Kişisel Verileri Koruma Kurulu’nun Güncel Kararlarının Ana Fikirleri

Karar No

Ana fikir

Karar

2023/567

Bir alışveriş platformunda kredi kartının herhangi bir sisteme kaydedilmesi ve saklanması zorunlu tutulamaz.

Bu kaydın açık rızaya (ve özgür iradeye) dayanması gerekir.

E-Ticaret Sitelerinde Kart Bilgilerinin Kaydedilmesinin Zorunlu Tutulması

Karara konu olayda, bir e-ticaret sitesi kullanıcılarının ödeme için kullandıkları kart bilgilerini sisteme kaydetmelerini zorunlu tutmuştur. Öyle ki kart bilgileri kaydedilmeksizin ödeme yapılamamakta dolayısıyla alışveriş tamamlanamamaktadır.

Kurul yaptığı değerlendirmede, Avrupa Birliği Veri Koruma Otoritesi'nin (EDPB) 9 Mayıs 2021 tarihinde kabul edilen “Kredi Kartı Verilerinin Yalnızca Sonraki Çevrimiçi Satın Almaları Kolaylaştırmak Amacıyla İşlenmesinde Veri İşleme Şartları Konulu 02/2021 sayılı Tavsiye Kararı”na da atıf yaparak kart bilgilerinin veri sorumlusu tarafından sonraki satın alımlarda ödemeyi kolaylaştırmak için saklanabileceğini ancak bunun yalnızca kullanıcıya Kanuna uygun bir aydınlatma yapılması ve kullanıcıdan bu hususta açık rıza alınması halinde mümkün olabileceğini belirtmiştir.

Yaptırım: 500.000TL idari para cezası ve talimatlandırma (kredi kartı bilgilerinin üyelik hesabına kaydedilebilmesi için ilgili kişilerin aktif olarak buna rıza göstermelerini sağlayacak bir sistem geliştirilmesi ile birlikte aydınlatma metinlerinin güncellenmesi).

Kararın detaylarına buradan ulaşabilirsiniz.

2023/695

Çalışanların kendi inisiyatifleri ile gerçekleştirdikleri kanuna aykırı işlemlerin, veri sorumlusu organizasyonu içerisinde gerçekleşmesi halinde veri sorumlusu bu aykırılıktan sorumludur.

Özel Tıp Merkezi Çalışanının Yetkisiz Şekilde Bir Hastaya ait e-Nabız Bilgilerine Erişmesi

Karara konu olayda, bir tıp merkezinde çalışan hekim sekreteri, yetkisi olmadığı halde bir hastanın e-nabızda bulunan sağlık bilgilerine erişmiştir. Yapılan incelemede söz konusu çalışanın şifre bilgisine, ilgili doktorun bu şifreyi kendisi ile daha önce paylaşmış olması nedeniyle sahip olduğu, bu çalışanın, işyeri dışından şahsen tanıdığı bir kişinin ricası üzerine bu bilgilere eriştiği anlaşılmıştır.

Kurul değerlendirmesinde, her ne kadar şifre bilgisini ilgili doktor paylaşmış ve ilgili doktor bu hususta gerekli hassasiyeti göstermemiş ise de söz konusu hukuka aykırı erişimin veri sorumlusu tıp merkezinin çalışanı tarafından gerçekleştirildiği dikkate alındığında -çalışanın aksiyonlarından da veri sorumlusunun sorumlu olduğu gerekçesiyle- veri sorumlusunun söz konusu şifrenin korunması için gerekli önlemleri almadığının, örneğin çalışanlarını bu hususta eğitmediğinin anlaşıldığını ifade ederek tıp merkezine idari para cezası uygulanmasına karar vermiştir.

Yaptırım: 200.000 TL idari para cezası.

Kararın detaylarına buradan ulaşabilirsiniz.

2023/845

Alt-işverenlik veya benzeri bir çerçevede veri sorumlusu adına çalışan tüm kişilere de veri sorumlusunun kişisel verilerin korunması eğitim verme yükümlülüğü vardır.

Bu eğitim verme yükümlülüğü sorumlusunun kendi personeli ile sınırlandırılmamıştır.

Yorumumuz:

Olayda “geçici çalışma”, “alt-işverenlik” benzeri bir çalışma modeli olduğu anlaşılmaktadır. Zira kanımızca iki ayrı veri sorumlusu (örneğin, e-ticaret sitesi ve kargo şirketi) olduğu ve aralarında “geçici çalışma”, “alt-işverenlik” benzeri bir çalışma modeli olmadığı durumlarda her bir veri sorumlusunun kendi personeline eğitim vermesi beklenmelidir.

Tedarikçi Çalışanının Kargo Alıcısını Telefon ile Taciz Etmesi

Karara konu olayda bir online alışveriş sitesi üzerinden yaptığı alışveriş sonrası ilgili kişiye, ürünü getiren kurye taciz içerikli mesajlar göndermiştir.

Kurul değerlendirmesinde, her ne kadar söz konusu işlemi gerçekleştiren kurye doğrudan veri sorumlusunun kendi çalışanı olmasa da -olayda kurye, veri sorumlusunun dağıtımda destek hizmeti aldığı tedarikçi tarafından görevlendirilmiş bir kişidir- veri sorumlusu adına çalışan bu kurye yönünden de veri sorumlusunun kişisel verilerin korunması ve veri güvenliği konusunda eğitim verme ve bilgilendirme yapma yükümlülüğü bulunduğunu belirtmiş ve bu yükümlülüğünü yerine getirmeyen veri sorumlusunun veri güvenliğini sağlama yükümlülüğüne aykırı hareket ettiğine karar vermiştir.

Yaptırım: 250.000TL idari para cezası.

Kararın detaylarına buradan ulaşabilirsiniz.

2023/1130

Veri işleyenler, veri sorumlusu tarafından kendilerine çizilen talimatın çerçevesini aşmamaya azami özen göstermelidir.

Aksi takdirde ayrı bir veri sorumlusu haline gelirler.

Eczane Sistemindeki Rapor ve İlaç Kayıtlarının Eski Eş ile Paylaşılması

Karara konu olayda, eczacı, ilgili kişinin eski eşinin talebi üzerine, ilgili kişinin ilaç kayıtlarını eczaneler tarafından kullanılan Medula sisteminden çıkartarak eski eş ile paylaşmıştır.

Kurul değerlendirmesinde, Medula sisteminin kurulmasından ve yönetilmesinden Sağlık Bakanlığının sorumlu olması nedeniyle eczacıların bu sisteme girilen veriler açısından veri işleyen olduğunu tespit etmiştir. Buna karşılık karara konu olayda, eczacının Medula’ya bilgi girişi yapmanın ötesine geçmesi (ilgili kişinin rapor ve ilaç listesinin çıktısını alıp üçüncü kişi ile paylaşması) nedeniyle eczacı veri sorumlusu olarak değerlendirilmiştir. Nitekim bu yaklaşım Kurulun, daha önceki Medula kararı (olayda eczacının eşi Medula sisteminden çıktı almış ve kullanmıştır) ile de paraleldir.

Ayrıca aynı yaklaşımı Ticaret Bakanlığı tarafından işletilen KOOPBİS’e (Kooperatif Bilgi Sistemi) kooperatifler kaydedilen veriler bakımından kooperatiflerin veri sorumlusu olmayacağı yönündeki kararında da görmek mümkündür.

Yaptırım: 50.000 TL idari para cezası ve uyarma (Veri güvenliğinin sağlanabilmesini teminen Kanun’a ve Kurul’un “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” konulu 2018/10 sayılı kararına uyum hususunda azami dikkat ve özenin gösterilmesi).

Medula sistemi ile ilgili kararın detaylarına buradan ulaşabilirsiniz.

