Haberler

KVKK Karar Özetleri - Nisan

Bir şirket sahibinin, çalışanının Whatsapp yazışmalarını hukuka aykırı olarak elde etmesi hakkında 16.05.2019 Tarihli ve 2019/138 Sayılı Karar Özeti:

İlgili kişinin rızası dışında kendisine ait Whatsapp yazışmalarının çalıştığı şirketin sahibi tarafından hukuka aykırı olarak elde edilmesi ve üçüncü kişilerle paylaşılmasına ilişkin şikâyeti üzerine Kurul, söz konusu fiillerin KVKK kapsamında olmayıp Türk Ceza Kanunun ilgili hükümleri kapsamında değerlendirilmesi gerektiğine karar vermiştir.

Veri Sorumlusunun, web sitesinde kişisel verilerin işlenmesini hizmet şartı olarak talep ettiği ve aydınlatma yükümlülüğünü usulüne uygun yerine getirmediği iddiaları hakkında 08.07.2019 Tarihli ve 2019/206 Sayılı Karar Özeti

Web sitesi bünyesinde farklı hizmet sağlayıcıları tarafından sunulan çeşitli hizmetlerin, indirimli fiyatlar üzerinden üyeler tarafından satın alınmasını sağlayan bir aracı firma/hizmet sağlayıcı rolü üstlenen Veri Sorumlusu tarafından web sitesine üyelik için e-posta adresinin paylaşılmasının zorunlu tutulması; üye olmadan da ilgili ürün ve hizmetlerin satın alınması ihtimalini ortadan kaldırılmadığından, açık rızanın özgür irade ile açıklanmış olması kuralına aykırılıktan ziyade üyelere artı avantaj sağlanması olarak tespit edilmiş olup bu konuda tesis edilmesi gereken herhangi bir işlem bulunmadığına; web sitesinde yer alan “Gizlilik ve KVK Politikamız” başlıklı metinde “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ”e aykırı şekilde üyelerin kişisel verilerinin hangi hukuki sebeple işlendiğinin açık olmaması ve yanıltıcı ifadelerin yer alması sebebiyle; söz konusu metnin Tebliğe uygun şekilde güncellenmesine, ayrıca aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiği yönünde Veri Sorumlusunun talimatlandırılmasına karar verilmiştir. 

Ölü kişilerin verilerine yakınlarının erişim talebi hakkında 18.09.2019 Tarihli ve 2019/273 Sayılı Karar Özeti: 

İlgili kişinin vefat eden eşinin tedavi görmüş olduğu klinikten tüm medikal ve diğer bilgilerinin paylaşılmasına ilişkin talebinin reddi üzerine Kuruma yapmış olduğu verilere erişim talebine ilişkin başvurusunda, TMK m. 28 uyarınca kişiliğin ölümle sona ermesi ve KVKK m. 11 uyarınca ilgili kişinin kendisi ile ilgili kişisel veriler hakkında bilgi talep edebilmesi hukuki dayanaklarıyla KVKK kapsamında yapılacak bir işlemin bulunmadığına karar verilmiştir. 

Veri Sorumlusu tarafından ilgili kişiye gönderilen reklam amaçlı SMS’ler hakkında 01.10.2019 Tarihli ve 2019/297 Sayılı Karar Özeti: 

İlgili kişinin otomativ sanayi sektöründe faaliyet gösteren Veri Sorumlusu tarafından kendisine reklam içerikli SMS göndermesi ve kişisel verilerinin açık rızası olmaksızın işlendiğini düşünmesi sebebiyle yapmış olduğu başvuruya Veri Sorumlusunun cevabını yeterli bulmaması sebebiyle Kuruma yapmış olduğu şikâyetinde, Veri Sorumlusundan kullanım kılavuzu talep etmesi ve bu talebiyle beraber şahsıyla e-posta, SMS ve telefon ile iletişime geçilmesine “Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik”in geçici 1/2 maddesi uyarınca izin vermesi, ayrıca ilgili kişinin 2013 yılında Veri Sorumlusundan yedek parça ve servis hizmeti satın almasına binaen verilerin işlendiğinin beyan edilmesi ve başvuru sahibince aksinin iddia edilmemesi sebebiyle, bahsi geçen satın alma işleminin Kanunun yürürlüğe girmesinden önce gerçekleştiği anlaşıldığından KVKK geçici 1/3 maddesi uyarınca, bugün ilgili kişiye gönderilen reklam içerikli SMS’lerin KVKK’ya aykırılık teşkil etmediğine karar verilmiştir. 

