English
Türkçe

Haberler

KVKK Karar Özetleri - Mayıs

04 Haziran, 2020

Spor salonu hizmeti sunan veri sorumlusunun, üyelerinin giriş-çıkış kontrolünü biyometrik veri işleyerek yapması hakkında 27.02.2020 Tarihli ve 2020/167 Sayılı Karar Özeti:

Spor salonu hizmeti sunan Veri Sorumlusu Şirketin, üyelerinin giriş-çıkış kontrolünde el okutma sistemine geçilmesi gibi biyometrik verileri içeren bazı özel nitelikli Kişisel Verileri işlemesi ve bu bilgilerin güvenli şekilde muhafaza edildiğinden şüphe duyulması üzerine ilgili kişilerce Kuruma intikal ettirilen şikâyetin incelenmesi neticesinde; 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 6. maddesi, Avrupa Genel Veri Koruma Tüzüğünde (GDPR) yer alan biyometrik veri tanımı, GDPR Recital bölümünün 51. maddesinde yer alan biyometrik verilere ilişkin açıklamalar ve Danıştay 15. Dairesi’nin 2014/4562 Esas sayılı kararı dayanak gösterilerek, dileyen üyelerin kart göstermek suretiyle tesisten faydalanmaları şeklinde bir seçimlik hak sunulsa dahi avuç içi tarama sisteminin biyometrik veri tanımını karşıladığı ve bu sistem suretiyle kişilerin kimlik doğrulamasının yapılması hususunda Veri Sorumlusunun özel nitelikli Kişisel Veri niteliğindeki biyometrik veri işleme faaliyetinde bulunduğunu değerlendirilmiştir.

Avuç içi tarama sisteminin yanı sıra seçimlik hak sunulsa dahi biyometrik veri içeren bir sistemin tesis giriş ve çıkışlarında kullanılmasının Kanun’un 4/2-ç bendinde yer alan kişişel verilerin işlenmesinde ölçülülük ilkesine aykırı olduğu ve söz konusu uygulamanın Kanun’un 12/1-a bendine aykırılık teşkil ettiği sonucuna varıldığından, Veri Sorumlusu hakkında 225.000 TL idari para cezası uygulanmasına, bugüne kadar işlenen biyometrik verilerin ivedilikle yok edilmesi, ilgili verilerin üçüncü kişilere aktarılması söz konusu ise yok etmeye yönelik işlemlerin bu verilerin aktarıldığı üçüncü kişilere ivedilikle bildirilmesinin sağlanması ve biyometrik veri ile giriş çıkış işlemleri yapılmasının ve biyometrik veri işlemenin durdurulması hususunda Veri Sorumlusunun talimatlandırılmasına karar verilmiştir.

Amazon Turkey Perakende Hizmetleri Limited Şirketi hakkındaki başvuru hakkında 27.02.2020 Tarihli ve 2020/173 Sayılı Karar Özeti:

Amazon Türkiye Perakende Hizmetleri Ltd. Şti. (Amazon Türkiye) hakkında Kurul’a yapılan başvuruya istinaden Kurul’un re’sen yürüttüğü inceleme neticesinde, Amazon Türkiye’ye toplam 1.200.000 TL tutarındaki idari para cezası uygulanmasına karar verilmiştir. Söz konusu karar, Kurul tarafından KVKK mevzuatında yer alan önemli ilkelerin ele alınması ve şimdiye kadar Kurul tarafından verilen en büyük cezalardan birini içermesi bakımından oldukça önemli bir karardır.

Kurul’un Amazon Türkiye aleyhine verdiği kararda vurgulanan ilkeler şunlardır:

