internet sitesine üyelik işleminin gerçekleştirilemediği, ürünün satın alınabilmesi için söz konusu metinlerde bulunan alanların doldurulmasının zorunlu kılındığı, özel sağlık bilgilerinin ticari ve pazarlama amaçlı faaliyetlerde kullanılması ve bu bilgiler paylaşılmaksızın ürünün satılmamasının hastanın teşhis ve tedavi hakkını kısıtladığı ve hiçbir kişisel verisinin yurt dışına aktarılmasını kabul etmediği olayda,

Kurul tarafından yapılan değerlendirmede;

Gizlilik ve aydınlatma metinleri işaretlenmeksizin üyelik ve satış işlemlerinin gerçekleştirilememesi yönündeki uygulamanın, Veri Sorumlusunun Kanun’dan doğan aydınlatma yükümlülüğünü yerine getirmek üzere benimsendiği ve müşterilerin aydınlatma metnini okuyarak bilgilendirilmesi ve bu suretle düşünmeye sevk edilmesi maksadı taşıdığı;
Diyabet hastalarının kullanımına sunulan bir ürünün satışının yapılması yolu ile bu ürünü satın alan müşterilerin sağlık verilerinin işlendiği sonucuna varılamayacağı ve bu sebeple özel nitelikli kişisel veri işlendiği iddiasının kabul edilebilir olmadığı;
İlgili Kişinin kişisel verilerinin pazarlama amacıyla işlenmesi için açık rızanın arandığı ve somut olayda bu rızanın özgür olarak verilmesini engelleyecek herhangi bir durum olmadığı dikkate alınarak İlgili Kişinin gizlilik ve aydınlatma metinleri işaretlenmeden satışın gerçekleştirilemediği ve üyelik işleminin yapılamadığı, sağlık verilerinin ticari ve pazarlama amaçlı faaliyetlerde kullanıldığı iddiaları yönünden Kanun’a aykırılık bulunmadığına karar verilmiştir.

6.5. “Geniş katılımlı çevrim içi bir oyunun Türkiye’deki dağıtıcısı ve tek yetkilisi konumundaki veri sorumlusu tarafından kişisel verilerin hukuka aykırı işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 28/09/2023 Tarihli ve 2023/1645 Sayılı Karar Özeti

İlgili kişinin, Kişisel Verilerin Korunması Kanunu’nun (Kanun) 11’inci maddesi kapsamındaki haklarını kullanmak amacıyla veri sorumlusuna başvurduğu ancak kendisine verilen yanıtta pek çok talebinin yanıtsız bırakıldığı veya yanıltıcı ve eksik bilgi verildiği, veri sorumlusu tarafından verilen cevapta birçok mevzuattan bahsedildiği ancak hangi kişisel verinin hangi amaç ve hangi hukuki sebeple bu mevzuatlara dayanılarak işlendiğinin bildirilmediği,

Veri sorumlusu tarafından verilen, kişisel verilerin adli ve idari kurumlar dışında yurt içinde veya yurt dışında herhangi bir yere aktarılmadığı şeklindeki cevabın tamamen gerçek dışı olduğu, veri sorumlusunun internet sitesinde yer alan ve “aydınlatma metni” olduğu belirtilen bilgilendirme yazısının, yine internet sitesinde yayımlanan gizlilik politikasının ve çerez politikasının incelenmesi neticesinde kişisel verilerin yurt dışına aktarıldığının kolaylıkla anlaşılabileceği,

Veri sorumlusu tarafından “hile ve dolandırıcılığı önlemek” amacı ile üçüncü taraf bir yazılım kullanıldığı, bu yazılımın oyuna her giriş sırasında çalıştığı ve o an bilgisayarda bulunan tüm dosya ve yazılımları taradığı ve oyun açık kaldığı sürece bu yazılımın çalışmaya devam ettiği, söz konusu yazılımın sahibi olan firmanın lisans sözleşmesinin incelenmesi neticesinde bu yazılım aracılığıyla da kişisel verilerin hukuka aykırı olarak elde edilerek yurt dışına aktarıldığının anlaşıldığı olayda;

Kurul tarafından yapılan değerlendirmede;

Veri sorumlusuna ait internet sitesinde yayımlanan çerezlere ilişkin pop-up açıklaması altında “sadece gerekli çerezleri kullanın” ve “tüm çerezlere izin ver” olmak üzere iki seçeneğin sunulduğu, “tüm çerezlere izin ver” seçeneği sunularak gerekli çerezler kategorisi dışındaki her bir çerez tipi için topluca açık rıza alma yoluna gidildiği ve ilgili kişilere tercih etme imkanının sunulmadığı,
Çerez Beyanı ve Çerez Politikası metinlerinde yer alan çerez tablosunda üçüncü taraf çerez sağlayıcıları tarafından çeşitli çerezlerin “gerekli çerezler” kategorisinde kullanıldığının belirtildiği, üçüncü taraf çerez sağlayıcısının yurt dışında yerleşik bir firma olduğu, veri sorumlusu tarafından internet sitesinde çerezler yoluyla açık rıza şartına dayalı olarak gerçekleştirilen kişisel veri işleme faaliyetinde açık rızanın unsurlarından olan “belirli bir konuya ilişkin olması” ve “özgür iradeyle verilmesi” unsurlarının sağlanmaması nedeniyle açık rızanın sakatlandığı,
Kanun’un 5’inci maddesi kapsamında hukuka uygun bir kişisel veri işleme faaliyetinin gerçekleştirilmediği; diğer taraftan sağlayıcısı yurt dışında yerleşik şirketler olan ve zorunlu çerez kategorisinde bulunan üçüncü taraf çerezler kullanılarak kişisel verilerin yurt dışına aktarımının yapılması suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin Kanun’un 9’uncu maddesinde belirtilen yurt dışına veri aktarım şartlara dayanmaması nedeniyle hukuka aykırı olduğu kanaatine varılmış olup Kanun’un 12’inci maddesinde düzenlenen veri güvenliği yükümlülüklerine aykırı hareket ettiği değerlendirilen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca

Veri sorumlusu hakkında 750.000 TL idari para cezası uygulanmasına karar verilmiştir.

6.6. “Bir kargo firmasının çapraz barkodlama hatası nedeniyle kişisel verilerin hukuka aykırı olarak paylaşımına sebep olması” hakkında Kişisel Verileri Koruma Kurulunun 05/01/2023 tarihli ve 2023/4 sayılı Kararı

İlgili kişi, bir e-ticaret firmasından satın alması sonucu teslim aldığı ürünün isim benzerliği bulunan başka bir kişiye (üçüncü kişi) ait adres ve iletişim bilgilerinin yer aldığını farketmesi üzerine kargo firmasına başvuruda bulunmuştur. Veri sorumlusu tarafından verilen cevapta özetle, barkodlama işlemi sırasında gerçekleşen bir hata sonucunda meydana geldiği bu nedenle çapraz kargo gönderimi hatası gerçekleştiği ifade edilmiştir.

Kurul tarafından yapılan değerlendirmede;

Veri sorumlusunun kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerin alınmasını zorunlu kılan hükmüne aykırı davrandığı,
Söz konusu durumun bir veri ihlali olmasına karşın veri sorumlusunun Kurula veri ihlal bildiriminde bulunmadığı da dikkate alındığında;

Veri sorumlusu hakkında 75.000 TL idari para cezası uygulanmasına karar verilmiştir.

7.Eğitim Kurumu

7.1. “Bir eğitim kurumu tarafından kamera vasıtasıyla görüntü ve ses kaydı alınması” hakkında Kişisel Verileri Koruma Kurulunun 24/08/2023 Tarihli ve 2023/1461 Sayılı Karar Özeti

Bir eğitim kurumunda ilgili kişinin bilgisi bulunmadan kira uyuşmazlığı ile ilgili bir görüşme sırasında kameraların görüntü ve ses kaydettiği olayda Kurul tarafından;

Kurul tarafından yapılan değerlendirmede;

Ses kaydı alınması suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinde yer alan veri işleme şartlarından herhangi birine dayanılmaksızın gerçekleştirildiği için 200.000 TL,
Kamera vasıtasıyla görüntü kaydı alınmasının Kanun’un 5’inci maddesinin ikinci fıkrasına dayanılarak gerçekleştirilse de, veri sorumlusunun aydınlatma yükümlülüğünün devam ettiği; buna karşılık aydınlatma yükümlülüğünün yerine getirildiğini ispat edemediği ve Kanun hükme aykırı davranması nedeniyle veri sorumlusu hakkında 30.000 TL olmak üzere

toplam 230.000 TL idari para cezası uygulanmasına karar verilmiştir.

7.2. “Bir üniversite bünyesinde çalışanların özlük bilgilerinin tüm personelle paylaşılması” hakkında Kişisel Verileri Koruma Kurulunun 27/04/2023 Tarihli ve 2023/646 Sayılı Karar Özeti

Bir Üniversitenin Fakülte Dekanı imzasıyla gönderilen bir e-posta ekinde bulunan dosya ile, ilgili kişinin kendisinin ve Üniversitede çalışan tüm öğretim üyelerinin sicil numaralarını, çalıştıkları birimi ve izin durumlarını gösterir verilerin Fakültenin idari ve akademik tüm kadrosuna aktarıldığı olayda;

Kurul tarafından yapılan değerlendirmede;

Veri sorumlusu tarafından ilgili kişinin izin durumuna ilişkin kişisel verilerinin ilgili kişinin çalıştığı birimde görevli diğer personelle paylaşılması suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin kanunda yer alan işleme şartlarından herhangi birine dayanmadığı ve bu durumun gerekli teknik ve idari tedbirleri almasına aykırılık teşkil ettiği kanaatine varıldığından veri sorumlusu bünyesinde görev yapan ilgili personel hakkında disiplin hükümlerine göre işlem yapılması ve işlemin sonucu hakkında Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.

