Önsöz
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun , beşinci yılından itibaren kaleme aldığımız ve bu yıl üçüncü sayısını sizlerle paylaşacağımız rehberimiz spesifik olarak uygulamadaki yedinci yıl olan 28 Ocak 2022 – 28 Ocak 2023 tarihleri arasındaki Kişisel Verilerin Korunması Kanunu’na uyum sürecinde dikkat edilmesi gereken hususları, değişen uygulamaları ve Kişisel Verileri Koruma Kurulu’nun yaklaşımını içermekte olup; rehberimizi Moroğlu Arseven olarak 28 Ocak Veri Koruma Günü vesilesiyle sunmaktan mutluluk duyarız.
Bu yayın, Kurulun 2021 yılı faaliyet raporunda yer alan veriler ve yayın tarihi itibarıyla Kurul internet sitesinde yayınlanan kararlara dayanılarak hazırlanmıştır. Kurulun 2022 yıllık faaliyet raporu yayınlandığında bu yayın buna göre güncellenecektir.
A. MEVZUAT VE UYGULAMADAKİ ESASLI GELİŞMELER
I. Kişisel Verilerin Korunmasına İlişkin Mevzuata Genel Bakış
Kişisel veriler, Türk hukukunda başta T.C. Anayasası olmak üzere farklı hukuki kaynaklar altında koruma alanı bulmakla beraber, kişisel verilerin korunmasında uluslararası modern düzenleme yaklaşımına uygun temel ve kapsayıcı düzenleme 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ile getirilmiştir. KVKK’nin yürürlüğe girmesi ile beraber, kişisel verilerin hukuka uygun işlenmesine ilişkin kurallar düzenlenerek başta 5237 sayılı Türk Ceza Kanunu’nda yer alan kişisel verilerin korunmasına ilişkin hükümler olmak üzere pek çok hukuki düzenleme hem yorum hem de uygulama açısından açıklığa kavuşmuştur.
KVKK ile idari ve mali özerkliğe sahip ve kamu tüzel kişiliğini haiz surette Kişisel Verileri Koruma Kurumu (“Kurum”) düzenleyici ve denetleyici idari yetkileri de haiz surette kurulmuştur. Kurum, karar organı olan Kişisel Verileri Koruma Kurulu (“Kurul”) ve Başkanlık’tan oluşan bir yapı ile çalışmalarını yürütmektedir.
KVKK’nin yürürlüğe girmesinden sonra başta Veri Sorumluları Sicili Hakkında Yönetmelik, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ ve Personel Sertifikasyon Mekanizmasına İlişkin Usul Ve Esaslar Hakkında Tebliğ olmak üzere ikincil mevzuat düzenleme çalışmaları yürütülmüştür. Kurum ayrıca o tarihten bu yana gerçekleştirdiği rehber çalışmalarıyla, kamuoyu duyurularıyla ve denetleyici faaliyetleri çerçevesinde verdiği kararlarla veri korumu hukuku alanında uygulamaya yön vermektedir.
II. Veri Koruma ve Gizliliğe İlişkin Mevzuat Düzenlemeleri
2022 yılı içerisinde biri doğrudan KVKK alt mevzuatı diğerleri ise başka kanunlarda ve ikincil mevzuatta olmak üzere birtakım düzenlemeler meydana gelmiştir. İlgili değişiklikler kanun, yönetmelik, tebliğ ve genelge sıralaması ile aşağıda yer almaktadır.
1. 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’da (“ETK”) Değişiklik
7416 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanunda Değişiklik Yapılmasına Dair Kanun (“Değişiklik Kanunu”) 7 Temmuz 2022 tarihli ve 31889 sayılı Resmî Gazete’de yayımlanmıştır.
Değişiklik Kanunu ile “Elektronik Ticaret Aracı Hizmet Sağlayıcı”, “Elektronik Ticaret Hizmet Sağlayıcı”, “Elektronik Ticaret Pazar Yeri”, “Net İşlem Hacmi” ile “Ekonomik Bütünlük” tanımları eklenmiş ve e-ticarette haksız rekabet ve tekelleşmenin engellenerek pazara yeni aktörlerin girişinin yanı sıra pazarın dengeli ve sağlıklı büyümesi amaçlanmıştır. Değişiklik Kanunu uyarınca;
- Aracı hizmet sağlayıcılar ve hizmet sağlayıcılar, Değişiklik Kanunu kapsamındaki iş ve işlemlerine ilişkin bilgi, belge, defter ve elektronik kayıtlarını, iş veya işlemin gerçekleştiği tarihten itibaren 10 yıl süreyle saklamakla yükümlü kılınmıştır.
- Ticaret Bakanlığı, sesli arama ve kısa mesaj yoluyla ticari elektronik ileti gönderen gerçek veya tüzel kişi abone bilgilerini Bilgi Teknolojileri ve İletişim Kurumu’ndan alma konusunda da yetkilendirilmiştir.
Ayrıca özellikle elektronik ticaret hizmet sağlayıcılarının, diğer bir ifade ile elektronik ticaret pazar yerlerinde ya da kendine ait elektronik ticaret ortamında mal veya hizmet teminine yönelik hizmet yapan ya da sipariş alan hizmet sağlayıcıların, satışlar dolayısıyla elde ettiği verileri taşımalarına yönelik önemli bir düzenlemeye yer verilmiştir.
Buna göre bir takvim yılındaki net işlem hacmi on milyar Türk lirasının üzerinde olan elektronik ticaret aracı hizmet sağlayıcıları, elektronik ticaret hizmet sağlayıcının satışları dolayısıyla elde ettiği verileri bedelsiz taşımasına ve bu veriler ile bunlardan elde ettiği işlenmiş verilere bedelsiz ve etkin şekilde erişim sağlamasına teknik imkân sunmakla yükümlü tutulmuştur.
Değişikliklerin büyük bir bölümü 1 Ocak 2023 yılında, , Ek-2. maddenin 2. fıkrasının (b) bendinde yer alan verilerin taşınması ve 10. fıkrası ile Ek-4. maddenin 6. fıkrası maddede belirtilen parasal eşikler her yıl ETBİS verileri kullanılarak hesaplanan elektronik ticaret hacminin yıllık değişim oranına göre artırılması ve artırımın yapıldığı tarihten önceki takvim yılına ilişkin net işlem hacmine uygulanacak eşiklerin yıllık değişim oranının Ticaret Bakanlığı tarafından resmi internet sitesinde ilan edilmesine ilişkin yükümülülükler 1 Ocak 2024 tarihinde yürürlüğe girecektir.
2. Sigortacılık Verilerinin Toplanması, Saklanması ve Paylaşılmasına Dair Yönetmelik
Sigortacılık verilerinin elde edilmesi, saklanması, kullanılması ve bu verilerin sigorta, reasürans ve sigortacılık faaliyetinde bulunan emeklilik şirketleri ile Sigortacılık ve Özel Emeklilik Düzenleme ve Denetleme Kurumu (“SEDDK”) tarafından belirlenecek diğer kişi ve kuruluşlarla paylaşılmasına dair usul ve esasları düzenlemek amacıyla hazırlanan Sigortacılık Verilerinin Toplanması, Saklanması ve Paylaşılmasına Dair Yönetmelik (“Sigortacılık Yönetmeliği”) 18 Ekim 2022 tarihli ve 31987 sayılı Resmî Gazete’de yayımlanmış ve yürürlüğe girmiştir.
Sigortacılık verisi; sigorta sözleşmelerine, sigorta sözleşmesine taraf olan sigorta ettiren ve sigorta şirketlerine, sigorta sözleşmesinden doğrudan veya dolaylı menfaat sağlayan sigortalı, lehtar ve diğer üçüncü kişilere ilişkin veriler ile yanlış sigorta uygulamaları dahil olmak üzere risk değerlendirmesine esas tüm veriler olarak tanımlanmıştır. Bu kapsamda KVKK nezdinde “kişisel veri” olarak tanımlanmayan veriler de sigortacılık verisi kapsamı içerisinde yer almaktadır.
Sigortacılık verileri, Sigorta Bilgi ve Gözetim Merkezi’ni (“SBG Merkezi”) toplanarak genel veri tabanında tutulacak ve kurum ve kuruluşlar SBG Merkezi’nin talep ettikleri vermekle mükellef olacaklardır.
Yukarıdaki gelişmeler ışığında, Yönetmelik’in önemli detayları aşağıdaki gibidir:
- SGB Merkezi, genel veri tabanında yer alan verilere erişim tanınacak yetkili kullanıcıları ve erişebilecekleri verilerin içeriğini belirler. Erişim kurallarını ihlal eden yetkili kullanıcıların sisteme erişimleri, SGB Merkezi kararına istinaden SEDDK’nin onayıyla sınırlandırılır.
- SGB Merkezi, sigorta sözleşmeleri ile ilgili poliçe ve hasar verilerinden SEDDK tarafından uygun görülenleri, gerekli kimlik doğrulamasının sağlanması ya da hak sahipliğinin ispatlanması şartıyla ilgili diğer kişilerin erişimine sunabilir.
- Veri sahipleri, yanlış sigorta uygulamalarına ilişkin veriler dışında kalan ve genel veri tabanında yer alan kendilerine ait veriler hakkında SGB Merkezi’nden bilgi isteyebilir.
- Sigortacılık verileri, sigortacılık sektöründe kamu gözetimi, denetimi ve ekonomik güvenliğin sağlanmasına ve sağlık hizmetleri finansmanının planlanmasına katkıda bulunmak, sigorta uygulamalarını takip etmek, sigorta branşlarında uygulama birliğini sağlamak, zorunlu sigortaların takibini yapmak, yanlış sigorta uygulamalarının önlenmesine katkıda bulunmak, sigortalılık oranlarının artırılmasına yönelik çalışmalar yapmak, sigortacılık sektörüne ilişkin güvenilir istatistikler üretilmesini sağlamak ve sigorta puanını hesaplamak amaçları ile kullanılabilir.
- İlgili kurum ve kuruluşlar da SBG Merkezi tarafından talep edilen verilerin verileri gecikmesiz, doğru, tutarlı ve eksiksiz bir şekilde SBG Merkezi’ne sunmakla ve bu verilerin paylaşılabilmesi için gerekli altyapıyı oluşturmakla ve yükümlü olacaktır.
- SBG Merkezi, genel veri tabanında yer alan verileri ilgili kurum ve kuruluşlardan gelen güncel üretim, hasar ve tazminat verilerini genel veri tabanında yer alan veriler ile ilişkilendirmek, zorunlu sigortaların takibi ve tespiti amacıyla ilgili kurum ve kuruluşlarla iş birliği yapmak motorlu araç işletenlere ve sürücülere ilişkin verileri almak, bunları genel veri tabanında yer alan veriler ile ilişkilendirmek, ilgili mevzuat kapsamında kamu kurum ve kuruluşları ile paylaşmak, kaza tespit tutanaklarına ilişkin bilgilerin tutulduğu bir veri tabanı oluşturmak, ülke sınırlarından giriş yapan yabancı plakalı araçlar ve ülke sınırlarından çıkış yapan Türkiye’de kayıtlı motorlu araçların üçüncü şahıs mali sorumluluk sigortası sözleşmelerine ilişkin verileri tutmak, ilgili kurum ve kuruluşların sağlık ve hastalık branşlarında tanzim ettikleri ve yürürlükte olan poliçeleri için yapacakları risk değerlendirme süreçlerinde ekonomik güvenliğin sağlanmasının ve sağlık hizmetleri finansmanının planlanmasının sağlıklı şekilde yürütülebilmesini teminen sigortalıya ait geçmiş poliçe verilerini ilgili kurum ve kuruluşlarla paylaşmak, ve bunların karşılıklı rücu alacaklarına yönelik mahsuplaşma platformu kurmak amaçları ile kullanacaktır.
- Genel veri tabanında yer alan ve paylaşılan verilerin elde edilmesi bakımından veri sahibinin açık rızası veya onayı aranan hallerde veri sahibinden açık rıza veya onayın alınmasından ve aydınlatma yükümlülüğünün yerine getirilmesinden veri alışverişi yapan kurum ve kuruluşlar sorumlu olacaktır.
- SBG Merkezi, elde ettiği verileri ancak anonim hale getirerek yayımlayabilir.
3. Bankacılık Mevzuatı Kapsamında Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında 2022/1 sayılı Genelge
Bankacılık Düzenleme ve Denetleme Kurumu (“BDDK”) 11 Ağustos 2022 tarihli ve 10295 sayılı verdiği karara istinaden uygulamada yaşanan zorlukların bertaraf edilebilmesi amacı ile Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik’in Uygulanması Hakkında Ek Açıklamaları yayımlanmıştır.
5411 sayılı Bankacılık Kanunu (“Bankacılık Kanunu”) madde 73/3 uyarınca “müşteri sırrı”, bankacılık faaliyetlerine özgü olarak bankayla müşteri ilişkisi kurulduktan sonra oluşan verilerden oluşmaktadır. Ancak, müşteri ilişkisi kurulmamış olsa da başka bir banka nezdinde bulunan müşteri sırrı niteliğindeki bilgilerin elde edilmesi ve öğrenilmesi de sır saklama yükümlülüğü kapsamındadır. Ayrıca KVKK nezdinde “kişisel veri” olarak tanımlanmayan örneğin tüzel kişilere ilişkin veriler de bu kapsama girmektedir.
Banka potansiyeli hakkında bilgi barındırabilecek banka faaliyetlerine ve yönetim esaslarına ilişkin bilgiler “banka sırrı” olarak değerlendirilmektedir ve Yönetmelik’te sayılan istisnai hâller haricinde kanunen yetkili kılınan merciler dışında başkasına açıklanamayacaktır.
Banka ve müşteri sırrının paylaşılmasının sır saklama yükümlülüğüne aykırılık teşkil etmemesi için ya taraflar arasında (i) gizlilik sözleşmesi yapılması ya da (ii) bu sır niteliğindeki bilgilerin sadece belirtilen amaçlar ile sınırlı kalması gerekmektedir. Söz konusu paylaşımların ölçülülük ilkesine uygun olması beklenmektedir.
Sır niteliğindeki müşteri bilgilerinin açık bir şekilde paylaşılabilmesi için zorunlu tutulan ortak müşteri olma şartı, Yönetmelik madde 5/2(b) ve 5/3 kapsamında yapılacak paylaşımlar için geçerli olmak kaydıyla ve yalnızca aşağıdaki durumlarda aranmamaktadır:
- BDDK’nin paylaşım öncesinde uygun görüşünün alınmış olması kaydıyla, kredi karşılık hesaplamaları ile içsel sermaye yeterliliği hesaplamaları gibi çok sayıda müşteriye ilişkin kapsamlı veri paylaşımını gerektiren paylaşımlar,
- BDDK’nin paylaşım öncesinde uygun görüşünün alınmış olması kaydıyla, karşı tarafın uyum riski amacıyla yapılacak paylaşımlar,
- BDDK’nin paylaşım öncesinde uygun görüşünün alınmış olmasına gerek olmaksızın, banka ana sermayesinin %10’u veya daha fazlası oranında kredi kullandırılmış bir gerçek ya da tüzel kişiye veya bir risk grubuna ait verileri içeren konsolide risk yönetimi amacıyla yapılacak paylaşımlar.
Yönetmelik’te sır saklama yükümlülüğüne istisna teşkil edecek diğer hâller de düzenlenmiştir. Bu kapsamda;
- Müşteri sırrı niteliğinde olmayan sadece bankaya ait bilgileri içeren banka sırrı niteliğindeki bilgiler, banka yönetim kurulu kararı ile banka sorumluluğunda üçüncü kişiler ile paylaşılabilir.
- Bir kamu kurumuna veya kuruluşuna herhangi bir işlemin gerçekleştirilebilmesi için müşteri tarafından verilen müşteri sırrı niteliğindeki bilginin, kamu kurumu veya kuruluşu tarafından teyit edilebilmesi için bankalar, Risk Merkezi veya en az beş banka ya da finansal kuruluş tarafından kurulmuş şirketler tarafından, bu bilginin doğru olup olmadığına ilişkin ilgili kamu kurumuna veya kuruluşuna bilgi verilebilmesi için müşterinin bu konuda talep ya da talimatının alınması kaydıyla paylaşılabilir.
- Bankanın taraf olduğu uyuşmazlıklarda iddia ya da savunmaların ispatı zorunlu ise, müşteri sırrı veya banka sırrı niteliğindeki bilgiler yetkili merci ve kişilerle paylaşılabilir.
Müşteri sırrı niteliğindeki bilgiler, müşterinin açık rızası alınsa dahi, müşteriden gelen bir talep ya da talimat olmaksızın yurt içindeki ve yurt dışındaki üçüncü kişilerle paylaşılamaz ve müşterinin bilgilerini paylaşmaya dair açık rıza göstermesi veya talep ya da talimat vermesi bankanın vereceği hizmetler için bir ön şart hâline getirilemez. Ancak, yukarıda bahsi geçen Yönetmelik madde 5’teki istisnai hâller bu durumun istisnası olarak kabul edilir.
Sonuç olarak, Yönetmelik ile müşteri ve banka sırrı niteliğindeki bilgilerin paylaşımına ilişkin kavramlar, usul ve esaslar belirlenmiş, bankalar tarafından ana ortakla paylaşılacak bilgiler için BDDK’ye raporlama yükümlülüğü getirilmiş, bankaların yapabileceği paylaşımların kapsamı netleştirilmiş ve yurt dışına veri aktarımı gibi konulara değinilmiştir.
4. Devlet Teşkilatı Merkezi Kayıt Sistemi’ne İlişkin 2022/18 sayılı Genelge
3 Aralık 2022 tarihli ve 32032 sayılı Resmi Gazete’de Devlet Teşkilatı Merkezi Kayıt Sistemi’ne (“DETSİS”) ilişkin 2022/18 sayılı Genelge (“DETSİS Genelgesi”) yayımlanmıştır. Genelge uyarınca, kamu kurum ve kuruluşlarının teşkilat yapılarına ilişkin verilerin merkezi bir ortamda ve elektronik kayıt altına alınmasına ilişkin oluşturulan Devlet Teşkilatı Veri Tabanı, DETSİS’e dönüştürülmüştür.
DETSİS Genelgesi uyarınca, kurum ve kuruluşların teşkilatlarında yer alan tüm birimler DETSİS’e kaydedilecek ve kamu kurum ve kuruluşlarınca güncel tutulacaktır. Kurum ve kuruluşlar, teşkilatlarında gerçekleşen değişiklikleri, 5 iş günü içerisinde güncellemekle yükümlü tutulmuşlardır.
III. 2022 yılında Kurum tarafından Yayımlanan Rehberler
Kurum tarafından yayınlanan rehberler tarih sırası ile aşağıda yer almaktadır.
1. Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulamalar Rehberi
5 Ağustos 2022 tarihinde Kurum’un internet sitesinde, Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulamalar Rehberi (“Bankacılık Rehberi”) yayımlanmıştır. Bankacılık Rehberi, bankalar tarafından yürütülen kişisel veri işleme faaliyetlerinin KVKK’ye ve buna dayanılarak Kurul tarafından çıkartılan ikincil mevzuata uygun olarak gerçekleştirilmesi konusunda veri sorumlusu bankaları yönlendirmek ve bu çerçevede iyi uygulama örnekleri oluşturmaktır. Bununla birlikte, Bankacılık Rehberi’nde Kurul’un kendisine intikal ettirilen şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen yapacağı incelemede somut olayın özelliklerini göz önünde bulundurarak değerlendirmesini yapacağı belirtilmektedir.
Oldukça kapsamlı olan bu rehberde, bankacılık sektöründe veri sorumlusu – veri işleyen ilişkileri, bankacılık sektörüne özgü kişisel veri işleme şartları, kişisel verilerin aktarılması, genel ilkeler ve veri sorumlusunun yükümlülüklerine yönelik iyi uygulama örnekleri ve açıklamalar yer almaktadır.
Bankacılık Rehberi uyarınca, bankalar gerçekleştirdikleri kişisel veri işleme faaliyetleri kapsamında veri sorumlusu veya veri işleyen sıfatını haiz olabilir. Bankalar, Bankacılık Kanunu madde 4 uyarınca gerçekleştirdiği bankacılık faaliyetleri açısından veri sorumlusudur. Bununla birlikte, acente ve aracı kuruluş olduğu sigorta, bireysel emeklilik, yatırım ürünleri, uluslararası hızlı para transferi ile fatura/vergi/harç ödeme faaliyetlerinde bulunduğu durumlarda bankanın veri sorumlusu ya da veri işleyen olduğuna karar verilirken somut olayın koşulları değerlendirilerek yorum yapılması gerekir. Bankacılık Rehberi’nde ayrıca müşterek veri sorumluluğu da kabul edilmiş ve müşterek veri sorumluları arasında yükümlülüğün belirlenmesinde taraflar arasındaki sözleşmenin önem arz ettiği ifade edilmiştir.
