• İşverenin çalışanın whatsapp yazışmalarını hukuka aykırı olarak elde etmesi Türk Ceza Kanunu kapsamında değerlendirilmelidir. (16.05.2019 tarihli, 2019/138 sayılı karar)
Karara konu olayda şikayetçi bir şirket çalışanıdır. Çalışan kendisine ait Whatsapp yazışmalarının, çalıştığı şirketin sahibi tarafından hukuka aykırı bir şekilde elde edilmesi ve 3. kişilerle paylaşılması hususlarını ileri sürerek Kurul’a başvuruda bulunmuştur. Kurul tarafından yapılan inceleme sonucunda, söz konusu başvuruya konu olay, 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”)’nun 15. ve 17. maddeleri kapsamında değerlendirilmiştir. Bu doğrultuda işyerindeki bilgisayar üzerinden Whatsapp yazışmalarının şikayetçinin bilgisi olmadan, rızası dışında okunmasının, fotoğrafının çekilmesinin veya ekran görüntüsünün kaydedilmesinin Türk Ceza Kanunu (“TCK”) kapsamında değerlendirilmesi gerektiğine kanaat getirilmiştir. Ayrıca bu hususa ilişkin olarak şikayetçinin TCK kapsamında savcılıkta suç duyurusunda bulunması ve sürecin devam etmesi nedenleriyle başvuru konusu yapılan olayın KVKK kapsamında olmadığına karar verilmiştir.
• Hizmet sağlayıcısı rolü üstlenen firmanın kişilere web sitesine üye olmadan hizmet sağlama imkanı sağlamıştır; hizmet sunmak için verilerin işlenmesine onay verilmesini şart koşmamıştır. (08.07.2019 tarihli, 2019/206 sayılı karar)
Karara konu olay, veri sorumlusunun hizmet sunduğu web sayfasına girildiğinde, sayfanın açılması için e-posta adresinin yazılması suretiyle zorunlu alanın doldurulmasının talep edilmesi, bu doğrultuda istenilen kişisel veriler girilmediği takdirde ana sayfanın açılmamasına ilişkindir. Nitekim şikayetçi, yazılması zorunlu tutulan kişisel verinin girilmesinin bir hizmet şartı olarak talep edilmesi ve ayrıca kişisel veri talebi sırasında aydınlatma yükümlülüğü kapsamında sunulan metnin, işlenen kişisel verileri ve hukuki sebeplerini açıkça ortaya koymaması nedenlerini ileri sürerek Kurul’a başvuruda bulunmuştur.
Kurul şikayetçinin iddiaları doğrultusunda iki nokta üzerinde durmuştur. Bunlardan ilki açık rıza kavramıdır. Açık rızadan bahsedebilmek için rızanın belirli bir konuya ilişkin olması, bilgilendirmeye dayalı olması ve özgür iradeyle açıklanması gerekmektedir. Zira rızanın, bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmemesi gerekir. Kurul, incelemeye konu olayda web sitesinin, site bünyesinde kullanıcılara sunulan çeşitli alanlardaki mal ve hizmetlerin doğrudan sağlayıcısı niteliğinde olmadığını; yalnızca söz konusu mal veya hizmetlerin indirimli fiyatlar üzerinden üyeler tarafından satın alınmasını sağlayan bir aracı hizmet sağlayıcısı rolünü üstlendiğini; bu nedenle söz konusu mal ve hizmetlere erişim imkanının ortadan kaldırılmadığını tespit etmiştir. Bu doğrultuda Kurul, açık rıza aranmasındaki amacın sitede sunulan avantajlardan yalnızca üyelerin faydalanabilmesinin sağlanabilmesi noktasında toplandığını; dolayısıyla bu hususta KVKK kapsamında tesis edilecek herhangi bir işlem bulunmadığına karar vermiştir.
