KİŞİSEL VERİLERİ KORUMA KURULU TARAFINDAN 02.04.2020 TARİHİNDE YAYIMLANAN KARAR ÖZETLERİNE İLİŞKİN DEĞERLENDİRME

09 Nisan 2020

6698 sayılı Kişisel Verileri Koruma Kanunu ve ilgili mevzuatın eksik kaldığı noktada, Kişisel Verileri Koruma Kurulu tarafından yayımlanan kararlar uygulamaya yön vermekte ve veri sorumluları için soru işaretlerini gidermektedir.


6698 sayılı Kişisel Verileri Koruma Kanunu ve ilgili mevzuatın eksik kaldığı noktada, Kişisel Verileri Koruma Kurulu tarafından yayımlanan kararlar uygulamaya yön vermekte ve veri sorumluları için soru işaretlerini gidermektedir. Kurul tarafından 02.04.2020 tarihinde yayımlanan kararlara ilişkin değerlendirmelerimiz yazımızın devamında dikkatinize sunulmuştur.

 

 

Karar Tarihi

Karar No

Konu Özeti

Yaptırım

1

16/05/2019

2019/138

Bir şirket sahibinin, çalışanının Whatsapp yazışmalarını hukuka aykırı olarak elde etmesi hakkında

TCK kapsamında değerlendirilmesine karar verilmiştir.

Karara konu olayda; şikayetçi çalışanın rızası dışında kendisine ait Whatsapp yazışmaları, çalıştığı şirketin sahibi tarafından başka bir çalışanın işyerindeki bilgisayarı üzerinden ele geçirilmiş ve üçüncü kişilerle paylaşılmıştır. Şikayetçi çalışan tarafından yapılan başvuru neticesinde Kurul, eylemin TCK kapsamında değerlendirilmesi gerektiği kanaatine varmış; şikayetçi tarafından Türk Ceza Kanunu’nun ilgili hükümleri kapsamında İstanbul Anadolu Cumhuriyet Başsavcılığına suç duyurusunda bulunulduğu ve sürecin devam ettiği gerekçesiyle başvurunun 6698 sayılı Kanun’un 15’ inci maddesi gereğince başvurunun KVKK kapsamında değerlendirilemeyeceği kanaatine varılmıştır.

Kanaatimizce, Kurul tarafından verilen karar yerinde değildir; bir bakıma eksiktir. Nitekim, TCK’nın ilgili hükümlerini ihlal eden şikayete konu eylem aynı zamanda 6698 sayılı KVKK’nın da ihlaline yol açmaktadır. Kararda bahsi geçen 15’ inci madde hükmü şu şekildedir;

“…(1) Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.

(2) 1/11/1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesinde belirtilen şartları taşımayan ihbar veya şikâyetler incelemeye alınmaz.

…”

Hükmün göndermede bulunduğu 3071 sayılı Kanun’un 6’ ıncı maddesinde ise, yetkili makamlara gönderilen dilekçelerin yargı mercilerinin görevine giren konularla ilgili olması halinde incelenemeyeceği kabul edilmiştir. Ancak, şikayetçinin başvurusuna konu olay salt bir yargı organını ilgilendirmemektedir. Kişi, şikayetçi çalışanın Whatsapp yazışmalarını ele geçirip üçüncü kişilerle paylaşmasıyla aynı zamanda 6698 sayılı Kanun’a aykırılık oluşturmuştur. Kurulun bu noktada çoğu kararında verdiği şekilde “talimatlandırma” uygulamasının daha doğru bir yaklaşım olduğu kanaatindeyiz. Öte yandan, eylemin yargı organları tarafından TCK anlamında haberleşmenin gizliliğini ihlal suçu olarak değerlendirilmesi gerektiği düşüncesindeyiz.

 

 

Karar Tarihi

Karar No

Konu Özeti

Yaptırım

2

08/07/2019

2019/206

Veri sorumlusunun, web sitesinde kişisel verilerin işlenmesini hizmet şartı olarak talep ettiği ve aydınlatma yükümlülüğün usulüne uygun yerine getirmediği iddiaları hakkında

Veri sorumlusunun talimatlandırılmasına karar verilmiştir.


