| Okuma Süresi: 7 Dakika

KVKK TARAFINDAN 19.03.2021 TARİHİNDE YAYIMLANAN YENİ KARAR ÖZETLERİ


“İLGİLİ KİŞİNİN TELEFON NUMARASI BİLGİSİNİN FARKLI VERİ SORUMLULARI TARAFINDAN HUKUKA AYKIRI OLARAK İŞLENMESİ”NE İLİŞKİN KİŞİSEL VERİLERİ KORUMA KURULUNUN 09/02/2021 TARİHLİ VE 2021/111 SAYILI KARAR ÖZETİ

Kişisel Verileri Koruma Kurulu, ilgili kişinin telefon numarası bilgisinin farklı veri sorumluları tarafından hukuka aykırı bir şekilde işlenmesi sonucunda veri sorumlularına toplam 225.000 TL para cezası verdi.

Kurul’un gerekçeli kararında, ilgili kişinin şirkete bağlı asıl borçlu olmadığı halde bir yakınına ait borç nedeniyle SMS ile rahatsız edilmesinin Kişisel Verileri Koruma Kanunu kapsamında hukuka aykırı veri işleme olduğunu belirtilmiştir. Kararda borçluya yönelik  icra takibi nedeniyle şirketin anlaşmış olduğu iki hukuk bürosunun bulunduğuna; ilk hukuk bürosundaki yetkili avukatın borçlunun yakını olan ilgili kişinin numarasına 118 Bilinmeyen Numaralar Servisi aracılığıyla ulaştığına ve Yasal Takip Sistemi’ne (YTS) girdiğine yer verilmiştir. Numaranın iletildiği ikinci hukuk bürosundaki yetkili avukatın ise numaranın ‘’borçlunun yakınına ait olduğu’’ belirtildiği halde hukuka aykırı işleme faaliyetinde bulunduğu tespit edilmiştir. Soruşturma sonucunda ilgili kişinin verisinin işlenmesine açık rızasının olmadığına ve bu nedenle verinin hukuka aykırı olarak işlendiğine karar verilmiştir.

Kurul, Kişisel Verileri Koruma Kanunu’nun 4. maddesi kapsamında işlenen verilerin doğru ve gerektiğinde güncel olmasını sağlama ve madde 12/1 (a) kapsamında verilerin hukuka aykırı olarak işlenmesini önleme yükümlülüğünü yerine getirmemesi sebebiyle veri sorumlusu şirkete 115.000 TL; iki avukata ise verileri hukuka aykırı olarak işlemeleri nedeniyle, her birine 50.000 TL olmak üzere, para cezası vermiştir.

“BİR KARGO FİRMASINDA ÇALIŞAN İLGİLİ KİŞİNİN İŞ AKDİNİN HAKSIZ FESHEDİLMESİ SONRASI ÖZLÜK DOSYASI KAPSAMINDA YER ALAN KİŞİSEL VERİLERİNİN BİRER SURETİNİN TARAFINA VERİLMESİ TALEBİNE VERİ SORUMLUSU TARAFINDAN CEVAP VERİLMEMESİ” HAKKINDA KİŞİSEL VERİLERİ KORUMA KURULUNUN 28/05/2020 TARİHLİ VE 2020/435 SAYILI KARAR ÖZETİ

Kişisel Verileri Koruma Kurulu, bir kargo firmasında çalışan ilgili kişinin iş akdinin haksız feshedilmesi sonrası özlük dosyası kapsamında yer alan kişisel verilerinin birer suretinin tarafına verilmesi talebine veri sorumlusu tarafından cevap verilmemesini Kişisel Verileri Koruma Kanunu’na aykırı kabul etmiştir.

İlgili kişinin şikayeti üzerine başlatılan soruşturma kapsamında kargo firması, iş akdinin feshi sebebiyle yargılama sürecinde olduklarını ve ilgili belgeleri karşı tarafa vermekle yükümlü olmadığına dair savunmada bulunsa da Kurul’un gerekçeli kararında, kişinin kimliğini belirten bütün bilgilerin kişisel veri sayıldığı ve bu kapsamda ilgili kişinin özlük dosyası kapsamında bulunan yazılı savunmasının ve istifa dilekçesinin de kişisel veri niteliğinde olduğu; kargo firması tarafından ilgili kişiye ait istifa dilekçesinin özlük dosyası kapsamında korunmasının ise veri sorumlusu sıfatıyla veri işleme faaliyeti sayıldığı belirtilmiştir. Bu kapsamda kararda, ilgili kişinin Kişisel Verilerin Korunması Kanunu’nun 11. maddesi uyarınca veri sorumlusuna başvurarak, işlenen kişisel verileri ile ilgili bilgi alma hakkının olduğuna; Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin 6. maddesinin (2) numaralı fıkrası ve Kanun’un 13. maddesi uyarınca, veri sorumlusunun başvuruya en kısa sürede ve en geç otuz gün içinde sonuçlandırması gerektiğine yer verilmiştir.

Kurul, kargo firmasını ilgili kişinin özlük dosyası kapsamında bulunan yazılı savunmasının ve istifa dilekçesinin örneklerini ilgili kişiye yasal süreler içerisinde vermesi için talimatlandırmıştır.

 

“HAKKINDA HÜKÜM VERİLDİĞİ SUÇTAN DOLAYI CEZASI İNFAZ EDİLEN İLGİLİ KİŞİYE AİT HABERİN YAYIMLANDIĞI GAZETENİN İNTERNET SİTESİNDEN KALDIRILMASI TALEBİ” HAKKINDA KİŞİSEL VERİLERİ KORUMA KURULUNUN 22/05/2020 TARİHLİ VE 2020/414 SAYILI KARAR ÖZETİ

Kişisel Verileri Koruma Kurulu, hakkında hüküm verildiği suçtan dolayı cezası infaz edilen kişinin söz konusu haberin bir gazetenin internet sitesinden kaldırılması talebiyle başvurusu üzerine, kamu yararı içeren haberlerin kişisel verilerin işlenmesi kapsamında olsa dahi hukuka uygun olduğunu kabul etti.

İlgili kişinin vekili, kişinin işlediği suçtan dolayı cezasının infaz edilmesi ve suça ilişkin haberin üzerinden uzun zaman geçmesine rağmen hala gazetenin internet sitesinde bulunmasının müvekkilini zor durumda bıraktığını öne sürerek haberin Kişisel Verilerin Korunması Kanunu’nun 7. maddesi kapsamında silinmesi talebiyle Kurul’a başvuruda bulunmuştur. Kurul vermiş olduğu kararda, söz konusu haberin Kanun’un 28. maddesinin 1.fıkrasının c bendinde bulunan ‘’kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi’’ kapsamında olduğunu ve bu kişisel verilerin işlenmesinin bu kapsamda hukuka uygun olduğunu belirtmiştir. Haberin biçimi ve özü arasında ölçü olduğu tespit edilmiş ve insan kaçakçılığı suçunu konu alan haber konusunda kamu menfaatinin devam ettiğine ve basın özgürlüğü kapsamında sayıldığına karar verilmiştir. Kurul, kamu menfaatinin olduğu durumda Kanun’da belirtilen hakların kullanılamayacağını belirtmiştir.

“İLGİLİ KİŞİNİN TAHLİL SONUÇLARININ VERİ SORUMLUSU HASTANE TARAFINDAN HUKUKA AYKIRI ŞEKİLDE ÜÇÜNCÜ KİŞİLERE AKTARILMASI” HAKKINDA KİŞİSEL VERİLERİ KORUMA KURULUNUN 20/05/2020 TARİHLİ VE 2020/407 SAYILI KARAR ÖZETİ

Kişisel Verileri Koruma Kurulu, özel nitelikli kişisel veri olan sağlık bilgilerini, ilgili kişinin açık rızası olmaksızın, üçüncü bir kişiye aktaran veri sorumlusu hastaneye 100.000 TL idari para cezası uyguladı.

İlgili kişinin başvurusu üzerine soruşturma başlatan Kurul, vermiş olduğu kararda kişinin sağlık bilgilerini Kişisel Verilerin Korunması Kanunu’nun 6. maddesi kapsamında özel nitelikli kişisel veri olduğunu ve 8. madde kapsamında ilgili kişinin açık rızası olmadan aktarılmasının hukuka aykırı olduğunu belirtmiştir. Kararda özel nitelikli kişisel veriler işlenirken Kanun’un 6. maddesinin 4. fıkrası uyarınca yeterli tedbirlerin alınması gerektiği; bu tedbirlerin Kurul kararı ile ‘’Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler’’ olarak Resmi Gazetede yayımlandığına yer verilmiştir.

Kurul, hastanın açık rızası olmadan kendisine ait tahlil sonuçlarının doktorun hastaneye bağlı olmadan çalışan özel asistanına gönderilmesini hukuka aykırı bulmuş ve hastaneye Kanun’un 18. maddesinin 1. fıkrasının (b) bendi uyarınca idari para cezası vermiştir.

“İŞVERENİN, İŞÇİSİNE AİT KİŞİSEL VERİLERİ VE ÖZEL NİTELİKLİ KİŞİSEL VERİLERİ; AYDINLATMA YÜKÜMLÜLÜĞÜNÜ YERİNE GETİRMEDEN VE HUKUKA AYKIRI İŞLEMESİ” HAKKINDA KİŞİSEL VERİLERİ KORUMA KURULUNUN 20/05/2020 TARİHLİ VE 2020/404 SAYILI KARAR ÖZETİ

Kişisel Verileri Koruma Kurulu, ilgili kişilerin açık rızasını almadan özel nitelikli kişisel verilerini işleyen, işlediği kişisel verileri ölçülülük ilkesine uymayan ve aydınlatma yükümlülüğünü yerine getirmeyerek özel nitelikli kişisel verileri hukuka aykırı olarak işleyen şirkete toplam 250.000 TL idari para cezası verdi.

İşlenen kişisel verileri hakkında bilgi alma talebiyle başvurduğu veri sorumlusu işverenin bilgilendirme yapmaması üzerine işçinin Kurul’a şikayet etmesi sebebiyle veri sorumlusu hakkında soruşturma başlatıldı. Kurul soruşturmasında, şirketin kişisel verileri muhafaza etme amaçlı bir teknolojik sisteme sahip olduğunu; ancak kişisel verileri işlemek için açık rıza beyanını alırken yeteri kadar açık olmadığını, hangi verilerin işleneceği konusunda bilgi vermediğini ve işçilere açık rıza vermeleri için baskı uygulandığını tespit etti. Ek olarak kararda alternatif yollar kullanılabileceği halde işçilerin parmak izlerinin alınmasının 4.maddede belirtilen ölçülülük ilkesine uygun olmadığı ve biyometrik verilerin Kişisel Verilerin Korunması Kanunu’nun 6.maddesi uyarınca ilgili kişilerin rızası olmaksızın işlenemeyeceği belirtildi.

Kurul, veri sorumlusuna Kanun’un 10.maddesi kapsamında aydınlatma yükümlülüğünü yerine getirmeyen şirkete m. 18/1 (a) uyarınca 50.000 TL; çalışanların açık rızası olmaksızın kişisel verilerini ve özel nitelikli kişisel verilerini işlediği, yurt dışına aktardığı ve ölçülülük ilkesine uymayarak hukuka aykırı bir şekilde kişisel verileri işlediği gerekçesiyle 200.000 TL idari para cezası uyguladı.

“İLGİLİ KİŞİNİN, CEZA MAHKÛMİYETİ VE GÜVENLİK TEDBİRLERİYLE İLGİLİ ÖZEL NİTELİKLİ KİŞİSEL VERİLERİNİN ÖZLÜK DOSYASINDAN ÇIKARILMASI TALEBİ” HAKKINDA KİŞİSEL VERİLERİ KORUMA KURULUNUN 20/05/2020 TARİHLİ VE 2020/396 SAYILI KARARI

Kişisel Verileri Koruma Kurulu, devlet memuru olan ilgili kişinin, kendisi hakkında verilmiş olan ceza mahkumiyetinde denetim süresinin dolmuş olması ve davanın düşmüş olması nedeniyle ceza mahkumiyeti ile ilgili özel nitelikli kişisel verilerinin özlük dosyasından çıkarılmasına yer olmadığına karar verdi.

