Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından 18 Temmuz 2022 tarihinde on iki (12) yeni karar özeti yayınlandı. Karar özetlerinin veri sorumluları tarafından dikkat edilmesi gereken kanaatler içermesi sebebiyle bu kararların 6698 sayılı Kişisel Verilerin Korunması Kanunu (“6698 sayılı Kanun”) ile konuyla ilgili diğer yasal düzenlemeler doğrultusunda kapsamlı bir şekilde değerlendirilmesinin faydalı olacağı düşüncesindeyiz.
1. İlgili kişinin, bir sadakat programı kapsamında veri sorumlusunca hukuka aykırı olarak kişisel verilerinin işlenmesi (05/07/2019 tarihli ve 2019/198 sayılı)
Veri sorumluları tarafından sadakat kart programları kapsamında veri işleme faaliyeti gerçekleştirilmesi, kişisel verilerin korunması alanındaki önemli konulardan biridir. Şöyle ki; uygulamada veri sorumlusu, ilgili kişiden genellikle telefon veya e-posta adresini talep ederek ilgili kişiyi kurmuş olduğu sadakat kart programına dahil eder. Bu şekilde gerçekleştirilen veri işleme faaliyetinde ise açık rıza kavramı son derece önemlidir. Konuyla ilgili Kurul’un önüne gelen olayda ilgili kişi, veri sorumlusunun mağazasında bazı ürünler açısından geçerli özel indirimlerden yararlanmak için sadakat kart kullanılması gerektiğini, sadakat programına üyelik ve kart alımı için kişisel verilerin talep edildiğini ve açık rızanın koşul olarak dayatıldığını iddia etmiştir.
Hakkında yapılan ihbar üzerine savunması alınan veri sorumlusu, sadakat programına katılmak isteyen kişilere mevzuata uygun biçimde açık rıza metni sunulduğunu ve aydınlatma yükümlülüğünün yerine getirildiğini ifade etmiştir. Sadakat programı için açık rıza vermek istemeyen kişilerin de mağaza ve internet sitesi üzerinden alışveriş imkanına sahip olduğunu belirten veri sorumlusu, sadakat kart sahipleri için geçerli özel indirimlerin, ürün ya da hizmetin rayiç bedelinin altında ve ek bir menfaat olması nedeniyle kişinin açık rızasının alınmasının bir ürün ya da hizmetten yararlanılması için ön şart oluşturmadığını ileri sürmüştür.
Kurul, veri sorumlusunun mağaza ve internet sitesinden sunulan ürün ve hizmetler bakımından kampanya ve sadakat programına özel indirimli fiyatlar üzerinden ek menfaat sunulmasını, açık rızanın bir hizmet ya da üründen yararlanılması için ön şart oluşturmadığı yönündeki kanaatini devam ettirerek veri sorumlusu hakkında yapılacak bir işlem olmadığına karar vermiştir.
Karar özetinde dikkat edilmesi gereken önemli bir husus, Kurulun Avrupa Birliği mevzuatına atıf yaparak “verilmemesi sonucunda negatif sonuçlar doğuracak olup olması” hususunu açık rızanın usulüne uygun olarak alınıp alınmadığı tespitinde bir ölçüt olarak değerlendirmemesidir. Gerçekten, Kanun’un ilk yayımlandığı dönemlerde açık rızanın verilmemesi halinde ilgili kişi hakkında negatif sonuçların doğacağı bir çekince yaratmaktaydı. Halbuki bu husus açık rızanın usulüne aykırılığı bakımından tek başına bir ölçüt olarak kabul edilemez.
Sadakat programları bakımından veri sorumlusu, ticari faaliyetleri çerçevesinde bazı müşterilerine ek menfaatler sunmak isteyebilir. Bir süpermarket zinciri bunu ilgili kişinin telefon numarası ile eşleştirdiği market kartı aracılığıyla yaparken; web sitesinde satış yapan bir şirket, bültene kaydolmak koşuluyla ek bir indirim sağlayabilir. Bu işleme faaliyeti herhangi bir hukuki sebep kapsamında olmadığı ancak veri koruma ilkelerine de uygun olduğu için ilgili kişinin açık rızası kapsamında gerçekleştirilebilir. Ancak ilgili kişi bu ek indirimlerden faydalanmak istemeyebilir ve açık rızasını vermeyebilir. Bu durumda veri sorumlusunun sunduğu hizmetlerden yararlanma imkânı devam edecektir. İlgili kişi nezdinde doğan olumsuz sonuç, veri sorumlusunun sunduğu ek menfaattir. Ek menfaatten yararlanmamak ise açık rızanın hizmet ön şartına bağlı tutulduğu anlamına gelmemektedir. Dolayısıyla ilgili kişinin açık rızasının talep edilmesi noktasında “ne olursa olsun negatif bir sonuç doğmayacak” çekincesine gerek olmadığı Kurul kararıyla ortaya konarak önemli bir adım atılmıştır.
2. İlgili kişinin kişisel verilerinin iş akdinin sona erdiği veri sorumlusu şirket tarafından hukuka aykırı olarak işlenmesi (16/12/2021 tarihli ve 2021/1258 sayılı)
Kurulun bu kararı, veri sorumlularının özellikle çalışanlar bakımından hangi yükümlülüklerini ihmal etmemesi gerektiği bakımından son derece önemlidir. Bu noktaların tespit edilmesi ve aynı eksikliklere sahip veri sorumlularının bunları gidermesi gereklidir. Karara konu olayda veri sorumlusu şirketten ayrılan ilgili kişi, kişisel verileriyle ilgili veri sorumlusu şirkete başvuru yapmak istemiş, ancak konuyla ilgili başvuru formu bulunmadığı gibi başvuru yollarının kendisine bildirilmediğini belirtmiştir. Bunun yanı sıra ilgili kişi, internet sitesinde gizlilik politikası bulunmayan veri sorumlusu şirketin, aydınlatma yükümlülüğünü hukuka uygun biçimde yerine getirmediğini, kendisinin özel nitelikteki kişisel verilerini açık rıza almaksızın işlediğini, kişisel verilerini açık rızası dışında yurt dışına aktardığını ve kişisel verilere yönelik yeterli teknik ve idari güvenlik tedbiri almadığını iddia etmiştir.
Veri sorumlusu savunma yazısında, şirket çalışanları tarafından kullanılan sosyal ağ adresinde yer alan aydınlatma metninde kişisel verilerle ilgili başvuru yolları ve başvurunun nasıl yapılacağının gösterildiğini; 6698 sayılı Kanun’a uygun biçimde başvuru niteliğindeki sorulara cevap verildiğini, aydınlatma yükümlülüğünün iş sözleşmesi ile yerine getirildiğini ve şirket çalışanlarının kişisel verilerinin de Kanun’a uygun şekilde korunduğunu ifade etmiştir. Ayrıca şirket, parmak izi ve yüz tanıma sisteminin şirket güvenliği için Kanun’a uygun olarak kullanıldığını ve gerek çalışanların gerek müşterilerin kişisel verilerinin korunması için teknik ve idari güvenlik tedbirlerin mevcut olduğunu belirtmiştir.
Her ne kadar veri sorumlusu, ilgili kişinin her bir şikayetine ilişkin esasında durumun iddia edildiği gibi olmadığı ve hukuka uygun davranıldığı şeklinde savunma yapmış olsa da bu savunmaları özellikle ispatlanmamış olması bakımından Kurul tarafından büyük ölçüde kabul görmemiştir. Bu hususları aşağıdaki şekilde özetlemek mümkündür:
- İş sözleşmesine eklenen madde ile aydınlatma ve açık rıza yükümlülüklerinin yerine getirilmesi mümkün değildir: Uygulamada çok sık karşılaştığımız hatalardan biri budur. Veri sorumlusu şirket, iş sözleşmesine eklediği bir madde ile ilgili kişi nezdindeki aydınlatma ve açık rıza yükümlülüğünü yerine getirmiş olacağını düşünmektedir. Oysaki bu yükümlülüklerin asgari şartları mevzuatla belirlenmiş olup; bu yöndeki bir maddenin sözleşmeye eklenmiş olması maddenin geçerli olduğu anlamına gelmemektedir. Dolayısıyla her şeyden önce işverenlerin bu davranış şeklinden kaçınması son derece önemlidir. Kurul, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ (“Tebliğ”) m. 5/1-f uyarınca aydınlatma yükümlülüğü ve açık rıza alınması faaliyetlerinin birbirinden ayrı şekilde yapılması gerekirken; somut olayda aydınlatma ve açık rıza metinlerinde yer alması gereken asgari unsurları sağlamayan karma bir metnin hazırlandığını ve aydınlatma yükümlülüğünün usule uygun biçimde yapılmadığını belirtmiştir.