7.3. “Bir üniversite tarafından, öğrencisi olan ilgili kişinin elektronik posta adresine günlük elektronik postalar gönderilmesi” hakkında Kişisel Verileri Koruma Kurulunun 01/06/2023 Tarihli ve 2023/938 Sayılı Karar Özeti

İlgili kişinin Üniversitenin öğrencisi olduğu, Üniversite tarafından kendisinin elektronik posta adresine kendisiyle doğrudan alakası olmayan ve içeriklerinin ilgi alanına girmediği günlük elektronik postalar gönderildiği,

Söz konusu elektronik postaları almak istemediği ve bu konuda üniversiteye birçok defa başvuruda bulunduğu ve e-posta listesinden çıkmak istediğini belirttiği,

Buna rağmen kişisel verisi niteliğinde olan elektronik posta adresinin Üniversite tarafından işlenmeye ve listede tutulmaya devam edildiği olayda,

Kurul tarafından yapılan değerlendirmede;

İlgili kişinin kişisel veri niteliğini haiz kurumsal elektronik posta adresine veri sorumlusu tarafından elektronik postalar gönderilmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinin ikinci fıkrasında (f) bendinde yer alan “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” kapsamında gerçekleştirildiği,
Bunun yanı sıra, öğrencilere kurumsal elektronik posta adresinden üniversite hakkında duyuru yapılacağına ilişkin bilgilendirmeye aydınlatma metninde yer verilmesi gerektiği, bu sebeple Kanun kapsamında yapılacak işlem bulunmadığına karar verilmiştir.

7.4. “Bir üniversite tarafından ilgili kişilerin kişisel ve özel nitelikli kişisel verilerinin yer aldığı belgenin e-posta ekinde üçüncü kişilerle paylaşılması” hakkında Kişisel Verileri Koruma Kurulunun 01/06/2023 Tarihli ve 2023/928 Sayılı Karar Özeti

Üniversite rektörü tarafından ilgili kişilere gönderilen e-posta ile ekinde bulunan dosya da ilgili kişilere ve üçüncü kişilere ait şahsi telefon numaralarının, şahsi e-posta adreslerinin, adres bilgilerinin, HES kodlarının, aşı bilgilerinin, risk durumu vb. kişisel ve özel nitelikteki kişisel verilerinin toplu e-posta gönderisi ile alenileştirmek suretiyle üçüncü kişilere aktarıldığının anlaşıldığı olayda;

Kurul tarafından yapılan değerlendirmede;

Veri sorumlusu üniversite rektörü tarafından ilgili kişilere ait kişisel ve özel nitelikli kişisel verilerin yer aldığı Excel dosyasının e-posta ekinde yer verilerek üçüncü kişilerle paylaşılmasının Kanun’un 5’inci ve 6’ncı maddelerinde belirtilen işleme şartlarına dayanılmaksızın gerçekleştirildiği, bu kapsamda Veri sorumlusunun Kanunun 12’nci maddesi çerçevesinde kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirleri yeterli düzeyde almadığı,
Şikâyete konu veri işleme faaliyetinin veri ihlali niteliği taşıdığı ancak veri sorumlusu tarafından Kurul’a bir veri ihlal bildiriminde bulunulmadığının tespit edildiği, bu durumun Kanun’un 12’nci maddesinin beşinci fıkrasında düzenlenen Kurul’a bildirimde bulunma yükümlülüğüne aykırılık teşkil ettiği

Bu nedenle kamu tüzel kişiliği niteliğindeki veri sorumlusu bünyesinde görev yapan sorumlular hakkında disiplin hükümlerine göre işlem yapılarak sonucundan Kurul’a bilgi verilmesine karar verilmiştir.

8.Diğer

8.1. “Veri sorumlusuna ait mağazada ilgili kişilere reklam amaçlı SMS gönderilmesi amacıyla kişisel verilerin işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 28/09/2023 Tarihli ve 2023/1653 Sayılı Kararı

İlgili kişinin veri sorumlusuna ait mağazadan alışveriş yaptığı, bu alışveriş esnasında kendisine alışveriş kartı isteyip istemediğinin sorulduğu, kartı istemesi üzerine telefonuna onay kodu gönderildiği, ilgili kişinin önce onay kodunu görevliye okuduğu, sonrasında ise o onay kodunu görevliye okumasının “aydınlatma metnini okuduğunu” ve “kişisel verilerinin işlenmesine onay verdiğini” beyan etmesi anlamına geldiğini fark ettiği belirtilerek söz konusu işlemin kişisel verilerinin işlenmesine ilişkin açık rızasının aldatma yolu ile ele geçirilmesi anlamına geldiği ve her ne kadar ilgili kişinin kişisel verileri, veri sorumlusuna yaptığı başvuru üzerine silinmiş ise de kişisel verilerin elde edilmesi yönteminin tüm müşterilere sistematik olarak uygulandığı olayda;

Kurul tarafından yapılan değerlendirmede;

Somut olay kapsamında ilgili kişinin açık rızasına dayanan bir kişisel veri işleme faaliyeti gerçekleştirildiği; ilgili kişinin açık rızasını geri alması üzerine ise söz konusu işleme faaliyetine son verildiği görülmekte olup, şikayete ilişkin olarak Kanun kapsamında yapılacak bir işlem bulunmadığına,
Alışveriş esnasında ticari elektronik ileti gönderilmesi suretiyle kişisel verilerin işlenmesine ilişkin açık rıza alınmasının ilgili kişiler tarafından alışverişin bir parçası olarak bu rızanın verilmesinin gerektiği izlenimi oluşacağından açık rızanın özgür irade ile açıklanma unsurunu zedeleyebileceği değerlendirilmiş olup, bu kapsamda söz konusu uygulamanın ilgili kişileri doğru şekilde bilgilendirmek suretiyle ve alışverişin bir parçası olduğu izlenimi oluşturmayacak şekilde revize edilmesi, ayrıca aydınlatma ve açık rıza onay kodunun aynı kısa mesaj içerisinde sunulmaması,
Yapılan işlemlerin sonucu hakkında Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.

