top of page
Ara

KİŞİSEL VERİLERİ KORUMA KURULU TARAFINDAN 19.03.2021 TARİHİNDE YAYINLANAN KURUL KARARLARI

  • Yazarın fotoğrafı: OKC HUKUK VE DANIŞMANLIK
    OKC HUKUK VE DANIŞMANLIK
  • 22 Mar 2021
  • 11 dakikada okunur

19.03.2021 tarihinde Kişisel Verileri Koruma Kurulu (“Kurul") tarafından bir kısım kurul kararları yayınlanmış olup , söz konusu kurul kararlarına ilişkin önemli hususları aşağıda özetliyoruz.

1 - Bir kargo firmasında çalışan ilgili kişinin iş akdinin haksız feshedilmesi sonrası özlük dosyası kapsamında yer alan kişisel verilerinin birer suretinin tarafına verilmesi talebine veri sorumlusu tarafından cevap verilmemesi hakkında Kişisel Verileri Koruma Kurulunun 28/05/2020 tarihli ve 2020/435 sayılı Kararı


İlgili kişi şikayetinde; bir kargo firmasında görev yaparken iş akdinin haksız olarak feshedildiğini, kendisinden ileri tarihli istifa dilekçesi alındığını, istifa dilekçesi alınmasından sonra şirketten özlük dosyasında yer alan kişisel verilerinin birer suretini talep ettiğini, veri sorumlusu şirket tarafından talebe karşı herhangi bir cevap verilmediği ifade edilmekle birlikte veri sorumlusu şirket hakkında yaptırım uygulanmasını ve özlük dosyasının verilmesi konusunda şirketin talimatlandırılmasını talep etmiştir.

Kurul incelemesinde, veri sorumlusunun ilgili kişiden aldığı yazılı savunma ve istifa dilekçelerinin kişisel veri niteliğinde olduğu, söz konusu belgelerin özlük dosyasında saklanmasının veri işleme faaliyeti olduğu, Anayasanın 20/3 maddesine göre “…kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme…” hakkına sahip olduğu, Kanun’un 11/1b maddesine göre ilgili kişinin işlenen verileri hakkında bilgi talep etme hakkına sahip olduğu tespit edilmekle birlikte ilgili kişinin veri sorumlusundan istifa dilekçesi ile yazılı savunmasının örneğini istemesinin yasal hakkı olduğu ifade etmiştir.

  • Kurul incelemesi neticesinde,, ilgili kişiye ait kişisel veri niteliğindeki bilgilerini içeren 30.09.2019 tarihli savunma yazısı ile 18.10.2019 tarihli ve 17.10.2019 tarihli istifa dilekçelerinin birer örneğinin ilgili kişiye verilmesi hususunda veri sorumlusunun talimatlandırılmasına ve ilgili kişiler tarafından Kanun kapsamında yapılan başvurulara yasal süresi içerisinde cevap vermesi noktasında azami dikkat ve özeni göstermesi gerektiği hususunda talimatlandırılmasına karar verilmiştir.

2 - İlgili kişinin, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili özel nitelikli kişisel verilerinin özlük dosyasından çıkarılması talebi hakkında Kişisel Verileri Koruma Kurulunun 20/05/2020 tarihli ve 2020/396 sayılı Kararı

İlgili kişi şikayetinde memuriyete ilk giriş tarihinden önce hakkında verilmiş olan ceza kararının özlük dosyasında yer aldığı, verilen kararda yer alan beş yıllık denetim süresinin dolduğu ve davanın düşmesine karar verildiği, kararın adli sicil kaydından silindiği, bu itibarla özlük dosyasında yer alan mezkûr karar ve ilgili dosyanın kaldırılarak imha edilmesi için veri sorumlusu çalıştığı kuruma yapmış olduğu başvurunun reddedildiği; ancak söz konusu dosyanın açık rızası dâhilinde, resmi olarak güvenlik soruşturması yapılmadan, kurumunda çalışmaya ilk başladığı tarihte İl Yazı İşleri Müdürünün kendisine sözlü olarak güvenlik soruşturması yapması ve mahkeme sürecinin devam etmesi sebebiyle mahkeme kararını getirmesinin gerekmesi üzerine özlük dosyasına konulduğu, anılan verinin muhafazasını gerektiren bir sebebin bulunmadığı belirtilerek özlük dosyasında yer alan mahkeme dosyasının kaldırılması talep etmiştir.

