top of page
Ara

KİŞİSEL VERİLERİ KORUMA KURULU TARAFINDAN 29.03.2021 TARİHİNDE YAYIMLANAN KURUL KARARLARI

  • Yazarın fotoğrafı: OKC HUKUK VE DANIŞMANLIK
    OKC HUKUK VE DANIŞMANLIK
  • 29 Mar 2021
  • 14 dakikada okunur

29.03.2021 tarihinde Kişisel Verileri Koruma Kurulu ("Kurul”) tarafından bir kısım kurul kararları yayınlanmış olup , söz konusu kurul kararlarına ilişkin önemli hususları aşağıda özetliyoruz.


1 . Veri sorumlusu bankanın ilgili kişiye ait kredi kartı ekstresinde yer alan kişisel verileri yanlış e-posta hesabına göndermesi hakkında Kişisel Verileri Koruma Kurulunun 30/01/2020 tarihli ve 2020/78 sayılı Karar

İlgili kişi şikayetinde, müşterisi olduğu bankanın, kendisine ait kredi kartının ekstresini kendisine ait olmayan bir e-posta adresine göndererek şahsına ait bilgileri üçüncü kişilerle paylaştığı, veri sorumlusuna konuya ilişkin hem e-posta hem de dilekçe ile başvuruda bulunduğu, başvuru tarihinin üzerinden bir ay geçmiş olmasına rağmen kendisine yazılı bir dönüş yapılmadığı belirtilerek veri sorumlusu hakkında gerekli işlemlerin yapılması talep etmiştir.

  • Kurul incelemesinde; veri sorumlusunun, ilgili kişinin kendisine ait olan kredi kartı ekstresini kendisine ait olmayan bir mail adresine (y…@gmail.com) göndermek suretiyle ilgili kişiye ait kişisel verilerin veri sorumlusu tarafından üçüncü kişilerle paylaşıldığı iddiasına aksi yönde bir beyanının olmadığı, şube personellerinin sehven başvuru sahibinin bireysel ürünü olan kredi kartı ekstresinin, başvuru sahibinin e-ekstre ortağı olduğu firma üzerinde tanımlı olan y…@gmail.com e-posta adresine gönderilmesi yönünde talimatlandırma yaptığının ifade edildiğinin görüldüğü, şikâyete konu olayda veri sorumlusunun ilgili kişinin kredi kartı ekstresinde yer alan kişisel verilerini, kendisine ait olmayan bir e-posta adresine göndermek suretiyle Kanunun 5 inci maddesinde düzenlenen kişisel veri işleme şartlarından biri bulunmaksızın üçüncü kişilerle paylaştığı ve bu yönüyle Kanunun 8 inci madde hükmüne aykırı bir kişisel veri aktarımı gerçekleştirdiği sonucuna varıldığı, bu sebeple veri sorumlusu Bankanın kişisel verilerin hukuka aykırı işlenmesini önlemek ve muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine ulaşıldığından hakkında 60.000 TL idari para cezası uygulanmasına,


  • Ayrıca İlgili kişinin, veri sorumlusuna hem e posta hem de dilekçe ile başvurmuş olmasına rağmen kendisine yazılı bir dönüş yapılmadığına yönelik şikayeti hakkında yapılan incelemede, veri sorumlusu bankanın şube personellerinin ilgili kişiye telefonla arayarak konu hakkında bilgi verdiklerinin tespit edildiği, fakat bu yönüyle Kanunun 13.maddesinde yer alan, “Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir.” Yönündeki başvuruların cevaplanmasına ilişkin hükmün gereklerinin yerine getirilmediği, ilgili kişinin, veri sorumlusu Banka tarafından telefonla aranmak suretiyle bilgilendirilmesinin Kanunun ilgili hükmü kapsamında usulüne uygun bir bildirim niteliğini haiz olmadığının tespit edilmiş ve veri sorumlusunun azami dikkat ve özeni göstermesi hususunda veri sorumlusunun talimatlandırılmasına karar vermiştir.

2 . Veri sorumlusu sağlık firması tarafından eski çalışanı olan ilgili kişinin kişisel verilerinin rızası alınmaksızın aktarımı hakkında Kişisel Verileri Koruma Kurulunun 11/02/2020 tarihli ve 2020/108 sayılı Kararı

İlgili kişi şikayetinde, veri sorumlusunun eski çalışanı olduğunu, veri sorumlusunun yeni işverene ilgili kişinin çocuklarının ve eşinin uzun bir süredir Almanya’da yaşadıkları ve ilgili kişinin de bu ülkeye taşınacağı, Türkiye’de fazla kalmayacağı gibi bilgiler ile ilgili kişinin aldığı maaş, prim ve özel ödeme koşullarına riayet etmeksizin veri sorumlusu eski çalıştığı şirketten ayrıldığı gibi iddiaları talep olmaksızın telefon ve e posta yoluyla aktardığı, kişisel verilerin bu şekilde üçüncü kişilerle paylaşılması konusunda açık veya zımni rızasının bulunmadığını belirtmekle gerekli yaptırımların uygulanmasını talep etmiştir.