Bankacılık Rehberi’nde, BDDK denetimlerinin gerçekleştirilmesi amacıyla müşteri verilerinin BDDK’ya aktarılması, yetkili kurum ve kuruluşlara bilgi sağlanması, suç gelirlerinin aklanmasına ilişkin mevzuat kapsamında işleme faaliyetleri ve bilgi aktarımı, çek mevzuatı uyarınca adli sicil kaydı sorgusu yapılması, açık rıza gerektirmeyen işleme faaliyetleri arasında sayılmıştır. Ayrıca bankalar tarafından yapılan risk değerlendirmesi de bankanın hukuki yükümlülüğünü yerine getirmesi hukuki sebebine dayandırılmıştır.
Bankacılık Rehberi kapsamında (i) Bankalarca ilgili kişilerin işlem güvenliğinin sağlanması ve bankacılık işlem ve hareketlerindeki olağan dışı durumlar tespit edilerek gerekli tedbirlerin alınabilmesi amacıyla yapılan çalışmalar (ii) müşterinin tâbi olduğu hizmet seviyesini belirlemeye, müşterinin bankalar ile olan ilişkisini ve ürün, kanal kullanımını anlamaya yönelik olarak müşteri verilerinin değerlendirilmesi süreci (iii) Bankanın finansal kaynaklarının verimli kullanımı ile müşteri ihtiyacının doğru şekilde karşılanması ve müşteri memnuniyetinin sağlanmasında müşteriye uygun ürün ve hizmetlerin sunulması (iv) strateji çalışmalarının yürütlmesi (v) müşteri memnuniyeti süreçlerinin hangi sınırlar dahilinde meşru menfaat kapsamında değerlendirileceği ve hangi sınırlar kapsamında açık rıza gerektireceğine ilişkin açıklamlaar yer almaktadır.
Bankacılık Rehberi’nde ayrıca veri aktarımlarına ilişkin önemli tespitlere yer verilmiştir. Bankacılık Kanunu madde 73’e dayanılarak maddedeki sınırlar doğrultusunda ana ortak/bağlı ortaklıklara, muhtemel alıcılara, bankalar ve finansal kuruluşlara, Risk Merkezi, Bankalararası Kart Merkezi ve Kredi Kayıt Bürosu’na, iştiraklere ve değerleme, derecelendirme ve destek hizmeti kuruluşlarına veri aktarımı yapılabileceği ifade edilmektedir.
Rehberde son olarak veri sorumlusunun yükümlülüklerine ve bu yükümlülüklerin ne şekilde gerçekleştirileceğine ilişkin açıklamalar yer almaktadır.
2. Çerez Uygulamaları Hakkında Rehber
20 Haziran 2022 tarihinde Kurum’un internet sitesinde, Çerez Uygulamaları Hakkında Rehber (“Çerez Rehberi”) yayımlanmıştır. Daha önce Kurul, çerezler yoluyla kişisel veri işleyen veri sorumlularına yönelik tavsiye niteliğinde ve yol gösterici mahiyette bir doküman oluşturulması amacıyla taslak rehber hazırlayarak 11 Ocak 2022 tarihinde resmi internet sitesinde kamuoyunun görüşlerine açmıştı. İlgili rehber gelen görüşler doğrultusunda 20 Haziran 2022 tarihinde yayımlanmıştır.
Çerez Rehberi, çerezler yoluyla kişisel verilerin işlenmesini kapsamakta olup kişisel veri işlenmesinde kullanılmayan çerezler bu rehberin kapsamı dışında kalmaktadır. Piksel, kullanıcı parmak izleri, local storage, beacon gibi benzer teknolojiler kapsamında herhangi bir yönlendirmede bulunulmamaktadır. Çerez Rehberi, masaüstü ve mobil internet siteleri veya internet uygulamalar açısından da geçerli olacaktır.
Çerez Rehberi’nde çerezlerin tanımına, çerez türlerine, 5809 sayılı Elektronik Haberleşme Kanunu (“EHK”) ile KVKK arasındaki ilişkiye, çerezlere dair dikkate alınması gereken kurallara, açık rıza dışındaki diğer işleme şartları dahilinde çerez kullanım senaryolarına, açık rıza işleme şartı dahilindeki çerez kullanım senaryolarına, hukuka uygun şekilde alınması gereken açık rızanın unsurlarına, yurt dışına aktarımına, uygun aydınlatmanın yapılmasına, ve Kurul’un 27/02/2020 tarih ve 2020/173 sayılı kararına ilişkin açıklamalara yer verilmektedir.
Çerez Rehberi’nde, rehberde, öncelikle çerezler tanımlanmakta ve çerez çeşitleri hakkında bilgi verilmekte, ardından EHK ile KVKK arasındaki bağ değerlendirilmektedir. Rehberin devamında ise açık rıza gerektiren ve gerektirmeyen çerez örneklerine ilişkin açıklamalar yer almaktadır. Bu kapsamda, KVKK madde 5 kapsamında bir veri işleme sebebine dayanmayan çerez uygulamaları bakımından açık rıza yoluna gidilmesi gerekecektir. Ancak her halükârda çerez uygulamasının madde 4’te yer alan ilkelere uygun olması gerekmektedir.
Kullanıcı sepetinin oluşturulmasına yarayan çerezler gibi kullanıcı girdili çerezler, kullanıcıyı bir internet sitesine giriş yaptığında tanımlamak için kullanılan kimlik doğrulama çerezleri, kullanıcı tarafından açıkça talep edilmiş bir hizmet kapsamında güvenliği artırmak amaçlı kullanılan kullanıcı merkezli güvenlik çerezleri, videoyu yeniden oynatmaya veya ses içeriğine ilişkin ihtiyaç duyulan teknik veriyi depolamak için kullanılan multimedya oynatıcısı oturum çerezleri, tek bir makine yerine bir makine havuzu üzerinden web sunucusu taleplerinin dağıtılması işlemlerine izin veren yük dengelemesi oturum çerezleri, kullanıcının internet sayfalarındaki bir hizmete ilişkin tercihlerini depolamak için kullanılan kullanıcı ara yüzünü kişiselleştirme çerezleri ile sosyal eklenti içerik paylaşımı (beğen, paylaş, yorum) çerezleri, açık rıza yönetim platformu için kullanılan çerezler, birinci taraf analitik çerezler, internet sitesinin güvenliği için kullanılan çerezler, açık rıza gerektirmeyen çerez uygulamalarına örnek gösterilmiştir.
Diğer taraftan davranışsal reklamcılık, analitik veya pazar araştırması gibi ilave amaçlarla, üye olan/olmayan kişileri üçüncü taraf çerezler yardımıyla izlemek için kullanılabilen sosyal eklenti takip çerezleri ile çevrimiçi davranışsal reklamcılık çerezleri açık rıza gerektiren çerez uygulamalarına örnek gösterilmiştir.
3. 6698 Sayılı Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar – 2 Rehberi
3 Ocak 2022 tarihinde Kurum’un resmi internet sitesinde 6698 Sayılı Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar – 2 Rehberi (“Doğru Bilinen Yanlışlar-2”) yayımlanmıştır.
Doğru Bilinen Yanlışlar-2 içerisinde daha önceki rehberlerde ve mevzuatta yer alan hususlar açıklandığı gibi bazı önemli fikir farklılıklarına ilişkin olarak Kurum’un duruşu ortaya konmaktadır.
Doğru Bilinen Yalnışlar-2 Soru 14 uyarınca, ses, görüntü ve fotoğraf gibi verilerin işlenmesi doğrudan biyometrik veri işleme faaliyeti olarak nitelendirilemeyecektir. Ancak, söz konusu kişisel veriler gerçek bir kişinin benzersiz bir şekilde tanımlanmasına veya doğrulanmasına izin veren belirli bir teknik yöntemle işlendiklerinde biyometrik veri kabul edilirler. Dolayısıyla, bir verinin biyometrik veri kapsamında değerlendirilebilmesi için o verinin sadece o kişiyi tanımlayabilme ya da doğrulayabilme özelliğine sahip olması gerekmektedir.
Soru 17 uyarınca, takma ad kullanımı, kişisel verileri anonim hâle getirerek bu verilerin kişisel veri olma niteliğini sonlandıran bir yöntem olmayıp, ilgili kişisel verilere ilişkin veri güvenliği risklerini en aza indirmeye yardımcı olan bir yöntemdir. Takma ad kullanımıyla, ilgili kişisel veriler anonim hâle getirilmiş olmadığından, kişisel veri niteliğini haiz olan bu veriler KVKK’ye tâbi olmaya devam etmektedir.
Soru 19 uyarınca, açık rıza dışındaki diğer işleme şartlarının varlığı hâlinde ise Kurul tarafından onaylanan bir taahhütnamenin bulunması ya da aktarımın Kurul tarafından ilan edilmiş yeterli korumanın bulunduğu bir ülkeye yapılması gerekmektedir. Dolayısıyla veri sorumluları tarafından Kurulun onayına sunulacak taahhütnamelerde, ilgili kişilerin açık rızaları kapsamında aktarılan kişisel verilere yer verilmemelidir
Soru 22 uyarınca, bulut hizmeti sağlayan firmanın verilere erişim yetkisi bulunmasa dahi kişisel verileri sunucularında muhafaza etmesi bir aktarım faaliyeti olarak değerlendirilmektedir.
4. Katılım Belgesine İlişkin Usul ve Esaslar
23 Aralık 2021 tarihli ve 2021/1296 sayılı Kişisel Verileri Koruma Kurulu Kararı ile katılım belgesine ilişkin usul ve esaslar belirlenerek (“KBUE”) 11 Şubat 2022 tarihinde Kurum’un resmi internet adresinde yayımlanmıştır.
KBUE, Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ kapsamındaki katılım belgesinin verilmesine dair usul ve esasları düzenlemeyi amaçlamaktadır.
KBUE kapsamında, temel eğitim, eğitici kurumun yükümlülükleri, temel eğitim prensipleri, sınav ve belgelendirme ve istisnalara ilişkin düzenlemeler yer almaktadır.
KBUE, yayımlandığı tarihte yürürlüğe girmiş olup Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ kapsamındaki katılım belgesinin verilmesinde uygulanacaktır.
IV. Rehber Taslakları
1. Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesine İlişkin Rehber Taslağı
Kurum, 16 Haziran 2022 tarihinde, Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesine İlişkin Rehber Taslağı’nı (“Sadakat Programı Rehber Taslağı”) kamuoyu görüşüne açtı. Sadakat Programı Taslak Rehber kapsamında, Türkiye’de uygulanmakta olan sadakat programlarından örnekler incelenmiş ve metin içinde uygun yerlerde söz konusu programlar kapsamında kişisel verilerin işlenmesi süreçlerinde karşılaşılan uygulamalara ilişkin örneklere ve açıklamalara firma adı ve unvanı kullanılmaksızın takma isim verilmek suretiyle yer verilmiştir
Sadakat Programı Rehber Taslağı’nda, sadakat programları kapsamında veri sorumlusu ve veri işleyen, ilgili kişi, işlenen kişisel veriler, işleme şartları, sadakat programları kapsamında yürütülen veri işleme faaliyetlerinin hukuka uygunluk sebepleri bakımından değerlendirilmesi, sadakat programları bakımından açık rıza gerekliliği, sadakat programları kapsamında yürütülen veri işleme faaliyetlerinin genel ilkeler bakımından değerlendirilmesi, sadakat programları ve aydınlatma yükümlülüğü ve veri güvenliğine ilişkin hususlar düzenlenmektedir.
Taslak Rehber kapsamında sadakat programI
“Müşterinin işletme açısından belirli ya da belirlenebilir olmasını sağlayacak kişisel verilerinin işlenmesi suretiyle alışveriş karşılığında çeşitli kriterler çerçevesinde müşteriye puan/hediye/avantaj sağlanması, müşterinin alışveriş alışkanlıklarının takip edilmesi, işlenen kişisel verilerin analiz edilmesi suretiyle kişiselleştirilmiş ürün/hizmet teklifleri sunulması gibi stratejilerin tamamının veya bazılarının firmalarca tek taraflı veya bir program ortaklığı kapsamında uygulanması yoluyla müşteriye menfaat sağlarken aynı zamanda uygulayıcı firmanın satış ve karlılığını artırmayı hedefleyen programlar”
olarak tanımlanmaktadır.
Taslak Rehber uyarınca, Sadakat programının bir sözleşme kapsamında sunulduğu ve sözleşmenin kurulması ve ifası ile ilgili olmak koşuluyla müşterinin kişisel verilerinin (örneğin isim ve iletişim bilgilerinin) firma tarafından işlendiği durumda, bu verilerin işlenmesi bakımından açık rıza alınması kural olarak gerekli olmayacaktır; ancak örneğin firma sadakat uygulamasından yararlanan müşterileri profilleme yoluna giderse, bu durumda yeni bir işleme süreci karşımıza çıkmaktadır ve bu durum sözleşmenin kurulması ve ifasıyla doğrudan doğruya ilgili olma durumunu içermediğinden bu hukuka uygunluk nedenine dayanma imkanı bulunmayacaktır.
Hizmetin kural olarak açık rıza şartına bağlanmaması gerekliliği sadakat uygulamaları bağlamında işlenen kişisel veriler söz konusu olduğunda da geçerliliğini koruyacaktır ancak belli koşulların varlığı halinde sadakat uygulamasına katılmak için verilerin işlenmesine açık rıza verilmesinin veri sorumlusunca talep edilmesi, hizmetin rıza şartına bağlanması olarak değerlendirilmeyebilecek ve hukuka uygun olduğu kabul edilebilecektir. Dolayısıyla, sadakat programları kapsamında açık rıza verilmemesi halinde ürün/hizmetin sunulmaması değil, ürün/hizmetin ek menfaat olmaksızın sunulması söz konusu olmaktadır. Kişisel verilerin işlenmesine açık rıza verilmesi ve sadakat programına üye olunması halinde ise söz konusu ürün/hizmet ek menfaatlerden müşteriyi yararlandırmak suretiyle sunulmaktadır. Ancak bu sonuca varabilmek ve sadakat programı kapsamında verilen/alınan açık rızanın hizmetin şartı olarak ilgili kişiye sunulmadığını kabul edebilmek için yapılan indirim/sağlanan avantaj oranının kişinin önemli bir dezavantaja uğramasına sebep olmayacak ve dolayısıyla kişinin özgür iradesini etkilemeyecek boyutta olması gerektiğinin altı çizilmelidir.
Taslak Rehber’de ayrıca aşağıdaki önerilere yer verilmektedir.
- Sadakat programları kapsamında işlenen kişisel veriler bakımından işleme amacı gözetilerek hukuka uygunluk nedeninin doğru tespit edilmesi (örneğin kişiyi sadakat kart uygulamasından yararlandırmak ve belirlenebilir kılmak amacıyla telefon numarasının işlenmesi ile kişiye ticari elektronik ileti gönderilmesi amacı ile telefon numarası verisinin işlenmesi farklı hukuka uygunluk sebebine dayalı olarak veri işlemeyi gerektirmektedir),
- Aydınlatma yükümlülüğünün mevzuata uygun şekilde yerine getirilmesi ve açık rızaya dayanarak işlenen kişisel veriler bakımından açık rıza alma ve aydınlatma işlemlerinin ayrı ayrı gerçekleştirilmesi,
- Açık rıza kapsamındaki işlemeler için genel nitelikte rızalar alınması yoluna gidilmemesi,
- Sadakat programı kapsamındaki bazı kişisel veriler KVKK madde 5/2’de yer alan hukuka uygunluk nedenleri kapsamında işleniyor ise ayrıca açık rıza alma yoluna gidilmemesi,
- Açık rıza beyan metinleri ile aydınlatma metinlerinin sözleşme hükümleri içine yerleştirilmemesi,
- Aydınlatmanın açık, anlaşılır olma kriterlerinin yerine getirilmesi, kişisel verilerin aktarılmasına ilişkin açıklamaların net ve şüpheye mahal vermeyecek şekilde yapılması,
- Ölçülülük ilkesinin gözetilmesi ve işleme amacına uygunluk başta olmak üzere genel ilkelere uygun hareket edilmesi,
- Açık rızanın sadakat programı kapsamında sunulan mal/hizmetin koşulu olarak sunulmadığını kabul edebilmek ve bu bağlamda verilen açık rızanın hukuka uygunluğundan (özgür iradeye dayalı olmasından) söz edebilmek için sadakat programı kapsamında sağlanan avantajın makul olmasının ve ilgili kişinin önemli bir dezavantaja uğramamasının veri sorumlusunca temin edilmesi,
- Sadakat programı kapsamında ticari elektronik ileti gönderebilmek için gerekli iznin/onayın/rızanın ayrıca/ayrıştırılarak alınmış olması,
- Sadakat programları kapsamında işlenen kişisel veriler bakımından veri güvenliğine ilişkin yükümlülüklerin yerine getirilmesi
2. Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber Taslağı
Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber Taslağı (“Genetik Veri Rehber Taslağı“) 24 Ağustos 2022’de Kurum’un resmi internet sitesinde yayımlanmıştır. Genetik Veri Rehber Taslağı’nın amaç ve kapsamına bakıldığında genetik verilerin sağlık alanında teşhis ve tedavi amaçlı genetik analizlerde, doğum öncesi ya da sonrası hastalıkların teşhis ve tedavisinde ve üst soy alt soy tespit analizlerinde kullanılabildiği ifade edilmiştir. Bu veriler gerek hastanelerde gerekse tıbbi laboratuvarlarda yasal işlemler gerçekleştirmek ya da üst soy altsoy tespitinde olduğu gibi ticari amaçlarla Şirketlere iletilme yoluyla işlenmektedir. Zorunlu haller dışında kişilerin tercihine bağlı olarak beslenme, spor ya da yetenek konusunda genetik yatkınlık gibi amaçlarla da gerçekleştirilebilmektedir.
KVKK madde 6/3 uyarınca, sağlık ve cinsel hayat dışındaki kişisel verilerin kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebileceği hükme bağlanmıştır. Dolayısıyla genetik veriler açık rıza dışında kanunlarda öngörülen hallerde de işlenebilecektir. Ancak bu veriler işlenirken KVKK madde 4’te sayılan genel ilkelere uyulması hukuki gereklilik teşkil etmektedir. Dolayısıyla ilgili kişilerin açık rızası ile ya da kanunlarda öngörülme gibi kişisel veri işleme şartlarından hangisine dayanılarak kişisel veri işleme faaliyetinde bulunulursa bulunulsun, KVKK madde 4’teki genel ilkelere uyulması zorunludur.
Genetik verilerin yurt dışına aktarımı konusunda kişilerin temel hak ve özgürlüklerini de dikkate alarak çeşitli tedbirlerin alınması gerekmektedir.
Genetik hastalıkların teşhis ve tedavisi amacıyla gidilen Genetik Hastalıklar Değerlendirme Merkezleri’nin ruhsatlandırılması, açılması, çalışması ve denetlenmesi ile ilgili usul ve esaslar ilgili yönetmelik kapsamında düzenlenmiştir. Bu alanda faaliyet gösteren tüm kuruluşlar ilgili yönetmeliğe tabi olup bağlı bulundukları kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiler (Bakanlık, üniversite, özel hukuk tüzel kişisi vb.) veri sorumlusu niteliğini haizdir. Veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade etmektedir. Bu çerçevede genetik verilerin tutulduğu bulut sistemleri veri işleyen olarak değerlendirilebilecektir.
İlgili kişi, kişisel verisi işlenen gerçek kişiyi, kişisel veri ise kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak ifade edilmiştir. Bu süreçte ilgili kişilerle birlikte bu kişilerin aralarında genetik irtibat olan akrabalarının da verilerinin işlenebilmesi mümkündür.
Genetik verileri işleyen veri sorumlusu, KVKK madde 4’te yer alan genel ilkelere ve madde 6’da düzenlenen şartlara uygun bir şekilde ve ilkeler doğrultusunda genetik verileri işleyebilecektir. Veri sorumlusunun uyması gereken ilkelere bakıldığında bunların: Temel hak ve özgürlüklerin özüne dokunulmaması, gerçekleştirilen veri işleme faaliyetinin ulaşılmak istenen amaç için uygun olması, genetik veri işleme yönteminin ulaşılmak istenen amaç bakımından gerekli olması, ulaşılmak istenen amaç ve araç arasında orantı bulunması, İşlenen genetik verilerin gereken süre kadar tutulması, gereklilik ortadan kalktıktan sonra söz konusu verilerin gecikmeksizin kişisel veri saklama ve imha politikasına uygun olarak imha edilmesi olduğu görülmektedir.
Genetik verilerin KVKK madde 28 f/1-c kapsamında bilimsel amaçlarla işlenmesi durumunda belli kriterlere uyulması gerekmektedir. Örneğin, kümülatif varyant frekans sistemlerinde kişiler belirlenebilir kılınmadan toplu çalışmalar yürütülmelidir. Her ne kadar kanunda sayılan belirli haller dışında genetik verilerin bilimsel amaçlarla kullanımı mümkün olsa da bunun son çare olarak sonuca ulaşabilmek için zorunlu olduğu hallerde uygulanması da kriterler arasında yer almaktadır. Anayasal güvence altına alınan kişisel verilerin korunması hakkının ihlal edilmemesini teminen gerekli güvenlik tedbirlerinin sağlanması ve özellikle verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine uygun hareket edilmesi de gerekmektedir. Tamamlanan bilimsel araştırmalarda ise verilerin tutulmaya devam edilmesinin gerekli olmadığına karar verilirse kişisel veri saklama ve imha politikasına uygun olarak imha edilmesi son gereklilik olarak belirtilmiştir.
Genetik verilerin güvenliğinin sağlanması hususunda alınan teknik tedbirlerden bulunmaktadır. Bunlardan ilki genetik verilerin bulut sistemlerinde tutulmamasının tercih edilmesidir. Ancak verilerin işlenmesi için analiz program sunucusuna bağlanmasının gerekli olduğu hallerde bulutta depolanan genetik verilerin neler olduğunun detaylıca kaydı tutulmalı, bulut dışında yedekleri alınmalı, buluttaki genetik verilere uzaktan erişim için iki kademeli kimlik doğrulama kontrolü uygulanmalıdır. İşlenen ve muhafaza edilen genetik veriler güncel teknolojiye uygun olarak, yeterli güvenliği sağlayacak kriptografik yöntemlerle şifrelenmelidir. Standartlaştırılmış ve güvenli kriptografik algoritma takımında yer alan algoritmaları barındıran uygulama, cihaz ve sistemler kullanılmalıdır. Standartlaştırılmış ve güvenli kriptografik algoritmalara yönelik endüstri standartları ve en iyi uygulama örnekleri dikkate alınmalıdır. Standartlaştırılmış kriptografik algoritma takımında yer almayan kriptografik algoritmaların kullanımının gerekmesi durumunda kullanım öncesinde, yetkilendirilmiş kripto analiz laboratuvarı tarafından yeterli güvenlik seviyesinde olup olmadıklarının analizi ve değerlendirilmesi yapılmalıdır. Şifreleme ve anahtar yönetimi politikası açıkça tanımlanmalıdır. Kriptografik anahtarlara erişim sadece yetki sahibi kleranslı (kripto güvenlik belgesi) personel ile sınırlandırılmalıdır. Mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılmalıdır.
Cihazların tamir veya benzeri amaçlarla başka firmalara teslimleri durumunda üzerlerindeki veriler alınmalı ve firmada veri olmadığına dair yazılı taahhütname alınmalıdır.
Genetik Veri Rehber Taslağı, genetik veri işleyen veri sorumlularının alması gereken idari tedbirleri de düzenlemiştir. Veri İşleme mekanizmalarının “Mahremiyet Temelli Tasarım” esasına göre kurulması ve yönetilmesi, verilerin niteliği ve veri işlemenin ilgili kişi açısından oluşturacağı muhtemel risklerle ilgili olarak “Veri Koruma Etki Değerlendirmesi”nin uygulanması, genetik verilerin yetkili, eğitimli ve gizlilik sözleşmesi akdedilmiş personeller haricinde kimsenin erişemeyeceği şekilde muhafaza edilmesi, Kişisel Veri İşleme Envanteri hazırlanması ve Veri Sorumluları Sicil Bilgi Sistemi’ne (“VERBİS”) bildirimde bulunulması, genetik veri işleme süreçlerine ilişkin ayrı işleme politikaları, acil durum prosedürleri ve raporlama mekanizmaları oluşturulması ile elektronik ortamdaki genetik verilerin düzenli olarak yedeklenmesi, verileri işlenecek kişilerin KVKK uyarınca aydınlatılması ve gerektiği hallerde açık rızasının alınması ve bu verilerin yalnızca açık rıza alınan kişisel veri işleme faaliyetine uygun olarak kullanılması, genetik verilere dair veri işleme faaliyetlerine ilişkin kurum içi rastgele ve periyodik denetimler ile risk analizleri vasıtasıyla veri sorumlusunun olası bir veri ihlâline karşı kendisinin hazırlık durumunu sürekli olarak ölçmesi ve veri işleyenlerle yapılacak hizmet sözleşmelerinde gerekli görülen güvenlik tedbirlerine yer verilmeli ve tercih edilecek veri işleyen nezdinde gerekli teknik ve idari tedbirlerin sağlanıp sağlanmadığı hususunda belirli periyodlarla denetimler yapılması gerekmektedir.
Genetik verilerin işlenmesi ortaya çıkardığı bilgiler açısından son derece hassas bir veri hüviyetine sahip olup toplumun tamamını da etkileyebilecek ulusal stratejik sonuçlara sebep olabilmektedir. Bu nedenle genetik verilerin işlenmesinin belirli kural ve prosedürlere bağlanması, bunun yanında toplumsal alanda da farkındalık oluşturulması gerekmektedir. Zira ilgili kişilerin genetik verilerinin işlenmesi yalnızca kendilerini değil, aralarında genetik irtibat olan akrabalarını, gelecek nesillerini ve hatta ulusal güvenlik ile ekonomiyi de etkileyebilecektir.
Örneğin dünyada gelişmekte olan stratejik bir sektör olarak pek çok ülkede devlet desteği elde eden “Biyoteknoloji” ve “Biyoekonomi” gibi terimlerle ifade edilen iktisadî sektör; özellikle sağlık, tarım, biyoenerji gibi alanlarda yüksek verimle ekonomik çıktı üretebiliyor olmakla birlikte ana ekonomik girdi olarak “genetik veri”yi kullandığından, yüksek inovasyon kapasitesine sahip söz konusu sektörün ve diğer genetik veri işleme faaliyetlerini içeren AR-GE çalışmalarının maruz kalabileceği veri ihlâli risklerinin yönetilebilmesi, her ülke için ulusal güvenlik ve ekonomik çıkarlar bakımından yüksek öncelikli bir mesele olarak görülmektedir.
Bütün bu açıklamalar ışığında genetik veri işlenmesinin ilgili kişilerin korunması, ulusal güvenlik ve ülkelerin ekonomik menfaatleri doğrultusunda kritik önem arz ettiği ve bu konuda birtakım ulusal tedbirlerin alınmasının elzem olduğu anlaşılmaktadır.
Ülkemizde bu hususta çalışmalar yapılmakta olup 06.07.2019 tarih ve 30823 sayılı Resmî Gazete’de yayımlanan “Bilgi ve İletişim Güvenliği Tedbirleri” konulu ve 2019/12 sayılı Cumhurbaşkanlığı Genelgesi’nde “Nüfus, sağlık ve iletişim kayıt bilgileri ile genetik ve biyometrik veriler gibi kritik bilgi ve verilerin yurtiçinde güvenli bir şekilde depolanacağı” belirtilerek kamu düzeninin bozulmasına yol açacak kritik türdeki verilerin güvenliğinin sağlanması amacıyla ulusal ve uluslararası standartlar ve bilgi güvenliği kriterleri çerçevesinde, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından “Bilgi ve İletişim Güvenliği Rehberi” Temmuz 2020 tarihinde yayımlanmıştır.
Yine aynı şekilde, Ulusal Siber Güvenlik Stratejisi ve Eylem Planı (2020-2023) da 29.12.2020 tarih ve 31349 sayılı Resmî Gazete ’de yayımlanan “Ulusal Siber Güvenlik Stratejisi ve Eylem Planı (2020-2023)” konulu ve 2020/15 sayılı Cumhurbaşkanlığı Genelgesi ile yürürlüğe girmiştir.
Yürürlüğe girmiş bu düzenlemelerle birlikte Kişisel Verileri Koruma Kurulu tarafından ulusal çapta alınabileceği değerlendirilen tedbirlere aşağıda yer verilmiştir:
a) Genetik verilerin işlenme amaçlarının farklılık göstermesi nedeniyle prosedürlerin ve kuralların işleme amaçlarına göre ele alınması, örneğin Genetik Hastalıklar Değerlendirme Merkezleri Yönetmeliği’nin “Numunelerin taşınması” başlığını haiz 25. maddesinin (2) numaralı fıkrasında yer alan “Yurt dışına tetkik amaçlı numune gönderme yetkisi sadece ruhsatlı Merkeze aittir. Bu Yönetmelik kapsamında tetkik amacıyla insan kaynaklı biyolojik numuneler, Bakanlık takip sistemine kaydedilir.” hükmü yer almakta olup yurt dışına gönderilen numunenin KVKK’nin 9. maddesinde yer alan hangi şarta dayalı olarak aktarıldığı, bu veri işleme faaliyetinin yukarıda sayılan ve KVKK madde 4’te yer verilen ilkeler çerçevesinde ölçülü ya da gerekli olup olmadığının değerlendirilip değerlendirilmediği veya bilimsel bir faaliyet kapsamında işlenip işlenmediği gibi daha detaylı düzenlemelere tâbi tutulması, Bakanlık takip sisteminde bu ayrımı gösterir şekilde sınıflandırmaya gidilmesi,
b) Genetik veri ihtiva eden testlerin veya araştırmaların yurt dışında yapılması zorunluluğu karşısında; bilimsel araştırma ya da tetkik amaçlarıyla işlenen genetik verilerin, UNESCO Genel Konferansı’nın 16 Ekim 2003 tarihli “İnsan Genetik Verileri Üzerine Uluslararası Bildirge”sinde (International Declaration on Human Genetic Data) belirtildiği üzere mahremiyetinin sağlanması ve elde edilen genetik verilerin, toplanma amaçları dışında başka maksatlarla kullanılmasının engellenmesi konularında gerekli önlemlerin alınması,
c) Genetik verilere ilişkin testlerin mümkün olduğunca yurt dışına gönderilmemesi amacıyla ulusal laboratuvarların desteklenmesi, gerekli yerli üretim tıbbî cihazların temini ve bu konuda ihtisaslı insan kaynağının güçlendirilmesi konusunda çalışmalar yapılması,
d) Genetik verilerin yurtiçinde depolanması için gerekli idarî düzenlemelerin yapılarak bunu mümkün kılacak yerli, millî ve akredite bilişim altyapı çalışmalarının desteklenmesi,
e) Bilimsel amaçlarla kullanılmak üzere ulusal genetik veri bankacılığının geliştirilerek genetik veri saklama merkezinin oluşturulmasının teşvik edilmesi,
f) Bu alanda yürütülen araştırma ve çalışmalar da dahil, genetik verilerin işlenmesini esnasında; şeffaflık, açıklık ve hesap verebilirlik uygulamalarının geliştirilmesinin teşvik edilmesi ve bu suretle toplumun, bu çalışmaları yürüten kuruluşlar tarafından genetik verilerinin işlenmesinin nedenleri ve sonuçları hakkında bilgilendirilmelerinin sağlanması,
g) Genetik verilerin işlenmesini gerektirecek araştırma veya test faaliyeti yürüten kuruluşların, ilgili kişilere, elde ettikleri kişisel verileri nasıl, nerede ve ne şekilde kullanılacağına dair bilgilendirmede bulunan ve ilgili kişilerden gelecek taleplerin çözümünü sağlayan kişisel verilerin korunması alanında gerekli eğitimleri almış personeli ihtiva eden bir biriminin bulunması ya da bu işlevin sağlık kuruluşları bünyesinde bulunan ve yine kişisel verilerin korunması alanında gerekli eğitimleri almış personeli ihtiva eden personel görevlendirmek sureti ile “Hasta Hakları Birimi”nce yerine getirilmesi
h) İlgili kişilerin, kendilerine ait genetik verilerin yurt dışına gönderilmesi durumunda doğabilecek sonuçlar hakkında bilgilendirilerek toplumsal farkındalığın kamu spotu, toplantılar gibi yöntemlerle artırılması ve bu suretle yurt dışına genetik verilerini gönderen kişilerin sayısında düşüş sağlanması, yurt içinde hali hazırda gerçekleştirilebilen testlerin yurt dışında gerçekleştirilmesini engellemek amacı ile ilgili kişileri yeterli şekilde bilgilendirebilmesi için sağlık çalışanlarına yönelik bilinçlendirme çalışması yapılması.
V. 2022 yılında Kurum Tarafından Yayımlanan Kamuoyu Duyuruları
2022 yılında Kurum tarafından 4 adet kamuoyu duyurusu yayımlanmış, bu kamuoyu duyurularında, güvenlik tedbirleri, yurtdışına veri aktarımı ve VERBİS’e bildirim yükümlülüğüne ilişkin açıklamalarda bulunulmuştur. Söz konusu kamuoyu duyuruları, hukuki açıdan bağlayıcılık taşımamakla birlikte, Kurum’un ilgili hususa ilişkin hukuki değerlendirmesini ve yaklaşımını göstermesi bakımından önem arz etmektedir.
Yayınlanmış olan kamuoyu duyuruları tarih sırasına göre aşağıda yer almaktadır.
1. Taahhütname yoluyla Yurtdışına Veri Aktarımı
18 Ocak 2021 tarihinde yayımlanan kamuoyu duyurusu uyarınca, veri sorumlusu Türkiye Futbol Federasyonu tarafından yurtdışına kişisel veri aktarımı yapılması hususundaki taahhütname başvurusu Kurul tarafından KVKK madde 9/2’nin (b) bendi kapsamında değerlendirilmiş ve söz konusu veri aktarımına 18.01.2022 tarihinde Kurul tarafından izin verilmiştir.
2. VERBİS’e Bildirim Yükümlülüğü
4 Ocak 2022 tarihinde Kurul’un resmi internet sitesinde, VERBİS’e kayıt yükümlülüğüne ilişkin olarak hatırlatılması gerekli görülen hususlara yönelik kamuoyu duyurusu yayımlanmıştır.
Bu kapsamda
- VERBİS’e kayıt başvuru formunun sadece sisteme girilmesi veya Kuruma posta, kargo, kurye, KEP ile iletilmesi ya da elden teslim edilmesi Sicile kayıt ve bildirim yükümlülüğünün yerine getirilmiş olduğu anlamına gelmemektedir. Sicile kayıt ve bildirim yükümlülüğünün yerine getirilmiş olması için VERBİS’e kayıt başvuru formunun Kuruma posta, kargo, kurye veya KEP ile iletilmesi ya da elden teslim edilmesi ve Kurumca onaylanması akabinde başvuru formunda belirtilen elektronik posta adresine iletilen “kullanıcı adı” ve “parola” ile VERBİS ana sayfada yer alan “Veri Sorumlusu Yönetici Giriş” butonu aracılığıyla giriş yaparak bir “irtibat kişisi” atanması, atanan irtibat kişisi tarafından da yine VERBİS ana sayfada yer alan “Sicile Kayıt” butonu aracılığıyla giriş yapılması ve ilgili veri sorumlusu için “bildirim” düzenlenerek sistem üzerinden bildirimin onaylanması gerekmektedir.
- VERBİS; kesintisiz olarak erişim, başvuru ve bildirim düzenlemesine açık olup hâlihazırda sistem üzerinden başvuru yapılabilmesi ve bildirim düzenlenmesi imkânı bulunmaktadır. Bu nedenle eksik başvuru ve bildirimlerin bir an önce tamamlanması önem arz etmektedir. Ayrıca, “Veri sorumluları, Sicilde kayıtlı bilgilerde değişiklik olması halinde meydana gelen değişiklikleri, değişikliğin meydana geldiği tarihten itibaren yedi gün içerisinde VERBİS üzerinden Kuruma bildirir.” hükmü gereği VERBİS üzerinden giriş yapılarak “bildirim güncellemesi” yapılması mümkündür.
VERBİS’e kaydolmak haricinde, KVKK ve ikincil mevzuatta getirilen diğer yükümlülükler de bulunmakta olup veri sorumlularının diğer yükümlülüklere de uyması gerektiği tabiidir.
3. Kullanıcı Güvenliğine İlişkin Veri Sorumluları Tarafından Alınması Tavsiye Edilen Teknik ve İdari Tedbirlere İlişkin Kamuoyu Duyurusu
Kurul, 15 Şubat 2022 tarihinde, Kurul resmi internet sitesinde Kullanıcı Güvenliğine İlişkin Veri Sorumluları Tarafından Alınması Tavsiye Edilen Teknik ve İdari Tedbirlere İlişkin Kamuoyu Duyurusu (“Güvenlik Duyurusu”) yayımlanmıştır.
Güvenlik Duyurusu’nda uyarınca, son zamanlarda Kurum’a intikal eden veri ihlal bildirimleri değerlendirilmiştir. Bu kapsamda; finans, e-ticaret, sosyal medya ve oyun gibi muhtelif sektörlerde faaliyet gösteren veri sorumlularının internet sitelerine giriş için kullanılan kullanıcı hesap bilgilerinin (kullanıcı adı ve parolalar) bazı internet sitelerinde herkese açık şekilde yayınlandığı görülmüştür. Söz konusu kullanıcı hesaplarını elde eden üçüncü kişilerce anılan veri sorumlularının internet sitelerine kullanıcıların haberi olmadan aktif bir şekilde giriş yapıldığı ve ilgili kişilere ait verilerin bu kapsamda görüntülenebildiği tespit edilmiştir.
Ayrıca farklı zamanlarda, veri sorumluları sistemlerinden veya son kullanıcı bilgisayarlarındaki güvenlik açıkları kullanılarak elde edilen kişisel verilerin, hukuka aykırı bir şekilde paylaşıldığı ve ekonomik bir değer karşılığında satışa sunulabildiği görülmektedir. Bununla birlikte ilgili kişilere ait bu veriler elden ele dolaşarak kötü niyetli kişilerce arşivlenerek daha büyük veri setleri halinde yeniden pazarlanabilmektedir.
Söz konusu hususlar dikkate alınarak, veri sorumlularunca aşağıdaki güvenlik tedbirlerinin alınması tavsiye edilmektedir.
- Çift kademeli kimlik doğrulama (two-factor authentication) sistemlerini kurmaları ve kullanıcılarına üyelik başvurusu aşamasından itibaren alternatif güvenlik önlemi olarak sunmaları,
- Kullanıcıların hesaplarına sık erişim sağlayan cihazlar haricinde farklı cihazlar üzerinden giriş yapılması durumunda, giriş bilgilerinin e-posta/sms vb. yöntemlerle ilgili kişilerin iletişim adreslerine iletilmesinin sağlanması,
- Uygulamaların HTTPS (Hypertext Transfer Protocol Secure – Hiper Metin Aktarma Güvenli İletişim Kuralı) ile veya aynı güvenlik seviyesini sağlayacak bir şekilde koruma altına alınması,
- Kullanıcı parolalarının, siber saldırı yöntemlerine karşı korunmasını teminen, güvenli ve güncel karma (hashing) algoritmaların kullanılması,
- IP (Internet Protocol Address) adresinden yapılacak başarısız giriş denemesi sayısının sınırlandırılması,
- İlgili kişilerin en az son 5 adet başarılı ve başarısız giriş denemeleri ile ilgili bilgilerini görüntüleyebilmelerinin sağlanması,
- İlgili kişilere aynı parolanın birden fazla platformda kullanılmaması gerektiğinin hatırlatılması,
- Veri sorumluları tarafından parola politikasının oluşturulması ve kullanıcılara ait parolaların belirli aralıklarla değiştirilmesinin sağlanması veya bu hususun ilgili kişilere hatırlatılması,
- Yeni oluşturulan parolaların, eski parolalarla (en az son üç parolayla) aynı olmasının engellenmesi, kullanıcı hesaplarına girişlerde bilgisayar ile insan davranışlarını ayırt edici güvenlik kodu gibi teknolojilerin (CAPTCHA, dört işlem vb.) kullanılması, erişime izin verilen IP adreslerinin sınırlandırılması,
- Veri sorumlularının sistemlerine giriş yapılan parolaların uzunluğunun asgari 10 karakter olması, büyük-küçük harf, rakam ve özel karakterlerin bir arada kullanılmasına yönelik güçlü parola oluşturulmasının sağlanması,
- Veri sorumlularının sistemlerine giriş için üçüncü parti yazılımlar veya servisler kullanılıyorsa bu yazılımların ve servislerin güvenlik güncelleştirmelerinin düzenli olarak gerçekleştirilmesi ve gerekli kontrollerin yapılması
4. VERBİS Kayıt Yükümlülüğü
21 Nisan 2022 tarihinde Kurum’un resmi internet sitesinde, VERBİS kayıt yükümlülüğüne ilişkin kamuoyu duyurusu yayımlanmıştır.
