News & Insights
Kişisel Verileri Koruma Kurulundan Yeni Karar Özetleri
Kişisel Verileri Koruma Kurulu 18.07.2022 tarihinde yeni kararlarını yayınladı. Kurul’un yayınladığı kararlardan öne çıkanları sizler için değerlendirdik.
- Kişisel Verileri Koruma Kurulu’ndan (“Kurul”) bir sadakat programı kapsamında veri sorumlusu tarafından ilgili kişinin kişisel verilerinin hukuka aykırı olarak işlenmesine ilişkin karar
Kurul’un bu kararı ne diyor?
Kurul’un 05/07/2019 tarih ve 2019/198 sayılı kararında, veri sorumlusunun mağazasında satılan bazı ürünlere sadakat karta özel indirim uygulandığı, böylece özel indirimlerin şarta bağlandığı, söz konusu sadakat programına üyelik ve kart temini için de müşterilerin kişisel verileri elde edilerek açık rızanın koşul olarak dayatılması konusu ele alınıyor.
Kurul Kararında;
- İncelemeye konu olayda ürün fiyatının sadakat kart sahibi olanlara daha az fiyata satıldığı fakat bu durumun sadakat kart programına dahil olmayanların da alışveriş yapmasına engel olmadığı,
- Sadakat kart programı kapsamında ürün/hizmetlerin ek menfaat ile indirimli sunulmasının açık rızanın koşul olarak dayatılması anlamına gelmediği
sonucuna ulaşıldı.
Kimleri nasıl etkiliyor?
Karar, sadakat programı kullanan ve bu sebeple müşterilerinin kişisel verilerini işleyen gerçek ve tüzel kişi veri sorumlularını yakından ilgilendiriyor.
Yaptırım uygulandı mı?
Kurulun, bu konuya ilişkin herhangi bir yaptırımı olmadı.
Özetle
Veri sorumlusunun, sadakat kart programına dahil olmayanların da alışveriş yapmasına engel olmadığı sürece, kampanyalar ve sadakat programına özel indirimli fiyatların ek bir menfaatle sunmasının, açık rızanın koşul olarak dayatılması anlamına gelmediği ve ilgili kişinin açık rızasının bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı anlamına gelmediği belirlenmiş oldu.
- Kişisel Verileri Koruma Kurulu’ndan ilgili kişinin iş akdinin sona ermesine rağmen veri sorumlusu şirket tarafından hukuka aykırı olarak kişisel verilerinin işlenmesine ilişkin karar
Kurul’un bu kararı ne diyor?
Kurul’un 16/12/2021 tarih ve 2021/1258 sayılı kararında, ilgili kişinin görevden ayrıldıktan sonra kişisel verilerine yönelik olarak veri sorumlusu şirkete başvuru yapmak istediği ancak bir başvuru formu bulamadığı ve başvuru yolları konusunda da daha önce bilgilendirilmediği ele alınıyor. Aydınlatma yükümlülüğünün hukuka uygun olarak yerine getirilmediği, özel nitelikli kişisel verilerinin açık rızası olmaksızın işlendiği , veri sorumlusu şirkete parmak izi ve yüz tarama sistemi ile giriş yapıldığı belirtiliyor. Ayrıca grup şirketinin yurt dışında şubelerini ziyarete gittiğinde kişisel verilerinin açık rızası olmaksızın yurt dışına aktarıldığı, yeterli teknik ve idari tedbirlerin alınmadığı, veri sorumlusunun internet sitesinde gizlilik politikası bulunmadığı konusu ele alınıyor.
