Kişisel Verileri Koruma Kurulu Şubat Ayı Karar Özetleri

Abone Ol

1. İcra Müdürlükleri tarafından ilgili kişilerin yakınlarına haciz ihbarnamesi gönderilmesi hakkında 17/09/2020 tarih ve 2020/710 sayılı Karar Özeti:

Konu Özeti: İcra dosyasının tarafı olan ilgili kişilerin icra takibi ile ilgisi bulunmayan akrabalarına İcra Müdürlükleri tarafından haciz ihbarnamesi gönderilmesi.

- Kişisel verilerinin hukuka aykırı bir şekilde akrabaları ile paylaşılması hakkında bilgi talebi ile başvuruda bulunulduğu, veri sorumlusunun cevabi yazısında ise, “Alacaklı vekili tarafından bildirilen üçüncü şahıslara İcra ve İflas Kanunu (İİK) 89/1 Haciz ihbarnamesi gönderilmiş olup, haciz ihbarnamesi alacaklı ve borçlu dışında bulunan bütün üçüncü şahısları kapsamakta olduğundan Müdürlüğümüzce yapılan işlemde hukuka aykırılık bulunmamaktadır…” ifadelerine yer verildiği,

- Benzer nitelikte bir olayda, Yargıtay 12. Hukuk Dairesinin 15.04.2013 tarihli ve E:2013/5621 K:2013/14186 sayılı kararında, haciz ihbarnamesi gönderilmesi istenen kişilerin borçluya nazaran üçüncü kişi sayılamayacakları gerekçesi ile haciz ihbarı gönderilmesi isteminin yerine getirilmesi konusunda İcra Müdürü’nün herhangi bir takdir yetkisinin bulunmadığı hususunun vurgulandığı,

- İlgili kişilerin kişisel verilerinin üçüncü kişilerle paylaşılması hususuna ilişkin olarak; İcra ve İflas Kanunu’nun 89 uncu maddesi kapsamında borçlunun üçüncü kişilerdeki alacağının tahsili amacıyla alacaklı tarafından bildirilen gerçek veya tüzel kişilere İcra Müdürlüklerince birinci haciz ihbarnamesi gönderilmesinde hukuken engel bulunmadığına, İcra Müdürlükleri nezdinde gerçekleştirilen ilgili kişilerin kişisel verilerinin işlenmesi faaliyetinin Kişisel Verilerin Korunması Kanun’un 5(2) (‘’Kanun’’) numaralı fıkrası kapsamında Kanunlarda açıkça öngörülme’ şartına dayanılarak gerçekleştirildiğine, bu çerçevede söz konusu başvuruya ilişkin olarak Kanun kapsamında yapılacak bir işlem bulunmadığına

karar verilmiştir.

2. Bir sigorta şirketinin ilgili kişiye vereceği hizmeti açık rıza şartına bağlaması sebebiyle Kuruma iletilen şikâyet hakkında 03/09/2020 tarihli ve 2020/667 sayılı Karar Özeti

Konu Özeti: İlgili kişinin veri sorumlusu bir sigorta şirketine başvurarak ailesi adına düzenlettiği sağlık sigortası poliçesini yenilemek istediği; ancak veri sorumlusunun kendisinden poliçeyi yenilemek için açık rıza almak istediği ifade edilmesi.

- Sağlık sigortası poliçesinin özel nitelikli kişisel veri niteliğini haiz sağlık verilerini içerdiği, poliçede yer alan sağlık verilerinin ise Kanunun 6(3) numaralı fıkrası kapsamında işlenemeyeceği, veri işlemenin ancak ilgili kişiden açık rıza alınması yoluyla gerçekleştirilebileceği ve bu nedenle ilgili kişiden açık rıza alınması talebinin Kanun’a aykırılık teşkil etmediği

karar verilmiştir.

