Duyurular

Geri

KİŞİSEL VERİLERİ KORUMA KURULU'NUN YENİ YAYINLANAN KARAR ÖZETLERİ

Kişisel Verilerin Korunması Hukuku, Data Protection Law

1) E-Ticaret Sitesinden Alışveriş Yapılabilmesi İçin İlgili Kişilerin Kredi/Banka Kartı Bilgilerinin Kaydedilmesinin Zorunlu Tutulması Sonucu Aracı Hizmet Sağlayıcı Şirket Hakkında 500.000 TL İdari Para Cezası Uygulanması

Somut Olay: İlgili kişi tarafından Kişisel Verileri Koruma Kurumu’na ulaşan şikayette özetle;

E-ticaret sitesinden alışveriş yapacağı sırada ödeme ekranında “kredi/banka kartı ekle” seçeneğinin çıkması sonucu kredi/banka kartı bilgilerini kaydetmesinin talep edildiği,
Siteden alışveriş yapabilmesi için kredi/banka kartı bilgilerini kaydetmesinin zorunlu tutulduğu,
İlgili bilgiler girilmeksizin “devam et” butonlarının işlemediği ve alışveriş yapılmasının mümkün olmadığı,
6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında veri sorumlusunun kredi/banka kartı bilgilerinin kaydedebilmesi için geçerli bir veri işleme şartının bulunmadığı,
Veri sorumlusuna verilmiş açık rızasının olmadığı,
İşlemeye ilişkin kendisine aydınlatma yapılmadığı

belirtilerek ilgili kişi tarafından aracı hizmet sağlayıcı hakkında Kanun kapsamında gereğinin yapılması talep edilmiştir.

Hukuki Değerlendirme: Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından yapılan inceleme ve değerlendirme neticesinde;

Şikayette bulunan ilgili kişinin iddiaları ve veri sorumlusunun beyanlarının teyit edilmesi amacıyla şikayete konu internet sitesinde jenerik bir hesap oluşturularak ve sipariş verilmeye çalışılarak sistemin test edildiği,
Sistemde satın alma işlemi sırasında “Bir Ödeme Aracı Ekleyin” adımında “kredi kartı veya banka kartı ekleyin” bölümünün yer aldığı, bu bölüme tıklandığında kart bilgilerinin girilmesi gereken alanın yanında “iptal et” ve “kartınızı ekleyin” şeklinde iki seçenek olduğu ve “kartınızı ekleyin” seçeneği tıklandığında ödeme aracı olarak bilgileri girilen kartın eklendiği ve sonraki aşamaya ancak bu bilginin girilmesi ile geçilebildiği,
Şikayette bulunan ilgili kişinin iddialarıyla uyumlu şekilde kart bilgisi sisteme kaydedilmeden alışverişin tamamlanamadığı ve alışveriş tamamlandıktan sonra da kart bilgilerinin cüzdan bölümünde kayıtlı olmaya devam ettiğinin anlaşıldığı,
Avrupa Veri Koruma Otoritesi (“EDPB”) tarafından 19 Mayıs 2021 tarihinde kabul edilen “Kredi Kartı Verilerinin Yalnızca Sonraki Çevrimiçi Satınalmaları Kolaylaştırmak Amacıyla İşlenmesinde Veri İşleme Şartları Konulu 02/2021 sayılı Tavsiye Kararı”[1] uyarınca satın almaları kolaylaştırmak için kart bilgilerinin işlenmeye devam etmesinin ancak açık rıza halinde olabileceği,
Bu şekilde ödeme aracı ekleyen ilgili kişilerin sonraki satın almaları kolaylıkla yapabilmesi sonucu veri sorumlusu tarafından yeni bir veri işleme amacının ortaya koyulduğu,
Alışverişin tamamlanması için kart bilgilerinin girilmesinin veri sorumlusunca istenmesinin Kanun’un muhtelif işleme şartlarına uygun olduğu ancak alışveriş tamamlandıktan sonra kart bilgilerinin üyelik hesabında işlenmeye devam edilmesinde aynı işleme şartlarına dayanmanın mümkün olmayacağı ancak ilgili kişilerin bu yönde Kanun’a uygun şekilde alınmış açık rızaları kapsamında işlenebileceği,
Veri sorumlusu tarafından kart bilgisinin kaydedilmesinden sonra dileyen müşterilerin kart bilgisini hesabından kaldırabileceklerini beyan etmesinin Kanun’un “hukuka ve dürüstlük kuralına uygun olma” ve “işlendikleri amaçla bağlı sınırlı ve ölçülü olma” ilkesine aykırı olduğu

ifade edilerek bu sebeplerle Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan veri güvenliğine ilişkin yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında; 500.000 TL idari para cezası uygulanmasına ve ilgili kişilerin açık rızasının alınarak kredi kartı bilgilerinin üyelik hesabına kaydedilebilmesi mümkün olduğundan veri sorumlusunca bunu sağlayacak bir sistem geliştirilmesi ile aydınlatma metinlerinde de gerekli düzenlemeler yapılması ve akabinde Kurul’u bilgilendirmesi hususunda talimatlandırılmasına karar verilmiştir.

Söz konusu 11/04/2023 tarihli ve 2023/567 sayılı Karar’ın tam metnine buradan ulaşabilirsiniz.

2) Kripto Varlık Platform Üyeliklerinde Seviyenin Artırılması İçin Hizmet Sağlayıcı Tarafından Gereğinden Fazla Kişisel Veri Talep Edilmesinde Kamusal Menfaat Bulunması Hakkında

Somut Olay: İlgili kişi tarafından Kişisel Verileri Koruma Kurumu’na ulaşan şikayette özetle;

Kripto varlık hizmet sağlayıcısı olan veri sorumlusuna ait platformdaki üyelik seviyesinin arttırılması için kişinin kimliğinin ön ve arka yüzünün fotoğrafının kendi fotoğrafı ile birlikte talep edildiği,
Veri sorumlusunca gerektiğinden fazla ve ölçüsüz olarak kişisel veri işlendiği

belirtilerek ilgili kişi tarafından kripto varlık hizmet sağlayıcısı hakkında Kanun kapsamında gereğinin yapılması talep edilmiştir.

Hukuki Değerlendirme: Kurul tarafından yapılan inceleme ve değerlendirme neticesinde;

Kripto para alım satım işlemleri yapılmasına aracılık eden Kripto Varlık Hizmet Sağlayıcısının faaliyetinin 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun (“5549 sayılı Kanun”) ve buna dayanılarak çıkarılan Suç Gelirlerinin Aklanmasının ve Terörün Finansmanının Önlenmesine Dair Tedbirler Hakkında Yönetmelik uyarınca yükümlü olarak KVKK mevzuatına tabi kılındığı,
5549 sayılı Kanun’un “Müşterinin tanınması” başlıklı 3’üncü maddesine göre kendileri nezdinde yapılan veya aracılık ettikleri işlemlerde işlem yapılmadan önce, işlem yapanlar ile nam veya hesaplarına işlem yapılanların kimliklerini tespit etmek ve gerekli diğer tedbirleri almak zorunda olduğu,
Mali Suçları Araştırma Kurulu (“MASAK”) tarafından yayınlanan “Kripto Varlık Hizmet Sağlayıcıları Rehberi”nde[2] müşterinin tanınması yükümlülüğü kapsamında alınması gerekli en önemli tedbirin “kimlik tespiti” olduğu,
Veri sorumlusunun faaliyet alanında suç gelirlerinin aklanması olarak nitelendirilen kara para aklama faaliyetinin gerçekleştirilmesi ihtimali bulunduğundan kullanıcıların kimliğinin tespit edilmesinde kamusal bir menfaat bulunduğu,
İlgili kişinin veri sorumlusuna başvurusunda kişisel verilerinin silinmesi-yok edilmesi yönünde bir talep bulunmadığından ve başvuruda bulunulan e-posta adresinin kişisel verilerin korunmasına yönelik taleplere özgülenmediği anlaşıldığından bu talebe yönelik öncelikle veri sorumlusuna başvuru yolunu tüketmediği

ifade edilerek bu sebeplerle veri sorumlusunun kişisel verilerin işlenmesi hususunda 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun başta olmak üzere ilgili mevzuattan kaynaklanan bir yükümlülüğünün bulunması sebebiyle söz konusu faaliyetin Kanun’un 5’inci maddesinin 2’nci fıkrasının (a) bendi çerçevesinde “kanunlarda açıkça öngörülmesi” veri

işleme şartına dayanması sonucu şikayet hakkında yapılacak bir işlem bulunmadığına karar verilmiştir.

Söz konusu 11/04/2023 tarihli ve 2023/570 sayılı Karar’ın tam metnine buradan ulaşabilirsiniz.

3) Üniversite Bünyesinde Çalışan Kişilerin Özlük Bilgilerinin Tüm Personelle Paylaşılması Sonucu Veri Sorumlusu Personel Hakkında Disiplin Hükümlerinin Uygulanması

Somut Olay: İlgili kişi tarafından Kişisel Verileri Koruma Kurumu’na ulaşan şikayette özetle;

Bir üniversitenin, fakülte dekanı imzasıyla gönderilen bir e-posta ekinde ilgili kişinin kendisinin ve Üniversitede çalışan tüm öğretim üyelerinin sicil numaralarının, çalıştıkları birimin ve izin durumlarını gösterir verilerin Fakültenin idari ve akademik tüm kadrosuna aktarıldığı,
Üniversite tarafından bu verilerin herhangi bir ayrım veya gerekçeye dayanmadan toplu bir e-posta ile tüm personelle paylaşılmasının hukuka aykırı olduğu

belirtilerek ilgili kişi tarafından veri sorumlusu hakkında, Kanun kapsamında gereğinin yapılması talep edilmiştir.

Hukuki Değerlendirme: Kurul tarafından yapılan inceleme ve değerlendirme neticesinde;

Veri sorumlusunun cevap yazısında, şikayete konu izin kullanımına dair veri paylaşımının ilgili personelin uyarılması amacıyla yapıldığı ve Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendinde düzenlenen “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” şartına dayanılarak gerçekleştirildiği ifade edilmesine rağmen,
İlgili işleme şartının, ilgili kişinin izin durumuna ilişkin kişisel verilerinin diğer kişilerle paylaşılması bakımından geçerli olmayacağı,
İlgili kişinin izin kullanımı hususunda uyarılması amacıyla ilgili kişinin çalıştığı birimde görevli diğer tüm personelle kişisel verilerinin paylaşılmasının gerekmediği

ifade edilerek kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinde yer alan işleme şartlarından herhangi birine dayanmaması sonucu Kanun’un 18’inci maddesinin (3) numaralı fıkrası uyarınca veri sorumlusu bünyesinde görev yapan ilgili personel hakkında disiplin hükümlerine göre işlem yapılmasına karar verilmiştir.

Söz konusu 27/04/2023 tarihli ve 2023/646 sayılı Karar’ın tam metnine buradan ulaşabilirsiniz.

4) Özel Bir Tıp Merkezi Tarafından İlgili Kişinin e-Nabız Sistemindeki Özel Nitelikli Verilerine Hukuka Aykırı Erişilmesi Sonucu Veri Sorumlusu Tıp Merkezi Hakkında 200.000 TL İdari Para Cezası Uygulanması

Somut Olay: İlgili kişi tarafından Kişisel Verileri Koruma Kurumu’na ulaşan şikayette özetle;

İlgili kişinin sağlık verilerinin veri sorumlusu Tıp Merkezi çalışanı hekim tarafından e-Nabız sistemi üzerinden görüntülendiği, ilgili kişinin daha önce veri sorumlusu bünyesinde sağlık hizmeti almadığı ve bu yönde bir sağlık probleminin de olmadığı, ayrıca adı geçen hekim ile ilgisi ve tanışıklığı bulunmadığı,
Veri sorumlusuna durumu öğrenmek üzerine başvurulduğunda tıp merkezinde sağlık hizmeti alan bir başka hastanın T.C. kimlik numarası ile ilgili kişiye ait T.C. kimlik numarasının birbirine çok benzer olması nedeniyle bir başka hastanın bilgilerinin yerine sehven ilgili kişi adına hasta kaydı açılmış olduğu ve e-Nabıza giriş yapıldığı,
Veri sorumlusunca yapılan açıklamada hatanın fark edilmesi üzerine e-Nabız ekranından derhal çıkıldığının belirtildiği,
İlgili kişinin e-Nabız gizlilik ayarlarının "Sağlık Bakanlığına Bağlı Tüm Hekimler Verilerimi Görsün" şeklinde olmasının hasta kaydı oluşturmadığı, tedavi görmediği, herhangi bir ilgisinin dahi bulunmadığı bir hastane/hekim tarafından sağlık verilerinin görüntülenebileceğine izin verdiği anlamına gelmediği ve aksinin kabulü halinde bu gizlilik ayarının "Her hekim benim tüm kişisel sağlık verilerimi istediği şekilde görüntüleyebilir." manasını taşıdığı,
Söz konusu hususların Anayasanın ölçülülük ilkesine aykırı olduğu ve hakkın kötüye kullanılması sonucunu da ortaya çıkaracağı,
Özel nitelikli herhangi bir kişisel verinin işlenebilmesinin, meşru bir amaca uygun işlenmesine, örneğin tıbbi tedavi, bakım veyahut teşhis hizmetinin yürütülmesi faaliyetine ya da bir kanun hükmüne dayanmasına bağlı olduğu ve somut durum itibariyle de kişisel verinin işlenmiş olmasının bu türden bir amaca hizmet etmediği,
İlgili kişinin devlet memuru olması bakımından psikiyatri kliniğinde tedavi görmüş gibi kaydının yapılmasının dahi ilgili kişinin mesleki geleceği bakımından bir tehlike oluşturacağı ve bu durum sebebiyle de ilgili kişi yönünden doğmuş veya doğabilecek zararların da tazmininin gerekeceği

belirtilerek ilgili kişi tarafından veri sorumlusu hakkında Cumhuriyet Başsavcılığına şikayette bulunulmuş ve Kurul’dan, Kanun kapsamında gereğinin yapılması talep edilmiştir.