8.2. “Yemek kartı hizmeti sunan veri sorumlusuna ait mobil uygulamada T.C. kimlik numarasının işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 17/08/2023 tarihli ve 2023/1430 Sayılı Karar Özeti

Kuruma intikal eden ihbarda, yemek kartı hizmeti sunan veri sorumlusuna ait mobil uygulamayı kullanmak için kayıt olurken kişilerin T.C. kimlik numarası bilgilerinin istendiğinin belirtilmesi üzerine;

Kurul tarafından yapılan değerlendirmede;

Fiziksel yemek kartlarının mobil uygulamada kayıt altına alınması halinde kartın doğrulanması işleminin kişilerin T.C. kimlik numarası bilgisi işlenmeden, işveren aracılığıyla kart ve telefon numarası bilgisi işlenmesi gibi ilgili kişileri daha çok koruyacak yollarla yapılması mümkün olduğundan,
Bu durumun verilerin işlendiği amaçla ölçülü işlenmesi ilkesine aykırı olduğu değerlendirildiğinden Kanun’un 12’nci maddesinin birinci fıkrasında yer alan yükümlülüklerini yerine getirmediği değerlendirilen

veri sorumlusu hakkında 200.000 TL idari para cezası uygulanmasına karar verilmiştir.

8.3. “Bir havayolu şirketi tarafından ilgili kişiye ait kişisel verilerin hukuka aykırı olarak üçüncü kişilerle paylaşılması” hakkında Kişisel Verileri Koruma Kurulunun 03/08/2023 Tarihli ve 2023/1309 Sayılı Karar Özeti

İlgili kişinin ailesi ile birlikte bir seyahat acentesinden tur satın aldığı, tur firması tarafından şikâyete konu veri sorumlusu havayolu firması ile seyahatinin planlandığı ve tarafına uçuş bilgilerinin gönderildiği, havayolunun mobil uygulamasından Check-in işlemi yapmak için Yolcu İsim Kaydını-Passenger Name Information (PNR) ve soyadını girdiğinde tanımadığı dört kişinin “isim, soyisim, cinsiyet, doğum tarihi, uyruğu, belge türü, belgenin verildiği ülke, belge no, son geçerlilik tarihi, vize bilgileri” gibi bilgilerini gördüğü, tanımadığı 4 kişinin tüm bilgilerinin hem gidiş hem de dönüş check-in işlemlerinde gözüktüğü, bunun yanında tanımadığı kişilerin biletleri hakkında uçak biletlerini iptal etmek ve değiştirmek gibi birçok işlem hakkı tanındığı olayda;

Kurul tarafından yapılan değerlendirmede;

İlgili kişi tarafından iletilen ekran görüntülerinde PNR bilgisinin girilmesi sonucunda farklı soyadına sahip kişilerin verilerinin aynı PNR üzerinden görülebildiği, bu durumun da veri sorumlusu tarafından Kanun’un kişisel verilerin hukuka aykırı olarak erişilmesini önlemek ve muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığını gösterdiği, söz konusu durumdan çok sayıda kişinin etkilenme ihtimalinin de fazla olduğu,
Söz konusu veri ihlali ile ilgili Kanun’un 12’nci maddesinin (5) numaralı fıkrası kapsamında Kuruma bir bildirim de yapılmadığı dikkate alındığında

veri sorumlusu hakkında 300.000 TL idari para cezası uygulanmasına karar verilmiştir.

8.4. “İlgili kişinin ortaklıktaki paylarının borsada işlem gören niteliğe dönüşmesi için Merkezi Kayıt Kuruluşu AŞ’ye yaptığı başvuru üzerine ad-soyadı ve pay bilgilerinin Kamuyu Aydınlatma Platformu internet sitesinde yayımlanması” hakkında Kişisel Verileri Koruma Kurulunun 07/09/2023 Tarihli ve 2023/1563 Sayılı Karar Özeti

İlgili kişinin Borsa İstanbul’da satılamaz durumda olan hisselerinin bulunduğu, bu hisselerin satılabilir hale getirilmesi için aracı kuruma başvuru yaptığı, başvurunun da Merkezi Kayıt Kuruluşu AŞ’ye (MKK-veri sorumlusu) iletildiği, bu çerçevede MKK’nin kendisinin ad ve soyadı bilgisi ile birlikte hangi hissesinden kaç lot satılabilir hale getirildiği hususunu Kamuyu Aydınlatma Platformuna (KAP) ait www.kap.gov.tr sitesi üzerinden duyurduğu ve bu işlemin ilgili tebliğe dayandığı olayda;

MKK’nın ise söz konusu işlemi Pay Tebliği (VII-128.1)’nin 15’inci maddesinin üçüncü fıkrasında “MKK, borsada işlem gören niteliğe dönüştürülmek istenen payların nominal değerini, başvuruyu yapan kişilerin isim veya unvanını, günlük olarak toplu halde KAP vasıtasıyla kamuya duyurur.” ifadesinin yer aldığı görülmüş olup, sonuç itibariyle bahse konu kişisel veri işleme faaliyetinin Pay Tebliği uyarınca hukuki yükümlülüğün yerine getirilmesi amacıyla zorunlu olarak gerçekleştirildiği, bu anlamda veri sorumlusu tarafından yeterli açıklamalarda bulunulduğundan

ilgili kişinin veri sorumlusu Merkezi Kayıt Kuruluşu AŞ hakkındaki şikâyetine ilişkin Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

