Linkedin

Twitter

02.04.2020 TARİHİNDE KİŞİSEL VERİ KORUMA KURUMU TARAFINDAN YAYIMLANAN KURUL KARARLARI HAKKINDA DEĞERLENDİRME

Kişisel Verileri Koruma Kurumuna ait internet sitesinde 02.04.2020 tarihinde, yaşanmış olan farklı olaylar bazında kişisel verilerin korunmasına ilişkin çeşitli karar özetleri yayımlanmıştır. Yayımlanan kararlar hakkındaki hukuki görüş ve değerlendirmelerimiz aşağıda yer almaktadır.

  1. “Bir şirket sahibinin, çalışanının Whatsapp yazışmalarını hukuka aykırı olarak elde etmesi hakkında” Kişisel Verileri Koruma Kurulunun 16/05/2019 Tarihli ve 2019/138 Sayılı Karar Özeti[1]

Kurul’un, 16.05.2019 Tarih ve 2019/138 Sayılı kararı ile şikâyet konusu olayda, kişinin rızası dışında kendisine ait whatsapp yazışmalarının, bünyesinde çalıştığı şirket sahibi tarafından hukuka aykırı olarak elde edildiği ve üçüncü kişilerle paylaşıldığı belirtilmiştir. Kurul, işbu karara konu olayda, şirket sahibinin davranışlarının (çalışanının bilgisayarı üzerinden izinsiz erişim sağlayarak whatsapp yazışmalarını okuması, ekran görüntüsü alması vs.) değerlendirilmesi konusunun kendi görev alanı kapsamında olmadığı, TCK kapsamında olduğundan bahisle söz konusu başvuruyu 6698 sayılı KVKK kapsamında değerlendiremeyeceğini açıklamıştır. Karara konu olay, akıllara işverenlerin çalışanlarının bilgisayarlarını denetleyip denetleyemeyeceğini getirmektedir. Bu konuyla bağlantılı Anayasa Mahkemesinin bir kararı[2] mevcut olup, gerek işbu karar gerekse de KVKK uyarınca işverenlerin meşru menfaat çerçevesinde çalışanların bilgisayarlarını denetleyebileceğini belirtmemiz gerekecektir. Ancak öncesinde çalışanların detaylı bir şekilde aydınlatılması da zaruridir. Verilen kararda çalışanın yazışmalarının iş faaliyeti dışında temin edildiği anlaşılmaktadır. Bu haliyle gerek görev yönünden gerekse de esasa ilişkin olarak verilen kararın Kanuna ve hukuka uygun olduğunu düşünmekteyiz.

  1. Veri sorumlusunun, web sitesinde kişisel verilerin işlenmesini hizmet şartı olarak talep ettiği ve aydınlatma yükümlülüğünü usulüne uygun yerine getirmediği iddiaları hakkında” Kişisel Verileri Koruma Kurulunun 08/07/2019 tarih ve 2019/206 sayılı Karar Özeti[3]

Kurulun 08.07.2019 Tarihli ve 2019/206 sayılı kararı, bir web sitesinde, ilgili kişiden istenilen kişisel veriler verilmeden ana sayfaya geçiş imkânının bulunmadığı, bu açıdan ilgili kişinin kişisel verilerinin işlenmesinin hizmet şartına bağlandığı ve bu kapsamda veri sorumlusunun aydınlatma yükümlülüğünü de usulüne uygun yerine getirmediği iddiasına dayanmakta olup, kurul tarafından somut olay bakımından açık rızaya yönelik yapılan değerlendirmede “bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının açık rıza şartına dayandırılmasının, açık rızanın özgür iradeyle açıklanmış olması kuralına aykırılık teşkil edeceği; şikayete konu web sitesinin, kullanıcılara sunulan çeşitli alanlardaki mal ve hizmetlerin doğrudan tedarikçisi/sağlayıcısı niteliğinde olmadığı; farklı illerde, farklı sektörlerde ve farklı hizmet sağlayıcıları tarafından sunulan çeşitli hizmetlerin, indirimli fiyatlar üzerinden üyeler tarafından satın alınmasını sağlayan aracı firma rolünü üstlendiğinin görüldüğü; bahse konu site bünyesinde sunulan çeşitli hizmetler açısından üyelere ek bir menfaat sağlandığı; bu yönüyle bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının açık rıza şartına dayandırılmasından ziyade site bünyesinde sunulan indirimli fiyatların ve avantajların yalnızca üye olanlara sunulmasının söz konusu olduğu” şeklinde gerekçelerle iddiaya konu hususa ilişkin olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında tesis edilecek herhangi bir işlem bulunmadığı sonucuna varıldığı görülmektedir. Yine somut olay nezdinde kurul tarafından aydınlatma yükümlülüğü bağlamında yapılan değerlendirmede “bahse konu web sitesi üzerinden erişim sağlanan “Gizlilik ve KVK Politikamız” başlıklı metin ilgili mevzuat düzenlemeleri çerçevesinde incelendiğinde veri sorumlusunun Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in 5. Maddesinde yer alan düzenlemeye aykırı davrandığı; web sitesinin ilgili kişiler hakkında işlediği verilerin, işlenme şartlarının ilgili mevzuattan kaynaklanan yasal yükümlülük çerçevesinde mi yoksa ilgili kişilerin açık rızalarına istinaden mi işlendiğinin ya da söz konusu kişisel verilerin hangilerinin ilgili mevzuattan kaynaklanan yasal yükümlülük çerçevesinde hangilerinin ise ilgili kişilerin açık rızalarına istinaden işlendiğinin açıkça belirtilmemiş olduğu, ayrıca söz konusu aydınlatma metninin devamında metnin kaleme alınışı bakımından kişisel veri işleme faaliyetinin asıl olarak ve yalnızca ilgili kişilerin açık rızalarına dayanılarak gerçekleştirildiği izlenimine neden olunduğu; oysa kişisel veri işleme faaliyetinin, Kanunda bulunan açık rıza dışındaki şartlardan birine dayanıyorsa, bu durumda ilgili kişiden açık rıza alınmasına gerek bulunmadığı ve veri işleme faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılmasının, aldatıcı ve hakkın kötüye kullanımı niteliğinde olacağı; nitekim ilgili kişi tarafından verilen açık rızanın geri alınması halinde veri sorumlusunun diğer kişisel veri işleme şartlarından birine dayalı olarak veri işleme faaliyetini sürdürmesinin hukuka ve dürüstlük kurallarına aykırı işlem yapılması anlamına geleceği” hususları belirtilerek söz konusu metnin tebliğde yer alan hükümler dikkate alınmak suretiyle güncellenmesi, ayrıca aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiği yönünde ilgili şirketin talimat verilmesine karar verilmiştir. Bu Kararla da görüleceği üzere aydınlatma yükümlülüğünün Yönetmeliğe uygun bir şekilde yerine getirilmesi ne yazık ki veri sorumluları tarafından ihmal edilen bir husustur. Bu konuda Yönetmeliğin dikkatli bir şekilde incelenmesi ve veri sorumlusu nezdinde tutulacak Kişisel Veri İşleme Envanterinin doğru ve düzgün bir şekilde tutulması ve buna uygun bir aydınlatma yükümlülüğünün hazırlanması gerekmektedir.