- İş yeri giriş ve çıkışlarında biyometrik verilerin işlenmesi kişisel verilerin orantısız işlenmesi anlamına gelmektedir: Kurulun başından bu yana istikrarlı bir şekilde karara vardığı konulardan biri de iş yeri giriş ve çıkışlarında biyometrik verilerin işlenip işlenemeyeceğidir. Kurul, veri sorumlusunun biyometrik veri işleyebilmesi için gereken açık rıza metninin iş sözleşmesinde yer almasının, ilgili kişinin iş sözleşmesini imzalamadan işe başlayamayacağından hareketle açık rızanın özgür irade ile alınma şartını sağlamadığı kanaatindedir. Ayrıca Kurula göre şirket güvenliğinin biyometrik veri işlenmesi dışında başkaca hukuka uygun yollar ile sağlanabilecekken; özel nitelikli kişisel verilerin işlenmesi orantısız bir müdahaledir. Nitekim önceki kararlarında bu güvenliğin elektronik kart vb. yollarla da alınabileceğini belirtmişti. Benzer şekilde çalışanların kendilerine özel olarak belirlenmiş şifrelerle de iş yerine giriş yapmaları makul bir yöntemdir. Gerçekten, kişisel verilerin korunması hakkının temel bir hak ve özgürlük olduğu, her bir işleme faaliyetinin esasında bir müdahale niteliğinde olmakla birlikte hukuka uygunluk sebebinin arandığı, dolayısıyla kişisel verilerin işlenmesi faaliyetlerinde bu hakka en az müdahale edecek şekilde süreçlerin uygulanması gerektiği unutulmamalıdır. Dolayısıyla veri sorumlusu işveren hukuka uygun bir açık rıza almış olsa dahi; açık rıza konusu işleme faaliyeti, Kanun’un 4. maddesinde yer alan ölçülülük ilkesine aykırıdır. Nitekim Kurul da bu yönde karar vererek veri sorumlusunun, hukuka aykırı işlenen biyometrik veri işlemelerine son verilmesine ek olarak Kanun’un 7. maddesi ile Kişisel Verilerin Silinmesi, Yok edilmesi ve Anonim Hale Getirilmesine Dair Yönetmelik (“İmha Yönetmeliği”) uyarınca söz konusu verilerin imha edilerek Kurul’a bilgi verilmesi konusunda talimatlandırılmasına karar vermiştir.
- Veri sorumlusu işveren, kişisel verilerin korunması alanındaki yükümlülüklerini yerine getirdiğini somut bilgi ve belgelerle ispatlamalıdır: Kurulun veri sorumlusu işverene itibar etmemesinin en önemli nedenlerinden birinin bu olduğunu görüyoruz. Karar metni okunduğunda veri sorumlusunun savunmalarının hiçbirini destekleyici belgeler sunamadığı görülmüştür. Örneğin, çalışanlara imzalatılmış olduğunu iddia ederek bir aydınlatma metni eklemiş ancak bu aydınlatma metni ilgili kişi tarafından imzalanmış değildir. Benzer şekilde web sitelerinde yer alması gereken dokümanların web sitesinde yayınlamış olduğu belirtilmişse de Kurul tarafından yapılan incelemede bu yükümlülüklerin yerine getirilmediği tespit edilmiştir. Somut olaya konu olan şirketin, gerçekten 6698 sayılı Kanun kapsamındaki yükümlülüklerini yerine getirmek üzere çalışmalar yapıp yapmadığını bilmemekle birlikte; veri sorumlularının herhangi bir ihbar veya şikâyet karşısında kendilerini savunabilecek düzeyde olmaları gerektiği bakımından son derece önemli bir konudur. Her zaman çeşitli şekillerde veri ihlallerinin gerçekleşmesi mümkündür, bunda ya insan faktörü ya da bilişim araçları etkilidir. Ancak bu veri ihlalleri karşısında şirketlerin ellerinden gelen tüm tedbirleri aldıklarını, üzerlerine düşen tüm kanuni yükümlülükleri yerine getirdiklerini ortaya koyabilmeleri önemlidir. Nitekim Kurul, somut olayda kişisel verilerin korunması için gereken teknik ve idari tedbir alma yükümlülüğünü ihlal eden veri sorumlusu şirket hakkında 125.000 TL idari para cezası uygulanmasına karar vermiştir.
3. Bir sigorta şirketi tarafından ilgili kişinin banka verilerinin işlenmesi (16/12/2021 tarihli ve 2021/1262 sayılı)
Kurulun bu kararı veri sorumlusuna başvurunun vekaleten yapılıp yapılmayacağı ile bu vekalet ilişkisinde özel bir yetki aranıp aranamayacağı hususlarını açıklığa kavuşturması bakımından son derece önemlidir. Esasen veri sorumlusuna vekaletname ile başvurulabileceği noktasında herhangi bir tereddüt bulunmamaktaydı. Ancak özellikle veri güvenliğine çok önem veren şirketler tarafından bu vekaletnamede özel yetki aranması yönünde bir eğilim söz konusuydu. Kurulun bu kararıyla veri sorumlusuna başvuruda özel yetki aranmasının önü net bir şekilde kapatılmıştır. Karara konu olayda banka bilgileri, veri sorumlusu sigorta şirketi ile paylaşılmadığı halde ilgili kişinin söz konusu bilgilerinin veri sorumlusu tarafından hukuka aykırı olarak işlenmesi üzerine ilgili kişi, vekili aracılığı ile veri sorumlusundan konuyla ilgili bilgi talebinde bulunmuştur. Ayrıca ilgili kişi, veri sorumlusundan kişisel verilerinin silinmesini ya da yok edilmesini talep etmiş fakat bu başvuru vekaletnamede özel yetki bulunmaması gerekçesiyle yanıtsız bırakılmıştır.
Veri sorumlusu savunma yazısında, Kanun’un 11. maddesinde yer alan hakların vekil tarafından kullanılabilmesi için özel yetki içeren vekaletname olması gerektiğini ifade etmiştir. İlgili kişinin vekilinin genel yetkili vekaletnameye sahip olması nedeniyle veri sorumlusuna başvuru yolu tüketilmeden Kurul’a şikâyette bulunulamayacağından bahisle Kurul’a yapılan şikâyetin reddedilmesi gerektiğini belirtmiştir. Diğer yandan veri sorumlusu, söz konusu bilgi paylaşımının acente sıfatıyla Banka tarafından ilgili kişi için düzenlenen poliçeler için yapıldığını ve Tüketici Hakem Heyeti tarafından verilen kasko poliçesi kapsamındaki hasarlar için ilgili kişiye ödeme yapılmasına yönelik kararın yerine getirilmesi için ilgili kişinin şirket kayıtlarında bulunan banka bilgilerinin işlendiğini ifade etmiştir.
Uygulamada ve öğretide kişisel veri ilgisi adına üçüncü kişi tarafından talepte bulunulabilmesi için özel yetki – genel yetki içeren vekaletname ile ilgili tartışma, Kurul’un bu kararı ile açıklığa kavuşturulmuştur.
Kurul, yasal temsilci vekaletnamelerinde özel yetki aranmaması konusunda veri sorumlusunun uyarılmasına ve veri sorumlusu tarafından hazırlanan yasal temsilcinin vekaletnamesinde özel yetki olması yönündeki başvuru formu, aydınlatma metni ve kişisel verilerin korunmasıyla ilgili diğer evraklarda söz konusu ibarenin kaldırılıp Kurul’a bilgi verilmesi ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ m. 6 gereğince gerekçesiyle birlikte başvuruların reddedilmesi konusunda veri sorumlusuna talimat yazılmasına karar vermiştir.
Öte yandan ilgili kişinin kişisel verilerinin işlenmekte olması bakımından ise Kurul, banka bilgilerinin, veri işleme şartlarına uygun olarak işlendiği kanaatindedir. Zira ilgili kişi ile veri sorumlusu arasındaki sigorta sözleşmesinin devam etmesinin yanı sıra veri sorumlusunun yükümlülüğü gereği kişisel verileri muhafaza etmesi gereklidir. Kanun m. 7 uyarınca ilgili kişinin verilerinin işlenmesini gerektiren nedenlerin devam etmesi sebebiyle ilgili kişinin kişisel verinin silinmesi ya da yok edilmesi talebinin yerine getirilmemesinde herhangi bir hukuka aykırılık bulunmamıştır.
Türk Borçlar Kanunu m. 504/3 uyarınca özel yetki bulunmadığı takdirde vekilin yapamayacağı faaliyetler sınırlı sayıda belirtilmiştir. Bir kişi adına bir işlemin yapılabilmesi için özel yetki gereken haller Türk hukukunda ilgili mevzuatlarda belirtilmiştir. 6698 sayılı Kanun’da da ilgili kişilerin vekilleri ile başvuru yapması için özel vekaletname gerektiğine yönelik bir düzenleme yoktur. Nitekim Kurul konuyla ilgili daha önce yayınlamış olduğu duyurusunda başvuru için yalnızca “vekaletname ile” ifadesini kullanmış ve özel yetkiye ilişkin herhangi bir açıklama yapmamıştır. Hal böyleyken ilgili kişinin başvurusunu vekaletnamede özel yetki bulunmadığı gerekçesiyle sonuçsuz bırakmak “ilgili kişinin veri sorumlusuna başvurma ve haklarını kullanmasını zorlaştırma” niteliğinde olacaktır. Bu nedenle Kurul tarafından konuyla ilgili başkaca herhangi bir açıklama yapılmadığı sürece genel vekaletname ile başvuruların kabul edilmesi gereklidir.
4. Araç kiralama programları yazılımcısı ve satıcısı firmalar tarafından, ilgili kişilerin verilerinin işlenmesi ve bu verilerin araç kiralama firmaları arasında paylaşılmasını sağlayan bir kara liste programı oluşturulması (23/12/2021 tarihli ve 2021/1303 sayılı)
Araç kiralama şirketleri tarafından gerçekleştirilen veri işleme faaliyetleri çoğunlukla tartışmalıdır. Bu tür şirketlerin veri sorumlusu olup olmama durumu ile çok farklı kişilere ait çok fazla sayıda kişisel veri işlenmesi bunun temel sebepleridir. Kurul, bu kararıyla da detaylı bir değerlendirme yapmıştır. Kararın konusu, araç kiralama yazılımı üreticileri ve satıcıları tarafından ilgili kişilerin kişisel verilerinin araç kiralama şirketleri arasında paylaşılmasına imkân tanıyan bir kara liste programının oluşturulmasıdır. Aynı yazılımları kullanan farklı şirketler de ilgili müşterilerin kişisel verilerini açık rızaları olmaksızın bu kara liste havuzundan öğrenebilmektedirler. Söz konusu ihbar neticesinde Kurul resen inceleme başlatmıştır.
Kurul tarafından veri sorumlularından istenilen bilgilere istinaden Kurul’a gönderilen savunmalar genel olarak araç kiralama yazılımı üreticisi şirketlerin söz konusu yazılım programlarını araç kiralama firmalarının faaliyetlerini gerçekleştirebilmeleri için yazıldığını, yazılımda araç kiralama sözleşmeleri için gereken bilgiler ile kamu kurum ve kuruluşları tarafından istenen zorunlu bilgilerin kaydedildiğini ifade edilmiştir.
Kurul, bu kararı araç kiralama şirketlerine ilişkin diğer kararlarına benzer şekilde konuyu detaylı ve farklı açılardan incelemiştir. Bu incelemeleri şu şekilde özetlemek mümkündür:
- Araç kiralama şirketleri ile araç kiralama yazılım şirketlerinin veri sorumlusu olup olmadığına ilişkin değerlendirme: Kurul, bu yönden yaptığı incelemede bir veri işleme faaliyetinde hangi hususların veri sorumlusu, hangi hususların veri işleyen tarafından kararlaştırılabileceği ölçütlerinden yararlanmıştır. Bu nedenle veri sorumlusu ile veri işleyen tarafından verilecek olan kararlara yer verilerek veri sorumlusunun buna göre tayin edileceği belirtilmiştir. Ne var ki bu tespitin yapılmasına ilişkin değerlendirmelerinde net olmadığı ve bazı açılardan tutarsız olduğu söylenmelidir. Yine de Kurulun konuyla ilgili değerlendirmeleri özetle şu şekildedir: (i) bir veri işleme faaliyeti çerçevesinde araç kiralama şirketleri ile araç kiralama yazılım şirketleri ortak veri sorumlusudur. Bu noktada Kurulun önceki kararlarına benzer şekilde 6698 sayılı Kanun’da doğrudan düzenlenmeyen ancak GDPR’da yer alan “ortak veri sorumlusu” kurumunu kabul ettiği belirtilmelidir (ii) Kurul bundan sonra araç kiralama firmalarının tutmakla yükümlü olduğu verilerin hatalı ve eksik girilmiş veya girilmemiş olmasından yine araç kiralama firmalarının sorumlu olacağı kanaatindedir, (iii) bu süreçte araç kiralama firmaları ile birlikte ortak veri sorumlusu kabul edilebilecek yazılım şirketlerinin bir sorumluluğu yoktur.
Sonuç olarak Kurul, veri sorumlusu tayininde yalnızca verinin ilk kez kimin tarafından elde edildiği ölçütünden yararlanmamış ve işleme faaliyetinin ilerleyen süreçlerinde söz konusu kişisel veriler ile ilgili veri sorumlusu gibi hareket eden kişinin Kanun gereğince veri sorumlusunun yükümlülükleri ile bağlı olacağı kararını bildirmiştir. Her ne kadar Kurul, bu değerlendirmesiyle sınırları belirli olmayan bir alan yaratmışsa da konunun her bir somut olay özelinde değişmesi bakımından bu tutumuna katıldığımızı ifade etmeliyiz.
- Yazılım firmalarının bulut teknoloji altyapısı ile hizmet sunmasına ilişkin: Bu başlık altında yazılım firmalarının araç firmalarına sunduğu çevrimiçi hizmet üzerinde birtakım tespitler yapılmıştır. Buna göre yazılım firmaları, araç kiralama firmalarına platform olarak hizmet sunmakta ve kullanılan bulut servisi türü olan SaaS’nin gereği olarak veri tabanı ve yazılımın yönetimi yazılım şirketindedir. Yazılım firmaları, araç kiralama şirketlerinde gerektiğinde teknik destek ve geliştirme sağlayabilmesi için “admin” (yönetici) yetkisine sahip kullanıcılar atamaktadır. Araç kiralama firmalarının yazılım kodları üzerinde bir müdahale yapma (fonksiyonları değiştirme) yetkisi olmayıp; içerikli sınırlı yönetim yetkisi vardır.
- Aleyhe çıkan sonuca itiraz etme ve profillemeye ilişkin: Bireyin davranışlarının izlenmesi suretiyle sonraki davranışlarını tahmin etmek için kişisel verilerin otomatik bir şekilde işlenmesi “profilleme” kavramı ortaya çıkmıştır. Burada kastedilen izlenen bireyin bir profilinin çıkartılması ve sonraki davranışlarının büyük ölçüde tahmin edilebilmesidir. Örneğin, haftanın belli günleri iş çıkışı saat 17:30’da Beşiktaş’tan Fulya’ya spora giden bir bireyin, Çarşamba günü tekrar spora doğru yola çıkacağı tahmin edilebilir ve bu yönde bir profili çıkartılabilir. Bu sayede kendisi henüz bir konum girmemişken, telefonundaki uygulamadan otomatik olarak bu trafik saatinde Fulya’ya en hızlı nasıl gideceğine dair bir bildirim gelir. Öyleyse profilleme neticesinde bireyin kişisel verilerinin yoğun bir şekilde işlendiğini kabul etmek gerekir.
