Sign In
KPMG VERGİ / Yayınlar / Mali Bültenler / MaliBultenDetay

 

​​​​ ​​
2019/32 Kişisel Verileri Koruma Kurulu'nun Yeni Kararları
5.4.2019

Özet: Kişisel Verileri Koruma Kurulu internet sitesinde, aldığı altı kararın özetlerini yayımladı ve 6698 sayılı Kişisel Verileri Koruma Kanunu'nun uygulamasına ilişkin örnekleri ortaya koydu.

Açıklamalar

  • Aydınlatma Yükümlülüğü ve Açık Rıza Onayı Alınması Süreçlerinin Ayrı Ayrı Yerine Getirilmesi Gerekliliği

Kurul, online platformda iş başvurusu alan şirketler topluluğunun kişisel veri işleme süreçlerini re'sen incelemiş, yaptığı incelemede iş başvurusunda bulunmak için platforma üyelik kaydı yapılması gerektiğini, bu üyelik sırasında ise aydınlatma metninin okunduğuna ve kişisel verilerin işlenmesine dair verilen açık rıza verildiğine dair onayın aynı kutucuğun işlenmesi suretiyle alındığını tespit etmiştir. Aydınlatma metni vasıtasıyla kişisel veri işleme faaliyeti ile ilgili bilgi edinen ilgili kişinin söz konusu metinde belirtilenlere açık rıza vermek zorunda olmadığını belirten kurul, "söz konusu uygulamanın 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) amacına ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin 5 inci maddesinin (1) numaralı fıkrasının (f) bendinde yer alan hükme uygun olmadığını" ifade etmiş ve bu süreçlerin ayrıştırılması gerektiğini belirtmiştir.

  • Kimliği Belirsiz Kişi veya Kişilerin Veri Sorumlusu Olarak Kabul Edilemeyeceği

İlgili kişi, görevi nedeniyle imzalamış olduğu evrakın internet ortamında kimliği belirsiz kişi veya kişilerce internet ortamında paylaşılması üzerine Kurul'a başvurmak suretiyle şikayette bulunmuştur. Şikayeti inceleyen Kurul, söz konusu evrakın kimliği belirsiz kişi/kişilerce hukuka aykırı şekilde paylaşıldığını ve bir takım iftira içerikli metinlere yer verildiğini tespit etmekle birlikte "kimliği belirsiz kişi veya kişilerin veri sorumlusu olarak tanımlanamayacağını" ifade etmiş ve söz konusu ihlal hakkında "kişisel verilere ilişkin suçlar bakımından 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümlerinin uygulanacağını" belirtmiştir. Konunun şikayetçi tarafından yargıya intikal ettirilmiş olmasından hareketle Kurumca yapılacak bir işlem olmadığına karar vermiştir.

  • Kurul Kararının Gereğinin Süresinde Yerine Getirilmemesi

İlgili kişi, veri sorumlusuna kayıt sisteminde bulunan kişisel verilerinin silinmesi amacıyla başvurmuş, tatminkar bir cevap alamaması üzerine Kurum'a şikayette bulunmuştur. Kanun'un 15. Maddesinin 5 numaralı fıkrası, "şikâyet üzerine veya re'sen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurulun, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ edeceği, bu kararın da tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirileceğini" hüküm altına almıştır. Kanun'un 18. Maddesi ise kurul kararlarını yerine getirmeyenler hakkında hükmedilebilecek para cezalarını ve uygulanabilecek disiplin işlemlerini düzenlemektedir. İlgili kişi'nin Kurul'a yapmış olduğu başvuru sonucu alınan Kurul kararının veri sorumlusuna 02.07.2018 tarihinde tebliğ edildiği, veri sorumlusunun ise bu kapsamda yapması gereken işlemleri 16.08.2018 tarihinde gerçekleştirdiği tespit edilmiştir. Bu işlemlerin, Kanun'un 15. Maddesinde hüküm altına alındığı üzere en geç kararın tebliğ tarihinden itibaren geçen 30 günlük yasal sürenin son günü olan 01.08.2018 tarihinde gerçekleştirilmiş olması gerektiği belirtilmiştir. Ayrıca 16.08.2019 tarihinde şikayetçiye yapılan bilgilendirmede, veri sorumlusunun talep etmiş olduğu Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 11. Maddesi kapsamındaki işlemler hakkında başvurucuya bir açıklamada bulunulmadığı tespit edilmiştir. Kurul, sayılan nedenlerle; Şirket hakkında Kanun'un 15. Maddesinin 3 numaralı fıkrasında belirtilen idari para cezası verilmesine, Şikâyetçinin, Şirket nezdinde saklanmakta olan verileri ile ilgili olarak Kurul Kararı kapsamında yapılacak iş ve işlemler hakkında bilgilendirilmesi hususunda Şirkete talimat verilmesine karar vermiştir.