Kurul, KVKK 7.madde uyarınca kişisel bilgilerinin silinmesini isteyen ilgili kişinin talebine karşın kişi hakkında verilmiş olan ceza mahkumiyetlerinin özel nitelikli kişisel veri olduğunu tespit etti; ancak Devlet Personel Başkanlığı’nın cevabı dikkate alındığında; ilgili kişinin söz konusu mahkeme kararını Kişisel Verilerin Korunması Kanunu düzenlenmeden önce veri sorumlusuna teslim ettiği; özel nitelikli kişisel veri olsa dahi ilgili kişinin açık rızasına gerek duyulmadığı ve Kamu Personeli Genel Tebliği uyarınca özlük dosyasındaki bilgi ve belgelerin saklanabileceği belirtildi.

Soruşturma sonucunda Kurul, Kişisel Verilerin Korunması Kanunu’nun yürürlüğe girmesinden önce gerçekleşen işlemenin varlığını sürdüreceğini; kanunilik unsuru bakımından hukuka uygun olduğunu ve işleme sırasında yürürlükte olan Tebliğ uyarınca mahkeme kararının özlük dosyasında saklanabileceğine ve çıkarılmasına yer olmadığına karar verdi.

“BİR TIP MERKEZİNİN İNTERNET SİTESİNDE VİDEO TANITIM BÖLÜMÜ İÇERİSİNDE GÖRSEL VE İŞİTSEL KİŞİSEL VERİLERİ İŞLENEN İLGİLİ KİŞİNİN BAŞVURUSUNA VERİ SORUMLUSU TIP MERKEZİ TARAFINDAN CEVAP VERİLMEMESİ” HAKKINDA KİŞİSEL VERİLERİ KORUMA KURULUNUN 14/05/2020 TARİHLİ VE 2020/379 SAYILI KARAR ÖZETİ

Kişisel Verileri Koruma Kurulu, kişisel verileri işlemeye sebep olan konu ortadan kalktığı halde video kayıtlarıyla pazarlama amacıyla ilgili kişinin verisini işleyen ve başvuruya süresinde cevap vermeyen veri sorumlusu Tıp Merkezi’ne 75.000 TL idari para cezası verdi.

İş akdi feshedildiği için geçerli bir sebep olmaması nedeniyle işitsel ve görsel verilerinin reklam amaçlı çekilen videodan kaldırılmasını isteyen ilgili kişinin başvurusuna KVKK 13. madde ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ uyarınca 30 gün içerisinde cevap verme yükümlülüğü  bulunan Tıp Merkezi, ilgili kişiye cevap vermedi ve ilgili kişinin şikayetiyle başlatılan Kurul soruşturmasına da savunma ve belge sunmadı. Kurul gerekçeli kararında, Kişisel Verilerin Korunması Kanunu’nun 7. ve 11. maddeleri kapsamında veri işlemeye ilişkin sebebin ortadan kalktığını ve ilgili kişinin talebi üzerine verilerin işlenmesinin durdurulması gerektiğini belirtti.

Kurul, veri sorumlusu Tıp Merkezi’ne Kişisel Verilerin Korunması Kanunu’nun 12.maddesi uyarınca hukuka aykırı işlemeyi önlemediği gerekçesiyle idari para cezası uyguladı. Başvurulara süresinde dönmeye özen göstermesi konusunda ve ilgili kişiye ait verilerin hukuka aykırı şekilde işleme faaliyetinin durdurulması ve kişisel verilerin silinmesi konusunda veri sorumlusunu talimatlandırdı.

“İLGİLİ KİŞİNİN KENDİSİNE İLETİLMESİ GEREKEN CEVAP YAZISININ VERİ SORUMLUSU TARAFINDAN RESMİ YAZI ŞEKLİNDE, ÇALIŞTIĞI BİRİME GÖNDERİLMESİ” HAKKINDA KİŞİSEL VERİLERİ KORUMA KURULUNUN 05/05/2020 TARİHLİ VE 2020/336 SAYILI KARAR ÖZETİ

Kişisel Verileri Koruma Kurulu, ilgili kişinin kendisine özel olarak iletilmesi gereken cevap yazısını aleni bir şekilde çalıştığı birime gönderen veri sorumlusunun 6698 Sayılı Kişisel Verilerin Korunması Kanunu’na aykırı hareket ettiğine karar verdi.

