• facebook
  • twitter
  • linkedin
  • instagram
  • youtube
MGC Legal & Andersen Global - İstanbul Hukuk Bürosu

HUKUK & DANIŞMANLIK

Okuma Süresi: 4 Dakika

Kişisel Verileri Koruma Kurumu 2023 Yılı Karar Özetlerinin Derlemesini Yayımladı

Yazar: MGC LEGAL
Kişisel Verileri Koruma Kurumu 2023 Yılı Karar Özetlerinin Derlemesini Yayımladı

Kişisel Verileri Koruma Kurumu’nun internet sitesinde yayımladığı yeni kararlar özetinde hatalı uygulamalara ve ihlallere ilişkin pek çok karar bulunuyor. Yayımlanan kararlar özetinde dikkat çeken bazı konular aşağıdaki gibidir;

Kripto para hizmet sağlayıcısı olan veri sorumlusuna ait platformdaki üyelik seviyesinin arttırılması talebine istinaden ilgili kişinin kimliğinin ön ve arka yüzünün fotoğrafının kendi fotoğrafı ile birlikte talep edilmesi üzerine veri sorumlusunca gerektiğinden fazla ve ölçüsüz olarak kişisel veri işlendiği gerekçesiyle ilgili kişi tarafından yapılan başvuruda yapılan başvuruda işlemenin hukuki dayanağının bulunduğu ve kamusal menfaat bulunduğundan şikâyet hakkında Kanun kapsamında yapılabilecek bir işlem bulunmadığına karar verilmiştir (11/04/2023 tarih ve 2023/570 sayılı Kurul Kararı).

Bir e-ticaret sayfasında ilgili kişinin kredi kartı ve ödeme bilgilerinin kaydedilmesinin zorunlu tutulmasına bağlı olarak ilgili kişiden açık rıza alınmaması ve aydınlatma beyanı sunulmaması, üyelik ve ödeme işlemlerinin devam edebilmesi için kart ve ödeme bilgilerinin sisteme kaydedilmesinin zorunlu tutulması sebebiyle mevzuata aykırılık iddiasıyla ilgili kişi tarafından yapılan başvuruda kurul;

  • Kart bilgilerinin kaydedilmesinde Kanun’un 5’inci maddesi kapsamında geçerli bir açık rızanın alınmaması,
  • Kanun’da düzenleme altına alınan “hukuka ve dürüstlük kuralına uyma”, “belirli, açık ve meşru amaçla işleme” ve “işlendikleri amaçla bağlı sınırlı ve ölçülü olma” ilkelerine aykırı hareket edilmesi ve bu suretle KVKK madde 12’de düzenlenen veri güvenliğine ilişkin yükümlülüklerin yerine getirilmediği,
  • Herhangi bir aydınlatma veya açık rıza olmaksızın zorunluluk kapsamında verilerin kayıtlı tutulması hakkında “hukuka ve dürüstlük kuralına uyma”, “belirli, açık ve meşru amaçla işleme” ve “işlendikleri amaçla bağlı sınırlı ve ölçülü olma” ilkelerine aykırılık tespit edilerek,

Veri sorumlusu firmaya 500.000 TL idari para cezası uygulamış ve veri sorumlusunun ilgili kişilerin işlemlere aktif olarak açık rıza vermelerini sağlayacak bir sistem geliştirmeleri ve bu doğrultuda aydınlatma metinlerinde düzenleme yapılması hususlarında talimatlandırılmasına karar vermiştir (11/04/2023 tarih ve 2023/567 sayılı Kurul Kararı).

Banka mobil uygulamasının şifre sıfırlama ayarlarında T.C. kimlik kartıyla şifre oluşturulmasını şart koşmasının akabinde yüz verilerinin işlenmesi için onay ekranının çıktığı, onaylanmaması halinde işleme devam edilmediğine dair ilgili kişi tarafından yapılan başvuru neticesinde kurul;

  • Bankanın şikayete konu olay tarihinde T.C. kimlik kartı ile işlem yapma seçeneğinde yüz izi verilerinin işlenmesine rıza göstermeyen müşteriler için işlemin herhangi bir bilgilendirme yapmadan sonlandırılması,
  • Dijital parola belirleme hizmetinin alternatif kanallar ile yapılabildiğine ilişkin bilginin internet sitesinde başka bir bölümde belirtildiği anlaşılmakla, her ne kadar mevcut durumda şikayete konu hizmetin mobil bankacılıkta da alternatif bir yöntemle verilmesine başlanılmış olsa da, veri sorumlusu bankanın hizmet süreçlerini gözden geçirmesi ve veri işleme faaliyetlerinde müşterileri tarafından yanlış anlaşılmaya sebebiyet verebilecek süreçler var ise ilgili kişilerin bu süreçler hakkında kolay anlaşılır/ulaşılır bir şekilde bilgilendirilmesi hususlarında,

Azami özen gösterilmesi yönünde veri sorumlusunun uyarılmasına karar vermiştir (03/08/2023 tarih ve 2023/1310 sayılı Kurul Kararı).

