KPLAW

İş Kuleleri, Kule 3, Kat:2, 34330,
Levent / Istanbul, Turkey

CONTACT

T: +90 (212) 249 29 39
M: info@kplawtr.com


Kişisel Verileri Koruma Kurulu (“Kurul") 23.05.2022 tarihinde yeni kararlarını yayınladı. Kurul’un yayınladığı kararlardan öne çıkanları sizler için değerlendirdik.

 

1. Kişisel Verileri Koruma Kurulu’ndan İnternet Sitesi ve Mobil Uygulamalarda Çerezler Aracılığıyla Kişisel Verilerin Hukuka Aykırı İşlenmesine İlişkin Karar

Kurul’un Bu Kararı Ne Diyor?

Kurul’un 10/03/2022 tarih ve 2022/229 sayılı karar özetinde, e-ticaret sektöründe faaliyet gösteren veri sorumlusu şirketin internet sitesi ve mobil uygulamalarında çerezler aracılığıyla ilgili kişinin kişisel verilerinin hukuka aykırı işlenmesi konusu ele alınıyor.

Kurul Kararında;

  • Çerezlerin kesinlikle gerekli çerezler ve kesinlikle gerekli olmayan çerezler olarak ikiye ayrılması gerektiği,
  • İnternet sitesinin düzgün bir biçimde hizmet verebilmesi için kesinlikle gerekli çerezlerin zorunlu olduğu,
  • Diğer çerezler hakkında ise ilgili kişiden opt-in mekanizması uyarınca açık rıza alınması gerektiği,
  • Siteye girişte çıkan pop-up’ların da Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) yer alan istisnalar kapsamında değilse açık rıza alınmasını sağlayacak şekilde düzenlenmesi gerektiği,
  • Yurt dışına veri aktarımı yapılacaksa ve veri sorumlusu tarafından taahhütname de sunulmamışsa veri sorumlusunun açık rıza alarak yurt dışına veri aktarması gerektiği,
  • Sitede yer alan pop-up’lara gizlilik politikası ve çerez politikasına ayrı ayrı kolayca ulaşılabilecek bağlantılar eklenmesi gerektiği;
  • Oluşturulacak çerez politikasında gizlilik politikasında olduğu gibi veri işleme amaçları, hangi işleme amacının söz konusu olduğu, veri aktarımının kimlere ve hangi amaçla yapılabileceği, kişisel verileri toplama yöntemi ve hukuki sebebi ile ilgili kişinin hakları konusunda doğru bir bilgilendirme yapılması gerektiği

sonucuna ulaşmıştır.

Kimleri Nasıl Etkiliyor?

Karar, internet sitesi ve mobil uygulamalarda yer alan çerezler aracılığıyla kişisel veri işleyen veri sorumlularını yakından ilgilendiriyor.

Yaptırım Uygulandı Mı?

Kurul, Kişisel Verilerin Korunması mevzuatına (“KVK Mevzuatı”) aykırılıklar neticesinde ilgili veri sorumlusuna 800.000 TL idari para cezası uyguladı.

Özetle

Çerezler aracılığıyla kişisel veri işleyen veri sorumlularının, söz konusu kişisel verileri KVKK’dan doğan istisnalar kapsamında girmediği hallerde; gerekli aydınlatmaları yaparak ilgili kişilerden açık rıza almaları, internet sitesi ve mobil uygulamalarını da bu kapsamda kullanıcı-dostu bir şekilde güncellemeleri gerekiyor.   

 

2. Kişisel Verileri Koruma Kurulu’ndan Banka Tarafından Telefonla Arama Gerçekleştirilmesi Suretiyle İlgili Kişinin Kişisel Verilerinin Paylaşılmasına İlişkin Karar

Kurul’un Bu Kararı Ne Diyor?

Kurul’un 09/12/2021 tarihli ve 2021/1239 sayılı karar özetinde, ilgili kişi daha önce banka ile akdetmiş olduğu kredi sözleşmesine ilişkin borçların ödenmesi için kendisine ulaşılamadığını ve bu sebeple ailesinin telefonları üzerinden ısrarla arandığını, açık rızası olmaksızın kendisine ait kişisel verilerin paylaşıldığını belirtmiş olup, ilgili kişinin ailesine veri sorumlusu banka tarafından telefon üzerinden arama gerçekleştirilmesi suretiyle kişisel verilerinin paylaşılması konusu ele alınıyor.

Kurul Kararında;

  • Veri sorumlusu tarafından oluşan riskten dolayı yapılan borçlu takibi kapsamında aileye ilişkin bu verilerin müşterilere ulaşılabilmek amacıyla sınırlı olarak Risk Merkezi’ne sorulduğu, ilgili mevzuat ve Kurulun “Risk Merkezinden temin edilen telefon numarası üzerinden yapılan arama ile müşterinin Banka ile münasebetinin yakınları ile paylaşılmasına ilişkin” 05.03.2021 tarihli yazısı doğrultusunda gerçekleştirildiği,
  • Eldeki bilgi ve belgelerden ilgili kişinin borç bilgilerine ilişkin veri sorumlusu tarafından kişisel veri paylaşıldığına yönelik bir tespitte bulunulamadığı,
  • İlgili kişinin talebi üzerine aramalara ilişkin kısa sürede gerekli aksiyon alınarak numaranın engellendiği göz önünde bulundurarak

 

ihlale konu olmadığı ancak veri sorumlusu tarafından gerekli idari ve teknik tedbirlerin alınması gerektiği sonucuna ulaşmıştır.

Kimleri Nasıl Etkiliyor?

