| Okuma Süresi: 7 Dakika

KVKK TARAFINDAN 11.02.2021 TARİHİNDE YAYIMLANAN 12 YENİ KARAR


KİŞİSEL VERİ GÜVENLİĞİ REHBERİNDE GEÇEN PERSONEL GİZLİLİK SÖZLEŞMESİ İMZALATILMASININ 657 SAYILI DEVLET MEMURLARI KANUNU’NA TABİİ OLARAK ÇALIŞANLAR İÇİN GEREKLİ OLUP OLMADIĞI İLE İLGİLİ KİŞİSEL VERİLERİ KORUMA KURULUNUN 26/12/2019 TARİHLİ VE 2019/393 SAYILI KARARI

Kişisel Verileri Koruma Kurulu 657 Sayılı Devlet Memurları Kanunu kapsamında çalışan ve kişisel veri işleyen personeller için personel gizlilik sözleşmesinin imzalatılmasını uygun bulmamıştır.

Kurul kararının gerekçesinde 657 Sayılı Devlet Memurları Kanunu’na bağlı çalışanların Anayasaya ve kanunlara sadakatle bağlı olma yükümlülüklerinin olduğu ve 6698 Sayılı Kişisel Verilerin Korunması Kanununa da uygun davranma yükümlülükleri olduğu belirtilmiştir. 657 Sayılı Devlet Memurları Kanunu kapsamında çalışanların verdikleri zarardan kişilere ve idareye karşı sorumlulukları bulunmaktadır. Kamu personellerinin kişisel verilerin işlenilmesi ya da aktarılması sırasında gerçekleşen bir veri ihlali ile verdikleri zarardan dolayı zarar gören kişiler idari kuruma dava açabilirler ve idarenin de ilgili personele rücu hakkı saklıdır.

Personel gizlilik sözleşmesiyle amaçlanan koruma yükümlülüğü 657 Sayılı Devlet Memurları Kanunu ile düzenlendiği için kamu personellerine ek bir gizlilik sözleşmesinin imzalatılması uygun değildir. Ek olarak kararda kamu personellerine kişisel verilerin korunması yönünde eğitimler verilmesi ve bilgilendirme çalışmaları yapılması gerektiği belirtilmiştir.

İLGİLİ KİŞİNİN ORTAĞI OLDUĞU ŞİRKETTE KULLANDIĞI E-POSTA ADRESİNE İZİNSİZ VE HUKUKA AYKIRI OLARAK ERİŞİLDİĞİ İDDİASI HAKKINDA KİŞİSEL VERİLERİ KORUMA KURULUNUN 27/01/2020 TARİHLİ VE 2020/59 SAYILI KARARI

Kişisel Verileri Koruma Kurulu, şirket e-posta adresine izinsiz girilmesini 6698 Sayılı Kişisel Verilerin Korunması Kanunu’na uygun buldu.

Kurul kararının gerekçesinde, Kişisel Verilerin Korunması Kanunu kapsamında, kendisine ait şirket e-posta adresine girilerek Kanundan doğan haklarının ihlal edildiğini öne süren ilgili kişi hakkında şirket için zarar doğurucu fiillerde bulunduğu iddialarıyla Asliye Ticaret Mahkemesinde açılmış davaların bulunduğu ve aynı zamanda şirket ortağı olan veri sorumlusu genel müdürün yargılamada kullanılabilmesi için yedek sunucu kayıtlarından ilgili kişinin şirket e-posta adresine ulaşmasının şirket menfaatine olduğu ve hukuka aykırı olmadığı belirtilmiştir. Kişisel Verileri Koruma Kanununun 5. maddesinin e bendinde de düzenlendiği üzere, kişisel veriler işlenirken ‘’bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması’’ durumunda ilgili kişinin açık rızası aranmaz. Ek olarak, Kanunun 28. maddesinin 1. fıkrasının d bendi uyarınca ‘’kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi’’ durumunda Kanun hükümleri uygulanmaz.

Kararda, şirket e-posta adreslerinde kişisel veri bulunmaması ve bulunsa dahi yargılamaya konu olduğu takdirde ilgili kişinin açık rızası olmaksızın işlenebileceği gerekçeleriyle ilgili kişinin şikayeti hakkında işlem yapılmamıştır.

