KİŞİSEL VERİLERİ KORUMA KURULUNUN YENİ YAYINLANAN KARAR ÖZETLERİ

16 Nisan 2020

Kişisel Verileri Koruma Kurumu’nun (“Kurum”) internet sayfasında 15 Nisan 2020 tarihinde yayınlanan Kişisel Verileri Koruma Kurulu’nun (“Kurul”) yeni karar özetleri ile 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” veya “Kanun”) ve ilgili mevzuata uyum süreçlerinde karşı karşıya kalınan bazı soru ve sorunlara ışık tutulmuştur.

Söz konusu karar özetlerine ilişkin açıklamalarımız aşağıdaki şekildedir:

1) “Bir uçak bileti satış firması olan veri sorumlusu hakkındaki şikayetle ilgili” Kişisel Verileri Koruma Kurulunun 06.02.2020 Tarihli ve 2020/86 Sayılı Karar Özeti

İlgili kişi, uçak bileti satış firmasının internet sayfasındaki üyelik bilgilerinden e-posta adresi bilgisinin değiştirilmesini talep etmiş; ancak söz konusu talebi veri sorumlusu firma tarafından üyelik e-posta adresleri üzerinde değişiklik yapılamayacağı, kullanılmak istenen e-posta adresi ile yeni bir üyelik oluşturulabileceği gerekçesiyle reddedilmiştir. Kişisel verisinin değiştirilmesini isteme hakkı engellenen ilgili kişi de durumla ilgili Kurul’a şikayette bulunmuştur.

Veri sorumlusu, şikayet hakkında sunduğu savunmasında; ilgili kişinin başvurusunun sistemde kayıtlı olmayan bir e-posta adresinden gönderildiğini ve başvurunun “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ”de sayılan yöntemlerden herhangi biri ile gerçekleştirilmediğini belirtmiştir.

Kurul, yaptığı inceleme neticesinde;

  • Başvurunun mevzuatta belirlenen usullere uygun olmadığını ve bu nedenle kişinin kimliğinin tanımlanamadığına kanaat getirmiş; ilgili kişinin talebini reddeden veri sorumlusunun bu eylemi bakımından Kanun hükümleri çerçevesinde yapılacak bir işlem bulunmadığına karar vermiştir.
  • Ancak veri sorumlusunun üyelik e-posta adresi değişikliği başvurusunun neden kabul edilmediğine dair Kurul’a yaptığı açıklama ile veri sahibine yaptığı açıklamanın örtüşmemesi göz önünde bulundurularak, veri sorumlusunun yapılan başvuruyu dürüstlük kuralına uygun olarak sonuçlandırmadığı saptanmıştır. Bu kapsamda mevzuat hükümleri doğrultusunda ilgili kişiler tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri alması hususunda veri sorumlusu Şirketin talimalandırılmasına karar verilmiştir.

Sonrasında, ilgili kişi aynı veri sorumlusu hakkında ikinci bir şikayette bulunmuştur. İlgili kişi bu şikayetinde, veri sorumlusunun KEP adresine sistemlerinde kayıtlı e-posta adresi ile mail göndererek üyelik e-posta adresinde değişiklik yapılmasını talep ettiğini ancak ilgili e-postaya veri sorumlusunun 30 gün içerisinde cevap vermediğini belirtmiştir.

Kurul tarafından yapılan inceleme neticesinde;

  • Veri sorumlularının ilgili kişi başvurularını etkin bir şekilde sonuçlandırma yükümlülüğüne dikkat çekilmiş, ilgili kişinin başvurularına cevap alamaması ya da cevabın yetersiz bulunması halinde Kurul’a şikayet hakkı tanındığı belirtilmiştir. Ancak sadece başvuruya cevap verilmemesi, Kanunda bir idari yaptırım türü olarak sayılmamıştır, bu yüzden bu sebeple veri sorumlusuna idari yaptırım uygulanması mümkün olmayacaktır.
  • Öte yandan Kurul, ilgili kişinin ilk şikayeti üzerine veri sorumlusunun, mevzuat kapsamında ilgili kişiler tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri alması hususunda talimalandırılmasına karar verildiğini işaret ederek Kurul tarafından verilen talimatlara uygun davranılmadığı gerekçesiyle veri sorumlusu hakkında 50.000 TL idari para cezası uygulanmasına karar vermiştir.

2) “Bir Bankanın Potansiyel Müşteri Kazanımı Amacıyla İlgili Kişinin Kişisel Verilerini Hukuka Aykırı Şekilde İşleyerek Hesap Açmasına İlişkin Olarak Kurula Yapılan Başvuru Hakkında” Kişisel Verileri Koruma Kurulunun 06/02/2020 Tarihli ve 2020/103 Sayılı Karar Özeti

İlgili kişi, bir Banka şubesinde mevduat hesabı açtırmak istemiş; ancak aynı Bankanın başka bir ildeki şubesinde bir ticari hesabının bulunduğunu, anne kızlık soyadı dahil tüm bilgilerinin ilgili Banka şubesindeki hesapta görüldüğünü öğrenmiştir. Bunun üzerine ilgili kişi daha önce hiç gitmediği veya ticari faaliyet yürütmediği bir ildeki Banka şubesinde, kişisel verilerinin hukuka aykırı olarak işlenmesi suretiyle hesap oluşturulduğuna dayanarak Kurul’a şikayette bulunmuştur.

Veri sorumlusu Banka, potansiyel müşteri kazanımı amacıyla yapılan çalışmalar çerçevesinde ilgili kişinin bilgilerine üçüncü bir taraftan temin edilen liste vasıtasıyla ulaşıldığını ve müşteri numarasının oluşturduğunu ifade etmiş; Temel Bankacılık Hizmet Sözleşmesi imzalanmadan müşteri numarasının aktif hale getirilmediği savunmasında bulunmuştur.

Yapılan inceleme neticesinde Kurul;

  • Müşteri numarasının Ocak 2016’da, 07.04.2016 tarihli Kişisel Verilerin Korunması Kanunu’nun yürürlükte olmadığı bir dönemde oluşturulduğunu saptamıştır. Ancak ilgili kişinin kişisel verilerinin, Kanunun yürürlüğe girmesinden sonra da veri sorumlusu nezdinde tutulduğu anlaşıldığından; veri işleme faaliyetinin Kanunun 5 inci maddesinde yer alan açık rıza veyahut açık rıza gerektirmeyen hallerden biri mevcut olmaksızın gerçekleştirildiğine karar verilmiştir.
  • Ayrıca Kanunun Geçici 1 inci maddesinde yer alan Yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilir. Bu Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinir, yok edilir veya anonim hâle getirilir.” hükmüne uygun olarak ilgili kişiye ait kişisel verilerin derhal silinmediği, yok edilmediği veya anonim hale getirilmediği, bu nedenle de Bankanın kişisel verilerin işlenmesinde genel ilkelere aykırı şekilde hareket ettiği saptanmıştır.

Bu nedenle Bankaya, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun idari ve teknik tedbirlerin alınması yükümlülüğüne aykırı hareket edilmesi nedeniyle 210.000 TL idari para cezası uygulanmasına karar verilmiştir.

Söz konusu karar özetlerinin tamamına buradan ulaşabilirsiniz.

Konuya ilişkin daha fazla bilgi edinmek ve/veya hukuki destek almak için bizimle iletişime geçebilirsiniz.

Saygılarımızla,

Zümbül Hukuk ve Danışmanlık

info@zumbul.av.tr