Giriş
6698 sayılı Kanun yürürlüğe girdiği zaman hiçbir sektörün iş faaliyeti bu Kanuna uyumlu değildi ve de Kanun’un yürürlüğe uyumun nasıl sağlanacağı tartışmalara neden oldu. Çünkü Kanun’un hükümleri de uygulamadaki sorunları çözmek konusunda yol göstermede yetersiz kalıyordu.
İşte bu noktada da uygulamanın şekillenmesi için yol gösterici olarak Kurul kararları ve rehberleri devreye girdi. Kararlar kişisel verilerin korunması mevzuatının somut olaya nasıl uygulanacağının yaşanan örneklerini teşkil etmektedir. Ayrıca idari para cezalarının hükmedildiğine ilişkin kararların da yer almasıyla caydırıcılık etkisini de barındırmaktadır. Bu çalışmanın konusunu da Kurul’un 02.04.2020 tarihinde yayımlanan kararları oluşturmaktadır.
I. 16. 05. 2019 Tarihli 2019/ 138 Sayılı Karar
A. Kararın Özeti
Karara konu olan olayda çalışanın iş bilgisayarında açık olan Whatsapp’taki konuşmaları işveren veri sorumlusu tarafından okunup, fotoğrafları çekilerek üçüncü kişilerle paylaşılmıştır. Bunun üzerine çalışan Kişisel Verilerin Korunması Kurulu’na şikâyette bulunmuştur.
Kurul kararında 6698 sayılı Kanunun 17. maddesi gereğince suçlar bakımından Türk Ceza Kanunu’nun madde 135-140 arasındaki suç hükümlerinin uygulanacağı, 15/1 maddesi gereğince Kurulun şikayet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapacağını, 15/2 maddesi gereğince de 1/11/1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun’un 6. maddesinde belirtilen hususlar hakkındaki ihbar ve şikayetlerin incelemeye alınmayacağını belirtmiştir. Söz konusu hususlar şunlardır:
- Belli bir konuyu ihtiva etmeyen,
- Yargı mercilerinin görevine giren konularla ilgili olan,
- 4 üncü maddede gösterilen şartlardan (dilekçe sahibinin adı soyadı ve imzası ile iş veya ikametgâh adresi) herhangi birini taşımayan ihbar veya şikâyetler.
Kurul yukarıdaki hükümler gereğince kişinin işyerindeki bilgisayarında yer alan Whatsapp konuşmalarının okunup, fotoğrafının çekilerek üçüncü kişilerle paylaşılmasının 6698 sayılı Kanun kapsamında olmadığını, Türk Ceza Kanunun’daki kişisel verilere ilişkin ilgili hükümleri ilgilendirdiğine karar vermiştir.
B. Kararın Değerlendirmesi
İş bilgisayarlarının denetlenebilmesi konusu Kanun yürürlüğe girdiğinden beri kafa karışıklığı yaratan bir konu. Çünkü iş bilgisayarları her zaman iş amacıyla kullanılmayabiliyor. Bu durumda da işveren bilgisayarı denetlemek istediğinde işçinin özel hayat alanı ile karşılaşmış oluyor ve itirazlar yükseliyor. Yargıtay içtihatları ve kişisel verilerin korunması mevzuatının uygulamaya yerleşme başlamasıyla aslında bu problem çözüldü denilebilir. İşverenin çalışanın iş bilgisayarını 6698 sayılı Kanunun 5/2/f maddesindeki meşru menfaat hukuki sebebi uyarınca kontrol etmesi mümkündür. Ancak bunun için çalışanına öncesinden aydınlatma yapması gereklidir.
Kurul’un kararına konu olan olay işverenin her türlü denetimi yapamayacağını gösteren güzel bir olaydır. Konuşmaların içeriği ne olursa olsun çalışan iş bilgisayarını kullansa da (kendisine aydınlatma yapılmış durumlar da dahil) çalışanın varlığı bulunmaksızın bilgisayarının gizlice kontrol edilmesi doğru değildir. Çalışan bilgisayarlarına denetim gerçekleştirileceği söylenerek bilgisayarı alınmalı ve yapılan denetimlerin raporları tutulmalıdır. Nitekim Kurul da işverenin olaydaki hareketini denetim kapsamında değerlendirmemiştir.
Her ne kadar kararda belirtilmese de Whatsapp çalışanın işyeri hattına mı yoksa şahsi hattına mı ilişkin olduğu da önemlidir. Çünkü kişinin şahsi hattı vasıtasıyla yaptığı özel hayatına ilişin konuşmalar bizi özel hayatın gizliliği suçuna ilişkin hükme götürebilir. Ancak tabi ki bunun tespiti yargı makamında olup Kurul’da değildir.
İşverenin hareketinin iş faaliyeti kapsamında olmadığı, tamamen şahsi alanı içerisine hareket etmesinden dolayı Kurul’un verdiği karar hukuka uygundur. Ancak Kurul’un kararları uygulamanın şekillendirilmesi bakımından önemli iken Kurul’un kararlarında daha net olması gerektiğini düşünüyoruz. Ayrıntıları barındıran olaylara ilişkin kararlar yayınlanırken özetleri dahi olsa mutlaka uygulama için ayırt edici konulara yer verilmeli ve vurgulanmalıdır.
Kurul’un bu kararında üzerinde durulması gereken ve tartışmalı olan bir diğer husus ise “Yargı mercilerinin görevine giren konularla ilgili olan konularda inceleme yapmayacağını belirtmesidir. Bize göre Kurul’un bu düzenlemeden çıkardığı sonuç hatalıdır. KVKK’nın 15/2. maddesi gereğince 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun’un 6. maddesinde belirtilen hususlar hakkındaki ihbar ve şikayetlerin incelemeye alınmayacağa ilişin düzenleme “münhasıran yargılama faaliyetine dahil olan” konularda Kurul’un işlem yapamayacağına ilişkindir. Aksi halde, güçler ayrılığının söz konusu olduğu bir polştis sistemde yetki gaspı söz konusu olacak, yargı erkinin içinde çözülmesi gereken bir olay idare erki tarafından çözülmeye çalışılacaktır. Ancak bu husus yalnızca yargı erkini ilgilendirmemektedir. Bu konunun Kurul kararında da belirtildiği üzere TCK’nın ilgili hükümlerini ihlal etmesi söz konusu olduğu gibi aynı zamanda 6698 sayılı KVKK’yı da ihlal etmektedir. Dolayısıyla Kurul’un idari yönden de konuyu ele alıp incelemesi ve gerekli görürse talimatlandırma gibi bir idari işlemde bulunmasının önünde bir engel bulunmamaktadır. Eğer ülkemizde kişisel verilerin korunması hukukunun gelişmesi ve herkesin kişisel verilerin korunması uyum göstermesi isteniyorsa söz konusu madde dar yorumlanmamalı, amaca uygun yorum yapılarak yukarıda ulaşmış olduğumuz çözüm çerçevesinde uygulama yapılmalıdır. Aksi halde Kurul’un önüne gelen hemen her uyuşmazlık zaten TCK’nın 136-140. maddelerini ihlal eder niteliktedir.
Yeri gelmişken bir kez daha uyarmakta fayda görüyoruz. Kurul’un önüne gelen bir olayda suç işlendiğini de görmesi halinde şu ana kadarki kararlarında olduğu gibi “ilgilisin bilgilendirmesi vb.” ifadeleri kullanarak bu konuda işlem yapmaması hukuka aykırıdır ve suç oluşturmaktadır. Zira TCK’nın 279. maddesinde düzenlenen “Kamu görevlisinin suçu bildirmemesi” suçuna göre “Kamu adına soruşturma ve kovuşturmayı gerektiren bir suçun işlendiğini göreviyle bağlantılı olarak öğrenip de yetkili makamlara bildirimde bulunmayı ihmal eden veya bu hususta gecikme gösteren kamu görevlisi … cezalandırılır”. Kurul üyeleri kamu görevlisi olup, TCK’nın 279. maddesi gereğince önlerine gelen bir olayda suç işlendiğini öğrendikleri takdirde bunu gecikmeksizin yetkili Cumhuriyet savcılığına bildirmek yükümlülüğü altındırlar. Bu bildirim kendilerinin inisiyatifine bırakılmış bir durum olmayıp, takdir hakları bulunmamaktadır. Aksine davranış kendilerinin cezai sorumluluğunu gündeme getirecektir.
II. 08. 07. 2019 Tarihli 2019/ 206 Sayılı Karar
A. Kararın Özeti
Karara konu olayda şikayetçi, veri sorumlusunun hizmet sunduğu web sayfasına girildiğinde, giriş yapılması için zorunlu bir alan çıktığı ve e-posta adresinin talep edildiği, istenilen kişisel veriler verilmeden ana sayfaya geçiş imkânının bulunmadığı ve bu bakımdan söz konusu kişisel verinin verilmesinin bir hizmet şartı olarak talep edildiği; kişisel veri talebi sırasında aydınlatma yükümlülüğü kapsamında sunulan metnin, işlenen kişisel verileri ve hukuki sebeplerini açıkça ortaya koymadığı iddia etmiştir. Kurul söz konusu internet sitesi üzerinde inceleme yaptığında bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının açık rıza şartına dayandırılmasından ziyade üyelere artı avantaj sağlandığı tespit etmiş olup bu konuda tesis edilmesi gereken herhangi bir işlem olmadığına karar vermiştir.
Kurulun üzerinde durduğu diğer bir husus ise internet sitesinde yer alan “Gizlilik ve KVK Politikamız” başlıklı metindir. Kurul bu metinde kişisel verilerin açık rıza hukuki sebebine mi yoksa Kanunda yazan diğer hukuki sebeplerden birine dayanılarak mı işlendiğinin açıkça ifade edilmemiş olması nedeniyle Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun düzenlenmediği gerekçesiyle söz konusu metnin Tebliğde yer verilen hükümler dikkate alınmak suretiyle güncellenmesi, ayrıca aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiği yönünde Şirketin talimatlandırılmasına karar vermiştir.
B. Kararın Değerlendirmesi
Kurul kararında temelde iki kavramın asgari unsurları üzerinde durmuştur: Açık rıza ve aydınlatma metni.
Karara konu olan olayda internet sitesine üyelik için kişilerin kişisel verileri temin edilmektedir. Üyelik için bazı kişisel verilerin işlenmesi ve kişisel verilerin verilmemesi durumunda ise üyeliğin gerçekleşmemesi mümkündür. Ancak burada önemli olan husus üyeliğin bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ana şartı olup olmadığıdır. Karara konu olayda olduğu gibi üyelik hizmetin sunulması için şart değil ise sadece bazı indirim ve avantajlar sağlıyorsa bu durumda açık rızanın asgari koşullarından olan özgür iradeye dayalı olmanın gerçekleştiği söylenebilir. Bu durum sadakat kartı durumuna benzerdir.
Kurulun üzerinde durduğu diğer bir konu ise aydınlatma metnine ilişkindir. Kolaylık sağladığı düşüncesiyle uygulamada aydınlatma ve açık rıza için tek kutucuk verilmekte ya da aydınlatma metni ile açık rıza iç içe olmaktadır. Bunlar uygulamada hala sıklıkla yapılmakta olan hataların başında gelmektedir. Oysaki Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’de aydınlatma metninin asgari koşulları yer almaktadır. Kurul’un rehber ve kararlarında sıklıkla aydınlatma metni ile açık rızanın ayrı olması gerektiği vurgulanmakta, ayrı olmamasının açık rızayı sakatladığı belirtilmektedir. Karardaki şirketin de aynı kutucuğun içinde aydınlatma ve açık rıza alması hatalıdır.
Burada belirtmek istediğimiz bir başka husus da “tek bir aydınlata metni” hazırlanarak, bunun tüm süreçlerde kullanılmasının veri sorumlusunun aydınlatma yükümlülüğünü yerine getirdiği anlamına gelmediğidir. Bir işletmedeki işleyiş süreçleri ve bunların alt süreçleri birbirlerinden veri işleme amacı bakımından ne kadar farklılaşıyorlarsa o kadar sayıda aydınlatma metni ve gerekiyorsa açık rıza formu gerekmektedir. Bu işleyişi zorlaştırsa ve bürokrasiyi artırsa da hem Kanun’un lafzı ve ruhu, hem de Kurul’un yorumu bu düşünce ve uygulamamızı desteklemektedir.
Kurul aydınlatma metninin asgari koşulları sağlamamasına rağmen şirketin uyum için göstermiş olduğu çabayı göz önüne de alarak gerekli güncellemelerin yapılması için talimat verilmesine karar vermiştir. İdari para cezalarının uygulanmasının amacı para elde etmek değil, yasal düzenlemelerin doğru uygulanması ve yasal düzenlemeler aykırı uygulamaların önüne geçmektir. Bu nedenle Kurulun verdiği doğru olduğunu düşünüyoruz.
Ayrıca uyum için gösterilen çabanın, Kurul tarafından açık bir ihlalin tespit edilmesine rağmen, bu şekilde dikkate alınmasını hem Kurul açısından çok olumlu tavır hem de veri sorumluları açısından uyumun sağlanması için dikkate alınması gereken önemli bir olduğunu belirtmek istiyoruz.
III. 18. 09. 2019 Tarihli 2019/ 273 Sayılı Karar
A. Kararın Özeti
Konu, ölen bir kişinin eşi vefat eden eşinin yasal mirasçısı olarak eşinin İstanbul’da tedavi görmüş olduğu klinikten tüm medikal ve diğer bilgilerini talep ettiğini, bu talebini içeren bir mektubu taahhütlü posta ile bahse konu kliniğe ilettiğini, postanın karşı tarafça alındığını, ancak kendisine bir yanıt verilmediğini, bunun üzerine bahse konu taleplerini içeren bir e-postayı kliniğin elektronik ortamdaki adresine ilettiğini ve yanıt olarak resmi olmayan yollarla kendisi ile veri paylaşılamayacağının iletildiğini ifade ederek, eşinin başvurusunda yer alan verilerine erişim talebinde bulunmuştur.
Kurul ise Kanun’un ilgili kişiyi “kişisel verileri işlenen gerçek kişi” olarak tanımlandığı, 4721 sayılı Türk Medeni Kanununun 28. maddesinde ise kişiliğin, çocuğun sağ olarak tamamıyla doğduğu anda başladığı ve ölümle sona erdiği hükmünün yer aldığı, Kanunun 11. maddesine göre ilgili kişinin kendisi ile ilgili kişisel veriler hakkında bilgi talep edebileceği, hususlarını değerlendirerek ; talep edilen kişisel verilerin talep eden gerçek kişiye ilişkin olmaması ve ölmüş kişiye ait olması sebebiyle talebin, Kanunun 11. maddesi kapsamında bir talep olarak değerlendirilmeyeceğine karar vermiştir.
B. Kararın Değerlendirmesi
İlgili kişi kişisel verileri işlenen gerçek kişidir. Kişilik ise Kurul’un kararında da belirttiği gibi ölümle sona erer. Ölümle kişilik sona erdiği için de ölmüş kişilere ilişkin veriler kişisel veri değildir. Ancak bu noktada sadece ölmüş kişiye ilişkin verinin ölmüş kişinin yakınları ile ilgili olup olmadığının da değerlendirilmesi gerekir. Çünkü içerik olarak ölmüş kişinin yakınları ile ilgili veriler amaç veya netice itibariyle kişisel veri olabilir. Özellikle bu konuda “veri ilgilisi” kavramının Kanunda tercih edilmiş olması etkisini gösterir. Bu kapsamda ölen kişinin kişisel verisi mirasçılarına bağlı olarak kişisel veri kabul edilmelidir. Ölümle kişiliğin son bulmasına rağmen mirasçıları o verilerin ilgilisi olup korumadan yararlanabilir.