VERİ SORUMLUSU HASTANEDE UYGULANAN BEYAZ KOD KAPSAMINDA İLGİLİ KİŞİNİN İŞLENEN KİŞİSEL VERİLERİ HAKKINDA KİŞİSEL VERİLERİ KORUMA KURULUNUN 27/01/2020 TARİHLİ VE 2020/63 SAYILI KARARI

Kişisel Verileri Koruma Kurulu, Beyaz Kod Uygulaması kapsamında tutanak tutularak kişisel verilerin işlenmesini 6698 Sayılı Kişisel Verilerin Korunması Kanununa uygun buldu.

Kurul, kararın gerekçesinde hastane görevlilerinin hasta yakını ile tartışma yaşamaları sonucunda Beyaz Kod Uygulamasını kullanarak tutanak tutmalarının Sağlık Bakanlığı Hukuk Müşavirliğinin Hukuki Yardım ve Beyaz Kod Uygulamasına dair 2016/3 Genelgesi kapsamında bir hukuki yükümlülük olduğunu belirtti. Kişisel Verileri Koruma Kanununun 5. maddesinin 2. fıkrasının ç bendinde düzenlenen ‘’veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması’’ durumunda ilgili kişinin kişisel verilerinin açık rızası olmaksızın işlenebileceğini gerekçe gösteren Kurul, Beyaz Kod kapsamında, ilgili kişinin kişisel verisinin işlenmesini Kanuna uygun bulmuştur. Ek olarak gerekçede, Kanunun 6. maddesinde yer alan ‘’sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir’’ ifadesi kişisel verilerin sır tutma yükümlüsü hastane görevlileri tarafından işlenmesi ve yetkili Cumhuriyet Başsavcısına bildirilmesinin kişisel verilerin ihlali kapsamında olmadığı belirtilmiştir.

UNUTULMA HAKKI KAPSAMINDA İLGİLİ KİŞİNİN ARAMA MOTORUNDA ADI VE SOYADI İLE BAĞLANTILI SONUÇLARIN KALDIRILMASI TALEBİNE İLİŞKİN KİŞİSEL VERİLERİ KORUMA KURULUNUN 08/12/2020 TARİHLİ VE 2020/927 SAYILI KARARI

Kişisel Verileri Koruma Kurulu, adı ve soyadı ile bağlantılı sonuçların kaldırılması talebi ile arama motoruna başvuran ancak talebi reddedilen ilgili kişiye karşı arama motorunun kararını yerinde bulmuştur.

Kurulun önceki kararlarında arama motorlarını Kanunun 3. maddesindeki tanımlar uyarınca, veri sorumlusu, yaptıkları faaliyetleri de kişisel verilerin işlenmesi saymıştır.

Üniversitede öğretim üyesi olan ilgili kişinin ailesini kadroya almak üzerine bir usulsüzlük yaptığıyla ilgili soruşturma açılmıştır ve söz konusu hadise haber sitelerinde yayımlanmıştır. Kamu görevinin ve hayatının kötü etkilendiğini belirten ilgili kişi, arama motorundaki sonuçların özel nitelikli kişisel verisi olduğunu ileri sürmüş ve Kişisel Verilerin Korunması Kanununun 7. ve 11. maddeleri kapsamında kaldırılmasını talep etmiştir. Kurul, yaptığı değerlendirme sonucunda arama motorunun cevabını yerinde bulmuştur ve ilgili sonuçların gazetecilik faaliyeti kapsamında olduğunu, soruşturmanın gerçekleştiğini, kişinin hâlâ aynı görevde bulunduğunu, içeriklerin güncel olduğunu ve ilgili kişi tarafından bir risk oluşmadığını göz önünde bulundurarak, içeriklerin özel nitelikli kişisel veri sayılmadığı ve dolayısıyla Kanun kapsamında bir işlem yapılamayacağı yönünde karar vermiştir.