  • Kurul incelemesinde; veri sorumlusu tarafından yeni işverene aktarıldığı iddia olunan kişisel verilere ilişkin herhangi bir bilgi ve belge tespit edilemediği, e postaların içeriğinden eski işveren nezdinde hangi tarihlerde ve pozisyonda çalıştığı ile işten ayrılma nedenine ilişkin soruya cevaben ailevi nedenlerden dolayı yurtdışına taşınacağı bilgisinin bulunduğu, İlgili kişinin veri sorumlusuna ayrılma nedenini “ailevi sebeplerden dolayı yurtdışına taşınma” ve yeni işverenine de daha önce çalıştığı iş pozisyonunu “Etik Direktörü” olarak beyan etmiş olması dikkate alındığında; her iki işverenin de yanlış bilgilerle yanıltılmış olması nedeniyle, veri sorumlusunun bu bilgilerle ilgili düzeltme yapmasının kişinin makul beklentisine aykırı olmadığı ve temel hak ve hürriyetlerini de ihlal etmediği sonucuna varıldığı,

  • Ayrıca veri sorumlusu tarafından ilgili kişinin şirketlerinde çalıştığı iş pozisyonuna ilişkin gerçeği yansıtmayan bilginin düzeltilmesi, şirket itibarının korunması, şirketlerinin adı kullanılarak yanlış bilgi üzerinden menfaat temin edilmesinin önlenmesi, gerçeğe aykırı beyandan ötürü şirket alacağının tahsil edilmesi yönünde hukuki sürecin başlatılması, ilgili kişinin daha önce çalıştığı işyerindeki iş pozisyonu için yeni işverenini yanıltması sonucunda yeni işverenin mevzuattan kaynaklanan haklarını kullanabilmesi ve iş yaşamında dürüstlük ve etik ilkelerin teşvik edilmesi amacıyla gerçekleştirilen söz konusu veri aktarımının hukuki gerekçesinin, Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendinde öngörülen “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.” kişisel veri işleme şartına dayandığı kanaatine varıldığı,

  • Diğer taraftan yeni işvereninin, ilgili kişinin kendi şirketlerinde işe başlamasına ilişkin kurumsal web sitesinde yaptığı duyuruda, ilgili kişinin yeni görevi, eğitim durumu ve daha önce çalıştığı işyerleri ve iş pozisyonlarının belirtildiği, yapılan web araştırması sonucunda, yeni işveren tarafından alenileştirilen bu bilgilerin ilgili kişinin kendisi tarafından da profesyonel sosyal iletişim ağı hesabında herkesin erişimine açık bir şekilde alenileştirildiğinin belirlendiği, bu doğrultuda veri sorumlusu tarafından ilgili kişinin açık rızası alınmaksızın gerçekleştirilen veri aktarımının Kanunun 5 inci maddesinin (2) numaralı fıkrasının (d) bendinde öngörülen “ilgili kişinin kendisi tarafından alenileştirilmiş olma” kişisel veri işleme şartına uygun olduğunun değerlendirildiği,


  • Şikâyete konu kişisel veri işleme faaliyetinin hem kişisel verilerin korunması hem de iş mevzuatının ilgili maddelerine aykırılık teşkil etmediği, veri sorumlusu tarafından gerçeği yansıtmayan bilginin düzeltilmesi, şirket itibarının korunması, şirket adı kullanılarak yanlış bilgi üzerinden menfaat temin edilmesinin önlenmesi, ilerde oluşabilecek hukuki etkilerinin ortadan kaldırılması, iş yaşamında dürüstlük ve etik ilkelerin teşvik edilmesi amacıyla gerçekleştirildiği belirtilen söz konusu veri aktarımının “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlemesinin zorunlu olması” kişisel veri işleme şartına dayandığı, bu kapsamda söz konusu veri aktarımının hukuka aykırı bir veri işleme olmadığı sonucuna varıldığından veri sorumlusu hakkında herhangi bir müeyyide uygulanmasına yer olmadığına karar verilmiştir.