3. Bazı avukatların avukat sorgulama siteleri ile ilgili ihbar başvuruları hakkında 30/06/2020 tarih ve 2020/508 sayılı Karar Özeti

Konu Özeti: Avukat sorgulama sitelerinde ad soyadı, kayıtlı bulundukları baro ve Türkiye Barolar Birliği (TBB) sicil numaraları, e-posta adresleri ve fotoğraflarının yayımlandığı, söz konusu verilerin rızaları olmaksızın hukuka aykırı olarak elde edilmesi.

- Bahsi geçen internet sitelerinden; birçoğuna ulaşılamadığı, erişilebilen sitelerde ise ilgili kişilerden sadece birinin profilinin bulunduğu, bu profilde ise yalnızca ilgili kişinin e-posta adresinin yer aldığı ve bu bilginin, ilgili kişinin kayıtlı olduğu ilin baro levhası ve TBB resmi internet sitesindeki profilinde de yer aldığı ve bahsi geçen sitelerin ilgili kişinin e-posta adresini TBB resmi internet sitesinden çekmiş olabileceği hususunda ilgili kişinin kendisi tarafından alenileştirilen kişisel verilerinin işlenebileceği kanaatine varıldığı ve işlenen kişisel verinin Kanun’un 4 üncü maddesindeki genel ilkelere aykırı bir işleme faaliyeti olmadığına,

- Bahsi geçen internet sitelerinde; il baroları levhalarında ve TBB internet sitelerinde yayımlanan bilgilerden farklı bir bilgi yayımlanmadığı, yayımlanan bilgilerin il baroları levhalarında ve TBB internet sitesinde yayımlanma amacından farklı bir amaçla yayımlandığına ilişkin bir tespit yapılamadığı, söz konusu kişisel verileri düzeltme veya silme imkânlarının ilgili kişilere tanındığı göz önünde bulundurulmakla mevcut ihbar başvuruları hakkında Kanun’un 5 inci maddesinde yer verilen kişisel verilerin işlenme şartlarına aykırı bir durumun gerçekleşmediği kanaatine varıldığından Kanun kapsamında yapılacak bir işlem bulunmadığına

karar verilmiştir.

4. Bilimsel amaçlarla kayıt altına alınan bilimsel veri niteliğindeki kan, serum ve doku örneklerinin ihmal sonucu bozulması ve sonrasında imha edilmesi hakkındaki ihbara ilişkin 30/10/2019 tarihli ve 2019/316 sayılı Karar Özeti

Konu Özeti: Bilimsel amaçlarla kayıt altına alınan bilimsel veri niteliğindeki kan, serum ve doku örneklerinin ihmal sonucu bozulması ve sonrasında imha edilmesi hakkındaki ihbar.

- Bilimsel veri, kan ve doku bankası” olarak adlandırılan ve dilekçe ekinde yer alan doküman ve resimlerden hastalara ilişkin örnekler üzerinde çeşitli barkodların olduğunun görülmesi ile doku ve kan bankasındaki listede bu örneklerin, isim ve ependorf (tüp) sayılarına göre dolaplara yerleştirildiğinin anlaşılması nedeniyle anılan örneklerin hasta kişilerin kimliğine ulaşılmasını sağlayabilecek olmasından hareketle kişisel veri, bu verilerin belirli kriterlere göre sınıflandırılarak kayda alınması işleminin ise kişisel veri işleme faaliyeti olarak değerlendirildiği,

- Bununla birlikte, Kanun’un “İstisnalar” başlıklı 28 (1) (c) bendi uyarınca kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla; sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi durumunda, bu Kanun hükümlerinin uygulanmayacağı,

değerlendirildiğinden şikâyet hakkında bu aşamada yapılacak bir işlem olmadığına karar verilmiştir.

5. Geçmiş sağlık verilerinin düzeltilmesine/silinmesine yönelik şikâyetler” hakkında 06/02/2020 tarihli ve 2020/93 sayılı Karar Özeti

Konu Özeti: Geçmiş sağlık verilerinin düzeltilmesine/silinmesine yönelik şikâyetler.