  • Ticari elektronik iletilere ilişkin ayrı bir mevzuat bulunmakla birlikte bu mesajların iletilmesi için kullanılan iletişim kanallarının Kişisel Veri niteliğinde olması nedeniyle ticari elektronik ileti gönderilmesi süreçleri aynı zamanda KVKK mevzuatına da uygun olmalıdır.
  • Açık rıza beyanlarında, “opt-out” yani bireyin önceden onayını almaksızın Kişisel Verilerinin işlenmesine otomatik onay verdiklerinin kabul edildiği ve kişilere bu onayı kaldırmaları yönünde imkân veren bir sistem değil, “opt-in” yani bireyin bilinçli eylemi ile Kişisel Verilerinin işlenmesine onay vereceği bir sistem kullanılmalıdır.
  • Aydınlatma yükümlülüğü ve açık rızanın alınması işlemleri ayrı ayrı yerine getirilmelidir. “Gizlilik Bildirimi” nin aydınlatma yapılırken aynı zamanda kişilerden açık rıza alınması yoluna gidildiği izlenimini yaratması, birçok bilgi içermesi, veri işlemeye ilişkin genel bir bilgilendirme olması, Kişisel Verilerin işlenmesine ilişkin ilgili kişilere aydınlatma yapıldığı ve açık rıza alındığı anlamına gelmez.
  • Kişisel Veri işleme şartlarının varlığı durumunda ayrıca açık rıza alınmasının ilgili kişileri yanıltması ve yanlış yönlendirmesi dolayısıyla Veri Sorumlusunca hakkın kötüye kullanılması anlamına geleceği ve hizmetin açık rıza şartına bağlanmasının açık rızayı sakatlayacağı dikkate alınarak, bu durum Kanunun genel prensiplerinden “hukuka ve dürüstlük kuralına uygunluk” ve “işleme amacı ile bağlılık, sınırlılık ve ölçülülük” ilkelerine aykırılık teşkil etmektedir.
  • Satın alımların gönderildiği kişiler, ilgili kişinin arkadaşları ve diğer kişilerin e-posta adresleri gibi sözleşmenin tarafı olmayan 3. kişilerin Kişisel Verileri bu kişilerin açık rızasına dayanarak işlenebilir.
  • Online alışveriş için “kredi geçmişi bilgileri, duruma ilişkin bilgiler, kurumsal ve finansal bilgiler” in işlenmesi, “verilerin işlendikleri amaç ile bağlantılı, sınırlı ve ölçülü olma ilkelerine” aykırılık teşkil etmektedir. İşlenen veriler, ilgili kişiler tarafından en azından öngörülebilir olmalıdır.
  • Kişisel Verilerin 3. kişilere aktarılması faaliyetinde açık rızanın en geç aktarma faaliyeti gerçekleştiği sırada alınması gerektiğinden, aktarım faaliyetinin gerçekleşmesinden sonra rızanın geri alınabileceğinin söylenmesi Kanuna uygun bir açık rıza olarak kabul edilemez.
  • Kişisel Veriler, ilgili kişinin açık rızası olmaksızın yurtdışına aktarılamayacağından zımni irade beyanı ile rıza alınması Kanuna uygun değildir. Ayrıca “battaniye rızalar“ yani belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki açık rızalar hukuken geçersizdir.
  • Web sitesi girişinde farklı veri işleme araçlarıyla Kişisel Verilerin işlenmeye başlanması için aydınlatmanın web sitesine giriş aşamasında yapılması gerekmektedir. Bu amaçla farklı araçlarla (örn. çerezler) Kişisel Verilerin işlendiğine dair bir bilgilendirme sunulmalı (örn. pop-up mesajlar) ve yapılan işleme için izin verilmesine dair bir istemde bulunulmalıdır (örn. Sitemizde gezinmeye devam etmek için çerez bildirimimize onay vermelisiniz).

Kurul tarafından bu ilkeler gözönünde bulundurularak; Kanun’un 12/1 hükmüne aykırılık sebebiyle 1.100.000 TL, Kanun’un 10. maddesine aykırılık sebebiyle 100.000 TL idari para cezasına, Veri sorumlusunun yukarıda tespit edilen ihlaller göz önünde bulundurularak Kişisel Veri işleme süreçlerini ve bununla uyumlu şekilde “Gizlilik Bildirimi”, “Kullanım ve Satış Şartları” ve “Çerez Bildirimi” metinlerini güncelleyerek web sitesini ve uygulamalarını Kanuna uygun hale getirerek sonucundan Kurula bilgi vermesi yönünde talimatlandırılmasına ve söz konusu Kararın Kurumun internet sayfasında yayımlanmasına karar verilmiştir.

Bir internet servis sağlayıcısının veri ihlal bildirimi hakkında 12.03.2020 tarih ve 2020/213 sayılı Karar Özeti:

Veri sorumlusunun Kurul’a intikal eden veri ihlal bildiriminde; Şirketin müşterilerinin giriş yapabildikleri bir Online İşlem Merkezinde fatura ödeme sisteminde ödeme yapılamadığı ve sorunun Şirkete müşteriler tarafından bildirildiği, sorun giderilmek üzere çalışma yapılırken ortaya çıkan bir güvenlik açığı sebebiyle müşterilerin kredi kartı bilgilerinin üçüncü taraflarca görüntülendiği ifade edilmiştir.

Söz konusu bildirimin incelenmesi neticesinde Kurul tarafından; uygulamada yapılan değişikliklerin canlıya (gerçek/çalışır ortam) alma süreçleri ile ilgili prosedürlerin uygulanmamasının teknik ve idari tedbir eksikliği olduğu, test süreçlerinin yetersizliği Veri Sorumlusunun kendisi tarafından belirtilmiş olup bu durumun uygulama güvenliği açısından Veri Sorumlusunun gerekli teknik ve idari tedbirleri almadığının göstergesi olduğu ve müşterilere ait kimlik ve finans verilerinin yapılan hata sonucunda görüntülenebilmesinin teknik bir eksiklik olduğu dikkate alınarak Kanun’un 12/1 hükmü çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan Şirket hakkında 300.000 TL idari para cezasının uygulanmasına karar verilmiştir.

Paylaş: