Bülten Detay

Kişisel Verileri Koruma Kurumu’nun Güncel Kararları

• 01.11.2019

Veri sorumlularının sayıca fazla olması ve son gün kayıt durumunda olası sistem çökmesi sorunlarıyla karşılaşılabileceği sebebiyle, kayıt işlemlerinin son güne bırakılmamasını önermekteyiz. 

Son dönemde Kurum’un veri sorumluları aleyhine kestiği cezalara ilişkin bir takım örnekleri aşağıda bulabilirisiniz. 

I. Kurum’un 2019/157 sayılı kararında; 

• Google firmasına ait G-mail e-posta hizmeti altyapısının kullanılması durumunda gönderilen ve alınan e-postaların dünyanın çeşitli yerlerinde bulunan veri merkezlerinde tutulması söz konusu olacağından, böyle bir durumda kişisel verilerin yurt dışına aktarılmış kabul edileceğine ve veri sorumlularının söz konusu uygulamayı 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Kişisel verilerin yurt dışına aktarılması” başlıklı 9 uncu maddesi hükümlerine uygun olarak gerçekleştirmesine;

• “Server”ları yurt dışında bulunan veri sorumlularından/veri işleyenlerden temin edilen saklama hizmetlerinin de Kanunun 9 uncu maddesi hükümlerine uygun olarak gerçekleştirilmesine karar verilmiştir.

II. Kurum’un 2019/159 sayılı kararında; 

• Veri sorumlusu varlık yönetim şirketi tarafından ilgili kişiye ait telefon numarasına açık rızası olmaksızın kısa mesajların (SMS) gelmesi ve SMS’lerde ret bildiriminin bulunmaması, ayrıca Şirketin, kişisel verilerini nereden, kimlerden ve nasıl temin ettiğini bilmemesi;

• Şikayetçinin geri ödemesi gerçekleştirilmeyen tahsili gecikmiş alacakların veri sorumlusu şirketçe devir ve temlik alındığı, Şikayetçinin kişisel verisi olan telefon numarası verisinin, Şikayetçinin maruz kalabileceği hukuki risklerin bildirilmesi amacıyla işlenmiş olmasının 6698 sayılı Kanunun 5 inci maddesinin (2) numaralı fıkrasının (e) bendi kapsamında Şikayetçinin açık rızası olmaksızın gerçekleşebilir olması nedenleriyle veri sorumlusu hakkında yapılacak bir işlem bulunmadığına;

• Ancak 6698 sayılı Kanun kapsamında kişisel verilerin kullanılmasının da bir veri işleme faaliyeti olduğu, bu anlamda Şirket tarafından ilgili kişinin telefon numarasına aynı içerikteki mesajların farklı tarihlerde birden fazla gönderilmesinin veri sorumlusunun sahip olduğu hakkı kötüye kullanımı olarak değerlendirilmesi ve bu durumun Kanunun 4 üncü maddesinin (2) numaralı fıkrasının (a) bendinde yer alan kişisel verilerin işlenmesinin hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırılık teşkil etmesi, hususları göz önünde bulundurularak, 20.000 TL idari para cezası uygulanmasına  karar verilmiştir.

III. Kurum’un 2019/162 sayılı kararında;

a) Veri sorumlusu tarafından şikâyetçiye ait telefon numarasına reklam amaçlı bir kısa mesajın (SMS) gönderilmesi üzerine ilgili kişinin kişisel verilerinin nasıl ve nereden temin edildiğini bilmemesi ve buna ilişkin olarak da kişisel verilerinin açık rızası olmaksızın kullanılması dolayısıyla veri sorumlusundan 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) istinaden bilgi talebinde bulunduğu ancak yasal süre içerisinde tarafına herhangi bir cevap verilmediği,

b) Kanun kapsamında veri sorumlusuna yaptığı başvuruya yasal süresi içerisinde cevap verilmemesi neticesinde de Kurula şikâyette bulunduğu ve bu başvurusunda (1) Veri sorumlusu nezdinde kendisine reklam/bildirim içerikli SMS gönderimi konusunda herhangi bir açık rızasının olup olmadığı, (2) kişisel verilerinin işlenip işlenmediği, işlenmişse ne amaçla işlendiği, (3) kişisel verilerinin yurt içinde kimlere aktarıldığı, (4) kişisel verilerinin yurt dışına aktarılıp aktarılmadığı, aktarılmış ise kimlere aktarıldığı, (5) gelen SMS’lerden Şirketin haberdar olup olmadığı hususlarında bilgi almak istediği,

şeklindeki talepler birlikte incelenmiş ve yapılan inceleme neticesinde,

• Şikâyetçinin kişisel verisi olan cep telefonu numarası bilgisinin Şirket tarafından kendisine reklam içerikli mesaj gönderilmesi suretiyle kullanılmasının, kişisel verilerin korunması mevzuatı açısından bir veri işleme faaliyeti olduğu, veri işlemenin ise Kanunun 5 ve 6. maddelerinde yer alan işleme şartlarında birine dayanması gerektiğini, ancak şikayet konusu mesaj gönderiminin herhangi bir işleme şartına dayanmadığı değerlendirildiğinden , kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı için veri sorumlusu hakkında Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendinde aykırı davranmış olması nedeniyle Şirket hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 50.000 TL idari para cezası uygulanmasına karar verilmiştir.

IV. Kurum’un 2019/81 ve 2019/165 sayılı kararlarında;

Spor salonu hizmeti sunan iki ayrı şirketin (veri sorumluları), üyelerinin giriş-çıkış kontrolünde el-avuç okutma sistemine geçilmesi, kaydı tutulan üyelere ait vesikalık fotoğraf, son ziyaret saati gibi bilgilerin herkesin görebileceği bir TV ekranında yansıtılması gibi biyometrik verileri de içeren bazı özel nitelikli kişisel verileri işlemesi ve bu bilgilerin güvenli şekilde muhafaza edildiğinden şüphe duyulması üzerine ilgili kişilerce Kuruma intikal ettirilen muhtelif ihbar ve şikayetlerin incelenmesi neticesinde yapılan değerlendirmede:

a) spor salonuna giriş için veri sorumluları tarafından uygulanan “el ve parmak izi taraması” sisteminin, hizmetten faydalanmak için zorunlu ve tek yol olarak üyelere sunulmasının, kişisel verilerin işlenmesinde ölçülülük ilkesi ışığında ilgili kişilerden minimum düzeyde veri talep etme ilkesi ile uyumlu olarak değerlendirilmediği,

b) Bunlara ek olarak, bahse konu somut olayda, üyelere sunulan online üyelik sözleşmesinde, özel nitelikli kişisel veri olan avuç içi izinin alınmasına onay verilmesinin sözleşmenin kurulması için zorunlu bir şart olarak sunulduğu ve kurala uyulmaması halinde firmaya fesih hakkı tanınmış olduğu hususları birlikte değerlendirildiğinde üyelerin kulüplere girişlerde avuç içi izi bilgilerinin alınmasına rıza göstermemeleri halinde söz konusu hizmetten yararlanamayacakları dikkate alındığında, üyeler tarafından verilen açık rızaların özgür iradeye dayalı olduğunu söylemenin mümkün bulunmadığı bu kapsamda veri sorumlusu tarafından hizmetin sunulmasının açık rıza şartına bağlandığının değerlendirildiği,

Bu itibarla ilgili veri sorumluları hakkında,

• Spor kulübünde giriş çıkış kontrolünün yapılabilmesi ve kulüp hizmetlerinden faydalanmak isteyen kişilere ilişkin giriş kontrolünün alternatif yollar ile sağlanması mümkün iken kişilerin biyometrik veri niteliğindeki avuç içi izi verisinin alınmasının 6698 sayılı Kişisel Verilerin Korunması Kanununun 4 üncü maddesinin (2) numaralı fıkrasında yer alan “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi ile bağdaşmadığı, öte yandan veri sorumlusu tarafından avuç içi izi verisinin işlenmesi için kişilerden açık rızalarının alınması yoluna gidildiği ancak açık rıza verilmemesi durumunda kulüp hizmetlerinden yararlanamadıkları dikkate alındığında üyelerden alınan açık rızanın Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine aykırılık teşkil etmesi nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına,

• Üyelere ait kişisel bilgilerin üçüncü kişiler tarafından görülmesini önleyecek gerekli teknik ve idari tedbirleri almadığı kanaatine varılan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (c) bendi kapsamında idari para cezası uygulanmasına,

• Spor Kulübünde giriş çıkış kontrolünün ve kulüp içerisindeki güvenliğin temini noktasında kulüp hizmetlerinden faydalanmak isteyen kişilere ilişkin giriş kontrollerinin biyometrik verileri işlemenin haricinde alternatif yollar ile sağlanması, biyometrik veri ile giriş çıkış işlemleri yapılmasının ve biyometrik veri işlemenin ivedilikle durdurulması hususunda veri sorumlularının talimatlandırılmasına;

• Veri sorumluları tarafından bugüne kadar işlenen ve muhafaza edilen el, parmak ve avuç izi ile ilgili verilerin Kanunun 7 nci maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun olarak ivedilikle yok edilmesi, eğer ilgili özel nitelikli verilerin üçüncü kişilere aktarılması söz konusu ise, yok etmeye yönelik işlemlerin bu verilerin aktarıldığı üçüncü kişilere ivedilikle bildirilmesinin sağlanması hususunda veri sorumlularının talimatlandırılmasına karar verilmiştir.

V. Kurum’un 2019/166 sayılı kararında;

İlgili kişinin, şahsına ait telefon numaralarına gönderilen ve kendisine ait olmayan içerik barındıran kısa mesaj (SMS) nedeniyle veri sorumlusuna başvurduğu; veri sorumlusu tarafından verilen cevapta, bu gönderimin personel hatasından kaynaklandığı ve başka bir aboneye ait giriş yapılırken 1 rakam hatası sonucunda ilgili kişiye SMS gönderildiği tespit edilerek yanlışlığın derhal düzeltildiğinin belirtildiği; ancak, kendisine gönderilen SMS’te kişisel verileri yer alan kişinin yeğeni olduğunu ve yeğeninin telefon numarası ile kendisine ait telefon numarasının 1 rakam değişikliği / yanlışlığı ile karıştırılmasının mümkün olmadığını belirterek veri sorumlusu hakkında gereğinin yapılmasını talep ettiği başvurusunun incelenmesi neticesinde,

• Gerek bir şirketler grubuna borçlu olduğu belirtilen ve şikayetçinin yeğeni olduğu anlaşılan şahsa ait ad, soyad ve hizmet numarasının şikayetçiye ait hatta gönderilmesi, gerekse şikayetçiye ait telefon numarasının, Kanunda düzenlenen işleme şartlarından herhangi birine dayanmadan işlenmesi şeklindeki tek bir harekete bağlı iki farklı veri işleme faaliyeti sonucunda Kanunun 12 nci maddesinin birinci fıkrasının (a) bendinde öngörülen “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğünü yerine getirmediği anlaşılan veri sorumlusu avukat hakkında, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 50.000 TL idari para cezası uygulanmasına karar verilmiştir.