Kişisel Verileri Koruma Kurumu geçtiğimiz hafta on yeni karar ve iki yeni veri ihlal bildirimi yayınladı. Kararların içinde Kamu Kurumlarının veri işleme şartlarının genel ilkelere uyma zorunluluğu, okullarda rehberlik hizmetlerinin verilmesi ve aydınlatma yükümlülükleri, görüntü ve ses kayıtlarında ölçülülük ilkesi, özlük belgelerinin saklanması ve mahkemeye sunulması yükümlülüğü ve kişisel verilerin korunması, “haksız şart” olarak kabul edilen hükümlerin kişisel verilerin korunması ile çakışması durumu, TCK’da yer alan suçlar bakımından Kişisel Verilerin Korunması Kurumunun inceleme yetkisi sınırları gibi belli başlı önemli konularda Kurumun son derece önemli görüşleri yer almıştır.
Kararlara yönelik cezalarda en az 50.000 en çok 100.000 TL arasında cezalar bulunmaktadır.
Bu yazıda ilgili kararların özetleri ve en önemli noktalarını sizin için derledik.
KVK Kurul Kararları
-
Karar Özeti:
Ticaret Sicili’nde kayıtlı bulunan gerçek kişilerin kişisel verilerinin Müdürlük tarafından veri işleme faaliyeti konusunu oluşturduğu;
Ticaret sicilinin aleni olmasının sicilde yer alan kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu hükümlerinden muaf olacağı anlamını taşımadığı,
Bu kapsamda Müdürlük tarafından kamu kurum ve kuruluşlarına gerçekleştirilecek aktarımların Kanunun 8 inci maddesinde yer alan düzenlemeye uygun biçimde yapılması ve sicilde aleni olarak işlenen verilerin işlenmesi noktasında aleniyet amacına bağlı kalınması gerektiği;
Aktarımı talep edilen kişisel verilerin, bu verileri işleme faaliyetinin özel olarak düzenlendiği ilgili mevzuatlarca yetkili kılınmış kuruluşlardan talep edilmesi,
Her türlü kişisel veri işleme faaliyetinde özellikle Kanunun 4 üncü maddesinde yer alan “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi ve veri güvenliğine ilişkin gerekli her türlü teknik ve idari tedbirlerin alınması yükümlülüğünün birlikte gözetilmesi gerektiği hakkında karar yayınlanmıştır.
Sonuç:
- Ticaret Sicilinin aleniyet amacı kişisel verilerin korunması hükümlerinin önüne geçmemektedir. Tapu Müdürlüğü tarafından yapılan veri işleme faaliyetleri Kişisel Verileri Koruma Kanunu 4. maddesinde yer alan Genel İlkeler uyarınca yapılmalıdır.
-
Olay Özeti:
Kurul; Veri sorumlusu eğitim kurumu tarafından ilgili kişilerin özel nitelikli kişisel veri kapsamında olan sağlık verisine ilişkin olarak; ilgili kişinin/velinin açık rızasının alınmadan ve açık rızanın aranmadığı durumların da bulunmadığı gerekçesiyle Kanunun 12 inci maddesi uyarınca; kişisel verilerin hukuka aykırı olarak işlenmesinin engellenmesini teminen gerekli idari ve teknik tedbirleri almadığı kanaatine varılan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendinde gereğince 50.000 TL idari para cezası uygulanmasına karar vermiştir.
Karara konu olan değerlendirmelere göre somut olayda gerçekleşen “Milli Eğitim Bakanlığı Rehberlik Hizmetleri Yönetmeliği” doğrultusunda öğrencilere yönelik bireysel veya grup rehberlik hizmetlerini yürütmek üzere CAS ve benzeri psikolojik ölçme araçlarını kullanarak öğrencilerinin kişisel verilerini/ özel nitelikli kişisel verilerin işlenmesine rağmen, veri işleme faaliyetinin, ilgili kişilerin özel nitelikli kişisel veri kapsamında olan sağlık verilerinin; ilgili kişinin/velinin açık rızasının alınmadan, açık rızanın aranmadığı diğer durumların da bulunmadığı gerekçesiyle veri işleme faaliyetinin hukuka aykırı olduğu sonucuna varıldığı görülmektedir.