Karara konu olayda şikayetçi tarafından hizmet sağlayıcı/aracı firma olan veri sorumlusuna ait web sitesine girildiğinde; giriş yapılması zorunlu bir alan çıktığı ve istenilen kişisel veriler verilmeden ana sayfa üzerinden ürün incelemesi yapılamadığından bahisle Kurul’a başvuruda bulunulmuştur. Şikayetçi tarafından ilgili kişilerin kişisel verilerinin hizmet şartı olarak talep edildiği ve aydınlatma metninin ilgili mevzuatta yer alan asgari şartları karşılamadığı iddia edilmiştir.


Bu doğrultuda Kurul tarafından yapılan incelemede, incelemeye konu web sitesi ile kullanıcılara sunulan mal ve hizmetlerin doğrudan tedarikçisi veya sağlayıcısı niteliğinde olmayan ve hizmetlerin üyeler tarafından indirimli fiyatlar üzerinden satın alınmasını sağlayan veri sorumlusunun aracı firma rolü üstlendiğinden üyelerine bu yönde artı bir avantaj sağladığı; üye olmayan kişilerin ise hizmetleri satın alma hakkının ortadan kaldırılmadığı tespit edilmiştir. Bu sebeple, açık rızanın olumlu irade beyanı içermesi gerekliliği üzerinde durularak açık rızanın “belirli bir konuya ilişkin olması, rızanın bilgilendirmeye dayanması ve özgür iradeyle açıklanması” şeklindeki üç unsuruna vurgu yapılmış ve şikayete konu web sitesinde hizmet sunumunun açık rıza şartına dayandırılmadığı sonucuna varılmıştır. Web sitesi aracılığıyla sağlanan indirimli fiyat ve avantajlar yalnızca üyelere sunulmakta ve bu noktada, açık rızanın özgür iradeye dayanma şartı sağlanmaktadır. Kanaatimizce, karar bu yönüyle yerindedir; nitekim 6698 sayılı Kanun kapsamında tesis edilecek bir işlem olmadığına karar verilmiştir.

Başvurucu şikayetçi tarafından başvuruya konu edilen bir diğer nokta, aydınlatma metinlerinin içeriği olmuştur. İlgili sitede yer alan “Gizlilik ve KVK Politikamız” başlıklı metinde üyelerden alınan kişisel verilerin işlenmesinde hukuki sebeplerin belirtilmediği ve aldatıcı ibarelerin kullandığı gerekçesiyle Kurul tarafından söz konusu metnin 6698 sayılı Kanun ve “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ”e uygun olacak şekilde güncellenmesi ve aydınlatma yükümlülüğü ile açık rıza işlemlerinin ayrı ayrı yerine getirilmesi yönünde veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Kurul tarafından verilen kararın bu yönüyle de yerinde ve oldukça dikkate değer olduğunu düşünmekteyiz. Nitekim, uygulamada da aydınlatma metinleri içerisinde genel ifadelere yer verildiği ve istisna hallere atıf yapılmakla yetinildiği görülmektedir. İşbu karara istinaden, Kurul tarafından amaçlanan çoğu veri sorumlusu tarafından yapılan hatanın giderilmesini sağlamaktır. Dolayısıyla aydınlatma metinlerinin usulüne uygun olmadığından bahisle, idari para cezasına hükmedebilecekken Kurul tarafından veri sorumlusunun 6698 sayılı Kanun’a uyum için göstermiş olduğu çaba dikkate alınarak talimatlandırılmasına karar verilmiştir. Bu yönüyle Kurul’un uygulamasını veri sorumluları açısından oldukça olumlu ve Kanun’un gerekliliklerinin yerine getirilmesi açısından bir fırsat olarak değerlendirmek mümkündür.

 

Karar Tarihi

Karar No

Konu Özeti

Yaptırım

3

18/09/2019

2019/273

Ölü kişilerin verilerine yakınlarının erişim talebi hakkında

6698 sayılı Kanun kapsamında değerlendirilmemiştir.

Karara konu olayda, başvurucu ilgili kişi tarafından vefat eden eşinin yasal mirasçısı olarak tedavi görmüş olduğu klinikten tüm medikal ve başkaca bilgileri talep etmiştir. Sözü geçen klinik tarafından resmi olmayan yollarla kişinin kendisi ile veri paylaşılamayacağı iletilmiştir.