Geçmişte çeşitli sebeplerle kaydedilen sağlık raporlarının ve özellikle psikiyatrik hastalık tanılarının yaşamlarında sorun teşkil ettiği ve girmiş oldukları ve/veya girmeyi planladıkları çeşitli sınavların bu kayıtlardan dolayı olumsuz sonuçlandığı ve/veya sonuçlanacağı, ancak bu rapor/tanıların gerçeği yansıtmadığı ifadelerine yer verilerek söz konusu kişisel verilerin sağlık kayıtlarından düzeltilmesi ya da silinmesi talep edilmiştir.

Konuya ilişkin olarak başlatılan inceleme çerçevesinde veri sorumlusu Bakanlıktan alınan yazıda;

- Anılan mevzuat hükümleri çerçevesinde kişilere kendi verilerini silme hakkının verilmediğinin değerlendirildiği, bu hususun Kanun ve ikincil düzenlemelerden de anlaşıldığı, veri silme taleplerinin ilgili kişi tarafından veri sorumlusuna iletilebileceği ve ancak belirli şartların varlığı halinde kişisel verilerin silinebileceğinin düzenlendiği,

- Bu kapsamda, kişilerin sağlık geçmişlerinde yer alan psikiyatrik tanıların silinmesi halinde kamu güvenliği ve kamu düzeni bakımından çok ciddi tehditlerin gündeme gelebileceği, kişilerin kendilerine konulan psikiyatrik tanılar nedeniyle alamadıkları sürücü ehliyeti ve silah ruhsatı gibi belgeleri almaya hak kazanabilecekleri, gerçekte var olmasına ya da var olmadığı ispat edilmemiş olmasına rağmen silinen rahatsızlıkların etkileri ile istenmeyen olayların yaşanabileceğinin değerlendirildiği,

- Kanun’un tam muafiyet hallerinin düzenlendiği 28 inci maddesinin birinci fıkrasında kamu güvenliği ve kamu düzenine yer verildiği ve önemlerine binaen bu şartlardan herhangi birisinin varlığı durumunda Kanunun uygulanmayacağına yer verildiği,

- Sonuç olarak, ilgili kişilerin sağlık geçmişlerinde yer alan psikiyatrik tanıların, Bakanlıklarınca resen veya ilgili kişinin başvurusu üzerine kamu güvenliği ile kamu düzeni bakımından büyük bir tehdit doğuracağı ve bu sebeple ilgili tanıların silinmesinin uygun olmayacağının değerlendirildiği,

belirtilmiştir.

Kurum’un değerlendirmesi;

- İlgili kişilerin kişisel sağlık verilerinin düzeltilmesi talepleri hususunda, Kişisel Sağlık Verileri Hakkında Yönetmeliğin 13 üncü maddesi kapsamında ilgili il sağlık müdürlüklerine başvuruda bulunmaları ve il sağlık müdürlükleri tarafından başvurularına olumsuz cevap verilmesi sebebiyle Kurula yaptıkları şikâyetler kapsamında; kişisel sağlık verilerinin işlenme şartlarının “kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi” şartının ortadan kalkmaması sebebiyle kaydedilen sağlık verilerinin bu amaca hizmet ettiği dikkate alındığında

bahse konu şikâyetler ile ilgili olarak Kanun kapsamında yapılacak bir işlem olmadığına karar verilmiştir.

6. Veri sorumlusu ve veri işleyenin tespitinde göz önünde bulundurulması gereken hususlar ile aydınlatma yükümlülüğünün kim tarafından yerine getirileceğine ilişkin 30/01/2020 tarihli ve 2020/71 sayılı Karar Özeti

Veri sorumlusu kimseden emir ve talimat almayan, bilakis bir başka kişiye veri işletmesi halinde bu hususta emir ve talimat veren, veri işleme süreçlerinin her anında serbestçe karar verme yetkisine sahip olan gerçek veya tüzel kişilerdir.

Ulusal ve Avrupa Birliği’nde mevcut tüm düzenlemelerin değerlendirilmesi ışığında, veri sorumlusunun tespiti için aşağıdaki hususlara kimin karar verdiği belirleyici olmakta, bu kapsamda söz konusu kriterlerin çoğunu gerçekleştirenler, veri sorumlusu olarak değerlendirilmektedir.