Karar, kişisel veri işleyen bankaları yakından ilgilendiriyor.

Yaptırım Uygulandı Mı?

Kurul veri sorumlusu bankaya KVKK kapsamında yapılacak bir işlem bulunmadığını ancak telefon aramalarında daha dikkatli olunması için personelin bilgilendirilmesi hususunda veri sorumlusu bankaya hatırlatmada bulundu..

Özetle

Bankalar, KVK mevzuatını dikkate almak suretiyle bankacılık mevzuatından ileri gelen yükümlülüklerini yerine getirebilecektir.

 

3. Kişisel Verileri Koruma Kurulu’ndan İşveren Tarafından Eski Çalışanı Olan İlgili Kişinin Kurumsal E-Posta Hesabına Aydınlatma Yapılmaksızın Erişildiğine İlişkin Karar

Kurul’un Bu Kararı Ne Diyor?

Kurul’un 25/11/2021 tarihli ve 2021/1187 sayılı karar özetinde, veri sorumlusu işveren tarafından eski çalışanı olan ilgili kişinin kurumsal e-posta hesabına aydınlatma yapılmaksızın erişilmesi konusu ele alınıyor.

Kurul Kararında;

  • Çalışanlara ait e-posta adresinin içerisinde yer alan bütün bilgilerin kişisel veri niteliğinde olduğu,
  • Çalışanlara söz konusu hesabın sadece işin ifası amacı ile kullanılacağına veya işveren tarafından çalışanların e-postalarının incelenebileceğine/denetlenebileceğine ilişkin olarak aydınlatma yapılması gerektiği,
  • Yurt dışına aktarımda KVKK’nın 9. Maddesine uygun olarak veri aktarımının gerçekleştirilmesi gerektiği,
  • İlgili kişinin e-posta yazışmalarını kurumsal e-posta adresi aracılığı ile yapmış olmasında ilgili kişinin verilerini kamuoyuna açıklama gibi bir iradesi bulunmadığı, bir kişinin kişisel verisinin herkesin görebileceği bir yerde olmasının aleni olmasını sağlamayacağı,

sonucuna ulaşmıştır.

Kimleri Nasıl Etkiliyor?

Karar gerçek ve tüzel kişi işverenleri yakından ilgilendiriyor.

Yaptırım Uygulandı Mı?

Kurul, KVK mevzuatına aykırılıklar neticesinde ilgili veri sorumlusuna 250.000 TL idari para cezası uygulanmasına karar verdi.

Özetle

Veri sorumlusu gerçek ve tüzel kişi işverenler, işçi-işveren ilişkisi kapsamında işlenebilecek tüm kişisel veriler hakkında çalışanlarına karşı aydınlatma yükümlülüğünü eksiksiz bir biçimde yerine getirmelidir. İşverenin işçiye yönelik müdahalesi meşru bir amaçla ölçülü ve işçinin temel hak ve özgürlüklerini dikkate alır bir biçimde gerçekleştirilmelidir. Bir kişisel verinin işlenmesinde “alenileştirme” ancak ilgili kişinin bu yönde bir iradesi söz konusu olduğunda geçerli olabilecektir.

 

4. Kişisel Verileri Koruma Kurulu’ndan İlgili Kişinin Kredi Notunun Banka Tarafından Düzeltilmemesine ve Kişisel Verilerinin Üçüncü Kişilerle Paylaşılmasına İlişkin Karar

Kurul’un Bu Kararı Ne Diyor?

Kurul’un 02/11/2021 tarihli ve 2021/1107 sayılı karar özetinde, ilgili kişiye banka tarafından kanuni takip başlatılması ve kredi notunu etkileyen hukuksuz işlemler yapılması ile gerçeğe aykırı olarak finans bilgilerinin üçüncü kişilerle paylaşılması konusu ele alınıyor.

Kurul Kararında,

  • Veri sorumlusunun Bankacılık Kanunu uyarınca Risk Merkezine üye olma zorunluluğunun bulunduğu,
  • Gerek Bankacılık Kanunu gerekse Risk Merkezi Yönetmeliği gereğince veri sorumlusunun Risk Merkezine müşterilerine ait kredi bilgisi, kredi riski vb. bilgileri bildirmesi gerektiği;
  • İlgili kişiye ait hesap kaydı detayları revize edilse de başlangıçta gerçeğe aykırı olarak işlendiğinden ve Risk Merkezine aktarıldığından veri sorumlusunun bu hukuka aykırı işleme faaliyetini önlemek üzere idari ve teknik tedbirleri almadığı,
  • Yanlış işlenen kişisel verilerin Risk Merkezine aktarılması sonucunda ortaya çıkan finansal durumdan ötürü ilgili kişinin mağduriyet yaşadığı ve zarara uğratıldığı

sonucuna ulaşmıştır.

Kimleri Nasıl Etkiliyor?

Karar, kişisel veri işleyen bankaları yakından ilgilendiriyor.

Yaptırım Uygulandı Mı?

Kurul, KVK Mevzuatı’na aykırılıklar neticesinde ilgili veri sorumlusuna 150.000 TL idari para cezası uyguladı.

Özetle

Veri sorumlusu bankalar, sektörlerinde oldukça büyük bir güce sahip olduğundan ve ilgili kişiler hakkında finansal anlamda önemli sonuçlar oluşturan kişisel veriler işlediklerinden, yanlış bildirilen kişisel verilerin ilgili kişilerin mağduriyetine yol açabilmesi ihtimali değerlendirildiğinde KVKK’ya uyum açısından aktif özen yükümlülükleri bulunuyor.