Somut olayda kara liste oluşturulmasına imkân veren bir programın söz konusu olması nedeniyle profilleme kavramına da mutlaka değinmek gereklidir. Nitekim Kurul, bu başlık altında çok detaylı bir açıklama yapmıştır. Buna göre her ne kadar profilleme ile bireyin kişisel verileri işlenmekteyse de bunun her zaman olumsuz sonuçları olmayıp; bireylerin temel haklarını ve güvenliklerini tehdit etmeyecek şekilde bir noktaya kadar profillerinin oluşturulması makul görülmelidir. Bu noktada dikkat edilmesi gereken iki temel husus; profilleme yoluyla bireyin özel nitelikli kişisel verilerine erişilebilmesi ve hatalı analiz neticesinde bireyin belli bir hizmetten yararlanmaması ve ayrımcılığa maruz kalmasıdır. Öyleyse profilleme kapsamında kişisel verilerin işlenmesinin hukuka aykırı olduğunu söylemek doğru olmayacaktır.
Kurul, bu nitelikteki bir kişisel veri işleme faaliyeti için veri sorumlusunun meşru menfaati hukuki sebebi kapsamında bir değerlendirme yapılması ve yapılacak denge testi ile yarışan menfaatlerden hangisinin ağır bastığının tespit edilmesi gerektiği kanaatindedir. Kurula göre bireyin sırf kara listeye kaydedilmiş olması haklarına müdahale edildiği anlamına gelmemekle birlikte belirtilen alana girilecek verilerin sınırlı olmadığı düşünüldüğünde kişinin ayrımcılığa uğramasına sebebiyet verecek ve davranışsal durumlar haricinde kalan genel ve özel nitelikli verilere yer verilmesi durumunda artık orantılı bir müdahaleden bahsedilmesi mümkün değildir.
Öte yandan bu noktada profillemenin sınırlarına da değinmek gerekir. Örneğin, araç kiralama firmasının aracı hasarlı getiren veya geç iade eden müşterilerini bir liste şeklinde tutması esasında tamamen otomatik bir işleme sayılmadığından profilleme faaliyetini gündeme getirmez. Bununla birlikte yazılıma giren verilerin otomatik işleme tabi tutularak bir sonuç çıkartması halinde profilleme faaliyetinin söz konusu olduğu kabul edilmelidir. Örneğin, girilen verilerin “şu kişiye araç kiralama” şeklinde bir sonuç çıkarması profillemedir. Sonuç olarak bir profilleme faaliyetinin hukuka uygunluğu değerlendirmesinde bütün bu hususlar göz önünde bulundurulmalıdır.
Araç kiralama firmaları ile yazılım firmaları arasında bir değerlendirme yapıldığında Kurula göre yazılıma veri giren taraf araç kiralama firması olduğundan girilen verilerin hukuka uygun bir şekilde elde edilip edilmediği yönünde veri sorumlusu da yine araç kiralama firması olmalıdır.
Konuyla ilgili son olarak her ne kadar araç kiralama firmaları tarafından profilleme faaliyetinin yapılabileceği kabul edilebilecekse de; bu faaliyet neticesinde ortaya çıkan sonuçların bir başka şirket tarafından görülmesinin Kurula göre hukuka uygun bir faaliyet olarak kabul edilmediği belirtilmelidir. Bununla birlikte şube ve acentelerin firmaya ait verileri görmesi, meşru menfaat ölçütüne uygundur.
- Kişisel verilerin kara liste ile uygulaması ile diğer kullanıcıların erişimine açılmasına ilişkin: Kurula göre araç kiralama firmalarının müşteriler hakkında yaptıkları değerlendirmelerin ortak bir veri tabanına kaydedilmesi, diğer firmaların bunları görebilmesi ve bu firmalarca yapılan yorumların da bu alana eklenebilmesi hem ticari sırların hem de kişisel verilerin ifşası anlamına gelmektedir. Meşru menfaat ölçütü doğrultusunda bu verilerin yalnızca “iş ortakları, şubeler ve acenteler” ile paylaşılabileceği belirtilmiştir. Belirtilmelidir ki, burada bahsedilen iş ortakları kavramı oldukça geniş olup; kullanılması yerinde olmamıştır. Dolayısıyla veri sorumlularının öncelikle yalnızca şube ve acenteler ile paylaşımı hukuka uygun olarak ele alması gerektiği kanaatindeyiz.
Yukarıda yapılan açıklamalar ışığında Kurulun vardığı karar ise şu şekilde özetlenebilir:
- Araç kiralama firması, yazılıma girilen veriler bakımından veri sorumlusu olmakla birlikte; girilen veriler öncelikle yazılıma aktarıldığından ve diğer firmalarla daha sonra paylaşıldığından aktarım bakımından veri sorumlusu da yazılım firmalarıdır. Dolayısıyla somut olay kapsamında araç kiralama firmaları ile yazılım firmaları ortak veri sorumlusu olarak hareket etmektedir.
- Bu yönde işlenen kişisel veriler Kanuna aykırı olduğundan Kanun’un 7. maddesi ile İmha Yönetmeliği çerçevesinde imha edilmelidir.
Öncelikle Kararın, araç kiralama firmalarının uygulamaları bakımından yol gösterici olduğu kanaatindeyiz. Her ne kadar pek çok açıdan net bir sonuca varılamamışsa da; bunun esas sebebinin konuyla ilgili her somut olayın birbirinden büyük ölçüde farklılık arz ettiği olduğunu tahmin etmekteyiz. Araç kiralama firmalarının bu karar doğrultusunda uygulamalarını gözden geçirmelerinin faydalı olacağını not etmek gerekir.
5. İlgili kişinin eski ortağı olduğu şirketin sicil bilgilerinin görüntülendiği internet adresinde kişisel verilerinin hukuka aykırı olarak paylaşılması (06/01/2022 tarihli ve 2022/6 sayılı)
Kurulun bu kararın veri sorumlusunun İstanbul Ticaret Odası (“İTO”) olması dikkat çekicidir. Bilindiği üzere İTO tarafından çok yoğun bir biçimde kişisel veri işlenmektedir. Ancak bu işleme faaliyetlerinin büyük çoğunluğu kanundan kaynaklandığından “hukuki yükümlülüğün yerine getirilmesi için zorunlu olması” hukuki sebebine dayanmaktadır. Karara konu olay, ilgili kişinin geçmişte ortağı olduğu şirketin sicil bilgilerinin bulunduğu internet sayfasında eski ortaklar başlığı altında adının ve soyadının yazılı olduğunu görmesi üzerine şirketle herhangi bir bağı kalmadığı için kişisel verilerinin üçüncü kişilerle rızası dışında paylaşıldığı iddiasına ilişkindir.
İTO, savunma yazısında, şirketin ortaklık yapısının Türk Ticaret Kanunu (“TTK”) m. 35 ve Ticaret Sicili Yönetmeliği m. 15 uyarınca tescil ve ilan edilmesi gerektiğinden hareketle, ilgili kişinin ortak veya eski ortak biçiminde görünmesinin aleni bir bilgi olduğunu, kimlik numarası ve adres gibi kişisel verilerin gizlendiğini belirtmiştir.
Kurul, TTK ve Ticaret Sicili Yönetmeliği’nde yer alan düzenlemelerden hareketle şirketin pay devri ile ilgili değişikliklerin ticaret sicili gazetesinde tescil edildiğini ve bu ticaret sicillerinden sorumlu ticaret sicil müdürlüklerinin ticaret odalarına bağlı olduğunu belirterek söz konusu bilgilerin ticaret odasında zaten mevcut olduğuna değinmiştir. Buna ek olarak Kurul, ticaret sicil gazetesindeki bilgilerin ticaret odasının sayfasında bulunmasındaki amacın, ticaret sicil işlemleri ile ilgili bilgilere daha kolay ulaşılmasını sağlamak olduğunu ifade ederek Kanun’un 4. maddesinde yer alan “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine de uyulduğunu belirtmiştir. Yapılan inceleme neticesinde İTO’nun internet sayfasında gerçekleştirdiği kişisel veri işleme faaliyetlerinin T.C. Anayasası ve 5174 sayılı Türkiye Odalar ve Borsalar Birliği ve Borsalar Kanunu’nda ticaret odalarının yükümlülükleri kapsamında olduğu, dolayısıyla söz konusu işleme faaliyetinin “İTO’nun hukuki yükümlülüklerini yerine getirmesi için zorunlu” olduğu ve Kanun m. 7 gereğince kişisel verilerin işlenmesini gerektiren nedenlerin halen var olduğu sonucuna ulaşılmıştır.
6. Sağlık sektöründe faaliyet gösteren veri sorumlusu tarafından açık rızası alınmaksızın ticari elektronik ileti gönderilmesi (18/01/2022 tarihli ve 2022/31 sayılı)
Ticari elektronik ileti gönderilmek suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin hem kişisel verilerin korunması hem de elektronik ticaret mevzuatına tabi bir işlem olması sebebiyle veri sorumlusunun hangi mevzuattan kaynaklanan yükümlülüklere tabi olacağı özellikle 6698 sayılı Kanun’un ilk yayımlandığı yıllarda oldukça tartışmalıydı. Ancak daha sonra Kurulun verdiği kararlarla Kurulun elektronik ticaret mevzuatından kaynaklanan yükümlülükler bir yana kişisel verilerin korunması mevzuatından kaynaklanan yükümlülüklerinde mutlak surette yerine getirilmesi kanaatinde olduğu anlaşılmıştı. Böylece ticari elektronik ileti gönderen kişi, veri sorumlusu şapkasıyla 6698 sayılı Kanun ve ilgili mevzuattan kaynaklanan yükümlülüklerini yerine getirecek, hizmet sağlayıcısı şapkası ile ise elektronik ticaret mevzuatından kaynaklanan yükümlülüklerini yerine getirecektir. Kurul konuyla ilgili verdiği diğer kararlarında da aynı görüşünü devam ettirmiştir.
Karara konu olayda da ilgili kişinin e-posta adresine sağlık sektöründe faaliyette bulunan veri sorumlusu tarafından ticari içerikli bir ileti gönderilmek suretiyle veri işleme faaliyeti söz konusudur. İlgili kişi, 6698 sayılı Kanun’da yer alan veri işleme şartlarından herhangi birine dayanılmaksızın kişisel verilerinin işlendiği ve kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla gerekli her türlü teknik ve idari tedbiri alma yükümlülüğünün ihlal edildiği iddiasındadır.
Veri sorumlusu ise söz konusu veri işleme faaliyetinin, her şeyden önce ilgili kişi ile hastane arasındaki sözleşmenin ifası hukuki sebebine dayandığına dair savunmada bulunmuştur. Buna ek olarak, 2219 sayılı Hususi Hastaneler Kanunu ile 3359 sayılı Sağlık Hizmetleri Temel Kanunu hükümleri göz önünde bulundurulduğunda veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmek için veri işlemenin zorunlu olduğunu ifade etmiştir. Karara konu olan ticari e-posta içeriği ile ilgili olarak ise söz konusu durumun birimler arasındaki geçici koordinasyon eksikliğinden kaynaklandığını ve bir yanlışlık sonucu ilgili kişinin onayı dışında gönderildiğini belirtmiştir.
Kurul, yaptığı inceleme neticesinde karara konu kişisel verinin ilgili kişi tarafından veri sorumlusunun şubesinde hasta kaydı yapılırken temin edildiğinden hareketle, veri işleme şartlarının sağlanmış olduğunu tespit ederek kişisel verinin elde edilişi açısından herhangi bir hukuka aykırılık olmadığını belirtmiştir. Ne var ki ilgili kişinin ihlal iddiası veri sorumlusunun göndermiş olduğu ticari elektronik iletiye ilişkindir. Kurul, bu açıdan ilgili kişinin iletişim bilgisinin tıbbi amaçla değil, aksine pazarlama faaliyetinde bulunmak üzere ticari amaçlarla kullanılması sebebiyle 6698 sayılı Kanun ile belirlenmiş olan genel ilkelerin ihlal edildiği kanaatindedir. Zira Kurula göre veri sorumlusu söz konusu kişisel verileri hukuka uygun bir biçimde elde etmişse de daha sonra elde etme amacıyla bağlantısız bir şekilde kullanarak “kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine aykırı hareket etmiştir. Bu itibarla veri sorumlusu aleyhine 6698 sayılı Kanun m. 18/1-b gereğince 100.000 TL idari para cezası uygulanmasına karar verilmiştir.
Kurulun ticari elektronik iletilere ilişkin vermiş olduğu bu son kararında da bir önceki kararlarıyla yeknesak bir şekilde aynı görüşü benimsediğini görüyoruz. Buna göre veri sorumlusu ticari elektronik ileti göndermek suretiyle gerçekleştirmiş olduğu tüm kişisel veri işleme faaliyetlerinde mutlak surette 6698 sayılı Kanun’un getirdiği tüm yükümlülüklere uygun davranmalıdır. Veri sorumlusu, bünyesinde tuttuğu kişisel veriler üzerinde dilediği şekilde tasarruf edemeyeceğini, özellikle ticari amaçlarla gönderilen ticari elektronik iletiler için ilgili kişinin açık rızasının alınması yoluna başvurması gerektiğini unutmamalıdır.
7. Unvanında ilgili kişinin adının geçtiği bir şirket hakkında başlatılan icra takibine ilişkin dosya içeriğinin sosyal medyada paylaşılması (10/02/2022 tarihli ve 2022/103 sayılı)
Bilindiği üzere tüzel kişilere ait veriler, 6698 sayılı Kanun kapsamında korunmamaktadır. Ancak tüzel kişilik bünyesinde faaliyet gösteren kişilerin ad ve soy ad bilgilerinin yer aldığı e-posta adresleri, ticari unvanda yer alan ad ve soy ad bilgisi gibi durumların Kanun kapsamında sayılıp sayılamayacağı noktasında bazı tereddütler vardır. Her şeyden önce Kurulun bu kararıyla bu tür verilerin hiçbir biçimde kişisel veri sayılamayacağı yönündeki değerlendirmenin önünü açık bir biçimde kapattığını belirtmek gerekir. Zira Kurul, 95/46/AT sayılı Veri Koruma Direktifi’ne dayalı olarak hazırlanan Madde 29 Veri Koruma Çalışma Grubu’nun 04.06.2007 tarihli ve 4/2007 sayılı görüşüne atıf yapmıştır. Buna göre “tüzel kişiler hakkında bilginin gerçek kişilerle “ilişkili olması” durumunun somut olay özelinde göz önünde bulundurulması ve tüzel kişilerin unvanının gerçek kişi isimlerinden türetildiği durumda kişisel veri olup olmadığının içerik, amaç ve sonuç kriterlerine göre değerlendirilmesi” gerekir.
Karara konu olayda ise veri sorumlusu tekstil firması tarafından ilgili kişinin isminin geçtiği yedek parça şirketi hakkında ödeme yapmadığı için icra takibi başlatılmış olup; veri sorumlusu firmanın tanıdığı üçüncü bir kişi tarafından da Facebook’ta herkese açık bir grupta şirket hakkında dolandırıcı olduğuna dair paylaşım yapılmıştır. İlgili kişi, paylaşımı yapan üçüncü kişi ile herhangi bir ticari ilişkisi bulunmamasına rağmen icra dosyasında yer alan kişisel verilerinin üçüncü kişilerle paylaşılması ile kişilik haklarının ihlal edildiği iddiasındadır.
Kurul, konuyla ilgili yaptığı inceleme neticesinde somut olayda kişisel veri unsurlarının karşılanmadığı kanaatine varmıştır. Buna göre takip evrakında bulunan ticari unvanda ilgili kişinin isim ve soy ismi bulunsa da yapılan paylaşım ve yorumlarda tüzel kişilik hedeflenmektedir. Ayrıca şirketin unvanı veya borç bilgisi, adresi, vergi kimlik numarası bilgisi gerçek kişinin hak ve menfaatlerinde bir etkiye sahip değildir ya da gerçek kişiye belirli bir şekilde davranılması amacıyla kullanılmamaktadır. Bu doğrultuda Kurul tarafından somut olayın 6698 sayılı Kanun kapsamında olmadığına karar verilmiştir.
8. Yurt dışında mukim veri sorumlusunun Türkiye’deki irtibat bürosu tarafından işe alım sürecinde adaylardan özel nitelikli kişisel veri talep edilmesi (24/02/2022 tarihli ve 2022/172 sayılı)
İrtibat büroları tarafından işlenen kişisel veriler üzerindeki korumanın ne şekilde sağlanacağına dair tereddütler bulunmaktadır. Zira irtibat büroları yoğun biçimde kişisel veri işlemelerine rağmen; yabancı ülkede yerleşik olan şirkete bağlı olmaları nedeniyle tüzel kişilik vasıfları yoktur. Zira irtibat büroları ticari bir faaliyette bulunmaz ve yalnızca “haberleşme ve bilgi aktarımı” sağlar. Bu durumda veri sorumlusunun kim olduğunu ve bu veriler üzerindeki yükümlülüklerin kimin tarafından yerine getirileceğini belirlemek her zaman kolay olmayabilir. Kurulun bu kararına konu olayda da ilgili kişinin işe kabul sırasında irtibat bürosu tarafından istenen özel nitelikli kişisel verilerini teslim ettiği fakat bu verilerin işlenmesi için kendisinden açık rıza alınmadığı, aile bireylerinin nüfus bilgilerinin de kendisinden istendiği ancak bunun genel ilkelerle çeliştiği, öte yandan kişisel verilerinin yurt dışına aktarılmış olabileceği iddiaları mevcuttur. Konuya ilişkin olarak ilgili kişi tarafından yapılan başvuru üzerine veri sorumlusunun 30 günlük yasal süre içerisinde cevap verilmediği belirtilmiştir.
İrtibat bürosu tarafından yapılan savunmada ise ilgili kişinin yurt dışında bulunan veri sorumlusunun çalışanı olması sebebiyle karara konu kişisel verilerin, iş yeri özlük dosyası çerçevesinde ilgili kişi tarafından rıza ile verildiği; ayrıca irtibat bürosunun ticari faaliyetlerinin olmaması sebebiyle tüzel kişilik niteliğine sahip olmadığı ifade edilmiştir.
Kurul, işveren sıfatının yurt dışı merkezli veri sorumlusuna ait olduğunu belirterek iş sözleşmesinin tarafının çalışanlar ile irtibat bürosu değil, veri sorumlusu olduğunu; dolayısıyla ilgili kişinin kişisel verilerinin irtibat bürosu tarafından yurt dışında bulunan veri sorumlusuna aktarılmasında hukuka aykırılık bulunmadığını ifade etmiştir. Karara konu kişisel verilerin, iş akdinin ifası için yurt dışında işlenmesi gerektiğini ve bunun ancak ilgili kişinin açık rızasının alınmasıyla gerçekleşeceğini ifade ederek ilgili kişiden alınan açık rızanın hukuka uygun olduğunu belirtmiştir. Kurul yalnızca veri sorumlusunun ilgili kişilerden gelen başvurular konusunda gerekli dikkat ve özeni göstermesi konusunda talimatlandırılmasına karar vermiştir.
Bu kararın önemli sonuçları şu şekildedir:
- İrtibat bürolarının aldığı kişisel veriler bakımından veri sorumlusu yurt dışında mukim olan şirkettir. Zira irtibat bürosunun ticari faaliyetleri olmadığından tüzel kişiliği bulunmamaktadır. İrtibat bürosu çalışanlarını istihdam eden yabancı veri sorumlusunun kendisidir.
- Ancak ilgili kişinin irtibat bürosuna yaptığı tebligat geçerli olabilir. Somut olayda irtibat bürosu müdürünün aynı zamanda veri sorumlusunun işveren vekili olması sebebiyle tebligat geçerli olup; veri sorumlusu tarafından cevap verilmesi gerekir.
İrtibat bürosu ile ilgili değerlendirmeye katılmakla birlikte bu şekilde toplanan kişisel verilerin güvenliğinin nasıl sağlanacağı konusunda Kurul tarafından net bir çözüm yolunun sunulamadığını düşünüyoruz. Somut olayda ilgili kişinin özel nitelikli kişisel verileri, aile bireylerine ait nüfus bilgileri gibi çok önemli kişisel verileri işlenmektedir. Ancak bu kişisel veriler üzerinde 6698 sayılı Kanun’dan doğan yükümlülükler yerine getirildi mi, kimin tarafından getirilmeli sorularının çok net yanıtları verilememiştir. Esasında Kurul kararına göre iş sözleşmesinin tarafı veri sorumlusunun kendisi olduğundan aydınlatma ve açık rıza yükümlülükleri başta olmak üzere tüm yükümlülüklerin yabancı veri sorumlusu tarafından yerine getirilmesi gerektiği sonucuna ulaşılmaktadır. Ancak uygulamada bunun ne kadar bu şekilde uygulandığı tartışmalıdır. Dolayısıyla irtibat büroları tarafından işlenen kişisel veriler üzerindeki kişisel verilerin korunması hakkının şu an için çok etkin bir şekilde uygulanmadığını söylemek gerekir. Bu noktada Kurulun irtibat bürosuna yapılan tebligatı geçerli sayarak ilgili kişiye cevap verilmesi gerektiği yönündeki kanaati ise bu tehlikenin önlenmesi bakımından önemli bir adımdır.
9. Bir alacak yönetim şirketi tarafından ilgili kişinin borç bilgilerinin üçüncü kişilerle paylaşılması (04/03/2022 tarihli ve 2022/184 sayılı)
Kurulun karar özetlerini yayınlamaya başladığı ilk zamanlardan bu yana ilgili kişinin borç bilgilerinin üçüncü kişilerle paylaşılması konulu kararlara sıkça rastladık. Ne yazık ki bu konu uygulamada yeterince hassasiyet görmemektedir. Ancak ne kadar hassasiyet gösterilirse gösterilsin mutlaka bu bilgilerin bir şekilde ifşa olduğu çok sayıda somut örnek de vardır. Zira ilgili kişinin borcunu ödemesi için kendisiyle iletişim kanalları üzerinden iletişime geçileceği aşikardır. Bu iletişim kanalları ilgili kişinin kendisi tarafından sağlanmıştır. İlgili kişinin eksik veya hatalı bilgiler vermesi veya bir yakınına ait iletişim bilgilerini vermesi durumunda ise borç bilgisinin ifşa edilmesi muhtemeldir. Telefon hatlarının kayıtlı olduğu kişi ile kullanıcısının her zaman aynı olmaması da benzer sonuçlar doğurmaktadır. Dolayısıyla kişisel veriler üzerinde herhangi bir mağduriyet yaşanmaması adına her iki tarafın da özen göstermesi gereken bir konu olduğunu söylemek gerekir.
Bu karara konu olayda, ilgili kişinin kardeşi ve eşi adına kayıtlı hatlara, veri sorumlusu alacak yönetim şirketinin unvanıyla ilgili kişinin bir telekomünikasyon şirketine olan borcu ile ilgili bir SMS gönderilmiştir.
Veri sorumlusu savunma yazısında, bir telekomünikasyon şirketi ile aralarındaki alacak devir sözleşmesi nedeniyle şirket tarafından, icra dosya bilgileri, telekomünikasyon şirketine verilen iletişim bilgileri vb. bilgilerin taraflarına iletildiğini ifade etmiştir. Ancak buradaki kritik savunma, esasında ilk olarak ilgili kişinin kardeşi ve eşine ait hatlar üzerinden veri sorumlusunu aramış olmasıdır. Veri sorumlusu, ilgili kişinin kendilerini söz konusu numaralardan borç bilgisini sorgulamak için aradığını ve çağrı merkezi sistemlerinin de bu numaraları otomatik olarak kaydettiğini belirtmiş ve buna ilişkin somut delilleri de sunmuştur.
Kurul her ne kadar önce ilgili kişinin bu numaralardan veri sorumlusuna ait çağrı merkezi hattını aramış olduğuna ikna etmiş olsa da; veri sorumlusunun çağrı merkezini arayarak bilgi talep edilmesi durumunda arayan kişiye hiçbir bilgilendirme yapılmadan, Kanun’un 5. maddesindeki kişisel veriyi işleme şartları sağlanmadan arayan kişilerin telefon bilgilerinin sisteme otomatik kaydedilerek işlenmesi ve bu kişilerle diğer kişilerin kişisel verisine ilişkin bilgi paylaşımında bulunulmasını 6698 sayılı Kanuna aykırı bulmuştur. Kanun m. 12/1 uyarınca kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirin alınmadığı tespit edilerek veri sorumlusu hakkında Kanun m. 18/1-b gereğince 50.000 TL idari para cezasına karar vermiştir. Ayrıca bilgi almak için arayan kişilerin telefon numaralarının veri sorumlusunun sistemine otomatik olarak kaydedilmesine son verilmesi ve sonucun Kurula bildirilmesi konusunda veri sorumlusuna talimat verilmiştir.
Bu karara konu olaydaki sorun, veri sorumlusu tarafından aranan numaraların sistemlerine kaydedildiğine dair bir bilgilendirme yapılmamış olmasıdır. Esasında hukuka aykırı olarak başkaca yollardan elde edilmiş bir kişisel veri yoktur. Ancak veri sorumlusu gerekli özeni göstermeyerek bu yönde bilgilendirme yapmayı ihmal etmiştir. Dolayısıyla Kanun m. 10 ve Tebliğ m. 4 uyarınca söz konusu olan aydınlatma yükümlülüğü yerine getirilmemiştir. Elbette bu süreçte kişinin açık rızasına ihtiyaç olup olmadığı ayrıca somut olayın koşullarına göre tespit edilmelidir. Kurul her ne kadar bu noktada herhangi bir değerlendirme yapmamışsa da borçlunun yakınların ait bilgilerin sisteme kaydedilmesinin açık rızaya tabi bir süreç olduğu düşüncesindeyiz.
10. Bir bankanın çağrı merkezi tarafından ilgili kişinin telefon numarasının üçüncü kişilerle paylaşılması (10/03/2022 tarihli ve 2022/224 sayılı)
Kurul kararlarına sıklıkla konu olan bir diğer önemli husus, bankalar tarafından gerçekleştirilen paylaşımlardır. Bankalar birçok hizmeti dışarıdan almakta, bu hizmetin alınabilmesi için kişisel veri paylaşmaktadırlar. Ancak bu verilerin ölçüsüz bir şekilde paylaşılması, bu verilerin hizmet veren firma tarafından hukuka aykırı bir biçimde kullanılması gibi son derece tehlikeli sonuçlar doğurabilmektedir. Bu nedenle bankaların her şeyden önce hizmet aldığı firmaları dikkatle seçmeleri ve bu firmalar ile yaptıkları sözleşmelerde kişisel verilerin korunması ile ilgili maddelere önem vermeleri gerekmektedir. Benzer şekilde kendi bünyeleri içerisinde farklı birimler tarafından gerçekleştirilen veri işleme faaliyetleri büyük bir özenle yürütülmelidir.
Nitekim Kurulun bu kararında da bankaya ait çağrı merkezi tarafından veri paylaşımı yapıldığını görüyoruz. Karara konu olayda ilgili kişi, Banka ATM’sinde bulduğu üçüncü bir kişiye ait kart için veri sorumlusu Banka’nın çağrı merkezi ile iletişime geçmiştir. Çağrı merkezi yetkilisi, ilgili kişinin telefon numarasını, kart kullanıcısı üçüncü kişi ile paylaşarak kartın üçüncü kişi tarafından kendisinden alınmasını önermiş, fakat ilgili kişi buna rıza göstermemiştir. Bunun üzerine çağrı merkezi yetkilisinin kartı havalimanındaki güvenlik görevlisine teslim etmesini söylemiş, ilgili kişi de bu talebi yerine getirmiştir. Sonraki süreçte kart kullanıcısı üçüncü kişi tarafından ilgili kişinin şahsi telefon numarasına mesaj gönderilmesi üzerine ilgili kişi ad ve soyadı ile telefon numarasının işlenmesi için aydınlatılmadığını ve verilerinin üçüncü kişiye aktarılmasına açık rıza göstermediğini belirterek şikâyette bulunmuştur.
Veri sorumlusu savunma yazısında, ilgili kişiye çağrı merkezi aracılığı ile KVKK aydınlatma metni sunulduğu fakat ilgili kişinin dinlemeyi tercih etmediği, ilgili kişinin çağrı merkezi ve Bankanın internet sitesindeki Bize Ulaşın bölümünde gerçekleştirdiği başvurusunda Kanun m. 10 uyarınca verilerinin işlenmesine yönelik aydınlatma yükümlülüğü yerine getirildiği ifade edilmiştir. Ayrıca çağrı merkezi ile ilgili kişi arasında gerçekleşen görüşmede müşteri temsilcisinin kart sahibine kartın ilgili kişi tarafından bulunduğunu söyleyeceğini ifade etmesi üzerine ilgili kişi tamam cevabını vermiştir. Bunun neticesi olarak da kart kullanıcısı ile ilgili kişinin kişisel verileri sözlü olarak paylaşılmıştır. Kurul’a çağrı merkezi ile gerçekleştirilen görüşme kaydı CD olarak sunulmuştur.
Kurul, ilgili kişiye çağrı merkezi ile görüşmesinde KVKK aydınlatma metninin sunulması ve veri sorumlusunun internet sitesinde başvuru oluştururken “kişisel verilerin korunması kanunu kapsamında yapılan bilgilendirmeyi okudum, anladım” kutucuğunun işaretlendiğini tespit ederek veri sorumlusu Banka’nın aydınlatma yükümlülüğünü yerine getirdiğini ifade etmiştir. Ancak ilgiliye kişiye ait telefon numarasının paylaşılması bakımından 6698 sayılı Kanun kapsamında hukuki sebep olmadığına kanaat getirmiştir. Zira veri sorumlusu bankanın sunduğu CD’de “kartı sizin bulduğunuzu ileteceğim” cümlesine karşılık ilgili kişinin “tamam” cevabı verdiği anlaşılsa da çağrı merkezi tarafından telefon numarasının paylaşılacağına dair açık bir ifade kullanılmamıştır. Kaldı ki ilgili kişi, konuşmanın başında telefon numarasının kart kullanıcısı üçüncü kişiyle paylaşılmasına açık rıza göstermemiştir, zaten tam da bu yüzden kartı güvenlik görevlisine teslim etmiştir. Dolayısıyla sunulan konuşma kaydının içeriğinden ilgili kişinin telefon numarasının paylaşılmasına yönelik açık rızasını vermiş olduğunu kabul etmek mümkün değildir. Kurul, ilgili kişinin kişisel verilerinin işlenmesinde açık rıza unsurunun bulunmadığını, dolayısıyla veri sorumlusunun Kanun’a aykırı şekilde kişisel veri işleyerek Kanun m. 12’de yer alan kişisel verilere hukuka aykırı erişimi önlemek ve kişisel verilerin korunmasını sağlamak yükümlülüklerini ihlal etmesi nedeniyle Kanun’un 18. maddesi gereği veri sorumlusuna idari yaptırım uygulanmasına karar vermiştir.
Gerçekten, açık rızanın unsurları göz önünde bulundurulduğunda özellikle “bilgilendirmeye dayanma” unsuru bakımından ilgili kişinin açık rızaya konu paylaşım bakımından açıkça bilgilendirilmiş olduğu kabul edilemez. Bu nedenle Kurulun bu kararının yerinde olduğu düşüncesindeyiz. Bankaların, özellikle çağrı merkezinde gerçekleştirilen konuşmalar nedeniyle sıklıkla bu tür durumlarla karşılaştığı bir gerçektir. Bu nedenle çalışanların mutlak surette bu tür durumlara karşı düzenli olarak eğitilmesi gerekir.