- Kişisel verilerin toplanması ve toplama yöntemi,

- Toplanacak kişisel veri türleri,

- Hangi bireylerin kişisel verilerinin toplanacağı,

- Kişisel verinin işlenmesine ve kimin işleyeceğine karar verme,

- İşleme faaliyetinin temel unsurlarına karar verme (hangi kişisel verilerin toplanacağı, toplanan verilerin hangi amaçlarla kullanılacağı ve ne şekilde işleneceği, verilerin ne kadar süreyle saklanacağı, veri saklama politikasının ne şekilde olacağı, verilere kimlerin erişme yetkisi olacağı, alıcıların kim olacağı gibi hususlar işlemenin temel unsurlarına örnek olarak gösterilebilir)

- Toplanan verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kiminle paylaşılacağı,

- Kişisel verilerin işlenmesinde üst düzeyde, herhangi bir emir ve talimat almadan karar verebilme,

- İlgili kişilerle doğrudan muhatap olma,

- Kendi adına veri işleme faaliyetini yürütecek bir veri işleyen atama,

- İşleme faaliyetinden menfaat sağlama.

Bununla birlikte veri sorumlusu, kişisel verilerin korunmasına yönelik mevzuata uyumla ilgili tedbirlerin alınmasından, veri işleyeni denetimden ve ilgili kişilerin haklarını kullanabilmesini sağlamaktan sorumludur. Veri sorumlusunun özerk ve bağımsız olması da önem arz etmektedir.

Bununla birlikte veri sorumlusu, yapacağı kişisel veri işleme sözleşmesi ile;

- Kişisel verilerin toplanması için hangi bilgi teknolojileri sistemlerinin veya diğer metotların kullanılacağı,

- Kişisel verilerin hangi yöntemle saklanacağı,

- Kişisel verilerin korunması için alınacak güvenlik önlemlerinin detayları,

- Kişisel verilerin aktarımının hangi yöntemle yapılacağı,

- Kişisel verilerin saklanmasına ilişkin sürelerin doğru uygulanabilmesi için kullanılacak metot,

- Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi yöntemleri

hususlarında karar verme yetkisini veri işleyene bırakabilir. Yani, özellikle bazı teknik konularda veri sorumlusunun menfaatlerine bağlı kalmak ve talimatlarına uymak koşuluyla, veri işleyen de bazı konularda karar verme yetkisine haiz olabilir. Diğer taraftan, veri işleyenin tespiti için genel itibariyle;

- Kişisel veri işlemek için başkasından talimat alınması,

- Kişisel verilerin kişilerden toplanması sürecinde karar verme yetkisine sahip olmamak,

- Kişisel verilerin kullanım amaçlarının belirlenmemesi,

- Verilerin ne şekilde ifşa olabileceğine, kimlerin bu verilere erişebileceğine karar verme yetkisine sahip olmamak,

- Veri saklama sürecine karar verme yetkisine sahip olmamak,

- Veri işlemenin sonuçlarından sorumlu olmaması,

- Veri sorumlusu ile yapılacak sözleşme gibi yasal bağlayıcılığı olan anlaşmalar çerçevesinde veri sorumlusunun verdiği yetkiler çerçevesinde kişisel verilerin işlenmesine yönelik birtakım karar verme mekanizmalarının söz konusu olup olmadığı

hususları değerlendirilmek suretiyle yukarıda sayılanların çoğunun bulunması halinde veri işleme faaliyetini gerçekleştiren veri işleyen olarak kabul edilecektir.

Son olarak, aydınlatma yükümlülüğü bizzat veri sorumlusu tarafından veya veri sorumlusunun yetkilendirdiği bir kişi tarafından yerine getirilebilir. Veri sorumlusu tarafından yetkilendirilen kişi de veri işleyen olabilir. Diğer bir deyişle, aydınlatma yükümlülüğünün bizzat veri sorumlusu tarafından mı yoksa yetkilendireceği kişi tarafından mı yerine getirileceği konusunda Kanun, veri sorumlusuna seçim hakkı tanımıştır.