Hukuki Değerlendirme: Kurul tarafından yapılan inceleme ve değerlendirme neticesinde;

Şikayete konu olayın ilgili kişinin e-Nabız sistemi üzerinden sağlık verilerine veri sorumlusu bünyesinde çalışan personel tarafından yetkisiz ve onaysız biçimde erişmesi ve ilgili kişinin bundan zarar görme riskinin bulunması olduğu,

İşleme faaliyetine konu verilerin e-Nabız sisteminde tutulan ve Kanun’un 6’ncı maddesinde yer verilen özel nitelikli kişisel veri kategorisinde yer alan sağlık verileri olduğu,
e-Nabız sisteminde, kişilere ait sayfalarda tutulan sağlık kayıtlarına erişim izinlerinin kişilerin tercihlerine bağlı olarak hekimlerin kullanımı amacıyla çeşitli seviyelerde sağlandığı,
İlgili kişinin erişim yetkisini “Sağlık Bakanlığına Bağlı Tüm Hekimler Verilerimi Görsün” şeklinde ayarlamış olmasının diğer sağlık personeline/hekimlere bu verileri amacı dışında işleme hakkını vermediği, kişilerin verilerine erişim yetkisini geniş tutarak bütün hekimlerin erişimine açmış olmasının, yalnızca sağlık durumlarının gerektirdiği hallerle sınırlı bir erişim anlamına geleceği,
Kanun’da sağlık ve cinsel hayata ilişkin verilerin işlenmesinin genel nitelikli kişisel verilere kıyasla daha sıkı şartlara bağlanmasına rağmen yalnızca hekimlere sağlanan e-Nabız sistemine erişim şifresinin veri sorumlusu bünyesinde görev yapan hekim tarafından yardımcı sağlık personeli ile paylaşıldığı ve bunun sonucunda yalnızca sınırlı amaçlarla erişilmesi gereken sisteme üçüncü kişilerce erişilmek suretiyle kişisel veri işleme faaliyetinin hukuka aykırı biçimde gerçekleşmiş olduğu,
Hukuka aykırı erişimin veri sorumlusu çalışanları eliyle gerçekleşmesinden dolayı işleme faaliyetindeki sorumluluğun veri sorumlusu üzerinde olduğu

ifade edilerek Kanun’un 6’ncı maddesinde yer alan işleme şartlarından herhangi birine dayanılmaksızın ilgili kişinin e-Nabız sisteminde tutulan bilgilerine erişildiği ve hekim ve ilgili çalışanlara kişisel verilerin korunması konusunda eğitim verilmediği, sonuç olarak makul tedbirlerin alınmadığı sebepleriyle veri sorumlusu Tıp Merkezi hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 200.000 TL idari para cezası uygulanmasına karar verilmiştir.

Söz konusu 02/05/2023 tarihli ve 2023/695 sayılı Karar’ın tam metnine buradan ulaşabilirsiniz.

5) Evli Çifte Ait Özel Nitelikli Kişisel Verilerin Gazetede Yayımlanması Sonucu Veri Sorumlusu Gazete Hakkında 100.000 TL İdari Para Cezası Uygulanması

Somut Olay: İlgili kişiler tarafından Kişisel Verileri Koruma Kurumu’na ulaşan şikayette özetle;

İlgili kişilerin özel bir hastaneden sağlık hizmeti aldığı, tedavi sırasında yaşanan olumsuzluklar nedeniyle tedavi işlemini yapan doktor hakkında adli ve idari mercilere şikayette bulunduğu ve tedavi tarihinden iki ay sonra yüksek tirajlı bir gazetede yayımlanan haber ile özel nitelikli kişisel verilerinin işlendiği,
Gazetenin internet sitesinden ve basılı neşriyatından yayımlanmak suretiyle yapılan paylaşımın birçok haber sitesinde de yayımlandığı, 5651 sayılı Kanun kapsamında haber içeriklerinin yayından kaldırıldığı ancak bazı internet sitelerinde haberin yayımlanmaya devam ettiği,
Doktor ve hasta arasında gizli kalması gereken özel nitelikli kişisel verilerin gazetenin eline geçmesinin hukuka aykırı olduğu, bu durumun ifade özgürlüğü ve basın hürriyeti gibi kavramlara dayandırılarak hukuka uygun hale getirilemeyeceği

belirtilerek ilgili kişiler tarafından veri sorumlusu hakkında, Kanun kapsamında gereğinin yapılması talep edilmiştir.

Hukuki Değerlendirme: Kurul tarafından yapılan inceleme ve değerlendirme neticesinde;

Kişisel veri işlemesinin ifade özgürlüğü kapsamında tam istisnai hal olarak değerlendirilebilmesi için özel hayatın gizliliğini de ihlal etmemesi gerektiği,
İncelemeye konu haberde; ilgili kişilerin isim ve soyadları, kamu görevlisi olduğu bilgisi, sağlık hizmeti almak üzere başvurdukları hastane adı, hizmet aldıkları doktorun adı, alınan sağlık hizmetinin detayları, ilgili kişiler ile doktor arasında yaşanan hadisenin detayları, tarafların birbirlerine sarf ettikleri iddia edilen sözler ve tarafların mahkemelik olduklarına dair kişisel verilere yer verildiği, özel nitelikli kişisel verilerden sağlık ve cinsel hayata ilişkin verilerin de bulunduğu,
Taraflar arasında yaşanan olayın, ilgili kişilerin özel hayatının gizliliğini ihlal edecek boyutta detaylar içerecek şekilde haberleştirildiği,
Haberin yapılmasında kamu ilgi ve yararı kriteri mevcut ise de habere konu edilen detayların kamuoyu tarafından bilinmesinde bir menfaat olmadığı

ifade edilerek haberde yer alan kişisel verilerin Kanun’un 28’inci maddesinin (1) numaralı fıkrasının (c) bendinde yer alan “kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği, özel hayatın gizliliği veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi” şeklindeki istisna hükmüne dayanmaması ve söz konusu haberde yer verilen özel nitelikli kişisel verilerin Kanun kapsamında geçerli bir işleme şartına dayanmaksızın işlenmiş olması nedeniyle veri sorumlusu gazete hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 100.000 TL idari para cezası uygulanmasına karar verilmiştir.

Söz konusu 11/05/2023 tarihli ve 2023/767 sayılı Karar’ın tam metnine buradan ulaşabilirsiniz.

6) Kargo Şirketi Çalışanı Tarafından Kargo Teslimi Sonrası İlgili Kişiye Kısa Mesaj Gönderilmesi Sonucu Kargo Şirketi Hakkında 250.000 TL İdari Para Cezası Uygulanması

Somut Olay: İlgili kişi tarafından Kişisel Verileri Koruma Kurumu’na ulaşan şikayette özetle;

Online alışveriş sitesi üzerinden satın aldığı ürünün veri sorumlusu bünyesinde çalışan kurye tarafından teslim edildiği, sonrasında ise kurye tarafından cep telefonu numarasına taciz içerikli mesaj gönderildiği,
Mesajı gönderenin kurye olduğu hususunun veri sorumlusu olan kargo şirketi tarafından teyit edildiği,
Veri sorumlusunun kişisel veri güvenliğini sağlayamadığı ve çalışanının kendisini rahatsız ettiği

belirtilerek ilgili kişi tarafından veri sorumlusu hakkında, Kanun kapsamında gereğinin yapılması talep edilmiştir.

Hukuki Değerlendirme: Kurul tarafından yapılan inceleme ve değerlendirme neticesinde;

İlgili kişi tarafından Kuruma iletilen belgelerden, eylemi gerçekleştiren kurye hakkında adli yargıda şikayette bulunulduğu ve ceza yargılaması neticesinde şahsın cezalandırıldığı,
6098 sayılı Türk Borçlar Kanunu’nun 66’ncı ve 4857 sayılı İş Kanunu 2’nci maddesinin 6 ve 7’nci fıkraları uyarınca veri sorumlusu kargo şirketinin söz konusu hukuka aykırı veri işleme olayında sorumluluk sahibi olduğu,
Veri sorumlusu adına çalışan şahsa, kişisel verilerin korunması ve veri güvenliği konusunda herhangi bir eğitim verilmediği ve gerekli bilgilendirmenin yapılmadığının anlaşıldığı,
Veri sorumlusunun kurye ile aralarında herhangi bir hukuki ilişkinin bulunmadığı beyanının gerçeği yansıtmadığı,
İlgili kişiye ait kişisel verilerin veri sorumlusu kayıtlarına işlenmesinin sebebinin taşıma hizmeti olduğu ve taşıma hizmetinin verilebilmesi ve gönderilerin alıcılara teslim edilebilmesi için kargo alıcılarının ad, soyadı, adres ve iletişim bilgilerinin veri sorumlusu kayıtlarına işlenmesinin gerektiği ve 6102 sayılı Türk Ticaret Kanunu gereği fatura ve irsaliyelerin 10 yıl boyunca saklanmasının zorunlu olduğu

ifade edilerek ilgili kişinin kişisel verisi niteliğinde olan cep telefonu numarasının Kanun’un 5’inci maddesinde öngörülen kişisel veri işleme şartlarına dayanılmaksızın hukuka aykırı olarak paylaşılması ve uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri alınmaması sebepleriyle veri sorumlusu kargo şirketi hakkında, Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 250.000 TL idari para cezası uygulanmasına karar verilmiştir.

Söz konusu 18/05/2023 tarihli ve 2023/845 sayılı Karar’ın tam metnine buradan ulaşabilirsiniz.

7) Hava Yolu Şirketi Tarafından Özel Yolcu Programı Hizmetlerinden Yararlanılması İçin Açık Rıza Şartı Aranmasının Bir Ürün veya Hizmetin Sunulmasının Ön Şartı Olmaması Hakkında

Somut Olay: İlgili kişi tarafından Kişisel Verileri Koruma Kurumu’na ulaşan şikayette özetle;

İlgili kişinin veri sorumlusu hava yolu şirketinin özel yolcu programında biriken millerini görmek için internet sitesine giriş yaptığı ancak söz konusu özel yolcu programı hizmetlerinden yararlanabilmesi için profildeki zorunlu alanların doldurulması ve kişisel verilerinin kendisine özel ürün ve hizmetler oluşturulması ile tanıtılması için pazarlama faaliyetlerinde kullanılmasının kabul edildiğine ilişkin kutucuğun işaretlenmesi gerektiği,
İlgili kutucuk işaretlenmezse söz konusu sistemin ilerlemesine izin vermediği

belirtilerek ilgili kişi tarafından veri sorumlusu hakkında, Kanun kapsamında gereğinin yapılması talep edilmiştir.

Hukuki Değerlendirme: Kurul tarafından yapılan inceleme ve değerlendirme neticesinde;

Şikâyete konu özel yolcu programının bir sadakat programı olduğu, ilgili kişinin bu sadakat programına katılmaksızın da veri sorumlusunun temel hizmeti olan uçak bileti satışı hizmetinden faydalanabildiği,
Yapılan incelemelerde millerin görüntülenmesi değil ekstra millerin kazanılmasının ancak özel yolcu programına üye olunması ile mümkün olduğu,
Özel yolcu programına katılımın ve ek menfaatlerin açık rıza koşuluna bağlanmasının “açık rızanın özgür irade ile verilmesi” koşulunu ortadan kaldırmayacağının Avrupa Birliği mevzuatında ve “Kişisel Verileri Koruma Kurulu’nun 05/07/2019 tarihli ve 2019/198 sayılı Kararı’nda”[3] değerlendirildiği,
Biriken millerin görüntülenmesinin açık rıza şartına bağlı olmadığı ve pek çok alternatif yol aracılığıyla program kapsamında biriken millerin görüntülenebildiği

ifade edilerek şikayete konu olayın açık rızanın koşul olarak dayatılması ve bu anlamda ilgili kişinin açık rızasının bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olmadığından bahisle veri sorumlusu hava yolu şirketi hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

Söz konusu 25/05/2023 tarihli ve 2023/890 sayılı sayılı Karar’ın tam metnine buradan ulaşabilirsiniz.