-
Karar:
Eğitim kurumlarının rehberlik servisleri tarafından uygulanan psikolojik testlerin çeşidi ne olursa olsun, öğrencinin bireysel olarak daha yakından tanınmasını sağlamayı amaçladığı dikkate alındığında; testin sonucunun yorumlanması neticesinde oluşturulan değerlendirme kapsamında öğrenciyi diğer öğrencilerden ayıran ve kimliğini belirli veya belirlenebilir hale getiren kişisel verilerin işlendiği,
Bu kapsamda ilgili kişilere CAS testi uygulanması sonrasında, veri sorumlusunun rehberlik servisinde görevli rehberlik öğretmeni/ psikolojik danışman tarafından yapılan ve öğrenciye ilişkin duygu durum, davranış, bilişsel yetenekler vb. unsurları içerdiği kanaatine varılan test sonucuna ilişkin değerlendirmenin kişisel veri işleme faaliyeti kapsamında olduğu,
Zekâ ve bilişsel becerilerin yanı sıra dikkat eksikliği ve hiperaktivite bozukluğu gibi öğrencinin ruh sağlığına ilişkin özel nitelikli kişisel verilerin de işlenmiş olduğu dikkate alındığında; Kanunun 6 ncı maddesinin (3) numaralı fıkrasında yer verilen “kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi” amaçları da bulunmadığından, veri sorumlusu tarafından söz konusu veri işleme faaliyetinin “açık rıza” şartına dayandırılması gerektiği sonucuna varılacağı,
Veri Sorumlusu tarafından CAS testinin velinin bilgi ve onayı dâhilinde uygulandığının ifade edildiği, bunun da daha önce iletilen velinin imzasının bulunduğu bireysel görüşme formları ve e-posta yazışmaları ile açıkça kanıtlandığı ancak açık rızanın alındığına veya talep edildiğine dair herhangi bir bilgi/ belge iletilmediği,
Veri sorumlusu her ne kadar CAS testinin uygulanması süreci ve testin sonucu hakkında velinin bilgisi ve onayının olduğunu kanıtlasa da, aydınlatma yükümlülüğünün yerine getirilmesi için Kanunda öngörülen gerekli şartlar ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğde yer alan usul ve esasları tam olarak yerine getirmediği görülmektedir.
-
Sonuç:
-
- Görevli rehberlik öğretmeni/ psikolojik danışman tarafından yapılan ve öğrenciye ilişkin duygu durum, davranış, bilişsel yetenekler vb. unsurları içerdiği kanaatine varılan test sonucuna ilişkin değerlendirmenin özel nitelikli kişisel veri işleme faaliyeti kapsamında olduğu
- Ruh sağlığına ilişkin özel nitelikli kişisel verilerin de işlenmiş olduğu dikkate alındığında; Kanunun 6 ncı maddesinin (3) numaralı fıkrasında yer verilen açık rıza istenmeyecek durumların söz konusu olmadığı
- Velinin imzasının bulunduğu bireysel görüşme formları ve e-posta yazışmaları ile kanıtların açık rızanın alındığına veya talep edildiğine dair herhangi bir bilgi/ belge teşkil etmeyeceği görülmektedir.
-
Olay Özeti:
Bir kamu kurumu olan veri sorumlusu tarafından ses kayıt özelliği bulunan güvenlik kamerası kullanılması hakkında ölçülü olmadığına, yapılan izlemenin Anayasal Hakların özünün zedeleyeceğine ilişkin karar vermiştir.
-
Karar:
“Ses ve Görüntü Kaydı ile beklenen faydanın ses kaydı olmaksızın görüntü kaydı ile elde edilebileceği hallerde ses kaydının da yapılması, gerçekleştirilecek kişisel veri işleme faaliyeti ile ulaşılmak istenen amaç arasındaki dengenin bozulmasına yol açacağından ölçülülük ilkesine aykırılık teşkil edecektir.
İşverenin denetim ve gözetim amaçlı kuruduğu sistemlerinde görüntü kaydı ile birlikte ses kayıt sisteminin de kullanılmasının sadece görüntü kaydına göre çok daha müdahaleci olacağı sonucuna varıldığı;
Kameralar vasıtasıyla görüntü ile birlikte ses kaydı yapılması, bireylerde her açıdan gözetim altında tutuldukları endişesi yaratabilecek olup, kişilerin kamusal alanda bile özel bir kısım diyaloglarının ya da yaşantı kesitlerinin bulunabileceği de dikkate alındığında bu yönde bir uygulamanın hakkın özüne zarar vereceği” değerlendirilmektedir.
-
Sonuç:
- Ses ve görüntü kaydının alınması elde edilecek sonuca ulaşılması ve ilgili kişinin hakları açısından değerlendirildiğinde :
- Eğer aynı sonuca ulaşmak yalnızca görüntü kaydı ile mümkünse
- Eğer ses kaydı alınması ilgili kişilerin haklarına ve yaşantılarına büyük ölçüde kısıtlama getiriyorsa ölçülülük ilkesi ile bağdaşmamaktadır.