3 . İlgili kişinin, veri sorumlusu bir banka nezdindeki kişisel verileri olan hesap ve kiralık kasa bilgilerinin aktarılması hakkında Kişisel Verileri Koruma Kurulunun 13/02/2020 tarihli ve 2020/118 sayılı Karar

İlgili kişi şikayetinde, kendisine haksız bir şekilde icra takibi başlatıldığı, takibin usulsüz olarak kesinleştirildiği, devamında şikayete konu bankaya birinci haciz ihbarnamesi gönderilerek bankanın şubelerinden birinde yer alan kiralık kasa hakkında fiili haciz uygulandığı, ayrıca ilgili kişinin iş yaptığı kişi ve şirketler, çalışma arkadaşları, ortak olduğu şirketler, şirket bilgilerinin Resmi olmayan yollarla ele geçirildiği, kimseyle paylaşmadığı banka hesap ve kiralık kasa bilgisinin işlenip işlenmediği ve işlenme amacı ve bu amaca uygun kullanılıp kullanılmadığı, yurt içi ve yurt dışındaki üçüncü kişilere aktarma yapılıp yapılmadığı hususlarının tespiti ile veri sorumlusu hakkında gereğinin yapılmasını talep etmiştir.


  • Kurul incelemesinde, icra dairesi tarafından yasal olarak yapılmış işlemler ile ilgili veri sorumlusu bankanın üçüncü kişi konumunda olduğu, İcra ve İflas Kanununun “Borçlunun mevcudu hakkında malümat vermek mecburiyeti” başlıklı 367 nci maddesinin “İcra veya İflas dairelerinin borçlunun mevcuduna dair isteyeceği bütün malümatı hakiki ve hükmi her şahıs derhal vermeğe ve talep halinde mevcudu bu dairelere teslime mecburdur.” hükmü nedeniyle veri sorumlusunun borçlunun kişisel verilerini İcra Dairesine vermekle yükümlü olduğu, diğer bir ifade ile bankanın, bankacılık işlemleri anlamında ilgili kişinin kişisel verilerini işlediği, bu kapsamda veri sorumlusu sıfatını haiz olduğu ve kişisel veri olan hesap ve kiralık kasa bilgilerini İcra ve İflas Kanununun ilgili hükmü dolayısıyla İcra Dairesine aktardığının tespit etmiş,


  • Tebligat ve icra iflas mevzuatı yönünden inceleme yapıldığında, veri sorumlusu olarak şikâyet edilen bankanın, İcra Dairesince ödeme emrinin tebliğ edilmesi ve kiralık kasaya haciz konulması işlemleri nedeniyle kişisel verilerin korunması mevzuatından kaynaklanan bir sorumluluğunun bulunmadığı ve icra ve iflas hukuku bakımından üçüncü kişi konumunda olduğu, Kişisel veri olan hesap ve kiralık kasa bilgisinin veri sorumlusu nezdinde bankacılık ve kişisel verilerin korunması mevzuatına aykırı bir biçimde elde edildiğini gösteren bir bulguya rastlanılmadığı, Veri sorumlusu tarafından, ilgili kişinin kişisel verisi olan hesap ve kiralık kasa bilgilerinin, İcra İflas Kanununun 89 uncu ve 367 nci madde hükümleri çerçevesinde Kanunun 5 inci maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan “hukuki yükümlülüğün yerine getirilmesi” şartına dayalı olarak Kanunun 8 inci maddesine uygun olarak icra iflas mevzuatı çerçevesinde aktarıldığı hususları dikkate alındığında mezkûr iddialarla ilgili olarak Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.


4 . İlgili kişilerin kişisel verileri olan banka hesap hareketlerinin, mevduat bilgilerinin, para yatırma ve çekme işlemlerinin açık rızaları olmaksızın vergi müfettiş yardımcısı tarafından hukuka aykırı olarak işlenmesi hakkında Kişisel Verileri Koruma Kurulunun 13/02/2020 tarihli ve 2020/120 sayılı Karar

İlgili kişiler şikayetlerinde özetle, çalışmakta oldukları mükellef kurum hakkında Vergi Müfettiş Yardımcısı tarafından yapılmış olan bir vergi incelemesi sonucunda düzenlenen “Vergi Tekniği Raporunda” (Rapor) kendileri ile ilgili bir vergi incelemesi olmamasına rağmen şahıslarına ait kişisel veri olan banka hesap hareketlerinin, mevduat bilgilerinin, para yatırma ve çekme işlemlerinin rızaları olmaksızın hukuka aykırı olarak işlendiği belirtilerek, veri sorumlusu ile ilgili olarak gereğinin yapılması talep etmişlerdir.