8) Kooperatif Ortaklığından Ayrılmasına Rağmen İlgili Kişinin Kişisel Verilerinin İşlenmeye Devam Etmesi Sonucu Kooperatif Hakkında 50.000 TL İdari Para Cezası Uygulanması

Somut Olay: İlgili kişi tarafından Kişisel Verileri Koruma Kurumu’na ulaşan şikayette özetle;

Kişisel verilerinin Kooperatif Bilgi Sistemi’ne (“KOOPBİS”) hukuka aykırı olarak işlendiği,
Kooperatif ortaklığından ayrılmış olmasına rağmen Kooperatif tarafından kendisine genel kurul davetiyesi gönderilmesi suretiyle kişisel verilerinin işlenmeye devam edildiği,
Kişisel verilerinin Kanun’un 7’nci maddesine uygun olarak imha edilmesi talebinin yerine getirilmediği,
Veri sorumlusuna yapılmış olan başvuruya süresi içinde cevap verilmediği

belirtilerek ilgili kişi tarafından veri sorumlusu hakkında, Kanun kapsamında gereğinin yapılması talep edilmiştir.

Hukuki Değerlendirme: Kurul tarafından yapılan inceleme ve değerlendirme neticesinde;

KOOPBİS’in veri kayıt sisteminin kurulmasından ve yönetilmesinden Ticaret Bakanlığının sorumlu olduğu ve Kooperatifin bir sorumluluğunun bulunmadığı,
İlgili kişinin kişisel verilerin imha edilmesi talebinin yerine getirilmediği iddiası bakımından Kooperatife ait internet sitesinde ortakların sahip olduğu payları ve ortakların adını ve soyadını gösterir şemada ilgili kişinin adının ve soyadının kaldırıldığının görüldüğü,
Veri sorumlusunun, ilgili kişinin başvurusuna süresi içinde cevap vermediği

ifade edilerek ilgili kişinin çıktığını bildirdiği tarihten itibaren kişisel verilerin işlenme şartlarının ortadan kalkmasına rağmen ilgili kişiye genel kurul davetiyesi gönderilmesi suretiyle kişisel verilerinin işlenmeye devam edilmesi ve söz konusu kişisel veri işleme faaliyetinin Kanun’da yer alan veri işleme şartlarına dayanmaması sebepleriyle veri sorumlusu kooperatif hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 50.000 TL idari para cezası uygulanmasına karar verilmiştir.

Söz konusu 25/05/2023 tarihli ve 2023/892 sayılı Karar’ın tam metnine buradan ulaşabilirsiniz.

9) İlgili Kişinin Kişisel Verilerinin Hukuka Aykırı İşlenmesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmemesi Sonucu Otopark İşletmesi Hakkında 75.000 TL İdari Para Cezası Uygulanması

Somut Olay: İlgili kişi tarafından Kişisel Verileri Koruma Kurumu’na ulaşan şikayette özetle;

Otopark işletmecisi veri sorumlusu tarafından aracının park borcu olduğu iddiasıyla icra takibi başlatıldığı ve icra takibine itiraz sonucu tüketici mahkemesinde itirazın iptali davası görüldüğü,
Söz konusu dava kapsamında veri sorumlusu tarafından kişisel verilerinin Kanun’a aykırı olarak işlendiği, dava dosyasına aracına ait fotoğraflar sunulduğu, bu fotoğrafların kim tarafından ve hangi gerekçe ile çekildiğinin belli olmadığı,
Borç bilgisine bir internet sitesinde aracın plakası ile yapılan sorgulama neticesinde alenen ulaşılabildiği ve kişisel verilerinin işlenmesi konusunda kendisine aydınlatma yapılmadığı

belirtilerek ilgili kişi tarafından veri sorumlusu hakkında, Kanun kapsamında gereğinin yapılması talep edilmiştir.

Hukuki Değerlendirme: Kurul tarafından yapılan inceleme ve değerlendirme neticesinde;

Araç sahibine ilişkin bilgilere ulaşılması bakımından, mutlaka aracın ruhsat bilgilerinin bilinmesinin gerekmediği, araç plakası ile yetkili makamlardan yapılacak sorgulama neticesinde de araç sahibine ilişkin bilgilere ulaşmanın mümkün olduğu ve ilgili kişinin ruhsat bilgilerinin ele geçirildiği iddiasının ispatlanamadığı,
Veri sorumlusu otopark işletmecisi ile aralarında kurulan sözleşme kapsamında park borcundan kaynaklanan alacağın tahsiline ilişkin icra takibi ve sonrasında dava açılabilmesi için ilgili kişinin kimlik bilgilerine ulaşılmasının Kanun’un 5’inci maddesi ikinci fıkrasının (e) bendinde düzenlenen “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” işleme şartı kapsamında kaldığı,
Veri sorumlusunun açılan dava kapsamında anılan hususları ispatlamasının ancak aracı, park edildiği yer ve tarih görünecek şekilde fotoğraflaması ile mümkün olduğu, veri sorumlusu tarafından gerçekleştirilen aracın fotoğraflarının çekilerek dava dosyasına sunulması suretiyle kişisel veri işleme faaliyetinin yine işleme şartı kapsamında kaldığı,
Borç sorgulama gibi internet sayfaları aracılığıyla yalnızca araç plakası ile gerçekleştirilen sorgulamaların, Kurum tarafından yayımlanan “Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)”[4] uyarınca ikinci kademede kişiye özel olarak belirlenecek bir bilgi ya da SMS veya e-postaya iletilen bir şifre gibi bir sistem ile yapılabilecek şekilde düzenlenmesi gerektiği veya bu şekilde sunulması mümkün değil ise kişisel verilerin işlenmesine son verilmesi gerektiği,
Somut olayda ilgili kişiye ait kişisel verilerin işlenmesi bakımından veri sorumlusunun, aydınlatma yükümlülüğünü yerine getirmediği

ifade edilerek aydınlatma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kanunun 18’inci maddesinin birinci fıkrasının (a) bendi uyarınca 75.000 TL idari para cezası uygulanmasına ve veri sorumlusunun işlettiği otopark alanlarından yararlanan kişilerin kullanımına sunulan, internet adresinde yer alan plaka sorgulanması suretiyle ödeme yapılmasına imkan sağlayan sistemin çift faktörlü doğrulama yapılarak gerçekleştirilecek şekilde düzeltilmesine karar verilmiştir.

Söz konusu 01/06/2023 tarihli ve 2023/924 sayılı Karar’ın tam metnine buradan ulaşabilirsiniz.

10) Üniversite Rektörü Tarafından İlgili Kişilerin Kişisel Verilerinin Yer Aldığı Belgelerin E-Posta Ekinde Üçüncü Kişilerle Paylaşılması Sonucu Veri Sorumlusu Üniversite Hakkında Disiplin Hükümlerinin Uygulanması

Somut Olay: İlgili kişi tarafından Kişisel Verileri Koruma Kurumu’na ulaşan şikayette özetle;

Üniversite rektörü tarafından ilgili kişilere gönderilen e-posta ile ekinde bulunan dosyada ilgili kişilere ve üçüncü kişilere ait şahsi telefon numaralarının, şahsi e-posta adreslerinin, adres bilgilerinin, HES kodlarının, aşı bilgilerinin, risk durumu vb. kişisel ve özel nitelikteki kişisel verilerinin toplu e-posta gönderisi ile alenileştirmek suretiyle üçüncü kişilere aktarıldığı,
Kişisel verilerin gönderildiği kişilerle irtibata geçilip aktarılan kişisel verilerin imha edilmesinin talep edildiği,
Şikâyete konu e-posta gönderisinden önceki bir e-posta gönderisinde de ilgili kişilere ve üçüncü kişilere ait kişisel verilerin toplu e-posta gönderisi ile alenileştirildiği, dolayısı ile işlemin sehven yapılmış olması olanağının bulunmadığı

belirtilerek ilgili kişi tarafından veri sorumlusu hakkında, Kanun kapsamında gereğinin yapılması talep edilmiştir.

Hukuki Değerlendirme: Kurul tarafından yapılan inceleme ve değerlendirme neticesinde;

İlgili Kişilere gönderilen e-posta içeriği ve söz konusu Excel dosyası incelendiğinde, tabloda çalışanlara ait olduğu tahmin edilen ve yalnızca kendileri tarafından bilinebilecek olan kişisel ve özel nitelikli kişisel verilerinin açık bir şekilde yer aldığı,
Şikâyete konu e-postaya ilişkin ekran görüntüsünden, gönderinin alıcı kısmında ilgili kişilere ait e-posta adresleri ile üçüncü kişilere ait e-posta adreslerinin de yer aldığı,
Söz konusu e-postanın gönderilmesinden önce ilgili kişiler ile birlikte üçüncü kişilere ait kişisel verilerin toplu e-posta gönderisi ile paylaşıldığı görülmüş olup, sehven gönderilme gibi bir durumun kabul edilemeyeceği,
Söz konusu e-postanın üniversitenin çalışanları ve idari amirlerine gönderilmesi ile kişisel verilerin üçüncü kişiler ile paylaşılması anlamına geleceği ile verilerin yer aldığı e-posta ve ekinin, e-posta gönderilen ilgililerden imha edilmesinin veri ihlalini ortadan kaldırmayacağı

ifade edilerek Kanun’un 5’inci ve 6’ncı maddelerinde belirtilen işleme şartlarına dayanılmaksızın ilgili kişilere ait kişisel ve özel nitelikli kişisel verilerinin paylaşılması, uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirleri yeterli düzeyde alınmaması ve veri sorumlusu tarafından Kurul’a bir veri ihlal bildiriminde bulunulmaması sebepleriyle kamu tüzel kişiliği niteliğindeki veri sorumlusu bünyesinde görev yapan sorumlular hakkında, disiplin hükümlerine göre işlem yapılmasına karar verilmiştir.

Söz konusu 01/06/2023 tarihli ve 2023/928 sayılı Karar’ın tam metnine buradan ulaşabilirsiniz.

11) İlgili Kişinin Bankaya Bildirmediği Telefon Numarası Üzerinden Kredi İşlemleri ile İlgili Bilgilendirilmesi Sonucu Kişisel Verilerinin İşlenmesinin Kanuna Uygun Olması Hakkında

Somut Olay: İlgili kişi tarafından Kişisel Verileri Koruma Kurumu’na ulaşan şikayette özetle;

İlgili kişinin cep telefonu numarası aracılığıyla veri sorumlusu Banka’nın müşterisi olduğu ve aynı gün içerisinde hem ilgili Banka’ya vermiş olduğu telefon numarasına hem de adına kayıtlı olan ama Banka ile olan işlemlerinde kullanmadığı telefon numarasına kredi başvurusu ile ilgili ve içeriği farklı kısa mesajlar iletildiği,
Konuyla ilgili bankaya yaptığı başvuruda bankanın şikayet konusu numarayı Kredi Kayıt Bürosu’ndan (“KKB”) aldığını belirttiği, yaptığı ikinci başvuruya Banka tarafından verilen cevapta ise şikayet konusu numaranın diğer bankalarla yapılmış olan sözleşmelere istinaden başka bankalardan alındığının belirtildiği,
KKB’nin internet sitesinde araştırma yaptığında ilgili kuruluşta kayıtlı telefon numarasının Banka’ya vermiş olduğu telefon numarası ile aynı olduğu yani şikayet konusu numara olmadığı

belirtilerek ilgili kişi tarafından veri sorumlusu hakkında, Kanun kapsamında gereğinin yapılması talep edilmiştir.

Hukuki Değerlendirme: Kurul tarafından yapılan inceleme ve değerlendirme neticesinde;

Söz konusu alternatif iletişim bilgisine, bankaların kanunen yerine getirmekle yükümlü olduğu başvuru güvenliği/dolandırıcılığın önlenmesi sürecinde, veri sorumlusunun Kredi Kayıt Bürosu (KKB) ile imzalamış olduğu veri aktarım sözleşmesi çerçevesinde BT servisleri üzerinden otomatik olarak veya bankadaki görev tanımları dolandırıcılık girişimlerini önlemek olan sorumlu ekip üyelerince manuel olarak erişildiği,
Söz konusu mesajın KKB’de kayıtlı adrese iletilmesi suretiyle gerçekleştirilen işlemin, sahte bir kimlik ile beraber alternatif bir iletişim numarası kullanılarak gerçekleştirilebilecek bir kredi başvurusunun banka tarafından sehven onaylanması halinde hem bankanın ilave zarara maruz kalmamasına hem de gerçekte borç ile hiçbir ilişkisi olmayan bir müşterinin ilave maddi/hukuki yük altına girmesinin engellenmesine hizmet ettiği, söz konusu işlemlerin Bankacılık Kanunu ve Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik uyarınca gerçekleştirildiği

ifade edilerek veri işleme faaliyetinin Kanunun 5’inci maddesinin 2’nci fıkrasının (a) bendinde yer alan “kanunlarda açıkça öngörülmesi”, (ç) bendinde yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartlarına dayalı olarak gerçekleştirildiğinden bahisle veri sorumlusu hakkında, Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

Söz konusu 01/06/2023 tarihli ve 2023/932 sayılı Karar’ın tam metnine buradan ulaşabilirsiniz.