8.5. “Bir Araç kiralama şirketi tarafından ilgili kişiden Findeks raporu talep edilmesi suretiyle kişisel verilerinin işlenmesi” Hakkında Kişisel Verileri Koruma Kurulunun 20/07/2023 tarihli ve 2023/1234 sayılı Karar Özeti

Kullanıcılara çevrimiçi otobüs, uçak, kiralık araç ve konaklayacak yer arama hizmetleri sunan; otobüs, feribot ve uçak firmalarının seyahat biletlerini kullanıcılara yönelik satışa açan Platform’un (Platform) resmi internet sitesi üzerinden bir araç kiralama şirketinden araç kiralandığı, kiralama hizmetini almak için aynı gün ilgili kişinin adına kayıtlı kredi kartından ödeme yapıldığı,

İlgili kişi aracı teslim almak üzere araç kiralama şirketinin yetkili acentesine gittiğinde rezervasyonunu yaptığı ve bedelini ödediği aracın teslim edilmesi için depozito ödemek üzere yetkililere kredi kartını tekrar verdiği, depozito bedelinin ödenmesi amacıyla kredi kartının ibraz edilmesine karşın acente çalışanları tarafından ilgili kişinin ayrıca Findeks raporuna erişilmek istendiğine ilişkin SMS’in kendisinin cep telefonuna iletildiği,

İlgili kişiye Findeks raporunun iletilmesi gerektiği, rapordaki verilerin işlenmesi konusunda açık rıza vermesi gerektiği, aksi halde araç kiralama hizmetinden faydalanamayacağının belirtildiği olayda;

Findeks raporu bilgileri sorgulanması suretiyle kişisel verilerin işlenmesinin ancak Kanun’un 5’inci maddesinin (1) numaralı fıkrası kapsamında açık rıza ile gerçekleştirebileceği,
Veri sorumlusu tarafından Findeks raporu temin edilmeksizin kiralama işlemi yapılmaması suretiyle açık rızanın hizmet şartına bağlandığı

Bu sebeple yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında 100.000 TL idari para cezası uygulanmasına karar verilmiştir.

8.6. “Otopark işletmecisi veri sorumlusu tarafından ilgili kişinin kişisel verilerinin hukuka aykırı işlenmesi ve aydınlatma yükümlülüğünün yerine getirilmemesi” Hakkında Kişisel Verileri Koruma Kurulunun 01/06/2023 Tarihli ve 2023/924 Sayılı Karar Özeti

Otopark işletmecisi veri sorumlusu tarafından, ilgili kişinin aracının park borcu olduğu iddiasıyla icra takibi başlatıldığı ve söz konusu icra takibine itiraz etmesi neticesinde tüketici mahkemesinde kendisi aleyhine itirazın iptali davası açıldığı, söz konusu dava kapsamında veri sorumlusu tarafından kişisel verilerinin Kanun’a aykırı olarak işlendiği, aracının ruhsat bilgilerinin hangi yolla temin edildiğinin belirsiz olduğu, dava dosyasına aracına ait fotoğraflar sunulduğu, bu fotoğrafların kim tarafından ve hangi gerekçe ile çekildiğinin belli olmadığı, borç bilgisine bir internet sitesinde aracın plakası ile yapılan sorgulama neticesinde alenen ulaşılabildiği ve kişisel verilerinin işlenmesi konusunda kendisine aydınlatma yapılmadığı olayda;

Kurul tarafından yapılan değerlendirmede;

Veri sorumlusu otopark işletmecisi ile aralarında kurulan sözleşme kapsamında park borcundan kaynaklanan alacağın tahsiline ilişkin icra takibi ve sonrasında dava açılabilmesi için ilgili kişinin kimlik bilgilerine ulaşılmasının, bu amaçla ilgili kişinin kişisel verilerinin, ilgili kişiye ait araç plakasının ilgili makamlardan sordurulmak suretiyle kimlik bilgilerine ulaşılarak işlenmesinin, veri sorumlusunun sözleşmeden kaynaklanan haklarını kullanabilmesi için zorunlu olduğu,
İlgili kişinin araç plakası sorgulatılarak kimlik bilgilerine ulaşılması ve ilgili kişinin aracının veri sorumlusunun işlettiği otopark alanlarında fotoğrafının çekilerek bu fotoğrafların ilgili kişi ile veri sorumlusu arasında görülen dava dosyasına sunulması suretiyle gerçekleştirilen kişisel veri işleme faaliyetlerinin Kanun’un 5’inci maddesi ikinci fıkrasının (e) bendi kapsamında olduğu dikkate alındığında Kanun kapsamında yapılacak bir işlem olmadığına,
İşlediği kişisel veriler bakımından aydınlatma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında 75.000 TL idari para cezası uygulanmasına karar verilmiştir.