BELEDİYEDE MEMUR OLARAK GÖREV YAPAN İLGİLİ KİŞİNİN, VERİ SORUMLUSU BÜNYESİNDE İŞE GİRİŞ ÇIKIŞ TAKİBİNİN BİYOMETRİK VERİ İŞLENEREK YAPILMASI HAKKINDA KİŞİSEL VERİLERİ KORUMA KURULUNUN 01/12/2020 TARİHLİ VE 2020/915 SAYILI KARARI

Kişisel Verileri Koruma Kurulu, özel nitelikli kişisel ve biyometrik veri olan parmak izinin elde edilmesine yönelik sistem kurulmasını Kanuna aykırı buldu.

Kurul gerekçeli kararında, Belediyede memur olan ilgili kişinin özel nitelikli biyometrik verisi olan parmak izinin mesai kontrolü için veri sorumlusu tarafından toplanmasının ve ilgili kişinin Kişisel Verilerin Korunması Kanununun 7. ve 11. Maddeleri kapsamında kişisel verilerinin silinmesi talebinin reddedilmesinin Kanuna aykırı olduğuna karar vermiştir. Kişisel Verilerin Korunması Kanununun 4. maddesinde düzenlenmiş olan genel ilkelere göre kişisel veriler işlendikleri amaçla sınırlı ve ölçülü olmalıdırlar. Belediyenin Kovid-19 önlemleri kapsamında ıslak imza yöntemini kullanmış olması parmak izi sisteminin yerine alternatif yöntemlerin kullanılabileceğinin göstergesidir.

Kurul, alternatif yollarla mesai kontrolü sağlanabilecekken parmak izi sisteminin kullanılmasını ölçülülük ve sınırlılık ilkesine aykırı bulmuştur. İlgili kişinin özel nitelikli kişisel verisinin işlenmesi için açık rızasının olmadığı açıktır ve  Kanunun 7. ve 11. maddelerine dayanarak parmak izi verilerinin silinmesi talebinin veri sorumlusu tarafından yerine getirilmemesi veri sorumlusunun Kanundaki yükümlülüğünü ihlal ettiğini göstermektedir.

İLGİLİ KİŞİNİN İRTİBAT NUMARASININ BİR ELEKTRİK DAĞITIM ŞİRKETİ TARAFINDAN HERHANGİ BİR İŞLEME ŞARTINA DAYANILMAKSIZIN İŞLENMESİ HAKKINDA KİŞİSEL VERİLERİ KORUMA KURULUNUN 27/01/2020 TARİHLİ VE 2020/66 SAYILI KARARI

Kişisel Verileri Koruma Kurulu, kendisine yapılan başvuruya zamanında ve eksiksiz dönüş yapma yükümlülüğünü yerine getirmediği ve bunun için gerekli idari ve teknik tedbirleri almadığı gerekçesiyle veri sorumlusuna 100.000 TL idari para cezası vermiştir.

Kurula şikayette bulunan ilgili kişi, veri sorumlusu Elektrik Dağıtım Firması tarafından irtibat numarasına kendisine ait olmayan abonelikler hakkında mesajlar geldiğini belirtmiş ve bunun üzerine Kişisel Verilerin Korunması Kanununun 11. maddesinin 1. fıkrasının d bendi kapsamında veri sorumlusundan kişisel verilerinde düzeltme yapılmasını talep etmiştir. Veri sorumlusu elektrik dağıtım şirketi Kanunun 13. Maddesinin 2. fıkrasından doğan başvuruyu en geç 30 gün içerisinde sonuçlandırma yükümlülüğünü ihlal etmiştir. Kurul, gerekçeli kararında, veri sorumlusu elektrik dağıtım şirketine, Kanunun 4. maddesindeki genel hükümler kapsamında kişisel verilerin işlenmesinde doğru ve gerektiğinde güncel olma ilkesine aykırılık teşkil ettiği ve başvuruları tam ve eksiksiz olarak süresinde sonuçlandırmadığı gerekçesiyle 100.000 TL idari para cezası uygulamıştır.