  • Kurul incelemesi neticesinde; Vergi Usul Kanunu ve sair mevzuat hükümleri gereği, şikâyete konu veri işleme faaliyetinde; vergi incelemesi kapsamında mükellefle ilgili kimselerin hesap durumlarının elde edilebileceği, bu nedenle ilgili kişilerin mükellefin %100 ortağı tarafından kendilerine vekâlet verilmesi suretiyle şirketi temsile haiz olmaları nedeniyle bu kişilerin “mükellefle ilgili kimseler” kapsamında değerlendirilebileceğine, bu noktada tüm mükellef şirket çalışanlarının değil şirketi temsile yetkili kişilerin mükellefin çek ödemesi olarak kullandığı banka hesaplarıyla sınırlı olarak kişisel verilerinin işlenmesinin ölçülülük ilkesine uygun olduğuna, bu çerçevede, Kanunun 28 inci maddesinin (2) numaralı fıkrasının (c) bendi uyarınca yapılan kişisel veri işleme faaliyetinin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (ç) bendi kapsamında veri sorumlusunun hukuki yükümlülüğü çerçevesinde yerine getirildiğine ve şikâyete konu kişisel verilerin açık rıza olmaksızın işlenebileceğine karar verilmiştir.

5 . İlgili kişinin bir kargo şirketine karşı açtığı işe iade davasında, kişisel verisi olan kamera görüntülerinin kargo şirketi tarafından mahkemeye sunulması hakkında Kişisel Verileri Koruma Kurulunun 25/06/2020 tarihli ve 2020/494 sayılı Karar

İlgili kişi şikayetinde, veri sorumlusu kargo şirketinde çalıştığı, iş akdinin sonlandırılmasından sonra açtığı işe iade davasının görülmesi sırasında veri sorumlusunun ilgili kişiye ait kamera görüntülerini mahkemeye sunduğu, kamera görüntülerinin kişisel veri niteliğini haiz olduğu ve kişisel verilerin ilgili kişinin açık rızası olmadan işlenemeyeceği, bu hususa ilişkin olarak ilgili kişinin bir açık rıza beyanının bulunmadığı, konuya yönelik olarak veri sorumlusuna yapılan başvuruya cevaben veri sorumlusu tarafından ilgili kişinin kişisel verilerinin önceden ilgili kişi tarafından imzalanmış bir bilgilendirme metni kapsamında işlendiğinin belirtilmiş olmasına rağmen kendisinin böyle bir açık rıza beyanının bulunmadığı belirtilerek veri sorumlusu kargo şirketi nezdinde Kanun kapsamında gerekli yaptırımların uygulanarak hukuka aykırı olarak elde edilen kişisel verilerin silinmesini talep etmiştir.


  • Kurul incelemesinde; İlgili kişinin Kuruma ilettiği şikayet başvurusundan, bahsi geçen kamera görüntülerinin ilgili kişinin çalışma arkadaşına hakaret içerikli sözlerde bulunarak fiziksel şiddet uygulaması sonucu iş akdinin haklı nedenle feshedildiğine dair delil olmak üzere işveren vekili tarafından mahkemeye sunulduğunun anlaşıldığı, veri sorumlusu tarafından ilgili kişinin kamera kaydı konusunda aydınlatıldığı ve veri sorumlusunca kamera kayıtlarının hukuken geçerli sebeplere dayanılarak işlendiği ve Kanunun 5 inci maddesinin (2) numaralı fıkrasının (e) bendindeki; “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hukuki sebebi uyarınca taraflar arasında görülen işe iade davasında, iş akdinin haklı nedenle fesih sebebinin kanıtlanması amacıyla mahkemeye sunulduğunun açıklandığı,

  • Veri sorumlusunun ilgili kişinin açık rızasının alındığını tevsik edici belgeyi sunmadığı, ancak veri sorumlusunun kargo şirketi olduğu göz önüne alındığında; Bilgi Teknolojileri ve İletişim Kurulunun 2016/DK – YED/517 sayılı kararı ile onaylanan “Posta Gönderilerine İlişkin Güvenlik Tedbirlerine Yönelik Usul ve Esaslar” düzenlemesinin “Posta gönderilerinin görüntüleme cihazları ile kontrolü” başlıklı 6 ncı maddesinin ikinci fıkrasında yer alan, “Hizmet sağlayıcılarının posta gönderilerini kabul merkezlerinde kamera sistemi kurularak kayıtlar, gerektiğinde ilgili mercilere sunulmak üzere en az bir (1) ay süreyle saklanır.” hükmü gereğince veri sorumlusu kargo şirketinin, Kanunun 5 inci maddesinin ikinci fıkrasının (a) bendinde yer alan; “Kanunlarda açıkça öngörülmesi” hukuki sebebine uygun olarak işleme yaptığı değerlendirmelerinden hareketle, söz konusu şikayet ile ilgili olarak Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.


6 . Veri sorumlusu bir havayolu şirketi tarafından ilgili kişiye ait çağrı merkezi görüşme kayıtlarının transkriptinin teslim edilmemesi hakkında Kişisel Verileri Koruma Kurulunun 30/06/2020 tarihli ve 2020/504 sayılı Karar

İlgili kişi şikayetinde, veri sorumlusu havayolu şirketinin çağrı merkezi ile gerçekleştirdiği görüşmeye ait olan ses kaydının yazıya dökülmesi suretiyle bir nüshasının tarafına yazılı yahut e-posta yolu ile iletilmesinin istendiği, veri sorumlusu tarafından söz konusu talebin “ilgili ses kayıtlarının talebi şirket prosedürleri gereği yalnızca yasal merciler tarafından iletilmesi durumunda mümkün olduğu” gerekçesi ile reddedildiği, ancak Kanuna göre gerçek kişiye ait olan, gerçek kişiyi belirlenebilir kılan her türlü bilginin kişisel veri olduğu, ilgili kişiye ait olan ses kaydının da kişisel veri niteliğini haiz olduğu belirtilerek ilgili kişi tarafından talebini reddeden veri sorumlusunun Kanunun 13 üncü maddesi anlamında veri ihlaline sebep olduğu gerekçesiyle cezalandırılması ve ilgili görüşme kaydının kendisine teslim edilmesi talep edilmiştir.


  • Kurul incelemesinde, Kanunun 11 inci maddesinin birinci fıkrasının (b) bendi hükmü kapsamında ilgili kişinin, kendisiyle ilgili kişisel veriler işlenmişse buna ilişkin bilgi talep etme hakkının, söz konusu veriye erişim hakkını da kapsadığı, erişim hakkının, bilgi talep etme hakkını tamamlayarak ilgili kişinin, kişisel verileri üzerindeki haklarını kullanabilmesi için, kişisel verilerinin ne şekilde işlendiğine dair tam olarak bilgi sahibi olmasına imkân sağladığı, Ancak bu hakkın, kişisel verilerin işlendiği veri kayıt sisteminin/kayıt ortamının doğrudan kendisine erişimini, bu kayıt ortamının kendisinin ilgili kişiye teslimini veya doğrudan verinin kendisinin “elde edilme”sini değil; veri sorumlusunun veri güvenliğine ilişkin yükümlülükleri de dikkate alınarak, işlenen kişisel verilerin, teknik/fiziki imkânların el verdiği ölçüde ve verinin muhtevasına/içeriğine ilgili kişi tarafından makul bir şekilde ulaşılabilmesine imkân tanınmasını kapsadığı, Kurum tarafından iletilen bilgi ve belge talebi konulu yazıyı takiben veri sorumlusunca ilgili kişiye, talep ettiği konuşmanın transkriptinin e-posta vasıtasıyla iletildiği ve Kuruma da redaksiyon ile kapatılmış bir versiyonunun gönderildiği, Ayrıca veri sorumlusu tarafından gönderilen evraklar içerisinde Operasyon Birimine hitaben yazılan ve Kanun kapsamında yeni süreçte Çağrı Merkezi ile yapılan görüşmelere ilişkin kayıt talep eden misafirlere, görüşmenin transkriptinin dokümanda belirtilen hususlara bağlı kalınması suretiyle paylaşılması talimatını içeren e-postaya da yer verildiğinin tespit edildiği,

  • İlgili kişinin kişisel verilerinin veri sorumlusu havayolu şirketi tarafından temin edilmesinin hukuka uygun olduğu, Somut olayda gerçekleşen herhangi bir kişisel veri işleme faaliyeti kapsamında, veri sorumlusu tarafından veri güvenliğine ilişkin yükümlülüklere aykırı hareket edildiği sonucuna varılamayacağı, veri sorumlusu tarafından ilgili kişinin talebi doğrultusunda ses kaydına ait transkriptin hâlihazırda gönderildiği, Veri sorumlusu bünyesindeki birimlerin, uygulamada artık ilgili kişilerin Kanuni talepleri doğrultusunda hareket edilmesi hususunda bilgilendirildiği hususlarını dikkate alarak veri sorumlusu hakkında yapılacak bir işlem bulunmadığına karar vermiştir.

7 . Ölenin sağlık verisinin yasal mirasçısı tarafından talep edilmesi hakkında Kişisel Verileri Koruma Kurulunun 30/06/2020 tarihli ve 2020/507 Sayılı Karar

İlgili kişi şikayetinde, vefat eden babasının mirasçılık belgesi ile babasına ait kayıtlı her türlü sağlık verisinin tarafına iletilmesini ilgili kamu kurumundan talep ettiği, fakat talebin reddedildiği, ölen kişinin verisinin mirasçısına verilmesi ile ilgili açık mevzuat olmadığı sürece, idarenin emsal yolu ile sınırlama getirmesinin hukuka aykırı olduğu, kişinin tıbben ve hukuken ölümüyle gerçek kişiliğinin sona ermesi ile birlikte, ölenin sağlığında sahip olduğu tüm mal varlığı, hukuki hakları, borçları ve yükümlülüklerinin mirası reddetmemiş mirasçılara geçtiği hususları belirtilerek söz konusu verilerin tarafına verilmesi talep edilmiştir.


  • Kurul incelemesinde, Kişisel Sağlık Verileri Hakkında Yönetmeliğin, “Ölünün sağlık verilerine erişim” başlıklı 11 inci maddesinin birinci fıkrasının; “Ölmüş bir kimsenin sağlık verilerini almaya, veraset ilamını ibraz etmek suretiyle murisin yasal mirasçıları münferit olarak yetkilidir.” hükmünü amir olduğu, Söz konusu olaya benzer nitelikte bir başvuruya ilişkin olarak Kurul'un vermiş olduğu 18/09/2019 tarih ve 2019/273 sayılı Kararı ile; “… Kanununun 3 üncü maddesinde ilgili kişinin “kişisel verileri işlenen gerçek kişi” olarak tanımlandığı, TMKm28’de ise kişiliğin çocuğun sağ olarak tamamıyla doğduğu ve ölümle sona erdiği hükmüne yer verildiği dikkate alındığında başvuranın vefat eden eşine ilişkin kayıtları veri sorumlusundan talep etmesinin 6698 sayılı Kanunda yer alan ilgili kişi tanımı kapsamında değerlendirilemeyeceğine, Öte yandan Kişisel Sağlık Verileri Hakkında Yönetmeliğin, “Ölünün sağlık verilerine erişim” başlıklı 11 inci maddesinin 1 inci fıkrasında “Ölmüş bir kimsenin sağlık verilerini almaya, veraset ilamını ibraz etmek suretiyle murisin yasal mirasçıları münferit olarak yetkilidir” hükmü kapsamında … vefat eden eşi … yasal mirasçısı olarak söz konusu verileri Kişisel Sağlık Verileri Hakkında Yönetmelik kapsamında adı geçen klinikten talep edebileceği hususunda başvuru sahibinin bilgilendirilmesine…karar verilmiştir.” değerlendirmelerinden hareketle, İlgili kişinin vefat eden babasının yasal mirasçısı olarak söz konusu verileri Kişisel Sağlık Verileri Hakkında Yönetmelik kapsamında talep edebileceğine ancak Kuruma yapmış olduğu başvurunun Kanun kapsamında değerlendirilemeyeceğine karar verilmiştir


8 . İlgili kişinin, bilet satın almamasına karşın bir havayolu şirketinden uçak bileti satın aldığına dair SMS alması hakkında Kişisel Verileri Koruma Kurulunun 11/08/2020 tarihli ve 2020/608 sayılı Karar

İlgili kişi şikayetinde; 05********4 numaralı cep telefonuna 01.07.2019 tarihinde bir Havayolu Şirketi tarafından Umman’dan İzmir aktarmalı İstanbul’a uçak bileti satın alındığına dair bir SMS gönderildiği, mesajı görür görmez veri sorumlusunu aradığı ancak görüşme sağlayamadığı, bunun üzerine çevrimiçi şikâyet formu doldurduğu, bu başvurusunu müteakiben veri sorumlusu tarafından aranarak belirtilen biletin iptal edildiğinin kendisine söylendiği, ilgili kişinin bunun üzerine adını ve cep telefonu numarasını kullanarak kimin söz konusu uçak biletini satın aldığının tarafına yazılı olarak bildirilmesini talep ettiği ancak herhangi bir yanıt alamadığı belirtilmiş olup veri sorumlusu hakkında gereğinin yapılmasını talep etmiştir.