12) Üniversite Tarafından Öğrencisi Olan İlgili Kişiye Günlük Elektronik Postalar Gönderilmesinin Kanun’un 5 inci Maddesine Uygun Olması Hakkında

Somut Olay: İlgili kişi tarafından Kişisel Verileri Koruma Kurumu’na ulaşan şikayette özetle;

İlgili kişiye Üniversite tarafından kendisinin elektronik posta adresine kendisiyle doğrudan alakası olmayan ve içeriklerinin ilgi alanına girmediği günlük elektronik postalar gönderildiği,
İlgili kişinin elektronik postaları almak istemediği ve bu konuda üniversiteye birçok defa başvuruda bulunduğu ve e-posta listesinden çıkmak istediğini belirttiği,
Buna rağmen kişisel verisi niteliğinde olan elektronik posta adresinin Üniversite tarafından işlenmeye ve listede tutulmaya devam edildiği

belirtilerek ilgili kişi tarafından veri sorumlusu hakkında, Kanun kapsamında gereğinin yapılması talep edilmiştir.

Hukuki Değerlendirme: Kurul tarafından yapılan inceleme ve değerlendirme neticesinde;

Söz konusu elektronik postaların içeriğinde veri sorumlusu bünyesinde yapılan etkinliklerin, idari faaliyetlerin, eğitim olanaklarının ve veri sorumlusunun yapmış olduğu diğer duyuruların bulunduğunun tespit edildiği,
Elektronik postaların veri sorumlusu tarafından ilgili kişiye tahsis edilen edu.tr uzantılı kurumsal elektronik posta adreslerine gönderildiğinin belirtildiği ancak elektronik posta adresinin veri sorumlusu tarafından ilgili kişiye tahsis edilmesinin söz konusu elektronik posta adresinin kişisel veri olma niteliğini değiştirmeyeceği,
Gerçekleştirilen kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinin ikinci fıkrasında (f) bendinde yer alan “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” kapsamında gerçekleştirildiği,
Öğrencilere kurumsal elektronik posta adresinden üniversite hakkında duyuru yapılacağına ilişkin bilgilendirmede aydınlatma metnine yer verilmesi gerektiği

ifade edilerek veri sorumlusu Üniversite hakkında, Kanun kapsamında yapılacak işlem bulunmadığına ve öğrencilere kurumsal elektronik posta adresinden üniversiteye ilişkin duyuru yapılacağına ilişkin bilgilendirmeye yer verilmek suretiyle Üniversite tarafından aydınlatma metninin güncellenmesine karar verilmiştir.

Söz konusu 01/06/2023 tarihli ve 2023/938 sayılı Karar’ın tam metnine buradan ulaşabilirsiniz.

13) Veri Sorumlusunun İnternet Sitesinde Aydınlatma Yükümlülüğünü Usulüne Uygun Yerine Getirmediği ve Sunduğu Hizmeti Açık Rıza Şartına Bağladığı İddiaları Yönünden Kanun’a Aykırılık Bulunmaması Hakkında

Somut Olay: İlgili kişi tarafından Kişisel Verileri Koruma Kurumu’na ulaşan şikayette özetle;

İlgili kişinin tetkik ve takip için vücuda takılan şeker ölçüm cihazlarından almak istediği ve Veri Sorumlusu tarafından satışa sunulan ürünün, gizlilik ve aydınlatma metinlerinde işaretlenmek üzere boş bırakılan alanlar doldurulmadan satışının yapılmadığı veya internet sitesine üyelik işleminin gerçekleştirilemediği,
Özel sağlık bilgilerinin ticari ve pazarlama amaçlı faaliyetlerde kullanılması ve bu bilgiler paylaşılmaksızın ürünün satılmamasının hastanın teşhis ve tedavi hakkını kısıtladığı,
Hiçbir kişisel verisinin yurt dışına aktarılmasını kabul etmediği

belirtilerek ilgili kişi tarafından veri sorumlusu hakkında, Kanun kapsamında gereğinin yapılması talep edilmiştir.

Hukuki Değerlendirme: Kurul tarafından yapılan inceleme ve değerlendirme neticesinde;

Rızanın daha sonra geri alınması hiçbir şekilde mümkün olmamakta ise rızanın özgür bir irade beyanına dayandığının kabul edilemeyeceği,
Kişisel verilerinin yurt dışına aktarılmasına açık rıza vermeyen müşteriler için müşteri hizmetleri aracılığıyla kullanılabilen alternatif bir satış kanalının bulunduğu ve bu doğrultuda İlgili Kişinin herhangi bir zarara uğramadan ve kişisel verilerinin yurt dışına aktarılmasına izin vermek zorunda bırakılmadan ürünü temin edebilecek olduğu, dolayısıyla hizmetin açık rıza şartına bağlanmış sayılamayacağı,

Şikâyet tarihinde internet sitesinde ve üyelik ekranında yer alan ifadeler ile işbu karar tarihinde ulaşılan sayfalarda yer alan metinlerin farklı olduğu ve internet sitesinin önceki halinde yer alan “Ürün satın alma ile ilgili detaylı bilgi için … numaralı telefonumuzdan Müşteri Hizmetlerimize ulaşabilirsiniz.” şeklindeki ifadenin müşterilere şeffaf bir yönlendirme sağlamaktan uzak olduğu,
Güncel internet sitesinde yapılan değişikliğin alternatif bir satış kanalı bulunduğunun müşteriler tarafından anlaşılmasını hayatın olağan akışında beklenemez hale getirdiği,
Gizlilik ve aydınlatma metinleri işaretlenmeksizin üyelik ve satış işlemlerinin gerçekleştirilememesi yönündeki uygulamanın, veri sorumlusunun Kanun’dan doğan aydınlatma yükümlülüğünü yerine getirmek üzere benimsediği ve müşterilerin aydınlatma metnini okuyarak bilgilendirilmesi ve bu suretle düşünmeye sevk edilmesi maksadı taşıdığı, bu sebeple Kanun’a aykırılık teşkil etmediği,
Veri sorumlusu tarafından satışa sunulan ürünü satın alan kişilerin diyabet hastası olduğu kanısına varılamayacağından istenen bilgilerin Kanun’un 3’üncü maddesi anlamında kişisel veri olduğu veya ürünü satın alan müşterilerin sağlık verilerinin işlendiği sonucuna varılamayacağı

ifade edilerek ticari ve pazarlama amaçlı faaliyetlerde kullanıldığı iddiaları yönünden Kanun’a aykırılık bulunmadığına ve şeffaf bir bilgilendirme yapılmasını teminen üyelik ve satış ekranlarında alternatif satış kanalına ilişkin yolun açık ve anlaşılır biçimde gösterilmesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Söz konusu 15/06/2023 tarihli ve 2023/1041 sayılı Karar’ın tam metnine buradan ulaşabilirsiniz.

14) Veri Sorumlusu Bankanın, İlgili Kişi ile Müşteri Temsilcisi Arasında Gerçekleşen Görüşmeye İlişkin Ses Kayıtlarını İlgili Kişiye Göndermesi Halinde Üçüncü Kişilerin Kişisel Verilerinin Çıkarılarak Gönderilmesi Gerektiği Hakkında

Somut Olay: İlgili kişi tarafından Kişisel Verileri Koruma Kurumu’na ulaşan şikayette özetle;

İlgili kişinin veri sorumlusu Banka’nın müşteri iletişim merkezi ile yaptığı görüşmede sanal kartının kopyalandığı ve bu nedenle tarafına bilgi verilmeden kartının kullanıma kapatıldığını öğrendiği,
Sanal kartının kapatılmasına neden olan kişisel veri kopyalanması ile ilgili bilgi edinme talebi ile veri sorumlusuna başvuruda bulunduğu ancak bu başvurusunun veri sorumlusu tarafından yanıtsız bırakıldığı,
İkinci kez veri sorumlusuna yaptığı başvuruda kişisel verilerinin işlenip işlenmediğinin teyidini ve müşteri temsilcisi ile gerçekleştirdiği görüşmeye ilişkin ses kaydını veya bu kaydın dökümünü talep ettiği; ancak bu başvurusunun da veri sorumlusunca yanıtsız bırakıldığı

belirtilerek ilgili kişi tarafından veri sorumlusu hakkında, Kanun kapsamında gereğinin yapılması talep edilmiştir.

Hukuki Değerlendirme: Kurul tarafından yapılan inceleme ve değerlendirme neticesinde;

İlgili kişi tarafından veri sorumlusuna yapılan ilk başvurunun veri sorumlusu tarafından yazılı bir şekilde yanıtlandırılmadığının anlaşıldığı, ikinci başvurunun ise, ilgili kişinin iddiasının aksine, veri sorumlusu tarafından cevaplandırıldığının görüldüğü,
Banka’nın müşteri temsilcisi ile gerçekleştirdiği görüşmeye ilişkin ses kaydı veya bu kaydın dökümünün ilgili kişi ile paylaşılmamasının gerekçesi olarak veri sorumlusunca ileri sürülen “sır saklama yükümlülüğü”nün 5411 sayılı Bankacılık Kanunu’nda düzenlendiği,
Veri sorumlusu tarafından Kurum’a iletilen döküm incelendiğinde, somut olayın veri sorumlusu tarafından belirtildiği şekilde gerçekleştiğinin anlaşıldığı,
Kanun’un 11’inci maddesi kapsamında düzenlenen, ilgili kişilerin kendileriyle ilgili kişisel veriler işlenmişse buna ilişkin bilgi talep etme hakkının söz konusu veriye erişim hakkını da kapsadığı

ifade edilerek tarafların görüşme sırasındaki doğrudan ifadelerini içeren söz konusu dökümün, ilgili kişi dışında başkalarının kişisel verileri varsa bunların çıkarılması/maskelenmesi gibi önlemler alınarak ilgili kişiye gönderilmesi konusunda bankanın bilgilendirilmesine karar verilmiştir.

Söz konusu 15/06/2023 tarihli ve 2023/1050 sayılı Karar’ın tam metnine buradan ulaşabilirsiniz.

15) Eczane Tarafından İlgili Kişinin Rapor ve İlaç Kayıtlarının Eski Eşiyle Paylaşılması Sebebiyle Veri Sorumlusu Eczane Hakkında 50.000 TL İdari Para Cezası Uygulanması

Somut Olay: İlgili kişi tarafından Kişisel Verileri Koruma Kurumu’na ulaşan şikayette özetle;

İlgili kişinin hastane rapor ve ilaç kayıtlarının Eczacı tarafından Medula sisteminden çıkartılarak eski eşe verildiği ve durumun eski eşi ile aralarındaki velayet davası dosyasından anlaşıldığı

belirtilerek ilgili kişi tarafından veri sorumlusu hakkında, Kanun kapsamında gereğinin yapılması talep edilmiştir.

Hukuki Değerlendirme: Kurul tarafından yapılan inceleme ve değerlendirme neticesinde;

Medula sisteminin sağlık hizmeti kullanım verisi toplamak ve bu verilere dayanarak faturalama işlemini gerçekleştirmek amacıyla Sosyal Güvenlik Kurumu (“SGK”) tarafından işletilen elektronik bilgi sistemi olduğu,
SGK ile sözleşmeli eczacıların ilaç temini sürecinde Medula sistemine girilen veriler açısından ayrı bir işleme faaliyeti yapmakla yetkilendirilmiş kişiler olmadığı ve ödeme süreçlerinin tamamlanabilmesi için veri işleme faaliyeti yürüttükleri için veri işleyen sıfatını haiz olduğu,
Örneğin ilgili kişilerin rapor ve ilaç listesinin çıktısı alınarak hastalara ilişkin özel bir klasör oluşturulması veya söz konusu verinin üçüncü bir kişi ile paylaşılması durumlarında bu kişilerin veri sorumlusu sıfatını haiz olacağı,
Eczacının diğer yükümlülüklerde olduğu gibi sır saklama yükümlülüğünde de yanında çalıştırdığı kimselerden Türk Borçlar Kanunu’nun 116’ncı maddesi gereğince sorumlu olduğu

ifade edilerek Kanun’un 6 ncı maddesinde yer alan veri işleme şartlarına dayanmaksızın Medula sistemini kullanarak edindiği ilgili kişiye ait özel nitelikli kişisel verileri üçüncü kişi olan boşandığı eşi ile paylaşan ve gerekli her türlü teknik ve idari tedbiri alma yükümlülüğü almayan veri sorumlusu eczane hakkında;

Kanun'un 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 50.000 TL idari para cezası uygulanmasına,
Kurul’un 31/01/2018 tarihli ve 2018/10 sayılı “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler Kararı’na”[5] istinaden uyarılmasına

karar verilmiştir.

Söz konusu 06/07/2023 tarihli ve 2023/1130 sayılı Karar’ın tam metnine buradan ulaşabilirsiniz.