Kurul Kararında;
- Veri sorumlusu tarafından şirket personelinin erişim sağlayabildiği sosyal medya platformunda başvuru formu ve aydınlatma metninin konulduğu belirtilse de; savunma dilekçesinde bu başvuru formuna ve aydınlatma metninin tamamına ulaşılamadığı,
- Savunma dilekçesi ekinde gösterilen iş sözleşmesinde karmaşık ve muğlak bir biçimde aydınlatma ve açık rıza yükümlülüğünün yerine getirilmeye çalışıldığı, aydınlatma ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiği halde bu gerekliliğin veri sorumlusu tarafından sağlanmadığı,
- Söz konusu somut olayda ilgili kişinin açık rızasının alınması için iş sözleşmesine madde eklendiği ve özel nitelikli kişisel verilerin bu şekilde işlendiği, iş sözleşmesine bu şekilde bir madde eklenmesiyle rıza alınmasının özgür iradeyle bağdaşmayacağı,
- Çalışanların biyometrik verilerinin işlenmesi yerine manyetik bir kart ya da kontrol listesi gibi yöntemler kullanılarak kişisel veri işlenebileceği ve veri sorumlusunun bu yönden ölçülülük ilkesini aştığı,
sonucuna ulaşıldı.
Kimleri nasıl etkiliyor?
Karar, çalışanlarının kişisel verilerini işleyen gerçek ve tüzel kişi işverenleri yakından ilgilendiriyor.
Yaptırım uygulandı mı?
Kurul, KVK mevzuatına aykırılık neticesinde veri sorumlusu işverene 125.000 TL idari para cezası uyguladı.
Özetle
Gerçek ve tüzel kişi işverenler birer veri sorumlusu sayılmaları neticesinde KVK mevzuatından ileri gelen yasal yükümlülüklerini eksiksiz bir biçimde yerine getirmelidir. Bunun için, aydınlatma ve açık rıza yükümlülüklerinin KVKK’da yer alan asgari unsurları barındıracak şekilde düzenlenmesi ve özgür irade sakatlanmayacak şekilde açık rızanın alınması gerekiyor. Ayrıca personelin işyerine giriş çıkışlarının kontrolü başka vasıtalarla ulaşılabilecekken, açık rıza şartına dayanılarak biyometrik verilerin kullanılması, ölçülü olma ilkesine aykırı kabul ediliyor.
- Kişisel Verileri Koruma Kurulu’ndan bir sigorta şirketi tarafından ilgili kişinin banka verilerinin işlenmesine ilişkin karar
Kurul’un bu kararı ne diyor?
Kurul’un 16/12/2021 tarih ve 2021/1262 sayılı kararında, ilgili kişinin banka bilgilerini veri sorumlusu sigorta şirketi ile paylaşmadığı halde bu bilgilerin sigorta şirketi tarafından hukuka aykırı olarak işlenmesi ele alınıyor.
Kurul Kararında;
- İlgili kişinin vekili aracılığıyla veri sorumlusuna ilettiği başvurunun veri sorumlusu tarafından teslim alınması ve özel yetki içeren vekaletname bulunmaması sebebiyle cevaplanmamasının hukuka uygun olmadığı, vekil tarafından yapılacak başvurularda “özel yetki” şartı aranmadığı,
- İlgili kişinin şikâyete konu bilgilerinin yurt içi ve yurt dışındaki herhangi bir kişi ya da kurumla paylaşılmadığının tespit edildiği, söz konusu verilerin yalnızca Tüketici Hakem Heyeti kararının yerine getirilmesi amacıyla, ilgili banka nezdindeki sigorta şirketi hesaplarından şikâyete konu banka hesap numarasına ödeme işlemlerinin tamamlanması amacıyla işlendiği,
- KVKK’da yer alan hukuki sebeplere dayanarak kişisel verileri işlenmesinin hukuka aykırılık teşkil etmediği,
- Yasal yükümlülük gereği sigortalının bilgilerinin 10 yıl saklanması gerektiğinden veri sorumlusunun kişisel verileri imha etmesini gerektirecek sebeplerin henüz ortadan kalkmadığı
sonucuna ulaşıldı.
Kimleri nasıl etkiliyor?