657 sayılı Kanunun “Memur Bilgi Sistemi, Özlük Dosyası” başlıklı 109 uncu maddesinde her memur için bir özlük dosyasının tutulacağı ve bu dosyada memurun mesleki bilgileri, mal bildirimleri; varsa inceleme, soruşturma, denetim raporları, disiplin cezaları ile ödül ve başarı belgelerine ilişkin bilgi ve belgelerin konulacağı; özlük dosyalarının tutulma esasları ile özlük dosyalarında yer alacak belgelere ilişkin usul ve esasların Devlet Personel Başkanlığınca belirleneceğinin belirtildiği; Kamu Personeli Genel Tebliğinin (Seri No: 2) “D” bölümünde ise özlük dosyasının sekiz bölümden oluştuğu ve bölümlerde yer alan konulara ilişkin bilgi ve belgelerin saklanacağı hükümlerine yer verildiği,mülga Yönetmelikte arşivlik malzeme olarak kabul edilen memuriyet sicil dosyalarının, yeni Yönetmelik kapsamında arşivlik belge olarak değerlendirilmediği ve memuriyet sicil dosyalarına ve bunların yüz bir yıl saklanacağına ilişkin düzenlemeye yer verilmediği, buna karşın, süre bakımından arşiv belgesi vasfını kazanamayan belgelerin arşivlik belge kabul edilmesi sebebiyle memuriyet özlük dosyalarının da bu kapsamda yer aldığı ve bunların imha işlemine tabi tutulmadığı değerlendirilmiştir.

  • Kurul incelemesi neticesinde, Şikâyete konu kişisel verinin özel nitelikli kişisel veri olduğu ve ilgili kişinin söz konusu mahkeme kararlarının özlük dosyasında yer almasına ilişkin hâlihazırda açık rızasının bulunmadığı; bununla birlikte, Kanun bakımından söz konusu kişisel verinin işlenmesine ilişkin “kanunilik” unsurunun öğretide ifade edilen “maddi kanun” olarak değerlendirilmesi gerektiği kanaatine varıldığından DPB’nin Kurum görüş talebine verdiği cevap ve 2 Seri No’lu Kamu Personeli Genel Tebliği hükümleri uyarınca mer’i mevzuat bakımından sözü edilen kararların özlük dosyasından çıkarılmasına yer olmadığına karar vermiştir

3 - Bir tıp merkezinin internet sitesinde video tanıtım bölümü içerisinde görsel ve işitsel kişisel verileri işlenen ilgili kişinin başvurusuna veri sorumlusu tıp merkezi tarafından cevap verilmemesi hakkında Kişisel Verileri Koruma Kurulunun 14/05/2020 tarihli ve 2020/379 sayılı Kararı


İlgili kişi şikayetinde özetle, bir Tıp Merkezinin internet sitesinde pazarlama amaçlı olarak “Video Tanıtım” bölümü içerisinde görsel ve işitsel kişisel verilerinin işlendiği, akdedilen iş sözleşmesi sona ermiş olduğundan kullanılan bu verilerin işleme amacı veya konusunun kalmadığı gerekçesiyle veri işlemenin durdurulmasını ve verilerin kaldırılmasını talep ettiğini, bu çerçevede veri sorumlusuna başvurduğu, bildirimde bulunmasına rağmen yasal sürede ilgili kişiye bilgi verilmediği, internet sitesindeki videoların silinmediği ifade edilerek veri sorumlusu Tıp Merkezine ait internet sitesinde bulunan kişisel verilerinin silinmesi ve başkaca işlenen kişisel verilerinin bulunup bulunmadığı, hangi verilerinin hangi amaçla işlendiği hususlarında tarafına bilgi verilmesi talep edilmiştir.


Konuya ilişkin başlatılan inceleme çerçevesinde savunmasının alınmasına yönelik Kurum yazısı veri sorumlusuna 01.08.2019 tarihinde tebliğ edilmiş ancak veri sorumlusu tarafından Kurula herhangi bir savunma ve bilgi/belge iletilmemiştir.