Kararda Kurul’un kişisel verilerin amaç veya neticeleri üzerinde durmaksızın verilerin ölen kişiye ait olması nedeniyle 6698 sayılı Kanun kapsamında tutması doğru bir karar değildir. Verilen karar hem veri sahibi yerine veri ilgilisi kavramının kanunda seçilmiş olmasıyla hem de Kanunun genel mantığı ile bağdaşmamaktadır.
IV. 01. 10. 2019 Tarihli 2019/ 297 Sayılı Karar
A. Kararın Özeti
Veri sorumlusunun veri ilgilisine reklam içerikli SMS gönderdiği, veri ilgilisinin kişisel verilerinin açık rızası olmaksızın işlenmesi nedeniyle veri sorumlusuna başvurduğu veri sorumlusunun başvuruya yazılı olarak cevap verdiği, kendisinin bu cevabı yeterli bulmadığı, bu anlamda kişisel verilerinin açık rızası olmaksızın işlendiği düşünerek veri ilgilisi Kurula şikayette bulunmuştur.
Kurul kararını iki yasal dayanak temelinde vermiştir. Bunlardan ilki geçici 1/3 maddesindeki ““Bu Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilir. Bu Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinir, yok edilir veya anonim hâle getirilir. Ancak bu Kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması hâlinde, bu Kanuna uygun kabul edilir.” hükmüdür. İkinci yasal dayanak ise 15/07/2015 tarihli Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik’in Geçici 1/2 maddesindeki, “Kanunun yürürlük tarihinden önce, hizmet sağlayıcı ve alıcı arasında doğrudan mal veya hizmet teminine yönelik işlemler sırasında alıcının elektronik iletişim adresini vermesi ile oluşturulan veri tabanlarının onaylı olduğu kabul edilir. Bu şekilde verildiği kabul edilen onay; acente, özel yetkili ya da bayi işletme için verilmiş ise sözleşmenin diğer tarafı için de verilmiş kabul edilir.” hükmüdür.
Kurul, veri sorumlusu tarafından, 2012 yılında ilgili kişinin başvurusunda belirttiği telefon numarasından şirket merkezini arayarak motosikleti için İngilizce kullanım kılavuzu talep ettiğinin, bu talebiyle beraber şahsıyla e-posta, SMS ve telefon ile iletişime geçilmesine izin verdiğinin, ayrıca ilgili kişinin 2013 yılında motosikleti için firmadan yedek parça ve servis hizmeti satın aldığının, bu duruma ilişkin olarak fatura cari kaydının bulunduğunun görüldüğü, firmanın, ilgili kişinin başvurusuna cevaben, söz konusu iddialarını tevsik etmek üzere satın alınan ürün ve hizmetin fatura bilgisini gösterir ekran görüntülerinin sunulduğunun, ilgili kişinin başvuru dilekçesinde de firmanın iddialarının doğru olmadığına yönelik bir beyanının olmadığını belirtmiştir.
Kurul söz konusu iki hükmü incelediğinde, 2012 yılında şirket merkezini arayarak motosikleti için İngilizce kullanım kılavuzu talep etmesi ve bu talebiyle beraber şahsıyla e-posta, SMS ve telefon ile iletişime geçilmesine izin vermesi, ayrıca ilgili kişinin 2013 yılında motosikleti için firmadan yedek parça ve servis hizmeti satın almasına binaen işlendiğinin beyan edilmesi ve başvuru sahibince aksinin iddia edilmemesi sebebiyle, bahsi geçen satın alma işleminin de 6698 sayılı Kanunun yürürlük tarihinden önce gerçekleşmesinden dolayı Kişisel Verilerin Korunması Kanunu kapsamında yapılacak herhangi bir işlem olmadığına karar vermiştir.
B. Kararın Değerlendirmesi
6698 sayılı Kanun yürürlüğe girdiği tarihte kişisel veri kavramına yabancı olmamız nedeniyle hiçbir yasal düzenlememiz Kanuna uygun değildi. Her geçen gün yasal düzenlemelerde 6698 sayılı Kanun doğrultusunda değişiklikler yapılmaktadır.
Kişisel verilerin korunması bakımından önemli bir düzenleme Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik’tir. 6698 sayılı Kanun’dan önce çıkarılan bu Yönetmelik’de bu yıl önemli bir değişiklik yaparak İletim Yönetim Sistemi getirilmiştir. Böylece kişilerin ticari iletilere onay verip vermemesi, başka bir deyişle kişisel verilerinin işlenip işlenmemesi hakkında rıza göstermesi daha kolay bir şekilde mümkün hale getirilmiştir.
Kurul’un bu kararının en önemli noktası Kişisel Verilerin Korunması Kanunu’nun diğer alanlardan soyut olmadığını göstermesidir. Öncelikle 6698 sayılı Kanun’un yürürlüğe girmeden önce işlenen kişisel verileri uyumlu hale getirmek için iki yıl süre verdiği değerlendirilmiş sonrasında uyumlu olup olmadığını belirlenmesi için de konu ile ilgili olan Yönetmeliği incelenmiştir.
Söz konusu olayda da Yönetmelik hükmünü karşıladığı yani kanunun yürürlük tarihinden önce, hizmet sağlayıcı ve alıcı arasında doğrudan mal veya hizmet teminine yönelik işlemler sırasında alıcının elektronik iletişim adresini vermesi ile oluşturulan veri tabanı olduğundan ve bu veri tabanının da onaylı kabul edilmesinden dolayı yapılacak herhangi bir işlem olmadığına karar verilmiştir.
Kişisel verilerin korunması mevzuatına uyumlu olurken 6698 sayılı Kanun’un hükümlerinin diğer kanun hükümleri ile birlikte düşünülmesi gereklidir. Karar hem bunu hem de Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmeliğini vurgulaması bakımından önemli ve doğru bir karardır.
V. 07. 11. 2019 Tarihli 2019/ 333 Sayılı Karar
A. Kararın Özeti
Şikayetçi, bir telekomünikasyon firması adına kayıtlı hattı için e-faturalı aboneliği kapsamında …….@gmail.com e-posta adresini kullandığı, 2018 yılı Ağustos ayından itibaren kendi faturaları ile birlikte isim benzerliği dolayısıyla başka bir abonenin faturalarının da tarafına e-posta ile gönderildiği, kişisel verilerinin işlenme sürecinde ortaya çıkan bu hatanın düzeltilmesi, kişisel verilerinin hangi amaçlarla işlendiği, yurt içi ve yurt dışında verilerinin aktarıldığı üçüncü kişiler hakkındaki bilgi taleplerini içeren e-postasını veri sorumlusuna göndererek başvuruda bulunduğu, aynı gün içinde tarafına gönderilen e-postada talebi ile ilgili olarak bir iş günü içerisinde yanıt verileceğinin ifade edilmesine rağmen herhangi bir cevap verilmediği, öte yandan başvurusunun akabinde yanlış e-fatura gönderiminin tekrar gerçekleştiği belirtilerek şikayette bulunulmuştur.
