Türkiye

23.05.2022 Tarihli KVKK Kurul Kararları

18 Haziran 2022 /

Kişisel Verileri Koruma Kurulunun 09/12/2021 tarihli ve 2021/1243 Sayılı Kararı

(İlgili kişinin kişisel verisi niteliğindeki e-posta adresinin bir insan kaynakları firması tarafından reklam ve pazarlama amaçlı e-posta gönderilmesi amacıyla işlenmesi)

Konu

İlgili kişinin kişisel verisi niteliğindeki e-posta adresinin bir insan kaynakları firması tarafından reklam ve pazarlama amaçlı e-posta gönderilmesi amacıyla işlenmesi

Talep

İlgili kişi tarafından, veri sorumlusu sıfatını haiz bir insan kaynakları firması tarafından iletilen tanıtım amaçlı e-postalar sonrası, veri sorumlusu ile arasında herhangi bir hukuki ilişki bulunmadığı, verilerinin ne şekilde ve nereden temin edildiği noktasında herhangi bir bilgiye sahibi olmadığı  ve verilerinin işlenmesi noktasında veri sorumlusu olan insan kaynakları firmasına açık rıza verilmediği ifade edilerek Kurum’a başvurulmuştur.

İnceleme

 Kişisel Verileri Koruma Kurumu tarafından inceleme başlatılmış ve aşağıdaki değerlendirmeler yapılmıştır:

  • Anket ve tanıtım işleri çerçevesinde ilgili kişinin hangi yöntem ve hangi platformda veya mecrada e-posta adres bilgisini alenileştirme iradesinde bulunduğuna ilişkin veri sorumlusunca herhangi bir açıklamaya, verinin nasıl elde edildiğine dair herhangi bir bilgi, belgeye yer verilmemiş olup bu kapsamda veri sorumlusu açıklamaları hukuki dayanaktan yoksundur.
  • Veri sorumlusu Kanun’un 5’inci maddesi kapsamında herhangi bir veri işleme şartı bulunmaksızın veri işleme faaliyetinde bulunmuştur.
  • İlgili kişinin veri sorumlusuna başvurusunda, kişisel verilerinin silinmesi talebini de ilettiği anlaşılmıştır.

Karar

Kurul, ilgili kişinin kişisel verisi niteliğindeki e-posta adresinin ilgili kişiye ticari amaçlı bir           e-posta gönderilmesi suretiyle işlendiği, ancak  Kanun’un beşinci maddesinde belirtilen hukuki işleme şartlarının somut olayda söz konusu olmadığını dolayısıyla, veri sorumlusu tarafından gerçekleştirilen işleme faaliyetinin kişisel verilerin hukuka aykırı olarak işlenmesini önleme yükümlülüğüne aykırı olduğunu belirterek veri sorumlusu  hakkında 50.000 TL idari para cezası uygulanmasına ve ilgili kişinin, veri sorumlusuna yaptığı başvurusunda kişisel verilerinin silinmesi talebini ilettiği de anlaşıldığından veri sorumlusunun, ilgili kişinin kişisel verilerini imha ederek imha işlemine ilişkin log kayıtlarını Kurum’a iletilmesi suretiyle Kurul’a bilgi vermesi yönünde talimatlandırılmasına karar vermiştir.

Kişisel Verileri Koruma Kurulunun 09/12/2021 tarihli ve 2021/1239 Sayılı Kararı

(İlgili kişinin ailesine ait telefonlar üzerinden banka tarafından arama gerçekleştirilmesi suretiyle kişisel verilerinin paylaşılması)

Konu

 İlgili kişinin ailesine ait telefonlar üzerinden banka tarafından arama gerçekleştirilmesi suretiyle kişisel verilerinin paylaşılması

Talep

İlgili kişi ile banka arasında kredi sözleşmesi akdedilmiş olup başvurucu, banka tarafından kendisine ulaşılamadığı gerekçesi ile açık rızası alınmaksızın anne ve babasının sabit telefonları üzerinden arandığını, banka tarafından yapılan aramalarda tarafı ile birlikte ortağı olduğu şirketin diğer ortaklarının isimlerinin paylaşıldığını, bunun üzerinde defalarca kez bahse konu telefonun ailesinin kullanımında olduğu ve bu sebeple aranmaması gerektiğini belirtmişse de gereğinin yapılmadığını belirterek Kurum’a başvurmuştur.