7. Belediyede memur olarak görev yapan ilgili kişinin, veri sorumlusu bünyesinde işe giriş çıkış takibinin biyometrik veri işlenerek yapılması hakkında 01/12/2020 tarihli ve 2020/915 sayılı Karar Özeti

Konu Özeti: Her personel için parmak izi bilgilerinin alındığı ve sisteme tanıtıldığı, kendisine ait olan parmak izi bilgilerinin veri sorumlusunun kayıt sisteminden, kağıt ortamından ve elektronik ortamdan silinmesi ve kendisine bilgi verilmesi talebiyle veri sorumlusuna başvuru yaptığı fakat isteğinin kabul edilmediği belirtilmiştir.

- biyometrik veri tanımına Kanun’da yer verilmemekle birlikte, 25.05.2018 tarihinde yürürlüğe giren Avrupa Genel Veri Koruma Tüzüğünde (GDPR) biyometrik verinin; “yüz görüntüleri veya daktiloskopik veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel veriler” olarak tanımlandığı,

- bir verinin biyometrik veri kapsamında değerlendirilebilmesi için o verinin sadece o kişiyi tanımlayabilme ya da doğrulayabilme özelliğine sahip olmasının kriter alındığının değerlendirildiği,

- Kişisel verilerin işlenmesi ilgili kişinin iznine bağlı olarak gerçekleştirilse ve belirli bir amaca bağlı olsa bile açık rızanın aşırı miktarda veri toplanmasını meşrulaştırmayacağı, buna göre kişisel verilerin yalnızca belirli amaçlar için ve gerektiği kadar toplanması ve amacın gerektirdiği yerlerde kullanılması gerektiği,

- Danıştay 5. Dairenin 2013/5342 E. ve 2013/9525 K. sayılı Kararına atıfla; mesai kontrolü için parmak izi alınması gibi çoğunlukla üstün güvenlik önlemi alınmasına ihtiyaç duyulan alanlarda kullanılan yöntem yerine alternatif yollara başvurulabileceği, dolayısıyla veri sorumluları bünyesinde mesai kontrolü amaçlı giriş ve çıkışlar için parmak izi okutma sisteminin kurulmasının Kanunun “Genel İlkeler” başlıklı 4 üncü maddesi kapsamında ele alınması gerektiği, üstün güvenlik önlemi alınmasına ihtiyaç duyulmayan alanlarda yalnızca mesai kontrolü amacıyla parmak izi alınmasına yönelik uygulamaların mezkur maddenin (ç) bendindeki ölçülülük ilkesine aykırı olduğu,

- ilgili kişinin parmak izinin açık rızasına dayanılarak alınıp alınmadığı hususunun anlaşılamadığı; ancak işe giriş ve çıkışlarda söz konusu kişisel verisinin işlenmesinin devam etmesi noktasında ilgili kişinin onayı olmadan parmak izinin işlenemeyeceği hususunda şikayeti bulunduğu dikkate alındığında ilgili kişinin parmak izi kullanılarak mesai kontrolü yapılması hususunda açık rızasının olmadığı kanaatine varıldığı,

- veri sorumlusu tarafından mesai kontrolü için parmak izi, sicil numarası ve şifreli giriş, ıslak imzalı form yöntemlerinin kullanıldığı, covid-19 salgını sebebiyle halihazırda müdürlüklerde personel kontrolünün ıslak imzalama metodu ile sağlandığı, parmak izi sisteminin devre dışı olduğuna yönelik savunması dikkate alındığında işe giriş ve çıkış kontrollerinin biyometrik verileri işlemenin haricinde alternatif yollar ile sağlanabildiği, dolayısı ile üstün güvenlik önlemleri alınmasını gerektirecek bir durumun da olmadığının görüldüğü, ölçülülük ilkesine aykırı olduğu kanaatine varıldığı,