  • Kurul incelemesi neticesinde, İlgili kişinin tüm kişisel verilerinin silinmesi veya yok edilmesi talebinin, işlenmesini gerektiren sebep ortadan kalktığı halde; veri sorumlusu tarafından yerine getirilmediği, kişinin silme talebinin üzerinden makul süre geçmesine rağmen söz konusu kişisel veri işleme faaliyetine devam edildiği, bu durumun ise Kanuna aykırılık teşkil ettiği, bu kapsamda kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılan veri sorumlusu hakkında 75.000 TL idari para cezası uygulanmasına,

  • İlgili kişinin talebi doğrultusunda işlenmesini gerektiren herhangi bir sebep bulunmaması durumunda veri sorumlusu tarafından ilgili kişiye ait işlenen tüm kişisel verilerin silinmesi veya yok edilmesi ve tevsik edici belgelerin ilgili kişiye ve Kurula gönderilmesi hususunda veri sorumlusunun talimatlandırılmasına,

  • Başvuruda bulunan ilgili kişilere cevap verilmesine ilişkin gerekli özeni göstermesi hususunda veri sorumlusunun talimatlandırılmasına karar vermiştir.

4 - Hakkında hüküm verildiği suçtan dolayı cezası infaz edilen ilgili kişiye ait haberin yayımlandığı gazetenin internet sitesinden kaldırılması talebi hakkında Kişisel Verileri Koruma Kurulunun 22/05/2020 tarihli ve 2020/414 sayılı Kararı


İlgili kişinin vekili şikayet dilekçesi ile müvekkilinin yurtdışında yaşadığı bir olay sebebiyle internet yayınlarında ad ve soyadının geçtiği, Google arama motorunda adı ve soyadı aratıldığında veri sorumlusu gazetenin web sitesine ulaşıldığı, haber içeriğinde müvekkilinin hüküm giydiği suça ilişkin bilgilerin yer aldığı, müvekkilinin iş ve aile yaşamının haber sebebiyle olumsuz etkilendiği, haberlerin kaldırılması için gazeteye başvurulduğu ancak talebin veri sorumlusunca reddedildiğini bildirmiştir.

  • Kurul incelemesi neticesinde, kararında ifade özgürlüğünün bir yansıması olan basın özgürlüğü ile kişilik hakları karşı karşıya geldiğinde hangi hakka üstünlük tanınması gerektiğinin belirlenmesinin önem arz ettiğini ifade etmekle ilgili kişinin kendisine ilişkin verinin söz konusu habere konu edilerek yayımlanmasında halihazırda kamu yararı bulunduğu ve bu itibarla çatışan haklar bakımından ifade özgürlüğünün kişilik haklarına üstün geldiği sonucuna varıldığı ve söz konusu başvurunun Kanunun 28/1c maddesi çerçevesinde değerlendirilmesi nedeniyle şikayet hakkında yapılacak bir işlem bulunmadığına karar vermiştir.

5 - İlgili kişinin tahlil sonuçlarının veri sorumlusu hastane tarafından hukuka aykırı şekilde üçüncü kişilere aktarılması hakkında Kişisel Verileri Koruma Kurulunun 20/05/2020 tarihli ve 2020/407 sayılı Kararı

İlgili kişi şikayetinde, şikayete konu hastanenin Tüp Bebek bölümüne tahlil için başvurduğu, tahlil sonuçlarının kendisine e-posta ile iletildiği, ancak aynı e-postanın tanımadığı bir kimseye daha gönderildiğini fark ettiğini, ihtarname ile hastaneden bilgi talep ettiğini, veri sorumlusu hastane tarafından hatanın kabul edildiğine ilişkin cevabi ihtarname gönderildiğini ve 6698 sayılı kanun kapsamında gereğinin yapılmasını talep etmiştir.