Kurul’un üzerinde durduğu bir diğer nokta ise aydınlatma yükümlülüğüdür. Bu hususa ilişkin olarak Kurul, web adresi üzerinden erişim sağlanan “Gizlilik ve KVK Politikamız” başlıklı metinde kişisel verilerin hangilerinin yasal yükümlülük çerçevesinde hangilerinin ilgili kişinin açık rızasına istinaden işlendiğinin belirli olmadığını tespit etmiştir. Bunun yanı sıra Kurul, söz konusu metinde kişisel verilerin hukuki işlenme nedeninin yasal yükümlülükten kaynaklandığının belirtilmesine karşın bilgilendirmenin devamında kişisel verilerin açık rızaya istinaden işleneceğinin de vurgulandığını; bu nedenle metnin, “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ”e uygun düzenlenmediğini tespit etmiştir. Bu doğrultuda Kurul, metnin, Tebliğ’de yer verilen hükümler dikkate alınmak suretiyle güncellenmesi ve aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiği yönünde şikâyet edilen şirkete talimat verilmesine karar vermiştir.
• Vefat eden kişiye ait verilerin eşiyle paylaşılmaması, KVKK’ya uygundur. (18.09.2019 tarih, 2019/273 sayılı karar)
Karara konu olayda, vefat eden bir kişinin eşi, yasal mirasçı olarak eşinin tedavi gördüğü klinikten tüm medikal ve diğer bilgilerini talep etmesine rağmen herhangi bir dönüş alamadığını; klinik tarafından, resmi olmayan yollarla kendisiyle veri paylaşımının yapılamayacağının bildirilmesi üzerine eşinin verilerine erişim talebi ile Kurul’a başvuruda bulunmuştur.
Kurul tarafından yapılan inceleme sonucunda, talep edilen kişisel verilerin talep eden gerçek kişiye ilişkin olmaması ve ölmüş kişiye ait olması sebebiyle talebin, KVKK 11. maddesi kapsamında bir talep olarak değerlendirilmeyeceği kanısına varıldığından bu hususta KVKK kapsamında yapılacak bir işlem olmadığına karar verilmiştir.
• KVKK yürürlüğe girmeden önce Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik kapsamında kişisel verilerinin işlenmesine onay verilmesi, KVKK’ya uygun açık rızanın temin edildiğini gösterir. (01.10.2019 tarihli, 2019/297 sayılı karar)
Başvuruya konu olayda veri sorumlusu tarafından ilgili kişiye reklam içerikli SMS gönderilmesi üzerine, ilgili kişi, kişisel verilerinin açık rızası olmaksızın işlendiği düşüncesiyle veri sorumlusuna başvurmuş ve veri sorumlusunun yazılı cevabını yeterli bulmaması nedeniyle Kurul’a şikâyette bulunmuştur.
Kurul tarafından yapılan incelemede, ilgili kişinin 2012 yılında, başvurusunda belirttiği telefon numarasından firma merkezini arayarak motosikleti için İngilizce kullanım kılavuzu talep ettiği, bu talebiyle beraber şahsıyla e-posta, SMS ve telefon ile iletişime geçilmesine izin verdiği, ayrıca ilgili kişinin 2013 yılında motosikleti için firmadan yedek parça ve servis hizmeti satın aldığı, bu duruma ilişkin olarak fatura cari kaydının bulunduğu; ilgili kişinin başvurusu üzerine veri sorumlusu tarafından verilen cevapta satın alınan ürün ve hizmetin fatura bilgisini gösterir ekran görüntülerinin sunulduğu, nitekim ilgili kişinin şikayet başvurusunda firmanın iddialarının aksine yönelik bir beyanının olmadığı tespit edilmiştir.
Tüm bu hususlar doğrultusunda Kurul tarafından, söz konusu satın alma işleminin KVKK’nın yürürlüğe girmesinden önce gerçekleşmiş olması nedeniyle şikâyete ilişkin KVKK kapsamında yapılacak herhangi bir işlem bulunmadığına karar verilmiştir.
