Türkiye – 02.03.2021 Tarihinde Yayımlanan Karar Özetleri

1. Veri sorumlusu eğitim kurumu tarafından şikayetçinin çocuklarının özel nitelikli kişisel verilerinin hukuka aykırı olarak işlenmesi hakkında 02/04/2020 tarihli ve 2020/255 sayılı Karar Özeti

Kurul kararında, eğitim kurumlarının rehberlik servisleri tarafından uygulanan psikolojik testlerin çeşidi ne olursa olsun, öğrencinin bireysel olarak daha yakından tanınmasını sağlamayı amaçladığı dikkate alındığında; testin sonucunun yorumlanması neticesinde oluşturulan değerlendirme kapsamında öğrenciyi diğer öğrencilerden ayıran ve kimliğini belirli veya belirlenebilir hale getiren kişisel verilerin işlendiğini, Bu kapsamda ilgili kişilere CAS testi uygulanması sonrasında, veri sorumlusunun rehberlik servisinde görevli rehberlik öğretmeni/ psikolojik danışman tarafından yapılan ve öğrenciye ilişkin duygu durum, davranış, bilişsel yetenekler vb. unsurları içerdiği kanaatine varılan test sonucuna ilişkin değerlendirmenin kişisel veri işleme faaliyeti kapsamında olduğunu, bu veri işleme faaliyetinin Milli Eğitim Bakanlığı Rehberlik Hizmetleri Yönetmeliğinin 10 uncu maddesi çerçevesinde; bu kapsamdaki kişisel veri işleme faaliyetinin, veri sorumlusunun Kanunun 5/2-ç bendinde yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” kişisel veri işleme şartına dayandırılabileceğini ancak zekâ ve bilişsel becerilerin yanı sıra dikkat eksikliği ve hiperaktivite bozukluğu gibi öğrencinin ruh sağlığına ilişkin özel nitelikli kişisel verilerin de işlenmiş olduğu dikkate alındığında; Kanunun 6/3 üncü fıkrasında yer verilen “kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi” amaçları da bulunmadığından, veri sorumlusu tarafından söz konusu veri işleme faaliyetinin “açık rıza” şartına dayandırılması gerektiğini; Kanun uyarınca veri sorumlusu veya yetkilendirdiği kişi tarafından, kişisel verilerin elde edilmesi sırasında, ilgili kişinin talebine bağlı olmaksızın sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortam kullanılmak suretiyle aydınlatma yükümlülüğünün yerine getirilmesinin gerektiği ayrıca bu yükümlülüğün yerine getirildiğinin ispatının da veri sorumlusuna ait olduğunu ve somut olayda öğrencinin velisine yeterli düzeyde bilgi sağlamamak suretiyle veri sorumlusunun aydınlatma yükümlülüğünü tam olarak yerine getirmediği sonucuna varıldığını, bu nedenle de veri sorumlusu aleyhinde 50.000TL idari para cezası ile birlikte velilere ve öğrencilere sunulan rehberlik hizmeti sürecinin kişisel verilerin korunması mevzuatı ile uyumlu hale getirilmesi, hukuka aykırılıkların giderilmesi hususunda veri sorumlusunun talimatlandırılmasına karar verildiğini ifade etmiştir.

2. Veri sorumlusu işveren tarafından, iş sözleşmesi tek taraflı olarak feshedilen ve işe iade davası açan ilgili kişiye ait özlük dosyasında yer alan sağlık raporunun dava savunmasında kullanılmak suretiyle mahkemeye sunulması hakkında 18/02/2020 tarihli ve 2020/138 sayılı Karar Özeti