KVK’nın “İlgili kişinin, bir Valilikte görev yapmakta iken, Valilik çalışanı tarafından hukuka aykırı olarak elde edildiği iddia edilen kişisel verilerinin Valiliğe dijital ortamda sunulması” 19/03/2020 tarih ve 2020/226 sayılı kararı
-
Olay Özeti:
İlgili kişinin, bir Valilikte görev yapmakta iken, başka bir Valilik çalışanı tarafından hukuka aykırı olarak elde edildiği iddia edilen kişisel verilerinin Valiliğe dijital ortamda sunulmuş, kişi hakkında soruşturma başlatılmıştır. İlgili kişi bunun üzerine kuruma başvuruda bulunmuştur.
-
Karar:
Kişisel verileri hukuka aykırı olarak elde eden Valilik çalışanı açısından şikâyete konu iddiaların esasen Türk Ceza Kanunu hükümleri uyarınca değerlendirilmesi gerektiğinden 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesi de dikkate alınarak söz konusu başvurunun Kanun kapsamında değerlendirilemeyeceği,
işlenen veriler ve yürütülen soruşturma sonucunda ilgili kişi hakkında uygulanan yaptırımların ise 657 sayılı Kanun gereğince özlük dosyalarında saklanması gerektiği, Kamu Personeli Genel Tebliğine (Seri No: 2) göre görevi herhangi bir şekilde sona eren memurların özlük dosyalarının kurumlarınca saklanacağı ve Devlet Arşiv Hizmetleri Hakkında Yönetmeliğe göre son işlem tarihi üzerinden yüz bir yıl geçmemiş memuriyet sicil dosyaları içerisinde yer aldığı ve ilgili kişinin veri sorumlusu nezdindeki bahse konu verilerinin silinmesi talebinin de 6698 sayılı Kanunun 7 inci maddesinde belirtildiği üzere kişisel verilerin işlenmesini gerektiren sebeplerin henüz ortadan kalkmadığı belirlenmiştir. Bu nedenle veri sorumlusu tarafından karşılanmasının mümkün olmadığına karar verilmiştir.
-
Sonuç:
- TCK hükmünce suç oluşturan durumlar açısından Kurul tarafından inceleme yapılmamaktadır.
- Silme talepleri kanunen saklama zorunluluğu bulunan kişisel veriler açısından saklama süresi dolmadığı hallerde uygulanmamaktadır.
KVK’nın “İlgili kişinin oturmakta olduğu binaya, komşusu tarafından kamera yerleştirilerek kayıt ve izleme gerçekleştirilmesi hakkında” 27/02/2020 tarihli ve 2020/187 sayılı kararı
-
Olay Özet:
İlgili kişinin oturduğu bina içerisine komşusu tarafından 2 tanesi dışarıyı, 1 tanesi apartman girişini, 1 tanesi kat arasını gösterecek şekilde 4 tane kamera yerleştirilmiştir. Kameralarla kayıt ve izlemenin kişilerin huzur ve sükûnunu bozma, hukuka aykırı olarak kişisel verileri kaydetme, özel hayatın gizliliğini ihlal etme suçlarının işlendiği, kameraları yerleştiren komşu hakkında savcılığa da şikâyette bulunulduğu ifade edilerek gereğinin yapılması, şahsın cezalandırılması ve kamera görüntülerinin tarafına iadesi talep edilmektedir.
-
Karar:
Hukuka aykırı olarak kamera taktırılması ve görüntü kaydı alınmasına ilişkin şikâyetlerinin Türk Ceza Kanunu hükümleri çerçevesinde suç unsuru barındırabileceği ve bu çerçevede 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesi dikkate alınarak söz konusu şikâyetin Kanun kapsamında değerlendirilemeyeceğine karar verilmiştir.
-
Sonuç:
- TCK hükmünce suç oluşturan durumlar açısından KVKK inceleme yapmamaktadır.
KVK’nın “İlgili kişinin cep telefonunun özel bir hastane tarafından izinsiz aranması” 27/02/2020 tarih ve 2020/172 sayılı kararı
-
Olay Özet:
İlgili kişinin kişisel verisi olan cep telefonu numarasının veri sorumlusu Firma tarafından reklam amacıyla aranması suretiyle kullanılmasının, kişisel verilerin korunması mevzuatı açısından bir veri işleme faaliyeti olduğu belirtilmiştir. Kurula göre bu işlemenin Kanunun 5 inci maddesinde düzenlenen işleme şartlarından herhangi birine dayanılarak yapılmaması sebebiyle de Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin (1) numaralı fıkrasının (a) bendinde öngörülen “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğünün yerine getirilmediği kanaatine varılmıştır. Bu nedenle; incelemeye konu olay açısından veri sorumlusu olarak kabul edilen Firma hakkında, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi hükmü uyarınca 50.000 TL idari para cezası uygulanmasına karar verilmiştir.
-
Karar:
Pazarlama amaçlı olarak İlgili kişiyi arayan veya mesaj gönderen Şirketini Hastanenin dışarıdan hizmet aldığı bir Sağlı ve Danışmanlık hizmeti veren bir Firma olduğu Hastane ve İlgili Firmanın verdiği savunma ve taraflar arasında imzalanan sözleşmenin incelenmesi sonucunda anlaşılmıştır.