  • Kurul incelemesi neticesinde, Hastane savunmasında söz konusu tahlilin başka bir doktorun özel asistanına ve hastaların kendilerine e-posta olarak iletildiği ifade edilmekle birlikte kurul kararında veri sorumlusu hastanenin Kanunun 8.maddesinde belirtilen ilgili kişinin açık rızası yada 6.maddede düzenlenen işleme şartlarından biri olmadığı halde üçüncü kişilere aktarılmak suretiyle hukuka aykırı olarak işlenmesi sebebiyle, Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12.maddesinin birinci fıkrasına yönelik yükümlülüğünü yerine getirmediği kanaatine varılan veri sorumlusu hakkında 100.000 TL idari para cezası uygulanmasına karar vermiştir.

6 - İşverenin, işçisine ait kişisel verileri ve özel nitelikli kişisel verileri; aydınlatma yükümlülüğünü yerine getirmeden ve hukuka aykırı işlemesi hakkında Kişisel Verileri Koruma Kurulunun 20/05/2020 tarihli ve 2020/404 sayılı Kararı


İlgili kişi şikayetinde, çalıştığı veri sorumlusu şirketten kanunun 11.maddesindeki hakları kapsamında bilgi talebinde bulunduğu, söz konusu talebine yeterli cevap alamadığı, işveren nezdinde kişisel verilerin korunması hukuku yönünden bir kısım hukuka aykırı uygulamaların bulunduğunu iddia etmekle veri sorumlusu hakkında gerekli yaptırımların uygulanmasını talep etmiştir.


Kurul incelemesinde Aydınlatma yükümlülüğünün gerek açık rıza alınacağı durumlarda gerek Kanundaki diğer kişisel veri işleme şartlarından bağımsız olarak yerine getirilmesi gereken bir yükümlülük olduğu, veri sorumlusu tarafından savunmasında KVKK Aydınlatma Metni ve Açık Rıza Metni’nin çalışanlara tebliğ edilerek imzalatıldığı belirtilse de savunma ekinde söz konusu metinlerin paylaşılmadığı, nitekim savunma ekinde bulunan “Kişisel verilerin işlenmesine ilişkin Çalışan Muvafakatnamesi” isimli belgenin açık rıza ve aydınlatma konusunda usule uyulmadığının ortaya koyulduğunu,

Diğer taraftan, bu metnin içerik olarak da açık rıza kapsamında ilgili kişiyi bilgilendirdiğinden ya da aydınlatma yükümlülüğünü yerine getirdiğinden söz edilemeyeceği zira, metinde çeşitli kişisel veri kategorileri sıralandıktan sonra “(…) sayılan kişisel veriler dahil olmak üzere ancak bunlarla sınırlı olmaksızın (…)” ifadesine yer verildiği ve hangi kişisel verilerin işleneceği (kategorik olarak) hususunun muğlak bırakıldığı, işlenecek veri kategorileri sıralandıktan sonra veri işleme amaçları da art arda sıralanmak suretiyle hangi veri kategorisinin hangi amaçla işleneceğine dair herhangi bir açıklamaya yer verilmediği, metinde “…. uygun gördüğü diğer üçüncü kişilere ve/veya yurt dışında paylaşılabileceği” ifadesinin yer aldığı bu kapsamda kimlere aktarım yapılacağının muğlak bir şekilde veri sorumlusuna bırakıldığı, ayrıca metinde biyometrik veri niteliğini haiz olan parmak izinin veri kategorileri içerisinde dahi sayılmadığı,


Somut olayda, veri sorumlusu tarafından açık rıza metninin onaylanması için çalışanlara e-postalar gönderildiği, metni imzalamayan çalışanların listesinin tutulduğu, bu listelerin başkaca çalışanlara gönderilmesi suretiyle metni imzalamayan çalışanların metni imzalamalarının sağlanmasının talep edildiğinin anlaşıldığı, bununla birlikte çalışan tarafından onayın verilmemesi sebebiyle özlük dosyasının tamamlanmamış kabul edildiği durumlarda; işçiye rıza göstermeme imkânının etkin bir biçimde sunulmamasından ötürü verilen rızanın, geçerli bir açık rıza beyanı olarak değerlendirilemeyeceği, öte yandan, işçinin eşine ve çocuğuna ait kişisel verilerin işlenmesi için açık rıza vermesinin geçerlilik taşımayacağı,


Serverları yurt dışında bulunan hizmetlerin kullanımının yurt dışına kişisel veri aktarımı olduğu ve Kanunun 9 uncu maddesine uygun hareket edilmesi gerektiği, veri sorumlusunun çalışanlarının açık rızaları olmaksızın kişisel verilerini ve özel nitelikli kişisel verilerini işlediği ve bu verileri yine çalışanlarının açık rızası olmaksızın yurtiçi ve /veya yurtdışına aktardığının anlaşıldığı ifade etmiştir.