İnceleme

 Kişisel Verileri Koruma Kurumu tarafından inceleme başlatılmış ve aşağıdaki değerlendirmeler yapılmıştır:

  • 6111 sayılı Kanun ile 5411 sayılı Bankacılık Kanunu’na ek 1 inci madde ve geçici 28 inci maddenin ilave edildiği, ek 1 inci madde ile Türkiye Bankalar Birliği nezdinde, kredi kuruluşları ile Bankacılık Düzenleme ve Denetleme Kurulunca uygun görülecek finansal kuruluşların müşterilerinin risk bilgilerini toplamak ve söz konusu bilgileri bu kuruluşlar ile gerçek veya tüzel kişilerin kendileriyle ya da onay vermeleri koşuluyla özel hukuk tüzel kişileri ve üçüncü gerçek kişiler ile de paylaşılmasını sağlamak üzere Risk Merkezi kurulduğu, üyelerin, Risk Merkezinden temin ettiği bilgileri yalnızca kendi iç işlemlerinde kullanmak, diğer üyeler dahil herhangi bir gerçek ve tüzel kişi ile paylaşmamakla sorumlu tutulduğu, bu doğrultuda, Risk Merkezinde bulunan sır nitelikli bilgilerin kanunen yetkili kılınan mercilerden başkalarına açıklanması durumunda yaptırımın mevcut olduğu tespit edilmiştir.
  • Bu kapsamda ilgili kişinin hakim ortağı olduğu şirket ile veri sorumlusu arasında kredi sözleşmesi bulunduğu, Banka ile kredi başvuru süreci yürütülürken ilgili kişinin bazı kişisel verilerinin işlendiği, anılan sözleşmeden kaynaklanan bir borcun/riskin oluştuğu, oluşan risk üzerine ilgili kişiye cep telefonu numarasından ulaşılamadığı ve Risk Merkezi’nden yapılan sorgulama neticesinde alternatif numara olan ve Risk Merkezi sisteminde aynı zamanda “ev telefon numarası” şeklinde kayıtlı olan numaradan aramalar yapıldığı, bu aramaların ilgili mevzuat ve Bankacılık Düzenleme ve Denetleme Kurulu’nun “Risk Merkezinden temin edilen telefon numarası üzerinden yapılan arama ile müşterinin Banka ile münasebetinin yakınları ile paylaşılmasına ilişkin” 05.03.2021 tarihli kararı doğrultusunda gerçekleştirildiği,
  • İlgili kişinin anne-babasının kullandığı belirtilen telefon numarasına çeşitli tarihlerde arama gerçekleştirildiği, ilgili kişinin talebi üzerine yanlış numara aksiyonu alınması gerekirken, aramaların devam ettiği ve ilgili personelin bu konuda uyarıldığı tarihte “yanlış numara aksiyonu” alındığı, veri sorumlusu tarafından Kurula gönderilen ve şikayete konu telefon numarası ile yapılan görüşmeleri kapsayan dökümlerde, ilgili kişinin borç bilgilerine ilişkin bilgi verilmediği, veri sorumlusu adına bilgi aktarımında bulunulacağının ifade edildiği ve (…) Anonim Şirketinin ortaklarının isimlerinin verildiği, ilgili şirketin, 5411 sayılı Kanun ve ilgili diğer mevzuat hükümleri çerçevesinde “Risk Grubu” içerisinde yer aldığından ilgili kişi verilerinin işlendiği, bu işlemenin, 6698 sayılı Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (ç) bendi uyarınca “veri sorumlusunun hukuki yükümlülüklerinin yerine getirilmesi kapsamında” olduğu, şikayete konu telefon numarasına yapılan aramalar hakkında ilgili kişi tarafından, numaranın kendisine ait olmadığı, anne-babası tarafından kullanıldığı bildiriminin yapıldığı, ilgili personelce gerekli işlemlerin yapılması için bilgi verilmediğinden, sonraki bir tarihte “yanlış numara aksiyonu” alınabildiği, veri sorumlusu tarafından ilgili personelin uyarıldığı şeklinde değerlendirme yapılmıştır.

Karar

Kurul, mevcut riskten ötürü yapılan borçlu takibinin Risk Merkezi sisteminde kayıtlı telefon numarasına yönelik yapıldığı, eldeki mevcut bilgi ve belgelerden veri sorumlusu tarafından kişisel veri paylaşıldığına yönelik bir tespitte bulunulamadığı ve ilgili kişinin talebi üzerine aramalara ilişkin kısa sürede gerekli aksiyonun alındığı dikkate alındığında Kanun kapsamında veri sorumlusu hakkında yapılacak bir işlem olmadığına ve bu yönde telefon aramalarında kişisel verilerin korunması yönünden daha dikkatli olunması ve personelin bu konuda bilgilendirilmesi hususunun veri sorumlusuna hatırlatılmasına karar vermiştir.

