Kişisel Verileri Koruma Kurulu'ndan Önemli Karar Özetleri

Yayınlanma Tarihi: 05 Ağustos 2018



Özet: Kişisel Verileri Koruma Kurulu'nun internet sitesinde, şu ana kadar alınan kararların bir özeti yayımlanmıştır. Söz konusu Özet ile, 6698 sayılı Kişisel Verileri Koruma Kanunu'nun somut uygulamasına ilişkin örnekler ortaya konmuştur.

Bununla birlikte Kişisel Verileri Koruma Kurulu, Kanun'a aykırılık teşkil eden hususlarda ise Kanun'un 18. maddesine dayanarak idari para cezası kesmiştir.

Açıklamalar

  • Gerçek Kişinin Adının Geçtiği Köşe Yazısının Silinmesi Talebi

Kurul, bir gerçek kişinin adının geçtiği bir gazetedeki köşe yazısının, kişinin hala kamuyu ilgilendiren bir konumda olduğu hususunu da dikkate alarak, ifade özgürlüğünün bir yansıması olan basın özgürlüğünün kapsamında olduğunu değerlendirmiş ve  6698 sayılı Kişisel Verilerin Korunması Kanununun 28. maddesinin (1) numaralı fıkrasının (c) bendi uyarınca, ilgili kişinin söz konusu köşe yazısının silinmesine yönelik talebine ilişkin olarak Kurulca yapılacak herhangi bir işlem bulunmadığına karar vermiştir.

  • Özel Nitelikli Kişisel Verilerin Kanuna Aykırı Şekilde İnternet ve Sosyal Medya Mecralarında Paylaşılması

İlgili kişiye ait özel nitelikli kişisel veri olan sağlık raporunun, bir Hastane nezdinde hastaların tedavi sürecinde yer alan hekimler tarafından, veri sorumlusuna ait mobil olarak kullanılan bir uygulamadan alınan ekran görüntüsünün başka bir cihaz tarafından çekilmesi suretiyle internet ve sosyal medya mecralarında paylaşılması ve bu itibarla özel nitelikli bir kişisel verinin sosyal medya aracılığıyla geniş bir kitleye ifşa edilmiş olduğu dikkate alınmış ve Kişisel Verileri Koruma Kurulu, Kanun'un 12. maddesinin (1) numaralı fıkrasının (c) bendi kapsamında kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin edemeyen söz konusu veri sorumlusu hakkında Kanun'un 18. maddesi uyarınca idari para cezası uygulamıştır.

  • İş Başvurusu Sürecinde İşlenen Kişisel Verilerin Hukuka Aykırı Şekilde Paylaşılması

İlgili kişi tarafından, online olarak insan kaynakları hizmeti sunan veri sorumlusuna ait bir platform üzerinden yapılan iş başvurusunun akabinde; veri sorumlusunun, ilgili kişiye ait başvuru bilgisi, ad ve soyadı ile e-posta adresi bilgisini içeren kişisel verileri herhangi bir hukuki sebebe dayanmadan diğer işe başvuranlarla paylaştığı tespit edilmiş ve bu durumun Kanun'un 12. maddesinin (1) numaralı fıkrasına aykırılık teşkil etmesi nedeniyle Kurul, söz konusu veri sorumlusu hakkında Kanun'un 18. maddesi uyarınca idari para cezası uygulamıştır.

Bir şirketler topluluğu bünyesinde yer alan birden çok veri sorumlusu şirketler arasında veri aktarımı gerçekleştirilmesi, üçüncü kişiye veri aktarımı olarak değerlendirilmiiş ve bu itibarla aynı şirketler topluluğu bünyesinde yer alan veri sorumluları arasında gerçekleşecek veri aktarımında da Kanun'un 8. maddesi hükümlerinin esas alınması gerektiği dikkate alınarak, iş başvurusunda bulunan bir adayın açık rızası olmadan kişisel verilerinin bir şirketler topluluğu altında yer alan veri sorumluları arasında aynı veri tabanını kullanmak suretiyle paylaşılmasının Kanun'un 12. maddesinin (1) numaralı fıkrasına aykırılık teşkil etmesi nedeniyle, Kurul anılan Şirket hakkında Kanunun 18. maddesi uyarınca idari para cezası uygulamıştır.

  • Kişisel Veri Güvenliği İhlalinin Geç Bildirimi

Veri sorumlusu tarafından, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi ile gerçekleşen veri ihlalini ilgili kişilere 17 ay, Kurul'a ise 10 aylık gecikmeyle bildirmesinin Kanun'da belirtilen "en kısa süre"yi aşan bir süre olduğu ve bu durumun Kanun'un 12. maddesinin (5) numaralı fıkrası kapsamında veri güvenliği ihlali olarak değerlendirilmesi nedeniyle Kurul tarafından Kanun'un 18. maddesi gereğince ilgili veri sorumlusu hakkında idari yaptırım uygulanmasına karar verilmiştir.

  • Açık Rızanın Hizmet Şartına Bağlanması

Veri sorumlusu tarafından Kanun'un 5. maddesinin (2) numaralı fıkrasının (c) bendi kapsamında sözleşmenin taraflarına ait kişisel veri işlenmesi durumunda ayrıca açık rıza alması ve ayrıca açık rızayı üyeliğin ve hizmetin, dolayısıyla da ilgili sözleşmenin bir koşulu olarak dayatmasının;

  • Diğer kişisel veri işleme şartlarının varlığı durumunda açık rıza alınmasının ilgili kişinin yanıltılması ve yanlış yönlendirilmesi dolayısıyla veri sorumlusunca hakkın kötüye kullanılması anlamına geleceği,

  • Ayrıca hizmetin açık rıza şartına bağlanmış olmasının açık rızayı sakatlayacağı,

dikkate alınmış ve bu durumun Kanun'un 4. maddesinde yer alan hukuka ve dürüstlük kurallarına uygun olma ve işlenme amacı ile bağlı, sınırlı ve ölçülü olma ilkelerine aykırılık teşkil etmesi nedeniyle, Kurul tarafından Kanunun 12. maddenin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kanunun 18. maddesi uyarınca idari yaptırım uygulanmıştır.