Karar, sigortacılık alanında hizmet sunan sigorta şirketi veri sorumlularını yakından ilgilendiriyor.
Yaptırım uygulandı mı?
KVK mevzuatına aykırılık görülmediği neticesinde yaptırım uygulanmadı.
Özetle
Kurul, veri sorumlusuna başvuruların vekil aracılığıyla yapılmasının “özel yetki” gerektirmediğini, genel vekaletname ile vekillerin ilgili kişi yerine bu başvuruyu gerçekleştirebileceğini belirtiyor. KVK mevzuatından başka ilgili mevzuatça bir kişisel verinin belirli bir süre saklanması isteniyorsa, veri sorumlusu bu ilgili süre boyunca kişisel veriyi saklamakla yükümlü sayıldığından, geçerli hukuki sebeplere dayanarak işlenen kişisel veriler hukuka aykırılık teşkil etmiyor.
- Kişisel Verileri Koruma Kurulu’ndan araç kiralama programları yazılımcısı ve satıcısı firmalar tarafından ortak kara liste programı oluşturularak ilgili kişilerin kişisel verilerinin işlenmesine ilişkin karar
Kurul’un bu kararı ne diyor?
Kurul’un 23/12/2021 tarih ve 2021/1303 sayılı kararında, araç kiralama firmaları arasında kişisel verilerin müşterilerin açık rızası olmadan paylaşılmasını sağlayan bir yazılım ile bu yazılımları kullanan araba kiralama şirketlerinin müşterileri hakkında elde ettikleri tüm verileri bu yazılımlar vasıtasıyla bir kara liste oluşturulması konusu ele alınıyor.
Kurul Kararında;
- Araç kiralama firmalarının müşterileri hakkında yaptıkları değerlendirmelerin ortak bir veri tabanına kaydedilerek diğer firmalarca yapılan yorumların da bu alana eklenebiliyor olmasının hem müşteri sırrının hem de kişisel verilerin ifşası olduğu,
- Ortak veri tabanının varlığı ve her firmanın müşteriler hakkında yorumlar ekleyebilmeleri konusu değerlendirildiğinde bu paylaşım yapılmadan önce acente ve şubeler dışındaki aktarıma taraf olacak kişi ve kişi gruplarının veri sorumlusu sıfatıyla ilgili kişilere aydınlatma metni aracılığıyla bildirilmiş olması gerektiği,
- Somut olayda öncelikli olarak yazılıma kayıt yapılacağı ve araç kiralama firmalarınca paylaşıma açılan verilerin hangi firmalarca görülebileceğinin öngörülememesine sebebiyet vereceğinden veri işlemenin temel ilkelerinin yanı sıra veri aktarımının genel prensiplerine de aykırılık teşkil ettiği
sonucuna ulaşıldı. Ayrıca yukarıda sayılanlara ek olarak, ihbar konusu olayda araç kiralama yazılımı üreten ve satan şirketlerin diğer araç kiralama şirketleriyle birlikte ortak veri sorumlusu sıfatı taşıdığı sonucuna ulaşıldı.
Kimleri nasıl etkiliyor?
Karar, araç kiralama alanında hizmet sunan araç kiralama şirketleri ve bu şirketlere yazılım hizmeti sunan yazılım şirketlerini veri sorumlusu sıfatıyla yakından ilgilendiriyor.
Yaptırım uygulandı mı?
Kurul, oluşan aykırılıklar neticesinde ortak veri sorumlularına KVK mevzuatına uygun şekilde kişisel verilerin imha edilmesi konusunda talimat verdi.