• Abonelerin verileri işlenirken kimlikleri teyit edilmeli; bu kapsamda gerekli idari ve teknik tedbirler alınmalıdır. (07.11.2019 tarihli, 2019/333 sayılı karar)
Şikâyete konu olay telekomünikasyon sektöründe faaliyet gösteren veri sorumlusu tarafından ilgili kişiye, kendi faturası ile birlikte, ad ve soyadı benzerliği olan başka bir abonenin fatura bilgilerinin e-posta yoluyla iletilmesine ilişkindir. İlgili kişi söz konusu hatanın düzeltilerek kişisel verilerin hangi amaçlarla işlendiği ve kimlere aktarıldığı hususunda bilgilendirilme yapılması amacıyla veri sorumlusuna e-posta yoluyla başvuruda bulunmuş ve kendisine konuya ilişkin olarak bir iş günü içinde geri dönüş yapılacağı bildirilmiştir. Ancak herhangi bir dönüş yapılmaması ve yanlış fatura gönderiminin devam etmesi üzerine ilgili kişi tarafından Kurul’a başvurulmuştur.
Kurul tarafından yapılan incelemede iki kişinin aynı e-postayı almasının mümkün olmaması nedeniyle yazım yanlışlığı yapılmış olmasının muhtemel olduğu, sistemde kayıtlı e-posta adresinin bir başka müşteri tarafından kullanıldığının uyarısının kayıt yapılan sistem tarafından verilmemesi dolayısıyla veri sorumlusunun veri güvenliğine ilişkin gerekli teknik tedbirleri almadığı, sistemindeki verilerin doğru ve gerektiğinde güncel olmadığı kanaatine varılmıştır. Bu doğrultuda Kurul tarafından şikayetçiye, ad ve soyadı benzerliği olan başka bir abonenin fatura bilgilerinin e-posta yoluyla iletilmesi, Kişisel Verilerin Korunması Kanunu’nun 12. maddesi kapsamında veri güvenliğine ilişkin yükümlülüklere aykırı bulunarak veri sorumlusu hakkında 50.000 TL idari para cezası uygulanmasına karar verilmiştir.
Bunun yanı sıra Kurul, ilgili kişinin kimlik teyidinin yapılmaması nedeniyle veri sorumlusunun başvuruya cevap vermemesini de kabul etmemiştir. Nitekim iki abonenin de aynı e-posta ile kayıtlı olmasının veri sorumlusunun kişilerin verilerini işlerken kimliklerini teyit etmemesinin KVK mevzuatına aykırı bir işlem olduğunu vurgulamıştır. Bu kapsamda veri sorumlusunun abonelerin kişisel verilerinin güvenliğine ilişkin gerekli tüm idari ve teknik tedbirlerin alınması hususunda talimat verilmesine karar verilmiştir.
• Dergi aboneliği için verilerinin işlenmesine onay vermesine rağmen, bu verilerin başka bir firma tarafından reklam amacıyla işlenmesi, KVKK’ya aykırıdır. (16.01.2020 tarihli 2020/34 sayılı karar)
Karara konu olay ilgili kişinin, bir dergi aboneliği işlemlerinin yapılmasına yönelik bir çağrı merkezine verdiği telefon numarasının anılan çağrı merkezi tarafından bir gıda şirketi reklamının yapılması amacıyla kullanılmasına ilişkindir. Nitekim ilgili kişi bir gıda şirketi adına aranması üzerine, kişisel verisinin nasıl elde edildiğine ilişkin olarak söz konusu ticari işletmeye yazılı başvuruda bulunmuştur. Gelen cevap yazısında şirketin yetkilendirildiği firmaların çağrı merkezi işini yürüttüğü, bu kapsamda bir spor dergisi abonelerinin üyelik süresinin uzatılmasına yönelik arama hizmetini gerçekleştirdiği, ilgili kişinin de söz konusu dergiye abone olması nedeniyle telefon bilgisinin bulunduğu, bu verinin KVKK’ya uygun olarak saklandığı, veri sorumlusunun 2017 yılından bu yana bir gıda markasıyla çeşitli doğal gıda ürünlerinin internet üzerinden satış ve pazarlama işini yürüttüğü, ilgili kişinin numarasının silinmesine karşın sistemdeki hata nedeniyle arama yapıldığının tespit edildiği, söz konusu kişisel verinin geri dönülmez şekilde yok edildiği hususları bildirilmiştir. Bu doğrultuda ilgili kişi, anılan dergiye yapmış olduğu aboneliği kapsamında sisteme kaydedilen verilerinin amacı dışında kullanıldığını ileri sürerek Kurul’a başvuruda bulunmuştur.