- söz konusu başvurunun Kişisel Verilerin Korunması Başvuru Formu ile yapılmaması, başvurunun veri sorumlusu görevini yürütmekte olan personele ulaştırılmaması ve çalıştığı Müdürlüğe verilmiş olan dilekçenin İnsan Kaynakları ve Eğitim Müdürlüğüne Bilgi ve Belge Talebi konulu başvuru olarak gönderilmesi nedeniyle ilgiliye ait başvurunun Kanun kapsamında değerlendirilmediği, öte yandan söz konusu evraka sayı numarası verildiğinin açık olduğu ancak veri sorumlusunun ilgili kişinin başvurusunu Kanun kapsamında değerlendirmeyip kişisel verisinin silinmesi hususunda herhangi bir ifadeye yer vermeyerek ilgili kişinin talebini cevaplamadığı, bu durumun dürüstlük kuralı ile bağdaşmadığı

değerlendirmelerinden hareketle;

- veri sorumlusu bünyesinde mesai kontrolü amacıyla biyometrik veri olan parmak izinin işlenmesinin amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırı olduğu ve Kanunun 12 (1)(a) bendine aykırılık teşkil ettiği değerlendirildiğinden, veri sorumlusu bünyesinde görev yapan kişiler hakkında disiplin hükümlerinin işletilmesine ve sonucunun Kurula bildirilmesine,

- bugüne kadar işlenen ve muhafaza edilen parmak izi ile ilgili verilerin Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun olarak ivedilikle imha edilmesi, salgın dönemi dışında da geçerli olmak üzere alternatif yollarla sağlanması, biyometrik veri ile giriş çıkış işlemleri yapılması uygulamasına son verilmesi ve mevcut sistemin kaldırılması hususlarında veri sorumlusunun talimatlandırılmasına,

karar verilmiştir.

8. Unutulma hakkı kapsamında ilgili kişinin arama motorunda adı ve soyadı ile bağlantılı sonuçların kaldırılması talebine ilişkin 08/12/2020 tarihli ve 2020/927 sayılı Karar Özeti

Konu Özeti: Üniversite’de öğretim üyesi olarak görev yapmakta olan bir kişinin, aynı üniversitede açılan akademik kadroya aile yakınının alınmasında usulsüzlük bulunduğu hususunda yapılan haberlerin arama motorunda ilgili kişinin adı ve soyadı ile arama yapıldığında listelenmemesine yönelik talebi

Kişisel Verileri Koruma Kurulu’nun “Kişilerin Ad ve Soyadı ile Arama Motorları Üzerinden Yapılan Aramalarda Çıkan Sonuçların İndeksten Çıkarılmasına Yönelik Talepler”e ilişkin olarak almış olduğu 23.06.2020 tarih ve 2020/481 sayılı Kararı ile;

- Arama motorlarının veri sorumlusu olarak kabul edilmesine,

- ilgili kişilerin öncelikle arama motorlarına başvuruda bulunmaları, veri sorumlusu arama motorlarının söz konusu talepleri reddetmeleri veya başvuru sahibine cevap vermemeleri halinde ilgili kişilerce Kurula şikâyette bulunabileceklerine,

- ilgili kişinin temel hak ve özgürlükleri ile kamunun söz konusu bilgiyi edinmesinden sağlayacağı menfaatler arasında bir denge testi yapılması, yarışan menfaatlerden hangisinin ağır bastığının gözetilmesi ve bu değerlendirme yapılırken öncelikli olarak karar ekinde yer verilen açıklamaların dikkate alınması ancak bu konudaki şikâyetlerin değerlendirme sürecinde dikkate alınacak kriterlerin bunlarla sınırlı olmayacağı, her somut olay özelinde Kurulca ilave ölçütlerin de gündeme gelebileceğine,

karar verilmiştir.