Telekomünikasyon sektöründe faaliyet gösteren Veri Sorumlusu tarafından şikâyetçiye, ad ve soyadı benzerliği olan başka bir abonesinin fatura bilgilerinin e-posta yoluyla iletilmesi hakkında 07.11.2019 Tarihli ve 2019/333 Sayılı Karar Özeti:

Telekomünikasyon sektöründe faaliyet gösteren Veri Sorumlusunun ilgili kişiye, adı ve soyadı benzerliği olan başka bir abonesinin fatura bilgilerini e-posta yoluyla iletmesi ile KVKK’nın veri güvenliğine ilişkin yükümlülüklerini ihlal edildiği kanaatine varılmış; Veri Sorumlusuna KVKK’nın 18. maddesi kapsamında idari para cezası verilmesine ve bununla birlikte “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ”in hükümlerine uyum konusunda azami dikkat ve özenin gösterilmesi ve bu karar çerçevesinde abonelerin kişisel verilerinin güvenliğine ilişkin gerekli tüm idari ve teknik tedbirlerin alınması hususunda Veri Sorumlusunun talimatlandırılmasına karar verilmiştir.

İlgili kişinin dergi aboneliği işlemleri ile ilgili bir çağrı merkezine vermiş olduğu telefon numarasının, anılan çağrı merkezi tarafından bir gıda şirketinin reklamının yapılması amacıyla aranması hakkında 16.01.2020 Tarihli ve 2020/34 Sayılı Karar Özeti: 

İlgili kişinin dergi aboneliği işlemleri ile ilgili bir çağrı merkezine vermiş olduğu telefon numarasının, çağrı merkezi tarafından bir gıda şirketinin reklamının yapılması amacıyla aranması hususunda Veri Sorumlusu tarafından aramanın hata sonucu gerçekleştiği savunması yapılmışsa da Kanunun Geçiş Hükümlerine ilişkin Geçici 1/3’te yer alan “Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilir” hükmü kapsamında sözleşmenin 2015 yılında bitmesinin ardından söz konusu verilerin işlenme amaçları ortadan kalktığından verilerin silinmesi gerektiği, verinin Veri Sorumlusu tarafından farklı amaçlarla işlenmesinin sürdürmesi amaçlanıyor ise ilgili kişinin işlenme amaçlarına ilişkin açık rızasının alınması gerektiği ancak bu işlemlerin gerçekleştirilmediğinin anlaşıldığı, sistemin numarayı bir hata sonucu aradığı beyan edilse de ilgili kişinin numarasının aranmasının silinme işleminin gerektiği gibi gerçekleştirilmediğinin göstergesi olduğu ve bu kapsamda Veri Sorumlusunun Kanunun 12/1-a bendine yer alan “kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” hükmüne aykırı davrandığı değerlendirilerek hakkında Kanunun 18/1-b kapsamında idari para cezası uygulanmasına karar verilmiştir. 

İlgili kişinin kişisel verilerinin hukuka aykırı işlendiği iddiası kapsamında Veri Sorumlusu bankadan talep ettiği tazminat talebinin karşılanmaması hakkında 16.01.2020 Tarihli ve 2020/41 Sayılı Karar Özeti:

Bankaya olan kredi borcu sebebiyle hakkında yasal takip başlatılan ilgili kişi, sigortalı olarak bir işe girmesi ve sigortası başlar başlamaz cep telefonundan arandığında cevap vermesine rağmen Bankanın iş yerini aradığı ve aile bilgilerinin sorgulandığı, ödeme yapıp yapmayacağının işyeri sekreterine defaten sorulduğu, aramalardan sonra aynı yıl içinde iş akdinin firma tarafından sonlandırıldığı belirtilerek konuyla ilgili Bankaya mail yoluyla başvurduğunu ve 100.000 TL maddi manevi tazminat isteminde bulunduğunu belirtilmiş ve  gereğinin yapılması talebiyle Kuruma yapmış olduğu başvuruda, başvurunun ilgili kişinin haklarının düzenlendiği KVKK’nun 11. Maddesi kapsamında bir talep içermediği; KVKK madde 14’te belirtildiği üzere kişilik haklarının ihlali sebebiyle tazminat talebini genel mahkemeler huzurunda kullanması gerektiği hususlarını göz önünde bulundurarak KVKK kapsamında yapılacak bir işlemin bulunmadığına karar verilmiştir. 