Kurul tarafından yapılan incelemede; veri sorumlusunun kişisel verileri bir spor dergisi aboneliği süresinin uzatılması amacıyla işlenmesine rağmen, söz konusu verilerin bir başka firmanın reklamının yapılması için kullanılmasının, verinin işlenme amacıyla bağlantılı ve sınırlı olma ilkesine aykırılık teşkil ettiği sonucuna ulaşılmıştır. Bunun yanı sıra, çağrı hizmeti veren veri sorumlusu ile ilgili spor kulübü arasındaki sözleşmenin 2015 yılında bitmesi nedeniyle söz konusu verilerin işlenme amaçları ortadan kalktığından verilerin silinmesi gerektiği, verinin veri sorumlusu tarafından farklı amaçlarla işlenmesinin sürdürmesi amaçlanıyor ise de ilgili kişinin işlenme amaçlarına ilişkin açık rızasının alınması gerektiği ancak bu işlemlerin gerçekleştirilmediği tespit edilmiştir. Söz konusu değerlendirmeler sonucunda Kurul tarafından, veri sorumlusunun KVKK m. 12 kapsamında kişisel verilerin hukuka aykırı olarak işlenmesinin önlemesi hükmüne aykırı davranması nedeniyle 18.000 TL idari para cezası uygulanmasına karar verilmiştir.
Bankaya olan borcu nedeniyle işyerinin devamlı aranmasının, iş sözleşmesinin işveren tarafından feshedilmesine yol açması karşısında kişinin tazminat taleplerini genel mahkemelerde yöneltmesi gerekir. (26.01.2020 tarihli 2020/41 sayılı karar)
Karara konu olan olayda ilgili kişi, borçlu olduğu bankaya çeşitli nedenlerle ödeme yapamadığını, bunun üzerinde banka tarafından yasal takip başlatıldığını, 2018 yılında sigortalı olarak bir işe girdiğini ve sigortası başlar başlamaz cep telefonundan arandığında cevap vermesine rağmen bankanın işyerini aradığını ve aile bilgilerini sorguladığını, ödeme yapıp yapmayacağını işyeri sekreterine defaten sorduğunu, aramalardan sonra aynı yıl içinde iş akdinin firma tarafından sonlandırıldığını ve bu nedenle ilgili bankaya 100.000 TL maddi manevi tazminat istemiyle mail atarak başvurduğunu ileri sürmüştür.
İlgili kişi bu hususta gereğinin yapılması için Kurul’a başvurmuştur.
Kurul tarafından yapılan incelemede ilgili kişinin, veri sorumlusuna yaptığı başvurunun KVKK m. 11 kapsamında bir talep içermediği tespit edilmiştir. Ayrıca ilgili kişinin Kurul’a yaptığı şikâyet başvurusunda da iddialarını kanıtlayıcı bir belge sunmadığı, kaldı ki uğradığını iddia ettiği zarar nedeniyle tazminat talebini, KVKK m.14/3 uyarınca genel mahkemeler huzurunda kullanması gerektiği göz önüne alınarak Kurul tarafından yapılacak bir işlem olmadığına karar verilmiştir.
• Borç bilgilerinin borçlunun rızası ve bilgisi dışında 3. kişilerle paylaşılması KVKK’ya aykırıdır. (16.01.2020 tarih, 2020/43 sayılı karar)
Karara konu olayda, ilgili kişi, kendisine ait verilerin bir banka tarafından rızası olmaksızın babası ile paylaşılması; veri sorumlusu banka tarafından düzenlenen belgede babasına, ilgili kişi ile risk grubu oluşturduğu ve ilgili kişinin kredi aksamaları bulunması sebebiyle kendisine kredi kullandırılmadığına ilişkin bir yazı verilmesi nedenleriyle veri sorumlusuna başvuruda bulunarak oluşan manevi zararın tazmini için 30.000 TL’nin ilgili banka hesabına ödenmesi aksi takdirde yasal yollara başvurarak alacağını tahsili yoluna gideceğini belirtmiştir. Ancak anılan banka tarafından otuz gün içinde başvuruya yönelik bir cevap verilmemesi nedeniyle Kurul’a başvuruda bulunmuştur.