Kişisel Verileri Koruma Kurulunun 10/03/2022 tarihli ve 2022/229 Sayılı Kararı

(E-ticaret sektöründe faaliyet gösteren veri sorumlusu şirket tarafından internet sitesinde/mobil uygulamalarında kullanılan çerezler aracılığıyla hukuka aykırı olarak kişisel veri işlenmesi)

Konu

 E-ticaret sektöründe faaliyet gösteren veri sorumlusu şirket tarafından internet sitesinde/mobil uygulamalarında kullanılan çerezler aracılığıyla hukuka aykırı olarak kişisel veri işlenmesi

 Talep

İlgili kişi,  toplanan çerezlere dair veri sorumlusu tarafından yeterli aydınlatmanın yapılmadığını zira sunulan aydınlatma metninin anlaşılabilir olmadığını, hangi veri kategorisine dahil olduğuna ilişkin bilgi sunulmadığını, açık rızası alınmadan işleme faaliyetinin gerçekleştirildiğini, 6698 sayılı Kanun’un 5/2 maddesindeki işleme faaliyetlerinin somut olay bazında geçerli olmadığını, çerezlerin yurt dışına aktarılması hususunda yine ilgili kişinin açık rızası olmaksızın işlem yapıldığını, ticari elektronik ileti onayı vermemiş olmasına rağmen “hedefleme ve analiz” çerezlerinin tarayıcıda ve uygulamada aktif olduğu, IP adresinin, 5651 sayılı Kanun sebebiyle işlendiği belirtilmesine ve çerezlerin aktif olmasına rağmen hedefleme yapılmamasının imkansız olduğunu,  bir sosyal medya platformu ile giriş sekmesi üzerinden üyelik oluşturulması yoluyla bazı bilgilerin iki platform arasında paylaşılarak kullanıldığını, kullanıcının siteye ziyaret gerçekleştirmesinden önce tarayıcı ayarlarından çerez kullanımını engellemediği her durumda  kişisel verilerin işlenmiş olacağını ifade ederek Kurum’a başvurmuştur.

İnceleme

 Kişisel Verileri Koruma Kurumu tarafından inceleme başlatılmış ve aşağıdaki değerlendirmeler yapılmıştır:

  • 6698 sayılı Kanun’un 5’inci ve 6’ncı maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanılmaksızın kişisel veri işleme faaliyeti gerçekleştirildiği ve bu işleme faaliyeti bakımından da açık rıza mekanizmasının bulunmadığı, kesinlikle gerekli çerezler dışında yer alan reklam/pazarlama, performans-analitik çerezleri dahilinde aktif hareketiyle söz konusu çerezlerin çalışmasına onay vermesini, dolayısıyla varsayılan ayar olarak çerezlerin çalışmamasını öngören “opt-in” mekanizmasına göre açık rıza alması gerektiği, yurt dışına veri aktarıma ilişkin olarak veri sorumlusunun Kurula taahhütname sunmadığı ve yeterli korumanın bulunduğu ülkelerin de belirlenmediği göz önünde bulundurulduğunda yalnızca açık rıza şartına dayalı olarak işleme faaliyeti gerçekleştirilebilecek iken bu yükümlülüğün yerine getirilmediği ve kanuna uygun davranılmadığı,
  • Gizlilik ve Kişisel Verilerin Korunması Politikasında çerez kullanımına ilişkin birtakım bilgilendirmenin bulunduğu, ayrıca bir Çerez Politikası oluşturulduğu, bu politika metni içeriğinde veri sorumlusunun kimliğine ilişkin açıklamalara yer verildiği; ancak kişisel verilerin hangi amaçla işleneceği, kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile ilgili kişinin Kanun’un 11’inci maddesinde sayılan diğer hakları konusunda doğru bir şekilde bilgilendirme yapılmadığı tespit edilmiştir.

Karar

Veri sorumlusu tarafından kişisel veri niteliğinde olan “kesinlikle gerekli olmayan” çerezler yönüyle Kanun’un 5’inci ve 6’ncı maddesinde yer alan şartlarından herhangi birine dayanılmaksızın işleme faaliyeti gerçekleştirildiği, Kanun’un 9’uncu maddesinde yer alan aktarım usullerinden herhangi birine dayanılmaksızın kişisel veri aktarıldığı ve bu hususların Kanun’un 12’nci maddesinin (1) numaralı fıkrası hükmüne aykırılık teşkil ettiği ve bu kapsamda veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmediği değerlendirilerek  veri sorumlusu hakkında 800.000 TL idari para cezası uygulanmasına ve bununla birlikte kesinlikle gerekli çerezler dışında yer alan reklam/pazarlama, performans-analitik çerezleri dahilinde  ilgili kişilerin aktif hareketiyle söz konusu çerezlerin çalışmasına onay vermek suretiyle varsayılan ayar olarak çerezlerin çalışmamasını öngören “opt-in” mekanizmasına göre açık rıza alınmasına, çerezlerin yurt dışına aktarılmasından hareketle faaliyetlerin Kanun’un 9. maddesine uyumlu hâle getirilmesine, kolay erişilebilir  olması adına veri sorumlu tarafından yayınlanan Gizlilik ve Kişisel Verilerin Korunması Politikası içerisine bağlantı linki eklemek suretiyle direkt olarak Çerez Politikasına yönlendirme yapılmasına ve tüm bunların Kurula en geç 30 gün içinde bildirilmesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Kişisel Verileri Koruma Kurulunun 02/11/2021 tarihli ve 2021/1111 Sayılı Kararı

