Son sürümde değişti Önceki sürümde değiştiMülga
Madde h — kullananlar, yayanlar, verenler, aktaranlar veya ele geçirenler hakkında 159’uncu
çerçevesinde işlenmesi halinde, ilgili tüzel kişi hakkında Türk Ceza Kanununun tüzel
kişilere özgü güvenlik tedbirlerine hükmolunur.” düzenlemesine yer verildiği,
Söz konusu verilerin kanuna aykırı olarak üçüncü kişilerle paylaşılması durumunda bu
fiili gerçekleştiren kişiler için Türk Ceza Kanununun 136’ncı maddesi gereğince kişisel
verilerin hukuka aykırı olarak verilmesi suçunun vücut bulacağı, ayrıca Türk Ceza
Kanununun 239/1’inci maddesinde “Sıfat veya görevi, meslek veya sanatı gereği vakıf
olduğu ticari sır, bankacılık sırrı veya müşteri sırrı niteliğindeki bilgi veya belgeleri
yetkisiz kişilere veren veya ifşa eden kişi, şikayet üzerine, bir yıldan üç yıla kadar hapis
ve beş bin güne kadar adlî para cezası ile cezalandırılır.” hükmü gereğince somut
olayda müşteri sırrının ifşasının da söz konusu olacağı
hususlarından hareketle,
İlgili kişinin başvurusunda manevi zarara uğradığı yönünde bir iddia ve buna ilişkin bir
tazminat talebinin söz konusu olduğu dikkate alınarak, Kanunun 14’üncü maddesinin
(3) numaralı fıkrasında yer alan “Kişilik hakları ihlal edilenlerin, genel hükümlere göre
147
KİŞİSEL VERİLERİ KORUMA KURUMU
tazminat hakkı saklıdır.” hükmü çerçevesinde, söz konusu talebini genel mahkemeler
huzurunda kullanması gerektiğinden, bu hususta Kanun kapsamında Kurul tarafından
tesis edilecek bir işlem bulunmadığına,
Diğer yandan, ilgili kişinin vekili tarafından yapılan şikayet başvurusu yalnızca tazminat
talebine yanıt verilmemiş olmasını içermekte ise de, yapılan incelemede Kanunun
12’nci maddesi hükümlerinin ihlal edildiği kanaati oluştuğundan veri sorumlusu
bünyesinde söz konusu ihlale neden olanlar hakkında Kanunun 18’inci maddesinin
hükmü kapsamında işlem tesis edilmesine,
İlgili kişinin tarafına ait borç bilgilerinin rızası ve bilgisi dışında üçüncü kişilerle
paylaşıldığı iddiası, sair mevzuat kapsamında hukuka aykırı bir fiil olduğundan ve bu
fiiller Bankacılık Kanunu ve Türk Ceza Kanununun ilgili hükümlerinde de düzenlenmiş
olduğundan, ilgili Banka ve personel hakkında Bankacılık Kanunu ve Türk Ceza Kanunu
kapsamında işlem tesis edilmesi hususunun değerlendirilmesini teminen konunun
Bankacılık Düzenleme ve Denetleme Kurumuna intikal ettirilmesine
karar verilmiştir.
1.3.8 Bir perakende giyim firmasının veri ihlal bildirimi hakkında Kişisel Verileri
Koruma Kurulunun 20/01/2020 tarih ve 2020/50 sayılı Karar Özeti
Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;
İhlalin bazı müşterilerin yeni bir hesap açarken kişisel verilerinin yanlışlıkla bir URL
üzerinden veri sorumlusunun iç sistemlerine ve çalıştığı bazı üçüncü taraf satıcı/
sağlayıcılara aktarılması şeklinde gerçekleştiği ve bu durumun veri sorumlusunun
olağan bir denetimi esnasında tespit edildiği,
Kurumumuza veri ihlaline ilişkin bildirim yapıldığında, veri sorumlusunun iki
uygulama analizi sağlayıcısından (analytics provider) verilerin hâlihazırda otomatik
olarak silinmiş olduğuna dair teyit aldığı,
İlk bulgulardan sonra konunun daha detaylı araştırılması için gerçekleştirilen soruşturma
kapsamında başka yedi adet URL tarafından da sehven veri toplandığı ve bunların veri
sorumlusunun etiket yönetim sistemine (tag management system) yönlendirildiğinin
öğrenildiği (Türkiye’deki ilgili kişilerin bu yedi adet URL’den iki tanesinde gerçekleşen
hatadan etkilendiği),
İhlalden etkilenen ilgili kişi sayısının 44 olduğu,
İhlalden etkilenen kişi kategorilerinin aboneler/üyeler, müşteriler/potansiyel müşteriler
olduğu,
Şirketin Kurumumuzu muhatap 10.06.2019 tarihli ilk yazısında, ihlalden etkilenen
kişisel verilerin, zorunlu alan olan e-posta adresi, doğum tarihi, açık metin şeklinde
şifre verilerinin olduğu, ancak zorunlu alan olmayan ad soyad verilerinin de etkilenmiş
olabileceği,
148
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
İlgili kişilere 23.07.2019 tarihinde e-posta yoluyla bildirim yapıldığı
ifadelerine yer verilmiştir.
Veri ihlal bildiriminin Kurumumuzun yetki ve görev alanı çerçevesinde incelenmesi
neticesinde; Kişisel Verileri Koruma Kurulunun 20/01/2020 tarih ve 2020/50 sayılı
Kararı ile;
01.08.2018 ve 21.10.2018 tarihlerinde gerçekleşen veri ihlallerinin tespitinin yaklaşık
bir yıl sonra 02.07.2019 tarihinde yapılmış olmasının, gerçekleştirilen işlemlere dair
Şirketin log kaydı/takip alarm sistemlerinin bulunmadığının ya da etkin bir şekilde
kullanılmadığının ve Şirket tarafından gerekli kontrollerin yapılmadığının göstergesi
olduğu,
URL üzerinden kişisel verilerin üçüncü taraf satıcı/sağlayıcılar tarafından görülmesinin
web sayfası tasarım aşamasında iken yapılan testlerin yetersiz olduğunun veya gerekli
testlerin yapılmadığının göstergesi olduğu
kanaatine varıldığından Web sayfası tasarım aşamasında iken yapılan testlerin yetersiz
olması, gerçekleşen işlemlere dair takip/alarm sistemlerinin bulunmamasından
kaynaklı ihlal tespitinin geç yapılmış olması sebebiyle, 6698 sayılı Kişisel Verilerin
Korunması Kanununun (Kanun) 12’nci maddesinin (1) numaralı fıkrası çerçevesinde
veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri
sorumlusu hakkında Kanunun 18’inci maddesinin (1) numaralı fıkrasının (b) bendi
uyarınca 50.000 TL idari para cezası uygulanmasına,
İhlalin veri sorumlusu tarafından 29.05.2019 tarihinde tespit edildiği, 06.06.2019
tarihinde Kurula bildirimin yapıldığı görülmekle birlikte yurtdışında mukim veri
sorumlusu tarafından tespit tarihinden sonra söz konusu ihlalden Türkiye’deki ilgili
kişilerin de etkilenip etkilenmediğine yönelik araştırma yapıldığı
dikkate alındığında bu sürenin makul olduğu değerlendirildiğinden bu hususta Kanun
kapsamında yapılacak bir işlem bulunmadığına
karar verilmiştir.
1.3.9 “Bir Sigorta Acentesinin müşterilerine ait kişisel verileri herkese açık sosyal
medya platformlarında müşterilerinden habersiz olarak ve reklam amacıyla
paylaşması hakkında” Kişisel Verileri Koruma Kurulunun 27/01/2020 Tarihli ve
2020/58 Sayılı Karar Özeti
Kurumumuza intikal eden bir ihbarda, bir Sigorta Acentesinin müşterilerine ait kişisel
verileri herkese açık sosyal medya platformlarında müşterilerinden habersiz olarak
reklam amacıyla paylaştığı, bu hususta poliçe sahiplerinin izninin olmadığı belirtilerek
gerekli yasal işlemin yapılması talep edilmiş, ihbarı destekler nitelikte olan, ilgili sosyal
medya paylaşımlarına ayrıca dilekçe ekinde yer verilmiştir.
149
KİŞİSEL VERİLERİ KORUMA KURUMU
Konuya ilişkin Veri Sorumlusu Sigorta Acentesinden ihbarda yer verilen iddialara
ilişkin savunması istenilmiş, alınan cevabi yazıda;
Müşterilere ait kişisel verilerin herkese açık sosyal medya hesapları üzerinden paylaşıldığı
ancak bu paylaşımlar yapılırken program özelliği ya da kağıt gibi vasıtalarla kişisel
verilerin gizlenmeye çalışıldığı ancak kimi paylaşımlarda bu hususun dikkatsizlik ve
acelecilik gibi nedenlerle gözden kaçırıldığı,
Kurumumuzca yazısı alındıktan sonra gözden kaçan ilgili paylaşımların silindiği,
Ayrıca poliçe kayıtlarının tutulduğu sistemde, kullanılan sistemin özelliği gereği,
kimlik numaraları kapatıldığı için hiçbir zaman kimlik numaralarını içeren paylaşım
yapılmadığı,
Konuya ilişkin eksikliğin bilgisizlikten kaynaklandığı ve belirtilmesi halinde gerekli
düzeltmeleri yapabilecekleri
belirtilmiştir.
Yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 27/01/2020 tarih ve
2020/58 sayılı Kararı ile,
Veri sorumlusu Sigorta Acentesinin yaptığı sosyal medya paylaşımlarda müşterilerinin
adları, adresleri ve maskelenmiş biçimde kimlik numaralarının yer aldığı, bunların
dışında bazı hallerde kişisel veri niteliği arz edebilecek plaka numaraları ile birlikte
aracın rengi, markası ve modeli, müşterinin ödemesi gereken prim, toplam prim gibi
ayrıntılara da yer verildiği,
Veri sorumlusu tarafından ilgili paylaşımların şahsi Facebook hesabından ve “…….
sigorta” adıyla açtığı ve poliçe paylaşımlarıyla birlikte çeşitli özel gün kutlamaları ve
şahsi fotoğraflarını da paylaştığı, hesabın açıklama kısmında kendi adına da yer verdiği
Instagram hesabından yapıldığı,
Kişisel verilerin işlenme şartlarının düzenlendiği 6698 sayılı Kişisel Verilerin Korunması
Kanununun 5’inci maddesinin birinci fıkrasında; kişisel verilerin ilgili kişinin açık rızası
olmaksızın işlenemeyeceği, ikinci fıkrasında belirtilen şartlardan (-Kanunlarda açıkça
öngörülmesi, -Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan
veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı
veya beden bütünlüğünün korunması için zorunlu olması, -Bir sözleşmenin kurulması
veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel
verilerin işlenmesinin gerekli olması, -Veri sorumlusunun hukuki yükümlülüğünü yerine
getirebilmesi için zorunlu olması, -İlgili kişinin kendisi tarafından alenileştirilmiş
olması, -Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu
olması, -İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri
sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması) birinin varlığı
halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün
olduğunun hükme bağlandığı,
150
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
Öte yandan, Kanunun 12’nci maddesinin birinci fıkrasında; veri sorumlusunun, kişisel
verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı
olarak erişilmesini önlemek ile kişisel verilerin muhafazasını sağlamak amacıyla uygun
güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak
zorunda olduğunun ifade edildiği,
Bu doğrultuda veri sorumlusunun müşterilerine ait kişisel verileri, onların açık rızası
olmaksızın paylaştığının anlaşıldığı ve bu çerçevede Kanunun 12’nci maddesi ile veri
sorumlusuna yüklenmiş olan yükümlülükleri yerine getirmediği kanaatine varıldığı
hususlarından hareketle müşterilerine ait kişisel verileri herkese açık sosyal medya
platformlarında müşterilerinden habersiz olarak ve reklam amacıyla paylaşan veri
sorumlusu hakkında Kanunun 18’inci maddesinin birinci fıkrasının (b) bendinde
kapsamında 22.500 TL idari para cezasının uygulanmasına karar verilmiştir.
1.3.10 “İlgili kişinin ortağı olduğu şirkette kullandığı e-posta adresine izinsiz
ve hukuka aykırı olarak erişildiği iddiası” hakkında Kişisel Verileri Koruma
Kurulunun 27/01/2020 tarihli ve 2020/59 sayılı Karar Özeti
Kuruma intikal eden bir şikâyette, ilgili kişinin ortağı bulunduğu ….Ltd. Şti bünyesinde
kullanmakta olduğu (ismininbaşharfivesoyadı)@şirketadı.com.tr şeklindeki ve kişisel
verilerinin de bulunduğu kişisel e-posta hesabına izinsiz ve hukuka aykırı olarak
erişildiği, erişim ayarlarının değiştirildiği, söz konusu e-posta hesabına ait tüm verilerin
silinmesi ve kaldırılması konusunda bu e-posta hesabının bulunduğu IP adreslerinin
sahibi veri sorumlusu … Menkul Kıymetler AŞ’den noter kanalıyla talepte bulunulduğu;
ancak, talebin reddedildiği belirtilerek, söz konusu hususlara ilişkin 6698 sayılı Kişisel
Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde e-posta hesabının bulunduğu IP
adreslerinin sahibi veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda
özetle;
Şikâyet edilen veri sorumlusunun Genel Müdürünün aynı zamanda ilgili kişinin ortak
olduğu …..Ltd. Şti’nin diğer ortağı ve yetkili müdürü olduğu,
Ticari işlerin takip edilmesi için ortağı olduğu şirketin müdürü sıfatıyla söz konusu
e-posta adresinin ilgili kişiye tahsis edildiği, ortağı olduğu şirkete ait işlemlerin ilgili
kişi tarafından takip edilmekte olmasına rağmen ilgili kişinin gerçekleştirdiği işlem
ve kayıtlar hakkında hiçbir bilgi vermemesi, genel kurul davetine de icabet etmemesi
üzerine şirket Genel Müdürünün, ilgili kişinin gerçekleştirdiği işlemleri ve yazışmalarını
bulmak amacıyla şirket e-posta sunucusundan şirkete ait info@şirketadı.com.tr e-posta
adresinin yazışmalarına bakıldığı, Asliye Ticaret Mahkemesinin dosyasına konu ve
şirket gelirlerinin suiistimaline ilişkin e-posta yazışmalarına, ilgili kişinin hesabına
erişilmek suretiyle değil ilgili kişinin kendisinin talebiyle önceden dâhil edildiği e-posta
hesabının sunucu yedeklerinden ulaşıldığı,
151
KİŞİSEL VERİLERİ KORUMA KURUMU
E-posta ve eki kayıtları, yevmiye defteri ve fatura kayıtları ile şirketin gelirlerinin
yatırıldığı banka kayıtlarının karşılaştırılması sonucunda, ilgili kişinin geçmiş yıllarda
müdürlük görevini kötüye kullanarak şirket gelirlerinden bir kısmını muhtelif banka
hesaplarına transfer ettiğinin tespiti üzerine Asliye Ticaret Mahkemesi nezdinde dava
açıldığı,
E-posta hesabının bulunduğu IP adreslerinin sahibi veri sorumlusu şirket genel müdürü
hakkında, ilgili kişinin söz konusu e-posta hesabının izinsiz olarak ele geçirildiği ve
söz konusu hesaptaki kişisel bilgilerinin tümünün alenileştirildiği ve başkaca kişilerle
paylaşıldığı, böylece ilgili kişinin 6698 sayılı Kanun kapsamındaki haklarının açıkça
ihlal edildiği yönünde Savcılığa yaptığı şikâyet başvurusuna ilişkin olarak, “şirket
ortakları tarafından şirkete ilişkin iş ve işlemler için kullanıldığında şüphe bulunmayan
maillerin kişisel içerik taşımayacağı, şirket serverlarından elde edilen bilgilerin hukuk
ve ceza yargılamasına delil olarak sunulmasının suç teşkil etmeyeceği, müştekinin şirket
iş ve işlemleri dışındaki kişisel verilerinin başkaca bir ortamda kullanıldığı, yayıldığı
vb. bir iddiasının da bulunmadığı, yine şirket mail içeriklerinden özel hayatına ilişkin
bilgi ve veri elde edildiğine dair bir iddiasının da bulunmadığı, iddia edilen suçların ise
unsurları itibariyle oluşmadığı” gerekçesiyle kovuşturma yapılmasına yer olmadığına
karar verildiği,
Mülkiyeti, ortağı olduğu şirkete ait olan ve faturası şirket tarafından ödenen e-posta
hesabının ilgili kişiye, şirkete ait işlemlerin takibi ile sözleşme ve ödeme işlemleri için
tahsis edildiği ve kişisel bir e-posta hesabı olmadığı,
İddia edildiği gibi, söz konusu şirket uzantılı e-posta adresine hukuka aykırı bir erişimin
gerçekleşmediğinin gerek Asliye Ticaret Mahkemesinin gerekse Savcılığın kararları
ile sabit olduğu ve “server yedek” kayıtlarından elde edilen e-postaların, ilgili kişinin
müdürlükten azil, şirketi uğrattığı zararın tazmini ve ticari kayyım atanması talepli açılan
davalarda delil olarak yalnızca Mahkemeye ve suç duyurusu esnasında da Savcılığa
sunulduğu,
İlgili kişinin, müdürlük yetkisinin tedbiren kaldırılması ve yerine yönetici kayyım
atanması sonrasında söz konusu adresine erişildiği ve erişim ayarlarının değiştirildiği
iddiasının gerçeğe aykırı olduğu ve Kurumu yanıltmaya yönelik olduğu; bu yöndeki
iddianın Mahkeme ve Savcılık tarafından reddedildiği,
İlgili kişinin söz konusu e-posta adresine ait tüm verilerin yedekleriyle kopyalarının
silinmesi yönündeki talebinin, şirket mailini kullanarak şirket aleyhine işlemiş olduğu
zarar doğurucu, şirket gelirlerini zimmete geçirme ve suç teşkil eden fiillerine ilişkin
delilleri Mahkemede ortadan kaldırma, bu delilleri karartma, hukuken geçersiz kılabilme
amacına dönük olduğundan reddedildiği ve bunun hukuka uygun olduğu,
Şikayet edilen e-posta hesabının bulunduğu IP adreslerinin sahibi şirketin Kanun ve Türk
Ceza Kanunu (TCK) uyarınca işlediği bir suç veya kabahatinin bulunmadığı, TCK’nın
26/1 maddesi gereğince, hakkını kullanan kimseye ceza verilemeyeceği; şikayet edilen
şirket genel müdürünün, aynı zamanda ilgili kişinin ortak olduğu şirketin de ortağı ve
152
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
yetkili müdürü olması sebebiyle, Türk Ticaret Kanununun 626’ncı maddesi hükmü
uyarınca müdürlük görevini yerine getirebilmek ve şirket menfaatini korumak için
şirkete ait sözleşme ve müşteri yazışmalarını denetlemek yükümlülüğünün bulunduğu,
şirketin diğer müdürü olan ilgili kişinin hesap vermekten kaçınması üzerine, şirket
uzantılı mail adresinin yedek kayıtlarının denetlenmesinin Kanuna ve hukuka uygun
olduğu belirtilmiştir.
İlgili kişinin şikayeti, veri sorumlusunun savunması ve ilgili mevzuat hükümlerinin
birlikte incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 27/01/2020 tarih
ve 2020/59 sayılı Kararı ile;
Kanunun 4’üncü maddesinde kişisel verilerin işlenmesinde uyulacak genel ilkelerin,
5’inci ve 6’ncı maddelerinde de kişisel veriler ile özel nitelikli kişisel verilerin işlenme
şartlarının belirlendiği, bu çerçevede, ad, soyad, adres, telefon numarası, Türkiye
Cumhuriyeti kimlik numarası, doğum tarihi gibi kişisel verilerin herhangi bir veri
sorumlusu tarafından işlenmesinin ancak açık rızanın bulunması ya da Kanunda
belirtilen açık rıza dışı diğer hallerin varlığında mümkün bulunduğu,
Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5’inci maddesi hükmü uyarınca,
kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemeyeceği; ancak kişisel verilerin
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına
hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden
bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla,
sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun
meşru menfaatleri için veri işlenmesinin zorunlu olması” şartlarından birinin varlığı
halinde ilgili kişinin açık rızası aranmaksızın işlenebileceğinin hükme bağlandığı
değerlendirmelerinden hareketle;
Kişinin ortağı olduğu şirkete ilişkin hakların korunması amacıyla söz konusu e-posta
adresine ilişkin sunucu yedek kayıtlarından elde edilen kişisel verilerin Kanunun
5’inci maddesinin (2) numaralı fıkrasının (e) bendinde yer alan “…. bir hakkın tesisi,
kullanılması ve korunması kapsamında veri işlemenin zorunlu olması” kapsamında
işlendiği ve kişisel veriler kullanılarak Asliye Ticaret Mahkemesi nezdinde açılan dava
nedeniyle gerçekleştirilen kişisel veri işleme faaliyetinin ise Kanunun 28’inci maddesinin
1 numaralı fıkrasının (d) bendi hükmü kapsamında olduğu değerlendirildiğinden söz
153
KİŞİSEL VERİLERİ KORUMA KURUMU
konusu şikayet ile ilgili Kanun kapsamında yapılacak bir işlem bulunmadığına karar
verilmiştir.
1.3.11 “Veri sorumlusu hastanede uygulanan beyaz kod kapsamında ilgili kişinin
işlenen kişisel verileri” hakkında Kişisel Verileri Koruma Kurulunun 27/01/2020
tarihli ve 2020/63 sayılı Karar Özeti
İlgili kişi tarafından Kuruma yapılan şikâyette özetle, babasının tedavisi için gittikleri
hastanede hastane görevlileri ile arasında yaşadığı tartışma sonucunda barkot alamadan
hastaneden ayrılmak durumunda kaldığı, bahse konu hastane görevlilerinin yaşanan
tartışma olayından 1 yıl 3 ay sonra tutanak tuttuğu, daha sonra bu tutanak aracılığıyla
savcılığa suç duyurusunda bulunulduğu, bu sebeple adli para cezasına mahkûm
edildiği ve vekâlet ücreti ödemek zorunda kaldığı, hastane görevlilerinin kamu gücünü
kullanarak ilgili kişinin açık rızası olmaksızın adı, soyadı ve T.C. kimlik numarası
bilgilerini hastane verilerinden alarak olay yeri tutanağına işlediği, bu durumun 6698
sayılı Kişisel Verilerin Korunması Kanununa (Kanun) aykırılık teşkil ettiği belirtilerek,
konunun incelenmesi talep edilmiştir.
Şikâyet dilekçesi ekinde yer alan veri sorumlusunun konuya ilişkin yapmış olduğu
başvuru çerçevesinde ilgili kişiye verdiği cevapta özetle,
• Hasta kayıt sürecinde yaşanan olay ile ilgili olarak tutanak tutulduğu, Sağlık
Bakanlığının Hukuk Müşavirliğinin Hukuki Yardım ve Beyaz Kod Uygulamasına
dair 2016/3 Genelgesine göre işlem başlatılarak, Cumhuriyet Savcılığına bildirim
yapıldığı,
• Ayrıca Kanunun 6 ncı maddesi gereğince, kişisel verilerin sadece sır saklama
yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından
paylaşıldığı
ifade edilmiştir.
Başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan
cevabi yazıda özetle;
• Hastanede yaşanan tartışma sonucunda veri giriş elemanı tarafından Beyaz Kod
verildiği, bu sebeple, Beyaz Kod tutanağının tutulduğu, söz konusu tutanak tutulurken
ilgili kişinin kimlik bilgilerinin tutanağa işlendiği, kimlik bilgileri işlenmeden Beyaz
Kod tutanağının tutulmasının mümkün olmadığı,
• Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin ikinci
fıkrasında yer alan hüküm ile söz konusu kişisel verilerin işlenmesinin mümkün
olduğu
ifade edilmiştir.
Söz konusu iddiaların incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun
154
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
27/01/2020 tarih ve 2020/63 sayılı Kararında;
• Kişisel verilerin işlenme şartlarının düzenlendiği Kanunun 5 inci maddesinin birinci
fıkrasında; kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin,
ikinci fıkrasında ise kişisel verilerin kanunlarda açıkça öngörülmesi, fiili imkânsızlık
nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik
tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün
korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan
doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin
işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine
getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş
olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu
olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri
sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından
birinin varlığı halinde ilgili kişinin açık rızası aranmaksızın işlenmesinin mümkün
olduğunun hükme bağlandığı,
• Taraflar arası yaşanan tartışma sonucunda veri sorumlusu nezdinde Beyaz Kod
uygulaması kapsamında hastane görevlileri tarafından ilgili kişiye ait kişisel verilerin
işlendiği,
• Öte yandan, 2/11/2011 tarih ve 28103 mükerrer sayılı Resmi Gazetede yayımlanan
Sağlık Alanında Bazı Düzenlemeler Hakkında Kanun Hükmünde Kararnamenin
“Hukuki Yardım” başlıklı 54 üncü maddesinin birinci fıkrasında, “Bakanlık ve
bağlı kuruluşlarında; sağlık hizmeti sunumu sırasında veya bu görevlerden dolayı
personele karşı işlenen suçlar sebebiyle ceza hukuku kapsamında yürütülmekte olan
işlemler ve davalarda personelin talebi üzerine Bakanlık ve bağlı kuruluşlarınca
hukukî yardım yapılır. Bakanlık ve bağlı kuruluşları merkez ve taşra teşkilatı ile döner
sermaye teşkilatı kadrolarında bulunan hukuk birimi amirleri, hukuk müşavirleri ve
avukatlar, ayrıca vekâletname ibraz etmeksizin ilgili personeli vekil sıfatı ile temsil
eder. Bu yardımın usûl ve esasları Bakanlıkça belirlenir.” hükmünün yer aldığı,
• Bununla birlikte, Sağlık Bakanlığı Hukuk Müşavirliğinin Hukuki Yardım ve Beyaz
Kod Uygulamasına dair 2016/3 Genelgesi ile Beyaz Kod uygulamasına başlandığı,
bu doğrultuda, sağlık personelinin hukuki yardımdan faydalanabilmesi adına “Beyaz
Kod Kullanım Kılavuzu 2.0” kapsamında, şiddete maruz kalan çalışanın, adli
süreçlerde kanıt teşkil etmesi açısından olaya tanık olan diğer personel ile birlikte,
olayı anlatan ve belgeleyen bir tutanak düzenlemesi gerektiğinin ifade edildiği,
• Uygulamada yürütme organının Anayasada öngörülmüş düzenleyici işlemlere ek
olarak, genel, soyut ve objektif hukuk kuralları öngörebildiği, bu tür düzenleyici
işlemlere “adsız düzenleyici işlemler” denildiği, genelgelerin de bunlardan biri
olduğu
değerlendirmelerinden hareketle,
• İlgili kişi ile hastane görevlileri arasında yaşanan tartışma neticesinde yaşanan olayla
155
KİŞİSEL VERİLERİ KORUMA KURUMU
ilgili hastane görevlilerince tutanak tutulduğu, sonrasında hastane görevlilerince
ilgili kişi hakkında Savcılığa suç duyurusunda bulunulduğu, bu kişilerce kamu gücü
kullanılarak açık rızası olmaksızın ad, soyad ve T.C. kimlik numarası bilgilerinin
hastane verilerinden alınarak olay yeri tutanağına 1 yıl 3 ay sonra işlendiği, bu şekilde
temel hak ve özgürlüklerinin ihlal edildiği gerekçesiyle hastaneye başvurduğu;
hastanenin vermiş olduğu cevapta ise, ilgili kişinin babasının tedavisinin eksiksiz
planlanıp yapıldığı, olay ile ilgili tutanağın 1 yıl 3 ay sonra değil, olayla aynı
gün tutulduğu, Sağlık Bakanlığı Hukuk Müşavirliği Hukuki Yardım ve Beyaz
Kod Uygulamasına dair 2016/3 Genelgesine göre işlem başlatılarak Cumhuriyet
Savcılığına bildirildiği; ayrıca Kanunun 6 ncı maddesi uyarınca kişisel verilerin,
hastane kapsamında sır saklamakla yükümlü bulunan kişiler veya yetkili kurum ve
kuruluşlar tarafından paylaşıldığı yanıtları karşısında ilgili kişinin Kuruma yaptığı
şikâyet başvurusunun, veri sorumlusundan alınan bilgi ve belgeler ve yukarıda
belirtilen hukuki gerekçeler çerçevesinde incelenmesi sonucunda; söz konusu kişisel
verilerin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (ç) bendi uyarınca veri
sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi kapsamında işlendiği
kanaati oluştuğundan, söz konusu şikâyete ilişkin Kanun kapsamında yapılacak bir
işlem olmadığına karar verilmiştir.
1.3.12 “Ulaşım hizmeti sunan bir mobil uygulama kapsamında işlenen kişisel
veriler hakkında” Kişisel Verileri Koruma Kurulunun 27/01/2020 tarih ve 2020/65
sayılı Karar Özeti
İlgili kişinin, ulaşım hizmeti sunan bir platform vasıtasıyla yaptığı yolculukların şoförler
tarafından puanlandığını öğrenmesi, kendi yolculuklarına ait bu puanlara kendisi
tarafından erişilememesi ve bu tip bir puanlama yapılacağı hususunda veri sorumlusunun
aydınlatma metninde herhangi bir bilginin yer almaması neticesinde, veri sorumlusu
statüsüne sahip ulaşım hizmeti sunan platforma 6698 sayılı Kişisel Verilerin Korunması
Kanununun (Kanun) 11 inci maddesinin 1 inci fıkrasının (b) bendinde yer alan “Kişisel
veri işlenmişse buna ilişkin bilgi talep etme” hakkından hareketle, Kanunun 13 üncü
maddesine istinaden yaptığı başvurunun cevapsız kaldığı iddialarına ilişkin Kuruma
intikal eden dilekçeye istinaden veri sorumlusunun savunması istenilmiş, alınan cevabi
yazıda;
• Veri sorumlusu tarafından kullanıcıya ait verilerin uygulamaya kayıt esnasında
toplanarak üyelik sözleşmesinin kurulması ve ifasıyla doğrudan doğruya ilişkisi
olması sebebiyle işlendiğini, http:/www…...com/gizlilik-politikası adresinde yer alan
kişiselveriler@....com e-posta adresine ilgili kişiler tarafından taleplerin iletilebileceğini
belirten veri sorumlusu tarafından bu taleplerin en kısa süre cevaplandığını,
• İlgili kişi tarafından kullanılan uygulamada ortalama puanın 5 üzerinden kaç
olduğunun sorulduğuna ve “sehven süresi içinde talebe cevap verilmemiş olsa da”
sonrasında yazılı olarak dönüş yapıldığı
ifade edilmiştir.
156
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
Konunun incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 27/01/2010 tarih
ve 2020/65 sayılı Kararı ile;
1- Kanunun 13 üncü maddesinin 2 inci fıkrasında “Veri sorumlusu başvuruda yer alan
talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak
sonuçlandırır. Ancak, işlemin ayrıca bir maliyet gerektirmesi halinde, Kurulca belirlenen
tarifedeki ücret alınabilir” hükmüne ve Veri Sorumlusuna Başvuru Usul ve Esasları
Hakkında Tebliğin” 6 ıncı maddesinin (1) numaralı fıkrasındaki “Veri sorumlusu bu
Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük
kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri
almakla yükümlüdür.” hükmüne yer verildiği,
• Veri sorumlusunun “Kullanım Koşulları” başlıklı dokümanında yer alan hükümlere
istinaden ilgili kişinin talebini süresi içinde cevaplamayan veri sorumlusunun
Kanun kapsamında yöneltilen başvuruları gerek bu Kanunun 15 inci maddesinin 5
inci fıkrasına istinaden gerekse kendisi tarafından duyurulan koşullara uygun olarak
zamanında, tam ve eksiksiz olarak cevaplaması hususunda talimatlandırılmasına,
2- Bu noktada ikinci olarak, bahse taşıma/ulaşım hizmeti ile ilgili kişinin iddia ettiği
ve veri sorumlusunun daha sonra Kurumun bilgi ve belge talebine yönelik yazısına
cevaben gönderdiği yazı ve ekinde belirttiği üzere ilgili kişilerin puanlaması işleminin
sözleşmenin kurulması veya ifasıyla doğrudan doğruya bir ilişkisinin olup olmadığının
incelenmesi gerektiği,
• Müşterilerin/yolcuların yaptığı seyahatlerin şoförler tarafından puanlanmasına ve bu
puanların ortalamasının alınmasına dayanan veri işleme faaliyetinin, Kanunun 5 inci
maddesinin 2 inci fıkrasının (c) bendinde yer alan “Bir sözleşmenin kurulması veya
ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel
verilerin işlenmesinin gerekli olması” şartı kapsamında sözleşmenin ifasına ilişkin
ana kurucu öğe olmadığı veya sözleşmenin ifasıyla doğrudan doğruya bir ilişkisinin
var olmaması sebebiyle ve bu veri işleme faaliyetinin aynı maddede belirtilen
diğer veri işleme şartlarından herhangi birine dayanmadığı dikkate alındığında veri
sorumlusunun Kanunun 12 inci maddesinin 1 inci fıkrasının a bendinde yer alan
“veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla
uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari
tedbirleri almak zorundadır” hükmüne aykırı hareket ettiği kanaatine varıldığından
hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının b bendine istinaden
100.000 TL idari para cezası uygulanmasına,
3- İlgili kişinin veri sorumlusunun Aydınlatma Metninde müşteriler/yolcular hakkında
bir puanlama yapıldığına dair her hangi bir bilginin bulunmadığına dair iddiasına ilişkin
olarak, “Kişisel Verilerin Korunması Hakkında Bilgilendirme” başlıklı dokümanının
incelendiği, “Kişisel Verilerin Korunması Hakkında Bilgilendirme” başlıklı bu
dokümanda, “….’nin kişisel verilerinizi işleme amacı:
• Kimliğinizi doğrulamak
157
KİŞİSEL VERİLERİ KORUMA KURUMU
• Müşteri desteği sağlamak ve sorun gidermek
• Servis güncellemeleri ve hatalar hakkında sizi bilgilendirmek
• Uygulama ve kampanyalar hakkında sizi bilgilendirmek
• Sürücünün yolculukla ilgili olarak size ulaşması gereken durumlarda sizi
arayabilmesini sağlamaktır…”
şeklinde açıklandığı,
• Veri işleme amaçları arasında yolcuların puanlanıp sürücüler tarafından bunun
görülebileceğine ilişkin bir açıklama bulunmadığı,
• “Kullanım Koşulları” dokümanında ise “Veri sorumlusu Sıfatıyla İşlenen Veriler”
başlıklı maddesinde bu verilerin
• Tanımlama bilgileri (ad, soyad, cep telefonu numarası, e-posta adresi).
• Kullandığınız mobil aygıtın işletim sistemi versiyonu bilgisi.
• Kullandığınız mobil aygıttan edinilen konum bilgileri.
• Yolculuk sonunda sürücüye verilen oylama bilgisi ve yorumlar.
• Uygulama içindeki “Öneri ve Şikâyet” bölümünde iletilen yorumlar.”
olarak sayıldığı,
• Bu sebepten dolayı, ne aydınlatma metninde (Kişisel Verilerin Korunması Hakkında
Bilgilendirme) ne de kullanıcı sözleşmesinde (Kullanım Koşulları) müşterilerin
puanlanmasına ilişkin bir bilgilendirme bulunmadığı,
• Bu durumda, müşterilerin puanlanmasına dayanan veri işleme faaliyetinin Kanunun
4 üncü maddesinde belirtilen kişisel verilerin işlenmesine ilişkin genel ilkelerden
ilk olarak “Hukuka ve Dürüstlük Kurallarına Uygun Olma” ilkesine aykırılık teşkil
ettiği, zira veri sorumlusunun sözü geçen kişisel veri işleme faaliyetine ilişkin
olarak ilgili kişi ile hiçbir bilgi paylaşmadığı, konu “Belirli, Açık ve Meşru Amaçlar
İçin İşlenme” ilkesi bakımından değerlendirildiğinde, veri sorumlusun aydınlatma
metninde ve kullanım koşullarına ilişkin metinde belirtilen amaçların müşterilerin
puanlanmasına dayanan kişisel veri işleme faaliyetinin asıl amacının ne olduğunu
açıklayamadığı,
• Bu kapsamda, söz konusu uygulamanın yüklenmesi akabinde üye olunması esnasında
ilgili kişilere bir aydınlatma gerçekleştirilmediği ve ilgili kişinin yolculuklarının
şoförler tarafından değerlendirilerek çıkarılacak bir puanlamaya dayalı veri işleme
faaliyetine, internet sitesinde yer alan veri sorumlusunun aydınlatma metni yerine
geçen “Kişisel Verilerin Korunması Hakkında Bilgilendirme” dokümanında ve
Kullanım Koşulları başlıklı belgede yer verilmemesi sebebiyle, Kanunun 10 uncu
maddesinde yer alan “Veri Sorumlusunun Aydınlatma Yükümlülüğü”nü yerine
158
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
getirmemiş olduğu kanaatine varılmasından ötürü Kanunun 18 inci maddesinin (1)
numaralı fıkrasının (a) bendi kapsamında veri sorumlusu hakkında 10.000 TL idari
para cezası uygulanmasına,
4- Puanlamaya dayalı veri işleme faaliyetine devam edebilmesi için veri sorumlusunun
Kanunun “Kişisel Verilerin İşlenmesi Şartları” başlıklı 5 inci maddesinde kapsamında
uygun bir veri işleme şartı belirlemesi, buna istinaden aydınlatma metnini güncellemesi
ve sayılan hususları tamamladığına ilişkin destekleyici belge ve kayıtları Kanunun 15
inci maddesinin 5 numaralı fıkrası hükümlerine istinaden 30 gün içinde Kurula sunması
hususunda talimatlandırılmasına karar verilmiştir.
1.3.13 İlgili kişiye rızası bulunmamasına rağmen bir gayrimenkul şirketi tarafından
SMS aracılığıyla gönderilen reklam ve bildirimler hakkında” Kişisel Verileri
Koruma Kurulunun 27/01/2020 tarih ve 2020/67 sayılı Karar Özeti
Kurumumuza intikal eden bir başvuruda ilgili kişi tarafından kendisine bir gayrimenkul
şirketi tarafından SMS aracılığıyla gönderilen reklam ve bildirimlere ait açık rızasının
bulunmadığı ve bu kapsamda gereğinin yapılması talebini içeren başvurusu ile ilgili
Kurumumuzca istenilen savunmasına istinaden veri sorumlusundan alınan yazıda;
• Kayıtlarında tutulan kişisel verilerin ad, soyadı ve cep telefonu numarasından ibaret
olduğu,
• Kayıtlarında tutulan kişisel verilerin ilgili kişiyle reklam, kampanya ve tanıtım
amaçlı olarak irtibata geçilmesi amacıyla işlendiği,
• Kişisel verilerin internet üzerinden herkese açık bilgi kaynaklarından temin edildiği
• Ancak şu an söz konusu bilgi kaynaklarına ulaşılamadığı, bu linklerin şu an aktif
olmadığını ve kaldırıldığını tahmin ettikleri, ilgili kişinin yapmış olduğu başvuru
neticesinde, kişisel verilerin sistemden derhal silindiğini ve kendisiyle bir daha
iletişime geçilmediği ifade edilmiştir.
Yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 27/01/2020 tarih ve
2020/67 sayılı Kararı ile;
• Kişisel verilerin işlenme şartlarının düzenlendiği Kanunun 5 inci maddesinin birinci
fıkrasında; kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği,
ikinci fıkrasında belirtilen şartlardan (-Kanunlarda açıkça öngörülmesi, -Fiili
imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına
hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya
beden bütünlüğünün korunması için zorunlu olması, -Bir sözleşmenin kurulması
veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına
ait kişisel verilerin işlenmesinin gerekli olması, -Veri sorumlusunun hukuki
yükümlülüğünü yerine getirebilmesi için zorunlu olması, -İlgili kişinin kendisi
tarafından alenileştirilmiş olması, -Bir hakkın tesisi, kullanılması veya korunması
159
KİŞİSEL VERİLERİ KORUMA KURUMU
için veri işlemenin zorunlu olması, -İlgili kişinin temel hak ve özgürlüklerine zarar
vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin
zorunlu olması) birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel
verilerinin işlenmesinin mümkün olduğunun hükme bağlandığı,
• Somut olayda Kurumun bilgi, belge talebine ilişkin olarak veri sorumlusu tarafından
verilmiş olan cevap yazısında, ilgili kişiye ait kişisel verilerin herkese açık bilgi
kaynaklarından elde edildiği ve ilgili kişinin açık rızasının bulunmadığının
anlaşıldığı,
• Kanunun 5 inci maddesinin 2 nci fıkrasının (d) bendinde yer alan alenileştirme
ilkesi gereğince, ilgili kişinin kendisi tarafından alenileştirilen, bir başka ifadeyle
herhangi bir şekilde kamuoyuna açıklanmış olan kişisel verileri işlenebileceği, bu
duruma örnek olarak ise bir kişinin belirli hallerde kendisiyle iletişime geçilmesi
amacıyla iletişim bilgilerini kamuya açık şekilde ilan etmesinin verilebileceği,
• Alenileştirmenin gerçekleştirilebilmesi için alenileştirme iradesinin ne olduğuna
bakılması gerektiği, zira bir kişinin kişisel verisinin herkesin görebileceği bir yerde
olmasının aleni olmasını sağlamayacağı, alenileştirme durumunda kişisel verinin
alenileştirme amacı kapsamında kullanılması gerektiği, somut olayda, alenileştirme
bulunuyor olsa dahi ilgili kişinin reklam faaliyetleriyle ilgili kendisiyle iletişim
kurulması amacıyla söz konusu kişisel verileri alenileştirmemiş ise, gerçekleştirilecek
olan kişisel veri işleme faaliyetinin hukuka uygun olmayacağının değerlendirildiği,
• Somut olayda işlenen kişisel verilere yönelik olarak ilgili kişinin açık rızasının
alınmadığı, açık rızanın aranmadığı diğer hallerin ise bulunmadığı, bu kapsamda
ilgili kişinin kişisel verilerinin Kanunun 5 inci maddesinde yer alan şartlar yerine
getirilmeden reklam içerikli iletiler gönderilmesi amacıyla kullanılmasının Kanunun
12 nci maddesinin 1 inci fıkrasının (a) bendine aykırılık teşkil ettiği
hususlarından hareketle veri sorumlusu hakkında Kanunun 18 inci maddesinin 1 inci
fıkrasının (b) bendi uyarınca 50.000 TL idari para cezası uygulanmasına karar verilmiştir.
1.3.14 “Veri sorumlusu bankanın ilgili kişiye ait kredi kartı ekstresinde yer alan
kişisel verileri yanlış e-posta hesabına göndermesi” hakkında Kişisel Verileri
Koruma Kurulunun 30/01/2020 tarihli ve 2020/78 sayılı Karar Özeti
İlgili kişinin Kuruma intikal eden şikayetinde özetle; müşterisi olduğu bankanın,
kendisine ait kredi kartının ekstresini kendisine ait olmayan bir e-posta adresine
göndererek şahsına ait bilgileri üçüncü kişilerle paylaştığı, veri sorumlusuna konuya
ilişkin hem e-posta hem de dilekçe ile başvuruda bulunduğu, başvuru tarihinin üzerinden
bir ay geçmiş olmasına rağmen kendisine yazılı bir dönüş yapılmadığı belirtilerek
veri sorumlusu hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun)
çerçevesinde gerekli işlemlerin yapılması talep edilmiştir.
Söz konusu şikâyeti takip eden süreçte ilgili kişinin Kuruma intikal eden ek dilekçesinde
160
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
ise özetle; veri sorumlusu bankanın kendisine ait aynı kredi kartının ekstresini,
kendisine ait olmayan bir e-posta adresine tekrar göndererek şahsına ait bilgileri tekrar
üçüncü kişilerle paylaştığı, kendisinin Kuruma göndermiş olduğu dilekçe aracılığıyla
veri sorumlusundan şikâyetçi olduğu belirtilerek veri sorumlusu hakkında Kanun
çerçevesinde gerekli işlemlerin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması
istenilmiş olup, alınan cevabi yazıda özetle;
• İlgili kişinin talebine istinaden tarafına kredi kartı tahsis edildiği, müşterinin
ayrıca “…. Adi Ortaklığı” firma unvanı ile firma ortağı olarak veri sorumlusunun
ticari müşterisi olduğu, şikâyet yazısında üçüncü bir kişinin e-postası olarak
ifade edilen y…@gmail.com e-posta adresinin, aynı zamanda veri sorumlusunun
kayıtlarında müşterinin ortağı olduğu firmanın iletişim adresi olduğu, firmanın
talimatı doğrultusunda firmaya ve ortaklarına tahsis edilen ticari kredi kartlarının
ekstrelerinin söz konusu e-posta adresine gönderilmekte olduğu,
• Mevcut durumda ilgili kişinin kredi kartı ekstrelerinin veri sorumlusu nezdinde
kayıtlı h…@gmail.com e-posta adresine gönderilmekte olduğu, ilgili kişinin
şikâyetinde belirttiği kredi kartı ekstresinin, y…@gmail.com e-posta adresine
gönderilmesine ilişkin yapılan inceleme sonucunda; ilgili şube personelleri
tarafından, başvuru sahibinin ortağı olduğu firma ve kendi adına düzenlenen ticari
kredi kartlar için e-ekstre gönderimine yönelik tanımlamalar yapılırken, sehven
müşterinin bireysel ürünü olan kredi kartı ekstresi için de e-ekstre talimatının
güncellendiğinin belirlendiği, bu nedenle e-ekstre ortağı olduğu firma üzerinde
tanımlı olan y…@gmail.com e-posta adresine gönderildiği, başvuru sahibinin şube
aracılığıyla ulaşan talebi doğrultusunda e-posta adresinin güncelleme işleminin
yapıldığı ve kendisinin sonraki dönemlere ait kredi kartı ekstrelerinin h…@gmail.
com e-posta adresine yönlendirildiği,
• İlgili kişinin şikâyet başvurularının veri sorumlusu tarafından işleme alındığı ve
ilgili birime yönlendirildiği, e-posta adres değişikliğinin ne şekilde yapıldığının
belirlenmesinden sonra, ilgili kişinin şube personelleri tarafından telefonla
aranarak konu hakkında bilgilendirildiği, ancak e-posta güncelleme işleminin
sehven atlandığının anlaşıldığı, şube tarafından e-ekstre gönderiminin h…@
gmail.com e-posta adresine yapılması yönünde oluşturulan talep doğrultusunda
gerekli güncellemenin yapıldığı ve başvuru sahibinin e-posta adresine ekstrenin
gönderileceğine ilişkin bilgilendirmenin yapıldığının belirlendiği,
ifade edilmiştir.
Konuya ilişkin olarak yapılan incelemede, Kişisel Verileri Koruma Kurulunun
30/01/2020 tarihli ve 2020/78 sayılı Kararı ile;
• Kanunun 3 üncü maddesinin birinci fıkrasının (d) bendi uyarınca kişisel verinin;
kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi, (e) bendi uyarınca
kişisel verilerin işlenmesinin; kişisel verilerin tamamen veya kısmen otomatik olan
161
KİŞİSEL VERİLERİ KORUMA KURUMU
ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan
yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi,
yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle
getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde
gerçekleştirilen her türlü işlem, (ç) bendi uyarınca ilgili kişinin; kişisel verisi işlenen
gerçek kişi, (ı) bendi uyarınca veri sorumlusunun; kişisel verilerin işleme amaçlarını
ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden
sorumlu olan gerçek ve tüzel kişi olarak tanımlandığı,
• Kanunun “Genel ilkeler” başlıklı 4 üncü maddesinde ise, kişisel verilerin ancak bu
Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği
ve buna göre kişisel verilerin işlenmesinde “a) Hukuka ve dürüstlük kurallarına uygun
olma. b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık ve meşru amaçlar için
işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d) İlgili mevzuatta
öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.”
şeklinde sayılan ilkelere uyulmasının zorunlu olduğunun düzenleme altına alındığı,
anılan madde hükmünden açıkça anlaşılacağı üzere, kişisel verilerin işlenmesinde
her hal ve şartta Kanunun 4 üncü maddesinde sayılan genel ilkelere uyulmasının
hukuki bir gereklilik olduğu,
• Kişisel verilerin işlenme şartlarının düzenlendiği Kanunun 5 inci maddesinin
(1) numaralı fıkrasında; kişisel verilerin ilgili kişinin açık rızası olmaksızın
işlenemeyeceğinin, (2) numaralı fıkrasında ise belirtilen şartlardan kanunlarda
açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda
bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir
başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir
sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla,
sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri
sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması
veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve
özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri
için veri işlenmesinin zorunlu olması hallerinden birinin varlığı durumunda, ilgili
kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun
hükme bağlandığı,
• İlgili kişilerin açık rızasının alınacağı hallerde, rızanın belirli bir konuya ilişkin
olması, bilgilendirmeye dayanması ve özgür iradeyle açıklanması gerektiği, veri
işlemek üzere verilen açık rızanın geçerli olması için, açık rızanın öncelikle belirli
bir konuya ilişkin ve o konu ile sınırlı olarak verilmesinin zorunluluk arz ettiği,
bu doğrultuda veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin
olarak istenildiğinin açıkça ortaya konulması bununla birlikte, açık rıza bir irade
beyanı olduğundan, kişinin özgür bir şekilde rıza gösterebilmesi için, neye rıza
gösterdiğini de bilmesi gerektiği, kişinin sadece konu üzerinde değil, aynı zamanda
rızasının sonuçları üzerinde de tam bir bilgi sahibi olmasının önem arz ettiği, bu
162
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
sebeple, bilgilendirmenin, veri işleme ile ilgili bütün konularda açık ve anlaşılır
bir biçimde gerçekleştirilmesi ve mutlaka verinin işlemesinden de önce yapılması
gerektiği, diğer yandan, açık rızanın geçerlilik kazanabilmesi için kişinin yaptığı
davranışın bilincinde ve kendi kararı olmasının şart olduğu, açık rızanın özgür
iradeyle açıklanması gerektiğinden, herhangi bir ürün ve/veya hizmetin sunumunun
(ya da herhangi bir üründen ve/veya hizmetten yararlandırılması) ilgili kişi tarafından
açık rıza verilmesi şartına bağlanamayacağı, tarafların eşit konumda olmadığı veya
taraflardan birinin diğeri üzerinde etkili olduğu durumlarda rızanın özgür iradeyle
verilip verilmediğinin dikkatle değerlendirilmesi gerektiği,
• Kanunun “kişisel verilerin işlenmesi” başlıklı 5 inci maddesi ve “kişisel verilerin
aktarılması” başlıklı 8 inci maddesi hükümleri çerçevesinde; tarafların Kuruma
iletmiş oldukları yazılarında yer alan beyanları incelendiğinde; veri sorumlusunun,
ilgili kişinin kendisine ait olan kredi kartı ekstresini kendisine ait olmayan bir mail
adresine (y…@gmail.com) göndermek suretiyle ilgili kişiye ait kişisel verilerin veri
sorumlusu tarafından üçüncü kişilerle paylaşıldığı iddiasına aksi yönde bir beyanının
olmadığı, şube personellerinin sehven başvuru sahibinin bireysel ürünü olan kredi
kartı ekstresinin, başvuru sahibinin e-ekstre ortağı olduğu firma üzerinde tanımlı
olan y…@gmail.com e-posta adresine gönderilmesi yönünde talimatlandırma
yaptığının ifade edildiğinin görüldüğü, şikâyete konu olayda veri sorumlusunun
ilgili kişinin kredi kartı ekstresinde yer alan kişisel verilerini, kendisine ait olmayan
bir e-posta adresine göndermek suretiyle Kanunun 5 inci maddesinde düzenlenen
kişisel veri işleme şartlarından biri bulunmaksızın üçüncü kişilerle paylaştığı
ve bu yönüyle Kanunun 8 inci madde hükmüne aykırı bir kişisel veri aktarımı
gerçekleştirdiği sonucuna varıldığı,
• Ayrıca ilgili kişinin, veri sorumlusunun Genel Müdürlüğüne konuya ilişkin hem
e-posta hem de dilekçe aracılığıyla başvuruda bulunduğunu, ancak belirtilen tarihin
üzerinden bir ay geçmiş olmasına rağmen kendisine yazılı bir dönüş yapılmadığını
iddia ettiği, veri sorumlusunun, başvuru sahibinin, şube personelleri tarafından
telefonla aranarak konu hakkında bilgilendirildiğini ifade ettiği görülmekle beraber
bu noktada Kanunun “Veri sorumlusuna başvuru” başlıklı 13 üncü maddesinin
üçüncü fıkrasında yer alan; “Veri sorumlusu talebi kabul eder veya gerekçesini
açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda
bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği
yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde
alınan ücret ilgiliye iade edilir.” hükmünden hareketle, ilgili kişinin, veri sorumlusu
Banka tarafından telefonla aranmak suretiyle bilgilendirilmesinin Kanunun ilgili
hükmü kapsamında usulüne uygun bir bildirim niteliğini haiz olmadığı
değerlendirmelerinden hareketle;
• Veri sorumlusunun, ilgili kişinin şikâyet talebine yönelik cevabını, başvuru sahibini
telefonla aramak suretiyle bildirmesinin Kanunun “Veri sorumlusuna başvuru”
başlıklı 13 üncü maddesinin üçüncü fıkrası kapsamında usulüne uygun bir bildirim
163
KİŞİSEL VERİLERİ KORUMA KURUMU
niteliğini haiz olmadığına, bu kapsamda Kanunun 15 inci maddesinin beşinci
fıkrasında yer alan; “Şikâyet üzerine veya resen yapılan inceleme sonucunda,
ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri
sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar,
tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.” hükmü
uyarınca da ilgili kişilerin başvurularının değerlendirilmesi ve yanıtlanmasında
Kanun 13 üncü maddesi ve ilgili Veri Sorumlusuna Başvuru Usul ve Esasları
Hakkındaki Tebliğ hükümlerine azami dikkat ve özeni göstermesi hususunda veri
sorumlusunun talimatlandırılmasına,
• Veri sorumlusu Bankanın ilgili kişinin bireysel ürünü olan kredi kartı ekstresindeki
kişisel verilerini, Kanunda sayılan işleme şartları olmaksızın bireysel mail adresi
yerine e-ekstre ortağı olduğu firma üzerinde tanımlı olan e-posta adresine göndermek
suretiyle Kanunun 8 inci maddesine aykırı bir kişisel veri aktarımı gerçekleştirmiş
olduğu ve bu yönüyle veri sorumlusu Bankanın Kanunun 12 nci maddesinin
birinci fıkrası kapsamında kişisel verilerin hukuka aykırı işlenmesini önlemek ve
muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik
gerekli teknik ve idari tedbirleri almadığı kanaatine ulaşıldığından Kanunun 18 inci
maddesinin birinci fıkrasının (b) bendi hükmü uyarınca hakkında 60.000 TL idari
para cezası uygulanmasına karar verilmiştir.
1.3.15 “Veri sorumlusu sağlık firması tarafından eski çalışanı olan ilgili kişinin
kişisel verilerinin rızası alınmaksızın aktarımı” hakkında Kişisel Verileri Koruma
Kurulunun 11/02/2020 tarihli ve 2020/108 sayılı Karar Özeti
Kuruma intikal eden şikayette özetle;
• İlgili kişinin sağlık alanında faaliyet gösteren veri sorumlusu şirket bünyesinde
belirli tarihler arasında çalıştığı ve çalışma ilişkisini veri sorumlusu ile mutabık
kalarak sonlandırmak suretiyle başka bir şirkette işe başladığı,
• İlgili kişinin yeni işe başladığı şirketin yetkilileri ile yapılan toplantıda, veri
sorumlusu tarafından ilgili kişinin çocuklarının ve eşinin uzun bir süredir Almanya’da
yaşadıkları ve ilgili kişinin de bu ülkeye taşınacağı, Türkiye’de fazla kalmayacağı
gibi bilgilerin kendileri ile paylaşıldığı, ayrıca, ilgili kişinin aldığı maaş, prim ve özel
ödeme koşullarına riayet etmeksizin veri sorumlusu eski çalıştığı şirketten ayrıldığı
gibi iddiaların kendilerine iletildiği belirtilerek ilgili kişinin cevabının talep edildiği,
• İlgili kişi hakkındaki bu bilgilerin veri sorumlusu eski çalıştığı şirket tarafından
talep olmaksızın, ilgili kişinin yeni işe başladığı şirkete önce telefon ardından iki
adet e-posta vasıtasıyla aktarıldığının öğrenildiği,
• Bunun üzerine konuyla ilgili olarak veri sorumlusu şirkete ihtarname gönderildiği,
ilgili kişinin yeni çalışmaya başladığı şirketin bir talebi olmamasına rağmen
ilgili kişinin ailesi ve veri sorumlusu ile olan maddi ilişkilerinin, veri sorumlusu
164
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
tarafından söz konusu şirkete aktarılmasına esas teşkil eden bir sebep bulunmaması
veya ilgili kişinin çıkarları ve makul beklentilerinin göz önüne alınmamasının,
bu konuda herhangi bir haklı gerekçeye dayanılmamasının, “hukuka ve dürüstlük
kurallarına uygun olma” ilkesine aykırılık teşkil ettiği, yine söz konusu şirket ile
ilgili kişinin açık rızası olmaksızın kişisel verilerinin paylaşılmasındaki amacın
anlaşılamadığı ve tüm şartlar göz önüne alındığında hukuken korunan meşru bir
amaç güdülmediğinin de aşikâr olduğu, bu durumun “belirli, açık ve meşru amaçlar
için işlenme ilkesi” ile uyumlu olmadığı, Kişisel Verilerin Korunması Kanununun
(Kanun) 8 inci maddesinde ilgili kişinin açık rızası olmaksızın kişisel verilerin
üçüncü kişilere aktarılamayacağının hüküm altına alındığı, bu kapsamda ilgili
kişinin kendisi ve ailesine ilişkin kişisel verilerinin üçüncü kişilerle paylaşılmasına
yönelik açık veya zımni rızasının bulunmadığı,
• İlgili kişinin rızası alınmaksızın yapılan bu veri aktarımının veri sorumlusu
tarafından Kanunun 5 inci maddesinde sayılan kişisel veri işleme şartlarından “ilgili
kişinin kendisi tarafından alenileştirilmiş olma” koşuluna dayandırıldığı, ancak ilgili
kişinin rızası olmaksızın paylaşılan kişisel verilerin ilgili kişi tarafından herhangi bir
şekilde kamuoyuna açıklanmış yani ilgili kişi tarafından alenileştirilen ve böylelikle
herkes tarafından bilinebilecek hale getirilmiş bir bilgi niteliğini haiz olmadığı, söz
konusu yeni işe başladığı şirket yetkililerinin ilgili kişinin çocukları ve eşinin yurt
dışında yaşayıp yaşamadıklarını ve özel ödeme koşullarına ilişkin veri sorumlusu
eski şirketin iddialarını teyit etmeye yönelik sorular sormalarının da söz konusu
kişisel verilerin aleni olmadığının ve herkesçe bilinmediğinin göstergesi olduğu,
ayrıca alenileştirmenin gerçekleştirilebilmesi için alenileştirme iradesinin varlığının
gerektiği ancak ilgili kişinin bu yönde bir iradesinin bulunmadığı,
• Öte yandan Kanunun 12 nci maddesi kapsamında, veri sorumlusunun Kanunun
kendisine yüklediği sorumluluklara aykırı davranarak, kişisel verilere erişme yetkisi
olanlar tarafından yetkilerin kötüye kullanılması ile işlenme amacı dışında ilgili
kişinin ve ailesinin kişisel verilerini üçüncü kişilerle paylaşması suretiyle Kanunu
ihlal ettiği ve bu ihlallerin gerçekleşmesini önlemek için uygun güvenlik düzeyini
temin etmeye yönelik gerekli herhangi bir teknik ve idari tedbir almadığı
belirtilerek, konuya ilişkin gerekli yaptırımların uygulanması talep edilmiştir.
Başlatılan inceleme çerçevesinde söz konusu iddialara ilişkin veri sorumlusundan (eski
işveren) savunması istenilmiş olup, alınan cevabi yazıda özetle;
• İlgili kişinin hem veri sorumlusuna hem de Kuruma yaptığı başvuru dikkate
alındığında şirketlerinin olağan iş süreçlerine ilişkin veri işlemesine yönelik bir
uyuşmazlık bulunmadığı, şikâyet konusunun eski çalışana (ilgili kişiye) ilişkin
kişisel verilerin yeni işvereni ile paylaşılıp paylaşılmadığı ve paylaşılmış ise bu
paylaşımın hukuki gerekçesi üzerinde toplandığı,
• Bu kapsamda, ilgili kişinin yeni işvereni ile gerçekleştirdiği toplantıda gündeme
gelen; eşinin ve çocuklarının yurtdışında yaşadığı ve kendisinin de bu ülkeye
165
KİŞİSEL VERİLERİ KORUMA KURUMU
taşınacağı, ilgili kişinin maaş ve özel ödeme koşullarına riayet etmeksizin veri
sorumlusu bünyesinden ayrıldığı şeklindeki bilgilerin neredeyse hiç birinin veri
sorumlusu tarafından yeni işveren ile paylaşılmadığı,
• Pek çok sektörde olduğu gibi ilgili sektörde de yer alan insanların birbirlerini tanıdığı,
sektörde yer alan şirketlere veya çalışanlara ilişkin gelişmelerin insanlar arasında
konuşulabildiği, bu minvalde ilgili kişinin kendisi ile ilgili bilgileri sektörde yer
alan diğer insanlara aktarmış olabileceği de göz önünde bulundurulduğunda; söz
konusu toplantıda ilgili kişiye yöneltilen soruların, bu sorulara dayanak oluşturan
verilerin ve bu verilerin kimden ne şekilde elde edildiğinin veri sorumlusunun
bilgisi dâhilinde olmadığı, söz konusu verilerin şirketleri tarafından yeni işverene
sağlandığı iddiasının tahmine dayalı ve şirketlerini zan altında bırakan bir iddia
olduğu, ilgili kişi tarafından bu iddiaların gerçekliğini ortaya koyacak bilgi ve
belgelerin tereddütsüz bir şekilde sunulması gerektiği,
• Bununla birlikte; ilgili kişinin yeni şirketinde çalışmaya başladığına ilişkin
duyurunun yeni işveren şirketin kurumsal hesabından duyurulduğu, söz konusu
duyuruda ilgili kişinin daha önce veri sorumlusu bünyesinde direktör seviyesinde
çalıştığı bilgisine yer verildiğinin fark edildiği, bu verilerin ilgili kişinin kendi
iradesiyle ve iradesine uygun olarak alenileştirilen ve bu vesileyle tüm tarafların
bilgisinde olan bilgiler olduğu, ancak bu bilginin gerçeği yansıtmadığı, ilgili kişinin
veri sorumlusu nezdinde hiçbir dönemde bu seviyede üst düzey bir pozisyonda
çalışmadığı, bu nedenle ilgili kişinin gerçeğe aykırı beyanlarının sebep olduğu bu
durumdan yeni işverenin e-posta yoluyla haberdar edildiği,
• Veri sorumlusu tarafından yeni işveren ile paylaşıldığı belirtilen bu bilgiler (ilgili
kişinin şirketlerinde daha önce direktör seviyesinde çalışmadığı ve işten ayrılış
sebebi) dışında ilgili kişiye ilişkin kişisel verilerin yeni işvereni ile paylaşılmasının
söz konusu olmadığı,
• İlgili kişinin, veri sorumlusunun adını kullanarak etik olmayan, hukuka ve gerçeğe
aykırı bir bilgi ile işvereni nezdinde kendisi lehine haksız bir menfaat sağlaması,
veri sorumlusunun haklarını ve menfaatlerini ihlal etmesi nedeniyle; ilgili kişinin
yeni işvereni ile yapılan bilgi paylaşımı ile yalnızca gerçeğe aykırı olarak beyan
edildiği anlaşılan hususların açıklığa kavuşması, bu durumun düzeltilmesi ve hukuki
etkilerinin ortadan kaldırılmasının amaçlandığı,
• İlgili kişinin yeni işvereni ile sınırlı bir veri paylaşımı olduğu ve bu bilgi paylaşımının
yapılmasında;
-Veri sorumlusunun adı kullanılarak etik olmayan, hukuka ve gerçeğe aykırı
bilginin düzeltilmesi ve ihlalin kaldırılması bakımından şirketleri için,
-Gerçeğe aykırı beyan ile menfaat temini nedeni ile mevzuattan kaynaklanan
haklarının kullanılabilmesi bakımından yeni işveren için,
-Gerçeğe aykırı beyan ile menfaat elde edilemeyeceği ve bu durumun aykırılık
166
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
olarak kabul edilmesi bakımından
• kamusal anlamda korunmaya değer daha üstün bir menfaat bulunduğu,
• Söz konusu üçüncü kişilere veri aktarımının hukuki dayanağını Kanunun 5 inci
maddesinin (2) numaralı fıkrasında belirtilen kişisel veri işleme şartlarından “(e) bir
hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” ve “(f)
ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun
meşru menfaatleri için veri işlemesinin zorunlu olması” nın oluşturduğu,
• Veri sorumlusu tarafından alınan idari ve teknik tedbirlere yönelik açıklamalar
kapsamında; bünyelerinde irtibat kişisinin atandığı, veri envanterinin hazırlandığı,
kişisel verilerin korunmasına yönelik farkındalığı arttırmak için veri sorumlusu
içerisinde tüm çalışanlara eğitimler verildiği, konuyla ilgili çok sayıda politika
ve dokümanın hayata geçirildiği, savunma ekinde de yer verilen idari ve teknik
tedbirler listesinde yer alan pek çok tedbirin uygulandığı
ifadelerine yer verilmiştir.
Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 11/02/2020
tarihli ve 2020/108 sayılı Kararı ile,
• İlgili kişi ve veri sorumlusu (eski işveren) arasında üçüncü kişilere veri
aktarımından kaynaklanan şikâyetin temelini, ilgili kişinin eski işyerinde çalıştığı
son iş pozisyonunu yeni işyerine yönetici pozisyonu olan “Etik Direktörü” olarak
belirtmek suretiyle yanlış beyanda bulunması, ayrıca eski işyerine işten ayrılma
sebebini yurtdışına taşınması olarak ifade etmesinin oluşturduğu,
• İlgili kişinin “çocuklarının ve eşinin uzun bir süredir yurtdışında yaşadıkları ve
ilgili kişinin de bu ülkeye taşınacağı, Türkiye’de fazla kalmayacağı gibi bilgilerin
paylaşıldığı, ayrıca, ilgili kişinin veri sorumlusundan aldığı maaş, prim ve özel
ödeme koşullarına riayet etmeksizin veri sorumlusu bünyesinden ayrıldığı”
iddialarını doğrulayacak herhangi bir bilgi, belge ve benzeri dokümanın ilgili kişi
tarafından Kuruma sunulmadığı, yalnızca veri aktarımının telefon görüşmesi ve iki
adet e-posta ile gerçekleştiği bilgisinin verildiği,
• Söz konusu e-posta yazışmalarının, şikâyet edilen veri sorumlusu tarafından savunma
yazısı ekinde sunulmuş olduğu ve yazışmalardan, yalnızca ilgili kişinin eski işvereni
şirkette hangi tarihler arasında hangi iş pozisyonlarında çalıştığı ve yeni işverenin
ilgili kişinin işten ayrılma nedenine ilişkin soruya cevaben ailevi nedenlerden dolayı
yurtdışına taşınacağı bilgisinin verildiğinin anlaşıldığı,
• İlgili kişinin eski işyerinde çalıştığı tarihler ve iş pozisyonları ile işten ayrılma
sebebine ilişkin olarak, veri sorumlusu ile yeni işvereninin İnsan Kaynakları
Departmanları arasında e-posta yazışmaları yoluyla sınırlı bir veri aktarımının
yapıldığının anlaşıldığı,
• İlgili kişinin veri sorumlusuna ayrılma nedenini “ailevi sebeplerden dolayı yurtdışına
167
KİŞİSEL VERİLERİ KORUMA KURUMU
taşınma” ve yeni işverenine de daha önce çalıştığı iş pozisyonunu “Etik Direktörü”
olarak beyan etmiş olması dikkate alındığında; her iki işverenin de yanlış bilgilerle
yanıltılmış olması nedeniyle, veri sorumlusunun bu bilgilerle ilgili düzeltme
yapmasının kişinin makul beklentisine aykırı olmadığı ve temel hak ve hürriyetlerini
de ihlal etmediği sonucuna varıldığı,
• Ayrıca veri sorumlusu tarafından ilgili kişinin şirketlerinde çalıştığı iş pozisyonuna
ilişkin gerçeği yansıtmayan bilginin düzeltilmesi, şirket itibarının korunması,
şirketlerinin adı kullanılarak yanlış bilgi üzerinden menfaat temin edilmesinin
önlenmesi, gerçeğe aykırı beyandan ötürü şirket alacağının tahsil edilmesi yönünde
hukuki sürecin başlatılması, ilgili kişinin daha önce çalıştığı işyerindeki iş pozisyonu
için yeni işverenini yanıltması sonucunda yeni işverenin mevzuattan kaynaklanan
haklarını kullanabilmesi ve iş yaşamında dürüstlük ve etik ilkelerin teşvik edilmesi
amacıyla gerçekleştirilen söz konusu veri aktarımının hukuki gerekçesinin,
Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendinde öngörülen “ilgili
kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun
meşru menfaatleri için veri işlenmesinin zorunlu olması.” kişisel veri işleme şartına
dayandığı kanaatine varıldığı,
• Diğer taraftan yeni işvereninin, ilgili kişinin kendi şirketlerinde işe başlamasına
ilişkin kurumsal web sitesinde yaptığı duyuruda, ilgili kişinin yeni görevi, eğitim
durumu ve daha önce çalıştığı işyerleri ve iş pozisyonlarının belirtildiği, yapılan
web araştırması sonucunda, yeni işveren tarafından alenileştirilen bu bilgilerin
ilgili kişinin kendisi tarafından da profesyonel sosyal iletişim ağı hesabında
herkesin erişimine açık bir şekilde alenileştirildiğinin belirlendiği, bu doğrultuda
veri sorumlusu tarafından ilgili kişinin açık rızası alınmaksızın gerçekleştirilen
veri aktarımının Kanunun 5 inci maddesinin (2) numaralı fıkrasının (d) bendinde
öngörülen “ilgili kişinin kendisi tarafından alenileştirilmiş olma” kişisel veri işleme
şartına uygun olduğunun değerlendirildiği,
• Veri aktarımı olarak gerçekleşen söz konusu veri işleme faaliyetinin; yanlış bilginin
düzeltilmesi gibi haklı bir gerekçeye dayandığı, veri aktarımının amacının belirli,
açık ve meşru olduğu ve belirtilen amaç ile sınırlı olduğu ve ilgili kişi tarafından
iddia edildiği üzere “hukuka ve dürüstlük kurallarına uygun olma” ve “belirli, açık ve
meşru amaçlar için işlenme ilkesi” ne aykırılık teşkil etmediğinin değerlendirildiği,
• Ayrıca 4857 sayılı İş Kanununun 25/II-a maddesi gereğince “işçinin iş sözleşmesi
yapıldığı sırada bu sözleşmenin esaslı noktalarından biri için gerekli vasıflar
veya şartlar kendisinde bulunmadığı halde bunların kendisinde bulunduğunu ileri
sürerek yahut gerçeğe uygun olmayan bilgiler veya sözler söyleyerek işvereni
yanıltması”nın haklı nedenle derhal fesih sebebi olarak hüküm altına alındığı, yine
aynı Kanunun 426 ncı maddesinde “İşveren, işçinin isteği üzerine her zaman, işin
türünü ve süresini içeren bir hizmet belgesi vermekle yükümlüdür. İşçinin açıkça
istemde bulunması hâlinde, hizmet belgesinde onun iş görmedeki becerisi ile
tutum ve davranışları da belirtilir. Hizmet belgesinin zamanında verilmemesinden
168
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
veya belgede doğru olmayan bilgiler bulunmasından zarar gören işçi veya işçiyi işe
alan yeni işveren, eski işverenden tazminat isteyebilir.” hükümlerinin yer aldığı,
• Bu hükümler her ne kadar doğrudan yeni işvereni ve çalışanı ilgilendiriyor gibi
görünse de, eski işveren için de talep olmasına gerek olmaksızın sorumluluk
doğurduğu kanaatine varılmış olup veri sorumlusunun eski çalışanının kendi
şirketinde çalıştığı iş pozisyonuyla ilgili yanlış bilgiyi düzelterek yeni işvereni
bilgilendirme sorumluluğu hissetmesinin, makul ve olağan bir davranış olduğu
sonucuna ulaşıldığı,
• Diğer taraftan iş etiği açısından bakıldığında, aynı sektörde faaliyet göstermelerinin
doğal sonucu olarak, veri sorumlusunun eski çalışanı hakkındaki yanlış bilgiden
haberdar olduğu halde doğru bilgiyi yeni işvereni ile paylaşmamasının ahlak, iyi
niyet ve dürüstlük kurallarına da uygun olmayacağının değerlendirildiği,
• İlgili kişinin “kişisel verilere erişme yetkisi olanlar tarafından yetkilerini kötüye
kullanmak suretiyle ve işlenme amacı dışında ilgili kişinin ve ailesinin kişisel verilerini
üçüncü kişilerle paylaşarak Kanunu ihlal ettiği ve bu ihlallerin gerçekleşmesini
önlemek için uygun güvenlik düzeyini temin etmeye yönelik gerekli herhangi bir
teknik ve idari tedbir almadığı” yönündeki iddiası dikkate alındığında; e-posta
yazışmaları yoluyla gerçekleşen veri aktarımının eski işveren ile yeni işverenin
insan kaynakları müdürleri arasında yapılması ve insan kaynakları departmanının
temel görevlerinden birisinin de kişilerin özlük dosyalarını tutmak olması nedeniyle
veri sorumlusunun Kanunun 12 inci maddesi uyarınca veri güvenliğine ilişkin
yükümlülüklerini ihlal etmediği
değerlendirmelerinden hareketle;
• Şikâyete konu kişisel veri işleme faaliyetinin hem kişisel verilerin korunması
hem de iş mevzuatının ilgili maddelerine aykırılık teşkil etmediği, veri sorumlusu
tarafından gerçeği yansıtmayan bilginin düzeltilmesi, şirket itibarının korunması,
şirket adı kullanılarak yanlış bilgi üzerinden menfaat temin edilmesinin önlenmesi,
ilerde oluşabilecek hukuki etkilerinin ortadan kaldırılması, iş yaşamında dürüstlük
ve etik ilkelerin teşvik edilmesi amacıyla gerçekleştirildiği belirtilen söz konusu veri
aktarımının Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesinin
(2) numaralı fıkrasının (f) bendi uyarınca “ilgili kişinin temel hak ve özgürlüklerine
zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlemesinin
zorunlu olması” kişisel veri işleme şartına dayandığı, bu kapsamda Kanunun
“Kişisel verilerin aktarılması” başlıklı 8 inci maddesi kapsamında söz konusu veri
aktarımının hukuka aykırı bir veri işleme olmadığı sonucuna varıldığından veri
sorumlusu hakkında herhangi bir müeyyide uygulanmasına yer olmadığına,
• Bununla birlikte Kanunun “İlgili kişinin hakları” başlıklı 11 inci maddesi uyarınca,
ilgili kişinin kişisel verilerinin rızası dışında üçüncü kişilere aktarımına ilişkin
talebinin veri sorumlusu tarafından yeterli düzeyde karşılanamadığı, bu çerçevede
ilgili kişinin talebi doğrultusunda “belirli tarihler arasında veri sorumlusu İnsan
169
KİŞİSEL VERİLERİ KORUMA KURUMU
Kaynakları Departmanı çalışanları tarafından kanunlarda açıkça öngörülmesi ve
Kanun kapsamında veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi
için zorunlu olması durumları haricinde, ilgili kişiye ait kişisel verilerin ilgili kişinin
açık rızası dışında herhangi bir iletişim aracı vasıtasıyla herhangi bir gerçek ve/
veya tüzel kişiye aktarılıp aktarılmadığı; böyle bir aktarım yapıldıysa, yapılan bu
aktarımın hangi amaçla yapıldığını, aktarımın içeriğini, aktaran ve aktarılan kişileri
de gösterir orijinal metnin kopyasını içeren bilgi, belge vb. dokümanın” Kuruma
sunulduğu üzere ilgili kişiye de sunulması ve akabinde söz konusu bilgi, belge vb.
dokümanın ilgili kişiye sunulduğuna dair Kuruma bilgi verilmesi hususunda veri
sorumlusunun talimatlandırılmasına
karar verilmiştir.
1.3.16 “Elektronik satış hizmeti sağlayan bir şirketin veri ihlal bildirimi hakkında”
Kişisel Verileri Koruma Kurulunun 11/02/2020 tarih ve 2020/113 sayılı Karar Özeti
Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;
• Veri sorumlusu Şirketin e-ticaret sektöründe faaliyet göstermekte olduğu,
• Veri sorumlusunun internet sitesinden ve mobil uygulaması üzerinden ticari faaliyet
amacı olmayan satıcılara ikinci el ürünlerini satmaları için bir aracı hizmet sağlayıcısı
olarak teknik alt yapı sunduğu,
• Şirkete, internet sitesinin hacklendiği iddiasının iletildiği,
• Veri sorumlusunun personeli tarafından zaman zaman halka açık bağlantıların
paylaşıldığı kafe ortamlarından çalışıldığı, ağ dinlemesinin de bu sırada gerçekleşmiş
olabileceği,
• Azami 257.000 kişinin etkilenme ihtimalinin bulunduğu ancak veri sorumlusu
tarafından 25 kişi dışında kimsenin veri ihlalinden etkilenmiş olduğuna dair kayıt
tespit edilmediği,
• İhlalden etkilenen ilgili kişi kategorilerinin kullanıcılar olduğu,
• İhlalden etkilendiği belirtilen kişisel verilerin ad, soyadı, e-posta adresi, kriptolanmış
kullanıcı hesabı şifreleri olduğu, 973.147 üyeye kadar olan kullanıcılardan 172.490
adedinin sisteme Facebook profili üzerinden kayıt olduğu için e-posta adreslerinin
sistemde bulunmadığı, ancak veri ihlalinin gerçekleştirildiği e-posta adresi ile Şirket
arasında yapılan konuşmalarda; tüm veri tabanları, kaynak kodlar, dosya ve müşteri
verilerinin ele geçirildiğinin iddia edildiği,
• İhlalden özel nitelikli kişisel verilerin etkilenmediği,
• Kayıtlı kullanıcılara bildirimde bulunulduğu ifadelerine yer verilmiştir.
Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun
11/02/2020 tarih ve 2020/113 sayılı sayılı Kararı ile;
170
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
Veri ihlalinden önce veri sorumlusuna ait internet ağı dışında halka açık bağlantıların
paylaşıldığı kafe ortamlarından sisteme herhangi bir kısıt bulunmaksızın erişildiği,
sızma testlerinin ihlalden sonra yapıldığı, ihlal öncesi sistemlerinde kritik bilgilere
erişime neden olabilecek SQL Injection, Cross Site Scripting gibi zafiyetlerin
bulunduğu, mobil uygulama içerisine tanımlanmış SSL Sertifikası olmamasından dolayı
uygulama trafiğinin rahatlıkla dinlenebildiği, politikaların ve müdahale planlarının
ihlal gerçekleştikten sonra oluşturulduğu, veri ihlali gerçekleşmeden önce kurumsal
eğitim ve farkındalık faaliyetlerinin düzenlenmediği ve veri ihlalinin ancak veri ihlalini
gerçekleştiren kişinin veri sorumlusu ile iletişime geçmesi neticesinde tespit edilebildiği
dikkate alınarak 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci
maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli
teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18 nci maddesinin
(1) numaralı fıkrasının (b) bendi uyarınca 200.000 TL idari para cezası uygulanmasına
karar verilmişti
1.3.17 “İlgili kişilerin kişisel verileri olan banka hesap hareketlerinin, mevduat
bilgilerinin, para yatırma ve çekme işlemlerinin açık rızaları olmaksızın vergi
müfettiş yardımcısı tarafından hukuka aykırı olarak işlenmesi” hakkında Kişisel
Verileri Koruma Kurulunun 13/02/2020 tarihli ve 2020/120 sayılı Karar Özeti
Kuruma intikal eden şikayet dilekçesinde özetle; ilgili kişilerin çalışmakta olduğu
mükellef kurum hakkında Vergi Müfettiş Yardımcısı tarafından yapılmış olan bir vergi
incelemesi sonucunda düzenlenen “Vergi Tekniği Raporunda” (Rapor) kendileri ile
ilgili bir vergi incelemesi olmamasına rağmen şahıslarına ait kişisel veri olan banka
hesap hareketlerinin, mevduat bilgilerinin, para yatırma ve çekme işlemlerinin rızaları
olmaksızın hukuka aykırı olarak işlendiği belirtilerek, veri sorumlusu ile ilgili olarak
6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin
yapılması talep edilmiştir.
Bu kapsamda, başlatılan inceleme çerçevesinde veri sorumlusu Bakanlıktan şikâyete
konu Raporda adı geçen şikâyetçilerin yapılan vergi incelemesinin konusu olup olmadığı;
şikâyetçilerin şahıslarının vergi incelemesinin konusu olmamasına rağmen banka hesap
hareketlerine, mevduat bilgilerine, para yatırma ve çekme işlemlerine bakılmış olması
halinde bunun hangi yasal gerekçelerle yapıldığı hususlarının açıklanması istenilmiştir.
Veri sorumlusundan alınan cevabi yazıda;
• Vergi Denetim Kurulu Maltepe Küçük ve Orta Ölçekli Mükellefler Grup
Başkanlığının görevlendirme yazılarında, mükellef şirketin 2012 ila 2016 yılları
arası ihracat teslimleri nedeniyle KDV iadesi yönünden incelenmesinin istendiği,
• Herhangi bir hazine zararı doğmaması adına kapsamlı bir araştırma yapıldığı
ve yapılan araştırmada, mükellefin banka hesaplarında normal hayata ve ticari
icaplara uymayan şekilde, banka şubesinden yüklü miktarlarda elden para yatırma
işlemlerinin tespit edildiği; söz konusu işlemleri mükellefin %100 ortağı olan şahıs
171
KİŞİSEL VERİLERİ KORUMA KURUMU
ve bu şahıs tarafından kurumu temsile vekil tayin edilen şikayetçi ilgili kişilerin
gerçekleştirdiği,
• İlgili kişiler tarafından yatırılan paraların yine aynı gün içinde çek keşide edilmek
suretiyle borcun ödenmesinde kullanıldığı; yapılan araştırmada, çekin mükellef
şirket tarafından borçluya verildiği gün birçok firma tarafından, tek elden çıkmış gibi
ciro edildiği ve aynı gün para yatırılan banka şubesinden, herhangi bir mükellefiyeti
olmayan alakasız kişiler tarafından tahsil edildiğinin tespit edildiği,
• Ciro silsilesinde yer alan firmalar hakkında olumsuz tespitler bulunması üzerine 213
sayılı Vergi Usul Kanununun 3 üncü maddesi gereğince olayın gerçek mahiyetini
ortaya çıkarmak üzere 178 sayılı Maliye Bakanlığının Teşkilat ve Görevleri Hakkında
Kanun Hükmünde Kararnamenin 39 uncu maddesi ile 31/10/2011 tarihli ve 28101
sayılı Resmi Gazetede yayımlanan Vergi Denetim Kurulu Yönetmeliğinin 80 inci
maddesine dayanılarak hazırlanan “Vergi İncelemeleri ile İlgili Bilgi Taleplerinde
Uyulacak Usul ve Esaslara İlişkin Yönerge”nin 6 ncı maddesi hükmü gereğince
ilgili kişilerin, sadece mükellef kurumun çek ödemesi olarak kullandığı bankalarda
bulunan hesapları hakkında bilgi talebinde bulunulduğu,
• Banka hesaplarının incelenmesi neticesinde şüphelerin yerinde olduğunun
görüldüğü, mükellef şirketin çekleri tahsil edilir iken, tahsil edilen tutarlar bazında,
ilgili kişiler tarafından şahsi banka hesaplarına kimi zaman aynı tutar kimi zaman ise
farklı tutarların geri yatırıldığının tespit edildiği ve pek çok çekin tahsilatı sırasında
ilgili kişilerin aynı şubede bulunup işlem gerçekleştirdiğinin anlaşıldığı,
• Bakanlık Vergi Müfettişlerinin, yürüttükleri vergi incelemeleri ile ilgili bilgi
istemelerinin esas olduğu, müfettiş tarafından istenen bilgilerin gerek mükellef
şirket tarafından adı geçen iki şahsa vekâlet verilmesi gerek incelenen mükellefin
işlemlerinde önemli bir yer teşkil etmesi nedenleriyle, incelemenin dışına çıkılması
ve ilgisiz kişilerin banka hesaplarının istenmesi anlamını taşımadığı, diğer bir
deyişle yapılan işlemin yasal olduğu
ifadelerine yer verilmiştir.
Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun
13/02/2020 tarih ve 2020/120 sayılı Kararı ile,
• 213 sayılı Vergi Usul Kanununun (213 sayılı Kanun) “Vergi Kanunlarının
uygulanması ve ispat” başlıklı 3 üncü maddesinin B fıkrasına göre, vergiyi
doğuran olay ve bu olaya ilişkin her türlü işlemin yemin dışındaki her türlü delille
ispatlanabileceği, olayın özelliğine göre mutat olmayan bir durumun iddia olunması
halinde ispat külfetinin iddia edende olduğu
• 213 sayılı Kanunun “İncelemeye yetkililer” başlıklı 135 inci maddesine göre vergi
incelemesinin; vergi müfettişleri, vergi müfettiş yardımcıları, ilin en büyük mal
memuru veya vergi dairesi müdürleri tarafından yapıldığı,
• Benzer şekilde, 213 sayılı Kanunun “İncelemede uyulacak esaslar” başlıklı 140 ıncı
172
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
maddesinin yedinci fıkrası çerçevesinde vergi raporlarının hukuka aykırı olmaması
bakımından katı ve çok aşamalı prosedürlerin öngörüldüğü,
• Yine, anılan maddenin on birinci fıkrasının; “Bu maddede belirlenen esaslar
çerçevesinde, vergi incelemelerinde uyulacak diğer usul ve esaslar, komisyonların
teşekkülü ile çalışma usul ve esasları ve Merkezi Rapor Değerlendirme Komisyonu
tarafından doğrudan değerlendirmeye tabi tutulacak vergi inceleme raporlarının
tutarları, Maliye Bakanlığınca çıkarılan yönetmelikle belirlenir.” hükmünü; 178
sayılı “Maliye Bakanlığının Teşkilat ve Görevleri Hakkında Kanun Hükmünde
Kararname”nin “Bakanlığın düzenleme görev ve yetkisi” başlıklı 39 uncu maddesi
ise; “Bakanlık, kanunla yerine getirmekle yükümlü olduğu hizmetleri tüzük,
yönetmelik, tebliğ, genelge ve diğer idari metinlerle düzenlemekle görevli ve
yetkilidir.” hükmünü amir olduğu,
• Anılan düzenlemelere dayanılarak yayımlanan “Vergi İncelemelerinde Uyulacak
Usul ve Esaslar Hakkında Yönetmelik”in (Yönetmelik) amacının, vergi
incelemelerinde uyulacak usul ve esasları düzenlemek olduğu, Yönetmeliğin
“Vergi inceleme görevinin verilmesi” başlıklı 6 ncı maddesi uyarınca;
“(1) Vergi inceleme görevi yazı ile verilir. İnceleme görevi yazılarında; nezdinde inceleme
yapılacak kişilere ve konulara ilişkin bilgilere, incelemenin türüne, gerekçesine,
dönemine ve süresine ilişkin hususlara yer verilir. İnceleme görev yazısı ekinde yer
alan belgeler, elektronik ortamda inceleme yapmaya yetkili olanlara gönderilebilir.
(…)
• (3) Vergi incelemesi, sadece inceleme görev yazısında belirtilen konu ve döneme ilişkin
olarak yapılır. İnceleme konusu ve dönemi ile ilgili olmayan herhangi bir hususa ilişkin
mükelleften bilgi ve belge talebinde bulunulamaz. Yürütülmekte olan incelemeler
sırasında, görevlendirme yazısında belirtilenden farklı bir konu veya döneme ilişkin
eleştiriyi gerektiren hususların tespiti durumunda söz konusu durum inceleme
görevini verenlere bildirilir. Görevlendirme yazısında yer alan inceleme konusuna
giren tespitlerin, bu yazıda yer almayan farklı vergi türlerine ilişkin olarak da rapor
yazılmasını gerektirmesi durumunda, bu husus yeni bir görevlendirme gerektirmez.
(4) Yürütülmekte olan incelemeler sırasında farklı bir mükellef nezdinde inceleme
yapılma ihtiyacı duyulduğunda durum gerekçeleri ile birlikte bağlı olunan birime
bildirilir. (…)” hükmünün düzenlendiği,
• Diğer bir deyişle, vergi incelemesi esnasında görevlendirmede yer alandan farklı
bir konu veya döneme ilişkin eleştiriyi gerektiren hususlar tespit edilirse, herhangi
bir yeni görevlendirmeye gerek olmaksızın bu durum inceleme görevini verene
bildirilerek o konuya ilişkin araştırma yapılabileceği, kaldı ki, Vergi Müfettiş
Yardımcısı tarafından düzenlenen cevabi yazıda yapılan kişisel veri işleme
faaliyetinin inceleme kapsamında kaldığının ifade edildiği,
Yönetmeliğin “İnceleme tutanakları” başlıklı 16 ncı maddesinde;
“MADDE 16 – (…)
173
KİŞİSEL VERİLERİ KORUMA KURUMU
(4) Tutanakta yer alan hususların vergi kanunları karşısında yapılması muhtemel
işlemler bakımından ispatlama vasıtası olduğu ve yapılması muhtemel işlemlerin neler
olduğu mükellefe izah edilir.
(5) Vergi incelemesi yapmaya yetkili olanlar, ilgilileri tutanakları imzalamaları için
zorlayamazlar. İlgililer tutanakları imzalamaktan çekindikleri takdirde tutanakta bahis
konusu edilen olaylar ve hesap durumlarını ihtiva eden defter ve belgeler, nezdinde
inceleme yapılandan rızasına bakılmaksızın alınır ve inceleme neticesinde tarh edilen
vergiler ve kesilen cezalar kesinleşinceye kadar geri verilmez. İlgililer her zaman bu
tutanakları imzalayarak defter ve belgeleri geri alabilirler.
(6) Suç delili olan defter ve belgeler mükellefin rızasına bakılmaksızın alıkonulur. (…)”
hükmüne yer verildiği,
• Bu kapsamda, mükellef tutanakları imzalamaktan imtina etse dahi tutanakta yer alan
olayları ve hesap durumlarını içeren defter ve belgelerin mükellefin rızası olmaksızın
alıkonulacağı, benzer şekilde, suç delili niteliğinde olan defter ve belgelerin de
mükellefin rızası olmaksızın alıkonulabileceği,
• Öte yandan, Yönetmeliğin 17 nci maddesinin birinci fıkrasının (c) bendinde
“vergilendirme ile ilgili olaylar ve/veya hesap durumları”nın vergi inceleme
tutanaklarında yer alacağı hususunun da düzenlendiği,
• Söz konusu Rapor bakımından yapılan işlemlerin kişisel veri işleme faaliyeti olduğu ve
bu kapsamda Bakanlığın veri sorumlusu; vergi müfettiş yardımcısının ise Bakanlığın
çalışanı olduğu, Kanunun 5 inci maddesinin (1) numaralı fıkrasında; kişisel verilerin
ilgili kişinin açık rızası olmaksızın işlenemeyeceği; (2) numaralı fıkrasında belirtilen
şartlardan birinin varlığı halinde ise, ilgili kişinin açık rızası aranmaksızın kişisel
verilerinin işlenmesinin mümkün olduğunun hükme bağlandığı, vergi incelemesine
ilişkin olarak bu incelemenin amacı ve gerçekleştirilmesine yönelik 213 sayılı
Kanunda ve ilgili Yönetmelikte detaylı düzenlemelere yer verildiği, bu çerçevede,
somut olay bakımından yapılan incelemede işlenen kişisel verilerin Kanunun 5
inci maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan “Veri sorumlusunun
hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartı kapsamında
işlendiğinin değerlendirildiği,
• Öte yandan, Kanunun “İstisnalar” başlıklı 28 inci maddesinin ikinci fıkrasının (c)
bendinde kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili
kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca,
denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya
kovuşturması için gerekli olması halinde, Kanunun veri sorumlusunun aydınlatma
yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı
hariç, ilgili kişinin haklarını düzenleyen 11 inci ve Veri Sorumluları Siciline kayıt
yükümlülüğünü düzenleyen 16 ncı maddelerinin uygulanmayacağının hükme
bağlandığı,
• Bu kapsamda incelemeye konu edilen yazı bağlamında Kanunun “İstisnalar” başlıklı
174
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
28 inci maddesinin (2) numaralı fıkrasının (c) bendinin uygulanıp uygulanmayacağı
değerlendirildiğinde kamu kurumu niteliğini haiz Bakanlığın, 213 sayılı Kanunun
verdiği yetkiye dayanarak denetleme görevi kapsamında kişisel verileri işlediğinin
anlaşıldığı, somut olayda veri işleme şartları bulunmakla birlikte kısmi istisna olarak
sayılan Kanunun 28 inci maddesinin (2) numaralı fıkrasının (c) bendinin uygulanacak
olması dolayısıyla söz konusu kişisel veri işleme faaliyetleri bakımından Kanunun
veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, veri sorumluları
siciline kayıt yükümlülüğünü düzenleyen 16 ncı ve zararın giderilmesini talep etme
hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci maddelerinin uygulama alanı
bulmayacağı ancak veri sorumlusunun Kanunun diğer hükümleri ile bağlı olacağı,
• Ayrıca, Kanunun “Genel ilkeler” başlıklı 4 üncü maddesinde ise, kişisel verilerin
ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak
işlenebileceği ve kişisel verilerin işlenmesinde maddede; “a) Hukuka ve dürüstlük
kurallarına uygun olma. b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık
ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü
olma. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre
kadar muhafaza edilme.” şeklinde sayılan ilkelere uyulmasının zorunlu olduğunun
düzenleme altına alındığı, anılan madde hükmünden açıkça anlaşılacağı üzere,
kişisel verilerin işlenmesinde her hal ve şartta Kanunun 4 üncü maddesinde sayılan
genel ilkelere uyulmasının hukuki bir gereklilik olduğu,
• Bakanlığın cevabi yazısı ve eki evrakta, üç farklı görevlendirme yazısına istinaden,
mükellef kurumun 2012 ila 2016 yılları arası ihracat teslimleri nedeniyle KDV iadesi
yönünden incelenmesi sürecinde; mükellef kurumun banka hesaplarında normal
hayata ve ticari icaplara uymayan şekilde, banka şubesinden yüklü miktarlarda
elden para yatırma işlemlerinin gerçekleştirildiğinin ve bu işlemlerin de mükellef
kurumun %100 ortağı olan şahıs tarafından kurumu temsile vekil tayin edilen ilgili
kişiler tarafından gerçekleştirildiğinin tespit edilmesi üzerine, 213 sayılı Kanunun
3 üncü maddesi gereğince olayın gerçek mahiyetini ortaya çıkarmak amacıyla, adı
geçen kişilerin sadece mükellef kurumun çek ödemesi olarak kullandığı bankalarda
bulunan hesaplarının inceleme sürecine dâhil edildiğinin belirtildiği, bu çerçevede,
başvuran ilgili kişilerin kişisel verilerinin hukuka ve ölçülülük ilkesine uygun olarak
işlendiği,
• 213 sayılı Kanunun “Vergi mahremiyeti” başlıklı 5 inci maddesi uyarınca vergi
muameleleri ve incelemeleri ile uğraşan memurların görevleri dolayısıyla, mükellefin
ve mükellefle ilgili kimselerin şahıslarına, muamele ve hesap durumlarına, işlerine,
işletmelerine, servetlerine veya mesleklerine ilişkin olmak üzere öğrendikleri sırları
veya gizli kalması lazım gelen diğer hususları ifşa edemeyecekleri ve kendilerinin
veya üçüncü şahısların nef’ine kullanamayacakları hususunun hüküm altına
alındığı, ayrıca, bahsi geçen yasağın bu kişiler görevlerinden ayrılsalar dahi devam
edeceği de aynı hüküm altında vurgulandığı, ilgili düzenlemeden de görüleceği
üzere, inceleme kapsamında mükellefle ilgili kimselerin hesap durumlarının elde
edilebileceği gibi; bu görevi ifa eden memurların da konuya ilişkin sır saklama
175
KİŞİSEL VERİLERİ KORUMA KURUMU
yükümlülüğü bulunduğu, başvuran ilgili kişilerin mükellef kurumun %100 ortağı olan
kişi tarafından kendilerine vekâlet verilmesi suretiyle şirketi temsile haiz olmaları
nedeniyle bu kişilerin “mükellefle ilgili kimseler” kapsamında değerlendirileceği,
dolayısıyla, başvuranlara ait kişisel veri olan hesap numaralarının incelemeye konu
olabileceği
değerlendirmelerinden hareketle,
• Vergi Usul Kanunu ve sair mevzuat hükümleri de incelendiğinde, şikâyete konu
veri işleme faaliyetinde; vergi incelemesi kapsamında mükellefle ilgili kimselerin
hesap durumlarının elde edilebileceği, bu nedenle ilgili kişilerin mükellefin
%100 ortağı tarafından kendilerine vekâlet verilmesi suretiyle şirketi temsile
haiz olmaları nedeniyle bu kişilerin “mükellefle ilgili kimseler” kapsamında
değerlendirilebileceğine, bu noktada tüm mükellef şirket çalışanlarının değil şirketi
temsile yetkili kişilerin mükellefin çek ödemesi olarak kullandığı banka hesaplarıyla
sınırlı olarak kişisel verilerinin işlenmesinin ölçülülük ilkesine uygun olduğuna,
bu çerçevede, Kanunun 28 inci maddesinin (2) numaralı fıkrasının (c) bendi
uyarınca yapılan kişisel veri işleme faaliyetinin Kanunun 5 inci maddesinin (2)
numaralı fıkrasının (ç) bendi kapsamında veri sorumlusunun hukuki yükümlülüğü
çerçevesinde yerine getirildiğine ve şikâyete konu kişisel verilerin açık rıza
olmaksızın işlenebileceğine karar verilmiştir.
1.3.18 “İlgili kişinin irtibat numarasının bir elektrik dağıtım şirketi tarafından
herhangi bir işleme şartına dayanılmaksızın işlenmesi” hakkında Kişisel Verileri
Koruma Kurulunun 27/01/2020 tarihli ve 2020/66 sayılı Karar Özeti
Kuruma intikal eden bir şikâyette özetle; ilgili kişinin irtibat numarasına, bir elektrik
dağıtım firması tarafından kendisine ait olmayan birkaç elektrik abone numarasına ilişkin
farklı konularda bilgilendirme amaçlı SMS’ler gönderildiği, söz konusu aboneliklere
dair bilgilendirme mesajı almak istemediği, kendisine ait irtibat numarasının söz konusu
sözleşmelerin iletişim bilgilerinden silinmesi ve başvurusunun sonucu hakkında yazılı
olarak haberdar edilmesi konusunda veri sorumlusuna abone numarası sayısı kadar
başvuruda bulunulduğu, ancak veri sorumlusu tarafından başvuru kapsamında herhangi
bir işlem yapılmadığı ve kendisine cevap verilmediği, buna karşın irtibat numarasına
hâlen bilgilendirme mesajı gönderildiği belirtilerek 6698 sayılı Kişisel Verilerin
Korunması Kanunu (Kanun) kapsamında gerekli işlemin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması
istenilmiş olup, alınan cevabi yazıda; incelemeye konu talep değerlendirilmiş olup ilgili
kişi adına kayıtlı olan irtibat numarasında güncelleme yapıldığı ifade edilmiş ancak bu
durumu tevsik edici herhangi bir doküman gönderilmemiştir.
İlgili kişinin şikayeti, veri sorumlusunun savunması ve ilgili mevzuat hükümlerinin
birlikte incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 27/01/2020 tarih
ve 2020/66 sayılı Kararı ile;
176
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
• Kanunun 3 üncü maddesinin (1) numaralı fıkrasının (d) bendi uyarınca kişisel
verinin; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, (e)
bendi uyarınca kişisel verilerin işlenmesinin; kişisel verilerin tamamen veya kısmen
otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik
olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi,
değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde
edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi
gibi veriler üzerinde gerçekleştirilen her türlü işlemi, (ç) bendi uyarınca ilgili
kişinin; kişisel verisi işlenen gerçek kişiyi, (ı) bendi uyarınca veri sorumlusunun;
kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin
kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişiyi ifade ettiği,
• Yukarıda aktarılan “kişisel veri” tanımına istinaden cep telefonu numarasının
kimliği belirli bir gerçek kişiye ulaşılmasını sağladığından, şikâyette bulunanın
ilgili kişi sıfatını ve şikâyet edilen elektrik dağıtım şirketinin veri sorumlusu sıfatını
haiz olduğu,
• Kanunun “İlgili Kişinin Hakları” başlıklı 11 inci maddesinde,
“herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
a)Kişisel veri işlenip işlenmediğini öğrenme,
b)Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c)Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını
öğrenme,
ç)Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d)Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini
isteme,
e)7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok
edilmesini isteme,
f)(d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü
kişilere bildirilmesini isteme,
g)İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle
kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ)Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde
zararın giderilmesini talep etme haklarına sahiptir.” hükmüne yer verildiği,
• İlgili kişinin veri sorumlusuna yaptığı başvuruda talebi, her ne kadar cep telefonu
numarasının kendisine ait olmayan aboneliklere yönelik veri işleme faaliyetlerine
ilişkin olarak silinmesi olarak belirtilse de, yukarıda aktarılan Kanunun 11 inci
maddesi bağlamında bu talebin “kişisel verilerin eksik ya da yanlış işlenmiş
177
KİŞİSEL VERİLERİ KORUMA KURUMU
olması halinde düzeltilmesini isteme” hakkıyla örtüştüğü, zira Kişisel Verilerin
Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin
8 inci maddesinin (1) numaralı fıkrasında kişisel verilerin silinmesinin, “kişisel
verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz
hale getirilmesi işlemidir” şeklinde tanımlandığı bu bakımdan, ilgili kişinin veri
sorumlusunun dağıtımını üstlendiği elektrik hizmetinden yararlanmaya devam
eden bir sözleşmesinin olup olmadığı bilinemediğinden ve veri sorumlusunun,
kendisinden istenilen bilgi ve belge talebinde bu hususta bir açıklama yapmadığından
talebin Kanun kapsamındaki silme işlemi değil “...düzeltilmesini isteme” olarak
değerlendirilmesi kanaatine varıldığı,
• Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin 6 ncı maddesinin
(1) numaralı fıkrasında “Veri sorumlusu bu Tebliğ kapsamında ilgili kişi
tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun
olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla
yükümlüdür.” (2) numaralı fıkrasında “Veri sorumlusu, başvuruyu kabul eder
veya gerekçesini açıklayarak reddeder.” (5) numaralı fıkrasında “Veri sorumlusu
başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç
otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyet
gerektirmesi hâlinde, 7 nci maddede belirtilen ücret alınabilir. Başvurunun, veri
sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.”
düzenlemelerine yer verildiği,
• Veri sorumlusunun ilgili kişinin Tebliğ hükümlerine göre yaptığı başvuruya kendisine
tanınan 30 günlük süre içerisinde cevap vermediğinden Tebliğin 6 ncı maddesinin
(2) ve (5) numaralı fıkralarına aykırılık ortaya çıktığı, ilgili kişinin başvurusuna
neden cevap verilmediğinin veri sorumlusuna gönderilen bilgi, belge yazısında
sorulduğu, ancak veri sorumlusunun bu hususta herhangi bir cevap vermediği,
• Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde ise kişisel verilerin ancak bu
Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği
hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere
yer verildiği, bu çerçevede, kişisel verilerin ancak; hukuka ve dürüstlük kurallarına
uygun şekilde, belirli, açık ve meşru amaçlar kapsamında, doğru ve gerektiğinde
güncel olma şartıyla, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili
mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza
edilme ilkelerine uygun işlenebileceği,
• Kanunun kişisel verilerin işlenme şartlarının belirlendiği 5 inci maddesinin (1)
numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmadan işlenemeyeceği
hüküm altına alınmış olmakla birlikte, (2) numaralı fıkrasında, kişisel verilerin
a)Kanunlarda açıkça öngörülmesi
b)Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına
hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden
178
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
bütünlüğünün korunması için zorunlu olması,
c)Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla,
sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
ç)Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
d)İlgili kişinin kendisi tarafından alenileştirilmiş olması,
e)Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
f)İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun
meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı
halinde ilgili kişinin açık rızası aranmaksızın işlenebileceğinin hükme bağlandığı,
• İlgili kişinin irtibat numarasının kendisine ait olmayan aboneliklerde kullanıldığına
dair veri sorumlusu tarafından Kuruma herhangi bir açıklama yapılmadığı, ayrıca
Kuruma intikal eden cevabi yazısında belirttiği hususa dair destekleyici bir doküman
sunulmadığı, bu sebeple ilgili kişinin irtibat numarasının işlenmesine ilişkin Kanunun
5 inci maddesinde belirtilen kişisel veri işleme şartlarının bulunup bulunmadığının
tespitine imkân tanınmadığı, ancak mezkûr cevabi yazıda ilgili kişi adına sistemde
kayıtlı olan telefon numarasında güncelleme yapıldığı açıklamasından hareketle, veri
sorumlusu tarafından ilgili kişinin irtibat numarasının kişisel veri işleme faaliyetine
dâhil edildiği,
• Kanunda belirtilen veri işleme ilkelerinden “Doğru ve Gerektiğinde Güncel Olma
İlkesi” uyarınca, veri sorumlusunun her zaman ilgili kişinin bilgilerinin doğru ve
güncel olmasını temin edecek kanalları açık tutması gerektiği, bu ilkenin aslında
kişisel verilerin düzeltilmesini isteme hakkıyla ilişkili olduğu, bu bakımdan, ilgili
kişinin dilekçe ile yaptığı başvuruların işleme alınmasında zorluk çıkarılması
ve kabul edildikten sonra süresi içinde ilgili kişiye talebine ilişkin olarak dönüş
yapılmamasının bu ilkeye aykırı olarak hareket edildiğinin ve ilgili kişinin hakkını
kullanamamasına yol açtığının bir göstergesi olduğu
değerlendirmelerinden hareketle
• Kanunun 13 üncü maddesinin (2) numaralı fıkrasında “Veri sorumlusu başvuruda
yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde
ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyet gerektirmesi halinde,
Kurulca belirlenen tarifedeki ücret alınabilir” hükmü ile Veri Sorumlusuna Başvuru
Usul ve Esasları Hakkında Tebliğin 6 ncı maddesinin (1) numaralı fıkrasındaki “Veri
sorumlusu bu Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin,
hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü
idari ve teknik tedbirleri almakla yükümlüdür.” hükmüne istinaden ilgili kişinin
başvurusunu süresi içinde cevaplamayan veri sorumlusunun Kanun kapsamında
yöneltilen başvuruları zamanında, tam ve eksiksiz olarak cevaplaması hususunda
talimatlandırılmasına,
179
KİŞİSEL VERİLERİ KORUMA KURUMU
• Mevcut bilgi ve belgeler bir bütün olarak değerlendirildiğinde; veri sorumlusu
tarafından ilgili kişinin cep telefonu numarasının, Kanunun 4 üncü maddesinde
belirtilen “Belirli, açık ve meşru amaçlar için işlenme” ilkesi göz önünde
bulundurulduğunda, Kanunun 5 inci maddesinde belirtilen kişisel veri işleme şartlarına
dayanmadan işlendiği, bu hususun ise veri güvenliğine ilişkin yükümlülüklerin
düzenlendiği Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendinde yer
alan “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun
güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri
almak zorundadır” hükmüne aykırılık teşkil ettiği değerlendirildiğinden, Kanunun
18 inci maddesinin (1) numaralı fıkrasının (b) bendine istinaden veri sorumlusu
hakkında 100.000 TL idari para cezası uygulanmasına,
• İlgili kişinin talebinin yerine getirildiğine yönelik veri sorumlusunun, gerekli
bilgi, belge ve kayıtları ilgili kişiye iletmesi ve yine söz konusu hususları yerine
getirdiğine dair bilgi, belge ve kayıtları Kanunun 15 inci maddesinin (5) numaralı
fıkrası uyarınca 30 gün içinde Kurula sunması hususunda talimatlandırılmasına
karar verilmiştir.
1.3.19 “Veri sorumlusu ve veri işleyenin tespitinde göz önünde bulundurulması
gereken hususlar ile aydınlatma yükümlülüğünün kim tarafından yerine
getirileceği”ne ilişkin Kişisel Verileri Koruma Kurulunun 30/01/2020 tarihli ve
2020/71 sayılı Karar Özeti
1-Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 3
üncü maddesinin birinci fıkrasının (ı) bendi uyarınca veri sorumlusu; “kişisel verilerin
işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve
yönetilmesinden sorumlu olan gerçek ve tüzel kişi”yi ifade etmektedir. Bu çerçevede,
kişisel verilerin işlenmesine ilişkin kararları alma, işleme faaliyetinin amacı, bu faaliyetin
ne zaman başlayacağı kimler tarafından gerçekleştirileceği ve benzeri hususlarda karar
verme yetkisi veri sorumlusuna aittir. Kişisel verilerin işleme amaçlarını ve vasıtalarını
belirleyen veri sorumlusu, veri işleme faaliyetinin temel araçlarını ve amaçlarını;
veri işlemenin “neden” ve “nasıl” olacağını belirlemektedir. Diğer bir deyişle, teknik
ve organizasyona ait araçların belirlenmesi, veriye kimin erişeceği, hangi verilerin
işleneceği, bu verilerin ne kadar süre tutulacağı, ne şekilde saklanacağı gibi veri işlemeye
ilişkin temel unsurlar veri sorumlusu tarafından belirlenmektedir. Bununla birlikte veri
sorumlusu, kişisel verilerin korunmasına yönelik mevzuata uyumla ilgili tedbirlerin
alınmasından, veri işleyeni denetimden ve ilgili kişilerin haklarını kullanabilmesini
sağlamaktan sorumludur. Veri sorumlusunun özerk ve bağımsız olması da önem arz
etmektedir. Veri sorumlusu kimseden emir ve talimat almayan, bilakis bir başka kişiye
veri işletmesi halinde bu hususta emir ve talimat veren, veri işleme süreçlerinin her
anında serbestçe karar verme yetkisine sahip olan gerçek veya tüzel kişilerdir.
29’uncu Madde Çalışma Grubu’nun veri sorumlusu ve veri işleyene yönelik yayınlamış
olduğu 1/2010 sayılı tavsiye kararı uyarınca da veri sorumlusunun belirlenmesine yönelik
180
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
çeşitli kriterler getirilmiştir. Benzer şekilde, Avrupa Veri Koruma Denetmeni tarafından
7 Kasım 2019 tarihli “2018/1725 Numaralı Tüzük Kapsamında Veri Sorumlusu, Veri
İşleyen ve Müşterek Veri Sorumlusu Kılavuzu” yayımlanmıştır. Bu kılavuz, 29’uncu
Madde Çalışma Grubu tavsiye kararı ile de örtüşmektedir. İlgili düzenlemelerde de
Kanunla benzer veri sorumlusu tanımı yapılarak veri sorumlusu kavramı irdelenmiştir.
Sayılan ulusal ve Avrupa Birliğinde mevcut tüm düzenlemelerin değerlendirilmesi
ışığında, veri sorumlusunun tespiti için aşağıdaki hususlara kimin karar verdiği
belirleyici olmakta, bu kapsamda söz konusu kriterlerin çoğunu gerçekleştirenler, veri
sorumlusu olarak değerlendirilmektedir.
• Kişisel verilerin toplanması ve toplama yöntemi,
• Toplanacak kişisel veri türleri,
• Hangi bireylerin kişisel verilerinin toplanacağı,
• Kişisel verinin işlenmesine ve kimin işleyeceğine karar verme,
• İşleme faaliyetinin temel unsurlarına karar verme (hangi kişisel verilerin toplanacağı,
toplanan verilerin hangi amaçlarla kullanılacağı ve ne şekilde işleneceği, verilerin
ne kadar süreyle saklanacağı, veri saklama politikasının ne şekilde olacağı, verilere
kimlerin erişme yetkisi olacağı, alıcıların kim olacağı gibi hususlar işlemenin temel
unsurlarına örnek olarak gösterilebilir)
• Toplanan verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kiminle paylaşılacağı,
• Kişisel verilerin işlenmesinde üst düzeyde, herhangi bir emir ve talimat almadan
karar verebilme,
• İlgili kişilerle doğrudan muhatap olma,
• Kendi adına veri işleme faaliyetini yürütecek bir veri işleyen atama,
• İşleme faaliyetinden menfaat sağlama.
2-Veri işleyen ise, Kanunun 3 üncü maddesinin birinci fıkrasının (ğ) bendinde “Veri
sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya
tüzel kişi” olarak tanımlanmıştır. Veri işleyenin faaliyetleri, veri işlemenin daha çok
teknik kısımları ile ilgilidir. Kişisel verilerin işlenmesine ilişkin kararların alınması
yetkisi ise veri sorumlusuna aittir. Veri işleyen, veri sorumlusu adına kişisel verileri
işlemekte olup, veri sorumlusunun belirlemiş olduğu temel amaç ve araçlar ve veri
sorumlusunun verdiği yetki doğrultusunda veri işleme faaliyetini gerçekleştirmektedir.
Diğer bir deyişle veri işleyen, veri sorumlusunun çıkarlarını gözeten, kendisine verilen
belirli görevleri aldığı talimatlar doğrultusunda yerine getirmekle yükümlü olan taraftır.
Bu çerçevede, veri işleyenin verileri hukuka uygun olarak işlemesi veri sorumlusunun
vermiş olduğu emir ve talimatlara uyduğu ölçüde gerçekleşecektir.
Belirtmekte fayda görülmektedir ki, veri sorumlusunun yetki vermesi halinde, veri
işleyen veri işleme faaliyetleri esnasında önemli ölçüde bir özerkliğe sahip olabilir
181
KİŞİSEL VERİLERİ KORUMA KURUMU
ve bu doğrultuda işleme faaliyetinin temel olmayan öğelerini de tanımlayabilir. Veri
sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi veri işleyen
tarafından işlenmesi halinde; alınan her türlü teknik ve idari tedbirler hususunda bu
kişilerle birlikte müştereken sorumludur. Bununla birlikte veri sorumlusu, yapacağı
kişisel veri işleme sözleşmesi ile;
• Kişisel verilerin toplanması için hangi bilgi teknolojileri sistemlerinin veya diğer
metotların kullanılacağı,
• Kişisel verilerin hangi yöntemle saklanacağı,
• Kişisel verilerin korunması için alınacak güvenlik önlemlerinin detayları,
• Kişisel verilerin aktarımının hangi yöntemle yapılacağı,
• Kişisel verilerin saklanmasına ilişkin sürelerin doğru uygulanabilmesi için
kullanılacak metot,
• Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi yöntemleri
hususlarında karar verme yetkisini veri işleyene bırakabilir. Yani, özellikle bazı teknik
konularda veri sorumlusunun menfaatlerine bağlı kalmak ve talimatlarına uymak
koşuluyla, veri işleyen de bazı konularda karar verme yetkisini haiz olabilir. Diğer
taraftan, veri işleyenin tespiti için genel itibariyle;
• Kişisel veri işlemek için başkasından talimat alınması,
• Kişisel verilerin kişilerden toplanması sürecinde karar verme yetkisine sahip
olmamak,
• Kişisel verilerin kullanım amaçlarının belirlenmemesi,
• Verilerin ne şekilde ifşa olabileceğine, kimlerin bu verilere erişebileceğine karar
verme yetkisine sahip olmamak,
• Veri saklama sürecine karar verme yetkisine sahip olmamak,
• Veri işlemenin sonuçlarından sorumlu olmaması,
• Veri sorumlusu ile yapılacak sözleşme gibi yasal bağlayıcılığı olan anlaşmalar
çerçevesinde veri sorumlusunun verdiği yetkiler çerçevesinde kişisel verilerin
işlenmesine yönelik birtakım karar verme mekanizmalarının söz konusu olup
olmadığı
hususları değerlendirilmek suretiyle yukarıda sayılanların çoğunun bulunması halinde
veri işleme faaliyetini gerçekleştiren veri işleyen olarak kabul edilecektir.
3-Öte yandan, Kanunun muhtelif hükümlerinde veri sorumlusuna birtakım yükümlülükler
getirilmiştir. Bu yükümlülükler başlıca “aydınlatma yükümlülüğü, veri güvenliğine ilişkin
yükümlülükler, ilgili kişiler tarafından yapılan başvuruların cevaplanması ve Kişisel
Verileri Koruma Kurulunun (Kurul) kararlarının yerine getirilmesi yükümlülüğü, veri
182
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
sorumluları siciline kaydolma yükümlülüğü” olarak sayılabilir. Kanun koyucu kişisel
verileri işlenen ilgili kişilere bu verilerinin kim tarafından, hangi amaçlarla ve hukuki
sebeplerle işlenebileceği, kimlere hangi amaçlarla aktarılabileceği hususunda bilgi talep
etme hakkı tanımakta ve bu hususları, veri sorumlusunun aydınlatma yükümlülüğü
kapsamında ele almaktadır. Buna göre veri sorumlusu, Kanunun 10 uncu maddesi
çerçevesinde kişisel verilerin elde edilmesi sırasında bizzat veya yetkilendirdiği kişi
aracılığıyla aşağıdaki bilgileri ilgili kişiye sağlamakla yükümlüdür:
• Veri sorumlusunun ve varsa temsilcisinin kimliği,
• Kişisel verilerin hangi amaçla işleneceği,
• Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
• Kişisel veri toplamanın yöntemi ve hukuki sebebi,
• 11 inci maddede sayılan diğer hakları.
Veri Sorumluları Siciline kayıt yükümlülüğünün bulunması durumunda aydınlatma
yükümlülüğü çerçevesinde ilgili kişiye verilecek bilgiler, Sicile açıklanan bilgilerle
uyumlu olmalıdır. Aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişinin onayına
tabi değildir. Tek taraflı bir beyanla aydınlatma yükümlülüğü yerine getirilebilir.
Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı ise veri sorumlusuna aittir.Ayrıca
belirtmek gerekir ki, Kanunun 10 uncu maddesinde yer alan aydınlatma yükümlülüğü
“Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar
Hakkında Tebliğ” (Aydınlatma Tebliği) hükümlerine uygun olarak yerine getirilmelidir.
Her ne kadar aydınlatma yükümlülüğü veri sorumlusuna ait olsa da veri işleyene verdiği
talimatlar doğrultusunda veri işleyen tarafından da aydınlatma yükümlülüğünün yerine
getirilebileceği değerlendirilmektedir. Nitekim, Kanunun 10 uncu maddesinde “kişisel
verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi aracılığıyla”
denilmek suretiyle veri sorumlusuna aydınlatma yükümlülüğü konusunda iki seçenek
tanınmıştır. Diğer bir deyişle, aydınlatma yükümlülüğünün bizzat veri sorumlusu
tarafından mı yoksa yetkilendireceği kişi tarafından mı yerine getirileceği konusunda
Kanun, veri sorumlusuna seçim hakkı tanımıştır.
Sonuç olarak; Kanunun 10 uncu maddesinde düzenlenen “aydınlatma yükümlülüğü”
bizzat veri sorumlusu tarafından veya veri sorumlusunun yetkilendirdiği bir kişi
tarafından yerine getirilebilir. Veri sorumlusu tarafından yetkilendirilen kişi de veri
işleyen olabilir.
1.3.20 “Bir uçak bileti satış firması olan veri sorumlusu hakkındaki şikayetle ilgili”
Kişisel Verileri Koruma Kurulunun 06.02.2020 Tarihli ve 2020/86 Sayılı Karar
Özeti
İlgili kişinin “….com” internet adresi üzerinden hizmet veren bir uçak bileti satış
firması olan veri sorumlusunun sistemlerinde ….@outlook.com şeklinde kayıtlı olan
183
KİŞİSEL VERİLERİ KORUMA KURUMU
üyelik e-posta adresinin …@gmail.com olarak güncellenmesini talep ettiği; ancak
söz konusu talebinin, üyelik e-posta adresleri üzerinde değişiklik işlemi yapılamadığı
ve kullanılmak istenilen e-posta adresiyle yeni bir üyelik başlatılabileceği gerekçe
gösterilerek reddedilmesi nedeniyle Kurumumuza yaptığı Eylül 2018 tarihli başvuru ile
ilgili yürütülen incelemede veri sorumlusu tarafından Kurumumuza iletilen savunma
yazısında, ilgili kişinin başvurusunun, esasen sisteminde kayıtlı olmayan bir e-posta
adresinden gönderildiği ve bu başvurunun tebliğde sayılan yöntemlerin herhangi
biri ile gerçekleşmemiş olması sebebiyle reddedildiği açıklamasında bulunulmuş
olup, bu kapsamda ilgili kişinin başvurusunun veri sorumlusunun cevabı ile birlikte
değerlendirilmesi neticesinde 01/03/2019 tarih ve 2019/48 sayılı Kişisel Verileri
Koruma Kurulu Kararı ile
• Mevzuatla belirlenen usule uygun olmayan başvurusu nedeniyle kişinin kimliğinin
tanımlanamadığı noktasından hareketle, ilgili kişinin talebini reddeden veri
sorumlusunun bu eylemine ilişkin olarak 6698 sayılı Kişisel Verilerin Korunması
Kanunu (Kanun) hükümleri kapsamında yapılacak bir işlem bulunmadığına,
• Bununla birlikte, veri sorumlusu tarafından ilgili kişinin başvurusunun Kuruma
yapılan açıklamada olduğu gibi sistemlerinde kayıtlı olmayan bir e-posta adresi
üzerinden yapılması nedeniyle kişinin kimliğinin belirlenemediği gerekçesiyle
değil üyelik e-posta adresleri üzerinde değişiklik işlemi yapılamadığı gerekçesiyle
reddedilmesi karşısında veri sorumlusunun, Veri Sorumlusuna Başvuru Usul ve
Esasları Hakkında Tebliğ kapsamında ilgili kişi tarafından yapılan bir başvuruyu
dürüstlük kuralına uygun olarak sonuçlandırmadığı dikkate alınarak, bundan böyle
Tebliğ kapsamında ilgili kişiler tarafından yapılacak başvuruları etkin, hukuka ve
dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve
teknik tedbirleri alması hususunda Şirketin talimatlandırılmasına karar verilmiş
olup, bu karar ilgili kişiye ve veri sorumlusuna tebliğ edilmiştir.
Müteakiben, ilgili kişinin aynı veri sorumlusu hakkındaki ikinci şikayet başvurusunda
özetle,
• İlgili kişinin 12.04.2019 tarihinde KEP hesabını kullanarak veri sorumlusunun KEP
adresi olan “…@....kep.tr” adresine e-posta göndererek sistemlerinde kayıtlı “…@
outlook.com” adresinin “…@gmail.com” olarak güncellenmesini talep ettiği,
• Kayıtlı elektronik posta aracılığıyla gönderilen e-postanın aynı gün içerisinde veri
sorumlusu tarafından okunduğu ancak 30 gün içerisinde ilgili kişiye veri sorumlusu
tarafından cevap verilmediği belirtilerek, 6698 sayılı Kanun kapsamında gereğinin
yapılması talep edilmiştir.
Veri sorumlusu savunmasında özetle;
• “…@gmail.com” adlı e-posta adresinden müvekkili firmaya bir e-posta gönderilerek
bu e-postada sisteme kayıtlı bir kullanıcı olan ilgili kişinin bir takım kişisel verisini
yazarak sistemdeki e-posta adresinin güncellenmesini talep ettiği,
184
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
1.3.21 “Geçmiş sağlık verilerinin düzeltilmesine/silinmesine yönelik şikâyetler”
hakkında Kişisel Verileri Koruma Kurulunun 06/02/2020 tarihli ve 2020/93 sayılı
Karar Özeti
İlgili kişilerden alınan şikâyet dilekçelerinde özetle; geçmişte çeşitli sebeplerle
kaydedilen sağlık raporlarının ve özellikle psikiyatrik hastalık tanılarının yaşamlarında
sorun teşkil ettiği ve girmiş oldukları ve/veya girmeyi planladıkları çeşitli sınavların
bu kayıtlardan dolayı olumsuz sonuçlandığı ve/veya sonuçlanacağı, ancak bu rapor/
tanıların gerçeği yansıtmadığı ifadelerine yer verilerek söz konusu kişisel verilerin
sağlık kayıtlarından düzeltilmesi ya da silinmesi talep edilmiştir.
Konuya ilişkin olarak başlatılan inceleme çerçevesinde veri sorumlusu Bakanlıktan
alınan yazıda;
• Anayasanın 20 nci maddesinde kişisel verilerin korunmasını isteme hakkının kişisel
verilerin silinmesini talep etme hakkını da kapsadığı ifade edilse de kişisel verilerin
korunmasına ilişkin usul ve esaslarının kanunla düzenleneceğinin öngörüldüğü
ve buna ilişkin usul ve esasların 6698 sayılı Kişisel Verilerin Korunması Kanunu
(Kanun) ile belirlendiği,
• Kanunun 7 nci maddesi hükmünden de anlaşılacağı üzere Anayasanın 20 nci
maddesinde yer alan kişisel verilerin silinmesini talep etme hakkının mutlak hak
olmayıp bu hakkın ileri sürülmesinin belirli şartların varlığına bağlandığı, Kanun ve
ikincil düzenlemelerle belirlenen bu şartların dayanağının yine Anayasanın 20 nci
maddesinin son fıkrasında bulunan “Kişisel verilerin korunmasına ilişkin esas ve
usuller kanunla düzenlenir.” hükmü olduğu,
• Buna ilaveten, 28.10.2017 tarihli ve 30224 sayılı Resmi Gazetede yayınlanarak
yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale
Getirilmesi Hakkında Yönetmeliğin 12 nci maddesinde
“ 1) İlgili kişi, Kanunun 13 üncü maddesine istinaden veri sorumlusuna başvurarak
kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;
a) Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu
talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu,
ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir. b)
Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel
veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir;
üçüncü kişi nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin
eder. c) Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep
veri sorumlusunca Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca gerekçesi
açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak
ya da elektronik ortamda bildirilir.” hükmünün bulunduğu, dolayısıyla kişisel veri işleme
şartlarının tamamının ortadan kalkmadığı gerekçesiyle ilgili kişilerin kişisel verilerinin
silinmesi taleplerinin veri sorumlusu tarafından reddedilebileceği, bu Yönetmelik ile de
bunun hüküm altına alındığı,
185
KİŞİSEL VERİLERİ KORUMA KURUMU
• Anılan mevzuat hükümleri çerçevesinde kişilere kendi verilerini silme hakkının
verilmediğinin değerlendirildiği, bu hususun Kanun ve ikincil düzenlemelerden de
anlaşıldığı, veri silme taleplerinin ilgili kişi tarafından veri sorumlusuna iletilebileceği
ve ancak belirli şartların varlığı halinde kişisel verilerin silinebileceğinin
düzenlendiği,
• Bu kapsamda, kişilerin sağlık geçmişlerinde yer alan psikiyatrik tanıların silinmesi
halinde kamu güvenliği ve kamu düzeni bakımından çok ciddi tehditlerin gündeme
gelebileceği, kişilerin kendilerine konulan psikiyatrik tanılar nedeniyle alamadıkları
sürücü ehliyeti ve silah ruhsatı gibi belgeleri almaya hak kazanabilecekleri,
gerçekte var olmasına ya da var olmadığı ispat edilmemiş olmasına rağmen silinen
rahatsızlıkların etkileri ile istenmeyen olayların yaşanabileceğinin değerlendirildiği,
• Kanunun tam muafiyet hallerinin düzenlendiği 28 inci maddesinin birinci fıkrasında
kamu güvenliği ve kamu düzenine yer verildiği ve önemlerine binaen bu şartlardan
herhangi birisinin varlığı durumunda Kanunun uygulanmayacağına yer verildiği,
• Ayrıca Kanunun 6 ncı maddesinin üçüncü fıkrasında yer alan “…Sağlık ve cinsel
hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu
hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri
ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü
altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık
rızası aranmaksızın işlenebilir.” hükmü kapsamında, sağlığa ilişkin verilerin tıbbi
teşhis, tedavi ve bakım hizmetlerinin yürütülmesi amacıyla ilgili kişilerin açık
rızaları olmaksızın Bakanlıklarınca işlenebileceği, bu durumda verilerin işlenme
sebeplerinin açık rıza değil, Kanunun 6 ncı maddesinin üçüncü fıkrasında yer alan
amaçlar olduğu,
• Sonuç olarak, ilgili kişilerin sağlık geçmişlerinde yer alan psikiyatrik tanıların,
Bakanlıklarınca resen veya ilgili kişinin başvurusu üzerine kamu güvenliği ile
kamu düzeni bakımından büyük bir tehdit doğuracağı ve bu sebeple ilgili tanıların
silinmesinin uygun olmayacağının değerlendirildiği,
• Diğer taraftan, Bakan Yardımcılığının 17.05.2019 tarihli Makam Oluru
kapsamında sehven konulan tanıların silinmesi için tanı girişi yapan hekimin
tanının hatalı kaydedildiğini bildiren yazısı, tanı girişinin yapıldığı sağlık tesisinin
başhekim onaylı resmi yazısı veya hatalı kaydedildiği belirtilen tanının silinmesine
ilişkin ilgili il sağlık müdürlüğünün ya da ilgili Genel Müdürlük yazısının Genel
Müdürlüklerine iletilmesi gerektiği;
• Sehven kaydedildiği kanıtlanmamış tanılar için ise ilgili il sağlık müdürlüğüne
başvurulması ve bünyesinde kurulan bir komisyon ya da ilgili il sağlık müdürlüğü
tarafından görevlendirilen hekim vasıtası ile hatalı kaydedildiği iddia edilen tanının
araştırılması, araştırma sonucunda tanının hatalı kaydedildiği sonucuna ulaşılması
halinde düzenlenecek raporda “ilgili tanının kişide bulunup bulunmadığının” net
şekilde ifade edilmesi ya da bu hususta bir eğitim araştırma hastanesinden alınacak
186
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
heyet raporu ile birlikte sağlık tesisinin bağlı bulunduğu il sağlık müdürlüğüne
başvuru yapılması gerektiği; bu sürecin takip edilmesi sonucunda sehven konulan
tanılarla belirli bir muayene neticesinde konulmasına karşın kişi üzerindeki etkisi
devam etmeyen tanıların silinmesinin mümkün bulunduğu belirtilmiştir.
Bahse konu şikayet başvurularının incelenmesi neticesinde Kişisel Verileri Koruma
Kurulunun 06/02/2020 tarih ve 2020/93 sayılı Kararı ile;
• 6698 sayılı Kanunun amacı kişisel verilerin işlenmesinde başta özel hayatın gizliliği
olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen
gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek
olup, Kanunun 3 üncü maddesinde kişisel verinin, kimliği belirli veya belirlenebilir
gerçek kişiye ilişkin her türlü bilgi şeklinde tanımlandığı,
• Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde, kişisel verilerin ancak bu
Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği
hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere
yer verildiği, bu çerçevede, kişisel verilerin ancak,
a)Hukuka ve dürüstlük kurallarına uygun şekilde,
b)Belirli, açık ve meşru amaçlar kapsamında,
c)Doğru ve gerektiğinde güncel olma şartıyla,
ç)İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve
d)İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar
muhafaza edilme ilkelerine uygun işlenebileceği,
• Kanunun 6 ncı maddesinde ise özel nitelikli kişisel verilerin işlenme şartları
düzenlenmiş olup, anılan maddenin; “(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi,
felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya
da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle
ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. (2)
Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler,
kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.
Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının
korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin
yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi
amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili
kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen
yeterli önlemlerin alınması şarttır.” şeklinde hüküm altına alındığı,
• Kanunun 7 nci maddesinin (1) numaralı fıkrasında, bu Kanun ve ilgili diğer kanun
hükümlerine uygun olarak işlenmiş olmasına rağmen işlenmesini gerektiren
187
KİŞİSEL VERİLERİ KORUMA KURUMU
sebeplerin ortadan kalkması halinde kişisel verilerin resen veya ilgili kişinin talebi
üzerine veri sorumlusu tarafından silineceği, yok edileceği veya anonim hale
getirileceğinin hükme bağlandığı,
• Kişisel Verilerin Silinmesi Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında
Yönetmeliğin kişisel verilerin silinmesine ilişkin 7 nci maddesinin (1) numaralı
fıkrasında Kanunun 5 inci ve 6 ncı maddelerinde yer alan kişisel verilerin işlenme
şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veri sorumlusu
tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim
hâle getirilmesi gerektiği; 8 inci maddesinin (1) numaralı fıkrasında kişisel verilerin
silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar
kullanılamaz hale getirilmesi işlemi olarak tanımlanırken (2) numaralı fıkrasında
veri sorumlusunun, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar
kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlü
olduğunun düzenlendiği,
• Yönetmeliğin 12 nci maddesinin (1) numaralı fıkrasında ise ilgili kişinin, Kanunun
11 inci ve 13 üncü maddelerine istinaden veri sorumlusuna başvurarak kendisine
ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde; kişisel verileri
işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusunun talebe konu kişisel
verileri sileceği, yok edeceği veya anonim hale getireceği, ayrıca veri sorumlusunun,
ilgili kişinin talebini en geç otuz gün içinde sonuçlandıracağı ve ilgili kişiye bilgi
vereceğinin belirlendiği,
• Kanunun 11 inci maddesinde ise ilgili kişilerin hakları sıralanmış olup,
maddede “Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; a) Kişisel veri
işlenip işlenmediğini öğrenme, b) Kişisel verileri işlenmişse buna ilişkin bilgi talep
etme, c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp
kullanılmadığını öğrenme, ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı
üçüncü kişileri bilme, d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde
bunların düzeltilmesini isteme, e) 7 nci maddede öngörülen şartlar çerçevesinde
kişisel verilerin silinmesini veya yok edilmesini isteme, f) (d) ve (e) bentleri uyarınca
yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi
suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, ğ) Kişisel
verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın
giderilmesini talep etme haklarına sahiptir” hükmüne yer verildiği,
• 21.06.2019 tarihli ve 30808 sayılı Resmi Gazetede yayınlanan Kişisel Sağlık Verileri
Hakkında Yönetmeliğin 4 üncü maddesinin birinci fıkrasının (k) bendinde kişisel
verilerin imha edilmesinin; kişisel verilerin silinmesi, yok edilmesi veya anonim
hale getirilmesi şeklinde tanımlandığı,
• Anılan Yönetmeliğin “Kişisel Sağlık Verilerinin Düzeltilmesi” başlıklı 13 üncü
maddesinin;
188
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
“(1) İlgili kişi, kendisi hakkında sehven oluşturulan sağlık verilerinin düzeltilmesi
hususunda sağlık verisinin oluşturulduğu sağlık hizmeti sunucusunun bağlı bulunduğu
il sağlık müdürlüğüne başvurur. İl sağlık müdürlüğü, ilgili sağlık hizmeti sunucusunda
yapacağı araştırma neticesinde sağlık verisinin sehven oluşturulduğu bilgisine ulaşırsa
resmi yazı ile Genel Müdürlüğe başvurur ve sehven oluşturulan sağlık verisinin
düzeltilmesini ister.
(2) Genel Müdürlük tarafından tesis edilecek işlem, sağlık hizmeti sunucusunun kendi
veri tabanında da gerçekleştirilir.
(3) Genel Müdürlük, sağlık hizmeti sunucuları tarafından oluşturulan sağlık verilerinin
kendileri tarafından düzeltilebileceği tarihi belirler ve bu tarihi ihtiyaca göre günceller.
Genel Müdürlükçe belirlenen bu tarihten sonra oluşturulan sağlık verileri ilgili sağlık
hizmeti sunucusu tarafından; bu tarihten önce oluşturulan sağlık verileri ise ilgili il
sağlık müdürlüğünün talebi üzerine Genel Müdürlükçe düzeltilir.” ve kişisel sağlık
verilerinin imha edilmesi başlıklı 14 üncü maddesinin “(1) Kişisel verilerin imha
edilmesinde, Kanunun 7 nci maddesi ile Kurum tarafından hazırlanarak 28/10/2017
tarihli ve 30224 sayılı Resmî Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok
Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine riayet
edilir.” hükmünü amir olduğu değerlendirmelerinden hareketle;
• İlgili kişilerin kişisel sağlık verilerinin düzeltilmesi talepleri hususunda, Kişisel
Sağlık Verileri Hakkında Yönetmeliğin 13 üncü maddesi kapsamında ilgili il
sağlık müdürlüklerine başvuruda bulunmaları ve il sağlık müdürlükleri tarafından
başvurularına olumsuz cevap verilmesi sebebiyle Kurula yaptıkları şikâyetler
kapsamında; kişisel sağlık verilerinin işlenme şartlarının “kamu sağlığının korunması,
koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık
hizmetleri ile finansmanının planlanması ve yönetimi” şartının ortadan kalkmaması
sebebiyle kaydedilen sağlık verilerinin bu amaca hizmet ettiği dikkate alındığında
bahse konu şikâyetler ile ilgili olarak Kanun kapsamında yapılacak bir işlem
olmadığına,
• İlgili kişilerin kişisel sağlık verilerinin silinmesine ilişkin talepleri hususunda kişisel
sağlık verilerinin işlenme şartlarından “kamu sağlığının korunması, koruyucu
hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri
ile finansmanının planlanması ve yönetimi” şartının ortadan kalkmaması sebebiyle
kaydedilen sağlık verilerinin bu amaca hizmet ettiği dikkate alındığında bu verilerin
Bakanlık tarafından Kanunun 6 ncı maddesinin üçüncü fıkrası kapsamında işlendiği
ve söz konusu işleme şartlarının ortadan kalkmaması nedeniyle Kanun kapsamında
yapılacak bir işlem olmadığına karar verilmiştir.
189
KİŞİSEL VERİLERİ KORUMA KURUMU
1.3.22 “Bir Bankanın Potansiyel Müşteri Kazanımı Amacıyla İlgili Kişinin Kişisel
Verilerini Hukuka Aykırı Şekilde İşleyerek Hesap Açmasına İlişkin Olarak Kurula
Yapılan Başvuru Hakkında” Kişisel Verileri Koruma Kurulunun 06/02/2020
Tarihli ve 2020/103 Sayılı Karar Özeti
• İlgili kişinin 2018 yılı sonunda bir Banka şubesinde mevduat hesabı açtırmak
istediğinde aynı Bankanın başka bir ildeki şubesinde Ocak 2016’da açılan bir ticari
hesabının olduğu, anne kızlık soyadı dahil tüm kimlik bilgilerinin bahsi geçen
Banka şubesindeki hesapta görüldüğü bilgisini edinmesi karşısında, adına hesap
açılan şubenin bulunduğu yere daha önce hiç gitmemiş olması ve yine hiç ticari
faaliyet yürütmemesine rağmen Banka nezdinde kişisel verilerinin hukuka aykırı
olarak işlenmesi suretiyle adına hesap açılması hakkında Kişisel Verileri Koruma
Kuruluna ilettiği şikayet başvurusunun Bankadan alınan bilgi ve belgelerle birlikte
incelenmesi neticesinde:
• Veri sorumlusu Bankanın, potansiyel müşteri kazanımı amacıyla yapılan bir
çalışmada üçüncü bir taraftan temin edilen liste vasıtasıyla ilgili kişinin bilgilerine
ulaştığı ve müşteri numarasının oluşturulduğu ancak, Temel Bankacılık Hizmet
Sözleşmesi imzalanmadan müşteri numarası aktif hale gelemeyeceğinden ilgili
kişinin müşteri numarasının da aktif bir hesap haline gelmediği beyanı karşısında;
• Müşteri numarasının oluşturulduğunun iddia edildiği Ocak 2016’da 07/04/2016
tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) yürürlükte
olmamakla birlikte, Bankanın ilgili kişiye vermiş olduğu 2018 yılına ait cevap
içeriğinden ilgili kişinin verilerinin halen veri sorumlusu nezdinde bulunduğu
anlaşıldığından ilgili kişiye yönelik kişisel veri işleme faaliyetinin Kanunun 5 inci
maddesinin (1) numaralı fıkrasında yer alan açık rıza şartı yerine getirilmeksizin
ve (2) numaralı fıkrada sayılan hallerden biri mevcut olmaksızın gerçekleştirilmiş
olması sebebiyle Bankanın Kanuna aykırı veri işleme faaliyetinde bulunduğu, öte
yandan Kanunun Geçici 1 inci maddesinin (3) numaralı fıkrasına aykırı şekilde
ilgili kişiye ait kişisel verilerin derhal silinmediği, yok edilmediği veya anonim hale
getirilmediği, bu nedenle veri sorumlusu Bankanın Kanunun 4 üncü maddesindeki
genel ilkelere de aykırı bir şekilde ilgili kişinin kişisel verileri olan kimlik ve adres
bilgilerini işlediği,
• hususları dikkate alınarak; anılan Bankanın Kanunun 12 nci maddesinin (1) numaralı
fıkrasının (a) bendindeki kişisel verilerin hukuka aykırı olarak işlenmesini önlemek
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli idari ve teknik
tedbirlerin alınması yükümlülüğüne aykırı hareket ettiği kanaatine varıldığından
hakkında Kanunun 18 inci maddesinin (b) bendi kapsamında 210.000 TL idari para
cezası uygulanmasına karar verilmiştir.
190
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
1.3.23 “Veri sorumlusu havayolu şirketi bünyesindeki çalışanın ilgili kişiye ait
kişisel verileri 6698 sayılı Kişisel Verilerin Korunması Kanununa aykırı şekilde
şirket kayıtlarından elde etmesi” hakkında Kişisel Verileri Koruma Kurulunun
13/02/2020 tarihli ve 2020/124 sayılı Karar Özeti
İlgili kişi tarafından Kuruma intikal ettirilen şikâyette özetle, veri sorumlusu
bünyesindeki çalışanın ilgili kişiye ait uçuş bilgilerini şirket kayıtlarından elde ettiği,
bunu da bir başka çalışanla paylaştığı, bu çalışanın da söz konusu bilgileri ilgili kişiye
ilettiği, aralarındaki husumet nedeniyle ilgili kişinin her uçuş sonrası aranarak verileri
elde eden çalışan tarafından rahatsız edildiği, durumun veri sorumlusuna e-posta ile
bildirildiği, ancak, aramalara devam edilmesi üzerine noter aracılığıyla veri sorumlusuna
ihtarname gönderildiği, veri sorumlusunun vermiş olduğu cevapta çalışanın kişisel
verileri elde ettiğinin tespit edildiği, fakat çalışan hakkında bir işlem yapılmadığının
belirtildiği, daha sonrasında, aramaların devam ettiği, ilgili kişinin hakaret ve tehditlere
maruz kaldığı, bunun üzerine, yetkili makamlara bildirimde bulunduğu, ancak yaptığı
başvurular çerçevesinde veri sorumlusu tarafından verilen cevabın ve alınan aksiyonların
yetersiz olduğu belirtilerek konunun 6698 sayılı Kişisel Verilerin Korunması Kanunu
(Kanun) kapsamında incelenmesi talep edilmiş ve yazı ekinde ayrıca her iki çalışan
ile gerçekleştirdiği kişisel telefonuna ait Whatsapp konuşma görüntüleri, telefon çağrı
geçmişi kayıtları ve PNR bilgileri sunulmuştur.
Kuruma intikal eden şikayet dilekçesi ekinde yer alan veri sorumlusunun ilgili kişiye
verdiği cevapta özetle,
• Kişisel verileri elde eden çalışanın görevi gereği yolcu bilgilerine erişim yetkisinin
olduğu, bu çalışanın bilgiye erişim kayıtlarının incelenmesi neticesinde gerekli
yaptırımların uygulandığı,
• Şikâyete konu kişiler arası görüşmelerin içeriğinin tespit edilemediği,
• Değerlendirmeler sonucunda, ilgili kişiye ait kişisel verilerin bazı ek kontroller
uygulanmadan güvenlik amacıyla görüntülenmesini engelleyecek ek tedbirlerin
uygulamaya alındığı, Kanunda belirtilen amaçlar ve yasal dayanaklara istinaden veri
sorumlusu tarafından saklanan ilgili kişiye ait kişisel verilerin herhangi bir yetkisiz
erişime konu olmadığı, kişisel verilerin gerekli teknik ve idari tedbirler uygulanarak
muhafaza edildiği
ifade edilmiştir.
Başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan
cevabi yazıda özetle;
• İlgili kişinin ilk olarak çalışanlar hakkında veri sorumlusuna dolandırıcılık ve haksız
menfaat iddiasıyla şikâyette bulunduğu,
• Şikâyetin aynı gün iç denetim birimlerine iletildiği ve konu hakkında soruşturma
başlatıldığı, ilgili kişi ve çalışanlarla yapılan görüşmeler ile veri sorumlusunun
kayıtlarının incelenmesi sonucunda hiçbir aşamada dolandırıcılık, tehdit ve benzeri
bir eylem tespit edilemediği,
191
KİŞİSEL VERİLERİ KORUMA KURUMU
• Ardından ilgili kişinin göndermiş olduğu ihtarnamenin veri sorumlusuna ulaştığı,
şikâyetçi olduğu kişilere ait özel hayatın gizliliğini ihlal eder nitelikteki bazı görsel
kayıtların da bizzat ilgili kişi tarafından veri sorumlusuna iletildiği, gerçek kişiler
arasındaki bu durumun birden fazla adli sürece konu olduğu ve devam ettiği, bununla
birlikte, kişilerin karşılıklı olarak 6284 sayılı Ailenin Korunması ve Kadına Karşı
Şiddetin Önlenmesine Dair Kanun kapsamında adli tedbir talep ettiği, bu durumda
ilgili kişilerin birbirlerine ait kimlik ve iletişim bilgilerine şirketlerinin müdahalesi
ve kayıtları dışında sahip oldukları ve veri sorumlusunun ilgili kişi ile çalışanlar
arasındaki kişisel ilişkilerin tarafı olmadığı, bu nedenle, veri sorumlusunun yürüttüğü
incelemenin PNR kayıtlarına erişim ve bunların kullanımı üzerine olduğu,
• İlgili kişinin çalışanlar tarafından arandığının tevsiki için bildirdiği telefon
numarasının veri sorumlusuna ait olmadığı ve telefon görüşmelerinin içeriğine
yönelik şikâyetlerin soruşturma kapsamında değerlendirilmediği,
• Yapılan incelemeler neticesinde veri sorumlusu çalışanının ilgili kişiye ait PNR
kayıtlarına yönelik sistemde arama yaptığının tespit edildiği,
• …. yöneticisi olan çalışanın uçuş operasyonlarına yönelik emniyet risklerini, güvenlik
tehditlerini ve üst düzey yönetim adına güvenlik yönetim sistemi operasyonunun
günlük işleyişini yönetmek ve izlemekten sorumlu olduğu,
• Erişim yetkisinin kişinin görev tanımı gereği ve 2920 sayılı Türk Sivil Havacılık
Kanununun 40 ıncı maddesi dördüncü fıkrasında yer alan “Havayolu ile seyahat
edecek kişilerin bilgileri kişilerin seyahatini kolaylaştırmak veya güvenlik ve risk
değerlendirmesi yapmak amacıyla Kanun çerçevesinde toplanabilir, kaydedilebilir,
işlenebilir, paylaşılabilir, havacılık güvenliği ve emniyetini sağlamak üzere
değerlendirilerek gereken tedbirler alınabilir” hükmü doğrultusunda tanımlamış
olması nedeniyle hukuka aykırı bir erişimin söz konusu olmadığı,
• Değerlendirmeler sonucunda ilgili kişiye ait kişisel verilerin saklanması ve erişim
yetkilerinin tanımlanması konusunda hukuka aykırı bir durum olmadığı,
• Yürütülen soruşturma kapsamında görev gereği erişim yetkisi bulunan kişisel
verileri kişisel çıkarlar doğrultusunda görüntülemenin Kanunda yer alan ilkelere
aykırı olduğu, bununla birlikte, Kanuna aykırı olarak görüntülenen kişisel verilerin
yetkisiz üçüncü kişiler ile paylaşılmadığı,
• Kişisel verilerin iş amacı dışında kullanılması sonucu oluşan bir zarar tespit
edilmediği,
• Kişisel verilerin veri sorumlusu tarafından işlenmesine devam edilmesi nedeniyle
ilgili kişinin temel hak ve hürriyetlerine yönelik veya mevcut bir durum nedeniyle
ilgili kişi haricindeki yolculara ait kişisel verilere yönelik herhangi bir ihlal tespit
edilmediği,
• Kanuna aykırı olarak kişisel verileri görüntüleyen çalışan hakkında yazılı uyarı
verildiği ve yetkilerinin iptal edilerek görevleri kapsamındaki tüm sorgulama
192
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
taleplerinin ayrı bir departman üzerinden gerçekleştirilmesinin sağlandığı,
• Veri sorumlusu bünyesinde farkındalığın artırılması adına çalışanlara yönelik çevrim
içi eğitim gerçekleştirildiği,
• İç denetim birimleri tarafından yapılan kontroller sonucunda şikâyet bildiriminin
yapılmasından sonra herhangi bir sorgulama gerçekleştirilmediği, bu nedenle, alınan
tedbirlerin olumlu sonuç doğurduğu,
• İlgili kişinin, 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı maddeleri
kapsamında kişisel verilerin hukuka aykırı olarak ele geçirildiği iddiasıyla suç
duyurusunda bulunduğu ve soruşturmanın halen devam ettiği,
• Çalışanlara yönelik veri güvenliği konusunda belirli aralıklarla eğitim ve farkındalık
çalışmaları yürütüldüğü, bu kapsamda, soruşturması yapılan çalışanların eğitimlerini
başarı ile tamamladığı
ifade edilmiştir.
Söz konusu iddiaların incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun
13/02/2020 tarih ve 2020/124 sayılı Kararında;
Kişisel Verilerin Korunması Kanununun 12 inci maddesinin veri sorumlusunun veri
güvenliğine ilişkin yükümlülüklerini düzenlendiği, buna göre “(1) Veri sorumlusu;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin
etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
(2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi
tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda
bu kişilerle birlikte müştereken sorumludur.
(3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını
sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
(4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun
hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar.
Bu yükümlülük görevden ayrılmalarından sonra da devam eder.” hükmüne yer verildiği,
• Somut olayda, veri sorumlusunun yürüttüğü soruşturma kapsamında kişisel verileri
elde eden çalışanın ifadesine başvurulduğu, bu doğrultuda, şikâyete konu çalışanın,
ilgili kişinin kişisel verilerinin paylaşıldığı diğer çalışanın uçuşlarına katılacağı
düşünerek, sistem üzerinden arama gerçekleştirdiğini kabul ettiği, diğer taraftan,
ilgili kişi ile arasında hâlihazırda dava durumu söz konusu olduğu, mahkeme
sürecinin başladığı, bunun yanı sıra, ilgili kişiye hiçbir müdahalede bulunulmadığı,
193
KİŞİSEL VERİLERİ KORUMA KURUMU
• Dilekçe ekinde yer verilen söz konusu Whatsapp konuşma ve telefon çağrı geçmişi
görüntülerinin veri sorumlusu çalışanlarına ait olup olmadığı konusunda herhangi bir
bilginin bulunmadığı, bununla birlikte, veri sorumlusunun soruşturma raporuna göre
kişisel verileri elde eden çalışanın bu iddiaları kabul etmediği dikkate alındığında,
ilgili kişinin telefonunda yer alan kişisel telefon kayıtlarının tevsik edici belge olarak
değerlendirilemeyeceği,
• Diğer taraftan, veri sorumlusu tarafından şikâyete konu olan kişiler arası görüşmelerin
içeriğinin tespit edilemediği, telefon görüşmelerine ilişkin şikâyetlerin olaya konu
olan kişiler arasındaki bireysel ilişkilerin geçmişinden kaynaklanma ihtimalinin
yüksek olduğunun belirtildiği,
• Erişim yetkisinin görev tanımı gereği ve 2920 sayılı Türk Sivil Havacılık
Kanununun 40 ıncı maddesinin dördüncü fıkrasında yer alan “Havayolu ile seyahat
edecek kişilerin bilgileri kişilerin seyahatini kolaylaştırmak veya güvenlik ve risk
değerlendirmesi yapmak amacıyla Kanun çerçevesinde toplanabilir, kaydedilebilir,
işlenebilir, paylaşılabilir, havacılık güvenliği ve emniyetini sağlamak üzere
değerlendirilerek gereken tedbirler alınabilir” hükmü doğrultusunda tanımlandığı,
• Her ne kadar çalışanlar eğitimlere tabi tutulmuş ve bu eğitimleri başarıyla tamamlamış
olsalar da olay öncesinde eğitimlerin seyrek düzenlenmiş olduğu,
• Ayrıca, çalışanın görev tanımı gereği yetkisi çerçevesinde PNR sorgulaması
gerçekleştirdiği ancak Kasım 2018 tarihinde bir adet, Aralık 2018 tarihinde on iki
adet, Ocak 2019 tarihinde beş adet, Mart 2019 tarihinde on adet sorgulama yapıldığı,
veri sorumlusunun PNR sorgulama sayısına bir sınırlama getirmediği veya gözetim
mekanizması geliştirmemiş olduğunun anlaşıldığı, veri sorumlusu tarafından
her ne kadar log kayıtları tutuluyor olsa da, bu kayıtlarda sıra dışı aktivitelerin
gözlemlenebilir olması ve bu kayıtların analiz edilmesi ile kişisel verilerin hukuka
aykırı işlenmesinin ve erişilmesinin tespitinin önem arz ettiği dolayısıyla, veri
sorumlusunun Kanunun 12 nci maddesi kapsamında aldığı idari ve teknik tedbirlerin
yeterli olmadığı,
• Çalışanın yetkisini kötüye kullandığını kabul ettiği, bu nedenle, hakkında yazılı
uyarı verildiği ve yetkilerinin iptal edildiği, sorgulama işlemlerinin ayrı bir Genel
Müdür Yardımcılığına bağlı farklı bir departmana verildiği ve bunun sonucunda
sunulan log kayıtlarında PNR sorgulamasının yapılmadığının anlaşıldığı, öte
yandan, kişisel verilerin hukuka aykırı olarak işlenmemesine yönelik özel koruyucu
düzenlenmelere yer verildiği, ancak, soruşturma sonucu çalışanın yetkilerine ilişkin
yaptırımların yeterli ve caydırıcı olmadığı, bu tür zafiyetlerin yaşanma riski göz
önünde bulundurularak, alınması gereken tedbirlerin geliştirilmesi gerektiği,
• Kanunun 17 nci maddesi (1) numaralı fıkrası uyarınca ise kişisel verilere ilişkin suçlar
bakımından 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümlerinin
uygulandığı, veri sorumlusunun savunma yazısında, ilgili kişinin, çalışanlar ile
birlikte veri sorumlusu hakkında 5237 sayılı Kanunun 135 ila 140 ıncı maddeleri
194
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
kapsamında suç duyurusunda bulunduğu ve soruşturmanın halen devam ettiği, bu
doğrultuda, 5237 sayılı Kanun kapsamında yürütülmekte olan bir soruşturmanın
bulunması sebebiyle, 5237 sayılı Kanununun ilgili hükümleri çerçevesinde işlem
tesis edilmesini teminen 5271 sayılı Ceza Muhakemesi Kanununun 158 inci maddesi
hükmü uyarınca konunun Cumhuriyet Başsavcılığına bildirilmesine gerek olmadığı
değerlendirilmiş olup bu doğrultuda, veri sorumlusu tarafından kişisel verilere erişim
ile ilgili sınırlama getirilmemesi ve çalışanlara verilen eğitimin yetersiz olması
sebebiyle Kanunun 12 nci maddesinde yer alan veri güvenliğinin sağlanmasına yönelik
gerekli idari ve teknik tedbirlerin alınmadığı kanaatine varıldığından Kanunun 18 inci
maddesinin birinci fıkrasının (b) bendi çerçevesinde veri sorumlusu hakkında 100.000
TL idari para cezası uygulanmasına karar verilmiştir.
1.3.24 “Veri sorumlusu işveren tarafından, iş sözleşmesi tek taraflı olarak feshedilen
ve işe iade davası açan ilgili kişiye ait özlük dosyasında yer alan sağlık raporunun
dava savunmasında kullanılmak suretiyle mahkemeye sunulması” hakkında
Kişisel Verileri Koruma Kurulunun 18/02/2020 tarihli ve 2020/138 sayılı Karar
Özeti
Kuruma intikal eden şikâyette özetle, ilgili kişinin iş akdinin tek taraflı feshi nedeniyle
veri sorumlusu işveren hakkında açtığı işe iade davasında, dava içeriği ile ilgili
olmamasına rağmen özlük dosyasında yer alan kendisine ait özel nitelikli kişisel
verilerinin mahkemenin talebi olmadığı hâlde dava dosyasına sunulduğu, sağlık durumu
hakkında özellikle ilgili sağlık kurumu tarafından bir tanı konulmamış olmasına rağmen
sağlık raporlarında yer alan “uzman” veya “bilirkişi” gibi ifadelerin büyük harfler içine
alınarak psikolojik tanı koymaya yetkili bir kurum veya kişi sıfatı ile raporların davaya
konu edilmesinin kişilik haklarının ihlal edilmesine sebebiyet verdiği ifade edilerek
6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) uyarınca veri sorumlusu
hakkında gerekli işlemlerin tesis edilmesi talep edilmiştir.
Konuya ilişkin olarak Kurul Kararı ile başlatılan inceleme çerçevesinde veri
sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;
• İşverenin 6331 sayılı İş Sağlığı ve Güvenliği Kanununun 15 inci maddesine göre
çalışanın sağlık muayenelerini yapmasını sağlamak zorunda olduğu, İş Sağlığı ve
Güvenliği Yönetmeliğinin 7 nci maddesinde yer alan hüküm uyarınca işten ayrılma
tarihinden itibaren en az 15 yıl süreyle çalışanların kişisel sağlık dosyalarının
saklanacağı, bu sebeple çalışanın sağlık verilerinin anılan Kanun ve Yönetmelik
hükümlerince işlendiği,
• Söz konusu raporların herhangi bir gerekçe ile talep edilmeksizin izin taleplerinin
bir mazereti olarak bizzat ilgili kişinin kendisi tarafından ibraz edildiği, ilgili kişinin
tüm uyarılara rağmen görev ve sorumluluklarının gereğini yerine getirmemesi ile
birlikte işyerinde sergilediği olumsuz tutum ve beyanlar nedeniyle işyerinin çalışma
düzenine ve iş huzurunun bozulmasına sebebiyet verdiği, bu nedenle 4857 sayılı İş
195
KİŞİSEL VERİLERİ KORUMA KURUMU
Kanununun 25 inci maddesi uyarınca iş akdinin feshedildiği,
• Mahkeme tarafından ilgili kişiye ait özlük dosyasının tüm içeriğinin kendilerine
gönderilmesinin istendiği, bu bağlamda mahkeme tarafından talep edilen özlük
dosyasının tüm içeriğinin şikâyete konu sağlık raporları da dâhil olmak üzere
herhangi bir bilgi ve belge ayırt edilmeksizin mahkeme ile paylaşıldığı, mahkeme
emrinin yerine getirilmesini müteakip şikâyete konu raporların şirket savunması ve
iş akdi feshi sebebine ilişkin maddi vakıaların ispatı amacıyla hukuka ve dürüstlük
kurallarına uygun ve işlendiği amaç ile bağlantılı, sınırlı ve ölçülü olarak cevap
dilekçesine de eklenerek mahkemeye sunulduğu
ifade edilmiştir.
Konuya ilişkin yapılan inceleme neticesinde: Kişisel Verileri Koruma Kurulunun
18/02/2020 tarih ve 2020/138 sayılı Kararı ile;
• Kanunun 3 üncü maddesinin (1) numaralı fıkrasının (ç) bendi uyarınca “ilgili kişi”
tanımlaması, kişisel verisi işlenen gerçek kişiyi ifade ederken; (ı) bendi uyarınca
“veri sorumlusu” tanımlamasının, kişisel verilerin işleme amaçlarını ve vasıtalarını
belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu
olan gerçek veya tüzel kişiyi; (e) bendi uyarınca da “kişisel verilerin işlenmesi”
tanımlamasının, kişisel verilerin tamamen veya kısmen otomatik olan ya da
herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla
elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi,
yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir
hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler
üzerinde gerçekleştirilen her türlü işlemi ifade ettiği,
• Kanunun “Genel ilkeler” başlıklı 4 üncü maddesi hükmü uyarınca kişisel verilerin,
ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak
işlenebileceği ve kişisel verilerin işlenmesinde
“a) Hukuka ve dürüstlük kurallarına uygun olma.
b) Doğru ve gerektiğinde güncel olma.
c) Belirli, açık ve meşru amaçlar için işlenme.
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar
muhafaza edilme” ilkelerine uyulmasının zorunlu olduğu,
• Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesi hükmü uyarınca
da kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemeyeceği ancak,
“a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına
hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden
196
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla,
sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun
meşru menfaatleri için veri işlenmesinin zorunlu olması.” şartlardan birinin varlığı
hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün
olduğu,
• Kanunun 6 ncı maddesinin (1) numaralı fıkrasında ise kişilerin ırkı, etnik kökeni,
siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti,
dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve
güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerinin özel
nitelikli kişisel veri olduğu, (2) numaralı fıkrasında özel nitelikli kişisel verilerin
ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğu, (3) numaralı fıkrasında,
birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel verilerin kanunlarda
öngörülen hallerde, sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu
sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin
yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla
sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar
tarafından ilgilinin açık rızası aranmaksızın işlenebileceğinin hükme bağlandığı,
• 4857 sayılı İş Kanununun işçi özlük dosyası başlıklı 75 inci maddesine göre;
işverenin çalıştırdığı her işçi için bir özlük dosyası düzenlediği, bu dosyada, işçinin
kimlik bilgilerinin yanında, bu kanun ve diğer kanunlar uyarınca düzenlemek
zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları istendiği zaman
yetkili memur ve mercilere göstermek zorunda olduğu, ayrıca idari para cezası
başlıklı 104 üncü maddesinde Kanunun 75 inci maddesinde belirtilen işçi özlük
dosyalarını düzenlemeyen işveren veya işveren vekiline idari para cezası verileceği,
ancak sağlık raporlarının işçiye ait özlük dosyasının içerisinde yer alıp alamayacağı
hususuna ilişkin ise gerek 4857 sayılı İş Kanununda gerekse 6331 sayılı İş Sağlığı
ve Güvenliği Kanununda özel bir hüküm bulunmadığı,
• Diğer yandan 6100 sayılı Hukuk Muhakemeleri Kanununun 219 uncu maddesinin 1
inci fıkrası uyarınca, tarafların, kendilerinin veya karşı tarafın delil olarak dayandıkları
ve ellerinde bulunan tüm belgeleri mahkemeye ibraz etmek zorunda olduğu, bununla
birlikte, anılan Kanunun 220 nci maddesinin 3 üncü fıkrası uyarınca, belgeyi ibraz
etmesine karar verilen tarafın, kendisine verilen sürede belge ibraz edilmez ve aynı
sürede, delillerle birlikte ibraz edilmemesi hakkında kabul edilebilir bir mazeret
gösterilmez ya da belgenin elinde bulunduğu inkâr edilirse, mahkemenin, duruma
göre belgenin içeriği konusunda diğer tarafın beyanını kabul edebileceği,
197
KİŞİSEL VERİLERİ KORUMA KURUMU
• 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun “İncelenemeyecek
Dilekçeler” başlıklı 6 ncı maddesinde, Türkiye Büyük Millet Meclisine veya yetkili
makamlara verilen veya gönderilen dilekçelerden yargı mercilerinin görevine giren
konularla ilgili olanların incelenemeyeceğinin hüküm altına alındığı,
• Somut olayda mahkemenin davaya ilişkin olarak yazmış olduğu müzekkerede davalı
veri sorumlusundan davacı ilgili kişiye ait özlük dosyasının tüm içeriğinin tasdikli
bir suretinin gönderilmesini istediğinin görüldüğü değerlendirmelerinden hareketle
• 6698 sayılı Kanunun 28 inci maddesinin (1) numaralı fıkrasının (d) bendinde yer
alan “Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine
ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi” hükmü
ile 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun’un “İncelenemeyecek
Dilekçeler” başlıklı 6 ncı maddesinin (b) bendi dikkate alındığında konuya ilişkin
Kurul tarafından tesis edilecek bir işlem bulunmadığına karar verilmiştir.
1.3.25 “Veri sorumlusu tarafından ilgili kişilerin kişisel verilerinin hukuka aykırı
şekilde internet gazetesi üzerinden yayımlanması hakkında” Kişisel Verileri
Koruma Kurulunun 18/02/2020 tarihli ve 2020/145 sayılı Karar Özeti
Kuruma intikal eden şikâyette; ilgili kişilerin yönetim kurulu üyesi olduğu bir şirket
hakkında şikâyette bulunulan veri sorumlusu ….Medya Yayıncılık A.Ş.’ye bağlı
olarak yayın yapan …Medya isimli internet gazetesi üzerinden asılsız ve gerçeğe
aykırı beyanlarda bulunulduğu, ilgili kişilerin yönetim kurulu üyesi olduğu şirket
tarafından noter aracılığı ile veri sorumlusuna tekzip ihtarnamesinin gönderildiği,
veri sorumlusunun ilgili kişiler tarafından gönderilen ihtarnamenin fotoğrafını
çekmek suretiyle yeni bir haber şeklinde olduğu gibi yayımladığı, ilgili ihtarnamenin
sonunda ilgili kişilerin T.C. kimlik numaralarının, nüfus kayıt bilgilerinin, anne-baba
isimlerinin ve adres bilgilerinin yer aldığı, ilgili ihtarnamenin fotoğrafının çekilip
olduğu gibi haberin içinde yayımlanması nedeniyle ilgili kişilerin kişisel bilgilerinin
hukuka aykırı bir şekilde kamuya ifşa edildiği, kişisel verilerin hukuka aykırı şekilde
yayımlanması nedeniyle veri sorumlusuna tekrar ihtarname gönderildiği ve bunun
üzerine ihtarnamenin kişisel verilere ilişkin kısmının haber metninden çıkarıldığı ancak
10 gün boyunca ilgili kişilere ait kişisel verilerin hukuka aykırı şekilde yayımlanarak
kamuya ifşa edildiği, veri sorumlusunun ilgili kişilerin şahsi kimlik bilgilerini kamuya
açık alanda kasten yayımlayarak Kişisel Verilerin Korunması Kanununa (Kanun) aykırı
davrandığı hususları belirtilerek T.C. kimlik numaraları, nüfus bilgileri, anne baba ismi
ve adres bilgisi gibi kişisel verilerini hukuka aykırı şekilde internet gazetesi üzerinden
yayımlayan böylece güvenliklerini tehlikeye düşürdüğü kadar ilgili kişilere ait kişisel
verileri rızaları ve bilgileri dışında kullanarak üçüncü kişilerce dolandırılmalarına
sebebiyet verecek işlemlerin önünü açan veri sorumlusu hakkında gereğinin yapılması
talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması
198
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
istenilmiş olup, alınan cevabi yazıda özetle;
• İlgili kişilerin yönetim kurulu üyesi oldukları şirketin anonim şirkete dönüşmek
üzere genel kurula gittiği, haberi yapan ve aynı zamanda ilgili yayın grubunun da
yöneticisi olan kişinin ilgili sektörü takip eden bir gazeteci olarak söz konusu genel
kurul toplantısını izlemek istediği ancak toplantıyı izlemesine izin verilmediği,
toplantıda iki farklı düşüncede grubun olduğu,
• Genel kurulun muhalif kanadının toplantı ile ilgili kendisine bilgi verdikleri,
isimleri belli bir kesimin görüşlerini yayın grubunda yayınladığı, sonrasında olayın
diğer tarafı, muhalif kesimin iddialarını cevaplamak için kendisine noter kanalıyla
açıklama metinlerini gönderdikleri, bu açıklamaların cevap hakkı niteliğinde olması
nedeniyle, zorunlu olmamasına rağmen etik gazetecilik anlayışı çerçevesinde
açıklamaların önemli bölümlerinin yayın grubunun internet sitesinde kullanıldığı,
• Kendilerinin 10 satırlık haber yaptıkları, şirket yöneticilerinin ise 4-5 sayfalık
açıklama metni gönderdiği, bunları baştan yazmanın çok zaman alacağından
dolayı kendilerine “açıklamalarını mail yolu ile göndermeleri halinde tümünün
yayımlanacağının” bildirildiği, noter kanalıyla gelmeye devam eden açıklamaların
aynen eksiksiz olarak kullanılmasının istendiği, bu yüzden kendilerinin de metnin
tamamını internet sitelerinde yayımladıkları, kaldırılması talebi üzerine hemen
kaldırdıkları, bu açıklamanın kimlik bilgilerini içerdiği, bunu fark ettikleri anda
hemen kaldırdıkları,
• Bu bilgilerin sitede kullanıldığına dair karşı tarafın bir kanıtının olmadığı,
kendilerinde de bu ekran görüntüsünün bulunmadığı, kendilerinin kullanmadıklarını
söylemeleri halinde karşı tarafın hiçbir kanıtının olmadığı; diğer yandan konunun
yargıya gittiği, mahkeme huzuruna çıktığı ve beraat ettiği
ifadelerine yer verilmiştir.
Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 18/02/2020
tarihli ve 2020/145 sayılı Kararı ile,
• Kanunun “Tanımlar” başlıklı 3 üncü maddesinde; “kişisel veri”nin, kimliği belirli
veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi, “veri sorumlusu”nun,
kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin
kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi ve “kişisel
verilerin işlenmesi”nin, kişisel verilerin tamamen veya kısmen otomatik olan ya da
herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla
elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi,
yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir
hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler
üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı,
• Bu minvalde, ilgili kişilerin şikayet konusu tekzip ihtarnamesinde yer alan ad, soyadı,
T.C. kimlik numaraları, nüfus kayıt bilgileri, anne-baba isimleri, adres bilgilerinin
199
KİŞİSEL VERİLERİ KORUMA KURUMU
birer kişisel veri, veri sorumlusu medya şirketinin, kişilere ait bu verilerin internet
gazetesinde yayımlanması işleminin de kişisel veri işleme faaliyeti olduğu,
• Kanunun 4 üncü maddesinin (2) numaralı fıkrasında kişisel verilerin işlenmesinde
uyulması zorunlu ilkelerin “a) hukuka ve dürüstlük kurallarına uygun olma, b)
doğru ve gerektiğinde güncel olma, c) belirli, açık ve meşru amaçlar için işleme, ç)
işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, d) ilgili mevzuatta öngörülen
veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” şeklinde
düzenlendiği,
• Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı
fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin, (2)
numaralı fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle
rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik
tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün
korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan
doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin
işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine
getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş
olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu
olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri
sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından
birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin
işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
• Öte yandan, Kanunun 28 inci maddesinin (1) numaralı fıkrasının (c) bendinde
“Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini,
ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek
ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla
ya da ifade özgürlüğü kapsamında işlenmesi” halinde Kanun hükümlerinin
uygulanmayacağının belirtildiği,
• 5187 sayılı Basın Kanununun 14 üncü maddesinde ise “Süreli yayınlarda kişilerin şeref
ve haysiyetini ihlâl edici veya kişilerle ilgili gerçeğe aykırı yayım yapılması halinde,
bundan zarar gören kişinin yayım tarihinden itibaren iki ay içinde göndereceği suç
unsuru içermeyen, üçüncü kişilerin hukuken korunan menfaatlerine aykırı olmayan
düzeltme ve cevap yazısını; sorumlu müdür hiçbir düzeltme ve ekleme yapmaksızın,
günlük süreli yayınlarda yazıyı aldığı tarihten itibaren en geç üç gün içinde, diğer
süreli yayınlarda yazıyı aldığı tarihten itibaren üç günden sonraki ilk nüshada, ilgili
yayının yer aldığı sayfa ve sütunlarda, aynı puntolarla ve aynı şekilde yayımlamak
zorundadır” düzenlemesine yer verildiği,
• Sorumlu müdürün, Basın Kanunundan kaynaklı olarak düzeltme metnini veya
cevap yazısını hiçbir düzeltme ve ekleme yapmaksızın yayımlama yükümlülüğünün
bulunduğu, ancak bu amaç yerine getirilirken sorumlu müdürün bu amaçla bağlantılı,
sınırlı ve ölçülü olacak şekilde hareket etmesi beklendiği, diğer bir ifadeyle, düzeltme
200
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
metni yayımlanırken, haberle ve metnin içeriğiyle ilgisi olmayan ve yayımlanması
halinde kişilerin kişilik haklarının zarara uğramasına sebep olacak kişisel verileri
içeren kısımların yayımlanması, amaç ile orantılı olarak değerlendirilmediğinden
söz konusu düzeltme metninin kişilik haklarını ihlal ederek internet sitesinde
yayımlanmasının, Kanunun 28 inci maddesinin (1) numaralı fıkrasının (c) bendi
kapsamında değerlendirilmeyerek şikâyetin incelemeye alındığı,
• Veri sorumlusunun bahse konu olan tekzip ihtarnamesini yayımlamasının, 5187
sayılı Basın Kanununun 14 üncü maddesinde yer alan yükümlülüğünü yerine
getirmek amacıyla Kanunun 5 inci maddesinin 2 numaralı fıkrasının (ç) bendinde
yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için
veri işlemenin zorunlu olması” hükmü doğrultusunda hukuka uygun olduğu,
ancak ilgili ihtarnamenin kişisel verilere ilişkin bölümünü herhangi bir güvenlik
önlemi almaksızın olduğu gibi yayımlanmasının, daha sonra bu bölüm internet
sitesinden kaldırılmış olsa dahi Kanunun genel ilkeler başlıklı 4 üncü maddesinde
düzenlenen “amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi ile bağdaşmadığı
dikkate alındığında bu durumun veri sorumlusu tarafından kişisel verilerin hukuka
aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye
yönelik gerekli her türlü teknik ve idari tedbirlerin alınmadığının göstergesi olduğu
değerlendirmelerinden hareketle;
• Veri sorumlusunun bahse konu tekzip ihtarnamesinin yayımlamasının, Kanunun 5
inci maddesinin 2 numaralı fıkrasının (ç) bendinde yer alan “veri sorumlusunun
hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması”
hükmü kapsamında hukuka uygun olduğu, ancak ilgili ihtarnamenin kişisel verilere
Madde uyar — başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir. (2) 13 üncü
yer verildiği ve bu çerçevede Kanun kapsamındaki taleplerine ilişkin ilgili kişilerin
emeklilik hakkındaki kişisel verileri açısından öncelikli olarak veri sorumlusu niteliğini
haiz T.C. Aile, Çalışma ve Sosyal Hizmetler Bakanlığı Sosyal Güvenlik Kurumuna
başvurmaları gerektiğinin açıklanmasına rağmen, gerek vekaleten gerek iletişim bilgisi
olarak vekalet verilen şahsın iş adresi belirtilmek suretiyle diğer gerçek kişilerce imzalı
aynı içerikteki usulen eksik nitelikteki başvuruların Kurumumuza gönderilmesine
ısrarla devam edilmiştir.
Bu kapsamda, başvurulara cevaben iletilen yazılarımız dikkate alınmaksızın aynı
nitelikteki başvuruların Kurumumuza gönderilmesine devam edilmesi sebebiyle
vekaleten başvuruda bulunmaya devam eden şahsı muhatap yazımızda, kamu
idaresinin yersiz ve boş yere meşgul edilmesine sebebiyet veren ve dilekçe hakkının
kötüye kullanılmasını teşkil eden bu nitelikteki yazıların Kurumumuza gönderilmemesi
gerektiği, aksi halde yargı yoluna başvurulacağı belirtildiği halde usulü şartlar
tamamlanmaksızın aynı nitelikte başvuruların Kurumumuza gönderilmeye devam
edildiği görülmüştür.
Anayasamızın “Dilekçe, Bilgi Edinme ve Kamu Denetçisine Başvurma Hakkı” başlıklı
74’üncü maddesinde, “Vatandaşlar ve karşılıklılık esası gözetilmek kaydıyla Türkiye’de
ikamet eden yabancılar kendileriyle veya kamu ile ilgili dilek ve şikayetleri hakkında,
yetkili makamlara ve Türkiye Büyük Millet Meclisine yazı ile başvurma hakkına
sahiptir. Kendileriyle ilgili başvurmaların sonucu gecikmeksizin, dilekçe sahiplerine
yazılı olarak bildirilir...” düzenlemesi yer almaktadır. Bu kapsamda, dilekçe hakkının
nasıl kullanılacağı 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun ile
düzenlenmektedir.
Öte yandan, 4271 sayılı Türk Medeni Kanunu’nun “Dürüst Davranma” başlıklı 2’nci
maddesi, “Herkes, haklarını kullanırken ve borçlarını yerine getirirken dürüstlük
kurallarına uymak zorundadır. Bir hakkın açıkça kötüye kullanılmasını hukuk düzeni
korumaz.” hükmünü haizdir. Söz konusu hüküm, bir kamu düzeni kuralı olarak ele
alınan ve genel olarak bir hakkın açıkça öngörüldüğü amaç dışında ve başkalarını zarara
sokacak şekilde kullanılması olarak açıklanabilecek hakkın kötüye kullanılmasının
hukuk düzenince himaye edilmeyeceğini ifade etmektedir. Bu bağlamda, 3071 sayılı
Kanun’da öngörülen dilekçe hakkının kullanılma usulü ile 6698 sayılı Kanun’da
öngörülen şikayet başvurusu usulünün amacına açıkça aykırı olan ve Kurumumuzun
257
KİŞİSEL VERİLERİ KORUMA KURUMU
başvuruyu gereği gibi değerlendirmesini engelleyen davranışlar, başvuru hakkının
kötüye kullanılması olarak değerlendirilmektedir.
Bu kapsamda, vekaleten yapılan başvurulara cevaben, gerekli usulü şartı taşımaması
sebebiyle incelenemeyeceğinin ve başvuruların öncelikle Sosyal Güvenlik Kurumuna
yapılması gerektiği hususunun Kurumumuzca pek çok defa bildirilmesine rağmen, hala
ilgili kişiler adına vekaleten başvuruda bulunulmasının, bu başvurular neticesinde vekili
olunan kişiler lehine bir durum yaratıyormuş gibi gözükmek suretiyle ilgili kişilerden
vekalet sözleşmesi adı altında haksız kazanç sağlanabileceği ve bu durumun da Türk
Ceza Kanunu kapsamında suç teşkil edebileceği ve vekaleten başvuruda bulunan şahsın
Kurumumuza başvurularını yönlendirmeye devam ettiği hususu göz önüne alınarak;
Kurulun 30/04/2020 tarih ve 2020/325 sayılı Kararı ile;
Bugüne kadar Kuruma intikal eden ve Karar tarihi itibariyle cevap verilmemiş vekaleten
gönderilen başvurular ve aynı adres üzerinden gelen muhtelif kişilere ait başvurular ile
bundan sonra Kuruma intikal edecek bu içerikle benzer nitelikteki diğer başvuruların
değerlendirmeye alınmamasına ve konunun vekalet eden kişi açısından ilgili Kurumlara
bildirilmesine karar verilmiştir.
1.3.42 “İlgili kişinin araç kiralama hizmeti alması esnasında kişisel verilerinin
işlenmesine dair açık rıza vermemesi üzerine kiralama hizmetinden
yararlandırılmaması”na ilişkin Kişisel Verileri Koruma Kurulu’nun 05/05/2020
tarihli ve 2020/335 sayılı Karar Özeti
İlgili kişiden alınan 25/05/2018 tarihli şikâyet dilekçesinde özetle; veri sorumlusu
araç kiralama şirketinin hizmet noktasında, yetkilisi olduğu şirket adına kısa süreli
araç kiralamak istediği, araç kiralama sözleşmesi ve ilgili belgelerin yetkili tarafından
imzalanmasının talep edildiği, imzalanması talep edilen evrakları incelendiğinde önceki
kiralamalardan farklı olarak kişisel verilerinin işlenmesine dair açık rıza verdiğine
ilişkin evrakın da içinde bulunduğunu tespit ettiği, bunun üzerine kişisel verilerinin
işlenmesine rıza göstermek istemediğini, bu nedenle de ilgili evrakı imzalamayacağını
çalışana beyan etmesi üzerine araç kiralama işleminin gerçekleştirilmediği, konuyla
ilgili olarak veri sorumlusuna yetkilisi olduğu şirket tarafından 23/03/2018 tarihinde
başvuruda bulunduğu, veri sorumlusu tarafından 29/03/2018 tarihinde cevap verildiği
ancak taleplerine yönelik hiçbir cevap veya çözüm önerisi yer almadığı gerekçesiyle
6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin
yapılması talep edilmiştir.
Bununla birlikte, veri sorumlusuna yapılan başvuruların ilgili kişinin yetkilisi olduğu
Şirket veya Şirket çalışanları tarafından yapıldığı, veri sorumlusunun da Şirketi muhatap
alarak cevap verdiği görüldüğünden Kanunun ilgili maddeleri hakkında bilgi verilerek
Kanun kapsamında mağduriyet yaşamış olan Şirket yetkilisinin Kanunda belirtilen usul
çerçevesinde öncelikle kendi adına veri sorumlusuna başvuruda bulunması sonrasında
ise ilgili kişinin başvurusunun reddedilmesi, verilen cevabın yetersiz bulunması
258
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
veya süresinde başvuruya cevap verilmemesi hâllerinde ise; Kişisel Verileri Koruma
Kuruluna (Kurul) şikâyette bulunulması durumunda konunun incelemeye alınabileceği
hususunda bilgi verilmiştir.
Bu minvalde ilgili kişi tarafından Kuruma iletilen 26/09/2018 tarihli şikayette,
Kurumumuz yazısının ardından veri sorumlusuna ilgili kişi adına 03/08/2018 tarihinde
başvuruda bulunulduğu ancak 30 günlük yasal süre içinde herhangi bir cevap verilmediği
ifade edilerek daha önce Kuruma intikal eden 25/05/2018 tarihli şikayete konu aynı
hususlara yer verilmiştir.
Söz konusu iddialara ilişkin olarak veri sorumlusundan savunması istenilmiş olup,
alınan cevabi yazıda özetle;
• Şirketin araç kiralama sektöründe öncü konumda olmakla birlikte tekel niteliğinde
olmadığı, müşterilerin serbest piyasa kapsamında dilediği başka araç kiralama
şirketinden kiralama yapma olanağının bulunduğu,
• İlgili kişinin veri sorumlusuna 23/03/2018 tarihinde yazılı başvuruda bulunduğu,
tarafına derhal yazılı cevap verildiği, şikayete konu edilen 03/08/2018 tarihli
yazının içeriği ile ilgili kişinin 23/03/2018 tarihinde gönderdiği ve veri sorumlusu
tarafından cevaplanan yazının içeriğinin birebir aynı olduğu, bu nedenle ilgili kişinin
tekraren aynı talepleri iletmesinin masraf açısından taraflarınca uygun olmadığının
değerlendirilerek cevap verilmediği,
• Araç kiralama sektörünün giderek büyümesi ve kiralık araç sayılarındaki artış
ile birlikte özellikle uyuşturucuya ilişkin suçlar, gasp, hırsızlık ve terörle ilintili
suçlarda kiralık araçların kullanımının yaygınlaşması üzerine kanun koyucunun
yasal düzenlemeye giderek kiralanan tüm araçların Kiralık Araç Bildirim Sistemine
(KABİS) girişini zorunlu hale getirdiği,
• 6638 sayılı Kanun ile değişik 1774 sayılı Kimlik Bildirme Kanununun ilgili
hükümlerinin 04/04/2015 tarihinde yürürlüğe girdiği,
• 1174 sayılı Kimlik Bildirme Kanunu Ek Madde 3’te “Araç kiralama şirketlerinin
sorumlu işleticileri ve yöneticileri, kiralanan araç bilgileri ile aracı kiralayanların
kimlik bilgileri ve kira sözleşmesi kayıtlarını usulüne uygun şekilde günü gününe
tutmak ve bu kapsamda mevcut bilgi, belge ve kayıtları genel kolluk kuvvetlerinin
her an incelemelerine hazır bulundurmak zorundadırlar. Ancak araç kiralayanın
kamu kurum veya kuruluşu olması hâlinde sadece kamu kurum veya kuruluşuyla
yapılan sözleşme ile araç bilgileri sisteme kaydedilir. Araç kiralama esnasında
gerçeğe aykırı kimlik kullananlar ile birinci fıkra kapsamında elde edilen bilgi
ve kayıtları, hukuka aykırı olarak kullanan, bir başkasına veren, yayan veya ele
geçiren kişi, 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanunu hükümlerine göre
cezalandırılır. Birinci fıkrada belirtilen yükümlülüklere aykırı hareket edenlere beş
bin Türk Lirası, gerçeğe aykırı kayıt tutan veya bilgi verenlere on bin Türk Lirası
idari para cezası, mülki idare amirlerince verilir. Bu Kanuna göre verilen idari
para cezaları tebliğinden itibaren 1 ay içinde ödenir. İşlenen bir suçun gizlenmesi
259
KİŞİSEL VERİLERİ KORUMA KURUMU
amacıyla bilgilerin yok edilmesi hâlinde işletme ruhsatı iptal edilir. Bu fıkraya göre
idari yaptırımların uygulanması ceza soruşturması ve kovuşturması yapılmasına
engel değildir.” şeklinde düzenleme yapıldığı,
• Bu düzenlemeye aykırı hareket eden, araç kiralamalarını sisteme girmeyen,
istendiğinde bilgileri paylaşmayanlar hakkında cezai yaptırımlar öngörüldüğü,
buna göre bu bilgilerin araç kiralama şirketi olarak alınmasının zorunlu olduğu,
bu bilgilerin bilişim sisteminde arşivlenmesi maksadıyla yüklüce masraf ve gider
yapıldığı, ayrıca bunlara veri paylaşım izni verilmediği takdirde fiilen araç kiralaması
yapılmasının mümkün olmayacağı,
• Şirketin müşteriler ile imzaladığı sözleşmelerden kaynaklanan ilişkilerden doğan
kanuni zorunlulukları uyarınca bu evrakları saklama ve yargı makamlarınca celbi
talep edildiğinde ibraz etme yükümlülüğünün bulunduğu,
• Şirketin bu şekilde kanuni zorunlulukları bulunması nedeniyle şirketin veri işleyen
sıfatını haiz olduğu kiralama hizmetine ilişkin kişisel verileri temin etmesi ve
saklaması gerektiği,
• Bu nedenle 6698 sayılı Kanununa aykırı olarak hareket etmemek saikiyle ilgili
kişinin kiralama hizmetinden yararlandırılmadığı,
• Taraflarının 6698 sayılı Kanuna uygun hareket ettiği ve bu hususta da ilgili kişinin
29/03/2018 tarihli dilekçesine istinaden bilgilendirildiği, açıklanan tüm bu sebeplerle
araç kiralaması yapmak isteyip kanunen zorunlu kişisel verilerinin işlenmesine
muvafakat etmeyen ilgili kişi bakımından bu tutumun fiili ve hukuki imkansızlıklar
nedeniyle mesnedi bulunmadığı ifade edilmiştir.
Konuya ilişkin olarak yapılan incelemede, Kişisel Verileri Koruma Kurulunun
05/05/2020 tarihli ve 2020/335 sayılı Kararı ile,
• Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in (Tebliğ) “Başvuru
Usulü” başlıklı 5 inci maddesinde, ilgili kişinin Kanunun 11 inci maddesinde
belirtilen hakları kapsamında taleplerini yazılı olarak veya kayıtlı elektronik posta
(KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri
sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan
elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik
geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna ileteceği ve
Tebliğin 6 ncı maddesinde de veri sorumlusunun bu Tebliğ kapsamında yapılacak
başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak
üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlü olduğu, veri
sorumlusunun başvuruyu kabul edeceği veya gerekçesini açıklayarak reddedeceği
ve cevabımı ilgili kişiye yazılı olarak veya elektronik ortamda bildireceğinin hüküm
altına alındığı,
• Veri sorumlusunun tarafından Kuruma verilen cevap yazısında şikayete konu edilen
03/08/2018 tarihli yazının içeriği ile ilgili kişinin 23/03/2018 tarihinde gönderdiği
260
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
dilekçe içeriğinin birebir aynı olduğu, veri sorumlusu tarafından ilk dilekçeye verilen
cevabın karşı tarafa iletilmesi konusunda ilgili masrafların taraflarınca karşılandığı,
ilgili kişinin tekraren aynı talepleri iletmesinin masraf açısından taraflarınca uygun
olmadığı değerlendirildiğinden cevap verilmediğinin ifade edildiği ancak, Tebliğin
“Ücret” başlıklı 7 nci maddesinde, ilgili kişinin başvurusuna yazılı olarak cevap
verilecekse on sayfaya kadar ücret alınmayacağı, on sayfanın üzerindeki her sayfa
için ise 1 Türk Lirası işlem ücreti alınabileceğinin belirtildiği,
• Bununla birlikte başvuruların içeriği benzer olsa da 23/03/2018 tarihli başvurunun
ilgili kişinin yetkilisi olduğu tüzel kişilik adına, 03/08/2018 tarihli ikinci başvurunun
ise ilgili kişinin kendisi adına yapılmış olduğu dikkate alındığında, içerik açısından
aynı olsa dahi başvuran kişiler açısından farklı olması sebebiyle iki başvurunun
aynı nitelikte olmadığı bu sebeple ayrı bir başvuru olarak veri sorumlusu tarafından
cevaplanması gerekirken herhangi bir cevap verilmediğinden veri sorumlusunun
Kanun kapsamında kendisine yapılan başvurulara Tebliğe uygun olarak hareket
etmediği,
• Diğer taraftan Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin
birinci fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği,
ikinci fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle
rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik
tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün
korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan
doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin
işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine
getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş
olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu
olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri
sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından
birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin
işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
• Kanunun 5 inci maddesi çerçevesinde kişisel veri işleme şartları mevcut olsa dahi,
kişisel verilerin işlenmesinde aynı zamanda, Kanunun 4 üncü maddesinde yer alan
hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma,
belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve
ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan
süre kadar muhafaza edilme ilkelerine de uygun hareket edilmesi gerektiği,
• Şikayete konu somut olayla ilgili olarak 1174 sayılı Kimlik Bildirme Kanununun
Madde 4- — olarak düzenleme altına alındığı, mezkûr kavramların,
b) Arşiv belgesi: Son işlem tarihi üzerinden yirmi yıl geçmiş veya on beş yıl geçtikten
sonra kesin sonuca bağlanmış bulunan ve günlük iş akışı içinde işlevi bulunmayan,
varsa tâbi olduğu diğer mevzuatlar ile saklama planlarındaki saklama sürelerini
tamamlayan, üretim biçimleri, donanım ortamları ne şekilde olursa olsun geleceğe,
tarihi, siyasi, sosyal, kültürel, hukuki, idari, askeri, iktisadi, dini, ilmi, edebi, estetik,
biyografik, jeneolojik ve teknik herhangi bir değer olarak intikal etmesi gereken ve bir
bilgiyi içeren yazılmış, çizilmiş, resmedilmiş, görüntülü, sesli veya elektronik ortamlarda
üretilmiş belgeyi, c) Arşivlik belge: Süre bakımından arşiv belgesi vasfını kazanmayan
veya bu süreyi doldurmasına rağmen güncelliğini kaybetmeyen, hizmetin yürütülmesi
açısından işlevi olan belgeyi, …ifade eder” şeklinde düzenlendiği, mülga Yönetmelikte
arşivlik malzeme olarak kabul edilen memuriyet sicil dosyalarının, yeni Yönetmelik
283
KİŞİSEL VERİLERİ KORUMA KURUMU
kapsamında arşivlik belge olarak değerlendirilmediği ve memuriyet sicil dosyalarına
ve bunların yüz bir yıl saklanacağına ilişkin düzenlemeye yer verilmediği, buna karşın,
süre bakımından arşiv belgesi vasfını kazanamayan belgelerin arşivlik belge kabul
edilmesi sebebiyle memuriyet özlük dosyalarının da bu kapsamda yer aldığı ve bunların
imha işlemine tabi tutulmadığı değerlendirmelerinden hareketle;
• Şikâyete konu kişisel verinin özel nitelikli kişisel veri olduğu ve ilgili kişinin söz
konusu mahkeme kararlarının özlük dosyasında yer almasına ilişkin hâlihazırda
açık rızasının bulunmadığı; bununla birlikte, Kanun bakımından söz konusu kişisel
verinin işlenmesine ilişkin “kanunilik” unsurunun öğretide ifade edilen “maddi
kanun” olarak değerlendirilmesi gerektiği kanaatine varıldığından DPB’nin Kurum
görüş talebine verdiği cevap ve 2 Seri No’lu Kamu Personeli Genel Tebliği hükümleri
uyarınca mer’i mevzuat bakımından sözü edilen kararların özlük dosyasından
çıkarılmasına yer olmadığına karar verilmiştir.
1.3.51 “İşverenin, işçisine ait kişisel verileri ve özel nitelikli kişisel verileri;
aydınlatma yükümlülüğünü yerine getirmeden ve hukuka aykırı işlemesi”
hakkında Kişisel Verileri Koruma Kurulunun 20/05/2020 tarihli ve 2020/404 sayılı
Karar Özeti
Kuruma intikal eden şikâyet dilekçesinde özetle,
• İlgili kişinin çalışmakta olduğu veri sorumlusu şirketten 6698 sayılı Kişisel Verilerin
Korunması Kanununun (Kanun) 11 maddesi kapsamındaki hakları kapsamında bilgi
talebinde bulunduğu, söz konusu talebine yeterli cevap alamadığı,
• Veri sorumlusu tarafından kendisine kişisel verilerinin işlenme amacıyla ilgili olarak
genel nitelikli bir bilgilendirme yapıldığı, verilerin işlenme ve saklanma süreçlerine
ilişkin bilgi verilmediği,
• Veri sorumlusunun cevap yazısında çalışanların bordro bilgileri ve disiplin süreçlerine
ilişkin bilgilerin HR Yazılım Programında tutulduğunu; tüm özlük bilgilerinin …
Arşiv ve Dokümantasyon Programında tutulduğunu; performans değerlendirme
süreçleri, disiplin süreçleri, masraf bilgilerine ait verilerin … Yazılım aracılığı
ile elektronik ortamda tutulduğu bilgisinin verildiği, ancak bu programa kimlerin
erişiminin olduğu, yetki matrisi olup olmadığına dair bilgilendirmenin yapılmadığı,
ayrıca adı geçen programlarda saklanan verilerin ne kadar süre sonra silindiğine dair
bilgi verilmediği, tüm çalışanların erişim yetkisi olan İntranet ağında bulunan “Veri
Güvenliği Politikası”nda da bu bilgilere yer verilmediği,
• Veri sorumlusu tarafından çalışanlarından elektronik ortamda KVKK Çalışma
Muvafakatnamesi alındığı, söz konusu muvafakatnamenin çok geniş kapsamlı
olduğu ve yeterli aydınlatmanın yapılmadığı, verilecek rızanın “battaniye rıza”
olduğu, kendisinin bu muvafakatnameye onay vermekten imtina ettiği ancak onay
vermek durumunda bırakıldığı,
284
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
• Tüm çalışanların parmak izinin alındığı, çalışanların bu veriyi vermek zorunda
bırakıldığı, parmak izi alındığı sırada çalışanların açık rızalarının alınmadığı ve
aydınlatma yükümlülüğünün de yerine getirilmediği, biyometrik verilerin üçüncü
taraf bir şirket ile paylaşılıp paylaşılmadığı, yeterli güvenlik önlemleri ile saklanıp
saklanmağı hususlarında tarafına bilgi verilmediği
belirtilerek hukuka aykırı uygulamaları nedeniyle veri sorumlusu hakkında gerekli
yaptırımların uygulanması talep edilmiştir.
Başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan
cevabi yazıda özetle;
• İlgili kişinin hangi kişisel verilerinin hangi amaçlara dayanılarak işlendiğine dair
detaylı bilginin ilgili kişiye verdikleri cevapta da yer aldığı,
• Şirketin kişisel verilerin gizliliğine ve güvenli şekilde saklanmasına önem verdiği,
fiziki dosyaların yalnızca yetkili kişilerin erişimine açık olan kilitli dolaplarda ya
da fiziki arşivlerde tutulduğu, fiziki olarak aktarılması gereken evrakların gizlilik
dereceli belge olarak gönderildiği, elektronik ortamda tutulan kişisel verilerin
ise sadece belirli kişilerin erişimine açık klasörlerde ve /veya şifreli yazılımlarda
saklandığı, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi, kişisel
verilerin hukuka aykırı işlenmesinin önlenmesi, bilgi ve veri güvenliği ile alakalı
mevzuatlar hakkında eğitimlerin verildiği, şirket içinde rastgele ve periyodik
denetimler yapılarak bu ortamlara yetkisiz giriş ve çıkışların engellendiği,
• Açık rıza metinlerinde hangi kişisel verilerin hangi meşru amaçlarla işleneceği,
kimlere hangi amaçlarla aktarılabileceği, hukuki sebepleri, toplama yöntemi,
kişisel verilere ilişkin olarak çalışanların haklarının neler olduğunun detaylı olarak
anlatıldığı,
• Hukuki dayanakların yerine getirilebilmesi için, çalışan muvafakatnamesinin ve
açık rıza metninin her çalışandan ıslak imzalı şekilde temin edildiği; şayet çalışan
tarafından onay verilmezse özlük dosyasının tamamlanmamış kabul edildiği,
• Çalışanların “http://......com/” adresinden kişisel verilerin güvenli olarak
saklanmasına ilişkin politika, prosedür ve kılavuzlara ulaşabildikleri, aynı şekilde
yetki dereceleri matrisinin çalışanların erişimine açık olan bu adreste yayınlandığı,
matriste herhangi bir değişiklik söz konusu olduğunda güncelleme duyurularının
site üzerinden yapıldığı,
• Çalışan ve aday çalışanlarının her birine KVKK Aydınlatma Metni ve Açık Rıza
metninin tebliğ edildiği ve çalışanların bu metinleri imza karşılığı olarak veri
sorumlusuna teslim ettiği,
• Çalışanların parmak izlerinin acil durum yönetimi sürecinin yürütülmesi, fiziksel
mekan güvenliği ve yetkili kurum ve kuruluşlara bilgi verilmesi amaçlarıyla
kullanıldığı, parmak izlerinin kriptografik yöntemlerle muhafaza edildiği, bu sebeple
bu verilerin biyometrik veri niteliği taşımadığı,
285
KİŞİSEL VERİLERİ KORUMA KURUMU
• Özel nitelikli verilerin işlenmesi kapsamında veri sorumlusu tarafından, taşınabilir
bellek, CD veya VCD ile bunların taşınması gerektiğinde kriptografik yöntemlerle
şifreleme yapıldığı, fiziken taşınması gerektiğinde ise gizlilik dereceli belge olarak
gönderildiği,
• Veri sorumlusu tarafından Kanunun 12 nci maddesi kapsamında kişisel verilerin
uygun güvenlik düzeyini temin etmek amacıyla çalışanlara kişisel verilerin hukuka
aykırı işlenmesinin önlenmesi, bilgi ve veri güvenliği ile alakalı mevzuatlar hakkında
eğitimlerin verildiği, çalışanlara gizlilik sözleşmesi imzalatıldığı, güvenlik prosedür
ve politikalarına uymayan çalışanlara disiplin prosedürünün uygulandığı, çalışanlar
için veri güvenliği hükümlerini içeren disiplin düzenlemelerinin mevcut olduğu,
çalışanlar için veri güvenliği ile ilgili olarak eğitim ve farkındalık çalışmaları
yapıldığı, aydınlatma yükümlülüğünün yerine getirildiği, erişim loglarının düzenli
olarak tutulduğu, şirket içi rastgele denetimler yapıldığı, bilgi güvenliği, kullanımı,
saklanması imhası konularında şirket politikaları hazırlandığı ve uygulandığı,
verilerin saklandığı ortamlar için arttırılmış güvenlik önlemleri alındığı, bu alanlara
yetkisiz giriş ve çıkışların önlendiği, ağ ve uygulama güvenliği sağlandığı, kişisel
veri içeren evrakların fiziken gönderilmesi gerektiğinde gizlilik dereceli belgeler
olarak gönderildiği, bulutta depolanan kişisel verilerin güvenliğinin yalnızca yetkili
kişilerin ulaşabileceği biçimde ayarlandığı
ifade edilmiştir.
Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 20/05/2020
tarihli ve 2020/404 sayılı Kararı ile;
• Kanunun “Veri Sorumlusunun Aydınlatma Yükümlülüğü” başlıklı 10 uncu
maddesinin “(1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya
yetkilendirdiği kişi, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin
kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin
kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve
hukuki sebebi, d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle
yükümlüdür.” hükmünü amir olduğu,
• Aydınlatma yükümlülüğünün gerek açık rıza alınacağı durumlarda gerek Kanundaki
diğer kişisel veri işleme şartlarından bağımsız olarak yerine getirilmesi gereken bir
yükümlülük olduğu, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak
Usul ve Esaslar Hakkında Tebliğin (Tebliğ) 5 inci maddesinin birinci fıkrasının
(e) bendi uyarınca aydınlatma yükümlülüğünün yerine getirilip getirilmediğinin
ispatının veri sorumlusuna ait bulunduğu, veri sorumlusu tarafından aydınlatma
yükümlülüğü yerine getirilirken; öncelikle veri sorumlusunun kimliğine, kişisel
verilerin hangi amaçlarla işlendiğine, kişisel verilerin kimlere ve hangi amaçlarla
aktarılabileceğine, elde edilecek kişisel verilerin toplanma yöntemlerine, işlemenin
hukuki sebeplerine ve ilgili kişinin Kanunun 11 inci maddesindeki haklarına
aydınlatma metninde yer verilmesi gerektiği,
286
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
• Veri sorumlusu tarafından Kuruma gönderilen savunma yazısında çalışan ve aday
çalışanlarının her birine KVKK Aydınlatma Metni ve Açık Rıza metninin tebliğ
edildiği ve çalışanların bu metinleri imza karşılığı olarak veri sorumlusuna teslim
ettiği ifade edilmekle birlikte yazıları ekinde aydınlatma metnine yer verilmediği,
öte yandan ilgili kişinin şikayet dilekçesi ekinde yer verilen “Kişisel Verilerin
İşlenmesine İlişkin Çalışan Muvafakatnamesi”nin hem aydınlatma metni hem de
açık rıza metni olarak düzenlendiği kabul edildiğinde; Tebliğin 5 inci maddesinin
birinci fıkrasının (f) bendinde yer alan “Kişisel veri işleme faaliyetinin açık rıza
şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık
rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.” hükmü
gereği şekli olarak aydınlatmanın usulüne uygun yapıldığından söz edilemeyeceği,
• Diğer taraftan, bu metnin içerik olarak da açık rıza kapsamında ilgili kişiyi
bilgilendirdiğinden ya da aydınlatma yükümlülüğünü yerine getirdiğinden söz
edilemeyeceği zira, metinde çeşitli kişisel veri kategorileri sıralandıktan sonra
“(…) sayılan kişisel veriler dahil olmak üzere ancak bunlarla sınırlı olmaksızın
(…)” ifadesine yer verildiği ve hangi kişisel verilerin işleneceği (kategorik olarak)
hususunun muğlak bırakıldığı, işlenecek veri kategorileri sıralandıktan sonra veri
işleme amaçları da art arda sıralanmak suretiyle hangi veri kategorisinin hangi
amaçla işleneceğine dair herhangi bir açıklamaya yer verilmediği, metinde “….
uygun gördüğü diğer üçüncü kişilere ve/veya yurt dışında paylaşılabileceği”
ifadesinin yer aldığı bu kapsamda kimlere aktarım yapılacağının muğlak bir şekilde
veri sorumlusuna bırakıldığı, ayrıca metinde biyometrik veri niteliğini haiz olan
parmak izinin veri kategorileri içerisinde dahi sayılmadığı,
• “Açık rıza” kavramının Kanunun 3 üncü maddesinin birinci fıkrasının (a) bendinde;
“Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan
rıza” şeklinde tanımlandığı, ilgili kişilerin açık rızasının alınacağı hallerde; rızanın
belirli bir konuya ilişkin olması, bilgilendirmeye dayanması ve özgür iradeyle
açıklanması gerektiği, veri işlemek üzere verilen açık rızanın geçerli olması
için, açık rızanın öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak
verilmesi ve veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin
olarak istenildiğinin açıkça ortaya konulması gerektiği, bununla birlikte; açık rıza
bir irade beyanı olduğundan, kişinin özgür bir şekilde rıza verebilmesi için, neye
rıza gösterdiğini de bilmesi ve kişinin sadece konu üzerinde değil, aynı zamanda
rızasının sonuçları üzerinde de tam bir bilgi sahibi olması gerektiği, bu sebeple
bilgilendirmenin, veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde,
mutlaka verinin işlenmesinden önce yapılması gerektiği, ayrıca açık rızanın geçerlilik
kazanabilmesi için kişinin yaptığı davranışın bilincinde ve kendi kararı sonucunda
olması ve açık rızanın özgür iradeyle açıklanması gerektiğinden, herhangi bir
hususun ilgili kişi tarafından açık rıza verilmesi şartına bağlanmaması, tarafların eşit
konumda olmadığı veya taraflardan birinin diğeri üzerinde etkili olduğu durumlarda
rızanın özgür iradeyle verilip verilmediğinin dikkatle değerlendirilmesi gerektiği,
örneğin işçi-işveren ilişkisinde, işçiye rıza göstermeme imkânının etkin bir biçimde
287
KİŞİSEL VERİLERİ KORUMA KURUMU
sunulmadığı veya rıza göstermemenin işçi açısından muhtemel bir olumsuzluk
doğuracağı durumlarda, rızanın özgür iradeye dayandığının kabul edilemeyeceği,
• Somut olayda, veri sorumlusu tarafından açık rıza metninin onaylanması için
çalışanlara e-postalar gönderildiği, metni imzalamayan çalışanların listesinin
tutulduğu, bu listelerin başkaca çalışanlara gönderilmesi suretiyle metni imzalamayan
çalışanların metni imzalamalarının sağlanmasının talep edildiğinin anlaşıldığı,
bununla birlikte çalışan tarafından onayın verilmemesi sebebiyle özlük dosyasının
tamamlanmamış kabul edildiği durumlarda; işçiye rıza göstermeme imkânının etkin
bir biçimde sunulmamasından ötürü verilen rızanın, geçerli bir açık rıza beyanı
olarak değerlendirilemeyeceği, öte yandan, işçinin eşine ve çocuğuna ait kişisel
verilerin işlenmesi için açık rıza vermesinin geçerlilik taşımayacağı,
• Yine ilgili kişinin dilekçesinde; “ (…) parmak izinin alındığını, çalışanların bu
veriyi vermek zorunda bırakıldığını, parmak izi alındığı sırada ilgili kişilerin açık
rızalarının alınmadığını ve aydınlatma yükümlülüğünün de yerine getirilmediğini,
biyometrik verilerin üçüncü taraf bir şirket ile paylaşılıp paylaşılmadığı, yeterli
güvenlik önlemleri ile saklanıp saklanmağı hususlarında tarafına bilgi verilmediğinin
(…)” dile getirildiği, veri sorumlusunun ise, “ (…) çalışanların parmak izlerinin acil
durum yönetimi sürecinin yürütülmesi, fiziksel mekan güvenliği ve yetkili kurum ve
kuruluşlara bilgi verilmesi amaçlarıyla kullanıldığını, parmak izlerinin kriptografik
yöntemlerle muhafaza edildiğini, bu sebeple bu verilerin biyometrik veri niteliği
taşımadığını (…)” belirttiği, biyometrik verilerin hash yöntemi ile saklandıklarında
biyometrik veri olma niteliklerini kaybetmedikleri, bu bakımdan açık rızanın
bulunmadığı hallerde biyometrik verilerin ancak Kanunun 6 ncı maddesinde
öngörülen kanunlarda öngörülme şartı doğrultusunda işlenebileceği, bununla
birlikte söz konusu verinin işlenme amacının da Kanunun genel ilkeleri arasında
yer alan “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine de aykırı
olduğu, örneğin fiziksel mekan güvenliğinin sağlanabilmesi için giriş esnasında
manyetik kart sistemi, RFID etiketi, cep telefonuna gönderilecek bir SMS’in sisteme
girilmesi gibi alternatif yollar ile sağlanması mümkünken çalışanların biyometrik
veri niteliğindeki parmak izi verisinin alınmasının Kanunun 4 üncü maddesinin (2)
numaralı fıkrasında yer alan “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma”
ilkesi ile bağdaşmadığı, bu çerçevede “acil durum yönetimi sürecinin yürütülmesi,
fiziksel mekan güvenliği ve yetkili kurum ve kuruluşlara bilgi verilmesi amaçları”nın
farklı yollarla da hasıl olması mümkünken söz konusu veri işleme faaliyeti ile
orantısız bir veri işleme yapıldığının değerlendirildiği,
• İşlenen kişisel verilerin aktarıldığı üçüncü kişiler arasında “Bu bölümde sayılan
şirketlerin yerini alabilecek diğer şirketler” benzeri ifadelerin yer alması halinde,
işlenecek kişisel verilerin tam olarak nereye aktarılacağının rıza verecek ilgili kişi
tarafından tam olarak bilinemeyebileceğinden, bu şekilde verilen rızanın açık rıza
olarak değerlendirilmesinin mümkün olmayacağı,
• Öte yandan kişisel verilerin yurtdışında mukim üçüncü kişilere aktarılması
288
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
durumunda Kanunun 9 uncu maddesi uygulama alanı bulacağı, “Kişisel verilerin
yurtdışına aktarılması” başlıklı 9 uncu maddesinde kişisel verilerin, ilgili kişinin
açık rızası olmaksızın yurtdışına aktarılamayacağı; kişisel verilerin, Kanunun 5 inci
maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan
birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın
bulunması, yeterli korunmanın bulunmaması durumunda ise Türkiye’deki ve ilgili
yabancı ülkedeki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri
ve Kurulun izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın
yurt dışına aktarılabileceğinin hükme bağlandığı, bu çerçevede yurtdışına veri
aktarımlarında açık rızanın olmadığı hallerde 9 uncu maddede öngörülen prosedürün
işletilmesi gerektiği,
• Ayrıca, veri sorumlusunun “bulutta depolanan kişisel verilerin güvenliğini yalnızca
yetkili kişilerin ulaşabileceği biçimde ayarlandığı” ifadesi ele alındığında daha önce
Kurul tarafından alınan 31.05.2019 tarihli ve 2019/157 sayılı l Kararı ile; “Google
firmasına ait G-mail e-posta hizmeti altyapısının kullanılması durumunda gönderilen
ve alınan e-postaların dünyanın çeşitli yerlerinde bulunan veri merkezlerinde
tutulması söz konusu olacağından, böyle bir durumda kişisel verilerin yurt dışına
aktarılmış olacağına ve veri sorumlularının söz konusu uygulamayı 6698 sayılı Kişisel
Verilerin Korunması Kanununun (Kanun) “Kişisel verilerin yurt dışına aktarılması”
başlıklı 9 uncu maddesi hükümlerine uygun olarak gerçekleştirmesine;“Server”ları
yurt dışında bulunan veri sorumlularından/veri işleyenlerden temin edilen
saklama hizmetlerinin de Kanunun 9 uncu maddesi hükümlerine uygun olarak
gerçekleştirilmesine” karar verildiği, bu kapsamda serverları yurt dışında bulunan
hizmetlerin kullanımının yurt dışına kişisel veri aktarımı olduğu ve Kanunun 9 uncu
maddesine uygun hareket edilmesi gerektiği,
• Yukarıda yer alan açıklamalar doğrultusunda, veri sorumlusunun çalışanlarının
açık rızaları olmaksızın kişisel verilerini ve özel nitelikli kişisel verilerini işlediği
ve bu verileri yine çalışanlarının açık rızası olmaksızın yurtiçi ve /veya yurtdışına
aktardığının anlaşıldığı, Kanunun 12 nci maddesinin birinci fıkrasında; veri
sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel
verilere hukuka aykırı olarak erişilmesini önlemek ile kişisel verilerin muhafazasını
sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her
türlü teknik ve idari tedbirleri almak zorunda olduğu hükme bağlandığı, ancak
veri sorumlusunun Kanunla kendisine yüklenmiş olan bu yükümlülükleri yerine
getirmediği
değerlendirmelerinden hareketle;
• Aydınlatma yükümlülüğünü yerine getirmediği kanaatine varıldığından veri
sorumlusu hakkında Kanunun 18 inci maddesinin birinci fıkrasının (a) bendi
uyarınca 50.000 TL idari para cezası uygulanmasına,
• Veri sorumlusunun çalışanlarının ve yakınlarının açık rızaları olmaksızın kişisel
verilerini ve özel nitelikli kişisel verilerini işlediği, işlediği özel nitelikli kişisel veriler
289
KİŞİSEL VERİLERİ KORUMA KURUMU
bakımından Kanunun 4 üncü maddesinde yer alan genel ilkelerden ölçülülük ilkesine
aykırı hareket ettiği ve bu verileri yine çalışanlarının açık rızası olmaksızın yurtiçi
ve /veya yurtdışına aktardığı görüldüğünden, Kanunun 12 nci maddesinin birinci
fıkrasında yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel
verilere hukuka aykırı olarak erişilmesini önlemek ile kişisel verilerin muhafazasını
sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü
teknik ve idari tedbirleri alma yükümlülüğüne aykırı hareket ettiği kanaatine varılan
veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b)
bendi uyarınca 200.000 TL idari para cezası uygulanmasına karar verilmiştir.
1.3.52 “İlgili kişinin tahlil sonuçlarının veri sorumlusu hastane tarafından hukuka
aykırı şekilde üçüncü kişilere aktarılması” hakkında Kişisel Verileri Koruma
Kurulunun 20/05/2020 tarihli ve 2020/407 sayılı Karar Özeti
İlgili kişinin şikâyetinde özetle; şikayete konu hastanenin Tüp Bebek bölümüne tahlil
için başvurduğu, tahlil sonuçlarının e-posta yoluyla kendisine iletildiği, ancak aynı
e-postanın başka bir e-posta adresine ve tanımadığı bir kişiye daha gönderildiğini
fark ettiği, veri sorumlusu Hastanenin “Kişisel Verilerin Korunması ve İşletilmesi
Politikası” kapsamında kişisel verilerinin muhafazasında gerekli tedbirleri almadığı,
kişisel verilerinin işlenme amacının gereklilikleri doğrultusunda üçüncü kişilere
aktarılmasında ilgili mevzuata ve alt düzenlemelere uygun davranmadığı, bu sebeple
veri sorumlusundan ihtarname ile bilgi talebinde bulunduğu, söz konusu talebine ilişkin
veri sorumlusu tarafından hatanın kabul edildiğini içeren bir cevap verildiği belirtilerek
6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin
yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde şikayet dilekçesinde yer alan iddialara
ilişkin veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;
• İlgili kişinin hastanenin Tüp Bebek Bölümüne tahlil için başvurduğu, tahlil
sonuçlarının aynı gün aynı test için hastalarını hastane laboratuvarına yönlendirmiş
olan başka bir doktorun özel asistanına ve hastaların kendilerine e-posta olarak
iletildiği,
• Özel ve genel nitelikteki kişisel verilerin muhafazasını sağlamak amacıyla Kanunun
12 nci maddesi kapsamında hukuka uygun güvenlik düzeyini temin etmeye yönelik
hangi idari ve teknik tedbirlerin alındığına ilişkin olarak; sistemdeki bilgilerin
hasta temsilcilerine görmesine kapatılması kararı alındığı, hekimlerin sadece kendi
hasta bilgilerine, hemşirelerin görev yaptıkları servislerde yatan hasta bilgilerine
erişebilmesi kararı alındığı, tıbbi sekreterlik ve anlaşmalı kurumlar birimi
çalışanlarına gerektiğinde erişim için özel yetkilendirme yapılacağı
ifade edilerek, Hastane tarafından veri sorumlusu olarak mesul müdürün gösterildiği
Veri Sorumlusu Tanıtım Formu Kurumumuza intikal ettirilmiştir.
290
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
Konuya ilişkin olarak yapılan incelemede, Kişisel Verileri Koruma Kurulunun
20/05/2020 tarihli ve 2020/407 sayılı Kararı ile,
• Kanunun “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6 ncı maddesinin
(1) numaralı fıkrasında özel nitelikli kişisel verilerin “Kişilerin ırkı, etnik kökeni,
siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti,
dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve
güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” olarak
sayıldığı, bu minvalde ilgili kişinin tahlil sonuçlarının sağlıkla ilgili özel nitelikli
kişisel veri olduğu,
• Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı
fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2)
numaralı fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle
rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik
tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün
korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan
doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin
işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine
getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş
olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu
olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri
sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından
birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin
işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
• Kanunun 6 ncı maddesinde düzenlenen özel nitelikli kişisel verilerin işlenmesine
ilişkin ise; “(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın
işlenmesi yasaktır.(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel
veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın
işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının
korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,
sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama
yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından
ilgilinin açık rızası aranmaksızın işlenebilir.” hükümlerine yer verildiği, anılan
maddenin (4) numaralı fıkrasında da, “Özel nitelikli kişisel verilerin işlenmesinde,
ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” hükmünün
yer aldığı, bu çerçevede, Kanunun 22 nci maddesinin (1) numaralı fıkrasının (ç) ve (e)
bentleri uyarınca Kişisel Verileri Koruma Kurulunun 31/01/2018 tarihli ve 2018/10
sayılı Kararı ile “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca
Alınması Gereken Yeterli Önlemler” belirlenerek Resmi Gazetede yayımlandığı,
• Kanunun 8 inci maddesinde “(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın
aktarılamaz. (2) Kişisel veriler; a) 5 inci maddenin ikinci fıkrasında, b) Yeterli
önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında, belirtilen şartlardan
291
KİŞİSEL VERİLERİ KORUMA KURUMU
birinin bulunması halinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir.”
hükümlerine yer verildiği, bu çerçevede, kişisel verilerin herhangi bir veri sorumlusu
tarafından üçüncü bir tarafla paylaşılması da dahil olmak üzere işlenmesinin ancak
açık rızanın bulunması ya da Kanunda belirtilen açık rıza dışı diğer hallerin varlığında
mümkün bulunduğu,
• Bu çerçevede başvuruya konu olayda, ilgili kişinin veri sorumlusu Hastanede
bulunan tahlil sonuçlarının sağlığa ilişkin özel nitelikli kişisel veri olduğu dikkate
alındığında, bahse konu tahlil sonuçlarının üçüncü bir taraf olarak, hastaneden
bağımsız şekilde çalışan ve ayrı bir gerçek kişi veri sorumlusu olarak değerlendirilen
doktorun asistanına mail atılmak suretiyle aktarılmasında Kanunun 8 inci maddesi
kapsamında herhangi bir hukuki dayanak söz konusu olmadığından ve veri
sorumlusu Hastane tarafından da söz konusu aktarımın sehven yapıldığının beyan
edilmiş olmasından hareketle ilgili kişinin kişisel verilerinin hukuka aykırı olarak
aktarıldığı kanaatine varıldığı
değerlendirmelerinden hareketle;
• Veri sorumlusu Hastane tarafından Kuruma iletilen Veri Sorumlusu Tanıtım
Formunda veri sorumlusu olarak mesul müdürün gösterildiği ve bu kişiye ilişkin
bilgilerin söz konusu forma işlendiği görüldüğünden, 6698 sayılı Kanunun 3 üncü
maddesinde veri sorumlusunun, “Kişisel verilerin işleme amaçlarını ve vasıtalarını
belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan
gerçek veya tüzel kişi” olduğu, tüzel kişilerin, kişisel verileri işleme konusunda
gerçekleştirdiği faaliyetler kapsamında bizatihi kendilerinin “veri sorumlusu”
olduğu, ilgili düzenlemelerde belirtilen hukuki sorumluluğun da tüzel kişinin
şahsında doğacağı, bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri
bakımından bir farklılık gözetilmediği, bahse konu hüküm çerçevesinde Hastanenin
bizatihi veri sorumlusu olduğunun Hastaneye hatırlatılmasına,
• Veri sorumlusu Hastane tarafından, ilgili kişinin özel nitelikli kişisel verisinin
6698 sayılı Kanunun 8 inci maddesinde belirtilen ilgili kişinin açık rızası ya da
6 ncı maddede düzenlenen işleme şartlarından biri olmadığı halde üçüncü kişilere
aktarılmak suretiyle hukuka aykırı olarak işlenmesi sebebiyle, Kanunun “Veri
Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin birinci fıkrasına
yönelik yükümlülüğünü yerine getirmediği kanaatine varılan veri sorumlusu
hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca
100.000 TL idari para cezası uygulanmasına karar verilmiştir.
1.3.53 “Hakkında hüküm verildiği suçtan dolayı cezası infaz edilen ilgili kişiye ait
haberin yayımlandığı gazetenin internet sitesinden kaldırılması talebi” hakkında
Kişisel Verileri Koruma Kurulunun 22/05/2020 tarihli ve 2020/414 sayılı Karar
Özeti
İlgili kişinin vekilinden alınan şikayet dilekçesinde özetle;
292
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
Müvekkilinin yurtdışında başına gelen bir olay nedeniyle internet yayınlarında adı ve
soyadının geçtiği, Google arama motorunda adı ve soyadının aratılması sonucunda
veri sorumlusu Gazetenin internet sitesinin linkine ulaşıldığı, söz konusu haberde
müvekkilinin hüküm giydiği suça ilişkin bilgilerin yer aldığı ve haberin 2009 Haziran
dönemine ait olması sebebiyle yaklaşık 10 yıl öncesine ilişkin olduğu, söz konusu
cezanın tamamının infaz edildiği, ulaşılan haberler nedeniyle müvekkilinin iş hayatı
ve ailesinin bu durumdan olumsuz etkilendiği, veri sorumlusu Gazeteye başvurulduğu;
ancak başvurusunun aynı gün reddedildiği ifade edilerek kişisel verileri ve özel
nitelikli kişisel verilerini ihlal eden tarafların hukuka aykırı davranışlarına son verilerek
haberlerin kaldırılması, ilgili kurumlara 6698 sayılı Kişisel Verilerin Korunması
Kanunu (Kanun) kapsamında idari para cezası verilmesi, telafisi güç veya imkânsız
zararların doğması ve açıkça hukuka aykırılık olması nedeniyle veri işlenmesinin ve
verinin yurt dışına aktarılmasının durdurulması, ilgili kurumlar hakkında Savcılığa suç
duyurusunda bulunulması talep edilmektedir.
• Konuya ilişkin olarak başlatılan inceleme çerçevesinde veri sorumlusu Gazeteden
savunma sunması talep edilmiş, veri sorumlusu Gazetenin savunmasında,
• Kanunun ‘İstisnalar’ başlıklı 28 inci maddesinin birinci fıkrasının (c) bendinde yer
alan “Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu
düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal
etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel
amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi” ifadeleri ile kişisel verilerin
‘ifade özgürlüğü’ kapsamında işlenmesinin ‘hukuka uygunluk’ nedeni olarak
değerlendirileceğinin açıkça ifade edildiği,
• Türkiye Cumhuriyeti Anayasasının 26 ncı maddesinin birinci fıkrasında “Herkes,
düşünce ve kanaatlerini söz, yazı, resim veya başka yollarla tek başına veya toplu
olarak açıklama ve yayma hakkına sahiptir. Bu hürriyet resmî makamların müdahalesi
olmaksızın haber veya fikir almak ya da vermek serbestliğini de kapsar.” şeklinde
düzenlemenin yer aldığı, dolayısıyla haber alma ve vermenin ifade özgürlüğünün
bir parçası olarak değerlendirildiği ve Anayasa tarafından doğrudan koruma altına
alındığı,
• Bu açıklamalar doğrultusunda, şikâyet konusu yazının ‘kamunun haber alma hakkı’
kapsamında kaleme alındığı, kanun koyucu tarafından veri işleme kuralları istisnaları
arasında olan ‘ifade özgürlüğü’ içerisinde değerlendirilmesi gerektiği,
• Şikâyet eden vekiline gönderilen cevabi yazıda yer alan yayın ilkelerine ilişkin
olarak; basın ve genel manada medyanın yasama, yürütme ve yargıdan sonra 4. güç
olarak değerlendirildiği ve AİHM Kararlarında ifade edildiği üzere ‘Demokrasinin
Bekçi Köpeği’ olarak kabul edildiği, basın kuruluşlarının genel yargı denetimi
dışında bir iç denetim mekanizması kapsamında ‘yayın ilkeleri oluşturarak’ bunları
uyguladığı ve yürüttüğü,
• İlgili kişinin kişisel verilerinin internet sitesinden kaldırılmamasına ilişkin
293
KİŞİSEL VERİLERİ KORUMA KURUMU
gerekçelerin ‘kamunun haber alma hakkı’ içerisinde yer alan ‘basın özgürlüğü’
çerçevesinde kaleme alınması ve ‘hukuka uygunluk nedeni’ içermesi ile bağlantılı
olduğu,
• İlgili medya grubunun bünyesinde yer alan bütün yayın organları ile ilgili her gün
onlarca ‘içerikten çıkarma, değiştirme’ taleplerinin taraflarına iletildiği, okuyucuların
haberde bahsi geçen olgular tamamen görünürde gerçeğe uygun olsa dahi kişisel
olarak rahatsız edici olduğu gerekçesi ile yayından kaldırma taleplerinin bulunduğu,
medyanın kamuoyu üzerindeki haber verme hak ve görevi doğrultusunda özellikle
yaşanan adli süreçler ile ilgili yapılan bu haberlerin, gelişigüzel ve üstün kamuoyu
yararı dikkate alınmadan sadece ilgilisi tarafından rahatsız edici bulunduğu için
kaldırılması dolayısıyla orta ve uzun vadede medyanın işlevsiz kalması anlamına
geleceği ve kamunun haber alma hakkının zarar görebileceği,
• İlgilisi tarafından içeriğin kaldırılması talepli hususlar değerlendirilirken üstün
kamu yararının dikkate alındığı ve bu husus çerçevesinde her somut olay için
ayrı bir değerlendirmenin yapıldığı, şikayete konu olayda ise ilgili kişinin
gerçekleştirmiş olduğu eylemin tarafsız bir mahkeme tarafından araştırıldığı ve
nihayetinde mahkumiyet kararı verilerek bu kararın kamuya açık bir şekilde ilan
edildiği, dolayısıyla gizli bir bilginin taraflarınca ifşa edilmesinin söz konusu
olmadığı gibi haberde bahsi geçen bilgilerin tamamının yargı makamları kararı ile
kesinlik kazandığı, haber tarihi üzerinden belli bir zaman geçmiş olması gerekçesine
dayanarak içeriklerin kaldırılması halinde medya kuruluşlarının arşivlerinin
tamamen eriyeceği ve kamu denetimi için önemli olan toplumsal belleğin ortadan
kalkacağı,
• Yayınların kaldırılması ile ilgili olarak 5651 sayılı Kanun ile ‘erişim engelleme’nin
mümkün kılındığı, ilgili Kanun kapsamında bir içeriğin ‘kişilik haklarını ihlal ettiğini’
iddia eden şahsa, bağımsız ve tarafsız mahkemeler aracılığıyla her somut olay için
ayrı değerlendirme yapılması ve hakimler tarafından uygun görüldüğü takdirde
erişim engelleme kararının verilmesini sağlayabilecek Sulh Ceza Hakimlikleri
aracılığıyla talepte bulunma hakkının ihdas edildiği, bu minvalde alınacak kararların
taraflarına tebliği sonrasında erişim engelleme kararının 4 saat içerisinde taraflarınca
uygulandığı,
açıklamalarına yer verilmiş ve bu kapsamda, kamu yararı içeren bir haber ile ilgili
olarak ilgili kişinin yargı yoluna başvurmayıp kanuni muvazaa yoluna giderek Kurula
başvurmasının yargı denetiminden kaçması ve hakkını kötüye kullanmış olmasına
sebebiyet verdiği ifade edilerek bu açıklamalar ve ilgili mevzuat doğrultusunda; Anayasa
Mahkemesi’nin 03.03.2016 tarih ve 2013/5653 sayılı Kararında “…her ne kadar
kişisel verilerin ancak Kanunla veya kişinin açık rızası ile işlenebileceği belirtilmiş
ise de Anayasada tanımlanan ifade ve basın özgürlükleri kapsamında yapılan bir
haberin anılan sınırların istisnası olacağı açıktır...”…“…Unutulma hakkının internet
gazete arşivlerindeki her türlü haber yönünden uygulanmasını beklemek mümkün
değildir…”..“…internette tutulan arşivlerin, ifade ve basın özgürlükleri kapsamında
294
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
olduğu açıktır. Dolayısıyla internette yayımlanan ve gazetecilik faaliyeti kapsamında
kabul edilen bir haber arşivinin yayından kaldırılması basın özgürlüğüne yönelik bir
müdahale teşkil eder.” şeklinde yer aldığı, bu çerçevede şikayet sonucu başlatılan
soruşturma neticesinde tarafları hakkında “6698 sayılı Kanuna aykırı bir işlemin
bulunmadığı” yönünde karar verilmesi talep edilmiştir.
Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun
22/05/2020 tarih ve 2020/414 sayılı Karar ile;
• Kanunun “Tanımlar” başlığını taşıyan 3 üncü maddesinde kişisel verinin “kimliği
belirli ya da belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, ilgili kişinin “kişisel
verileri işlenen her türlü gerçek kişi”, veri sorumlusunun ise “kişisel verilerin
işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve
yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlandığı,
• Diğer taraftan, Kanunun “İlgili Kişinin Hakları” başlıklı 11 inci maddesinde herkesin,
veri sorumlusuna başvurarak kendisiyle ilgili; kişisel verilerinin işlenip işlenmediğini
öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerinin
işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme,
kişisel verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini
isteme, 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerinin silinmesini
veya yok edilmesini isteme, kişisel verilerinin düzeltilmesi veya silinmesi/yok
edilmesi ile ilgili yapılan işlemlerin kişisel verilerinin aktarıldığı üçüncü kişilere
bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla
analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz
etme ve kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması
hâlinde zararın giderilmesini talep etme hakkına sahip olduğunun hükme bağlandığı,
• Kanunun 28 inci maddesinin birinci fıkrasının (c) bendine göre ise “Kişisel verilerin
millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik
güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç
teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade
özgürlüğü kapsamında işlenmesi” halinde Kanun hükümlerinin uygulanmayacağının
düzenlendiği,
İfade özgürlüğünün bir yansıması olan basın özgürlüğü ile kişilik hakları karşı karşıya
geldiğinde haberin;
a) Kamu ilgi ve yararı taşıması,
b) Gerçek ve güncel olması,
c) Özü ile biçimi arasındaki denge
kriterleri kapsamında değerlendirilmesi suretiyle hangi hakka üstünlük tanınması
gerektiğinin belirlenmesinin önem arz ettiği,
• Bu kapsamda öncelikle kamu yararının tespitinde, haberin kişilerin gereksiz
295
KİŞİSEL VERİLERİ KORUMA KURUMU
merak duygularına mı yoksa yüksek ahlaki ve hukuki değerlerin korunmasına mı
hizmet ettiğinin değerlendirilmesinin uygun olacağı, bu anlamda, toplumsal ilgi
uyandıran, kamuoyu üzerinde düşünmeye ve tartışmaya sevk eden, belli bir sorunun
aydınlanmasına ve buna çözüm yollarının gösterilmesine hizmet eden olayların
açıklamasında kamu yararının bulunduğu, örneğin, yasa dışı uygulamaların, rüşvet
ve yolsuzlukların kamuoyuna iletilmesinde, eleştirilmesinde kamu yararı bulunduğu,
öte yandan, kamu ilgi ve yararı kriteri kapsamında siyasetçiler ve kamu görevlilerine
dair yapılan haberler bakımından basın özgürlüğüne yapılan sınırlamaların daha dar
yorumlanmasının uygun olacağının değerlendirildiği,
• Bu çerçevede, basın özgürlüğüne yapılan sınırlamanın daha dar yorumlanabilmesine
olanak sağlayacak olan ilgili kişinin toplum tarafından tanınır, bilinir olma gibi
siyasetçi, ünlü veyahut kamu görevlisi olma kriterlerinden birini taşıdığına dair
herhangi bir bilgiye yapılan incelemelerde rastlanılmamış olmakla birlikte bahse
konu olaya konu haberin kamu ilgi ve yararının yasa dışı uygulamalar, rüşvet ve
yolsuzlukların kamuoyuna iletilmesi gibi değerlendirilebilecek olan insan kaçakçılığı
suçunu işleyen failler hakkında olduğunun görüldüğü, bu kapsamda, haberin
yayınlanması ile toplumun bilgilendirilmesi ve bu durumdan haberdar edilmesinin
toplumsal bir faydaya yol açabileceğinin mümkün göründüğü, dolayısıyla, söz
konusu haber her ne kadar toplum tarafından tanınır olmayan bir vatandaş hakkında
olmuş olsa dahi bu haberin kamuya duyurulmasında kamunun ortak menfaatinin
bulunduğu sonucuna varıldığı,
• Karşı karşıya gelen hakların değerlendirilmesi açısından haberin gerçek ve güncel
olması ikinci kriter olarak sayılmış olup gerçeklik unsurunun, somut gerçeğe
değil, olayın, haberin verildiği andaki beliriş biçimine uygunluk olarak anlaşılması
gerektiği, haberin güncel olmasının ise somut olayın açıklandığı tarihlerde kamu
yararının bulunması esasına dayandığı, üzerinden süre geçmiş ve açıklanmasında
artık kamu yararı bulunmayan bir olayın yayımlanmasında haber verme hakkından
söz edilemeyeceğinden, burada kişilik hakkına üstünlük tanınması gerekeceği,
geçmişteki bir olayın gündeme getirildiği haberin, hukuka uygun kabul edilebilmesi
için kamu yararı taşıması gerektiği,
• Bahse konu şikâyet başvurusunun, haberin ve veri sorumlusunun cevabi yazısının
incelenmesi neticesinde; gerçeklik unsuruna ilişkin olarak ilgili kişinin şikâyet
başvurusunda yer alan “Müvekkilinin 2009 yılında İngiltere’de 3 sene hapis cezası
ile cezalandırıldığı, Haziran 2009’da cezaevine girip Ekim 2010’da çıktığı, 1,5 yıl
cezaevinde kalması sonrasında İngiliz Yasaları doğrultusunda kontrollü tahliye
şeklinde kalan cezasını cezaevi dışında tamamladığı ve Nisan 2012 itibariyle
müvekkile verilen cezanın tamamının infaz edildiği…” ifadelerinden de anlaşılacağı
üzere habere konu olayın yargı tarafından verilen kararla kanıtlanmış olduğu, öte
yandan, haberin güncel olması kriterinin değerlendirilmesi kapsamında mevcut
şartlar altında bahse konu haberin gündemde kalması hususunda ve kamunun bu
haberi alma konusunda menfaatinin devam ettiği dolayısıyla hukuka uygunluk sebebi
sayılabilecek kamu yararının söz konusu haberde bulunduğu sonucuna varıldığı,
296
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
• Biçim ve öz arasındaki denge kriteri açısından ise haberde kullanılan dil, ifade ve
resimlerin haberin veriliş biçiminin gerektirdiği ölçüde olması, haberin verilişinde
gerekli, ilgili ve yararlı olmayan beyan ve değerlendirmelerde bulunulmaması
gerektiği, haberin özü ile biçimi arasında denge gözetilmesi gerekliliği bulunduğu,
• Söz konusu haberde, biçim ve öz arasındaki denge kriteri açısından ise kullanılan
dil, ifade ve resimlerin haberin veriliş biçiminin gerektirdiği ölçüde olduğu,
haberin verilişinde gerekli, ilgili ve yararlı olmayan beyan ve değerlendirmelerde
bulunulmadığı sonucuna varıldığı,
değerlendirmelerinden hareketle;
• İlgili kişinin kendisine ilişkin verinin söz konusu habere konu edilerek
yayımlanmasında hâlihazırda kamu yararı bulunduğu ve bu itibarla çatışan haklar
bakımından ifade özgürlüğünün kişilik haklarına üstün geldiği sonucuna varıldığı
ve söz konusu başvurunun Kanunun 28 inci maddesinin birinci fıkrasının (c)
bendi çerçevesinde değerlendirilmesi nedeniyle ilgili kişinin şikayeti ile ilgili
olarak Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.
1.3.54 “İlgili kişinin kişisel verilerinin, hakkında icra takibi yapan avukat
tarafından hukuka aykırı olarak işlenmesi ve açıklanmasına ilişkin şikayet” ile
ilgili Kişisel Verileri Koruma Kurulunun 28/05/2020 Tarihli ve 2020/429 Sayılı
Karar Özeti
İlgili kişiden alınan şikayet dilekçesinde özetle;
• Kamu görevlisi olarak görev yaptığı ilde kamuya ait bir sosyal tesiste konakladığı;
banka borcundan dolayı, hakkında bankanın vekili olan avukat tarafından icra
takibi başlatıldığı; 27.11.2018 tarihinde kendisiyle birlikte aynı sosyal tesiste
ikamet etmekte olan sayısını tam olarak bilmediği iş arkadaşlarının kendi üzerlerine
kayıtlı cep telefonlarına ve ilgili kişinin ağabeyi üzerine kayıtlı cep telefonuna ilgili
kişinin adını ve haciz talimatını içeren kısa mesajlar gönderildiği; konuya ilişkin
olarak ayrıca Cumhuriyet Başsavcılığına başvurduğu belirtilerek avukat hakkında
gereğinin yapılması talep edilmiştir.
Konuya ilişkin olarak 01.10.2019 tarih ve 2019/293 sayılı Kurul Kararı ile başlatılan
inceleme çerçevesinde avukattan savunma sunması talep edilmiş, veri sorumlusu
avukat savunmasında,
• İkrar veya kabul anlamına gelmemek kaydı ile; şikayetçinin kişisel e-posta hesabı
yerine içerisinde ofise günlük gelen yüzlerce e-postanın bulunduğu e-posta adresine
gönderdiğini iddia ettiği başvurunun okunma ihtimalinin olmadığı, konudan
Kurumumuzun savunma talepli yazısının tebellüğ edildiği tarihte haberdar olunduğu,
bu nedenle 30 günlük yasal sürenin dolmasına karşın cevap alınamadığı iddiasının
doğru olmadığı,
• İlgili kişinin müvekkil Banka ile imzaladığı bireysel bankacılık hizmetleri
297
KİŞİSEL VERİLERİ KORUMA KURUMU
sözleşmesine istinaden kredi kullandığı, kredi sözleşmesi kurulurken kimlik, adres,
telefon ve maaş bilgilerini rızası ile paylaştığı,
• Kullandığı kredinin taksitlerini vadenin dolmasına ve akabindeki ihtara rağmen
yerine getirmekten kaçındığı için hakkında takip kararı alındığı; çıkarılan ödeme
emrinin adresinde bulunamadığı için Adres Kayıt Sistemindeki adres Mahalle
Muhtarlığına; Tebligat Yasasının 21 inci maddesi gereğince tebliğ edildiği, süresinde
itiraz olunmadığından takibin kesinleştiği, dosyanın derdest olduğu,
• Takibin üzerinden 5 yılı/60 ayı aşkın süre geçmesine ve aleyhindeki yasal takibe
rağmen şikayetçinin aldığı krediyi ödemekten kaçınması ve bundan rahatsızlık
duymaması; ancak gönderilen borç hatırlatma mesajından rahatsızlık duymasındaki
samimiyetin düşündürücü olduğu; ayrıca söz konusu SMS’lerin, ilgili kişinin
kendisini telefondan arayarak bizzat bilgi istemesi üzerine rızası ile gönderildiği,
• 5 yıllık süreçte farklı telefon numaraları üzerinden kendileriyle iletişime geçen ve
aradığı değişik hatlar nedeni ile sistemde adına birden fazla bağlantı numarası olan
şikayetçinin güncel bilgi talebi sonrasında sistemde kayıtlı numaralarına 27.11.2018
günü SMS gönderilmesini şikayet etmesinin hakkın kötüye kullanılması olduğu,
• T.C. kimlik numarasına göre abonelik sorgulaması yapıldığında; beyanın
doğruluğunun anlaşılacağı ve şikayetçi adına hayatın olağan akışına aykırı sayıda
GSM hattı olduğunun ortaya çıkarılabileceği,
• Şikayetçinin dilekçesine yazmakla birlikte alenileştirdiği T.C. kimlik numarasına
göre telefon operatörlerinin borç sorgulama sayfasına girildiğinde; adına toplam
16 adet hat olduğunun görüldüğü, hatırlatma mesajının gönderildiği hat ve
Cumhuriyet Savcılığında ifade verirken bildirdiği hat dikkate alındığında adına
kayıtlı 18 hat bulunduğu,
• 07.04.2016 tarihli Resmi Gazetede yayımlanmasına ve avukat olmasına karşın
ancak hakkında yapılan şikayet üzerine inceleme fırsatı bulduğu 6698 sayılı Kişisel
Verilerin Korunması Kanunundan kamuoyunun henüz haberdar olmadığı; toplumda
“kişisel veri” ve bunun korunmasına ilişkin bilincin oluşması için ilgililer tarafından
yapılması gerekli çalışmaların yeterli olmadığı,
• Kamuoyunun, 6698 sayılı Kanunu son yıllarda kanun koyucu tarafından ihdas
olunan ve uygulaması artık yerleşen 6502 sayılı Tüketicinin Korunması Hakkında
Kanun, 4054 sayılı Rekabetin Korunması Hakkındaki Kanun, 6112 sayılı Radyo ve
Televizyonların Kuruluşu Hakkındaki Kanun, 5411 sayılı Bankacılık Kanunu, 6325
sayılı Hukuk Uyuşmazlıklarında Arabuluculuk Kanunu, Enerji Piyasası Düzenlenme
Kanunu ve benzeri kanunlar kadar içselleştirmiş olmadığı,
• Müeyyideleri oldukça ağır bu Kanuna ilişkin bilgilendirme ve uygulamaların
zaman içerisinde Kurum Başkanı ve mensupları tarafından kamuoyuna aktarılacağı
muhakkak olsa da; bu sürecin henüz tamamlanmadığının bir vakıa olduğu,
• “Kanunu bilmemek mazeret sayılmaz” ilkesi genel bir kural olsa da; hukuk
298
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
sistemimize tamamen yabancı ve uygulama için geçiş süresi tanınan bu Kanun ve
onun uygulayıcısı Kurumun konulara daha toleransla yaklaşması gerektiği, Kuruma
ait web sayfasında yayımlanan kararların sayısı ve içeriğinin bu iddiayı doğrulayacak
istikamette olduğu,
• Nitekim; Kurulun “Veri Sorumluları Siciline Kayıt Yükümlülüğü”ne ilişkin
27.12.2019 tarih ve 2019/387 sayılı süre uzatım kararından; kendi hukuk büroları
statüsünde olanların; sicile kayıt zorunluluk süresinin 30.09.2020 tarihine ötelendiği,
Konunun Kurumun görev/inceleme alanından çıktığı, şöyle ki,
• 6698 sayılı Kişisel Verilerin Korunması Kanununun (3071 sayılı yasaya atıfta
bulunan) 15 inci maddesinin (2) numaralı fıkrasındaki “Dilekçe Hakkının
Kullanılmasına Dair Kanunun 6 ncı maddesinde belirtilen şartları taşımayan
ihbar ve şikayetler incelemeye alınamaz” şeklindeki düzenlemenin belirttiği üzere
01.11.1984 gün 3071 sayılı yasanın madde 6(b) fıkrası gereğince; yargı mercilerinin
görevine giren konularla ilgili dilekçelerin istisna kabul edilerek yasanın kapsamı
dışına bırakıldığı,
• Şikayet dilekçesinin kapsamından da anlaşılacağı üzere; şikayetçinin aynı konuda
aynı gerekçelerle 29.11.2018 tarihinde Cumhuriyet Başsavcılığına başvurarak
şikayetçi olması sonucu; Adalet Bakanlığından alınan soruşturma izni ile “özel
hayatın gizliliğini ihlal etmek, kişilerin huzur ve sükununu bozmak” suçlarından
hakkında 2019/3709 sayılı evrak üzerinden yürütülen soruşturmanın devam ettiği,
vaki şikayet üzerine konunun yargıya intikal etmiş olduğu ve soruşturmanın devam
ettiği dikkate alındığında konunun kurumun görev/kapsama alanından çıktığı,
• Nitekim bu hususun Kurulun 24.12.2018 gün ve 2018/156 sayılı kararında,
“… şikayete konu iddiaların Türk Ceza Kanunu hükümleri uyarınca suç unsuru
barındırdığı ve bunların da bireysel suç niteliğinde olduğu, bu kapsamda ilgili kişi
tarafından da konunun yargıya intikal ettirilmiş olduğu dikkate alındığında, söz
konusu başvurunun Kanun kapsamında değerlendirilemeyeceğine ……” denilmek
suretiyle açıkça ifade edildiği,
• Bu yüzden dosyanın; konu hakkında karar verilmesine yasal olanak bulunmadığı
gerekçesi ile kapatılmasının gerektiği,
USULE İLİŞKİN OLARAK
Başvuru yolunun henüz tüketilmediği,
• info@... adresine gönderildiği iddia edilen e-postadan 02.01.2019 tarihinde değil
ancak Kurumun savunma talep ettiği yazının tebliğ günü olan 16.12.2019 tarihinde
haberdar olunduğundan; 6698 sayılı Kişisel Verilerin Korunması Kanununun 14/2
maddesindeki “…. 13. madde uyarınca başvuru yolu tüketilmeden şikayet yoluna
başvurulamaz…” hükmü karşısında; bu konu ile ilgili şikayetin cevap verilmediği
takdirde 17.01.2020 tarihinden itibaren yapılabileceği ve ilgiliye de 13.01.2020
tarihinde yasal süre içerisinde yanıt verildiği gözetilerek; henüz başvuru yolu
299
KİŞİSEL VERİLERİ KORUMA KURUMU
tüketilmediği için yersiz şikayetin reddine karar verilmesi gerektiği,
Şikayetin süresinde yapılmadığı,
• Şikayetçinin 02.01.2019 tarihinde gönderildiğini iddia ettiği e-postanın gönderilme
günü ile Kuruma şikayet dilekçesi verdiği 06.02.2019 tarihi arasında 1 ay 4 gün
yani 34 günlük sürenin geçtiği; 6698 sayılı Kişisel Verilerin Korunması Kanununun
14/1 maddesindeki “…. Başvuruya cevap verilmemesi hallerinde; ilgili kişi veri
sorumlusunun cevabını öğrendiği tarihten itibaren otuz gün içinde Kurula şikayette
bulunabilir ………….” şeklinde düzenleme dikkate alındığında; 30 günlük yasal
süre içinde başvuruda bulunmadığı anlaşılan şikayetçinin usulsüz başvurusunun
reddine kadar verilmesi gerektiği,
Şikayetin reddedilmiş sayılması gerektiği,
• Kurumun; uymak zorunda olduğu varoluş yasasının 15 inci maddesinin (4) numaralı
fıkrasındaki “….. şikayet üzerine kurul talebi inceleyerek ilgililere bir cevap verir.
Şikayet tarihinden itibaren 60 gün içerisinde cevap verilmezse talep reddedilmiş
sayılır….” şeklindeki düzenleme göz önüne alındığında; Şikayet dilekçesinin
Kuruma verildiği 06.02.2019 tarihi ile Kurumun inceleme kararı verdiği 01.10.2019
tarihi arasında 7 ay 25 gün geçtiği ve yasal 60 günlük süre içerisinde şikayetçiye
cevap verilmediği anlaşıldığından; talebin reddedilmiş sayılması gerektiği,
ESASA İLİŞKİN OLARAK,
• Verinin işlenmesinin açık rızaya dayandığı,
• Şikayetçi ile Banka arasında sözleşme düzenlenirken şikayetçinin rızasıyla kimlik,
adres, telefon ve maaş bilgilerini paylaşmış olduğu ve bunların banka kayıtlarına
işlendiği,
• Kredi sözleşmesinde öngörülen vadenin dolmasına ve akabinde çekilen ihtara
rağmen geri ödemesi gerçekleştirilmeyen gecikmiş borcun tahsili açısından alacaklı
bankanın adına vekalet vermesinin ardından icra takibi aşamasına geçildiği,
• Kesinleşen icra takibinin ardından tahsilat aşamaları ilerletilirken; geri ödeme
yapmayan borçlunun durumunun sorgulandığı ve müvekkil Bankaya olan ve
ödenmeyen borç dışında başka dosyaların da olduğu, şikayetçi hakkında çok sayıda
icra takibi bulunduğunun tespit edildiği,
• İcra İflas Kanununun temel ilkelerinden birisinin, “Alacağın tahsili için yapılacak
işlemlerde borçlunun, borcunu arttıracak giderlerden kaçınılması” ilkesi olduğu;
diğer yandan avukatın müvekkilin çıkarlarını gözetmek zorunda olduğu, bu açıdan
bakıldığında mezkur dosyada olduğu gibi “bırakınız krediden kaynaklanan alacağını
tahsil etme üstüne bir de durmadan icraya gider yatırarak sürekli masraf yapılmasını
olabildiğince engellemek” sorumluluğu altında olduğu,
• Bu sorumluluğun yasal dayanağını oluşturanAvukatlık Kanununun 35/Amaddesinde;
300
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
“Avukatlar dava açılmadan veya dava açılmış olup da henüz duruşma başlamadan
önce kendilerine intikal eden iş ve davalarda, tarafların kendi iradeleriyle istem
sonucu elde edebilecekleri konularla inhisar etmek kaydıyla, müvekkilleriyle birlikte
karşı tarafı uzlaşmaya davet edebilirler.” hükmünün düzenlendiği,
• Metinden de anlaşılacağı üzere; avukatın, müvekkilinin haklarını himaye etmek
amacı ile müvekkilinin de rızasını alarak karşı taraf ile iletişime geçebileceği,
müvekkil bankanın tarafına sağlıklı iletişim kurma izni ile şikayetçinin borcunu
icra takip masrafları ile arttırmaktan ziyade; kendisini Avukatlık Kanununun 35/A
maddesi uyarınca uzlaşmaya yani belirli indirimler yaparak borcunu ödemede
kolaylık sağlamaya davet etmesinin hukuka uygun olduğu,
• Kaldı ki; uzlaşma sağlanmasının alacaklı olan müvekkil bankadan ziyade borçlu
şikayetçinin lehine olduğu; zira; borçlu adına kayıtlı tapu ve araçlara haciz şerhi
eklenip satış talep edilerek, üzerine kayıtlı tüm mal varlığını satma imkanı kanun
nezdinde tarafına verilmişken; bu yola tevessül edilmeyecek kişileri borçları
yüzünden daha fazla mağduriyet yaşatmamak adına, hiçbir malın satışı talep
edilmeyip iletişim yolu ile borca taksitlendirmeler yaparak tahsilat sağlanmaya
çalışıldığı,
• Takibin her aşamasında borçlu ile iletişime geçme hak ve imkanının mevcut olduğu;
belli bir süre sonra -ki bu dosyada takibin açılmasından 3 yıl yani 36 ay sonra-
şikayetçi borçluyu öncelikli olarak telefonla arama ve yanıt verilmediğinden mesaj
gönderme sureti ile ilgilisini haberdar etme yönteminin tercih edildiği ve böylelikle
İcra İflas Kanunundaki borçlu üzerindeki külfetin gereksiz yere artırılmasını
engelleyen amir hükme uygun davranıldığı,
• Bu meyanda; genel olarak 5411 sayılı Bankacılık Kanunu ve 6098 sayılı Türk Borçlar
Kanununun hükümleri çerçevesinde; alacaklı banka ve hukuk bürosu arasında
akdedilen vekâlet ilişkisi gereğince alacakların tahsili çalışmalarına devam edildiği;
ayrıca Avukatlık Kanununun 35/A maddesindeki yasal yükümlülük dikkate alınarak
borçlulara ödemede sağlanacak kolaylıkların ve borcun ödenmemesi halinde karşı
karşıya kalınabilecek hukuki risklerin bildirilmesi açısından SMS gönderilmesi
yönteminin uygun olacağının düşünüldüğü,
• Devlet memuru olan şikayetçinin; maaş ve diğer sosyal haklarına ve aracına, iş
yerine icra dairesi aracılığıyla sürekli haciz talebi gönderilmesinin mi, yoksa uzun
aralıklarla telefonundan aranması veya SMS gönderilmesinin mi çıkarına olacağının,
hangi durumda kişinin itibar güvenilirliğinin sarsılacağının Kurulun takdirinde
olduğu,
• Derdest olan dosyada; İcra Müdürlüğü’nün borçlunun verilerini işlemiş olması
dikkate alınarak; üstelik arandığında görüşmeyi kabul ederek onaylaması ve bilgi
talep etmesi üzerine ödemede sağlanacak kolaylıklar ve ödenmemesi halinde
karşılaşabileceği hukuki risklerin SMS ile şikayetçi borçluya bildirildiği,
• Şikayetçi borçlunun; banka ile bireysel kredi sözleşmesi imzalanırken veri işlemeye
301
KİŞİSEL VERİLERİ KORUMA KURUMU
gösterdiği rızanın açık olduğu ve bu anlamda hukuka uygun olduğu,
• Ayrıca Kanunun geçiş hükümlerini düzenleyen; Geçici 1 inci maddesinin (3)
numaralı fıkrasında yer verilen “Ancak bu kanunun yayımı tarihinden önce hukuka
uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması
halinde, bu kanuna uygun kabul edilir” şeklindeki hüküm dikkate alındığında bu
süre içerisinde aksine beyanda bulunduğunu kanıtlayamayan şikayetçinin rızasının
devam ettiğinin kabul edilmesi gerektiği,
• Bu bağlamda şikayet hakkının bulunmadığı ve yersiz şikayetin reddine karar
verilmesi gerektiği,
• Kanunun 5 inci maddesinin 2 numaralı fıkrasının (e) bendi dikkate alındığında;
işlenen veri açısından şikayetçi borçlunun açık rızasına da gerek bulunmadığı,
• Şikayetçi borçlunun, bu verinin işlenmesine dair Banka ile imzalanan sözleşme
sırasında verdiği ve tanınan bir yıllık geçiş süreci içinde de geri almadığı rızasına
istinaden, geciktirilen geri ödeme nedeni ile alacağını tahsil etmek isteyen bankanın
cebri icrada bulunabilmesi yani sözleşmeden doğan alacak hakkını kullanabilmesi
için icra dosyasında borçlunun verilerinin işlenmesinin zorunlu olduğu,
• Nitekim bu hususun Kurulun 31.05.2019 tarih ve 2019/159 sayılı kararında, “....
Şikayetçinin ilgili bankalardan kullanmış olduğu kredi borçlarının yeni alacaklısı
olması, bu kapsamda 6098 sayılı kanunun 186. maddesi çerçevesinde borçlunun
önceki alacaklılara karşı borcunu ifa etmesinin engellenmesi ve taraflarınca
şikayetçiye sağlanacak kolaylıklar ile borcun ödenmemesi durumunda şikayetçinin
maruz kalabileceği hukuki risklerin bildirilmesi amacıyla işlenmiş olmasının 6698
sayılı Kanunun 5 inci maddesinin (2) numaralı fıkrasının (e) bendi kapsamında
şikayetçinin açık rızası olmaksızın gerçekleşebilir olması nedeniyle veri sorumlusu
hakkında yapılacak bir işlem bulunmadığına...” denilmek suretiyle açıkça ifade
edildiği,
• Rıza var kabul edildiğinden şikayetin reddine karar verilmesi gerektiği,
• Verilmiş rızaya dayanarak işlenen verinin; 6698 sayılı Kişisel Verilerin Korunması
Kanununun çizdiği çerçeve içinde kalınarak kullanılması halinde; hukuka aykırılıktan
söz etmenin mümkün olmadığı,
• Müvekkil bankanın bireysel kredi sözleşmesinden doğan meşru alacağını tahsil
edebilmek amacıyla icra müdürlüğü tarafından işlenmiş veri kullanılarak, şikayetçi-
borçluya üstelik kendi talebi ile SMS gönderilmesinin hukuka uygun olduğu,
• Hiçbir şekilde ikrar anlamına gelmemek kaydıyla, 27.11.2018 tarihinde borçluya ait
olduğu düşünülen hatlara, tek seferde yalnızca bir SMS gönderildiği,
• Bu durumun, işlenmiş verinin, yasal ve somut bir alacağı tahsil edebilme amacı ile
ölçülü ve sınırlı bir şekilde kullanıldığını yani Kanunda aranan dürüstlük kurallarına
uyulduğunu ispatladığı,
302
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
• Sonuç olarak gönderilen SMS’lerin, meşru temelli, makul sayıda ve ölçülü içerikte
olup dürüstlük kuralları gözetilerek iletildikleri anlaşılacağından yersiz şikayetin
reddine karar verilmesi gerektiği,
• Şikayetçinin aradan geçen 5 yıllık sürede farklı GSM hatlarından büroyu birden
fazla kez aradığı ve kendisi ile çok sayıda görüşme gerçekleştirildiği,
• Ofis çalışanları tarafından, işin doğasına uygun olarak gelen aramaların ilgili kişinin
bilgisine işlenmekte olduğu ve gerekli zamanlarda bu numaradan ulaşıldığı,
• Şikayet dilekçesinde, ekran çıktıları sunulan hatların bu tipten olabileceği gibi, sıkça
rastlanan şekilde borçluların; hukuk bürosunu arkadaşlarına ait hatlardan aramaları
veyahut nadiren de olsa ekonomik durumları hakkında kendilerine referans olacak
arkadaşlarının numaralarını bildirmeleri yüzünden kayıtlarına girebildiği,
• Bireysel kredi sözleşmesinde şikayetçi borçlu dışında buna kefalet veren biri
olmadığından, yani meslektaşlarından veya ağabeyinden borcu hukuken tahsil etme
şansı bulunmadığından; adı geçenlere SMS göndermekte (yapılan masrafın dışında)
bir çıkarları olmadığı, bu açıdan bakıldığında adı geçenlere kasıtlı olarak SMS
gönderildiğini iddia etmenin abesle iştigal olduğu, yegane amaçlarının borçluya
ulaşmak ve onu bilgilendirmek olduğu; mesaj atılan iş arkadaşlarının ve ağabeyinin
kullandığı cep telefonlarını araştırarak bulma ve SMS gönderme gibi özel bir kasıtla
hareket edilmediği,
• Yukarıda da açıklandığı üzere, T.C. kimlik numarasına göre abonelik araştırıldığında,
hayatın olağan akışına aykırı sayıda GSM hattının adına kayıtlı olduğundan şüphe
duyulan şikayetçinin, ofis arkadaşlarına ait hatlardan araması veyahut ekonomik
durumu hakkında referans olmaları için meslektaşlarının numaralarını bildirmiş
olmasının kuvvetle muhtemel olduğu,
• Ayrıca GSM hattının adına kayıtlı kişi dışında, aile fertlerinden bir başkası tarafından
kullanılmasına Türkiye’de sıkça rastlandığının gözden kaçırılmaması gerektiği,
• Ofislerinde, …Takip Sistemi ve 118 80 bilinmeyen numaralar ile internet üzerinden
herkesin kolaylıkla ulaşabildiği kimlik, adres ve telefon bilgileri sorgulayan....
dışında program kullanılmadığı, bu hususta yerinde inceleme yapılmasının da
mümkün olduğu,
• Kurumumuzun yazısı ekinde gönderilen “Veri Sorumlusu Tanıtım Formu”nun
30.09.2020 tarihine kadar yasal süresi içerisinde doldurularak “Veri Sorumluları
Siciline Kayıt Yükümlülüğü”nün yerine getirileceği
belirtilerek, konunun yargıya intikal etmiş olması, usule ilişkin itirazları, Kurul aksi
kanaatte ise esasa ilişkin açıklamaları dikkate alınarak yersiz olarak nitelendirdiği
şikayetin reddedilmesi talep edilmiştir. Avukatın savunmasında ayrıca, şikayetçinin
T.C. kimlik numarasına göre adına kayıtlı cep telefonu aboneliklerinin olanak varsa
sorgulanması yoksa iletişim şirketlerine yazı yazılması; bu minvalde 01.11.2018 -
31.12.2018 tarihleri arasında adına kayıtlı hattı arayanlar listesinin de GSM şirketinden
303
KİŞİSEL VERİLERİ KORUMA KURUMU
getirtilmesi ve yapılacak incelemede değerlendirilmesi Kurumumuzdan talep edilmiştir.
Öte yandan, inceleme süreci devam ederken ilgili kişiden alınan ek
beyanda, Kurumumuzun savunma istemesinden sonra şikayet ettiği veri sorumlusu
avukat tarafından kendisine iletilen cevapta şahsına ait bir çok numaranın olduğu
ve kişisel verilerini içeren mesajların atıldığı numaraların kendisine ait olduğunu
düşündüğü ve bu amaçla bilgilendirme amaçlı mesaj attıklarını iddia ettiği, şahsına
ait tüm hat dökümlerini abonelik başlangıç ve bitiş tarihleri ile tarafımıza sunduğu,
kişisel verilerinin paylaşıldığı tarihte şahsına ait tek bir hattın olduğunun görüleceği;
kişisel verilerinin banka ile yapmış olduğu sözleşme kapsamında alenileştirilmiş
olduğu açıklamasının doğru olmadığı; mesaj atılan numaraların şahsına ait olduğunu
düşündüğünü belirtmiş olmasına rağmen yazısı ekinde sunulan ekran görüntülerinden
anlaşılacağı üzere ve Savcılıkta ifade veren iş arkadaşlarına gönderilen mesajlarda o
dönem beraber görev yaptığı bir başka iş arkadaşının borç bilgilerinin de paylaşılmış
olduğunun görülebileceği, hukuk bürosu çalışanları, söz konusu mesaj atılan
numaraların şahsına ait olduğunu düşünüyor ise diğer kişinin borç bilgilerini neden
aynı numaralara mesaj gönderdiklerinin sorgulanması gerektiği belirtilmiştir.
Bahse konu şikayet başvurusu ve ek beyanlar, ilgili kişinin iddiaları, veri
sorumlusundan alınan bilgi ve belgeler ve ilgili mevzuat hükümleri çerçevesinde
değerlendirilmesi neticesinde Kişisel Verileri Koruma Kurulunca alınan 28.05.2020
tarih ve 2020/429 sayılı Kararda aşağıdaki değerlendirmelere yer verilmiştir.
Şikayete konu olayda, bankaya borcu olan ve bu borca ilişkin işlemlerin yürütülmesini
teminen kişisel verileri banka tarafından avukata aktarılan ve avukat tarafından kişisel
verileri işlenen şikayetçinin “ilgili kişi”, Banka adına icra işlemlerini yürüten ve bu
işlemle ilgili olmak üzere ilgili kişinin kişisel verilerini işlemesi gereken avukatın “veri
sorumlusu”, ilgili kişinin bankaya olan borcunu tahsil edebilmek için avukat tarafından
ilgili kişinin iletişim bilgileri ve diğer ilgili bilgilerinin işlenmesi eyleminin ise “veri
işleme faaliyeti” olduğu değerlendirilmektedir. Diğer yandan Kanunda, kişisel veriler
sınırlı sayma yöntemi ile belirlenmemiş, bir verinin kişisel veri olması için belirli ya da
belirlenebilir gerçek kişiye ilişkin olma kriteri getirilmiştir. Bu bağlamda, ilgili kişinin
ağabeyine ve iş arkadaşlarına gönderilen mesajın içeriği incelendiğinde, ilgili kişinin
açık adını, borçlu olduğu bankayı ve icra dosyası borcuna ilişkin bilgileri ihtiva eden
kısa mesajın, ilgili kişiye ait kişisel veri niteliğindeki bilgileri içerdiği anlaşılmaktadır.
Usule İlişkin Değerlendirme
Veri sorumlusunun iddiası, ilgili kişinin 02.01.2019 tarihli e-postasından haberdar
olunmadığı, şikayetin varlığından Kurumumuzun bilgi belge talebi yazısı ile haberdar
olunduğu, bu durumda ilgili kişiye cevap verme süresinin Kurumumuz yazısının
tebellüğ tarihinden itibaren başladığı yönündedir. Ancak, Kanunun 13 üncü maddesinin
(2) numaralı fıkrası, “Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine
göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır” hükmünü
amir olup, bu hükümde belirtilen 30 günlük sürenin Kurum yazısının tebellüğ tarihinden
başlaması mümkün değildir.
304
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
Usule ilişkin bir diğer iddia, e-posta tarihinin 02.01.2019, Kurula şikayet tarihinin 06.02.2019
olduğu, bu durumun ise Kanunun 14 üncü maddesinin (1) numaralı fıkrası hükmüne uygun
olmadığı yönündedir. Bilindiği üzere, Kanunun “Kurula şikâyet” başlıklı 14 üncü maddesi,
“Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya
cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten
itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette
bulunabilir.” hükmünü amirdir. Şikayete konu olayda başvuruya cevap verilmediği için
başvurudan itibaren 60 günlük süre kuralı geçerli olacaktır ki, ilgili kişinin Kurumumuza
başvurusu, veri sorumlusuna başvuru tarihinden sonra 34 üncü günde yapılmış olup, Kanunda
belirlenen 60 günlük yasal süre içerisinde yapılmış bir başvurudur.
Son olarak, veri sorumlusu şikayetin üzerinden uzun zaman geçmiş olduğunu
belirtmekte ve Kanunun 15 inci maddesinde yer alan “….. şikayet üzerine Kurul talebi
inceleyerek ilgililere bir cevap verir. Şikayet tarihinden itibaren 60 gün içerisinde cevap
verilmezse talep reddedilmiş sayılır….” hükmüne dayanarak şikayetin reddedilmiş
sayılmasını talep etmektedir. Ancak, Kurumumuzun 03.04.2019 tarih ve 4485 sayılı
yazısı ile, konuya ilişkin incelemenin sürdüğü ve sonuçlanmasını müteakip tarafına
bilgi verileceği hususu ilgili kişiye tebliğ edilmiş olup, bu bilgilendirmenin yapılması
hususunda Kanunun ilgili maddesinde belirtilen süre gözetilmiştir. Ayrıca, dosyaya
ilişkin alınan 2019/293 sayılı ilk Kurul Kararı da ilgili kişiye tebliğ edilmiş olup,
dosyanın safahat bilgileri ilgili ile paylaşılmıştır.
Bu değerlendirmeler ışığında, veri sorumlusunun usule ilişkin itirazlarının reddedilmesi
kanaatine varılmıştır.
Esasa İlişkin Değerlendirme
Kanunun 5 inci maddesi, kişisel verilerin işlenme şartlarını düzenlemekte olup,
maddenin (1) numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmaksızın
işlenemeyeceği hüküm altına alınmış, (2) numaralı fıkrada ise, kanunlarda açıkça
öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda olan veya
rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı veya
beden bütünlüğünün korunması için veri işlemenin zorunlu olması, bir sözleşmenin
kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin
taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki
yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından
alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin
zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri
sorumlusunun meşru menfaati için veri işlenmesinin zorunlu olması hallerinde ilgili
kişinin açık rızası olmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükme
bağlanmıştır.
Somut olayda, veri sorumlusu bir avukat olup, vekili olduğu Banka adına, Bankanın
haklarını ve menfaatlerini korumak amacıyla hareket ettiği, bu anlamda Avukatlık
Kanunundan kaynaklanan yükümlülükleri ve yürütmekte olduğu icra işlemleri
bakımından İcra İflas Kanunu ve ikincil mevzuat düzenlemelerinden kaynaklanan
305
KİŞİSEL VERİLERİ KORUMA KURUMU
hukuki yükümlülüklerini yerine getirmek amacıyla borçluya ait bilgileri, kanuna uygun
olarak işleme ve ilgili birim/mercilere bildirme yetkisi olduğu ve bu bağlamda işlediği
kişisel verileri Kanunun 5 inci maddesinin (2) numaralı fıkrası çerçevesinde ilgili
kişinin açık rızası olmaksızın işlemesinin kanuna uygun olduğu değerlendirilmektedir.
Ancak Kanun hükümleri gereğince açık rıza aranmaksızın işlenecek kişisel verilerin
borçluya ait olması gerekmektedir. Bu kapsamda ne banka ile ne de avukat ile
bağı olan ve bahse konu icra işlemine konu kişisel verisi bulunmayan ilgili
kişinin ağabeyi ve iş arkadaşlarının telefon numaralarının işlenmesi ve akabinde
şikayetçi ilgili kişiye ait kişisel verilerin bu üçüncü kişilere ifşası Kanunun 5 inci
maddesinin (2) numaralı fıkrası hükümleri kapsamında gerçekleştirilebilecek bir
kişisel veri işleme faaliyeti değildir. Somut olayda Avukat tarafından ilgili kişiye ait
borç bilgilerinin ağabeyi ve iş arkadaşlarına kısa mesaj olarak gönderilmesi eylemi
bakımından, ilgili kişinin ağabeyinin ve iş arkadaşlarının telefon numarasının hangi
surette elde edildiği ve bu telefon numaralarının işlenmesinde Avukatın hangi hukuki
gerekçeye dayandığının da değerlendirilmesi gerekmektedir. Avukat tarafından yapılan
savunmada, şikayetçinin süreç içerisinde farklı GSM hatlarından büroyu birden fazla kez
aradığı ve kendisi ile çok sayıda görüşme gerçekleştirildiği, ofis çalışanları tarafından,
işin doğasına uygun olarak gelen aramaların ilgili kişinin bilgisine işlenmekte olduğu
ve gerekli zamanlarda bu numaradan ulaşıldığı, şikayet dilekçesinde, ekran çıktıları
sunulan hatların bu tipten olabileceği gibi, sıkça rastlanan şekilde borçluların; hukuk
bürosunu arkadaşlarına ait hatlardan aramaları veyahut nadiren de olsa ekonomik
durumları hakkında kendilerine referans olacak arkadaşlarının numaralarını bildirmeleri
yüzünden kayıtlarına girebildiği şeklindeki açıklamasının, söz konusu üçüncü kişilerin
telefon numaralarının avukat tarafından işlenmesi bakımından Kanunun 5 inci maddesi
kapsamında bir dayanak teşkil etmeyeceğinden, ilgili kişinin ağabeyi ve iş arkadaşlarının
telefon numarasının avukat tarafından işlenmesi suretiyle kısa mesaj gönderilmesinin
hukuka uygun olmadığı kanaatine varılmaktadır.
Ayrıca, veri sorumlusunun savunmasında, borçluya ait olduğu düşünülen telefon
hatlarına aynı gün, yani 27.11.2018 tarihinde tek seferde yalnızca bir SMS gönderildiği
belirtilmektedir. İlgili kişinin iş arkadaşlarının Cumhuriyet Başsavcılığında verdikleri
ifadelerde kendilerine 27.11.2018 tarihinde SMS gönderildiği belirtilmekle birlikte,
ilgili kişinin ağabeyi tarafından verilen ifadenin ekinde yer alan ekran görüntüsü
çıktılarında söz konusu SMS’lerin bu kişiye muhtelif tarihlerde pek çok kez gönderildiği
anlaşılmaktadır. Diğer yandan, ilgili kişinin iş arkadaşlarının telefon ekran görüntüsünde,
ilgili kişi dışında bir başka şahsın borç bilgilerinin de avukata/hukuk bürosuna ait olduğu
anlaşılan numaradan bu kişiler ile paylaşıldığı görülmektedir.
Kanunun 12 nci maddesinde yer alan hüküm gereğince veri sorumlusu; kişisel
verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı
olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak, amacıyla uygun
güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak
zorundadır. Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin
uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak
306
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
zorundadır. Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu
Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında
kullanamazlar.
Veri sorumlusu avukat tarafından, ilgili kişinin ağabeyi ve iş arkadaşlarının telefon
numaralarının varsayımlara dayanan ve tam olarak ispatlanamayan bir şekilde elde
edilmesi, akabinde şikayetçi ilgili kişiye ait borç bilgilerinin yani kişisel verilerin bu
numaralarla paylaşılması Kanun hükümlerine aykırılık teşkil etmekte olup, bu suretle veri
sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önleme, kişisel verilere
hukuka aykırı olarak erişilmesini önleme ve kişisel verilerin muhafazasını sağlamak
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve
idari tedbirleri alma yükümlülüğünü yerine getirmediği kanaatine varılmaktadır.
Öte yandan, veri sorumlusu avukatın savunmasında, ilgili kişinin hayatın olağan
akışına aykırı şekilde fazla sayıda telefon hattı aboneliğine sahip olduğu belirtilerek,
bu durumun, ilgili kişinin dilekçesine yazmak suretiyle alenileştirdiği T.C. kimlik
numarası kullanılarak GSM operatörlerinin borç sorgulama sayfalarından tespit
edildiği belirtilmiş ve bu sorgulamalara ilişkin internet sayfası çıktıları da savunmaya
eklenmiştir. Öncelikle, veri sorumlusu avukatın görevi gereği edindiği veya ilgili kişinin
veri sorumlusu avukata başvurmak amacıyla kendisine bildirmiş olduğu kişisel verilerin
alenileştirilmiş veri olduğunu söylemek mümkün değildir. Kişisel Verilerin Korunması
Kanununa İlişkin Uygulama Rehberinde de belirtildiği üzere, alenileştirmeden söz
edilebilmesi için ilgili kişinin alenileştirme iradesinin bulunması ve ayrıca verinin
alenileştirme amacı dışında kullanılmaması gerekmektedir. Ancak, avukatın başka
bir vesile ile işlediği kişisel verileri kullanarak ilgili kişinin GSM aboneliklerini ve
borçlarını sorgulaması bu bağlamda değerlendirilemeyecektir. Diğer yandan, bilindiği
üzere, Kanunun genel ilkeler başlıklı 4 üncü maddesinde, kişisel verilerin işlenmesinde
uyulması gereken ilkeler düzenlenmiş olup, maddenin (2) numaralı fıkrasında kişisel
verilerin işlenmesinde “(c) belirli, açık ve meşru amaçlar için işleme, (ç) işlendikleri
amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine uyulması gerektiği hükme
bağlanmıştır. Veri sorumlusunun icra işlemlerinde kullanmak üzere edindiği veya
ilgili kişi tarafından kendisine bildirilen T.C. kimlik numarasını kullanarak GSM hattı
sorgulaması yapmak suretiyle ikinci bir hukuka aykırı veri işleme eylemine sebebiyet
verdiği değerlendirilmektedir.
Kanuna uyum konusunda genel değerlendirme
Veri sorumlusu avukat tarafından Kurumumuza iletilen savunmada, 6698 sayılı Kanun
ve uygulamalarına ilişkin yanlış tespit ve değerlendirmeler olduğu anlaşılmış olup, bu
hususta genel bir değerlendirme yapılması gereği hasıl olmuştur.
Kanunun kamuoyu tarafından bilinmediği, içselleştirilmediği şeklindeki açıklamaya
karşılık olarak, Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarihinde yürürlüğe
girmiş; geçiş hükümleri Kanunun Geçici 1 inci maddesinde düzenlenmiştir. Geçici 1
inci maddenin (3) numaralı fıkrasında Kanunun yayımı tarihinden önce işlenmiş kişisel
verilerin Kanunun yayımı tarihinden itibaren iki yıl içinde Kanuna uygun hale getirileceği
307
KİŞİSEL VERİLERİ KORUMA KURUMU
belirtilmek suretiyle uyum için gerekli süre de hüküm altına alınmıştır. Söz konusu
iki yıllık geçiş süresinin 7 Nisan 2018 tarihi itibari ile dolduğu dikkate alındığında,
içinde bulunduğumuz tarih itibariyle, mesleği gereği mevzuat konularına hakim olması
gereken veri sorumlusu avukatın söz konusu açıklamasının kabul edilebilir olmadığı
değerlendirilmektedir.
Öte yandan, Kurulca alınan karar sayısının az olduğu değerlendirmesine karşılık olarak, Kurul
tarafından alınan her Kararın değil, sadece yayımlanmasına Kurulca karar verilen Kararların,
Kanunun 12 nci maddesinin (5) numaralı fıkrası ile yine Kanunun 23 üncü maddesinin (5)
numaralı fıkrası hükümlerine istinaden yayımlandığını belirtmekte fayda görülmektedir.
Öte yandan, veri sorumlusu avukat, Kurumun savunma talebi yazısı ekinde matbu
olarak tüm veri sorumlularına iletilen Veri Sorumlusu Tanıtım Formunu doldurmamış,
savunmasında yasal süre olan 30.09.2020 tarihi itibariyle formun doldurulacağı ve
VERBİS’e kayıt yükümlülüğünün yerine getirileceğini belirtmiştir. Bilindiği üzere,
Kanunun “Veri Sorumluları Sicili” başlıklı 16 ncı maddesinin (2) numaralı fıkrasında
Kurul tarafından Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebileceği
düzenlenmiş olup, söz konusu hükmün verdiği yetki çerçevesinde Kurul tarafından
alınan 02.04.2018 tarih ve 2018/32 sayılı Karar uyarınca “19/3/1969 tarihli ve 1136
sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar” VERBİS’e kayıt
yükümlülüğünden istisna tutulmuştur. Bu anlamda, veri sorumlusunun bir avukat olduğu
dikkate alındığında, avukatlık mesleği dışında bir veri sorumluluğu bulunup bulunmadığı
ve VERBİS’e kayıt yükümlülüğü olup olmadığı tarafınca ayrıca değerlendirilmelidir.
Öte yandan, veri sorumlusunun savunmasında, ofislerinde kullandıkları bazı
yazılımlardan söz edilmekte olup, bu hususta Kurul tarafından alınan “Hukuka Aykırı
Olarak Elde Edilen Veriler Üzerinden Vatandaşların Kimlik ve İletişim Bilgileri Gibi
Kişisel Verilerinin Sorgulanmasına İmkân Tanıyan Yazılım/Program/Uygulamalara
Yönelik” 18/10/2019 tarihli ve 2019/308 sayılı İlke Kararının veri sorumlusunca dikkate
alınması gerektiği değerlendirilmektedir.
Bu minvalde, veri sorumlusu avukatın savunmasında 6698 sayılı Kanun ve
uygulamalarına ilişkin yer alan yanlış tespit ve değerlendirmeler dikkate alındığında,
Kanuna uyum konusunda azami dikkat ve özenin gösterilmesi hususunda veri
sorumlusunun talimatlandırılmasının uygun olacağı sonucuna ulaşılmıştır.
Konunun yargıya intikal etmiş olmasına ilişkin değerlendirme
Gerek ilgili kişi tarafından sunulan belgeler gerek veri sorumlusu avukatın savunması
ve sunduğu belgeler, konunun ilgili kişi tarafından yargıya intikal ettirilmiş olduğunu
göstermektedir. 1136 sayılı Avukatlık Kanununun “Soruşturmaya yetkili Cumhuriyet
Savcısı” başlıklı 58 inci maddesinde, “Avukatların avukatlık veya Türkiye Barolar Birliği
ya da baroların organlarındaki görevlerinden doğan veya görev sırasında işledikleri
suçlardan dolayı haklarında soruşturma, Adalet Bakanlığının vereceği izin üzerine,
suçun işlendiği yer Cumhuriyet savcısı tarafından yapılır” hükmü düzenlenmiş olup,
avukat hakkındaki işlemin bu hüküm çerçevesinde yürütüldüğü anlaşılmaktadır. Ancak,
ilgili Cumhuriyet Başsavcılığı tarafından hazırlanan Adalet Bakanlığı Ceza İşleri Genel
308
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
Müdürlüğünü muhatap fezlekenin “Netice ve Kanaat” bölümünde avukatın “kişilerin
huzur ve sükununu bozma, görevi kötüye kullanma ve özel hayatın gizliliğini ihlal suçlarını
işlediği hususunda yeterli şüpheye ulaşıldığı” ifadesi yer almakta olup, avukatın
savunması ekinde de görüleceği üzere söz konusu suçlar arasında kişisel verilere ilişkin
suçlar bakımından bir değerlendirmeye gidilmemiş olup, bu anlamda şikayete konu
eylemde hukuka aykırı bir kişisel veri işleme faaliyeti olduğu değerlendirildiğinden
konunun Kurulun görev ve yetki alanında olduğu sonucuna varılmaktadır. Ayrıca, ilgili
kişinin ağabeyinin ve kendisiyle aynı yerde ikamet eden iş arkadaşlarının iletişim
bilgilerinin kaydedilmesi ve bu kişilere SMS gönderilmesi şeklinde gerçekleşen
kişisel veri işleme faaliyeti bakımından konunun yargıya intikal etmediği ve bu
hukuka aykırı kişisel veri işleme faaliyetinin de Kurulun yetki ve görev alanında
bulunduğu dikkate alındığında söz konusu şikayete ilişkin yapılan inceleme
neticesinde Kurul tarafından Kanunda yer alan müeyyidelerin uygulanmasının
önünde bir engel olmadığı değerlendirilmektedir.
Sonuç olarak,
Bankaya olan borcuna ilişkin bilgilerin, icra işlemlerini yürüten avukat tarafından
kendisi gibi kamu sosyal tesisinde konaklamakta olan iş arkadaşlarına ve ağabeyine
SMS aracılığıyla gönderilmesi üzerine, ilgili avukatlık bürosuna başvuran ancak bir
cevap alamayan ilgili kişinin şikayetinin incelenmesi neticesinde;
1. Veri sorumlusunun usule ilişkin itirazlarının yersiz olması nedeniyle reddedilmesine,
2. Veri sorumlusu avukat tarafından, ilgili kişinin ağabeyi ve iş arkadaşlarının telefon
numaralarının varsayımlara dayanan ve tam olarak ispatlanamayan bir şekilde elde
edilmesi, akabinde şikayetçi ilgili kişiye ait borç bilgilerinin yani kişisel verilerin bu
numaralarla paylaşılmasının; ayrıca ilgili kişinin T.C. kimlik numarası kullanılmak
suretiyle GSM aboneliklerinin ve borçlarının sorgulanmasının Kanun hükümlerine
aykırılık teşkil ettiği, bu suretle kişisel verilerin hukuka aykırı olarak işlenmesini önleme
ve kişisel verilere hukuka aykırı olarak erişilmesini önleme yükümlülüğünü yerine
getirmediği ve genel ilkelere aykırı hareket ettiği dikkate alındığında, veri sorumlusunca
yürütülen veri işleme faaliyetinin Kanunun 12 nci maddesinin (1) numaralı fıkrasına
aykırılık teşkil etmesi nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının
(b) bendi uyarınca hakkında 125.000 TL idari para cezası uygulanmasına,
3. Veri sorumlusu avukatın savunmasında 6698 sayılı Kanun ve uygulamalarına ilişkin
yer alan yanlış tespit ve değerlendirmeler dikkate alındığında, Kanuna uyum konusunda
azami dikkat ve özenin gösterilmesi hususunda talimatlandırılmasına karar verilmiştir.
1.3.55 Kişisel bakım sektöründe faaliyet yürüten bir veri sorumlusunun veri
ihlali bildirimi hakkında Kişisel Verileri Koruma Kurulunun 22/05/2020 tarih ve
2020/421 sayılı Karar Özeti
Veri sorumlusunun Kurumumuza intikal eden veri ihlali bildiriminde;
• 06.03.2020 tarihinde veri sorumlusu e-posta adresine kimliği belirsiz bir şahıstan
309
KİŞİSEL VERİLERİ KORUMA KURUMU
veri sorumlusu web sitesi üyelerinin e-posta adresini/şifrelerini ele geçirdiğine dair
bir mesaj geldiği,
• Yapılan incelemelerde, veri sorumlusu ile herhangi bir ilişkisi olmayan üçüncü
kişilerin veri sorumlusunun kullanımındaki veri tabanlarından herhangi bir sızıntı
olmaksızın dışı kaynaklardan elde ettikleri elektronik posta adresleri/şifreler ile veri
sorumlusuna ait internet sitesine giriş yaptıkları,
• 04.03.2020 tarihinde bu olayın meydana geldiği, anılan kişi veya kişilerin ellerindeki
e-posta şifre bilgilerini 14.000’den fazla IP’den bağlantı kurarak ve 500.000’in
üzerinde e-posta/şifre kombinasyonunun sitede denedikleri,
• Her başarısız denemeden sonra bir başka e-posta/şifre denemesi yaptıkları ve bu
yolla 2092 site kullanıcısının hesaplarının şifrelerini doğruladıklarının tespit edildiği,
• İhlalden etkilenen kişisel verilerin müşterilere ait ad, soyad, cep telefonu numarası,
e-posta adresi, cinsiyet, doğum günü, teslimat/fatura adresleri ve sipariş geçmişi
bilgileri olduğu
ifadelerine yer verilmiştir.
Veri ihlal bildiriminin Kurumumuzun yetki ve görev alanı çerçevesinde incelenmesi
neticesinde; Kişisel Verileri Koruma Kurulunun 22/05/2020 tarih ve 2020/421 sayılı
Kararı ile;
• İhlalin 04.03.2020 tarihinde meydana geldiği, anılan kişi veya kişilerin ellerindeki
elektronik posta şifre bilgilerini 14.000’den fazla IP’den bağlantı kurarak sitede
denedikleri ve her denemeden sonra başka bir e-posta/şifre denemesi yaptıkları,
• Veri sorumlusu tarafından yapılan inceleme neticesinde bu denemelerin sonucunda
2092 kullanıcının hesaplarına başarılı şekilde giriş yapıldığı,
• İhlalden veri sorumlusu müşterilerine ait ad-soyad, e-posta, cep telefonu, cinsiyet,
doğum günü, teslimat/fatura adresleri ve sipariş geçmişi bilgilerinin etkilendiği,
• Veri sorumlusunun kendi olağan trafiğine ek bu trafiğin veri sorumlusunca fark
edilmediği ve ihlali gerçekleştiren kimliği belirsiz kişilerce gönderilen e-posta
sonucunda ihlalin tespit edilebildiği,
• İhlali gerçekleştiren kişi ya da kişiler tarafından veri sorumlusu dışı kaynaklardan
elde edildiği belirtilen 500.000’in üzerinde e-posta/şifre kombinasyonuna ilişkin
denemeler yapıldığı veri sorumlusu tarafından belirtilmiş olup, Kurumumuz
tarafından yayınlanan Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nde
yer alan “3.2. Kişisel Veri Güvenliğinin Takibi” maddesinde veri sorumlularının
sistemlerinin çoğunlukla hem içeriden hem de dışarıdan gelen saldırılar ve siber
suçlara veya kötü amaçlı yazılımlara maruz kalmakta olduğu, çeşitli belirtilere
rağmen bu durumun uzun süre fark edilemediği ve müdahale için geç kalınabildiği
ifade edilmekte olup; hesabına giriş yapılan 2092 kullanıcı dışında başarısız
310
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
denemelerin sayısının fazlalığının veri sorumlusu tarafından fark edilememesinin
bilişim ağlarının izlenmesi ve olmaması gereken durumların fark edilmesi hususunda
eksiklik olduğu
hususları dikkate alındığında Kanunun 12 nci maddesinin (1) numaralı fıkrası
çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri
almayan veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının
(b) bendi uyarınca 210.000 TL idari para cezası uygulanmasına karar verilmiştir.
1.3.56 “Bir kargo firmasında çalışan ilgili kişinin iş akdinin haksız feshedilmesi
sonrası özlük dosyası kapsamında yer alan kişisel verilerinin birer suretinin tarafına
verilmesi talebine veri sorumlusu tarafından cevap verilmemesi” hakkında Kişisel
Verileri Koruma Kurulunun 28/05/2020 tarihli ve 2020/435 sayılı Karar Özeti
İlgili kişiden alınan şikâyet dilekçesinde özetle;
• Bir kargo firmasında denetim uzmanı olarak görev yaparken iş akdinin
haksız, geçersiz ve tazminatsız olarak feshedildiği; tehdit, baskı ve türlü vaatlerde
bulunularak tarafından ileri tarihli istifa dilekçesinin alınması sonrası özlük dosyası
kapsamında yer alan kişisel verilerinin birer suretini 6698 sayılı Kişisel Verilerin
Korunması Kanununun (Kanun) 11 inci maddesinin (1) numaralı fıkrasının (b)
bendi kapsamında veri sorumlusu kargo firmasından talep etmesine rağmen, tarafına
30 gün içerisinde herhangi bir cevap verilmediği ifade edilerek Kanuna aykırı
uygulaması nedeniyle veri sorumlusu hakkında yaptırım uygulanması ve özlük
dosyası kapsamında yer alan kişisel verilerinin birer suretinin tarafına verilmesi
amacıyla veri sorumlusunun talimatlandırılması talep edilmiştir.
Konuya ilişkin olarak başlatılan inceleme çerçevesinde veri sorumlusu kargo firmasından
alınan savunmada;
• İlgili kişi tarafından noter kanalıyla yapılan başvurunun Kanunun 11 inci maddesi
kapsamında bir başvuru olmadığı bu nedenle cevap verilmediği, ilgili kişinin
…. 1. Noterliğinden keşide edilen ihtarnamesi incelendiğinde; “İhtarın Konusu;
tarafınızca iş akdim feshedilmeden önce tarafımdan almış olduğunuz 30.09.2019
tarihli önlü arkalı yazılı savunmamın tarafınızca tarafıma zorla imzalatılan
18.10.2019 tarihli istifa dilekçemin ve iş akdimin 17.10.2019 tarihinde tarafınızca
feshi gerçekleştirildikten sonra aynı gün elden vermiş olduğum 17.10.2019 tarihli
istifa dilekçemin birer örneğinin KVKK madde 11/1-b kapsamında tarafıma ibrazına
ilişkin ihtarnamemdir.” şeklindeki talebinde veri sorumlusundan kişisel verilerine
ilişkin bilgi talep etmediği, kendisi tarafından veri sorumlusuna verilen belgelerin
birer örneğini talep ettiği, Kanunun 11 inci maddesinde ilgili kişinin haklarının
düzenlendiği, ilgili kişinin veri sorumlusuna başvurarak kendisinden sadır olan
belgelerin birer örneğini alabileceğine veya belge örneklerini isteyebileceğine ilişkin
bir hakkın da madde metninde düzenlenmediği, bu nedenle ilgili kişinin başvurusu
her ne kadar 11 inci maddeye dayandırılsa da başvuruda yer alan talebin Kanunda
311
KİŞİSEL VERİLERİ KORUMA KURUMU
düzenlenen haklara ilişkin olmadığı, başvuru Kanunda düzenlenmeyen bir konu
olan belge örneği talebi içerdiği için talebinin Kanunun 11 inci maddesi kapsamında
karşılanmasının mümkün olmadığı,
• Ayrıca, ilgili kişi tarafından veri sorumlusuna başvurularak örneği talep edilen veri
sorumlusuna vermiş olduğu dilekçelerin Kanun kapsamında “tamamen veya kısmen
otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla
otomatik olmayan yollarla” işlenen bir veri de olmadığı,
İlgili kişi tarafından veri sorumlusuna noter aracılığıyla yapılan başvurusunun veri
sorumlusuna ulaşma tarihinin 26.11.2019 olduğu, ilgili kişi tarafından ihtarname keşide
edildikten 8 gün sonra henüz cevap verme süresi dolmadan bu defa 04.12.2019 tarihinde
arabulucuya başvurularak konunun yargıya intikal ettirildiği,
• İlgili kişinin Kanunun 11 inci maddesi kapsamında düzenlenen “bilgiye erişim
hakkını” kullanmak amacında olmadığı, bu yolla kendisine delil elde etmek amacında
olduğu, kıdem ve itibar tazminatı ile sair işçilik alacaklarının kendisine ödenmesi
amacıyla … 26. İş Mahkemesinde açılan dava dosyasına sunulan dava dilekçesinin
9. sayfasındaki 33 nolu paragrafta açık bir şekilde; “Kaldı ki, müvekkilimizden
daha öncesinde alınan istifa dilekçesinin ve savunmasının işbu davada delil olarak
kullanılabilmesi için müvekkilimiz davalı tarafa başvurmuş ve kendilerine ….
Noterliği nezdinde … tarihli ve … yevmiye no.lu ihtarı keşide ederek işbu belgelerin
kendisine verilmesini talep etmiştir.” hususunun ikrar edildiği,
• Türkiye Cumhuriyeti Anayasasının 38 inci maddesinin 5 inci fıkrasında “Hiç
kimsenin kendisini ve kanunda gösterilen yakınlarını suçlayan bir beyanda
bulunmaya veya bu yolda delil göstermeye zorlanmayacağının” hükme bağlandığı,
taraflarının “susma hakkı” olarak da ifade edilen bu hakkı kullandığı,
• İlgili kişinin cevap verilmeyen …. . Noterliğinden keşide edilen ihtarnamede
taraflarına karşı suç isnadında bulunulduğu ve kendisinden zorla imza alındığının
iddia edildiğinin de izahtan vareste olduğu, bu nedenle ilgili kişinin başvurusunun
Dilekçe Hakkının Kullanılması Kanununa da aykırı olduğu,
• İlgili kişinin Kuruma 30.12.2019 tarihinde başvurduğu, bu tarihten önce ilgili
kişinin 04.12.2019 tarihinde arabulucuya başvurduğu, Kişisel Verileri Koruma
Kurulunun 24.12.2018 tarih ve 2018/156 sayılı Karar özetinde; “6698 sayılı Kişisel
Verilerin Korunması Kanununun 15 inci maddesinin (2) numaralı fıkrasında
01.11.1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun
6 ncı maddesinde “Yargı mercilerinin görevine giren konularla ilgili olan ihbar
veya şikayetlerin incelemeye alınamayacağının hükme bağlandığı, şikayete konu
iddiaların Türk Ceza Kanunu hükümleri uyarınca suç unsuru barındırdığı ve bunların
da bireysel suç niteliğinde olduğu, bu kapsamda ilgili kişi tarafından da konunun
yargıya intikal ettirilmiş olduğu dikkate alındığında söz konusu başvurunun Kanun
kapsamında değerlendirilemeyeceğine” karar verildiği, ilgili kişi tarafından şikayet
konusu yapılan hususun yargı mercilerinin görevine giren konularla ilgili olduğu, bu
nedenle şikayetin reddinin gerektiği
312
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
beyanlarına yer verilmiştir.
Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun
28/05/2020 tarih ve 2020/435 sayılı Kararı ile;
• Kanunun “Tanımlar” başlıklı 3 üncü maddesinde “kişisel veri”nin kimliği belirli
veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlandığı, Kanunun
gerekçesinde, sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin
teşhisini sağlayan bilgilerin değil, aynı zamanda kişinin fiziki, ailevi, ekonomik,
sosyal ve sair özelliklerine ilişkin bilgilerin de bir kişinin belirli veya belirlenebilir
olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi
suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade ettiğinden kişisel veri
olarak tanımlandığı, diğer bir ifadeyle, kişinin fiziksel, ekonomik, kültürel, sosyal
veya psikolojik kimliğini ifade eden somut bir içerik taşıyan veya kimlik, vergi,
sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin
belirlenmesini sağlayan tüm halleri kapsadığı,
• Bu çerçevede öncelikli olarak, veri sorumlusundan alınan cevap yazısında ilgili
kişinin kişisel verilerine ilişkin bilgi talep etmediği, ilgili kişinin veri sorumlusuna
verdiği belgelerin birer örneğini talep ettiği iddiasına yer verilmiş olmakla birlikte
Kanunun büyük ölçüde esas alınarak hazırlandığı 95/46/EC sayılı Kişisel Verilerin
İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa
Parlamentosu ve Avrupa Konseyi Direktifinin 29 uncu maddesi uyarınca kurulmuş
olan Madde 29 Çalışma Grubunun, kişisel veri kavramına ilişkin 20/06/2007
tarihinde yayınladığı görüşünde “Bir doktorun yazdığı ilaç reçetesinde yer alan
bilgiler, doktor açısından kişisel veridir. İster kişiye özgü reçete olsun, ister belirli
bir grup hastaya yazılan reçetelerden çıkartılan genel bilgi formatında olsun, ilgili
hastalar ister belirli ister anonim olsun, doktorun kimliği belirlenebilir olduğu
müddetçe reçete bilgileri doktor açısından kişisel veridir.” örneğine yer verildiği, bu
minvalde, kişisel veri kavramının kimliği belirli veya belirlenebilir olmak şartıyla,
bir kişiye ilişkin bütün bilgileri ifade ettiği,
• Dolayısıyla, veri sorumlusunun ilgili kişiden 30.09.2019 tarihinde aldığı yazılı
savunma ve 18.10.2019 ile 17.10.2019 tarihli istifa dilekçelerinin içerik itibariyle
kişiye ilişkin bilgiler içerdiği ve bu bilgilerin ilgili kişiyi belirli veya belirlenebilir
kıldığı, bu kişisel veriler sayesinde ilgili kişiye ulaşılabilir olduğu hususu göz önünde
bulundurulduğunda bu bilgilerin kişisel veri niteliğinde olduğu sonucuna varıldığı,
• Kanunun 3 üncü maddesinde ayrıca “ilgili kişi”nin kişisel verisi işlenen gerçek kişi;
“veri sorumlusu”nun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen,
veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya
tüzel kişi; “veri işleyen”in, veri sorumlusunun verdiği yetkiye dayanarak onun adına
kişisel verileri işleyen gerçek veya tüzel kişi; “kişisel verilerin işlenmesi”nin ise kişisel
verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin
parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi,
depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması,
313
KİŞİSEL VERİLERİ KORUMA KURUMU
aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da
kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
olarak tanımlandığı,
• Bu minvalde, şikayet başvurusunda bulunan kişinin ilgili kişi, kargo firmasının veri
sorumlusu, ilgili kişiye ait istifa dilekçesinin özlük dosyası kapsamında muhafaza
edilmesinin ise veri işleme faaliyeti olduğu,
• Kanunun 4 üncü maddesinin (2) numaralı fıkrasında kişisel verilerin işlenmesinde
uyulması zorunlu ilkelerin “a) hukuka ve dürüstlük kurallarına uygun olma, b)
doğru ve gerektiğinde güncel olma, c) belirli, açık ve meşru amaçlar için işleme, ç)
işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, d) ilgili mevzuatta öngörülen
veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” şeklinde
düzenlendiği,
• Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesinin (1) numaralı
fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2)
numaralı fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle
rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik
tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün
korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan
doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin
işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine
getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş
olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu
olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri
sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından
birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin
işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
• Anayasanın 20 nci maddesinin (3) numaralı fıkrasında “Herkes, kendisiyle ilgili
kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili
kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini
veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını
öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya
kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller
kanunla düzenlenir.” hükmüne yer verildiği,
• Kanunun 11 inci maddesinde ise “(1) Herkes, veri sorumlusuna başvurarak
kendisiyle ilgili; a) Kişisel veri işlenip işlenmediğini öğrenme, b) Kişisel verileri
işlenmişse buna ilişkin bilgi talep etme, c) Kişisel verilerin işlenme amacını ve
bunların amacına uygun kullanılıp kullanılmadığını öğrenme, ç) Yurt içinde veya
yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, d) Kişisel verilerin
eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, e) 7 nci
maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok
edilmesini isteme, f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin
314
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
aktarıldığı üçüncü kişilere bildirilmesini isteme, g) İşlenen verilerin münhasıran
otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir
sonucun ortaya çıkmasına itiraz etme, ğ) Kişisel verilerin kanuna aykırı olarak
işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme
haklarına sahiptir.” hükmünün düzenlendiği,
• Kanunun 13 üncü maddesinin (1) numaralı fıkrasında da ilgili kişinin, bu Kanunun
uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer
yöntemlerle veri sorumlusuna ileteceği, aynı maddenin (2) numaralı fıkrasında ise
veri sorumlusunun başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede
ve en geç otuz gün içinde ücretsiz olarak sonuçlandıracağının düzenlendiği, bununla
birlikte Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin (Tebliğ) 6
ncı maddesinin (2) numaralı fıkrasında da “Veri sorumlusu, başvuruyu kabul eder
veya gerekçesini açıklayarak reddeder.” hükmüne yer verildiği,
• Yukarıda anıldığı üzere Anayasanın 20 nci maddesinin (3) numaralı fıkrasında
yer verilen düzenleme ile “… kişinin kendisiyle ilgili kişisel veriler hakkında
bilgilendirilme, bu verilere erişme…” hakkına sahip olduğu, Kanunun 11 inci
maddesinin (1) numaralı fıkrasının (b) bendi çerçevesinde ise ilgili kişilerin
kişisel verileri işlenmişse buna ilişkin bilgi talep etme hakkına sahip olduğunun
düzenlendiği, bu çerçevede, ilgili kişinin veri sorumlusundan kişisel veri niteliğinde
olan yazılı savunmasını ve istifa dilekçelerini Kanunun 11 inci maddesinin (1)
numaralı fıkrasının (b) bendi kapsamında talep ettiği, yukarıda anılan mevzuat
kapsamında ilgili kişinin kişisel verilerine erişme hakkının olduğu ve bu hakkını
veri sorumlusuna karşı ileri sürebileceğinin değerlendirildiği,
• Ayrıca, veri sorumlusunun cevap yazısında; Türkiye Cumhuriyeti Anayasasının
38 inci maddesinin 5 inci fıkrasında “hiç kimsenin kendisini ve kanunda gösterilen
yakınlarını suçlayan bir beyanda bulunmaya veya bu yolda delil göstermeye
zorlanmayacağının” hükme bağlandığı, taraflarının “susma hakkı” olarak da ifade
edilen bu hakkını kullandığı iddialarına yer verildiği görülmekle beraber Anayasa
Mahkemesinin 2011/41 Esas sayılı ve 2012/25 Karar sayılı kararında “Anayasa’nın
38. maddesinde suç ve cezalara ilişkin temel ilkelere yer verilmiş, beşinci
fıkrasında ‘Hiç kimse kendisini ve kanunda gösterilen yakınlarını suçlayan bir
beyanda bulunmaya veya bu yolda delil göstermeye zorlanamaz.’ denilmiştir. İnsan
hakları arasında yer alan, manevi işkenceyi meneden, insan haysiyetinin ve kişi
dokunulmazlığının teminatı olan bu düzenlemeye, ceza yasalarında sanığın ‘susma
hakkı’ olarak yer verilmiştir.” denildiği, dolayısıyla Anayasanın 38 inci maddesinin
(5) numaralı fıkrasının Anayasa Mahkemesinin anılan kararından da anlaşılacağı
üzere gerçek kişileri esas alan bir düzenleme olduğu ve temel insan hakları arasında
bir hak olarak değerlendirildiğinin anlaşıldığı,
• Veri sorumlusunun cevap yazısında; ilgili kişinin Kuruma 30.12.2019 tarihinde
başvurduğu, bu tarihten önce ilgili kişinin 04.12.2019 tarihinde arabulucuya
başvurduğu, bu anlamda Kişisel Verileri Koruma Kurulunun 24.12.2018 tarih ve
315
KİŞİSEL VERİLERİ KORUMA KURUMU
2018/156 sayılı karar özetine atıf yapılmak suretiyle ilgili kişi tarafından şikayet
konusu yapılan hususun yargı mercilerinin görevine giren konularla ilgili olduğu,
bu nedenle şikayetin reddinin gerektiği iddialarına yer verildiği, ancak ilgili kişinin
Kurumu muhatap başvurusunda, veri sorumlusundan Kanunun 11 inci maddesi
kapsamında özlük dosyasında yer alan yazılı savunmasının ve istifa dilekçelerini
talep ettiğini belirterek, Kurumdan söz konusu kişisel verilerinin birer suretinin
tarafına ibraz edilmemiş olması nedeniyle veri sorumlusu hakkında yaptırım
uygulanmasını ve özlük dosyası kapsamında yer alan kişisel verilerinin birer
suretinin tarafına verilmesini talebinde bulunduğunun anlaşıldığı, esasen Kuruma
intikal eden şikayetin konusunun kişisel verilere ilişkin olduğu ve suç unsuru da
barındırmadığı sonucuna varıldığı,
• İlgili kişinin veri sorumlusuna karşı açmış olduğu davanın konusunun ise “Fazlaya
ilişkin her türlü talep ve dava hakkımız saklı kalmak ile şimdilik; 100 TL kıdem
tazminatı, 100 TL ihbar tazminatı, 100 TL maaşından kesilen yıllık izin alacağının
faizleri ile birlikte davalı şirketten alınarak müvekkile ödenmesi talebine ilişkindir.”
şeklinde olduğunun anlaşıldığı, bu minvalde, açılan davanın kişisel verilere ilişkin
bir dava olmaması sebebiyle konunun kişisel verilere ilişkin olan yönünün Kurum
tarafından ele alınmasında bir sakınca olmadığı değerlendirmelerinden hareketle,
• İlgili kişinin başvurusunun, Kanunda düzenlenen haklara ilişkin olmadığı ve
başvurunun Kanunda düzenlenmeyen bir konu olan belge örneği talebi içerdiği için
Kanunun 11 inci maddesi kapsamında karşılanmasının mümkün olmadığı gerekçesiyle
veri sorumlusu tarafından 30 günlük yasal süre içerisinde cevaplandırılmadığı dikkate
alındığında, ilgili kişiye ait kişisel veri niteliğindeki bilgilerini içeren 30.09.2019
tarihli savunma yazısı ile 18.10.2019 tarihli ve 17.10.2019 tarihli istifa dilekçelerinin
birer örneğinin ilgili kişiye verilmesi hususunda Kanunun 15 inci maddesinin (5)
numaralı fıkrası kapsamında veri sorumlusunun talimatlandırılmasına,
• Veri sorumlusunun, ilgili kişiler tarafından Kanun kapsamında yapılan başvurulara
yasal süresi içerisinde cevap vermesi noktasında azami dikkat ve özeni göstermesi
gerektiği hususunda talimatlandırılmasına karar verilmiştir.
1.3.57 “Bir otoyol işletmesinin veri ihlal bildirimi hakkında” Kişisel Verileri
Koruma Kurulunun 16.06.2020 tarih ve 2021/464 sayılı Karar Özeti
Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;
• İhlalin; çalışanların kendi rıza ve talepleri ile yazılı ve imzalı olarak veri sorumlusuna
ilettikleri kişisel e-posta adreslerinin sisteme işlenmesinden sonra bordro programı
üzerinden bu hesaplara gönderilen bordrolarda, gönderilen kişilerin kendisine ait
olmayan ancak aynı şirket çalışanı olan başka çalışanlara ait bordroyu ve dolayısıyla
başkasına ait ad, soyad, TC Kimlik No ve sicil numarası görüntülemesi şeklinde
gerçekleştiği, maaş bilgisinin ise herkeste aynı jenerik bilgisinin görüntülendiği,
316
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
• İhlalin sistemsel bir hata sebebiyle hatalı e-posta gönderimi neticesinde meydana
geldiği ve bu teknik hatanın da bordro sisteminde Türkçe dili için bir cihaz türü
tanımlı olmaması nedeni ile programın bordro zarflarını anlık göndermek yerine
öncelikle kuyruğa gönderip oradaki kayıtları sonrasında e-posta atmak yöntemini
kullanması nedeniyle yaşandığı,
• İhlalden etkilenen kişi ve kayıt sayısının 489 olduğu,
ifadelerine yer verilmiştir.
Veri ihlal bildiriminin Kurumumuzun yetki ve görev alanı çerçevesinde incelenmesi
neticesinde; Kişisel Verileri Koruma Kurulunun 25.03.2021 tarih ve 2021/311 sayılı
Kararı ile;
• Yapılan inceleme sürecinde, kurul kararına istinaden veri sorumlusuna gönderilen
tebligatta, “…Çalışanların kendi rıza ve talepleri üzerine sundukları yazılı beyan
dilekçesinde yer alan kişisel e-posta adreslerinin sisteme işlendiği ve bu kişisel
e-postaların kullanıldığı, ancak neden kişisel e-posta yerine şirket e-postasına
gönderim gerçekleştirilmediği…” ile ilgili bilgi istenmiştir. Bu talebe cevaben
veri sorumlusu, “Şirketimiz, çalışanlarının büyük bir çoğunluğu sahada bulunan
bir organizasyon yapısına sahiptir. Bu itibarla tüm çalışanlarımıza şirketimiz
tarafından tanımlanmış bir e-posta hesabı bulunmadığı, keza şirket e-posta
hesaplarına şirketin erişim olanağı bulunduğu da dikkate alınarak bu bildirimlerin
çalışanlarımızın kişisel e-posta hesaplarına yapılmasının daha uygun olacağı
değerlendirilmiştir.” şeklinde bir geri dönüş yapılmıştır. Bu durum, çalışanlara
yanlışlıkla giden bordroların silinip silinmediğinin kişisel e-posta hesaplarından
(birçok e-posta sunucusu içerdiği için) kontrol imkânı bulunmadığından ihlalin,
aslında veri sorumlusunun belirttiği gibi sadece teknik aksaklık değil; söz konusu
çalışanlara kurumsal e-posta hesabı açmayarak ve bu hesaplar üstünden bordro
gönderimi yapmayarak ihlalin idari eksiklikten de kaynaklanmasına sebep olunduğu,
• Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) 3.2 maddesi Kişisel Veri
Güvenliğinin Takibi başlığında “…Çalışanların sistem ve servislerdeki güvenlik
zafiyetlerini ya da bunları kullanan tehditleri bildirmesi için resmi bir raporlama
prosedürü oluşturulması gerekmektedir.” ifadesine ve 2.1. Mevcut Risk ve
Tehditlerin Belirlenmesi başlığında “Kişisel verilerin güvenliğinin sağlanması için
öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu
verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının
ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek
buna uygun tedbirlerin alınması gerekmektedir…” ifadesine göre ihlale konu olan
riskin veri sorumlusu tarafından değerlendirilmediği,
• Veri sorumlusu tarafından aydınlatma yükümlülüğüne uyularak ve ilgili kişilerin
açık rızası alınarak e-postaların gönderildiği belirtilmekle birlikte aydınlatma
metninin ilgili kişileri bu hususlara ilişkin olarak yeterince bilgilendiren bir metin
olmadığı ve kişilere herhangi bir başka seçenek bırakmadığının görüldüğü,
317
KİŞİSEL VERİLERİ KORUMA KURUMU
• 31.05.2019 tarihli ve 2019/157 sayılı Kurul Kararında de belirtildiği üzere,
kurumsal e-posta hizmetinin sunucularının yurt dışında olan veri sorumlularından/
veri işleyenlerden temin edilmesi durumunda saklama hizmetlerinin de 6698 sayılı
Kanunun 9 uncu maddesi hükümlerine uygun olarak gerçekleştirilmesi gerektiği,
veri sorumlusu tarafından Kurumsal e-posta hizmeti alınmadan çalışanların şahsi
e-posta hesaplarının çalıştıkları işlerle ilgili e-posta gönderiminde kullanılmasının
verilerin farklı ülkelerde saklanması durumunu ortaya çıkarabileceği ve veriler
üzerinde kontrol kaybına neden olabileceği
hususları dikkate alındığında, Kanun’un 12 nci maddesinin (1) numaralı fıkrası
çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri
almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru
ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 nci maddesinin (1)
numaralı fıkrasının (b) bendi uyarınca 60.000 TL idari para cezası uygulanmasına karar
verilmiştir.
1.3.58 Bir sigorta şirketinin acentesinde gerçekleşen veri ihlali hakkında Kişisel
Verileri Koruma Kurulunun 16.06.2020 tarih ve 2020/466 sayılı Karar Özeti
Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;
• İhlalin veri sorumlusu Sigorta şirketinin bir acentesinde işletmelerine ait bilgisayar
ekranına bir hacker tarafından erişim sağlanmasıyla gerçekleştiği,
• İhlalin; veri işleyenin verdiği şikayetçi ifade tutanağı ile anlaşıldığı, ilgili tutanağa
göre; Acente tarafından kullanılan bilgisayarlarda yazışma ekranının açıldığı,
yetkisiz kişinin bu ekran aracılığıyla iletişim kurup fidye istediği, saldırının bu
şekilde tespit edildiği,
• İhlalin 13.02.2020 tarihinde gerçekleştiği, 20.02.2020 tarihinde tespit edildiği ve
22.02.2020 tarihinde Kurumumuza bildirildiği,
• İhlalden etkilenen kişisel veri kategorilerinin kimlik ve finans verileri olduğu,
• İhlalden etkilenen kişi sayısının 172 olduğu,
• Acente yetkilisinin ihlalin gerçekleşmesinden sonra kişisel verilerin korunması ile
ilgili eğitim aldığı,
ifadelerine yer verilmiştir.
Veri ihlal bildiriminin Kurumumuzun yetki ve görev alanı çerçevesinde incelenmesi
neticesinde; Kişisel Verileri Koruma Kurulunun 16.06.2020 tarih ve 2020/466 sayılı
Kararı ile;
• Veri ihlalinin 13.02.2020 tarihinde veri işleyenin sistemlerine yetkisiz erişim
sağlanmasıyla gerçekleştiği, ihlalin veri sorumlusu tarafından 20.02.2020 tarihinde
tespit edildiği,
318
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
• Veri sorumlusu sigorta şirketinin, veri işleyen acenteye donanımı kendilerinin temin
etmediği, vakaya konu bilgisayarın veri işleyenin kendisine ait olduğu, bu nedenle
bilgisayar üzerinde veri işleyenin kendi aktivite ve kullanıcı kayıtlarının veri
sorumlusu tarafından yönetilmediği ve sızma testlerinin yapılmadığı hususlarını
belirtildiği, ayrıca; Acente Bilgi Güvenliği İlkeleri dokümanında; Acentelerin bilgi
güvenliği politikasına uyumlu olmasını temin etmek için, Bilgi Güvenliği veya
Risk Yönetimi ve İç Kontrol birimleri tarafından denetlemelerin yapılabileceği ve
gerektiği takdirde ve periyodik olarak kurum dışı bağımsız kaynaklara güvenlik ile
uyum test ve denetlemelerin yaptırıldığı ifadelerine de yer verilmiş olmasına rağmen
veri işleyenin herhangi bir şekilde denetlenmemesinin, Kurumumuz tarafından
yayınlanan Kişisel Veri Güvenliği Rehberinin (Teknik ve İdari Tedbirler-Rehber)
2.5 maddesinde “Veri İşleyenler ile İlişkilerin Yönetimi” başlığı altında; “…veri
sorumlularının, hizmet alırken söz konusu veri işleyenlerin kişisel veriler konusunda
en az kendileri tarafından sağlanan güvenlik seviyesinin sağlandığından emin
olmaları gerekmektedir. Zira Kanunun 12 nci maddesinin ikinci fıkrası gereği veri
işleyenler de kişisel verilerin güvenliğinin sağlanması konusunda veri sorumlusuyla
müştereken sorumludur.” ifadelerine aykırılık teşkil ettiği,
• Veri sorumlusu tarafından; ilgili bilgisayar hemen olayın akabinde formatlandığı
için herhangi bir araştırmanın yapılamadığı, herhangi bir kişisel veriye erişilip
erişilmediğinin tespit edilmediği, veri işleyenin ifadesine istinaden araç ruhsatı
üzerinde bulunan kimlik bilgileri ile kredi kartı bilgileri kategorilerinin seçildiği
belirtilmiş olup bu durumun Rehber’in 3.6. maddesinde; “Kişisel Verilerin
Yedeklenmesi” başlığı altında; “…Kişisel verilerin herhangi bir sebeple zarar
görmesi, yok olması, çalınması veya kaybolması gibi hallerde veri sorumlularının
yedeklenen verileri kullanarak en kısa sürede faaliyete geçmesi…” ifadelerine
aykırılık teşkil ettiği,
• Acente yetkilisinin kişisel verilerin korunması ile ilgili eğitimi veri ihlalinin
gerçekleşmesinden sonra almış olduğu, Rehber’in 2.2. maddesinde; “Çalışanların
Eğitilmesi ve Farkındalık Çalışmaları” başlığının altında; “…çalışanların, kişisel
verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi konular
hakkında eğitim almaları, çalışanlara yönelik farkındalık çalışmaları yapılması ve
güvenlik risklerinin belirlenebildiği bir ortam oluşturulması kişisel veri güvenliğinin
sağlanması bakımından çok önemlidir. Veri sorumlusu nezdinde çalışan herkesin
hangi konumda çalıştığına bakılmaksızın kişisel veri güvenliğine ilişkin rol ve
sorumlulukları, görev tanımlarında belirlenmeli ve çalışanların bu konudaki
rol ve sorumluluğunun farkında olması sağlanmalıdır.” ifadelerine aykırı olarak
veri sorumlusu tarafından eğitim ve farkındalık çalışmalarının yapılmasının veri
sorumlusu tarafından sağlanmadığı,
• Veri işleyenin Windows 7 Professional x64 işletim sistemini kullandığı,
Windows’un resmi sayfası üzerinden yapılan duyuruda; Windows 7 işletim
sisteminin 14.01.2020 tarihinden itibaren artık yeni Microsoft Security Essentials
yüklemelerini desteklememekte olduğundan tüm müşterilerin en iyi güvenlik
319
KİŞİSEL VERİLERİ KORUMA KURUMU
seçeneği olan Windows 10 ve Windows Defender Virüsten Koruma’ya geçmelerini
önerildiği, Rehber’in 2.3 maddesinde; Kişisel Veri Güvenliği Politikalarının
ve Prosedürlerinin Belirlenmesi başlığı altında; “…hemen hemen her yazılım ve
donanımın bir takım kurulum ve yapılandırma işlemlerine tabi tutulması gerektiği,
ancak yaygın şekilde kullanılan bazı yazılımların özellikle eski sürümlerinin
belgelenmiş güvenlik açıkları bulunmakta…” olduğunun belirtildiği, bahsi geçen
işletim sisteminin hâlihazırda eski bir sürüm olduğu ve 14.01.2020 tarihinden
itibaren güvenlik korumasıyla ilgili güncellemeleri desteklemediği hususlarının
gerekli güvenlik önlemlerinin veri sorumlusu ve veri işleyen tarafından tam olarak
alınmadığını gösterdiği,
• Veri işleyen tarafından veri ihlali öncesinde anti-virüs yazılımının hiç kullanılmamakta
olmasının Rehber’in 3.2 maddesinde “Siber Güvenliğin Sağlanması başlığı altında”;
“…Kötü amaçlı yazılımlardan korunmak için ayrıca, bilgi sistem ağını düzenli olarak
tarayan ve tehlikeleri tespit eden anti virüs, antispam gibi ürünlerin kullanılması
gerekmektedir. Ancak bu ürünlerin sadece kurulumu yeterli olmayıp güncel tutularak
gereken dosyaların düzenli olarak tarandığından emin olunmalıdır.”, 27 Nisan 2020
tarihinde veri sorumlusunun acentelerin siber saldırılardan korunmalarına yönelik
yapmış olduğu duyuruda; Tüm kullanıcı bilgisayarlarına anti-virüs yazılımlar
yüklenmesi ve kullanıcılar anti-virüs yazılımlarını kapatmaması veya ayarlarını
değiştirmemesinin gerektiği, 01.11.2019 tarihli ve veri sorumlusunun acentelerine
21.01.2020 tarihinde duyurulan Acente Bilgi Güvenliği İlkeleri dokümanında
yer alan; tüm kullanıcı bilgisayarlarına anti-virüs yazılımlarının yüklendiği,
acente kullanıcılarının anti-virüs yazılımlarını kapatamadığı veya ayarlarını
değiştiremediği, ifadelerine aykırı olarak veri sorumlusu ve veri işleyen tarafından
bahse konu güvenlik önlemlerinin yerine getirilmediği hatta veri sorumlusunun
kendi hazırlamış olduğu dokümanların gereklerinin dahi sağlanmadığı
hususları dikkate alındığında, Kanun’un 12 nci maddesinin (1) numaralı fıkrası
çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri
almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru
ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 nci maddesinin (1)
numaralı fıkrasının (b) bendi uyarınca 172.000 TL idari para cezası uygulanmasına,
• Veri ihlalinden etkilenen 172 ilgili kişiden 95 kişiye veri ihlalinin bildirilmediği,
• İhlalin bildirildiği 77 kişiden 33’üne bildirimin 26.03.2020, 9’una 16.04.2020,
35’ine 20.04.2020 tarihinde yapıldığı, dolayısıyla ihlalin tespit tarihi ile bildirim
tarihleri arasında 1 ayı aşkın süre bulunduğu
dikkate alındığında, Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen
“en kısa sürede” (ilgili kişilere bildirim için) bildirimde bulunma yükümlülüğünün
24.01.2019 tarih 2019/10 sayılı Kararda yer verilen “ilgili kişinin iletişim adresine
ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden
yayımlanması gibi uygun yöntemlerle bildirim yapılması” şeklinde de yapılabileceği
hususunun veri sorumlusuna hatırlatılmasına karar verilmiştir.
320
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
1.3.59 “Ülkemizde temsilciliği bulunan bir yabancı bankanın 6698 sayılı Kanun
kapsamında veri sorumlusu sayılıp sayılmayacağı ve Veri Sorumluları Siciline
kayıt yükümlülüğü hakkındaki görüş talebi” ile ilgili olarak Kişisel Verileri
Koruma Kurulunun 23.06.2020 tarihli ve 2020/471 sayılı Karar Özeti
Kurumumuza iletilmiş olan; hizmet verdikleri tüzel kişiler bünyesinde çalışan gerçek
kişilere ait kişisel verileri işlemekte olan ve ülkemizde temsilciliği bulunan bir yabancı
bankanın, yürüttüğü bu işleme faaliyetleri sebebiyle 6698 sayılı Kişisel Verilerin
Korunması Kanununa (Kanun) göre veri sorumlusu sıfatını haiz olup olmayacağı ve Veri
Sorumluları Siciline (Sicil) kayıt yükümlülüğünün bulunup bulunmadığı hususundaki
görüş talebinin Kişisel Verileri Koruma Kurulunca değerlendirilmesi neticesinde verilen
kararın özetine aşağıda yer verilmektedir.
Bankacılık Düzenleme ve Denetleme Kurulunun iznine bağlı olarak açılabilen ve
Bankacılık Düzenleme ve Denetleme Kurumunun resmi internet sitesinde bir liste halinde
yayımlanan yabancı bankaların Türkiye temsilciliklerinde, 01/04/2008 tarihli ve 26834
sayılı Resmi Gazetede yayımlanan Türkiye’de Açılan Temsilciliklerin Faaliyetlerine
İlişkin Usul ve Esaslar Hakkında Tebliğin “Yasaklar” başlıklı 9 uncu maddesinin birinci
fıkrası uyarınca bağlı bulunulan banka veya bir başka banka veya finansal kuruluş adına
mevduat veya katılım fonu kabul edilememekte, kredi kullandırılamamakta veya 5411
sayılı Bankacılık Kanununun 4 üncü maddesinde belirtilen diğer bankacılık faaliyetleri
gerçekleştirilememektedir.
Öte yandan, anılan Tebliğin “Faaliyetlerin kapsamı” başlıklı 4 üncü maddesinde
temsilciliklerde bağlı bulunulan banka adına, bankanın ve sunduğu hizmetlerin
tanıtımı, Türkiye’de kurulu kredi kuruluşları veya finansal kuruluşlarla olan ilişkilerin
güçlendirilmesi, piyasa araştırması yapılması ve toplanan bilgilerin merkeze
raporlanması faaliyetlerinin yürütülebileceği düzenlenmiştir.
Görüş talebinde bulunan bankanın, sağladığı finansman hizmetleri kapsamında
Türkiye’de mukim ilgili kişilerin kişisel verilerini işlediği anlaşılmaktadır. Bu
kapsamda, mezkûr bankanın temsilciliğinin ülkemizde gerçekleştirdiği faaliyetler,
bu bankanın bankacılık faaliyetleri çerçevesinde gerçekleştirdiği kişisel veri işleme
faaliyetlerinden ayrı tutulamayacaktır. Zira, anılan Tebliğin 4 üncü maddesinde de
belirtildiği üzere temsilciliğin, bankanın sunduğu hizmetler hakkında ülkemizde tanıtım
faaliyetlerinde bulunması ve piyasa araştırması yaparak bağlı bulunduğu bankaya elde
ettiği bilgileri aktarması mümkündür. Bu etkinliklerin, yurt dışında yerleşik bankanın
faaliyetlerine katkı yapacağı açıktır. Bu sebeple, temsilciliğin faaliyetlerinin bankanın
kişisel veri işleme faaliyetleri ile sıkı bir bağlantı içerisinde olduğunun kabul edilmesi
gerekmektedir.
Aynı doğrultuda Avrupa Veri Koruma Kurulunun Genel Veri Koruma Tüzüğünün
(GVKT) yer bakımından uygulama kapsamına ilişkin 3/2018 sayılı Kılavuz İlkelerinde
de, örneğin üçüncü ülkede yerleşik bir şirketin tanıtım ve piyasa araştırması ile ilgili
faaliyette bulunan bir ofisinin Birlik sınırları içerisinde yerleşik olması ve bu ofisin
faaliyetlerinin veri sorumlusu sıfatını haiz üçüncü ülkede yerleşik şirketin gelirlerini
321
KİŞİSEL VERİLERİ KORUMA KURUMU
arttırmasını sağlaması halinde GVKT hükümlerinin yurt dışında yerleşik veri
sorumlusunun kişisel veri işleme faaliyetlerine uygulanacağı ifade edilmiştir.
Diğer taraftan, temsilciliği aracılığıyla ülkemizdeki sürekli mevcudiyeti karşısında,
bankanın yurtdışında yerleşik olması ve bütün kişisel veri işleme faaliyetlerini yurtdışında
gerçekleştirdiği gerekçesiyle bu veri işleme faaliyetleri bakımından Kanunun uygulama
alanı bulmayacağının kabulü Kanunun amacıyla bağdaşmayacaktır.
Özellikle kişisel veri işleme süreçlerinin şeffaf bir biçimde yürütülmesine yönelik
olarak Kanunun 16 ncı maddesinde öngörülen Sicile bildirim ve kayıt yükümlülüğü
ile, ilgili kişilerin kişisel verileri üzerinde en üst düzeyde kontrolünün sağlanmasının
amaçlandığı göz önünde bulundurulduğunda yurtdışında yerleşik veri sorumlusu
bankanın işleme faaliyetleri bakımından Kanuna tabi olması gerektiği ve bu kapsamda
Sicile kayıt yükümlülüğünün bulunduğu değerlendirilmektedir.
Ayrıca belirtmek gerekir ki, 30.12.2017 tarihli ve 30286 sayılı Resmi Gazetede
yayımlanan Veri Sorumluları Sicili Hakkında Yönetmeliğin 5 inci maddesinin birinci
fıkrasının (b) bendinde ülkemizde yerleşik olmayan veri sorumlularının kişisel veri
işlemeye başlamadan önce temsilcileri vasıtasıyla Sicile kaydolmak zorunda oldukları
hükme bağlanmıştır.
Öte yandan, Kurulun 24/01/2019 tarihli ve 2019/10 sayılı Kişisel Veri İhlali Bildirim
Usul ve Esaslarına İlişkin Kararında da “Veri ihlalinin yurtdışında yerleşik veri
sorumlusu nezdinde yaşanması halinde, bu ihlalin sonuçlarının Türkiye’de yerleşik
ilgili kişileri etkilemesi ve ilgili kişilerin sunulan ürün ve hizmetlerden Türkiye’de
faydalanmaları durumunda, bu veri sorumlusu tarafından da aynı esaslar çerçevesinde
Kurula bildirimde bulunulmasına (…) karar verilmiştir.” ifadesine yer verilmiştir.
Yukarıda yer verilen açıklamalar doğrultusunda Kişisel Verileri Koruma Kurulunca
yapılan değerlendirme sonucunda;
• kişisel verilerin korunmasını isteme hakkının Anayasanın 20 nci maddesinin üçüncü
fıkrasında düzenlenmiş bir temel hak ve özgürlük olduğu,
• veri koruma düzenlemelerinin yer bakımından uygulama alanının belirlenmesinde,
bireylere en üst düzeyde ve en geniş kapsamda korumayı sağlayan bir yaklaşımın
benimsenmesi gerektiği,
• görüş talebinde bulunan yabancı bankanın temsilciliği vasıtasıyla ülkemizdeki
sürekli mevcudiyeti
hususları göz önünde bulundurulduğunda, mezkûr bankanın kişisel veri işleme
faaliyetleri açısından 6698 sayılı Kanunun uygulama alanı bulacağına ve bu kapsamda
söz konusu yabancı bankanın veri sorumlusu sıfatını haiz olduğuna ve Sicile kayıt
yükümlülüğünün bulunduğuna karar verilmiştir.
322
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
1.3.60 İlgili kişinin bir kargo şirketine karşı açtığı işe iade davasında, kişisel verisi
olan kamera görüntülerinin kargo şirketi tarafından mahkemeye sunulması
hakkında Kişisel Verileri Koruma Kurulunun 25/06/2020 tarihli ve 2020/494 sayılı
Karar Özeti
Kuruma intikal eden şikayette; ilgili kişinin veri sorumlusu kargo şirketi nezdinde
çalıştığı, iş akdinin sonlandırılmasından sonra açtığı işe iade davasının görülmesi
sırasında veri sorumlusunun ilgili kişiye ait kamera görüntülerini mahkemeye sunduğu,
kamera görüntülerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun)
kapsamında kişisel veri niteliğini haiz olduğu ve Kanunun 5 inci maddesi uyarınca
kişisel verilerin ilgili kişinin açık rızası olmadan işlenemeyeceği, bu hususa ilişkin
olarak ilgili kişinin bir açık rıza beyanının bulunmadığı, konuya yönelik olarak veri
sorumlusuna yapılan başvuruya cevaben veri sorumlusu tarafından ilgili kişinin kişisel
verilerinin önceden ilgili kişi tarafından imzalanmış bir bilgilendirme metni kapsamında
işlendiğinin belirtilmiş olmasına rağmen kendisinin böyle bir açık rıza beyanının
bulunmadığı belirtilerek veri sorumlusu kargo şirketi nezdinde Kanun kapsamında
gerekli yaptırımların uygulanarak hukuka aykırı olarak elde edilen kişisel verilerin
silinmesi talep edilmiştir.
Şikayet dilekçesi ekinde yer alan veri sorumlusu tarafından ilgili kişiye verilen
cevapta; ilgili kişinin daha önceden imzaladığı bilgilendirme metni kapsamında
aktarma merkezinde kamera kaydının yapıldığına ilişkin ilgili kişinin bilgilendirildiği,
veri sorumlusu tarafından kamera kayıtlarının ilgili kişinin imzaladığı bu aydınlatma
bildirimine istinaden hukuken geçerli sebeplere dayanılarak işlendiği, söz konusu
kamera görüntülerinin ilgili kişinin çalışma arkadaşına hakaret içerikli sözlerde
bulunarak fiziksel şiddet uygulaması sonucu iş akdinin feshedilmesine ilişkin delil
olarak mahkemeye sunulduğu belirtilmiştir.
Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun
25/06/2020 tarihli ve 2020/494 sayılı kararı ile,
• Kanunun amacının; kişisel verilerin işlenmesinin disiplin altına alınması ile temel
hak ve özgürlüklerin korunması, kişinin mahremiyet hakkı ile bilgi güvenliğinin
korunması ve ayrıca kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri
ile uyacakları usul ve esasları düzenlemek olduğu,
• Kanunun kapsamına ilişkin 2 nci maddesi uyarınca; Kanun hükümlerinin, kişisel
verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan
ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan
yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanacağı,
• Kanunun “Tanımlar” başlıklı 3 üncü maddesinde; “kişisel veri”nin, kimliği belirli
veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi; “ilgili kişi”nin kişisel verisi
işlenen gerçek kişi, “veri sorumlusu”nun kişisel verilerin işleme amaçlarını ve
vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden
sorumlu olan gerçek veya tüzel kişi; “kişisel verilerin işlenmesi”nin ise kişisel
323
KİŞİSEL VERİLERİ KORUMA KURUMU
verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin
parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi,
depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması,
aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da
kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
olarak tanımlandığı,
• Kanunun 5 inci maddesinde kişisel verilerin işlenme şartlarına yer verilmiş
olduğu; buna göre maddenin (1) numaralı fıkrasında, kişisel verilerin ilgili kişinin
açık rızası olmaksızın işlenemeyeceğinin, (2) numaralı fıkrasında ise kanunlarda
açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda
bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir
başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir
sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla,
sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri
sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması
veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve
özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için
veri işlenmesinin zorunlu olması hallerinden birinin varlığı halinde, ilgili kişinin
açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun hükme
bağlandığı,
• Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde, kişisel verilerin ancak bu
Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği
hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu
ilkelere yer verildiği ve buna göre, kişisel verilerin ancak; “a) Hukuka ve dürüstlük
kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve
meşru amaçlar için işlenme, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
ile d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar
muhafaza edilme” ilkelerine uygun işlenebileceği,
• İlgili kişinin Kuruma ilettiği şikayet başvurusundan, bahsi geçen kamera
görüntülerinin ilgili kişinin çalışma arkadaşına hakaret içerikli sözlerde bulunarak
fiziksel şiddet uygulaması sonucu iş akdinin haklı nedenle feshedildiğine dair delil
olmak üzere işveren vekili tarafından mahkemeye sunulduğunun anlaşıldığı,
• Veri sorumlusu tarafından ilgili kişinin başvurusuna cevap olarak iletilen ihtarname
örneğinde, ilgili kişinin imzaladığı kişisel veriler hakkında bilgilendirme metni
gereğince aktarma merkezinde kamera kaydı alındığına ilişkin olarak ilgili kişiye
bilgilendirme yapıldığı, ilgili kişinin imzaladığı bu aydınlatma bildirimine göre veri
sorumlusunca kamera kayıtlarının hukuken geçerli sebeplere dayanılarak işlendiği
ve Kanunun 5 inci maddesinin (2) numaralı fıkrasının (e) bendindeki; “Bir hakkın
tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hukuki
sebebi uyarınca taraflar arasında görülen işe iade davasında, iş akdinin haklı nedenle
fesih sebebinin kanıtlanması amacıyla mahkemeye sunulduğunun açıklandığı,
324
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
• 6100 sayılı Hukuk Muhakemeleri Kanununun “Dava dilekçesinin içeriği” başlıklı
119 uncu maddesinin;
“(1) Dava dilekçesinde aşağıdaki hususlar bulunur: a) Mahkemenin adı.
b) Davacı ile davalının adı, soyadı ve adresleri.
c) Davacının Türkiye Cumhuriyeti kimlik numarası.
ç) Varsa tarafların kanuni temsilcilerinin ve davacı vekilinin adı, soyadı ve adresleri.
d) Davanın konusu ve malvarlığı haklarına ilişkin davalarda, dava konusunun değeri.
e) Davacının iddiasının dayanağı olan bütün vakıaların sıra numarası altında açık
özetleri.
f) İddia edilen her bir vakıanın hangi delillerle ispat edileceği.
g) Dayanılan hukuki sebepler.
ğ) Açık bir şekilde talep sonucu.
h) Davacının, varsa kanuni temsilcisinin veya vekilinin imzası.
(2) Birinci fıkranın (a), (d), (e), (f) ve (g) bentleri dışında kalan hususların eksik
olması hâlinde, hâkim davacıya eksikliği tamamlaması için bir haftalık kesin süre
verir. Bu süre içinde eksikliğin tamamlanmaması hâlinde dava açılmamış sayılır.”
hükmünü haiz olduğu,
• 6100 sayılı Kanunun “Cevap dilekçesinin içeriği” başlıklı 129 uncu maddesinde;
“(1) Cevap dilekçesinde aşağıdaki hususlar bulunur:
a) Mahkemenin adı.
b) Davacı ile davalının adı, soyadı ve adresleri; davalı yurt dışında ise açılandava ile
ilgili işlemlere esas olmak üzere yurt içinde göstereceği bir adres.
c) Davalının Türkiye Cumhuriyeti kimlik numarası.
ç) Varsa, tarafların kanuni temsilcilerinin ve davacı vekilinin adı, soyadı ve adresleri.
d) Davalının savunmasının dayanağı olan bütün vakıaların sıra numarası altında açık
özetleri.
e) Savunmanın dayanağı olarak ileri sürülen her bir vakıanın hangi delillerle ispat
edileceği.
f) Dayanılan hukuki sebepler.
g) Açık bir şekilde talep sonucu.
ğ) Davalının veya varsa kanuni temsilcisinin yahut vekilinin imzası.
(2) 121 inci madde hükmü cevap dilekçesi hakkında da uygulanır.” hükmünün yer aldığı,
• Bu kapsamda Kuruma iletilen şikayet başvurusundan, 6100 sayılı Hukuk
Muhakemeleri Kanunu uyarınca hangi unsurları barındırması gerektiği belirlenen
cevap dilekçesinde veri sorumlusunun savunmaya yönelik dayandığı vakıaları
beyan dilekçesiyle mahkemeye sunduğunun anlaşıldığı, bu çerçevede Kanunun 8
inci maddesine uygun olarak Kanunun 5 inci maddesinin (2) numaralı fıkrasının
(e) bendindeki; “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin
325
KİŞİSEL VERİLERİ KORUMA KURUMU
zorunlu olması” hukuki sebebi uyarınca söz konusu kamera kaydının mahkemeye
sunulmasının hukuka uygun bir veri işleme faaliyeti olduğu,
• İlgili kişinin veri sorumlusu kargo şirketi tarafından açık rızası alınmaksızın
kamera kaydının alındığı iddiası karşısında; veri sorumlusunun daha önceden, ilgili
kişinin imzaladığı kişisel veriler hakkında bilgilendirme metni gereğince aktarma
merkezinde kamera kaydı alındığına ilişkin olarak ilgili kişiye bilgilendirme yapıldığı,
ilgili kişinin imzaladığı bu aydınlatma bildirimine göre veri sorumlusunca kamera
kayıtlarının hukuken geçerli sebeplere dayanılarak işlendiği” beyanı çerçevesinde
değerlendirme yapıldığında; veri sorumlusunun ilgili kişinin açık rızasının alındığını
tevsik edici belgeyi sunmadığı, ancak veri sorumlusunun kargo şirketi olduğu göz
önüne alındığında; Bilgi Teknolojileri ve İletişim Kurulunun 2016/DK – YED/517
sayılı kararı ile onaylanan “Posta Gönderilerine İlişkin Güvenlik Tedbirlerine
Yönelik Usul ve Esaslar” düzenlemesinin “Posta gönderilerinin görüntüleme
cihazları ile kontrolü” başlıklı 6 ncı maddesinin ikinci fıkrasında yer alan, “Hizmet
sağlayıcılarının posta gönderilerini kabul merkezlerinde kamera sistemi kurularak
kayıtlar, gerektiğinde ilgili mercilere sunulmak üzere en az bir (1) ay süreyle saklanır.”
hükmü gereğince veri sorumlusu kargo şirketinin, Kanunun 5 inci maddesinin ikinci
fıkrasının (a) bendinde yer alan; “Kanunlarda açıkça öngörülmesi” hukuki sebebine
uygun olarak işleme yaptığı
değerlendirmelerinden hareketle, söz konusu şikayet ile ilgili olarak Kanun kapsamında
yapılacak bir işlem bulunmadığına karar verilmiştir.
1.3.61 “Veri sorumlusu bir havayolu şirketi tarafından ilgili kişiye ait çağrı merkezi
görüşme kayıtlarının transkriptinin teslim edilmemesi” hakkında Kişisel Verileri
Koruma Kurulunun 30/06/2020 tarihli ve 2020/504 sayılı Karar Özeti
Kuruma intikal eden şikâyette özetle; ilgili kişinin veri sorumlusu bir havayolu şirketinin
çağrı merkezi ile gerçekleştirdiği görüşmeye ait olan ses kaydının 6698 sayılı Kişisel
Verilerin Korunması Kanununun (Kanun) 3 üncü maddesinin (d) bendi gereğince yazıya
dökülmesi suretiyle bir nüshasının tarafına yazılı yahut e-posta yolu ile iletilmesinin
istendiği, veri sorumlusu tarafından söz konusu talebin “ilgili ses kayıtlarının talebi
şirket prosedürleri gereği yalnızca yasal merciler tarafından iletilmesi durumunda
mümkün olduğu” gerekçesi ile reddedildiği, ancak Kanuna göre gerçek kişiye ait olan,
gerçek kişiyi belirlenebilir kılan her türlü bilginin kişisel veri olduğu, ilgili kişiye ait
olan ses kaydının da kişisel veri niteliğini haiz olduğu belirtilerek ilgili kişi tarafından
talebini reddeden veri sorumlusunun Kanunun 13 üncü maddesi anlamında veri ihlaline
sebep olduğu gerekçesiyle cezalandırılması ve ilgili görüşme kaydının kendisine teslim
edilmesi talep edilmiştir.
Başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan
cevabi yazıda özetle;
• Veri sorumlusu tarafından şikâyetin yanıtlandığı tarih itibarıyla, çağrı merkezi
326
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
kayıtlarının ancak adli veya idari görevleri doğrultusunda bunları talep eden yetkili
adli ve idari kurumlar ile paylaşıldığı, bunların dışında ise yetkilendirilmiş çağrı
merkezi görevlilerinin erişimine açık olduğu,
• Veri sorumlusunun misafirlerine ilişkin yolcu rezervasyon numarası (PNR), ses
kaydı, şikâyet kayıtları gibi farklı türde kişisel verilerinin benzeri platformlar
üzerinde ve farklı düzende kayıt altında tuttuğu,
• Çoğu örnekte söz konusu kayıtların salt misafir kişisel verisinden ibaret olmadığı ve
örneğin; PNR kayıtlarında biletleme veya havalimanında uçuşa kayıt (check-in) ve
uçuşa kabul (boarding) işlemlerini yapan görevli kişiye, çağrı merkezi kayıtlarında
şikâyet kaydı üzerinde işlem yapan yetkiliye ait bilgileri içerebildiği,
• Veri sorumlusunun Kanun kapsamındaki yükümlülüklerini; tüm ilgili kişiler için
amaçla bağlantılı, sınırlı ve ölçülü olma ilkesini gözeterek yerine getirdiği ve ilgili
kişilerin kişisel verileri işlenmişse buna ilişkin bilgi talep etme hakkının kullanımını
da bu ilkeleri gözeterek karşıladığı,
• Talep kapsamında kişilerin işlemleri hakkında açık bir şekilde bilgilendirilmelerinin
zaruri olduğu,
• Diğer yandan, veri sorumlusunun kayıtlarında yer alan veri setlerinin aynen başvuru
sahipleri ile paylaşılmasının Kanun kapsamında farklı veri ihlali endişelerini
beraberinde getirdiği,
• Çağrı merkezi görüşmelerinin çoğu örnekte, uçuş ve işlemlere ilişkin detaylı bilgi
içermekte olduğu, talep ve sonuca ilişkin bilgilerin yazılı iletişim kanalları ile
misafirlerine doğrudan aktarıldığı ve ilgili kişinin çağrı merkezi görüşme kayıtlarına
ilişkin talebinin de bu nedenle ilgili tarihteki uygulama doğrultusunda olumsuz
yanıtlandığı,
• Diğer yandan 13.03.2020 tarihinde Kurumun internet sitesinde yayımlanan
14.01.2020 tarih ve 2020/13 sayılı Kurul karar özeti doğrultusunda ilgili kişi ile
tekrar iletişime geçilerek görüşme kaydının gerekli görülen maskeleme tedbirleri
uygulanması suretiyle yazılı ortamda ilgili kişi ile paylaşıldığı; bu yönde iletilecek
taleplerin benzer bir yaklaşımla ele alınması yönünde ilgili hizmet birimlerinin
bilgilendirildiği
ifadelerine yer verilmiştir.
Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 30/06/2020
tarihli ve 2020/504 sayılı Kararı ile,
• Türkiye Cumhuriyeti Anayasasının “Özel hayatın gizliliği” başlıklı 20 nci maddesinin
üçüncü fıkrası hükmüne göre; herkes, kendisiyle ilgili kişisel verilerin korunmasını
isteme hakkına ve bu anlamda bireylerin temel olarak, kendileri ile ilgili kişisel
verilerin ilgisiz üçüncü kişilerin eline geçmemesi konusunda gerekli tedbirlerin
alınmasını isteme hakkına sahip olduğu,
327
KİŞİSEL VERİLERİ KORUMA KURUMU
• Bu hakkın; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu
verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları
doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsadığı,
• Bu anlamda bireylerin, hangi amaçla hangi kişisel verilerinin kullanıldığını öğrenme
hakkına sahip olduğu gibi söz konusu kişisel verilerde herhangi bir yanlışlık
bulunması halinde bu durumun düzeltilmesini ya da verilerinin silinmesini isteme
hakkına da sahip olduğu,
• Zira Kanunun “İlgili Kişinin Hakları” başlıklı 11 inci maddesinin birinci fıkrasında
“Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; a) Kişisel veri işlenip
işlenmediğini öğrenme, b) Kişisel verileri işlenmişse buna ilişkin bilgi talep
etme, c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp
kullanılmadığını öğrenme, ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı
üçüncü kişileri bilme, d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde
bunların düzeltilmesini isteme, e) 7 nci maddede öngörülen şartlar çerçevesinde
kişisel verilerin silinmesini veya yok edilmesini isteme, f) (d) ve (e) bentleri uyarınca
yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi
suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, ğ) Kişisel
verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın
giderilmesini talep etme, haklarına sahiptir.” hükmünün yer aldığı,
• Kanunun 11 inci maddesinin birinci fıkrasının (b) bendi hükmü kapsamında ilgili
kişinin, kendisiyle ilgili kişisel veriler işlenmişse buna ilişkin bilgi talep etme
hakkının, söz konusu veriye erişim hakkını da kapsadığı, erişim hakkının, bilgi
talep etme hakkını tamamlayarak ilgili kişinin, kişisel verileri üzerindeki haklarını
kullanabilmesi için, kişisel verilerinin ne şekilde işlendiğine dair tam olarak bilgi
sahibi olmasına imkân sağladığı,
• Ancak bu hakkın, kişisel verilerin işlendiği veri kayıt sisteminin/kayıt ortamının
doğrudan kendisine erişimini, bu kayıt ortamının kendisinin ilgili kişiye teslimini
veya doğrudan verinin kendisinin “elde edilme”sini değil; veri sorumlusunun veri
güvenliğine ilişkin yükümlülükleri de dikkate alınarak, işlenen kişisel verilerin,
teknik/fiziki imkânların el verdiği ölçüde ve verinin muhtevasına/içeriğine ilgili kişi
tarafından makul bir şekilde ulaşılabilmesine imkân tanınmasını kapsadığı,
• Kurum tarafından iletilen bilgi ve belge talebi konulu yazıyı takiben veri sorumlusunca
ilgili kişiye, talep ettiği konuşmanın transkriptinin e-posta vasıtasıyla iletildiği ve
Kuruma da redaksiyon ile kapatılmış bir versiyonunun gönderildiği,
• Ayrıca veri sorumlusu tarafından gönderilen evraklar içerisinde Operasyon
Birimine hitaben yazılan ve Kanun kapsamında yeni süreçte Çağrı Merkezi ile
yapılan görüşmelere ilişkin kayıt talep eden misafirlere, görüşmenin transkriptinin
dokümanda belirtilen hususlara bağlı kalınması suretiyle paylaşılması talimatını
içeren e-postaya da yer verildiği, değerlendirmelerinden hareketle;
328
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
• İlgili kişinin kişisel verilerinin veri sorumlusu havayolu şirketi tarafından temin
edilmesinin hukuka uygun olduğu,
• Somut olayda gerçekleşen herhangi bir kişisel veri işleme faaliyeti kapsamında,
Kanunun 12 inci maddesinin (1) numaralı fıkrası uyarınca veri sorumlusu
tarafından veri güvenliğine ilişkin yükümlülüklere aykırı hareket edildiği sonucuna
varılamayacağı
• Somut olayla benzerlik arz eden bir konuya ilişkin olarak alınan ve 13.03.2020
tarihinde Kurum internet sitesinde yayımlanan 14.01.2020 tarih ve 2020/13 sayılı
Kurul Karar özeti dikkate alınarak veri sorumlusu tarafından ilgili kişinin talebi
doğrultusunda ses kaydına ait transkriptin hâlihazırda gönderildiği,
• Veri sorumlusu bünyesindeki birimlerin, uygulamada artık ilgili kişilerin Kanuni
talepleri doğrultusunda hareket edilmesi hususunda bilgilendirildiği hususları,
göz önüne alındığında veri sorumlusu hakkında yapılacak bir işlem bulunmadığına
karar verilmiştir.
1.3.62 Ölenin sağlık verisinin yasal mirasçısı tarafından talep edilmesi hakkında
Kişisel Verileri Koruma Kurulunun 30/06/2020 tarihli ve 2020/507 Sayılı Karar
Özeti
Kuruma intikal eden şikayette; ilgili kişinin vefat eden babasının mirasçısı olduğunu
gösterir mirasçılık belgesi ile Kişisel Sağlık Verileri Hakkında Yönetmeliğin 11 inci
maddesi uyarınca babasına ait kayıtlı her türlü sağlık verisinin tarafına iletilmesini ilgili
kamu kurumundan talep ettiği fakat talebinin 6698 sayılı Kişisel Verilerin Korunması
Kanununun (Kanun) 8 inci maddesi ile 5502 sayılı Sosyal Güvenlik Kurumu
Kanununun 35 inci maddesinin beşinci fıkrası dayanak gösterilerek ve 4721 sayılı Türk
Medeni Kanununa ilişkin sükna hakkı, intifa hakkı ve nafaka alacağının devredilmediği
belirtilerek reddedildiği, ancak bu hususların talebi ile hiçbir ilgisinin olmadığı, ölen
kişinin verisinin mirasçısına verilmesi ile ilgili açık mevzuat olmadığı sürece, idarenin
emsal yolu ile sınırlama getirmesinin hukuka aykırı olduğu, kişinin tıbben ve hukuken
ölümüyle gerçek kişiliğinin sona ermesi ile birlikte, ölenin sağlığında sahip olduğu
tüm mal varlığı, hukuki hakları, borçları ve yükümlülüklerinin mirası reddetmemiş
mirasçılara geçtiği, hukuki varlığı sona eren ölen bir kişinin 6698 sayılı Kanuna
dayanılarak gerçek kişi ve ilgili kişi kavramları ile ilişkilendirilmesinin fiilen ve hukuken
söz konusu olmadığı, Kişisel Sağlık Verileri Hakkında Yönetmeliğin 11 inci maddesi
göz önüne alındığında verilerin sadece yargı yolu ile alınması gerektiğine ilişkin açık
bir düzenleme, yöntem ya da kısıtlama bulunmadığı, veri sorumlusu kamu kurumu
tarafından verilen yanıtta Kişisel Sağlık Verileri Hakkında Yönetmeliğin yalnızca
Sağlık Bakanlığını bağladığının ifade edildiği ancak, bir yönetmeliğin yalnızca onu
çıkaran Bakanlığı bağlayabileceğinin düşünülemeyeceği, bu yönetmeliğin vatandaşı
doğrudan ilgilendiren ve idarenin uygulaması gereken açık bir düzenleme olduğu
hususları belirtilerek söz konusu verilerin tarafına verilmesi talep edilmiştir.
329
KİŞİSEL VERİLERİ KORUMA KURUMU
İlgili kişinin dilekçesi ekinde yer alan veri sorumlusu kamu kurumu tarafından ilgili
kişiye verilen cevap yazısında;
• 5502 sayılı Kanunun 35 inci maddesinin beşinci fıkrasında; “Bu Kanun ve diğer
mevzuatla verilen görevleri yerine getirmek amacıyla işlediği kişisel veriler ile ticari
sır niteliğinde olan verileri, veri sahibinin noter onaylı muvafakati veya e-devlet
uygulaması üzerinden kimlik teyidi ile verilen izni olmadan gerçek veya tüzel
kişilerle paylaşamaz. … Kurum, kişisel sağlık verilerini kamu sağlığının korunması,
koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, verilen
sağlık hizmetlerinin uygunluğunun ve yerindeliğinin takibi ve finansmanının
planlanması amacıyla talebi halinde Sağlık Bakanlığı ile paylaşır….” hükümlerine
yer verildiği,
• Ayrıca veri sorumlusu kamu kurumunun hukuk müşavirliğinden alınan görüşte;“…
bir kişinin yaşamı sırasında üçüncü kişilerden bir çok hak ve alacağı olabilir. Bu
haklardan intifa hakkı, sükna hakkı, nafaka alacağı gibi hak ve alacaklar hak sahibi
kişinin ölümü ile kendiliğinden sona erer. Bu nedenle kendiliğinden sona eren bu
tür hak ve alacaklar mirasçılara geçmez. … Bu itibarla, ölen kişinin mirasçılarına
kişisel verilerinin… verilmesinin hukuken mümkün olmadığı ancak dava konusu
yapılması durumunda mahkeme kanalıyla istenmesi halinde … verilmesinin uygun
olacağı”na ilişkin mütalaa verildiği,
• Sağlık Bakanlığı tarafından çıkarılan Yönetmelik hükümlerinin normlar hiyerarşisi
yönünden Sağlık Bakanlığını bağladığı, bu nedenlerle ilgili kişinin babasına ilişkin
kişisel sağlık verilerinin ancak yargı makamları tarafından istenmesi halinde
verilebileceğinin
ifade edildiği görülmüştür.
Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun
30/06/2020 tarihli ve 2020/507 sayılı Kararı ile,
• Kanunun “Tanımlar” başlıklı 3 üncü maddesinde; “kişisel veri”nin, kimliği
belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi; “kişisel verilerin
işlenmesi”nin ise kişisel verilerin tamamen veya kısmen otomatik olan ya da
herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla
elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi,
yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir
hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler
üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı,
• Kanunun gerekçesinde; sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri
gibi onun kesin teşhisini sağlayan bilgilerin değil, aynı zamanda kişinin fiziki,
ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgilerin de bir kişinin belirli
veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle
ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade ettiğinden
kişisel veri olarak tanımlandığı, diğer bir ifadeyle, kişinin fiziksel, ekonomik,
330
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıyan veya
kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda
kişinin belirlenmesini sağlayan tüm halleri kapsadığı, bu sebeple, isim, telefon
numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası,
özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi
verilerin dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel
veriler olarak değerlendirildiği,
• 4721 sayılı Türk Medeni Kanununun 28 inci maddesinde ise kişiliğin çocuğun sağ
olarak tamamıyla doğduğu anda başladığı ve ölümle sona erdiği hükmünün yer
aldığı,
• 21/06/2019 tarihli ve 30808 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren
Kişisel Sağlık Verileri Hakkında Yönetmeliğin, “Ölünün sağlık verilerine erişim”
başlıklı 11 inci maddesinin birinci fıkrasının; “Ölmüş bir kimsenin sağlık verilerini
almaya, veraset ilamını ibraz etmek suretiyle murisin yasal mirasçıları münferit
olarak yetkilidir.” hükmünü amir olduğu,
• Söz konusu olaya benzer nitelikte bir başvuruya ilişkin olarak Kişisel Verileri
Koruma Kurulunun vermiş olduğu 18/09/2019 tarih ve 2019/273 sayılı Kararı ile;
“… -6698 sayılı Kişisel Verilerin Korunması Kanununun 3 üncü maddesinde ilgili
kişinin “kişisel verileri işlenen gerçek kişi” olarak tanımlandığı, 4721 sayılı Türk
Medeni Kanununun 28 inci maddesinde ise kişiliğin çocuğun sağ olarak tamamıyla
doğduğu ve ölümle sona erdiği hükmüne yer verildiği dikkate alındığında başvuranın
vefat eden eşine ilişkin kayıtları veri sorumlusundan talep etmesinin 6698 sayılı
Kanunda yer alan ilgili kişi tanımı kapsamında değerlendirilemeyeceğine,
-Öte yandan 21.06.2019 tarihli ve 30808 sayılı Resmi Gazete’de yayımlanarak
yürürlüğe giren Kişisel Sağlık Verileri Hakkında Yönetmeliğin, “Ölünün sağlık
verilerine erişim” başlıklı 11 inci maddesinin 1 inci fıkrasında “Ölmüş bir kimsenin
sağlık verilerini almaya, veraset ilamını ibraz etmek suretiyle murisin yasal
mirasçıları münferit olarak yetkilidir” hükmü kapsamında … vefat eden eşi … yasal
mirasçısı olarak söz konusu verileri Kişisel Sağlık Verileri Hakkında Yönetmelik
kapsamında adı geçen klinikten talep edebileceği hususunda başvuru sahibinin
bilgilendirilmesine…karar verilmiştir.” değerlendirmelerinden hareketle,
• İlgili kişinin vefat eden babasının yasal mirasçısı olarak söz konusu verileri Kişisel
Sağlık Verileri Hakkında Yönetmelik kapsamında talep edebileceğine ancak
Kuruma yapmış olduğu başvurunun Kanun kapsamında değerlendirilemeyeceğine
karar verilmiştir
1.3.63 “Bazı avukatların avukat sorgulama siteleri ile ilgili ihbar başvuruları”
hakkında Kişisel Verileri Koruma Kurulunun 30/06/2020 tarih ve 2020/508 sayılı
Karar Özeti
Kuruma intikal eden ihbarlarda, ihbar başvurusu sahiplerinin muhtelif avukat sorgulama
331
KİŞİSEL VERİLERİ KORUMA KURUMU
sitelerinde taraflarına ait ad soyadı, kayıtlı bulundukları baro, baro ve Türkiye Barolar
Birliği (TBB) sicil numaraları, e-posta adresleri ve fotoğraflarının yayımlandığı, söz
konusu verilerin rızaları olmaksızın hukuka aykırı olarak elde edildiği, bahsi geçen
internet sitelerince gerek taraflarına gerek çok sayıda avukata ait kişisel verilerin hukuka
aykırı olarak elde edildiği ve bu suretle paylaşıldığı, söz konusu internet sitelerinde ve
bu siteler ile ilişkili bulunan kurum/kuruluş ya da alan adında yer alan tüm profillerin
kaldırılması gerektiği yönünde ihbarda bulunularak gereğinin yapılması talep edilmiştir.
Konuya ilişkin yapılan değerlendirmede, Kişisel Verileri Koruma Kurulunun 30/06/2020
tarih ve 2020/508 sayılı Kararı ile,
• 1136 sayılı Avukatlık Kanununun “Baroya yazılma istemi” başlıklı 6 ncı
maddesinin, “4 üncü maddedeki koşulları taşıyanlar başvurdukları yer barosu
levhasına yazılmalarını dilekçe ile isteyebilirler.” hükmünü, “Avukatlık yetkilerinin
başkaları tarafından kullanılmaması” başlıklı 63 üncü maddesinin “… Baro
levhasında yazılı bulunmayanlar avukatlık unvanını da taşıyamazlar…” hükmünü
haiz olduğu, Avukatlık Kanununun “Levhaya yazılma yükümlülüğü” başlıklı 66
ncı maddesi uyarınca, her avukatın bölgesi içinde sürekli olarak avukatlık edeceği
yerin baro levhasına yazılmakla yükümlü olduğu, dolayısıyla avukatlık görevini ifa
edecek kişiler için baro levhasına yazılmanın kanuni bir yükümlülük olduğu, bu
yükümlülüğü yerine getirmeden avukatlık görevini icra etmenin mümkün olmadığı,
• Avukatlık Kanununun “Avukatlar listesi” başlıklı 75 inci maddesinde, “Baro yönetim
kurulu üç yılda bir bölgesi içinde bulunan ve baro levhasında yazılı olan bütün
avukatların bir listesini son yılın 31 Aralık tarihine kadar düzenler. Listeye her
avukatın alfabe sırasıyla adı, soyadı, büro ve konut adresi yazılır. Birlikte çalışan
avukatların büroları ve avukatlık ortaklıkları listede ayrıca belirtilir. Levhadaki
değişiklikler her yıl sonunda düzenlenecek ek listede gösterilir. Bu listenin
düzenlenme şekli Türkiye Barolar Birliğince tespit edilir. Listenin düzenlenmesinden
sonra baro levhasına yazılanlara yeni listenin düzenlenmesine kadar kullanılacak
geçici bir belge verilir. Listeden Anayasa Mahkemesine, Yüksek Mahkemelere,
Adalet Bakanlığına, Türkiye Barolar Birliğine, diğer barolara, baronun bölgesi
içinde bulunan mahkemelerle Cumhuriyet Savcılıklarına, en büyük idare amirine,
diğer yargı mercilerine, noterlere ve icra ve iflas dairelerine yeteri kadar gönderilir.”
düzenlemesinin yer aldığı, bu kapsamda, baro levhasının, her baronun bünyesinde
bulunan avukatlar listesinin TBB ya da baroların internet sayfalarında yayımlanan
tezahürü olduğu kanaatine varıldığı,
• Buna ek olarak TBB ve il barolarının internet sayfalarında yayımlanan avukat
bilgilerinin genel olarak; fotoğraf (biyometrik veya normal), baro sicil numarası,
birlik sicil numarası, ad, soyadı, adres, iş telefonu, fax numarası, cep telefonu, web
adresi, e-posta adresi olduğu, bununla birlikte, yayımlanan bilgilerin barodan baroya
farklılık gösterdiği ve bu yönde tek tip bir uygulama olmadığı, hangi bilgilerin
yayımlanacağına ilişkin yukarıda ifade edilen hükümler dışında doğrudan bir yasal
düzenleme bulunmadığının anlaşıldığı,
332
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
• Baroya yazılma istemiyle birlikte baroya iletilen bilgilerin baro levhasında doğrudan
yayımlandığı fakat daha sonradan avukatların söz konusu baroya başvurarak bu
bilgileri güncelleme ya da sildirme imkânı olduğunun anlaşıldığı,
• TBB Başkanlığının 08.04.2016 tarihli 2016/24 numaralı duyurusunda, avukatlıkla
birleşmeyen bir işte çalıştığını ve bu nedenle avukatlık yapmayacağını belirten talep
sahiplerinin sadece adına avukatlık ruhsatnamesi düzenlenmesini talep edebileceği
ve baro levhasına yazılma talebinin olmadığını belirten bir dilekçe alınması
gerektiğinin görüldüğü,
• Söz konusu sitelerden birçoğunda ‘Bu siteye ulaşılamıyor’ ibaresinin yer aldığının
görüldüğü, erişilebilen siteler incelendiğinde; internet sitelerinin ana sayfasında
il barolarına ait butonlar olduğu, söz konusu butonlara basıldığında o ilde kayıtlı
avukatlar listesine ilçelere göre ayrılmış şekilde ulaşılabildiği, ilçe ismine
tıklandığında ise adresi o ilçede görünen avukat isimlerinin listesinin çıktığı, herhangi
bir avukat ismine tıklandığında söz konusu profilin altında “Bu sayfada bulunan
bilgiler … levhasından alınmıştır” şeklinde o avukat hangi il barosuna kayıtlı ise
o baro levhasının belirtildiği, internet sitelerinin ana sayfasında “Hakkımızda,
Gizlilik, Hukuki Uyarı, Avukat Sorgula, İcra Iban Numaraları, Avukat Ekle, İletişim”
sekmelerinin yer aldığı, kullanıcıların bahsi geçen internet sitelerine giriş yaptıktan
sonra arama butonuna herhangi bir isim yazmasıyla otomatik olarak https://cse.
google.com.tr/cse/ uzantılı Google özel arama motoru (Google Custom Search)
linkinin açıldığı ve ismin bu link üzerinde aratıldığı, internet sitelerinin “Gizlilik”
Madde 14- — “b. Unsurları
imzalarının bulunması zorunludur. Kanunda aksi öngörülmedikçe, imzalı bir mektup,
asılları borç altına girenlerce imzalanmış telgraf, teyit edilmiş olmaları kaydıyla
faks veya buna benzer iletişim araçları ya da güvenli elektronik imza ile gönderilip
saklanabilen metinler de yazılı şekil yerine geçer.
c. İmza
Madde 15-
elektronik imza da, el yazısıyla atılmış imzanın bütün hukuki sonuçlarını doğurur. İmzanın
el yazısı dışında bir araçla atılması, ancak örf ve âdetçe kabul edilen durumlarda ve
özellikle çok sayıda çıkarılan kıymetli evrakın imzalanmasında yeterli sayılır. Görme
engellilerin talepleri halinde imzalarında şahit aranır. Aksi takdirde görme engellilerin
imzalarını el yazısı ile atmaları yeterlidir.”
hükmünü amirdir. Bu noktada belirtmekte fayda görülmektedir ki, 6098 sayılı Kanunda
yer alan “imza”ya ilişkin düzenlemenin kapsamı klasik imza ve güvenli elektronik
imzadır. Her ne kadar güvenli elektronik imza ile klasik imza doğurduğu hukuki
sonuçlar bakımından aynı olarak düşünülse de, kanun koyucunun hem klasik imzayı
hem de güvenli elektronik imzayı ayrı ayrı düzenlediği görülmektedir. Bu kapsamda,
6098 sayılı Kanunun mezkûr hükümlerinde yer alan düzenlemeyi biyometrik imzayı
kapsayacak şekilde yorumlamanın hem 6698 sayılı Kanunun 6 ncı maddesinin üçüncü
fıkrasında yer alan “kanunlarda öngörüldüğü haller” istisnasının geniş yorumlamasına
yol açacağı hem de ölçülülük ilkesine aykırı olacağı değerlendirilmektedir.
Bu itibarla, konuya ilişkin olarak yukarıda yer verilen mevzuat hükümleri ve açıklamalar
ışığında;
• Biyometrik imzanın biyometrik veri niteliğini haiz olduğu,
• Bu nitelikteki verilerin işlenebilmesinin 6698 sayılı Kanunun 6 ncı maddesi
uyarınca kanunlarda öngörülme şartının gerçekleşmesi ya da ilgili kişilerden açık
rıza alınması ile mümkün olabileceği,
• 6098 sayılı Borçlar Kanununun 15 nci maddesinde yer alan hükmün 6698 sayılı
Kanunun 6 ncı maddesinin 3 numaralı fıkrasında yer alan “kanunlarda öngörülme”
şartına karşılık gelmediği,
• Bu sebeple söz konusu işlemenin ancak ilgili kişilerden;
a) Açık rıza alınması,
b) 6698 sayılı Kanunun 10 uncu maddesi kapsamında gerekli aydınlatmanın yapılmış
olması,
c) 6698 sayılı Kanunun 6 ncı maddesinin 4 üncü fıkrasına dayanarak Kurul tarafından
belirlenen
363
KİŞİSEL VERİLERİ KORUMA KURUMU
“Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken
Yeterli Önlemler” in de dikkate alınması
şartıyla gerçekleştirilebileceği değerlendirilmiştir.
1.3.73 “Bir sigorta şirketinin ilgili kişiye vereceği hizmeti açık rıza şartına bağlaması
sebebiyle Kuruma iletilen şikâyet” hakkında Kişisel Verileri Koruma Kurulunun
03/09/2020 tarihli ve 2020/667 sayılı Karar Özeti
Kuruma intikal eden şikâyet dilekçesinde özetle; ilgili kişinin veri sorumlusu bir sigorta
şirketine başvurarak ailesi adına düzenlettiği sağlık sigortası poliçesini yeniletmek
istediği; ancak veri sorumlusunun kendisinden poliçeyi yenilemek için açık rıza
almak istediği ifade edilmiş olup bu durumun 6698 sayılı Kişisel Verilerin Korunması
Kanununa (Kanun) aykırı olduğu gerekçesi ile veri sorumlusu hakkında gereğinin
yapılması talep edilmiştir.
Başvurunun değerlendirilmesi neticesinde Kişisel Verileri Koruma Kurulunun
03/09/2020 tarihli ve 2020/667 sayılı Kararı ile;
• Kanunun “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6 ncı maddesinin
(1) numaralı fıkrasında özel nitelikli kişisel verilerin “Kişilerin ırkı, etnik kökeni,
siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti,
dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve
güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” olarak sayıldığı,
özel nitelikli verilerin işlenmesine ilişkin ise; “(2) Özel nitelikli kişisel verilerin,
ilgilinin açık rızası olmaksızın işlenmesi yasaktır. (3) Birinci fıkrada sayılan sağlık
ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin
açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler
ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve
bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması
ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili
kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.”
hükümlerine yer verildiği,
• Bu kapsamda; sağlık sigortası poliçesinin özel nitelikli kişisel veri niteliğini haiz
sağlık verilerini içerdiği, poliçede yer alan sağlık verilerinin ise Kanunun 6 ncı
maddesinin (3) numaralı fıkrası kapsamında işlenemeyeceği, veri işlemenin ancak
ilgili kişiden açık rıza alınması yoluyla gerçekleştirilebileceği ve bu nedenle ilgili
kişiden açık rıza alınması talebinin Kanuna aykırılık teşkil etmediği
değerlendirmelerinden hareketle söz konusu şikâyet ile ilgili olarak Kanun kapsamında
tesis edilecek bir işlem bulunmadığına karar verilmiştir.
364
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
1.3.74 “İlgili kişinin cep telefonu numarasının, açık rızası olmaksızın bir dernek
tarafından reklam içerikli SMS gönderimi için işlenmesi hakkında” Kişisel Verileri
Koruma Kurulunun 10/09/2020 tarihli ve 2020/691 Sayılı Karar Özeti
Kurumumuza intikal eden şikayette ilgili kişinin cep telefonu numarasına bir dernek
tarafından reklam içerikli SMS gönderildiği, ilgili kişinin bu tür mesajlardan rahatsız
olması, derneğin kendisine ait kişisel verileri nereden elde ettiğini bilmemesi ve kişisel
verilerinin kendisinin açık rızası olmaksızın kullanılması nedeniyle 6698 sayılı Kişisel
Verilerin Korunması Kanunu (Kanun) uyarınca dernekten bilgi talebinde bulunduğu,
söz konusu bilgi alma talebine 30 günlük yasal süre içinde herhangi bir yanıt verilmediği
belirtilerek, veri sorumlusu dernek nezdinde gerçekleşen tüm usulsüzlüklerin ortaya
çıkarılması ve gerekli yaptırımların uygulanması talep edilmiştir.
Söz konusu iddialara ilişkin veri sorumlusundan savunması istenilmiş olup, alınan
cevabi yazıda özetle;
• Şikayetçinin bilgi edinme başvurusunun kendilerine tebliğ edilmiş olmasına rağmen,
idari bir sıkıntı sebebiyle cevabın tanzim ve tebliğ edilemediği,
• Şikayetçinin başvurusunu müteakip Şikayetçi adına kayıtlı olan telefon numarasının,
derhal “pasif” konuma, diğer bir deyişle “gönderim yapılamaz” hale getirildiği,
• Şikayetçinin dernek nezdinde SMS reklamlarına yahut bildirimlerine onay verdiğine
ilişkin bir rızasının tespit edilemediği,
• Dernek uhdesinde şikayetçinin telefon numarasından başka herhangi bir kişisel
verisinin mevcut olmadığı,
• Şikayetçinin telefon numarasının evvelce SMS bağışı yapması sebebiyle ellerinde
bulunuyor olmasının kuvvetle muhtemel olduğu,
• Söz konusu SMS’in şikayetçiye dernek tarafından gönderildiği
ifade edilmiştir.
Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 10/09/2020
tarihli ve 2020/691 sayılı Kararı ile,
• Kanunun 5 inci maddesinde kişisel verilerin işlenme şartlarına yer verilmiş
olduğu; bu maddenin birinci fıkrasında, kişisel verilerin ilgili kişinin açık rızası
olmaksızın işlenemeyeceği, ikinci fıkrasında belirtilen şartlardan (-Kanunlarda
açıkça öngörülmesi, -Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda
bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir
başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, -Bir
sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla,
sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, -Veri
sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, -İlgili
kişinin kendisi tarafından alenileştirilmiş olması, -Bir hakkın tesisi, kullanılması
365
KİŞİSEL VERİLERİ KORUMA KURUMU
veya korunması için veri işlemenin zorunlu olması, -İlgili kişinin temel hak ve
özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için
veri işlenmesinin zorunlu olması) birinin varlığı halinde, ilgili kişinin açık rızası
aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu,
• Hukuka uygun bir kişisel veri işleme faaliyetinin gerçekleştirilebilmesi için kişisel
verilerin öncelikle Kanunun 5 inci maddesindeki şartlardan birine dayanılarak
işlenmesi gerektiği, geçerli bir hukuki sebebi olan kişisel veri işleme faaliyetleri
bakımından ise her hal ve şartta Kanunun 4 üncü maddesinde sayılan temel
ilkelere uygunluğun sağlanmasının veri sorumlusunun başlıca yükümlülüklerinden
olduğu, somut olayda; veri sorumlusu dernek tarafından şikayetçinin kişisel verisi
niteliğindeki cep telefonu numarasının işlenme sebebinin tevsik edilemediği gibi bu
hususa ilişkin netlik içeren herhangi bir açıklama da yapılmadığı, veri sorumlusu
tarafından yapılan “İlgili kişinin evvelce SMS bağışı yapmış olduğunun kuvvetle
muhtemel olduğu” şeklindeki açıklamanın ise hukuki zemine oturan bir açıklama
olmadığı gibi geçerli bir açıklama olarak da kabul edilemeyeceği, veri sorumlusu
tarafından ilgili kişinin SMS gönderimine ilişkin açık rızasının tespit edilemediğinin
açıkça belirtildiği, bu çerçevede şikayetçinin kişisel verisi niteliğindeki cep telefonu
numarasının elde edilmesi ve reklam içerikli SMS gönderimi için kullanılması
şeklide gerçekleşen kişisel veri işleme faaliyetinin Kanuna aykırılık teşkil ettiği,
bu durumun ise veri sorumlusu tarafından veri güvenliğine ilişkin yükümlülüklerin
yerine getirilmediğinin göstergesi olduğu,
• Bununla birlikte, şikayete konu olayda, veri sorumlusu konumundaki derneğin
ilgili kişinin bilgi edinme talebine yanıt vermediği ve yanıt vermeme sebebinin de
“idari bir sıkıntı” şeklinde belirtildiği fakat bahsedilen idari sıkıntının ne olduğuna
ilişkin aydınlatıcı bir açıklama yapılmadığı, Kanun ve Veri Sorumlusuna Başvuru
Usul ve Esasları Hakkında Tebliğdeki düzenlemeler ışığında veri sorumlularının
herhangi bir başvuru karşısında yapabileceği iki tür hareketin bulunduğu ve bu
kapsamda söz konusu başvurunun veri sorumluları tarafından kabul edilmesinin ya
da gerekçesinin açıklanarak reddedilmesinin gerektiği, somut olayda derneğin ilgili
başvuru karşısında hiçbir harekette bulunmaması dolayısıyla derneğin ilgili kişinin
başvurusuna cevap vermemesinin Kanuna aykırılık teşkil ettiği,
• Öte yandan, Kanunun 7 nci maddesinin birinci fıkrasının; “Bu Kanun ve ilgili diğer
kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren
sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi
üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.”
hükmünü amir olduğu, söz konusu hükmün kanunlara uygun şekilde işlenmiş olan
kişisel verilerin daha sonraki süreçte silinmesi, yok edilmesi, anonim hale getirilmesi
için açıklama getirdiği, bununla birlikte başlangıçtan itibaren hukuki sebepten
yoksun olması dolayısıyla hukuka aykırı kişisel veri işlemenin söz konusu olması
halinde bu kişisel verilerin derhal silinmesi gerektiği, zira başlangıçtan itibaren vuku
bulmaması gereken ve halihazırda hukuka aykırılık arz eden bu durumun derhal
ortadan kaldırılarak hukuka uygunluğun en kısa sürede tesis edilmesi gerektiği,
366
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
• Şikayete konu olay bakımından, bahse konu telefon numarasının kara listeye
alınmasının hukuka aykırı olarak işlenen kişisel verinin silindiği anlamına gelmediği,
hiçbir hukuki sebebe dayanmaksızın işlenen kişisel verinin halihazırda derneğin
sistemlerinde kara listeye alınmış bir şekilde bekliyor oluşunun hukuka aykırı
durumun devam ettiğini gösterdiği, söz konusu hukuka aykırılığın devam etmemesi
adına bahse konu telefon numarasının imha edilmesi gerektiği
değerlendirmelerinden hareketle;
• Kanunun 12 nci maddesinin birinci fıkrasının (a) bendi çerçevesinde kişisel verilerin
hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin
etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varıldığından,
veri sorumlusu sıfatını haiz dernek hakkında Kanunun 18 inci maddesinin birinci
fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına,
• Veri sorumlusu dernek tarafından ilgili kişilerin Kanun kapsamındaki başvurularının
Kanunda yer verilen yasal süre içerisinde yanıtlanmasına azami dikkat ve özenin
gösterilmesi hususunda talimatlandırılmasına,
• İlgili kişinin halihazırda hukuka aykırı olarak elde edilmiş olan kişisel verisi
niteliğindeki cep telefonu numarasının imha edilmesi hususunda veri sorumlusunun
talimatlandırılmasına
karar verilmiştir.
1.3.75 “İcra Müdürlükleri tarafından ilgili kişilerin yakınlarına haciz ihbarnamesi
gönderilmesi” hakkında Kişisel Verileri Koruma Kurulunun 17/09/2020 tarih ve
2020/710 sayılı Karar Özeti
Kuruma intikal eden şikâyet başvurusunda, ilgili kişiler hakkında yürütülen icra
takibi esnasında söz konusu icra takibi ile ilgisi bulunmayan, borçlu durumunda
olmayan akrabalarının kişisel bilgilerinin araştırılması, adres ve kimlik bilgilerinin İcra
Müdürlüğünün görevi kapsamında bulunmadığı halde tespit edilmesi ve bu çerçevede
kişisel verilerinin hukuka aykırı bir şekilde akrabaları ile paylaşılmasının 6698 sayılı
Kişisel Verilerin Korunması Kanununa (Kanun) aykırılık teşkil ettiği ifade edilerek İcra
Müdürlükleri hakkında gereğinin yapılması talep edilmiştir.
Bahse konu şikâyet dilekçesi ve eklerinin incelenmesinden ilgili kişiler tarafından veri
sorumlusuna kişisel verilerinin hukuka aykırı bir şekilde akrabaları ile paylaşılması
hakkında bilgi talebi ile başvuruda bulunulduğu, veri sorumlusunun cevabi yazısında ise,
“Alacaklı vekili tarafından bildirilen üçüncü şahıslara İcra ve İflas Kanunu (İİK) 89/1
Haciz ihbarnamesi gönderilmiş olup, haciz ihbarnamesi alacaklı ve borçlu dışında
bulunan bütün üçüncü şahısları kapsamakta olduğundan Müdürlüğümüzce yapılan
işlemde hukuka aykırılık bulunmamaktadır…” ifadelerine yer verildiği görülmüştür.
Konuya ilişkin olarak yapılan değerlendirme neticesinde Kişisel Verileri Koruma
Kurulunun 17/09/2020 tarih ve 2020/710 sayılı Kararı ile,
367
KİŞİSEL VERİLERİ KORUMA KURUMU
• Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı
fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin,
(2) numaralı fıkrasında ise kişisel verilerin kanunlarda açıkça öngörülmesi, fiili
imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına
hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden
bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla
doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin
işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine
getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş
olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu
olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri
sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından
birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın işlenmesinin mümkün
olduğunun hüküm altına alındığı,
• İcra ve İflas Hukuku gereğince iflası talep edilen borçluya ilişkin hak ve borçların
ancak yetkili devlet organlarına başvuru yoluyla ve yasal düzenlemelerde gösterilen
usuller çerçevesinde cebrî olarak takip edilebildiği, haczin, kural olarak kesinleşmiş
bir icra takibinin konusu olan belli bir para alacağının ödenmesini sağlamak için
bu yolda talepte bulunan alacaklı lehine, söz konusu alacağı karşılayacak miktar ve
değerdeki borçluya ait mal ve haklara icra dairesi tarafından hukuken el konulması
olarak tanımlandığı, söz konusu mal ve hakların borçlunun elinde olabileceği
gibi üçüncü bir kişide de bulunabileceği, borçluya ait olmakla beraber üçüncü
kişilerde bulunan hak ve alacakların haczinin İcra ve İflas Kanununun (İİK) 89 uncu
maddesinde düzenlendiği,
• Anılan maddede; “Hamiline ait olmayan veya cirosu kabil bir senetle müstenit
bulunmayan alacak veya sair bir talep hakkı veya borçlunun üçüncü şahıs elindeki
taşınır bir malı haczedilirse icra memuru; borçlu olan hakiki veya hükmi şahsa
bundan böyle borcunu ancak icra dairesine ödeyebileceğini ve takip borçlusuna
yapılan ödemenin muteber olmadığını veya malı elinde bulunduran üçüncü şahsa
bundan böyle taşınır malı ancak icra dairesine teslim edebileceğini, malı takip
borçlusuna vermemesini, aksi takdirde malın bedelini icra dairesine ödemek
zorunda kalacağını bildirir (Haciz ihbarnamesi). Bu haciz ihbarnamesinde, ayrıca
2, 3 ve 4 üncü fıkra hükümleri de üçüncü şahsa bildirilir. Üçüncü şahıs; borcu
olmadığı veya malın yedinde bulunmadığı veya haciz ihbarnamesinin tebliğinden
önce borç ödenmiş veya mal istihlak edilmiş veya kusuru olmaksızın telef olmuş
veya malın borçluya ait olmadığı veya malın kendisine rehnedilmiş olduğu veya
alacak borçluya veya emrettiği yere verilmiş olduğu gibi bir iddiada ise, keyfiyeti,
haciz ihbarnamesinin kendisine tebliğinden itibaren yedi gün içinde icra dairesine
yazılı veya sözlü olarak bildirmeye mecburdur. Üçüncü şahıs, haciz ihbarnamesinin
kendisine tebliğinden itibaren yedi gün içinde itiraz etmezse, mal yedinde veya borç
zimmetinde sayılır ve kendisine gönderilen haciz ihbarnamesine süresinde itiraz
etmediği, bu nedenle de malın yedinde veya borcun zimmetinde sayıldığı ikinci bir
368
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
ihbarname ile bildirilir. Bu ikinci ihbarnamede ayrıca, üçüncü şahsın ihbarnamenin
kendisine tebliğinden itibaren yedi gün içinde ikinci fıkrada belirtilen sebeplerle
itirazda bulunması, itirazda bulunmadığı takdirde zimmetinde sayılan borcu icra
dairesine ödemesi veya yedinde sayılan malı icra dairesine teslim etmesi istenir.
İkinci ihbarnameye süresi içinde itiraz etmeyen ve zimmetinde sayılan borcu icra
dairesine ödemeyen veya yedinde sayılan malı icra dairesine teslim etmeyen üçüncü
şahsa on beş gün içinde parayı icra dairesine ödemesi veya yedinde sayılan malı
teslim etmesi yahut bu süre içinde menfi tespit davası açması, aksi takdirde zimmetinde
sayılan borcu ödemeye veya yedinde sayılan malı teslime zorlanacağı bildirilir. Bu
bildirimi alan üçüncü şahıs, icra takibinin yapıldığı veya yerleşim yerinin bulunduğu
yer mahkemesinde süresi içinde menfi tespit davası açtığına dair belgeyi bildirimin
yapıldığı tarihten itibaren yirmi gün içinde ilgili icra dairesine teslim ettiği takdirde,
hakkında yürütülen cebri icra işlemleri menfi tespit davası sonunda verilen kararın
kesinleşmesine kadar durur. Bu süre içinde 106 ncı maddede belirtilen süreler
işlemez. Bu davada üçüncü şahıs, takip borçlusuna borçlu olmadığını veya malın
takip borçlusuna ait olmadığını ispat etmeye mecburdur. Üçüncü şahıs açtığı
bu davayı kaybederse, mahkemece, dava konusu şeyin yüzde yirmisinden aşağı
olmamak üzere bir tazminata mahkûm edilir. Bu fıkraya göre açılacak menfi tespit
davaları maktu harca tabidir…” hükmüne yer verildiği,
• Borçlunun üçüncü kişilerdeki mal ve alacakları için İcra Müdürlüğünce el
koyma imkânı bulunduğundan, üçüncü kişilerin bünyesinde bulunan mal ve
alacakların haczinde, haczin etkisiz bırakılmasının önlenmesi amacıyla İİK’nın
89 uncu maddesinde yer alan kuralların düzenlendiği, bu hususta ilgili maddenin
İcra Müdürlüğü tarafından uygulanabilecek usulü ve alacaklı ile üçüncü kişinin
başvurabileceği imkânları düzenlediği, İİK’nın 89 uncu maddesinin borçlunun
üçüncü kişilerdeki mal ve alacaklarının nasıl haczedileceğinden ziyade, yapılan
haczin korunmasına yönelik muhafaza tedbirlerini düzenlediği, borçlunun üçüncü
kişilerdeki alacağı kavramına; maaş veya ücreti, borçlunun bir bankadaki mevduatı,
üçüncü kişiye ödünç vermiş olduğu para, satmış olduğu malın satış bedeli, kiraladığı
taşınmazın kira bedeli, borçlunun bir şirketteki kâr veya tasfiye payı, taraf bulunduğu
cari hesap sözleşmesinde diğer taraftan alacaklı olduğu hesap bakiyesinin örnek
olarak gösterilebildiği,
• Benzer nitelikte bir olayda, Yargıtay 12. Hukuk Dairesinin 15.04.2013 tarihli ve
E:2013/5621 K:2013/14186 sayılı kararında, “ ... Buna göre kural olarak icra
müdürünün haciz talebini yerine getirme konusunda herhangi bir takdir yetkisi
bulunmadığının kabulü gerekir. ... Görüldüğü gibi burada tanınan takdir yetkisi,
İİK’nın 82. maddesi kapsamında malın haczi kabil olup olmadığı ile sınırlı olup, icra
müdürünün bunun dışında, örneğin malın 3. kişiye ait olduğu ya da somut olayda
olduğu gibi haciz ihbarnamesi gönderilmesi istenen kişilerin borçluya nazaran 3.
kişi sayılamayacakları gerekçesi ile haciz talebinin veya haciz ihbarı gönderilmesi
isteminin yerine getirilmesi konusunda herhangi bir takdir yetkisinin bulunmadığı
tartışmasızdır. Haczi talep edilen malın üçüncü kişiye ait olduğunun iddia edilmesi
369
KİŞİSEL VERİLERİ KORUMA KURUMU
halinde istihkak prosedürünün uygulanacağı ya da kendisine haciz ihbarı gönderilen
kişinin 3. kişi olmadığı yönündeki iddiasını İİK’nın 16. maddesi uyarınca şikayet
yoluyla icra mahkemesinde ileri sürebileceği tabidir. ...” şeklinde açıklamalara yer
verilerek, haciz ihbarnamesi gönderilmesi istenen kişilerin borçluya nazaran üçüncü
kişi sayılamayacakları gerekçesi ile haciz ihbarı gönderilmesi isteminin yerine
getirilmesi konusunda İcra Müdürünün herhangi bir takdir yetkisinin bulunmadığı
hususunun vurgulandığı
değerlendirmelerinden hareketle;
• İlgili kişilerin kişisel verilerinin üçüncü kişilerle paylaşılması hususuna ilişkin olarak;
İcra ve İflas Kanununun 89 uncu maddesi kapsamında borçlunun üçüncü kişilerdeki
alacağının tahsili amacıyla alacaklı tarafından bildirilen gerçek veya tüzel kişilere
İcra Müdürlüklerince birinci haciz ihbarnamesi gönderilmesinde hukuken engel
bulunmadığına, İcra Müdürlükleri nezdinde gerçekleştirilen ilgili kişilerin kişisel
verilerinin işlenmesi faaliyetinin Kanunun 5 inci maddesinin (2) numaralı fıkrası
kapsamında ‘Kanunlarda açıkça öngörülme’ şartına dayanılarak gerçekleştirildiğine,
bu çerçevede söz konusu başvuruya ilişkin olarak Kanun kapsamında yapılacak bir
işlem bulunmadığına
karar verilmiştir.
1.3.76 Bir e-ticaret şirketinin veri ihlal bildirimi hakkında Kişisel Verileri Koruma
Kurulunun 17/09/2020 tarih ve 2020/715 sayılı Karar Özeti
Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;
• İhlalin, kaynağı ve zamanı tahmin edilemeyen şekilde internet üzerinde ifşa olmuş
kullanıcı e-posta adresleri ve şifrelerinin, veri sorumlusunun internet sitesinin giriş
ekranında, robot bir uygulama vasıtasıyla denenmesi şeklinde gerçekleştiği,
• İhlalin, veri sorumlusunun bilgi güvenliği ekibi tarafından, olayın gerçekleştiği
gecenin sabahı, mesai başlangıcında yapılan rutin kontroller sırasında tespit edildiği,
müteakiben vaka hakkında detaylı araştırma başlatıldığı,
• İhlalden etkilenen kişi ve kayıt sayısının 832 olduğu,
• İhlalle ilişkili 832 hesabın kullanıcısına e-posta aracılığıyla bildirimde bulunulduğu,
bildirimlerin, olaya ilişkin inceleme ve tespitler tamamlandıktan sonra derhal yapıldığı,
• İhlale konu olan platformun işleyişi kapsamında, giriş yapmak isteyen kullanıcıların
e-posta ve şifrelerini girerek ilk olarak ana ekrana, bu ana ekranı geçtikten sonra da
üyelik hesaplarının bulunduğu ekranlara ulaşabildiği
ifadelerine yer verilmiştir.
Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun
17/09/2020 tarih ve 2020/715 sayılı Kararı ile;
• Veri sorumlusu tarafından her ne kadar bahsi geçen e-posta adreslerinin ve şifrelerinin
370
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
internet sitesi üzerinden ele geçirilmediği ve ihlalden etkilenen herhangi bir kimlik,
iletişim veya müşteri işlem bilgisinin bulunmadığı belirtilse de ilgili kişilerin
hesaplarına yetkisiz kişilerce erişimde bulunulduğu, kişisel verilerin gizliliğinin
bozulduğu ve söz konusu durumun da veri ihlali oluşturduğu,
• Veri sorumlusunun aynı IP adresinden başarısız oturum açma girişim sayısının
veri ihlalinden sonra sınırlandırıldığı, bahsi geçen sınırlandırma tedbirini önceden
almış olması halinde internet ortamında sıkça rastlanan saldırı neticesinde ihlalin
gerçekleşmesinin önlenebileceği ya da ihlalin etkisinin azaltılabileceği, bunun da
veri sorumlusunun veri ihlali öncesinde veri güvenliğini sağlamaya yönelik alması
gereken teknik tedbirleri yeterli ve gerekli düzeyde almadığının göstergesi olduğu,
• İhlalden 832 kişiye ait e-posta adresi ve şifre bilgilerinin etkilenmiş olduğunun
beyan edildiği,
• Veri sorumlusu tarafından kullanıcıların belirli zaman aralıklarında şifrelerini
değiştirmelerinin sağlanmadığı,
• “Web uygulaması güvenlik duvarı” [WAF (Web Application Firewall)] üzerinde
aynı IP ile başarılı oturum açma işleminin engellenmesi kural tanımının veri ihlali
gerçekleşmeden önce alınması gerekirken veri ihlalinin gerçekleşmesinden sonra
alındığı,
• İhlale konu olayda ilgili kişiler önemli bir zarara uğramamış olsa da bahsi geçen
internet sitesinin kullanım düzeyi ve içerisinde yer alan kişisel veriler düşünüldüğünde
veri sorumlusunun ilgili tedbirleri almamasının ihlal sonucunda potansiyel tehdit
açısından ciddi bir risk taşıdığı değerlendirmelerinden hareketle; 6698 sayılı Kişisel
Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrası
çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri
almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun
kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 nci
maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 165.000 TL idari para cezası
uygulanmasına,
• İhlalin 17.12.2019 tarihinde gerçekleştiği, 17.12.2019 tarihinde tespit edildiği ve
20.12.2019 tarihinde Kurumumuza bildirildiği dikkate alındığında Kanunun 12 inci
maddesinin (5) numaralı fıkrası kapsamında Kurulun 24/01/2019 tarih ve 2019/10
sayılı Kararı ile belirlenen veri ihlalinin öğrenilmesinden itibaren başlayan 72 saatlik
süre içerisinde veri sorumlusunun bildirimde bulunduğu, öte yandan veri sorumlusu
tarafından ilgili kişilere bildirim yapıldığı
dikkate alındığında, veri sorumlusu hakkında Kanunun 12 nci maddesinin (5) numaralı
fıkrası kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.
371
KİŞİSEL VERİLERİ KORUMA KURUMU
1.3.77 “Bir Bankanın veri ihlal bildirimi hakkında” Kişisel Verileri Koruma
Kurulunun 29.09.2020 tarih ve 2020/744 sayılı Karar Özeti
Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;
• Veri ihlalinin, Bankanın Veri Sızıntısı ekibi tarafından Teftiş Kurulu Başkanlığı’na
iletilen bildirime istinaden soruşturma çalışmalarına başlanılarak tespit edildiği,
• Çalışanın veri sorumlusu nezdinde kullandığı e-posta adresine gelen ve ilgili adresten
iletilen e-postalara ilişkin kayıtların incelenmesi neticesinde çalışanın 346 müşteriye
ait bilgileri bir word dokümanına işlediği ve söz konusu dokümanı e-posta ile bir
yatırım firmasında çalıştığını ve arkadaşı olduğunu iddia ettiği 3. kişiye gönderdiği,
• Söz konusu müşterilerin hepsinin bir yatırım şirketine para transferlerinin bulunduğu,
• İhlalden etkilenen kişisel veri kategorilerinin kimlik, iletişim, müşteri işlem ve
finans verileri olduğu,
• Verileri paylaşılan müşterilerin ihlale sebebiyet veren çalışanın ilişkili olduğu şubenin
müşterileri olmadığı, bu nedenle çalışanın verileri toplaması ve paylaşmasının
mesnedinin bulunmadığı
ifadelerine yer verilmiştir.
Veri ihlal bildiriminin Kurumumuzun yetki ve görev alanı çerçevesinde incelenmesi
neticesinde; Kişisel Verileri Koruma Kurulunun 29/09/2020 tarih ve 2020/744 sayılı
Kararı ile,
• İhlalden 346 Banka müşterisinin şube no, hesap no, ad-soyadı, cep telefonu
numarası ve bu müşterilerin Bankadaki hesaplarından bir yatırım firması hesabına
gönderdikleri yatırım işlemi tutar bilgilerinin etkilendiği,
• İhlal ile ilgili olan personelin veri ihlalinin gerçekleşmesinden 1 seneyi aşkın süre önce
09.10.2018 tarihinde “Kişisel Verilerin Korunması Kanunu” eğitimini tamamlamış
olmasına rağmen, bahse konu eğitimden sonra bizzat ihlali gerçekleştirmiş olmasının
verilen eğitimin yeterli ve etkin olmadığı hususunda şüphe oluşturduğu,
• Banka dışına giden e-postalara ilişkin Veri Sızıntısı Tespit/Önleme Sisteminin
mevcut olduğunun belirtilmesine rağmen söz konusu ihlale neden olan e-postanın
DLP sistemleri tarafından engellenmemesi ve ihlale sebep olan çalışanın kişisel
verilerin aktarımı gerçekleştirilebildiği dikkate alındığında, Kişisel Veri Güvenliği
Rehberi (Teknik ve İdari Tedbirler)’nde “Mevcut Risk ve Tehditlerin Belirlenmesi”
başlığı altında yer alan “Kişisel verilerin güvenliğinin sağlanması için öncelikle veri
sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin
korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve
gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek
buna uygun tedbirlerin alınması gerekmektedir. Bu riskler belirlenirken; - Kişisel
verilerin özel nitelikli kişisel veri olup olmadığı, - Mahiyeti gereği hangi derecede
gizlilik seviyesi gerektirdiği, - Güvenlik ihlali halinde ilgili kişi bakımından ortaya
372
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
çıkabilecek zararın niteliği ve niceliği dikkate alınmalıdır. Bu risklerin tanımlanması
ve önceliğinin belirlenmesinden sonra; söz konusu risklerin azaltılması ya da ortadan
kaldırılmasına yönelik kontrol ve çözüm alternatifleri; maliyet, uygulanabilirlik ve
yararlılık ilkeleri doğrultusunda değerlendirilmeli, gerekli teknik ve idari tedbirler
planlanarak uygulamaya konulmalıdır.”, ifadeleri uyarınca yetkisiz olarak kişisel
veri aktarımı önleme açısından veri sorumlusunun almış olduğu tedbirlerin yetersiz
kaldığı,
• Banka tarafından alınan idari ve teknik tedbirlere rağmen Banka personelinin 346
müşteriye ait kişisel verileri, işlenme amacı dışında üçüncü taraflara iletebildiği ve
bu durumun, Kişisel Verileri Koruma Kurulu’nun 31/05/2018 tarih ve 2018/63 sayılı
ilke kararında “…Bir veri sorumlusu nezdinde bulundukları pozisyon veya görev
itibariyle kişisel verilere erişme yetkisi olanlar tarafından, yetkileri aşmak ve/veya
yetkilerini kötüye kullanmak suretiyle, kişisel amaçlara veya nedenlere bağlı olarak
işleme amacı dışında söz konusu kişisel verilerin işlenmesi ve/veya bu verilerin
üçüncü kişilerle paylaşılması 6698 sayılı Kişisel Verilerin Korunması Kanununun
(Kanun) 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil edeceğinden, bu
kapsamdaki eylemlerin önlenmesi amacıyla veri sorumlularınca uygun güvenlik
düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirin alınması
gerektiği…” ifadelerine aykırı olarak veri güvenliğini sağlamaya yönelik veri
sorumlusunun almış olduğu teknik ve idari tedbirlerin yetersiz kaldığının göstergesi
olduğu
dikkate alındığında, Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri
güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu
hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu
da göz önünde bulundurularak Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b)
bendi kapsamında 225.000 TL,
• İlgili kişilere gerekli bildirimlerin yapıldığı ve söz konusu bildirim örneklerinin
tarafımıza gönderildiği,
• Ancak, ihlalin 31.10.2019 tarihinde gerçekleştiği ve Bankanın Teknoloji Veri
Sızıntısı ekibi tarafından 04.11.2019 tarihinde Teftiş Kurulu Başkanlığı’na iletildiği,
veri sorumlusunun Kurumumuza bildirimi 06.12.2019 tarihinde gerçekleştirdiği
dikkate alındığında Kurul’un 24.01.2019 tarih ve 2019/10 sayılı Kararı ile belirlenen
veri ihlalinin öğrenilmesinden itibaren başlayan 72 saatlik süre içerisinde bildirim
koşulunun sağlanmadığı
dikkate alındığında, Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en
kısa sürede” (24.01.2019 tarih ve 2019/10 sayılı Kurul kararında belirtilen 72 saatlik
süre içerisinde) bildirimde bulunma yükümlülüğüne aykırı hareket etmesi nedeniyle
veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi
uyarınca 50.000 TL olmak üzere toplam 275.000 TL idari para cezası uygulanmasına
karar verilmiştir.
373
KİŞİSEL VERİLERİ KORUMA KURUMU
1.3.78 İlgili kişinin veri sorumlusu ile abonelik sözleşmesi kurma amacıyla
gerçekleştirdiği telefon görüşmesi kayıtlarına erişim talebi” hakkında Kişisel
Verileri Koruma Kurulunun 29/09/2020 tarihli ve 2020/746 sayılı Karar Özeti
Kuruma intikal ettirilen şikâyette özetle, hizmet alımı esnasında yaşadığı ihtilaf nedeniyle
ilgili kişinin veri sorumlusuna ait kayıtlı elektronik posta (KEP) adresi üzerinden
veri sorumlusu ile yapılan görüşmeye ait ses kayıtlarının talebine ilişkin başvuru
gerçekleştirdiği, 25.08.2011 tarihli ve 28036 sayılı Resmi Gazetede yayımlanan Kayıtlı
Elektronik Posta Sistemine İlişkin Usul ve Esaslar Hakkında Yönetmeliğin 12 nci
maddesinin ikinci fıkrası uyarınca iletinin okunduğunun kabul edildiği tarihten itibaren
otuz gün içerisinde kendisine cevap verilmediği, bunun üzerine müşteri hizmetleri ile
görüştüğü, görüşmede sözleşmenin (ses kayıtlarının) bir örneğinin tarafına verilmesi
gerektiği ancak verilmediğini, bu verilerin ilgili kişiye ait kişisel veriler olduğunu, veri
sorumlusunun hangi tarihte kaç kere aradığına dair kayıtlarının da tutulduğunu, ayrıca,
bunların da kişisel veri niteliği taşıdığını, bu verileri bilmeye hakkı olduğunu belirterek
bu sebeple, tarafına iletilmesini talep ettiği ancak verilmediği, müşteri hizmetleri ile
yapılan görüşmede Cumhuriyet Savcılığına başvurulması gerektiği ve söz konusu kişisel
verilerin kendisine verilemeyeceğinin belirtildiği ifade edilerek, konunun 6698 sayılı
Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında incelenmesi talep edilmiştir.
Başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan
cevabi yazıda özetle;
• İlgili kişinin başvurusunu yaptığı KEP adresinin kişisel verilere ilişkin başvuruların
yapılması amacıyla tahsis edilmiş bir KEP adresi olmadığı, kişisel verilerle ilgili
talep ve soruların ana ortaklığın KEP adresine veya kendilerine ait https://www.......
net/tr/gizlilik-ve-guvenlik linkinden iletilebileceği,
• Veri sorumlusu ve ilgili kişi arasında abonelik sözleşmesi kurulduğu, ilgili kişiye
ait kişisel verilerin abonelik sözleşmesinin kurulmasıyla elde edildiği, abonelere
ait kişisel verilerin abonelik ilişkisinin yanı sıra sunulan hizmetler kapsamında
abonelik sözleşmesi, bayiler ve sair yüz yüze kanallar, çağrı merkezi, web sitesi,
mobil uygulamalar, kısa mesaj, elektronik posta, sesli yanıt sistemi kanallarıyla elde
edildiği,
• İlgili kişiye ait kişisel verilerin Kanunun 5 inci maddesinin ikinci fıkrasının (c) bendi
kapsamında işlendiği,
• Müşteri Hizmetleri ile abonelerin yapmış olduğu görüşmelerin ses kayıtlarının
müşterilere iletilmesi durumunda müşteriler tarafından farklı amaçlarla kullanıldığı,
sosyal medyada yayımlandığı, soruşturmalar kapsamında ve adli makamlara
üzerinde tahrifat yapılarak iletilmesi gibi güvenlik risklerinin oluşabileceği, müşteri
hizmetleri ile yapılan görüşmelerin ses kayıtlarının görüşmeyi gerçekleştiren
müşteri hizmetleri çalışanının da kişisel verileri içerdiği düşünüldüğünde söz konusu
kayıtların ilgili kişilere iletilmesinin bu kişilerin hakkını da zedeleyebilecek ve bu
kişiyi ifşa edebilecek şekilde kullanılması riskini de doğuracağının değerlendirildiği,
374
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
• Somut olayda ilgili kişinin müşteri hizmetleri ile gerçekleştirdiği görüşmeleri yanlış
anlaması nedeniyle bir kampanyaya taahhüt vererek sözleşmenin kurulmuş olduğunu
zannettiği ancak, esasen kurulmadığının kendisine daha sonra yapılan görüşmelerde
izah edildiği, sonuç olarak aradaki yanlış anlamanın giderilerek ilgili kişinin veri
sorumlusunca sunulan … Kampanyası’na kendi isteği ile tekrar taahhüt verdiği ve
hâlihazırda hizmet almaya devam ettiği,
• Veri sorumlusunun Kanun gereğince uygun güvenlik düzeyini temin etmeye yönelik
gerekli her türlü idari ve teknik tedbiri alma yükümlülüğünün bulunduğu, bununla
birlikte, veri sorumlusunun yükümlülüklerine uygun olarak ticari faaliyetlerini
devam ettirme yönündeki genel prensibi uyarınca müşteri hizmetleri ile abonelerin
yapmış olduğu görüşmelerin (ses kayıtları) sadece yetkili adli ve idari merciler
tarafından yöneltilen yasal talepler çerçevesinde yetkili merciler ile paylaşıldığı
ifade edilmiştir.
Söz konusu iddiaların incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun
29/09/2020 tarih ve 2020/746 sayılı Kararında;
• Kişisel verilerin işlenme şartlarının düzenlendiği Kanunun 5 inci maddesinin
(1) numaralı fıkrasında; kişisel verilerin ilgili kişinin açık rızası olmaksızın
işlenemeyeceğinin, (2) numaralı fıkrasında ise kişisel verilerin kanunlarda açıkça
öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan
veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının
hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin
kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin
taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki
yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi
tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması
için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar
vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin
zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası
aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun hükme bağlandığı,
• 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanunun “Amaç ve
Kapsam” başlıklı 1 inci maddesinin ikinci fıkrasında elektronik iletişim araçlarıyla
yapılan sözleşmelerin 6563 sayılı Kanun kapsamında olduğunun ifade edildiği,
Avrupa Birliği Elektronik Ticaret Direktifi’nde olduğu gibi 6563 sayılı Kanunda
da elektronik sözleşmenin tanımının yapılmadığı, ancak, “Tanımlar” başlıklı 2
nci maddesinin birinci fıkrasının (c) bendinde, ticari elektronik iletinin, “Telefon,
çağrı merkezleri, faks, otomatik arama makineleri, akıllı ses kaydedici sistemler,
elektronik posta, kısa mesaj hizmeti gibi vasıtalar kullanılarak elektronik ortamda
gerçekleştirilen ve ticari amaçlarla gönderilen veri, ses ve görüntü içerikli iletileri”
kapsadığı, bu doğrultuda, 6563 sayılı Kanunun 2 nci maddesinde yer alan ticarî
elektronik ileti tanımından hareketle, telefon aracılığıyla yapılan sözleşmelerin 6563
sayılı Kanun kapsamında elektronik sözleşme olarak kabul edildiğinin anlaşıldığı,
375
KİŞİSEL VERİLERİ KORUMA KURUMU
dolayısıyla, veri sorumlusu ve ilgili kişinin telefon aracılığıyla sözleşme kurmaya
yönelik yaptıkları görüşmede Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c)
bendinde yer alan hüküm çerçevesinde kişisel verilerin işlenebileceği,
• 2010 yılında 5982 sayılı Kanunla Anayasanın 20 nci maddesine eklenen fıkra ile
herkesin kendisiyle ilgili kişisel verilerin korunmasını isteme hakkının anayasal
bir hak olarak teminat altına alındığı, bu bağlamda, kişinin kendisiyle ilgili kişisel
veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya
silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını
öğrenme hakkı hükme bağlanırken, kişisel verilerin korunmasına ilişkin usul ve
esasların kanunla düzenleneceği,
• Diğer taraftan, Kanunun “İlgili Kişinin Hakları” başlıklı 11 inci maddesinde,
“(1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp
kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini
isteme,
e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok
edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü
kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi
suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde
zararın giderilmesini talep etme, haklarına sahiptir.” hükümlerine yer verildiği,
• Bu doğrultuda, Kanunun “İlgili Kişinin Hakları” başlıklı 11 inci maddesinin birinci
fıkrasının (b) bendi hükmü kapsamında ilgili kişinin, kendisiyle ilgili kişisel veriler
işlenmişse buna ilişkin bilgi talep etme hakkını, söz konusu veriye erişim hakkını da
kapsadığı ve erişim hakkının, bilgi talep etme hakkını tamamlayarak ilgili kişinin,
kişisel verileri üzerindeki haklarını kullanabilmesi için, kişisel verilerinin ne şekilde
işlendiğine dair tam olarak bilgi sahibi olmasına imkân sağlaması gerektiği,
• Ancak bu hakkın, veri sorumlusunun veri güvenliğine ilişkin yükümlülüklerinin
de dikkate alınması suretiyle, işlenen kişisel verilerin, teknik/fiziki imkânların el
verdiği ölçüde ve verinin muhtevasına/içeriğine makul bir şekilde ulaşılabilmesine
imkân tanınarak kullanılması gerektiği,
376
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
• İlgili kişinin erişim hakkı ile veri sorumlusunun konuşma kayıtlarının kaydedildiği
kayıt ortamının kendisinin ancak yasal makamlar tarafından talep edildiği takdirde
teslim edilebileceği yönündeki makul kabul edilebilecek açıklaması arasındaki
dengenin talep edilen ses kayıtlarına ilişkin kayıt ortamlarının doğrudan ilgili kişiye
teslim edilmeden dökümlerine erişim hakkı sağlanarak gerçekleştirilebileceği,
• Diğer taraftan, Kanunun “Veri Sorumlusuna Başvuru” başlıklı 13 üncü maddesinin
ikinci fıkrası gereğince, veri sorumlusunun ilgili kişinin başvurusunda yer alan
talepleri, talebin niteliğine göre ve en geç otuz gün içerisinde sonuçlandırması
gerektiği, öte yandan, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında
Tebliğin (Tebliğ) 5 inci maddesinin (1) numaralı fıkrasında, “İlgili kişi, Kanunun 11
inci maddesinde belirtilen hakları kapsamında taleplerini, yazılı olarak veya kayıtlı
elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi
tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde
kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına
yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna iletir.”
hükmüne yer verildiği, ayrıca, Tebliğin 6 ncı maddesinin (2) numaralı fıkrasında, veri
sorumlusunun başvuruyu kabul edeceği ya da gerekçesini açıklayarak reddedeceği,
üçüncü fıkrasında ise, cevabın ilgili kişiye yazılı olarak veya elektronik ortamda
bildirileceği değerlendirmelerinden hareketle;
• Kanunun 11 inci maddesinin (1) numaralı fıkrasının (b) bendi hükmü kapsamında
ilgili kişinin, kendisiyle ilgili kişisel veriler işlenmişse buna ilişkin bilgi talep etme
hakkının, söz konusu veriye erişim hakkını da kapsadığına ve erişim hakkının, bilgi
talep etme hakkını tamamlayarak ilgili kişinin, kişisel verileri üzerindeki haklarını
kullanabilmesi için, kişisel verilerinin ne şekilde işlendiğine dair tam olarak bilgi sahibi
olmasına imkân sağladığı dikkate alındığında söz konusu dökümün, ilgili kişi dışında
başkalarının kişisel verileri varsa bunlar çıkarılmak veya maskelenmek gibi önlemler
alınarak ilgili kişiye gönderilmesi yönünde veri sorumlusunun talimatlandırılmasına,
• İlgili kişilerin Kanun kapsamındaki başvurularına Kanunun ilgili hükümleri ve Veri
Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ hükümleri uyarınca süresi
içinde bir cevap verilmesi yönünde veri sorumlusunun talimatlandırılmasına,
• İlgili kişilerin Kanun kapsamındaki başvurularını ana ortaklığın KEP adresi yerine
veri sorumlusuna ait KEP adresi üzerinden iletebilmeleri için kendi bünyesinde
gerekli düzenlemeleri yapması yönünde veri sorumlusunun talimatlandırılmasına,
karar verilmiştir.
1.3.79 “İlgili kişinin aidat borcu bilgisinin site yönetimi tarafından ev sahibine
iletilmesi” hakkında Kişisel Verileri Koruma Kurulunun 29/09/2020 tarihli ve
2020/755 sayılı Karar Özeti
İlgili kişi tarafından Kuruma intikal ettirilen şikâyet dilekçesinde özetle; kendisine ev
sahibinden, aidatının bazı aylarda eksik, bazı aylarda ise hiç yatırılmadığına dair bir SMS
377
KİŞİSEL VERİLERİ KORUMA KURUMU
iletildiği, bu SMS iletimi hadisesinin kendisine ait kişisel verilerin hukuka aykırı olarak
işlendiğini ortaya koyduğu; ilgili kişinin, kişisel verilerinin site yönetimi tarafından ev
sahibi ile paylaşılmasında hiçbir bilgisi ve rızasının bulunmadığı, bu doğrultuda veri
sorumlusu site yönetimine başvurmak suretiyle 6698 sayılı Kişisel Verilerin Korunması
Kanununun (Kanun) 11 inci maddesinde gösterilen haklarını kullandığı ve işlenen/
aktarılan kişisel verileri ile ilgili olarak tarafına bir aydınlatma yapılıp yapılmadığı
hususlarında bilgi talep ettiği, site yönetiminin ise verdiği yanıtta, ilgili kişinin aidat
ödeme bilgilerinin ev sahibinin talebi doğrultusunda paylaşıldığının belirtildiği fakat
ilgili kişiye aydınlatma yapıldığına veya kendisinden bu hususta açık rıza alındığına dair
bir belge yahut herhangi bir hukuka uygunluk sebebinin de sunulamadığı belirtilerek
veri sorumlusu site yönetimi hakkında idarî para cezası uygulanması talep edilmiştir.
Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun
29/09/2020 tarihli ve 2020/755 sayılı Kararı ile;
• Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesinin (1) numaralı
fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2)
numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle
rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan
kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması
için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili
olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli
olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu
olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi,
kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin
temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru
menfaatleri için veri işlenmesinin zorunlu olması artlarından birinin varlığı halinde
ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu
hükümlerine yer verildiği,
• Öte yandan, 634 sayılı Kat Mülkiyeti Kanunu“Ortak Giderlerin Teminatı” başlığını
hâiz 22 nci maddesinin, “Kat malikinin, 20’nci madde uyarınca payına düşecek
gider ve avans borcundan ve gecikme tazminatından, bağımsız bölümlerin birinde
kira akdine, oturma (sükna) hakkına veya başka bir sebebe dayanarak devamlı bir
şekilde faydalananlar da müştereken ve müteselsilen sorumludur. Ancak, kiracının
sorumluluğu ödemekle yükümlü olduğu kira miktarı ile sınırlı olup, yaptığı ödeme
kira borcundan düşülür…” hükmünü amir olduğu,
• Söz konusu hüküm uyarınca ev sahibi ile kiracının ortak giderler ve gecikme
tazminatından müştereken ve müteselsilen sorumlu olduğu dikkate alındığında, ev
sahibinin, kiracısının oturduğu dairenin aidat gibi apartmanın ortak giderlerinden
payına düşen kısımlarını ödeyip ödemediğinden haberdar olmasında gerek ev
sahibi gerek site yönetiminin menfaati bulunduğu, dolayısıyla söz konusu veri
işleme faaliyetinin; 6698 sayılı Kanunun 5 inci maddesinin (2) numaralı fıkrasının
(e) bendi kapsamında bir hakkın tesisi, kullanılması veya korunması çerçevesinde
378
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
gerçekleştirildiği,
• Bu itibarla veri sorumlusunun ilgili kişiye verdiği cevapta da ev sahibinin isteği
üzerine ilgili kişinin borç bilgilerinin ev sahibi ile paylaşıldığının ifade edildiği
dikkate alındığında ilgili kişiye veri sorumlusu tarafından verilen yanıtın, ilgili kişinin
iddialarına konu hususları yeterli derecede açıklayıcı olduğu değerlendirmelerinden
hareketle;
• İlgili kişinin kişisel verisi niteliğinde olan aidat borç bilgilerinin, veri sorumlusu
tarafından ev sahibinin isteği üzerine paylaşıldığı, bu paylaşımın 634 sayılı Kat
Mülkiyeti Kanununun 22 nci maddesinde yer alan hüküm uyarınca gerçekleştirildiği
dikkate alınarak, veri sorumlusu site yönetimi tarafından ilgili kişiye iletilen cevap
metninde yer verilen açıklamaların ilgili kişinin iddiasına konu hususları açıklayıcı
nitelikte olduğuna, bu çerçevede, söz konusu şikâyet hakkında Kanun kapsamında
yapılacak bir işlem bulunmadığına karar verilmiştir.
1.3.80 Bir Banka Tarafından Kurul Kararı ile Verilen Talimatın Gereğinin Yerine
Getirilmemesi Hakkında Kişisel Verileri Koruma Kurulu’nun 08/10/2020 Tarihli
ve 2020/765 Sayılı Karar Özeti
İlgili kişinin 6698 sayılı Kişisel Verilerin Korunması Kanununun 11’inci maddesinde
belirtilen hakları kapsamında veri sorumlusu Banka’ya yaptığı başvuruya Kanun’da
düzenlenen otuz günlük süre içerisinde cevap verilmediği ve Bankanın internet
sayfasında yayımlanan aydınlatma metninin de Kurum tarafından yayımlanan tebliğe
uygun olmadığı, metinde kişisel verilerin işlenmesindeki sebeplerin belirtilmediği,
ayrıca kişisel verilerin işlenme amaçları için genel ifadeler kullanıldığına ilişkin Kişisel
Verileri Koruma Kuruluna ilettiği şikayet dilekçesi ile ilgili olarak savunması alınan
veri sorumlusu Bankaya “internet sayfasında yer alan Kişisel Verilerin Korunması
Kişisel Verileriniz Koruma Altında!” başlıklı metnin Aydınlatma Yükümlülüğünün
Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine uygun
hazırlanmaması nedeniyle gözden geçirilmesi ve Tebliğ hükümlerine uygun hale
getirilmesini teminen kişisel verilerin hangi kişisel veri işleme şartlarına dayanılarak
işlendiğine metinde ayrıntılı şekilde yer verilmesi, bahse konu metnin aydınlatma yerine
geçmeyeceği, aydınlatmanın kişisel verilerin elde edilmesi sırasında ve faaliyet bazlı
olarak yerine getirilmesi gerektiği hususlarında gerekli düzenlemelerin yapılması”
gerektiği yönündeki talimatı içerir 06.02.2020 tarih ve 2020/100 sayılı Kurul Kararı
tebliğ edilmiş olup, bu çerçevede veri sorumlusundan alınan bilgi ve belgelerin birlikte
incelenmesinden:
• Veri sorumlusu tarafından aydınlatma metnine, işlenen kişisel verilerin işleme
amaçları ile ilgili olarak “Bankamızdan alacağınız ürün ve hizmetler nedeni
ile kuracağınız ilişki çerçevesinde; Kişisel verileriniz aşağıda belirtilen hukuki
sebeplere dayalı olarak işlenmektedir. Kanun’un: 5/2 (a) maddesinde düzenlenen
kanunlarda açıkça öngörülmesi; 5/2 (c) maddesinde düzenlenen Bankamızla
379
KİŞİSEL VERİLERİ KORUMA KURUMU
imzalanan sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması
kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; 5/2
(ç) maddesinde düzenlenen Bankamızın hukuki yükümlülüğünü yerine getirebilmesi
için zorunlu olması; 5/2 (e) maddesinde düzenlenen bir hakkın tesisi, kullanılması
veya korunması için veri işlemenin zorunlu olması; 5/2 (f) maddesinde düzenlenen
sizlerin temel hak ve özgürlüklerinize zarar vermemek kaydıyla Bankamızın meşru
menfaatleri için veri işlenmesinin zorunlu olması; son olarak özel nitelikli kişisel
verileriniz ise; de 6/2 maddesine göre ancak açık rızanızla işlenebilmektedir.”
şeklindeki paragrafın eklendiği,
• Aydınlatma metninde veri sorumlusu tarafından işlenen kişisel verilere (kategorik
olarak) ayrıca yer verilmediği gibi metinde kişisel verilerin hangi kişisel veri işleme
şartına dayanılarak işlendiğine ilişkin de ayrıntılı bir düzenleme yapılmadığı; yalnızca
Kanunun 5’inci maddesinin (2) numaralı fıkrasının (a), (c), (ç), (e) ve (f) bentleri ile
Kanunun 6’ncı maddesinin (2) numaralı fıkrasındaki hükümlerin sıralandığı,
• Aydınlatma metninde işleme amaçlarında bazı eklemeler yapılması ve başvuru
sahiplerinin veri sorumlusuna başvurularını iletme yollarının yeniden düzenlenmesi
dışında genel itibariyle aydınlatma metninin Tebliğe uygun hale getirilmesi amacıyla
talimatta yer verilen ilgili değişikliklerin yapılmadığı,
• Ayrıca veri sorumlusu tarafından savunma metninde; 5411 sayılı Bankacılık
Kanununda belirlenmiş olan ve Bankacılık Düzenleme ve Denetleme Kurumu
tarafından ayrıca izin alınmış olan faaliyetleri de kapsayacak şekilde kişisel
verilerin işlenme amacını belirten tek bir aydınlatma metni ile ilgili kişilerin, kişisel
verilerin elde edilmesi anında bilgilendirildiği ancak Bankanın yürüttüğü sosyal
sorumluluk projeleri ve kurumsal marka çalışmaları ile reklam faaliyetleri gibi diğer
faaliyetlerinde ise müşterileri dışındaki gerçek kişiler hakkında gerçekleştirdiği veri
işleme faaliyetlerinde özel ve ayrı aydınlatma metinleri kullanıldığı ifadelerine yer
verilmekle birlikte bu hususta Kuruma tevsik edici herhangi bir belge sunulmadığı,
• Bu kapsamda ilgili Karardaki “… aydınlatmanın kişisel verilerin elde edilmesi
sırasında ve faaliyet bazlı olarak yerine getirilmesi gerektiği…” talimatına ilişkin
olarak veri sorumlusunun internet sayfasında kredi kartı başvurusu yapılmak
istenildiğinde “Kişisel verilerimin neden ve nerelerden toplandığı, nasıl kullanıldığı
ve diğer haklarımla ilgili olarak Kişisel Verilerin Korunması Kanunu uyarınca
yapılan bilgilendirmeyi okudum.” ifadesinin yer aldığı ve bilgilendirme linkinin
seçilmesi halinde ise yönlendirilen sayfada “Kişisel Verilerin Korunması” başlıklı
bir aydınlatma metninin yer aldığı, söz konusu aydınlatma metninin Bankanın
anasayfasında Gizlilik Politikası sekmesi atında da yer alan genel aydınlatma metni
olduğu ve “Kredi Kartı Başvurusu” sırasında gerçekleştirilen işleme faaliyetine
özgülenmemiş, genel nitelikli bir aydınlatma metni olduğu,
• Ek olarak “İhtiyaç Kredisi Başvurusu” nda bulunulduğunda da yine aynı genel
aydınlatma metni ile karşılaşılmış olup, kredi kartı başvurusu ve ihtiyaç kredisi
başvurusu sırasında bu başvurulara özgü, sadece o işlem kapsamında işlenen kişisel
380
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
verilerin işleme amaçlarına ve işlemenin dayandığı hukuki sebep ve diğer unsurlarına
yer verilmeyen aksine genel nitelikli bir metin ile aydınlatma yapıldığı,
• Söz konusu aydınlatma metinlerinde de veri sorumlusu tarafından işlenen kişisel
verilerin hangi kişisel veri işleme şartına dayanılarak işlendiğine ilişkin ayrıntılı
bilgiye yer verilmemesi dolayısıyla Tebliğin “Usul ve esaslar” başlıklı 5’inci
maddesinin (1) numaralı fıkrasının (h) bendinde yer alan hükme aykırılığın söz
konusu olduğu
değerlendirilmiş olup, mevcut durum 6698 sayılı Kişisel Verilerin Korunması Kanunu
ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar
Hakkında Tebliğ hükümleri çerçevesinde değerlendirildiğinde;
• Veri sorumlusunun aydınlatma metninde Aydınlatma Yükümlülüğünün Yerine
Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine uygun
olarak kişisel verilerin hangi kişisel veri işleme şartına dayanılarak işlendiğine ilişkin
ayrıntılı bilgiye yer verilmediği, yalnızca Kanunun 5’inci ve 6’ncı maddelerinin
ilgili fıkra ve bentlerine yer verilmesiyle yetinildiği,
• Aydınlatmanın kişisel verilerin elde edilmesi sırasında ve faaliyet bazlı olarak yerine
getirilmesi gerektiği talimatına ilişkin olarak tevsik edici belge sunulmamakla
birlikte veri sorumlusunun savunma yazısında; kişisel verilerin işlenme amacını
belirten tek bir aydınlatma metni ile ilgili kişilerin kişisel verilerin elde edilmesi
anında bilgilendirildiği ve veri sorumlusunun müşterileri dışındaki gerçek kişiler
hakkında gerçekleştirdiği veri işleme faaliyetlerinde ise özel ve ayrı aydınlatma
metinleri kullanıldığı ifadelerine yer verilmekle birlikte web sayfasında farklı
bankacılık ürünlerine başvuru yapılması sırasında o faaliyete özgü hazırlanmamış
genel bir aydınlatma metnine yer verildiği ve bu aydınlatma metninin de Tebliğe
uygun olmadığı
dikkate alındığında veri sorumlusu tarafından yayımlanan aydınlatma metninin
Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında
Tebliğ hükümlerine uygun olarak düzenlenmediği ve Kurul Kararı ile verilen talimatın
yerine getirilmeyerek Banka tarafından Kanunun 15’inci maddesinin (5) numaralı
fıkrasına aykırı hareket edildiği kanaatine varıldığından, veri sorumlusu hakkında
Kanunun 18’inci maddesinin (1) numaralı fıkrasının (c) bendi uyarınca 120.000 TL
idari para cezası uygulanmasına
karar verilmiştir.
1.3.81 Bir Banka Tarafından Kurul Kararı ile Verilen Talimatların Gereğinin
Yerine Getirilmemesi Hakkında Kişisel Verileri Koruma Kurulu’nun 08/10/2020
Tarihli ve 2020/766 Sayılı Karar Özeti
İlgili kişinin 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 11’inci
maddesinde belirtilen hakları kapsamında yaptığı başvurusuna veri sorumlusu Banka
381
KİŞİSEL VERİLERİ KORUMA KURUMU
tarafından verilen cevabı yetersiz bulduğuna; internet sayfasında aydınlatma metni
yerine veri sorumlusunun Kişisel Verilerin İşlenmesi ve Korunması Politikasına link
verdiğine, yirmi sayfalık söz konusu dokümanda ilgili kısımları bulabilmek için detaylı
bir inceleme yapılması gerektiğine, aydınlatma yükümlülüğüne ilişkin Tebliğin birçok
kuralına uyulmadığına, kişisel verilerin aktarıldığı kişiler listelenirken amaçlardan
örnekler verildiğine ve bunlara benzer başka amaçların da olduğu izleniminin
edinildiğine, kişisel verilerin işlenmelerindeki hukuki sebeplerden de bahsedilmediğine
ilişkin Kişisel Verileri Koruma Kuruluna ilettiği şikayet dilekçesi ile ilgili olarak
savunması alınan veri sorumlusu Bankaya “aydınlatma metninde, gündeme gelmesi
muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran
ifadeler kullanılması ve kişisel verilerin Kanunun 5 ve 6’ncı maddelerinde belirtilen
işleme şartlarından hangisine dayanılarak işlendiğinin açıkça belirtilmemesi nedeniyle
söz konusu metnin, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak
Usul ve Esaslar Hakkında Tebliğin 5’inci maddesinin birinci fıkrasının (g) ve (h)
bentlerinde yer verilen hükümlere uygun olmadığı; söz konusu internet sitesinde yer
alan aydınlatma metninin gözden geçirilerek “Aydınlatma Yükümlülüğünün Yerine
Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ”in hükümlerine uygun hale
getirilmesini teminen veri sorumlusu tarafından işlenen kişisel verilerin hangi kişisel
veri işleme şartlarına dayanılarak işlendiğine ayrıntılı şekilde yer verilmesi, gizlilik
politikası metninin aydınlatma yerine geçmeyeceği, aydınlatmanın kişisel verilerin elde
edilmesi sırasında ve faaliyet bazlı olarak yerine getirilmesi gerektiği hususlarında
gerekli düzenlemelerin yapılması” gerektiği yönündeki talimatı içerir 06.02.2020 tarih
ve 2020/98 sayılı Kurul Kararı tebliğ edilmiş olup, tebliğ edilen Kurul kararı sonrası
veri sorumlusundan alınan bilgi ve belgelerin birlikte incelenmesinden:
• Veri sorumlusu tarafından Kurul Kararı tebligatı sonrası Kuruma gönderilen cevap
metni ekinde yer alan aydınlatma metni örneğinde, taraflarına Karar Tebligatı
yapılmadan önce aydınlatma amacıyla kullandığı Gizlilik Politikası metninden farklı
olarak yeni bir aydınlatma metni hazırlandığı, bu aydınlatma metninde “Aydınlatma
Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında
Tebliğ”e uygun olarak hangi kişisel verilerin işlendiğine kategorik bazda ve ayrıntılı
bir şekilde yer verildiği, kişisel verilerin hangi ortamlarda ve hangi şekilde elde
edildiği, neden işlendiği, aktarıldığı, hangi hukuki gerekçelerle hangi kurum ve
kişilere aktarım yapıldığı ve verilerin ne kadar süre ile işlenip, saklandığına ilişkin
net, anlaşılır ifadelere yer verilerek bilgi paylaşımında bulunulduğu,
• Ancak bahsi geçen aydınlatma metninde işlenen kişisel verilerin hangi kişisel veri
işleme şartına dayanılarak işlendiğine dair Tebliğ hükümlerine uygun bir aydınlatma
yapılmadığı,
• “Kişisel verilerinizi Hangi Hukuki Gerekçe ile İşliyoruz?” başlığı altında “6698
sayılı Kanun’un 5 ve 6’ncı maddeleri kapsamında, Bankamız tarafından kişisel
verileriniz aşağıda belirtilen koşulların varlığı halinde işlenmektedir:
-Açık rızanızın bulunması,
382
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
-Kanunlarda veya yönetmelik, tebliğ, idari otorite kararı ve sair ikincil mevzuatta
belirtilmiş hak veya yükümlülüklerimizin yerine getirilmesi,
-Bankamız ile akdettiğiniz sözleşmenin kurulması veya ifasıyla doğrudan
doğruya ilgili olmak kaydıyla veri işlemenin gerekli olması,
-Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu
olması,
-Temel hak ve özgürlüklerinize zarar vermemek kaydıyla Bankamızın meşru
menfaati için veri işlemenin zorunlu olması.
Bununla birlikte, özel nitelikli kişisel verileriniz ancak açık rızanızın bulunması veya
Bankamızın tabi olduğu kanunlarda açıkça öngörülmesi halinde işlenmektedir.”
ifadelerine yer verildiği, veri sorumlusuna tebliğ edilen Karar’da açıkça “… veri
sorumlusu tarafından işlenen kişisel verilerin hangi kişisel veri işleme şartlarına
dayanarak işlediklerine ilişkin ayrıntılı şekilde yer verilmesi, …” talimatı yer aldığı
halde veri sorumlusu tarafından hazırlanan aydınlatma metninin bu husus kapsamında
Tebliğ’e uygun olmadığı,
• Ayrıca veri sorumlusu tarafından Kuruma iletilen cevap metninde Kararda yer alan
“… aydınlatmanın kişisel verilerin elde edilmesi sırasında ve faaliyet bazlı olarak
yerine getirilmesi gerektiği…” talimatına ilişkin herhangi bir ifadeye ve tevsik edici
belgeye yer verilmediği görülmüş olup internet sayfasında yapılan incelemede kredi
kartı başvurusu yapılmak istenildiğinde “HEMEN BAŞVUR” butonu seçildiğinde
yönlendirilen sayfada “Kişisel Verilerin Korunması Kanunu kapsamında
hazırlanan Aydınlatma Metni’ni okudum.” ifadesinin yer aldığı, aydınlatma metni
linki seçildiğinde ise ekranda beliren aydınlatma metninin veri sorumlusunun
anasayfasında “Kişisel Verilerin Korunması” başlığı altında yer alan aydınlatma
metninden farklı olduğu görülmekle birlikte bahsi geçen aydınlatma metninin de
kredi kartı başvurusuna özgü, sadece o işlem kapsamında işlenen kişisel verilere
(kategorik olarak), işleme amaçlarına ve işlemenin dayandığı hukuki sebep ve diğer
unsurlara yer verilmediği aksine genel nitelikli bir aydınlatma metni olduğu, bu
aydınlatma metninde de Bankanın ana sayfasında yer alan aydınlatma metni gibi
veri sorumlusu tarafından işlenen kişisel verilerin hangi kişisel veri işleme şartına
dayanılarak işlendiğine ayrıntılı bir şekilde yer verilmemesi dolayısıyla Tebliğin
“Usul ve esaslar” başlıklı 5’inci maddesinin (1) numaralı fıkrasının (h) bendinde
yer alan hükme aykırı olduğu,
• Ayrıca veri sorumlusunun internet sayfasında konut kredisi başvurusu yapılmak
istenildiğinde ise kredi kartı başvurusunda olduğu gibi bir uygulama ile karşılaşılmayıp
yönlendirilen ilk sayfada sağ üst köşede “Gizlilik” butonunun yer aldığı, bu buton
seçildiği takdirde “Gizlilik Politikası” sayfasına yönlendirildiği, “Kişisel Verilerin
İşlenmesine İlişkin Aydınlatma Metni” sekmesine girildiğinde ise Kurul Kararı
ardından Kurumumuza gönderilen güncellenmiş olan ve ana web sayfasında yer
alan aydınlatma metni ile karşılaşıldığı, dolayısıyla konut kredisi başvurusu için
bu başvuruya özgü, sadece o işlem kapsamında işlenen kişisel verilere (kategorik
olarak), işleme amaçlarına ve işlemenin dayandığı hukuki sebep ve diğer unsurlara
383
KİŞİSEL VERİLERİ KORUMA KURUMU
yer verilmediği aksine genel nitelikli bir aydınlatma metni ile aydınlatma yapıldığı
tespit edilmiş olup, mevcut durum 6698 sayılı Kişisel Verilerin Korunması Kanunu
ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar
Hakkında Tebliğ hükümleri çerçevesinde değerlendirildiğinde;
• Veri sorumlusunun aydınlatma metninde Aydınlatma Yükümlülüğünün Yerine
Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine uygun
olarak kişisel verilerin hangi kişisel veri işleme şartına dayanılarak işlendiğine ilişkin
ayrıntılı bilgiye yer verilmediği, yalnızca Kanunun 5’inci ve 6’ncı maddelerinin
ilgili fıkra ve bentlerine yer verilmesiyle yetinildiği,
• Aydınlatmanın kişisel verilerin elde edilmesi sırasında ve faaliyet bazlı olarak yerine
getirilmesi gerektiği talimatına ilişkin olarak cevap yazısı ile ekinde herhangi bir
ifadeye ve tevsik edici belgeye yer verilmediği ve ayrıca veri sorumlusunun internet
sayfasında çeşitli bankacılık ürünlerine başvuru yapılması sırasında o faaliyete özgü
hazırlanmamış genel bir aydınlatma metnine yer verildiği ve bu metinin de Tebliğe
uygun hazırlanmadığı
dikkate alındığında veri sorumlusu tarafından yayımlanan aydınlatma metninin
Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında
Tebliğ hükümlerine uygun olarak düzenlenmediği, bu çerçevede Kurul Kararı ile verilen
talimatın yerine getirilmeyerek veri sorumlusu tarafından Kanunun 15’inci maddesinin
(5) numaralı fıkrasına aykırı hareket edildiği kanaatine varıldığından, Kanunun 18’inci
maddesinin (1) numaralı fıkrasının (c) bendi uyarınca veri sorumlusu hakkında 120.000
TL idari para cezası uygulanmasına karar verilmiştir.
1.3.82 “İlgili kişinin eski çalışanı olduğu şirketi devralan veri sorumlusu şirket
tarafından kanuna aykırı veri işleme faaliyetinde bulunulması” hakkında Kişisel
Verileri Koruma Kurulunun 08/10/2020 tarihli ve 2020/769 sayılı Karar Özeti
İlgili kişinin Kuruma intikal eden şikayetinde özetle; eski çalışanı olduğu şirketin, başka
bir şirkete bütün borç, ödev ve yükümlülükleri ile devrolduğu ancak kişisel verilerin
elde edilmesi sırasında tarafına herhangi bir aydınlatma yapılmadığı, veri sorumlusu
devralan şirketin internet sitesinde sunulan aydınlatma metninin açık ve belirli
olmayan muğlak ifadeler içerdiği, şahsına ilişkin özlük dosyasında sağlık verilerinin
de bulunduğu ve 6698 sayılı Kişisel Verilerin Korunması Kanununun 6 ncı (Kanun)
maddesi uyarınca bu veri işleme faaliyeti için açık rızasının alınmadığı, öte yandan
Kanunun 11 inci maddesi kapsamındaki haklarına ilişkin başvurusuna karşılık veri
sorumlusunun cevabında yer alan kişisel verileri saklama sürelerine ilişkin 10 yıllık
sürenin geçersiz olduğu ve İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği uyarınca 15
yıl saklanması gerektiği, ayrıca veri sorumlusu tarafından kendisine gönderilen ticari
elektronik iletiler aracılığıyla herhangi bir hukuka uygunluk sebebi olmaksızın kişisel
verilerinin işlendiği iddia edilerek veri sorumlusu hakkında gereğinin yapılması talep
edilmiştir.
384
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun
08/10/2020 tarihli ve 2020/769 sayılı Kararı ile;
• Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin birinci
fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, ikinci
fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını
açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan
kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması
için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili
olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli
olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu
olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi,
kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin
temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru
menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde,
ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu
hükümlerinin yer aldığı,
• Diğer taraftan, Kanunun “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı
6 ncı maddesinin birinci fıkrasında kişilerin ırkı, etnik kökeni, siyasi düşüncesi,
felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya
da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle
ilgili verileri ile biyometrik ve genetik verilerinin özel nitelikli kişisel veri olduğunun
belirtildiği, aynı maddenin ikinci fıkrasında özel nitelikli kişisel verilerin ilgilinin
açık rızası olmaksızın işlenmesinin yasaklandığı, bununla birlikte üçüncü fıkrada
da özel nitelikli kişisel verilerin açık rıza aranmadan işlenebileceği diğerin haller
sayıldığı, buna göre sağlık verilerinin ancak kamu sağlığının korunması, koruyucu
hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri
ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında
bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın
işlenebileceğinin belirtildiği, 4 üncü fıkrada ise özel nitelikli kişisel verilerin
işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şartının
da getirildiği,
• İlgili kişinin kişisel verilerinin elde edilmesi sırasında tarafına herhangi bir
aydınlatma yapılmadığı iddiasına ilişkin olarak veri sorumlusu tarafından verilen
yanıtta veri sorumlusunun ilgili kişilerle hukuki ilişkilerinin sürmekte olduğu
ve/veya doğrudan üçüncü taraflar vasıtasıyla temas etmekte olduğu faaliyetler
bakımından 6698 sayılı Kanun uyarınca aydınlatma ve açık rıza alınmasına ilişkin
yükümlülükler doğrultusunda uyumlaştırmaların gerçekleştirildiği ancak Şirketin
aktif bir hukuki ilişki içerisinde olmadığı, ilgili mevzuatlar kapsamındaki saklama
yükümlülükleri ile sınırlı olarak veri işleme faaliyeti gerçekleştirdiği eski çalışanlar
bakımından aydınlatma yükümlülüğünün gerçekleştirilmesinin pratikte mümkün
olmadığının belirtildiği,
385
KİŞİSEL VERİLERİ KORUMA KURUMU
• Veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen Kanunun 10 uncu
maddesi uyarınca kişisel verilerin elde edilmesi sırasında veri sorumlusu veya
yetkilendirdiği kişinin, ilgili kişilere; veri sorumlusunun ve varsa temsilcisinin
kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere
ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi,
11 inci maddede sayılan diğer hakları konusunda bilgi vermekle yükümlü olduğu,
ilgili kişinin şikayet başvurusu ve veri sorumlusunun cevabi yazısından anlaşıldığı
üzere ilgili kişinin kişisel verilerinin 2014-2015 yıllarında işlendiği, 6698 sayılı
Kişisel Verilerin Korunması Kanununun 07.04.2016 itibariyle yürürlüğe girdiği,
bu çerçevede söz konusu tarihler itibariyle Kanunun yürürlüğe girmemiş olması
sebebiyle kişisel verilerin elde edilmesi sırasında aydınlatma yükümlülüğünün
yerine getirilmesinin de mümkün olmadığı sonucuna varıldığı,
• 4857 sayılı İş Kanununun 75 inci maddesinin “İşveren çalıştırdığı her işçi için bir
özlük dosyası düzenler. İşveren bu dosyada, işçinin kimlik bilgilerinin yanında, bu
Kanun ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve
kayıtları saklamak ve bunları istendiği zaman yetkili memur ve mercilere göstermek
zorundadır.” hükmünü haiz olduğu,
• 5510 sayılı Sosyal Sigortalar Kanununun ‘Prim belgeleri ve işyeri kayıtları’ başlıklı
86 ncı maddesinde “İşveren, işyeri sahipleri; işyeri defter, kayıt ve belgelerini ilgili
olduğu yılı takip eden yıl başından başlamak üzere on yıl süreyle, kamu idareleri
otuz yıl süreyle, tasfiye ve iflâs idaresi memurları ise görevleri süresince, saklamak
ve Kurumun denetim ve kontrol ile görevlendirilen memurlarınca istenilmesi halinde
onbeş gün içinde ibraz etmek zorundadır.” şeklinde düzenlemenin yer aldığı,
• İşverenin çalışanlarının özlük dosyalarını düzenlemesi bakımından veri sorumlusu
sıfatını haiz olduğu, bu kapsamda İş Kanunu ve Sosyal Sigortalar Kanunu
kapsamındaki yükümlülükleri dolayısıyla veri işleme faaliyetinin gerçekleştirildiği,
söz konusu veri işleme faaliyetinin Kanunun 5 inci maddesinin ikinci fıkrasının (a)
bendinde yer alan ‘kanunlarda açıkça öngörülme’ ve aynı fıkranın (ç) bendinde yer
alan ‘veri sorumlusunun hukuki yükümlülüğünün yerine getirilebilmesi için zorunlu
olması’ şartlarına dayanılarak gerçekleştirildiği sonucuna varıldığı,
• İlgili kişinin açık rızası olmaksızın sağlık verilerinin işlenmesine ilişkin olarak;
-Çalışanlara ait sağlık verisi içeren kayıtların kişisel sağlık dosyalarında saklanmakta
olduğu, kişisel sağlık dosyalarının yalnızca sır saklama yükümlülüğü altında bulunan
iş yeri hekiminin erişimi ile sınırlı olarak saklanmakta olduğu ve Şirketin sistemlerinde
kayıtlı olmadığı,
-İşyeri Hekimi ve Diğer Sağlık Personelinin Görev, Yetki, Sorumluluk ve Eğitimleri
Hakkında Yönetmeliğin “İşyeri Hekiminin Yükümlülükleri” başlıklı 11 inci
maddesinde “İşyeri hekimleri, bu Yönetmelikte belirtilen görevlerini yaparken, işin
normal akışını mümkün olduğu kadar aksatmamak ve verimli bir çalışma ortamının
sağlanmasına katkıda bulunmak, işverenin ve işyerinin meslek sırları, ekonomik ve
386
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
ticari durumları hakkındaki bilgiler ile çalışanın kişisel sağlık dosyasındaki bilgileri
gizli tutmakla yükümlüdürler.” hükmü uyarınca iş yeri hekimlerinin sır saklama
yükümlülüğü altında bulunan kişilerden olduğu,
-Aynı Yönetmeliğin “İşyeri Hekimlerinin Görevleri” başlıklı 9 uncu maddesinin ikinci
fıkrasının (c) bendinde yer aldığı üzere iş yeri hekiminin sağlık gözetimi kapsamında
yapılacak işe giriş ve periyodik muayeneler ve tetkikler ile ilgili olarak çalışanları
bilgilendirmek ve onların rızasını alma, çalışanların yapacakları işe uygun olduklarını
belirten işe giriş ve periyodik sağlık muayenesi ile gerekli tetkiklerin sonuçlarını
yönetmelik ekinde verilen örneğe uygun olarak düzenleme ve işyerinde muhafaza etme
görevlerinin bulunduğu,
-Öte yandan Kanunun 6 ncı maddesinin üçüncü fıkrasında sağlık verilerinin ancak kamu
sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin
yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla
sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar
tarafından açık rıza aranmaksızın işlenebileceğinin düzenlendiği,
-Kanunun 6 ncı maddesinin dördüncü fıkrasında ise özel nitelikli kişisel verilerin
işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şartının
bulunduğu, bu kapsamda “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri
Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma
Kurulunun 31/01/2018 tarihli ve 2018/10 sayılı Kararı çerçevesinde yeterli önlemlerin
belirlendiği
hususları dikkate alınarak Kurul tarafından özel nitelikli kişisel verilerin işlenmesinde
veri sorumlularınca alınması gereken yeterli önemler alınmak suretiyle mevzuatta
öngörülen görevleri kapsamında iş yeri hekimi tarafından sağlık verisinin işlenmesinin
mümkün olduğu
değerlendirmelerinden hareketle,
• Şikayet dilekçesi ve veri sorumlusunun cevaplarından ilgili kişinin kişisel verilerinin
2014-2015 yıllarında işlendiğinin anlaşıldığı, 6698 sayılı Kişisel Verilerin
Korunması Kanununun 07.04.2016 itibariyle yürürlüğe girdiği, bu çerçevede söz
konusu tarihler itibariyle Kanunun yürürlüğe girmemiş olması sebebiyle kişisel
verilerin elde edilmesi sırasında aydınlatma yükümlülüğünün yerine getirilmesinin
de mümkün olmadığı, dolayısıyla bu hususta Kanun kapsamında yapılacak bir işlem
bulunmadığına,
• İşverenin çalışanlarının özlük dosyalarını düzenlemesi bakımından veri sorumlusu
sıfatını haiz olduğu, bu kapsamda İş Kanunu ve Sosyal Sigortalar Kanunu
kapsamındaki yükümlülükleri dolayısıyla veri işleme faaliyetinin gerçekleştirildiği,
söz konusu veri işleme faaliyetinin Kanunun 5 inci maddesinin ikinci fıkrasının (a)
bendinde yer alan ‘kanunlarda açıkça öngörülme’ ve aynı fıkranın (ç) bendinde yer
alan ‘veri sorumlusunun hukuki yükümlülüğünün yerine getirilebilmesi için zorunlu
387
KİŞİSEL VERİLERİ KORUMA KURUMU
olması’ şartlarına dayanarak gerçekleştirildiğine,
• İlgili kişinin açık rızası olmaksızın sağlık verilerinin işlenmesine ilişkin olarak;
İşyeri Hekimi ve Diğer Sağlık Personelinin Görev, Yetki, Sorumluluk ve Eğitimleri
Hakkında Yönetmeliğin “İşyeri Hekiminin Yükümlülükleri” başlıklı 11 inci maddesi
hükmü uyarınca iş yeri hekimlerinin sır saklama yükümlülüğü altında bulunan
kişilerden olduğu, aynı Yönetmeliğin “İşyeri Hekimlerinin Görevleri” başlıklı
9 uncu maddesinin ikinci fıkrasının (c) bendinde yer aldığı üzere çalışanların
yapacakları işe uygun olduklarını belirten işe giriş ve periyodik sağlık muayenesi
ile gerekli tetkiklerin sonuçlarını yönetmelik ekinde verilen örneğe uygun olarak
düzenleme ve işyerinde muhafaza etme görevlerinin bulunduğu, 6698 sayılı
Kanunun 6 ncı maddesi uyarınca özel nitelikli kişisel veriler arasında sayılan
sağlık verilerini içermesi sebebiyle gerek çalışan gerekse de eski çalışanlarına ait
kişisel sağlık dosyalarının yalnızca sır saklama yükümlülüğü altında bulunan iş yeri
hekiminin erişimi ile sınırlı olarak saklanmakta olduğunun beyan edildiği ve ilgili
kişinin kişisel verilerinin güvenliğinin sağlanmadığına yönelik bir iddiası olmadığı
hususları dikkate alınarak Kurul tarafından belirlenen özel nitelikli kişisel verilerin
işlenmesinde veri sorumlularınca alınması gereken yeterli önlemler alınmak
suretiyle mevzuatta öngörülen görevleri kapsamında iş yeri hekimi tarafından sağlık
verisinin işlenmesinin mümkün olduğuna,
• İlgili kişinin ticari elektronik ileti gönderilmek suretiyle kişisel verilerinin hukuka
aykırı işlendiği iddiasına ilişkin olarak herhangi bir somut delile rastlanılamadığından
bu aşamada Kurum tarafından yapılacak herhangi bir işlem bulunmadığına
karar verilmiştir.
1.3.83 “Sağlık sektöründe faaliyet gösteren bir şirketin veri ihlal bildirimi
hakkında” Kişisel Verileri Koruma Kurulunun 09.10.2020 tarih ve 2020/787 sayılı
Karar Özeti
Sağlık sektöründe faaliyet gösteren bir veri sorumlusu tarafından Kuruma intikal
ettirilen kişisel veri ihlali bildiriminde özetle;
• İhlalin 30.09.2020 tarihinde başladığı,
• İhlalin 05.10.2020 tarihinde tespit edildiği ve yine aynı tarihte sona erdiği,
• Dünya genelinde yaygın olan ve veri sorumlusu tarafından da kullanılan bir
uygulamada bulunan açıktan yararlanılarak, veri sorumlusu nezdinde söz konusu
uygulamanın bulunduğu tek sunucuya zararlı bir yazılımın yüklendiğinin tespit
edildiği,
• Veriye erişim/ulaşılabilirlik bakımından ihlalin etkisinin, sunucuda bulunan
uygulamanın erişiminin gerektiği “xml” formatındaki bazı dosyalara ulaşılamaması
sonucunda fonksiyonlarını yerine getirememesi olduğu,
388
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
• İhlalden etkilenen kişisel verilerin Kimlik Verisi (Ad-Soyad; Ticari Unvan, TCKN,
Bağlı Olunan Vergi Dairesi), İletişim Verisi (Adres, E-Posta Adresi, Faks Numarası,
Telefon Numarası), Müşteri İşlem Verisi (E-Faturanın Düzenlenme Tarihi ve Belge
Numarası, Malın Nevi, Miktarı, Fiyatı ve Tutarı, Vergi Türü, Oranı ve Tutarı, Satılan
Malların Teslim Tarihi ve İrsaliye Numarası, Fatura Tipi, Fatura Kayıt No. Ödeme
Tarihi, Ödeme Şekli) olduğu,
• İhlalden etkilenen kişi sayısının 200 (1 müşteri ve 199 tedarikçi); kayıt sayısının ise
1187 olduğu,
• Fatura ilişkisi kapsamında hâlihazırda veri sorumlusunun veri kayıt sisteminde
bulunan iletişim bilgileri vasıtasıyla ilgili kişilere bildirimin en geç Kişisel Verileri
Koruma Kuruluna ihlal bildirimin yapıldığı tarihi takiben 3 (üç) iş günü içinde
gerçekleştirileceği,
İhlal ile ilgili olan çalışanların son bir yıl içerisinde aldığı eğitimler hakkında;
• ISO27001 uyumu ve sertifikası kapsamında bilgi güvenliği eğitimlerinin çalışanlar
bakımından zorunlu eğitim statüsünde olduğu ve bu eğitimlerin her yıl güncel içerik
ile tekrarlandığı,
• Ayrıca işe yeni giren çalışanlar bakımından da aynı eğitimlerin oryantasyon
programları kapsamında verildiği,
• Veri sorumlusunun vermiş olduğu eğitimlerin, sunumların, katılım durumunu tevsik
edici belgelerin ve log kayıtlarının münferit ekler olmak üzere veri ihlal bildirim
formunun ekinde Kişisel Verileri Koruma Kurulunun bilgilerine sunulduğu,
İhlalden önce alınmış bulunan teknik tedbirler hususunda;
• Ağ güvenliği ve uygulama güvenliği sağlandığı,
• Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik
önlemlerinin alındığı,
• Çalışanlar için yetki matrisi oluşturulduğu,
• Erişim loglarının düzenli olarak tutulduğu,
• Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin
kaldırıldığı,
• Güncel anti-virüs sistemleri kullanıldığı,
• Güvenlik duvarlarının kullanıldığı,
• Kâğıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alındığı ve ilgili
evrakın gizlilik dereceli belge formatında gönderildiği,
• Kişisel verilerin yedeklendiği ve yedeklenen kişisel verilerin güvenliğinin de
sağlandığı,
389
KİŞİSEL VERİLERİ KORUMA KURUMU
• Kullanıcı hesap yönetimi ve yetki kontrol sisteminin uygulandığı ve bunların
takibinin de yapıldığı,
• Mevcut risk ve tehditlerin belirlendiği,
• Her yıl sızma testi uygulandığı,
• Kullanıcı bilgisayarlarının USB’lerinin kapalı durumda olduğu, sadece özel üretim
cihazlarında açık olduğu,
• Veri kaybı önleme yazılımlarının kullanıldığı,
• Saldırı tespit ve önleme sistemlerinin kullanıldığı,
İhlalden önce alınmış olan idari tedbirler ile ilgili olarak;
• Çalışanlar için veri güvenliği hükümleri içeren disiplin hükümlerinin mevcut olduğu,
• Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar
hazırlandığı ve uygulamaya başlandığı,
• Gizlilik taahhütnameleri yapıldığı,
• Kişisel veri güvenliği politika ve prosedürlerinin belirlendiği,
• Kişisel veri güvenliği sorunlarının hızlı bir şekilde raporlandığı,
• Kişisel veri güvenliğinin takibinin yapıldığı,
• Kişisel verilerin mümkün olduğunca azaltıldığı,
• Kurum içi periyodik ve/veya rastgele denetimler yapıldığı ve yaptırıldığı,
• Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlendiği
ve uygulandığı,
İhlalden sonra alınmış teknik tedbirler hakkında;
• Zararlı yazılımın bulunduğu sunucunun host edildiği lokasyonun dış bağlantılara
kapatıldığı,
• Adli bilişim yazılımları ile sistemin denetlendiği,
• Şirket dış bağlantıları kesilerek kontrollü olarak aktive edildiği,
• Sunucular üzerinde zararlı yazılımlar için forensic çalışması yapıldığı,
• Siber istihbarat verilerinin analiz edildiği,
• Gerçek zamanlı proses ve dosya hareketleri izlemeleri başlatıldığı,
• Kullanılan yedekleme sisteminin kontrollü bir lokasyona taşındığı,
• Veri sorumlusu bünyesinde daha önceden gerçekleşen ve kayıtları bulunan zararlı
390
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
aktivitelerin detaylarının elde edilmesi sürecinin devam ettiği,
• Uç noktalarda (istemci ve sunucu) tehdit ve güvenlik zafiyeti avcılığına yönelik
çalışmaların devam ettiği,
• Tehdit avcılığına yönelik kural tanımlarının yapılması işlemlerine devam edildiği,
• Uç nokta tespit ve müdahale aracının kurulması işlemlerinin devam ettiği,
• Uç nokta tespit ve müdahale aracına ait sensörlerin tüm uç noktalara dağıtılması
işlemlerinin sürdüğü,
• Uç noktalardan verilerin sorunsuz gelmesi için gerekli konfigürasyonların
düzenlemelerinin devam ettiği,
• İlk tespitlerde rastlanmamış olmasına karşın tekrardan hizmet temin edilen uzman
firmadan alınan IOC bilgileri ve olaylara müdahale ekibi tarafından sağlanan kurallar
aracılığıyla, sistemlerin ele geçirilmediğinin teyidine devam edildiği,
• Ele geçtiği belirlenen uç noktalardan gerekli iz ve kayıtların toplanması sürecinin
devam ettiği,
• Zararlı IP ve domainlerin belirlenmesi, sistem üzerindeki kalıcılık mekanizmalarının
belirlenmesi, arka kapıların tespit edilmesi ve zararlı proseslerin tespit edilmesi
işlemlerinin devam ettiği,
İhlalden sonra alınmış idari tedbirler hususunda;
• Veri İhlali Müdahale Planı prosedürünün derhal olay özelinde uygulamaya alındığı,
• Yetkisiz erişim denemelerinin veri sorumlusunun bilgi teknolojileri birimi tarafından
tespit edildiği an üst yönetime ve Şirket Kişisel Verilerin Korunması Komitesine
(“Komite”) raporlandığı,
• Komite ve üst yönetim tarafından derhal veri güvenliği ekibi kurulduğu,
• Veri ihlali yetkilisinin bu ekibe başkanlık etmek üzere atandığı,
• Siber güvenlik alanında uzman bir firma tarafından yetkilendirilen Siber Olaylara
Müdahale Ekibinin, Veri Güvenliği Ekibine dâhil edildiği,
• Veri Sorumluları Sicili kaydına göre revize edilen politika, prosedür ve gizlilik
taahhütlerinin güncel versiyonlarının çalışanlara iletildiği,
• Veri Sorumluları Sicili kaydına göre revize edilen politikaların güncel versiyonlarının
internet sitesinde yayımlandığı
ifadelerine yer verilmiş; ihlal öncesi ve sonrası alınmış teknik ve idari tedbirlere ilişkin
tevsik edici belgeler bildirim formunun ekinde Kurulun bilgilerine sunulmuştur.
Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun
09.10.2020 tarih ve 2020/787 sayılı Kararı ile;
391
KİŞİSEL VERİLERİ KORUMA KURUMU
• İhlalin veri sorumlusunun tedbir eksikliğinden kaynaklanmayıp yaygın kullanılan bir
uygulamadan kaynaklandığı; bu duruma veri sorumlusunun müdahale edemeyeceği,
• Veri sorumlusunun ihlali kısa zamanda fark etmiş olduğu,
• İhlalden etkilenen kişisel verilerin şahıs şirketi kaşelerinden ve kamuya açık
kaynaklardan rahatlıkla elde edilebileceği,
• Veri sorumlusunun ihlalden etkilenen kişilere üç iş günü içerisinde bildirim
gerçekleştireceğini belirttiği,
• İhlalin ilgili kişiler açısından olumsuz sonuçlar doğurma riskinin düşük olduğu,
• Veri sorumlusunun makul teknik ve idari tedbirleri almış olduğu
hususları dikkate alındığında, söz konusu ihlale ilişkin ilgili kişilere bildirim yapıldığını
tevsik edici belgelerin Kuruma gönderilmesi suretiyle söz konusu veri ihlal bildirimi
ile ilgili olarak Kanunun 12 nci maddesi kapsamında yapılacak ilave bir işlem
bulunmadığına karar verilmiştir.
1.3.84 Bir teknoloji şirketinin veri ihlal bildirimi hakkında Kişisel Verileri Koruma
Kurulunun 22/10/2020 tarih ve 2020/816 sayılı Karar Özeti
Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;
• İhlalin, mağazada yapılan bir alışveriş sonrasında adına e-fatura düzenlenen
müşterinin sistemde kayıtlı e-posta adresine ilgili faturanın gönderilmesi neticesinde
bu faturanın aynı ad ve soyada sahip farklı bir müşteriye ulaşması neticesinde
gerçekleştiği,
• CRM sistemi üzerinde adına fatura düzenlenen müşterinin telefon numarasının aynı
ad ve soyada sahip iki farklı müşteri adına oluşturulduğu ve kayıtlarda her ikisinde
de yer aldığı,
• Bu durumun kişilerin GSM-1 ve GSM-2 olarak oluşturulan kayıtları arasına aynı
telefon numarasının bir müşteri için GSM-1, diğer müşteri için GSM-2 olarak
kaydedilmiş olması nedeniyle fatura gönderiminde hatalı e-posta adresine ulaşılması
nedeniyle meydana geldiği,
• 15.10.2020 tarihinde kişisel verileri ihlal edilen müşteri ile aynı ad ve soyada sahip
müşterinin müşteri hizmetlerini arayarak kendisine iletilmiş olan e-mailde yer alan
faturanın kendisine ait olmadığı bilgisini vermesi üzerine sistem üzerinden kontroller
gerçekleştirilerek ihlalin tespit edildiği,
• Kayıtlarda meydana gelen karışıklığın mağazadaki kayıt aşamasında hatalı
bilgi girişinden mi yoksa CRM sistemindeki veri tekilleştirme özelliğinden mi
kaynaklandığına ilişkin araştırmaların sürdüğü,
392
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
• İhlalin hemen ardından müşteri kayıtlarının sistem üzerinden düzeltildiği, hatalı
faturanın diğer müşteriden geri alınmasının sağlandığı ve doğru bilgilerle doğru
kişiye fatura düzenlendiği,
• İhlalden etkilenen kişisel verilerin; müşterinin adı soyadı, T.C. Kimlik Numarası,
cep telefonu numarası ve fatura bilgileri olduğu,
• İhlal edilen kişisel verilerin olumsuz etki doğurması yüksek olmayan kişisel
veriler olduğu ve aynı zamanda ihlalin etkisinin azaltılması amacıyla ilgili kişiye
bildirim yapılması ve sehven gönderilen e-postanın silinmesi gibi gerekli işlemlerin
gerçekleştirildiği,
• İhlalin 15.10.2020 tarihinde gerçekleştiği ve 16.10.2020 tarihinde tespit edildiği,
• İhlalden etkilenen kişi sayısının 1; kayıt sayısının 4 olduğu,
• İlgili kişiye telefon görüşmesi ile bildirim yapıldığı
ifadelerine yer verilmiştir.
Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun
22/10/2020 tarih ve 2020/816 sayılı Kararı ile;
• İhlalden 1 kişiye ait kişisel verilerin etkilendiği,
• İlgili kişiye telefon yoluyla bildirim yapıldığı,
• İhlale konu kişisel verilerin ilgili kişi üzerinde olumsuz etki doğurma olasılığının
düşük olduğu,
• İhlale konu e-postanın silinmesinin sağlandığı,
• Veri sorumlusunun ihlale kısa zamanda müdahale ettiği
hususları dikkate alındığında, bu aşamada veri sorumlusu hakkında 6698 sayılı Kişisel
Verilerin Korunması Kanununun 12 nci maddesi kapsamında yapılacak bir işlem
olmadığına karar verilmiştir.
1.3.85 Bir sigorta şirketinin kişisel veri ihlal bildirimi hakkında Kişisel Verileri
Koruma Kurulunun 24.11.2020 tarih ve 2020/905 sayılı Karar Özeti
Veri sorumlusu bir sigorta şirketinin Kuruma intikal eden yazılarında özetle;
• Veri sorumlusunun internet sayfasının bulunduğu test sunucusunun siber saldırıya
uğradığı ve bu durumun aynı tarihte veri sorumlusu tarafından tespit edildiği,
• Test sunucusunda bulunan internet sayfasının kullanıcı giriş ekranından birden çok
giriş denemesi yapılması sonucunda sisteme giriş sağlanabildiği,
• Gerçekleşen yetkisiz erişim sonucu uygulamanın bulunduğu veri tabanının silindiği
393
KİŞİSEL VERİLERİ KORUMA KURUMU
ve silinen veri tabanı yerine fidye taleplerinin bulunduğu yeni bir veri tabanının
sisteme yüklendiği,
• Veri tabanının silinmesi işleminden önce muhtemelen siber saldırıyı gerçekleştiren
kişi/kişiler tarafından kopyalandığının veri sorumlusu tarafından düşünüldüğü,
• Giriş denemeleri belirli aralıklarla yapılmış olduğundan SIEM sistemi tarafından
algılanmadığı,
• Yurtdışından çok fazla giriş denemesi gerçekleştiği ancak bunun herhangi bir
anomaliye sebep vermediği,
• İhlalden etkilenen kişi sayısının 311 olduğu,
• İhlalden etkilenen kişisel verilerin T.C. kimlik no, isim, soy isim, e-posta, plaka
bilgisi olduğu
ifadelerine yer verilmiştir. Söz konusu kişisel veri ihlali bildiriminin incelenmesi
neticesinde Kişisel Verileri Koruma Kurulunun (Kurul) 24.11.2020 tarih ve 2020/905
sayılı Kararı ile;
• İhlale konu test sunucusunun, veri sorumlusu nezdinde yıllık olarak yapılan sızma
testleri kapsamına alınmamasının söz konusu test sunucusunda gerekli kontrollerin
yapılmadığının göstergesi olduğu,
• Veri sorumlusuna ait “BT Veri Güvenlik ve Veri İhlali Prosedürü”nde tedbirler
kapsamında “Periyodik aralıklarla veya ihtiyaç duyulduğunda sızma testi hizmeti
alarak sistem açıklarının kontrolü sağlanmalıdır.” ifadesinin bulunmasına rağmen
test sunucularının prosedürdeki tedbirlere uygun bir şekilde kontrol edilmediği, söz
konusu kontrollerin uygun bir şekilde yapılmadığı,
• Test sayfasının tüm dünyaya açık olarak ulaşılabilir olduğu, saldırganın 7 kez giriş
denemesi sonucunda sisteme başarılı bir şekilde giriş yapmış olduğu, veri sorumlusu
nezdinde kullanılan parolaların yeteri kadar karmaşık ve güçlü olmadığı,
• Veri ihlali öncesinde test aşamasında kullanılan kişisel verilerin test sunucusundaki
veri tabanına kaydedildiği, veri ihlali sonrasında ise mevcut teknolojinin değiştirilerek
test sunucusunda kişisel verilerin kaydedilmeden test işlemlerinin yapılabildiği
dikkate alındığında veri sorumlusunun kişisel verileri veri tabanına kaydetmeden
test işlemlerini yapmış olması durumunda gerçekleşen siber saldırı vakasında kişisel
veri ihlalinin söz konusu olmayacağının görüldüğü,
• Veri ihlali öncesinde test sunucusuna yapılan erişimlerde sistemler arasında SSL
VPN gibi güvenli iletişim sağlama yöntemlerinin kullanılmadığı, ayrıca ek güvenlik
katmanı olarak erişimlerde İki Faktörlü Kimlik Doğrulama (2FA) gibi güçlü kimlik
doğrulama yöntemlerinin kullanılmadığı,
• Veri ihlalinden etkilenen kişisel veriler arasında, T.C. kimlik numarasının bulunduğu,
ilgili kişiler için önem arz eden bir veri olduğundan söz konusu veri grubu işlenirken
394
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
verilerin şifrelenerek muhafaza edilmesi durumunda verilere yetkisiz olarak erişilse
bile veri ihlalinin ilgili kişiler üzerindeki olası olumsuz etkilerinin azaltılabileceği,
ancak veri sorumlusunun böyle bir eylemde bulunmadığı dikkate alındığında kişisel
verilerin gizlilik derecesine göre muhafaza edilmesi konusunda veri sorumlusu
tarafından yeteri kadar özen gösterilmediği
hususları dikkate alınarak 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun)
12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik
gerekli teknik ve idari ve tedbirleri almayan Şirket hakkında Kanunun 18 nci maddesinin
(1) numaralı fıkrasının (b) bendi uyarınca 300.000 TL,
Kurula ve ilgili kişilere yapılan bildirim ile ilgili olarak;
• İhlalin 28.02.2020 tarihinde tespit edildiği ve 04.03.2020 tarihinde Kurula bildirildiği
dikkate alındığında Kurulun 24.01.2019 tarih ve 2019/10 sayılı Kararı ile belirlenen
veri ihlalinin öğrenilmesinden itibaren başlayan 72 saatlik süre içerisinde veri
sorumlusunun Kurula bildirimde bulunmadığı,
• Geç bildirimde bulunulmasına sebep olarak ilgili teknik çalışmaların (sunucu ve
firewall log kayıtlarının incelenmesi işlemleri) gecikmesinin gösterildiği,
• Veri sorumlusu tarafından veri ihlaline ilişkin veri sorumlusunun internet sitesinde
duyuru yapılmış olmasının, ilgili kişilerin tespit edilmiş olması nedeniyle ilgili
kişilere bildirim şeklinde kabul edilemeyeceği,
• Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/271 sayılı Kararına
uygun olarak ilgili kişilere bildirim yapılmadığı
dikkate alınarak, veri sorumlusunun 6698 sayılı Kişisel Verilerin Korunması Kanununun
12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” (24.01.2019
tarih ve 2019/10 sayılı Kurul kararında belirtilen 72 saatlik süre içerisinde) bildirimde
bulunma yükümlülüğüne aykırı hareket etmesi ve 18.09.2019 tarih ve 2019/271 sayılı
Kurul Kararına uygun şekilde ilgili kişilere bildirimde bulunulmamış olması nedeniyle
Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca veri sorumlusu
hakkında 30.000 TL
olmak üzere toplam 330.000 TL idari para cezası uygulanmasına karar verilmiştir.
1.3.86 “Belediyede memur olarak görev yapan ilgili kişinin, veri sorumlusu
bünyesinde işe giriş çıkış takibinin biyometrik veri işlenerek yapılması” hakkında
Kişisel Verileri Koruma Kurulunun 01/12/2020 tarihli ve 2020/915 sayılı Karar
Özeti
Kurula intikal eden şikâyette ilgili kişi tarafından veri sorumlusu bünyesinde 657
sayılı Devlet Memurları Kanunu kapsamında çalışan memur olduğu, veri sorumlusu
bünyesinde personel giriş çıkışlarının takibi için parmak izi okuma cihazları ile kişisel
395
KİŞİSEL VERİLERİ KORUMA KURUMU
verilerinin, her personel için parmak izi bilgilerinin alındığı ve sisteme tanıtıldığı, bu
konudaki uygulama için kendisine ait olan parmak izi bilgilerinin veri sorumlusunun
kayıt sisteminden, kağıt ortamından ve elektronik ortamdan silinmesi ve kendisine
bilgi verilmesi talebiyle veri sorumlusuna başvuru yaptığı; kendisine verilen cevapta
sistemlerinden bu bilgilerin silinemeyeceğinin beyan edildiği, parmak izi bilgilerinin
onayı olmadan işlenemeyeceği ve resmi başvuru yapmasına rağmen verilerinin silinmesi
isteğinin kabul edilmediği belirtilmiştir.
Başlatılan inceleme çerçevesinde söz konusu iddialara ilişkin olarak veri sorumlusunun
savunması istenilmiş olup alınan cevabi yazıda
• Tüm birimlerde tutulan kişisel veriler üzerinde Kanun kapsamında çalışmalara
2018 yılında başlandığı, irtibat kişilerinin belirlenerek personelin bu konu hakkında
eğitim, e-posta ve duyuru panolarına asılan aydınlatma metinleriyle bilgilendirildiği
ve kişisel verilerin korunması ve işlenmesine dair politika ve prosedürlerin
hazırlandığı, ayrıca yapılan işlemlerin tamamlanması ve devamında işletilmesi,
6698 sayılı Kanuna ve standartlara uygun yapıldığının ölçülebilmesi hususunda
Bağımsız Denetim Firması tarafından denetlenerek BS10012-2009 Veri Koruma ve
Kişisel Bilgi Yönetim Standardı Sertifikası ile belgelendirildikleri,
• Başkanlığa ait Kültür Merkezleri, Bilgi Evleri, Spor Salonları vb faaliyet gösteren
çok sayıda tesisin bulunduğu, iştirak personeli dahil olmak üzere 2302 kişinin
istihdamının sağlandığı, kişisel verilerin korunmasına yönelik yapılacak başvuru
ve taleplerin usulüne ilişkin …… Belediyesi Kişisel Verilerin İşlenmesi Duyuru
Aydınlatma Metninin, Başkanlığın resmi web sitesi üzerinden ilan edildiği, …..
Belediyesi Kişisel Verilerin Korunması Başvuru Formunun doldurularak hangi
yöntemlerle başvuru yapılacağının duyurulduğu, Başkanlık personeline ise hizmet
içi eğitimlerle konuya ilişkin bilgilendirmenin yapıldığı,
• İlgili kişiye ait başvuruda Kişisel Verilerin Korunması Başvuru Formunun
bulunmaması, başvurunun veri sorumlusu görevini yürütmekte olan personele
ulaştırılmaması ve çalıştığı Müdürlüğe verilmiş olan dilekçenin İnsan Kaynakları
ve Eğitim Müdürlüğüne Bilgi ve Belge Talebi konulu başvuru olarak gönderilmesi
nedeniyle ilgiliye ait başvurunun Kanun kapsamında değerlendirilmediği, buna bağlı
olarak verilen cevap yazısında kamu kaynaklarını etkin ve verimli kullanabilmek
amacıyla personelin işe giriş çıkışlarının takibi için parmak izinin kullanıldığı
herhangi bir şaibeye mahal vermeden verinin temin edildiği ve üçüncü kişilerle
paylaşılmasının teknik olarak mümkün olmadığının bildirildiği, alınan parmak izi
şablonunun silinemeyeceğine dair herhangi bir ifadenin ise kullanılmadığı,
• Başkanlıkça uygulanmakta olan PDKS sistemi gereği personelden alınan parmak
izlerinin salt mesai kontrollerinde kullanıldığı, mesai kontrolü için ayrıca sicil
numarası ve şifreli giriş, ıslak imzalı form yöntemlerinin kullanıldığı, covid-19
salgını sebebiyle halihazırda müdürlüklerde personel kontrolünün listelerin ıslak
imzalanması metodu ile sağlandığı, parmak izi sisteminin devre dışı olduğu, parmak
izi tanıma algoritmasının temel işlevinin parmak izinin çıkartılması ve karakterlerin
396
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
eşleştirilmesi olduğu, parmak izinin çıkartılmasıyla kastedilenin parmak izinin temel
karakteristik verilerinin şifrelenip karakteristik bir şablon haline getirilmesi olduğu,
bir şablon haline getirilen parmak izinin daha sonra hiçbir şekilde görüntüsünün
alınamadığı ve işlem yapılamadığı, kullanılan şifrelenmiş parmak izi şablonunun
özel bir algoritma olduğu ve üçüncü kişilere tamamen kapalı olduğu, parmak izi
şablonunun formatının teknik belgeler veya ürün kaynak kodları vasıtasıyla dahi
herhangi biri tarafından öğrenilmesi veya başkalarının bilgisine açılmasının mümkün
olmadığı
ifade edilmiştir. Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun
01/12/2020 tarihli ve 2020/915 sayılı Kararı ile,
• 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Tanımlar” başlıklı 3
üncü maddesinde “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye
ilişkin her türlü bilgi; “veri sorumlusu”nun kişisel verilerin işleme amaçlarını ve
vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden
sorumlu olan gerçek veya tüzel kişi; “kişisel verilerin işlenmesi”nin ise kişisel
verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin
parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi,
depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması,
aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da
kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
olarak tanımlandığı,
• Özel nitelikli kişisel veriler arasında yer alan biyometrik veri tanımına Kanunda
yer verilmemekle birlikte, 25.05.2018 tarihinde yürürlüğe giren Avrupa Genel Veri
Koruma Tüzüğünde (GDPR) biyometrik verinin; “yüz görüntüleri veya daktiloskopik
veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit
eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik
işlemeden kaynaklanan kişisel veriler” olarak tanımlandığı,
• GDPR’nin Recital bölümünün 51 inci maddesinde de fotoğrafların işlenmesinin
doğrudan biyometrik veri olarak nitelendirilemeyeceği, yalnızca gerçek bir kişinin
benzersiz bir şekilde tanımlanmasına veya doğrulanmasına izin veren belirli bir teknik
yöntemle işlendiğinde, bu verilerin biyometrik verilerin tanımı kapsamında kabul
edileceğine yönelik açıklamalara yer verildiği, dolayısıyla bir verinin biyometrik veri
kapsamında değerlendirilebilmesi için o verinin sadece o kişiyi tanımlayabilme ya da
doğrulayabilme özelliğine sahip olmasının kriter alındığının değerlendirildiği, yine
Danıştay 15. Dairesinin 2014/4562 Esas sayılı kararında biyometrik yöntemlerin,
ölçülebilir fizyolojik ve bireysel özellikleri aracılığıyla gerçekleştirilen ve otomatik
şekilde doğrulanabilen kimlik denetleme tekniklerini ifade ettiği belirtilerek, bu
yöntemler arasında parmak izi tanıma, avuç içi tarama, el geometrisi tanıma, iris
tanıma, yüz tanıma, retina tanıma, DNA tanıma gibi yöntemlerin bulunduğunun
ifade edildiği dikkate alındığında, işe giriş çıkışlarda personelin parmak izinin
taranması suretiyle kişilerin kimlik doğrulamasının yapılması hususunda adı geçen
397
KİŞİSEL VERİLERİ KORUMA KURUMU
veri sorumlusunun özel nitelikli kişisel veri niteliğindeki biyometrik veri işleme
faaliyetinde bulunduğu,
• Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde yer alan ilkelerden,
işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi çerçevesinde işlenen
verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olması, amacın
gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin
işlenmesinden kaçınılmasının gerektiği; ölçülülük ilkesinin ise, veri işleme faaliyeti
ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması, diğer
bir ifadeyle veri işlemenin amacı gerçekleştirecek ölçüde olması gerektiğine işaret
ettiği; bu kapsamda, kişisel veri işleme faaliyetinin gerçekleşmesi için gerekli
olmayan kişisel verilerin toplanmaması ve/veya işlenmemesi gerektiği, veri
sorumlusunun amacı çerçevesinde, ölçülülük ilkesine uygun olarak ilgili kişiden
minimum düzeyde bilgi talep etmesi, bunun dışındaki amaç için gerekli olmayan
veri işlemeden kaçınması gerektiği,
• Kişisel verilerin işlenmesi ilgili kişinin iznine bağlı olarak gerçekleştirilse ve
belirli bir amaca bağlı olsa bile açık rızanın aşırı miktarda veri toplanmasını
meşrulaştırmayacağı, buna göre kişisel verilerin yalnızca belirli amaçlar için ve
gerektiği kadar toplanması ve amacın gerektirdiği yerlerde kullanılması gerektiği,
• Öte yandan, Danıştay 5. Dairenin 2013/5342 E. ve 2013/9525 K. sayılı Kararında
“personelden kişisel veri alınması kapsamında olan “parmak izi tarama sistemi”
ile mesai takibi uygulamasının, kamusal alanda da olsa “özel hayatın gizliliği”
ilkesi kapsamında bulunduğunun anlaşılması karşısında; uygulamanın sınırlarını
usul ve esaslarını gösteren bir yasal dayanağının bulunmaması, toplanan verilerin
ileride başka bir şekilde kullanılamayacağına dair bir güvencenin mevcut olmaması
göz önüne alındığında, yukarıda belirtilen temel haklar ve Anayasal ilkelerle
bağdaşmayan dava konusu işlemde hukuka uyarlık, davanın reddi yolunda verilen
İdare Mahkemesi kararında hukuki isabet bulunmadığı anlaşılmıştır.” şeklinde
hüküm tesis edilmiş olup bu kapsamda, mesai kontrolü için parmak izi alınması gibi
çoğunlukla üstün güvenlik önlemi alınmasına ihtiyaç duyulan alanlarda kullanılan
yöntem yerine alternatif yollara başvurulabileceği, dolayısıyla veri sorumluları
bünyesinde mesai kontrolü amaçlı giriş ve çıkışlar için parmak izi okutma sisteminin
kurulmasının Kanunun “Genel İlkeler” başlıklı 4 üncü maddesi kapsamında ele
alınması gerektiği, üstün güvenlik önlemi alınmasına ihtiyaç duyulmayan alanlarda
yalnızca mesai kontrolü amacıyla parmak izi alınmasına yönelik uygulamaların
mezkur maddenin (ç) bendindeki ölçülülük ilkesine aykırı olduğu,
• Somut olayda ilgili kişinin veri sorumlusu tarafından kendisine ait olan parmak
izi bilgilerinin hukuka aykırı olarak işlenmesine ilişkin şikâyeti ile ilgili veri
sorumlusunun PDKS sistemi gereği personelden alınan parmak izlerinin salt mesai
kontrollerinde kullanıldığı, parmak izi tanıma algoritmasının temel işlevinin parmak
izinin çıkartılması ve karakterlerin eşleştirilmesi olduğu, parmak izinin çıkartılmasıyla
kastedilenin parmak izinin temel karakteristik verilerinin şifrelenip karakteristik
398
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
bir şablon haline getirilmesi olduğu, bir şablon haline getirilen parmak izinin daha
sonra hiçbir şekilde görüntüsünün alınamadığı ve işlem yapılamadığı şeklindeki
açıklamaları çerçevesinde veri sorumlusu bünyesinde çalışan personellerden işe
giriş ve çıkışlarda parmak izlerinin kullanıldığının açıkça kabul edildiği, ilgili kişinin
parmak izinin açık rızasına dayanılarak alınıp alınmadığı hususunun anlaşılamadığı;
ancak işe giriş ve çıkışlarda söz konusu kişisel verisinin işlenmesinin devam etmesi
noktasında ilgili kişinin onayı olmadan parmak izinin işlenemeyeceği hususunda
şikayeti bulunduğu dikkate alındığında ilgili kişinin parmak izi kullanılarak mesai
kontrolü yapılması hususunda açık rızasının olmadığı kanaatine varıldığı,
• Öte yandan veri sorumlusu tarafından mesai kontrolü için parmak izi, sicil numarası
ve şifreli giriş, ıslak imzalı form yöntemlerinin kullanıldığı, covid-19 salgını
sebebiyle halihazırda müdürlüklerde personel kontrolünün ıslak imzalama metodu
ile sağlandığı, parmak izi sisteminin devre dışı olduğuna yönelik savunması dikkate
alındığında işe giriş ve çıkış kontrollerinin biyometrik verileri işlemenin haricinde
alternatif yollar ile sağlanabildiği, dolayısı ile üstün güvenlik önlemleri alınmasını
gerektirecek bir durumun da olmadığının görüldüğü, bu kapsamda veri sorumlusu
bünyesinde mesai kontrolü amaçlı giriş ve çıkışlar için parmak izi okutma sisteminin
kurulmasının Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinin (ç) bendindeki
ölçülülük ilkesine aykırı olduğu kanaatine varıldığı ve veri sorumlusunun söz
konusu uygulamasının Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a)
bendine aykırılık teşkil ettiği,
• Öte yandan, ilgili kişinin Kanunun 7 nci ve 11 inci maddesi çerçevesinde veri
sorumlusuna başvurmasına rağmen veri sorumlusu tarafından, söz konusu
başvurunun Kişisel Verilerin Korunması Başvuru Formu ile yapılmaması, başvurunun
veri sorumlusu görevini yürütmekte olan personele ulaştırılmaması ve çalıştığı
Müdürlüğe verilmiş olan dilekçenin İnsan Kaynakları ve Eğitim Müdürlüğüne Bilgi
ve Belge Talebi konulu başvuru olarak gönderilmesi nedeniyle ilgiliye ait başvurunun
Kanun kapsamında değerlendirilmediği, buna bağlı olarak da verilen cevabi
yazıyla kamu kaynaklarının etkin ve verimli kullanabilmek amacıyla personelin
işe giriş çıkışlarının takibi için parmak izinin kullanıldığı, herhangi bir şaibeye
mahal vermeden temin edildiği ve üçüncü kişilerle paylaşılmasının teknik olarak
mümkün olmadığının bildirildiği, alınan parmak izi şablonunun silinemeyeceğine
dair herhangi bir ifadenin kullanılmadığı şeklinde savunma yapıldığı görülmekle
birlikte, ilgili kişinin Kanuna atıf yapıp taleplerini açıkça belirten ve tarafına
talepleriyle ilgili bilgi verilmesine yönelik isteğini de içeren ıslak imzalı dilekçesini
veri sorumlusuna sunduğu, bu anlamda ilgili kişinin kişisel verilerinin silinmesi
yönünde talepte bulunduğu, öte yandan söz konusu evraka sayı numarası verildiğinin
açık olduğu ancak veri sorumlusunun ilgili kişinin başvurusunu Kanun kapsamında
değerlendirmeyip kişisel verisinin silinmesi hususunda herhangi bir ifadeye yer
vermeyerek ilgili kişinin talebini cevaplamadığı, bu durumun dürüstlük kuralı ile
bağdaşmadığı değerlendirmelerinden hareketle;
• Veri sorumlusu bünyesinde mesai kontrolü amacıyla biyometrik veri olan parmak
399
KİŞİSEL VERİLERİ KORUMA KURUMU
izinin işlenmesinin Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinin (ç)
bendindeki amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırı olduğu, öte
yandan söz konusu veri işleme faaliyetinin hukuka uygun bir veri işleme şartına
dayanmadığı dikkate alındığında veri sorumlusunun söz konusu uygulamasının
Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine aykırılık teşkil
ettiği değerlendirildiğinden Kanunun 18 inci maddesinin 3 üncü fıkrası hükmüne
göre söz konusu veri sorumlusu bünyesinde görev yapan kişiler hakkında disiplin
hükümlerinin işletilmesine ve sonucunun Kurula bildirilmesine,
• Veri sorumlusu tarafından bugüne kadar işlenen ve muhafaza edilen parmak izi ile
ilgili verilerin Kanunun 7 nci maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi
veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun olarak
ivedilikle imha edilmesi, eğer ilgili özel nitelikli kişisel verilerin üçüncü kişilere
aktarılması söz konusu ise, imha edilmesine yönelik işlemlerin bu verilerin aktarıldığı
üçüncü kişilere ivedilikle bildirilmesinin sağlanması, işe giriş ve çıkış işlemlerinin
salgın dönemi dışında da geçerli olmak üzere alternatif yollarla sağlanması,
biyometrik veri ile giriş çıkış işlemleri yapılması uygulamasına son verilmesi ve
mevcut sistemin kaldırılması hususlarında veri sorumlusunun talimatlandırılmasına,
• Öte yandan söz konusu sistemin kaldırıldığı ve kişisel verilerin imha edildiğini
tevsik edici bilgi ve belgelerin Kurula gönderilmesi konusunda veri sorumlusunun
talimatlandırılmasına,
• Veri sorumlusunun ilgili kişinin başvurusunu Kanun kapsamında değerlendirmeyip
kişisel verisinin imhası hususunda herhangi bir ifadeye de yer vermemesinin dürüstlük
kurallarıyla bağdaşmadığı, ilgili kişinin veri sorumlusu bünyesinde bulunan kişisel
verilerinin imhası talebine istinaden, talebin yerine getirildiğine ve söz konusu
kişisel verilerin imha edildiğine ilişkin ilgili kişinin bilgilendirilmesi ve söz konusu
imha işlemine ilişkin tevsik edici bilgi ve belgelerin Kurula iletilmesi hususu ile
ilgili kişilerin taleplerine Kanun kapsamında cevap verilmesi konusunda azami
dikkat ve özenin gösterilmesi hususunda veri sorumlusunun talimatlandırılmasına
karar verilmiştir.
1.3.87 “Unutulma hakkı kapsamında ilgili kişinin arama motorunda adı ve soyadı
ile bağlantılı sonuçların kaldırılması talebi”ne ilişkin Kişisel Verileri Koruma
Kurulunun 08/12/2020 tarihli ve 2020/927 sayılı Karar Özeti
İlgili kişinin şikâyet başvurusunda özetle; üniversitede öğretim üyesi olarak görev
yaptığı, görev yapmış olduğu bölümde akademik kadro ilanı verildiği, kadro için
sınavların usulüne uygun şekilde yapıldığı ve kadro için aile yakınının sınavlarda başarılı
olduğu, ancak sosyal medyada bu kadro işe alımı ile ilgili doğru olmayan haberlerin
yapıldığı ve üniversitenin tepkiler üzerine soruşturma başlattığı, soruşturma sonucunda
bir usulsüzlük olmadığının üniversite tarafından tespit edildiği, haberlerin kaldırılması
talebi ile arama motoruna başvuruda bulunduğu ancak arama motoru tarafından
400
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
URL’ler hakkında herhangi bir işlem yapılmamasına karar verildiği ve ilgili kişinin
kaldırma talebini söz konusu siteyi kontrol eden web yöneticisine gönderebileceği
bilgisinin tarafına iletildiği, dolayısıyla arama motoru tarafından ilgili kişinin talebinin
karşılanmadığı, bu kapsamda yapılan haberlerin aile yakınının ve kendisinin kamuda
görev yapmasını ve hayatını olumsuz yönde etkilediği belirtilerek söz konusu içeriklerin
arama motorunda indekslenmeyecek şekilde teknik düzenlemeye tabi tutulması talep
edilmektedir.
Bahse konu şikayet başvurusuna ilişkin olarak ilgili mevzuat hükümleri çerçevesinde
yapılan değerlendirme neticesinde Kişisel Verileri Koruma Kurulu tarafından
alınan 08/12/2020 tarih ve 2020/927 sayılı Kararda aşağıdaki değerlendirmelere
yer verilmiştir;
6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) amacı, kişisel verilerin
işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini
korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları
usul ve esasları düzenlemek olup Kanun hükümleri, kişisel verileri işlenen gerçek
kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt
sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel
kişiler hakkında uygulanır.
Kanunun “Tanımlar” başlıklı 3 üncü maddesinde kişisel verinin, kimliği belirli veya
belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, veri sorumlusunun kişisel verilerin
işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve
yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, kişisel verilerin işlenmesinin
ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri
kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi,
kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi,
açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması
ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi
ifade ettiği belirtilmiştir.
Kanunun “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi”
başlıklı 7 inci maddesinin birinci fıkrası “Bu Kanun ve ilgili diğer kanun hükümlerine
uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin
ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri
sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.” hükmünü haizdir.
Kanunun “İlgili Kişinin Hakları” başlıklı 11 inci maddesinin birinci fıkrasında “Herkes,
veri sorumlusuna başvurarak kendisiyle ilgili; a) Kişisel veri işlenip işlenmediğini
öğrenme, b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, c) Kişisel verilerin
işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, ç)
Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, d) Kişisel
verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, e)
7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok
401
KİŞİSEL VERİLERİ KORUMA KURUMU
edilmesini isteme, f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin
aktarıldığı üçüncü kişilere bildirilmesini isteme, g) İşlenen verilerin münhasıran
otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir
sonucun ortaya çıkmasına itiraz etme, ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi
sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.”
hükmü yer almaktadır.
Öte yandan, Kişisel Verileri Koruma Kurulunun “Kişilerin Ad ve Soyadı ile Arama
Motorları Üzerinden Yapılan Aramalarda Çıkan Sonuçların İndeksten Çıkarılmasına
Yönelik Talepler”e ilişkin olarak almış olduğu 23.06.2020 tarih ve 2020/481 sayılı
Kararı ile;
• Arama motorlarının, üçüncü taraflara ait internette topladıkları verilerin işlenmesinin
amaç ve vasıtalarını belirledikleri göz önünde bulundurularak Kanunun 3 üncü
maddesinde yer verilen tanım çerçevesinde veri sorumlusu olarak kabul edilmesine,
• Arama motorunun işletmecisinin otomatik, düzenli ve sistematik olarak internette
yayınlanan bilgiyi bulduğu, daha sonra kendi indeksleme programları çerçevesinde
alıp, kaydedip, organize ettiği kişisel verileri arama sonuçlarının listesi formunda
düzenlediği, sunucuları üzerinde sakladığı, belirli durumlarda açıkladığı
ve kullanıcılarına sunduğu dikkate alındığında arama motorları tarafından
gerçekleştirilen faaliyetlerin Kanunun 3 üncü maddesi kapsamında ‘kişisel veri
işleme” faaliyeti olarak değerlendirilmesine,
• Kanunun başvuru ve şikâyet hakkına ilişkin hükümlerinde belirtilen usul ve süreler
esas alınarak ilgili kişilerin, arama sonuçlarının indeksten çıkarılmasına yönelik
talepleri ile ilgili olarak öncelikle arama motorlarına başvuruda bulunmaları, veri
sorumlusu arama motorlarının söz konusu talepleri reddetmeleri veya başvuru sahibine
cevap vermemeleri halinde ilgili kişilerce Kurula şikâyette bulunabileceklerine,
• İlgili kişinin arama motorları üzerinden kendi ad ve soyadı ile yapacağı bir arama
sonucunda gösterilen sonuçların indeksten çıkarılması gerektiğine yönelik yapılacak
değerlendirmede, ilgili kişinin temel hak ve özgürlükleri ile kamunun söz konusu
bilgiyi edinmesinden sağlayacağı menfaatler arasında bir denge testi yapılması,
yarışan menfaatlerden hangisinin ağır bastığının gözetilmesi ve bu değerlendirme
yapılırken öncelikli olarak karar ekinde yer verilen açıklamaların dikkate alınması
ancak bu konudaki şikâyetlerin değerlendirme sürecinde dikkate alınacak kriterlerin
bunlarla sınırlı olmayacağı, her somut olay özelinde Kurulca ilave ölçütlerin de
gündeme gelebileceğine,
• İlgili kişilerin, arama motorları üzerinden kendi ad ve soyadları ile yapılacak aramalar
neticesinde gösterilen sonuçların indeksten çıkarılmasına yönelik taleplerinin
veri sorumlusu arama motorları tarafından reddedilmesi veya taleplerine cevap
verilmemesi halinde Kurula başvuruda bulunulurken aynı zamanda doğrudan yargı
yoluna başvurmalarının da mümkün bulunduğuna
karar verilmiştir.
402
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
Kişilerin ad ve soyadı ile arama motorları üzerinden yapılan aramalarda çıkan sonuçların
indeksten çıkarılmasına ilişkin değerlendirmede dikkate alınacak ve her somut olay
üzerinde incelenecek kriterler de Kurulun bahse konu Kararı ile belirlenmiş olup bunlar;
ilgili kişinin kamusal yaşamda önemli bir rol oynaması, arama sonuçlarının öznesinin
çocuk olması, bilginin içeriğinin doğruluğu, bilginin kişinin çalışma hayatı ile ilgisi,
bilginin ilgili kişi hakkında hakaret, onur kırıcı, iftira niteliğine sahip olması, bilginin
özel nitelikli kişisel veri niteliği taşıması, bilginin güncelliği, bilginin kişi hakkında
önyargıya sebep olması, bilginin kişi açısından risk doğurması, bilginin kişinin kendisi
tarafından yayımlanma durumu, içeriğin gazetecilik faaliyeti kapsamında işlenen
verileri kapsaması, bilgilerin yayınlanmasında yasal zorunluluk olması, bilginin ceza
gerektiren bir suçla ilgili olması şeklinde belirlenmiştir.
Bu kapsamda, ilgili kişinin arama motorundan adı ve soyadı ile bağlantılı
sonuçların kaldırılmasına yönelik talebinin değerlendirilmesi neticesinde;
• İlgili kişinin kamu üniversitesinde görev yapmakta olduğu, başvuru konusu
hususlarda ilgili kişinin aile yakınının işe alınması ile ilgili usulsüzlük iddiaları
sonucunda üniversite tarafından soruşturma açıldığı bilgisinin doğru olduğu,
söz konusu bağlantılarda yer alan haberin ilgili kişinin çalışma yaşamına ilişkin
olduğu ve ilgili kişinin hâlihazırda aynı işi yaptığı, bilgilerin özel nitelikli kişisel
veri niteliği taşımadığı, yapılan haberlerin 2020 tarihli olduğu, dolayısıyla güncel
olduğu, bilginin kişi açısından risk doğurmadığı ve içeriklerin gazetecilik faaliyeti
kapsamında değerlendirilebileceği, öte yandan, bilginin kişi hakkında ön yargıya
sebep olabileceği ancak bunun kanıtlanabilir nitelikte olmadığı, ilgili kişiye ilişkin
bilgilerin yayınlanmasında yasal zorunluluk bulunmadığı, bilginin kişinin kendisi
tarafından yayımlanmadığı, bilginin ceza gerektiren bir suçla ilgili olmadığı
hususları göz önünde bulundurularak ilgili kişi hakkında yayınlanan içeriklerin
arama motorundan kaldırılması yönündeki talebine ilişkin olarak veri sorumlusu
tarafından yapılan işlemin 23.06.2020 tarih ve 2020/481 sayılı Kurul Kararı ekinde
yer alan kriterler açısından yerinde olduğuna, bu kapsamda söz konusu şikayet ile
ilgili olarak Kanun kapsamında tesis edilecek bir işlem bulunmadığına,
• Diğer taraftan ilgili kişinin haber içeriğinin gerçeği yansıtmadığına yönelik
iddialarının ise yargı mercileri nezdinde ileri sürülmesi gerektiğine
karar verilmiştir.
1.3.88 Bir sigorta şirketinin veri ihlal bildirimi hakkında Kişisel Verileri Koruma
Kurulunun 08/12/2020 tarih ve 2020/935 sayılı Karar Özeti
Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;
• Sağlık yenileme talebinde bulunan bir müşteriye, Müşteri İletişim Merkezi (Çağrı
Merkezi) tarafından sehven başka bir müşterinin poliçe muafiyet bildirimi bilgisinin
iletildiği,
• Dolayısıyla gerçek kişiye ait sağlık verisinin, konunun tarafı olmayan başka bir
403
KİŞİSEL VERİLERİ KORUMA KURUMU
müşteri ile paylaşıldığı,
• Veri Kaybı Önleme Sistemi (DLP) düzenli kontrolleri sırasında, sistemi kontrol eden
görevli tarafından veri ihlalinin tespit edildiği ve ilgili birimlere aksiyon alınması
için iletildiği,
• Veri ihlalinden kimlik, iletişim ve sağlık kategorilerindeki kişisel verilerin etkilendiği,
• Sehven iletilen poliçe muafiyet bildiriminde, ilgili kişinin sağlık poliçesi kapsamında
olmayan rahatsızlıklarının belirtildiği,
• Bu rahatsızlıkların poliçe muafiyetinin, ilgili kişinin bu rahatsızlıklara sahip olması
veya sahip olduğu şüphesi olması sebebiyle yazıldığından, ilgili kişinin sağlık
verisinin işlendiği,
• Veri ihlalinden veri sorumlusu müşterisi olan 1 kişinin etkilendiği,
• Veri sorumlusunun Müşteri İletişim Merkezi çalışanlarının müşteriyle direkt temasta
olduklarından dolayı düzenli eğitimlere tabi olduğu
ifadelerine yer verilmiştir.
Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun
08/12/2020 tarih ve 2020/935 sayılı sayılı Kararı ile;
• İhlalden 1 kişinin etkilendiği,
• İhlalden etkilenen kişisel verilerin kimlik, iletişim ve sağlık bilgileri olduğu,
• Veri sorumlusunun “en kısa sürede” (24.01.2019 tarih ve 2019/10 sayılı Kurul
kararında belirtilen 72 saatlik süre içerisinde) Kurumumuza veri ihlalini bildirme
yükümlülüğünü yerine getirdiği,
• İlgili kişilere ihlale ilişkin 03.12.2020 tarihinde bildirim yapılacağının belirtildiği
hususları dikkate alındığında veri sorumlusu hakkında 6698 sayılı Kişisel Verilerin
Korunması Kanununun 12 inci maddesi kapsamında bu aşamada yapılacak bir işlem
bulunmadığına, öte yandan veri sorumlusu tarafından ilgili kişiye bildirim yapılması
ve söz konusu bildirimin yapıldığı ile bahse konu verilerin sehven gönderilen müşteri
nezdinde silindiğine dair tevsik edici belgelerin Kurumuza iletilmesi hususunda
talimatlandırılmasına karar verilmiştir.
1.3.89 Bir ilaç şirketinin veri ihlal bildirimi hakkında Kişisel Verileri Koruma
Kurulunun 15/12/2020 tarih ve 2020/957 sayılı Karar Özeti
Veri sorumlusunun Kurumumuza intikal eden veri ihlal bildiriminde;
• İhlalin güvenlik seviyesini artırmak amacıyla yeni bir sunucuya geçiş sürecinde
sunucu parametreleri optimize edilmediği için aylık maaş bordrosu bildirimlerinin
404
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
e-posta yoluyla bildirilmesinde sistemsel bir hata meydana gelmesi ile oluştuğu,
• Sistem tarafından otomatik olarak oluşturulan ve güncel maaş bordrolarını içeren
e-postalarda meydana gelen hata nedeniyle, 337 çalışanın bordrosunun yanlış
çalışanlara gönderildiği,
• İhlalin yanlış bordro giden bir çalışanın e-posta yoluyla İnsan Kaynakları
Departmanına bilgi vermesi sonucu anlaşıldığı,
• İhlalin 27.11.2020 tarihinde gerçekleştiği ve aynı gün tespit edildiği,
• Teknik eşleştirme hatası nedeniyle çalışanın aylık bordrosuna, başka bir çalışan
tarafından erişilebilmesinin mümkün olduğu,
• Bordroların, çalışanın o ayki maaş bilgisi ve ad- soyad, banka hesap numarası ve
T.C. kimlik numarası gibi kişisel veriler içerdiği,
• İhlalden etkilenen kişi sayısının 337; kayıt sayısının 1348 olduğu
ifadelerine yer verilmiştir.
Söz konusu bildirimin incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun
15/12/2020 tarih ve 2020/957 sayılı Kararı ile;
• İhlalin, gerçekleşmesinden 13 dakika sonra tespit edildiği, gerçekleşmesinden 2 saat
sonra ise sonlandırıldığı,
• İhlalin, güvenlik seviyesini arttırmak amacıyla yeni bir sunucuya geçiş sürecinde
oluştuğu,
• İhlal veri sorumlusunun çalışanlarının bordro bilgilerinin diğer çalışanlara
gönderilmesi şeklinde gerçekleştiğinden olumsuz etki doğurma olasılığının düşük
olduğu,
• İhlale sebep olan e-postaların silinmiş olduğu ve e-postaların gönderildiği kişilere
gerekli uyarının yapıldığı,
• İhlale sebep olan konuda ihlal sonrası gerekli teknik ve idari tedbirlerin alındığı
dikkate alındığında Kanunun 12 inci maddesinin (1) numaralı fıkrası kapsamında veri
sorumlusu hakkında bu aşamada yapılacak bir işlem olmadığına,
• İhlalin tespit tarihinden sonra 72 saat içinde Kurula bildirilmemiş olduğu dikkate
alındığında, Kanunun 12 nci maddesinin (5) numaralı fıkrası uyarınca işlenen
verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde en
kısa sürede ilgilisine ve Kurula, Kişisel Verileri Koruma Kurulunun 18.09.2019
tarih ve 2019/271 sayılı Kararına uygun olarak bildirimde bulunması hususunda
daha dikkatli olunması, ayrıca ilgili kişilere bildirim yapıldığına ve e-postanın
gönderildiği kişilere e-postanın silinmesi yönünde uyarının yapıldığına ilişkin
tevsik edici belgelerin Kurumumuza gönderilmesi hususlarında veri sorumlusunun
talimatlandırılmasına karar verilmiştir.
405
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
1.4 2021 YILI KURUL KARARLARI
1.4.1 İlgili kişinin kişisel verilerinin bilgisi dışında veri sorumlusu banka nezdinde
sorgulanması” hakkında Kişisel Verileri Koruma Kurulunun 12/01/2021 tarihli ve
2021/32 sayılı Karar Özeti
İlgili kişi adına vekilinden alınan şikâyette, ilgili kişinin, şikâyet edilen veri sorumlusu
banka bünyesinde müdür yardımcısı pozisyonunda çalışmakta olan eşi ile boşanma
davasının mevcut olduğu, bu süreçte şikâyet edilen banka aracılığıyla, müvekkiline ait
kişisel veri niteliğinde bilgilerin sorgulandığı ve bu bilgilerin boşanma davası dosyasına
sunulduğu, bahse konu evrakın, müvekkilinin geçmiş yıllara ilişkin karşılıksız çek
bilgileri ve yine müvekkili hakkındaki tedbir kararlarına ilişkin olduğu, bu bilgilerin
ancak müvekkilinin izin ve onayı dâhilinde sorgulanabileceği, söz konusu sorgulamanın
banka aracılığıyla yapılmış olmakla kalmayıp müvekkilinin kişisel verilerinin, kişisel
çıkar amacıyla mahkemeye sunulmak suretiyle paylaşıldığı ve bu kapsamda özel
hayatın gizliliğinin ihlal edildiği, bu durumun 6698 sayılı Kişisel Verilerin Korunması
Kanununa (Kanun) aykırılık teşkil ettiği ve şikâyet edilen veri sorumlusu bankaya
aykırılığı gidermesi ve söz konusu durumdan doğan zararları tazmin etmesi amacıyla
iadeli taahhütlü başvuru yapılmasına rağmen 30 günlük yasal süre içerisinde herhangi
bir cevap alınamadığı ifade edilerek, veri sorumlusu banka hakkında gerekli işlemlerin
yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusu Bankadan savunması
istenilmiş olup, alınan cevabi yazıda özetle;
• İlgili kişinin başvurusu üzerine Bankanın ilgili iş birimince gereken incelemenin
yapıldığı, Şube Operasyon Yetkilisi’nin, eşi ve aynı zamanda Bankanın müşterisi
olan ilgili kişinin istihbarat sorgusunu yaparak sonuçlarını ilgili kişinin bilgisi
ve isteği dışında, katılma alacağı davasına ilişkin mahkemeye sunduğunun tespit
edildiği, bu süre zarfında, ilgili kişinin avukatı ile iletişime geçilerek Bankanın ilgili
birimi nezdinde inceleme başlatılmış olduğu,
• Banka tarafından yapılan inceleme sonucunda, İnsan Kaynakları Uygulama Esas ve
Usulleri’nin (KINAMA) “9.4…. Bankaya veya Bankanın müşterilerine ait sırları
açığa vurmak, personele ait gizli belge ve bilgileri ilgisi olmayan kişilere vermek”
maddesine temas etmesi nedeni ile; mahkemenin bu veriye ulaşmak istediği takdirde
Bankadan temin edebileceği ve eşler arasında zaten bilinen bir konunun diğer eşin
avukatı marifetiyle -konuyla ilgisiz üçüncü kişilere açık etmeksizin- mahkemeye
sunması hususları bir arada değerlendirilerek, diğer eşin bir mektupla dikkatinin
çekilmesine karar verildiği ve yazı ile müşteri başvurusunun yanıtlandığı, bu itibarla
başvurucunun talebi doğrultusunda Kuruma başvurulmadan önce Banka tarafından
gerekli işlemler tesis edildiğinden, Kuruma yapılan başvuruya ilişkin talebin konusuz
kaldığı ve başvurunun haklı ve yasal dayanağının bulunmadığı,
• Bankanın müşterisi olan ilgili kişinin kişisel verilerinin Banka tarafından, kişisel verilerin
işlenmesine dair hukuka uygunluk nedenleri çerçevesinde hukuka uygun olarak işlendiği
ve kişisel verilerinin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin
407
KİŞİSEL VERİLERİ KORUMA KURUMU
etmeye yönelik gerekli her türlü teknik ve idari tedbirin alındığı,
• İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi
şeklinde ortaya çıkan veri güvenliği ihlallerinin, veri sorumlusu sıfatını haiz Banka
ya da yurtiçi iştirakinin yetkili veya çalışanları değil, bu verilere yetkisiz ve hukuka
aykırı olarak erişen üçüncü kişiler tarafından gerçekleştirilebileceği, bu verilere
görevinden kaynaklı olarak erişim yetkisi bulunmakta olan Banka personeli diğer
eşin hukuka aykırı bir erişiminin söz konusu olmadığı,
• Diğer eşin şahsi görevinden kaynaklanmayan sebeplerle ilgili kişinin kişisel
verilerine ulaşarak mahkemeye sunmasında Bankanın bir kusuru olmadığı ve
bunun da ötesinde, Bankanın objektif olarak alabileceği bir güvenlik önleminin de
bulunmadığı,
• Sonuç itibariyle, Bankanın kişisel verilerin korunmasına ilişkin mevzuatı
uygulama konusundaki azami dikkat ve hassasiyeti ile şikâyete konu ilgili kişinin
talep doğrultusunda gerekli araştırmanın yapıldığı, Bankanın kişisel verilerin
işlenmesinde hukuka aykırı herhangi bir iş ve işleminin bulunmadığı ve öngörülen
veri güvenliğine ilişkin yükümlülüklerini yerine getiren Bankanın bir kusuru ve
dolayısıyla sorumluluğu bulunmadığı
belirtilmiştir.
Konuya ilişkin olarak yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun
12/01/2021 tarih ve 2021/32 sayılı Kararı ile;
• Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde kişisel verilerin ancak bu
Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği
hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere
yer verildiği, bu çerçevede, kişisel verilerin ancak; hukuka ve dürüstlük kurallarına
uygun şekilde, belirli, açık ve meşru amaçlar kapsamında, doğru ve gerektiğinde
güncel olma şartıyla, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili
mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza
edilme ilkelerine uygun olarak işlenebildiği,
• Kanunun kişisel verilerin işlenme şartlarının belirlendiği 5 inci maddesinin (1)
numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmadan işlenemeyeceği
hüküm altına alınmış olmakla birlikte, (2) numaralı fıkrasında, sayılan hallerde ilgili
kişinin açık rızası olmadan kişisel verilerinin işlenmesine imkân tanındığı, buna
göre; a) Kanunlarda açıkça öngörülmesi, b) Fiili imkânsızlık nedeniyle rızasını
açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan
kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması
için zorunlu olması, c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya
ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin
gerekli olması, ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi
için zorunlu olması d) İlgili kişinin kendisi tarafından alenileştirilmiş olması, e) Bir
hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, f) İlgili
kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun
408
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinden birinin varlığı
durumunda ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin
mümkün bulunduğu,
• Kanunun 12 inci maddesinin (1) numaralı fıkrasında veri sorumlusunun kişisel
verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı
olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak, amacıyla
uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari
tedbirleri almak zorunda olduğu hükmünün, (5) numaralı fıkrasında ise işlenen
kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde,
veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildireceği ve
Kurulun gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği
başka bir yöntemle ilan edebileceği hükmünün yer aldığı,
• Kurulun 31/05/2018 tarih ve 2018/63 sayılı Kararı ile bir veri sorumlusu nezdinde
bulundukları pozisyon veya görev itibariyle kişisel verilere erişme yetkisi olanlar
tarafından, yetkileri aşmak ve/veya yetkilerini kötüye kullanmak suretiyle, kişisel
amaçlara veya nedenlere bağlı olarak işleme amacı dışında söz konusu kişisel
verilerin işlenmesi ve/veya bu verilerin üçüncü kişilerle paylaşılmasının 6698 sayılı
Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (1) numaralı fıkrasına
aykırılık teşkil edeceğinden, bu kapsamdaki eylemlerin önlenmesi amacıyla
veri sorumlularınca uygun güvenlik düzeyini temin etmeye yönelik gerekli her
türlü teknik ve idari tedbirin alınması gerektiği hususunda veri sorumlularının
bilgilendirilmesine karar verildiği,
• Ayrıca, Kurul, 24.01.2019 tarih ve 2019/10 sayılı Kararı ile Kanunun 12 inci
maddesinin (5) numaralı fıkrasında yer alan “en kısa sürede” ifadesinin 72 saat
olarak yorumlanmasına ve bu kapsamda veri sorumlusunun “işlenen kişisel verilerin
kanuni olmayan yollarla başkaları tarafından elde edilmesi” durumunu öğrendiği
tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirmesine,
veri sorumlusunca söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini
müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim
adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web
sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılmasına karar
verildiği,
• Somut olayda ilgili kişiye ait kişisel veri niteliğinde bilgilerin veri sorumlusu
bünyesinde çalışan diğer eş tarafından sorgulandığı ve bu bilgilerin boşanma davası
dosyasına sunulduğu iddiasının Banka bünyesinde yapılan inceleme sonucunda
veri sorumlusu Banka tarafından da kabul edildiği ve bu kapsamda, Bankanın
İnsan Kaynakları Uygulama Esas ve Usulleri’nin (KINAMA) “9.4... Bankaya veya
Bankanın müşterilerine ait sırları açığa vurmak, personele ait gizli belge ve bilgileri
ilgisi olmayan kişilere vermek” maddesine temas etmesi nedeniyle veri sorumlusu
tarafından Banka çalışanı diğer eşin bir mektupla dikkatinin çekilmesine karar
verildiği,
409
KİŞİSEL VERİLERİ KORUMA KURUMU
• Veri sorumlusu Banka tarafından ilgili kişinin kişisel verilerinin hukuka uygun olarak
işlendiği ve Kanunun 12 nci maddesi kapsamında kişisel verilerin muhafazasını
sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her
türlü teknik ve idari tedbirin alındığı, veri sorumlusu bünyesinde çalışan diğer eşin
görevinden kaynaklı olarak erişim yetkisi bulunduğu ve şikâyet konusuna ilişkin
olarak Bankanın objektif olarak alabileceği bir güvenlik önleminin bulunmadığı,
Kişisel Verilerin Korunması Kanununa ve ikincil mevzuata uyum ve uygun veri
güvenliği düzeyini temin etmeye ilişkin olarak düzenlemelerin hazırlandığı ve
veri sorumlusu bünyesinde çalışan personele farkındalıklarının artması için eğitim
verildiği hususları belirtilmekle birlikte Kişisel Verilerin Korunması Uygulama Esas
ve Usulleri başlıklı idari ve teknik tedbirlerin listelendiği bir bölüme yer verilmesi
dışında isimleri geçen düzenlemeler, personele verilen eğitimler ve veri sorumlusu
nezdinde uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü idari
ve teknik tedbirin alındığına ilişkin herhangi bir tevsik edici belgenin Kuruma
sunulmadığı,
• Veri sorumlusu Banka tarafından işlenen kişisel verilerin kanuni olmayan yollarla
başkaları tarafından elde edilmesi kapsamındaki ihlalin varlığından haberdar
olunmasına rağmen Kanunun 12 inci maddesinin (5) numaralı fıkrası uyarınca ve
Kurulun 24.01.2019 tarih ve 2019/10 sayılı Kararı kapsamında ilgilisine ve Kurula
herhangi bir veri ihlal bildirimi yapılmadığı
değerlendirmelerinden hareketle;
• İlgili kişinin kişisel verisi niteliğindeki kimlik, müşteri işlem ve finansal bilgilerinin
(geçmiş yıllara ilişkin karşılıksız çek ve tedbir kararı bilgileri) veri sorumlusu
bünyesinde çalışan kişi tarafından sorgulanıp mahkemeye sunulması nedeniyle
söz konusu kişisel verilere kanuni olmayan yollarla başkaları tarafından erişim
sağlandığı, Kurulun 31.05.2018 tarih ve 2018/63 sayılı “Veri Sorumlusu Nezdindeki
Kişisel Verilere Erişim Yetkisi Bulunan Personelin Yetkisi ve Amacı Dışında Söz
Konusu Verileri İşlemesi Hususunun Değerlendirilmesine İlişkin İlke Kararı”nda da
düzenlenen bu hususun Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde
veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmadığının
bir göstergesi olduğu dikkate alındığında, veri sorumlusu Banka hakkında idari
yaptırım uygulanmasına,
• Veri sorumlusunun kişisel verilerin güvenliğini tesis etmeye yönelik gerekli teknik
ve idari tedbirleri aldığı hususunda tevsik edici belgeleri Kuruma iletmesi hususunda
talimatlandırılmasına,
• Kişisel verilere kanuni olmayan yollarla başkaları tarafından erişim sağlanması
halinde Kanunun 12 nci maddesinin (5) numaralı fıkrasında düzenlenen hüküm
gereği bu durumun en kısa sürede ilgilisine ve Kurula bildirilmesi gerektiği
hususunda veri sorumlusuna hatırlatmada bulunulmasına,
• Ayrıca, 5237 sayılı Türk Ceza Kanununun “Verileri hukuka aykırı olarak verme
veya ele geçirme” başlıklı 136 ncı maddesinde yer alan suçların işlenmiş olabileceği
410
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
dikkate alınarak, Türk Ceza Kanununun 136 ncı maddesi çerçevesinde ilgili kişinin
kişisel veri niteliğindeki kimlik, müşteri işlem ve finansal bilgilerini (geçmiş yıllara
ilişkin karşılıksız çek ve tedbir kararı bilgileri) sorgulayıp mahkemeye sunan veri
sorumlusu bünyesinde çalışan şahıs hakkında gerekli hukuki işlemlerin tesisi
için konunun Cumhuriyet Başsavcılığına bildirilebileceği yönünde ilgili kişinin
bilgilendirilmesine
karar verilmiştir.
1.4.2 Telekomünikasyon hizmetleri sunan bir veri sorumlusunun ürün satışı
esnasında müşterilerinin pasaport fotoğraflarını çekerek depolaması hakkında
Kişisel Verileri Koruma Kurulunun 03/02/2021 tarihli ve 2021/78 sayılı Karar
Özeti
Kuruma intikal eden bir ihbarda; veri sorumlusu tarafından İstanbul Havalimanı
şubesinde dış hatlara gelen yolculara kontörlü hat satışı gerçekleştirilirken müşterilerin
rızası olmadan, ileride eksik evrak cezası almamak için, müşteri pasaport fotoğraflarının
çekilerek çalışanlardan oluşturulan bir Whatsapp grubunda depolandığı ve üçüncü
kişilerle paylaşıldığı, kendisinin de veri sorumlusunun eski bir çalışanı olarak söz
konusu gruplara üye olduğu, bu kapsamda söz konusu gruplarda paylaşılan pasaport
fotoğraflarının kendi telefonunda da depolandığı ifade edilerek başvuru ekinde söz
konusu pasaport fotoğraflarının örneklerine yer verilmiş ve veri sorumlusu nezdinde
gerekli denetimlerin yapılması talep edilmiştir.
Başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, veri
sorumlusunun avukatı tarafından Kuruma intikal eden cevabi yazıda özetle;
• Veri sorumlusuna ait iş yerinin bir telekomünikasyon şirketi ile sözleşmesinin olduğu,
sistemdeki her işlemin telekomünikasyon şirketi tarafından takip ve kontrol edildiği,
hat açmak için Bilgi Teknolojileri ve İletişim Kurumu (BTK) düzenlemelerine uygun
şekilde yeni müşterilere ait pasaport ve kimliklerin taratılarak sisteme yüklendiği,
mağazada alınan kimlik bilgilerinin telekomünikasyon şirketinin depolama sistemine
gönderilmesi nedeni ile çalışanlarının bu bilgilere tekrar ulaşmasının mümkün olmadığı,
• Veri sorumlusuna ait iş yerinin telekomünikasyon şirketi ile olan sözleşme ve kendi
prosedürleri gereği 24 saat kamera ile izlendiği, çalışanlara yalnızca şirket bilgisayarı
temin edilmekte olduğu ve bu bilgisayarlarda yapılan tüm işlemlerin kamera görüş
açısında olduğu, şahsi telefonların mağaza içerisinde kullanımının yasak olduğu,
bilgisayarlarda ise telekomünikasyon şirketine ait sisteme giriş için her bir çalışana
yalnızca kendisi tarafından bilinen bir kod verilmekte olduğu ve yapılacak her türlü
işlemlerden sorumluluğu olduğu konusunda çalışanların bilgilendirildiği, sistemdeki
her işlemin telekomünikasyon şirketi tarafından takip ve kontrol edildiği, hat açmak
için BTK düzenlemelerine uygun şekilde yeni müşterilere ait pasaport ve kimliklerin
taratılarak sisteme yüklendiği, bilgilerin sisteme yüklendikten sonra ancak iş gereği
kullanılabildiği, bilgilerin kayıt edilmesinin mümkün olmadığı, sistemin aynı
411
KİŞİSEL VERİLERİ KORUMA KURUMU
zamanda Emniyet Genel Müdürlüğü’ne de entegre olduğu, mağazada alınan kimlik
bilgilerinin telekomünikasyon şirketinin depolama sistemine gönderilmesi nedeni
ile şirket çalışanlarının bu bilgilere tekrar ulaşmasının mümkün olmadığı,
• Hat açma işlemlerinin akabinde müşteri bilgilerinin ve kontratın telekomünikasyon
şirketi tarafından incelendiği ve eksik veya yanlış bilgi olması durumunda
telekomünikasyon şirketi tarafından ceza kesildiği, veri sorumlusunun prim
alabilmesinin yapılan satış adedine ve satışın BTK kurallarına uygun olarak eksiksiz
yerine getirilmesine bağlı olduğu,
• Şikayetçinin veri sorumlusu bünyesinde çalıştığı sırada kişisel verilerin korunması
konusunda uyarılmasına rağmen şirketi suçlayıcı gerçeğe aykırı beyanlarda
bulunduğu, şikayetçinin dürüstlük kuralına, hukuka ve hakkaniyete aykırı
davrandığı, iddiaların asılsız olduğunun yapılacak yerinde inceleme ile kolayca
anlaşılabileceği, ilgili telekomünikasyon şirketi tarafından veri sorumlusunun 9000
işleminin incelendiği ve hiçbir usulüz işleme rastlanılmadığı, şikayetçinin müşteri
verilerini sisteme doğru işlememesinden doğan cezaların telekomünikasyon şirketi
tarafından veri sorumlusuna rücu edildiği
ifade edilmiştir.
Bahse konu savunma üzerine, çalışanlara yönelik verildiği ifade edilen eğitimleri
kanıtlayıcı nitelikte belgeler ile eğitimlerin içeriğine ilişkin bilgiler ve yürütüldüğü ifade
edilen incelemelere ilişkin raporların birer örneği ile veri sorumlusunca Kanunun 12 nci
maddesi kapsamında alınan tüm idari ve teknik tedbirlere ilişkin kanıtlayıcı nitelikte
belgelerin Kuruma iletilmesi talep edilmiş olup veri sorumlusunun cevabi yazısında
özetle; yeni işe başlayan çalışanlara yazıları ekinde sunulan kitapçığın verildiği, bu
Madde h — sağlamaksızın telefon numaralarına reklam içerikli ileti yönlendirmek suretiyle ilgili
amacı dışında kullanarak Kanunun 12 nci maddesinin dördüncü fıkrasında öngörülen
yükümlülüğe aykırı davrandığı kanaatine varıldığı
değerlendirmelerinden hareketle;
Hastane müşterilerinin kişisel verilerinin 1. STH tarafından hukuka aykırı bir biçimde
işlendiği ve 1. STH’nin Kanunun 12 nci maddesinin birinci fıkrasının (a) bendi
çerçevesinde kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla
uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri
almadığı sonucuna varıldığından Kanunun 18 inci maddesinin birinci fıkrasının (b)
bendi uyarınca 1. STH hakkında 125.000 TL idari para cezası uygulanmasına karar
verilmiştir.
1.4.5 İlgili kişinin Kanunun 11 nci maddesi kapsamındaki başvurusuna veri
sorumlusu tarafından verilen cevabın yeterli bulunmaması hakkında Kişisel
Verileri Koruma Kurulunun 03/02/2021 tarihli ve 2021/85 sayılı Karar Özeti
Kuruma intikal eden şikâyette; ilgili kişinin “….com.tr” adresinden ürün siparişi
verdiği, bu işlem ve veri sorumlusunun e-bültenine kayıt olması esnasında kişisel
verilerinin işlenmesine ilişkin bir aydınlatmanın sunulmadığı, 26.06.2019 tarihinde veri
sorumlusuna; hangi kişisel verilerinin hangi amaçlarla işlendiği, hangi verilerinin ne
kadar süre ile saklandığı ve bu kişisel verilerin üçüncü taraflarla paylaşılıp paylaşılmadığı
hususlarının yanıtlanması için başvuruda bulunduğu, veri sorumlusunun bu hususlardaki
yanıtlarını içeren cevabî yazısının, 6698 sayılı Kişisel Verilerin Korunması Kanununun
(Kanun) 13 üncü maddesi uyarınca 30 günlük süre içerisinde 23.07.2019 tarihinde ilgili
kişiye iletildiği ancak ilgili kişinin veri sorumlusunun cevabını yeterli bulmadığı zira;
420
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
• Veri sorumlusunun internet sitesinde bulunan “Kişisel Veriler Politikası” (Politika)
Madde 5 — “Bilgilendirme, teklif ve sözleşmenin düzenlenmesi
girme kararını etkileyebilecek hususlar hakkında bilgi verir; dürüstlük ilkeleri
çerçevesinde, emeklilik sözleşmesinin müzakeresi ve düzenlenmesi sırasında
katılımcıya veya sözleşmeyi düzenleyen sponsora veya işverene sistemin işleyişine
ilişkin teknik konularda yardımcı olur, tarafların hak ve yükümlülüklerine ilişkin
gerekli her türlü bilgiyi sağlar, yanıltıcı her türlü hâl ve davranıştan kaçınır.
Bakanlık ilgililere yapılacak bilgilendirmenin asgari içeriğini ve yöntemini belirler.
(2) Şirket, kişinin emekliliğe yönelik beklentilerine, gelir düzeyine ve yaşına uygun bir
emeklilik planı teklifi sunar. (…)”
hükmünün yer aldığı,
• Bu çerçevede, veri sorumlusunun internet sitesinde yer alan “Bireysel Emeklilik
Sözleşmesi Teklif Formu”nun (Teklif Formu) incelenmesinden “İnternet
Ortamında Sunulacak Hizmetlere İlişkin Hükümler” başlığı altında yer verilen
ifadelerden ilgili kişi ile veri sorumlusu arasında akdedilen Hizmet Sözleşmesi ile
ihbar konusu uygulamanın kullanımında talep edilen verilerin veri sorumlusunun
internet üzerinden sunduğu hizmetlerde şifre dışında geliştirilen bir yöntem
olarak görülebileceği, bu durumda, veri sorumlusunun anılan kişisel veriler için
Kanunun 5 inci maddesinin ikinci fıkrasında yer alan “Bir sözleşmenin kurulması
veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına
ait kişisel verilerin işlenmesinin gerekli olması” veri işleme şartına dayanacağı
değerlendirildiğinden hizmetin açık rıza şartına bağlanmasından söz edilemeyeceği,
bununla birlikte ihbara konu olayda söz konusu uygulamanın kullanımı için sunulan
488
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
aydınlatma metninde aynı zamanda kişisel verilerin işlenmesi için açık rıza alındığı,
dolayısıyla veri sorumlusunun savunmasında açık rıza ve aydınlatma kavramlarını
iç içe geçmiş belirsiz bir biçimde kullandığının görüldüğü, bu noktada söz konusu
kişisel veri işleme faaliyetinin hukuki sebebinin açık bir şekilde ifade edilmesinin
veri sorumlusunun yükümlülüğü olduğunun altının çizilmesi gerektiği,
• Ayrıca söz konusu kişisel veri işleme faaliyeti, Kanunda yer alan açık rıza dışındaki
şartlardan birine dayanıyorsa, bu durumda ilgili kişiden açık rıza alınmasına gerek
bulunmadığı ve veri işleme faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi
mümkün iken açık rızaya dayandırılmasının, aldatıcı ve hakkın kötüye kullanımı
niteliğinde olacağı ve bu durumun ise Kanunun 4 üncü maddesinin ikinci fıkrasının
(a) bendinde düzenlenen “hukuka ve dürüstlük kurallarına uygun olma” ilkesine
aykırılık teşkil ettiği,
değerlendirmelerinden hareketle;
• Kanunun 5 inci maddesinde yer alan diğer işleme şartları mevcut iken ilgili kişilerin
açık rızasının alınmasının Kanunun 4 üncü maddesinde yer alan “hukuka ve dürüstlük
kurallarına uygun olma” ilkesine aykırı olduğu dikkate alındığında Kanunun 12 nci
maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerini yerine getirmeyen
veri sorumlusu hakkında, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b)
bendi uyarınca söz konusu uygulamanın ihbar eden dışında pek çok kişi üzerinde
olumsuz etki doğurabileceği, veri sorumlusunun sunduğu hizmet bakımından geniş
bir müşteri kitlesi bulunduğu, Şirketin kusuru, ekonomik durumu ve haksızlık
içeriği gibi hususlar da göz önünde bulundurularak 250.000 TL idari para cezası
uygulanmasına,
• Açık rıza alınması ile ilgili kişiye aydınlatma yapılması tek bir onaya bağlandığından
açık rıza ve aydınlatma metinlerinin ayrı ayrı düzenlenmesi ve sonucundan Kurula
bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
• Aydınlatma metninde muğlak ifadelere yer verildiği dikkate alındığında veri
sorumlusunun aydınlatma yükümlülüğünü Kanun ve Aydınlatma Yükümlülüğünün
Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümleri
ile uyumlu olacak şekilde düzenlenmesi ve sonucundan Kurula bilgi verilmesi
hususunda talimatlandırılmasına karar verilmiştir.
1.4.25 “Bir hastanenin veri ihlal bildirimi hakkında” Kişisel Verileri Koruma
Kurulunun 20/04/2021 tarih ve 2021/407 sayılı Karar Özeti
Veri sorumlusu bir hastane tarafından Kuruma intikal ettirilen veri ihlal bildiriminde;
• Veri ihlalinin; hastanede çalışan hekimin hastalarına ait dosyaların arşivden
alınarak kendisinin talimatıyla bazı hastane çalışanları aracılığıyla hastane dışına
çıkarılmasıyla gerçekleştiği,
489
KİŞİSEL VERİLERİ KORUMA KURUMU
• Veri ihlalinin; dosyaları hastane dışına çıkarmaya teşebbüs eden bir çalışanın
görülmesinden 17 gün sonra kamera kayıtlarının incelenmesi neticesinde tam olarak
tespit edildiği,
• İhlalden 789 hastanın etkilendiği,
• İhlalden kimlik, iletişim, sağlık bilgileri ve genetik verilerin hasta kartında yer
alan bilgiler (T.C Kimlik numarası, adı, soyadı, baba adı, ana adı, sosyal güvenlik
numarası, özel sigorta, anlaşmalı kurum, çalıştığı kurum, uyruğu, doğum tarihi,
cinsiyet, medeni hali, kan grubu, mesleği, vergi dairesi, vergi numarası, adres, posta
kodu, e-posta, ev telefonu, iş telefonu, cep telefonu, son randevu cep ve ev telefonu,
sigortalı durumu, emekli olup olmadığı, poliçe no, engel durumu, çalışan adı, tedavi
olunan doktorlar ve branşlar gibi bilgiler) ile hasta dosyası anamnez içeriğinin
(kullandığı ilaçlar, alışkanlıklar, alerjik öyküsü, soygeçmiş, psikolojik durum,
bulgular, laboratuvar tetkikleri, öntanı, tanı, tedavi ve bakım planı, geçirmiş olunan
hastalıklar, ameliyatlar vb. bilgiler) etkilendiği ifadelerine yer verilmiştir.
• Veri ihlal bildiriminin Kurumumuzun yetki ve görev alanı çerçevesinde incelenmesi
neticesinde; Kişisel Verileri Koruma Kurulunun 20/04/2021 tarih ve 2021/407 sayılı
Kararı ile;
• İhlalden 789 hastanın etkilendiği, ancak karakol tutanağına göre tespit edilen
54 adet hasta dosyasının geri alınarak yedieminliğe teslim edildiği, geri kalan
dosyaların akıbetinin ise bilinmediği dikkate alındığından hasta dosyalarının
kaybolması durumunun önlenemediği ve bu durumun söz konusu hasta dosyalarının
kaybolmasına yönelik risklerin azaltılmasına dair yeterli tedbirlerin alınmadığını
gösterdiği,
• İhlalden; kimlik, iletişim, lokasyon, özlük, genetik veri, sağlık verileri gibi veri
kategorilerine ait çok sayıda kişisel verinin ve özel nitelikli kişisel verinin etkilenmiş
olduğu hususunun ilgili kişilerin ihlal sebebiyle önemli olumsuz etkilere maruz
kalmaları olasılığının bulunduğunun göstergesi olduğu,
• İhlal ile ilgili olan çalışanların, sağlık verileri ve genetik veriler de dahil olmak üzere
özel nitelikli çok sayıda kişisel verinin işlenme sürecinde yer aldığı göz önünde
bulundurulduğunda; veri sorumlusu tarafından çalışanlara tanımlanan kişisel
verilerin korunması eğitiminin tamamlanmasının sağlanmadığı, eski çalışanın
kişisel verilerin korunması ile ilgili eğitim almış olmasına rağmen arşiv odasındaki
belgelerin taşınmasına yardım ettiğinin anlaşıldığı dikkate alındığında Kişisel
Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı “Özel Nitelikli
Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli
Önlemler” ile ilgili Kararında yer alan “Özel nitelikli kişisel verilerin işlenmesi
süreçlerinde yer alan çalışanlara yönelik, a) Kanun ve buna bağlı yönetmelikler ile
özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,
… gerekir.” ifadesine aykırı olarak veri sorumlusu tarafından çalışanlara kişisel
verilerin korunmasına yönelik yeterli eğitimin verilmediğinin göstergesi olduğu,
490
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
• İhlal şüphesini doğuran olayların bulunmasına rağmen; ihlalin 17 gün sonra
tespit edilmesinin veri sorumlusu tarafından kişisel veri güvenliği politika ve
prosedürlerinin iyi bir şekilde hazırlanmadığı veya takip edilmediği, ayrıca bu
durumun alınan mevcut güvenlik önlemlerinin etkili kullanılamadığı hususlarının
göstergesi olduğu,
• İhlali gerçekleştiren ve diğer çalışanların Başhekimliğin izni ve onayı bulunmaksızın
eski çalışanın ve aynı yerde yer alan bir şirket çalışanının arşiv odasına girebildiği
ve hasta dosyalarını dışarı çıkarabildiği, ayrıca söz konusu durumun kamera
kayıtlarında görülmesine rağmen 1 ayı aşkın süre boyunca ihlalin devam ettiği
ve kamera kayıtlarının ancak ihlal anlaşıldıktan sonra kontrol edildiği hususunun
Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Özel
Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken
Yeterli Önlemler” ile ilgili Kararında yer alan “… Bu ortamların fiziksel güvenliğinin
sağlanarak yetkisiz giriş çıkışların engellenmesi … gerekir.” ifadesine aykırı
olarak kamera kayıtlarının kontrolünün ve hastalara ait kayıtların tutulduğu arşiv
odasına yetkili olmayan kişilerin girmemesini sağlayacak yeterli idari tedbirlerin
alınmadığını gösterdiği,
• İhlalin gerçekleşmesinden önce, Kişisel Verileri Koruma ve Bilgi Güvenliği Kurulu
oluşturulmasına, Veri İhlali Müdahale Planı hazırlanmasına ve KVKK kapsamında
ilgili kişilerden veya kurumlardan gelecek talepleri karşılamak üzere algoritma
oluşturulmasına rağmen yedieminliğe teslim edilen hasta dosyalarının hastane
arşivindekilerden daha fazla veri içerdiğinin ihlalden sonra tespit edildiği hususlarının
Kişisel Veri Güvenliği Rehberi”nin “Kişisel Veri Güvenliği Politikalarının ve
Prosedürlerinin Belirlenmesi” başlığı altında yer alan “Kişisel veri güvenliğine
ilişkin belirlenecek doğru ve tutarlı politika ve prosedürler, veri sorumlusunun
çalışma ve işleyişine uygun şekilde entegre edilmelidir. Veri sorumlularınca politika
ve prosedürler iyi bir şekilde ve zamanında hazırlanamadığında, sorunlu alanlar
belirlenemediğinde veya mevcut güvenlik önlemleri kullanılamadığında kişisel
veri güvenlik seviyesi yeteri kadar sağlanamamaktadır.” ifadelerinde yer aldığı
üzere, veri sorumlusu tarafından alınan mevcut güvenlik önlemlerinin iyi bir
şekilde hazırlanmaması veya kullanamaması nedeniyle ihlalin tespit edilmesi ve
önlenmesine yönelik tedbirlerin zamanında ve yeterli ölçüde alınamadığı,
• İzinsiz olarak hastaneden çıkarılan birçok hasta dosyasının akıbetinin halen
bilinmemesinin “Kişisel Veri Güvenliği Rehberi”nin “Mevcut Risk ve Tehditlerin
Belirlenmesi” başlığı altında yer alan “Kişisel verilerin güvenliğinin sağlanması için
öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu
verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının
ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek
buna uygun tedbirlerin alınması gerekmektedir. Bu riskler belirlenirken; Kişisel
verilerin özel nitelikli kişisel veri olup olmadığı, Mahiyeti gereği hangi derecede
gizlilik seviyesi gerektirdiği, Güvenlik ihlali halinde ilgili kişi bakımından ortaya
çıkabilecek zararın niteliği ve niceliği dikkate alınmalıdır. Bu risklerin tanımlanması
491
KİŞİSEL VERİLERİ KORUMA KURUMU
ve önceliğinin belirlenmesinden sonra; söz konusu risklerin azaltılması ya da ortadan
kaldırılmasına yönelik kontrol ve çözüm alternatifleri; maliyet, uygulanabilirlik
ve yararlılık ilkeleri doğrultusunda değerlendirilmeli, gerekli teknik ve idari
tedbirler planlanarak uygulamaya konulmalıdır …” ifadelerine aykırı olarak
hasta dosyalarının kaybolması durumunun önlenemediği veya kaybolması halinde
risklerin azaltılmasına dair yeterli tedbir alınmadığını gösterdiği,
dikkate alındığında;
Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya
yönelik gerekli tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık içeriği,
veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun
18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 450.000 TL;
- İhlalin tespit edilmesinden 25 gün sonra Kuruma bildirildiği,
- İlgili kişilerden hastaneye gelen bir kişi dışında, hiç birine ihlalin bildirilmemiş olduğu,
hususları dikkate alındığında;
Kanunun 12 nci maddesinin (5) numaralı fıkrası hükmü ve Kişisel Veri İhlali Bildirim
Usul ve Esaslarına İlişkin Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10
sayılı Kararında yer alan ‘en kısa sürede’ ifadesinin 72 saat olarak yorumlanmasına
yönelik ifadeleri çerçevesinde bildirim yükümlülüğünü yerine getirmeyen veri sorumlusu
hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu
da göz önünde bulundurularak Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b)
bendi uyarınca 150.000 TL,
olmak üzere toplam 600.000 TL idari para cezası uygulanmasına,
İlgili kişilere Kurulun 24.01.2019 tarih ve 2019/10 sayılı Kararında yer alan hususları
içeren bir bildirim yapılarak sonucundan Kurula bilgi verilmesi hususunda veri
sorumlusunun talimatlandırılmasına,
karar verilmiştir.
1.4.26 “İlgili kişinin fotoğraflarının veri sorumlusuna ait bir sosyal medya hesabında
paylaşılması suretiyle gerçekleşen kişisel veri işleme faaliyeti” hakkında Kişisel
Verileri Koruma Kurulunun 27/04/2021 tarihli ve 2021/422 sayılı Karar Özeti
Kuruma intikal eden şikâyet dilekçesinde özetle; ilgili kişinin veri sorumlusunun iş
yerinde pilates eğitmeni olarak çalıştığı, iş ilişkisinin sona ermesinden sonraki tarihlerde
veri sorumlusunun sosyal medya hesabından ilgili kişinin fotoğraflarını kullanarak
herkese açık şekilde paylaşımlarda bulunduğu, bu sebeple veri sorumlusuna başvuruda
bulunularak ilgili paylaşımının kaldırılması, fotoğrafların ilgili kişiye iade edilmesi,
veri sorumlusunda bulunan fotoğrafların yok edilmesi ve veri sorumlusu nezdinde
reklam veya başka bir amaçla sosyal medyada kullanılmamasının talep edildiği,
492
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
veri sorumlusunun başvuruya cevabında söz konusu fotoğrafların kullanımından
vazgeçildiğini belirtmesine karşın, herkes tarafından erişilebilir sosyal medya hesabında
fotoğrafların yayınlanmaya devam ettiği, ilgili kişinin açık rızası alınmamasına rağmen
fotoğrafların paylaşıldığı ve talebe rağmen sosyal medya platformundan kaldırılmadığı,
paylaşılan fotoğrafla ilgili olarak ilgili kişiye hiçbir bilgilendirme yapılmadığı ve
aydınlatma yükümlülüğünün de yerine getirilmediği, söz konusu fotoğraf paylaşımının
6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) aykırı olduğu belirtilerek,
veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.
Başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş; ancak veri
sorumlusu tarafından savunma, bilgi ve belge talepli Kurum yazısına herhangi bir cevap
verilmemiştir.
Bununla birlikte, ilgili kişinin şikâyeti neticesinde veri sorumlusunun ilgili kişiye ilettiği
cevabi nitelikli yazısında; veri sorumlusunun eski çalışanı olan ve çalıştığı döneme
ilişkin olarak veri sorumlusu reklamlarında şahsi hiçbir özelliği ön plana çıkarılmadan,
şirket çalışanı olarak o tarihte kendi isteği ile reklam çekimlerinde yer alması nedeniyle
ilgili kişiye ait fotoğrafların şirketin tanıtımına ilişkin bölümlerde yer aldığı, tanıtım
fotoğraflarında ilgili kişinin şahsına ilişkin bir kayıt ve bilgi bulunmadığı, fotoğrafların
ilgili kişinin bilgisi ve izni ile çekildiği, ilgili kişinin şahsına ve kişilik haklarına ilişkin
bir aykırılık bulunmadığı yine de ihtarname sonrası ilgili kişinin talebi doğrultusunda
fotoğrafların kullanımından vazgeçildiği, ilgili kişinin izni ile reklam şirketi tarafından
tanıtım amaçlı çekilen şirket faaliyetlerine ilişkin fotoğrafların şirket reklamlarındaki
görsellerden kaldırılması nedeniyle şirket yönünden ayrıca bir zarar oluştuğu ifadelerine
yer verildiği görülmüştür.
Eldeki bilgi ve belgeler çerçevesinde konuya ilişkin yapılan incelemede Kişisel Verileri
Koruma Kurulunun 27/04/2021 tarihli ve 2021/422 sayılı Kararı ile;
• Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesinin (1) numaralı
fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2)
numaralı fıkrasında belirtilen hallerden birinin varlığı hâlinde, ilgili kişinin açık
rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer
aldığı,
• Diğer taraftan, Kanunun 7 nci maddesinde “Kişisel Verilerin Silinmesi, Yok Edilmesi
veya Anonim Hâle Getirilmesi” hususu düzenlenmiş olup maddede;
“(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına
rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler
resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya
anonim hâle getirilir.
(2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer
kanunlarda yer alan hükümler saklıdır.
(3) Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin
usul ve esaslar yönetmelikle düzenlenir.”
493
KİŞİSEL VERİLERİ KORUMA KURUMU
hükümlerine yer verildiği,
• 28.10.2017 tarih ve 30224 sayılı Resmi Gazete’de yayımlanan “Kişisel Verilerin
Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin
(Yönetmelik) “Kişisel Verileri İlgili Kişinin Talep Etmesi Durumunda Silme ve Yok
Etme Süreleri” başlıklı 12 nci maddesinde ise;
“(1) İlgili kişi, Kanunun 13 üncü maddesine istinaden veri sorumlusuna başvurarak
kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;
a) Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe
konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu, ilgili kişinin
talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.
b) Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel
veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir;
üçüncü kişi nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin
eder.
c) Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri
sorumlusunca Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca gerekçesi
açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak
ya da elektronik ortamda bildirilir.”
hükmünün yer aldığı,
• Yönetmeliğin “Kişisel verilerin silinmesi” başlıklı 8 inci maddesinin (2) numaralı
fıkrasının, “Veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar için erişilemez
ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri
almakla yükümlüdür.”; “Kişisel verilerin yok edilmesi” başlıklı 9 uncu maddesinin
(2) numaralı fıkrasının ise, “Veri sorumlusu, kişisel verilerin yok edilmesiyle ilgili
gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.” hükümlerini haiz
olduğu,
• Şikâyet konusu sosyal medya hesabında, ilgili kişinin paylaşılan fotoğraflarının
yayınlanmaya devam ettiği ve hesaptan kaldırılmadığı, 15.05.2019 tarihli paylaşımda
ilgili kişinin fotoğrafının arka planda ve hafif bulanık şekilde paylaşıldığı, 20.05.2019
tarihli paylaşımda ilgili kişinin fotoğrafının net şekilde seçilebildiği,
• Veri sorumlusunun savunma, bilgi ve belge talepli Kurum yazısına yasal süre
içerisinde herhangi bir cevap vermemesi karşısında, ilgili kişinin söz konusu veri
işleme faaliyeti açısından açık rızasının alındığına ilişkin herhangi bir somut bilgi veya
belge edinilemediği için, veri sorumlusunun Kanunun 5 inci maddesi kapsamında
herhangi bir kişisel veri işleme şartına dayanmaksızın ilgili kişinin kişisel verilerini
hukuka aykırı şekilde işlemek suretiyle Kanunun 12 nci maddesinin (1) numaralı
fıkrası kapsamında uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve
idari tedbirleri almadığı,
• Öte yandan ilgili kişinin talebi üzerine fotoğraflarının Yönetmeliğin 12 nci maddesinin
494
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
(1) numaralı fıkrasının (a) bendinde öngörülen otuz günlük yasal süre içinde
silinmesi/yok edilmesi gerektiği, yasal süre geçtikten sonra halen devam eden veri
işleme faaliyetinin bu kapsamda yine hukuka aykırı olduğu değerlendirmelerinden
hareketle;
• İlgili kişinin fotoğraflarının veri sorumlusuna ait sosyal medya hesabından
kaldırılmaması nedeniyle veri sorumlusunun Kanunun 5 inci maddesi kapsamında
herhangi bir kişisel veri işleme şartına dayanmaksızın kişisel verileri hukuka
aykırı şekilde işlemek suretiyle Kanunun 12 nci maddesinin (1) numaralı fıkrası
kapsamında uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari
tedbirleri almadığı kanaatine varılması nedeniyle veri sorumlusu hakkında Kanunun
18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası
uygulanmasına,
• Veri sorumlusunun sosyal medya hesabında bulunan ilgili kişiye ait tüm fotoğrafların
kaldırılması ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale
Getirilmesi Hakkında Yönetmelik hükümleri uyarınca uygun usulle silinmesi/
yok edilmesi, söz konusu fotoğrafların başka hiçbir mecrada kullanılmaması
ve bu işlemlerin sonucundan Kurula bilgi verilmesi yönünde veri sorumlusunun
talimatlandırılmasına karar verilmiştir.
1.4.27 “Bir bankanın, varlık yönetim şirketinin ve üç farklı avukatın borçlu
olmayan ilgili kişinin kişisel verisini işleyerek icra takibi başlattıkları iddiası”
hakkında Kişisel Verileri Koruma Kurulunun 27/04/2021 tarihli ve 2021/424 sayılı
Karar Özeti
Kurumumuza intikal eden şikâyet dilekçesinde;
• İlgili kişiye yönelik olarak yetkili icra dairesi tarafından icra takibi başlatıldığı, ilgili
kişinin bu durumu 2017 yılı Şubat ayında ev kredisi çekmek isterken öğrendiği,
2010 yılında ilgili kişinin evine gelen bir saha müfettişinin, ilgili Bankaya borçlu
olduğunu ve bunu ödemesi gerektiğini söylediği,
• İlgili kişinin bu şahsa, kendisinin Bankaya hiçbir şekilde gitmediğini ve bahse konu
Bankada bir hesabının da bulunmadığını söylediği, adresini ne şekilde öğrendiğini
sorduğunda “biz buluruz” cevabını aldığı,
• İlgili kişinin Banka şubesi ile görüştüğü, şube personelinin ilgili kişiye ait kimlik
fotokopisini alarak merkeze faks çektiği ve ilgili kişiye, Bankaya borçlu olan şahsın
kendisi değil, bir erkek olduğunu söyledikleri fakat aradan geçen yıllar içerisinde
Varlık Yönetimi Şirketi tarafından ilgili kişinin sürekli olarak arandığı ve ilgili
kişinin o kişinin kendisi olmadığı bilgisini Varlık Yönetim Şirketine iletmesine
karşın bu aramaların sürdürüldüğü,
• Söz konusu icra dosyasında gerçek borçluya ilişkin tüm bilgilerin bulunmasına karşın
ilgili kişinin kimlik numarasını kullanarak Bankanın, Varlık Yönetim Şirketinin ve
495
KİŞİSEL VERİLERİ KORUMA KURUMU
üç farklı avukatın borçlu olmayan ilgili kişiye icra takibi başlattıkları,
• İlgili kişinin konu hakkında BİMER’e bulunduğu şikâyet üzerine açılan soruşturma
dosyasına Banka şubesinin verdiği cevapta ilgili kişinin 21.02.2017 tarihinde şubeye
başvurması sonucu gerekli güncellemelerin yapılarak T.C. kimlik numarasının
sistemden silindiği ve kredi kayıt bürosu (KKB) kayıtlarının düzeltildiği, takip
hesabının devir yapıldığı Varlık Yönetimi Şirketine ayrıca bilgilendirmenin
yapıldığının belirtildiği,
• Varlık Yönetim Şirketinin söz konusu borcu ilgili kişinin T.C. kimlik numarası
üzerinden kaldırmadığı, Banka tarafından düzeltildiği iddia edilen KKB kayıtlarının
düzeltilmediği, ilgili kişinin bu hususta aldığı TBB Risk Merkezi Raporunun bunu
doğruladığı, BİMER vasıtasıyla alınan Banka yanıtının Varlık Yönetimi Şirketine
faks yoluyla bildirilmesine karşın aramaların devam etmekte olduğu,
• Veri sorumlusu Banka, Varlık Yönetimi Şirketi ve avukatların ilgili kişinin T.C.
kimlik numarasını nasıl ve nereden edindiğinin meçhul olduğu, bu bilgilerin üçüncü
şahıslara verilerek ilgili kişinin mağdur edildiği, kara listeye aldırıldığı ve dosya
bilgilerinin incelenmeksizin ilgili kişiye icra takibi yapmakta ısrar edildiği,
hususları ifade edilerek anılan taraflar hakkında 6698 sayılı Kişisel Verilerin Korunması
Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme neticesinde Bankanın, Varlık Yönetim Şirketinin ve
avukatların savunması istenilmiş olup, Bankadan alınan cevabi yazıda özetle;
• İlgili kişi ile Banka arasındaki müşteri ilişkisinin 23.06.2003 tarihinde kurulduğu
ve kredinin 28.11.2007 tarihinde bankanın kanuni takip hesaplarına intikal ettiği,
ödeme yapılmaması üzerine 09.02.2008 tarihinde yetkili İcra Müdürlüğünün dosyası
ile kredili müşteri aleyhine icra takibi başlatıldığı, takip süreci içerisinde herhangi
bir tahsilat sağlanamadığından kredi riskinin 05.01.2010 tarihinde Varlık Yönetim
Şirketine temlik edildiği,
• 21.02.2017 tarihinde Bankanın ilgili şubesine şikâyetçi tarafından başvuru yapılarak
borçlu olarak görünen kişi ile isim benzerliği olduğunu ve hatanın düzeltilmesini talep
ettiği, bunun üzerine yapılan kontrollerde, ilgili kişiye ait T.C. kimlik numarasının,
borçlu adına tanımlı olduğunun ve ilgili kişi ile borçlunun Banka sistemlerinde
sadece T.C. kimlik numarasının aynı olup diğer tüm verilerinin ise farklı olduğunun
tespit edildiği, böylelikle takip borçlusu için 23.06.2003 tarihinde müşteri kaydı
oluşturulduğu sırada T.C. kimlik numarası olarak sehven ilgili kişiye ait T.C. kimlik
numarasının kaydedildiğinin anlaşıldığı,
• Veri sorumlusu Bankaya şikâyetin ulaştığı 21.02.2017 tarihinde derhal ilgili
kişinin T.C. kimlik numarasının, borçlunun müşteri bilgileri altından silinmesinin
sağlandığı, ayrıca Kredi Referans Sistemi (KRS) ekranlarında yapılan kontrollerde
5 yıl geçtiği için kayıtların da silindiğinin görüldüğü, Bankaca yapılan tespit üzerine,
dosyanın temlik edildiği yeni alacaklı Varlık Yönetim Şirketine bilgilendirme
496
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
yapılarak borçlunun telefon numarası verisinin güncel ve doğru olmasına ilişkin
sorumluluğunu yerine getirildiği,
• Yapılan incelemede ilgili kişinin 30.10.2019 tarihinde Bankaya ilettiği başvurusuna
12.11.2019 tarihinde yanıt verildiği ancak bu cevabın sehven farklı uzantılı bir
e-posta adresi üzerinden iletilmeye çalışıldığı fakat KEP uzantılı e-posta hesaplarına
ancak KEP uzantılı e-postalar aracılığı ile gönderim yapılabildiğinden bahse konu
cevabın ilgili kişiye ulaşmadığı hususları ifade edilmiştir.
Veri sorumlusu Varlık Yönetim Şirketinden alınan cevabi yazıda özetle;
• Sözleşme kapsamında şirketin yeni alacaklısı konumunda olduğu kredi borcu
bakımından alacağın takibine ve tahsiline yönelik hukuki işlemlerin temlik
sözleşmesinin imzalanmasından önceki dönemde Banka tarafından başlatılmış
olduğu ve borçlu taraf olarak ilgili kişi ile arasında isim benzerliği bulunan üçüncü
kişinin gösterilmesi gerekirken ilgili kişinin borçlu taraf olarak gösterildiği,
• İcra Müdürlüğü dosyasında mevcut bulunduğu belirtilen müzekkerede borçluya
ait kimlik bilgilerinin yer almasına karşın, borçlunun adresinin tespiti için 2009
yılında SSK Tahsisler Daire Başkanlığına yazılan yazıda, veri sorumlusu Banka
tarafından ilgili kişiye ait olan T.C. kimlik numarasına yer verildiği, bu işlemlerin
hepsinin Banka ile Şirketleri arasında akdedilen sözleşmenin imzasından önce
gerçekleştirildiği,
• İlgili kişinin Haziran 2019 tarihine kadar Şirketlerine herhangi bir başvuruda
bulunmadığı, bu tarihte iletilen şikâyet üzerine ivedilikle veri sorumlusu Banka ile
iletişime geçerek bilgi talebinde bulunduğu, bunu müteakip veri sorumlusu Bankadan
yapılan, ilgili kişinin T.C. kimlik numarasının sehven borçluya ait MBB numarasının
üzerine kaydedildiği bilgilendirmesi üzerine veri sorumlusu şirket tarafından
ilgili kişiye, dosyadan taraf kaydının ve T.C. kimlik numarasının silindiğine dair
bilgilendirmede bulunulduğu, Banka tarafından iletilen bilgiler doğrultusunda ilgili
kişinin kişisel verilerinin tahsilat sisteminden silindiği ve 29.07.2019 tarihinde TBB
Risk Merkezi’nde ilgili kişinin kendilerine borçlu olmadığına dair güncellemenin
gerçekleştirildiği,
• Bu konulara ilişkin bilgilendirmenin ilgili kişiye noter ihtarnamesi vasıtasıyla
yapıldığı, tahsilat sistemleri ve TBB Risk Merkezi bilgilerinde yapılan sorgular
sonucunda ilgili kişiye ait bilgilerin sonuçlar arasında gösterilmediği ve “veri
bulunamadı” sonucu alındığının doğrulandığı ve bu hususta ilgili kişiye bilgi
verildiği,
• İlgili kişiye ait kişisel verilerin arşiv kayıtlarının saklanmasının hukukî mesnedinin
ileride doğabilecek uyuşmazlıklarda delil teşkil etmesi bakımından ilgili mahkeme
veya yetkili kurum ve kuruluşlara ibraz edilmesi amacıyla sınırlı olarak, Kanunun
5 inci maddesinin (2) numaralı fıkrasının (e) bendinde yer verilen kişisel verilerin
işlenmesinin bir hakkın tesisi, kullanılması veya korunması için zorunlu olması
hükmü olduğu,
497
KİŞİSEL VERİLERİ KORUMA KURUMU
ifade edilmiştir.
İlk avukattan alınan yazıda özetle;
• Kendisinin 13 yıl kadar önce, 2007-2008 yılları içinde çok kısa bir dönem ilgili
Bankanın vekillik görevini icra ettiği ve 2008 yılı içinde vekillik görevinden
ayrılarak tarafınca açılan tüm dosyaları bankaya devir ve teslim ettiği, bu tarihten
sonra bu dosyalarla ilgili hiçbir işlemin tarafı olmadığı,
• Söz konusu dönemde kendisi tarafından açılan icra takiplerine ilişkin ad, soyad,
adres gibi bilgilerin tamamının Banka tarafından kendisine iletildiği ve buna göre
icra takiplerinin başlatıldığı, bu bilgilerde bir hata var ise kendisinin bunu bilmesine
imkân olmadığı,
ifade edilmiştir.
İkinci avukattan alınan yazıda özetle,
• Şikâyete konu icra dosyasında avukatlığını yaptığı müvekkil şirketin bir varlık
yönetimi şirketi olduğu ve bankaların tahsili gecikmiş alacaklarını ihale usulü ile
satın alarak elde etmekte olduğu,
• Genel olarak bu tür dosyalarda yeni bir icra takip işleminin yapılmayıp bankaların
daha önce açmış olduğu icra takipleri üzerinden işlemlere devam edilmekte olduğu,
bu aşamada yeni bir takip yapılmadığından bankalarca icra dosyası açılırken girilen
bilgilerin dosyanın devamında kullanılmakta olduğu,
• Müvekkil Şirketin bahse konu dosyadaki borçlunun mal varlığının tespiti için mal
varlığı sorgulama işleminin yapılması talimatını verdiği,
• Kişisel verilerin kendisine ait hukuk bürosu uhdesinde kayıt altında tutulmadığı,
müvekkil Şirket ile yapılan yazışmalarda da müvekkil Şirketin hem şirket bünyesinde
hem de Bankada tutulan bilgilerin silinmesini sağladığı bilgilerinin kendilerine
iletildiği,
hususları ifade edilmiştir.
Üçüncü avukat tarafından ise Kurum yazısına herhangi bir cevap verilmemiştir.
• Konuya ilişkin yapılan incelemede Kişisel Verileri Koruma Kurulunun 27/04/2021
tarihli ve 2021/424 sayılı Kararı ile;
• 6698 sayılı Kişisel Verilerin Korunması Kanununun “Tanımlar” başlıklı 3 üncü
maddesinde ilgili kişinin, kişisel verisi işlenen gerçek kişi; veri sorumlusunun,
kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin
kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi; veri işleyenin
ise veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen
gerçek veya tüzel kişi olarak tanımlandığı,
• Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı
498
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2)
numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle
rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik
tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün
korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan
doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin
işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine
getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş
olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu
olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri
sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından
birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin
işlenmesinin mümkün olduğu hükümlerinin yer almakta olduğu,
• Şikâyet konusu evrakta ilgili kişiye ait T.C. kimlik numarasının yer aldığı görülmekle
birlikte cinsiyet, adres, anne ve baba adı gibi verilerin farklı olduğu, Emniyet
Müdürlüğünün İcra Müdürlüğüne böyle bir kişinin belirtilen adreste bulunmadığı
bilgisini ilettiği, bunun üzerine veri sorumlusu Banka tarafından borçlunun adres
bilgilerinin tespiti için müzekkere yazdırıldığı, bu müzekkerede de ilgili kişinin
borçlu ile aynı olan isim, soy isim ve doğum tarihi bilgileri dışında T.C. kimlik
numarasının da yer aldığı fakat doğum tarihi ve ana baba adı gibi verilerinin
kendisine ait olmadığının tespit edildiği,
• İlgili kişinin dilekçe ile veri sorumlusu bankaya ve BİMER (CİMER) üzerinden
savcılığa şikâyette bulunması üzerine Cumhuriyet Başsavcılığı tarafınca açılan
Soruşturma Dosyası kapsamında veri sorumlusu Banka tarafından Başsavcılığa
verilen yanıtta ilgili kişinin şubelerine başvurması sonucu gerekli güncellemelerin
yapılarak T.C. kimlik numarasının sistemden silindiği, KKB kayıtlarının düzeltildiği,
takip hesabının devir yapıldığı, Varlık Yönetim Şirketine ayrıca bilgilendirme
yapıldığının veri sorumlusu Bankanın 2017 yılı içerisindeki kendi içerisinde ve
Varlık Yönetimi Şirketi ile yaptığı yazışmalardan görüldüğü,
• Öte yandan ilgili kişinin de 06.07.2017 tarihinde veri sorumlusu Varlık Yönetimi
Şirketinin hattına, bankanın Cumhuriyet Başsavcılığına verdiği yanıtı faks
gönderdiği, bununla birlikte 2017-2019 yılları arasında Varlık Yönetimi Şirketinin
kurumsal hesabıyla Whatsapp uygulaması üzerinden yapılan yazışmalar ile, konuyu
kendilerine intikal ettirmesine ve talebinin ilgili birime iletildiğine dair geri bildirim
almasına karşın ilgili kişiye Varlık Yönetimi Şirketi tarafından yapılan aramaların
2019 yılı içerisinde dahi devam ettiği, ilgili kişiye ait borçların sistemden ve TBB
Risk Merkezinden ilgili kişinin şikâyet kaydının oluşturulduğu Haziran-Temmuz
2019 tarihlerine kadar silinmediğinin anlaşıldığı,
• Somut olayda Banka ile Varlık Yönetimi Şirketinin Kanunun 3 üncü maddesi
kapsamında veri sorumlusu sıfatını haiz olduğu, bununla birlikte veri sorumlusu
Banka ve Varlık Yönetim Şirketi ile birlikte şikâyet olunan avukatların ise Bankanın/
499
KİŞİSEL VERİLERİ KORUMA KURUMU
Varlık Yönetim Şirketinin dosya kapsamındaki vekilleri olduğu, kendilerinin veri
sorumlusu Banka ile veri sorumlusu Varlık Yönetim Şirketinin talimatları altında
kişisel veri işlediği ve birtakım yasal işlemleri yürütmekten ibaret olan vazifelerini
yerine getirdikleri, şikâyet edilen avukatların kendi iradeleriyle “kişisel verilerin
işlenme amaçlarını belirleyerek” herhangi bir kişisel veri işleme faaliyeti yürüttüğüne
dair tevsik edici bir belge Kuruma ulaşmamış olduğundan mezkûr şahısların veri
sorumlusu sıfatını haiz olmadıklarının anlaşıldığı,
• Kanunun “Geçiş hükümleri” başlıklı Geçici 1 inci maddesinin (3) numaralı
fıkrasının “Bu Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı
tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilir. Bu
Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinir, yok edilir
veya anonim hale getirilir. ….”; “Yürürlük” başlıklı 32 nci maddesinin ise “Bu
Kanunun; a) 8’inci, 9’uncu, 11’inci, 13’üncü, 14’üncü, 15’inci, 16’ncı, 17’nci ve
18’inci maddeleri yayımı tarihinden altı ay sonra, b) Diğer maddeleri ise yayımı
tarihinde, yürürlüğe girer.” hükmünü amir olduğu,
• İlgili kişinin kişisel verilerinin veri sorumlusu Banka tarafından Kanun yürürlüğe
girmeden önce işlendiği, akdedilen alacak temlik sözleşmesine dayanarak hukuka
uygun olarak veri sorumlusu Varlık Yönetim Şirketine aktarıldığı, öte yandan
Kanunun Geçici 1 inci maddesinin (3) numaralı fıkrasında yer alan “Kanunun yayımı
tarihinden önce işlenmiş kişisel veriler yayımı tarihinden itibaren iki yıl içinde
Kanuna uygun hale getirilir” hükmü çerçevesinde ilgili kişinin 2017 yılında yaptığı
başvuruya istinaden ilgili kişinin kişisel verilerinin Banka tarafından düzeltildiği,
• Bununla birlikte veri sorumlusu Bankanın, ilgili kişinin kendisine yaptığı başvuruya
Kanun ve Tebliğ hükümleri kapsamında cevap vermediğinin görüldüğü,
• Veri sorumlusu Varlık Yönetimi Şirketinin, veri sorumlusu Banka tarafından
akdedilen sözleşme kapsamında kendisine aktarılmış olan kişisel verileri kullandığı
görülmekle birlikte, ilgili kişiye ait kişisel verilerin veri sorumlusu Banka tarafından
veri sorumlusu Varlık Yönetimi Şirketine aktarımının, Kanunun 5 inci maddesinin
(2) numaralı fıkrasının (e) bendinde ifade olunan “Bir hakkın tesisi, kullanılması
veya korunması için veri işlemenin zorunlu olması” uyarınca hukuka uygun olduğu
kanaatinin hâsıl olduğu,
• Ancak veri sorumlusu varlık yönetimi şirketinin ilgili kişi ve veri sorumlusu Banka
tarafından 2017 yılı içerisinde yapılan e-posta, faks ve Whatsapp uygulaması
yollarıyla yapılan bütün bildirimlere karşın ilgili kişinin dosyası hakkında bir şikâyet
kaydı oluşturmadığı, bu sebeple ilgili kişinin aslında var olmayan borcunu ödemesi
hususunda telefonla rahatsız edilmeye devam edildiği, şirket bünyesindeki kişisel
verilerinin silinmeyip UYAP’tan taraf kaydının kaldırılmadığı, bu sebeple TBB
Risk Merkezi veri tabanında ilgili kişiye kayıtlı borçların görüntülenmeye devam
edildiği, bu durumun Kanunun 12 nci maddesini ihlâl ettiği
değerlendirmelerinden hareketle;
500
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
• İlgili kişinin kişisel verilerinin Banka tarafından Kanun yürürlüğe girmeden önce
işlendiği, akdedilen alacak temlik sözleşmesine dayanarak hukuka uygun olarak
Varlık Yönetim Şirketine aktardığı, öte yandan ilgili kişinin 2017 yılında yaptığı
başvuruya istinaden ilgili kişinin kişisel verilerinin Banka tarafından düzeltildiği
dikkate alındığında Veri sorumlusu Banka hakkında Kanun kapsamında yapılacak
bir işlem olmadığına,
• Veri sorumlusu Bankanın ilgili kişilere yasal süre dâhilinde, Kanuna ve Veri
Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe uygun bir şekilde cevap
vermesi konusunda azami dikkat göstermesi hususunda talimatlandırılmasına,
• Varlık Yönetim Şirketinin ilgili kişinin gerçek borçlu olmadığına dair bilgileri 2017
yılı içerisinde gerek Bankadan gerekse de ilgili kişi cihetinden tarafına ulaşan bilgi
ve belgeler vasıtasıyla edinmesine karşın ilgili kişinin kişisel verilerini işlemeye
devam ederek borcun tahsili amacıyla ilgili kişinin aranması yoluna gidilerek
2019 yılı Haziran-Temmuz dönemine kadar veri tabanında, UYAP’ta ve TBB Risk
Merkezindeki kayıtların düzeltilmediği, ilgili kişinin başvurusuna verilen yanıtta
29.07.2019 tarihinde TBB Risk Merkezindeki kayıtların güncellendiğinin ifade
edilmesine karşın bu iddiayı tevsik edici bir belgenin Kuruma iletilmediği, ayrıca
ilgili kişinin Kuruma intikal ettirdiği 04.12.2019 tarihli TBB Risk Merkezi Raporunda
halen Varlık Yönetim Şirketine dosya bakımından borçlu olarak göründüğü,
bu kapsamda Şirketin Kanunun 5 inci maddesinde yer alan işleme şartlarına
dayanmaksızın ilgili kişinin kişisel verilerini işlediği dikkate alındığında, Kanunun
12 nci maddesinin (1) numaralı fıkrasının (a) bendi çerçevesinde kişisel verilerin
hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin
etmeye yönelik gerekli tedbirleri almadığı kanaatine varılması nedeniyle Kanunun
18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında Varlık Yönetim
Şirketi hakkında idari para cezası uygulanmasına,
• Şikâyet edilen diğer taraflar olan avukatların ise veri sorumlusu sıfatını haiz
olmadıkları dikkate alındığında haklarında Kanun kapsamında tesis edilecek idarî
bir işlemin bulunmadığına,
• İlgili kişinin maddî ve manevî zarara uğratıldığı yönündeki iddialarına ilişkin olarak
adlî yargıya başvuru hakkının saklı olduğu hususunda bilgilendirilmesine,
• Veri sorumlusu Varlık Yönetimi Şirketinin ayrıca ilgili kişinin TBB Risk Merkezinde
bulunan bilgilerini güncellediğini ve ilgili kişinin Risk Raporunda bulunan ve esasen
kendisine ait olmayan borç bilgilerinin silindiğine dair tevsik edici bilgi, belge ve
kayıtları, Kanunun 15 inci maddesinin (5) numaralı fıkrası uyarınca 30 (otuz) günlük
yasal süre içerisinde Kurula iletmesi konusunda talimatlandırılmasına,
karar verilmiştir.
501
KİŞİSEL VERİLERİ KORUMA KURUMU
1.4.28 Yardım masası paneli hizmeti veren bir veri sorumlusunda gerçekleşen
veri ihlali hakkında yapılan resen inceleme hakkında Kişisel Verileri Koruma
Kurulunun 27/04/2021 tarihli ve 2021/426 sayılı Karar Özeti
Bir e-ticaret sitesindeki partner firmaya, e-ticaret sitesinin hizmet aldığı yardım masası
panelinde yapılan toplu yetkilendirme çalışması esnasında, yanlış yetki verilmesi
sonucunda üçüncü taraf diğer firmaların yardım masasında açtıkları bildirimlere erişim
sağlamasıyla gerçekleşen veri ihlalinin, partner firma tarafından Kurumumuza bildirilmesi
neticesinde Kişisel Verileri Koruma Kurulu tarafından resen inceleme başlatılmıştır.
Yardım masası paneli hizmeti veren veri sorumlusu nezdinde yapılan yerinde inceleme
ve konuya ilişkin ifadelerinin yer aldığı tutanakta;
• Veri ihlalinin, veri sorumlusunun kendi yardım masası üzerinde yapılan toplu
yetkilendirme çalışması esnasında veri tabanı katmanında çalıştırılan SQL Script
kodundaki bir hata sonucu oluştuğu,
• Yapılan hata sonucu partner firmanın yer aldığı gruba yanlış yetki verilmesiyle,
partner firmanın kendi yardım masası bildirimleri haricinde grup içerisinde yer alan
diğer firmaların da yardım masası bildirimlerine ulaşabildiği,
• Veri sorumlusu tarafından yapılan analiz çalışması sonucunda, sadece söz konusu
partner firmanın kendisi haricindeki diğer yardım masası bildirimlerine erişim
sağladığının tespit edildiği,
• Durum tespit edilir edilmez partner firmaya ait yardım masası yetkisi veri sorumlusu
tarafından kaldırılarak erişiminin engellendiği,
• Partner firma tarafından veri sorumlusuna gönderilen e-postada, ilgili hata sonucu
diğer firmalara ait bilgileri görebildikleri, kendileri ile iletişime geçilmemesi
durumunda ihbarda bulunulacağı ve veri sorumlusunun çalışmakta olduğu firmalarla
iletişime geçileceğinin paylaşıldığı, veri sorumlusu avukatınca partner firmaya
gerekli yasal hatırlatma yapılarak, erişilen verilerin silinmesinin talep edildiği,
• Veri ihlalinden 13 farklı veri sorumlusu niteliği taşıyan firmanın etkilenmiş olduğu,
veri sorumlusu tarafından ihlalden etkilenen veri sorumlularına gerçekleşen olay ile
ilgili e-posta yoluyla bilgilendirme yapıldığı,
• Yazılım üzerindeki özelliklerin tüm veri sorumluları için standart olduğu, bu
standardın belirlenmesinde yardım masası paneli hizmeti veren veri sorumlusunun
karar verici pozisyonda olduğu, ancak gelen geri bildirimler (kullanıcı deneyimleri)
çerçevesinde değerlendirme yapılarak ürün özelliği olarak versiyon planı dahilinde
eklendiği, kullanıcıların esnek form ve iş akışları tasarlayabildikleri, böylelikle
kendilerine özel ekranlar oluşturabildikleri,
ifade edilmiştir.
Yardım masası panelinin, veri sorumlusunun kendisi tarafından kurulan ve yönetilen
502
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
bir platform olduğu, yazılım hizmetleri ile ilgili bakım ve destek hizmetlerini sağladığı,
diğer veri sorumlularının sınırlı bir erişime sahip olduğu ve üzerinde doğrudan değişiklik
yapmasının mümkün olmadığı değerlendirilmiştir.
İhlal ile ilgili 3 veri sorumlusu tarafından, Kurumumuza kişisel veri ihlal bildiriminde
bulunulmuş, bildirimde bulunmayan 10 veri sorumlusu hakkında 22.04.2020 tarih ve
2020/311 sayılı Kurul Kararı ile resen inceleme başlatılmasına karar verilmiş olup,
bunun üzerine söz konusu veri sorumlularından bilgi ve belge talep edilmiştir.
Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun
27/04/2021 tarih ve 2021/426 sayılı Kararı ile;
A) Teknik ve idari tedbirler ile ilgili olarak;
• Yardım masası panelinin, yazılım firmasından hizmet alan veri sorumlularının
kullanıcı adı ve şifreleriyle giriş yapıp yardım taleplerini ilettikleri bir platform
olduğu, söz konusu platform üzerinde verilen hizmetler açısından yazılım firmasının
veri sorumlusu sıfatını haiz olduğu,
• Veri ihlalinden 13 farklı veri sorumlusunun, 950’den fazla sayıda çalışanına ve
müşterisine ait kimlik, iletişim ve müşteri işlem verilerinin etkilendiği,
• Veri ihlalinin, hatalı bir şekilde yapılan yetki düzenlemesinden ve veri sorumlusunun
ihmalkârlığı sebebiyle yeterli güvenlik önlemlerini almamasından kaynaklandığı,
• Bilişim hizmeti yürüten bir veri sorumlusunun bilgi sistemleri güvenliğinde daha
dikkatli olmasının beklenildiği, yazılım geliştirme süreçlerinin test platformunda
yapılması gerekirken, veri tabanında gerçekleştirilen güncellemenin canlı ortamda
yapılmış olması sebebiyle ihlalin gerçekleştiği,
• Veri sorumlusunun sistemlerinde kişisel veri içeren belgelerin bulunması halinde
kişisel verileri maskeleyen etkin uygulama ve denetim araçlarının bulunmadığı,
hususları dikkate alındığında, 6698 sayılı Kişisel Verilerin Korunması Kanununun 12
nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik
gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık
içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak
(ihlalden etkilenen 950’den fazla kişinin bulunduğu, ihlale veri sorumlusunun
ihmalkârlığının sebebiyet verdiği) Kanunun 18 inci maddesinin (1) numaralı fıkrasının
(b) bendi uyarınca, 300.000 TL idari para cezasının uygulanmasına,
B) Kurumumuza ve ilgili kişilere yapılan bildirim ile ilgili olarak;
• Veri ihlaliyle ilgili Kurula bildirim yapılmadığı dikkate alındığında Kanunun 12
nci maddesinin (5) numaralı fıkrası kapsamında Kişisel Verileri Koruma Kurulunun
24/01/2019 tarih ve 2019/10 sayılı Kararı ile belirlenen 72 saat içerisinde
bildirim yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında kabahatin
haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde
503
KİŞİSEL VERİLERİ KORUMA KURUMU
bulundurularak Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi
uyarınca, 100.000TL idari para cezasının uygulanmasına,
C) Kurumumuza yönelik bilgi ve belge gönderimi hakkında;
• Bir kamu tüzel kişiliğine haiz veri sorumlusunun, söz konusu olay dâhilinde
kendilerinden bilgi/belge talebinde bulunulmasına rağmen Kurumumuza herhangi
bir cevap vermediği,
• Bir özel hukuk tüzel kişiliğine haiz veri sorumlusunun, ihlale konu olayın suç
niteliği taşıması nedeniyle Kurumumuz tarafından resen incelemeye ilişkin karar
verilemeyeceği, zira olayın yargı organları tarafından değerlendirilmesi gerektiğini
iddia ettiği ve Kurumumuza bir takım bilgi ve belge göndermiş olmakla birlikte;
Kurulun, inceleme konusuyla ilgili istemiş olduğu; ihlalden etkilenen kişi sayısı,
ihlalden etkilenen kişisel veriler gibi ihlal ile ilgili açıklayıcı birçok bilgi ve belgeyi
Kurumumuza göndermemiş olduğu,
hususları dikkate alındığında Kanunun 15 inci maddesinin (3) numaralı fıkrasında
yer alan “Devlet sırrı niteliğindeki bilgi ve belgeler hariç; veri sorumlusu, Kurulun,
inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri on beş gün içinde göndermek
ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır.” hükmü
çerçevesinde veri sorumluların Kurulun bilgi belge talebine ilişkin cevap verilmesinde
gerekli dikkat ve özenin gösterilmesi hususunda talimatlandırılmasına,
karar verilmiştir.
1.4.29 “Bir e-ticaret sitesi (veri sorumlusu) nezdinde gerçekleşen veri ihlali
hakkında yapılan resen inceleme” hakkında Kişisel Verileri Koruma Kurulunun
27/04/2021 tarih ve 2021/427 sayılı Karar Özeti
Bir e-ticaret sitesindeki (veri sorumlusu) partner firmanın, e-ticaret sitesindeki
müşteri hizmetleri paneli üzerinden üçüncü kişiler konumundaki firmaların bilgilerine
erişmesiyle yapmış olduğu ihbar kapsamında konuya ilişkin olarak Kişisel Verileri
Koruma Kurulu tarafından resen inceleme başlatılmıştır.
Partner firmasının Kurumumuza intikal eden yazılarında;
• Partner firmanın elektronik adisyon takip sistemi ve dokunmatik bilgisayar
ürünlerinin internet ortamında satışına ilişkin, veri sorumlusu ile partner şirket
olmak adına başvuruda bulunulduğu,
• Firmanın, ürünlerini sisteme yüklerken giriş yaptığı bölümün aktif olmadığını
fark etmeleri üzerine e-ticaret sitesinin müşteri hizmetlerini arayarak durumu
ilettiklerinde, partner sayfasındaki bildirim bölümünden konuya ilişkin iletişime
geçilmesi gerektiğinin belirtildiği, firmanın bu doğrultuda bildirim paneline giriş
yapıp bildirim göndermeye çalıştıklarında sürekli hata aldığı,
504
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
• Bu hatalardan dolayı Partner Firmanın bildirim linkini tarayıcıya yazıp giriş yapmaya
çalıştığı, bu suretle veri sorumlusunun kullanmış olduğu müşteri hizmetleri (CRM)
paneline erişildiği, açılan panelde tekrar kullanıcı adı ve şifre istendiği, mevcut
kullanıcı adı ve şifreleriyle giriş yapılmaya çalışıldığı, erişim sağlanamayınca
şifrelerinin bloke edildiği düşünülerek yeni şifre talep edildiği, e-posta adreslerine
gelen şifre ile sisteme giriş yapıldığında veri sorumlusunun CRM paneline ulaşıldığı,
bu sistem açığıyla ilgili veri sorumlusuna e-posta gönderildiği,
• Konuya ilişkin veri sorumlusunun avukatının kendilerini arayarak, belirli
bir ücret karşılığında kendilerini danışman şirket olarak atayacaklarını, veri
sorumlusu tarafından ilgili firmaya bir şifre verilerek sisteme giriş yapılacağını,
veri sorumlusunun onayı ile sistem açığı bulunup bulunmadığına yönelik kontrol
sağlamak amacıyla girdiğini gösterir bir senaryo hazırlayacaklarını ve söz konusu
senaryoyu destekleyecek bir gizlilik sözleşmesi imzalayacaklarını belirttiği, veri
sorumlusunun ofisinde bir toplantı gerçekleştirildiği, yapılan toplantıda güvenlik
açığına ilişkin görüşme gerçekleştirildiği ve gizlilik sözleşmesinin imzalandığı,
ifadelerine yer verilmiştir.
Veri sorumlusunun meydana gelen veri ihlali ile ilgili Kurumumuzun konuya ilişkin
tebligatlarına verilen cevap yazılarında ise;
• Pazar yeri modeli ile satış yapmak üzere kendilerine başvuran şahısların veri
sorumlusu nezdinde satış yapabilmelerini teminen giriş yapmaları amacı ile
kendilerine tahsis edilen kullanıcı adı ve şifre ile sisteme giriş sağladıkları,
• Şahısların daha sonra sistemde bir açık bulduklarını, kendilerine ait doküman
yükleme sayfası dışında üçüncü kişiler konumundaki firmaların bilgilerine de
eriştiklerini beyan ederek veri sorumlusuna müracaat ettikleri,
• Akabinde bahse konu veri güvenliği açığına ilişkin, veri sorumlusu ile şahıslar
arasında kişisel verilerin korunması amacıyla firmanın sisteme ilk girdiği tarihten
itibaren başlayacak şekilde bir gizlilik sözleşmesi imzalandığı, sözleşme ile bu
şahısların, ellerindeki tüm verileri veri sorumlusuna teslim edeceklerini ve kendi
sistemlerindeki yedekler dâhil tüm veriyi imha edeceklerini, tüm sürecin gizliliğini
de en üst düzeyde sağlayacaklarını taahhüt ettikleri,
• Söz konusu sözleşmenin başlangıç tarihi olayın oluş tarihi olduğundan firma
tarafından bilgilere erişilmesinin veri sorumlusu ile firma arasında akdedilen
sözleşme kapsamında gerçekleştiği ve bu anlamda herhangi bir hukuka aykırı
erişimin bulunmadığı,
• Taraflar arasında bu minvalde bir sözleşme imzalanmışsa da daha sonra bu şahısların
veri sorumlusundan şantaj yolu ile para istedikleri, veri sorumlusunun bu şahıslara
herhangi bir ödeme yapmadıkları ve sonunda da Kişisel Verileri Koruma Kurumuna
başvurdukları,
• İhlale konu olayın suç niteliği taşıması nedeniyle Kurumumuz tarafından resen
505
KİŞİSEL VERİLERİ KORUMA KURUMU
incelemeye ilişkin karar verilemeyeceği zira konunun yargı organları tarafından
değerlendirilmesi gerektiği,
• Konuya ilişkin Cumhuriyet Başsavcılığına suç duyurusunda bulunulduğu,
belirtilmiştir.
Partner Firmanın yapmış olduğu ihbar bildiriminin ve veri sorumlusu yazılarının
incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 27/04/2021 tarih ve
2021/427 sayılı Kararı ile;
A. Teknik ve idari tedbirler ile ilgili olarak;
• Veri sorumlusu tarafından kendi tedarikçisi konumunda olan firma yetkililerinin, veri
sorumlusunun sistemine giriş yaptıklarında üçüncü kişilere ait kişisel verilere erişim
sağladıkları ve erişimin sağlandığı ilk tarih itibariyle bu hususta yetkili olmadıkları,
bu anlamda bahsi geçen “Gizlilik Sözleşmesi” öncesinde “veri sorumlusu uhdesinde
bulunan kişisel verilere yetkisiz erişim sağlandığının anlaşıldığı, hukuka aykırı
erişimin meydana gelmesinden sonra veri sorumlusu ile şahıslar arasında imzalanan
gizlilik sözleşmesi ile geçmişe dönük olarak, meydana gelmiş olan veri ihlalinin
ortadan kaldırılmasının hukuken mümkün olmadığı,
• İhlalin veri sorumlusu tarafından kendi tedarikçisi konumunda olan firmanın
da bulunduğu tedarikçi grubuna “tüm bildirimlerde arama” yetkisinin verilmesi
sonucunda oluştuğunun tespit edildiği, bu durumun yetkisiz erişime ilişkin düzenli
kontrolün sağlanmadığının ve yetkilendirme süreçlerinin kontrol edilmeyerek
veri ihlali öncesinde veri sorumlusu tarafından ilgili kişiler üzerinde oluşabilecek
potansiyel zararları önlemek adına gerekli tedbirlerin alınmadığının göstergesi
olduğu,
hususları dikkate alındığında, 6698 sayılı Kişisel Verilerin Korunması Kanununun 12
nci maddesinin (1) numaralı fıkrasında kapsamında veri güvenliğini sağlamaya yönelik
gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında kabahatin haksızlık
içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak
Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca, 600.000 TL
idari para cezası uygulanmasına,
B. Kuruma ve ilgili kişilere yapılan bildirim ile ilgili olarak:
Veri sorumlusu nezdindeki kişisel verilere hukuka aykırı olarak erişilmesi dolayısıyla,
Firma nezdinde erişimi gerçekleştirenler yönünden yürütülen cezai soruşturmaya konu
fiil ile veri sorumlusunun veri güvenliğini sağlamaya ilişkin gerekli her türlü teknik
tedbiri almaması nedeniyle oluşan veri ihlalini Kurula bildirme yükümlülüğünün farklı
fiiller olduğu, ihlalin 22.10.2019 tarihinde gerçekleşmesi ve 22.10.2019 tarihinde tespit
edilmiş olmasına rağmen,
• Veri ihlalinden etkilenen ilgili kişilere bildirimde bulunulmadığı,
506
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
• Kişisel Verileri Koruma Kuruluna ihlal bildiriminde bulunulmadığı,
hususları dikkate alındığında, Kanunun 12 nci maddesinin (5) numaralı fıkrası
kapsamında Kişisel Verileri Koruma Kurulunun 24/01/2019 tarih ve 2019/10 sayılı
Kararında belirlenen 72 saat içerisinde bildirimde bulunma yükümlülüğüne aykırı
davranan veri sorumlusu hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının
(b) bendi uyarınca 200.000 TL idari para cezası uygulanmasına,
Kurumumuzun bilgi belge talep yazısına cevap verilmediği dikkate alındığında, Kanuna
uyum konularında azami dikkat ve özenin gösterilmesi hususunda veri sorumlusunun
talimatlandırılmasına,
karar verilmiştir.
1.4.30 “İlaç sektöründe faaliyet yürüten bir veri sorumlusunun veri ihlali bildirimi”
hakkında Kişisel Verileri Koruma Kurulunun 16/06/2020 tarih ve 2020/463 sayılı
Karar Özeti
Veri sorumlusunun Kurumumuza intikal eden veri ihlali bildiriminde;
• Veri ihlalinin zararlı yazılımlardan ve fidye yazılımlarından kaynaklı bir siber
saldırı olarak veri sorumlusunun yetkili kullanıcı şifresi ele geçirilerek sistemlerine
erişimin engellenmesi şeklinde gerçekleştiği ve saldırının çalışanlarının sistemlere
erişememesi sonucu tespit edildiği,
• Veri sorumlusunun faaliyetlerini sürdürmesi için kritik öneme sahip tüm sunucu ve
verilerinin ve bunlara ek olarak diğer sunucuların yedek dosyalarının depolandığı
Data Domain Sunucusu verilerinin silindiği,
• Yetkisiz erişim sağlama girişimlerinin 8-11-12 Ocak tarihlerinde gerçekleştiği,
saldırının 12/01/2020 tarihinde tespit edildiği,
• Veri sorumlusunun yaptığı incelemede, saldırının, LDAP servislerinde kullanılan
Domain Admin yetkili anonim isimli bir kullanıcı hesabı ile gerçekleştirildiği,
ihlalin yapılmış olduğu bilgisayarın tespit edildiği ve şüpheliler aleyhine İstanbul
Cumhuriyet Başsavcılığına şikâyette bulunulduğu,
• Saldırının veri sorumlusunun bizzat siber güvenlik desteği almakta olduğu firmaya
ait IP adresi üzerinden ve firma çalışanı tarafından gerçekleştirildiğinin tespit edildiği
ve bu tespitin firma tarafından kabul edildiği,
• İhlali gerçekleştiren siber güvenlik desteği alınan firmanın çalışanının aynı zamanda
veri sorumlusu eski çalışanı olduğu,
• İhlalden etkilenen kişi ve kayıt sayısının tam ve kesin olarak belirlenememiş olduğu
ancak 1000 kişi civarında olduğunun tahmin edildiği belirtilmekte olup bunlardan
297 kişinin şirket çalışanı olduğu; bunlar dışında kalanların ise tedarikçi, müşteri ve
507
KİŞİSEL VERİLERİ KORUMA KURUMU
taşeronlara ait olduğu,
ifadelerine yer verilmiştir.
• Veri ihlal bildiriminin Kurumumuzun yetki ve görev alanı çerçevesinde incelenmesi
neticesinde, Kişisel Verileri Koruma Kurulunun 16/06/2020 tarih ve 2020/463 sayılı
Kararı ile;
• Veri sorumlusunun faaliyetlerini sürdürmesi için kritik öneme sahip tüm sunucu ve
verilerinin ve bunlara ek olarak diğer sunucuların yedek dosyalarının depolandığı
Data Domain Sunucusu verilerinin silindiği,
• İhlalden etkilenen kişi ve kayıt sayısının tam ve kesin olarak belirlenememiş olduğu
ancak 1000 kişi civarında olduğu ve ihlalden özel nitelikli kişisel verilerinde
etkilenmiş olabileceği,
• Veri sorumlusu, sistemlerine düzenlenen söz konusu saldırıyı şirket çalışanlarının
sistemlere erişememesi sonucu tespit ettiği; özel nitelikli kişisel veriler üzerinde
çalışan çok uluslu bir şirketin, böylesi saldırılar için sızma testleri ve risk analizleri
yapıp tehditleri belirlemesi ve güvenlik açıklarını kapatması ve log kaydı takibi
ile veri güvenliğini sağlayacak önlemler alması gerektiği ve bu durumun Kişisel
Veri Güvenliği Rehberi 3.2. maddesinde; “Kişisel Veri Güvenliğinin Takibi” başlığı
altında, “…güvenlik yazılımı mesajları, erişim kontrolü kayıtları ve diğer raporlama
araçlarının düzenli olarak kontrol edilmesi, bu sistemlerden gelen uyarılar üzerine
harekete geçilmesi, bilişim sistemlerinin bilinen zaafiyetlere karşı korunması için
düzenli olarak zaafiyet taramaları ve sızma testlerinin yapılması ile ortaya çıkan
güvenlik açıklarına dair testlerin sonucuna göre değerlendirmeler yapılması
gerekmektedir…” ifadelerine aykırılık teşkil ettiği,
• Veri sorumlusunun, sunucularının yedek dosyalarının depolandığı Data Domain
sunucusunda yer alan verilerinin de silinmesinin, Kişisel Veri Güvenliği Rehberi 3.6.
maddesinde, “Kişisel Verilerin Yedeklenmesi” başlığı altında, “…veri sorumlusunu
fidye ödemeye zorlayan kötü amaçlı yazılımlar olabilir. Bu tür kötü amaçlı
yazılımlara karşı kişisel veri güvenliğini sağlamak için veri yedekleme stratejilerinin
geliştirilmesi önerilmektedir. Öte yandan, yedeklenen kişisel veriler sadece sistem
yöneticisi tarafından erişilebilir olmalı, veri seti yedekleri mutlaka ağ dışında
tutulmalıdır. Aksi halde, veri seti yedekleri üzerinde kötü amaçlı yazılım kullanımı
veya verilerin silinmesi ve yok olması durumlarıyla karşı karşıya kalınabilecektir…”
ifadelerine aykırılık teşkil ettiği,
hususları dikkate alındığında, Kanun’un 12 nci maddesinin (1) numaralı fıkrası
çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri
almayan veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru
ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 nci maddesinin (1)
numaralı fıkrasının (b) bendi uyarınca 125.000 TL idari para cezası uygulanmasına,
• İhlalden etkilenen şirket çalışanlarına 13.01.2020 tarihinde e-posta ile bildirim
508
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
yapıldığı buna yönelik tevsik edici belgenin gönderildiği, ihlalden etkilenen şirket
çalışanı dışındaki kişilere ise web sayfasından genel duyuru yapıldığı ve yapılan bu
duyurunun ise Kişisel Verileri Koruma Kurulunun 18/09/2019 tarih ve 2019/271
sayılı Kararı gerekliliğine uygun olduğu,
• 11/01/2020 tarihinde gerçekleşen veri ihlali, 12/01/2020 tarihinde tespit edilmiş ve
Kurumumuza 14/01/2020 tarihinde bildirilmiş olup veri sorumlusunun Kanunun 12
nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” (24/01/2019 tarih
ve 2019/10 sayılı Kurul kararında belirtilen 72 saatlik süre içerisinde) bildirimde
bulunma yükümlülüğüne uygun hareket ettiği,
hususları dikkate alındığında;
Kanunun 12 nci maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede”
(Kurul’a bildirim için 72 saat) bildirimde bulunma yükümlülüğüne uygun davranan veri
sorumlusu hakkında bu konuda yapılacak bir işlem bulunmadığına karar verilmiştir.
1.4.31 “İlgili kişinin yemek kartı hesap hareketlerine ilişkin kişisel verilerine erişim
talebinin veri sorumlusu tarafından yerine getirilmediği iddiası” hakkında Kişisel
Verileri Koruma Kurulunun 06/05/2021 tarihli ve 2021/470 sayılı Karar Özeti
İlgili kişinin Kuruma intikal eden şikâyetinde özetle; kendisine işvereni tarafından
tahsis edilen yemek kartına ait hesap hareketlerinin tarafına iletilmesinin veri sorumlusu
Şirketten talep edildiği, veri sorumlusu tarafından verilen cevapta ise istenilen bilginin
sağlanması için kimliği doğrulayacak ilave bilgiler talep edildiği, bunun üzerine dilekçe
ve kimlik görüntüsünün veri sorumlusuna e-posta aracılığıyla iletildiği, veri sorumlusu
şirketin gönderdiği e-postada ise ilgili bilgilerin ekte paylaşıldığı ancak ilave güvenlik
önlemi alınması nedeniyle ekte paylaşılan dokümana erişilebilmesi için e-postada yer
alan cep telefonu numarasının aranması gerektiğinin belirtildiği, getirilen bu ilave
güvenlik önleminin hukuka aykırı olup şahsına ait verilere erişmesinin engellendiği
ve hesap hareketlerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (Kanun)
uygun olarak paylaşılmadığı belirtilerek Kanun kapsamında gereğinin yapılması talep
edilmektedir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması
istenilmiş olup, alınan cevabi yazıda özetle;
• İlgili kişinin Gmail adresinden veri sorumlusuna gönderdiği e-postada … nolu yemek
kartı kullanıcısı olduğunu belirterek Kanun’un 11’inci maddesi uyarınca tüm hesap
hareketlerini ve işlenen verileriyle ilgili açıklamaları talep ettiği, yapılan inceleme
sonucunda söz konusu e-posta adresi sistemde kayıtlı olmadığından, ilgili iletişim
kanalının teyit edilemediği ve ayrıca ilgili kişi tarafından sunulan kart numarasının
hatalı bir numara olduğunun görüldüğü,
• Veri sorumlusunun ilgili kişinin talebine verdiği cevapta, talebin ilgili kişi tarafından
yöneltildiğinin ve ilgili kişi haricinde bir başka kişiye cevap verilmediğinin
509
KİŞİSEL VERİLERİ KORUMA KURUMU
teyit edilebilmesi için kimliğini doğrulayacak bazı ilave bilgiler istenildiği, veri
sorumlusunun talebi üzerine ilgili kişi tarafından gönderilen e-postanın ekinde
yer alan ıslak imzalı dilekçedeki talebin “Tarafıma ait .. numaralı kartın tüm
hesap hareketlerinin …@gmail.com e-posta adresine gönderilmesi için gereğinin
yapılmasını arz ederim.” şeklinde olduğu, bildirilen e-posta adresine yanıt verildiği
ve başvurunun konusu olan tüm bilgilerin e-postanın ekinde ilgili kişiyle paylaşıldığı,
• İlgili kişinin daha önce veri sorumlusu sisteminde tanımlı olmayan ve “Gmail”
gibi altyapısı yurtdışında barındırılan bir e-posta adresine kişisel verilerinin
gönderilmesini talep etmesi nedeniyle risk değerlendirmesi yapılarak e-posta
ortamında güvenliği en üst düzeyde temin etmek amacı doğrultusunda talebin
yanıtlandığı ve ek olarak dosyanın şifrelendiği, ilgili kişinin dosya şifresinin
kendisine verilmesi için doğrudan arayabileceği bir telefon numarasının kendisine
bildirildiği ve bu güvenlik tedbirinin neden alındığının açıkça izah edildiği,
ifade edilmiştir.
Konuya ilişkin olarak yapılan incelemede, Kişisel Verileri Koruma Kurulunun
06/05/2021 tarihli ve 2021/470 sayılı Kararı ile;
• 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 11’inci maddesinin (1) numaralı
fıkrasının (b) bendi hükmü kapsamında ilgili kişinin, kendisiyle ilgili kişisel veriler
işlenmişse buna ilişkin bilgi talep etme hakkının, söz konusu veriye erişim hakkını
da kapsadığı; erişim hakkının bilgi talep etme hakkını tamamlayarak ilgili kişinin
kişisel verileri üzerindeki haklarını kullanabilmesi için kişisel verilerinin ne şekilde
işlendiğine dair tam olarak bilgi sahibi olmasına imkân sağladığı,
• Kanun’un 12’nci maddesinin (1) numaralı fıkrası gereğince veri sorumlusunun;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere
hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını
sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü
teknik ve idari tedbirleri almak zorunda olduğu,
• Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ kapsamında, veri
sorumlusunun ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük
kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik
tedbirleri almakla yükümlü olduğu; ayrıca, Kurum tarafından veri güvenliğinin
sağlanmasına atfedilen önem doğrultusunda yayımlanan Kişisel Veri Güvenliği
Rehberi’nde (Teknik ve İdari Tedbirler) Kanun’un 12’nci maddesi kapsamında veri
güvenliğini sağlamak amacıyla veri sorumlusunun temin etmesi gereken teknik
ve idari tedbirlere ilişkin başlıca yöntemlerin bölümler halinde açıklandığı, hangi
önlemlerin alınması gerektiği konusunda ise Rehber’de belirtildiği üzere öncelikle
veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu
verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının
ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek
buna uygun tedbirlerin alınması gerektiği,
510
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
• Şifreleme yöntemi ile temel olarak haberleşen kişiler arasındaki veri alışverişinin,
üçüncü kişilerin okuyamayacağı şekilde güvenli olarak yapılmasının amaçlandığı;
veri sorumlusunun, ilgili kişinin kişisel verisine erişimini engellememekle birlikte
ilgili kişi için orantısız bir külfete yol açmayacak şekilde e-posta aracılığıyla
gönderilen dosyanın şifreli olarak gönderimini sağladığı ve şifrenin de e-postada
yer alan telefon numarası arandığında kendisiyle paylaşılacağının belirtildiği,
• Veri sorumlusu tarafından yapılan risk analizi doğrultusunda, ilgili kişinin
kullanımındaki yemek kartının hesap hareketleri ve yükleme bilgilerine ilişkin
kişisel verileri içeren dosyanın ilgili kişi tarafından belirtilen ve alt yapısı yurt
dışında olan “Gmail” hesabına e-posta aracılığıyla gönderileceği için bu verileri
içeren dosyanın şifrelenerek gönderilmesi ile veri güvenliğinin üst düzeyde
sağlanmasının amaçlandığının ifade edildiği; Kurulun 31/05/2019 tarihli ve 2019/157
sayılı Kararında belirtildiği üzere, Google firmasına ait Gmail e-posta hizmeti
altyapısının kullanılması durumunda gönderilen ve alınan e-postaların dünyanın
çeşitli yerlerinde bulunan veri merkezlerinde tutulmasının söz konusu olacağı; bu
doğrultuda, Kanunun 12’nci maddesinin (1) numaralı fıkrasının (b) bendi gereğince
kişisel verilere hukuka aykırı olarak erişilmesini önleme yükümlülüğü altında olan
veri sorumlusunun aldığı ilave güvenlik önleminin ilgili kişinin iddia ettiği üzere
Kanuna aykırılık değil; Kanunun titizlikle uygulanması olduğu,
değerlendirmelerinden hareketle;
• İlgili kişinin Kanun’un 11’inci maddesinin (1) numaralı fıkrasının (b) bendi
doğrultusunda, kullandığı yemek kartının hesap hareketlerine ilişkin veri sorumlusu
tarafından işlenen kişisel verilerine erişim talebi üzerine; veri sorumlusu tarafından
e-posta aracılığıyla ilgili kişi tarafından belirtilen “Gmail” adresine gönderilen ve
kişisel verileri içeren söz konusu dosyanın şifrelenmesinin ilgili kişinin iddiasının
aksine Kanun’un 12’nci maddesinin (1) numaralı fıkrasının (b) bendi gereğince
kişisel verilere hukuka aykırı olarak erişilmesini önlemek amacıyla uygun güvenlik
düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alma
yükümlülüğünü yerine getirmek adına makul bir tedbir olduğuna, alınan bu güvenlik
tedbirine ilişkin gerekli açıklamanın ilgili kişiye yapıldığı ve e-posta içerisinde yer
alan telefon numarası arandığında şifrenin ilgili kişiyle derhal paylaşılacağının
belirtildiği dikkate alındığında kişisel verilere erişim hakkının engellenmediğine,
bu doğrultuda veri sorumlusu hakkında Kanun kapsamında yapılacak bir işlem
bulunmadığına karar verilmiştir.
511
KİŞİSEL VERİLERİ KORUMA KURUMU
1.4.32 “Avukatların icra takip dosyalarındaki kişisel verilere vekâletname
olmaksızın hukuka aykırı olarak erişim sağladığına ve Adalet Bakanlığı tarafından
icra tevzi bürolarında görevli personel eliyle alacaklı vekili avukatlara borçluların
alacaklı olduğu icra takip dosyalarında bulunan kişisel verilerin hukuka aykırı
olarak aktarılmasına ilişkin ihbarlar hakkında” Kişisel Verileri Koruma
Kurulunun 20/05/2021 tarihli ve 2021/511-512-513 sayılı Karar Özeti
Adalet Bakanlığı ve bir avukat hakkında Kuruma intikal ettirilen ihbarlarda özetle;
alacaklı vekili avukatların, icra tevzi bürolarına başvuruda bulunup borçluların alacaklı
olduğu icra takip dosyalarının bilgilerini haksız bir şekilde elde ettiği, ayrıca avukatların
bu sayede icra dairesinde diledikleri dosyaları da inceleyebildiği, her ne kadar avukatın
dosyanın bir örneğini alması vekâlet sunmasına bağlı olsa da kişisel verilere yetkisiz
kişilerin erişiminin engellenmesinin veri sorumlularına verilen görevlerden biri olduğu
ve avukatlar ya da görevlendirdikleri kişiler tarafından, icra tevzi bürosu yetkilileri
ve memurları aracılığıyla borçluların alacaklı olduğu icra takip dosyalarında bulunan
kişisel verilerin hukuka aykırı olarak ele geçirilmesi ile avukatların icra dairelerindeki
diledikleri dosyaları vekâletname olmaksızın incelemelerinin 6698 sayılı Kişisel
Verilerin Korunması Kanununa aykırılık teşkil ettiği belirtilerek bu kapsamda icra tevzi
bürosu çalışanları tarafından yapılan aktarımların ve avukatlar tarafından vekâletname
olmaksızın icra takip dosyalarındaki kişisel verilere erişimin 6698 sayılı Kanuna aykırı
olduğunun tespit edilmesi, bu durumun düzeltilmesi için Adalet Bakanlığı nezdinde
ivedilikle girişimlerde bulunulması ve gerekli idari yaptırımların uygulanması talep
edilmiştir. Yapılan ihbarlara binaen Kişisel Verileri Koruma Kurulu tarafından resen
inceleme başlatılmasına karar verilmiştir.
Başlatılan inceleme çerçevesinde veri sorumlusu Adalet Bakanlığından konuya ilişkin
bilgi ve belge talep edilmiş olup, alınan cevabi yazıda özetle;
• İlgili mevzuat ve içtihat çerçevesinde, alacağını tahsil etmek isteyen alacaklı veya
vekilinin takibin kesinleşmesini müteakip borçlunun alacaklı olduğu dosyalar da
dâhil olmak üzere borçlunun her türlü mal varlığını, hak ve alacağını sorgulama
hakkının 2004 sayılı İcra ve İflas Kanunundan kaynaklandığının anlaşıldığı,
• Ayrıca avukatın veya stajyerlerinin dava takip dosyalarını vekâletname olmaksızın
inceleme isteğinin ilgililerce yerine getirilmesinin 1136 sayılı Avukatlık Kanununda
düzenlendiği, bu kapsamda avukatların ve stajyerlerinin alacağın tahsilini teminen
borçlunun alacaklı olduğu dosyaları sorgulama ve kendilerine tanınan dosya
inceleme hakkını icra dairelerinde tespit amacıyla bu işle görevlendirilen icra tevzi
büroları vasıtası ile yapmasının uygun olacağının, icra dairesinde görevli personelin
de vekâletname ibraz etmeksizin dosya incelemek isteyen avukat ve stajyerlerine
bu isteklerini yerine getirmelerinin fotokopi ve benzeri yollarla örnek almamaları
kaydı ile zorunlu olduğunun değerlendirildiği,
• Bu itibarla avukat veya stajyerlerinin müvekkillerinin alacağına kavuşmasını
sağlamak için borçluların alacaklı olduğu dosyaları tespit etmesi ve tespit ettiği
dosyaları incelemesi hususunun kanunlarda açıkça öngörülmesi ve yukarıda izah
512
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
edilen nedenlerle 6698 sayılı Kanuna aykırılık kapsamında bulunmayacağının
değerlendirildiği,
ifade edilmiştir.
Yine, başlatılan inceleme çerçevesinde veri sorumlusu avukattan savunması istenilmiş
olup, alınan cevabi yazıda özetle;
Avukatlık Kanununun 46 ncı maddesinin 2 inci fıkrasında yer alan “Avukat veya stajyer,
vekâletname olmaksızın dava ve takip dosyalarını inceleyebilir. Bu inceleme isteğinin
ilgililerce yerine getirilmesi zorunludur.” hükmü sınırları kapsamında borçlunun
alacaklı olduğu dosyaların tespit edildiği, bu dosyalara borçlunun alacaklı olduğu icra
dosyalarından talepte bulunmak ve ilgili icra müdüründen karar aldırmak suretiyle haciz
işlemi yapıldığı, bunun göreviyle ilgili bir iş olduğu; bu işlemlerin yapılmaması halinde
işini gereği gibi yapmadığı için müvekkiline karşı sorumluluğun dahi gündeme geleceği
ve bu kapsamda tüm işlemlerin yasalar çerçevesinde yürütüldüğü ifade edilmiştir.
İhbar başvuruları ile veri sorumlularından alınan bilgi ve belgelerin ilgili mevzuat
çerçevesinde incelenmesi neticesinde Kurulun 20/05/2021 tarihli ve 2021/511-512-513
sayılı Kararları ile
• 2004 sayılı İcra ve İflas Kanununun “Taşınır ve taşınmaz malların haczi” başlıklı 85
inci maddesinin birinci fıkrasının “Borçlunun kendi yedinde veya üçüncü şahısta olan
taşınır mallariyle taşınmazlarından ve alacak ve haklarından alacaklının ana, faiz
ve masraflar da dahil olmak üzere bütün alacaklarına yetecek miktarı haczolunur. ”
hükmünü amir olduğu; hükümde haciz yoluyla takip kapsamında borçlunun taşınır
ve taşınmaz malları ile alacak ve haklarına haciz konulabileceğinin öngörüldüğü ve
bu kapsamda, borçlunun alacaklı olduğu icra dosyalarına konu alacaklara da haciz
konulmasının mümkün olduğu;
• Diğer taraftan, 1136 sayılı Avukatlık Kanununun 46 ncı maddesinin,
“İşlerin stajiyer veya sekreterle takibi, dava dosyalarının incelenmesi ve dosyadan
örnek alma:
Madde 46
Avukat, işlerini kendi sorumluluğu altındaki stajyeri veya yanında çalışan sekreteri
eliyle de takip ettirebilir, fotokopi veya benzeri yollarla örnek aldırabilir. Avukatın
onanmasını istemediği örnekler harca tabi değildir.
Avukat veya stajyer, vekâletname olmaksızın dava ve takip dosyalarını inceleyebilir. Bu
inceleme isteğinin ilgililerce yerine getirilmesi zorunludur. Vekâletname ibraz etmeyen
avukata dosyadaki kağıt veya belgelerin örneği veya fotokopisi verilmez.” hükmünü,
2 nci maddesinin üçüncü fıkrasının ise;
“Avukatlığın amacı:
513
KİŞİSEL VERİLERİ KORUMA KURUMU
Madde 2
(Değişik üçüncü fıkra: 2/5/2001 - 4667/2 md.) Yargı organları, emniyet makamları, diğer
kamu kurum ve kuruluşları ile kamu iktisadi teşebbüsleri, özel ve kamuya ait bankalar,
noterler, sigorta şirketleri ve vakıflar avukatlara görevlerinin yerine getirilmesinde
yardımcı olmak zorundadır. Kanunlarındaki özel hükümler saklı kalmak kaydıyla, bu
kurumlar avukatın gerek duyduğu bilgi ve belgeleri incelemesine sunmakla yükümlüdür.
Bu belgelerden örnek alınması vekâletname ibrazına bağlıdır. Derdest davalarda
müzekkereler duruşma günü beklenmeksizin mahkemeden alınabilir.”
hükmünü amir olduğu;
Anılan hükümlerden avukatların vekâletname sunmasına gerek olmaksızın icra takip
dosyalarını inceleyebileceğinin ve ilgili makamların da avukatlara bu konuda gerekli
imkânları sağlamakla yükümlü kılındığının anlaşıldığı,
Bununla birlikte, 2004 sayılı İcra ve İflas Kanununun 8/a maddesinin altıncı fıkrası ile
22.07.2020 tarihli ve 7251 sayılı Kanunla değişik 78 nci maddesinin birinci fıkrasının;
“Elektronik işlemler:
Madde 8/a
…
(Ek fıkra:6/12/2018-7155/10 md.) Alacaklı, Ulusal Yargı Ağı Bilişim Sistemi üzerinden
bu sisteme entegre bilişim sistemleri vasıtasıyla dosya safahat bilgileri ile borçlunun
mal, hak veya alacağını elli kuruş karşılığında sorgulayabilir. Bu miktar her yıl,
bir önceki yıla ilişkin olarak 4/1/1961 tarihli ve 213 sayılı Vergi Usul Kanununun
mükerrer 298 inci maddesi hükümleri uyarınca tespit ve ilan edilen yeniden değerleme
oranında artırılır. Adalet Bakanlığı yeniden değerleme oranında artırılan ücreti beş
katına kadar artırmaya ve azaltmaya ayrıca gün ve dosya esaslı olmak üzere belirli
sayıdaki sorgulamayı ücretten istisna tutmaya yetkilidir. Genel yönetim kapsamındaki
kamu idarelerinden bu ücret alınmayacağı gibi alacaklının bir gün içinde aynı dosya
üzerinden beş kez yapacağı sorgudan da ücret alınmaz. Bu kapsamda alınacak ücret
Adalet Bakanlığının belirleyeceği usule göre tahsil edilir ve takip gideri olarak borçluya
yüklenemez.
II. HACİZ
Haciz:
1 – Talep Müddeti
Madde 78
(Değişik birinci fıkra:22/7/2020-7251/49 md.) Ödeme emrindeki müddet geçtikten ve
borçlu itiraz etmiş ise itirazı kaldırıldıktan sonra mal beyanını beklemeksizin alacaklı,
haciz konmasını isteyebilir. Ancak, alacaklı dilerse haciz talebinde bulunmaksızın Ulusal
514
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
Yargı Ağı Bilişim Sistemi üzerinden, bu sisteme entegre bilişim sistemleri vasıtasıyla
borçlunun mal, hak veya alacağını sorgulayabilir. Sorgulama sonunda Ulusal Yargı Ağı
Bilişim Sistemi, varsa borçlunun mal, hak veya alacağının mahiyeti ve detayı hakkında
bilgi verir ve bu durumda sistem üzerinden de haciz talep edilebilir. Bu takdirde icra
dairesi, tespit edilen mal, hak veya alacağı elektronik ortamda haczeder. Sorgulama
sonunda edinilen bilgiler hukuka aykırı olarak paylaşılamaz. Sorgulama ve haciz
işlemlerinin yürütülebilmesi için kamu kurum veya kuruluşları ile 19/10/2005 tarihli
ve 5411 sayılı Bankacılık Kanununun 3 üncü maddesinde tanımlanan kredi kuruluşları
ve finansal kuruluşlar, Ulusal Yargı Ağı Bilişim Sistemi ile kendi sistemleri arasında
entegrasyonu sağlar. Sorgulamanın tür, kapsam ve sınırı ile diğer hususlar Adalet
Bakanlığınca yürürlüğe konulan yönetmelikle belirlenir.””
şeklinde olduğu;
• Söz konusu hükümler uyarınca alacaklı vekili avukatların, Ulusal Yargı Ağı Bilişim
Sistemi üzerinden borçlunun alacaklı olduğu icra dosyaları dâhil olmak üzere mal,
hak veya alacağı hakkında sorgulama yapabileceği,
değerlendirmelerinden hareketle;
• 2004 sayılı İcra ve İflas Kanununun 85 inci maddesi çerçevesinde borçlunun kendi
veya üçüncü kişi nezdindeki alacaklarına haciz konulabileceği, 2004 sayılı Kanunun
8/a ve 78 nci maddeleri uyarınca Ulusal Yargı Ağı Bilişim Sistemi vasıtasıyla alacaklı
tarafından borçluların mal, hak veya alacaklarının sorgulanabileceği, avukatların
müvekkillerinin alacağını tahsil etmek amacıyla 1136 sayılı Avukatlık Kanununun
46 ncı maddesi uyarınca dava ve icra takibi dosyalarını vekâletname sunmaksızın
inceleyebileceği ve bu kapsamda 6698 sayılı Kanunun 5 inci maddesinin ikinci
fıkrasının (a) bendinde düzenlenmiş işlemenin “kanunlarda açıkça öngörülmesi”
şartına dayanılarak alacaklı vekili avukatlar tarafından borçlunun alacaklı olduğu
icra dosyalarına ilişkin olarak kişisel veri işleme faaliyeti yürütebileceğinden
avukatların vekâletname olmaksızın icra takip dosyalarındaki kişisel verilere hukuka
aykırı olarak erişim sağladığı iddiası bakımından 6698 sayılı Kanun kapsamında
yapılacak bir işlem bulunmadığına,
• 1136 sayılı Avukatlık Kanununun 2 nci maddesinde ilgili makamların avukatların
görevlerini yapmak üzere ihtiyaç duyduğu bilgi ve belgeleri avukatların incelemesine
sunmakla yükümlü olduğunun düzenleme altına alındığı ve bu kapsamda 6698
sayılı Kanunun 8 inci maddesinin üçüncü fıkrasında düzenlenmiş “Kişisel verilerin
aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” düzenlemesi
uyarınca Adalet Bakanlığı tarafından icra tevzi bürosunda görevli personel
eliyle borçlunun alacaklı olduğu icra dosyaları hakkında bilgi ve belge sağlama
amacıyla avukatlara görevlerini yerine getirebilmeleri için kişisel veri aktarımı
yapılabileceğinden Adalet Bakanlığı tarafından alacaklı vekili avukatlara borçluların
alacaklı olduğu icra takip dosyalarında bulunan kişisel verilerin hukuka aykırı olarak
aktarılması iddiası bakımından 6698 sayılı Kanun kapsamında yapılacak bir işlem
bulunmadığına karar verilmiştir.
515
KİŞİSEL VERİLERİ KORUMA KURUMU
1.4.33 “Veri sorumlusu tarafından ilgili kişinin cep telefonu numarasına reklam
amaçlı SMS gönderilmesi” hakkında Kişisel Verileri Koruma Kurulunun
04/06/2021 tarihli 2021/545 sayılı Karar Özeti
Kuruma intikal eden şikâyette özetle, veri sorumlusu sıfatını haiz Hastane tarafından
ilgili kişinin telefonuna reklam ve pazarlama amaçlı SMS gönderildiği, bununla birlikte
ilgili kişi tarafından veri sorumlusuna kişisel verilerin işlenmesi konusunda açık rıza
verilmediği ifade edilerek veri sorumlusu hakkında 6698 sayılı Kişisel Verilerin
Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması
istenilmiş olup verilen cevabi yazıda özetle;
• Söz konusu şikâyetçinin hastanede herhangi bir kaydı olmadığı, dolayısıyla
tedavi kaydı bulunmayan kişinin kişisel verilerinin kaydedilmesinin de mümkün
olamayacağı,
• Şikâyetçi tarafından konuya ilişkin herhangi bir başvuru yapılmadığı,
• Hastanede kaydı bulunan hastalara gönderilen SMS’lerin reklam yapmak amacı
taşımadığı, gönderilen SMS’lerin asıl amacının Covid-19 sürecinde vatandaşlar için
bilgilendirme amacı taşıdığı,
• Gönderilen SMS’lerin iptali için ücretsiz gönderme seçeneği bulunduğu, iptal
seçeneği kullanmayan kişilerin mesajların devamının zımnen kabul etmiş olduğu,
ifade edilmiştir.
Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun
04/06/2021 tarih ve 2021/545 sayılı kararı ile;
Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesinde;
“(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. (2) Aşağıdaki şartlardan
birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi
mümkündür:
a)Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına
hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden
bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla,
sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
516
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun
meşru menfaatleri için veri işlenmesinin zorunlu olması.”
hükmüne yer verildiği,
• Veri sorumlusunun iddialarında yer verilen SMS içeriklerinin ilgili kişiye gönderilen
SMS içerikleri ile uyuştuğu ve mesajda belirtilen MERSİS numarasının veri
sorumlusuna ait olduğu,
• Veri sorumlusunun kendisine herhangi bir başvuru yapılmadığı iddiasına ilişkin
şikâyetçi vekili tarafından veri sorumlusuna ihtarname gönderildiği ve ilgili barkod
numaralı ihtarnamenin teslim alındığının anlaşıldığı,
değerlendirmelerinden hareketle;
• Veri sorumlusunun, ilgili kişinin kişisel verisi niteliğindeki telefon numarasına
Kanunun 5 inci maddesinde sayılan şartlardan birine dayanmaksızın SMS
göndermesi suretiyle gerçekleşen kişisel veri işleme faaliyeti nedeniyle Kanunun
12 nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin
hukuka aykırı olarak işlenmesi önlemek amacıyla uygun güvenlik düzeyini temin
etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğünü yerine
getirmediği dikkate alındığında, Kanunun 18 inci maddesinin (1) numaralı fıkrasının
(b) bendi uyarınca veri sorumlusu hakkında idari para cezası uygulanmasına,
• Veri sorumlusunun ilgili kişinin başvurusuna cevap vermediği dikkate alındığında
Kanun kapsamında yapılan başvurulara cevap vermek konusunda gerekli dikkat ve
özenin gösterilmesi hususunda veri sorumlusunun talimatlandırılmasına,
• Hukuka aykırı işlendiği değerlendirilen şikâyete konu kişisel verinin imha
edilmesi ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun
talimatlandırılmasına,
karar verilmiştir.
1.4.34 “İlgili kişinin cep telefonu numarasının kampanya adı altında bir dijital
platform bayisi tarafından edinilmesi, işlenmesi ve rızası olmaksızın arama
yapılması hakkında” Kişisel Verileri Koruma Kurulunun 04/06/2021 tarih ve
2021/548 sayılı Karar Özeti
İlgili kişiden alınan şikâyet dilekçesinde özetle;
• Şikâyet olunan dijital platform ile hiçbir ilişkisinin olmamasına karşın ilgili kişinin
sürekli olarak 0850’li bir çağrı merkezinden arandığı ve tarafına, bu platforma üye
olması yönünde pazarlama yapılmaya çalışıldığı,
• Bunun üzerine ilgili kişinin reklamı yapılan dijital platformun internet adresinde
bulunan irtibat formu vasıtasıyla başvuruda bulunduğu, kendisine e-posta ile
verilen yanıtta ise ilgili kişinin müşteri olarak herhangi bir kaydının şirket nezdinde
517
KİŞİSEL VERİLERİ KORUMA KURUMU
bulunmadığı yanıtını aldığı ancak kendisinin kişisel verilerinin nasıl elde edildiği ve
nerelerde kullanıldığına ilişkin sorularına herhangi bir yanıt verilmediği,
• Dolayısıyla işlenen suçun kabul edildiği ancak detay içermeyen bir cevap ile
geçiştirilmeye çalışıldığı,
hususları beyan edilerek konunun incelenmesi, şirketin ilgili kişinin kişisel verilerini
nasıl elde ettiği hususunda kendisine bilgi vermesi konusunda talimatlandırılması ve
gerekli cezai yaptırımın uygulanması talep edilmiştir.
Konuya ilişkin olarak başlatılan inceleme neticesinde, reklamı yapılan dijital platformdan
bilgi ve belge talep edilmiş olup Kuruma ulaştırılan cevabi yazıda;
• İlgili kişinin hiçbir şekilde şirketin müşterisi olmadığı, şirket ile bir ilgisinin tespit
edilemediği,
• Şikâyet edilen numaranın dijital platformun çağrı merkezi numarasının olmadığı,
yapılan araştırmada ilgili kişiyi aradığı iddia edilen numaranın 21/12/2018 tarihinden
12/09/2019 tarihine kadar “…… Expert” unvanı ile faaliyet gösteren bir bayiye
tahsis edildiği,
• İlgili kişinin adının sistemlerde hiçbir şekilde kayıtlı olmadığının anlaşıldığı, diğer
bir ifade ile ilgili kişinin potansiyel bir müşteri olarak kayıtlı olmayıp herhangi
bir elektronik ticari ileti izninin de bulunmadığı, bu sebeple ilgili kişinin kişisel
verilerinin nereden ve ne şekilde temin edildiğinin bilinmediği,
• Şayet bayi bu şekilde bir arama gerçekleştirmiş ise bunun kendilerinin bilgisi ve izni
dâhilinde yapılmadığı,
beyanlarına yer verildiği görülmüştür.
• Bunun üzerine bahse konu dijital platformdan ilgili kişiyi aradığı iddia olunan bayi
ile şirketleri arasındaki iş ilişkisini tanımlayan bilgi ve belgelerin Kuruma iletilmesi
talep edilmiş olup söz konusu talebe istinaden Kuruma iletilen cevap yazısında ise;
• Bayilik hizmeti kapsamında “…Expert” olarak görev yürüten bayiye ürün ve
hizmetlerin pazarlanması, tanıtılması, satışı, söz konusu ürün ve hizmetlerle ilgili
abonelik tesisi, abonelik uzatma, abonelik iptali, üst paketlere geçiş, satış sonrası
hizmetler, tahsilat ve gerektiğinde kurulum ve montaj destek hizmetleri verilmesi ile
sınırlı olmamak kaydıyla dijital platform tarafından bildirilecek diğer iş ve işlemler
konusunda görev ve yetki tevdi edildiği,
• Bayi ile akdedilen abonelik sözleşmesi ve bu bayiliğin iptaline ilişkin e-posta
çıktısının yazılarına eklendiği,
• Bayi tarafından kullanılan herhangi bir sistemin dijital platform tarafından kurulmayıp
bayilerin kural olarak bayilik sözleşmesi ile görev ve yetkiler kapsamında kendisine
sağlanan kullanıcı adı ve şifre bilgileri ile dijital platformun CRM Sistemine erişerek
potansiyel müşteri oluşturabildiği,
518
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
• İlgili kişi ile ilgili olarak herhangi bir kayda rastlanılamadığı için kişisel verilerinin ne
şekilde elde edildiği ve benzeri soruların cevaplandırılmasının mümkün olmayacağı,
ifade edilmiştir.
• Yukarıda yer verilen bilgi ve belgelerin değerlendirmesi neticesinde alınan
04/06/2021 tarih ve 2021/548 sayılı Kurul Kararında özetle;
• 6698 sayılı Kişisel Verilerin Korunması Kanununun 3 üncü maddesinde “ilgili
kişi”nin, kişisel verisi işlenen gerçek kişi; “veri sorumlusu”nun, kişisel verilerin
işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve
yönetilmesinden sorumlu olan gerçek veya tüzel kişi; ve “veri işleyen”in ise veri
sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek
veya tüzel kişi olarak tanımlandığı,
• Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı
fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2)
numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle
rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik
tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün
korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan
doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin
işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine
getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş
olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu
olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri
sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından
birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin
işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
• 6698 sayılı Kanunda veri işleyenin, veri sorumlusunun verdiği yetkiye dayanarak
onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlandığı, buna
göre veri işleyenin, veri sorumlusu adına, ondan aldığı yetki ve talimata göre
kişisel veri işlemekte olduğu, bu minvalde “veri işleyen” sıfatının kazanılabilmesi
için veri işleyenin, veri sorumlusunun idarî yapısından ayrı bir hukukî varlığının
olması; bir başka diğer deyişle, veri sorumlusunun birimleri içerisinde bulunmaması
gerekmekle birlikte veri işleyenin, veri sorumlusundan ayrı bir hukuk kişisi olarak
veri sorumlusunun talimatı, denetimi ve yetkilendirmesi dâhilinde kişisel veri işleme
faaliyeti yürüteceği,
• Her ne kadar bayi ile dijital platform arasında akdedilen sözleşme hükümlerinden
genel şekliyle dijital platformun veri sorumlusu, bayinin ise veri işleyen olarak
belirlendiği görülmekte ise de, somut hadisede bayinin veri işleyen sıfatından
çıkarak veri sorumlusu hâline geldiği, zira dijital platformun merkezî CRM
sisteminde müşteri/potansiyel müşteri olarak kaydı bulunmayan ilgili kişiyi dijital
platformun talimatı veya bilgisi dâhilinde olmaksızın aradığının anlaşıldığı, bu
519
KİŞİSEL VERİLERİ KORUMA KURUMU
telefon numarası bayiye dijital platform tarafından iletilmediğinden, bayinin veri
işleyen olarak, veri sorumlusunun denetimi ve kontrolü altında kişisel veri işleme
faaliyeti yürüttüğünden bahsedilemeyeceği,
• Somut olayda bayinin, kendi iradesiyle ve dijital platformdan bağımsız bir şekilde
ilgili kişinin açık rızası veya Kanunun 5 inci maddesinin (2) numaralı fıkrasında
yer verilen işleme şartlarına dayanmaksızın ilgili kişinin kişisel verisi niteliğindeki
telefon numarasını aramak suretiyle kişisel veri işleme faaliyetinde bulunmasından
ötürü veri sorumlusu sıfatını haiz olduğu,
değerlendirmelerinden hareketle;
• İlgili kişinin kişisel verisi olan telefon numarasının Kanunun 5 inci maddesinde
yer alan herhangi bir işleme şartına dayanmaksızın hukuka aykırı elde edildiği ve
işlendiği dikkate alındığında Kanunun 12 nci maddesinin (1) numaralı fıkrasında
yer alan teknik ve idari tedbirleri almayan veri sorumlusu bayii hakkında Kanunun
18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idarî para cezası
uygulanmasına karar verilmiştir.
1.4.35 İlgili kişinin fotoğrafının öğrencisi olduğu okul tarafından kullanılması
hakkında Kişisel Verileri Koruma Kurulunun 09/06/2021 tarihli 2021/572 sayılı
Karar Özeti
Kuruma intikal eden şikâyette, ilgili kişinin öğrenci olarak öğretmenleri ile yaptığı bir
görüşmede rızası olmaksızın fotoğrafının çekildiği, çekilen fotoğrafının ticari amaçla
okul tarafından bastırılan broşürde kullanıldığı ve kendi internet sitesinde yayınlandığı,
ilgili kişi ve velisinin kişisel verilerin işlenmesine, yayımlanmasına veya kullanılmasına
zımni veya açık bir rıza vermediği, konuya ilişkin veri sorumlusuna başvuruda
bulunulduğu ancak verilen cevabın yetersiz olduğu ifade edilerek, 6698 sayılı Kişisel
Verilerin Korunması Kanunu (Kanun) uyarınca veri sorumlusu okul hakkında gerekli
işlemlerin tesis edilmesi talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması
istenilmiş olup verilen cevabi yazıda özetle;
• 2018-2019 döneminde öğrencileri olan ilgili kişinin fotoğrafının özel olarak çekilen
bir fotoğraf olmadığı, tüm öğrencilerin katılmış olduğu ders ve etkinlikler sırasında
çekilen bir fotoğraf olduğu, anılan dönemin sonunda öğrencinin okul değişikliği
gerçekleştirdiği, mevcut durumda öğrencileri olmadığı,
• İlgili kişinin velisinden de izin alındığı, bahse konu fotoğrafın aktif olarak kullanımda
olmadığı ve yeni bir paylaşım durumunun da olmadığı,
• İlgili kişinin avukatı tarafından gönderilen ihtarnameye istinaden velinin “Sosyal
Medya Paylaşımı” konulu yazılı izninin bir örneğinin bulunduğu,
520
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
ifade edilmiştir.
Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun
09/06/2021 tarih ve 2021/572 sayılı kararı ile;
• Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı
fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2)
numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle
rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik
tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün
korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan
doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin
işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine
getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş
olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu
olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri
sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından
birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin
işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
• Kanunun 3 üncü maddesinde açık rızanın “belirli bir konuya ilişkin, bilgilendirilmeye
dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlandığı, tanımda yer aldığı
üzere, açık rızanın, “Belirli bir konuya ilişkin olması”, “Rızanın bilgilendirmeye
dayanması” ve “Özgür iradeyle açıklanması” şeklinde üç unsuru bulunduğu, bu
kapsamda, veri işlemek üzere verilen açık rızanın geçerli olması için, açık rızanın
öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak verilmesi gerektiği,
bu doğrultuda veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin
olarak istenildiğinin açıkça ortaya konulması gerektiği, bununla birlikte, açık rıza bir
irade beyanı olduğundan, kişinin özgür bir şekilde rıza gösterebilmesi için, neye rıza
gösterdiğini de bilmesi gerektiği, kişinin sadece konu üzerinde değil, aynı zamanda
rızasının sonuçları üzerinde de tam bir bilgi sahibi olması gerektiği, bu sebeple,
bilgilendirmenin, veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde
gerçekleştirilmesi ve mutlaka verinin işlemesinden de önce yapılması gerektiği,
• Açık rıza vermenin, kişiye sıkı sıkıya bağlı bir hak olduğundan, verilen açık rızanın
geri alınabileceği, bu bağlamda kişisel verilerin geleceğini belirleme hakkı ilgili
kişiye ait olduğundan, kişinin dilediği zaman veri sorumlusuna vermiş olduğu açık
rızasını geri alabileceği; ancak geri alma işlemi ileriye yönelik sonuç doğuracağından,
açık rızaya dayalı olarak gerçekleştirilen tüm faaliyetlerin geri alma beyanının
veri sorumlusuna ulaştığı andan itibaren veri sorumlusu tarafından durdurulması
gerektiği; başka bir diğer deyişle, geri alma beyanının veri sorumlusuna ulaştığı
andan itibaren hüküm doğurduğu,
• 6698 sayılı Kanunun “İlgili Kişinin Hakları” başlıklı 11 inci maddesinde herkesin,
veri sorumlusuna başvurarak kendisiyle ilgili; kişisel verilerinin işlenip işlenmediğini
öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerinin
521
KİŞİSEL VERİLERİ KORUMA KURUMU
işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme,
kişisel verilerinin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini
isteme, 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerinin silinmesini
veya yok edilmesini isteme, kişisel verilerinin düzeltilmesi veya silinmesi/yok
edilmesi ile ilgili yapılan işlemlerin kişisel verilerinin aktarıldığı üçüncü kişilere
bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla
analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz
etme ve kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması
halinde zararın giderilmesini talep etme haklarına sahip olduğunun düzenlendiği,
• Veri sorumlusunun internet sitesinde yapılan incelemede şikâyete konu fotoğrafların
yer aldığı iddia edilen okul broşürünün hâlihazırda internet sitesinde erişime açık
şekilde “pdf” formatında yer aldığı, şikâyet konusu fotoğrafların da anılan broşürün
6 ncı ve 9 uncu sayfalarında yer aldığının görüldüğü,
• Şikâyetçi veli tarafından, ilgili kişinin fotoğraflarının veri sorumlusu tarafından
açık rızası olmaksızın hukuka aykırı olarak işlendiği iddiası ile ilgili olarak veri
sorumlusunun Kurumu muhatap cevap yazıları ve ekleri incelendiğinde; veri
sorumlusu tarafından öğrencilerin kişisel verisi olan fotoğraflarının paylaşılmak
suretiyle işlenmesine ilişkin “sosyal medya paylaşımı” konulu bir bilgilendirme
metninin düzenlendiği, anılan metinde “Okulumuzda yapılacak etkinliklerde
öğrencilerimizin fotoğraf ve videoları çekilmektedir. Öğrencilerimizin fotoğraf
ve videolarının resmi web sitesinde sosyal medya hesaplarında, okul dergimiz ve
okul panolarımızda paylaşılması ile ilgili aşağıdaki izin yazısını doldurarak sınıf/
mentor öğretmeninize göndermenizi rica ederim” şeklinde bilgilendirmeye yer
verildiği; söz konusu paylaşıma izin verilmesine ilişkin olarak öğrenci velilerinden
izin alınmasına yönelik bu metnin alt kısmında ayrı bir bölümün düzenlendiği,
bu bölümde ise söz konusu sosyal medya paylaşım yazısının okunduğu ve okul
bünyesinde yapılacak etkinliklerde çekilen fotoğraf ve videoların kullanılmasına
izin verildiği ya da verilmediğine ilişkin iki seçeneğin sunulduğu; somut olayda ise
şikâyetçi veli tarafından ilgili kişinin fotoğraflarının belirtilen amaçlar kapsamında
kullanılmak suretiyle işlenmesine izin verildiğine ilişkin seçeneğin seçildiği ve
belgenin ıslak imza ile imzalanarak açık rıza verildiğinin görüldüğü,
• Şikâyet dilekçesi ve eklerinden ilgili kişi vekilinin veri sorumlusundan, şikâyete
konu kişisel verilerinin silinmesini talep ettiği ancak veri sorumlusu tarafından
Bahse konu fotoğrafın aktif olarak kullanımda olmadığı ve yeni bir paylaşım
durumunun da söz konusu olmadığı hususlarına yer verilmiş olmasına rağmen
şikâyete konu fotoğrafların muhafaza edilme süresi ile silinmesi veya yok edilmesine
ilişkin herhangi bir bilgiye yer verilmediği, bu kapsamda ilgili kişinin okul ile
öğrencilik ilişkisinin 2018-2019 yıllarında mevcut olduğu ve güncel durumda ise
okul ile arasında öğrencilik ilişkisinin kalmadığı anlaşıldığından Kanunun 15 inci
maddesinin (5) numaralı fıkrası uyarınca, şikâyet konusu fotoğraftaki ilgili kişinin
görüntüsünün ayrılabilir olup olmadığının veri sorumlusunca ele alınması gerektiği,
522
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
değerlendirmelerinden hareketle;
• Şikâyet konusu fotoğrafların paylaşılmasına yönelik veri işleme faaliyetinin
Kanunun 5 inci maddesinin (1) numaralı fıkrasında yer alan ilgili kişinin/velisinin
açık rızası hukuki dayanağı çerçevesinde gerçekleştirildiği kanaatine varılmış olup
ilgili kişinin fotoğraflarının haksız ve hukuka aykırı olarak ticari amaçla bastırılıp
dağıtıldığı ve internet sitesinde paylaşıldığı iddiası hakkında Kanun kapsamında
yapılacak bir işlem bulunmadığına,
• Veri sorumlusu tarafından ilgili kişinin talepleri hakkında yeterli açıklamaya yer
verilmediği dikkate alındığında veri sorumlusu okulun 6698 sayılı Kanun ve “Veri
Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ”in ilgili hükümlerine
uyum konusunda gerekli dikkat ve özeni göstermesi gerektiği konusunda
talimatlandırılmasına,
• İlgili kişinin okul ile öğrencilik ilişkisinin 2018-2019 yıllarında mevcut olduğu
ve güncel durumda ise okul ile arasında öğrencilik ilişkisinin kalmadığı
anlaşıldığından Kanunun 15 inci maddesinin (5) numaralı fıkrası uyarınca, şikâyet
konusu fotoğraftaki ilgili kişinin görüntüsünün ayrılabilir olup olmadığının veri
sorumlusunca değerlendirilerek buzlanması ya da imha edilmesi ve sonucundan
Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına,
• Veri sorumlusuna tebliğ edilmesinden sonra geçerli olmak üzere, veri sorumlusu
tarafından okul bünyesinde çekilen fotoğraf ve videoların çeşitli mecralarda
paylaşılmasına ilişkin daha önce hazırlanmış olan aydınlatma ve açık rıza metinlerinin
Kanunun 3 üncü maddesinde yer alan unsurlar ve Aydınlatma Tebliğinde yer verilen
hükümler dikkate alınmak ve bu yönde alınacak açık rızanın okulu tanıtıcı basılı
yayınlarda/broşürlerde, web sitesinde veya sosyal medya hesaplarında paylaşılmasına
yönelik her bir işleme faaliyeti özelinde ilgili kişilere ayrı ayrı seçenek sunulmak
suretiyle revize edilmesi gerektiği yönünde veri sorumlusunun bilgilendirilmesine,
karar verilmiştir.
1.4.36 “Sigortacılık ve bireysel emeklilik alanında faaliyet gösteren bir şirket
tarafından ilgili kişiye ait kişisel verilerin hukuka aykırı olarak işlenmesi”
hakkında Kişisel Verileri Koruma Kurulunun 09/06/2021 tarihli ve 2021/584 sayılı
Karar Özeti
• Kuruma intikal eden şikâyet dilekçesinde özetle; Sigortacılık ve Bireysel
Emeklilik alanında faaliyet gösteren bir şirket tarafından ilgili kişinin cep telefonu
numarasına “Sayın …., Sizinle görüşmemiz öncesinde, hakkımızdaki özet bilgilere
aşağıda yer alan linki tıklayarak kolayca ulaşabilirsiniz… IPTAL: … Ret yazıp …’e
gönderiniz. ONAY: … Onay yazıp …’e gönderiniz. Eğer bu mesaja 24 saat içerisinde
tarafınızca herhangi bir <> yanıtı iletilmez ise, aranmak için olumlu yanıt verdiğiniz
varsayılacaktır…” içerikli bir SMS gönderildiği, kişinin adı geçen şirket ile herhangi
523
KİŞİSEL VERİLERİ KORUMA KURUMU
bir ilişkisinin olmadığı, veri sorumlusu tarafından ticari elektronik ileti gönderilmesi
üzerine ilgili kişi tarafından veri sorumlusuna e-postayla başvuruda bulunulduğu,
başvuruda telefon numarası, ad/ soyadının nasıl elde edildiği, başka kişisel verilerinin
işlenip işlenmediği hakkında bilgi talebinde bulunduğu, şirket tarafından verilen
cevapta SMS gönderen finansal danışmanın elindeki bir soğuk referans listesinden
telefon numarasına ulaşıldığı, söz konusu iletinin tarafına tanıtım yapabilmek için
izin amaçlı gönderildiği, GSM numarası ve isminin aranmayacak kişiler listesine
alındığı, bilgilerin üçüncü şahıslara ya da herhangi bir platforma aktarılmadığı ve
referans listelerinden silindiği, taraflarınca gerekli idari ve teknik önlemlerin alındığı
bilgisinin verildiği, söz konusu şirket tarafından ilgili kişinin aranmayacak kişiler
listesine aktarıldığı bilgisinden kişisel veri işlemeye devam edildiğinin anlaşıldığı,
bununla birlikte verilen yanıtta ilgili kişinin ad ve soyadının nasıl elde edildiğine
ilişkin bilgiye yer verilmediği, ayrıca, gönderilen iletide ilk 24 saat içinde iptal yanıtı
verilmezse aranmak için olumlu yanıt verildiğinin varsayılacağı bilgisinin yer aldığı
bu işleyişin hukuka aykırı olduğu belirtilerek yukarıda yer verilen hususlara ilişkin
olarak gerekli yaptırımın uygulanması talep edilmiştir.
• Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması
istenilmiş olup alınan cevabi yazıda özetle,
• Veri sorumlusu tarafından ilgili kişinin adı soyadı ve telefon bilgisinin ürünlere
ilişkin teklif araması yapılmadan önce gerçekleştirilen araştırmalar sonucunda bir
Baronun resmi internet sitesi üzerinden temin edildiği, söz konusu sitede ilgili kişi
gibi Baroya kayıtlı avukatların adı soyadı, telefon numarası ve e-posta adresi gibi
iletişim bilgilerinin yer aldığı ve bu bilgilerin herkes tarafından ulaşılabilecek aleni
veriler olduğu,
• Sigortacılık ve bireysel emeklilik alanında faaliyet gösteren veri sorumlusunun,
poliçelerinin tanıtım ve satışını yaparak satış sonrasında sigortacılık konusunda
müşterilerine hizmet verdiği, ilgili kişinin cep telefonuna gönderilen SMS’in
de şirketlerinin faaliyet alanı ve meşru menfaatleri kapsamında ürün tanıtımı
yapılmadan önce bu amaçla gönderildiği, 6698 sayılı Kişisel Verilerin Korunması
Kanununun (Kanun) 4 üncü maddesinin (2) numaralı fıkrasında yer alan kişisel
verilerin işlenmesine ilişkin ilkeler arasında yer aldığı üzere, şirketlerinin hukuka
uygun bir şekilde “belirli, açık ve meşru amaçlar” çerçevesinde kişisel veri işlediği
ve mevzuattan kaynaklanan idari ve teknik tedbirleri aldığı,
• Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinde kişisel
verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği (2) numaralı fıkrasının
(d) bendinde ise “İlgili kişinin kendisi tarafından alenileştirilmiş olması” şeklinde
kişisel verilerin açık rıza olmaksızın işlenmesinin mümkün olduğuna ilişkin
düzenleme bulunduğu,
• Kanunun 5 inci maddesinin (2) numaralı fıkrasının (d) bendine ilişkin TBMM
Kanun gerekçesinde “fıkranın (d) bendine göre, ilgili kişinin kendisi tarafından
alenileştirilen bir başka ifadeyle herhangi bir şekilde kamuoyuna açıklanmış olan
524
YAYIMLANMIŞ KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI 2018 - 2021
kişisel verileri işlenebilecektir. Çünkü ilgili kişi tarafından alenileştirilen ve böylelikle
herkes tarafından bilinebilecek hale gelen bu tür verilerin işlenmesinde, korunması
gereken hukuki yararın ortadan kalktığı kabul edilmektedir.” ifadelerinin yer aldığı,
TBMM gerekçesinde söz konusu fıkra amacından bahsedilirken, temel ölçüt olarak
sayısı belirsiz kişi tarafından görülebilecek durumda olma unsurunun kabul edildiği
ve “herhangi bir şekilde” ibaresi kullanılarak alenileşmenin meydana gelmesi için
başka bir şart aranmadığının ifade edildiği, ayrıca gerekçede alenileştirilen verilerin
işlenmesinde korunması gereken hukuki yararın ortadan kalktığının belirtildiği, zira
artık ilgili kişinin kendisinin dahi verinin korunması için bir çaba sarf etmediği,
• Bu bağlamda ilgili kişinin söz konusu bilgilerinin, telefonla aranmadan önce
zaten ilgili kişi tarafından alenileştirildiğinden açık rızası alınmadan işlenmesinin
mevzuata aykırılık teşkil etmeyeceğinin değerlendirildiği,
• Öte yandan, Kişisel Verilerin Korunması Kanununun 5 inci maddesinin (2) numaralı
fıkrasının (f) bendinde ilgili kişinin temel hak ve özgürlüklerine zarar vermemek
kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
halinde ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün
olduğunun düzenlendiği, veri sorumlusunun sigortacılık ve bireysel emeklilik
alanında faaliyet gösteren, bu faaliyetleri sonucunda ticari kazanç elde etmeyi
amaçlayan ve sektördeki diğer tüm şirketler gibi faaliyet alanında meşru çalışmalar
yürüten bir tüzel kişilik olduğu, söz konusu faaliyetlerin yürütülmesi sırasında veri
sorumlusunun var olma amaçlarından olan poliçe satış işleminin gerçekleştirilmesinin
de veri sorumlusu için meşru bir menfaat olduğu, dolayısıyla şirketlerinin var
olması için poliçe satışı yapmak zorunda olduğu, poliçe satışı yapmak için de teklif
araması yapılması gerektiği ve teklif araması sırasında mesaj gönderilen kişinin
ad, soyadı ve telefon numarası bilgilerinin önceden şirket uhdesinde bulunması
zorunluluğunun da izahtan vareste olduğu, bu nedenle Kanunun 5 inci maddesinin
(2) numaralı fıkrasının (f) bendinin de bu gibi durumlarda ilgili kişinin açık rızasının
aranmasına gerek olmadığını belirttiği ve ticari hayatın olağan akışı içinde seyrine
imkân tanıdığı, şirketlerinin meşru menfaatleri ve Kanunun meşru menfaat hükmü
birlikte değerlendirildiğinde taraflarınca hukuka aykırı bir işlem yapılmadığı,
• İlgilikişitarafındanverisorumlusunayapılanbaşvuruya,verilerininverisorumlususun
faaliyet alanı çerçevesinde meşru amaçlar çerçevesinde kendisine ürün tanıtımı
ve pazarlaması yapılması amacıyla, hangi kanaldan elde edildiği de belirtilerek
yanıt verildiği, ilgili kişinin, başvurusu üzerine veri sorumlusu nezdinden tutulan
“Aranmayacaklar Listesi”ne alındığının, bunun ötesinde verilerinin hiçbir şekilde
işlenmediği, yurt içinde veya yurt dışında üçüncü kişiler ile paylaşılmadığının ifade
edildiği, söz konusu liste ile kişisel verilerinin silinmesini veya kendisi ile iletişime
geçilmemesini talep eden ilgili kişilerin verilerinin işlenmesinin engellendiği, bu
şekilde veri sorumlusunun faaliyetlerine devam ederken uyması gereken bir diğer
mevzuat olan Ticari Elektronik İleti mevzuatına da uygun hareket edildiği,
• Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelikte Değişiklik
525
KİŞİSEL VERİLERİ KORUMA KURUMU
Yapılmasına Dair Yönetmeliğin “İspat yükümlülüğü ve kayıtları saklama süresi”
başlıklı 13 üncü maddesinin ikinci fıkrası gereğince; hizmet sağlayıcıların onay
kayıtlarının, onay geçerliliğinin sona erdiği tarihten; ticari elektronik iletilere ilişkin
diğer kayıtların ise kayıt tarihinden itibaren üç yıl süreyle saklanması gerektiği,
ayrıca talep edildiğinde ilgili kayıtların Bakanlığa sunulacağının düzenlendiği,