Kurul tarafından veri sorumlusunun savunması istenmiş olup veri sorumlusu savunmasında her iki kişinin de aynı e-posta adresini verdiği, fatura gönderme yükümlüğü nedeniyle e-posta adresine fatura gönderildiği, müşteri memnuniyeti çerçevesinde ve ilgililerin iletişim bilgilerinin güncel tutulmasını teminen şirketin abonesi olan ve aynı e-posta adresini beyan eden diğer kişi ile birçok kez iletişime geçilmeye çalışıldığı ancak hattında bulunan kısıtlama sebebi ile kendisine ilk etapta ulaşılamadığı, daha sonra devam eden aramalarda bahsi geçen kişiye bir kez ulaşılabildiği ve e-posta adresine ilişkin şikayet konusu durum aktarılarak mevzuata uygun bir şekilde güncelleme yapması gerektiği konusunda bilgi verildiği, güncelleme yapılmaması nedeniyle e-postanın sistemden kaldırılarak şikayetçiye e-postaların gönderiminin durdurulduğunu, veri ilgilisinin kendilerine yaptığı başvuruda Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 5. maddesine uygun biçimde zorunlu olarak yer verilmesi gereken başta TC Kimlik Numarası olmak üzere tebligata esas yerleşim yeri veya işyeri adresi, varsa bildirme esas elektronik posta adresi, telefon ve faks numarası gibi kendisini doğrulamaya yarayacak olan herhangi bir bilgi vermediği ve bu çerçevede, kimlik teyidinin yapılamadığı, teknik anlamda güvenli olmaması sebebi ile e-posta ortamında cevap verilmesinin veri güvenliği açısından risk arz edeceğinin değerlendirildiği ve somut olaydaki şekilde birden fazla abonenin aynı e-posta adresini kullanabilmesinden dolayı veri güvenliğinin sağlanmasını teminen başvuruya dönüş yapılamadığını belirtmiştir.
Kurul kararında ise iki kişinin aynı e-postayı almasının mümkün olmaması nedeniyle yazım yanlışlığı yapılmış olmasının muhtemel olduğunu, diğer müşteri ile ne zaman iletişime geçildiği ve sistemden e-posta adresinin ne zaman kaldırıldığı bilgisinin verilmediği, sistemde kayıtlı e-posta adresinin bir başka müşteri tarafından kullanıldığının uyarısının kayıt yapılan sistem tarafından verilmemesi dolayısıyla veri sorumlusunun veri güvenliğine ilişkin gerekli teknik tedbirleri almadığı, sistemindeki verilerin doğru ve gerektiğinde güncel olmadığı ve müşterilerinin verilerini başka müşteriler ile paylaşabildiğinden bünyesinde barındırdığı kişisel verilerin güvenliğini sağlayamadığı kanaatine varıldığı ve e-posta adresi üzerinden yaptığı başvurusu için kimlik teyidi yapılamadığı gerekçesinin kabul edilebilir olmadığı, iki abonenin de aynı e-posta ile kayıtlı olmasından ötürü karışıklık yaşanabileceği kanaatine varılmış olsa da şikayet başvurusuna Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe uygun başvuru koşulları hatırlatılarak verilecek bir cevap ile kimlik teyidinin vatandaşı mağdur etmeden yapılabileceğinin değerlendirildiği, e-posta adresi ile şikayet başvurunda bulunduğundan ötürü veri sorumlusunun e-posta ortamından gelecek şikayet taleplerinin alınması ve cevap verilmesinin veri güvenliği açısından risk içereceğinden dolayı cevap verilmediğine ilişkin savunmasının verilen bilgiler ışığında gerçekçi bir savunma niteliği taşımadığı kanaatine varıldığı, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e uygun olmadığı gerekçesi ile cevap verilmemesinin Tebliğ’in 6. maddesinde yer alan hukuka uygunluk ve dürüstlük kuralı ile bağdaşmayacağını belirterek bir başkasının faturasının şikayetçiye gönderilmesinin 12/1 maddesine aykırı olduğu gerekçesiyle 50.000 TL para cezasına hükmetmiştir.
Ayrıca bununla birlikte “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ”in hükümlerine uyum konusunda azami dikkat ve özenin gösterilmesi ve bu karar çerçevesinde abonelerin kişisel verilerinin güvenliğine ilişkin gerekli tüm idari ve teknik tedbirlerin alınması hususunda veri sorumlusunun talimatlandırılmasına karar vermiştir.
B. Kararın Değerlendirmesi
Bir kişinin kişisel verisinin başka bir kişiye aitmiş gibi sisteme kaydedilmesi uygulamada sıklıkla karşılaşılan problemlerden biridir. Özellikle kargo şirketleri sistemlerindeki çifte kayıtlardan dolayı sık sık başvurular almaktadır. Gerek kargo şirketlerinin gerek telekomünikasyon şirketlerinin gerekse tüm veri sorumlularının sistemlerini yanlış kayıtları engelleyecek şekilde oluşturmaları, bu kayıtların önüne geçmek için gerekli tedbirleri almaları gerekir. Bir kişiye ait kişisel verilerin bir başkasına gönderilmesi veri ilgisi bakımından geri dönülemez sonuçlar yaratabilecek riskli bir durumdur. Bu bakımdan veri sorumlularının gerekli özeni göstermeleri gereklidir.
Karara konu olayda veri sorumlusunun gerekli tedbirleri almaması nedeniyle aynı e-posta adresinin iki kişi adına kayıtlı olduğu görülmektedir. Veri sorumlusu, şikayetçinin başvurusu sonrasında ihlali durdurmak için ne zaman harekete geçtiğini ve fatura gönderimini ne zaman durdurduğunu Kurul’a bildirmemiştir. Buna göre veri sorumlusunun gerekli teknik tedbirleri alma yükümlülüğünü yerine getirmediği açıktır.
Karardaki diğer bir husus ise veri sorumlusu tarafından kimlik doğrulamasının yapılabilmesi için yeterli bilginin veri ilgilisi tarafından verilmemiş olması nedeniyle başvurunun geçerli başvuru olarak kabul edilmemesi; bu nedenle de veri sorumlusunun cevap vermediğine ilişkin iddiadır.
Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’de veri sorumlusuna başvurunun taşıması gereken asgari koşulları düzenlenmiştir. Bu asgari koşullara sahip olan başvurular geçerli başvuru olarak kabul edilecektir. Kurul, kararının bu kısmında önemli bir husustan bahsetmektedir. Mevcut müşteri tarafından yapılan başvurunun kimlik doğrulaması için gerekli bilgilerin sağlanmamış olması başka bir deyişle asgari koşulları sağlamamış olduğu gerekçesiyle cevaplanmamasını dürüstlük kuralı ile bağdaşmadığını belirtmiştir. Veri sorumlusuna başvurunun asgari koşullara sahip olmasının bir nedeni de başvuru yapan kişinin veri ilgilisi olup olmadığının belirlenmesi için kimlik doğrulamasını yapılabilmesidir. Veri sorumlusunun mevcut müşterisi tarafından yapılan başvuruda kimlik doğrulamasını başka yollarla da gerçekleştirmesi mümkündür.
Kurul’un bu kararı gösteriyor ki, veri sorumlularının ana yaklaşımı başvuruların değerlendirilmesi, değerlendirilmesi için gerekli çabanın gösterilmesi olmalıdır. Asgari koşulların olmaması nedeniyle (her durum için geçerli olmamakla birlikte) başvuruya cevap vermeden kaçınmamaları, bunun için ellerinde gerekli olanakları kullanabilecek bir sistemi kurmaları, uyum projelerini de bu şekilde yapılandırmaları gerekir.
VI. 16. 01. 2019 Tarihli 2020/ 34 Sayılı Karar
A. Kararın Özeti
Şikayetçi veri ilgilisi, bir gıda şirketi adına telefonundan arandığını, şirketin internet sitesinin “bize ulaşın” bölümünden kişisel verisinin nasıl elde edildiğine ilişkin başvuruda bulunduğunu ancak kendisine herhangi bir geri dönüşte bulunulmadığını, bunun üzerine ticari işletmeye aynı taleple yazılı olarak da başvurduğunu, çağrı merkezi işiyle iştigal eden bir gerçek kişiden gelen cevap yazısında; kendisinin 2008 yılından beri yetki aldığı firmaların ürünlerinin çağrı merkezi işi ile uğraştığını, 2013-2014-2015 yıllarında bir spor kulübünün kendisine verdiği yetki uyarınca dergi abonesi olan kişilerin abonelik süresini uzatmaya yönelik arama hizmeti gerçekleştirdiğini, söz konusu spor dergisi abonesi olması dolayısıyla server (sunucu) sisteminde telefon bilgisinin yer aldığı, ilgili kişinin telefon bilgisinin dergi aboneliğinin gerçekleştiği tarihte 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’un 10. maddesine uygun olarak saklandığı, veri sorumlusunun 2017 yılından bu yana bir gıda markasıyla çeşitli doğal gıda ürünlerinin internet üzerinden satış ve pazarlama işini yürüttüğü, veri sorumlusunun kullanmakta olduğu server arama sisteminin hata sonucu ilgili kişinin numarasının silinmesine karşın sistemin numarayı aradığının tespit edildiği, yapılan yanlışlık akabinde ilgili kişiye yazılı özür cevabı verilerek Kanun’un 7. maddesi uyarınca kişisel verisinin geri dönülmez şekilde yok edildiği bilgisinin verilmesi üzerine Kurul’a şikayette bulunduğunu ifade etmiştir.
Kurul, kişisel verilerin ilk işlenme amacından farklı olarak başka bir amaç için kullanıldığı yani kişisel verilerin Kanun’un 4. maddesinde yer alan verinin işlendikleri amaçla bağlantılı ve sınırlı olma ilkesine aykırı hareket edildiği, Kanunun Geçiş Hükümlerine ilişkin Geçici 1. maddesinin 3. fıkrasında yer alan “Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilir” hükmü kapsamında söz konusu verilerin Kanun’un yayınlanma tarihinden sonraki iki yıl içerisinde Kanun’a uygun hale getirilmesi amacıyla; spor dergisi aboneliği için çağrı merkezi hizmeti vermeye ilişkin veri sorumlusu ile ilgili spor kulübü arasında imzalanan sözleşmenin 2015 yılında bitmesinin ardından söz konusu verilerin işlenme amaçları ortadan kalktığından verilerin silinmesi gerektiği, verinin farklı amaçlarla işlenmesinin sürdürmesi amaçlanıyor ise de ilgili kişinin işlenme amaçlarına ilişkin açık rızasının alınması gerektiği ancak bu işlemlerin gerçekleştirilmediği, sistemin numarayı bir hata sonucu aradığı beyan edilse de ilgili kişinin numarasının aranmasının silinme işleminin gerektiği gibi gerçekleştirilmediğinin göstergesi olduğu ve bu kapsamda veri sorumlusunun Kanunun 12/1/a maddesinde yer alan “kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” hükmüne aykırı davrandığı gerekçesinden dolayı 18.000 TL idari para cezasına hükmetmiştir.
B. Kararın Değerlendirmesi
Kişisel Verilerin Korunması Kanunu öncesinde sıklıkla yaşanılan hala da (öncesine göre azalmakla birlikte) devam eden tipik bir olay karara konu olmuştur.
Zaman ile kişisel verilerin işlenme amaçlarının değişmesi mümkündür. Ticaret hayatı da insan hayatı ve evrenin kendisi gibi devamlı değişim ve devinim halinde olduğundan kişisel verilerin işlenmesinin de oluşan yeni durumlara uyarlanması gerekebilir. Böyle bir ihtiyacın çıkması durumunda veri ilgilisinin açık rızasının alınması suretiyle veriler yeni amaç ya da amaçlar doğrultusunda işlenebilir. Aksi halde yani açık rıza almaksızın kişisel verilerin verildiği amaç dışında işlenmesi durumunda kişisel verilerin korunması mevzuatı ile amaçlanan sonuçtan uzaklaşılacağı açıktır. Bunun aksinin kabulü, bir kere kişisel verinin verilmesi ile kişisel verilerin istenilen gibi her amaçla işlenebildiği eski düzene geri dönülmesi anlamına gelir. Dolayısıyla veri koruma hukukunun en önemli ilkelerinden ve Kanun’un getirdiği en önemli kurallardan biri, kişisel verinin elde ediliş amacına uygun olarak ve bu amaçla işlenmesidir. Bu hem bizim Kanunumuz hem de GDPR ile düzenlenmiş çok önemli bir kuraldır.
Karara konu olayda da Kanun yürürlüğe girmeden önce işlenen kişisel verilerin iki yıl içerisinde uyumlu hale getirilmesi gerekirken, 2015’te sözleşmenin bitmesine rağmen, veri ilgilisinin kişisel verileri silinmemiş, Kanuna uyumlu hale getirilmemiş ve başkaca amaçlarla da işlenmeye devam etmiştir. Burada kişisel verilerin hukuka aykırı olarak işlenmesinin engellemesi yükümlülüğüne aykırılık söz konusu olduğu açıktır. Bu bakımdan Kurul’un kararına son derece yerindedir.
VII. 16. 01. 2020 Tarihli 2020/ 41 Sayılı Karar
A. Kararın Özeti
Karara konu olan olayda veri ilgilisinin bir bankaya borcu olduğu, borcunu çeşitli nedenlerle ödeyemediği, bunun üzerinde banka tarafından yasal takip başlatıldığı, 2018’in ikinci yarısında sigortalı olarak bir işe girdiği ve sigortası başlar başlamaz cep telefonundan arandığında cevap vermesine rağmen bankanın iş yerini aradığı ve aile bilgilerinin sorgulandığı, ödeme yapıp yapmayacağının iş yeri sekreterine defaten sorulduğu, aramalardan sonra aynı yıl içinde iş akdinin firma tarafından sonlandırıldığı belirtilerek konuyla ilgili bankaya mail yoluyla başvurduğu ve 100.000 TL maddi manevi tazminat isteminde bulunduğu belirtilerek gereğinin yapılması için Kurul’a başvurulmuştur.
Kurul ise kararında ilgili kişinin veri sorumlusuna başvurusunun 11. madde kapsamında bir talep içermediği ve Kuruma şikayetinde de iddialarını kanıtlayıcı bir belge de sunmadığının görüldüğü, zarara uğradığı ve buna yönelik bir tazminat talebi söz konusuysa, Kanunun 14/3. maddesinde yer alan “Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır.” hükmü çerçevesinde, söz konusu talebini genel mahkemeler huzurunda kullanması gerektiği gerekçesiyle 6698 sayılı Kanun kapsamında yapılacak bir işlem olmadığına karar vermiştir.
B. Kararın Değerlendirmesi
6698 sayılı Kanun’un 11. maddesinde düzenlenen kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması haline zararın giderilmesini talep etme hakkı, aslında borçlar hukuku uyarınca genel tazminat hükümlerine göre var olan bir haktır. İlgili kişinin genel sorumluluk hukuku uyarınca var olan hakkı bağımsız bir hak olarak düzenlenerek pekiştirilmek istenmiştir. Veri ilgilisinin Kanun’un 11/1-ğ. maddesinde “Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarar uğraması halinde zararın giderilmesini talep etme” hakkını olduğu ifade edilmiştir. Ancak bu hak talebinin muhatabı aynı maddenin başında da belirtildiği üzere “veri sorumlusudur”. Nitekim “Kurula şikayet” başlıklı 14/3. maddede de “Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır.” denilmek suretiyle bu durum açıklığa kavuşturulmuştur. Yani veri ilgilisinin, verisinin hukuka aykırı bir şekilde işlenmesinden kaynaklanan maddi ve/veya manevi bir zarara uğraması söz konusu ise bunu ya doğrudan ya da mahkemeler aracılığıyla veri sorumlusundan talep etmelidir. Eğer karara konu olan başvuruda talep bununla sınırlı ise yöntem açısından Kurul’un kararı yerindedir.