VERİ SORUMLUSU VE VERİ İŞLEYENİN TESPİTİNDE GÖZ ÖNÜNDE BULUNDURULMASI GEREKEN HUSUSLAR İLE AYDINLATMA YÜKÜMLÜLÜĞÜNÜN KİM TARAFINDAN YERİNE GETİRİLECEĞİNE İLİŞKİN KİŞİSEL VERİLERİ KORUMA KURULUNUN 30/01/2020 TARİHLİ VE 2020/71 SAYILI KARARI

Veri sorumlusu, 6698 Sayılı Kişisel Verilerin Korunması Kanununun 3. maddesinin 1. Fıkrasının (ı) bendinde; “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi’’ olarak tanımlanmıştır. Veri sorumlusu işleme faaliyetleri üzerinde genel yetkiye sahip özerk kişidir. Kendi adına verileri işleyebilecek bir veri işleyen atayabilme yetkisine sahiptir.

Veri işleyen ise, 6698 Kişisel Verileri Koruma Kanununun 3. maddesinin 1. fıkrasının (ğ) bendinde “Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi” olarak düzenlenmiştir. Veri işleyen, veri sorumlusunun verdiği yetkiyle ve çizdiği sınırda kişisel verilerin işlenmesinin teknik yönüyle ilgilenir. Veri işleyenin yetkileri sınırlıdır ve verileri işlerken veri sorumlusuna bağlı olarak çalışır.

Kanunun 10. maddesinde veri sorumlusunun aydınlatma yükümlülüğü düzenlenmiştir: ‘’Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere Veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.’’ Kanunda da ifade edildiği üzere aydınlatma yükümlülüğü ilgili kişinin rızası olmaksızın tek taraflı beyanla gerçekleşebilir. Veri sorumlusunun yetkilendirdiği kişiler tarafından da gerçekleştirilebileceği Kanunda açıkça belirtilmiştir. Veri sorumlusu veri işleyeni aydınlatma yükümlülüğü konusunda yetkilendirebilir.

GEÇMİŞ SAĞLIK VERİLERİNİN DÜZELTİLMESİNE/SİLİNMESİNE YÖNELİK ŞİKÂYETLER HAKKINDA KİŞİSEL VERİLERİ KORUMA KURULUNUN 06/02/2020 TARİHLİ VE 2020/93 SAYILI KARARI

Kişisel Verileri Koruma Kurulu, ilgili kişilerin sağlık verilerinin silinmesine yönelik talebini Kişisel Verilerin Korunması Kanununa aykırı bulmuştur.

Kurulun gerekçeli kararında, Kanunun 6. maddesinin 3. fıkrası uyarınca; Sağlık ve cinsel hayata ilişkin kişisel veriler kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği ifade edilmiştir. Kurul, başta psikiyatrik tanılar olmak üzere, işlenmiş olan sağlık verilerinin hayatlarında soruna yol açtığı konusunda şikayette bulunan ilgili kişilerin şikayetleri konusunda işlem tahsis etmemiştir. Kanunun 28. Maddesinin (ç) bendinde düzenlendiği üzere, ‘’kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi’’ durumunda Kanun hükümleri uygulanmayacaktır.

Kurul, başta psikiyatrik tanılar olmak üzere işlenen sağlık verilerinin silinmesinin kamu sağlık ve güvenliği açısından risk oluşturduğunu belirterek, KVKK m.28/1 (ç) uyarınca, Kanundan doğan sildirme hakkının sağlık verileri için kullanılamayacağına karar vermiştir.

BİLİMSEL AMAÇLARLA KAYIT ALTINA ALINAN BİLİMSEL VERİ NİTELİĞİNDEKİ KAN, SERUM VE DOKU ÖRNEKLERİNİN İHMAL SONUCU BOZULMASI VE SONRASINDA İMHA EDİLMESİ HAKKINDAKİ İHBARA İLİŞKİN KİŞİSEL VERİLERİ KORUMA KURULUNUN 30/10/2019 TARİHLİ VE 2019/316 SAYILI KARARI

Kurul, kararında hastalardan alınmış olan “kan, serum ve doku” örneklerinin isim ve tüp sayılarına göre toplandığını, bu sebeple de anılan örneklerin hastaların kimliğine ulaşılmasını sağlayabilecek olmasından hareketle kişisel veri, bu verilerin belirli kriterlere göre sınıflandırılarak kayda alınması işlemini kişisel veri işleme faaliyeti olarak değerlendirmiştir.