8.7. “İlgili kişinin kişisel verilerinin, Kooperatif ortaklığından ayrılmasına rağmen hukuka aykırı olarak işlenmeye devam edilmesini konu şikâyet hakkında” Kişisel Verileri Koruma Kurulunun 25/05/2023 Tarihli ve 2023/892 Sayılı Karar Özeti

Kişisel verilerinin KOOPBİS’e (Kooperatif Bilgi Sistemi) hukuka aykırı olarak işlendiği,

Kooperatif ortaklığından, Kooperatife sunduğu ihtarname ile ayrılmış olmasına rağmen Kooperatif tarafından kendisine genel kurul davetiyesi gönderilmesi suretiyle kişisel verilerinin işlenmeye devam edildiği,

Kişisel verilerinin 6698 sayılı Kişisel Verilerin Korunması Kanunun (Kanun) 7’nci maddesine uygun olarak imha edilmesi talebinin yerine getirilmediği,

İlgili kişi tarafından veri sorumlusuna yapılmış olan başvuruya süresi içinde cevap verilmediği olayda;

Kurul tarafından yapılan değerlendirmede;

Kooperatifler Kanunu’nun “Ortaklıktan çıkmayı kabulden kaçınma” başlıklı 13’üncü maddesi hükmü gereği ilgili kişinin çıktığını bildirdiği tarihten itibaren kişisel verilerin işlenme şartlarının ortadan kalktığı dikkate alındığında veri sorumlusu tarafından ilgili kişinin kişisel verilerinin Kooperatif ortaklığından ayrılmasına rağmen genel kurul davetiyesi gönderilmesi suretiyle işlenmeye devam edildiği,
Söz konusu kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinde yer alan veri işleme şartlarına dayanmadığı dikkate alındığında Kanun’un 12’nci maddesinde yer alan veri güvenliğine ilişkin yükümlülükleri yerine getirmediği değerlendirilen,

Veri sorumlusu hakkında 50.000 TL idari para cezası uygulanmasına karar verilmiştir.

8.8. “Bir havayolu şirketinin özel yolcu programı hizmetinin açık rıza şartına bağlanması” hakkında Kişisel Verileri Koruma Kurulunun 25/05/2023 Tarih ve 2023/890 Sayılı Karar Özeti

Veri sorumlusu hava yolu şirketinin özel yolcu programında biriken millerini görmek için internet sitesine giriş yaptığı; ancak söz konusu özel yolcu programı hizmetlerinden yararlanabilmesi için profildeki zorunlu alanların doldurulması ve kişisel verilerinin kendisine özel ürün ve hizmetler oluşturulması ile tanıtılması için pazarlama faaliyetlerinde kullanılmasının kabul edildiğine ilişkin kutucuğun işaretlenmesi gerektiği; şayet ilgili kutucuk işaretlenmezse söz konusu sistemin ilerlemesine izin vermediği olayda;

Kurul tarafından yapılan değerlendirme;

Şikâyete konu özel yolcu programının bir sadakat programı olduğu, ilgili kişinin bu sadakat programına katılmaksızın da veri sorumlusunun temel hizmeti olan uçak bileti satışı hizmetinden faydalanabildiği, programın üyelerine yalnızca ek imkanlar sağladığı,
Somut olayda hediye millerin görüntülenmesi şikâyete konu edilmiş olup, yapılan incelemelerde millerin görüntülenmesi değil ekstra millerin kazanılmasının ancak özel yolcu programına üye olunması ile mümkün olduğu; üyeliğin ise ilgili kişinin açık rızası ile oluşturulabildiği,
Şikâyete konu olayın açık rızanın koşul olarak dayatılması ve bu anlamda ilgili kişinin açık rızasının bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmesi niteliği taşımadığı

Bu sebeple veri sorumlusu hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

8.9. “Bir kargo şirketi çalışanı tarafından kargo teslimi akabinde ilgili kişinin telefonuna kısa mesaj gönderilmesi suretiyle kişisel verilerin hukuka aykırı işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 18/05/2023 Tarihli ve 2023/845 Sayılı Karar Özeti

Bir online alışveriş sitesi üzerinden alışveriş gerçekleştirdiği, sipariş tarihinden bir gün sonra satın aldığı ürünün veri sorumlusu bünyesinde çalışan kurye tarafından teslim edildiği, sonrasında ise kurye tarafından cep telefonu numarasına taciz içerikli mesaj gönderildiği ve mesajı gönderenin kurye olduğu hususunun kargo şirketi (veri sorumlusu) tarafından teyit edildiği olayda;

Kurul tarafından yapılan değerlendirmede;

Veri sorumlusu tarafından ilgili kişinin kişisel verisi niteliğinde olan cep telefonu numarasının, Kanun’un 5’inci maddesinde öngörülen kişisel veri işleme şartlarına dayanılmaksızın hukuka aykırı olarak paylaşıldığı, bu kapsamda veri sorumlusunun Kanun’un 12’nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılması nedeniyle,

Veri sorumlusu hakkında 250.000 TL idari para cezası uygulanmasına karar verilmiştir.