Kurul kararında, somut olayda mahkemenin davaya ilişkin olarak yazmış olduğu müzekkerede davalı veri sorumlusundan davacı ilgili kişiye ait özlük dosyasının tüm içeriğinin tasdikli bir suretinin gönderilmesini istediğinin görüldüğünü, 4857 sayılı İş Kanununun işçi özlük dosyası başlıklı 75 inci maddesine göre; işverenin çalıştırdığı her işçi için bir özlük dosyası düzenlediği, bu dosyada, işçinin kimlik bilgilerinin yanında, bu kanun ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları istendiği zaman yetkili memur ve mercilere göstermek zorunda olduğu, ayrıca idari para cezası başlıklı 104 üncü maddesinde Kanunun 75 inci maddesinde belirtilen işçi özlük dosyalarını düzenlemeyen işveren veya işveren vekiline idari para cezası verileceği, ancak sağlık raporlarının işçiye ait özlük dosyasının içerisinde yer alıp alamayacağı hususuna ilişkin ise gerek 4857 sayılı İş Kanununda gerekse 6331 sayılı İş Sağlığı ve Güvenliği Kanununda özel bir hüküm bulunmadığını; 6100 sayılı Hukuk Muhakemeleri Kanununun 219/1inci fıkrası uyarınca, tarafların, kendilerinin veya karşı tarafın delil olarak dayandıkları ve ellerinde bulunan tüm belgeleri mahkemeye ibraz etmek zorunda olduğu, bununla birlikte, anılan Kanunun 220/3üncü fıkrası uyarınca, belgeyi ibraz etmesine karar verilen tarafın, kendisine verilen sürede belge ibraz edilmez ve aynı sürede, delillerle birlikte ibraz edilmemesi hakkında kabul edilebilir bir mazeret gösterilmez ya da belgenin elinde bulunduğu inkâr edilirse, mahkemenin, duruma göre belgenin içeriği konusunda diğer tarafın beyanını kabul edebileceğini ifade ederek bu veri işleme faaliyetinin 6698 sayılı Kanunun 28/1-d bendinde yer alan “Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi” hükmü kapsamında kaldığından bahisle yapılacak bir işlem bulunmadığına karar vermiştir.

3. Türkiye Ticaret Sicili Gazetesinde açık bir şekilde ilan edilmeyen şirket ortakları ve yetkililerine ait şahsi kimlik numaraları, şahsi adresleri gibi kişisel verilerinin paylaşılması ile ilgili 22/04/2020 tarihli ve 2020/307 sayılı Karar Özeti

Kurul kararında, Türkiye Ticaret Sicili Gazetesinde açık bir şekilde ilan edilmeyen şirket ortakları ve yetkililerine ait şahsi kimlik numaraları, şahsi adresleri gibi kişisel verilerinin paylaşılması ile ilgili olarak her ne kadar aleniyet gereği herkes ticaret sicilinin içeriğini ve müdürlükte saklanan tüm senet ve belgeleri inceleyebilecek olsa da, bu durumun anılan bilgilerin kişisel verilerin korunmasına ilişkin mevzuattan muaf olması anlamına gelmeyeceğini; Aynı şekilde, aleniyet kapsamında işlenen kişisel verilerin aleniyetin amacıyla örtüşmesi gerektiğini ve aleniyet amacı dışında kalan durumlarda bu verilerin işlenmesinin hukuka aykırı olacağının değerlendirildiğini; Ticaret sicili müdürlükleri nezdinde tutulan kişisel verilerin başka kamu kurum ve kuruluşlarıyla paylaşılmasında bir başka ifadeyle diğer kamu kurum ve kuruluşlarına aktarılmasında da 6698 sayılı Kanunun 8 inci maddesine uygun hareket edilmesi gerektiğini; Nüfus Hizmetleri Kanununa göre kimlik bilgilerini paylaşmaya yetkili merciin nüfus müdürlükleri olması nedeniyle, bu verilerin ticaret sicil müdürlüklerinden istenmesi hususunun Nüfus Hizmetleri Kanununa aykırı olduğunu bir başka ifadeyle, talep edilecek kişisel verilerin özel düzenleme niteliğini haiz ilgili mevzuat hükümlerinde belirtilen yetkili kamu kurumlarından temin edilmesi gerektiğini ifade etmiştir.

4. Ses kayıt özelliği bulunan güvenlik kamerası kullanılması hakkında 12/03/2020 tarihli ve 2020/212 sayılı Karar Özeti

 

Kurul kararında kameralar vasıtasıyla görüntü ile birlikte ses kaydı yapılmasının bireylerde her açıdan gözetim altında tutuldukları endişesi yaratabilecek olup, kişilerin kamusal alanda bile özel bir kısım diyaloglarının ya da yaşantı kesitlerinin bulunabileceği dikkate alındığında bu yönde bir uygulamanın hakkın özüne zarar vereceğini; Güvenlik amacıyla kamu kurumunun halk girişine takılması yönünde ihtiyaç bulunduğu belirtilerek ses kaydı yapan kameraların kullanılması, benzer nitelikteki her türlü ortam açısından da gerekli olduğu yönünde genel bir değerlendirmeye neden olabileceğinden, kişisel verilerin korunması hakkına yönelik oldukça geniş nitelikte bir istisna oluşması sonucunu doğurabilecektir ki, bu hususun da hakkın özüne zarar vereceğini ifade etmiştir.