Kurul tarafından yapılan inceleme sonucunda, kişiliğin ölümle sona erdiği dolayısıyla, talep edilen kişisel verilerin gerçek kişiye ait olmaması sebebiyle 6698 sayılı Kanun kapsamında yapılacak bir işlem olmadığına karar verilmiştir. Bu yönüyle kanaatimizce,  Kurul tarafından verilen karar Kanun’un lafzına uygun olmakta ancak amacına aykırılık teşkil etmektedir. Nitekim, Kanun’da “veri sahibi” tabiri yerine “ilgili kişi” tabiri kullanılmış dolayısıyla olaya konu olmuş talepte olduğu gibi mirasçıların ilgili kişi olarak yorumlanmasında açık bir kapı bırakılmıştır.

 

Karar Tarihi

Karar No

Konu Özeti

Yaptırım

4

01/10/2019

2019/297

Veri sorumlusu tarafından ilgili kişiye gönderilen reklam amaçlı SMS’ler hakkında

6698 sayılı Kanun kapsamında değerlendirilmemiştir.

Karara konu olayda, ilgili kişi numarasına açık rıza olmaksızın reklam içerikli SMS gönderildiği ve kendisinin bu şekilde yapılan reklamlardan rahatsızlık duyduğu gerekçesiyle öncelikle veri sorumlusuna başvuruda bulunulmuş verilen cevabın yetersiz görülmesi üzerine konu Kurul’a taşınmıştır.

Kurul tarafından yapılan incelemede, ilgili kişinin daha önce veri sorumlusunu arayarak kullanım kılavuzu talep ettiği ve bununla birlikte şahsıyla e-posta, SMS ve telefon ile iletişime geçilmesine Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik’in Geçici 1/2 maddesine uygun olarak izin verdiği tespit edilmiştir. Ek olarak, ilgili kişinin kişisel verilerinin şikayet edilen firmadan 2013 yılında almış olduğu ürüne istinaden işlendiği doğrulanmış ve satın alma işleminin 6698 sayılı Kanun’un yürürlüğe girmesinden önce gerçekleştiği anlaşıldığından şikayete ilişkin 6698 sayılı Kanun kapsamında yapılacak herhangi bir işlem bulunmadığına karar verilmiştir.

Kanaatimizce, Kurul tarafından verilen karar 6698 sayılı Kanun’un yürürlüğe girmesinden önce işlenen kişisel verilerin söz konusu olması sebebiyle yerindedir. Nitekim, Kanun’da yürürlük öncesi işlenen kişisel verilerin uyumluluğu için iki yıllık bir süre öngörülmüştür. Bu sebeple Kurul tarafından uyumluluk değerlendirmesi, Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik kapsamında gerçekleştirilmiştir. Yönetmelik’te belirtilen şartlara uygun olarak kişinin kendi rızası ile vermiş olduğu kişisel verilerinin, açık rızası olmaksızın işlendiği iddiası kabul görmemiş ve yapılacak herhangi bir işlem bulunmadığına karar verilmiştir.

 

Karar Tarihi

Karar No

Konu Özeti

Yaptırım

5

07/11/2019

2019/333

Telekomünikasyon sektöründe faaliyet gösteren veri sorumlusu tarafından şikayetçiye, ad ve soyadı benzerliği olan başka bir abonesinin fatura bilgilerinin e-posta yoluyla iletilmesi hakkında

50.000 TL idari para cezası ve veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Karara konu olayda, telekomünikasyon firması olarak faaliyet gösteren veri sorumlusu tarafından ilgili kişiye ad ve soyad benzerliği taşıyan bir başka abonenin faturaları iletilmiştir. Bu sebeple, 6698 sayılı Kanun’un gereklerine aykırı olarak veri sorumlusu tarafından gerekli teknik tedbirlerin alınmamış olduğu kanaatine varılmıştır. Kanun’un 12’ inci maddesinde veri sorumlularının uygun güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idari tedbirleri almak zorunda olduğu kabul edilmiş ve 18’ inci maddede veri güvenliğine ilişkin yükümlülükleri yerine getirmeyen veri sorumlularının idari para cezası ile cezalandırılacakları hükme bağlanmıştır. Durum böyle iken, Kurul tarafından yapılan incelemede Tüketici Hakları Yönetmeliği kapsamında bir değerlendirme gerçekleştirilmiş ve veri sorumlusu sistemindeki verilerin doğru ve gerektiğinde güncel olmadığı ve gerekli tedbirlerin alınmadığından bahisle veri sorumlusuna 50.000-TL para cezası verilmiştir.