Başvuru üzerine Kurul tarafından konuya yönelik veri sorumlusunun savunması alınmıştır. Savunma yazısında, veri sorumlusu banka, müşterinin kredisinin reddine dayanak oluşturacak bilgiyle sınırlı olarak aynı risk grubunda bulunanlara ilişkin aksama bilgisinin detay içermeyecek şekilde verilmesinin veri ihlaline neden olmadığı kanaatinde olduğunu bildirmiştir.
Kurul tarafından yapılan incelemede, ilgili kişinin manevi zarar iddiasıyla talep ettiği tazminatın, KVKK m.14/3 uyarınca genel mahkemeler huzurunda kullanması gerektiği göz önüne alınarak Kurul tarafından yapılacak bir işlem olmadığına karar verilmiştir.
Ayrıca Kurul tarafından veri güvenliğine ilişkin yükümlülüklerin ihlal edildiği sonucuna varılmış; KVKK m.18 kapsamında işlem tesis edilmesine; ilgili kişinin borç bilgilerinin rızası ve bilgisi dışında 3. kişilerle paylaşılması hususunun Bankacılık Kanunu ve TCK’nın ilgili hükümleri kapsamında hukuka aykırı bir fiil teşkil etmesi nedeniyle, konunun Bankacılık Düzenleme ve Denetleme Kurumuna intikal ettirilmesine karar verilmiştir.
• Müşterilere ait kişisel veriler herkese açık sosyal medya platformlarında müşterinin açık rıza alınmaksızın reklam amacıyla paylaşılamaz. (27.01.2020 tarihli, 2020/58 sayılı karar)
Karara konu olayda, bir sigorta acentesinin müşterilerine ait kişisel verileri herkese açık sosyal medya platformlarında müşterilerinden habersiz olarak reklam amacıyla paylaştığı, bu hususta poliçe sahiplerinin izninin olmadığı belirtilerek gerekli yasal işlemin yapılması talebiyle Kurul’a başvurulmuştur. Kurul tarafından veri sorumlusunun savunması da alınarak kişisel verilerin işlenebilmesi için gerekli olan şartlar değerlendirilmiştir.
Yapılan değerlendirme sonucunda Kurul tarafından, veri sorumlusunun müşterilerine ait kişisel verileri onların açık rızası olmaksızın paylaşması nedeniyle KVKK m. 12 kapsamındaki veri yükümlülüklerini yerine getirmediği tespit edilerek müşterilerine ait kişisel verileri herkese açık sosyal medya platformlarında müşterilerinden habersiz olarak ve reklam amacıyla paylaşan veri sorumlusu hakkında 22.500 TL idari para cezası uygulanmasına karar verilmiştir.
• Veri sorumlusu, sadece aydınlatma metninde yer alan şartlarla veri işleyebilir. (27.01.2020 tarihli, 2020/65 sayılı karar)
Karara konu olayda ilgili kişi, ulaşım hizmeti sunan bir platform vasıtasıyla yaptığı yolculukların şoförler tarafından puanlandığını öğrenmiştir. Ancak veri sorumlusu tarafından sunulan aydınlatma metninde bu şekilde bir puanlama yapılacağına ilişkin bir bilginin bulunmaması ve söz konusu puanlara erişilememesi nedeniyle, ilgili kişi, veri sorumlusuna başvuruda bulunarak kişisel verilerinin işlenmesi halinde bilgi verilmesini talep etmiştir. Daha sonra ilgili kişi başvurusunun cevapsız kaldığını ileri sürerek Kurul’a başvurmuştur.
Kurul tarafından yapılan incelemede ilk olarak ilgili kişinin başvurusunun cevapsız kalması hususu üzerinde durulmuş ve veri sorumlusunun başvuruları, hem KVKK m. 15/5 uyarınca hem de kendisi tarafından duyurulan “Kullanım Koşulları” başlıklı metinde yer alan hükümlere uygun olarak zamanında, tam ve eksiksiz olarak cevaplaması hususunda talimat verilmesine karar verilmiştir.