11. Aynı isme sahip bir kişi tarafından internet üzerinden sipariş verilirken ilgili kişinin e-posta adresinin kullanılması üzerine faturanın ilgili kişiye gönderilmesi suretiyle kişisel verilerinin işlenmesi (17/03/2022 tarihli ve 2022/243 sayılı)
Karara konu olayda, ilgili kişi ile aynı isimde bir kişi, internet üzerinden hizmet veren veri sorumlusuna üye olup sipariş verirken ilgili kişiye ait e-posta adresini kullanmıştır. Veri sorumlusu, e-posta adresinin doğruluğunu kontrol etmeden ve onaylanmadan üyelik işlemi gerçekleştirilerek siparişin faturasını ilgili kişiye göndermiştir.
Veri sorumlusu ise savunma dilekçesinde, internet sitesine misafir girişlerde kullanıcıların isteklerine göre işlem yapabilmeleri ve işlemlerin kolaylaştırılması için e-posta doğrulaması yapılmadığını, üye olmaksızın yapılan alışverişlerde misafir müşteri sıfatına sahip kişi tarafından kendisine ait e-posta ya da telefon numarası girilmesi sırasında yanlışlıkla başkalarına ait verilerin girilmesi durumunun teyit edilebilmesi için teknik geliştirme çalışmaların yapıldığını ifade etmiştir. Somut uyuşmazlıkta bir gönderici tarafından yanlışlıkla ilgili kişinin e-posta adresi ile sisteme giriş yapılarak sipariş oluşturulması, ilgili kişinin e-posta adresi ile ilgili kişiye ait herhangi bir verinin eşleşmemesi ve kişiye ait kimlik bilgilerinin işlenmemesinden bahisle kişisel verinin hukuka aykırı olarak başkaları tarafından elde edilmediği belirtilmiştir.
Kurul, bu işleme faaliyetinin, Kanun m. 5’te yer alan işleme şartlarının hiçbirine dayanmaması ve “doğru ve gerektiğinde güncel olma” ilkesine aykırı olması nedeniyle veri sorumlusu aleyhine 100.000 TL idari para cezası uygulanmasına karar vermiştir.
Veri sorumlusu tarafından e-fatura gönderimi kanundan doğan bir zorunluluk olup; veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi için zorunlu bir veri işleme faaliyetidir. Bununla birlikte e-faturanın delil niteliği ile üzerinde yer alan kişisel veriler göz önünde bulundurulduğunda gönderileceği adresin doğruluğu ve güncelliği önem arz eder. Somut olaydaki sorun, sipariş veren kişinin (i) misafir olarak sipariş oluşturması ve (ii) sipariş veren kişinin sisteme girdiği e-posta adresine ait zaten bir üyelik hesabı olmayışıdır. Dolayısıyla veri sorumlusunun bu senaryoda girilen verilerin doğruluğunu teyit edebilmesi zordur. Ancak Kurul veri sorumlusunun buna yönelik mekanizmalar geliştirmesi gerektiğini ifade etmiştir.
Bu tür durumlarda genellikle sisteme girilen iletişim adresine doğrulama kodu veya linki gönderilmek suretiyle teyidin gerçekleştirildiğini görüyoruz. Bu doğrulama mekanizmasının sipariş sürecini yavaşlatacağı bir gerçek olsa da; online ortamda verilen siparişlerde bu tür durumların sık yaşandığı göz önünde bulundurulduğunda doğrulama mekanizmasının kurulmasının kişisel verilerin korunması için gerekli olduğu sonucu çıkmaktadır.
12. İlgili kişinin “el geometrisi” bilgisinin bir işletmenin hizmet binasına giriş yapabilmek amacıyla veri sorumlusu tarafından açık rıza alınmaksızın işlenmesi (07/07/2022 tarihli ve 2022/662 sayılı)
Kurulun biyometrik veri işlenmek suretiyle bina ve iş yerlerine giriş ve çıkışın sağlanması konusundaki kararları çok net olmasına rağmen ne yazık ki veri sorumluları tarafından konuyla ilgili hassasiyetin halen gösterilmediğini görüyoruz. Kurulun bu kararına konu olan olay ise veri sorumlusunun “el geometrisi” bilgisinin özel nitelikli kişisel veri olmadığına ilişkin iddiasıdır. Veri sorumlusu el geometrisi bilgisinin yanılmaz olmadığından bahisle biyometrik veri olarak kabul edilmemesi gerektiği düşüncesindedir. Ancak Kurul bu yönden yaptığı incelemede veri sorumlusu tarafından alınan bilginin biyometrik veri niteliğinde olduğunu tespit etmiştir. Bunun nedenleri ise şu şekildedir:
- Veri sorumlusu tarafından kullanılan cihazın adı “biyometrik veri terminali”dir.
- Bu cihaz el ve parmakları üç boyutlu olarak taramakta ve elin bütün karakteristik özelliklerini analiz etmektedir. Bu nedenle de yanılma payının yüz trilyonda 1’den daha düşük olduğu tespit edilmiştir.
- Danıştay’ın 15. Dairesi’nin 2014/4562 E. sayılı kararında el geometrisi biyometrik veri olarak kabul edilmiştir.
- GDPR’da biyometik veri tanımında “fiziksel, fizyolojik veya davranışsal özelliklerine” ibaresi kullanılmıştır.
- Avrupa İnsan Hakları Mahkemesi’nin Marper v. Birleşik Krallık kararında her ne kadar doğrudan el geometrisinden bahsedilmese de; biyometrik veriler üzerinde yeterli güvenceleri sağlayacak iç hukuktaki düzenlemelerin yapılması gerektiği vurgulanmıştır.
- Anayasa Mahkemesi’nin 2018/11988 başvuru numaralı kararında biyometrik veri için “bir kişinin diğer şahıslardan ayrılmasını ve bizzat kişinin kimliğinin tanımlanmasını sağlayan, bu kişiye ait bir biyolojik veya davranışsal bilgi içermesi nedeniyle önemine binaen özel nitelikli kişisel veri” ibaresi kullanılmıştır.
Kurul, yukarıda belirtilen gerekçelerden yola çıkarak el geometrisi bilgisinin ölçülebilir fizyolojik bir özellik olması sebebiyle biyometrik veri olduğuna kanaat getirmiştir. Bu doğrultuda herhangi bir işleme şartı olmaksızın ilgili kişilere ait biyometrik veri işleyen veri sorumlusu hakkında idari para cezası uygulanması ve biyometrik veri alınmak suretiyle giriş yapmak şeklinde uygulamanın durdurulması yönünde karar verilmiştir.
Kurulun bu konudaki kararları da son derece istikrarlı olduğundan veri sorumlularının bu konuda hassasiyet göstermesi ve uygulamalarını buna göre gözden geçirmeleri gerekir. Gerçekten, biyometrik verilerin özel nitelikli kişisel veri kategorisinde yer alması ve daha sıkı şartlara tabi olması nedeniyle bu tür verilerin kullanılması için zorunlu koşulların varlığı gerekir. Eğer ulaşılmak istenen amaca özel nitelikli olmayan kişisel verilerin işlenmesi suretiyle erişilebiliyorsa mutlak surette bu yöntem tercih edilmeli ve özel nitelikli kişisel veri işleme yoluna gidilmemelidir. İş yeri giriş çıkışları, spor salonları, hizmet alanına giriş vb. gibi durumlarda bina veya iş yeri güvenliğini sağlamak elektronik kart, kişiye özel şifre, barkod okutma vb. yöntemlerle de mümkün olduğundan biyometrik veri işlenmesinden kaçınılmalıdır. Zira bu durumda ölçülülük ilkesine aykırı bir veri işleme faaliyeti söz konusu olacaktır.
Av. Prof. Dr. Murat Volkan Dülger & Av. Gülçin Gümüş