  • Kurul incelemesi neticesinde, Bu sebeplerle, veri sorumlusunun aydınlatma yükümlülüğünü yerine getirmediği kanaatine varıldığından 50.000,00TL idari para cezası uygulanmasına,

  • Veri sorumlusunun çalışanlarının ve yakınlarının açık rızaları olmaksızın kişisel verilerini ve özel nitelikli kişisel verilerini işlediği, işlediği özel nitelikli kişisel veriler bakımından ölçülülük ilkesine aykırı hareket ettiği ve bu verileri yine çalışanlarının açık rızası olmaksızın yurtiçi ve /veya yurtdışına aktardığı görüldüğünden, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ile kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı hareket ettiği kanaatine varılan veri sorumlusu hakkında 200.000 TL idari para cezası uygulanmasına karar verilmiştir.

7 - İlgili kişinin telefon numarası bilgisinin farklı veri sorumluları tarafından hukuka aykırı olarak işlenmesine ilişkin Kişisel Verileri Koruma Kurulunun 09/02/2021 tarihli ve 2021/111 sayılı Kararı

İlgili kişi şikayetinde; cep telefonuna, kendisine ait herhangi bir içerik barındırmayan fakat yakınına ait bir borca ilişkin iki adet kısa mesaj (SMS) gönderildiği; konuya ilişkin olarak ilgili hukuk bürosuna ve alacak sahibi şirkete başvuruda bulunduğu ancak tarafına verilen yanıtların birbiri ile çelişkili ve yetersiz olduğu ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.


Kurul incelemesinde; Alacaklı Şirketin abonelerine ait borçların tahsilatına ilişkin olarak iki aşamalı bir süreci sözleşmeli avukatlar aracılığı ile uyguladığı, bu süreçlerin ‘idari takip aşaması’ ve ‘icra takip aşaması’ olarak adlandırıldığı, idari takip aşamasına geçilmeden önce üyelere ait bilgilerin Şirket tarafından Yasal Takip Sistemi adı verilen sisteme aktarıldığı ve alacağın tahsilini sağlamak üzere yapılan işlemlerin bu sistem aracılığıyla gerçekleştirildiği, Söz konusu olayda ilk Hukuk Bürosu avukatının ‘idari takip süreci’nde yer aldığı ve bu süre zarfında da ilgili kişiye ait iletişim bilgisinin Hukuk Bürosu çalışanı tarafından temin edilerek YTS isimli sisteme işlendiğinin gerek şirket gerek SMS gönderimi işlemini yapan ikinci Hukuk Bürosu Avukatı tarafından beyan edildiği, bununla birlikte Kuruma sunulan evraklarda da ilk Hukuk Bürosu çalışanı tarafından ilgili kişiye ait iletişim bilgisinin işlendiğinin tevsik edildiği, Bu kapsamda somut olayda ilgili kişiye ait telefon numarası Şirket tarafından alacağın tahsilini sağlamak üzere ilk Hukuk Bürosuna aktarılmadığı halde söz konusu Hukuk Bürosu çalışanı tarafından numaranın borçlu kişinin yakınına ait olduğunu belirli kılacak şekilde ‘not’ olarak kaydedildiği, dolayısıyla borçlu kişinin yakını olması nedeniyle ilgili kişiye ait telefon numarasının YTS sistemine işlendiğini ifade etmiştir.