Bu kapsamda, ilgili kişinin arama motorundan adı ve soyadı ile bağlantılı sonuçların kaldırılmasına yönelik talebinin değerlendirilmesi neticesinde;

- İlgili kişinin kamu üniversitesinde görev yapmakta olduğu,

- başvuru konusu hususlarda ilgili kişinin aile yakınının işe alınması ile ilgili usulsüzlük iddiaları sonucunda üniversite tarafından soruşturma açıldığı bilgisinin doğru olduğu,

- haberin ilgili kişinin çalışma yaşamına ilişkin olduğu ve ilgili kişinin hâlihazırda aynı işi yaptığı,

- bilgilerin özel nitelikli kişisel veri niteliği taşımadığı,

- yapılan haberlerin 2020 tarihli olduğu, dolayısıyla güncel olduğu,

- bilginin kişi açısından risk doğurmadığı ve içeriklerin gazetecilik faaliyeti kapsamında değerlendirilebileceği,

- bilginin kişi hakkında ön yargıya sebep olabileceği ancak bunun kanıtlanabilir nitelikte olmadığı,

- ilgili kişiye ilişkin bilgilerin yayınlanmasında yasal zorunluluk bulunmadığı,

- bilginin kişinin kendisi tarafından yayımlanmadığı,

- bilginin ceza gerektiren bir suçla ilgili olmadığı

hususları göz önünde bulundurularak ilgili kişi hakkında yayınlanan içeriklerin arama motorundan kaldırılması yönündeki talebine ilişkin olarak veri sorumlusu tarafından yapılan işlemin 23.06.2020 tarih ve 2020/481 sayılı Kurul Kararı ekinde yer alan kriterler açısından yerinde olduğuna, bu kapsamda söz konusu şikayet ile ilgili olarak Kanun kapsamında tesis edilecek bir işlem bulunmadığına,

- Diğer taraftan ilgili kişinin haber içeriğinin gerçeği yansıtmadığına yönelik iddialarının ise yargı mercileri nezdinde ileri sürülmesi gerektiğine

karar verilmiştir.

9. Veri sorumlusu hastanede uygulanan beyaz kod kapsamında ilgili kişinin işlenen kişisel verileri hakkında 27/01/2020 tarihli ve 2020/63 sayılı Karar Özeti

Konu Özeti: Hastane görevlileri ile arasında yaşadığı tartışma sonucunda barkot alamadan hastaneden ayrılmak durumunda kaldığı, bahse konu hastane görevlilerinin yaşanan tartışma olayından 1 yıl 3 ay sonra tutanak tuttuğu, bu tutanak aracılığıyla savcılığa suç duyurusunda bulunulduğu, bu sebeple adli para cezasına mahkûm edildiği ve vekâlet ücreti ödemek zorunda kaldığı, hastane görevlilerinin kamu gücünü kullanarak ilgili kişinin açık rızası olmaksızın adı, soyadı ve T.C. kimlik numarası bilgilerini hastane verilerinden alarak olay yeri tutanağına işlediği ile ilgili talep hakkında

- söz konusu kişisel verilerin Kanunun 5 (2)(ç) bendi uyarınca veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi kapsamında işlendiği kanaati oluştuğundan, söz konusu şikâyete ilişkin Kanun kapsamında yapılacak bir işlem olmadığına

karar verilmiştir.

10. İlgili kişinin ortağı olduğu şirkette kullandığı e-posta adresine izinsiz ve hukuka aykırı olarak erişildiği iddiası hakkında 27/01/2020 tarihli ve 2020/59 sayılı Karar Özeti

Konu Özeti: İlgili kişinin ortağı bulunduğu …….Ltd. Şti bünyesinde kullanmakta olduğu (ismininbaşharfivesoyadı)@şirketadı.com.tr şeklindeki ve kişisel verilerinin de bulunduğu kişisel e-posta hesabına izinsiz ve hukuka aykırı olarak erişildiği, erişim ayarlarının değiştirildiği, söz konusu e-posta hesabına ait tüm verilerin silinmesi ve kaldırılması konusunda bu e-posta hesabının bulunduğu IP adreslerinin sahibi veri sorumlusu … Menkul Kıymetler AŞ’den noter kanalıyla talepte bulunulduğu; ancak, talebin reddedildiği belirtilerek Kuruma yapmış olduğu şikayet hakkında