Öte yandan, veri ilgilisinin iddiası gerçeği yansıtıyor ise bankanın gerçekleştirmiş olduğu işlem tamamen hukuka aykırıdır. Bize göre, veri ilgilisi bu talebini belgelerle ortaya koyabilse ve talebini tazminat istemek değil, gerekli soruşturmanın yapılması olarak ifade etmiş olsa idi karar farklı olabilirdi. Ancak bu bizim aklımıza şu soruyu getirdi? Eğer iddia doğru olsa ve belgelerle tevsik edilse, ancak veri ilgilisi tazminat talebiyle birlikte gereğinin yapılmasını talep etseydi, acaba Kurul aynı kararı mı verecekti? Yani Kurul, başvuranın talebiyle bağlı mıdır? Yanlış ya da eksik talepte bulunulduğu gerekçesiyle bu şekilde bir işlem yapılmamasına karar verebilir mi?
Bize göre bu sorunun yanıtı hayırdır. Her ne kadar Kurul özerk bir yapı olsa da, Cumhurbaşkanlığına bağlıdır ve idari teşkilatın içinde yer alır. Dolayısıyla Kurul’un uygulayacağı usul açısından HMK değil, İYUK dikkate alınmalıdır. Buna göre Kurul inceleme ve idari yaptırım açısından talep ile bağlı olmayıp, ihlali bu şekilde de öğrense gerekli araştırmayı yapıp karar verebilmelidir. Bu olay özelinde de iddiaların veri sorumlusu bankaya sorulmaksızın bu şekilde karar bağlanması bize göre eksiklik ve hatta hukuka aykırılık oluşturmaktadır.
VII. 16. 01. 2020 Tarihli 2020/ 43 Sayılı Karar
A. Kararın Özeti
Başvuruda ilgili kişiye ait verilerin bir banka tarafından rızası olmaksızın babası ile paylaşıldığı, veri sorumlusu banka tarafından düzenlenen belgede babasına, ilgili kişi ile risk grubu oluşturduğu ve ilgili kişinin kredi aksamaları bulunması sebebiyle kendisine kredi kullandırılmadığına ilişkin bir yazı verildiği, ilgili kişi tarafından veri sorumlusuna başvuru dilekçesi gönderilerek oluşan manevi zararın tazmini için 30.000 TL’nin ilgili banka hesabına ödenmesi aksi takdirde yasal yollara başvurularak alacağın tahsili yoluna gidileceğinin belirtildiği bununla birlikte Banka tarafından 30 gün içinde başvuruya yönelik bir cevap alınamadığı ve bu nedenle de başvuruda bulunulduğu belirtilmiştir.
Kurul, başvuru üzerine veri sorumlusu bankadan savunma talep etmiştir. Banka savunma yazısında ilgili şubenin yaptığı istihbarat sorgulamasının, ilgili kişi ile aynı evde ikamet eden ve 5411 sayılı Bankacılık Kanununun 49. maddesi kapsamında adı geçen ile aynı risk grubunda yer alan oğlunun kredi aksamaları bulunması sebebiyle olumsuz olarak sonuçlandığı, müşteriye de istihbarat olumsuzluğu sebebiyle kredi talebinin uygun görülmediği yönünde şifahi olarak bilgi verildiği, 5411 sayılı Bankacılık Kanununun “Risk Grubu” başlıklı 49. maddesinde yer alan “Bir gerçek kişi ile eşi ve çocukları, bunların yönetim kurulu üyesi veya genel müdürü oldukları veya bunların ya da bir tüzel kişinin birlikte veya tek başlarına, doğrudan ya da dolaylı olarak kontrol ettikleri ya da sınırsız sorumlulukla katıldıkları ortaklıklar bir risk grubunu oluşturur. … Bu maddenin uygulanmasında aralarında birinin ödeme güçlüğüne düşmesinin diğer bir veya birkaçının ödeme güçlüğüne düşmesi sonucunu doğuracak boyutta kefalet, garanti veya benzeri ilişkiler bulunan gerçek ve tüzel kişiler ilgili risk gruplarına dahil edilir.” hükmü gereğince ilgili kişinin babasının kredi talebinin reddedilmesinin sebebinin aynı evde ikamet ettiği ve aynı risk grubunda yer alan oğlunun kredilerindeki aksamalar olduğu ve oğluna ilişkin genel nitelikteki aksama bilgisinin babasının kredi talebinin reddedilmesi olarak gösterilmesinin zorunlu olduğunun değerlendirildiği; 6698 sayılı Kişisel Verilerin Korunması Kanununun 5/2-a maddesinde belirtildiği üzere kanunlarda açıkça öngörülmesi durumunda ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu belirtilmiştir. Ayrıca banka internet sitesi aracılığıyla kamuoyuna duyurulan “…..Bankası Kişisel Verilerin Korunmasına ve İşlenmesine İlişkin Aydınlatma (Bilgilendirme) Metni”nin “Risk Gruplarının Tespiti ve Değerlendirilmesine İlişkin Özel Durum” başlıklı bölümünde de risk grubu kapsamına girecek kişiler –müşteri olmasalar dahi- bankacılık mevzuatına göre bir risk grubuna kullandırılacak kredi sınırlarının tespiti için dahil olunacak risk grubunun belirlenebilmesi, izlenebilmesi, raporlanabilmesi, kontrol edilmesi amacıyla kişisel verilerin işlenebileceği açıkça belirtilip, ilan edilerek ilgili kişilerin bu hususta da aydınlatılması yoluna gidildiği ve de müşterinin kredisinin reddine dayanak oluşturacak bilgiyle sınırlı olarak aynı risk grubunda bulunanlara ilişkin aksama bilgisinin detay içermeyecek şekilde verilmesinin 6698 sayılı Kanun kapsamında veri ihlali olmadığının düşünüldüğü veri sorumlusu tarafından ifade edilmiştir.