Kurul, incelemesinin devamında yolcuların yaptığı seyahatlerin şoförler tarafından puanlanmasına ve bu puanların ortalamasının alınmasına dayanan veri işleme faaliyetinin KVKK’ya uygun bir veri işleme şartlarını taşımadığı, bu çerçevede veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı hareket ettiği tespit edilerek veri sorumlusu hakkında 100.000 TL idari para cezası uygulanmasına karar vermiştir.
Ayrıca gerek aydınlatma metninde gerekse kullanım koşullarında yolcuların yaptığı seyahatlerin şoförler tarafından puanlanmasına ilişkin herhangi bir bilgilendirme bulunmadığı, bu durumun hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırılık teşkil etmekle birlikte söz konusu verinin işlenmesindeki amacın açıklanmadığı sonucuna varılarak veri sorumlusu hakkında 10.000 TL idari para cezası uygulanmasına karar verilmiştir. Kurul tarafından veri sorumlusunun puanlamaya dayalı veri işleme faaliyetine devam edebilmesi hususu da gözetilerek veri sorumlusunun KVKK’ya uygun olarak veri işleme şartı belirlemesi, buna istinaden aydınlatma metnini güncellemesi ve sayılan hususları tamamladığına ilişkin destekleyici belge ve kayıtları otuz gün içinde Kurul’a sunması hususunda veri sorumlusuna talimat verilmesine karar verilmiştir.
• Kişinin herkesin ulaşabileceği bir ortamda verilerini paylaşması, her zaman o verinin alenileşme şartlarını taşıdığı anlamına gelmez. (27.01.2020 tarihli, 2020/67 sayılı karar)
Başvuruya konu olayda; başvurucu bir gayrimenkul şirketi tarafından SMS aracılığıyla gönderilen reklam ve bildirimlere ait açık rızasının bulunmadığını belirterek gereğinin yapılması için Kurul’a talepte bulunmuştur. Bu durum üzerine Kurul tarafından, konuya yönelik veri sorumlusunun savunması alınmıştır. Savunma yazısında veri sorumlusu, kayıtlarında tutulan kişisel verilerin ad, soyadı ve cep telefonu numarasından ibaret olduğu, kişisel verilerin ilgili kişiyle reklam, kampanya ve tanıtım amaçlı olarak irtibata geçilmesi amacıyla işlendiği, verilerin internet üzerinden herkese açık bilgi kaynaklarından temin edildiği, temin edilen bilgi kaynaklarına savunma anında ulaşılamadığı, ilgili kişinin yapmış olduğu başvuru neticesinde, kişisel verilerin sistemden derhal silindiğini ve kendisiyle bir daha iletişime geçilmediğini belirtmiştir.
Kurul tarafından yapılan incelemede; olayda kişisel verilerin ilgilinin açık rızasının alınmadan işlendiği, kişisel verilerin açık rızası olmadan işlenebileceği diğer hallerin ise bulunmadığı tespit edilmiştir.
Bunun yanı sıra Kurul tarafından, ilgili kişinin kişisel verilerinin herkese açık bilgi kaynaklarından elde edilmesi hususunda alenileştirme kavramı üzerinde durulmuştur. Bu doğrultuda yalnızca kişinin kişisel verilerinin herkesin ulaşabileceği yerde olmasının alenileştirmeyi gerçekleştirmediği, alenileştirmeden bahsedebilmek için amacın da göz önüne alınması gerektiği; kaldı ki ilgili kişinin reklam faaliyetleriyle ilgili kendisiyle iletişim kurulması amacıyla kişisel verileri alenileştirmemesi halinde, gerçekleştirilecek olan kişisel veri işleme faaliyetinin hukuka uygun olmayacağı hususları değerlendirilmiştir. Tüm bu değerlendirmeler ışığında Kurul tarafından veri sorumlusu tarafından kişisel verilerin reklam içerikli iletiler gönderilmesi amacıyla kullanılması eylemi KVKK kapsamında uygun bulunmamış, veri sorumlusu hakkında 50.000 TL idari para cezası uygulanmasına karar verilmiştir.