  • Kurul incelemesi neticesinde, İlgili kişinin telefon numarasının ilk Hukuk Bürosu çalışanı tarafından temin edilmesi ve işlenmesine ilişkin olarak, veri sorumlusu Avukat tarafından ileri sürülen hususların Kanunun 5 inci maddesinin ikinci fıkrasında yer alan açık rıza dışındaki kişisel veri işleme şartlarından herhangi birine dayanak teşkil etmediği dolayısıyla veri sorumlusu Avukatın Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin birinci fıkrasının (a) bendinde öngörülen yükümlülüğü yerine getirmediği kanaatine varıldığından, veri sorumlusu Avukat hakkında, 50.000 TL idari para cezası uygulanmasına,

  • Şirket tarafından borç takibi yapılabilmesi amacıyla kullanılan sisteme ilk Avukat tarafından girilen verilerin Kanunun 4 üncü maddesi gereğince doğruluğu ve güncelliğini sağlama noktasında gerekli denetim ve kontroller yapılmaksızın ikinci Avukat ile paylaşılması sebebiyle veri sorumlusu Şirketin gerekli teknik ve idari tedbirleri almadığı dolayısıyla Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin birinci fıkrasında yer alan yükümlülüğünü yerine getirmediği kanaatine varıldığından, veri sorumlusu Şirket hakkında 115.000 TL idari para cezası uygulanmasına,

  • YTS sisteminde bulunan telefon numarasının, kişinin yakınına ait olduğu bilgisi mevcut olmasına rağmen veri sorumlusu Avukat tarafından ilgili kişiye SMS göndermek suretiyle Kanunun 5 inci maddesinde yer alan kişisel veri işleme şartlarından herhangi biri söz konusu olmadığı halde işlendiği bu itibarla, veri sorumlusu avukat tarafından Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin birinci fıkrasının (a) bendinde öngörülen yükümlülüğün yerine getirilmediği kanaatine varıldığından, veri sorumlusu Avukat hakkında 50.000 TL idari para cezası uygulanmasına karar verilmiştir.

8 - İlgili kişinin kendisine iletilmesi gereken cevap yazısının veri sorumlusu tarafından resmi yazı şeklinde, çalıştığı birime gönderilmesi hakkında Kişisel Verileri Koruma Kurulunun 05/05/2020 tarihli ve 2020/336 sayılı Kararı


İlgili kişi şikayetinde, daha önce personeli olduğu veri sorumlusu Üniversitenin Sanat Tarihi Bölümüne iletmiş olduğu dilekçesinin akıbeti hakkında 4982 sayılı Bilgi Edinme Hakkı Kanunu kapsamında veri sorumlusundan kendisine bilgi verilmesini talep ettiği, bu kapsamdaki talebine ilişkin cevabın, doğrudan ve sadece kendisine verilmesi gerekirken başvurusunun halihazırda görevli olduğu aynı Üniversitenin Meslek Yüksekokulu Müdürlüğüne, tüm taraflara açık biçimde yazılmış ve personele iletilen alelade resmi yazı şeklinde iletildiği, üçüncü kişilerin erişimine açılan kişisel bilgilerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında korunmasına yönelik olarak veri sorumlusundan gerekli tedbirleri almasını talep ettiği ancak yasal süre içinde gerekli tedbirlerin alınmadığı ve tarafına cevap verilmediği belirtilerek 6698 sayılı Kanun kapsamında gereğinin yapılması talep edilmiştir.

  • Kurul incelemesi neticesinde, Veri sorumlusunun kendisine yapılan başvuruya cevap vermemesinin Tebliğin 6 ncı maddesinde yer alan başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırma yükümlülüğüne aykırı olduğu değerlendirildiğinden veri sorumlusunun kendilerine yapılan başvurulara Tebliğe uygun olarak cevap verilmesi hususunda azami dikkat ve özenin gösterilmesi konusunda talimatlandırılmasına,

  • Veri sorumlusunun söz konusu uygulaması neticesinde yetkisi olmayan kişiler tarafından ilgili kişinin verilerine erişildiği dikkate alındığında veri sorumlusunca kişisel verilerin muhafazasına yönelik veri güvenliğine ilişkin gerekli yükümlülüklerin yerine getirilmediği kanaatine ulaşıldığından, veri sorumlusunun Kanunun 12 nci maddesinin birinci fıkrasına aykırılık teşkil eden uygulaması nedeniyle sorumlular hakkında Kanunun 18 inci maddesinin üçüncü fıkrası çerçevesinde işlem yapılmasına ve işlemin sonucu hakkında Kurula bilgi verilmesine karar vermiştir.