Kurul;
- 5411 sayılı Bankacılık Kanunu ve ilgili diğer mevzuat hükümleri çerçevesinde “Risk Grubu” içerisinde yer alan kişilerin kişisel verilerinin, ancak bankacılık faaliyetleri kapsamında, kendi bankası bünyesinde kullanılmak ve Risk Merkezine aktarılmak amacıyla işlenmesinin, 5/2-ç de düzenlenen bankaların hukuki yükümlülüklerinin yerine getirilmesi hukuki sebebi kapsamında olduğu,
- 6698 sayılı Kanun’un 12/4 maddesinde veri sorumluları ile veri işleyenlerin, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağının hüküm altına alındığı,
- Bankanın, söz konusu borç bilgisini paylaşmasının, kanun gereğince hizmetle ilgili bilgiyi müşterilerine bildirme yükümlülüğünü yerine getirmesi olarak değerlendirilmesinin uygun olmayacağı,
- Zira Bankacılık Kanununun 73. maddesinin (3) numaralı fıkrası gereğince “Sıfat ve görevleri dolayısıyla bankalara veya müşterilerine ait sırları öğrenenler, söz konusu sırları bu konuda kanunen açıkça yetkili kılınan mercilerden başkasına açıklayamazlar.” hükmü düzenlenmiş olup aynı husus Bankacılık Kanunu’nun 159. maddesinde de “Bu Kanunun 73’üncü maddesinin birinci ve üçüncü fıkralarında belirtilen yükümlülüğe uymayanlar için bir yıldan üç yıla kadar hapis ve bin günden ikibin güne kadar adlî para cezası hükmolunur. Banka ve müşterilere ait sırları açıklayan üçüncü kişiler hakkında da aynı cezalar uygulanır” şeklinde düzenlendiği,
- Aynı zamanda Bankacılık Kanununun Ek 1. maddesinde “Risk Merkezi nezdinde bulunan sır niteliğindeki bilgileri, bu konuda kanunen yetkili kılınan mercilerden başkalarına açıklayanlar, hukuka aykırı olarak kendisi ya da başkası yararına kullananlar, yayanlar, verenler, aktaranlar veya ele geçirenler hakkında 159’uncu madde hükümleri uygulanır. Bu fıkrada tanımlanan suçların bir tüzel kişinin faaliyeti çerçevesinde işlenmesi halinde, ilgili tüzel kişi hakkında Türk Ceza Kanununun tüzel kişilere özgü güvenlik tedbirlerine hükmolunur.” düzenlemesine yer verildiği,
- Söz konusu verilerin kanuna aykırı olarak üçüncü kişilerle paylaşılması durumunda bu fiili gerçekleştiren kişiler için Türk Ceza Kanununun 136. maddesi gereğince kişisel verilerin hukuka aykırı olarak verilmesi suçunun vücut bulacağı, ayrıca Türk Ceza Kanununun 239/1. maddesinde “Sıfat veya görevi, meslek veya sanatı gereği vakıf olduğu ticari sır, bankacılık sırrı veya müşteri sırrı niteliğindeki bilgi veya belgeleri yetkisiz kişilere veren veya ifşa eden kişi, şikayet üzerine, bir yıldan üç yıla kadar hapis ve beş bin güne kadar adlî para cezası ile cezalandırılır.” hükmü gereğince somut olayda müşteri sırrının ifşasının da söz konusu olacağından
hareketle manevi tazminat talebinin genel mahkemelerde sunulması gerektiğine, başvuruda sadece tazminat talebine cevap verilmemesinden bahsedilse de 12. maddede yer alan yükümlülüklerin ihlal edildiği gerekçesiyle 18. maddesinin hükmü kapsamında işlem tesis edilmesine ve de borç bilgilerinin rızası ve bilgisi dışında üçüncü kişilerle paylaşıldığı iddiası hukuka aykırı bir fiil olduğundan ve bu fiiller Bankacılık Kanunu ve Türk Ceza Kanunu’nun ilgili hükümlerinde de düzenlenmiş olduğundan, ilgili banka ve personel hakkında Bankacılık Kanunu ve Türk Ceza Kanunu kapsamında işlem tesis edilmesi hususunun değerlendirilmesi için konunun Bankacılık Düzenleme ve Denetleme Kurumuna intikal ettirilmesine karar vermiştir.
B. Kararın Değerlendirmesi
Kurul’un hem manevi tazminat talebi için genel mahkemeleri işaret etmesine hem de konunun değerlendirilmesi için BDDK’ya iletmesi kararlarına katılmaktayım. Karar, veri ilgilisi tarafından yapılan başvuruların Kurul’un incelemelerinin kapsamını belirlemediğini göstermesi bakımından önemli bir karardır.
Karara konu olayda Risk Merkezi nezdindeki sır niteliğindeki bilgilerin yetkili olan kişilerden başkalarına aktarılmaması hükmüne aykırı hareket edilmiştir. Nitekim söz konusu borç bilgisini paylaşmasının, kanun gereğince hizmetle ilgili bilgiyi müşterilerine bildirme yükümlülüğünü yerine getirmesi olarak değerlendirilmesi, Bankacılık Kanunu’nun kararda da belirtilen açık hükümleri gereğince, mümkün değildir. Söz konusu olayda da 6698 sayılı Kanun’un 12/4 maddesine aykırı hareket edilerek öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklamışlardır. Kişisel verileri bir başkasına aktarmak için açık rıza veya Kanunun 5. veya 6. maddesindeki diğer veri işleme şartlarının olması gereklidir. Sözlü olarak bilgi verilmesinin de kişisel verileri aktarmak, kişisel verileri işlemek, olduğu unutulmamalıdır. Özellikle banka gibi şirketlerde gerekli teknik tüm tedbirlerin alınmasına rağmen çalışanlar tarafından veri ihlalleri gerçekleştirilmektedir. Çalışanlara mutlaka kişisel verilerin korunmasına ilişkin eğitimler verilmelidir.
Ayrıca belirtmek gerekir veri ilgilisinin veri sorumlusuna yaptığı başvuruda Kurul’un kapsamı dar tutması veri sorumlularını rahatlatmamalıdır. Kurul’un gerekirse yerinde inceleme yapma yetkisinin de olduğu unutulmamalıdır. Bu nedenle veri ilgilisinin başvurusuna azami özen ile cevap verilmeli ve kişisel verilere aykırılık var ise giderilmeli, bir an önce de tamamen kişisel verilerin korunması mevzuatına uyum sağlanmalıdır.
TCK açısından ise, tekrardan kaçınmak için, yukarıda 16. 05. 2019 tarihli, 2019/ 138 sayılı kararda yapmış olduğumuz açıklamalarımıza atıf yapıyoruz.
IX. 27. 01. 2020 Tarihli 2020/ 58 Sayılı Karar
A. Kararın Özeti
Kuruma iletilen ihbarda, bir sigorta acentesinin müşterilerine ait kişisel verileri herkese açık sosyal medya platformlarında müşterilerinden habersiz olarak reklam amacıyla paylaştığı, bu hususta poliçe sahiplerinin izninin olmadığı belirtilerek gerekli yasal işlemin yapılması talep edilmiştir. Veri sorumlusu şirket savunma yazısında; müşterilere ait kişisel verilerin herkese açık sosyal medya hesapları üzerinden paylaşıldığı ancak bu paylaşımlar yapılırken program özelliği ya da kağıt gibi vasıtalarla kişisel verilerin gizlenmeye çalışıldığı ancak kimi paylaşımlarda bu hususun dikkatsizlik ve acelecilik gibi nedenlerle gözden kaçırıldığı, uyarı yazısı alındıktan sonra gözden kaçan ilgili paylaşımların silindiği, poliçe kayıtlarının tutulduğu sistemde, kullanılan sistemin özelliği gereği, kimlik numaraları kapatıldığı için hiçbir zaman kimlik numaralarını içeren paylaşım yapılmadığı ve konuya ilişkin eksikliğin bilgisizlikten kaynaklandığı ve belirtilmesi halinde gerekli düzeltmeleri yapabileceklerini belirtmiştir.
Kurul ise kararında kişisel verilerin açık rıza olmaksızın 6698 sayılı Kanun’un 5/2-a, b, c, ç, d, e, f maddesi uyarınca işlenebileceğini ve veri sorumlusunun her türlü teknik ve idari tedbirleri almak zorunda olduğunu belirterek kişisel verilerin açık rıza olmaksızın işlendiği, teknik ve idari tedbirleri alma yükümlülüğüne aykırı davranıldığından hareketle 22.500 TL idari para cezasının uygulanmasına karar vermiştir.
B. Kararın Değerlendirmesi
Veri sorumlusu kimlik bilgilerinin paylaşılmadığını söylese de adları, adresleri ve maskelenmiş biçimde kimlik numaralarının yer aldığı, bunların dışında bazı hallerde kişisel veri niteliği arz edebilecek plaka numaraları ile birlikte aracın rengi, markası ve modeli, müşterinin ödemesi gereken prim, toplam prim gibi ayrıntılara da yer verildiği tespit edilmiştir.
Kişisel veriler arasındaki tek ayrım özel nitelikli olan- olmayan ayrımı olup bu ayrım dışında her kişisel veri eşittir. Bu nedenle kimlik bilgilerinin görülmemesi diğer verilerin açıklanarak yapılan veri ihlalini hafifletici bir unsur değildir.
