Özet: Kişisel Verileri Koruma Kurulu internet sitesinde, aldığı dört kararın özetlerini yayımladı ve 6698 sayılı Kişisel Verileri Koruma Kanunu'nun uygulamasına ilişkin örnekleri ortaya koydu.

Açıklamalar

Veri sorumlusunun ilgili kişinin başvurusunu cevapsız bırakması ve aydınlatma metninin mevzuatta düzenlenen şartları taşımaması

İlgili Kişi, Veri Sorumlusu olan bir bankaya ("Banka") Kişisel Verilerin Korunması Kanunu ("Kanun") 'nun 11. maddesinde belirtilmiş olan hakları kapsamında başvuruda bulunmuş, otuz günlük kanuni cevap süresi içinde başvurusuna cevap alamamıştır. İlgili Kişi bunun üzerine başvurusuna cevap alamadığı ve veri sorumlusunun internet sitesinde yayımladığı aydınlatma metninin mevzuatta düzenlenen şartları taşımadığı gerekçesiyle Kurum'a şikayette bulunmuştur. Şikayet üzerinde Kurum tarafından bankaya açıklama talep eden yazı gönderilmiş, Banka tarafından bu yazıya da cevap verilmemiştir.

Kurul, Kurum tarafından gönderilen yazıya cevap vermeyen Banka hakkında;

• İhlale neden olan sorumlular ve tedbir denetimleri yapmakla yükümlü bulunanlar bakımından disiplin hükümlerine göre işlem yapılmasına,
  
  
• İlgili kişinin talebine cevap verilmesi ve Banka'ya mevzuat hükümlerinin gereklerinin yerine getirilmesine özen gösterilmesi yönünde talimat verilmesine karar vermiştir.
  
  

Kurul ayrıca,

• Banka'nın internet sitesinde yayımlanan aydınlatma metninde, kişisel veri işlemenin hukuki sebebini açıkça belirtmediği, metinde yer alan " […] gibi amaçlar kapsamında işlenmektedir" ibaresinin kişisel verinin metinde geçen amaçlar dışında da işlenebileceği fikrini uyandırması sebebiyle, aydınlatma metninin Kanun ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ ("Tebliğ") 'e uygun şekilde hazırlanmamış olduğunu tespit etmiş, metnin gözden geçirilerek, Tebliğ hükümlerine uygun hale getirilmesine karar vermiştir.
  
  

​Bir market zincirinin sadakat kart uygulamasına ilişkin ihbar ve şikayetler hakkında

Kurul kararında incelenen başvuruda, ilgili kişiler, bir market zincirinin ("Şirket") veri işlemeye ilişkin rızayı sadakat kartının kullanımına yönelik şart olarak sunmasının "açık rızanın bir ürün veya hizmetin sunulmasına ilişkin koşul olarak ileri sürülmesini" teşkil ettiğinden bahisle şikayette bulunmuşlardır. Bunun yanında, müşterilerden açık rıza alınması esnasında "Veri İzni Alma Uygulaması"  adı altında 0,01 TL ücret alındığı yönünde ihbarlarda bulunulmuştur. Ayrıca market zincirinin internet sitesinde sadakat kartına ilişkin yayımladığı "…. Kart Üyelik ve Rıza Beyanı"  başlıklı metinde, işlenen veriler ve veri işleme ve aktarım amaçlarına ilişkin çok geniş ifadelere yer verildiği hakkında şikayetler iletilmiştir. Yapılan incelemeler sonucunda Kurul;

• Sadakat Kart Programına üye olunmasının, yalnızca kişiye özel fırsatlar bakımından bir ön koşul olduğu ve üye olmamanın,  müşterinin market zinciri tarafından sunulan alışveriş ortamından faydalanılması yönünde bir engel teşkil etmediği, şirket tarafından ürün veya hizmetlerin sunulmasının açık rıza şartına bağlanmadığı nedenleriyle yapılacak bir işlem bulunmadığına karar vermiştir.
  
  

Kurul, yapılan şikayetlerle ilgili veri sorumlusu şirketin savunmasını almış, söz konusu savunma ışığında;

• 07.04.2018 tarihine kadar çeşitli kanallardan müşterilerden toplanan açık rıza beyanlarının "Şirket tarafından hukuka uygun olmayan bir şekilde elde edilen kişisel verilere hukuki meşruiyet kazandırılması için ilgili kişilerden açık rıza alınması amacı taşımadığı" gerekçesini dikkate almış, bu beyanların rızalara ilişkin eksiklik ve tahrifatların giderilmesi amacını taşıdığına hükmedip yapılacak bir işlem bulunmadığına karar vermiştir.
  
  
• Öte yandan Şirket'in kişisel verilerin sosyal paylaşım sitelerinde kullanılmasına yönelik, verilerin paylaşılmadan önce anonim hale getirildiğine ilişkin savunmasını yerinde bulmamış, kanunda açıklanan şekli ile "anonim hale getirme" işleminin kişiye özel pazarlama hizmetiyle bağdaşmadığından yola çıkarak anonimleştirmenin kanuna uygun şekilde gerçekleştirilmesi hakkında Şirket'in talimatlandırılmasına karar verilmiştir.
  
  
• Ayrıca, Şirket tarafından düzenlenen fişlerde görülen "Veri İzni Alma Uygulaması"  adı altındaki 0,01 TL hizmet bedelinin müşterilere sehven yansıtılmış olması ve alınan ödemelerin müşterilerin kartına aynı oranda indirim yüklemek suretiyle telafi edilmiş olması nedeniyle  konu hakkında yapılacak bir işlem bulunmadığına karar vermiştir.
  