  1. “Ölü kişilerin verilerine yakınlarının erişim talebi hakkında” Kişisel Verileri Koruma Kurulunun 18/09/2019 Tarihli ve 2019/273 Sayılı Karar Özeti[4]

Kurulun 18.09.2019 Tarihli ve 2019/273 Sayılı Kararına konu olayda, ölen kişinin eşi, yasal mirasçı olarak, eşinin İstanbul’da tedavi görmüş olduğu klinikten tüm medikal ve diğer bilgilerini talep etmiş ve işbu talep karşı tarafa ulaşmasına rağmen kendisine herhangi bir yanıt verilmediğinden bahisle ölen eşinin verilerine erişim talebinde bulunulduğu belirtilmiştir. Bu başvuru üzerine Kurul tarafından yapılan değerlendirmede, “KVKK kapsamında ilgili kişinin gerçek kişi olabileceği yönünde bir tanımlama yapıldığı, bununla beraber 4721 sayılı TMK’nın 28. Maddesinde de kişiliğin başlama ve bitiş anına ilişkin bir tanım yapıldığı, ayrıca KVKK kapsamında ilgili kişinin, kendisi ile ilgili kişisel veriler hakkında bilgi talep edebileceği” hususlarına değinilerek talep edilen kişisel verilerin talep eden gerçek kişiye ilişkin olmaması ve ölmüş kişiye ait olduğu gerekçesiyle 6698 sayılı Kanun kapsamında yapılacak bir işlem olmadığı yönünde karar tesis edilmiştir. Kurulun yapmış olduğu değerlendirmelere katılmadığımızı belirtmek isteriz. Bilindiği üzere Türk Medeni Hukukunda gerçek kişilerde kişilik, tam ve sağ doğum ile başlamakta ve ölüm ile sona ermektedir. Dolayısıyla ölüm ile birlikte hak ehliyeti de yitirilmektedir. Bu açıdan ölmüş insanlara ilişkin verilerin kural olarak kişisel veri olarak nitelendirilmesi ve Kişisel Verilerin Korunması Kanunu kapsamında değerlendirilmesi mümkün olmamaktadır. Bu halde ölen kişinin verilerine yönelik bir talebin söz konusu olması halinde bu hususun Miras Hukuku çerçevesinde yorumlanması ve çözüme kavuşturulması gerekecektir. Örneğin Kişisel Sağlık Verileri Hakkında Yönetmeliğin 11. Maddesi ölünün sağlık verilerine erişimini düzenlemektedir. Buradaki düzenlemede de ‘’(1) Ölmüş bir kimsenin sağlık verilerini almaya, veraset ilamını ibraz etmek suretiyle murisin yasal mirasçıları münferit olarak yetkilidir. (2) Ölmüş bir kimsenin sağlık verileri, en az 20 yıl süre ile saklanır.’’ Miras Hukuku kapsamında bir değerlendirmenin yapıldığı görülmektedir.

  1. “Veri sorumlusu tarafından ilgili kişiye gönderilen reklam amaçlı SMS’ler hakkında” Kişisel Verileri Koruma Kurulunun 01/10/2019 Tarihli ve 2019/297 Sayılı Karar Özeti[5]

Kurulun 01.10.2019 Tarihli ve 2019/297 Sayılı Kararına konu olay veri sorumlusu tarafından ilgili kişiye gönderilen reklam amaçlı kısa mesajlar hakkında olup ilgili kişi tarafından olay ile ilgili  olarak “otomotiv sanayi sektöründe faaliyet gösteren veri sorumlusu tarafından ilgili kişinin cep telefon numarasına reklam içerikli kısa mesaj gönderildiği, kişinin bundan rahatsızlık duyduğu ve kişisel verilerinin açık rızası olmaksızın işlendiği düşüncesiyle KVKK kapsamında ilk önce veri sorumlusuna başvuruda bulunduğu, ancak veri sorumlusu tarafından verilen cevabı yeterli bulmadığı” gerekçeleri belirtilerek Kurul’a şikayette bulunulmuştur. Kurul tarafından başvuru kapsamında yapılan inceleme ve değerlendirme neticesinde, “6698 sayılı Kanunun geçiş hükümlerinde yer alan düzenlemelere atıfta bulunularak, KVKK’nın yayım tarihinden önce işlenmiş olan kişisel veriler ile ilgili olarak güncel KVKK’ya uyumlu hale getirilmesine yönelik geçiş sürecinde iki yıllık süre imkanı tanındığı, KVKK’ya aykırı olduğu tespit edilen kişisel verilerin derhal silineceği, yok edileceği veya anonim hale getirileceği hususuna vurgu yaptığı, ayrıca KVKK yayım tarihinden önce hukuka uygun olarak alınmış rızalar bakımından da ek bir yıllık bir süre öngörüldüğü, bu bir yıllık süre içerisinde ilgili kişi tarafından aksine bir irade beyanında bulunulmaması halinde önceden alınmış olan rızanın işbu Kanun’a uygun kabul edileceğinin” belirtildiği; ayrıca “15.07.2015 tarihli Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik’in  geçici 1/2 .maddesinde de atıf yapılmış olup madde kapsamında, Kanunun yürürlük tarihinden önce, hizmet sağlayıcı ve alıcı arasında doğrudan mal veya hizmet teminine yönelik işlemler sırasında alıcının elektronik iletişim adresini vermesi ile oluşturulan veri tabanlarının onaylı olduğu kabul edilir. Bu şekilde verildiği kabul edilen onay; acente, özel yetkili ya da bayi işletme için verilmiş ise sözleşmenin diğer tarafı için de verilmiş kabul edilir.” hükmünün yer aldığı ifade edilmiştir.

Söz konusu kararda KVKK hükümleri ile birlikte başka bir mevzuat olan 15/07/2015 tarihli Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik de değerlendirmeye alınmıştır. Bu husus KVKK’nın diğer mevzuat hükümleri ile de birlikte uygulanabilirliğini ortaya koyması açısından önemlidir.

  1. “Telekomünikasyon sektöründe faaliyet gösteren veri sorumlusu tarafından şikayetçiye, ad ve soyadı benzerliği olan başka bir abonesinin fatura bilgilerinin e-posta yoluyla iletilmesi hakkında” Kişisel Verileri Koruma Kurulunun 07/11/2019 Tarihli ve 2019/333 Sayılı Karar Özeti[6]

Kurul tarafından, Telekomünikasyon sektöründe faaliyet gösteren veri sorumlusu tarafından şikayetçiye, ad ve soyadı benzerliği olan başka bir abonesinin fatura bilgilerinin e-posta yoluyla iletilmesi hakkındaki 07.11.2019 Tarihli ve 2019/333 Sayılı Kararı uyarınca yapılan incelemede,

-Her iki müşteri ile yapılan Abonelik Sözleşmeleri incelendiğinde aynı e-posta adresinin iki kişi tarafından da beyan edildiği, Şikayetçinin 2013 yılına ait Abonelik Sözleşmesinin el yazısı ile doldurulduğu, diğer müşterinin 2018 yılına ait Abonelik Sözleşmesinin ise elektronik ortamda doldurulduğu, iki kişinin aynı e-posta adresini almasının teknik açıdan mümkün olmadığı, kayıt sırasında bir yazım yanlışı yapılmasının ihtimal dahilinde olduğu,

-Müşteri memnuniyeti çerçevesinde Şirketin diğer abonesi ile hangi tarihlerde iletişime geçilmeye çalışıldığı ve hangi tarihte kendisiyle görüşüldüğünün belirtilmediği, bahsi geçen müşterinin e-posta adresine ilişkin şikâyet hakkındaki bilgilendirme sonrası herhangi bir güncelleme yapmaması sebebi ile şikâyet konusu e-postanın hangi tarihte sistemlerinden kaldırıldığı bilgilerinin tarafımıza gönderilen cevap metninde paylaşılmadığının tespit edildiği,

-Bu çerçevede bir müşterinin abonelik kaydı oluşturulurken sistemde kayıtlı bulunan bir e-posta adresi yazıldığında bu e-postanın hali hazırda kayıtlı bir müşteri için var olduğu uyarısının kayıt yapılan sistem tarafından verilmemesi dolayısıyla veri sorumlusunun veri güvenliğine ilişkin gerekli teknik tedbirleri almadığı, sistemindeki verilerin doğru ve gerektiğinde güncel olmadığı ve müşterilerinin verilerini başka müşteriler ile paylaşabildiğinden bünyesinde barındırdığı kişisel verilerin güvenliğini sağlayamadığı kanaatine varıldığı,

-Veri sorumlusunun ilgili kişinin başvurusuna cevap vermemesi ile ilgili olarak halihazırda veri kayıt sisteminde kayıtlı olan bir abonenin Abonelik Sözleşmesi yapılması sırasında beyan ettiği e-posta adresi üzerinden yaptığı başvurusu için kimlik teyidi yapılamadığı gerekçesinin kabul edilebilir olmadığı, iki abonenin de aynı e-posta ile kayıtlı olmasından ötürü karışıklık yaşanabileceği kanaatine varılmış olsa da şikayet başvurusuna Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe uygun başvuru koşulları hatırlatılarak verilecek bir cevap ile kimlik teyidinin vatandaşı mağdur etmeden yapılabileceğinin değerlendirildiği,

-Ayrıca kişinin yaptığı başvuruya ilişkin olarak veri sorumlusunun e-posta adresinden talebin bir iş günü içerisinde cevaplanacağına ilişkin Şikayetçiye gönderilen cevap postasının hemen altında yer verilen “Etkileşim Kanallarımız” başlıklı bölümde yer verilen e-posta adresi üzerinden ve yine daha önce veri sorumlusuna bildirilen e-posta adresi ile şikayet başvurunda bulunduğundan ötürü veri sorumlusunun e-posta ortamından gelecek şikayet taleplerinin alınması ve cevap verilmesinin veri güvenliği açısından risk içereceğinden dolayı cevap verilmediğine ilişkin savunmasının yukarıda yer verilen bilgiler ışığında gerçekçi bir savunma niteliği taşımadığı kanaatine varıldığı,

-Veri sorumlusunun ilgili kişinin başvurusuna “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ”e uygun olmadığı gerekçesi ile cevap verilmemesinin Tebliğin 6’ncı maddesinde yer alan hukuka uygunluk ve dürüstlük kuralı ile bağdaşmayacağı sonucuna varılmış olduğu”

şeklindeki gerekçelerle somut olay kapsamında fatura bilgilerinin e-posta yoluyla iletilmesi faaliyetinin Kanunun 12. Maddesine aykırı olduğu, bu nedenle Kanunun 18. Maddesi kapsamında idari yaptırım uygulanmasının uygun olacağı ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in hükümlerine uyum konusunda azami dikkat ve özenin gösterilmesi ve bu karar çerçevesinde abonelerin kişisel verilerinin güvenliğine ilişkin gerekli tüm idari ve teknik tedbirlerin alınması hususunda veri sorumlusunun talimatlandırılması yönünde karar tesis edilmiştir. Kurul’un geçmiş kararları tarandığında bu karara konu olay gibi birçok olayın fiiliyatta yaşandığı ve Kurul’un önüne geldiği göze çarpmaktadır. İlgili kişiye ait telefon numarasına kendisine ait olmayan içeriğin gönderilmesi ile ilgili Kişisel Verileri Koruma Kurulunun 31/05/2019 Tarihli ve 2019/166 nolu kararı[7], Teknik servis hizmeti veren firmanın müşterilerine verdiği form/takip numarasının son hanelerinin değiştirilmesi yoluyla farklı kişilere ait kişisel verilere ulaşıldığı yolunda Kuruma iletilen ihbarın incelenmesi ve ihbara ilişkin alınan Kurul Kararının yerine getirilmemesi hakkında” Kişisel Verileri Koruma Kurulunun 14/02/2019 tarihli ve 2019/23 sayılı kararı[8], kişisel veri güvenliğinin sağlanması amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli idari ve teknik tedbirlerin alınmaması yönelik kararı[9] örnek olarak gösterebiliriz. Bahse konu kararlar da, veri sorumluları tarafından, ilgili kişilerden temin edilen bilgilerin, sistemde kayıtlı diğer bilgiler ile örtüşüp örtüşmediği ve bilgilerin güncelliği ile doğruluğunun teyit edilmesi konusunda kontrol yükümlülüğünün gerekliliği ve önemi defaten vurgulanmıştır.

  1. “İlgili kişinin dergi aboneliği işlemleri ile ilgili bir çağrı merkezine vermiş olduğu telefon numarasının, anılan çağrı merkezi tarafından bir gıda şirketinin reklamının yapılması amacıyla aranması hakkında” Kişisel Verileri Koruma Kurulunun 16/01/2020 Tarihli ve 2020/34 Sayılı Karar Özeti[10]

Kurul’un 16.01.2020 tarihli ve 2020/34 Sayılı, İlgili kişinin dergi aboneliği işlemleri ile ilgili bir çağrı merkezine vermiş olduğu telefon numarasının anılan çağrı merkezi tarafından bir gıda şirketinin reklamının yapılması amacıyla aranması ile ilgili kararında,

İlgili kişi tarafından, 2013-2014-2015 yıllarındaki bir dergi aboneliği kapsamında verilmiş olan telefon numarası, spor kulübünün kendisine verdiği yetki uyarınca dergi abonesi olan kişilerin abonelik süresini uzatma işlerini yürüten çağrı merkezi tarafından bir gıda şirketinin reklamının yapılması amacıyla aranması neticesinde, kişisel verilerinin veri sorumlusu tarafından nasıl elde edildiği hususunun öğrenilmesine yönelik başvuru yapıldığı belirtilmiştir. Bu bağlamda Kurul tarafından, KVKK kapsamında kişisel veri işleme faaliyeti sırasında veri sorumlularınca uyulması ve yerine getirilmesi gereken zorunlu ilkelere/yükümlülüklere ilişkin düzenlemeler ile geçiş hükümlerine değinilerek somut olay bazında bir değerlendirme yapılmış olup, şikayet konusu olay kapsamında ilgili kişiye ait kişisel verilerin işlenmesinde her ne kadar KVKK’nın yürürlük tarihinden önce başlanmış ise de işlenme amacının dergi aboneliğine yönelik işlemler olduğu, söz konusu aramanın ise gıda şirketinin reklamı amacı ile yapıldığı tespit edilerek bu  bağlamda bahse konu veri işleme faaliyetinin KVKK’nın 4. maddesi uyarınca amaç ile bağlantılı ve sınırlı olma ilkesine aykırı davranıldığı yönünde karar tesis etmiştir.

Bununla birlikte, veri sorumlusu sıfatına haiz çağrı merkezinin, 2017 yılından itibaren gıda ürünlerinin internet üzerinden satış ve pazarlama işini yürütmekte olduğu ve 2015 yılı itibari ile dergi aboneliğine yönelik yürütülen işinin de sona erdirilmiş olması dolayısıyla veri işleme amaçlarının da ortadan kalktığı hususu gündeme gelmektedir. KVKK kapsamında veri işlenme amacı ortadan kalktığı zaman kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi gerekmektedir. Veyahut söz konusu kişisel verilerin, farklı amaçlar için işleme faaliyeti devam ettirilmek istenmesi halinde ise bu amaçlarla ilgili olarak kanun gereği ilgili kişinin açık rızasının alınması gerekmektedir. Somut olay nezdinde ise tüm bu hususlara dikkat edilmediği kurul tarafından tespit edilerek yükümlülüklerini yerine getirme konusunda mevzuata aykırı davranan veri sorumlusu aleyhine idari para cezası yaptırımının uygulanmasına karar verilmiştir.

Burada Kurul’un da tespit ettiği üzere, Kişisel Verilerin Korunması Kanunun 4. Maddesinde yer alan ‘’işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine’’ aykırılık söz konusudur. Söz konusu ilke, işleme amacına yönelik yeterli verinin temin edilmesini, bunun dışındaki amaç için gerekli olmayan verilerin ise işlenmemesini, yine ileride gerçekleşecek bir amaç için kişisel verinin tutulamayacağını öngörmektedir. Veri sorumlusu nezdinde veri işleme ihtiyacı ortaya çıktı ise büyük ihtimalle orada yeni bir veri işleme amacı söz konusudur. Bu nedenle bu ilke çerçevesinde bir değerlendirmenin yapılması ve o verinin KVKK madde 5 çerçevesinde temini yoluna gidilmesi gerekmektedir.

  1. “İlgili kişinin kişisel verilerinin hukuka aykırı işlendiği iddiası kapsamında veri sorumlusu bankadan talep ettiği tazminat talebinin karşılanmaması hakkında” Kişisel Verileri Koruma Kurulunun 16/01/2020 Tarihli ve 2020/41 Sayılı Karar Özeti[11]

Kurul’un 16.01.2020 tarihli ve 2020/41 sayılı kararına konu olayda özetle, bir bankaya borcu bulunan ilgili kişi, muhtelif nedenlerle borcunu ödeyemediği için alacağını tahsil amacı ile Banka tarafından yasal takip başlatılmıştır. İlgili kişi, sigortalı olarak bir işte çalışmaya başlamasının ardından cep telefonundan aranmış ve aramaya cevap vermesine rağmen Banka tarafından ilgili kişinin çalıştığı iş yeri aranarak aile bilgileri sorgulanmış ve ödeme yapıp yapmayacağı hususunun defaten sorulduğu belirtilmiştir. Söz konusu aramalardan sonra ilgili kişinin iş akdi işveren tarafından sonlandırıldığı belirtilerek ilgili kişinin konuyla ilgili olarak bankaya mail yoluyla başvuruda bulunarak maddi ve manevi tazminat talebinde bulunduğu ifade edilmiştir.

Somut olay bağlamında Kurul tarafından, her ne kadar olayın KVKK’nın ilgili kişinin haklarının düzenlendiği 11. Maddesi kapsamında bir değerlendirme yapılmış olsa da buradaki ‘’kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğranması hâlinde zararın giderilmesini talep etme’’ hakkının bizatihi veri sorumlusuna yöneltilmesi gerektiğini, Kurul olarak burada yapabilecek bir işlemin bulunmadığı belirtilmiştir.  Aynı zamanda kurul tarafından, ilgili kişinin veri sorumlusuna başvurusunun 11. Madde kapsamında bir talep içermediği, ilgili kişinin zarara uğradığı ve buna yönelik bir tazminat talebinin söz konusu olması bağlamında kanunun 14. Maddesine atıfta bulunarak söz konusu talebin genel mahkemelerin görev alanına girdiği, dolayısıyla KVKK kapsamında yapılacak bir işlem bulunmadığı yönünde karar verilmiştir.

Burada şu hususu belirtmemiz gerekmektedir. KVKK madde 15 Kurul’un şikayet üzerine veya resen inceleme yapmasının usul ve esaslarını düzenlemektedir. Bu düzenlemeye istinaden Kurul, şikayet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alınan giren konularda gerekli incelemeyi yapabilmektedir. Bu bağlamda, söz konusu başvuruda bir ihlal iddiası olduğu son derece açıktır. Kurul’un resen bir inceleme yapmaması ise ilgili kişinin iddia etmiş olduğu hususları ispatlayıcı belgelerle ileri sürmediği ihtimalini akla getirmektedir. Aksi halde Kurul’un ihlal iddiası bakımından farklı bir karar tesis etmesi beklenirdi. Bu karar ve ihtimaller dahilinde şu sonuca ulaşabiliriz ki, gerek veri sorumlusuna gerekse de Kurul’a başvuru yapılır iken başvuru usul ve esasların çok iyi bir şekilde bilinmesi, taleplerin açık ve muhatap kişiye yönelik olması, iddiaların ispatlanması noktasında yeterli bilgi ve belgenin bulunması işletilen prosedürden sonuç alınması için gereklidir.

  1. “İlgili kişiye ait verilerin veri sorumlusu bir banka tarafından rızası olmaksızın babası ile paylaşılması karşısında kişinin Bankadan tazminat talep etmesi hakkında” Kişisel Verileri Koruma Kurulunun 16/01/2020 Tarihli ve 2020/43 Sayılı Karar Özeti[12]

16.01.2020 Tarihli ve 2020/43 sayılı karara konu başvuruda, ilgili kişiye ait verilerin bir Banka tarafından rızası olmaksızın babası ile paylaşıldığı, veri sorumlusu Banka tarafından düzenlenen belgede babasına, ilgili kişi ile risk grubu oluşturduğu ve ilgili kişinin kredi aksamaları bulunması sebebiyle kendisine kredi kullandırılmadığına ilişkin bir yazı verildiği, ilgili kişi tarafından veri sorumlusuna başvuru dilekçesi gönderilerek oluşan manevi zararın tazmini için 30.000 TL’nin ilgili banka hesabına ödenmesi aksi takdirde yasal yollara başvurularak alacağın tahsili yoluna gidileceğinin belirtildiği bununla birlikte Banka tarafından 30 gün içinde başvuruya yönelik bir cevap alınamadığı, bu nedenle de Kuruma ilgili kişi tarafından başvuru yapma gereğinin hasıl olduğu belirtilmiştir. Konuya ilişkin veri sorumlusu Bankanın savunması istenilmiş, akabinde elde edilen bilgi ve belgeler bağlamında kurul tarafından inceleme yapılmıştır.

Kurul tarafından yapılan inceleme neticesinde,

“Öncelikle Kurul 6698 sayılı Kişisel Verilerin Korunması Kanununun “kişisel verilerin işlenme şartları” 5’inci maddesi gereğince kural olarak kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemeyeceği, ancak istisnai hallerde açık rıza aranmaksızın kişisel veri işleme faaliyetinin gerçekleştirilebileceğini belirterek,

Risk grubunun 5411 sayılı Bankacılık Kanununda tanımlandığı, 5411 sayılı Bankacılık Kanunu ve ilgili diğer mevzuat hükümleri çerçevesinde “Risk Grubu” içerisinde yer alan kişilerin kişisel verilerinin, ancak bankacılık faaliyetleri kapsamında, kendi bankası bünyesinde kullanılmak ve Risk Merkezine aktarılmak amacıyla işlenmesinin, 6698 sayılı Kişisel Verilerin Korunması Kanununun 5 inci maddesinin ikinci fıkrasının (ç) bendi uyarınca bankaların hukuki yükümlülüklerinin yerine getirilmesi kapsamında olduğunun değerlendirilmesi gerektiği,

Kişisel Verilerin Korunması Kanununun 12 nci maddesinde “veri güvenliğine ilişkin yükümlülükler” belirlenmiş olup, maddenin 1 numaralı fıkrasında, veri sorumlusunun, (a) “kişisel verilerin hukuka aykırı olarak işlenmesini önlemek”, (b) “kişisel verilere hukuka aykırı olarak erişilmesini önlemek”, (c) “kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak” zorunda olduğunun düzenlendiği, aynı maddenin 4 numaralı fıkrasında ise, veri sorumluları ile veri işleyenlerin, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağının hüküm altına alındığı,

Bankacılık Kanununun 76 ncı maddesinde “bankalar, müşterilerinin, verilen hizmetlerden kaynaklanan her türlü sorularına cevap verecek bir sistem kurmakla ve bu hizmetle ilgili bilgiyi müşterilerine bildirmekle yükümlüdür. Bankalar, kredi sözleşmelerinin onaylı bir örneğini müşterilerine vermek zorundadır. Talepleri hâlinde müşteri ile yapılan diğer işlemlere ilişkin her türlü belgenin bir örneği de müşterilere verilir.” hükmü düzenlenmiş olmakla birlikte Bankanın, söz konusu borç bilgisini paylaşmasının, kanun gereğince hizmetle ilgili bilgiyi müşterilerine bildirme yükümlülüğünü yerine getirmesi olarak değerlendirilmesinin uygun olmayacağı,

Zira Bankacılık Kanununun 73 üncü maddesinin (3) numaralı fıkrası gereğince “Sıfat ve görevleri dolayısıyla bankalara veya müşterilerine ait sırları öğrenenler, söz konusu sırları bu konuda kanunen açıkça yetkili kılınan mercilerden başkasına açıklayamazlar.” hükmü düzenlenmiş olup aynı husus Bankacılık Kanununun 159’uncu maddesinde de “Bu Kanunun 73’üncü maddesinin birinci ve üçüncü fıkralarında belirtilen yükümlülüğe uymayanlar için bir yıldan üç yıla kadar hapis ve bin günden ikibin güne kadar adlî para cezası hükmolunur. Banka ve müşterilere ait sırları açıklayan üçüncü kişiler hakkında da aynı cezalar uygulanır” şeklinde düzenlendiği,

Aynı zamanda Bankacılık Kanununun Ek 1’inci maddesinde “Risk Merkezi nezdinde bulunan sır niteliğindeki bilgileri, bu konuda kanunen yetkili kılınan mercilerden başkalarına açıklayanlar, hukuka aykırı olarak kendisi ya da başkası yararına kullananlar, yayanlar, verenler, aktaranlar veya ele geçirenler hakkında 159’uncu madde hükümleri uygulanır. Bu fıkrada tanımlanan suçların bir tüzel kişinin faaliyeti çerçevesinde işlenmesi halinde, ilgili tüzel kişi hakkında Türk Ceza Kanununun tüzel kişilere özgü güvenlik tedbirlerine hükmolunur.” düzenlemesine yer verildiği,

Söz konusu verilerin kanuna aykırı olarak üçüncü kişilerle paylaşılması durumunda bu fiili gerçekleştiren kişiler için Türk Ceza Kanununun 136’ncı maddesi gereğince kişisel verilerin hukuka aykırı olarak verilmesi suçunun vücut bulacağı, ayrıca Türk Ceza Kanununun 239/1’inci maddesinde “Sıfat veya görevi, meslek veya sanatı gereği vakıf olduğu ticari sır, bankacılık sırrı veya müşteri sırrı niteliğindeki bilgi veya belgeleri yetkisiz kişilere veren veya ifşa eden kişi, şikayet üzerine, bir yıldan üç yıla kadar hapis ve beş bin güne kadar adlî para cezası ile cezalandırılır.” hükmü gereğince somut olayda müşteri sırrının ifşasının da söz konusu olacağı” hususlarına değinilerek

İlgili kişinin başvurusunda manevi zarara uğradığı yönünde bir iddia ve buna ilişkin bir tazminat talebinin söz konusu olduğu dikkate alınarak, Kanunun 14 üncü maddesinin (3) numaralı fıkrasında yer alan “Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır.” hükmü çerçevesinde, söz konusu talebini genel mahkemeler huzurunda kullanması gerektiğinden, bu hususta Kanun kapsamında Kurul tarafından tesis edilecek bir işlem bulunmadığına,

Diğer yandan, ilgili kişinin vekili tarafından yapılan şikayet başvurusu yalnızca tazminat talebine yanıt verilmemiş olmasını içermekte ise de, yapılan incelemede Kanunun 12 nci maddesi hükümlerinin ihlal edildiği kanaati oluştuğundan veri sorumlusu bünyesinde söz konusu ihlale neden olanlar hakkında Kanunun 18 inci maddesinin hükmü kapsamında işlem tesis edilmesine,

İlgili kişinin tarafına ait borç bilgilerinin rızası ve bilgisi dışında üçüncü kişilerle paylaşıldığı iddiası, sair mevzuat kapsamında hukuka aykırı bir fiil olduğundan ve bu fiiller Bankacılık Kanunu ve Türk Ceza Kanununun ilgili hükümlerinde de düzenlenmiş olduğundan, ilgili Banka ve personel hakkında Bankacılık Kanunu ve Türk Ceza Kanunu kapsamında işlem tesis edilmesi hususunun değerlendirilmesini teminen konunun Bankacılık Düzenleme ve Denetleme Kurumuna intikal ettirilmesi” yönünde karar tesis edilmiştir.

Şikâyet konusu olayda, veri sorumlusu banka tarafından ilgili kişiye ait borç bilgilerinin ilgili kişinin rızası dışında üçüncü kişilerle paylaşılmasına yönelik davranış kuşkusuz TCK kapsamında suç teşkil etmektedir. Bununla beraber söz konusu davranışı banka/banka personeli gerçekleştirdiği için Kurul tarafından Bankaların tabi olduğu Bankacılık Kanunu bakımından da ayrıca değerlendirme yapılması gereğinin hasıl olduğunun vurgulanmış olması, bize her somut olayın kendi içinde değerlendirilmesi gerektiği ve tabi olduğu özel mevzuat hükümlerinin olması halinde onlar bakımından da bir değerlendirme yapılmasının ne denli önemli olduğu konusunda farkındalık sağlamaktadır.

Ek olarak, veri sorumlusunun hukuka aykırı eylemi dolayısıyla ilgili kişi açısından mağduriyet yaşanması söz konusu olmuştur. Bu nedenle de ilgili kişi tarafından tazminat talep edilmiştir. Kurul daha önceki kararlarında olduğu gibi bu kararında da tazminat talebi bakımından inceleme yapmaya görevli merciin genel mahkemeler olduğunun altını çizmiştir. Ayrıca belirtmek isteriz ki, bilindiği üzere KVKK kapsamında kişisel verilerin işlenmesi hususu birtakım ilkelere ve usule tabi tutulmuştur. Veri sorumluları da veri işlerken söz konusu usul ve esaslara uygun davranma yükümlülüğü altındadır. Hal böyleyken veri sorumluları tarafından (somut olay nezdinde Banka) veri güvenliğine dair birtakım idari ve teknik önlemlerin alınmış olması zaruridir. Özellikle bankalar açısından bu durum daha bir önem arz etmektedir. Zira bankalar, kişilere ait verileri devamlı olarak bünyelerinde barındırmak durumunda olduklarından, bankacılık alanında veri ihlallerinin meydana gelme olasılığı daha yüksektir. Keza bu durum hem banka hem de müşterileri açısından telafisi güç durumlara sebebiyet verebilecektir. Örneğin banka müşterilerine ait verilerdeki en ufak hata, telafi edilmesi zor olan finansal zararlara yol açabilir ve banka açısından prestij kaybı gündeme gelebilir. Dolayısıyla veri sorumlusu banka tarafından idari ve teknik tedbirler alınırken bu kapsamda çalışanlarına da farkındalık eğitimlerinin verilmesi ve yükümlülüklerinin kendilerine hatırlatılması gerektiğini düşünüyoruz.

  1. “Bir Sigorta Acentesinin müşterilerine ait kişisel verileri herkese açık sosyal medya platformlarında müşterilerinden habersiz olarak ve reklam amacıyla paylaşması hakkında” Kişisel Verileri Koruma Kurulunun 27/01/2020 Tarihli ve 2020/58 Sayılı Karar Özeti[13]

Kurul’un 27.01.2020 tarihli ve 2020/58 sayılı kararına konu olayda, bir sigorta acentesinin müşterilerine ait kişisel verileri herkese açık sosyal medya platformlarında müşterilerinden habersiz olarak reklam amacıyla paylaştığı, bu hususta poliçe sahiplerinin izninin olmadığı belirtilerek gerekli yasal işlemin yapılması talep edilmiştir. Veri sorumlusu şirket savunma yazısında; müşterilere ait kişisel verilerin herkese açık sosyal medya hesapları üzerinden paylaşıldığı ancak bu paylaşımlar yapılırken program özelliği ya da kağıt gibi vasıtalarla kişisel verilerin gizlenmeye çalışıldığı ancak kimi paylaşımlarda bu hususun dikkatsizlik ve acelecilik gibi nedenlerle gözden kaçırıldığı, uyarı yazısı alındıktan sonra gözden kaçan ilgili paylaşımların silindiği, poliçe kayıtlarının tutulduğu sistemde, kullanılan sistemin özelliği gereği, kimlik numaraları kapatıldığı için hiçbir zaman kimlik numaralarını içeren paylaşım yapılmadığı ve konuya ilişkin eksikliğin bilgisizlikten kaynaklandığı ve belirtilmesi halinde gerekli düzeltmeleri yapabileceklerini belirtmiştir.

Kurul ise somut olay bağlamında yapmış olduğu değerlendirmede, kişisel verilerin işlenme şartlarına ilişkin maddeye atıf yaparak açık rıza olmaksızın işlenmesinin istisnai hallerde mümkün olduğunu, veri sorumlusu tarafından yapılan paylaşımlarda yer alan bilgilerin neler olduğuna yönelik tespitini ve veri sorumlularının kişisel veri işlerken dikkat etmeleri gereken ve sahip oldukları yükümlülüklere atıfta bulunduğunu belirtmiştir. Bu çerçevede ise veri sorumlusunun KVKK gereği yerine getirmesi gereken yükümlülüklerine aykırı davrandığı gerekçesiyle veri sorumlusu hakkında idari para cezası yaptırımına hükmetmiştir.

Somut olay kapsamında, Veri sorumlusu sigorta acentesi cevabi yazısında, Müşterilere ait kişisel verilerin herkese açık sosyal medya hesapları üzerinden paylaşıldığı, bu paylaşımlar yapılırken program özelliği ya da kağıt gibi vasıtalarla kişisel verilerin gizlenmeye çalışıldığı, ancak kimi paylaşımlara bu hususun dikkatsizlik ve acelecilik gibi nedenlerle gözden kaçırıldığı, kullanılan sistemin özelliği gereği ilgili kişilere ait kimlik numaralarının kapatıldığı ve hiçbir zaman kimlik numaralarına ilişkin bir paylaşım yapılmadığı, söz konusu eksikliğin bilgisizlikten kaynaklandığı gibi nedenler ileri sürmüşse de bu savunmasına bir geçerlilik tanınmadığı ortadadır. Kişisel verilere yönelik ihlallerin meydana gelmesi, KVKK’da öngörülen hususların gereği gibi yerine getirilmemesinden kaynaklanmaktadır.

Ayrıca hatırlatmak isteriz ki, KVKK uyarınca bir verinin kişisel veri olarak nitelendirilme kriteri, verinin belirli ya da belirlenebilir gerçek kişiye ilişkin olmasıdır. Bu bağlamda uyuşmazlık konusu olayda veri sorumlusu tarafından ilgili kişilerin kimlik bilgilerinin paylaşılmadığı ifade edilmiş olsa da Kurul tarafından kişilerin adları, adresleri, plaka numaraları ile araca ilişkin bilgiler gibi birtakım bilgilere yer verildiği tespit edilmiştir. KVKK’da yer alan tanım ve Kurul’un tespiti doğrultusunda bir değerlendirme yaparsak, söz konusu tespit edilen bilgiler, kişinin kimliğinin belirlenebilmesine olanak sağlayacağından söz konusu veriler kişisel veri olarak nitelendirilebilmektedir. Bu haliyle bir verinin herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayacak nitelikte olması o verinin kişisel veri olma sonucunu doğuracaktır. Veri sorumluları tarafından bu hususun göz ardı edilmemesi gerekmektedir.

  1. “Ulaşım hizmeti sunan bir mobil uygulama kapsamında işlenen kişisel veriler hakkında” Kişisel Verileri Koruma Kurulunun 27/01/2020 tarih ve 2020/65 sayılı Karar Özeti[14]

Karara konu olayda özetle, ilgili kişinin ulaşım hizmeti sunan bir platform vasıtasıyla yaptığı yolculukların şoförler tarafından puanlandığını öğrenmesi, kendi yolculuklarına ait bu puanlara kendisi tarafından erişilememesi ve bu tip bir puanlama yapılacağı hususunda veri sorumlusunun aydınlatma metninde herhangi bir bilginin yer almaması neticesinde, veri sorumlusu statüsüne sahip ulaşım hizmeti sunan platforma 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 11 inci maddesinin 1 inci fıkrasının (b) bendinde yer alan “Kişisel veri işlenmişse buna ilişkin bilgi talep etme” hakkından hareketle veri sorumlusuna başvuruda bulunduğu, ancak veri sorumlusu tarafından işbu başvurusu cevaplandırılmadığı iddiasıyla ilgili kişi tarafından Kişisel Verileri Koruma Kurumuna başvuruda bulunmuştur. İşbu başvuru sonrasında Kurum tarafından veri sorumlusuna müracaat edilerek savunması istenilmiştir. İddia edilen olay ve veri sorumlusundan alınan savunma kapsamında Kurul tarafından yapılan inceleme yapılarak aşağıdaki şekilde değerlendirme yapılmıştır.

“1- Kanunun 13 üncü maddesinin 2 inci fıkrasında “Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyet gerektirmesi halinde, Kurulca belirlenen tarifedeki ücret alınabilir” hükmüne ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin” 6 ıncı maddesinin (1) numaralı fıkrasındaki “Veri sorumlusu bu Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlüdür.” hükmüne yer verildiği,

Veri sorumlusunun “Kullanım Koşulları” başlıklı dokümanında yer alan hükümlere istinaden ilgili kişinin talebini süresi içinde cevaplamayan veri sorumlusunun Kanun kapsamında yöneltilen başvuruları gerek bu Kanunun 15 inci maddesinin 5 inci fıkrasına istinaden gerekse kendisi tarafından duyurulan koşullara uygun olarak zamanında, tam ve eksiksiz olarak cevaplaması hususunda talimatlandırılmasına,

2- Bu noktada ikinci olarak, bahse taşıma/ulaşım hizmeti ile ilgili kişinin iddia ettiği ve veri sorumlusunun daha sonra Kurumun bilgi ve belge talebine yönelik yazısına cevaben gönderdiği yazı ve ekinde belirttiği üzere ilgili kişilerin puanlaması işleminin sözleşmenin kurulması veya ifasıyla doğrudan doğruya bir ilişkisinin olup olmadığının incelenmesi gerektiği,

Müşterilerin/yolcuların yaptığı seyahatlerin şoförler tarafından puanlanmasına ve bu puanların ortalamasının alınmasına dayanan veri işleme faaliyetinin, Kanunun 5 inci maddesinin 2 inci fıkrasının (c) bendinde yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” şartı kapsamında sözleşmenin ifasına ilişkin ana kurucu öğe olmadığı veya sözleşmenin ifasıyla doğrudan doğruya bir ilişkisinin var olmaması sebebiyle ve bu veri işleme faaliyetinin aynı maddede belirtilen diğer veri işleme şartlarından herhangi birine dayanmadığı dikkate alındığında veri sorumlusunun Kanunun 12 inci maddesinin 1 inci fıkrasının a bendinde yer alan “veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır” hükmüne aykırı hareket ettiği kanaatine varıldığından hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının b bendine istinaden 100.000 TL idari para cezası uygulanmasına,

3- İlgili kişinin veri sorumlusunun Aydınlatma Metninde müşteriler/yolcular hakkında bir puanlama yapıldığına dair her hangi bir bilginin bulunmadığına dair iddiasına ilişkin olarak, “Kişisel Verilerin Korunması Hakkında Bilgilendirme” başlıklı dokümanının incelendiği, “Kişisel Verilerin Korunması Hakkında Bilgilendirme” başlıklı bu dokümanda, “….’nin kişisel verilerinizi işleme amacı:

• Kimliğinizi doğrulamak

• Müşteri desteği sağlamak ve sorun gidermek

• Servis güncellemeleri ve hatalar hakkında sizi bilgilendirmek

• Uygulama ve kampanyalar hakkında sizi bilgilendirmek

• Sürücünün yolculukla ilgili olarak size ulaşması gereken durumlarda sizi arayabilmesini sağlamaktır…” şeklinde açıklandığı,

Veri işleme amaçları arasında yolcuların puanlanıp sürücüler tarafından bunun görülebileceğine ilişkin bir açıklama bulunmadığı,

“Kullanım Koşulları” dokümanında ise “Veri sorumlusu Sıfatıyla İşlenen Veriler” başlıklı maddesinde bu verilerin

• Tanımlama bilgileri (ad, soyad, cep telefonu numarası, e-posta adresi).

• Kullandığınız mobil aygıtın işletim sistemi versiyonu bilgisi.

• Kullandığınız mobil aygıttan edinilen konum bilgileri.

• Yolculuk sonunda sürücüye verilen oylama bilgisi ve yorumlar.

• Uygulama içindeki “Öneri ve Şikâyet” bölümünde iletilen yorumlar.” olarak sayıldığı,

Bu sebepten dolayı, ne aydınlatma metninde (Kişisel Verilerin Korunması Hakkında Bilgilendirme) ne de kullanıcı sözleşmesinde (Kullanım Koşulları) müşterilerin puanlanmasına ilişkin bir bilgilendirme bulunmadığı,

Bu durumda, müşterilerin puanlanmasına dayanan veri işleme faaliyetinin Kanunun 4 maddesinde belirtilen kişisel verilerin işlenmesine ilişkin genel ilkelerden ilk olarak “Hukuka ve Dürüstlük Kurallarına Uygun Olma” ilkesine aykırılık teşkil ettiği, zira veri sorumlusunun sözü geçen kişisel veri işleme faaliyetine ilişkin olarak ilgili kişi ile hiçbir bilgi paylaşmadığı, konu “Belirli, Açık ve Meşru Amaçlar İçin İşlenme” ilkesi bakımından değerlendirildiğinde, veri sorumlusun aydınlatma metninde ve kullanım koşullarına ilişkin metinde belirtilen amaçların müşterilerin puanlanmasına dayanan kişisel veri işleme faaliyetinin asıl amacının ne olduğunu açıklayamadığı,

Bu kapsamda, söz konusu uygulamanın yüklenmesi akabinde üye olunması esnasında ilgili kişilere bir aydınlatma gerçekleştirilmediği ve ilgili kişinin yolculuklarının şoförler tarafından değerlendirilerek çıkarılacak bir puanlamaya dayalı veri işleme faaliyetine, internet sitesinde yer alan veri sorumlusunun aydınlatma metni yerine geçen “Kişisel Verilerin Korunması Hakkında Bilgilendirme” dokümanında ve Kullanım Koşulları başlıklı belgede yer verilmemesi sebebiyle, Kanunun 10 uncu maddesinde yer alan “Veri Sorumlusunun Aydınlatma Yükümlülüğü”nü yerine getirmemiş olduğu kanaatine varılmasından ötürü Kanunun 18 inci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında veri sorumlusu hakkında 10.000 TL idari para cezası uygulanmasına,

4- Puanlamaya dayalı veri işleme faaliyetine devam edebilmesi için veri sorumlusunun Kanunun “Kişisel Verilerin İşlenmesi Şartları” başlıklı 5 inci maddesinde kapsamında uygun bir veri işleme şartı belirlemesi, buna istinaden aydınlatma metnini güncellemesi ve sayılan hususları tamamladığına ilişkin destekleyici belge ve kayıtları Kanunun 15 inci maddesinin 5 numaralı fıkrası hükümlerine istinaden 30 gün içinde Kurula sunması hususunda talimatlandırılmasına karar verilmiştir.”

KVKK uyarınca kişisel verilerin işlenebilmesi için kural olarak ilgili kişinin açık rızasının varlığı gerekmekle birlikte kanunda belirtilmiş olan istisnai hallerle sınırlı olmak üzere ilgilinin açık rızası aranmaksızın kişisel verilerin işlenebilmesinin mümkün olduğu hususunu birçok kez dile getirmiştik. Açık rızanın yanında veri işleme faaliyetinde uyulması gereken başkaca yükümlülükler de bulunmaktadır.   Bunların başında veri sorumlularının ilgili kişiyi aydınlatma yükümlülüğü gelmektedir. Buna göre veri sorumlusu, kişisel verileri işlenen ilgili kişilere ait kişisel verilerin kim tarafından, hangi amaçlarla ve hukuki sebeplerle işlenebileceği, hangi kapsamda kimlere aktarılabileceği ve ilgili kişinin haklarının neler olduğuna ilişkin bilgiler konusunda ilgili kişiyi aydınlatmakla yükümlüdür. Veri sorumlusunun aydınlatma yükümlülüğü, ilgili kişinin kişisel verisinin işlendiği her durumda söz konusu olmaktadır. Bu haliyle kişisel verinin işlenmesi Kanunda sayılan istisnalardan biri kapsamında gerçekleşse dahi veri sorumlusunun aydınlatma yükümlülüğünü yerine getirmesi zaruridir.

İşbu karar ile bir kez daha kişisel verilerin işlenmesi noktasında veri sorumlusu tarafından yerine getirilmesi gereken hususlara dikkat edilmesi gerektiği, ilgili kişiye yapılacak olan aydınlatma yükümlülüğünün de kanun ve her somut olay kapsamı ile uyumlu olacak şekilde eksiksiz, açık ve anlaşılır bir dil ile yapılması, hususları vurgulanmaktadır. Yazımızda yer alan 2 nolu kararda da belirtildiği üzere aydınlatma yükümlülüğünün Kanun ve Yönetmeliğe uygun bir şekilde yerine getirilmesi ne yazık ki veri sorumluları tarafından ihmal edilen bir husustur. Önemine binaen yeniden belirtmek isteriz ki, bu konuda gerek Kanunun ilgili maddesinin gerekse de Yönetmeliğin dikkatli bir şekilde incelenmesi ve veri sorumlusu nezdinde tutulacak Kişisel Veri İşleme Envanterinin doğru ve düzgün bir şekilde tutulması ve buna uygun bir aydınlatma yükümlülüğünün hazırlanması gerekmektedir. Kurul işbu kararı ile Kanun’a uyumlu hareket edilmesi hususuna yine dikkat çekerek göz önünde bulundurulması gereken noktalarda yol gösterici nitelikte bir değerlendirme yapmıştır.

  1. “İlgili kişiye rızası bulunmamasına rağmen bir gayrimenkul şirketi tarafından SMS aracılığıyla gönderilen reklam ve bildirimler hakkında” Kişisel Verileri Koruma Kurulunun 27/01/2020 tarih ve 2020/67 sayılı Karar Özeti[15]

Kurul’a intikal eden 27.01.2020 tarihli ve 2020/67 sayılı karara konu başvuruda, ilgili kişi tarafından kendisine bir gayrimenkul şirketi tarafından SMS aracılığıyla gönderilen reklam ve bildirimlere ait açık rızasının bulunmadığı ve bu kapsamda gereğinin yapılması talebini ile başvuruda bulunulduğu, akabinde Kurul tarafından veri sorumlusundan savunması istenmiş olup bu çerçevede inceleme yapılmıştır. Kurul tarafından yapılan incelemede:

“Kişisel verilerin işlenme şartlarının düzenlendiği Kanunun 5 inci maddesinin birinci fıkrasında; kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, ikinci fıkrasında belirtilen şartlardan (-Kanunlarda açıkça öngörülmesi, -Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, -Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, -Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, -İlgili kişinin kendisi tarafından alenileştirilmiş olması, -Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, -İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması) birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun hükme bağlandığı,

Somut olayda Kurumun bilgi, belge talebine ilişkin olarak veri sorumlusu tarafından verilmiş olan cevap yazısında, ilgili kişiye ait kişisel verilerin herkese açık bilgi kaynaklarından elde edildiği ve ilgili kişinin açık rızasının bulunmadığının anlaşıldığı,

Kanunun 5 inci maddesinin 2 nci fıkrasının (d) bendinde yer alan alenileştirme ilkesi gereğince, ilgili kişinin kendisi tarafından alenileştirilen, bir başka ifadeyle herhangi bir şekilde kamuoyuna açıklanmış olan kişisel verileri işlenebileceği, bu duruma örnek olarak ise bir kişinin belirli hallerde kendisiyle iletişime geçilmesi amacıyla iletişim bilgilerini kamuya açık şekilde ilan etmesinin verilebileceği,

Alenileştirmenin gerçekleştirilebilmesi için alenileştirme iradesinin ne olduğuna bakılması gerektiği, zira bir kişinin kişisel verisinin herkesin görebileceği bir yerde olmasının aleni olmasını sağlamayacağı, alenileştirme durumunda kişisel verinin alenileştirme amacı kapsamında kullanılması gerektiği, somut olayda, alenileştirme bulunuyor olsa dahi ilgili kişinin reklam faaliyetleriyle ilgili kendisiyle iletişim kurulması amacıyla söz konusu kişisel verileri alenileştirmemiş ise, gerçekleştirilecek olan kişisel veri işleme faaliyetinin hukuka uygun olmayacağının değerlendirildiği,

Somut olayda işlenen kişisel verilere yönelik olarak ilgili kişinin açık rızasının alınmadığı, açık rızanın aranmadığı diğer hallerin ise bulunmadığı, bu kapsamda ilgili kişinin kişisel verilerinin Kanunun 5 inci maddesinde yer alan şartlar yerine getirilmeden reklam içerikli iletiler gönderilmesi amacıyla kullanılmasının Kanunun 12 nci maddesinin 1 inci fıkrasının (a) bendine aykırılık teşkil ettiği” hususları belirtilerek veri sorumlusu hakkında idari para cezası yaptırımı öngörülmüştür.

Kurul’un, 27.01.2020 Tarih ve 2020/67 Sayılı kararı ile üzerinde durulan husus kişisel verilerin ilgili kişi tarafından alenileştirilmesidir.

Kişisel verilerin alenileştirilme çerçevesinde işlenebilmesi için Kurul Kararında da belirtildiği üzere,  ilgili kişinin işbu kişisel veriyi alenileştirme iradesine bakılması gerekmektedir. İlgili kişi söz konusu kişisel verisini hangi amaç ve irade ile alenileştirdiğinin incelenmesi gerekmektedir. Nitekim salt kişinin kişisel verisinin herkesin görebileceği yerde bulunması, söz konusu verinin aleni olmasını sağlamayacaktır. Bu noktada kişisel verilerin korunması açısından lafzi yorum yapmaktan kaçınılması gerektiğini düşünmekteyiz. Kurul’un somut olay nezdinde yapmış olduğu değerlendirmelerin yerinde ve hukuka uygun olduğu görüşündeyiz.