  • Tüzel Kişiliğe Ait Verilerin Kanun Kapsamında Olmadığı ve Taleplerin İlgili Kişi Tarafından Yöneltilebileceği

Tüzel kişi, kendisine ait verilerin başka bir tüzel kişiye aktarılması talebi ile Kurum'a başvurmuştur. Kurum başvuruyu incelemiş, Kanun'un"kişisel verileri işlenen gerçek kişiler hakkında uygulanacağı"  belirtmiş  ve tüzel kişilere ait verilerin kanun kapsamında olmadığını ifade etmiştir. Kurum ayrıca, kanunda bulunan kişisel verilerinin işlenip işlenmediğini öğrenme ve işleme hakkında bilgi talep etme haklarının bizzat ilgili kişi veya yasal temsilcisi tarafından kullanılabileceğini belirtmiş ve Şirket ortak ve yetkilisi gerçek kişilere ilişkin verilere erişim sağlanması talebinin Şirket tüzel kişiliği tarafından talep edilmesinin "Kanun'un 11 ve 13 inci maddeleri kapsamında değerlendirilemeyeceğine" karar vermiştir.

  • Kişisel Verilerin Mevzuatta Öngörülen Süre Kadar Muhafaza Edilebileceği

İlgili kişi veri sorumlusu Banka'nın veri kayıt sistemi nezdinde saklanan kişisel verilerinin silinmesi talebi ile söz konusu Banka'ya başvurmuş, talebinin veri sorumlusu tarafından reddedilmesi üzerine konu hakkında Kurum'a başvurmuştur. Kurum başvuru hakkındaki değerlendirmesinde Kanun'un 4. Maddesinin kişisel verilerin işlenmesi hususunda esasları ortaya koyduğunu; buna göre kişisel verilerin"İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza" edileceğini ifade etmiştir. Ayrıca, Verinin işlenmesini gerektiren sebeplerin ortadan kalkması halinde veri sorumlusunun verileri silme, yok etme veya anonim hâle getirmekle yükümlü olduğunu belirtmiştir. Başvuruya konu talebin incelenmesi sonucunda Banka'nın Bankacılık Kanunu ve Bankaların Muhasebe Uygulamalarına ve Belgelerin Saklanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik uyarınca söz konusu kişisel verileri 10 yıl süreyle saklama yükümlülüğü olduğunu tespit etmiş ve şikayetçinin talebine yönelik yapılacak herhangi bir işlem bulunmadığına karar vermiştir. ​

  • Yargı Mercilerinin Görev Alanına Giren Konularla İlgili Kuruma Başvuru Yapılması

İlgili kişi, kişisel verilerinin ve özel nitelikli kişisel verilerinin internet ortamında paylaşılması üzerinde Kurum'a başvurda bulunmuştur. Kurum yapılan başvruyu Kanun'un 15. Maddesinin 1 ve 2 numaralı fıkraları ışığında değerlendirmeye almıştır. Bu değerlendirmede Kurul'un şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapacağı ifade edilmiştir. Kurul aynı zamanda söz konusu maddenin 2 numaralı fıkrasında belirtildiği üzere "1/11/1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesinde belirtilen şartları taşımayan ihbar veya şikâyetler incelemeye alınmayacağını" ifade etmiş ve

"a) Belli bir konuyu ihtiva etmeyen,

b) Yargı mercilerinin görevine giren konularla ilgili olan,

c) 4 üncü maddede gösterilen şartlardan (dilekçe sahibinin adı soyadı ve imzası ile iş veya ikametgâh adresi) herhangi birini taşımayan"  ihbar ve şikayetlerin incelemeye alınma şartlarını taşımadığını belirtmiştir. Başvuru konusu paylaşımlar hakkında yapılan şikayetin kişisel verilere ilişkin suçlar kapsamında değerlendirileceğini ve Türk Ceza Kanunu'nun 135 ila 140 ıncı madde hükümlerinin konusunu teşkil edeceğini tespit etmiştir. Bundan hareketle, kendisine yapılan başvurunun yargı mercilerinin görevine giren konularla ilgili olması nedeniyle Kanun kapsamında değerlendirilemeyeceğine karar vermiştir.

Ek- Kişisel Verileri Koruma Kurulu'nun Yeni Yayımlanan Karar Özetleri

Bülteni PDF olarak indirmek için tıklayınız​. ​

Saygılarımızla,