2023/1234

Aracı hizmet sağlayıcı olarak hareket eden e-pazaryerlerinin, münhasıran satıcılar tarafından gerçekleştirilen işleme faaliyetleri yönünden veri sorumlusu sıfatı bulunmamaktadır.

Açık rızaya tabi olarak talep edilen Findeks raporlarının verilmesi hizmetin sunulması şartı yapılmamalıdır.

Yorumumuz:

Öncelikle e-pazaryerlerinin hiçbir durumda veri sorumlusu olmadığı varsayılmamalıdır. Her olay özelinde ayrıca değerlendirme yapılması gerektiğini gözden kaçırmamakta fayda görüyoruz.

Veri sorumluları ödeme gücünü belirlemek için Findeks raporu paylaşımına açık rıza vermeyen kişiler yönünden farklı alternatifler -örneğin daha fazla teminat alma gibi- değerlendirebilir. Ancak bu alternatiflerin ilgili kişinin özgür iradesini sakatlayacak derecede yüksek olmamasına dikkat edilmelidir.

Bununla birlikte, araç kiralama işinde Findesk raporunun aracı kiralayacak kişinin kredibilitesini ölçebilmek amacıyla dolayı talep edilmesini kanuna aykırı bir amaç olarak görmediğimizi de eklememiz gerekir. Örneğin bu rapor doğrudan Findeks’ten değil de kişiden talep edilseydi ve bunun işlenmesi için de hukuki sebep “açık rıza” yerine “meşru menfaat” olarak belirlenseydi, Kurul’un değerlendirmesinin farklı olup olmayacağı düşünmeye değerdir.

Araç Kiralama Şirketinin Araç Kiralama için Findeks Raporu Talep Etmesi

Karara konu olayda, çevrimiçi olarak otobüs, uçak, kiralık araç ve konaklayacak yer arama hizmetleri sunan; otobüs, feribot ve uçak firmalarının seyahat biletlerini kullanıcılara yönelik satışa açan bir Platform,araç kiralama işleminin tamamlanması adına Findeks raporu temini için açık rıza talep etmiş, bu açık rızayı vermeyen ilgili kişinin araç kiralama rezervasyonu iptal edilmiştir.

Kurul değerlendirmesinde, öncelikle söz konusu platformun “aracı hizmet sağlayıcı” olarak faaliyet gösterdiğini, hizmet sağlayıcı tarafından sunulan içerik ve içeriğe konu mal veya hizmetle ilgili hukuka aykırı hususlardan sorumlu olmadığını, ilgili araç kiralama şirketi ile platform arasında bir sözleşme ilişkisi kurulduğunu, dolayısıyla Platform araç kiralama hizmeti vermeyip yalnızca rezervasyon taleplerini aldığını, bu nedenle de hizmetin sunulması bakımından veri sorumlusunun platform değil, araç kiralama şirketi olduğunu tespit etmiştir. Akabinde açık rıza vermeyen ilgili kişinin araç kiralama hizmetinden yararlandırılmamasını hizmetin açık rıza şartına bağlanması olarak değerlendirmiş ve araç kiralama şirketi aleyhine idari para cezasına karar vermiştir.

Yaptırım: 100.000 TL idari para cezası ve hatırlatma (Kişisel verilerin, işlemeyi gerektiren sebeplerin ortadan kalkmasıyla birlikte, imha edilmesi gerektiği).

Kararın detaylarına buradan ulaşabilirsiniz.

2023/1309

İlgili kişi başvurusunda dahi veri ihlali meydana geldiği öğrenilir ise veri ihlal bildiriminde bulunulmalıdır.

Bilet Satın Alan ancak Birbirini Tanımayan Kişilerin Bilgilerinin Aynı PNR Kodunda Toplanması

Karara konu olayda, ailesi ile birlikte bir seyahat acentesinden tur satın alan ilgili kişi seyahati öncesinde check-in yapmak isterken tanımadığı dört kişinin daha bilgilerinin aynı PNR kodu altında yer aldığını, bu kişilerin biletleri ile ilgili iptal/değişiklik yapma hakkının bulunduğunu görmüştür. Bu kapsamda havayolu şirketine ilgili kişi başvurusunda bulunmuştur.

Kurul değerlendirmesinde, aynı PNR koduna kaydedilebilen kişilerin birbirlerinin bilgilerini görebiliyor olmasının veri sorumlusunun (havayolu şirketi) gerekli idari ve teknik tedbirleri almadığı anlamına geldiğini ve bunun aynı zamanda bir veri ihlali sonucunu doğurabileceğini, oysa olayda veri ihlali bildiriminde bulunulmadığını ifade etmiştir.

Yaptırım: 300.000 TL idari para cezası ve talimatlandırma (Veri sorumlusunun olaydaki uygulamaya ilişkin ilave teknik tedbirleri alması).

Kararın detaylarına buradan ulaşabilirsiniz.

2023/1310

Mobil bankacılıkta kimlik doğrulama gibi meşru bir neden bulunması halinde biyometrik veriler açık rıza alınarak işlenebilir. Zira mevzuatta bu verinin açık rıza alınarak işlenmesine açıkça cevaz verilmiştir.

Yorumumuz

Kurulun biyometrik veri işlenmesi konusundaki katı tutumu bilinmektedir. Dolayısıyla bu karar tüm sektörlerde biyometrik kullanımına izin verildiği şeklinde yorumlanmamalıdır. Zira kimlik tespiti için biyometrik veri kullanımına -açık rıza alınarak- işlenmesine bankacılık mevzuatında izin verilmektedir.

Mobil Bankacılıkta Şifre Yenilerken Yüz Verisinin İşlenmesi

Karara konu olayda, mobil bankacılık uygulaması üzerinden kurumsal hesabına ilişkin şifreyi sıfırlamak isteyen kullanıcıdan şifre sıfırlama aşamasında yüz verilerinin işlenmesi için onay istenmiş, onay verilmeksizin işleme devam etmek mümkün olmamıştır.

Kurul değerlendirmesinde, Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik’in Kimlik Doğrulama ve İşlem Güvenliği başlıklı 34’üncü maddesine göre müşterilerine birbirinden bağımsız en az iki bileşenden oluşan bir kimlik doğrulama mekanizması uygulaması gerektiğini, veri sorumlusunun mobil bankacılıkta kredi/banka kartı seçeneği ile dijital parola oluşturma imkanı da sunmuş olduğu dikkate alındığında veri sorumlusu hakkında yapılacak bir işlem bulunmadığına karar vermiştir.

Yaptırım: Kanun kapsamında yapılacak bir işlem bulunmadığı ve talimatlandırma (İlgili kişilerin kolay anlaşılır/ulaşılır bir şekilde bilgilendirilmesi).

Kararın detaylarına buradan ulaşabilirsiniz.

2023/1321

Çalışanlar ya da eski ortaklara ait e-posta hesaplarının kullanıcılarının işten ayrılmalarından/veri sorumlusu ile ilişkilerinin sona ermesinden sonra yeni e-posta almayacak şekilde ayarlanması gereklidir.

Eski Şirket Ortağının E-Posta Hesabının Yeni Gönderi Alımına Kapatılmaması ve E-Postalarının Okunması

Karara konu olayda, ilgili kişi veri sorumlusu bünyesindeki ortaklığından ayrılmış ve e-posta hesabı pasif duruma alınmış olmasına rağmen bu hesabına yeni gönderilerin ulaşması engellenmemiş, gelen e-postalar tanımsız (hangi e-posta hesabına geldiği belirli olmaksızın) olarak veri sorumlusu yetkilisine iletilmiş, veri sorumlusu yetkilisi de bu e-postaları görüntüleyebilmiştir.

Kurul değerlendirmesinde, bu faaliyeti hukuka aykırı olarak değerlendirmiştir.

Yaptırım: 50.000 TL idari para cezası ve talimatlandırma (Sistemin işten ayrılan kişilere ilişkin kişisel veri işlenme faaliyetine devam edilmemesini sağlayacak şekilde düzeltilmesi ve şikâyete konu kişisel verilerin imha edilmesi).

Kararın detaylarına buradan ulaşabilirsiniz.

2023/1041

Kullanıcılara alternatif satış kanalları sunulması halinde internet üzerinden yapılan satışlarda yurt dışına veri aktarımının açık rıza verilmesi şartına bağlanması mümkündür.

Yorumumuz:

Karar yurt dışı aktarımı konusunda önemli kararlardan biridir. Zira kararı, özellikle yurt dışına kişisel verilerin aktarılması yönünden Kurulun hizmetin açık rıza şartına bağlanması konusundaki görüşünü esnettiği şeklinde yorumlanması mümkündür. Ancak müşterilere alternatif satış kanallarının sunulmasının ve bunun da ilgili alanda yeterli açıklıkta müşterilere belirtilmesinin şart olduğunu belirtelim.

Öte yandan Kurul olayda bir aykırılık görmemiş olsa da aydınlatma metinlerinin ilgili kişilerin onayına tabi olmadığını, dolayısıyla böyle bir ek onay mekanizması kurulmasına gerek olmadığını da hatırlatmakta fayda görüyoruz.

Veri Sorumlusunun İnternet Sitesinde Aydınlatma Yükümlülüğünü Usulüne Uygun Olarak Yerine Getirmemesi ve Sunduğu Hizmeti Açık Rıza Şartına Bağlaması

Karara konu olayda, internet üzerinden şeker ölçüm cihazları satan veri sorumlusu, internet sitesinden gerçekleştirdiği satışlar için ilgili alanda iki adet onay kutucuğu yerleştirmiştir:

(i)             Ticari elektronik ileti onayı,

(ii)            Kişisel verilerin yurt dışına aktarılmasına dair onay.

Öte yandan gizlilik politikası ve aydınlatma metinleri yönünden de doldurulması zorunlu bir onay mekanizması kurmuştur. Söz konusu onaylar verilmeksizin alışveriş tamamlamamaktadır.

İlgili kişi bu kutucukların işaretlenmesinin zorunlu tutulduğunu, dolayısıyla, hizmetin açık rıza şartına bağlandığını iddia etmiştir.

Kurul değerlendirmesinde, müşterilere; müşteri hizmetleri aracılığıyla kullanılabilen ve herhangi bir ek maliyet/yükümlülük getirmeyen alternatif bir satış kanalı sunulduğu, bu doğrultuda müşterilerin herhangi bir zarara uğramadan ve kişisel verilerinin yurt dışına aktarılmasına izin vermek zorunda bırakılmadan da ürünü temin edebilecek olduğu gerekçesiyle yurt dışına veri aktarımına dair onayın, hizmetin açık rıza şartına bağlanma sayılmayacağını belirtmiştir.

Öte yandan gizlilik politikası ve aydınlatma metinleri yönünden aranan zorunlu onayın ilgili kişiyi düşünmeye sevk ettiğini, bu nedenle bir aykırılığın söz konusu olmadığını ifade etmiştir.

Son olarak, kişisel verilerin ticari amaçlarla veya pazarlama maksadıyla işlenmesine rıza verilmeksizin de satın alım ve üyelik işlemine devam edilebildiğini tespit eden Kurul, bu yönden de bir aykırılık söz konusu olmadığını belirtmiştir.

Yaptırım: Talimatlandırma (Üyelik ve satış ekranlarında alternatif satış kanalına ilişkin yolun açık ve anlaşılır biçimde gösterilmesi).

Kararın detaylarına buradan ulaşabilirsiniz.

2023/1461

Genel olarak CCTV kameralarla görüntü kaydı alınması ve işlenmesi meşru kabul edilirken ses kaydı alınması ve işlenmesi (istisnai durumlar hariç -lütfen aşağıda açıklanan şu karara bakınız-) meşru kabul edilmemektedir.