  • Kurul incelemesi neticesinde; somut olayda ilgili kişiye ait telefon numarasının kendisine ait herhangi bir kayıtla eşleşmediği aksine sehven yazılmış olan numaranın bileti satın alan kişi tarafından veri sorumlusu sistemlerine girildiğinin anlaşıldığı, Söz konusu bilgi ve belgelerin incelenmesi neticesinde, veri sorumlusu kanalları üzerinden bilet almakta olan 05*******2 telefon numarasının kullanıcısı gerçek kişinin satın aldığı biletle ilişkili olarak ilgili kişiye ait 05********4 telefon numarasını veri sorumlusu ile paylaştığının anlaşıldığı, bu kapsamda veri sorumlusunun müşterilerine alınan biletlere ilişkin SMS hizmeti sunarken başka bir telefon numarasına SMS gönderilmesi seçeneği de sunduğu görülmüş olup alınan bilete ilişkin müşteri bilgilerinin ilgili kişiye ait olmadığını tespit etmiş,


  • Veri sorumlusu tarafından ilgili kişinin iletişim bilgilerinin başka bir kullanıcı tarafından sisteme girilmesi suretiyle ve kastı bulunmaksızın işlendiği; ayrıca söz konusu manuel veri girişlerine cevaz veren sisteme girilen telefon numaralarının kime ait olduğunun belirlenmesine ilişkin sistemsel bir eşleştirme yahut veri tabanı bulunmadığı dikkate alındığında Kanunun 12 nci maddesinde yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alma yükümlülüğünü ihlal ettiği yönünde bir tespitte bulunulamadığından konuya ilişkin Kanun kapsamında tesis edilecek bir işlem olmadığına, İlgili kişiler tarafından Kanun çerçevesinde yapılan başvurulara süresi içinde ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe uygun bir şekilde cevap vermesi hususunda veri sorumlusunun talimatlandırılmasına karar vermiştir.

9 . Veri sorumlusu sabit telefon hizmeti sağlayan işletmeci tarafından bir hastanenin müşterilerinin kişisel verilerinin hukuka aykırı olarak işlenmesi hakkında Kişisel Verileri Koruma Kurulunun 03/02/2021 tarihli ve 2021/84 sayılı Karar

Başvuru sahibi Hastane şikayetinde, kendilerine başvuran hastalarla iletişim kurmak amacıyla kayıt altına alınan telefon numaraları üzerinden hastalara SMS gönderilmesi için sabit telefon hizmeti sağlayan bir işletmeci (1. STH) ile anlaşma yaptığı, söz konusu anlaşma kapsamında hastanelerinde tedavi gören hastalara ait telefon numaralarının 1. STH ile paylaşıldığı ve içeriği hastaneleri tarafından belirlenen SMS metinlerinin 1. STH tarafından hastalara gönderildiği, bununla birlikte hastaneleri nezdinde kayıtlı bulunan hastalara ait telefon numaralarına, öncesinde hastanelerinde çalışan ancak görevinden ayrılan bir doktora hasta sağlamak adına doktorun ismi ve soyismi başlığı altında geçiş yaptığı yeni hastanenin isim ve iletişim bilgileri ile başka bir STH’ye (2. STH) ait numara taşınabilirliği yönlendirme kodunu içerir SMS’lerin gönderildiği yönünde kendilerine pek çok şikâyet ulaştığından hareketle Hastanelerinde tedavi gören hastalara ait çok sayıda telefon numarasının 1. STH tarafından 2. STH ile işbirliği yapmak suretiyle hukuka aykırı olarak işlendiği iddiaları ile anılan STH’ler hakkında Kanun çerçevesinde gerekli işlemlerin tesis edilmesi talep edilmiştir.


  • Kurul incelemesi neticesinde; Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’a göre;“Aracı hizmet sağlayıcılar, hizmet sundukları elektronik ortamı kullanan gerçek ve tüzel kişiler tarafından sağlanan içerikleri kontrol etmek, bu içerik ve içeriğe konu mal veya hizmetle ilgili hukuka aykırı bir faaliyetin ya da durumun söz konusu olup olmadığını araştırmakla yükümlü değildir.” hükmünün yer aldığı, bu doğrultuda 2. STH’nin bir aracı hizmet sağlayıcı olarak değerlendirilmesi halinde, aracı hizmet sağlayıcının, haberleşme altyapısını kullanan hizmet sağlayıcısı tarafından sağlanan içeriği kontrol etmekle, bu içerik ve içeriğe konu mal veya hizmetle ilgili hukuka aykırı bir faaliyetin ya da durumun söz konusu olup olmadığını araştırmakla yükümlü kılınmamasından dolayı, somut şikâyet kapsamında, 2. STH yönünden Kanuna aykırılığın bulunmadığına karar vermiş,

  • Hastane ile 1. STH arasında, Hastanenin hastalarına SMS metinlerinin gönderilmesi faaliyeti kapsamında bir veri sorumlusu-veri işleyen ilişkisinin mevcut olduğu, 6698 sayılı Kanunda “Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.” hükmünün yer aldığı, 1. STH’nin Kanun hükümlerine aykırı olarak başvuru sahibi Hastanenin hastalarına ait iletişim verilerini işleme amacı dışında kullanmak suretiyle mezkûr Kanun hükmünde öngörülen yükümlülüğe aykırı hareket etmiş olduğunu tespit etmiş,

  • Hastane müşterilerinin kişisel verilerinin 1. STH tarafından hukuka aykırı bir biçimde işlendiği ve kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı sonucuna varıldığından 1. STH hakkında 125.000 TL idari para cezası uygulanmasına karar vermiştir.