16) Araç Kiralama Rezervasyonu Sırasında Araç Kiralama Şirketinin İlgili Kişiden Findeks Raporu Talep Ederek Kişisel Verilerini İşlemesi Sonucunda Veri Sorumlusu Araç Kiralama Şirketi Hakkında 100.000 TL İdari Para Cezası Uygulanması

Somut Olay: İlgili kişi tarafından Kişisel Verileri Koruma Kurumu’na ulaşan şikayette özetle;

Seyahat biletlerini kullanıcılara yönelik satışa açan Platform’un (“Platform”) resmi internet sitesi üzerinden bir araç kiralama şirketinden 7 günlük bir süre için araç kiralandığı ve aynı gün ilgili kişinin adına kayıtlı kredi kartından ödeme yapıldığı,
Depozito bedelinin ödenmesi amacıyla kredi kartının ibraz edilmesine karşın acente çalışanları tarafından ilgili kişinin ayrıca Findeks raporuna erişilmek istendiğine ilişkin SMS iletildiği,
Aksi halde araç kiralama hizmetinden faydalanamayacağının belirtildiği, aracın bu sebeple ilgili kişiye tesliminin yapılmadığı, aynı gün ilgili kişiye “firmamızın prosedürlerini kabul etmediğinizden rezervasyonunuz iptal edilmiştir.” şeklinde bildirim yapıldığı

belirtilerek ilgili kişi tarafından veri sorumlusu hakkında, Kanun kapsamında gereğinin yapılması talep edilmiştir.

Hukuki Değerlendirme: Kurul tarafından yapılan inceleme ve değerlendirme neticesinde;

Platform’un araç kiralama hizmeti vermemekte yalnızca rezervasyon taleplerini almakta olduğu, dolayısıyla Platform’un veri sorumlusu sıfatıyla sorumluluğunun bilet listeleme, sefer görüntüleme, bilet satış araç kiralama, araç listeleme, otel listeleme, otel rezervasyonu yapma gibi Platform hizmetleri bakımından olacağı,
Platform üzerinden yapan araç kiralayan şirketin, Kanun’un “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleme, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan tüzel kişi olma” şartının sağlanması sebebiyle veri sorumlusu olduğu,
Veri sorumlusunun internet sitesinde yer alan “Kiralama Koşulları” sekmesinde “Gerekli durumlarda, firmamızdan ilk kez araç kiralayacak müşterilerimiz için geçerli olacak şekilde kiralama esnasında Findekse dayalı Karar Destek Skoru sorgulaması ve provizyon işlemi yapılabilir.” ifadelerinin yer aldığı,
Findeks raporu bilgileri sorgulanması suretiyle kişisel verilerin işlenmesinin ancak açık rıza ile gerçekleştirebileceği, bu kapsamda veri sorumlusu tarafından Findeks raporu temin edilmeksizin kiralama işlemi yapılmaması suretiyle açık rızanın hizmet şartına bağlandığı

ifade edilerek Kanunun 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerini yerine getirmeyen veri sorumlusu Platform hakkında, Kanunun 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına karar verilmiştir.

Söz konusu 20/07/2023 tarihli ve 2023/1234 sayılı Karar’ın tam metnine buradan ulaşabilirsiniz.

17) Havayolu Şirketi Tarafından Farklı Soyadına Sahip Kişilerin Verilerinin Aynı PNR Üzerinden Üçüncü Kişilerle Paylaşılması Sonucu Veri Sorumlusu Havayolu Şirketi Hakkında 300.000 TL İdari Para Cezası Uygulanması

Somut Olay: İlgili kişi tarafından Kişisel Verileri Koruma Kurumu’na ulaşan şikayette özetle;

Havayolunun mobil uygulamasından Check-in işlemi yapmak için Yolcu İsim Kaydını-Passenger Name Information (PNR) ve soyadını girdiğinde tanımadığı dört kişinin isim, soyisim, cinsiyet, doğum tarihi, uyruğu, belge türü, belgenin verildiği ülke, belge no, son geçerlilik tarihi, vize bilgileri gibi kişisel verilerini gördüğü,
Tanımadığı kişilerin biletleri hakkında uçak biletlerini iptal etmek ve değiştirmek gibi birçok işlem hakkı tanındığı, aynı şekilde diğer tanımadığı kişilerin de kendisinin kişisel verilerini görebileceği,
Havayolu şirketine şahsına ait işlenen kişisel verilerinin yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişiler hakkında bilgi verilmesini, kişisel verilerine erişim yetkisi olmayan üçüncü kişilere aktarımına ve hukuka aykırı veri işleme faaliyetine son verilmesini için başvurduğu,
Veri sorumlusu tarafından verilen yanıtta kişisel verilerinin üçüncü kişilere hukuka aykırı olarak aktarıldığının kabul edildiği, verilen cevapta bilgi edinmek adına cevaplanmasını talep ettiği hususlarda da herhangi bir cevap verilmediği

belirtilerek ilgili kişi tarafından veri sorumlusu hakkında, Kanun kapsamında gereğinin yapılması talep edilmiştir.

Hukuki Değerlendirme: Kurul tarafından yapılan inceleme ve değerlendirme neticesinde;

Uluslararası Sivil Havacılık Organizasyonu tarafından yayınlanan “PNR Verisi Rehberi” nde (The International Civil Aviation Organization, “Guidelines on Passenger Name Record (PNR) Data)[6]“ paylaşılmış/bölünmüş PNR’ın PNR üzerinde çok sayıda yolcu, diğer yolcular olması olarak tanımlandığı,
İlgili kişinin şikâyeti kapsamında veri sorumlusu tarafından grup rezervasyonlarının, paket turlar kapsamında seyahat acenteleri tarafından oluşturulduğu, grup PNR'da yer alan bir yolcu check-in işlemi yapmak veya bilet işlemlerini internet sitesi veya mobil uygulama üzerinden yönetmek istediğinde PNR + SOYADI kombinasyonu ile giriş yaptığı ve şikayete konu işlemin ilgili kişi ile seyahat acentesi arasında gerçekleşen Paket Tur Sözleşmesi ile bağlantılı bir işlem olduğunun ifade edildiği,
Veri sorumlusu tarafından iddia edildiğinin aksine PNR + SOYADI kombinasyonu ile giriş işlemi yapılsa dahi farklı soyadına sahip kişilerin verilerinin aynı PNR üzerinden görülebildiği,
Veri sorumlusu tarafından Kanun’un 12’nci maddesi uyarınca kişisel verilerin hukuka aykırı olarak erişilmesini önlemek ve muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirlerin alınmadığı,
Söz konusu veri ihlali ile ilgili Kurul’a bir bildirim yapılmadığı,
PNR bilgilerine yalnızca soyadı kombinasyonu ile eşleştirilerek erişim sağlanmasının, somut olayda iddia edilen aynı soyadlı ancak aynı gruba ya da aileye dahil olmayan, birlikte seyahat etmeyen kişilerin verilerine erişim sağlanmasının veri ihlaline sebep olabileceği

ifade edilerek yukarıda yer alan sebeplerle, veri sorumlusu havayolu şirketi hakkında

Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 300.000 TL idari para cezası uygulanmasına,
Veri sorumlusu tarafından söz konusu uygulamaya ilişkin ilave teknik tedbirleri alınmasına ve Kurul’a bilgi verilmesine karar verilmiştir.

Söz konusu 03/08/2023 tarihli ve 2023/1309 sayılı Karar’ın tam metnine buradan ulaşabilirsiniz.

18) Banka Mobil Uygulamasında Dijital Parola Belirlenmesi Sırasında Yüz Verisinin İşlenmesi Yoluyla Kişisel Verilerin Veri Sorumlusu Banka Tarafından İşlenmesi Hakkında

Somut Olay: İlgili kişi tarafından Kişisel Verileri Koruma Kurumu’na ulaşan şikayette özetle;

İlgili kişinin unutmuş olduğu kurumsal hesabına ilişkin şifreyi sıfırlamak istediğinde dijital kimlik kartının kullanılmasının şart koşulduğu, T.C. kimlik kartı ile giriş yapılmak istendiğinde ise yüz verilerinin işlenmesi için onay ekranının çıktığı,
Onay verilmediği durumda ise hizmetten faydalanılamadığı ve sistemin başa döndüğü, böylece kişisel verilerinin zorla işlendiği

belirtilerek ilgili kişi tarafından veri sorumlusu hakkında, Kanun kapsamında gereğinin yapılması talep edilmiştir.

Hukuki Değerlendirme: Kurul tarafından yapılan inceleme ve değerlendirme neticesinde;

25.05.2018 tarihinde yürürlüğe giren “Avrupa Genel Veri Koruma Tüzüğü’nde”[7] (“GDPR”) “biyometrik veri” nin kişisel veri olarak tanımlandığı, yüz verilerinin de biyometrik veri olması dolayısıyla özel nitelikli kişisel veri olduğu,
Bankanın veri sorumlusu olarak dijital parola belirleme işlemlerinde veri işleme faaliyetinde bulunduğu,
Veri sorumlusunun dijital parola alma işleminden yararlanamamış olan ilgili kişinin yaptığı başvuruya biyometrik verilerin işlenmeyerek dijital parola edinme isteği halinde Bankanın Şube/Telefon Bankacılığı kanalları ile işlemin gerçekleştirilmesinin mümkün olduğu şeklinde cevap verdiği ve 02/12/2022 tarihinden itibaren kurumsal müşteriler için de mobil bankacılıkta kredi/banka kartı seçeneği ile de dijital parola oluşturma imkanının sağlandığı,
Bankanın şikayete konu olay tarihinde T.C. kimlik kartı ile işlem yapma seçeneğinde yüz izi verilerinin işlenmesine rıza göstermeyen müşteriler için işlemi herhangi bir bilgilendirme yapmadan sonlandırdığı

ifade edilerek hizmetin şarta bağlandığı iddiasının yerinde olmadığından veri sorumlusu hakkında yapılacak bir işlem bulunmadığına ve ilgili kişilerin bu süreçler hakkında kolay anlaşılır/ulaşılır bir şekilde bilgilendirilmesi konusunda talimatlandırılmasına karar verilmiştir.

Söz konusu 03/08/2023 tarihli ve 2023/1310 sayılı Karar’ın tam metnine buradan ulaşabilirsiniz.

19) İlgili Kişinin E-Posta Verilerinin Ortaklığından Ayrıldığı Şirket Tarafından İşlenmeye Devam Edilmesi Sonucu Veri Sorumlusu Şirket Hakkında 50.000 TL İdari Para Cezası Uygulanması

Somut Olay: İlgili kişi tarafından Kişisel Verileri Koruma Kurumu’na ulaşan şikayette özetle;

Veri sorumlusu Şirket’in ortağı iken kullandığı e-posta adresinin hala aktif olduğunu ve veri sorumlusunun söz konusu adrese iletilen e-postaları okuduğunu öğrendiği,
Bu durumun kendisi açısından haksız rekabet yarattığı ve maddi zarara uğradığı,
Bu konuda veri sorumlusuna başvuru yaptığı ancak herhangi bir cevap alamadığı

belirtilerek ilgili kişi tarafından veri sorumlusu hakkında, Kanun kapsamında gereğinin yapılması talep edilmiştir.

Hukuki Değerlendirme: Kurul tarafından yapılan inceleme ve değerlendirme neticesinde;

İlgili kişinin, veri sorumlusu Şirket’ten ayrılmasından sonra yeni kurduğu firmada daha önce ortağı olduğu veri sorumlusu Şirket’in faaliyet alanı ile aynı işi yapmaya başladığı,
Ortaklığın bittiğini bilmeyen eski bir müşterinin ilgili kişinin eski e-posta adresine mesaj ilettiği, söz konusu mesajı okuyan veri sorumlusu Şirket yetkilisinin ilgili müşteriyle iletişime geçtiği,
E-posta verilerinin kişisel veri niteliğini haiz olduğu, bu minvalde ilgili kişinin işten ayrılmasından sonra e-posta gönderilerek tanımsız e-postada iletilerin görüntülenmesine imkan sağlanmak suretiyle kişisel verilerinin işlenmeye devam edildiği,
Söz konusu işleme faaliyetinin Kanun’un 5’inci maddesindeki herhangi bir işleme şartına dayanmadığı

ifade edilerek ilgili sebeplerle veri sorumlusu Şirket hakkında;

Kanun’un 18’inci maddesi uyarınca 50.000 TL idari para cezası uygulanmasına,
Söz konusu sistemin işten ayrılan kişilere ilişkin kişisel veri işlenme faaliyetine devam edilmemesini sağlayacak şekilde düzeltilmesine,
Şikayete konu kişisel verilerin imha edilmesine

karar verilmiştir.

Söz konusu 03/08/2023 tarihli ve 2023/1321 sayılı Karar’ın tam metnine buradan ulaşabilirsiniz.

20) Konaklanan Otelin Çalışanı Tarafından İlgili Kişinin Kişisel Verilerinin Üçüncü Kişilerle Paylaşılması Sonucu Veri Sorumlusu Otel Hakkında 500.000 TL İdari Para Cezası Uygulanması

Somut Olay: İlgili kişi tarafından Kişisel Verileri Koruma Kurumu’na ulaşan şikayette özetle;

Sosyal medya uygulamasından üçüncü bir kişi tarafından ilgili kişiye otelde ikamet ettiği döneme ilişkin bilgiler ihtiva eden bir belge gönderildiği,
İlgili kişinin bahsi geçen şahsa söz konusu belgenin kendisine nasıl ulaştığını sorduğunda şahsın otelde çalışan bir tanıdığından kendisine gönderildiğini belirttiği,
Söz konusu belgenin üzerinde yer alan ilgili kişinin isim ve konaklama bilgilerinin üçüncü kişilerin eline geçtiği,
Veri sorumlusunca aydınlatma yükümlülüğünün yerine getirilmediği

belirtilerek ilgili kişi tarafından veri sorumlusu hakkında, Kanun kapsamında gereğinin yapılması talep edilmiştir.

Hukuki Değerlendirme: Kurul tarafından yapılan inceleme ve değerlendirme neticesinde;

İlgili kişinin şikâyetine ve veri sorumlusu tarafından üçüncü kişilerle paylaşıldığı iddiasına konu edilen “Housekeeping Task Sheet” (“Temizlik Görev Kâğıdı”) belgesinin oteldeki temizlik-bakım hizmetleri için oluşturulduğu ve bu belgenin kat hizmetleri görevlisi olan kişilere verildiği,
Kat görevlilerinin hizmetlerini yürütebilmesi için konaklayan kişinin adını-soyadını bilmesini gerektirmediği,
Kişisel veri güvenliği hususunda yaşanabilecek riskler de göz önüne alındığında veri minimizasyonu ilkesi doğrultusunda hareket edilmesi gerektiği,
Kat görevlilerinin görevlerinin belirlendiği Housekeeping Task Sheet belgesinde konaklayanların isim ve soy isim bilgilerine yer verilmesi şeklinde gerçekleşen veri işleme faaliyetinin Kanun’un “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesini zedeleyeceği,
Veri sorumlusunca bünyelerinde mezkûr belgenin imha edildiği beyan edilmişse de belgenin imha edildiğini gösteren herhangi bir kaydın Kurum’a iletilmediği,
Registraton Card/Konaklama Belgesini doldurma ve imzalamak zorunluluğu altında bulunan kişilere ayrıca belgeyi imzalamaları halinde reklam ve pazarlama amaçlı iletişim bilgilerinin işlenmesini kabul edecekleri düzenlemesinin getirilmesi halinde, kişisel verilerinin işlenmesi konusunda açık rızanın özgür irade unsurunu sakatlayacağı

ifade edilerek Kanun’un 12’nci maddesi uyarınca uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idarî tedbirleri almayan veri sorumlusu hakkında;

Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 500.000 TL idari para cezası uygulanmasına,
Konaklama belgesi ekinde sunulan aydınlatma metni ile web sayfasında bulunan aydınlatma metinleri arasındaki farklılıklarının giderilmesine,
Veri sorumlusunun mezkûr belge üzerindeki Sorumsuzluk Kaydını revize etmesine

karar verilmiştir.

Söz konusu 03/08/2023 tarihli ve 2023/1327 sayılı Karar’ın tam metnine buradan ulaşabilirsiniz.

21) İşe İade Davasına İlgili Kişinin Mescitteki İbadet Görüntülerini Sunan Veri Sorumlusu İşveren Hakkında 300.000 TL İdari Para Cezası Uygulanması

Somut Olay: İlgili kişi tarafından Kişisel Verileri Koruma Kurumu’na ulaşan şikayette özetle;

İlgili kişinin özel nitelikli kişisel verisi niteliğindeki ibadethane içerisindeki ibadet etme görüntülerinin eski işvereni tarafından rızası dışında kayıt altına alındığı,
İşe başladığı tarih itibarıyla şirket tarafından bu konuda aydınlatma yapılmadığı ve açık rızasının alınmadığı,
Şirket tarafından iş akdinin feshedilmesinden kısa bir süre önce, geriye dönük olarak kişisel verilerin işlenmesiyle ilgili belgelerin imzalatılmak istendiği,
İlgili kişinin belgeleri imzalamak istememesi üzerine, bir şirket çalışanı tarafından gönderilen bir elektronik posta ile belgelerin imzalanması gerektiğinin bildirildiği ve işten çıkarılma korkusuyla işe giriş tarihi yazılarak açık rıza metinlerini imzalamak zorunda bırakıldığı,
Söz konusu rıza metninde de şirket tarafından mescit içerisinde görüntü kaydı alma konusunda açıkça bir ifadenin bulunmadığı,
Şirketin ibadethane içerisindeki görüntüleri kayda alarak ibadet eden çalışanlar ile ibadet etmeyen çalışanların tespit ettiği ve iş yerinde farklı muamelelere maruz bırakıldığı,
Kaydedilen görüntülerin şirketle ihtilaflı olduğu mahkeme dosyasına şirket tarafından ibraz edildiği

belirtilerek ilgili kişi tarafından veri sorumlusu hakkında, Kanun kapsamında gereğinin yapılması talep edilmiştir.

Hukuki Değerlendirme: Kurul tarafından yapılan inceleme ve değerlendirme neticesinde;

Şikayete konu olayda veri sorumlusunun kameralar vasıtasıyla ibadethane içerisindeki görüntü kayıtlarını işlemesinin, ilgili kişinin dini inancına ilişkin bir veri işleme olduğu ve bu sebeple özel nitelikli kişisel veri kategorisine gireceği,
Kurum tarafından yayınlanan “Açık Rıza Rehberi’ne[8]” göre; ilgili kişilerin rıza vermemesi ve rızayı geri çekmesinin mümkün olmadığı hallerin, güç dengesizliğinin bulunduğu istihdam ilişkisinde var olabildiği,
Söz konusu olayda açık rızanın özgür irade ile verilmediği,
Veri sorumlusu tarafından soyunma odaları, tuvaletler, duşlar, mescit, dinlenme odaları ve emzirme odaları gibi alanlarda veri işleme faaliyeti gerçekleştirilmesinin çalışanların özel alanlarının işgali sayıldığı,
Veri sorumlusu tarafından iş sağlığı ve güvenliği çerçevesinde kamera vasıtasıyla ibadethanenin gözetlenmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin veri sorumlusu tarafından ifade edilen meşru menfaat kavramına dayandırılamayacağı

ifade edilerek söz konusu veri işleme faaliyetinin, Kanun’un “işlendikleri amaçla bağlı, sınırlı ve ölçülü olma” ilkesine aykırı olmasından ve veri sorumlusu tarafından veri güvenliğine ilişkin gerekli her türlü teknik ve idari tedbir alınmadığından bahisle veri sorumlusu hakkında;

Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 300.000 TL idari para cezası uygulanmasına,
Şikâyete konu kişisel veri işleme faaliyetinin ivedilikle durdurulmasına ve hukuka aykırı olarak işlenen kişisel verilerin imha edilmesine

karar verilmiştir.

Söz konusu 10/08/2023 tarihli ve 2023/1356 sayılı Karar’ın tam metnine buradan ulaşabilirsiniz.

22) Yargılama Sırasında Karşı Tarafın Avukatı Tarafından DNA Testi Verilerinin Mahkemeye Aktarılmasının Özel Nitelikli Kişisel Verilerin İşlenmesinde Açık Rıza Aranmayan Hallerden Sayılması Hakkında

Somut Olay: İlgili kişi tarafından Kişisel Verileri Koruma Kurumu’na ulaşan şikayette özetle;

İlgili kişinin gördüğü lüzum üzerine şahsına ve çocuklarına ait DNA testi yaptırdığı ve DNA raporlarının hiçbir yerde hiçbir kimseyle paylaşılmadığı,
Görülmekte olan bir alacak davasında karşı tarafın avukatı olan veri sorumlusu tarafından ilgili kişinin şahsına ve çocuklarına ait -DNA raporları kapsamındaki- kişisel verilerin ilgili kişiye ait e-posta adresinden hukuka aykırı olarak ele geçirildiği,
Veri sorumlusunun ele geçirdiği bu bilgileri alacak davasında kendisi aleyhine kullandığı

belirtilerek ilgili kişi tarafından veri sorumlusu hakkında, Kanun kapsamında gereğinin yapılması talep edilmiştir.

Hukuki Değerlendirme: Kurul tarafından yapılan inceleme ve değerlendirme neticesinde;

İlgili kişinin Kuruma sunduğu şikâyette iddialarını destekler mahiyette belge sunmadığı ve sadece veri sorumlusuna yaptığı başvuru örneğine yer verdiği,
Genetik veri kategorisinde olan DNA test raporunun yalnızca ilgili kişiye ait bilgileri içermediği, ilgili kişinin çocuklarına da ait bir rapor olması bakımından çocuklarıyla ortak bir kişisel veri niteliğinde olduğu,

ifade edilerek söz konusu kişisel verinin çocukların vekili olan veri sorumlusunca işlenmesinin ve aktarılmasının, Kanun’un 8 inci ve Kanun’un 6’ncı maddesinin (3) numaralı fıkrasında yer verilen sağlık ve cinsel hayat dışındaki kişisel verilerin kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebileceği hükümlerine uygun olmasından bahisle Kanun kapsamında yapılacak bir işlem olmadığına karar verilmiştir.

Söz konusu 17/08/2023 tarihli ve 2023/1414 sayılı Karar’ın tam metnine buradan ulaşabilirsiniz.

23) Yemek Kartı Hizmeti Veren Mobil Uygulamaya Kayıt Olmak İçin T.C. Kimlik Numarasının İşlenmesinin Şart Kılınması Sonucu Veri Sorumlusu Hizmet Verici Hakkında 200.000 TL İdari Para Cezası Uygulanması

Somut Olay: İlgili kişi tarafından Kişisel Verileri Koruma Kurumu’na ulaşan ihbar sonucu yapılan resen incelemede;

Mobil uygulama üzerinde yapılan incelemede, mobil uygulamaya kaydolunurken isim, soy isim, telefon numarası, doğum tarihi, e-posta bilgilerinin talep edildiği,
Kişi profiline yemek kartı tanımlanmak istediğinde ise girilen bilgilerin T.C. kimlik numarası ile karşılaştırılacağının belirtildiği

tespit edilmiştir.

Hukuki Değerlendirme: Kurul tarafından yapılan inceleme ve değerlendirme neticesinde;

T.C. kimlik numarasının niteliği itibariyle telefon numarasına nazaran daha önemli bir veri olduğu ve veri ihlali yaşanması halinde kişiler için daha büyük zararlara yol açabileceği,
Fiziksel yemek kartlarının mobil uygulamada kayıt altına alınması halinde kartın doğrulanması işleminin kişilerin T.C. kimlik numarası bilgisi işlenmeden, işveren aracılığıyla kart ve telefon numarası bilgisi işlenmesi gibi ilgili kişileri daha çok koruyacak yollarla yapılması mümkün olduğu,
T.C. kimlik numarası verisinin işlenmesinin Kanun’un 5’inci maddesindeki hukuki sebeplere dayanmaksızın yapıldığı ve Kanun’un 4’üncü maddesindeki kişisel verilerin işlendiği amaçla ölçülü işlenmesi ilkesine aykırı olduğu

ifade edilerek veri sorumlusu hakkında;

Kanun’un 12’nci maddesinin birinci fıkrasında yer alan yükümlülüklerini yerine getirmediğinden bahisle 200.000 TL idari para cezası uygulanmasına,
İşlenmesini gerektiren hukuki sebebi olmayan T.C. kimlik numaralarının Kanun’un 7’nci maddesi ve “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’e”[9] uygun bir biçimde imha edilmesine

karar verilmiştir.

Söz konusu 17/08/2023 tarihli ve 2023/1430 sayılı Karar’ın tam metnine buradan ulaşabilirsiniz.

24) Eğitim Kurumu Tarafından Kanuna Aykırı Şekilde Kamera Vasıtasıyla Görüntü ve Ses Verilerinin İşlenmesi Sonucu Veri Sorumlusu Eğitim Kurumu Hakkında 230.000 TL İdari Para Cezası Uygulanması

Somut Olay: İlgili kişiler tarafından Kişisel Verileri Koruma Kurumu’na ulaşan şikayette özetle;

Veri sorumlusuyla ilgili kişilerden biri arasında kira uyuşmazlığı nedeniyle aralarında bir görüşme gerçekleştiği, daha sonra veri sorumlusu tarafından gönderilen ihtarnamede, yapılan görüşme esnasında ilgili kişilere ait ses ve görüntü kayıtlarının alındığının beyan edildiği,
Veri sorumlusu tarafından gönderilen ihtarnamede ilgili kişilerin ses ve görüntü kaydının açık rızası ve muvafakati olmadığı halde alınmasının veri sorumlusuna tanınmış yasal bir hak olduğunun belirtildiği

belirtilerek ilgili kişiler tarafından veri sorumlusu hakkında, Kanun kapsamında gereğinin yapılması talep edilmiştir.

Hukuki Değerlendirme: Kurul tarafından yapılan inceleme ve değerlendirme neticesinde;

Kameralar vasıtasıyla alınan görüntü kaydının her durumda meşru bir gereklilik teşkil etmediği, bu yolla kişisel veri işleme faaliyetinin kişilerin temel hak ve özgürlükleri ile çatışması halinde üstün tutulacak bir menfaate işaret etmesi gerektiği,
Her ne kadar ilgili kişilerin görüntü kayıtlarının açık rızaları olmaksızın alınması yönünden Kanun’a aykırılık bulunmasa da veri sorumlusunun ses kaydı alma yönündeki uygulaması Kanun’a uygun bulunmadığından söz konusu işleme faaliyetinin her halde hukuka aykırı olduğu,
Aydınlatma yükümlülüğünün “Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi”nde[10] belirtildiği üzere gerek açık rızadan gerekse de Kanun’daki diğer kişisel veri işleme şartlarından bağımsız olarak yerine getirilmesi gereken bir yükümlülük olduğu,
Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ[11] uyarınca aydınlatma yükümlülüğünün yerine getirildiğine ilişkin ispat yükünün veri sorumlusunda olduğu

ifade edilerek veri sorumlusu hakkında;

Kanun’un 5 inci maddesine dayanmaksızın ses kaydı almak suretiyle hukuka aykırı şekilde kişisel veri işlediği için Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 200.000 TL,
Kamera vasıtasıyla görüntü kaydı alması Kanun’un 5 inci maddesi uyarınca hukuka uygun olsa da aydınlatma yükümlülüğünü yerine getirdiğini ispat edemediği için Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (a) bendi uyarınca 30.000 TL

olmak üzere toplam 230.000 TL idari para cezası uygulanmasına karar verilmiştir.

Söz konusu 24/08/2023 tarihli ve 2023/1461 sayılı Karar’ın tam metnine buradan ulaşabilirsiniz.

25) İnternet Sitesine Yapılan Kullanıcı Girişi Sırasında Üçüncü Kişilerin Kişisel Verilerinin Görüntülenmesi Sonucu Veri Sorumlusu Araç Kiralama Şirketi Hakkında 200.000 TL İdari Para Cezası Uygulanması

Somut Olay: İlgili kişi tarafından Kişisel Verileri Koruma Kurumu’na ulaşan şikayette özetle;

İlgili kişinin araç kiralama şirketine ait internet sitesine sisteme kayıtlı kullanıcı adı ve e-posta adresi ile giriş yaparken bir başka kullanıcının hesabına yönlendirildiği,
Hatalı yönlendirme neticesinde üçüncü bir kişinin adres, telefon numarası, T.C. kimlik numarası ve ehliyet bilgisi gibi kişisel verilerine eriştiği,
Konu ile ilgili çağrı merkezine bildirimde bulunduğunda sistemdeki bilgilerin düzetildiği ancak veri sorumlusuna yapılan başvurudaki sorulara cevap verilmediği

belirtilerek ilgili kişi tarafından veri sorumlusu hakkında, Kanun kapsamında gereğinin yapılması talep edilmiştir.

Hukuki Değerlendirme: Kurul tarafından yapılan inceleme ve değerlendirme neticesinde;

Hatalı e-posta girişi nedeniyle aksayan algoritmanın veri sorumlusunun hizmetlerini kullanmakta olan kişilerin kişisel verilerini yetkisiz erişime açık hale getirdiği,
Veri sorumlusu tarafından Kurul’a veri ihlal bildiriminde bulunulmadığı,
İhbar dilekçesi ile haberdar olunan ihlalin incelenebilmesi için ilgili kişiye ait kişisel verilerinin ihlalden etkilenmesi gerekliliği bulunmadığı

ifade edilerek veri güvenliğine ilişkin yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 200.000 TL idari para cezası uygulanmasına karar verilmiştir.

Söz konusu 24/08/2023 tarihli ve 2023/1465 sayılı Karar’ın tam metnine buradan ulaşabilirsiniz.

26) İlgili Kişinin Kişisel Verilerinin Banka Tarafından Kredi Kayıt Bürosu A.Ş.’ye Aktarılmasının Kanun’un 5 inci Maddesinde Yer Alan Veri İşleme Şartlarına Uygun Olması Hakkında

Somut Olay: İlgili kişi tarafından Kişisel Verileri Koruma Kurumu’na ulaşan şikayette özetle;

İlgili kişinin kişisel verilerinin kredi kuruluşları ile finansal kuruluşlar arasında her tür bilgi ve belge alışverişini sağlamak üzere kurulmuş olan KKB Kredi Kayıt Bürosu AŞ’ye (“Şirket/KKB”) aktarılması konusunda veri sorumlusu bankaya başvurduğu,
Bu konudaki açık rızasını geri çekme talebinde bulunduğu ancak talebinin reddedildiği

belirtilerek ilgili kişi tarafından veri sorumlusu hakkında, Kanun kapsamında gereğinin yapılması talep edilmiştir.

Hukuki Değerlendirme: Kurul tarafından yapılan inceleme ve değerlendirme neticesinde;

“Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik”[12] uyarınca “Bankaların ve finansal kuruluşların, kendi aralarında doğrudan doğruya ya da Risk Merkezi veya en az beş banka ya da finansal kuruluş tarafından kurulacak şirketler vasıtasıyla her türlü bilgi ve belge alışverişinde bulunması”nın sır saklama yükümlülüğüne aykırılık teşkil etmeyeceği,
Kişisel veri işleme faaliyeti Kanun’da bulunan açık rıza dışındaki şartlardan birine dayanıyorsa bu durumda ilgili kişiden açık rıza alınmasına gerek bulunmamakla birlikte ilgili kişinin açık rızasının bulunmadığı veyahut açık rızasını geri aldığı itiraz ve beyanlarının da hukuken bir geçerliliğinin olmadığı,
Bankacılık hizmetlerinin gerektiği gibi sunulabilmesi ve bankacılık alanındaki yasal düzenlemeler gereğince, veri sorumlusu banka tarafından ilgili kişinin kişisel verilerinin Şirket’e aktarılmasının Kanun’un 5 inci maddesine uygun olduğu

ifade edilerek veri sorumlusu hakkında tesis edilecek bir işlem bulunmadığına karar verilmiştir.

Söz konusu 31/08/2023 tarihli ve 2023/1509 sayılı Karar’ın tam metnine buradan ulaşabilirsiniz.

27) İlgili Kişinin Açık Rızası Olmadan Ses Kaydının Alınarak Davaya Sunulmasının Kanun’un 5 inci Maddesinde Yer Alan Veri İşleme Şartlarına Uygun Olması Hakkında

Somut Olay: İlgili kişi tarafından Kişisel Verileri Koruma Kurumu’na ulaşan şikayette özetle;

İş mahkemesinde veri sorumlusu aleyhine işçi alacağı davası açıldığı, mahkeme talep etmeden rıza dışı alınan ses kaydının şifreli bir halde (flash disk içerisinde) mahkeme dosyasına sunulduğu,
İlgili kişiye ait olduğu iddia edilen ses kaydının kendisinin işten çıkarılmasını isteyen kötü niyetli kişiler tarafından rızası dışında alınarak veri sorumlusuna sunulduğu ve ses kaydını kişisel verilere erişim yetkisi olmayan bazı işçilerin dinlediği,
Ses kaydının imha edilmesi talebi ile veri sorumlusuna başvuruda bulunduğu ancak veri sorumlusunun Kanun’a uygun hareket ettiğini iddia ettiği

belirtilerek ilgili kişi tarafından veri sorumlusu hakkında, Kanun kapsamında gereğinin yapılması talep edilmiştir.

Hukuki Değerlendirme: Kurul tarafından yapılan inceleme ve değerlendirme neticesinde;

İlgili kişiye ait ses kaydının uyuşmazlık konusunun gerçekleşip gerçekleşmediği hakkında kanı oluşturmaya yarayan 6100 sayılı Hukuk Muhakemeleri Kanunu’nun (“HMK”) bağlamında bir delil olduğu,
İşçi işveren uyuşmazlıklarında; işverenin iş sözleşmesini haklı nedenle feshettiğini başka türlü delil ile ispat etme imkânı yok ise ya da kaybolma ihtimali bulunan kanıtların kaybolmasının engellenmesi amacı var ise alınan ses kaydının hukuka uygun delil olarak kabul edilebileceği,
Somut olayda ilgili kişinin ses kaydının veri sorumlusu tarafından da alınmadığı ve kullanıcı/müşteri tarafından veri sorumlusu ile paylaşılan ses kaydının delil mahiyeti taşıması sebebiyle veri sorumlusu tarafından muhafaza edildiği,
İlgili kişinin ses kaydının erişim yetkisi olmayan işçiler tarafından dinlendiğine ilişkin iddiaların taraflarca ispatlanamadığı

ifade edilerek iş sözleşmesinin feshini haklı gerekçe kılan ses kaydı delilinin, Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendinde yer alan “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hükmüne uygun olması sebebiyle veri sorumlusu hakkında, Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

Söz konusu 07/09/2023 tarihli ve 2023/1548 sayılı Karar’ın tam metnine buradan ulaşabilirsiniz.

28) İlgili Kişinin Paylarının Borsada İşlem Görmesi İçin Merkezi Kayıt Kuruluşu A.Ş.’ye Yaptığı Başvuru Sonucu Kişisel Verilerinin Kamuyu Aydınlatma Platformunda Yayınlanmasının Kanun’un 5 inci Maddesinde Yer Alan Veri İşleme Şartlarına Uygun Olması Hakkında

Somut Olay: İlgili kişi tarafından Kişisel Verileri Koruma Kurumu’na ulaşan şikayette özetle;

İlgili kişinin Borsa İstanbul'da satılamaz durumda olan hisselerinin satılabilir hale getirilmesi için aracı kuruma başvuru yapması sonucu Merkezi Kayıt Kuruluşu A.Ş.’nin (“MKK-veri sorumlusu”) kendisinin ad ve soyadı bilgisi ile birlikte hangi hissesinden kaç lot satılabilir hale getirildiği hususunu Kamuyu Aydınlatma Platformuna (“KAP”) ait www.kap.gov.tr sitesi üzerinden duyurduğu,
Kendisinin ad-soyadı bilgisinin ilandan çıkarılması için MKK’ye başvurduğu ancak bu talebinin kabul edilmediği

belirtilerek ilgili kişi tarafından veri sorumlusu hakkında, Kanun kapsamında gereğinin yapılması talep edilmiştir.

Hukuki Değerlendirme: Kurul tarafından yapılan inceleme ve değerlendirme neticesinde;

Pay Tebliği (VII-128.1)’nin 15’inci maddesinde yer alan “MKK, borsada işlem gören niteliğe dönüştürülmek istenen payların nominal değerini, başvuruyu yapan kişilerin isim veya unvanını, günlük olarak toplu halde KAP vasıtasıyla kamuya duyurur.” düzenlemesi uyarınca bahse konu kişisel veri işleme faaliyetinin hukuki yükümlülüğün yerine getirilmesi amacıyla zorunlu olarak gerçekleştirildiği

ifade edilerek söz konusu veri işleme faaliyetinin Kanun’un 5 inci maddesine uygun olduğundan bahisle veri sorumlusu hakkında, Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

Söz konusu 07/09/2023 tarihli ve 2023/1563 sayılı Karar’ın tam metnine buradan ulaşabilirsiniz.

29) İlgili Kişinin Tıp Merkezinden Aldığı Terapi Sonucu Hasta Dosyasında Yer Alan Özel Nitelikli Kişisel Verilerinin Boşanma Davasında Mahkemeye Aktarılmasının Kanun’un 8 inci Maddesine Uygun Olması Hakkında

Somut Olay: İlgili kişi tarafından Kişisel Verileri Koruma Kurumu’na ulaşan şikayette özetle;

İlgili kişinin bir üniversiteye bağlı tıp merkezinde aldığı şahsi terapi ve eşi ile birlikte aldığı evlilik terapisinin kayıtlarını içeren hasta dosyasının, ilgili kişi ile eşi arasında görülen boşanma davası kapsamında hiçbir önlem almaksızın mahkemeye gönderildiği,
Özel hayatına ilişkin mahrem bilgileri içeren belgelerin hiçbir “gizlidir” ibaresi olmadan ve talep edilenden çok daha fazla ve açık şekilde kişisel veriyi içerir vaziyette mahkemeye gönderilmesi akabinde söz konusu özel nitelikli kişisel verilerin mahkeme tarafından taranarak UYAP’a kaydedildiği,
Mahkeme müzekkeresi cevaplanırken bizzat seansta tutulan notları paylaşmasının açıkça hayatın olağan akışına aykırı olduğu, ilgili kişinin bu nedenle gerek özel hayatında gerekse iş hayatında özel hayatının afişe olduğu

belirtilerek ilgili kişi tarafından veri sorumlusu hakkında, Kanun kapsamında gereğinin yapılması talep edilmiştir.

Hukuki Değerlendirme: Kurul tarafından yapılan inceleme ve değerlendirme neticesinde;

Şikâyete konu kişisel veri aktarımının temelini oluşturan mahkeme müzekkeresinin herhangi bir gizlilik derecesi taşımadığı,
Veri sorumlusunun HMK’nın 221 inci maddesi kapsamında özel nitelikli kişisel veri ihtiva eden belgeleri mahkemeye sunduğu ve bu kapsamda yapılacak bir işlem olmadığı kanaatine varıldığı,
Özel nitelikli kişisel veri ihtiva eden bilgi ve belgeler üzerinde daha sonra mahkeme tarafından gerçekleştirilen işlemler bakımından veri sorumlusunun tıp merkezi olmadığı,
Mahkeme tarafından gerçekleştirilen iş ve işlemlerin Kanun’un 28’inci maddesinin (1) numaralı fıkrasının (d) bendinde yer alan “Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi” hükmüne uygun olduğu

ifade edilerek Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

Söz konusu 14/09/2023 tarihli ve 2023/1578 sayılı Karar’ın tam metnine buradan ulaşabilirsiniz.