(İlgili kişinin ceza mahkumiyeti bilgisinin avukat olan veri sorumlusu tarafından hukuka aykırı olarak elde edilmesi ve mahkeme dosyasına sunulması)

Konu

 İlgili kişinin ceza mahkumiyeti bilgisinin avukat olan veri sorumlusu tarafından hukuka aykırı olarak elde edilmesi ve mahkeme dosyasına sunulması

 Talep

İlgili kişi tarafından, veri sorumlusu avukatın vekillik görevi üstlendiği işçilik alacakları davası kapsamında ilgili kişinin davalı tanıdığı olarak bilgi ve görgüsüne başvurulduğu, veri sorumlusunca mahkemeye sunulan beyan dilekçesinde ilgili kişinin özel nitelikli kişisel verisi olan adli sicil kaydının veri sorumlusunca hukuka aykırı olarak ele geçirildiği ve ilgili kişinin onayı ve bilgisi olmadan mahkeme dosyasına sunulduğu ve mahkemeden ilgili kişinin tanıklığına itibar edilmemesinin talep edildiği, dosyaya sunulan ilgili kişiye ait adli sicil kaydı bilgilerinin dosyanın esasıyla ilgisinin bulunmadığı, dosyanın esası bakımından bir faydasının da bulunmadığı, veri sorumlusu avukat tarafından sunulan üçüncü kişilere ait kişisel verilerin amaçla bağlantılı ve ölçülü olması gerektiği, ancak ilgili kişiye ait özel nitelikli kişisel verilerin veri sorumlusunca kullanımının amaçla bağlantılı ve ölçülü olmadığı, ilgili kişinin yıllar önce yaşamış olduğu ve cezasını çekmiş olduğu bir dosyanın tekrar gün yüzüne çıkmasıyla işverenine ve çalışma arkadaşlarına karşı rencide olduğu, küçük düştüğü ve bu olay neticesinde büyük bir üzüntü duyduğu, dolayısıyla manevi olarak büyük bir kayıp yaşadığı ve psikolojisi ile sağlığının da olay nedeniyle bozulduğu, konu hakkında veri sorumlusuna gerçekleştirmiş olduğu başvuruya veri sorumlusu tarafından makul ve yeterli cevap verilmediği belirtilerek veri sorumlusu hakkında idari yaptırım uygulanması talep edilmiştir.

İnceleme

 Kişisel Verileri Koruma Kurumu tarafından inceleme başlatılmış ve aşağıdaki değerlendirmeler yapılmıştır:

  • İlgili kişinin adli sicil kaydı bilgilerinin veri sorumlusu tarafından elde edilmesi, kullanılması gibi fiillere konu edilmesinin özel nitelikli kişisel verilerin işlenmesi faaliyeti olarak niteleneceği, ilgili kişinin adli sicil kaydı bilgilerinin veri sorumlusunca elde edilmesinin öncelikle 6698 sayılı Kanun’un 6’ıncı maddesindeki hukuki sebeplerden birine dayanıp dayanmadığının ele alınması gerektiği değerlendirilmiştir.
  • Avukatlık Kanunu’nun 2’nci maddesinde yer alan düzenlemenin Adlî Sicil Kanunu’nun 7’nci maddesinde mevcut olan özel hüküm karşısında bir genel hüküm niteliği taşıdığının açık olduğu ve avukatlara ilgili kişilerin adli sicil kaydı bilgilerine resen erişim yetkisi vermediği, dolayısıyla ilgili kişiye ait adli sicil bilgilerinin veri sorumlusu tarafından hukuka aykırı olarak elde edildiği, bu sebeple de veri sorumlusu tarafından ilgili kişi hakkında yürütülen kişisel veri işleme faaliyetinin hukuka aykırı olduğu sonucuna ulaşılmıştır.
  • İlgili kişinin özel nitelikli kişisel veri niteliğindeki adli sicil bilgilerinin en başta hukuka aykırı olarak elde edilmiş olmasının veri sorumlusunun tüm kişisel veri işleme faaliyetlerini başlangıçtan itibaren hukuka aykırı hale geldiği sonucuna ulaşılmıştır.