10 . Bankaya olan borcundan dolayı ilgili kişinin yakınına Bankanın sözleşmeli avukatı tarafından ilgili kişinin borç bilgisinin iletilmesi hakkında Kişisel Verileri Koruma Kurulunun 09/02/2021 tarihli ve 2021/115 sayılı Karar

İlgili kişi şikayetinde; Bankaya olan borcu sebebiyle kız kardeşinin cep telefonu numarasının Bankanın sözleşmeli avukatı tarafından aranması ve cep telefonu numarasına SMS gönderilmesi suretiyle kişisel verisinin avukat tarafından hukuka aykırı olarak paylaşıldığı belirtilerek, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında veri sorumlusu hakkında gereğinin yapılmasını talep etmiştir.


  • Kurul incelemesi neticesinde; İncelemeye konu iletişim numarasının bizzat Banka tarafından işlerin takibinde kullanılan Yasal Takip Sistemine kaydedilmiş olduğunun anlaşıldığı, müşterilerin Bankayı sistemlerinde kayıtlı olan iletişim numarasından farklı bir numara ile aramaları durumunda, ilgili numaranın sistemlerine alternatif numara olarak kaydedildiği, müşterilerin ödemelerinin gecikmesi durumunda, müşterilerine sistemde kayıtlı numaralarından ulaşılamadığında alternatif numaraların arandığının tespit edildiği, ilgili kişinin kız kardeşine ait olan telefon numarasının Bankanın sistemlerine kayıt edilmesi işleminin ilgili kişinin açık rızasına dayanılarak yapıldığı sonucuna varılamayacağı, ilgili kişinin kız kardeşine ait telefon numarasının Banka tarafından hukuka aykırı olarak işlendiğini,

  • Bankanın müşterilerine ilişkin kişisel verileri hukuk bürolarına aktarmasının “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” veya “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” çerçevesinde olduğu; dolayısıyla Bankanın alacaklarının borçlu müşterilerden tahsilini sağlamak üzere Avukata hukuka uygun şekilde erişim yetkisi verildiğinin değerlendirildiği; ancak somut olayda Banka ile bağı olmayan ve bahse konu icra işlemine konu kişisel verisi bulunmayan ilgili kişinin kız kardeşinin cep telefonu numarasına erişim yetkisi verildiğinin anlaşıldığı, ancak Bankanın kendi bünyesinde oluşturduğu Yasal Takip Sisteminde yer alan ilgili kişinin kişisel verileri haricinde kız kardeşinin telefon numarasını Avukat ile paylaşmasının Kanun kapsamında gerçekleştirilebilecek bir kişisel veri işleme faaliyeti olmadığı ve hukuka aykırı olduğunu tespit etmekle Banka hakkında Kanunun 175.000 TL idari para cezası uygulanmasına karar vermiş,


  • Avukatın söz konusu Yasal Takip Sisteminde “diğer telefonu” olarak kayıtlı olan telefon numarasının ilgili kişinin kız kardeşinin telefon numarası olup olmadığını ilk anda bilecek durumda olmadığı, zira sistemde bu telefon numarasının ilgili kişi haricinde kime ait olduğunun belirtilmediği, ilgili kişinin kız kardeşine sırasıyla 01.07.2019, 18.09.2019, 19.09.2020 ve 13.11.2019 tarihinde SMS’ler gönderildiği, 21.11.2019 tarihinde otomatik aramanın gittiği ve ilk otomatik arama sonrasında numaranın ilgili kişiye ait olmadığının anlaşıldığı ve veri sorumlusuna konu hakkında bilgi verilerek numaranın kayıtlardan çıkarıldığı tespit edilmiş olmakla avukat hakkında yapılacak bir işlem olmadığına karar vermiştir.

OKC HUKUK& DANIŞMANLIK

AV.ONUR KEMAL ÇAKIR

Commentaires

  • Instagram
  • LinkedIn
  • Twitter
  • Facebook

©2020, OKC HUKUK VE DANIŞMANLIK tarafından Wix.com ile kurulmuştur.

bottom of page