Ayrıca Kanunun uyum için vermiş olduğu tüm süreler geçmiş olup Kanun kapsamında yükümlülükleri olan herkesin Kanun’a uyumlu olması gereklidir. Başka bir deyişle ihlalin bilgisizlikten kaynaklandığı makul bir gerekçe değildir. Kurul’un kararına katılmakla birlikte ne yazık ki uyumlu olmamada direnen kişilerin uyumlu olması konusunda idari para cezaları tek çare gibi görülmektedir.
X. 27. 01. 2020 Tarihli 2020/ 65 Sayılı Karar
A. Kararın Özeti
Şikayetçi veri ilgilisinin, ulaşım hizmeti sunan bir platform vasıtasıyla yaptığı yolculukların şoförler tarafından puanlandığını öğrenmesi, kendi yolculuklarına ait bu puanlara kendisi tarafından erişilememesi ve bu tip bir puanlama yapılacağı hususunda veri sorumlusunun aydınlatma metninde herhangi bir bilginin yer almaması neticesinde, veri sorumlusu statüsüne sahip ulaşım hizmeti sunan platforma 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 11. maddesinin 1. fıkrasının (b) bendinde yer alan “Kişisel veri işlenmişse buna ilişkin bilgi talep etme” hakkından hareketle, Kanunun 13. maddesi gereğince veri ilgilisi tarafından veri sorumlusuna başvurulmuştur. Veri sorumlusu konunun Kurul’a iletilmesinin ardından savunma yazısında kullanıcıya ait verilerin uygulamaya kayıt esnasında toplanarak üyelik sözleşmesinin kurulması ve ifasıyla doğrudan doğruya ilişkisi olması sebebiyle işlendiğini, http:/www…...com/gizlilik-politikası adresinde yer alan e-posta adresine ilgili kişiler tarafından taleplerin iletilebileceğini belirten veri sorumlusu tarafından bu taleplerin en kısa süre cevaplandığını, ilgili kişi tarafından kullanılan uygulamada ortalama puanın 5 üzerinden kaç olduğunun sorulduğunu ve “sehven süresi içinde talebe cevap verilmemiş olsa da” sonrasında yazılı olarak dönüş yapıldığı ifade etmiştir.
Kurul;
- Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin” 6. maddesinin (1) numaralı fıkrasındaki “Veri sorumlusu bu Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlüdür.” hükmüne yer verildiğini belirterek, veri sorumlusunun “Kullanım Koşulları” başlıklı dokümanında yer alan hükümlere istinaden ilgili kişinin talebini süresi içinde cevaplamayan veri sorumlusunun Kanun kapsamında yöneltilen başvuruları gerek bu Kanunun 15. maddesinin 5. fıkrasına istinaden, gerekse kendisi tarafından duyurulan koşullara uygun olarak zamanında, tam ve eksiksiz olarak cevaplaması hususunda talimatlandırılmasına,
- İlgili kişilerin puanlaması işleminin sözleşmenin kurulması veya ifasıyla doğrudan doğruya bir ilişkisinin olup olmadığının incelenmesi gerektiğine,
- Müşterilerin/yolcuların yaptığı seyahatlerin şoförler tarafından puanlanmasına ve bu puanların ortalamasının alınmasına dayanan veri işleme faaliyetinin “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” şartı kapsamında sözleşmenin ifasına ilişkin ana kurucu öğe olmadığı veya sözleşmenin ifasıyla doğrudan doğruya bir ilişkisinin var olmaması sebebiyle ve bu veri işleme faaliyetinin aynı maddede belirtilen diğer veri işleme şartlarından herhangi birine dayanmadığı dikkate alındığında veri sorumlusunun Kanunun 12. maddesinin 1. fıkrasının (a) bendinde yer alan “veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır” hükmüne aykırı hareket ettiği kanaatine varıldığından, veri sorumlusu hakkında Kanunun 18. maddesinin (1) numaralı fıkrasının (b) bendine istinaden 100.000 TL idari para cezası uygulanmasına,
- İlgili kişinin veri sorumlusunun aydınlatma metninde müşteriler/yolcular hakkında bir puanlama yapıldığına dair her hangi bir bilginin bulunmadığına dair iddiasına ilişkin olarak, “Kişisel Verilerin Korunması Hakkında Bilgilendirme” başlıklı dokümanının incelendiği, işleme amaçları arasında yolcuların puanlanıp sürücüler tarafından bunun görülebileceğine ilişkin bir açıklama bulunmadığı, ne aydınlatma metninde (Kişisel Verilerin Korunması Hakkında Bilgilendirme) ne de kullanıcı sözleşmesinde (Kullanım Koşulları) müşterilerin puanlanmasına ilişkin bir bilgilendirme bulunmadığı, bu nedenle müşterilerin puanlanmasına dayanan veri işleme faaliyetinin Kanunun 4. maddesinde belirtilen kişisel verilerin işlenmesine ilişkin genel ilkelerden ilk olarak “Hukuka ve Dürüstlük Kurallarına Uygun Olma” ilkesine aykırılık teşkil ettiği, konu “Belirli, Açık ve Meşru Amaçlar İçin İşlenme” ilkesi bakımından değerlendirildiğinde, veri sorumlusun aydınlatma metninde ve kullanım koşullarına ilişkin metinde belirtilen amaçların müşterilerin puanlanmasına dayanan kişisel veri işleme faaliyetinin asıl amacının ne olduğunu açıklayamadığı, bu kapsamda, “Veri Sorumlusunun Aydınlatma Yükümlülüğü”nü yerine getirmemiş olduğu kanaatine varılmasından ötürü Kanunun 18 inci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında veri sorumlusu hakkında 10.000 TL idari para cezası uygulanmasına,
- Puanlamaya dayalı veri işleme faaliyetine devam edebilmesi için veri sorumlusunun Kanunun “Kişisel Verilerin İşlenmesi Şartları” başlıklı 5. maddesi kapsamında uygun bir veri işleme şartı belirlemesi, buna istinaden aydınlatma metnini güncellemesi ve sayılan hususları tamamladığına ilişkin destekleyici belge ve kayıtları Kanunun 15. maddesinin 5 numaralı fıkrası hükümlerine istinaden 30 gün içinde Kurula sunması konusunda talimatlandırılmasına,
karar vermiştir.
B. Kararın Değerlendirmesi
Bu kararda da aydınlatma yükümlülüğünün yerine getirilmemesi ve hukuka aykırı olarak kişisel verilerin işlenmesi konuları karşımıza çıkmaktadır. Kişisel veriler mutlaka açık rıza veya Kanundaki diğer işleme şartları uyarınca işlenmesi gereklidir. Gerek açık rıza gerekse de diğer şartlar kapsamında kişisel veriler işlenmesi halinde veri ilgilisine anlaşılır bir dilde ve şeffaf bir şekilde aydınlatma yapılmalıdır. Gerçeği yansıtmayan aydınlatma metinleri görünüşte yükümlülüğün yerine getirilmesinden başka bir şey değildir. Bu nedenle kişisel verilerin korunmasına ilişkin eğitimlerde de sıklıkla envanter yükümlülüğünün önemi üzerinde durmaktayız. Kişisel veri envanteri çıkarılması iş süreçlerini gözler önüne serdiğinden Kanun’daki diğer yükümlülüklerin yerine getirilmesini kolaylaştırmaktadır. İş süreçleri incelendiğinde uygun aydınlatmaların yapılması, veri işleme hukuki nedenlerinin belirlenmesi, gerekli teknik ve idari tedbirlerin alınması mümkündür.
Ayrıca hukuki nedenlerin iyi tespit edilmesi gereklidir. Uygulamada yeterli düzeyde veya hiç danışmanlık hizmeti alınmama