Firma ile hastane arasındaki sözleşmede yer alan hükümlere göre;
- Firmanın Hastane adına hareket ederek hem hastanenin eski müşterilerine hem de kendi bulduğu müşterilere checkup panelini pazarlayan bir çağrı merkezi olduğu
- Sözleşmede bulunan, Firmanın bu satışı ilgili kanunlar çerçevesinde elektronik posta, posta, kapıdan dağıtım, kapıdan satış, internet üzerinden satış, telefonla satış, medya üzerinden satış ve sair yollarla yapabileceği;
- ürünü ister web sitesi aracılığı ile, ister kapıdan satış yöntemi ile, ister kurumsal satış şekliyle, isterse tele marketing yoluyla, yazılı, işitsel ve görsel medya yoluyla veya başka bir yolla pazarlayabileceği ve satabileceği;
- sözleşmede belirtilen ürünlerle ilgili SMS gönderebileceği hükümleri ile satış esnasında kanundan ya da sözleşmeden kaynaklı yükümlülüklere riayet etmemesi sebebiyle doğacak tüm zararlar nedeniyle Hastanenin Firmaya rücu hakkına sahip olduğu hükmü dikkate alındığında Hastanenin checkup hizmetinin pazarlanması ve satışı için Firmaya yetki verdiği anlaşılmaktadır.
Bu kapsamda yeni müşterilerin nereden bulunacağı ve bu müşterilere ürünlerin hangi yollarla pazarlanacağına ilişkin karar verme yetkisinin Firmaya bırakıldığı, bu sebeple Hastanenin checkup panelinin Hastanenin kayıtlarında bulunan müşterilerine pazarlanmasına yönelik kişisel veri işlenmesinde Firma veri işleyen olarak değerlendirilirken; Hastane kayıtlarında bulunmayan ancak Firmanın kendisi tarafından bulunan yeni müşterilerin pazarlama amacıyla aranarak kişisel verilerinin işlenmesinde Firmanın veri sorumlusu olduğu kanaatine varıldığı görülmektedir.
Firmadan alınan yazıda ilgili kişinin Hastanenin müşterisi olmadığı, kendileri tarafından yanlışlıkla arandığı belirtilmiş olmakla birlikte Hastane ve Firma arasında imzalanan sözleşme gereğince Hastaneye ait ürünün Hastane adına pazarlanması ve satışı için Firmaya yetki verilmiş olsa da; Firmanın sözleşmede yer alan “Satış esnasında kanundan ya da sözleşmeden kaynaklı yükümlülüklere riayet etmemesi sebebiyle doğacak tüm zararlar nedeniyle Hastanenin Firmaya rücu hakkına sahip olduğu” hükmü ile “Firmanın Hastaneden aldığı datayı üçüncü kişilerle paylaşamayacağı, dağıtamayacağı, yayınlayamayacağı, böyle bir durumun tespiti halinde Hastanenin sözleşmeyi derhal fesih hakkının bulunduğu ve bu sebeple uğrayacağı maddi zararın karşılanmasını Firmadan talep edebileceği” hükmüne muhalefet ederek Hastane tarafından kendisine bildirilmemiş olan ilgili kişinin cep telefonuna erişmesi ve kişinin cep telefon numarasını, Kanunun 5 inci maddesinde belirtilen açık rıza ya da diğer işleme şartlarından herhangi biri geçerli olmadığı halde aramak suretiyle işlemesinin Kanunun 5 inci maddesine aykırı olduğu belirtilerek ilgili Firma Hakkında cezaya hükmetmiştir.
-
Sonuç:
- Pazarlama hizmeti sağlayan Firmaların veri sorumlusu şirketten elde ettiği kişisel veriler bakımından aralarındaki hizmet sözleşmesinde “veri işleyen” statüsünde olduğu ;
- Aynı Firmaların aynı sözleşmeye dayanarak bile olsa veri sorumlusu şirketten edinmediği ve kendi yöntemleriyle topladığı ve veri sorumlusu adına pazarlama yapmak için işlediği veriler açısından veri sorumlusu olduğu,
- Firmanın yanlışlıkla aradığı ilgili kişilerin verileri açısından “Veri sorumlusunun aydınlatma ve açık rıza yükümlülüklerini” haiz olduğu ancak aralarındaki sözleşme gerektiği
- Firmanın veri sorumlusunun yükümlülüklerini yerine getirmemesinden dolayı veri sorumlusunu uğrattığı zararlar bakımından rücu hakkı bulunması kendi başına sorumlu olduğu görülmektedir.
KVK’nın “İlgili kişinin kullanımına izin vermediği kredi kartı bilgilerinin veri sorumlusu araç kiralama şirketi tarafından kullanılması hakkında” 27/02/2020 tarihli ve 2020/166 sayılı kararı
-
Olay Özeti:
İlgili kişinin veri sorumlusu ile daha önce yaptığı araç kiralama sözleşmesi kapsamında kullanımına onay verdiği kredi kartı bilgilerinin; veri sorumlusu tarafından daha sonra gerçekleştirilmesi düşünülen amaçlar doğrultusunda kullanılmak üzere sistemde saklanarak, haksız şart niteliği gösteren sözleşme hükmüne dayanmak suretiyle somut vakada kişinin makul beklentisine ve çıkarına aykırı olumsuz bir durum oluşturarak haklı bir gerekçe olmaksızın kullanılmasına ilişkin kişisel veri işleme faaliyetinin Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesinde yer alan şartlardan herhangi birine dayandırılamayacağı ve Kanunun “Genel ilkeler” başlıklı 4 üncü maddesi uyarınca “hukuka ve dürüstlük kurallarına uygun olma” ile “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırılık teşkil ettiği kanaatine varılmış, Kanunun 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülüklerini yerine getirmemiş olması nedeniyle veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 75.000 TL idari para cezası uygulanmasına karar verilmiştir.
-
Karar:
Veri sorumlusu tarafından ilgili kişi ile yapılan araç kiralama sözleşmesinde yer alan “kiracı tarafından bildirilen kredi kartından tahsilat yapılamadığı durumlarda; kiracının kiralayan ile yapmış olduğu başkaca araç kiralama sözleşmelerinde bildirdiği kredi kartı ve/veya nakit hesaplarından, kiralayanın tahsil etme hakkı saklıdır” maddesine dayanılarak HGS ücretinin ilgili kişi ile yapılan daha önceki bir sözleşme kapsamında bildirilen kredi kartından tahsil edilmeye çalışıldığının belirtildiği, Veri sorumlusu tarafından mevcut sözleşme kapsamında yer alan “bu sözleşmeyi imza etmekle arka sayfada belirtilmiş olan … standart kiralama kural ve koşullarını okuduğumu ve kabul ettiğimi beyan ederim. Aracın aylık kullanım limitinin 3.000 km olup aşıldığı takdirde ücretlendirmeyi, bu kiralamadan doğan ve doğacak olan her türlü ödemenin … bildirdiğim kredi kartımdan tahsil edilmesini kabul ve beyan ederim” maddesinin Tüketici Sözleşmelerindeki Haksız Şartlar Hakkında Yönetmelik”in (17.06.2014 tarihli ve 29033 sayılı R.G. ) “Haksız Şart” başlıklı 5 inci maddesi ve“Haksız Şartların Sözleşmeye Etkisi” başlıklı 7 nci maddesinin 1. fıkrası uyarınca ilgili kişi aleyhine bir durum oluşturduğu ve ilgili kişinin makul beklentisini ve çıkarlarını göz önüne almayarak dürüstlük kurallarına aykırılık teşkil ettiği,
Sözleşmede yer alan söz konusu maddenin uygulanmasına yer olmadığı ve ayrıca “haksız şart” niteliğine uyduğu değerlendirilmekte olup veri sorumlusunun ilgili kişinin eski sözleşmesinde yer alan kredi kartı bilgilerini kullanmaya devam etmesini, ilgili sözleşme hükmünü işaret ederek “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” kişisel veri işleme şartına dayandırmasının uygun olmadığı,
Veri sorumlusunun mevcut durumda ön provizyon işlemi ile geçerliliğini ve limitini onayladığı ilgili kişinin sözleşme kapsamında kullanımına izin verdiği kredi kartı bilgisine sahip olduğu ve ödemeyi bu kredi kartından tahsil edebileceği halde daha önce elde ettiği başka bir kredi kartı bilgisini kullanmaya çalışması ve ilgili kişiye ait toplam üç kredi kartına ilişkin bilgilerin daha sonra kullanılabileceği düşüncesiyle sisteminde saklaması faaliyetinde menfaatlerin yarışabilir olmadığı, kişinin hem ilgili kişi hem de tüketici olarak zayıf konumda olan taraf olduğu, dolayısıyla temel hak ve hürriyetlerinin ihlale açık olduğu ve ilerde söz konusu veri işleme faaliyetinin “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” kişisel veri işleme şartına dayandırılmasının da uygun olmadığı, söz konusu veri işlemenin açık rızaya veya diğer kişisel veri işleme şartlarından herhangi birine dayandırılamayacağı ve hukuka aykırı bir veri işleme olduğu görülmektedir.
-
Sonuç:
- Veri sorumlusu ve ilgili kişi arasında yapılan sözleşmede yer alan ve yine aynı taraflar arasında başka bir sözleşme ile ilgili kişi tarafından kişisel verilerin istenebileceğine ilişkin hükümler “Haksız Şart” niteliğinde olabilmektedir.
- İlgili kişi aleyhine sonuç doğuran ve Tüketici Kanunu ilgili maddelerince “Haksız Şart” hükmünde olan sözleşme maddelerinin uygulanamayacağı ve kişisel Verilerin Hukuka aykırı olarak işlenmesi sonucunu doğurabileceği görülmektedir.
KVK’nın “Veri sorumlusu tarafından ilgili kişilerin kişisel verilerinin hukuka aykırı şekilde internet gazetesi üzerinden yayımlanması hakkında” 18/02/2020 tarihli ve 2020/145 sayılı kararı
-
Olay Özet:
Veri sorumlusunun bahse konu tekzip ihtarnamesinin yayımlamasının, Kanunun 5 inci maddesinin 2 numaralı fıkrasının (ç) bendinde yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması” hükmü kapsamında hukuka uygun olduğu, ancak ilgili ihtarnamenin kişisel verilere ilişkin bölümünün olduğu gibi yayımlanmasının, daha sonra bu bölümü internet sitesinden kaldırmış olsa dahi, Kanunun genel ilkeler başlıklı 4 üncü maddesinde düzenlenen “amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi ile bağdaşmadığı dikkate alındığında bu durumun Şirketin kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığına işaret ettiği ve bu kapsamda Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendinde öngörülen yükümlülüğünü yerine getirmediği kanaatine varılan veri sorumlusu hakkında Kanunun 18 inci maddesinin birinci fıkrasının (b) bendi hükmü uyarınca 55.000 TL idari para cezası verilmesine karar verilmiştir.
-
Karar:
Basın Kanunundan kaynaklı olarak düzeltme metnini veya cevap yazısını hiçbir düzeltme ve ekleme yapmaksızın yayımlama yükümlülüğünün bulunduğu, ancak bu amaç yerine getirilirken sorumlu müdürün bu amaçla bağlantılı, sınırlı ve ölçülü olacak şekilde hareket etmesi beklendiği, diğer bir ifadeyle, düzeltme metni yayımlanırken, haberle ve metnin içeriğiyle ilgisi olmayan ve yayımlanması halinde kişilerin kişilik haklarının zarara uğramasına sebep olacak kişisel verileri içeren kısımların yayımlanması, amaç ile orantılı olarak değerlendirilmediğinden söz konusu düzeltme metninin kişilik haklarını ihlal ederek internet sitesinde yayımlanmasının, Kanunun 28 inci maddesinin (1) numaralı fıkrasının (c) bendi kapsamında değerlendirilmeyerek şikâyetin incelemeye alındığı,
Veri sorumlusunun bahse konu olan tekzip ihtarnamesini yayımlamasının, 5187 sayılı Basın Kanununun 14 üncü maddesinde yer alan yükümlülüğünü yerine getirmek amacıyla Kanunun 5 inci maddesinin 2 numaralı fıkrasının (ç) bendinde yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması” hükmü doğrultusunda hukuka uygun olduğu, ancak ilgili ihtarnamenin kişisel verilere ilişkin bölümünü herhangi bir güvenlik önlemi almaksızın olduğu gibi yayımlanmasının, daha sonra bu bölüm internet sitesinden kaldırılmış olsa dahi Kanunun genel ilkeler başlıklı 4 üncü maddesinde düzenlenen “amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi ile bağdaşmadığı dikkate alındığında bu durumun veri sorumlusu tarafından kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerin alınmadığının göstergesi olduğundan bahsedilmektedir.
-
Sonuç:
- Basın Kanunu ilgili maddelerinde yer alan ve Tekzip yazısının aynen yayınlanmasını gerektiren hükmün Kişisel Verilerin Korunması Kanunu uyarınca veri sorumlularının alması gereken güvenlik önlemlerini ve sorumluluklarını yerine getirme yükümlülüğünü ortadan kaldırmadığı görülmektedir.
KVK’nın “Veri sorumlusu işveren tarafından, iş sözleşmesi tek taraflı olarak feshedilen ve işe iade davası açan ilgili kişiye ait özlük dosyasında yer alan sağlık raporunun dava savunmasında kullanılmak suretiyle mahkemeye sunulması” (18/02/2020 tarihli ve 2020/138 sayılı Karar)
-
Olay Özeti:
İşçi tek taraflı olarak Feshedilen iş sözleşmesine karşı açılan işe iade davada, özlük dosyasında bulunan Sağlık Raporunun Mahkemeden talep edilmediği halde dosya kapsamında bilirkişi incelemesi ve mahkeme huzuruna sunulması hakkında kişilik haklarının ihlal edildiği iddiasıyla başvuruda bulunmuştur.Ancak kurul, 6698 sayılı Kanunun 28 inci maddesinin (1) numaralı fıkrasının (d) bendinde yer alan “Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi” hükmü ile 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun’un “İncelenemeyecek Dilekçeler” başlıklı 6 ncı maddesinin (b) bendi dikkate alındığında konuya ilişkin Kurul tarafından tesis edilecek bir işlem bulunmadığına karar verilmiştir.
-
Karar:
4857 sayılı İş Kanununun işçi özlük dosyası başlıklı 75 inci maddesine göre; işverenin çalıştırdığı her işçi için bir özlük dosyası düzenlediği, bu dosyada, işçinin kimlik bilgilerinin yanında, bu kanun ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları istendiği zaman yetkili memur ve mercilere göstermek zorunda olduğu, ayrıca idari para cezası başlıklı 104 üncü maddesinde Kanunun 75 inci maddesinde belirtilen işçi özlük dosyalarını düzenlemeyen işveren veya işveren vekiline idari para cezası verileceği, ancak sağlık raporlarının işçiye ait özlük dosyasının içerisinde yer alıp alamayacağı hususuna ilişkin ise gerek 4857 sayılı İş Kanununda gerekse 6331 sayılı İş Sağlığı ve Güvenliği Kanununda özel bir hüküm bulunmadığı,
6100 sayılı Hukuk Muhakemeleri Kanununun 219 uncu maddesinin 1 inci fıkrası uyarınca, tarafların, kendilerinin veya karşı tarafın delil olarak dayandıkları ve ellerinde bulunan tüm belgeleri mahkemeye ibraz etmek zorunda olduğu görülmektedir.
Bununla birlikte, anılan Kanunun 220 nci maddesinin 3 üncü fıkrası uyarınca, belgeyi ibraz etmesine karar verilen tarafın, kendisine verilen sürede belge ibraz edilmez ve aynı sürede, delillerle birlikte ibraz edilmemesi hakkında kabul edilebilir bir mazeret gösterilmez ya da belgenin elinde bulunduğu inkâr edilirse, mahkemenin, duruma göre belgenin içeriği konusunda diğer tarafın beyanını kabul edebileceği görüldüğünden ilgili kararı vermiştir.
-
Sonuç:
- 4857 sayılı İş Kanununun işçi özlük dosyası başlıklı 75 inci maddesine göre; işverenin çalıştırdığı her işçi için bir özlük dosyası düzenlediği, bu dosyada, işçinin kimlik bilgilerinin yanında, bu kanun ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları istendiği zaman yetkili memur ve mercilere göstermek zorunda olduğu belirtilmiştir.
- Hukuk Muhakemeleri Kanununun 219 uncu maddesinin 1 inci fıkrası uyarınca, tarafların, kendilerinin veya karşı tarafın delil olarak dayandıkları ve ellerinde bulunan tüm belgeleri mahkemeye ibraz etmek zorunda olduğu görülmektedir.
KVK’nın “Veri sorumlusu havayolu şirketi bünyesindeki çalışanın ilgili kişiye ait kişisel verileri 6698 sayılı Kişisel Verilerin Korunması Kanununa aykırı şekilde şirket kayıtlarından elde etmesi” (13/02/2020 tarihli ve 2020/124 sayılı Karar)
-
Olay Özeti:
Veri sorumlusu tarafından kişisel verilere erişim ile ilgili sınırlama getirilmemesi ve çalışanlara verilen eğitimin yetersiz olması sebebiyle Kanunun 12 nci maddesinde yer alan veri güvenliğinin sağlanmasına yönelik gerekli idari ve teknik tedbirlerin alınmadığı kanaatine varıldığından Kanunun 18 inci maddesinin birinci fıkrasının (b) bendi çerçevesinde veri sorumlusu hakkında 100.000 TL idari para cezası uygulanmasına karar verilmiştir.
-
Karar
Kişisel verileri elde eden şikâyete konu çalışanın, ilgili kişinin kişisel verilerinin paylaşıldığı diğer çalışanın uçuşlarına katılacağı düşünerek, sistem üzerinden arama gerçekleştirdiğini kabul ettiği, diğer taraftan, ilgili kişi ile arasında hâlihazırda dava durumu söz konusu olduğu, mahkeme sürecinin başladığı, bunun yanı sıra, ilgili kişiye hiçbir müdahalede bulunulmadığı,
Dilekçe ekinde yer verilen söz konusu Whatsapp konuşma ve telefon çağrı geçmişi görüntülerinin veri sorumlusu çalışanlarına ait olup olmadığı konusunda herhangi bir bilginin bulunmadığı, bununla birlikte, veri sorumlusunun soruşturma raporuna göre kişisel verileri elde eden çalışanın bu iddiaları kabul etmediği dikkate alındığında, ilgili kişinin telefonunda yer alan kişisel telefon kayıtlarının tevsik edici belge olarak değerlendirilemeyeceği,
Erişim yetkisinin görev tanımı gereği ve 2920 sayılı Türk Sivil Havacılık Kanununun 40 ıncı maddesinin dördüncü fıkrasında yer alan “Havayolu ile seyahat edecek kişilerin bilgileri kişilerin seyahatini kolaylaştırmak veya güvenlik ve risk değerlendirmesi yapmak amacıyla Kanun çerçevesinde toplanabilir, kaydedilebilir, işlenebilir, paylaşılabilir, havacılık güvenliği ve emniyetini sağlamak üzere değerlendirilerek gereken tedbirler alınabilir” hükmü doğrultusunda tanımlandığı,
Her ne kadar çalışanlar eğitimlere tabi tutulmuş ve bu eğitimleri başarıyla tamamlamış olsalar da olay öncesinde eğitimlerin seyrek düzenlenmiş olduğu anlaşılmıştır.
Veri sorumlusunun PNR sorgulama sayısına bir sınırlama getirmediği veya gözetim mekanizması geliştirmemiş olduğunun anlaşıldığı, veri sorumlusu tarafından her ne kadar log kayıtları tutuluyor olsa da, bu kayıtlarda sıra dışı aktivitelerin gözlemlenebilir olması ve bu kayıtların analiz edilmesi ile kişisel verilerin hukuka aykırı işlenmesinin ve erişilmesinin tespitinin önem arz ettiği dolayısıyla, veri sorumlusunun Kanunun 12 nci maddesi kapsamında aldığı idari ve teknik tedbirlerin yeterli olmadığı,
Çalışanın yetkisini kötüye kullandığını kabul ettiği, hakkında yazılı uyarı verildiği ve yetkilerinin iptal edildiği saptanmıştır. Ardından sorgulama işlemlerinin ayrı bir Genel Müdür Yardımcılığına bağlı farklı departmana verildiği görülmüştür. Bunun sonucunda sunulan log kayıtlarında PNR sorgulamasının yapılmadığının anlaşılmıştır. Bununla birlikte, kişisel verilerin hukuka aykırı olarak işlenmemesine yönelik özel koruyucu düzenlenmelere yer verildiği, ancak, soruşturma sonucu çalışanın yetkilerine ilişkin yaptırımların yeterli ve caydırıcı olmadığına kanaat getirilmiştir. Bu tür zafiyetlerin yaşanma riski göz önünde bulundurularak, alınması gereken tedbirlerin geliştirilmesi gerektiği görülmektedir.
-
Sonuç:
- Veri sorumlusunun çalışanların görev tanımlarında yer alan ve erişim yetkileri bulunan çalışanın sorgu yetkisinin sınırsız olmaması gerekmektedir.
- Erişim Yetkilerinin takibinin log kayıtlarının incelenmesi ve sıradışı aktiviteleri tespit edilebilir nitelikte olması gerektiği anlaşılmaktadır.
- Kişisel verilere erişim yetkisi bulunan çalışanların bu yetkilerini kötüye kullanması halinde görevden alınmasının ve başka departmana atanmasının caydırıcılık bakımından yeterli bulunmadığı anlaşılmaktadır.
- Şirket içinde yapılan ve çalışanlara verilen Kişisel Verilerin Korunması Eğitimi sıklığının yetersiz bulunduğu görülmektedir.
Veri İhlal Bildirimleri:
Etkilenen Kişi Sayısı : 13500
Etkilenen Veriler : Finans ve Kimlik
Kaynağı : Personelden 3. Kişilere aktarım
Tespitler:
- Banka personelinin yapmış olduğu Kredi Kayıt Bürosu (KKB) sorguları neticesinde ulaştığı kişisel verileri kendi iletişim yolları (telefon, elektronik haberleşme programı vs.) aracılığı ile üçüncü kişilere 1 Ocak 2019 ve 16 Şubat 2019 tarihleri arasında iletmiştir.
- İhlalin Banka çağrı merkezine gelen ihbar nitelikli arama sonrasında Banka Teftiş Kurulu Başkanlığı tarafından yapılan incelemeler sonucunda tespit edilmiştir.
Etkilenen Kişi Sayısı : Bilinmiyor
Etkilenen Veriler : Müşteri işlem ve Kimlik
Kaynağı : Bilinmiyor
Tespitler:
- 22 Şubat 2021 tarihinde veri sorumlusuna, sistemlerine girildiğine ve bunun karşılığında kripto para olarak fidye istendiğine dair bir e-posta gönderilmiştir.
Çocuk Verilerinin İşlenmesi Hakkında İnceleme:
https://www.eralp.av.tr/kvkk-ve-gdpra-gore-cocuk-verilerinin-islenmesi/