  • İşlenme Amacının Gerektirdiğinden Fazla Kişisel Veri İşlenmesi/Aktarılması (Veri Minimizasyonu İlkesine Aykırılık)

Mahkemece veri sorumlusundan ilgili kişi hakkında bazı kişisel verilerin talep edilmesi ve veri sorumlusunun gereğinden fazla kişisel veri aktarımında bulunmasının;

  • Kanun'un 8. maddesinin (2) numaralı fıkrasında atıfta bulunulan Kanun'un 5. maddesinin (2) numaralı fıkrasının (ç) bendinde yer verilen hukuki yükümlülüğün yerine getirilmesi için zorunlu olması kapsamında değerlendirilemeyeceği,

  • Kanunun 4. maddesinin (1) numaralı fıkrasının (ç) bendinde yer alan işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırılık teşkil ettiği,

dikkate alınmış ve Kurul, Kanun'un 12. maddesinin (1) numaralı fıkrası çerçevesinde ilgili kişiye ait kişisel verilerin güvenliğini sağlayamayan veri sorumlusu hakkında Kanun'un 18. maddesi uyarınca idari yaptırım uygulanmasına karar vermiştir.

  • Veri Sorumlusu Tarafından Kanunda Belirlenen Süre İçerisinde İlgili Kişiye Cevap Verilmemesi

İlgili kişinin, veri sorumlusuna, Kanun'un 11. maddesinde sayılan hakları kapsamında başvuruda bulunmasına rağmen veri sorumlusunun süresinde ilgili kişiye cevap vermemesi üzerine, Kurul tarafından, veri sorumlusunun, Kanun'un 15. maddesinin (5) numaralı fıkrası gereğince kararın tebliğinden itibaren 30 gün içerisinde cevap vermesi, aksi takdirde Kanun'un 18. maddesi uyarınca hakkında idari yaptırım uygulanacağı hususunda veri sorumlusunun talimatlandırılmasına karar vermiştir.

  • İlgili Kişinin Kişisel Verilerinin Silinmesi Talebinin Yerine Getirilmemesi

Veri sorumlusunun, halihazırda aktif olmayan müşterisinin kişisel verilerinin silinmesi talebini yerine getirmemesi üzerine, veri sorumlusunun tabi olduğu mevzuat uyarınca işlediği kişisel verileri 10 yıl boyunca muhafaza etmesi zorunluluğu bulunduğundan, Kurul tarafından aktif olmayan müşterilerin kişisel verilerinin, Kanun'un 4. maddesinde yer verilen genel ilkelere uygun olarak saklama amacı dışında işlenmemesi gerektiği yönünde Kurul tarafından veri sorumlusunun talimatlandırılmasına karar verilmiştir.​

  • Kanuna Aykırı Şekilde Kişisel Verilerin Paylaşılması

Veri sorumlusu tarafından, bir şirketin çalışanlarına e-posta yoluyla gönderilen sözleşme örneklerinde veri sorumlusu tarafından, işveren iletişim adresi kısmına şirketin adresinin yazılması gerekirken, Kanun'un 5. maddesinde sayılan kişisel veri işleme şartlarından herhangi birine dayanmaksızın şirket adına sürecin yönetiminden sorumlu kişinin ev adresinin yazılması nedeniyle, Kurul, Kanun'un 12. maddesi kapsamında veri güvenliğini sağlayamayan veri sorumlusu hakkında Kanun'un 18. maddesi uyarınca idari yaptırım uygulanmasına karar vermiştir.

  • Kişisel Veri Güvenliğinin Sağlanması Amacıyla Uygun Güvenlik Düzeyini Temin Etmeye Yönelik Gerekli İdari ve Teknik Tedbirlerin Alınmaması​

Veri sorumlusu tarafından müşterisinin kişisel verilerinin yer aldığı bir belgenin, aynı isme sahip başka bir kişiye gönderilmesinin, veri sorumlusu açısından sistemsel bir açığa işaret ettiği dikkate alınmış ve Kurul tarafından Kanun'un 12. maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğinin sağlanması hususunda gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanun'un 18. maddesi uyarınca idari yaptırım uygulanmıştır.

Veri sorumlusunun bir çalışanının, müşterinin talebi olmamasına rağmen kişisel verilerini, kendisine yetki tanımlaması yapılan sistemler aracılığıyla kişisel amaçları için sorgulaması nedeniyle, Kurul tarafından Kanun'un 12. maddesinin (1) numaralı fıkrası gereğince veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanun'un 18. maddesi uyarınca idari işlem tesis edilmesine karar verilmiştir.​

Kanun Pratiği Gelişiyor

Kurul'un almış olduğu bu kararlar ile Kanun hükümlerinin nasıl yorumlanacağı, Kurul'un karar verirken hangi hususlara dikkat edeceği, kararların hangi konular üzerinde yoğunlaşacağı ve somut olay açısından ihlal değerlendirmesinin neye göre yapılacağı gibi soru işareti yaratan hususlar aydınlanmış ve Kanun'un uygulamasına ilişkin pratik geliştirilmiş oldu.

Ek- Kişisel Verileri Koruma Kurumu Yeni Karar Özetleri

Saygılarımızla,