Öte yandan, ilgili kişi tarafından şikayete konu hatanın düzeltilmesi, kişisel verilerinin hangi amaçlarla işlendiği, yurt içi ve yurt dışında verilerinin aktarıldığı üçüncü kişiler hakkındaki bilgi taleplerini içeren e-postasını veri sorumlusuna göndermek suretiyle yapılan başvurunun yanıtlanmadığı Kurul’a aktarılmıştır. Kurul tarafından bu yönde yapılan incelemede, veri sorumlusunun e-posta ortamından gelecek şikayet taleplerinin alınması ve cevap verilmesinin veri güvenliği açısından risk içereceğinden dolayı cevap verilmediğine ilişkin savunmasının yukarıda yer verilen bilgiler ışığında gerçekçi bir savunma niteliği taşımadığı kanaatine varıldığından bahisle, “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ”in hükümlerine uyum konusunda azami dikkat ve özenin gösterilmesi ve bu karar çerçevesinde abonelerin kişisel verilerinin güvenliğine ilişkin gerekli tüm idari ve teknik tedbirlerin alınması hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.

İşbu karar uyarınca, Kurul tarafından veri sorumlusuna yapılan başvurularda, cevabın verilebilmesi için her türlü çaba ve imkanının kullanılması gerekliliğine dikkat çekilmiştir. Nitekim, kimlik teyidinin vatandaşı mağdur etmeden yapılabileceği üzerinde durulmuştur. Bu noktada kanaatimizce, veri sorumluları tarafından ilgili kişilerin başvurularına yanıt vermeme konusunda dürüstlük kuralına aykırı ve gerçekçi olmayan savunmalardan kaçınılması gerekmektedir. Öte yandan, aynı e-posta adresinin birden fazla kişi adına kayıtlı olması gibi sorunlarla karşılaşmamak adına veri sorumluları tarafından e-posta doğrulama, aktivasyon kodu gönderme gibi uygulamalara gidilmesinin uygun olacağı kanaatindeyiz. Dolayısıyla, Kurul tarafından verilmiş karar yerinde olmakla birlikte; veri sorumluları tarafından teknik tedbirlerin alınmasında gösterilmesi gereken özene dikkat çeken bir karar olmuştur. 

 

 

Karar Tarihi

Karar No

Konu Özeti

Yaptırım

6

16/01/2020

2020/34

İlgili kişinin dergi aboneliği işlemleri ile ilgili bir çağrı merkezine vermiş olduğu telefon numarasının anılan çağrı merkezi tarafından bir gıda şirketinin reklamının yapılması amacıyla aranması hakkında

18.000 TL idari para cezası uygulanmasına

karar verilmiştir.

Karara konu olayda, ilgili kişi tarafından dergi aboneliği işlemleri için çağrı merkezi ile paylaşılan kişisel verilerinin bir gıda şirketi tarafından işlenmesi söz konusu olmuştur. Şikayetçi tarafından veri sorumlusuna başvuruda bulunulmuş ve gönderilen cevabi yazıdan bahisle sisteme kaydedilen verilerinin amacı dışında kullanıldığı iddiası Kurul önüne taşınmıştır.

Kurul tarafından gerçekleştirilen incelemede, 6698 sayılı Kanun’un geçiş hükümlerine atıfta bulunarak yayım tarihi öncesinde işlenen kişisel verilerin iki yıl içerisinde Kanun’a uyumlu hale getirilmesi gerektiğine vurgu yapılmıştır. Nitekim, olayda sözleşme 2015 yılında sona ermiş ve bu kapsamda alınan kişisel verilerin silinmesi gerekirken açık rıza alınmaksızın farklı bir amaç için işleme faaliyetine devam edilmiştir. Bu doğrultuda, 6698 sayılı Kanun’un 12’ inci maddesinde belirtilen “kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” hükmüne aykırılık teşkil ettiğinden veri sorumlusu hakkında 18’ inci madde hükmüne dayanılarak 18.000-TL idari para cezasına hükmolunmuştur.

Kurul tarafından verilen kararın, 6698 sayılı Kanun’da benimsenen veri işleme ilkelerinden amaçla bağlantılı olma ilkesi kapsamında, oldukça önem arz eden yerinde bir karar olduğu kanaatindeyiz. Şöyle ki, veri sorumluları tarafından uygulamada sıklıkla aykırılık oluşturulan nokta, kişisel verilerin elde edilmesinden sonra elde edilme amacından uzaklaşılması olmaktadır. Elde edilen kişisel verilerin farklı bir amaç doğrultusunda işleme faaliyetine konu edilebilmesi anca ilgili kişinin açık rızasının alınması ile mümkün olabilecektir.

 

 

Karar Tarihi

Karar No

Konu Özeti

Yaptırım

7

16/01/2020

2020/41

İlgili kişinin kişisel verilerinin hukuka aykırı işlendiği iddiası kapsamında veri sorumlusu Bankadan talep ettiği tazminat talebinin karşılanmaması hakkında

6698 sayılı Kanun kapsamında değerlendirilmemiştir.

Bankaya kredi borcu bulunan ilgili kişinin, sigortalı olarak işe girmesiyle cep telefonundan banka tarafından arandığı ve cevap vermesine rağmen işyerinin aranarak aile bilgilerinin sorgulanması, ödeme yapıp yapmayacağının iş yeri sekterine sorulması karara konu edilmiştir. Şikayetçi/ilgili kişi söz konusu aramalar sebebiyle iş akdinin sona erdirildiğini gerekçe göstererek ilgili Bankaya mail yoluyla başvuruda bulunarak

100.000-TL manevi tazminat isteminde bulunmuştur. Kurul’un önüne taşınan başvuru neticesinde, şikayetçinin iddialarını kanıtlayıcı bir belge sunmadığı vurgulanarak talebin genel mahkemeler nezdinde çözümlenmesi gerektiği sonucuna varılmıştır.

6698 sayılı Kanun’un 14’ üncü maddesinde “Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır.” hükmüne yer verilmiş ve ilgili kişinin hakları arasında yer alan zararın giderilmesini talep etme hakkının nasıl kullanılacağı ve uygulanacağı yönünde bir açıklama getirilmiştir. Bu noktada, kanaatimizce de Kurul tarafından 6698 sayılı Kanun çerçevesinde yapılacak bir işlem olmadığına ilişkin verilen karar yerindedir. İlgili kişinin, kişisel verisinin hukuka aykırı olarak işlenmesi sebebiyle kişi bir zarara uğramıştır ve bunu doğrudan muhataptan veya mahkemeler aracılığıyla dolaylı olarak talep etme hakkına sahiptir. Son olarak belirtmekte fayda var ki, Kurul kararında kanıtlayıcı belge sunulmadığını vurgulayarak veri işleme faaliyetinin hukuka uygunluk durumunu değerlendirmemiştir. İlgili kişi tarafından kanıt belgelerin Kurul önüne taşınmış olması varsayımında Kurul’un kanaatinin değişebileceği de göz önünde bulundurulmalıdır.

 

 

Karar Tarihi

Karar No

Konu Özeti

Yaptırım

8

16/01/2020

2020/43

İlgili kişiye ait verilerin bir banka tarafından rızası olmaksızın babası ile paylaşılması karşısında Bankadan tazminat talep etmesi hakkında

6698 sayılı Kanun kapsamında idari para cezası verilmiş, BDDK’ya sevk edilmiştir.

İlgili kişi tarafından kendisine ait kredi risk bilgilerinin veri sorumlusu banka tarafından rızası olmaksızın babası ile paylaşıldığı gerekçesiyle manevi zarara uğradığı; zararın tazmini için bankaya başvurulduğu ancak 30 günlük süre içerisinde yanıt alınamadığından Kurum’a başvuruda bulunulmuştur.

Kurul tarafından yapılan incelemede, bir önceki kararda olduğu gibi manevi tazminat talebi için 6698 sayılı Kanun’un 14’ üncü maddesi gereği talebin genel mahkemelere yöneltilmesi gerektiği bu sebeple Kurul tarafından tesis edilecek bir işlem bulunmadığına karar verilmiştir. Öte yandan, başvuruya konu olay aynı zamanda, 6698 sayılı Kanun’un 12’ inci maddesi kapsamında veri güvenliğine ilişkin bir ihlal niteliğinde olduğundan idari para cezasına hükmedilmiş ve fiilin hukuka aykırı bir eylem olması sebebiyle Bankacılık Kanunu ve Türk Ceza Kanunu kapsamında işlem tesis edilmesi gerektiğinden Bankacılık Düzenleme ve Denetleme Kurumuna intikal ettirilmesine karar verilmiştir.

Kanaatimizce, Kurul tarafından tazminat talebi için genel mahkemelere göndermede bulunulması bir önceki kararda olduğu gibi hukuka uygunluk teşkil etmektedir. Banka tarafından borç bilgisinin paylaşılması veri işleme şartlarından “hukuki yükümlülüklerin yerine getirilmesi”ne dayandırılmışsa da sır niteliğindeki bilgiler açık rıza olmaksızın üçüncü bir kişiye aktarılmıştır. Dolayısıyla 6698 sayılı Kanun gereği, kişisel verilerin aktarımı ancak açık rıza veya Kanun’da belirtilen işleme şartlarının varlığı halinde mümkün olduğundan hukuka aykırı bir aktarım gerçekleştirilmiş ve veri ihlali gerçekleştirilmiştir. Bu yönüyle de Kurul tarafından verilen kararın ve konunun BDDK’ya iletilmesinin yerinde olduğu kanaatindeyiz.

 

 

Karar Tarihi

Karar No

Konu Özeti

Yaptırım

9

27/01/2020

2020/58

Bir Sigorta Acentesinin müşterilerine ait kişisel verileri herkese açık sosyal medya platformlarında müşterilerinden habersiz olarak ve reklam amacıyla paylaşması hakkında

22.500 TL idari para cezası uygulanmasına

karar verilmiştir.

Kurum’a ihbar aracılığıyla intikal eden olayda, bir sigorta acentesinin müşterilerine ait kişisel verileri herkese açık sosyal medya platformları üzerinden müşterilerinden habersiz olarak reklam amacıyla paylaşması söz konusu olmuştur. Kurul tarafından yapılan inceleme neticesinde, 6698 sayılı Kanun uyarınca belirlenen veri işleme şartlarının olayda varlığı değerlendirilmiş ve 12’ inci madde uyarınca veri sorumlusunun veri güvenliğine ilişkin yükümlülüklerini yerine getirmediği gerekçesiyle 22.500-TL idari para cezasının uygulanmasına karar verilmiştir.

Veri sorumlusu tarafından yapılan savunmada, kişisel verilerin acelecilik ve bilgisizlik nedeniyle paylaşıldığını, kurum tarafından yöneltilen talep neticesinde söz konusu paylaşımların silindiğini ek olarak ilgili kişilerin kimlik numaralarının paylaşılmadığı belirtilmiştir. Veri sorumlusu her ne kadar kimlik numaralarının paylaşılmadığından bahisle kendini suçsuz göstermeye çalışmışsa da müşterilerin rızası olmaksızın ad, soyad ve adres gibi kişisel verileri, kişinin şahsi Facebook ve Instagram hesabı üzerinden üçüncü kişilerle paylaşılmıştır. Bu nedenle kimlik ilgilerinin paylaşılmamış, maskelenmiş olması veri ihlali gerçekleştirilmiş olduğu sonucunu değiştirmemektedir. Bu yönüyle Kurul tarafından verilen kararın yerinde olduğunu düşünüyoruz. Nitekim, 6698 sayılı Kanun’un geçici maddesiyle belirlenen iki yıllık hoşgörü süresi çoktan dolmuş durumdadır. Durum böyle iken, veri sorumlularının bilgisizlik savına dayanmaları Kurul nezdinde de kabul görmemektedir.

 

 

Karar Tarihi

Karar No

Konu Özeti

Yaptırım

10

27/01/2020

2020/65

Bir mobil uygulama kapsamında işlenen kişisel veriler hakkında Kuruma yapılan başvuru

110.000 TL idari para cezası uygulanmasına

ve veri sorumlusunun talimatlandırılmasına karar verilmiştir.

 

Karara konu olayda, bir mobil uygulama kapsamında ulaşım hizmeti sunan platformdan yararlanan ilgili kişinin almış olduğu ulaşım hizmetlerinin puanlandırılması hakkında kendisinin bilgilendirilip aydınlatılmadığı; konuya ilişkin veri sorumlusuna yapılan başvurunun cevaplandırılmadığı iddia edilmiştir. Kurul yapmış olduğu inceleme sonucunda, veri sorumlusuna yöneltilen başvuruların Kanun’a uygun şekilde cevaplandırılması için talimatlandırılmasına; müşterilerin almış olduğu ulaşım hizmeti ile ilgili olarak yapılan puanlamanın sözleşmenin ifası veya kurulması kapsamında değerlendirilemeyecek bir veri işleme faaliyeti olduğundan bahisle, 100.000-TL; aydınlatma yükümlülüğünün yerine getirilmediği gerekçesiyle de 10.000-TL idari para cezası uygulanmasına karar verilmiştir.

6698 sayılı Kanun’da kabul edildiği üzere, kişisel verilerin işlenmesi açık rıza mevcut olmaması halinde işleme şartlarının mevcudiyetinin varlığına bağlanmıştır. Durum böyle iken olayda hukuka aykırı olarak gerçekleştirilen bir veri işleme faaliyeti söz konusu olmuştur. Kanaatimizce de Kurul tarafından verilen bu karar doğru ve yerindedir; nitekim hukuka aykırı veri işleme faaliyetine bir kere daha vurgu yapılmış ve caydırıcılık için idari para cezasına hükmedilmiştir. Aydınlatma yükümlülüğünün yerine getirilmemiş olması ise Kurul tarafından vurgulanan bir diğer nokta olmuştur. Aydınlatma metinlerinin Kanun’da ve ilgili Yönetmelik’te belirtilen asgari şartları taşımaması, deyim yerinde ise göstermelik olması veri sorumlularını idari para cezalarıyla karşı karşıya bırakmaktadır. Bu doğrultuda, Kanun uyarınca belirlenen kriterlere uygun olacak şekilde aydınlatma yükümlülüğünün yerine getirilmesi ve kişisel veri işleme şart ve ilkelerinin yerine getirilmesi Kurul tarafından yeniden dikkat çekilen bir nokta olarak karşımıza çıkmaktadır.

 

 

Karar Tarihi

Karar No

Konu Özeti

Yaptırım

11

27/01/2020

2020/67

İlgili kişiye rızası bulunmamasına rağmen bir gayrimenkul şirketi tarafından SMS aracılığıyla gönderilen reklam ve bildirimler hakkında

50.000 TL idari para cezası uygulanmasına

karar verilmiştir.

               

Karara konu olayda, ilgili kişi tarafından açık rızası bulunmamasına karşılık bir gayrimenkul şirketinin SMS aracılığıyla kendisine gönderilen reklam ve bildirimler söz konusu olmuştur. Veri sorumlusu tarafından kişisel verilerin herkese açık bilgi kaynaklarından temin edildiği savunmasında bulunulmuşsa da Kurul, aleni hale getirilmiş kişisel verilerin de yalnızca alenileştirme amacı ile bağlı olarak işleme faaliyetine konu edilebileceğinden bahisle 50.000-TL idari para cezası uygulanmasına karar vermiştir.

Söz konusu karar ile aleni hale getirilmiş kişisel verilerin herhangi bir amaç için işleme faaliyetine konu edilemeyeceği vurgulanmıştır. Kanaatimizce de Kurul tarafından verilen karar uygulamada sıklıkla karşılaşılan doğru bir noktaya değinmektedir. Nitekim, şikayete konu olayda ilgili kişinin verilerini alenileştirme amacı reklam veya bildirim almak değilken iletişim bilgilerinin bu amaçla kullanılması hukuka aykırılık teşkil etmektedir. Kişisel verilerin ancak açık rızanın varlığı ve bulunmaması Kanun’da sınırlı sayıda belirtilen işleme şartlarının mevcudiyeti halinde işlenmesi mümkündür.

