2023 Yılının Dikkat Çeken KVKK Kararları
Avukatlık Faaliyeti Kapsamında SMS Gönderimi Hakkında Şikâyet Yaptırımsız Sonuçlandı[1].
22/03/2023 Tarihli ve 2023/437 Sayılı Kurul Kararında, bir avukatlık ortaklığı tarafından vekili olduğu şirket adına borç takibi ve hatırlatması amacıyla, borçluya beş kez kısa mesaj gönderilmesi ve çağrı merkezi aracılığıyla gerçekleştirilen görüşmelerde aydınlatma yükümlülüğünün yerine getirilmemesi hakkındaki şikayet değerlendirilmekte. Kurul, SMS gönderiminin müvekkil Şirket adına yapıldığı hususunu da göz önünde bulundurularak avukatlık ortaklığının, süreçteki veri işleme faaliyetleri bakımından serbestçe karar verme yetkisine sahip olması nedeniyle veri sorumlusu sıfatıyla hareket ettiğini tespit ettiği bu kararda, bahse konu faaliyetin “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” kapsamında olduğunu belirtti. Gönderilen SMS’lerin belirli kurallara göre atanan zamanlarda iletilmiş olmasının da “ölçülülük” kriterine uygun olduğunu belirten Kurul, karar kapsamında veri sorumlusu hakkında uygulanacak yaptırım olmadığını belirtti.
Yanlış Kişiye Kargo Teslimine 75.000 TL Yaptırım.[2]
05/01/2023 tarihli ve 2023/4 sayılı Kurul Kararı, ilgili kişiye teslim edilen kargonun kendisine ait olmaması; kendisine ait kargonun ise çapraz hata sebebiyle kargosunu teslim aldığı üçüncü kişiye teslim edilmesi üzerine tesis edildi. Kurul, yaptığı değerlendirmede, üçüncü kişiye gönderim anında gerçekleşen veri işleme faaliyetinin yeni ve ayrı bir veri işleme faaliyeti oluşturduğunu; bu faaliyetin ise Kanun’da sayılan işleme şartlarına dayanmadığını belirterek 75.000 TL idari para cezası uygulanmasına karar verdi. Diğer yandan, kararda veri sorumlusunun bildirimde bulunmadığı açıkça belirtilse de, bildirimde bulunmama özelinde yaptırım uygulandığına dair bir ifadenin yer almaması dikkat çekicidir.
Çerez Kullanımı: Rıza Yoksa Ceza Var. [3]
23/12/2022 tarihli ve 2022/1358 sayılı Karar’da, bir oyun platformunun internet sayfasında çerez işleme süreçleriyle ilgili kullanıcılara aydınlatma yapılmadığı, zorunlu olmayan çerezler için açık rıza alınmadığı ve üyelik için alınan veriler için aydınlatma ve açık rıza metinlerinin sunulmadığı iddiaları yer almaktadır. Karar’da, reklam, pazarlama ve performans amaçlı çerezlerin kullanımı için ilgili kişinin açık rızasının gerektiği vurgulandı. Bu doğrultuda, herhangi bir işleme şartına dayanmadan reklam ve pazarlama amacı gibi zorunlu olmayan çerezler vasıtasıyla kişisel veri işlenmesi nedeniyle 300.000 TL idari para cezası uygulanmasına karar verdi. Aydınlatma metinlerindeki eksiklikler bakımından ise Kurul, eksiklerin tamamlanması yönünde talimat vermekle yetindi.
Yine Bir Spor Salonu, Yine Sağlık Verisi.[4]
İlgili kişi, spor salonunun işletmecisi olan veri sorumlusunun, spor salonunda hizmet alan kişilerin sağlık verilerini, biyometrik verilerini ve kamera görüntülerini izinsiz bir şekilde işlediğini, aydınlatma yapmadığını, açık rıza almadığını, veri sorumlusuna yönelik soru ve taleplerini yanıtsız bıraktığını, kişisel verilere yetkisiz erişim olduğunu, güvenliğin sağlanmadığını, kartların kaybolduğunu ve kimlerin eline geçtiğinin belirsiz olduğunu, spor salonu çalışanlarının kamera kayıtlarını izlediğini ve bu kayıtlarla ilgili yorumlar yapıldığını belirterek Kurul’a başvurdu. Şikayet sonucunda alınan 23/12/2022 tarih ve 2022/1357 sayılı Karar’da Kurul,
- Özel nitelikli verilerin rıza alınmaksızın işlenmesi sebebiyle 100.000 TL idari para cezası uygulamış olup, tutarın belirlenmesinde ilgili kişinin başvurusuna yanıt verilmemesi, veri sorumlusunun birçok sektörde faaliyet göstermesi ve ekonomik durumunu dikkate aldığını belirtmiş ve
- Aydınlatma ve açık rıza metinlerinin üyelere sunulan sözleşme metni içerisinde değil ayrıca düzenlenmesi, açık rızanın ilgili kişilere her bir faaliyet açısından onay verme ve vermeme seçeneklerini içerecek şekilde sunulmasına karar verdi.
Tartışması Hiç Bitmez: İşçiye Tahsis Edilen E-posta Hesabının İncelenmesi[5]
İlgili kişi, şirket içi verilerin izinsiz olarak kişisel e-posta adresine gönderilmesi ve telefon görüşmelerinin gizlice kaydedilerek üçüncü kişilere iletilmesi gibi nedenlerle iş akdinin feshedildiğini belirterek Kurul’a şikayette bulundu. Kurul, 19/01/2023 tarihli ve 2023/86 sayılı Karar ile, Kanun kapsamında yapılacak bir işlem bulunmadığına karar verdi. İşçi-işveren arasındaki ilişkide Kanun’un yorumu oldukça hassas bir değerlendirme gerektirdiğinden, Kurul Kararı’nda yer alan tespitlere ayrıca dikkat çekmek istedik:
- İşveren tarafından işçilere kullanım amacıyla tahsis edilen iletişim araçlarının denetiminde işçinin kişisel verilerinin korunması hakkı ile işverenin; kaynakların verimli kullanılmasını sağlama, ticari gizliliği ve yönetim risklerini koruma, çalışanlar tarafından suç işlenmesini önleme, cezai ve hukuki sorumluluğa karşı korunma, bilgi akışının kontrolünü sağlama amaçları arasında menfaat dengesi kurulması gerekir.
- 17/09/2020 tarih ve 2016/13010 başvuru numaralı Anayasa Mahkemesi Kararı ile Avrupa İnsan Hakları Mahkemesi’nin (AİHM) 12/01/2016 tarihli “Bărbulescu v. Romanya” Kararında değerlendirilen kriterlerin somut olay açısından da dikkate alınması gerekir.
- Bu doğrultuda, özetle işverenin hangi ilkeleri göz önünde bulundurarak denetim yapabileceği, işverenin izleme öncesinde çalışanı bilgilendirip bilgilendirmediği, işveren tarafından yapılan izlemenin kapsamı ve işçinin mahremiyetine yapılan müdahalenin derecesi, işverenin iletişimi denetlemek için meşru gerekçeler sunup sunmadığı hususlarının dikkate alınması gerekir.
- Uluslararası Çalışma Örgütü’nün işçinin kişisel verilerinin korunmasına ilişkin kılavuzunda da işçiler izleniyorsa izleme nedenleri, zaman çizelgesi, kullanılan yöntem ve teknikler ile toplanacak veriler hakkında önceden bilgilendirilmesi ve işverenin işçilerin özel hayatına müdahaleyi en aza indirmesi gerektiği görüşü hakimdir.
- Madde 29 Çalışma Grubu’nun, iş yerinde elektronik iletişimin gözetimi hakkında çalışma belgesinde belirlediği ilkeler çerçevesinde bir değerlendirme yapılması gerekir. Bu gereklilik de izlemenin işçiler için şeffaf olup olmadığı, işveren açısından bu izlemenin gerekli bulunup bulunmadığı ve daha geleneksel yöntemlerle aynı sonuca ulaşılıp ulaşılamayacağı hususlarının göz önüne alınmasını gerektirir.
Kişisel Verilerin Hizmet Şartı Olarak Sunulması: E-Devlet Şifresi Talep Etmek.[6]
Kuruma iletilen ihbarda, tüketici finansman kredisiyle alışveriş imkânı sunan bir şirketin, işlemin tamamlanması öncesinde tüketicilerden e-devlet şifresi istediği belirtildi. İhbar üzerine başlatılan incelemede ilgili kişilerin e-Devlet şifrelerine erişim sağlandığı yönünde güçlü bir kanaat oluştuğu, ilgili kişilerin e-Devlet şifreleri talep edilerek hassas nitelikli olanlar da dahil pek çok kişisel veriye erişim sağlanabileceği sonucuna vararak 22/03/2023 tarihli ve 2023/426 sayılı Karar ile veri sorumlusu hakkında 400.000 TL idari para cezası uygulanmasına ve hukuka aykırı işlendiği değerlendirilen kişisel verilerin imha edilmesine karar verdi.
Sağlık Verisi ve Açık Rızanın Hizmet Şartına Bağlanması.[7]
Kurum’a iletilen ihbarda; sağlık kuruluşu olan veri sorumlusunun internet sitesinden randevu alırken, sağlık kuruluşunun hizmetlerinden ve duyurularından haberdar olmak amacıyla verilerinin işlenmesine ve bu nedenle kişilerle iletişime geçilmesine onay vermelerinin zorunlu olduğu ifade edildi. Ayrıca, tanıtım kutucuğuna onay verilmediği durumda randevu işleminin tamamlanmadığı ve bu şekilde hizmetin veri sorumlusu tarafından açık rıza şartına bağlandığı belirtildi.
Kurul’un 02/05/2023 tarihli ve 2023/692 sayılı kararında, sunulacak sağlık hizmetiyle doğrudan bağlantılı olmayan ve yalnızca veri sorumlusunun hizmetlerinin tanıtımından dolayı menfaat sağladığı işleme faaliyetine yönelik verilecek açık rıza beyanının zorunlu tutulmasının ilgili kişilerin bu husustaki iradelerini sakatlayacağı dikkate alınarak hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırılık teşkil eden bu işlem nedeniyle veri sorumlusuna 300.000 TL idari para cezası uygulanmasına karar verilmiştir. Aynı zamanda kararda, randevu başvuru formunun altında yer alan “Kişisel verilerimin işlenmesine ilişkin aydınlatma metnini okudum. Kişisel Verilerin Korunması Kanunu’na uygun şekilde verilerimin işlenmesine onay veriyorum.” metninden “onay veriyorum” ifadesinin çıkarılarak aydınlatma metninin okunduğuna dair bir kutucuğun işaretlenmesi şeklinde bir düzenlemenin yapılmasına karar verildi.
Reklam ve Tanıtım Faaliyetleri Kapsamında Verilerin İşlenmesi İdari Para Cezası ile Sonuçlandı.[8]
Kurul’a yapılan ihbarda özetle; bir hastanede hastalara imzalatılan onam formlarında, hastaların görüntü ve videolarının medya organları ile reklam ve tanıtım amacıyla paylaşılması için açık rıza istendiği ifade edildi.
Kurul, 11/05/2023 tarihli ve 2023/787 sayılı kararında, özel hastanelerin tanıtım faaliyetlerinde kullanmak üzere hastaların sağlık verilerini açık rıza ile işlemesi ve sosyal medya üzerinden paylaşması durumunda, sektörel düzenlemelere aykırılık ve ölçülülük ilkesine aykırılık üzerine odaklandı. Söz konusu durumda, açık rıza alınmış olsa da sektörel düzenlemeler uyarınca özel hastanelerin reklam yapmalarının yasak olduğu belirtilmiş, ayrıca sağlık verilerinin işlenmesinin amaca uygun olmadığı ve ölçülülük ilkesine aykırı olduğu değerlendirildi. Veri sorumlusu hakkında, hukuka aykırı olarak işleme faaliyeti gerçekleştirmesi nedeniyle 250.000 TL idari para cezası uygulanmasına karar verdi.
Üçüncü Kişi Bilgilerinin Görüntülenebilmesi Yine Yaptırımla Sonuçlandı.[9]
Kuruma iletilen şikayette, ilgili kişinin araç kiralama şirketine ait internet sitesine sisteme kayıtlı kullanıcı adı ve e-posta adresi ile giriş yaparken bir başka kullanıcının hesabına yönlendirildiği, hatalı yönlendirme neticesinde üçüncü bir kişinin adres, telefon numarası, T.C. kimlik numarası ve ehliyet bilgisi gibi kişisel verilerine eriştiği belirtildi. Bu şikayeti ihbar olarak değerlendiren Kurul, inceleme sonucunda 200.000 TL idari para cezası uygulanmasına karar verdi.
24/08/2023 Tarihli ve 2023/1465 Sayılı bu kararda dikkat çeken diğer bir husus ise veri sorumlusunun, şikayet eden ilgili kişinin ihlalden etkilenmediğine dair savunmasına karşı Kurul’un, ilgili kişinin ihbarı ile haberdar olunan ihlalin incelenebilmesi için ilgili kişiye ait kişisel verilerin ihlalden etkilenmesi gerekliliği bulunmadığı hususunda karar vermesi oldu.
Kredi/Banka Kartı Bilgilerinin Sonraki Alışverişler İçin Kaydedilmesi Açık Rızaya Tabidir.[10]
11/04/2023 Tarihli ve 2023/567 sayılı karar, ilgili kişinin e-ticaret sitesinden alışveriş yapabilmesi için kredi/banka kartı bilgilerini kaydetmesinin zorunlu tutulduğu ve ilgili bilgiler girilmeksizin “devam et” butonlarının işlemediği ve alışveriş yapılmasının mümkün olmadığı şikayeti üzerine tesis edildi.
İncelemede Kurul, sonraki alışverişler için kart bilgilerinin saklanmasının, ilk alışverişteki ödeme işleminin gerçekleştirilmesinden farklı bir amaca dayandığını ve bu amacın ancak açık rıza ile gerçekleştirilebileceğini belirterek 500.000 TL idari para cezası uyguladı. Kararda aynı zamanda Avrupa Veri Koruma Otoritesi’nin “Kredi Kartı Verilerinin Yalnızca Sonraki Çevrimiçi Satınalmaları Kolaylaştırmak Amacıyla İşlenmesinde Veri İşleme Şartları Konulu 02/2021 sayılı Tavsiye Kararı”na da atıfta bulunan Kurul, veri sorumlusunu bahse konu sürecin düzeltilmesi için talimatlandırdı.
Kurumsal Disiplin ve Düzen Amacıyla Çalışanların İzin Bilgilerinin Paylaşılması Veri İhlalidir. [11]
Kurum’a iletilen şikayet uyarınca, ilgili kişinin çalıştığı üniversitede, fakülte dekanı imzasıyla iletilen e-posta ekinde yer alan tüm öğretim üyelerinin sicil numaraları, çalıştıkları birim ve izin durumları bilgileri, fakültenin idari ve akademik tüm kadrosuna aktarıldı.
Fakülte, savunmasında ilgili personelin uyarılması maksadıyla verilerin paylaşıldığını belirtti. Kurul, 27/04/2023 Tarihli ve 2023/646 sayılı kararda, ilgili kişinin izin durumuna ilişkin kişisel verilerinin ilgili kişinin çalıştığı birimde görevli diğer personelle paylaşılmasının Kanun’da yer alan işleme şartlarından herhangi birine dayanmadığını belirterek fakülteyi ilgili personel hakkında disiplin hükümlerine göre işlem yapılması ve işlemin sonucu hakkında Kurula bilgi verilmesi yönünde talimatlandırdı.
Çalışan Farkındalığının Eksikliği Yine Yaptırıma Neden Oldu.[12], [13]
İlgili kişinin daha önce hiç sağlık hizmeti almadığı özel bir tıp merkezi tarafından, ilgili kişinin sağlık verilerinin e-Nabız sistemi üzerinden görüntülenmesi üzerine konu Kurum’a aktarıldı. Detaylı inceleme sonrası söz konusu görüntülemenin, hekimin yetkisinin asistan tarafından kullanılması ve asistanın sorgulamayı yaparak ilgili kişinin sağlık verilerine ulaşması şeklinde gerçekleştiği ortaya çıktı.
Kurul, 02/05/2023 tarihli ve 2023/695 sayılı Kararıyla, veri sorumlusunun çalışanı olan hekimin e-Nabız şifresini korumak hususunda gerekli özeni göstermesini sağlamak adına gerekli önlemlerin alınmadığı, hekim ve ilgili çalışanlara kişisel verilerin korunması konusunda eğitim verildiğinin tevsik edilemediği hususlarını da dikkate alarak 200.000 TL idari para cezası uygulanmasına karar verdi.
Benzer şekilde, bir kargo firması çalışanının, müşteriye ait cep telefonu numarasına teslimatla ilgili olmayan içerikte mesaj göndermesi sonucunda Kurum’a iletilen şikayet, Kurul tarafından veri sorumlusu hakkında 250.000 TL idari para cezası uygulanmasıyla sonuçlandı. Veri sorumlusunun, kargo firması çalışanı ile arasında hukuki bir ilişki bulunmadığı, dağıtımın yoğun olduğu dönemlerde ihtiyaç olan birimlerde parça başı dağıtımcılar vasıtası ile dağıtım ve teslimatın yaptırıldığı ve parça başı dağıtım tedarikçisi ve/veya tedarikçinin dağıtım ve teslimat hizmetleri için görevlendirdiği şoförünün talimatı ile dağıtıma destek için getirilen üçüncü bir kişinin sebep olduğu bir vakıa olduğu savunması kabul görmedi. 18/05/2023 tarihli ve 2023/845 sayılı bu kararda Kurul, veri sorumlusunun bünyesinde çalışmasa da ihlale sebep olan kişinin hareketinden, veri sorumlusunun sorumlu olacağını belirtti. Kurul, Türk Borçlar Kanunu madde 66 ve İş Kanunu madde 2’ye atıfta bulundu. İlgili hükümler adam çalıştıranın, çalışanının, kendisine verilen işin yapılması sırasında başkalarına verdiği zararı gidermekle yükümlü olduğunu ve İş Kanunu’nun ilgili hükmünün de sorumluluk sahibi tarafın veri sorumlusu olduğunu gösterdiğini belirtti.
Basın Özgürlüğü vs. Kişisel Verilerin Korunması[14]
Evli bir çift olan ilgili kişilerin Kurum’a ilettikleri şikayet, özel bir hastanede aldıkları hizmet süresince yaşadıkları olumsuzluklar nedeniyle hastane, Sağlık Bakanlığı ve Cumhuriyet Savcılığına ilettikleri belgelere dayanılarak iki ay sonra yüksek tirajlı bir gazetede kişisel verileri kullanılarak yapılan habere ilişkindir. 11/05/2023 Tarihli ve 2023/767 sayılı kararda basın özgürlüğü, Kanun’un istisnaları düzenleyen 28’inci maddesi ve kişisel verilerin korunmasının temel ilkeleri detaylıca değerlendirildi.
Kurul, yaptığı değerlendirmede aşağıda özetlenen tespitleri yaparak hastane hakkında 100.000 TL idari para cezasına karar verdi:
“…Taraflar arasında yaşanan olay bir gazete haberinin gerektirdiğinden fazla detay ile anlatılmak istenen özden uzaklaşılarak verilmiştir ve bu detaylar ilgili kişilerin kişilik haklarını ihlal etmektedir.
Haberin yapılmasında kamu ilgi ve yararı kriteri mevcut ise de söz konusu kişisel verilerin yayımlanması toplumun genelini ilgilendiren ya da ilgilendirmesi gereken bir durum değildir, toplumu bir olayı düşünmeye sevk etmediği ya da kamuoyunda tartışılan bir meseleye katkı sağlayabilecek nitelikte değildir ve haberde yer verilen kişisel verilerin özel nitelikli veri niteliğini haiz olması özle biçim arasındaki denge unsurunun sağlanamadığını göstermektedir…”
Neden Güven İlişkisi Üzerine Dahi Olsa Bilgi Paylaşımı Yapılmaması Gerektiğinin Bir Örneği: Eczacının Veri Paylaşımına 50.000 TL İdari Para Cezası.[15]
Kurum’a iletilen şikayette, ilgili kişiye ait sağlık verilerinin eczacı tarafından eski eşine verildiği ve bu hususun velayet davası sırasında öğrenildiği belirtildi. Eczacı, savunmasında eşlerin durumunu bilmediğini, eski eşin raporların yenilenmesi gerekçesi ile rapor çıktılarının gerektiğini ifade ettiğini ve eczane çalışanının, ilgili kişiye faydalı olabilmek maksadı ile ilgili kişinin eşi olarak bildiği kişiye raporları verdiğini ifade etti.
Kurul, 06/07/2023 Tarih ve 2023/1130 Sayılı kararı ile kişisel verilerin herhangi bir veri işleme şartına dayanılmaksızın üçüncü kişi ile paylaşımı nedeniyle eczacı hakkında 50.000 TL idari para cezası uygulanmasına karar verdi.
Findeks Raporu Talebi ve Açık Rızanın Hizmet Şartına Bağlanması Hakkında Kurul Kararı[16]
Kurum’a iletilen şikayette, kullanıcılara çevrimiçi otobüs, uçak, kiralık araç ve konaklayacak yer arama hizmetleri sunan; otobüs, feribot ve uçak firmalarının seyahat biletlerini kullanıcılara yönelik satışa açan Platform’un (Platform) resmi internet sitesi üzerinden araç kiralandığı ancak araç kiralama şirketine aracın teslimi için gidildiğinde Findeks raporu talep edildiği ve rapor için açık rızanın zorunlu tutulduğu; ilgili kişinin bu talebi reddetmesi nedeniyle de araç kiralama hizmetinden faydalanamadığı ifade edildi. Kurul, 20/07/2023 tarihli ve 2023/1234 sayılı kararında, Platformun hukuka aykırı durumdan sorumlu olamayacağı, veri sorumlusunun araç kiralama şirketi olduğu, Findeks raporunun bu süreçte ancak açık rızaya dayanılarak işlenebileceği ve açık rızanın hizmet şartı yapılamayacağı gerekçeleriyle araç kiralama şirketi hakkında 100.000 TL idari para cezası uygulanmasına karar verdi.
Uçak Bileti Check-in İşlemi Sırasında Tespit Edilen Veri İhlali[17]
Kurum’a iletilen şikayette, uçak bileti Check-in işlemi yapmak için havayolu şirketine ait mobil uygulamadan Yolcu İsim Kaydını-Passenger Name Information (PNR) ve soyadını girildiğinde ilgili kişinin tanımadığı dört kişinin "isim, soyisim, cinsiyet, doğum tarihi, uyruğu, belge türü, belgenin verildiği ülke, belge no, son geçerlilik tarihi, vize bilgileri" gibi bilgilerinin görüldüğü belirtilmekte.
Kurul, 03/08/2023 Tarihli ve 2023/1309 Sayılı kararında, söz konusu durumun gerekli teknik ve idari tedbirlerin alınmaması kapsamına girdiğini belirterek havayolu şirketi hakkında 300.000 TL idari para cezası uyguladı.
Verilerin Üçüncü Kişiye İfşası ve Ölçülülük Üzerine Kurul Değerlendirmesi[18]
Kurum’a iletilen şikayet, sosyal medya uygulamasından üçüncü bir kişi tarafından ilgili kişiye veri sorumlusuna ait otelde ikamet ettiği döneme ilişkin bilgiler ihtiva eden bir belge gönderilmesi, ilgili kişinin bahsi geçen şahsa söz konusu belgenin kendisine nasıl ulaştığını sorduğunda şahsın otelde çalışan bir tanıdığından kendisine gönderilmesini istediğini belirtmesi ve söz konusu belgenin üzerinde yer alan ilgili kişinin isim ve konaklama bilgilerinin üçüncü kişilerin eline geçmesi üzerinedir.
Yapılan incelemede veri sorumlusu, ilgili belgenin Housekeeping Task Sheet isimli tek sayfalık matbu bir belge olduğunu ve belgenin amacının kat hizmetleri görevlisi kişilerin gün içerisinde temizliğini yapacakları ve sorumlu olduğu odaların takibi olduğunu ifade etti. Belge üzerinde isim-soy isim bilgilerinin yer almasının farklı nedenleri bulunduğu, lüks hizmet sunan otellerin standartları gereği konaklayan misafirlerin kişisel ve özel hissettirilmesi amaçlı misafirlere soy isim ile seslenildiği, ayrıca acil durum yaşanması durumunda kat hizmetleri görevlisi kişilerin misafirlerin kontrollerini sağlamalarının gerektiği veya acil durum müdahale raporu oluşturulabilmesi için kat hizmetleri görevlisi kişilerin misafirlerin isim-soy isim bilgilerine hakim olmasının gerektiği savunuldu.
Kurul, 03/08/2023 Tarihli ve 2023/1327 Sayılı kararında, belgede yer alan veri alanlarına ilişkin olarak kat görevlilerinin temel faaliyet alanının bakım ve temizlik hizmetleri olduğunu ve hizmetlerin yürütülmesinin konaklayan kişinin adını-soyadını bilmesini gerektirmediğini belirtti. Kurul, veri sorumlusunun konaklayanları özel hissettirmek amacından yola çıkarak kişisel verilerin korunması hakkını göz ardı etmemesinin gerektiğinin altını çizerek ölçülülük ilkesinin ilgili belge bakımından sağlanmadığı ve üçüncü kişilerle paylaşıldığı gerekçesiyle 500.000 TL idari para cezası uygulanmasına karar verdi.
Ayrıca, şikayete konu edilmese de Kurul, inceleme kapsamında konaklama belgesini de ele alarak belge altında yer alan ticari ileti onay metnine dair de değerlendirmede bulunarak belgenin Kanun’a uygun hale getirilmesi için veri sorumlusuna talimat verdi.
İbadethane İçerisinin Kamera ile İzlenmesi Açık Rızaya Tabidir.[19]
Kurum’a iletilen şikayet, ilgili kişinin ibadethane içerisindeki ibadet etme görüntülerinin eski işvereni tarafından rızası dışında kayıt altına alındığı, görüntülerin veri sorumlusu şirketle ihtilaflı olduğu mahkeme dosyasına şirket tarafından ibraz edildiği ve iş akdinin feshedilmesinden kısa bir süre önce, geriye dönük olarak rıza alındığına yöneliktir.
Kurul, 10/08/2023 Tarihli ve 2023/1356 Sayılı Kararında, veri sorumlusu tarafından kameralar ile görüntülerin işlenmesinin özel nitelikli veya genel nitelikli kişisel veri olup olmadığının değerlendirilmesi gerektiğini belirtmiş ve ibadethane içerisindeki görüntü kayıtlarını işlemesinin, ilgili kişinin dini inancına ilişkin bir veri işleme olduğu ve bu sebeple özel nitelikli kişisel veri kategorisine gireceğini ifade etti. Rızanın sonradan ve işçi-işveren arasındaki dengesizliğe dayanarak zorla alınmasının da rızanın geçersizliği sonucunu doğurduğunu belirten Kurul, veri sorumlusu hakkında 300.000 TL idari para cezası uygulanmasına karar verdi. Kurul ayrıca, iş sağlığı ve güvenliği çerçevesinde kamera vasıtasıyla ibadethanenin gözetlenmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin, meşru menfaat kavramına dayandırılamayacağını, ayrıca söz konusu veri işleme faaliyetinin Kanun’da belirtilen ilkelere uygun olmadığını, mescidin, veri sorumlusunun çalışma alanı çerçevesinde izlenmesini mecbur kılacak herhangi bir vasfının olmadığını ifade etti.
Yemek Kartına Ait Mobil Uygulamada T.C. Kimlik Numarası İşlenmesi Nedeniyle 200.000 TL Para Cezası.[20]
Kurum’a iletilen şikayet, yemek kartı hizmeti sunan veri sorumlusuna ait mobil uygulamayı kullanmak için kayıt olurken kişilerin T.C. kimlik numarası bilgilerinin istendiğinin belirtilmesi hakkındadır. Kurul, resen başlattığı inceleme sonucunda aldığı 17/08/2023 tarihli ve 2023/1430 Sayılı Karar ile faaliyetin, kişisel verilerin işlendiği amaçla ölçülü işlenmesi ilkesine aykırı olduğu değerlendirmesiyle veri sorumlusu hakkında 200.000 TL idari para cezası uygulanmasına karar verdi.
Kamera ile Görüntü Kaydına Ek Olarak Ses Kaydı Alınması Kanun’a Aykırıdır.[21]
Kurum’a iletilen şikayette, aynı zamanda kiracı sıfatı da taşıyan veri sorumlusu eğitim kurumunun, ilgili kişilerin görüntü ve ses kaydını alarak bu kayıtları kiraya ilişkin husumette kullandıkları ve kayıt alınmasına dair bilgilendirilmedikleri belirtilmekte.
Kurul tarafından yapılan incelemede, eğitim kurumunun tabi olduğu mevzuat ve çocukların güvenliği ile iş sağlığı güvenliği kapsamında kamera ile görüntü kaydı alınmasının Kanun kapsamında uygun görülebileceği belirtildi. Bununla birlikte Kurul, 24/08/2023 Tarihli ve 2023/1461 Sayılı Kararında, görüntü kaydına ek olarak ses kaydı alınması gerekliliği olmadığı gibi daha fazla verinin işlenmesinin özel hayatın gizliliği hakkı genelinde ve kişisel verilerinin korunması hakkı özelinde bir menfaat çatışması doğurduğunu belirtti. Ek olarak, güvenlik gerekçeleri ile kamera kaydı alınmasının yaygın bir uygulama olduğu ancak aynı gerekçe ileri sürülerek ses kaydı alınmasının, kişisel verisi işlenen ilgili kişilerin makul beklentilerinin ötesinde olduğu ifade edildi. Kurul, ses kaydı alınması nedeniyle 200.000 TL; kamera ile görüntü kaydı alınmasına dair süreçte aydınlatma yükümlülüğünün yerine getirilmemesi nedeniyle 30.000 TL idari para cezası uygulanmasına karar verdi.
Araç Kiralama Şirketine, İnternet Sitesindeki Hata Sebebiyle İdari Para Cezası uygulandı.[22]
Kuruma iletilen ihbar dilekçesinde, ilgili kişinin araç kiralama şirketine ait internet sitesine sisteme kayıtlı kullanıcı adı ve e-posta adresi ile giriş yaparken bir başka kullanıcının hesabına yönlendirildiği ve bu nedenle üçüncü bir kişinin kişisel verilerine eriştiği belirtilmekte.
Kurul, 24/08/2023 Tarihli ve 2023/1465 Sayılı Kararında, veri kayıt sistemindeki algoritmanın yanlış çalışması nedeniyle kişisel verilere hukuka aykırı olarak erişim sağlanması nedeniyle 200.000 TL idari para cezası uygulanmasına karar verdi. Ayrıca Kurul, söz konusu olayın veri ihlal bildirimini gerektirdiğini belirterek veri sorumlusuna veri ihlal bildirimiyle ilgili yükümlülüklerini hatırlattı.
Gizli Ses Kaydının İşlenmesinin Hukuka Uygunluk Sebepleri Açısından İncelenmesi.[23]
Kurum’a iletilen şikayet dilekçesinde, ilgili kişinin ses kaydının gizlice alındığı ve iş akdi feshinde kullanıldığı belirtilmektedir. Olayda, ilgili kişi, veri sorumlusunun alt yüklenicisinin çalışanı olup sayaç okuma, açma, kesme ve sahada yaşanan usulsüzlükleri rapor etmek ile görevlidir. İlgili kişi, sayaç okuma esnasında bir kullanıcının/müşterinin yapmış olduğu usulsüzlüğü tespit etmesine rağmen, iş yerine bildirmek yerine duruma göz yummak kaydıyla rüşvet istedi. Kullanıcının/müşterinin ilgili fiilin suç teşkil edebileceği endişesi ile ses kaydını aldığı ve aynı amaçlar kapsamında da veri sorumlusuna ilettiği belirtilmekte.
Kurul, 07/09/2023 Tarihli ve 2023/1548 Sayılı Kararı ile aşağıdaki gerekçelerle ses kaydının ses kaydının Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendinde yer alan “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hükmü doğrultusunda mahkemeye aktarıldığına karar verdi:
- İlgili kişiye ait ses kaydı, uyuşmazlık konusunun gerçekleşip gerçekleşmediği hakkında kanı oluşturmaya yarayan bir delil niteliğindedir. 6100 sayılı Hukuk Muhakemeleri Kanunu’nun (HMK) 190’ıncı maddesi ve İş Kanunu’nun 20’nci maddesi uyarınca olayda işverenin ispat yükü bulunmaktadır.
- HMK’nun 189’uncu maddesi uyarınca hukuka aykırı olarak elde edilen ses kaydı, kural olarak delil mahiyetinde kullanılamaz.
- Bununla beraber Yargıtay içtihatları ile izinsiz ses kaydı alınmasının, belli bazı durumlarda, Türk Ceza Kanunu kapsamında suç teşkil etmeyeceği ve hukuka uygun delil mahiyeti taşıyacağı benimsenmiştir.
- Yargıtay Ceza Kurulu’nun 01/12/2020 tarihli ve 2020/485 sayılı Kararında da; “Kişinin kendisine karşı işlenmekte olan bir suçla ilgili olarak, bir daha kanıt elde etme olanağının bulunmadığı ve yetkili makamlara başvurma imkânının olmadığı ani gelişen durumlarda karşı tarafla yaptığı konuşmaları kayda alması halinin hukuka uygun olduğunun kabulü zorunludur. Aksi takdirde kanıtların kaybolması ve bir daha elde edilememesi söz konusudur.” değerlendirmesine yer verilmiştir.
- İşçi işveren uyuşmazlıklarında; işverenin iş sözleşmesini haklı nedenle feshettiğini başka türlü delil ile ispat etme imkânı yok ise ya da kaybolma ihtimali bulunan kanıtların kaybolmasının engellenmesi amacı var ise alınan ses kaydının hukuka uygun delil olarak kabul edilebilecektir.
- Somut olayda ilgili kişinin ses kaydı, iş sözleşmesinin haklı sebeple feshedildiğini ispatlama aracı olarak kullanılmıştır ve hukuka uygun delildir. Nitekim kayıt, veri sorumlusu tarafından da alınmamış delil mahiyeti taşıması sebebiyle veri sorumlusu tarafından muhafaza edilmiştir.
- Bu itibarla; iş sözleşmesinin feshine haklı gerekçe kılınan ses kaydı delilinin “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hükümleri doğrultusunda Kanuna uygun bir şekilde mahkeme dosyasına sunulmuştur.
Şikayet Üzerine Başlayan İnceleme, Yerinde İnceleme ve İdari Para Cezası ile Sonuçlandı.[24]
Kuruma iletilen şikayet, geniş katılımlı çevrim içi bir oyunun Türkiye’deki dağıtıcısı ve tek yetkilisi konumunda olan veri sorumlusunun, ilgili kişinin veri sorumlusuna başvurduğu ancak kendisine verilen yanıtta pek çok talebinin yanıtsız bırakıldığı veya yanıltıcı ve eksik bilgi verildiği, verilerin yurt dışına aktarıldığı ve usule uygun aydınlatma yapılmadığı belirtilmekte.
Veri sorumlusundan talep edilen savunma metninden, “veri sorumlusu tarafından ilgili kişinin kişisel verisi niteliğindeki e-posta adresi ve IP adresinin yurtdışına aktarımının yapılıp yapılmadığı hususunda kesin bir kanaate varılamadığından” Kurum, veri sorumlusunun ofisi ve hizmet aldığı bir diğer firmanın merkezinin ziyaret edilmesi suretiyle yerinde inceleme gerçekleştirdi.
Kurul, inceleme sonucunda genele yaygın bir yurt dışına aktarım bulunmadığını değerlendirdi. Bununla beraber, 28/09/2023 Tarihli ve 2023/1645 Sayılı Kararla, çerezler bakımından Kanuna aykırılık ve çerezler vasıtasıyla yurt dışına veri aktarımı sebebiyle şirket hakkında 750.000 TL idari para cezası uygulanmasına karar verdi. Çerezlere dair Kurul tespitleri aşağı belirtilmekte:
- Veri sorumlusuna ait internet sitesinde yayımlanan çerezlere ilişkin pop-up açıklaması altında “sadece gerekli çerezleri kullanın” ve “tüm çerezlere izin ver” olmak üzere iki seçeneğin sunulmakta, “tüm çerezlere izin ver” seçeneği sunularak gerekli çerezler kategorisi dışındaki her bir çerez tipi için topluca açık rıza alma yoluna gidilmektedir.
- Çerez Beyanı ve Çerez Politikası metinlerinde yer alan çerez tablosunda üçüncü taraf çerez sağlayıcıları tarafından çeşitli çerezlerin “gerekli çerezler” kategorisinde kullanıldığının belirtildiği, üçüncü taraf çerez sağlayıcısının yurt dışında yerleşik bir firma olduğu göz önüne alındığında, internet sitesinde çerezler yoluyla açık rıza şartına dayalı olarak gerçekleştirilen kişisel veri işleme faaliyetinde açık rızanın unsurları sağlanmamaktadır.
- Diğer taraftan, yurt dışında yerleşik şirketlere ait olan üçüncü taraf çerezlerin, zorunlu çerez kategorisinde kullanılması sebebiyle, kişisel verilerin yurt dışına aktarımı, Kanun’un 9’uncu maddesinde belirtilen yurt dışına veri aktarım şartlarına dayanmamaktadır.
[1] https://kvkk.gov.tr/Icerik/7600/2023-437
[2] https://kvkk.gov.tr/Icerik/7598/2023-4
[3] https://kvkk.gov.tr/Icerik/7595/2022-1358
[4] https://kvkk.gov.tr/Icerik/7594/2022-1357
[5] https://kvkk.gov.tr/Icerik/7593/2023-86
[6] Kararın tam metni için bkz. https://www.kvkk.gov.tr/Icerik/7599/2023-426
[7] Kararın tam metni için bkz. https://www.kvkk.gov.tr/Icerik/7691/2023-692
[8] Kararın tam metni için bkz. https://www.kvkk.gov.tr/Icerik/7692/2023-787
[9] https://kvkk.gov.tr/Icerik/7784/2023-1465
[10] https://kvkk.gov.tr/Icerik/7755/2023-567
[11] https://kvkk.gov.tr/Icerik/7757/2023-646
[12] https://kvkk.gov.tr/Icerik/7754/2023-695
[13] https://kvkk.gov.tr/Icerik/7759/2023-845
[14] https://kvkk.gov.tr/Icerik/7758/2023-767
[15] https://kvkk.gov.tr/Icerik/7770/2023-1130
[16] https://kvkk.gov.tr/Icerik/7772/2023-1234
[17] https://kvkk.gov.tr/Icerik/7774/2023-1309
[18] https://kvkk.gov.tr/Icerik/7778/2023-1327
[19] https://kvkk.gov.tr/Icerik/7779/2023-1356
[20] https://kvkk.gov.tr/Icerik/7782/2023-1430
[21] https://kvkk.gov.tr/Icerik/7783/2023-1461
[22] https://kvkk.gov.tr/Icerik/7784/2023-1465
[23] https://kvkk.gov.tr/Icerik/7777/2023-1548
[24] https://kvkk.gov.tr/Icerik/7765/2023-1645