İlgili kişinin aynı kurum içerisinde veri sorumlusu olarak daha önce personeli olduğu birimden 4982 sayılı Bilgi Edinme Hakkı Kanunu kapsamında vermiş olduğu dilekçeye dair bilgi talep ettiği; ancak verilmesi gereken bilginin aynı kurumda yeni çalıştığı birime kişisel bilgilerini herkesin görebileceği, aleni bir şekilde gönderilmesi üzerine veri sorumlusuna başvurduğu ama veri sorumlusunun cevap verme yükümlülüğünü yerine getirmediği tespit edildi. Kişisel Verilerin Korunması Kanunu 13.madde ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ uyarınca yasal süre içerisinde cevap verme yükümlülüğü  bulunan veri sorumlusunun cevap vermemesi sebebiyle ilgili kişinin şikayeti üzerine Kurul soruşturma başlattı.

Kurul, veri sorumlusunun başvurulara yasal süre içerisinde cevap verme konusunda gerekli özeni göstermesi için talimatlandırılmasına; kişisel verileri aleni  şekilde açık rıza olmaksızın işlemesi sebebiyle de KVKK m.18/3 kapsamında bulunduğu kurum içerisinde veri sorumlusu hakkında disiplin işlemlerinin uygulanmasına karar vermiştir.

 

İLGİLİ KİŞİNİN ARAÇ KİRALAMA HİZMETİ ALMASI ESNASINDA KİŞİSEL VERİLERİNİN İŞLENMESİNE DAİR AÇIK RIZA VERMEMESİ ÜZERİNE KİRALAMA HİZMETİNDEN YARARLANDIRILMAMASI”NA İLİŞKİN KİŞİSEL VERİLERİ KORUMA KURULU’NUN 05/05/2020 TARİHLİ VE 2020/335 SAYILI KARAR ÖZETİ

Kişisel Verileri Koruma Kurulu, verileri işlerken hukuka ve dürüstlük kuralına uygun olma ilkesini ihlal eden ve Kişisel Verilerin Korunması Kanunu’nun 12.maddesi uyarınca, kişisel verilerin hukuka aykırı olarak işlenmesini önleme yükümlülüğünü yerine getirmeyen veri sorumlusu araç kiralama şirketine 50.000 TL idari para cezası verdi.

Kurul gerekçeli kararında, Kimlik Bildirme Kanunu uyarınca, aracı kiralayan ilgili kişinin kişisel verilerinin veri sorumlusu tarafından Kiralık Araç Bildirim Sistemine (KABİS) kaydının zorunlu olduğunu ve Kişisel Verilerin Korunması Kanunu’nun 5.maddesinin 2.fıkrasının (a) bendi kapsamında kanunlarda açıkça öngörülmesi ve c bendi kapsamında bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması durumlarında ilgili kişinin açık rızasına gerek duyulmadan kişisel verilerin işlenebileceği halde; açık rızanın istenmesi ve verilmemesi sonucunda ilgili kişinin hizmetten yararlandırılmamasının veri sorumlusunun hakkını kötüye kullanması olduğu belirtilmiştir. Söz konusu işlemi ilgili kişiyi yanıltmak olarak gören Kurul, Kanun’un 4.maddesindeki hukuka ve dürüstlük kurallarına uygunluk ilkesinin de ihlal edildiği sonucuna varmıştır. Ek olarak Kurul, Kişisel Verilerin Korunması Kanunu 13.madde ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ uyarınca yasal süre içerisinde cevap verme yükümlülüğü  bulunan veri sorumlusunun cevap vermemesini Kanun’a aykırı bulmuştur ve başvurulara yasal süre içinde etkin ve hukuka uygun cevaplar vermesi konusunda veri sorumlusunu talimatlandırmıştır.