 

5. İlgili kişinin oturmakta olduğu binaya, komşusu tarafından kamera yerleştirilerek kayıt ve izleme gerçekleştirilmesi hakkında 27/02/2020 tarihli ve 2020/187 sayılı Karar Özeti

Kurul kararında ilgili kişinin oturmakta olduğu bina içerisine komşusu tarafından 2 tanesi dışarıyı, 1 tanesi apartman girişini, 1 tanesi kat arasını gösterecek şekilde 4 tane kamera yerleştirildiği, bu kameralarla kayıt ve izleme gerçekleştirildiğine yönelik şikayet üzerine yaptığı inceleme neticesinde ilgili kişinin, komşusu hakkındaki hukuka aykırı olarak kamera taktırılması ve görüntü kaydı alınmasına ilişkin şikâyetlerinin Türk Ceza Kanunu hükümleri çerçevesinde suç unsuru barındırabileceği ve Türk Ceza Kanunu kapsamına giren hukuka aykırı kişisel veri işleme faaliyetleri yönünden Kişisel Verileri Koruma Kurulunun inceleme yetkisinin bulunmadığını ifade etmiştir.

6. İlgili kişinin cep telefonunun özel bir hastane tarafından izinsiz aranması hakkında 27/02/2020 tarih ve 2020/172 sayılı Karar Özeti

Kurul kararında, inceleme konusu firmanın Hastane adına hareket ederek hem hastanenin eski müşterilerine hem de kendi bulduğu müşterilere checkup panelini pazarlayan bir çağrı merkezi olduğunun anlaşıldığı, sözleşmede bulunan, Firmanın bu satışı ilgili kanunlar çerçevesinde elektronik posta, posta, kapıdan dağıtım, kapıdan satış, internet üzerinden satış, telefonla satış, medya üzerinden satış ve sair yollarla yapabileceği;  bu ürünü ister web sitesi aracılığı ile, ister kapıdan satış yöntemi ile, ister kurumsal satış şekliyle, isterse tele marketing yoluyla, yazılı, işitsel ve görsel medya yoluyla veya başka bir yolla pazarlayabileceği ve satabileceği; sözleşmede belirtilen ürünlerle ilgili SMS gönderebileceği hükümleri ile satış esnasında kanundan ya da sözleşmeden kaynaklı yükümlülüklere riayet etmemesi sebebiyle doğacak tüm zararlar nedeniyle Hastanenin Firmaya rücu hakkına sahip olduğu hükmü dikkate alındığında Hastanenin checkup hizmetinin pazarlanması ve satışı için Firmaya yetki verdiği; bu kapsamda yeni müşterilerin nereden bulunacağı ve bu müşterilere ürünlerin hangi yollarla pazarlanacağına ilişkin karar verme yetkisinin Firmaya bırakıldığı, bu sebeple Hastanenin checkup panelinin Hastanenin kayıtlarında bulunan müşterilerine pazarlanmasına yönelik kişisel veri işlenmesinde Firma veri işleyen olarak değerlendirilirken; Hastane kayıtlarında bulunmayan ancak Firmanın kendisi tarafından bulunan yeni müşterilerin pazarlama amacıyla aranarak kişisel verilerinin işlenmesinde Firmanın veri sorumlusu olduğu kanaatine varıldığını; Hastane tarafından kendisine bildirilmemiş bulunan cep telefonuna erişmesi ve kişinin cep telefon numarasını, Kanunun 5 inci maddesinde belirtilen açık rıza ya da diğer işleme şartlarından herhangi biri geçerli olmadığı halde aramak suretiyle işlemesinin Kanunun 5 inci maddesine aykırı olduğunu ifade ederek, veri sorumlusu sıfatıyla firma aleyhinde 50.000TL idari para cezası uygulanmasına karar vermiştir.

7. İlgili kişinin kullanımına izin vermediği kredi kartı bilgilerinin veri sorumlusu araç kiralama şirketi tarafından kullanılması hakkında 27/02/2020 tarihli ve 2020/166 sayılı Karar Özeti

Kurul kararında, ilgili kişinin veri sorumlusu ile daha önce yaptığı araç kiralama sözleşmesi kapsamında kullanımına onay verdiği kredi kartı bilgilerinin; veri sorumlusu tarafından daha sonra gerçekleştirilmesi düşünülen amaçlar doğrultusunda kullanılmak üzere sistemde saklanarak, haksız şart niteliği gösteren sözleşme hükmüne dayanmak suretiyle somut vakada kişinin makul beklentisine ve çıkarına aykırı olumsuz bir durum oluşturarak haklı bir gerekçe olmaksızın kullanılmasına ilişkin kişisel veri işleme faaliyetinin Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesinde yer alan şartlardan herhangi birine dayandırılamayacağı ve Kanunun “Genel ilkeler” başlıklı 4 üncü maddesi uyarınca “hukuka ve dürüstlük kurallarına uygun olma” ile “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırılık teşkil ettiği kanaatine varıldığını ifade ederek veri sorumlusu araç kiralama şirketine 75.000 TL idari para cezası uygulanmasına karar vermiştir.