Karar

İlgili kişinin adli sicil bilgisi kişisel verisinin işlenmesi faaliyetinde veri sorumlusu tarafından 6698 sayılı Kanun’un 6’ıncı maddesinde düzenlenen hukuki sebeplerden herhangi birine dayanılmadığı, bu hususun veri güvenliğine ilişkin yükümlülüklerin düzenlendiği 6698 sayılı Kanun’un 12’inci maddesinin (1) numaralı fıkrasının (a) bendine aykırılık teşkil etmesi sebebiyle 6698 sayılı Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendine istinaden veri sorumlusu hakkında 75.000 TL idari para cezası uygulanmasına, ilgili kişinin veri sorumlusu nezdinde tutulan ve hukuka aykırı işleme amacıyla bağlantılı kişisel verilerinin 6698 sayılı Kanun’un 7’nci maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca imha edilmesi ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına ve verinin paylaşılmasının  5237 sayılı Türk Ceza Kanunu hükümleri kapsamında suç unsuru barındırabileceği dikkate alındığında, bu hususta işlem tesis edilmesini teminen Cumhuriyet Başsavcılığına başvurulabileceği hususunda ilgili kişiye bilgi verilmesine karar verilmiştir.

Kişisel Verileri Koruma Kurulunun 11/11/2021 tarihli ve 2021/1153 Sayılı Kararı

(Tıbbi ürünler satan veri sorumlusu tarafından ilgili kişiye reklam içerikli SMS gönderilmesi suretiyle kişisel verilerinin işlenmesi)

Konu

 Tıbbi ürünler satan veri sorumlusu tarafından ilgili kişiye reklam içerikli SMS gönderilmesi suretiyle kişisel verilerinin işlenmesi

 Talep

İlgili kişinin cep telefonu numarasına tıbbi ürünler satan bir veri sorumlusundan reklam içerikli ticari elektronik ileti gönderildiği, bunun üzerine kişisel verilerinin işlenmesine ilişkin açık rızasının bulunmadığını beyan ederek kişisel verilerinin nasıl elde edildiği hakkında bilgi ve kişisel verilerinin silinmesi talepli dilekçe ile veri sorumlusuna başvuruda bulunduğu, başvurusuna karşılık iletilen cevapta ilgili kişinin telefon numarası dışında herhangi bir verisinin kendilerinde bulunmadığının, söz konusu cep telefonu numarasının veri sorumlusu bünyesinde kayıtlı başka bir hastanın iletişim bilgisi olarak verdiği numara olduğunun, bu hastanın reklam ve tanıtım mesajları alma konusunda onayının bulunduğunun ve ilgili hastanın sehven ilgili kişinin numarasını vermiş olabileceğinin düşünüldüğünün belirtildiği; ancak veri sorumlusunca verilen bu cevabın yetersiz olduğu ve onay mekanizmasını doğrulama olmaksızın gerçekleştirmesi nedeniyle veri sorumlusunun söz konusu olayda ihmalinin bulunduğu ifade edilerek gereğinin yapılması talep edilmiştir.

 İnceleme

 Kişisel Verileri Koruma Kurumu tarafından inceleme başlatılmış ve aşağıdaki değerlendirmeler yapılmıştır:

İlgili kişinin veri sorumlusuna ilettiği başvuru incelendiğinde ad, soyad, imza, adres ve iletişim bilgisine yer verildiği görüldüğünden ilgili kişinin veri sorumlusu nezdinde herhangi bir kaydı bulunmaması nedeniyle kimlik tespiti yapılamaması gibi bir durum söz konusu değildir.

  • Veri sorumlusundan daha önce hizmet aldığı iddia edilen şahsa ilişkin bir cihaz satış belgesinin Kuruma iletildiği, belgenin üzerindeki bilgilerden bu satışın 2019 yılında gerçekleştirildiği ve iletişim bilgisi olarak ilgili kişinin cep telefonu numarasının yer aldığı anlaşılmaktadır.
  • Söz konusu cep telefonu numarası bahsi geçen müşteri yerine ilgili kişiye ait olsa da veri sorumlusu tarafından bu durumun bilinmediği ve söz konusu numaranın anılan müşteriye ilişkin bir veri olarak işlendiği, dolayısıyla ilgili kişinin cep telefonu numarasının veri sorumlusu kayıtlarında kendisi ile ilişkilendirilmiş bir veri olarak işlenmediği ve müşteri tarafından sehven hatalı numaranın bildirilmesi sonucu şikâyete konu olayın vuku bulduğu kanaatine varılmıştır.
  • Veri sorumlusu tarafından belirtilen müşterinin imzalamış olduğu dilekçeden, reklam ve pazarlama amaçlı olarak kendisine elektronik ileti gönderilmesi hususunda açık rızasının bulunduğu anlaşılmaktadır.