- Kişinin ortağı olduğu şirkete ilişkin hakların korunması amacıyla söz konusu e-posta adresine ilişkin sunucu yedek kayıtlarından elde edilen kişisel verilerin Kanun’un 5 (2)(e) bendinde yer alan “…. bir hakkın tesisi, kullanılması ve korunması kapsamında veri işlemenin zorunlu olması” kapsamında işlendiği ve kişisel veriler kullanılarak Asliye Ticaret Mahkemesi nezdinde açılan dava nedeniyle gerçekleştirilen kişisel veri işleme faaliyetinin ise Kanun’un 28 (1)(d) bendi hükmü kapsamında olduğu değerlendirildiğinden söz konusu şikayet ile ilgili Kanun kapsamında yapılacak bir işlem bulunmadığına

karar verilmiştir.

11. Kişisel Veri Güvenliği Rehberinde geçen “personel gizlilik sözleşmesi” imzalatılmasının 657 sayılı Devlet Memurları Kanununa tabii olarak çalışanlar için gerekli olup olmadığı ile ilgili 26/12/2019 tarihli ve 2019/393 sayılı Karar Özeti

Kamu kurumu nezdinde 657 sayılı Kanun kapsamında çalışan ve kişisel veri işleyen personele kişisel verilerin korunmasına yönelik ayrıca bir gizlilik sözleşmesi imzalatılması uygun olmayacaktır. Ancak bu noktada önemle belirtmek gerekir ki, kişisel verilerin korunması hakkının bir temel hak ve özgürlük olarak yakın tarihte iç hukukumuzda düzenleme altına alınmış olduğu gözetildiğinde, 657 sayılı Kanun kapsamında çalışan personele, kişisel verilerin korunması hakkı kapsamında uymaları gereken usul ve esaslara dair bilgilendirici mahiyette bir metin tebliğ edilmesi ve bu konuda periyodik eğitimler düzenlenmesi uygun olacaktır.

12. Bir sigorta şirketinin(Doğa Sigorta) kişisel veri ihlal bildirimi hakkında 24.11.2020 tarih ve 2020/905 sayılı Karar Özeti

- İhlalin 28.02.2020 tarihinde tespit edildiği ve 04.03.2020 tarihinde Kurul’a bildirildiği dikkate alındığında Kurul’un 24.01.2019 tarih ve 2019/10 sayılı Kararı ile belirlenen veri ihlalinin öğrenilmesinden itibaren başlayan 72 saatlik süre içerisinde veri sorumlusunun Kurula bildirimde bulunmadığı,

- Geç bildirimde bulunulmasına sebep olarak ilgili teknik çalışmaların (sunucu ve firewall log kayıtlarının incelenmesi işlemleri) gecikmesinin gösterildiği,

- veri ihlaline ilişkin veri sorumlusunun internet sitesinde duyuru yapılmış olmasının, ilgili kişilerin tespit edilmiş olması nedeniyle ilgili kişilere bildirim şeklinde kabul edilemeyeceği,

- Kişisel Verileri Koruma Kurulu’nun 18.09.2019 tarih ve 2019/271 sayılı Kararına uygun olarak ilgili kişilere bildirim yapılmadığı

dikkate alınarak, 72 saatlik süre içerisinde bildirimde bulunma yükümlülüğüne aykırı hareket etmesi ve 18.09.2019 tarih ve 2019/271 sayılı Kurul Kararına uygun şekilde ilgili kişilere bildirimde bulunulmamış olması nedeniyle Kanunun 18 (1)(b) bendi uyarınca veri sorumlusu hakkında 30.000 TL ve veri güvenliğini sağlamaya yönelik gerekli teknik ve idari ve tedbirleri almayan Şirket hakkında Kanunun 18(1)(b) bendi uyarınca 300.000 TL, olmak üzere toplam 330.000 TL idari para cezası uygulanmasına karar verilmiştir.

KAYNAK: https://kvkk.gov.tr/Icerik/5406/Kurul-Karar-Ozetleri