Özetle
Kara liste uygulaması hazırlayan yazılım şirketleri ve bunu kullanan araç kiralama firmaları Kurul kararı uyarınca ortak veri sorumlusu sayıldı. İlgili kişilerin kişisel verilerinin yazılıma aktarılarak sınırsız sayıda kişiye ifşa edildiği anlaşılmış olduğundan, yazılım firmasının da veri sorumlusu olduğu sonucuna ulaşılıyor. Kişisel verilerin diğer araç kiralama firmalarına aktarılması ve onların da yorumuna açılmış olması kişisel verilerin KVKK’da yer alan ilkelere aykırı işlenmesine örnek oluşturuyor. İlgili kişilerin kişisel verilerinin bu kişilerden rıza alınmadan yurt içinde aktarılması da kişisel veri ihlaline örnek sayılıyor.
- Kişisel Verileri Koruma Kurulu’ndan sağlık sektöründe faaliyet gösteren veri sorumlusu tarafından ilgili kişinin kişisel verilerinin açık rıza alınmaksızın ticari elektronik ileti gönderilmesi amacıyla işlenmesine ilişkin karar
Kurul’un bu kararı ne diyor?
Kurul’un 18/01/2022 tarih ve 2022/31 sayılı kararında, sağlık sektöründe faaliyet gösteren veri sorumlusunun ilgili kişiye açık rızasını almadan elektronik ticari ileti göndermesi konusu ele alınıyor.
Kurul Kararında;
- Hasta kaydı açılması sırasında ilgili kişi ve refakatçilerinin iletişim bilgilerinin temin edilmesinin KVK Mevzuatına aykırılık teşkil etmediğini, ancak bu bilgilerin herhangi bir tıbbi bilginin ilgili kişiye veya yakınına iletilmesi için değil pazarlama amacıyla kullanıldığı,
- Veri sorumlusunun hasta kaydı açılırken aldığı bilgileri hukuka uygun olarak işlese de ilgili kişiye ticari e-postalar yollayarak ilgili hükmü ihlal ettiği,
sonucuna ulaşıldı.
Yaptırım uygulandı mı?
KVK mevzuatına aykırılıklar neticesinde 100.000 TL idari para cezası uygulandı.
Özetle
Veri sorumluları kişisel verilerin işlenme amaçları değiştiği takdirde ilgili kişileri bu hususta aydınlatmalı ve farklı amaçlar için kişisel verilerin işlenmesi halinde (KVKK kapsamında veri işleme şartlarında yer alan istisnai hükümlerden biri kapsamına girmediği taktirde) ilgili kişiden yeni bir açık rıza almalıdır.
- Kişisel Verileri Koruma Kurulu’ndan ilgili kişi ile aynı isme sahip bir kişi tarafından internet üzerinden sipariş verilirken ilgili kişinin e-posta adresinin kullanılarak faturanın ilgili kişiye gönderilmesine ilişkin karar
Kurul’un bu kararı ne diyor?
Kurul’un 17/03/2022 tarih ve 2022/243 sayılı kararında, ilgili kişinin kendisi ile aynı isme sahip bir şahıs tarafından veri sorumlusuna ait internet sitesine üye olduğu ve sipariş verdiği görülüyor. Sipariş verirken internet sitesine üye olan bu şahsın e-posta adresi doğrulanmadan ve onaylanmadan üyelik işlemi gerçekleştirmesi, siparişe ilişkin faturanın yanlış bir şekilde aynı isme sahip ilgili kişiye gönderilmesi konusu ele alınıyor.
Kurul Kararında;
- İlgili kişi ile aynı isme sahip bir kişinin üyelik oluşturmadan sipariş verdiği,
- Uzaktan satış sözleşmesinin tarafı olmayan ilgili kişiye veri sorumlusu tarafından e-posta gönderilmesinin bir kişisel veri işleme faaliyeti olduğu,
- Gerçek ve tüzel kişilerin e-fatura yükümlülüğünü yerine getirmek suretiyle bir hukuki yükümlülüğün yerine getirilmesi amacıyla kişisel verilerin işlenmesi şartına uygun olarak veri işlenebileceği, ancak bu işleme faaliyeti gerçekleştirilirken veri sorumlularının aktif özen yükümlülüğüne uygun davranması gerektiği,
- Veri sorumlusunun aktif özen yükümlülüğünü yerine getirebilmesi için alışveriş yapan kişinin e-posta adresinin teyidi adına mekanizmalar geliştirmesi gerektiği, ancak somut olayda böyle bir mekanizmanın bulunmadığı,
sonucuna ulaşıldı.