  
• Son olarak, Şirket tarafından yayımlanan "Aydınlatma Metni" ve "Üyelik ve Rıza Metni" başlıklı belgeleri incelenmiş metinler arasında tutarsızlıklar bulunduğunu, Aydınlatma Metni'nde yer alan elde edilen kişisel verilerin sosyal paylaşım siteleri ile paylaşılacağına ilişkin ifadelere yönelik açık rızanın "Üyelik ve Rıza Metni" nde yer verilmemesi sebebiyle alınmadığını tespit etmiştir. Kurul buna ilişkin, metinler arasındaki tutarsızlıkların giderilmesine ve metinlerin Tebliğ hükümleri uyarınca güncellenmesine ilişkin şirkete talimat verilmesine karar vermiştir.
   

Bir şahsın, kendisi ve ailesi hakkındaki kişisel bilgilere hukuk dışı yollarla erişerek rızası dışında yargıya ve üçüncü kişilere aktardığı iddiasıyla bir başka şahıs hakkında Kuruma yapmış olduğu şikayet hakkında

Kurul, başvuran kişi dışındaın,bir şahsın (şikayet edilen) kendisi ve ailesi hakkındaki bilgilere hukuk dışı yollarla erişerek, rızası dışında yargıya ve üçüncü kişilere aktardığı, bahse konu bilgilere İcra Müdürlükleri kanalıyla usulsüzce paylaştığına dair şikayetini incelemiş ve başvurunun incelenmesi neticesinde Kurul;

• Şikayet edilen şahıs tarafından, kısmen veya tamamen otomatik olan veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla gerçekleştirilen bir kişisel veri işleme faaliyetinde bulunulmadığını tespit etmiş, şikayet edilenin veri sorumlusu olmadığına karar vermiştir. Başvuran kişinin kendisine ve ailesine ait kişisel verilerin hukuka aykırı şekilde elde edildiği iddiasınının Türk Ceza Kanunu kapsamında suç niteliği taşıması göz önünde bulundurulduğunda söz konusu iddiaya ilişkin olarak Kanun kapsamında Kurulca yapılacak bir işlem bulunmadığına hükmetmiştir.
  
  
• ​Öte yandan, başvuran kişinin, şikayet edilenin kişisel verileri İcra Müdürlükleri kanalıyla elde ettiği kanaatinin bir somut veri veya belge ile kanıtlanmadığı gerekçesiyle yapılacak bir işlem olmadığına karar vermiştir.​

Kurul kararının yerine getirilmemesi hakkında

Kurul'un geçmiş 14/02/2019 tarihli 2019/23 sayılı kararında, teknik servis hizmeti veren veri sorumlusu firma ("Firma") hakkındaki şikayet incelenmiş ve Firma'nın servise girişi yapılan cihazlara ilişkin bir form numarası sağladığı, müşterilere verilen bu form numaralarının birbirini takip eden numaralar olması nedeniyle ilgili kişiye verilen sorgu numarasının öncesindeki ve sonrasındaki numaraların girilmesi suretiyle kişilere ait isim, soy isim, adres ve sahip oldukları cihaz IMEI numarası bilgilerine ulaşılabildiği tespit edilmiştir. Kurul, söz konusu ihbarın incelenmesi üzerine;

• Kanun'un 12/1 maddesine aykırı şekilde "kişisel verilerin muhafazasının sağlanmasını teminen gerekli idari ve teknik tedbirlerin alınmaması" nedeniyle veri sorumlusu hakkında 150.000 TL idari para cezasına hükmetmiştir.
  
  
• Söz konusu aykırılığın giderilmesine ilişkin Firma'nın talimatlandırılmasına ve aykırılığın giderildiğinin tevsiki sağlanıncaya kadar kararda yer alan linklerin kullanımının durdurulmasına karar vermiştir.
  
  

Kurul'un özete konu 05/03/2019 kararında ("Karar") ise, 2019/23 sayılı Kurul kararının yerine getirilmediğine ilişkin karar verilmiştir.

Karar'da 2019/23 sayılı kararın gereklerinin yerine getirilmemiş olduğu, form numaraları ile başka cihazlar hakkında sorgulamaların hala gerçekleştirilebildiği, sorgulamanın gerçekleştirilmesi için başkaca bir güvenlik doğrulamasının aranmadığı tespit edilmiştir. Ayrıca, yapılan sorgularda kişilerin isim ve soy isimlerinin baş ve son harfleri hariç maskelenmiş olmasına karşın IMEI numaralarına erişimin mümkün olduğu, kargo bilgilerine ilişkin sekmeye tıklamak suretiyle gönderiyi teslim alan kişilerin isim ve soy isimlerine ulaşılabildiği, dolayısı ile isim ve IMEI bilgilerinin eşleştirilmesinin mümkün olduğu tespit edilmiştir.

Kurul bu itibarla,

• 2019/23 tarihli kararda belirtilen "...söz konusu aykırılığın ivedilikle giderilmesi, bahse konu aykırılığın giderildiği hususunun Kurula tevsiki sağlanıncaya kadar işbu Kararda yer alan linklerin kullanımının derhal durdurulması..." şeklindeki talimata uyulmamış olması nedeniyle Firma hakkında 50.000 TL idari para cezasına hükmetmiştir.
  
  
• Bunun yanında, internet sitesi üzerinden ardışık sorgu numaraları girilerek cihaz takibi için sorgulama yapılabilmesine imkan veren sistemin değiştirilmesi ve sorgulama yapılan sisteme erişimin ivedilikle kapatılması hususunda Firmaya talimat verilmesine karar vermiştir.
  
  

Kişisel Verileri Koruma Kurulu'nun yeni yayımlanan kararlarına bu linkten ulaşabilirsiniz. ​

Saygılarımızla,