Alenileştirme, Kanun uyarınca belirlenen işleme şartlarından biri olarak kabul edilse dahi alenileştirme iradesinin ne olduğu ve söz konusu kişisel verilerin alenileştirme amacıyla bağlı olarak işlenmesi önem arz etmektedir. Nitekim Kurul tarafından da bu yönde bir değerlendirmede bulunulmuş ve işlenen kişisel verilere yönelik olarak ilgili kişinin açık rızasının alınmadığı, açık rızanın aranmadığı diğer hallerin ise bulunmadığı, bu kapsamda ilgili kişinin kişisel verilerinin Kanunun 5 inci maddesinde yer alan şartlar yerine getirilmeden reklam içerikli iletiler gönderilmesi amacıyla kullanılmasının Kanun’un 12’ nci maddesinin 1’ inci fıkrasının (a) bendine aykırılık teşkil ettiği gerekçesiyle idari para cezasına hükmedilmiştir.

AV. EYLÜL SUYOLCU

 

Karar Tarihi

Karar No

Konu Özeti

Yaptırım

1

16/05/2019

2019/138

Bir şirket sahibinin, çalışanının Whatsapp yazışmalarını hukuka aykırı olarak elde etmesi hakkında

TCK kapsamında değerlendirilmesine karar verilmiştir.

 2

08/07/2019

2019/206

Veri sorumlusunun, web sitesinde kişisel verilerin işlenmesini hizmet şartı olarak talep ettiği ve aydınlatma yükümlülüğün usulüne uygun yerine getirmediği iddiaları hakkında

Veri sorumlusunun talimatlandırılmasına karar verilmiştir.

 

 

 

 

 

3

18/09/2019

2019/273

Ölü kişilerin verilerine yakınlarının erişim talebi hakkında

6698 sayılı Kanun kapsamında değerlendirilmemiştir.

 

 

 

 

 

4

01/10/2019

2019/297

Veri sorumlusu tarafından ilgili kişiye gönderilen reklam amaçlı SMS’ler hakkında

6698 sayılı Kanun kapsamında değerlendirilmemiştir.

 

 

 

 

 

5

07/11/2019

2019/333

Telekomünikasyon sektöründe faaliyet gösteren veri sorumlusu tarafından şikayetçiye, ad ve soyadı benzerliği olan başka bir abonesinin fatura bilgilerinin e-posta yoluyla iletilmesi hakkında

50.000 TL idari para cezası ve veri sorumlusunun talimatlandırılmasına karar verilmiştir.

 

 

 

 

 

6

16/01/2020

2020/34

İlgili kişinin dergi aboneliği işlemleri ile ilgili bir çağrı merkezine vermiş olduğu telefon numarasının anılan çağrı merkezi tarafından bir gıda şirketinin reklamının yapılması amacıyla aranması hakkında

18.000 TL idari para cezası uygulanmasına

karar verilmiştir.

 

 

 

 

 

7

16/01/2020

2020/41

İlgili kişinin kişisel verilerinin hukuka aykırı işlendiği iddiası kapsamında veri sorumlusu Bankadan talep ettiği tazminat talebinin karşılanmaması hakkında

6698 sayılı Kanun kapsamında değerlendirilmemiştir.

 

 

 

 

 

8

16/01/2020

2020/43

İlgili kişiye ait verilerin bir banka tarafından rızası olmaksızın babası ile paylaşılması karşısında Bankadan tazminat talep etmesi hakkında

6698 sayılı Kanun kapsamında değerlendirilmemiş, BDDK’ya sevk edilmiştir.

9

27/01/2020

2020/58

Bir Sigorta Acentesinin müşterilerine ait kişisel verileri herkese açık sosyal medya platformlarında müşterilerinden habersiz olarak ve reklam amacıyla paylaşması hakkında

22.500 TL idari para cezası uygulanmasına

karar verilmiştir.

10

27/01/2020

2020/65

Bir mobil uygulama kapsamında işlenen kişisel veriler hakkında Kuruma yapılan başvuru

110.000 TL idari para cezası uygulanmasına

ve veri sorumlusunun talimatlandırılmasına karar verilmiştir.

11

27/01/2020

2020/67

İlgili kişiye rızası bulunmamasına rağmen bir gayrimenkul şirketi tarafından SMS aracılığıyla gönderilen reklam ve bildirimler hakkında

50.000 TL idari para cezası uygulanmasına

karar verilmiştir.