Bununla birlikte Kanun’da 28. maddede “İstisna” olarak sayılan; kamu millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi durumunda, Kanun’un ihlale ilişkin hükümlerinin uygulanmayacağından hareketle, olaya konu verilerin işlenmesinin özel hayatın gizliliğini ya da kişilik haklarını ihlal etmediğine veyahut suç teşkil etmediğine karar verilmiştir.

BAZI AVUKATLARIN AVUKAT SORGULAMA SİTELERİ İLE İLGİLİ İHBAR BAŞVURULARI HAKKINDA KİŞİSEL VERİLERİ KORUMA KURULUNUN 30/06/2020 TARİH VE 2020/508 SAYILI KARARI

Başvuruya konu olayda bazı avukat sorgulama sitelerinde, avukatlara ait ad-soyad, e-posta ve fotoğrafların yayınlanmış olduğundan bahisle kişisel verilerin ihlalinin incelenmesi gündeme gelmiştir.

Kurul, kararında bu sitelerde yer alan kişisel bilgilerin avukatların baro levhası ve TBB resmi internet sitesindeki profillerinde yer alan verilerinden alınmış olabileceğini, dolayısıyla kendileri tarafından alenileştirilen kişisel verilerin işlenebileceği kanaatine varmıştır. Ayrıca sitelerde yer alan bilgilerin, baro levhası ve TBB sitesinde yer alan bilgilerden farklı olmadığı ve bu sebeple de yayımlanma amacından farklı bir amaç taşımadığı tespit edildiğinden kişisel verilerin işlenme şartlarına aykırı bir durumun da oluşmadığına karar verilmiştir.

BİR SİGORTA ŞİRKETİNİN İLGİLİ KİŞİYE VERECEĞİ HİZMETİ AÇIK RIZA ŞARTINA BAĞLAMASI SEBEBİYLE KURUMA İLETİLEN ŞİKÂYET HAKKINDA KİŞİSEL VERİLERİ KORUMA KURULUNUN 03/09/2020 TARİHLİ VE 2020/667 SAYILI KARARI

Sigorta şirketi, sağlık sigortası poliçesini yeniletmek isteyen başvurandan bu işlem için açık rıza talep etmiş ve başvuranın şikayeti de bu açık rıza talebi üzerine gerçekleşmiştir.

Kurul; kararında Kanun’un 6. Maddesinde yer alan sağlık verilerinin özel nitelikli kişisel veri sayıldığı ve bu verilerin de ilgilinin açık rızası olmadan işlenemeyeceğine atıf yapmış ve sağlık sigortası poliçesinin özel nitelikli kişisel veri sayılan sağlık verilerini içerdiğinden bahisle ilgilinin açık rızası olmaksızın yenilenemeyeceğine karar vermiştir.

İcra Müdürlükleri tarafından ilgili kişilerin yakınlarına haciz ihbarnamesi gönderilmesi hakkında Kişisel Verileri Koruma Kurulunun 17/09/2020 tarih ve 2020/710 sayılı Kararı

Karara konu olayda ilgili kişiler hakkında yürütülen icra takibi sırasında, ilgilinin icra ile ilgisi olmayan akrabalarına haciz ihbarnamesi gönderilmesi sonucu kişisel verilerin gizliliğinin ihlali incelenmiştir.

Kurul, kararında İcra ve İflas Kanunu’nun 89. Maddesi kapsamında alacağının tahsili amacıyla alacaklı tarafından bildirilen gerçek veya tüzel kişilere İcra Müdürlüklerince birinci haciz ihbarnamesi gönderilmesinde hukuken engel bulunmadığına ve bu ihbarnamenin gönderilmesi amacıyla üçüncü kişilerin kişisel verilerinin işlenmesinin Kişisel Verilerin Korunması Kanunu’nun 5. maddesinde yer alan “Kanunlarda açıkça öngörülme” şartını taşıdığından sebeple olaya konu üçüncü kişilerin kişisel verilerinin işlenmesinde ihlal söz konusu olmadığına karar vermiştir.