Karar

Cep telefonu numarasının veri sorumlusu kayıtlarında kendisi ile ilişkilendirmiş bir veri olarak işlenmediği, bir müşteri tarafından sehven hatalı numaranın bildirilmesi sonucu şikâyete konu olayın vuku bulduğu ve bu hususların veri sorumlusu tarafından belgeleri ile tevsik edilebildiği kanaatine varılmış olup veri sorumlusu hakkında Kanun kapsamında tesis edilecek herhangi bir işlem bulunmadığına; veri sorumlusunun ilgili kişinin kişisel verilerinin imha edilmesi ve bu hususta Kurula bilgi verilmesi yönünde talimatlandırılmasına karar verilmiştir.

Kişisel Verileri Koruma Kurulunun 02/11/2021 tarihli ve 2021/1107 Sayılı Kararı

(İlgili kişinin kredi notunun Banka tarafından düzeltilmemesi ve kişisel verilerinin üçüncü kişilerle paylaşılması)

Konu

 İlgili kişinin kredi notunun veri sorumlusu Banka tarafından düzeltilmemesi ve kişisel verilerinin üçüncü kişilerle paylaşılması

 Talep

İlgili kişi, veri sorumlusu Banka tarafından hakkında kanuni takip başlatıldığı, kredi notunun düşürüldüğü, yaptığı itiraz üzerine Banka tarafından bu işlemin düzeltildiği ancak bu işlemin daha sonra tekrarlandığı, finans bilgilerinin hukuka aykırı şekilde paylaşıldığı, hiçbir finans kurumu ile kredi, bireysel kart vb. gibi işlemleri yapamadığı itibarının zedelendiği ve Bankaya yapılan başvurulara yanıt verilmediğini belirterek veri sorumlusu hakkında gereğinin yapılmasını talep etmiştir.

İnceleme

Kişisel Verileri Koruma Kurumu tarafından inceleme başlatılmış ve aşağıdaki değerlendirmeler yapılmıştır:

  • Kanun’un 4’üncü maddesinde sayılan genel ilkelerden “Doğru ve gerektiğinde güncel olma” ilkesi, Kanun’un 11 inci maddesinde düzenlenen ve ilgili kişinin haklarından biri olan kişisel verilerin düzeltilmesini talep etme hakkı ile doğrudan ilgilidir.
  • Kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması noktasında aktif özen yükümlülüğü; veri sorumlusu eğer bu verilere dayalı olarak ilgili kişiyle alakalı bir sonuç ortaya koyuyor ise geçerlidir (örneğin kredi verme işlemleri). Somut olay bakımından kredi verme, kredi kartı kullanımı, hesap özeti çıkarılması gibi işlemlerde banka hesap bilgilerinin güncelliği önem arz ettiğinden, veri sorumlusu tarafından yanlış işlenen kişisel verilerin Risk Merkezine aktarılması sonucunda ortaya çıkan finansal durumdan ötürü ilgili kişi mağduriyet yaşamış ve zarara uğratılmıştır.
  • Veri sorumlusunun işlediği kişisel verilerin doğru ve güncel tutulması bakımından aktif özen yükümlülüğü bulunmaktadır.
  • Veri sorumlusu Banka tarafından ilgili kişiye cevap verilmiştir ancak konuyu aydınlatacak ve ilgili kişinin şikâyetini çözümleyecek derecede yeterli bir cevap değildir.
  • Her ne kadar ilgili kişinin yanlış işlenen kişisel verileri veri sorumlusu tarafından ilgili kişinin talebi doğrultusunda düzeltilmiş olsa da başlangıçta gerçeğe aykırı olarak işlenen ve Risk Merkezine aktarılan kişisel veriler bakımından hukuka aykırı bir kişisel veri işleme faaliyeti gerçekleştirilmiştir.
  • İlgili kişiye ait kişisel veri niteliğini haiz kredi notu bilgisinin veri sorumlusu tarafından yanlış işlenmesi ve Risk Merkezine aktarılması, genel ilkelerden “doğru ve gerektiğinde güncel olma” ilkesine ve “…kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğüne aykırılık teşkil etmektedir.

Karar

Veri sorumlusu hakkında 150.000 TL idari para cezası uygulanmasına ve ilgili kişi başvurularına Kanun ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’de belirlenen usule uygun ve yeterli bir cevap verilmesi gerektiği veri sorumlusuna hatırlatılmasına karar verilmiştir.

Kişisel Verileri Koruma Kurulunun 02/11/2021 tarihli ve 2021/1110 Sayılı Kararı

(Veri sorumlusunun icra takibi başlattığı müşterilerinin kişisel verilerini herkesin erişimine açık bir internet sitesinde yayımlaması)

Konu

Veri sorumlusunun icra takibi başlattığı müşterilerinin kişisel verilerini herkesin erişimine açık bir internet sitesinde yayımlaması

Talep

İlgili kişi, bir Holding bünyesindeki veri sorumlusu şirket tarafından haklarında icra takibi başlatılan müşterilerine ait T.C. kimlik numarası, telefon numarası, araç plakası ve adres bilgilerinin, yakalama kararı verilmiş araçların bulunması ve trafikten men edilebilmesi amacıyla 155 ihbarı yapılabilmesi adına internet sitesinde paylaşılması nedeni ile 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun gereklerinin yerine getirilmesini talep etmiştir.