İlgili kişiye ait verilerin Veri Sorumlusu bir banka tarafından rızası olmaksızın babası ile paylaşılması karşısında kişinin Bankadan tazminat talep etmesi hakkında 16.01.2020 Tarihli ve 2020/43 Sayılı Karar Özeti: 

Kredi risk bilgileri Banka tarafından rızası olmaksızın babası ile paylaşılan ilgili kişinin manevi zarara uğradığını ileri sürerek zararının tazmini için bankaya başvurusunun 30 gün içinde cevaplanmaması üzerine Kuruma yapmış olduğu başvurusunda; kişisel verilerin aynı evde ikamet eden birinci derecede akrabalar dahil üçüncü kişiler ile paylaşılmasının Veri Sorumlusu bankanın savunduğu üzere kanunlarda açıkça öngörülme hukuki sebebine dayandırılamayacağı, bu durumun KVKK madde 12’de belirtilen veri güvenliğine ilişkin yükümlülüklere aykırılık teşkil etmesi sebebiyle Veri Sorumlusuna KVKK madde 18 kapsamında idari para cezası verilmesine; KVKK madde 14’te belirtildiği üzere, manevi tazminat talebinin genel mahkemeler huzurunda kullanılması gerektiğine; Veri Sorumlusu tarafından müşteri bilgilerinin üçüncü kişiler ile paylaşılmasının Bankacılık Kanunu ve Türk Ceza Kanunu kapsamında cezai sorumluluk doğurabileceğinden konunun Bankacılık Düzenleme ve Denetleme Kurumuna intikal ettirilmesine karar verilmiştir. 

Bir Sigorta Acentesinin müşterilerine ait kişisel verileri herkese açık sosyal medya platformlarında müşterilerinden habersiz olarak ve reklam amacıyla paylaşması hakkında 27.01.2020 Tarihli ve 2020/58 Sayılı Karar Özeti: 

Bir Sigorta Acentesinin müşterilerine ait kişisel verileri herkese açık sosyal medya platformlarında müşterilerinden habersiz olarak reklam amacıyla paylaşmasına ilişkin olarak Kurul tarafından, KVKK madde 12’de belirtilen veri güvenliğine ilişkin yükümlülüklere aykırılık teşkil etmesi sebebiyle Veri Sorumlusuna KVKK madde 18 kapsamında idari para cezası verilmesine karar verilmiştir. 

Ulaşım hizmeti sunan bir mobil uygulama kapsamında işlenen kişisel veriler hakkında 27.01.2020 tarih ve 2020/65 sayılı Karar Özeti: 

İlgili kişinin, ulaşım hizmeti sunan bir platform vasıtasıyla yaptığı yolculukların şoförler tarafından puanlandığını öğrenmesi, kendi yolculuklarına ait bu puanlara kendisi tarafından erişilememesi ve bu tip bir puanlama yapılacağı hususunda Veri Sorumlusunun aydınlatma metninde herhangi bir bilginin yer almaması neticesinde Veri Sorumlusuna yapmış olduğu başvurunun cevapsız kalması üzerine Kurula yapılan başvuruda, Veri Sorumlusunun KVKK kapsamında yöneltilen başvuruları gerek KVKK gerek de Veri Sorumlusu tarafından duyurulan koşullara uygun olarak cevaplaması konusunda talimatlandırılmasına; müşterilerin yaptığı yolculukların puanlanarak müşterilerin kişisel verilerinin toplanmasına dayanan veri işleme faaliyetinin sözleşmenin ifasına ilişkin ana kurucu öğe veya sözleşmenin ifasıyla doğrudan ilgisi olmaması sebebiyle KVKK madde 5/2 kapsamında değerlendirilemeyeceğinden KVKK m. 12’ye aykırılık sebebiyle Veri Sorumlusu hakkında KVKK madde 18 kapsamında idari para cezası uygulanmasına; ayrıca aydınlatma metninin söz konusu veri işleme faaliyeti gözetilerek güncellenmesine ve güncellenen metnin 30 gün içinde Kuruma sunulmasına karar verilmiştir. 

İlgili kişiye rızası bulunmamasına rağmen bir gayrimenkul şirketi tarafından SMS aracılığıyla gönderilen reklam ve bildirimler hakkında 27.01.2020 tarih ve 2020/67 sayılı Karar Özeti: 

İlgili kişiye rızası bulunmamasına rağmen bir gayrimenkul şirketi tarafından SMS aracılığıyla gönderilen reklam ve bildirimlere ilişkin olarak Kurul, ilgili kişiye ait kişisel veriler her ne kadar Veri Sorumlusu tarafından herkese açık bilgi kaynaklarından elde edilmiş olsa dahi, alenileştirmenin gerçekleştirilebilmesi için alenileştirme iradesinin ne olduğuna bakılması gerektiği, zira bir kişinin kişisel verisinin herkesin görebileceği bir yerde olmasının aleni olmasını sağlamayacağı, alenileştirme durumunda kişisel verinin alenileştirme amacı kapsamında kullanılması gerektiği, somut olayda, alenileştirme bulunuyor olsa dahi ilgili kişinin reklam faaliyetleriyle ilgili kendisiyle iletişim kurulması amacıyla söz konusu kişisel verileri alenileştirmemiş ise gerçekleştirilecek olan kişisel veri işleme faaliyetinin hukuka aykırı olacağına; işlenen kişisel verilere ilişkin ilgili kişinin açık rızasının alınmaması ve açık rızanın aranmadığı diğer hallerin de bulunmaması sebebiyle Veri Sorumlusuna KVKK madde 18 uyarınca idari para cezası uygulanmasına karar verilmiştir. 