8.10. “İlgili kişinin kripto varlık hizmet sağlayıcısı nezdinde bulunan üyeliğinin seviyesinin artırılması için gereğinden fazla kişisel veri talep edilmesi hakkında” Kişisel Verileri Koruma Kurulunun 11/04/2023 Tarihli ve 2023/570 Sayılı Karar Özeti

Kuruma intikal eden şikayette özetle; bir kripto varlık hizmet sağlayıcısı olan veri sorumlusuna ait platformdaki üyelik seviyesinin arttırılması talebine istinaden ilgili kişinin kimliğinin ön ve arka yüzünün fotoğrafının kendi fotoğrafı ile birlikte talep edildiği, veri sorumlusunca gerektiğinden fazla ve ölçüsüz olarak kişisel veri işlendiği iddia edilen olayda;

Kurul tarafından yapılan değerlendirmede;

Veri sorumlusunun kişisel verilerin işlenmesi hususunda 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun başta olmak üzere ilgili mevzuattan kaynaklanan bir yükümlülüğünün bulunduğu, bu itibarla veri sorumlusu tarafından kullanıcıların kimliğinin tespit edilebilmesi ve ilgili kullanıcı tarafından işlem yapıldığının tespit ve teyit edilebilmesi için “kanunlarda açıkça öngörülmesi” hukuki işleme şartına dayandığı, diğer yandan ilgili kişinin kişisel verilerinin silinmesi talebine ilişkin olarak ilgili kişinin bahsi geçen talebini Kanun ve Tebliğ’de belirlenen usul ve yöntemler çerçevesinde öncelikle veri sorumlusuna iletmediği, üyeliğinin devam etmesi nedeniyle kişisel verilerinin sözleşme kapsamında işlemeye devam edildiğinin anlaşıldığı dikkate alındığında ilgili kişinin şikayeti hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

8.11. “Tüketici Finansman Kredisiyle Alışveriş İmkânı Sunan Şirket Tarafından İlgili Kişilerden e-Devlet Şifrelerinin Talep Edilmesi” hakkında Kişisel Verileri Koruma Kurulu’nun 22/03/2023 tarihli ve 2023/426 sayılı Karar Özeti

Tüketici finansman kredisiyle alışveriş imkânı sunan Şirketten senetle televizyon alındığı sırada kendisinden e-Devlet şifresinin talep edildiği,ihbar edenin kendisi dışında birçok vatandaştan da e-Devlet şifrelerinin alındığının bilindiği olayda,

Kurul tarafından yapılan değerlendirmede;

İlgili kişilerin e-Devlet şifrelerine erişim sağlandığı yönünde güçlü bir kanaat oluştuğu, ilgili kişilerin e-Devlet şifreleri talep edilerek hassas nitelikli olanlar da dahil pek çok kişisel veriye erişim sağlanabileceği sonucuna varıldığından veri sorumlusundan yapılan taksitli alışverişlerde e-Devlet şifrelerinin talep edilmesinin Kanun’un 5’inci maddesinde yer alan herhangi bir veri işleme şartına dayanmaması nedeniyle,

Veri sorumlusu hakkında 400.000 TL idari para cezası uygulanmasına karar verilmiştir.

8.12. “İlgili kişinin borç bilgisinin ortağı olduğu şirketin kurumsal numaralarına kısa mesaj olarak gönderilmesi” hakkında Kişisel Verileri Koruma Kurulunun 19/01/2023 tarihli ve 2023/78 sayılı Karar Özeti

İlgili kişi ile GSM operatörü veri sorumlusu arasında mobil internet hattına ilişkin yapılan sözleşmenin ilgili kişi tarafından iptal edilmesi sonucu tarafına borç çıkarıldığı, borcun tahsili için GSM operatörünün bir avukatlık ortaklığına yetki verdiği, avukatlık ortaklığı tarafından borcun tahsilini sağlamak amacıyla ilgili kişinin ortağı olduğu şirkete ait 4 farklı cep telefonu numarasına ilgili kişinin soyadını maskeleyerek fakat adının açıkça görüneceği şekilde borçlu olduğu miktar hakkında icra takibi başlatılacağı bilgilerini içeren bir kısa mesaj gönderildiği, bahsi geçen mesajlar nedeniyle, ilgili kişinin ortağı olduğu şirket hatlarını kullanan çalışanların konu ile ilgileri bulunmamasına karşın ilgili kişinin borç bilgilerinden haberdar olduğu, ayrıca şirkette ilgili kişiyle aynı ada sahip başkaca kimse bulunmadığından soyadı maskelenmiş olsa dahi bahsi geçen kısa mesajda kimliğinin bilinir kılındığı olayda;

Kurul tarafından yapılan değerlendirmede;

İlgili kişinin ortağı olduğu Şirkete ait kurumsal iletişim numaralarının, veri sorumlusu ile arasındaki bireysel sözleşmelerde de iletişim numarası olarak kullanılmasının veri sorumlusu tarafından “doğru ve gerektiğinde güncel” olma ilkesine aykırılık teşkil ettiği anlaşılmış olup, bu hukuka aykırı veri işleme faaliyeti nedeniyle avukatlık ortaklığı tarafından ilgili kişiye ilişkin kişisel verileri içeren kısa mesajların şirkete ait iletişim numaralarına gönderilmesi neticesinde, borca konu işlemle ilgisi olmayan üçüncü kişi şirket çalışanları ile ilgili kişiye ilişkin kişisel veri olan borç bilgisinin kanunda herhangi bir işleme şartı bulunmaksızın paylaşıldığı gözetildiğinde; veri güvenliğine ilişkin yükümlülüklerini yerine getirmediği kanaatine varılan veri sorumlusu hakkında 85.000 TL idari para cezası uygulanmasına,
Veri sorumlusu tarafından verilen talimat çerçevesinde borcun tahsili amacıyla ilgili kişiye ilişkin olduğu belirtilen telefon numaralarına bir adet kısa mesaj gönderen ve sınırlı yetkisi çerçevesinde söz konusu numaralara ilişkin doğrulama imkânı olmayan veri işleyen avukatlık ortaklığı hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

8.13. “Spor salonu işletmecisi olan veri sorumlusunun, özel nitelikli kişisel veri niteliğini haiz kan grubu verisini ilgili kişinin açık rızasını almaksızın işlemesi” hakkında Kişisel Verileri Koruma Kurulunun 23/12/2022 tarih ve 2022/1357 sayılı Karar Özeti

Spor salonunun işletmecisi olan veri sorumlusunun spor salonundan hizmet alan kişilerin sağlık verilerini (detaylı yağ, kilo ve performans ölçümü, kan grubu, yıllık hastane ziyaret sayısı, içilen sigara bilgisi vb.), biyometrik verilerini (salona girişte alınan parmak izi) ve kamera görüntülerini işlediği aydınlatma yapmadan ve kişilerin açık rızalarının almadan işlemesi üzerine, ilgili kişinin veri sorumlusuna başvuru yapmıştır. İlgili kişilere ait kişisel verileri içeren kartlara spor salonunda görevli herkesçe erişilebildiği ve bu bilgilerin güvenliğinin sağlanmadığı, sağlık verilerinin de aralarında bulunduğu bu kartların zaman zaman kaybolduğu ve kimlerin eline geçtiğinin belirsiz olduğu, spor salonu görevlilerinin kamera kayıtlarını izlediği ve ilgili kişilerin salon içerisindeki davranışlarıyla bu kayıtların eşleştirilmesi suretiyle yorum yapılabildiği belirtilerek veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Kurul tarafından yapılan değerlendirmede;

Spor salonu üyeliği için özel nitelikli kişisel veri niteliğindeki kan grubu verisinin işlendiği ve bu işleme için açık rıza alınmadığı dikkate alındığında uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almayan veri sorumlusu hakkında, veri sorumlusunca işletilen spor salonunun üyelik sözleşmesi kapsamında çok sayıda üyenin kişisel verilerinin işlendiği, bunlar arasında özel nitelikli kişisel verilerin de bulunmasının kullanıcıların mahremiyeti açısından önemli bir risk arz ettiği, veri sorumlusunca ilgili kişi başvurusunun cevapsız bırakıldığı, ve spor salonu işletmeciliğinin yanı sıra turizm ve otel işletmeciliği ile inşaat taahhüt gibi birçok sektörde faaliyet gösteren veri sorumlusunun ekonomik durumu da dikkate 100.000 TL idari para cezası uygulanmasına,
Aydınlatma ve açık rıza metinlerinin üyelere sunulan sözleşme metni içerisinde değil ayrıca düzenlenmesi, açık rızanın ilgili kişilere her bir faaliyet açısından onay verme ve vermeme seçeneklerini içerecek şekilde sunulmasının düzenlenmesi hususunda veri sorumlusunun talimatlandırılmasına,
İlgili kişinin bilgi edinme talebinin cevapsız bırakıldığı anlaşıldığından bundan sonra söz konusu olabilecek ilgili kişi başvurularının uygun biçimde cevaplandırılmasında gerekli hassasiyetin gösterilmesi hususunun veri sorumlusuna hatırlatılmasına karar verilmiştir.

8.14. “Bir belediyenin meclis toplantısı videosunun sosyal medya hesabından paylaşılması suretiyle ilgili kişinin kişisel verilerinin hukuka aykırı olarak işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 16/02/2023 tarih ve 2023/224 sayılı Karar Özeti

Kuruma intikal eden şikâyetinde özetle; bir ilçe belediyesinin sosyal medya hesabından paylaşılan olağan meclis toplantısı videosunda, kişisel verilerinin hukuka aykırı olarak işlendiği, bahse konu toplantıda belediye başkanı tarafından ilgili kişinin özel hayatına, kişisel verilerine ve bazı dava dosyaları ile ilgili adli işlemlere ilişkin bilgileri içeren bir konuşma gerçekleştirildiği ve bu konuşmanın belediyenin sosyal medya hesabından kamuoyu ile paylaşıldığı iddia edilen olay neticesinde;

Kurul tarafından yapılan değerlendirmede;

İlgili kişinin eski meclis üyesi olduğu ve konuya ilişkin olarak kamuoyunun bilgilendirilmesinde kamu ilgi ve yararının mevcut olduğu, öte yandan “Toplantılar, meclisin kararıyla sesli ve görüntülü cihazlarla da kaydedilebilir.” hükmüne, Belediye Meclisi Çalışma Yönetmeliği’nin 11’inci maddesinin dokuzuncu fıkrasında ise “Meclis toplantıları halka açıktır. Meclis başkanı veya üyelerden herhangi birinin gerekçeli teklifi üzerine kapalı oturum yapılmasına karar verilebilir. (…)” hükmüne yer verildiği dikkate alındığında söz konusu veri işleme faaliyetinin “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması” hükmü kapsamında olduğu değerlendirildiğinden Belediye Başkanlığı hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

Yazar Hakkında

Sena Çoban

See author's posts