Kurum veri sorumlusundan bilgi ve belge talebinde bulunmadan önce şikâyete konu internet sitesini incelediğinde; ilgili kişilerin ad, T.C. kimlik numarası, adres, yakalama kararı verilen araç plakaları ve modelleri ile takibi başlatan hukuk bürosu bilgisinin bulunduğu, ilgili internet sitesinde araç plakası, şehir ve ilçe bazında arama yapılabildiği hususları tespit edilmiş olup bilgi ve belge talebinin şirkete tebliği akabinde şikâyete konu internet sitesine ulaşılamamıştır.

İcra ve İflas Kanunu’na göre veri sorumlusunun müşterilerinden alacağını tahsil edebilmek amacıyla başlatmış olduğu icra takibinde malvarlığı sorgulatılarak haciz konulmasında 6698 sayılı Kanun m. 5/2-a “Kanunlarda açıkça öngörülmesi” ve m. 5/2-e “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hükümlerine dayanılabileceği ancak verilerin, veri sorumlusu tarafından herkesin erişebileceği internet sitesinde yayımlanarak işlenmesinin hukuka aykırı olduğuna karar verilmiştir.

İnceleme

Kişisel Verileri Koruma Kurumu tarafından inceleme başlatılmış ve aşağıdaki değerlendirmeler yapılmıştır:

CİMER üzerinden yapılan şikayette ilgili kişinin kişisel verilerinin işlendiğine ya da bahse konu internet sitesinde paylaşıldığına dair herhangi bir iddia bulunmamakla birlikte 6698 sayılı Kanun m. 15/1 “Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar” hükmü gereği şikâyet veya ihbar olması halinde ya da re’sen inceleme yapılabileceğinden CİMER üzerinden yapılan şikâyetin, ihbar niteliğinde kabul edilerek inceleme yapılmasına karar verilmiştir.

Karar

İnceleme tarihinde şikâyete konu ve herkesin erişimine açık internet sitesinde veri sorumlusu tarafından kişisel verilerin paylaşılmasında 6698 sayılı Kanun m. 5’teki veri işleme şartlarının bulunmaması, 6698 sayılı Kanun m. 12/1 kapsamında güvenlik için gerekli teknik ve idari tedbirlerin alınmaması, paylaşılan veri sayısı, önemi ile internet sitesinde ifşa edilmesinden dolayı veri sorumlusu hakkında 6698 sayılı Kanun m. 18/1-b hükmü uyarınca 20.000,00 TL idari para cezası uygulanmasına karar verilmiştir.

Kişisel Verileri Koruma Kurulunun 02/12/2021 tarihli ve 2021/1214 Sayılı Kararı

(Bir üniversite tarafından verilen eğitimde, eğitim alan kişilerin kişisel verilerini içeren yoklama listesinin diğer katılımcılar tarafından görülebilir şekilde düzenlenmesi)

Konu

Bir üniversite tarafından verilen eğitimde, eğitim alan kişilerin kişisel verilerini içeren yoklama listesinin diğer katılımcılar tarafından görülebilir şekilde düzenlenmesi

Talep

 İlgili kişi, Bakanlık tarafından eğitim verilmesi için görevlendirilen bir Üniversite Eğitim Merkezinin  eğitim programına katıldığını, eğitim süresince kursiyerlerin isimlerinin ve T.C. kimlik numaralarının yer aldığı yoklama listelerinin elden elde dolaştırılarak imzalandığını, ayrıca Üniversite ve Bakanlık tarafından kişisel verilerin işlenmesine dair ilgili kişiye aydınlatma yapılmadığını, konuyla ilgili Bakanlığa ve Üniversiteye ayrı ayrı başvuruda bulunduğunu, Bakanlığın başvuruya cevap vermediğini, Üniversitenin cevabında ise yoklama listelerinin Bakanlık tarafından hazırlandığını ve imza alınması  yükümlülüklerinin olduğunun ifade edildiğini belirterek veri sorumlusu Bakanlık ve Üniversite hakkında gerekli idari yaptırımların uygulanması talep edilmiştir.