9 - İlgili kişinin araç kiralama hizmeti alması esnasında kişisel verilerinin işlenmesine dair açık rıza vermemesi üzerine kiralama hizmetinden yararlandırılmamasına ilişkin Kişisel Verileri Koruma Kurulu’nun 05/05/2020 tarihli ve 2020/335 sayılı Kararı


İlgili kişi şikayetinde; veri sorumlusu araç kiralama şirketinin hizmet noktasında, yetkilisi olduğu şirket adına kısa süreli araç kiralamak istediği, imzalanması talep edilen evrakları incelendiğinde kişisel verilerinin işlenmesine dair açık rıza verdiğine ilişkin evrakın da içinde bulunduğunu tespit ettiği, bunun üzerine kişisel verilerinin işlenmesine rıza göstermek istemediğini, bu nedenle de ilgili evrakı imzalamayacağını çalışana beyan etmesi üzerine araç kiralama işleminin gerçekleştirilmediği, konuyla ilgili olarak veri sorumlusuna yetkilisi olduğu şirket tarafından 23/03/2018 tarihinde başvuruda bulunduğu, veri sorumlusu tarafından 29/03/2018 tarihinde cevap verildiği ancak taleplerine yönelik hiçbir cevap veya çözüm önerisi yer almadığı gerekçesiyle 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

  • Kurul incelemesi neticesinde; Kanunun 3 üncü maddesinde açık rızanın, “belirli bir konuya ilişkin”, “bilgilendirmeye dayanan” ve “özgür iradeyle açıklanan” rıza şeklinde tanımlandığı, kişinin irade beyanı olan rızanın, kişinin yaptığı davranışın bilincinde ve kendi kararı olması halinde geçerlilik kazanacağından kişinin iradesini sakatlayacak her türlü fiilin, kişisel verilerin işlenmesi için verdiği açık rızayı da sakatlayacağı, bu anlamda açık rızanın özgür irade ile açıklanması gerektiğinden ilgili kişinin açık rızasının alınmasının bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmemesi gerektiği, kişisel verilerin veri sorumlusu tarafından Kanunun 5 inci maddesinin ikinci fıkrası kapsamında işlendiği haller haricinde kişisel verilerin işlenmesi ve yurtdışına aktarımın sağlanması amacıyla açık rıza almasının ayrıca açık rızanın hizmetin dolayısıyla sözleşmenin bir koşulu olarak dayatılmasının söz konusu olduğunun görüldüğü bununla birlikte diğer kişisel veri işleme şartlarının varlığı söz konusu iken açık rıza alınmasının, ilgili kişinin yanıltılması ve yanlış yönlendirilmesi dolayısıyla veri sorumlusunca hakkın kötüye kullanılması anlamına da geldiğin tespit edilmekle,

  • Araç kiralama hizmeti alımı esnasında veri sorumlusu tarafından Kanunun 5 maddesinin ikinci fıkrasında yer alan işleme şartları dışındaki haller kapsamında hizmetten faydalanmak isteyen kişilerin kişisel verilerinin işlenmesi amacıyla toptan bir şekilde açık rıza alımı yoluna gidildiği, hizmetin ifası için gerekli olmamasına rağmen kişisel verilerin talep edildiği ve açık rıza verilmemesi durumunda da kişilere hizmet verilmediği dikkate alındığında; hukuka aykırı veri işleme faaliyetinin söz konusu olduğu bu durumun ayrıca Kanunun 4 üncü maddesinde yer alan hukuka ve dürüstlük kurallarına uygun olma ilkesine de aykırılık teşkil etmesi nedeniyle, veri sorumlusunun “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğünü yerine getirmediği kanaatine varıldığından, veri sorumlusu hakkında 50.000 TL idari para cezası uygulanmasına karar vermiştir.



OKC HUKUK& DANIŞMANLIK

AV.ONUR KEMAL ÇAKIR

コメント

Yazı: Blog2 Post
  • Instagram
  • LinkedIn
  • Twitter
  • Facebook

©2020, OKC HUKUK VE DANIŞMANLIK tarafından Wix.com ile kurulmuştur.

bottom of page