30) Çevrimiçi Oyunlardan Birinin Dağıtıcısı ve Türkiye’deki Tek Yetkilisi Olan Veri Sorumlusunun Kanun’un Yurt Dışına Veri Aktarımı Şartlarına Uymaması Sonucu Veri Sorumlusu Hakkında 750.000 TL İdari Para Cezası Uygulanması

Somut Olay: İlgili kişi tarafından Kişisel Verileri Koruma Kurumu’na ulaşan şikayette özetle;

İlgili kişinin Kanun’un 11 inci maddesi kapsamındaki haklarını kullanmak amacıyla veri sorumlusuna başvurduğu ancak kendisine verilen yanıtta ancak hangi kişisel verinin hangi amaç ve hangi hukuki sebeple bu mevzuatlara dayanılarak işlendiğinin bildirilmediği,
Veri sorumlusunun internet sitesinde yer alan ve "Aydınlatma Metni" olduğu belirtilen bilgilendirme yazısının, yine internet sitesinde yayımlanan gizlilik politikasının ve çerez politikasının incelenmesi neticesinde kişisel verilerin yurt dışına aktarıldığının kolaylıkla anlaşılabileceği,
Veri sorumlusu tarafından "hile ve dolandırıcılığı önlemek" amacı ile üçüncü taraf bir yazılım kullanıldığı, bu yazılımın oyuna her giriş sırasında çalıştığı ve o an bilgisayarda bulunan tüm dosya ve yazılımları taradığı ve oyun açık kaldığı sürece bu yazılımın çalışmaya devam ettiği,
Söz konusu yazılımın sahibi olan firmanın lisans sözleşmesinin incelenmesi neticesinde bu yazılım aracılığıyla da kişisel verilerin hukuka aykırı olarak elde edilerek yurt dışına aktarıldığının anlaşıldığı,
Veri sorumlusunun "yalnızca IP adresi ile tespit yapıyoruz" ifadesinin gerçeğe aykırı olduğu,
Veri sorumlusunun internet sitesinde yer alan gizlilik politikasının, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun olmadığı

belirtilerek ilgili kişi tarafından veri sorumlusu hakkında, Kanun kapsamında gereğinin yapılması talep edilmiştir.

Hukuki Değerlendirme: Kurul tarafından yapılan inceleme ve değerlendirme neticesinde;

Gözetleme yazılımı aracılığıyla kişisel verilerin hukuka aykırı işlendiği iddiası hakkında:

Veri sorumlusunun şikayete konu edilen özel yazılımı oyun kullanıcılarının hile ve sahtekarlığa başvurup başvurmadığını tespit amacıyla kullandığı, bu kullanım sırasında oyuncuların bilgisayarındaki kişisel verilere erişim sağlamak suretiyle hukuka aykırı kişisel veri işleme faaliyetinde bulunulmadığı,

Aydınlatma yükümlülüğünün yerine getirilmesi hakkında:

“Kayıt Ol Aydınlatma Metni” incelendiğinde “… paylaşılabilir.” gibi muğlak ifadelere yer verilmemesi gerektiği,
“Gizlilik Politikası” başlıklı metin incelendiğinde Kanun’un 10’uncu maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ ile uyumlu olmadığı ve ilgili kişilere üyelik kaydı sırasında sunulan ve “Kullanıcı Sözleşmesinde” de kabul edildiği varsayılan bu metnin diğer metinlerle tutarlı olarak Kanun’a uygun hale getirilmesi veya kaldırılması gerektiği,
“Kişisel Veri Koruma Politikası” metninde hangi ilgili kişi grubunun, hangi kişisel verilerinin, hangi amaçla ve hangi hukuki sebebe dayanılarak işlendiği ve hangi üçüncü taraflara aktarıldığının açık bir şekilde anlaşılamadığı,
Sonuç itibariyle üç farklı metnin sunulmasının ilgili kişiler açısından karmaşık bir durum oluşturduğu,

Kişisel verilerin yurtdışına aktarımı hakkında:

Veri sorumlusu tarafından oyun sunucularının yurt içinde tutulduğu ve oyun kullanıcısı/üye olan ilgili kişinin kişisel verilerinin yurtdışına aktarımının yapılmadığı,

Çerezler aracılığıyla gerçekleştirilen kişisel veri işleme faaliyetinin hukuka uygunluğu hakkında:

Kurum tarafından yayınlanan “Çerez Uygulamaları Hakkında Rehber”[13] uyarınca Türkiye’de faaliyet gösteren internet sitelerinin yurt dışında yerleşik şirketler vasıtasıyla kullandığı çerezler aracılığıyla yurt dışına veri aktarımı faaliyetini gerçekleştirdiği durumlarda, bu veri aktarım faaliyetinin Kanun’un 9’uncu maddesindeki şartlara uygun şekilde yapılması gerektiği, somut durumda ilgili kişilerin açık rızasının alınmadığı

ifade edilerek veri sorumlusu hakkında;

Üçüncü taraf çerez sağlayıcısının yurt dışında yerleşik bir firma olmasından ve internet sitesinde çerezler yoluyla açık rıza şartına dayalı gerçekleşen veri işleme faaliyetinde “belirli bir konuya ilişkin olma” ve “özgür iradeyle verilme” şeklindeki açık rıza şartlarının eksik olmasından bahisle Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 750.000 TL idari para cezası uygulanmasına,
“Çerez Politikası” ve “Çerez Beyanı” metinlerinin birbiri ile tutarlı ve uyumlu olacak şekilde uygun hale getirilmesine ve söz konusu metinlerde çerezler yoluyla kişisel verilerin yurt dışına aktarımının yapıldığı hususuna yer verilmesine,
Kişisel verilerin işlenmesi faaliyetine ilişkin “Gizlilik Politikası”, “Kayıt Ol Aydınlatma Metni” ve “Kişisel Veri Koruma Politikası” başlıklı metinlerin birbirleriyle ve VERBİS’e işlenen bilgiler ile tutarlı ve uyumlu hale getirilmesine

karar verilmiştir.

Söz konusu 28/09/2023 tarihli ve 2023/1645 sayılı Karar’ın tam metnine buradan ulaşabilirsiniz.

31) Mağazada Alışveriş Sırasında SMS Kodu Almak İçin Gönderilen Kısa Mesajın Kişisel Verilerin İşlenmesine Yönelik Açık Rıza Olması Hakkında

Somut Olay: İlgili kişi tarafından Kişisel Verileri Koruma Kurumu’na ulaşan şikayette özetle;

İlgili kişinin alışveriş sırasında alışveriş kartı istemesi üzerine telefonuna gönderilen onay kodunu görevliye okumasının “aydınlatma metnini okuduğunu” ve “kişisel verilerinin işlenmesine onay verdiğini” beyan etmesi anlamına geldiğini fark ettiği,
Söz konusu işlemin kişisel verilerinin işlenmesine ilişkin açık rızasının aldatma yolu ile ele geçirilmesi anlamına geldiği,
İlgili kişinin kişisel verilerinin, yaptığı başvuru üzerine veri sorumlusu tarafından silindiği

belirtilerek ilgili kişi tarafından veri sorumlusu hakkında, Kanun kapsamında gereğinin yapılması talep edilmiştir.

Hukuki Değerlendirme: Kurul tarafından yapılan inceleme ve değerlendirme neticesinde;

“Mağazalarda Alışveriş Sırasında İlgili Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesine İlişkin Kamuoyu Duyurusu”[14] nda mağazalarda gerçekleştirilen alışverişlerde; kişilerin telefonuna gönderilecek olan SMS'in amacının ne olduğu ve bu SMS ile iletilen kodun verilmesi halinde ne gibi sonuçlar doğuracağı hususunun mağaza yetkilileri tarafından ilgili kişilere açık ve anlaşılır şekilde aktarılması gerektiği,
Yine söz konusu duyuruya göre ticari elektronik ileti gönderimi için açık rıza alınmasını teminen SMS doğrulama kodu gönderilmesine yönelik bir uygulamaya gidilmesi halinde alınacak açık rızanın tüm unsurları kapsaması gerektiği,
Somut olay kapsamında, ilgili kişinin açık rızasını vermek için kendi icrai hareketleri ile veri sorumlusuna kısa mesaj gönderdiği,
Kendisine gönderilen kısa mesajın içeriğinde hangi kişisel verilerinin hangi amaçlarla işlendiğine dair detaylı bilgilendirmenin yapıldığı anlaşılır olan bir aydınlatma metnine ulaşılmasını sağlayan bir link yer aldığı

ifade edilerek ilgili kişinin açık rızasına dayalı veri işleme faaliyeti gerçekleştiren ve ilgili kişinin açık rızasını geri alması üzerine faaliyeti sonlandıran veri sorumlusu mağaza hakkında;

Kanun kapsamında yapılacak bir işlem bulunmadığına,
Mağazanın uyguladığı uygulamanın alışverişin bir parçası olduğu izlenimi oluşturmayacak şekilde revize edilmesine ve ayrıca aydınlatma ve açık rıza onay kodunun aynı kısa mesaj içerisinde sunulmamasına

karar verilmiştir.

Söz konusu 28/09/2023 tarihli ve 2023/1653 sayılı Karar’ın tam metnine buradan ulaşabilirsiniz.

Saygılarımızla,

Zümbül Hukuk ve Danışmanlık

info@zumbul.av.tr

[1] Avrupa Veri Koruma Otoritesi’nin Kredi Kartı Verilerinin Yalnızca Sonraki Çevrimiçi Satınalmaları Kolaylaştırmak Amacıyla İşlenmesinde Veri İşleme Şartları Konulu 02/2021 sayılı Tavsiye Kararı: Recommendations 02/2021 on the legal basis for the storage of credit card data for the sole purpose of facilitating further online transactions

[2] Mali Suçları Araştırma Kurulu Başkanlığı tarafından yayınlanan “Kripto Varlık Hizmet Sağlayıcıları Rehberi”: https://ms.hmb.gov.tr/uploads/sites/12/2021/05/Kripto-Varlik-Hizmet-Saglayicilar-Rehberi.pdf

[3] Kişisel Verileri Koruma Kurulu’nun 05/07/2019 tarihli ve 2019/198 sayılı Kararı: https://www.kvkk.gov.tr/Icerik/7348/2019-198

[4] Kurum tarafından yayınlanan Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler): https://www.kvkk.gov.tr/yayinlar/veri_guvenligi_rehberi.pdf

[5] Kurul’un 31/01/2018 tarihli ve 2018/10 sayılı “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler Kararı”: https://www.kvkk.gov.tr/Icerik/4110/2018-10

[6] Uluslararası Sivil Havacılık Organizasyonu’nun PNR Verisi Rehberi (The International Civil Aviation Organization, “Guidelines on Passenger Name Record (PNR) Data): https://www.icao.int/Security/FAL/ANNEX9/Documents/9944_cons_en.pdf

[7] 27 Nisan 2016 tarihli ve (AB) 2016/679 sayılı Avrupa Parlamentosu ve Konsey Tüzüğü (“Genel Veri Koruma Tüzüğü”): https://www.ab.gov.tr/siteimages/resimler/Nihai-ABB-HCDB-GDPR.pdf

[8] Kişisel Verileri Koruma Kurumu tarafından yayınlanan “Açık Rıza Rehberi”: https://kvkk.gov.tr/yayinlar/A%C3%87IK%20RIZA.pdf

[9] Kişisel Verileri Koruma Kurumu tarafından 28 Ekim 2017 tarihli ve 30224 sayılı Resmi Gazete’de yayımlanan “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik”: https://www.resmigazete.gov.tr/eskiler/2017/10/20171028-10.htm

[10] Kişisel Verileri Koruma Kurumu tarafından yayınlanan “Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi”: https://www.kvkk.gov.tr/Icerik/5394/Aydinlatma-Yukumlulugunun-Yerine-Getirilmesi-Rehberi

[11] Kişisel Verileri Koruma Kurumu tarafından 10 Mart 2018 tarihli ve 30356 sayılı Resmi Gazete’de yayımlanan “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ”: https://www.resmigazete.gov.tr/eskiler/2018/03/20180310-5.htm

[12] Bankacılık Düzenleme ve Denetleme Kurumu tarafından 4 Haziran 2021 tarihli ve 31501 sayılı Resmi Gazete’de yayımlanan “Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik”: https://www.resmigazete.gov.tr/eskiler/2021/06/20210604-6.htm

[13] Kişisel Verileri Koruma Kurumu tarafından yayınlanan “Çerez Uygulamaları Hakkında Rehber”: https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/fb193dbb-b159-4221-8a7b-3addc083d33f.pdf

[14] Kişisel Verileri Koruma Kurumu tarafından 13 Kasım 2023 tarihinde yayınlanan “Mağazalarda Alışveriş Sırasında İlgili Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesine İlişkin Kamuoyu Duyurusu”: https://www.kvkk.gov.tr/Icerik/7740/Magazalarda-Alisveris-Sirasinda-Ilgili-Kisilere-SMS-ile-Dogrulama-Kodu-Gonderilmesi-Suretiyle-Kisisel-Verilerin-Islenmesine-Iliskin-Kamuoyu-Duyurusu