İnceleme

Kişisel Verileri Koruma Kurumu tarafından inceleme başlatılmış ve aşağıdaki değerlendirmeler yapılmıştır:

  • Şikayetin ad, soyad ve T.C. kimlik numaralarını içeren devam çizelgesi ile fatura ve sertifika teslim listelerinin sınıf içerisinde elden ele dolaştırılarak T.C. kimlik numaralarının hukuka aykırı olarak üçüncü kişilerle paylaşılması suretiyle kişisel verilerin güvenliğinin sağlanamaması hususunda olduğu, eğitim sürecinde kişisel verilerin işlenmesi hususu 6698 sayılı Kanun m. 5 kapsamında değerlendirildiğinde; eğitim, sınav, göreve ve sorumluluklar, denetim, eğitim verecek kişi, kurum ve kuruluşların nitelikleri ve denetimleri ile … sicili, eğitim kurumlarının listelerinin düzenlenmesi vb. konularda Kanun tarafından görevlendirilen veri sorumlusu Bakanlığın, 6698 sayılı Kanun m. 5(2)(a) “Kanunlarda açıkça öngörülmesi” ve (ç) “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” düzenlemeleri kapsamında kişisel verileri işlediğine karar verilmiştir.
  • Veri sorumlusu üniversitenin ise, yönetmelik kapsamında eğitim verme sürecinde yükümlülüklerini yerine getirirken 6698 sayılı Kanun’un m. 5(2)(ç) “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” ve (e) “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” çerçevesinde kişisel verileri işlediği, aynı ad ve soyada sahip katılımcılar arasında karışıklığa mahal vermemek adına kişiyi belirleyici kılan T.C. kimlik numarası gibi bilgilerin, 6698 sayılı Kanun m. 4 (ç) “İşlendikleri amaçla bağlantılı ve sınırlı olma ilkesi” gereği devam takip çizelgesinde maskelenerek kullanılması gerektiğine kanaat getirilmiştir.
  • Başvuruya konu şikayet kapsamında; izin, takip, koordinasyon ve denetim konusunda Bakanlığın yetkili olması, eğitim faaliyeti ile eğitim düzeninin, eğitim öncesinde katılımcıların kişisel verilerin işlenmesi sürecine dair bilgilendirildiği ve anılan kapsamda sözleşme imzalandığına dair Üniversite yazı cevabı incelendiğinde; kişisel verilerin hangi amaçla işleneceği, kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplama yöntemi, hukuki sebebi ile ilgili kişinin diğer haklarına dair bilgilendirme yapılmayarak veri sorumlusunun asgari unsurlara yer vermeyerek aydınlatma yükümlülüğünü gereği gibi yerine getirmediğine karar verilmiştir.

Karar

6698 sayılı Kanun m.13 gereği başvurulara 30 günlük süre içerisinde yanıt verilmesi gerektiğine dair Bakanlığa hatırlatmada bulunulmasına, Devam takip çizelgesinin tutulmasına dair hukuki yükümlülüğün yerine getirilmesi esnasında devam çizelgesindeki ad, soyad haricinde katılımcıları belirli kılan T.C. kimlik numarası vb. başka verilerin maskelenmesi ve anılan kapsamda çizelgelerin kontrol edilerek uygulamaya geçirilmesine dair veri sorumlusu Üniversiteye talimat verilmesine ve talimat sonucu ile ilgili Kurula bilgi verilmesine, Şikâyete konu eğitimi veren diğer eğitim kuruluşlarına konuya dair bilgi verilmesi hususunda Bakanlığa bilgilendirmede bulunulmasına, eğitim verilirken katılımcılara ait kişisel verilerin işlenme sürecine dair 6698 sayılı Kanun m. 10 “Veri sorumlusunun aydınlatma yükümlülüğü” ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine göre uygulama geliştirerek Kurula bilgi verilmesine dair talimat verilmesine karar verilmiştir.

Kaynaklar:

https://kvkk.gov.tr/Icerik/7264/2021-1107

https://kvkk.gov.tr/Icerik/7265/2021-1110

https://kvkk.gov.tr/Icerik/7266/2021-1111

https://kvkk.gov.tr/Icerik/7268/2021-1153

https://kvkk.gov.tr/Icerik/7270/2021-1214

https://kvkk.gov.tr/Icerik/7273/2021-1239

https://kvkk.gov.tr/Icerik/7274/2021-1243

https://kvkk.gov.tr/Icerik/7275/2022-229

Bunlara da bakmak isteyebilirsin

Türkiye – “Bir e-ticaret şirketinin veri ihlal bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 17/09/2020 tarih ve 2020/715 sayılı Karar Özeti
3 Ağustos 2021
Türkiye – “Bir sigorta şirketinin veri ihlal bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 30.06.2020 tarih ve 2020/511 sayılı Karar Özeti
6 Temmuz 2021
SADAKAT PROGRAMLARININ KİŞİSEL VERİLERİN KORUNMASI MEVZUATI KAPSAMINDA İNCELENMESİNE İLİŞKİN TASLAK REHBERE YÖNELİK DEĞERLENDİRMELER
15 Ağustos 2022

Leave a Reply

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.

error: Content is protected !!