Bir uçak bileti satış firması olan Veri Sorumlusu hakkındaki şikâyetle ilgili 06.02.2020 Tarihli ve 2020/86 Sayılı Karar Özeti: 

İlgili kişi, sistemde kayıtlı olmayan bir e-posta adresinden uçak bileti satış firmasının internet sayfasındaki üyelik bilgilerinden e-posta adresi bilgisinin değiştirilmesini talep etmiş; ancak Veri Sorumlusu firma tarafından üyelik e-posta adresleri üzerinde değişiklik yapılamayacağı, kullanılmak istenen e-posta adresi ile yeni bir üyelik oluşturulabileceği gerekçesiyle bu talebin reddedilmesi üzerine Kurul’a yapılan şikâyette, ilgili kişinin başvurusunun sistemde kayıtlı olmayan bir e-posta adresinden gönderilmesinin “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ”ine uygun olmaması nedeniyle kişinin kimliğinin tanımlanamadığı kanaatiyle ilgili kişinin talebini reddeden Veri Sorumlusunun bu eylemine ilişkin KVKK kapsamında yapılacak bir işlem bulunmadığına; ancak Veri Sorumlusunun e-posta adresi değişikliği başvurusunun reddedilme sebebine dair Kurula ve ilgili kişiye yaptığı açıklamaların örtüşmemesi sebebiyle Veri Sorumlusunun Tebliğ kapsamında ilgili kişiler tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri alması hususunda talimatlandırılmasına karar verilmiştir. 

İlgili kişinin Veri Sorumlusunun KEP adresine, sistemde kayıtlı e-posta adresi ile mail göndererek üyelik e-posta adresi değişikliği talebinde bulunmasına rağmen Veri Sorumlusunun 30 gün içerisinde cevap vermemesine ilişkin ikinci şikâyetinde Kurul, Veri Sorumlusu tarafından ilgili kişinin başvurularına cevap verilmemesi ya da cevabının yetersiz bulunması halinde ilgili kişiye Kurula şikâyet hakkı tanınmışsa da sadece başvuruya cevap verilmemesi sebebiyle Veri Sorumlusuna uygulanabilecek bir idari yaptırım türüne Kanunda yer verilmediğine; ilk şikâyet üzerine Veri Sorumlusuna yapılan mevzuat kapsamında ilgili kişiler tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri alması hususundaki talimatlara uygun davranılmadığı gerekçesiyle Veri Sorumlusu hakkında KVKK m. 18/1-c uyarınca idari para cezası verilmesine karar vermiştir. 

Bir Bankanın Potansiyel Müşteri Kazanımı Amacıyla İlgili Kişinin Kişisel Verilerini Hukuka Aykırı Şekilde İşleyerek Hesap Açmasına İlişkin Olarak Kurula Yapılan Başvuru Hakkında 06.02.2020 Tarihli ve 2020/103 Sayılı Karar Özeti: 

Bankanın potansiyel müşteri kazanımı amacıyla ilgili kişinin bilgilerine üçüncü bir taraftan temin edilen liste vasıtasıyla ulaşıp Temel Bankacılık Hizmet Sözleşmesi imzalanmadığından aktif hale getirilmese dahi ilgili kişi hakkında müşteri numarası oluşturmasına ilişkin olarak Kurul, müşteri numarası Kanunun yürürlüğe girmesinden önce oluşturulmuş olsa dahi kişisel verilerin, Kanunun yürürlüğe girmesinden sonra da Veri Sorumlusu nezdinde tutulduğu anlaşıldığından; veri işleme faaliyetinin Kanunun 5. maddesi uyarınca açık rıza veya açık rıza gerektirmeyen hallerden biri mevcut olmaksızın gerçekleştirilmesi ve Kanunun geçici 1/3’e aykırı şekilde ilgili kişiye ait kişisel verilerin derhal silinmediği, yok edilmediği veya anonim hale getirilmediği, bu nedenle Veri Sorumlusunun Kanunun 4. maddesindeki genel ilkelere de aykırı bir şekilde ilgili kişinin kişisel verileri olan kimlik ve adres bilgilerini işlediği hususları dikkate alınarak; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli idari ve teknik tedbirlerin alınması yükümlülüğüne aykırı hareket ettiği kanaatiyle idari para cezası verilmesine karar verilmiştir.

Paylaş: