Türkiye – Kişisel Verileri Koruma Kurulu Tarafından 11.02.2021 Tarihinde Yayımlanan Karar Özetleri

Kişisel Verileri Koruma Kurulu’nun (“Kurul”) 11.02.2021 tarihinde 12 adet yeni kararı internet sitesinde yayımlanmıştır. Karar içerikleri kısaca aşağıdaki gibidir: 

17/09/2020 tarih ve 2020/710 sayılı Karar Özeti 

Kurul, 2004 sayılı İcra ve İflas Kanununun 89 uncu maddesi kapsamında borçlunun üçüncü kişilerdeki alacağının tahsili amacıyla alacaklı tarafından üçüncü kişi olarak bildirilen gerçek veya tüzel kişilere İcra Müdürlüklerince birinci haciz ihbarnamesi gönderilmesine hukuken bir engel bulunmadığına, İcra Müdürlükleri nezdinde gerçekleştirilen ilgili kişilerin kişisel verilerinin işlenmesi faaliyetinin Kişisel Verilerin Korunması Kanununun 5/2nci maddesi kapsamında ‘Kanunlarda açıkça öngörülme’ şartına dayanılarak gerçekleştirildiğine karar vermiştir. 

03/09/2020 tarihli ve 2020/667 sayılı Karar Özeti 

Kurul, ilgili kişinin veri sorumlusu bir sigorta şirketine başvurarak ailesi adına düzenlettiği sağlık sigortası poliçesini yeniletmek istemesi olayında sağlık sigortası poliçesinin özel nitelikli kişisel veri niteliğini haiz sağlık verilerini içermesi ve poliçede yer alan sağlık verilerinin ise Kanunun 6/3üncü maddesi kapsamında işlenemeyeceği gerekçesiyle veri işlemenin ancak ilgili kişiden açık rıza alınması yoluyla gerçekleştirilebileceğine karar vermiştir. 

30/06/2020 tarih ve 2020/508 sayılı Karar Özeti 

Kurul, muhtelif avukat sorgulama sitelerinde avukatlara ait ad soyadı, kayıtlı olunan baro ve Türkiye Barolar Birliği (TBB) sicil numarası, e-posta adresi ve fotoğraflar yayımlanmakta ise de avukatların bağlı oldukları baroya başvurarak bu bilgileri güncelleme ya da sildirme imkânı olduğunun anlaşıldığı ve ilgili kişinin kendisi tarafından alenileştirilen kişisel verilerinin Kanunun 28/2nci maddesi kapsamında işlenebileceği kanaatine vardığı gerekçesiyle işlenen kişisel verinin Kanunun 4 üncü maddesindeki genel ilkelere aykırı bir işleme faaliyeti olmadığına karar vermiştir. 

30/10/2019 tarihli ve 2019/316 sayılı Karar Özeti 

Kurul, “Bilimsel veri, kan ve doku bankası” olarak adlandırılan hastalara ilişkin örneklerin barkot içeren etiketleri bulunması ve doku ve kan bankasındaki listede bu örneklerin, isim ve ependorf (tüp) sayılarına göre dolaplara yerleştirildiğinin anlaşılması nedeniyle anılan örneklerin hasta kişilerin kimliğine ulaşılmasını sağlayabilecek olmasından hareketle kişisel veri, bu verilerin belirli kriterlere göre sınıflandırılarak kayda alınması işleminin ise kişisel veri işleme faaliyeti olarak değerlendirildiğine,  bununla birlikte, Kanunun “İstisnalar” başlıklı 28/1-c hükmü uyarınca kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi durumunda, KVK Kanunu hükümlerinin uygulanmayacağına karar vermiştir. 

06/02/2020 tarihli ve 2020/93 sayılı Karar Özeti 

Kurul, geçmişte çeşitli sebeplerle kaydedilen sağlık raporlarının ve özellikle psikiyatrik hastalık tanılarının ilgili kişilerin yaşamlarında sorun teşkil ettiği ve girmiş oldukları ve/veya girmeyi planladıkları çeşitli sınavların bu kayıtlardan dolayı olumsuz sonuçlandığı ve/veya sonuçlanacağı, ancak bu rapor/tanıların gerçeği yansıtmadığı ifadelerine yer verilerek söz konusu kişisel verilerin sağlık kayıtlarından düzeltilmesi ya da silinmesi yönündeki taleplere istinaden yaptığı incelemede kişilerin sağlık geçmişlerinde yer alan psikiyatrik tanıların silinmesi halinde kamu güvenliği ve kamu düzeni bakımından çok ciddi tehditlerin gündeme gelebileceği, kişilerin kendilerine konulan psikiyatrik tanılar nedeniyle alamadıkları sürücü ehliyeti ve silah ruhsatı gibi belgeleri almaya hak kazanabilecekleri, gerçekte var olmasına ya da var olmadığı ispat edilmemiş olmasına rağmen silinen rahatsızlıkların etkileri ile istenmeyen olayların yaşanabileceğinin değerlendirildiğine, Kanunun tam muafiyet hallerinin düzenlendiği 28/1 hükmü gereğince kamu güvenliği ve kamu düzenine yer verildiğine ve önemlerine binaen bu şartlardan herhangi birisinin varlığı durumunda Kanunun uygulanmayacağına, sağlığa ilişkin verilerin tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi amacıyla ilgili kişilerin açık rızaları olmaksızın ilgili Bakanlıklarınca işlenebileceğine, bu durumda verilerin işlenme sebeplerinin açık rıza değil, Kanunun 6/3 hükmüne yer alan amaçlar olduğuna karar vermiştir. 

30/01/2020 tarihli ve 2020/71 sayılı Karar Özeti 

 Kurul, Kanunun 10 uncu maddesinde düzenlenen “aydınlatma yükümlülüğü” bizzat veri sorumlusu tarafından veya veri sorumlusunun yetkilendirdiği bir kişi tarafından da yerine getirilebileceğine, bu kişinin veri işleyen de olabileceğine dair görüş bildirmiştir. 

 27/01/2020 tarihli ve 2020/66 sayılı Karar Özeti 

 Kurul, ilgili kişinin irtibat numarasına, bir elektrik dağıtım firması tarafından başvurucuya ait olmayan birkaç elektrik abone numarasına ilişkin farklı konularda bilgilendirme amaçlı SMS’ler gönderildiği iddiası üzerine yaptığı incelemede ilgili kişinin veri sorumlusunun dağıtımını üstlendiği elektrik hizmetinden yararlanmasını sağlayan bir sözleşmesinin olup olmadığı bilinemediğinden ve veri sorumlusunun, kendisinden istenilen bilgi ve belge talebinde bu hususta bir açıklama yapmadığından talebin Kanun kapsamındaki silme işlemi değil “…düzeltilmesini isteme” olarak değerlendirilmesi gerektiği kanaatine vardığını, ilgili kişinin dilekçe ile yaptığı başvuruların işleme alınmasında zorluk çıkarılması ve kabul edildikten sonra süresi içinde ilgili kişiye talebine ilişkin olarak dönüş yapılmamasının Kanuna aykırı olarak hareket edildiğinin ve ilgili kişinin hakkını kullanamamasına yol açtığının bir göstergesi olduğunu ifade ederek ilgili kişinin başvurusunu süresi içinde cevaplamayan veri sorumlusunun Kanun kapsamında yöneltilen başvuruları zamanında, tam ve eksiksiz olarak cevaplaması hususunda talimatlandırılmasına, veri sorumlusu gerekli idari ve teknik tedbirleri almadığından 100.000TL idari para cezası ile cezalandırılmasına karar vermiştir. 

 01/12/2020 tarihli ve 2020/915 sayılı Karar Özeti 

Kurul, veri sorumlusu tarafından mesai kontrolü için parmak izi, sicil numarası ve şifreli giriş, ıslak imzalı form yöntemlerinin kullanıldığı, covid-19 salgını sebebiyle halihazırda personel kontrolünün ıslak imzalama metodu ile sağlandığı, işe giriş ve çıkış kontrollerinin biyometrik verileri işlemenin haricinde alternatif yollar ile sağlanabildiği, dolayısı ile üstün güvenlik önlemleri alınmasını gerektirecek bir durumun da olmadığının görüldüğü gerekçeleri ile veri sorumlusu bünyesinde mesai kontrolü amaçlı giriş ve çıkışlar için parmak izi okutma sisteminin kurulmasının Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinin (ç) bendindeki ölçülülük ilkesine aykırı olduğuna ve veri sorumlusunun söz konusu uygulamasının Kanunun 12/1(a) bendine aykırılık teşkil ettiğine karar vermiştir. 

08/12/2020 tarihli ve 2020/927 sayılı Karar Özeti 

Kurul, ilgili kişinin şikâyet başvurusunda özetle; üniversitede öğretim üyesi olarak görev yaptığı, görev yapmış olduğu bölümde akademik kadro ilanı verildiği, kadro için sınavların usulüne uygun şekilde yapıldığı ve kadro için aile yakınının sınavlarda başarılı olduğu, ancak sosyal medyada bu kadro işe alımı ile ilgili doğru olmayan haberlerin yapıldığı ve üniversitenin tepkiler üzerine soruşturma başlattığı, soruşturma sonucunda bir usulsüzlük olmadığının üniversite tarafından tespit edildiği, haberlerin kaldırılması talebi ile arama motoruna başvuruda bulunduğu ancak arama motoru tarafından URL’ler hakkında herhangi bir işlem yapılmamasına karar verildiği ve ilgili kişinin kaldırma talebini söz konusu siteyi kontrol eden web yöneticisine gönderebileceği bilgisinin tarafına iletildiği, dolayısıyla arama motoru tarafından ilgili kişinin talebinin karşılanmadığı, bu kapsamda yapılan haberlerin aile yakınının ve kendisinin kamuda görev yapmasını ve hayatını olumsuz yönde etkilediği belirtilerek söz konusu içeriklerin arama motorunda indekslenmeyecek şekilde teknik düzenlemeye tabi tutulması talebi ile ilgili başvuruya istinaden yaptığı incelemede ilgili kişinin kamu üniversitesinde görev yapmakta olduğu, başvuru konusu hususlarda ilgili kişinin aile yakınının işe alınması ile ilgili usulsüzlük iddiaları sonucunda üniversite tarafından soruşturma açıldığı bilgisinin doğru olduğu, söz konusu bağlantılarda yer alan haberin ilgili kişinin çalışma yaşamına ilişkin olduğu ve ilgili kişinin hâlihazırda aynı işi yaptığı, bilgilerin özel nitelikli kişisel veri niteliği taşımadığı, yapılan haberlerin 2020 tarihli olduğu, dolayısıyla güncel olduğu, bilginin kişi açısından risk doğurmadığı ve içeriklerin gazetecilik faaliyeti kapsamında değerlendirilebileceği, öte yandan, bilginin kişi hakkında ön yargıya sebep olabileceği ancak bunun kanıtlanabilir nitelikte olmadığı, ilgili kişiye ilişkin bilgilerin yayınlanmasında yasal zorunluluk bulunmadığı, bilginin kişinin kendisi tarafından yayımlanmadığı, bilginin ceza gerektiren bir suçla ilgili olmadığı hususlarını göz önünde bulundurarak ilgili kişi hakkında yayınlanan içeriklerin arama motorundan kaldırılması yönündeki talebi yönünden işlem yapılmaması kararının yerinde olduğuna, bu kapsamda söz konusu şikâyet ile ilgili olarak KVK Kanunu kapsamında tesis edilecek bir işlem bulunmadığına karar vermiştir. 

27/01/2020 tarihli ve 2020/63 sayılı Karar Özeti 

Kurul, ilgili kişi ile hastane görevlileri arasında yaşanan tartışma neticesinde yaşanan olayla ilgili hastane görevlilerince beyaz kod uygulaması kapsamında tutanak tutulması, sonrasında hastane görevlilerince ilgili kişi hakkında Savcılığa suç duyurusunda bulunulmasına dair olayda beyaz kod uygulamasının Sağlık Bakanlığı Hukuk Müşavirliğinin Hukuki Yardım ve Beyaz Kod Uygulamasına dair 2016/3 Genelgesi ile “Beyaz Kod Kullanım Kılavuzu 2.0″’na dayandığına ve söz konusu kişisel verilerin Kanunun 5/2-ç bendi uyarınca veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi kapsamında işlendiği kanaati oluştuğundan şikayete ilişkin işlem yapılmamasına karar vermiştir. 

27/01/2020 tarihli ve 2020/59 sayılı Karar Özeti 

Kurul, kişinin ortağı olduğu şirkete ilişkin hakların korunması amacıyla söz konusu e-posta adresine ilişkin sunucu yedek kayıtlarından elde edilen kişisel verilerin Kanunun 5/2-e bendinde yer alan “…. bir hakkın tesisi, kullanılması ve korunması kapsamında veri işlemenin zorunlu olması” kapsamında işlendiği ve kişisel veriler kullanılarak Asliye Ticaret Mahkemesi nezdinde açılan dava nedeniyle gerçekleştirilen kişisel veri işleme faaliyetinin ise Kanunun 28/1-d kapsamında olduğu değerlendirildiğinden söz konusu şikayet ile ilgili Kanun kapsamında yapılacak bir işlem bulunmadığına karar vermiştir. 

26/12/2019 tarihli ve 2019/393 sayılı Karar Özeti 

Kurul, kamu kurumu nezdinde 657 sayılı Kanun kapsamında çalışan ve kişisel veri işleyen personele kişisel verilerin korunmasına yönelik ayrıca bir gizlilik sözleşmesi imzalatılması uygun olmayacağına, kişisel verilerin korunması hakkının bir temel hak ve özgürlük olarak yakın tarihte iç hukukumuzda düzenleme altına alınmış olduğu gözetildiğinde, 657 sayılı Kanun kapsamında çalışan personele, kişisel verilerin korunması hakkı kapsamında uymaları gereken usul ve esaslara dair bilgilendirici mahiyette bir metin tebliğ edilmesi ve bu konuda periyodik eğitimler düzenlenmesinin uygun olacağına karar vermiştir. 

Kararların tamamına şu linkten ulaşılabilir: 

https://kvkk.gov.tr/Icerik/5406/Kurul-Karar-Ozetleri