8. İlgili kişinin, bir Valilikte görev yapmakta iken, Valilik çalışanı tarafından hukuka aykırı olarak elde edildiği iddia edilen kişisel verilerinin Valiliğe dijital ortamda sunulması hakkında 19/03/2020 tarih ve 2020/226 sayılı Karar Özeti

Kurul kararında, Türk Ceza Kanunu kapsamına giren hukuka aykırı kişisel veri işleme faaliyetleri yönünden Kişisel Verileri Koruma Kurulunun inceleme yetkisinin bulunmadığını, disiplin soruşturma veya kovuşturması kapsamında yetkili ve görevli kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları tarafından gerçekleştirilen kişisel veri işleme faaliyetlerine Kanunun istisnalar başlıklı 28/2 numaralı fıkrası gereğince Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16 ncı maddelerinin uygulanmayacağını ifade etmiştir.

9. Veri sorumlusu havayolu şirketi bünyesindeki çalışanın ilgili kişiye ait kişisel verileri 6698 sayılı Kişisel Verilerin Korunması Kanununa aykırı şekilde şirket kayıtlarından elde etmesi hakkında 13/02/2020 tarihli ve 2020/124 sayılı Karar Özeti

 

Kurul veri sorumlusu bünyesindeki çalışanın ilgili kişiye ait uçuş bilgilerini şirket kayıtlarından elde ettiği, bunu da bir başka çalışanla paylaştığı, bu çalışanın da söz konusu bilgileri ilgili kişiye ilettiği, aralarındaki husumet nedeniyle ilgili kişinin her uçuş sonrası aranarak verileri elde eden çalışan tarafından rahatsız edildiği, durumun veri sorumlusuna e-posta ile bildirildiği, ancak, aramalara devam edilmesi üzerine noter aracılığıyla veri sorumlusuna ihtarname gönderildiği, veri sorumlusunun vermiş olduğu cevapta çalışanın kişisel verileri elde ettiğinin tespit edildiği, fakat çalışan hakkında bir işlem yapılmadığının belirtildiği, daha sonrasında, aramaların devam ettiği, ilgili kişinin hakaret ve tehditlere maruz kaldığı, bunun üzerine, yetkili makamlara bildirimde bulunduğu, ancak yaptığı başvurular çerçevesinde veri sorumlusu tarafından verilen cevabın ve alınan aksiyonların yetersiz olduğu iddiasına ilişkin olarak gerçekleştirdiği incelemesinde veri sorumlusu tarafından kişisel verilere erişim ile ilgili sınırlama getirilmemesi ve çalışanlara verilen eğitimin yetersiz olması sebebiyle eri sorumlusu hakkında 100.000 TL idari para cezası uygulanmasına karar vermiştir.

 

10. Veri sorumlusu tarafından ilgili kişilerin kişisel verilerinin hukuka aykırı şekilde internet gazetesi üzerinden yayımlanması hakkında 18/02/2020 tarihli ve 2020/145 sayılı Karar Özeti

Kurul kararında, internet sitesi olan veri sorumlusu nezdinde yayımlanan bir habere ilişkin olarak ilgili kişinin talebi üzerine tekzip ihtarnamesi yayımlanmasının, 5187 sayılı Basın Kanununun 14 üncü maddesinde yer alan yükümlülüğünü yerine getirmek amacıyla Kanunun 5/2-ç bendinde yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması” hükmü doğrultusunda hukuka uygun olduğu, ancak ilgili ihtarnamenin (T.C. kimlik numaraları, nüfus bilgileri, anne baba ismi ve adres bilgisi gibi) kişisel verilere ilişkin bölümünü herhangi bir güvenlik önlemi almaksızın olduğu gibi yayımlanmasının, daha sonra bu bölüm internet sitesinden kaldırılmış olsa dahi “amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi ile bağdaşmadığını ifade ederek veri sorumlusu aleyhinde 55.000TL idari para cezası uygulanmasına karar verilmiştir.