Yemek kartı hizmeti sunan veri sorumlusuna ait mobil uygulamaya kayıt oluşturulurken T.C. kimlik numarası bilgilerinin istendiğinin belirtilmesi üzerine konu hakkında Kurul tarafından re’sen inceleme başlatılmıştır. Sadece fiziki yemek kartlarının mobil uygulamada da kayıt altına alınması adına T.C. kimlik numarasının kart doğrulamada kullanıldığı tespit edilerek, kişisel verilerin işlendiği amaçla ölçülü işlenmesi ilkesine aykırı olduğuna ve veri sorumlusunun doğrulama adına T.C. kimlik numarası gibi önemli bir veri yerine başka bir yöntemle doğrulanması adına talimatlandırılmasına karar verildi (17/08/2023 tarih ve 2023/1430 sayılı Kurul Kararı).

İlgili kişinin kişisel verilerinin bir banka tarafından Kredi Kayıt Bürosu A.Ş.’ye aktarılmasına muvafakat etmediği ve açık rızasını geri çekmesine karşın bu talebinin reddedilmesine dair yapmış olduğu şikayete ilişkin olarak kurul tarafından;

  • 5411 Sayılı Bankacılık Kanunu “Risk Merkezi” maddesi gereği açık rıza alınmasının istisnasını oluşturan kanuni bir düzenlemeye dayanması nedeniyle veri sorumlusuna adına işlem tesis edilmesine yer olmadığına,
  • Veri sorumlusunun ilgili kişinin taleplerini reddederken bu reddi gerekçelendirmemiş olması nedeniyle Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 6’ncı maddesinin (2) numaralı fıkrası uyarınca gerekçesi açıklanarak reddedilmesi gerektiği belirtilerek bu hususların veri sorumlusuna hatırlatılmasına karar verilmiştir (31/08/2023 tarih ve 2023/1509 sayılı Kurul Kararı).

İlgili kişinin ses kaydının üçüncü kişiler tarafından rızası dışında kayda alındığı ve eskiden bünyesinde çalıştığı şirket ile işçi alacağı davasında İş Mahkemesi önünde delil olarak öne sürülmek üzere veri sorumlusu sıfatına haiz şirkete aktarıldığından ve şirketin de personeliyle işbu kaydı paylaşarak dilekçesinde ilgili delilin mahkemeyle paylaşabileceğini öne sürdüğünden bahisle yapılan şikayete ilişkin olarak kurul tarafından;

  • İlgili kişiye ait ses kaydının 8’inci maddenin (2) numaralı fıkrasının atfı ile “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hükmü doğrultusunda mahkemeye aktarıldığı,
  • Ses kaydının erişim yetkisi olmayan işçiler tarafından dinlendiğine ilişkin iddiaların ise dosya kapsamında tevsik edilemediği hususları dikkate alındığında,

Veri sorumlusu hakkında işlem tesis edilmesinin gerekli olmadığına karar verilmiştir (07/09/2023 tarih ve 2023/1548 sayılı Kurul Kararı).

İlgili kişinin şikayetinde medikal cihaz satışı yapan bir sitenin aydınlatma ve gizlilik metinlerine onay vermeden satışı gerçekleştirmediğinden bahisle teşhis ve tedavi hakkının ihlal edildiğini öne sürmesi üzerine kurul tarafından konuya ilişkin yapılan değerlendirmede;

  • İlgili rızaların veri sorumlusunun Kanun’dan doğan yükümlülükler gereği internet sitesinde alınmasının zorunlu olduğunun anlaşılması ile müşteri hizmetleri aracılığıyla ilgili izinler verilmeden satışın da gerçekleştirilerek alternatif yöntemin bulunduğundan ihlal oluşturmadığı değerlendirilmiş,
  • Satış işleminin verilerin yurt dışına aktarımı sebebiyle ilgili kişilere sunulan açık rıza metninin onaylanmadan gerçekleştirilememesine ilişkin olarak ise yurt dışına aktarıma açık rıza vermeyen ilgililer için müşteri temsilcisi vasıtasıyla satış işlemi yapılabildiği görülerek hizmetin açık rızayı şarta bağlayarak gerçekleştirilmediği görülmekteyse de karar tarihinde veri sorumlusunun internet sitesinde yapılan değişiklikle beraber alternatif satış kanalının anlaşılmasının neredeyse imkansız hale getirildiği dikkate alınarak şeffaf bir bilgilendirme yapılarak üyelik ve satış ekranlarında alternatif satış kanalına ilişkin yolun açık ve anlaşılır biçimde gösterilmesi hususunda,

Veri sorumlusunun talimatlandırılmasına karar verilmiştir (15/06/2023 tarih ve 2023/1041 sayılı Kurul Kararı).

Kurul kararlarında dikkat çeken temel nokta açık rızanın mevzuata uygun alınmadığı haller, internet sitelerindeki şeffaf ve kolay erişilebilir olmayan bilgilendirmeler üzerine olup; bu noktada veri sorumlularının KVKK uyumu noktasında eksik kaldığı anlaşılmakla süreçlerin iyileştirilmesi gerektiği görülmektedir.

Bu doğrultuda, kurulun talimatlandırmaları; aynı ihlallerin devam ettirilmemesi ve ileride yüksek para cezalarıyla karşı karşıya kalınmaması adına veri sorumluları tarafından dikkatle uygulanmalıdır.