Kimleri nasıl etkiliyor?
Karar, kişisel veri işleyen gerçek ve tüzel kişi ürün/hizmet sağlayan veri sorumlularını yakından ilgilendiriyor
Yaptırım uygulandı mı?
KVK mevzuatına aykırılıklar neticesinde 100.000 TL idari para cezası uygulandı.
Özetle
Veri sorumluları, kişisel veri ihlali yaşanmaması adına organizasyonları içerisinde tüm teknik ve idari tedbirleri almakla yükümlüdür. Veri sorumluları bu yükümlülükleri yerine getirirken ürün/hizmet sağladıkları kişilerin hak kaybı yaşamasını ve kişisel veri ihlali gerçekleşmesini engellemek adına uygulama ve mekanizmalar oluşturmalıdır.
- Kişisel Verileri Koruma Kurulu’ndan ilgili kişinin el geometrisi bilgisinin bir işletmenin hizmet binasına giriş yapabilmek amacıyla veri sorumlusu tarafından açık rıza alınmaksızın işlenmesine ilişkin karar
Kurul’un bu kararı ne diyor?
Kurul’un 07/07/2022 tarih ve 2022/662 sayılı kararında, ilgili kişinin bir işletmeye kayıt yaptırırken hizmet alanına giriş yapabilmek için ilgili firma yetkililerince avuç içi ve parmak izi bilgilerinin tarandığı görülüyor. Bu bilgilerin şirket kayıtlarında işlendiği, hizmet alan kişilerin cihaza elini koyarak ve verilen şifreyi tuşlayarak hizmet alanına girebildiği ve bu işlemeye dair kendisinden geçerli bir rıza alınmadığı belirtiliyor.
Kurul Kararında;
- Veri sorumlusu ilgili kişilerin hizmet binasına girişte el geometrisi bilgilerinin işlendiğini veel geometrisinin başka kişilerle aynı olabileceğini belirtmiş olsa da matematiksel olarak bu ihtimalin çok düşük olduğu, ilgili kişinin el geometrisinin çıkarılması suretiyle biyometrik bir yöntemle kimlik doğrulaması yapıldığı ve bu anlamda veri işleme faaliyetinin aslında özel nitelikli kişisel veri işleme faaliyeti olduğu,
- Somut olay incelendiğinde, özel nitelikli kişisel verilerin işlenmesine ve bu bağlamda biyometrik bazlı sistemlerin kullanılmasına dair Kanun’da yer alan herhangi bir uygunluk nedeni olmadığından kişinin özel nitelikli kişisel verisinin işlenebilmesi için açık rızanın gerektiği,
- Veri sorumlusunun Kanun’un ilgili maddesinde sayılan teknik ve idari tedbirleri alma yükümlülüğünü gereği gibi yerine getirmediği,
sonucuna ulaşıldı.
Kimleri nasıl etkiliyor?
Karar, el geometrisi yoluyla ve başka yöntemlerle biyometrik kişisel veri işleyen gerçek ve tüzel kişi veri sorumlularını ilgilendiriyor.
Yaptırım uygulandı mı?
KVK mevzuatına aykırılıklar neticesinde veri sorumlusunda 100.000 TL idari para cezası uygulandı.
Özetle
Veri sorumluları el geometrisi verisi işledikleri takdirde, bu veriler de özel nitelikli kişisel veri sayıldığından ilgili kişilerden bu verinin işlenmesi ve aktarılmasına ilişkin açık rıza edinmelidir.