Duyuruda, KVKK madde 18/1 uyarınca, “(ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir.” hükmü ile aynı maddenin (3) numaralı fıkrasında yer alan “Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.” hükmü gereği Sicile kayıt ve bildirim yükümlülüğünü yerine getirmeyen veri sorumluları hakkında Kurul tarafından re’sen idari yaptırım uygulanabileceği ifade edilmektedir.
Bu kapsamda Sicile kayıt ve bildirim yükümlülüğünü yerine getirmediği tespit edilen veri sorumluları hakkında KVKK madde 18 uyarınca idari yaptırım uygulanmasına başlanmıştır.
IV. Anayasa Mahkemesi’nin 29/9/2022 Tarihli ve 2018/16857 Başvuru Numaralı Kararı
1 Aralık 2022 tarihli ve 32030 sayılı Resmi Gazete’de yayımlanan Anayasa Mahkemesi’nin (“AYM”) 29 Eylül 2022 tarihli ve 2018/16857 başvuru numaralı kararında, AYM başvurucunun aleni olmayan bir konuşmasının hukuka aykırı şekilde kayıt altına alınmasına yönelik şikâyeti üzerine yapılan soruşturmanın devletin pozitif yükümlülüklerine uygun yürütülmemesi nedeniyle kişisel verilerin korunmasını isteme hakkının ihlal edildiğine karar
Karara konu olayda, başvurucunun bir borç ilişkisine ilişkin ses kayıtları aleni olmayan bir ortamda alınmış ve ses kaydı başvurucunun şüpheli olduğu bir ceza dosyasına delil olarak konulmuştur. Başvurucu tarafından, ses kaydını alan kişi hakkında Cumhuriyet Başsavcılığına şikâyette bulunmuş, Başsavcılık ile olayda ses kaydını alan kişinin suç işleme kastı bulunmadığına, başvurucu tarafından işlendiği iddia edilen suçlara ilişkin delil sunma saikiyle hareket edildiği kanaatine ulaşmıştır.
AYM ise “Başvurucunun gizliliğinin korunacağı konusundaki haklı beklentisine dayalı olarak aleni olmayan bir ortamda diğer kişilerle yaptığı konuşmalarının onun rızasına aykırı şekilde kayıt altına alınmasının ve söz konusu ses içeriğinin yine onun rızasına aykırı olarak kullanılmasının özel hayatı kapsamında olan kişisel verilerine saldırı teşkil ettiği ve saldırının anılan hukuki değerler üzerindeki etkilerinin ağır olduğu” değerlendirmesinde bulunmuştur. AYM’ye göre, olayda bir ölçülülük değerlendirmesi yapılmamış olması, çatışma halindeki menfaatlerin adil biçimde dengelenmesi çabasına girilmemesi, ses kaydında kesinti ya da ekleme işlemlerinin yapılıp yapılmadığının tespit edilmesi konusunda başvurucunun taleplerinin karşılanmaması, ses kaydının planlı şekilde yapıldığı iddiasına ilişkin olarak ismi geçen ilgili diğer kişilerin bilgisine başvurulmaması başvurucunun usule ilişkin güvencelerden yeterli şekilde yararlandırılmadığını göstermektedir. AYM işbu karar ile, aleni olmayan konuşmaların delil olarak kullanılmak adına kaydedilmesinin her durumda hukuka uygun olarak kabul edilemeyeceğini, ölçülülük ilkesi gözetilerek ve çatışma halindeki menfaatlerin adil şekilde dengelenerek bir sonuç çıkarılması gerektiğini ortaya koymuştur.
B. KURUL VE KURUM’UN YAPISI İLE DENETLEYİCİ FAALİYETLERİ
I. Kurul ve Kurum’un Yapısı ve Teşkilatlanma
Kişisel Verileri Koruma Kurumu (“Kurum”), Kurul ve Başkanlık’tan oluşmaktadır. Kurum, Kurum Başkanı, Kurum Başkan Yardımcısı, Kurum Başkanı dışında 8 Kişisel Verileri Koruma Kurulu (“Kurul”) üyesi ve 7 başkanlık birimi şeklinde teşkilatlanmıştır.
Genel Kurul’un 05.10.2022 tarihli 3. Birleşiminde yapılan seçim sonucunda Kurul’da boşalacak iki üyelik için İsmail Aydın ve Recep Keskin seçilmişlerdir. Mevcut yapı şu şekildedir:
Başkanlıklar
• Veri Yönetimi Dairesi Başkanlığı
• İnceleme Dairesi Başkanlığı
• Hukuk İşleri Dairesi Başkanlığı
• Veri Güvenliği ve Bilgi Sistemleri Dairesi Başkanlığı
• Rehberlik, Araştırma ve Kurumsal İletişim Dairesi Başkanlığı
• İnsan Kaynakları ve Destek Hizmetleri Dairesi Başkanlığı
• Strateji Geliştirme Dairesi Başkanlığı
Kurum, Çarşamba Seminerleri de dahil olmak üzere 2021 yılında 29 adet seminer eğitim ve etkinlik gerçekleştirdiğini resmî internet sitesinden duyurmuştur. Bunlardan bazıları;
• Kişisel Verileri Koruma Zirvesi
• e-Safe Kişisel Verileri Koruma Zirvesi
• Kişisel Verilerin Korunması Konferansı
• 7 Nisan Kişisel Verileri Koruma Günü Etkinliği
• Dijital Dünya Çalıştayı
• Siber Güvenlik Ekosisteminin Geliştirilmesi Zirvesi
• Dijital Çağda Kişisel Verilerin Korunması
• Güncel Gelişmeler Işığında Kişisel Verilerin Korunması Kanunu
• Uygulama ve Teoride Kişisel Verilerin Korunması
• 28 Ocak Veri Koruma Günü Etkinliği
Kurum, 2018 yılı için ilk defa faaliyet raporu yayımlamış ve bu uygulamasını 2019 ve 2020 yılları için devam ettirmiştir. Kurum, 2021 yılında yürüttüğü faaliyetlere ilişkin olarak önceki yıllardan farklı olarak, henüz bir faaliyet raporu yayımlamamıştır. Kurum resmi internet sitesinde 2021 yılı içinde yayınlar dikkate alındığında, 118 adet karar özeti, 60 adet veri ihlal bildirimi, 3 taahhütname onay duyurusu da dahil olmak üzere toplam 12 adet kamuoyu duyurusu yayımlamıştır.
II. Kurul’un 2022 Yılında Kamuoyu ile Paylaşılan Denetleyici Faaliyetlerine Genel Bakış
1. Veri ihlal bildirimleri ve Kurul’un yaklaşımı
Kurum, 2021 yılında resmî internet sitesinde 35 adet veri ihlali yayımlamıştır. Henüz 2021 yılına ilişkin olarak yayımlanmış bir karar olmamakla beraber, 2020 yılında yayımlanan veri ihlali bildirimlerine ilişkin yayımlanan kararlardan 6 adedinde Kurul, gerekli teknik ve idari tedbirlerin alınması sebebiyle ceza verilmemesine karar vermiştir. İlgili karaların detayları C/III başlığı altında ele alınmaktadır.
2. Kurul’un Faaliyetlerine Yönelik İstatistiki Veriler
Kurul’un yayımlamış olduğu 2019, 2020 ve 2021 yılı Faaliyet Raporunda açıklanan bilgilere göre istatistiki veriler aşağıdaki gibidir:
3. Şikayetler
3.1 Şikayetlerin Sektör Bazında Dağılımı
3.2 Şikayetler Konu Bazında Dağılımı
A) 2019 Yılı Şikayetler Bazında Dağılım*
*Kurum tarafından yayımlanmış olan faaliyet raporundan alınmıştır.
B) 2020 Yılı Şikayetler Bazında Dağılım*
*Kurum tarafından yayımlanmış olan faaliyet raporundan alınmıştır.
C) 2021 Yılı Şikayetler Bazında Dağılım*
*Kurum tarafından yayımlanmış olan faaliyet raporundan alınmıştır.
3.3 Şikâyet ve İhbar Sayıları*
*Kurum tarafından yayımlanmış olan faaliyet raporundan alınmıştır.
4. Yaptırımlar
4.1 İdari Yaptırımlar
4.2 Yaptırımların İncelenmesi
2017-2022 Yılları Arasında 36 Milyon TL İdari Para Cezası
- En Yüksek Ceza: WhatsApp’a *** karar no altında verilen 1.950.000 TL tutarındaki cezadır. Bu ceza, Kurul’un faaliyete başladığı tarihten itibaren açıklanmış olan ve tek kalemde kesilen en yüksek para cezasıdır.
2022 yılı içerisinde 32 adet Yayınlanmış Özet/Kısa Karar
- Kişisel verilerin hukuka aykırı işlenmesini önlemek için gerekli teknik ve idari tedbirlerin alınmaması nedeniyle 20 adet idari para cezası,
- Kişisel verilerin hukuka aykırı olarak işlendiğinin makul bir sürede Kurula ve veri sahiplerine bildirilmemesi nedeniyle 1 adet idari para cezası,
- Kurulun talimatlarını ve ihlalleri giderme emirlerini yerine getirmeme nedeniyle 0 adet idari para cezası,
- Genel veri koruma ilkelerine uyulmaması nedeniyle 4 adet idari para cezası,
- İlgili kişilerin haklarını düzenleyen madde 11’e uyulmaması nedeniyle0 adet idari para cezası.
Sektörlere Göre Yayınlanan Kararlar
2021 yılı içerisinde Kurum’un internet sitesinde yayımlanan ve sektör bilgisine yer verilen kararlardan derlediğimiz üzere, verilen kararların sektöre bazında dağılı aşağıdaki gibidir.
- 6 karar Bankacılık ve Finans
- 5 karar Perakende ve e-Ticaret
- 4 karar Bilişim, Telekomünikasyon ve Medya
- 2 karar Endüstri
- 2 karar Eğitim
- 2 karar İnsan Kaynakları
- 2 karar Sağlık
- 1 karar Hukuk
- 1 karar Sigortacılık
7 kararda ise sektör belirtilmemiştir.
4.3 İlgili Kanun Maddelerine Göre Yayınlanan Kararlar
2022 yılı içerisinde Kurum’un internet sitesinde yayımlanan kararların ilgili kanun maddelerine göre dağılımı aşağıdaki şekildedir.
5. En Yüksek İdari Para Cezaları
Aşağıdaki tabloda Kurul tarafından 2018 yılından itibaren kamuoyuna duyurulmuş olan kararlar çerçevesinde kesilmiş olan en büyük 20 para cezası listelenmektedir. Tablo incelendiğinde, en yüksek idari para cezası kesilen ilk beş karara bakıldığında Bilişim ve Medya sektörünün en çok ceza alan sektör olarak ilk sırada geldiği görülmektedir. İlgili kararlar incelendiğinde ise, bu beş karardan dördünde veri ihlallerinin idari aksaklıklardan çok bilgi sistemlerindeki aksaklıklar ve Kurul’a zamanında bildirimde bulunulmamasından kaynaklandığı anlaşılmaktadır.
Madde 12/1: Kişisel verilerin hukuka aykırı olarak işlemeyi önlemek için gereken teknik ve idari önlemlerin alınmaması
Madde 12/3: Kuruluş içinde KVKK’ye uygunluğun denetlenmemesi
Madde 12/5: İşlenen kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edildiğinin makul bir sürede Kurula ve ilgili kişilere bildirilmemesi
Madde 15/5: Kurulun ihlallerin giderilmesine yönelik talimat ve emirlerinin yerine getirilmemesi.
Yukarıdaki tabloda gösterildiği gibi, Kurul tarafından yayımlanmış kararlarda uygulanan yaptırımların yüzde 80’i, madde 12’de düzenlenen veri güvenliği kurallarına uyulmamış olması gerekçesiyle idari para cezasını düzenleyen madde 18/1 (b)’ye dayanmaktadır. Bunun nedeni, KVKK’nin yalnızca madde 10, 12, 15 ve 16’nın ihlali için yaptırım öngörmesi ve KVKK’nin madde 4, 5, ve 6’nın ihlaline yönelik herhangi bir yaptırım öngörmemiş olmasıdır.
III. Kurul İlke Kararları
1. Araç Kiralama Sektöründe Kara Liste Uygulaması
Kurul, 23 Aralık 2021 tarihinde araç kiralama sektöründe kara liste uygulamasına ilişkin olarak 2021/1304 sayılı ilke kararı almış ve ilgili kararın Resmî Gazete’de yayımlanmasına karar verilmiştir.
Kararda, Kurum’a intikal eden ihbarlar kapsamında araç kiralama sektöründe “kara liste” yazılımlarına/programlarına/uygulamalarına başvurulduğu anlaşılmıştır. İncelmeler kapsamında, araç kiralama yazılımcısı ve satıcısı kişilerin araç kiralama firmalarına (veya araç kiralama işi yapan gerçek kişilere) “kara liste” özelliği de içeren araç kiralama yazılımları sundukları, araç kiralama firmaları tarafından söz konusu yazılımlara kendi müşterileri olan araç kiralayan gerçek kişilerin kişisel verilerinin işlendiği; işlenen bu veriler arasında araçların kullanım sürecinde meydana gelen olumsuzlukları veya araç kiralama firmasının yorumlarını da içeren “kara liste” bilgilerinin yer aldığı, bu bilgilerin araç kiralama firmaları tarafından sonraki kiralamalar için karar verirken kullanılmak üzere işlendiği, öte yandan bahse konu yazılımların, bir araç kiralama firmasının kendi girdiği verileri diğer araç kiralama firmalarına da açmasına da olanak veren sistemler olarak tasarlandığı, dolayısıyla araç kiralama firmasından yazılıma, yazılımdan ise söz konusu yazılımı kullanan diğer araç kiralama firmalarına kara listeye ilişkin veri akışı/paylaşımı sağlayan bir sistem oluşturulduğu, araç kiralayan ilgili kişilerin kişisel verilerinin de böylece karşılıklı olarak paylaşılmakta olduğu, belirlenmiştir.
Kurul bu hususları dikkate alarak,
- KVKK madde 4’te düzenlenen genel ilkelere, madde 5’te düzenlenen işleme şartlarına ve madde 8’de düzenlenen aktarıma ilişkin hükümlere aykırı olarak araç kiralama sektöründe kara liste uygulamaları kapsamında kişisel verilerin işlenmesi halinde, söz konusu veriler üzerinde hakimiyeti bulunan araç kiralama şirketlerinin yazılım şirketleri ile ortak veri sorumlusu olarak değerlendirileceklerine,
- Hukuka aykırı bu gibi uygulamalara son verilerek, araç kiralama sektöründe kişisel veri işleme süreçlerinin KVKK’ye uygun olmasını teminen KVKK madde 12’de düzenlenen gerekli teknik ve idari tedbirlerin veri sorumlularınca alınması gerektiğine,
- Söz konusu önlemleri almaksızın ve KVKK hükümlerine aykırı şekilde araç kiralama sektöründe kara liste uygulamasına başvuran veri sorumluları hakkında KVKK madde 18 uyarınca işlem tesis edileceği hususunda kamuoyunun bilgilendirilmesine,
- KVKK madde 15/6 hükmü uyarınca alınan bu İlke Kararının Resmi Gazete ile Kurumun internet sitesinde yayımlanmasına
karar vermiştir.
2. Belediyelerin Ödeme ve Borç Sorgulama Hizmetleri
Kurul, 21 Nisan 2022 tarihinde Belediyelerin ödeme ve borç sorgulama hizmetlerine ilişkin olarak 2021/1304 sayılı ilke kararı almış ve ilgili kararın Resmî Gazete’de yayımlanmasına karar verilmiştir
Kurum’a iletilen çeşitli ihbarlarda belediyelerin çevrimiçi olarak sunmuş olduğu emlak vergisi ödeme/hızlı ödeme veya borç sorgulama sayfalarında yalnızca T.C. kimlik numarası girilerek vatandaşın emlak bilgilerine ulaşılmasının kişisel verilerin korunması açısından sorun teşkil ettiği ifade edilerek, konunun KVKK kapsamında incelenmesi talep edilmiştir.
Kurum tarafından yapılan incelmelerde.
Buna bağlı olarak Kurul tarafından
- Belediyelerin emlak vergisi ödeme/hızlı ödeme ve borç sorgulama hizmetlerinde üyelik ve şifre ya da çift faktörlü doğrulama kullanmak sureti ile KVKK madde 12 kapsamında gerekli teknik ve idari tedbirleri alması gerektiğine,
- Söz konusu önlemleri almayan belediyeler hakkında iletilecek şikayet/ihbarlar doğrultusunda ilgili belediye hakkında KVKK madde 18 hükümleri çerçevesinde işlem tesis edileceği hususunda kamuoyunun bilgilendirilmesine,
- Belediyelerin emlak vergisi ödeme/hızlı ödeme ve borç sorgulama hizmetlerinde KVKK madde 12 kapsamında “üyelik ve şifre” ya da “çift faktörlü doğrulama” kullanılması gerektiği hususunda KVKK madde 15/6 kapsamında İlke Kararı alınarak Resmi Gazetede ve Kurumun internet sayfasında yayımlanmasına
oybirliği ile karar verilmiştir.
IV. Önemli Karar Özetleri
1. Özel Nitelikli Kişisel Verilere İlişkin Kararlar
“İlgili kişinin ‘el geometrisi’ bilgisinin bir işletmenin hizmet binasına giriş yapabilmek amacıyla veri sorumlusu tarafından açık rıza alınmaksızın işlenmesi” hakkındaki Kişisel Verileri Koruma Kurulunun 7 Temmuz /2022 tarihli ve 2022/662 sayılı Karar
İlgili kişi, bir işletmeye abone olurken hizmet alanına giriş yapabilmek için ilgili firma yetkililerince avuç içi ve parmak izi bilgisinin tarandığını ve bu verilerin şirket kayıtlarında işlendiğini belirtmiştir. İlgili kişi, kanunen geçerli bir açık rızası olmaksızın avuç içi ve parmak izinin taratıldığını iddia ederek veri sorumlusunun sessiz kalması üzerine Kurum’a şikâyette bulunmuştur.
Somut olayda Kurul tarafından ele alınan hukuki sorun el geometrisi verilerinin özel nitelikli kişisel veri olup olmadığıdır.
Biyometrik veriler, özel nitelikli bir kişisel veridir ve bu tür veriler ancak kişinin açık rızası olması durumunda veya KVKK’de öngörülen haller mevcutsa işlenebilir.
Somut olayda bu işletmeye giriş yaparken el geometrisini okuyan bu cihazın bulunmasının sebebi kimlik doğrulaması yapmak ve işletmeye girişlerde güvenliği sağlamaktır.
Danıştay, 15. Dairesinin 2014/4562 Esas sayılı Kararında el geometrisini tanımanın biyometrik ölçüm yöntemi olduğunu belirtmiştir. Avrupa Genel Veri Koruma Tüzüğü ise biyometrik veriyi bir kişiyi benzersiz bir şekilde tanımlayama yarayan fiziksel özellikler olarak tanımlamaktadır. Diğer bir deyişle biyolojik veri değerlendirmesinde, o verinin o kişiyi tanımlayabilmesi veya doğrulayabilmesini aranmaktadır. AYM de benzer bir bakış açısı ile biyometrik veriyi bir şahısın başkalarından ayrılmasını ve kimliğinin tanınmasını sağlayan özel nitelikli kişisel veri olarak açıklamıştır.
Kurul, el geometrisini tanıyan cihazın yanılması neredeyse imkânsız olacak derecede iyi bir şekilde elin üç boyutlu resmini çıkartmasından ötürü ve bu verilerin kişileri kimliğini doğrulamak için kullanılmasından ötürü el geometrisi verilerinin özel nitelikli kişisel veri olduğu sonucuna ulaşmıştır. Bununla birlikte bu tür verilerin işlenebilmesi; sadece açık rızanın verildiği veya kanunda açıkça öngörülen hallerde mümkün olacaktır.
Biyolojik veriler bakımından yapılan tespitler sonucunda, el geometrisi verileri saklanan abonelerin saklanan kişisel veriler hakkında yeterince aydınlatılmadığı ortaya çıkmıştır. Mahkeme, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek ve kişisel verileri güvenli bir şekilde saklamak için veri sorumlusundan bu verilerin silinmesini talep etmiştir. Ayrıca veri sorumlusu hakkında 100.000 TL idari para cezası uygulanmıştır.
2. Sadakat Programına İlişkin Karar
“İlgili kişinin, bir sadakat programı kapsamında veri sorumlusunca hukuka aykırı kişisel veri işlendiği yolundaki ihbarı” hakkında Kişisel Verileri Koruma Kurulunun 5 Temmuz 2019 tarihli ve 2019/198 sayılı Karar
Veri sorumlusunun mağazasında satılan bazı ürünlere sadakat karta özel indirim uygulandığı, böylece özel indirimlerin şarta bağlandığı, söz konusu sadakat programına üyelik ve kart temini için de müşterinin kişisel verilerinin talep edildiği ve açık rızanın koşul olarak dayatıldığı belirtilerek veri sorumlusu hakkında Kurum’a ihbarda bulunulmuştur.
Konuya ilişkin yürütülen inceleme neticesinde Kurul tarafından veri sorumlusunun mağazalarında sunulan ürün veya hizmetlerin, gerçekleştirilen kampanyalar dahilinde ve veri sorumlusu şirketin sadakat programına özel indirimli fiyatlar üzerinden ek bir menfaatle sunuluyor olmasının, açık rızanın koşul olarak dayatılması ve bu anlamda ilgili kişinin açık rızasının bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmesi olarak kabul edilemeyeceğinden, söz konusu dilekçeye ilişkin olarak KVKK hükümleri kapsamında yapılacak bir işlem olmadığına karar verilmiştir.
3. Ticari Elektronik İleti Gönderimine İlişkin Kararlar
3.1 “Tıbbi ürünler satan veri sorumlusu tarafından ilgili kişiye reklam içerikli SMS gönderilmesi suretiyle kişisel verilerinin işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 11 Kasım 2021 tarihli ve 2021/1153 sayılı Kararı
İlgili kişinin Kuruma intikal eden şikâyetinde;
- kişisel verisi niteliğindeki cep telefonu numarasına tıbbi ürünler satan bir veri sorumlusundan reklam içerikli ticari elektronik ileti gönderildiği,
- kişisel verilerinin işlenmesine ilişkin açık rızasının bulunmadığını beyan ederek kişisel verilerinin nasıl elde edildiği hakkında bilgi ve kişisel verilerinin silinmesi talepli dilekçe ile veri sorumlusuna başvuruda bulunduğu,
- başvurusuna karşılık iletilen cevapta ilgili kişinin telefon numarası dışında herhangi bir verisinin kendilerinde bulunmadığının, söz konusu cep telefonu numarasının veri sorumlusu bünyesinde kayıtlı başka bir hastanın iletişim bilgisi olarak verdiği numara olduğunun, bu hastanın reklam ve tanıtım mesajları alma konusunda onayının bulunduğunun ve ilgili hastanın sehven ilgili kişinin numarasını vermiş olabileceğinin düşünüldüğünün belirtildiği;
- ancak veri sorumlusunca verilen bu cevabın yetersiz olduğu ve onay mekanizmasını doğrulama olmaksızın gerçekleştirmesi nedeniyle veri sorumlusunun söz konusu olayda ihmalinin bulunduğu,
ifade edilerek gereğinin yapılması talep edilmiştir.
- İlgili kişiye ticari elektronik ileti gönderilmesi suretiyle kişisel verilerinin hukuka aykırı olarak işlenmesi hususuna ilişkin olarak; söz konusu cep telefonu numarasının veri sorumlusu kayıtlarında kendisi ile ilişkilendirmiş bir veri olarak işlenmediği, bir müşteri tarafından sehven hatalı numaranın bildirilmesi sonucu şikâyete konu olayın vuku bulduğu ve bu hususların veri sorumlusu tarafından belgeleri ile tevsik edilebildiği kanaatine varılmış olup veri sorumlusu hakkında KVKK kapsamında tesis edilecek herhangi bir işlem bulunmadığına,
- KVKK’nin kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesini düzenleyen 7. maddesi ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi Hakkında Yönetmeliğe uygun bir biçimde ilgili kişinin kişisel verilerinin imha edilmesi ve bu hususta Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına
karar verilmiştir.
3.2 “İlgili kişinin kişisel verisi niteliğindeki cep telefonu numarasının, Digiturk kampanyaları hakkında bilgilendirmede bulunmak amacıyla aranması ve SMS gönderilmesi suretiyle işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 2 Aralık 2021 tarih ve 2021/1210 sayılı Karar Özeti
İlgili kişinin Kuruma intikal eden şikâyetinde özetle; kullanmakta olduğu cep telefonu numarasına farklı tarihlerde aramalar gerçekleştirilerek Digiturk kampanyaları hakkında bilgilendirmede bulunulduğu, yapılan aramalarda kendilerinin Digiturk bayisi olunduğunun belirtildiği, akabinde Digiturk hizmetlerinin reklam ve pazarlamasının yapılması amacıyla ilgili kişiye SMS gönderildiği, ancak iletişim bilgilerinin ticari elektronik ileti gönderilmesi suretiyle işlenmesi hususunda açık rızasının bulunmadığı, bu anlamda herhangi bir işleme şartına dayanmaksızın kişisel verilerinin hukuka aykırı olarak işlendiği, adı geçen şirkete ilgili kişi hakları kapsamında başvuruda bulunduğu, bu başvuruya karşılık verilen cevapta ilgili kişinin Şirket nezdinde abonelik kaydının bulunmaması nedeniyle ilgili kişinin herhangi bir kişisel verisinin sistemlerinde yer almadığı, söz konusu ticari iletilerin kendileri tarafından gönderilmediği ve başvuruda belirtilen telefon numaralarının Şirket’lerine ait olmadığı yönünde bilgi verildiği belirtilerek konu ile ilgili gerekli incelemenin yapılması talep edilmiştir.
Kurul,
- Krea İçerik Hizmetleri ile Bayi arasındaki ilişkiye yönelik olarak bir değerlendirme yapıldığında, ilgili kişinin kişisel verisinin işlenmesi faaliyetine ilişkin karar alma ve talimat verme yetkisinin Krea İçerik Hizmetleri’nde bulunduğu durumda Krea İçerik Hizmetleri’nin veri sorumlusu, kendisine verilen talimatlar çerçevesinde hareket eden Bayi’nin ise veri işleyen sıfatını haiz olacağının düşünülebileceği; ancak konuya ilişkin olarak tarafların Kuruma sundukları beyanlar değerlendirildiğinde Krea İçerik Hizmetleri’nin somut olayda veri sorumlusu olarak hareket ettiğine dair bir tespitte bulunulmadığı,
- Öte yandan Bayi ile taşeronu M.D. (M. İletişim) arasındaki taşeronluk sözleşmesi incelendiğinde, Bayi nezdinde kayıtlı olan 0850 *** ** 77 numaralı hattın kullanımı için taşeron firmanın yetkilendirildiği, bu hattın kullanımı ile ilişkili sorumluluğun taşerona bırakıldığı ve sözleşmenin içeriğinde taşeronun Bayi’nin verdiği talimatlar çerçevesinde faaliyette bulunduğunu gösterir nitelikte hükümlerin yer almadığı görüldüğünden, şikâyete konu olayda Bayi’nin veri sorumlusu olarak nitelendirilebileceğine yönelik bir tespitte bulunulamadığı
- Şikâyete konu kişisel veri işleme faaliyetinde veri sorumlularından biri olduğu değerlendirilen M.D. (M. İletişim) tarafından, somut olayın KVKK’nin kapsamı dışında olduğu ve ETK çerçevesinde ele alınması gerektiği iddia edilmekle birlikte ticari elektronik iletilerin gönderilmesi için kullanılan iletişim kanallarının kişisel veri niteliğinde olması nedeniyle ileti gönderim sürecinin kişisel verilerin korunmasına ilişkin mevzuata da uygun olmasının beklendiği ve M.D.’nin (M. İletişim) sisteminde kayıtlı verilerin numara türetme yöntemi ile elde edildiğine yönelik beyanı esas alındığında ilgili kişinin telefon numarasının işlenmesinde herhangi bir işleme şartına dayanılmadığının anlaşıldığı,
- Şikâyete konu olayda diğer veri sorumlusu olduğu sonucuna varılan M.A. isimli şahsın kişisel veri işleme faaliyeti açısından bir değerlendirme yapıldığında ise ilgili kişinin bir internet sitesi üzerinden doldurduğu iddia edilen formun geçerliliğinin sorgulanmaya muhtaç olduğu, zira ilgili formun internet sitesinde gösterilen biçimde ve log kaydı veya benzeri bir formatta Kuruma sunulmadığı, bunun yerine ilgili kişinin cep telefonu numarasının ve başvuru tarihinin M.A.’nın el yazısı ile yazıldığı, “onay veriyorum” kutucuğunun işaretlendiği ve formun M.A.’nın ismi ve telefon numarası yazılarak yine M.A.’nın kendisi tarafından imzalandığı görüldüğünden M.A.’nın iddia ettiği üzere formun ilgili kişi tarafından doldurulduğuna yönelik yeterli kanaatin oluşmadığı ve sunulan bu formun hukuka uygun bir açık rıza olarak kabul edilemeyeceği
değerlendirmelerinde bulunulmuştur.
Bu kapsamda,
- Krea İçerik Hizmetleri ve Prodüksiyon Anonim Şirketi ile Bayi’nin somut olayda veri sorumlusu olarak hareket ettiklerine yönelik bir tespitte bulunulamadığından anılan şirketler hakkında tesis edilecek bir işlem bulunmadığına,
- İlgili kişinin kişisel verisi niteliğindeki telefon numarasının işlenmesinde herhangi bir işleme şartına dayanılmadığı sebebiyle veri sorumlusu M.D. hakkında idari yaptırım uygulanmasına,
- Şikâyete konu olayda veri sorumlusu olarak değerlendirilen M.A. isimli şahsın Kuruma sunduğu formun hukuka uygun bir açık rıza olarak kabul edilemeyeceği dikkate alındığında, ilgili kişinin kişisel verisinin işlenmesine ilişkin herhangi bir işleme şartına dayanmayan veri sorumlusu M.A. hakkında idari yaptırım uygulanmasına,
- İlgili kişi tarafından kullanılmakta olan telefon numarası verisinin imha edilmesi ve sonucundan Kurula bilgi verilmesi hususunda M.D. ve M.A.’nın talimatlandırılmasına,
- Öte yandan, yeni müşteri kazandırma süreçlerinde KVKK’ye uyum hususunda azami dikkat ve özenin gösterilmesi hususunda bayilerini yönlendirmesi/bilgilendirmesi ve bayiler ile yapılacak sözleşmelerde veri sorumlusu ve veri işleyenin kim olduğu hususunda açık hükümlere yer verilmesi hususunda Krea İçerik Hizmetleri ve Prodüksiyon Anonim Şirketi’nin talimatlandırılmasına karar verilmiştir.
3.3 “Sağlık sektöründe faaliyet gösteren veri sorumlusu tarafından ilgili kişinin kişisel verilerinin açık rızası alınmaksızın ticarî elektronik ileti gönderilmesi amacıyla işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 18 Ocak 2022 tarihli ve 2022/31 sayılı Karar Özeti
İlgili kişinin Kuruma intikal eden şikâyetinde özetle, e-posta adresine sağlık sektöründe faaliyet gösteren veri sorumlusu tarafından ticarî içerikli bir ileti gönderildiği, KVKK uyarınca kişisel verilerin işlenebilmesi için ilgili kişilerin açık rızasının alınmasının veya aynı maddenin (2) numaralı fıkrasında sayılan açık rızanın aranmadığı özel şartlardan birinin sağlanmasının gerektiği, ancak somut hadisede ne kendisinin açık rızasının alındığı ne de KVKK’de gösterilen özel şartların sağlandığı ifade edilmiştir.
Kurul,
- Hasta kaydı açılması sırasında ilgili kişinin veya refakatçilerinin iletişim bilgilerinin temin edilmesinin, KVKK ile birlikte diğer sair mevzuata da bir aykırılık teşkil etmediği, ancak somut hadisede ilgili kişinin iletişim bilgisinin, herhangi bir tıbbî bilginin kendisine veya yakınına iletilmesi için değil bir pazarlama faaliyetinde bulunmak amacıyla kullanıldığı, ilgili kişiye gönderilen e-posta içeriğinin bilgilendirme ve ticarî amaçlı olduğunun görüldüğü,
- KVKK madde 4/2’nin (ç) bendinde, kişisel verilerin işlendikleri amaçla sınırlı, bağlantılı ve ölçülü şekilde işlenebileceğinin açıkça belirtildiği, veri sorumlusunun hasta kaydı açılırken ilgili kişiden iletişim bilgilerini temin etmesi hukuka uygun olsa da bahse konu olayda kişisel verilerin temin edildikleri andaki elde etme amacıyla bağlantısız bir şekilde e-posta adresine ticari amaçlı e-posta gönderilmesi suretiyle işlenmeleri nedeniyle ilgili hükmün ihlal edildiğinin görüldüğü
değerlendirmelerinde bulunulmuştur.
İlgili kişinin kişisel verilerinin veri sorumlusu tarafından temin edilmesi hukuka uygun olsa da söz konusu kişisel verilerin elde edilme amaçlarıyla alakalı olarak kullanılmamasından ötürü şikâyet edilen veri işleme faaliyetinin hukuka aykırı olduğu, bu kapsamda veri sorumlusu tarafından bir veri işleme şartı olmaksızın ilgili kişinin e-posta adresine reklam ve pazarlama amacıyla bildirim gönderilmesi suretiyle kişisel verisinin işlenmesi sebebiyle 100.000 TL idari para cezası uygulanmasına karar verilmiştir.
4. İrtibat Bürolarına İlişkin Kararlar
4.1 “İlgili kişi işçinin hakkında yürütülen kişisel verilerin işlenmesi faaliyetleri kapsamında yurtdışında mukim olan veri sorumlusu işverence aydınlatılmaması, ilgili kişiye ait kişisel verilerin Nisan 2021 sonrası dönemde veri sorumlusu tarafından hukuka aykırı olarak işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 2 Aralı 2021 tarihli ve 2021/1218 sayılı Kararı
İlgili kişinin şikâyetinde, Ekim 2020 ila Nisan 2021 tarihleri arasında yurtdışında mukim olan veri sorumlusunun İstanbul İrtibat Bürosu’nda görev yaptığı ve iş sözleşmesinin eylemli fesih yoluyla sona erdirildiği, veri sorumlusunun İstanbul İrtibat Bürosu’nun, “iş sözleşmesinin devamı” ve “iş sözleşmesinin eylemli fesih yoluyla sona erdirilmesi” olmak üzere iki farklı dönemde, ilgili kişiye karşı KVKK’den kaynaklanan yükümlülüklerini yerine getirmediği, ilgili kişi tarafından KVKK madde 13’e dayanılarak hazırlanan ve e-posta üzerinden veri sorumlusunun İstanbul İrtibat Bürosu’na yöneltilen 26/05/2021 tarihli İhtarname’ye cevaben iletilen 07/06/2021 tarihli e-postada açık ve doğru bilgi verilmediği, ilgili kişinin istihdam edildiği süreçte kişisel verilerinin işlenmesi faaliyetinin amacı, kapsamı, verilerinin kimlerle paylaşıldığı, nasıl ve hangi süre için saklandığı, hangi hukuki sebeplerle işlendiği, KVKK kapsamında veri sorumlusuna yöneltebileceği haklarının neler olduğu konularında bilgilendirilmediği, eri sorumlusunun İstanbul İrtibat Bürosu’nun ilgili kişinin kişisel verilerinin hangi üçüncü kişilere aktarıldığı ve ilgili kişinin kişisel verilerinin yurtdışına aktarılıp aktarılmadığı konularında da ilgili kişiyi bilgilendirmediği, kişisel verileri yurt dışına aktarılıyor ise bu hususta ilgili kişinin açık rızasının alınmadığı, ilgili kişinin özel nitelikli kişisel verilerinin işlenip işlenmediğinin de veri sorumlusunun İstanbul İrtibat Bürosu tarafından ilgili kişiye bildirilmediği, eğer özel nitelikli kişisel verileri işleniyor ise bu hususta ilgili kişinin açık rızasının alınmadığı ifade edilmiştir.
Bu kapsamda, her ne kadar ilgili kişi tarafından veri sorumlusunun İstanbul İrtibat Bürosu hakkında şikâyette bulunulmuş olsa da yabancı şirketlerin Türkiye’deki irtibat bürolarının tüzel kişiliklerinin bulunmadığı ve KVKK’nin “Kapsam” başlıklı 2. maddesi uyarınca KVKK hükümlerinin sadece gerçek kişiler ile tüzel kişiler hakkında uygulanabileceği dikkate alınarak ve ilgili kişinin iddialarına istinaden yurtdışında mukim veri sorumlusu hakkında inceleme başlatılmasına karar verilmiştir.
Kurul,
- İlgili kişiye Avrupa Genel Veri Koruma Tüzüğü (GDPR) yükümlülükleri kapsamında bir bilgilendirme yapılmış olmakla birlikte Türkiye’de işlediği kişisel veriler bakımından KVKK madde 10’a uygun olarak aydınlatma yükümlülüğünü yerine getirmesi konusunda özen gösterilmesi hususunda veri sorumlusuna hatırlatmada bulunulmasına,
- Veri sorumlusu ile arasındaki iş ilişkisinden kaynaklanan uyuşmazlıkların çözümü için adli makamlar nezdinde girişimde bulunması gerektiği hususunda ilgili kişinin bilgilendirilmesine,
- İlgili kişiler tarafından kendisine KVKK madde 11 ve 13 ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 5’inci maddesine istinaden yapılacak başvuruları KVKK madde 13 ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 6’ncı maddesi çerçevesinde etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırması hususunda veri sorumlusunun talimatlandırılmasına
karar verilmiştir.
4.2 “Yurt dışında mukim veri sorumlusunun Türkiye’deki irtibat bürosu tarafından işe alım sürecinde adaylardan özel nitelikli kişisel veri talep edilmesi” hakkında Kişisel Verileri Koruma Kurulunun 24 Şubat 2022 tarihli ve 2022/172 sayılı Kararı
İlgili kişinin yurt dışında mukim veri sorumlusunun Türkiye’deki irtibat bürosu hakkındaki şikâyetinde ilgili kişinin işe kabulü yapılırken veri sorumlusunun irtibat bürosunca kendisinden adli sicil kaydı, sağlık raporu, akciğer filmi raporu, kan grubu belgesi, ehliyet fotokopisi, evlilik cüzdanı fotokopisi ve aile bireylerinin nüfus cüzdanı fotokopilerinin istenildiği ve ilgili kişi tarafından bu belgelerin teslim edildiği, irtibat bürosunun bahse konu özel nitelikli kişisel verilerin işlenmesi için ilgili kişiden açık rıza almadığı, aile bireylerinin nüfus cüzdanı bilgilerinin talep edilmesinin KVKK’nin madde 4 kapsamındaki genel ilkeler ile çeliştiği, veri sorumlusunun yurt dışında mukim olması sebebiyle, ilgili kişiye ait kişisel verilerin yurt dışına da aktarılmış olabileceği, ilgili kişinin başvurusuna veri sorumlusu tarafından 30 günlük yasal süre içinde herhangi bir yanıt verilmediği ifade edilmiştir.
Kurul,
- Somut olayda “veri sorumlusu” sıfatının irtibat bürosuna değil, bizzat yurt dışı merkezli şirkete ait olduğu,
- İrtibat bürosu müdürünün aynı zamanda veri sorumlusunun işveren vekili olması sebebiyle, ilgili kişi tarafından irtibat bürosuna yapılan tebligatın hukuken muteber ve geçerli olduğu,
- İlgili kişinin veri sorumlusuna yaptığı başvuruya KVKK ve Tebliğ hükümleri ihlal olunarak yasal süre dâhilinde herhangi bir yanıt verilmediği,
- Şikâyet konusunu teşkil eden somut olayda yurt dışına veri aktarılmasının hukuka aykırı olmadığı, ilgili kişiye ait kişisel verilerin yurt dışında mukim veri sorumlusu tarafından iş ilişkisi kapsamında akdedilen sözleşme vasıtasıyla, yerleşik ülke hukuku doğrultusunda elde edildiği fakat bu mevzuat hükümlerine ilişkin olarak ilgili kişiye ve Kurula yeterli açıklamalarda bulunulmadığı,
- Bahse konu iş akdinin ifası için ilgili kişiye ait kişisel verilerin yurt dışında işlenmesinin gerektiği ve bunun yegâne yolunun da ilgili kişinin açık rızasının alınması olduğu anlaşıldığından, ilgili kişiden alınan açık rızanın hukuka uygun olduğu,
- İlgili kişinin kişisel verilerinin gerek şirket merkezi gerekse de irtibat bürosu nezdinde imha edildiğine dair destekleyici bir belgenin Kuruma intikal ettirilmediği
değerlendirmelerinde bulunmuş ve
- İlgili kişilerin başvuruları konusunda azamî dikkat ve özeni göstermesi,
- İlgili kişinin kişisel verilerinin şirket merkezi ve irtibat bürosu nezdinde imha edildiğini gösterir belgenin ilgili kişiye iletilerek bu hususu tevsik edici belge ile birlikte işlemin sonucundan Kurula bilgi vermesi
hususlarında talimatlandırılmasına karar verilmiştir.
5. Ticaret Şirketlerine İlişkin Kararlar
5.1 “İlgili kişinin eski ortağı olduğu şirketin sicil bilgilerinin görüntülendiği internet adresinde kişisel verilerinin hukuka aykırı olarak paylaşılması” hakkında Kişisel Verileri Koruma Kurulunun 6 Ocak 2022 tarih ve 2022/6 sayılı Karar Özeti”
Somut olayda bir şirketin eski bir ortağının ismi ve soyadı ilgili şirketin internet sayfasında izni olmaksızın paylaşılmaktadır. İlgili kişi, şirketle idari veya hukuki ilgisi kalmadığı için bu verilerin silinmesi için Ticaret Odasına sözlü ve yazılı olarak başvuruda bulunmuştur ancak Ticaret Odası kişinin bu talebini reddetmiştir.
KVKK uyarınca kişisel veriler ancak onların işlenmesini gerektiren sebepler ortadan kalkarsa kişinin talebi ile silinecek, yok edilecek veya anonim hale getirilecektir. Kurul, Ticaret Sicil Gazetesinde yer alan bilgilerin ticaret odasının sayfasında bulunmasının amacının ticaret sicil işlemlerine ilişkin bilgiye daha kolay ulaşılabilir olmasını sağlamak olduğuna kanaat getirmiştir. Türkiye Odalar ve Borsalar Birliği ile Odalar ve Borsalar Kanununda yer aldığı üzere bu kurumların sorumlulukları ticaret ve sanayiyi ilgilendiren bilgilerin elde edilmesini kolaylaştırmak, üyelerinin mesleklerini icra ederken ihtiyaç duyabilecekleri her çeşit bilgiyi başvuru durumunda kendilerine sunmaktır.
Kurul bu bilgiler ışığında, bu verileri saklamanın söz konusu odanın görevi olduğu, bu sebeple bu kişisel verilerin işlenmesinin KVKK’de öngörülen bir hal teşkil ettiği yönünde karar vermiştir. Ayrıca KVKK uyarınca bu verilerin silinmesi için bu verilerin işlenmesini gerektiren sebebin ortadan kalkmadığına karar vermiştir, böylelikle ilgili kişinin talebini reddetmiştir. Bu değerlendirmelerden hareketle Kurul, veri sorumlusu hakkında KVKK kapsamında yapılacak bir işlem olmadığına karar vermiştir.
5.2 “Unvanında ilgili kişinin adının geçtiği bir şirket hakkında başlatılan icra takibine ilişkin dosya içeriğinin sosyal medyada paylaşılması hakkında” Kişisel Verileri Koruma Kurulunun 10 Şubat 2022 tarihli ve 2022/103 sayılı Karar Özeti
Veri sorumlusu tekstil firması ile yapılan alışveriş sonrasında veri sorumlusu tarafından ilgili kişinin adının geçtiği yedek parça şirketi hakkında icra takibi başlatılmıştır. Bunun üzerine bir şahıs da sosyal medyada herkese açık olan bir grupta icra dosyasını üçüncü kişilerle paylaşmıştır. İlgili kişi, icra dosyasının içerisinde yer alan kişisel bilgilerinin ifşa edildiğinden bahisle kişilik haklarının ihlal edildiğini belirterek Kuruma şikâyette bulunmuştur.
Kurul, ilgili şirket yetkilisinin ismini ve soy ismini taşıyor olsa da yapılan paylaşımın ve paylaşımın altında yapılan yorumların tüzel kişiyi hedeflendiğini ve şirketin unvanının veya borç bilgisinin, adresinin ve vergi kimlik numarasının gerçek kişinin hak ve menfaatlerinde bir etkiye sahip olmadığını belirterek somut olay bakımından kullanılan kişisel verinin KVKK’deki kişisel veri tanımını karşılamadığına karar vermiştir. Dolayısıyla Kurul, bu verilerin sosyal medya üzerinden paylaşılmasını kişisel veri olarak değil, “tüzel kişiye ait veri” olarak değerlendirmiştir. Şikâyet, Kurul tarafından reddedilmiş olup veri sorumlusu hakkında KVKK kapsamında yapılacak bir işlem olmadığına karar verilmiştir.
6. İş İlişkisi ve İşe Alım Süreçlerinde Kişisel Veri İşleme Faaliyetlerine İlişkin Kararlar
6.1. “İş arama ve işe alım süreçlerini yürüten bir istihdam platformunun Kişisel Verilerin Korunması Kanunu’na aykırı uygulamalarda bulunması” hakkında Kişisel Verileri Koruma Kurulunun 14 Ekim 2021 tarihli ve 2021/1051 sayılı Karar Özeti
Kurum’a intikal eden şikâyet dilekçesinde özetle; veri sorumlusuna ait iş arama ve işe alım süreçlerini yürüten bir istihdam platformunda ilgili kişinin üyelik hesabı üzerinden yaptığı iş başvuruları ve iş görüşmeleri sonucunda işverenlere yönelik kişisel verilerinin gizliliği ve işlenmesi hususlarında veri sorumlusunun KVKK’ye aykırı uygulamalarda bulunduğu, ilgili kişinin iş başvuruları ve görüşme sonrasına ait işverenlere sunulan tüm bilgi ve belgelerin dijital bir örneğinin kendisine verilmesi hususundaki bilgi/erişim talebinin veri sorumlusunca yerine getirilmediği, ayrıca ilgili kişinin başvurusuna cevaben iletilen cevabi yazıda ilgili kişinin onayı olmaksızın verilerinin silineceğinin belirtildiği ifade edilmiş ve konu hakkında gerekli işlemlerin yapılması talep edilmiştir.
İlgili kişinin veri sorumlusunun ilk cevabından sonra talebinin karşılanmadığı düşüncesiyle Kurul’a şikâyette bulunduğu, ilgili kişinin kişisel verilerine erişim talebinin Kurul’a şikâyette bulunma tarihinden sonra ve KVKK’ye uygun şekilde “talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde” sonuçlandırıldığı görüldüğünden, ilgili kişinin kişisel verilerine erişim talebinin karşılanmadığına yönelik şikâyeti hakkında KVKK kapsamında yapılacak bir işlem bulunmadığı belirtilmiştir.
İlgili kişinin veri sorumlusu nezdindeki kişisel verilerinin silindiği/silineceği iddiasına yönelik veri sorumlusunun beyanı aksine bir bilgi veya belgenin ilgili kişi tarafından Kuruma sunulmaması, ilgili kişinin iş başvurusu bilgilerinin e-posta ile ilgili kişiye iletilmiş olması, ilgili kişinin şikâyet tarihinden sonra da veri sorumlusuna ait platformda iş başvurularına devam ettiği bilgisinin verilmesi ve ilgili kişinin başvurusu ile KVKK madde 11 kapsamındaki tüm haklarını kullanmak istediğini belirtmesi karşısında verilerinin silinmesini de talep ettiğinin anlaşılmasında veri sorumlusuna herhangi bir kusur yüklenemeyeceği değerlendirilerek; ilgili kişinin talebi olmaksızın kişisel verilerinin veri sorumlusu tarafından silineceğinin/imha edileceğinin bildirilmesine yönelik şikâyeti hakkında KVKK kapsamında yapılacak bir işlem bulunamamıştır.
İlgili kişinin bilgisi ve onayı olmaksızın iş başvuruları ve iş görüşmelerine ilişkin kişisel verilerinin diğer işverenlere aktarıldığı iddiasına yönelik şüphenin ötesine geçen herhangi bir tevsik edici bilgi veya belge sunmamış olması, veri sorumlusunun ise işverenlerin yalnızca çalışan adaylarının platforma yüklediği bilgileri görebildiğini, işverenlerin kendilerine başvuruda bulunan çalışan adaylarına ilişkin notlarını ve izlenimlerini platforma yükleyebildiği ancak bu durumun tamamen işverenlerin takdirinde olduğu ve işverenlerin çalışan adayları hakkında aldığı notların ve izlenimlerinin diğer işverenlere aktarılması gibi bir uygulamanın söz konusu olmadığını beyan etmesi karşısında; ilgili kişinin bu şikâyetiyle ilgili olarak KVKK kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.
6.2 “Veri sorumlusu işveren tarafından eski çalışanı olan ilgili kişinin kurumsal e-posta hesabına aydınlatma yapılmaksızın erişilmesi” hakkında Kişisel Verileri Koruma Kurulunun 25 Kasım 2021 tarihli ve 2021/1187 sayılı Karar Özeti
İlgili kişinin Kuruma intikal eden şikâyetinde özetle, veri sorumlusu şirketin eski çalışanı olduğu, ilgili kişi ile veri sorumlusunun karşılıklı taraf oldukları dava dosyalarına sunulan delil listeleri içeriğinde, ilgili kişiye ait kişisel veri niteliğinde olan ilgili kişinin nişanlısı ile e-posta üzerinden yapmış olduğu konuşma içeriklerine, şahsi banka hesap dökümlerine ve yaptığı harcama kayıtlarına erişim sağlandığının görüldüğü, veri sorumlusu tarafından, şirket çalışanlarına verilen e-posta adreslerinin sadece iş dolayısıyla kullanılması gerektiğini bildiren herhangi bir açıklama veya bildirim yapılmamış olduğu bu hususa dair denetim kriterlerinin de belirlenmediği, ilgili kişinin özel hayatına ilişkin e-posta içeriklerinin bilinçli bir şekilde kötü niyetli olarak veri sorumlusu tarafından ele geçirildiği, ilgili kişinin 16.11.2020 tarihi itibariyle tek taraflı olarak iş akdini feshettiği, buna rağmen işveren sıfatını haiz olmadığı dönem de olmak üzere veri sorumlusu tarafından ilgili kişiye ait kişisel verilerin işlendiği ve üçüncü kişilere aktarıldığı, veri sorumlusu tarafından ilgili kişiye ait kişisel verilerin KVKK’de öngörülen işleme şartlarına aykırı olarak işlendiği, üçüncü kişilere aktarıldığı, bu hususta ilgili kişiye bir aydınlatma yapılmamış ve açık rıza metni sunulmadığı, müşterilerinin ve çalışanlarının bilgilerinin muhafaza edildiği, söz konusu kişilerin iş ve işlemlerini gerçekleştirdiği platformun “cloud” olduğu ve söz konusu Cloud’un da Microsoft tarafından sağlanan OneDrive bulut sistemi olduğu, adı geçen hizmet sağlayıcı firmaların “server”larının yurtdışında bulunuyor olmasından dolayı söz konusu işlemelerin KVKK madde 9’a uygun olarak gerçekleştirilmesi gerektiği, ilgili kişinin şirket e-posta hesabının veri sorumlusu tarafından tahsis edilmiş olduğu, bu e-posta hesabına kimlerin erişim sağladığı belirli olmamakla birlikte, veri sorumlusu tarafından sunulan cevabi yazının içeriğinden, söz konusu verilerin şirket hissedarı ve şirket yetkilisi ile diğer bazı işyeri çalışanlarının erişime açık bir halde olduğu anlaşıldığı ifade edilmiştir.
Kurul tarafından,
- iş ilişkisi kapsamında ilgili kişiye veri sorumlusu tarafından kurumsal faaliyetlerde ve işin gerektirdiği ölçüde kullanılmak üzere bir kurumsal e-posta hesabının tahsis edildiği, ancak veri sorumlusunun cevabi yazısında da belirtildiği üzere ilgili kişiye söz konusu hesabın sadece işin ifası amacı ile kullanılacağına veya işveren tarafından çalışanların e-postalarının incelenebileceğine/denetlenebileceğine ilişkin olarak KVKK madde 10 ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ (“Tebliğ”) madde 4 kapsamında herhangi bir aydınlatma yapılmadığının görüldüğü,
- İlgili kişiye KVKK ve Tebliğ hükümleri kapsamında herhangi bir aydınlatma yapmaması nedeniyle veri sorumlusu tarafından ilgili kişinin e-postalarının incelenmesinin herhangi bir işleme şartına dayanmadığı,
- İlgili kişinin açık rızası olmaksızın işlenen özel hayatı ile ilgili e-posta içeriklerinin, şahsi banka hesap dökümlerinin, harcama kayıtlarının ve işleme şartını haiz olmadan işlenen diğer kişisel verilerinin silinmesi veya yok edilmesi şeklindeki talebine ilişkin olarak; veri sorumlusunun ilgili kişiye verdiği cevapta; söz konusu kurumsal e-posta hesabında yer alan yazışmaların devam etmekte olan davada delil olarak mahkemeye sunulmuş olması sebebiyle silinemeyeceğinin belirtildiği dikkate alındığında, yargı konusu olan hususlara ilişkin inceleme yapılamayacağından hareketle ilgili kişinin söz konusu talebi çerçevesinde yapılacak işlem bulunmadığı,
- Somut olay kapsamında ilgili kişinin tüm yazışmalarını kurumsal e-posta adresi aracılığı ile yapmış olmasında ilgili kişinin verilerini kamuoyuna açıklama gibi bir iradesi bulunmadığından, kişisel verilerin alenileştirilmesinden bahsedilemeyeceği
değerlendirmelerinde bulunulmuştur.
Kurul,
- İlgili kişiye KVKK ve Tebliğ hükümleri kapsamında herhangi bir aydınlatma yapılmaması dolayısıyla veri sorumlusu tarafından ilgili kişinin e-postalarının incelenmesinin herhangi bir işleme şartına dayanmadığı dikkate alındığında veri sorumlusu hakkında 250.000 TL idari para cezası uygulanmasına,
- İlgili kişinin, verilerinin yetkisiz üçüncü kişilerin erişimine açıldığı iddiasına ilişkin olarak; veri sorumlusunun Kuruma intikal eden cevabi yazısından ve ilgili kişiye vermiş olduğu cevabi yazıdan anlaşıldığı üzere taraflarına ulaşan veri sorumlusuna başvuru metninin içeriğinde söz konusu iddianın mevcut olmadığı görüldüğünden ilgili kişinin bu husustaki iddialarını KVKK madde 14 kapsamında öncelikle veri sorumlusuna iletmesi gerektiğinin hatırlatılmasına,
- İlgili kişinin bahse konu verilerinin silinmesi talebi çerçevesinde, veri sorumlusunun “ilgili kişinin kurumsal e-posta hesabında yer alan yazışmaların devam etmekte olan davada delil olarak mahkemeye sunulmuş olması sebebiyle silinemeyeceği” yönündeki cevabı dikkate alındığında, yargı konusu olan hususlara ilişkin inceleme yapılamayacağından hareketle ilgili kişinin söz konusu talebi çerçevesinde yapılacak işlem bulunmadığına,
- Öte yandan, ilgili kişinin “müşterilerinin ve çalışanlarının bilgilerinin muhafaza edildiği hizmet sağlayıcı firma olan Microsoft serverlarının yurtdışında bulunuyor olmasından dolayı söz konusu kişisel veri işlemenin KVKK madde 9’a uygun olarak gerçekleştirmesi gerektiği” yönündeki iddiasına ilişkin olarak; resen inceleme başlatılmasına
karar vermiştir.
6.3 “İlgili kişinin kişisel verisi niteliğindeki e-posta adresinin bir insan kaynakları firması tarafından reklam ve pazarlama amaçlı e-posta gönderilmesi amacıyla işlenmesi hakkında” Kişisel Verileri Koruma Kurulu’nun 9 Aralık 2021 tarihli ve 2021/1243 sayılı Kararı
Kuruma intikal eden şikâyet dilekçesinde;
- veri sorumlusu bir insan kaynakları firması tarafından ilgili kişiye ticari tanıtım amaçlı e-postalar iletildiği,
- ilgili kişinin veri sorumlusu ile daha önceden herhangi bir hukuki işleminin bulunmadığı dolayısıyla kişisel verilerinin nereden ve nasıl temin edildiği hakkında bir bilgiye sahip olmadığı,
- kişisel verilerinin bu çerçevede işlenmesi yönünde açık rızasının bulunmadığı, veri sorumlusuna bu hususta başvuruda bulunduğu ve kişisel verilerinin silinmesini talep ettiği, ancak kişisel verilerinin nereden temin edildiği ve ne amaçla işlendiği hususlarında tarafına bir bilgi verilmediği
ifade edilerek, veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.
- Veri sorumlusu tarafından ilgili kişinin kişisel verisi niteliğindeki e-posta adresinin ilgili kişiye ticari amaçlı bir e-posta gönderilmesi suretiyle işlendiği ancak kişisel verilerin işlenmesine dönük işleme şartlarından herhangi birinin söz konusu olmadığı dolayısıyla, veri sorumlusu tarafından “kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğüne aykırı davranıldığı anlaşıldığından veri sorumlusu hakkında 50.000 TL idari para cezası uygulanmasına,
- İlgili kişinin e-posta adresi bilgisinin KVKK’ye aykırı olarak işlendiği ve ilgili kişinin veri sorumlusuna başvurusunda kişisel verilerinin silinmesi talebini de ilettiği anlaşıldığından veri sorumlusunun, ilgili kişinin kişisel verilerini imha ederek imha işlemine ilişkin log kayıtlarının da Kurum’a iletilmesi suretiyle Kurul’a bilgi vermesi yönünde talimatlandırılmasına
karar verilmiştir.
6.4 “İlgili kişinin kişisel verilerinin iş akdinin sona erdiği veri sorumlusu şirket tarafından hukuka aykırı olarak işlenmesi hakkında” Kişisel Verileri Koruma Kurulunun 16Aralık 2021 tarihli ve 2021/1258 sayılı Karar Özeti
İlgili kişi tarafından sunulan şikayette, şikayetinin kişisel verilerine yönelik olarak veri sorumlusu şirkete başvuru yapmak istediğinde şirketin bir başvuru formunun bulunmadığı ve başvuru yollarının da tarafına bildirilmediği, aydınlatma yükümlülüğünün hukuka uygun olarak yerine getirilmediği, özel nitelikli kişisel verilerinin açık rızası olmaksızın işlendiği, veri sorumlusu şirkete parmak izi ve yüz tarama sistemi ile giriş yapıldığı, grup şirketinin farklı firmalarının yurt dışında şubesinin olduğu ve yurt dışı şubesi ziyareti esnasında kişisel verilerinin açık rızası olmaksızın yurt dışına aktarılmış olduğu, kişisel verilerine yönelik yeterli teknik ve idari güvenlik tedbirlerinin alınmadığı, veri sorumlusu şirketin internet sitesinde gizlilik politikasının bulunmadığı hususları belirtilmiştir.
Konuya ilişkin yürütülen inceleme neticesinde Kurul tarafından,
- İlgili kişinin iş sözleşmesine eklenen madde ile aydınlatma ve açık rıza yükümlülüklerinin yerine getirilmesinin mümkün olmadığı ve aydınlatma metninin içermesi gereken asgari unsurları içermediği,
- Veri sorumlusu şirketin biyometrik veri işlemekte hukuki sebep olarak ileri sürdüğü iş sözleşmesinde bir madde olarak yer alan açık rıza metninin, ilgili kişinin iş sözleşmesini imzalamadan işe başlamak gibi bir şansı bulunmadığından özgür irade ile imzalanmadığı, söz konusu açık rıza metnini kabul etmeme imkânının etkin bir biçimde ilgili kişiye tanınmamış olduğu,
- Personelin iş yerine giriş çıkışlarında kullanılan biyometrik verilerle ulaşılmak istenen amaca başka vasıtalarla ulaşılabilecek olmasına rağmen açık rıza şartına dayanılarak biyometrik veri işlenmesinin orantısız ve hukuka aykırı olduğu
değerlendirmeleri yapılmıştır.
Bu kapsamda Kurul,
- Veri sorumlusu şirketin hukuka aykırı işlediği biyometrik verilerin imha edilerek Kurul’a bilgi verilmesi konusunda talimatlandırılmasına
- Veri sorumlusu şirket, kişisel verilerin korunması alanındaki yükümlülüklerini yerine getirdiğini somut bilgi ve belgelerle ispatlamadığından Kurul, kişisel verilerin korunması için gereken teknik ve idari tedbir alma yükümlülüğünü ihlal etmesi gerekçesiyle veri sorumlusu şirket hakkında 125.000 TL idari para cezası uygulanmasına
karar vermiştir.
7. Teknoloji ve Medya Sektörlerine İlişkin Kararlar
7.1 “İlgili kişi anne ve ilgili kişi sıfatını haiz çocuğunun fotoğrafları da kullanılmak suretiyle ilgili kişi hakkında gerçek dışı, şeref ve haysiyet kırıcı bir televizyon haberi yapıldığı iddiası” hakkında Kişisel Verileri Koruma Kurulunun 2 Aralık 2021 tarihli ve 2021/1217 sayılı Karar Özeti
Kuruma yapılan şikâyette özetle, “veri sorumlusu” ve “hizmet sağlayıcı” sıfatlarını haiz olan bir medya şirketinin televizyon kanalının Ana Haber programında ilgili kişi ve çocuğunun fotoğrafları da kullanılmak suretiyle ilgili kişi anne hakkında gerçek dışı, şeref ve haysiyet kırıcı bir televizyon haberi yapıldığı, ilgili kişinin habere konu olayın geçtiği ilde ikamet etmediği, eşinden de boşanmadığı, ayrıca bıçaklanmasının da söz konusu olmadığı, dolayısıyla habere konu olayın da ilgili kişi ve çocuğu hakkında olmadığı, gerçeğe aykırı haber yapılırken ilgili kişinin Facebook sayfasından alınan fotoğrafın amacı dışında kullanılmasının ve yayılmasının hukuka açıkça aykırı olduğu, konuya ilişkin olarak medya şirketine yapılan başvuruya rağmen otuz günlük yasal süre içerisinde hukuka aykırılığın giderilmediği, başvuruculara da bilgi verilmediği ifade edilmiştir.
Kurul,
- ilgili kişinin isim ve soy isim bilgileri ile ilgili kişi ve çocuğuna ait bir fotoğrafın adı geçen kişilerin kimliklerini belirli veya belirlenebilir kılmaları nedeniyle “kişisel veri” niteliğini haiz olacakları, medya şirketinin “veri sorumlusu” olacağı, bu durumda medya şirketi tarafından ilgili kişiler hakkında yürütülen kişisel veri işleme faaliyetlerinin veri işleme şartlardan birine dayanarak ve KVKK madde 4’te düzenlenen genel ilkelere uygun şekilde yürütülmesinin gerekeceği konularında herhangi bir şüphenin bulunmadığı,
- İlgili kişilere ait fotoğrafın medya şirketi tarafından blurlanmak/buzlanmak suretiyle yayınlanmış olmasının somut olayda blurlanan/buzlanan fotoğraf ile “isim ve soy isim” gibi başka bilgilerin birleştirilmesi/eşleştirilmesi halinde ilgili kişilerin kimliklerinin belirlenebilmesinin mümkün olmasından ötürü mezkûr fotoğrafın kişisel veri niteliğini ortadan kaldırmadığı, zira ilgili kişinin haberde paylaşılan isim ve soy isim bilgileri ile arama motorlarından ve/veya –dosya kapsamına sunulan bilgi ve belgelerde belirtildiği üzere- Facebook adlı sosyal medya platformundan arama yapıldığında bu fotoğrafın blurlanmamış/buzlanmamış versiyonuna da erişimin mümkün olduğu,
- İlgili kişilerin haberde kullanılan fotoğrafının herkese açık olduğu anlaşılan Facebook sayfasında yer almasının (diğer bir deyişle alenileştirilmiş olmasının), bu fotoğrafın amacı dışında kullanılabilmesine cevaz vermeyeceği ve fotoğrafın işlenmesinin KVKK’de düzenlenen kişisel veri işleme şartlarına dayanması gerektiğinin açık olduğu, KVKK kapsamında “alenileştirme” kavramının, kişisel verinin herhangi bir şekilde kamuoyuna sunulmasından daha dar bir anlama sahip olduğu ve ilgili kişinin alenileştirme iradesi ve alenileştirme amacı ile yakın ilişki içeresinde bulunduğu,
- Haberin kamu ilgi ve yararı taşıyıp taşımadığının tespitinde, haberin kişilerin gereksiz merak duygularına mı yoksa yüksek ahlaki ve hukuki değerlerin korunmasına mı hizmet ettiğinin değerlendirilmesi gerektiği,
- Şikâyete esas haberin esasını oluşturan “bir gencin eşinden boşanıp bir başkası ile evlenen annesinin kapısına dayanarak onu kalbinden bıçakladığı” bilgisinin paylaşılmasında herhangi bir kamu ilgi ve/veya yararının bulunduğundan bahsedilemeyeceği, buna karşın kamuoyu nezdinde “üçüncü sayfa haberi” olarak bilinen bu tarz haberlerin basında sıklıkla yer aldığı dikkate alındığında inceleme konusu haberin “haberin kamu ilgi ve yararı taşıyıp taşımadığı” kriteri kapsamındaki durumunun tartışmalı olduğu sonucuna ulaşıldığı,
- Haberin gerçek ve güncel olması kapsamında; gerçekliğin habere konu edilen olayın gerçek olması anlamına geldiği, ancak yerleşik yargı kararlarında gerçeklikten maddi gerçekliğin değil görünürdeki gerçekliğin anlaşılması gerektiği ve görünürdeki gerçekliğe uygun olarak yapılan haberlerden ötürü basının sorumlu tutulmamasının ihtimal dâhilinde olduğunun kabul edildiği,
- İnceleme konusu haber bu bilgiler ışığında ele alındığında; haberin dayandırıldığı olay örgüsünün gerçek olduğu ama bir bütün olarak bakıldığında haberin doğru/gerçek olmadığı, zira haberde mağdurun adının yanlış aktarıldığı ve olayla alakasız bir kişi konumunda olan ilgili kişinin çocuğu ile birlikte olduğu bir fotoğrafının blurlanarak/buzlanarak da olsa kullanıldığı, bunun da yapılan haber yayınlanmadan önce medya şirketi tarafından haber içeriğindeki unsurlarının doğruluğuna ilişkin gereken her türlü dikkat ve özenin gösterilmediğine işaret ettiği,
- Somut olayda veri sorumlusu tarafından ilgili kişiler hakkında yürütülen kişisel veri işleme faaliyetleri için herhangi bir hukuki sebebe dayanılmadığının görüldüğü, bu durumun ise mezkûr kişisel veri işleme faaliyetini hukuka aykırı hale getirdiği
değerlendirmelerinde bulunulmuştur.
Mevcut tüm bilgi ve belgeler itibarıyla, ilgili kişilere ait kişisel verilerin veri sorumlusunca herhangi bir işleme şartına dayanmadan işlenmesi sebebiyle işleme faaliyetinin, “Veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmüne aykırılık teşkil ettiği kanaatine varıldığından, veri sorumlusu hakkında 300.000 TL idari para cezası uygulanmasına ve veri sorumlularınca hukuka aykırı kişisel veri işleme faaliyetinde bulunulduğundan bahisle ilgili kişiler tarafından öne sürülebilecek maddi ve/veya manevi tazminat talepleri için adli makamlar nezdinde girişimde bulunulabileceği konusunda ilgili kişilerin bilgilendirilmesine karar verilmiştir.
7.2 “Yemek Sepeti Elektronik İletişim Perakende Gıda Lojistik AŞ veri ihlal bildirimi hakkında” Kişisel Verileri Koruma Kurulunun 23 Aralık 2021 tarih ve 2021/1324 sayılı Karar Özeti
Veri sorumlusunun Kuruma intikal eden veri ihlal bildiriminde;
- 03.2021 tarihinde kimliği tespit edilemeyen şahıs/şahıslar tarafından veri sorumlusuna ait bir web uygulama sunucusuna erişildiği,
- Normal şartlarda yetkisiz bir erişim olduğunda uyarı veren araç üzerinde sorun kaydı oluştuğu ancak bir aksaklık nedeniyle yetkisiz erişimin o an fark edilemediği,
- 03.2021 tarihinde gelen alarmlar incelediğinde şüpheli bir davranış olduğunun tespit edildiği,
- Aynı tarihte yapılan incelemede Yemeksepeti’ne ait bir web uygulama sunucusu üzerindeki açıktan yararlanmak suretiyle uygulama kurulduğu ve komut çalıştırılarak sunucuya erişildiği,
- İhlali gerçekleştiren şahsın/şahısların eriştiği sunucu üzerinde kullanıcı oluşturarak farklı araçlar vasıtasıyla veri toplamaya çalıştıkları ve uzaktaki sunuculara trafik gönderdiklerinin de ayrıca tespit edildiği,
- Saldırganların veriyi Fransa’da bulunan bir IP adresine/sunucuya ilettikleri ve bu iletilen trafiğin firewall (güvenlik duvarı) üzerinde izlerinin olduğu,
- İhlalden 21.504.083 Yemeksepeti kullanıcısının etkilendiği,
- İhlalden etkilenen kişisel verilerin kullanıcı adı, adres, telefon numarası, e-posta adresi, kullanıcı şifresi ve IP bilgileri olduğu ifadelerine yer verilmiştir.
Veri ihlal bildiriminin Kurumun yetki ve görev alanı çerçevesinde incelenmesi neticesinde;
- Veri sorumlusuna ait bir web uygulama sunucusu üzerindeki açık sebebiyle uygulama kurarak ve komut çalıştırmak suretiyle sunucuya erişildiği,
- İhlalden 21.504.083 Yemeksepeti kullanıcısının etkilendiği,
- Etkilenen kişisel verilerin kullanıcı adı, adres, telefon numarası, e-posta adresi, şifre ve IP bilgileri olduğu,
- İhlalden etkilenen kişi sayısının çok fazla olması ve neredeyse tüm müşteri veri tabanının dışarı sızdırıldığı dikkate alındığında ihlalin çok büyük çaplı olduğu,
- İhlalin boyutu, sızdırılan verinin büyüklüğü ve sızdırılan kişisel verilerin niteliği dikkate alındığında, ihlalin ilgili kişiler açısından kişisel veriler üzerinde kontrol kaybı gibi önemli riskler oluşturacağı,
- Sisteme giren kişi ya da kişilerce, zararlı yazılım ve araçlarla sisteme giriş yaptıktan sonra diğer sistemlere de erişilerek bilgi toplandığı, sisteme zararlı yazılımların yüklenip, çalıştırılmasının veri sorumlusunca 8 gün boyunca fark edilemediği dolayısıyla bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi ve bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi noktasında veri sorumlusunun kusurunun bulunduğu,
- 03.2021 tarihinden itibaren güvenlik yazılımlarında alarmlar oluştuğu, oluşan bu alarmların üçüncü parti firmalar tarafından izlenen ürünlerde Yemek Sepeti Güvenlik Ekiplerine ilgili bildirimler yapılamadan ve gerekli aksiyonlar alınmadan kapatıldığının ifade edildiği, 25.03.2021 tarihinde iletilen alarmın Yemek Sepeti Güvenlik Ekiplerince incelenmesi sonucu siber saldırının farkına varıldığı dikkate alındığında bu durumun veri sorumlusunun hizmet aldığı üçüncü parti firmalar üzerinde etkin bir denetim mekanizmasının bulunmadığının ve güvenlik yazılımlarının takibi ile güvenlik prosedürlerinin kullanılması noktasında da eksiklerinin bulunduğunun göstergesi olduğu,
- Saldırganların veri sorumlusundan elde ettikleri veriyi Fransa’da bulunan bir IP adresine/sunucuya ait lokasyona ilettiği, sistemden çıkan 28.2 GB’lık verinin/dışarı giden trafiğin veri sorumlusu tarafından fark edilemediği ve bu veri trafiğinin firewall (güvenlik duvarı) üzerinde izlerinin olduğu dikkate alındığında; firewall üzerinde izlerin olmasına rağmen bu boyutta verinin dışarı sızdırılmasının fark edilememesinin veri sorumlusu tarafından güvenlik kontrolleri ve veri güvenliği takibinin düzgün bir şekilde yapılmadığının göstergesi olduğu,
- Açıklık bulunan sunucunun sızma testinden geçen bir sunucu olduğunun ifade edildiği dikkate alındığında bu durumun veri sorumlusu tarafından sızma testlerinin etkin bir şekilde yapılmadığını/yaptırılmadığını gösterdiği,
- Büyük miktarda kişisel veri işleyen veri sorumlusunun bu boyutta bir ihlal yaşamasının ve müdahalede geç kalmasının mevcut risk ve tehditleri iyi belirlemediğinin göstergesi olduğu
Değerlendirmeleri dikkate alınarak, veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında ihlalin boyutu, kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak 1.900.000 TL idari para cezası uygulanmasına karar verilmiştir.
7.3 “Araç kiralama programları yazılımcısı ve satıcısı firmalar tarafından, ilgili kişilerin verilerinin işlenmesi ve bu verilerin araç kiralama firmaları arasında paylaşılmasını sağlayan bir kara liste programı oluşturulması” hakkında Kişisel Verileri Koruma Kurulunun 23 Aralık 2021 tarihli ve 2021/1303 sayılı Karar Özeti
Kuruma intikal eden ihbarda özetle, ihbar edilen veri sorumlularının araba kiralama yazılımı üreticileri veya satıcıları olduğu, bu yazılımları kullanan araba kiralama şirketlerinin müşterileri hakkında elde ettikleri tüm verileri bu yazılımlar vasıtasıyla kayıt altında tuttuğu, bu kapsamda aynı yazılımları kullanan diğer şirketlerin de, rızaları olmaksızın ilgili müşterilerin kişisel verilerini uygulamadaki kara liste havuzundan görebildiği ve böylece bu yazılımı kullanan diğer kullanıcılara verilerin ifşa edildiği, bir araç kiralama firmasının kiraladığı aracına gelecek muhtemel zararlardan korunmak maksatlı bir takım önlemleri almasının ticaret hayatının olağan akışına uygun olduğu ancak müşterilerin rızası alınmaksızın bu yazılım vasıtasıyla kara listeye alındıkları ve böylece bu yazılımı kullanan diğer kullanıcılar ile kişisel verilerinin paylaşıldığı ifade edilmiştir.
Kurul tarafından gerçekleştirilen inceleme neticesinde;
- Müşterilere ait kişisel verilerinin KVKK’ye uygun olarak işlenmediği,
- Kurul, yazılım şirketinin araç kiralama şirketi tarafından tüm bu işlenen verileri diğer müşterilerine de kullandırdığı gerekçesi ile, araç kiralama şirketi ile birlikte ortak veri sorumlusu olduğu,
- Araç kiralama firmalarının araç kiralama işlemini kolluk kuvvetlerine bildirmesinin ve sözleşme kapsamında gerekli verileri toplamasının KVKK’de öngörülen veri işleme şartlarına uygun olduğu,
- Kara liste için kullanılan veri tabanları ile gerçekleştirilen işlemin kişilerin temel hak ve özgürlüklerine zarar verdiği, yapılan işlemin KVKK’de öngörülen genel ilkelerden hukuka ve dürüstlük kurallarına uygun olma, belirli ve meşru amaçlar için işlenme, amaçla bağlantılı, sınırlı ve ölçülü olma ilkelerine aykırı olduğu
değerlendirmelerine yer verilerek tüm işlemelerin mevzuata uygun olarak yapılması, gerekli idari ve teknik tedbirlerin alınması gerektiği; aksi takdirde idari para cezası kesileceği belirtilmiştir.
7.4 “E-ticaret sektöründe faaliyet gösteren veri sorumlusu şirket tarafından internet sitesinde/mobil uygulamalarında kullanılan çerezler aracılığıyla hukuka aykırı olarak kişisel veri işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 10 Mart 2022 tarih ve 2022/229 sayılı Karar Özeti
İlgili kişinin Kuruma intikal eden şikâyetinde özetle, veri sorumlusu tarafından uygulanmakta olan çerez politikasının kişilerin temel hak ve özgürlükleri ile özel hayatın gizliliğine müdahaleci nitelikte olduğu, çerez kullanımı hakkında internet sitesinde yer alan politikanın anlaşılmaz ve kapsamı belirtilmemiş bilgiler içermesi dolayısıyla çerezler hakkındaki aydınlatma yükümlülüğünün tam olarak yerine getirilmediği, çerez kullanımına ilişkin işleme şartı olarak meşru menfaatin zorunlu olduğunun iddia edilebilmesinin hukuken mümkün olmadığının düşünüldüğü ve veri sorumlusu tarafından ilgili kişinin açık rızasına dayanılarak da işleme faaliyetinin gerçekleştirilmediği, ayrıca ilgili kişinin, hangi veri konusu kişi grubuna dâhil olduğunun belirtilmediği, üye müşteri ve misafir müşteriyle ilgili olarak işlenen veri kategorileri ve veri tiplerinin işleme amaçlarının tam olarak açıklanmadığı ve kapsamlarının anlaşılamadığı ifade edilmiştir.
Kurul,
- Bir internet sitesinin düzgün çalışması için zorunlu çerezlere ilişkin olarak ilgili kişilerin açık rızasına gerek duyulmayacak iken; reklam, pazarlama ve performans amacıyla çalışan çerezlerin kullanılmasının ilgili kişinin açık rızasına tabi olduğu,
- “Kesinlikle gerekli çerezler”, internet sitesinin düzgün çalışması için gerekli çerezler olup ilgili kişinin açık rızası olmaksızın KVKK’de yer alan işleme şartlarından birine dayanılarak kişisel veri işleme faaliyeti gerçekleştirilebileceği,
- “Kesinlikle gerekli çerezler” statüsünde olmayan çerezler ile kişisel veri işleme faaliyeti gerçekleştirilmesi ve KVKK’de yer alan işleme şartlarından birinin bulunmaması durumunda ilgili kişinin açık rızasına başvurulması gerektiği,
- Veri sorumlusu tarafından ilgili kişilerin kullanıcı tercihlerinin kesinlikle gerekli çerezler kapsamında değerlendirildiği anlaşılmakla birlikte bu çerezlerin zorunlu çerezler dışında kalan işlevselliği sağlama amacı ile kullanıldığı, ilgili kişinin bilgi toplumu hizmetini açıkça talep ettiğinin net olmadığı durumlarda açık rızaya dayanılması gerekeceği,
- KVKK kapsamında açık rızanın, “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlandığı ve açık rızanın “aktif bir hareket” vasıtasıyla verileceğinin bir prensip olarak kabul edildiği göz önünde bulundurulduğunda veri sorumlusu tarafından kesinlikle gerekli olmayan çerezler kullanılması suretiyle KVKK’de yer alan kişisel veri işleme şartlarından herhangi birine dayanılmaksızın kişisel veri işleme faaliyeti gerçekleştirildiği ve bu işleme faaliyeti bakımından açık rıza mekanizması bulunmadığı,
- Tebliğ madde 5/1(h) bendi hükmü açısından değerlendirildiğinde, veri sorumlusunca düzenlenen Çerez Politikasında hangi kişisel verinin hangi işleme amacı ve hukuki sebep olan işleme şartı ile ilişkilendirildiğinin açıkça belirtilmediğinin; anılan düzenleme (i) bendi kapsamında değerlendirildiğinde ise hangi kişisel verilerin hangi yöntem ile elde edildiğinin Çerez Politikasında açıkça belirtilmediğinin görüldüğü
değerlendirmelerinde bulunulmuştur.
Kurul, veri sorumlusu tarafından kişisel veri niteliğinde “kesinlikle gerekli olmayan” çerezler kullanılması suretiyle herhangi birine dayanılmaksızın işleme faaliyeti gerçekleştirildiği, aktarım usullerinden herhangi birine dayanılmaksızın kişisel veri aktarıldığı dikkate alınarak veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında 800.000 TL idari para cezası uygulanmasına karar vermiştir.
8. Bankacılık, Finans ve Sigorta Sektörlerine İlişkin Kararlar
8.1 “Banka tarafından ilgili kişinin cep telefonu numarasına SMS gönderilmesi suretiyle kişisel verilerinin hukuka aykırı olarak işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 2 Kasım /2021 tarihli ve 2021/1104 sayılı Karar Özeti
İlgili kişinin Kuruma intikal eden şikâyetinde özetle; verilerinin silinmesi için veri sorumlusu Bankadan talepte bulunduğu, Banka tarafından verilen cevapta bu hususta gerekli işlemlerin yapıldığının belirtildiği, buna rağmen Bankadan SMS ve e-posta ile bilgilendirme mesajları gönderilmeye devam edildiği ve bu hususta Bankaya başvurulduğu, verilen yanıtta “Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik” düzenlemesinin gerekçe gösterildiği belirtilerek veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.
Kurul tarafından yapılan değerlendirmede, şikâyete konu SMS’lerin gönderildiği döneme ilişkin, yeni tip COVID-19 salgını ile mücadele kapsamında İçişleri Bakanlığı’nın 81 İl Valiliği’ne, büyükşehir statüsündeki 30 il ile Zonguldak’ta 30.04.2020 günü saat 24.00 ile 03.05.2020 günü saat 24.00 arasında sokağa çıkma kısıtlamasının uygulanacağına ilişkin 03.04.2020 tarih ve 6235 sayılı Sokağa Çıkma Kısıtlaması Genelgesini gönderdiği, genelgede bankalar başta olmak üzere yurt çapında yaygın hizmet ağı olan kurum, kuruluş ve işletmelerin bilgi işlem merkezleri ile çalışanlarının asgari sayıda olmak kaydıyla sokağa çıkma kısıtlamasından muaf tutulanlar listesinde belirtildiğinin görüldüğü ifade edilmektedir.
İlgili kişinin müşterisi olduğu Banka’ya kendisine ait iş ve işlemlerde ulaşılması adına vermiş olduğu telefon numarası bilgisinin, Banka nezdindeki hesaplarını kapatmış olmasına diğer bir ifadeyle pasif hale getirmiş olmasına ve Bankanın da kişisel verilerin saklama amacı dışında işlenmeyeceği yönünde ilgili kişiye cevap vermiş olmasına rağmen, veri sorumlusu tarafından başlangıçta alınan işleme amacından başka bir amaçla SMS göndermek suretiyle ilgili kişinin kişisel verilerini işlemesinin farklı bir işleme amacına hizmet ettiği tespit edilmiştir.
Diğer taraftan, Bankacılık Kanunu madde 42’de; alınan yazıların ve faaliyetler ile ilgili belgelerin asıllarının veya bunun mümkün olmadığı hallerde sıhhatlerinden şüpheye mahal vermeyecek kopyalarının ve yazılan yazıların makine ile alınmış, tarih ve numara sırası verilerek düzenlenecek suretlerinin, usulleri çerçevesinde ilgili banka nezdinde on yıl süreyle saklanacağının hükme bağlanmıştır.
Öte yandan veri sorumlusunun sunduğu belgeler ile Bankacılık Kanunu madde 42’de belirtilen 10 yıl saklama süresi hükmü ve KVKK madde 4’te belirtilen “İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” ilkesinin birlikte değerlendirilmesi neticesinde, ilgili kişinin banka nezdindeki son işleminin 03.08.2019’da gerçekleştirilen aktif ürünlerinin kapatılması işlemi olduğu ve dolayısıyla son işlem tarihi üzerinden 10 yıllık sürenin geçmemiş olduğu dikkate alındığında; ilgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin henüz ortadan kalkmaması sebebiyle silme talebinin veri sorumlusu tarafından yerine getirilmemesinin hukuka aykırı olmadığı değerlendirilmektedir.
Kurul,
- İlgili kişinin kişisel verilerinin silinmesi talebi ile ilgili olarak Bankanın kişisel verilerin saklama amacı dışında işlenmeyeceği yönünde ilgili kişiye verdiği cevaba rağmen Banka tarafından bilgilendirme amaçlı SMS göndermek suretiyle ilgili kişinin kişisel verilerini işlemesinin herhangi bir işleme şartına dayanmadığı dikkate alındığında, veri sorumlusu hakkında 50.000 TL idari para cezası uygulanmasına,
- İlgili kişinin veri sorumlusu banka nezdindeki son işleminin 03.08.2019’da gerçekleştirilen aktif ürünlerinin kapatılması işlemi olduğu ve dolayısıyla son işlem tarihi üzerinden 10 yıllık sürenin geçmemiş olduğu dikkate alındığında; ilgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin henüz ortadan kalkmaması sebebiyle silme talebinin veri sorumlusu tarafından yerine getirilmemesinin hukuka aykırı olmadığı kanısına varıldığından bu hususta KVKK kapsamında yapılacak bir işlemin olmadığına
karar vermiştir.
8.2 “İlgili kişinin kredi notunun Banka tarafından düzeltilmemesi ve kişisel verilerinin üçüncü kişilerle paylaşılması” hakkında Kişisel Verileri Koruma Kurulunun 2 Kasım 2021 tarihli ve 2021/1107 sayılı Kararı
Kuruma intikal eden şikâyette ilgili kişi tarafından bireysel kredi kartı ödemesi geciktirilmediği hâlde veri sorumlusu Banka tarafından kanuni takip başlatıldığı ve defalarca ilgili kişinin kredi notunu etkileyen hukuksuz işlemler yapıldığı, ilgili kişinin kredi notunun düşürüldüğü, yapılan itiraz üzerine Banka tarafından bu işlemin düzeltildiği ve kredi notunun yüksek düzeye yeniden çekildiği fakat bu işlemin takip eden aylarda Banka tarafından birkaç kez daha tekrarlandığı ve her seferinde ilgili kişinin ısrarlı tepkileri sonucunda düzeltildiği, finans bilgilerinin gerçeğe aykırı olarak hukuksuz bir biçimde paylaşıldığı, ilgili kişi ile hiçbir finans kurumu arasında kredi, bireysel kart vb. gibi işlemlerin yapılamadığı, ilgili kişinin itibarının zedelendiği ve Bankaya yapılan başvurulara yanıt verilmediği ifade edilmiştir.
Kurul, ilgili kişiye ait kişisel veri niteliğini haiz kredi notu bilgisinin veri sorumlusu tarafından yanlış işlenmesi ve Risk Merkezine aktarılmasının “doğru ve gerektiğinde güncel olma” ilkesine aykırılık teşkil ettiği dikkate alarak, “Kişisel verilerin hukuka aykırı olarak işlenmesini önleme” yükümlülüğüne aykırı davranıldığına karar vermiştir. Kurul,
- Veri sorumlusunun bankacılık sektöründe oldukça büyük bir güce sahip olması,
- Veri sorumlusunun oldukça fazla sayıda müşteri ve potansiyel müşteri ile irtibat halinde olması, çeşitlilik arz eden konulara yönelik iletişim kurabilmesi ve bu konularda ilgili kişiler hakkında işlem tesis edebilmesi,
- Veri sorumlusunun banka niteliğini haiz olması dolayısıyla, işlediği kişisel veriler üzerinden ilgili kişiler hakkında sonuç elde etmesi ve bu sonuçlar doğrultusunda iş ve eylemlerini gerçekleştirmesi nedeniyle işlenen kişisel veriler bakımından doğruluk ve güncelliğin sağlanması adına aktif özen yükümlülüğünün bulunması,
- Veri sorumlusunun işlediği kişisel verileri düzenli ve sistematik olarak Risk Merkezine bildirme yükümlülüğünün bulunması ve bu sisteme bildirilen veriler üzerinden, ilgili kişiler hakkında finansal anlamda önemli sonuçların oluşturulması nedeniyle yanlış bildirilen kişisel verilerin ilgili kişilerin mağduriyetlerine yol açabilmesi
Hususlarını da göz önünde bulundurularak
- Veri sorumlusu hakkında 150.000 TL idari para cezası uygulanmasına,
- İlgili kişi başvurularına KVKK ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’de belirlenen usule uygun ve yeterli bir cevap verilmesi gerektiğinin veri sorumlusuna hatırlatılmasına
karar vermiştir.
8.3 “Veri sorumlusu Banka tarafından ilgili kişinin ailesinin telefonları üzerinden arama gerçekleştirilmesi suretiyle kişisel verilerinin paylaşılması” hakkında Kişisel Verileri Koruma Kurulunun 9 Aralık 2021 tarihli ve 2021/1239 sayılı Kararı
Kuruma intikal eden şikâyette, banka olarak faaliyet gösteren veri sorumlusu ile ilgili kişi arasında kredi sözleşmesi akdedildiği, sözleşmeye konu borca ilişkin olarak ilgili kişinin açık yazılı veya sözlü onayı olmamasına rağmen anne ve babasının sabit telefonları üzerinden ısrarla arandığı, aramaya gerekçe olarak şikayetçiye ulaşılamamasının gösterildiği, veri sorumlusu tarafından yapılan aramalarda ilgili kişinin ailesine, ilgili kişiye ve ilgili kişinin de ortağı olduğu Şirketin ortaklarına ulaşılamadığının beyan edildiği, ayrıca ortaklarının isimlerinin verildiği, görüşmelerin sonunda bir telefon numarası bırakıldığı ve ilgili kişinin bu numarayı araması gerektiğinin söylendiği, ilgili kişinin aranan numaranın ailesinin kullanımında olduğunu müteaddit kez belirttiği, yapılan aramalar sonucu zor duruma düşüldüğü, ilgili kişiye ait kişisel verilerin açık rızası olmaksızın veri sorumlusu tarafından kullanılması suretiyle ihlal edilmiş olduğu ifade edilmiştir.
Kurul,
- Veri sorumlusu tarafından, oluşan riskten dolayı yapılan borçlu takibinin Risk Merkezi sisteminde kayıtlı telefon numarasına yönelik yapıldığı, eldeki mevcut bilgi ve belgelerden veri sorumlusu tarafından kişisel veri paylaşıldığına yönelik bir tespitte bulunulamadığı ve ilgili kişinin talebi üzerine aramalara ilişkin kısa sürede gerekli aksiyonun alındığı dikkate alındığında veri sorumlusu hakkında KVKK kapsamında yapılacak bir işlem olmadığına,
- Telefon aramalarında kişisel verilerin korunması yönünden daha dikkatli olunması ve personelin bu konuda bilgilendirilmesi hususunun veri sorumlusuna hatırlatılmasına
karar vermiştir.
8.4 “Bir sigorta şirketi tarafından ilgili kişinin banka verilerinin işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 16 Aralık 2021 tarihli ve 2021/1262 sayılı Karar Özeti
Kuruma intikal eden şikâyet dilekçesinde; ilgili kişinin banka bilgilerini veri sorumlusu sigorta şirketi ile paylaşmadığı halde bu bilgilerin sigorta şirketi tarafından hukuka aykırı olarak işlendiği, ilgili kişinin konuya ilişkin olarak veri sorumlusundan vekili aracılığıyla bilgi talebinde bulunduğu, ayrıca kişisel verilerinin silinmesi veya yok edilmesinin talep edildiği ancak başvurusunun yanıtsız bırakıldığı belirtilerek veri sorumlusu hakkında KVKK kapsamında gerekli idari yaptırımların uygulanması talep edilmiştir.
Veri sorumlusu, kişisel verilere erişme konusunda kendisine başvuranların vekillerinden özel yetki içeren vekaletname talep etmektedir. Veri sorumlusu, sigorta acenteleriyle iş birliği içinde faaliyetlerini yürütmekte olup başvurucuların kişisel verilerini (hesap tipi, banka kodu, hesap türü, şube kodu, döviz bilgisi, hesap numarası, kullanım amacı, IBAN numarası) poliçe prim tahsilatının yapılabilmesi ve poliçeden doğan yükümlülüklerinin yerine getirilmesi amacıyla işlediğini ileri sürmektedir. Tüketici Hakem Heyetinin kasko poliçesi kapsamındaki hasarlar için ilgili kişiye ödeme yapılmasına yönelik kararın yerine getirilmesi amacıyla yapılan ödemeye ilişkin hesap bilgilerinin yasal yükümlülük gereği 10 yıl muhafaza edileceği yönünde kararı bulunmaktadır.
Kurul tarafından gerçekleştirilen inceleme neticesinde, ilgili kişinin vekili aracılığıyla veri sorumlusuna ilettiği başvurunun veri sorumlusu tarafından teslim alınması ve özel yetki içeren vekâletname bulunmaması sebebiyle cevaplanmamasına karşılık, kişisel verilerin korunması mevzuatında ilgili kişilerin vekilleri aracılığıyla yapacakları başvurularda özel vekaletname gerektiğine ilişkin bir düzenleme bulunmadığından veri sorumlularınca vekâletnamede “özel yetki” şartı aranmaması gerektiği Kurul tarafından belirtilmiştir. Bu değerlendirmelerden hareketle Kurul, veri sorumlusu hakkında KVKK kapsamında yapılacak bir işlem olmadığına karar vermiştir.
8.5 “Bir bankanın çağrı merkezi tarafından ilgili kişinin telefon numarasının üçüncü kişilerle paylaşılması” hakkında Kişisel Verileri Koruma Kurulunun 10 Mart 2022 tarihli ve 2022/224 sayılı Kararı
Kuruma intikal eden şikâyette, ilgili kişi tarafından üçüncü bir kişinin kartının Banka ATM’sinde bulunduğu, akabinde veri sorumlusu Banka’nın çağrı merkezi ile iletişime geçildiği, görüşme sırasında çağrı merkezi yetkilisi tarafından ilgili kişinin telefon numarasını kart sahibi üçüncü kişiyle paylaşmak suretiyle, kartın ilgili kişiden teslim alınmasının önerildiği, bu çözüm önerisine ilgili kişinin rıza göstermediği ve çağrı merkezi yetkilisinin kartı havalimanındaki güvenlik görevlilerine teslim etmesini rica etmesi üzerine ilgili kişinin banka kartını görevlilere teslim ettiği, ancak kart sahibi tarafından ilgili kişiye şahsi telefon numarası üzerinden mesaj gönderildiği, işlenen verilerin ilgili kişinin açık rızası olmamasına rağmen kart sahibine iletildiğinin anlaşıldığı, bu itibarla isim ve soy ismi ile telefon numarasının işlenmesine dair ilgili kişinin aydınlatılmadığı ve verilerinin aktarılmasına açık rıza göstermediği ifade edilmiştir.
Kurul,
- İlgili kişinin kişisel verisi niteliğindeki ad, soyadı ve telefon numarası bilgilerinin KVKK’ye aykırı olarak üçüncü kişiyle paylaşılması nedeniyle veri ihlaline sebebiyet verildiği dikkate alındığında; KVKK’nin madde 12 çerçevesinde veri sorumlusu Banka tarafından bünyesinde işlediği kişisel verilerin hukuka aykırı işlenmesini önlemek ve muhafazasını sağlamak adına yükümlülüklerinin gereği gibi yerine getirilmemesi nedeniyle KVKK’nin madde 18 kapsamında veri sorumlusu hakkında idari yaptırım uygulanmasına,
- İlgili kişinin kişisel verilerinin işlenmesi sürecinde aydınlatma yükümlülüğünün yerine getirilmediği iddiasına ilişkin olarak; çağrı merkezi aracılığıyla banka ile iletişim kurulduğunda arayan kişiye KVKK aydınlatma metninin sunulduğunun tespit edildiği, aynı zamanda veri sorumlusu tarafından iletilen belgelerde, ilgili kişinin veri sorumlusunun internet sitesinde bulunan ‘Bize Ulaşın’ bölümünden başvuruda bulunurken, “Kişisel Verilerin Korunması Kanunu kapsamında yapılan Bilgilendirmeyi okudum, anladım” kutucuğunun işaretlendiği hususları dikkate alındığında, veri sorumlusu banka tarafından aydınlatma yükümlülüğünün yerine getirildiği anlaşıldığından söz konusu iddia hakkında KVKK kapsamında yapılacak bir işlem bulunmadığına
karar vermiştir.
C. Beklenen Gelişmeler
I. Kanun Değişikliği
Adalet Bakanlığı’nın Nisan 2021’de yayımladığı İnsan Hakları Eylem Planı (“Plan”) kapsamında, 1 yıl içerisinde KVKK’nin AB standartları ile uyumlu hale getirileceği öngörülmüştü. Öte yandan, 11. Kalkınma Raporu’nda da KVKK’nin AB mevzuatı ile uyumlandırılacağı hüküm altına alınmıştı. İşbu düzenlemeler uyarınca, Eylül 2022’de Adalet Bakanlığı eşliğinde bir çalışma grubu kurularak çalışma düzenlenmiş olup geçtiğimiz yıl Kurul’un Çarşamba Seminerleri’nde ifade etmiş olduğu mevzuat değişiklikleri üzerinde çalışmalar tamamlanmıştır. İşbu husus Adalet Bakanı tarafından duyurulmuştur. İlgili duyuru uyarınca değişikliklerin başta özel nitelikli kişisel verilerin işlenmesi ve yurtdışına veri aktarımı hususlarında gerçekleştirileceği belirtilmiştir. İlgili değişikliklerin kademeli 2023 yılı içerisinde yürürlüğe girmesi beklenmektedir.
II. Platformlara ilişkin verilerin düzenlenmesi
Yukarıda Bölüm A.II.2’de ifade edildiği üzere, ETK’da birtakım değişiklikler yapılmış bu değişiklikler ile belirli hacmin üzerindeki elektronik ticaret aracı hizmet sağlayıcılara, elektronik ticaret hizmet sağlayıcılar tarafından gerçekleştirilen satışlar sebebiyle elde edilen verilerin elektronik ticaret hizmet sağlayıcılar tarafından taşınabilirliğini sağlamaya ilişkin yükümlülükler getirilmiştir. Buna benzer şekilde elektronik ticaret ortamında satışlar dolayısıyla elde edilen kişisel verilerin veri sahipliğine ilişkin olarak Kurum tarafından bir rehber yayımlanması beklenmektedir.
III. Verinin Taşınabilirliğine ilişkin düzenlemeler
4054 sayılı Rekabetin Korunması Hakkında Kanun’da özellikle dijital ekonomilerdeki rekabetin korunması adına değişiklikler yapılması planlanmaktadır. Aynı amaçla benzer değişiklikler ETK nezdinde yapılmıştır (Bkz. Bölüm A.II.2). Bu kapsamda Avrupa Birliği’nin Dijital Piyasalar Düzenlemeleri’ne[1] benzer şekilde özellikle altyapı sağlayıcı (gateway) konumundaki şirketlere karşı düzenlemeler yer almaktadır. İşbu düzenlemeler içerisinde veri taşınabilirliği başta olmak üzere kişisel verilerin önemli bir rekabet girdisi olarak kullanılabileceği alanlarda çeşitli düzenlemeler yapılması planlanmaktadır. Kanun değişikliği sektör temsilcileri ile paylaşılmış olup 2023 yılında değişikliğin yayımlanması beklenmektedir.
EK 1 Temel Kavramlar
Açık Rıza ilgili kişi tarafından belirli bir konuya ilişkin olarak özgür iradeyle verilen ve bilgilendirilmeye dayanan onay anlamına gelir. KVKK kişisel verilerin veya özel nitelikli kişisel verilerin kural olarak açık rıza ile işlenmesini öngörmektedir; ancak, açık rızayı almak için belirli bir yöntem KVKK altında düzenlenmemiştir. Bu bağlamda, veri sorumluları açık rızayı yazılı, elektronik veya sözlü olarak temin edebilirler. Her hâlükârda açık rızanın alınmasına ilişkin ispat yükümlülüğü veri sorumlusuna aittir.
Kişisel Veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi anlamına gelir. Dolayısıyla, kişiyi tanımlamak için kullanılabilecek herhangi bir bilgi kişisel veri niteliğindedir. Örneğin, bir müşterinin adı ve adresi, IP adresi, e-posta adresi veya müşteri e-posta adreslerinden oluşan bir veri tabanı kişisel veri kapsamındadır.
Kişisel Verilerin İşlenmesi kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olması kaydıyla, otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanımının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü bir işlemi ifade eder.
Özel Nitelikli Kişisel Veri Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verilerdir. KVKK’de yer alan kılık kıyafet, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler, biyometrik ve genetik verilere ilişkin koruma AB düzenlemelerindeki özel nitelikli kişisel verilerin korunmasına yönelik düzenlemelere kıyasla daha kapsamlıdır.
Veri İşleyen veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder.
Veri Sorumlusu kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.
Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) veri sorumlularının Veri Sorumluları Siciline başvuruda ve sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Kişisel Verileri Koruma Kurumu Başkanlığı tarafından oluşturulan ve yönetilen bilişim sistemini ifade eder.