Görüntü ve Ses Kaydı Alınması

Karara konu olayda veri sorumlusu eğitim kurumu, kiracı sıfatıyla taraf olduğu bir hukuki ilişki kapsamında kiraya verenlerden biri ile eğitim kurumunun kurucusunun odasında bir görüşme yapmıştır. Yapılan görüşmenin görüntü ve ses kaydı bu eğitim kurumu tarafından alınmıştır.

Kurul değerlendirmesinde, Millî Eğitim Bakanlığı Özel Öğretim Kurumları Yönetmeliği hükümleri gereğince belli yerlerde görüntü kaydı alınması mümkün ise de ses kaydı alınmasına cevaz veren bir düzenleme bulunmadığını, her ne kadar mevzuat görüntü kaydı alınmasına izin veriyor ise de kameralar vasıtasıyla alınan görüntü kaydının her durumda meşru bir gereklilik teşkil etmediğini, somut olayda görüntü kaydı alınmasının meşru bir sebebe dayanması nedeniyle hukuka uygun olduğu kabul edilebilir ise de aydınlatma yapma yükümlülüğünün devam ettiğini, ses kaydı yönünden ise meşru bir amaç bulunmaması nedeniyle bu işlemenin hukuka aykırı olduğunu ifade etmiştir.

Kararın detaylarına buradan ulaşabilirsiniz.

Yaptırım: 230.000 TL idari para cezası ve talimatlandırma (ses verilerinin imha edilmesi).

Buradan da Kurul’un benzer bir diğer kararına ulaşabilirsiniz.

2023/1465

Tek bir kişi dahi ihlalden etkilense veri ihlal bildirimi yapılmalıdır.

İnternet Sitesinde Üçüncü Kişilere Ait Verilerin Görüntülenebiliyor Olması Nedeniyle Kurulun Re’sen İnceleme Başlatması

Karara konu olayda, araç kiralama şirketine ait internet sitesine kendi kullanıcı adı ve e-posta adresi ile giriş yapan kullanıcı, sistemsel bir hata nedeniyle bir başka kullanıcının hesabına yönlendirilmiştir.

Kurul değerlendirmesinde, salt bu verilerin görüntülenebilir olmasının da bir işleme faaliyeti olduğunu, algoritma hatası sonucunda bir yetkisiz erişim meydana geldiğini, bu olaydan dört kişinin verileri etkilenmiş olmasına rağmen bir veri ihlal bildiriminde bulunulmamış olduğunu, yetkisiz erişim sağlayan kişinin ihbarı neticesinde re’sen inceleme başlatıldığını, ihbarda bulunabilmek için ihbar edenin kendi kişisel verilerinin olaydan etkilenmesine gerek olmadığını, yapılan inceleme neticesinde veri sorumlusunun gerekli güvenlik önlemlerini almadığının anlaşıldığını ve bu yetkisiz erişim nedeniyle veri ihlal bildiriminde bulunulmuş olması gerektiğini ifade etmiştir.

Yaptırım: 200.000 TL idari para cezası ve bilgilendirme (İhbarda bulunan ihlalden etkilenmesi gerekmediği).

Kararın detaylarına buradan ulaşabilirsiniz.

Kişisel Verilerin Hukuki Uyuşmazlıklarda Delil Olarak Kullanılması

2023/1356

Belli amaçlarla işyerinde kamera kaydı yapılması mümkündür.

Kayıt yapılan alanların belirlenmesinde kişilerin mahremiyet beklentileri de göz önünde bulundurulmalı, mescit, dinlenme odaları gibi alanlarda kamera kaydı yapılmamalıdır.

İlgili Kişinin İşyerinde Bulunan Mescit İçerisindeki İbadet Etme Görüntülerinin Dava Dosyasına Sunulması

Karara konu olayda, işveren, işçinin mescitte ibadet etme görüntülerini kayıt altına almış ve daha sonra bu görüntüleri mahkemeye delil olarak sunmuştur.

Kurul değerlendirmesinde, güvenlik kameraları vasıtasıyla iş yerlerinde, çalışanların iş sağlığı ve güvenliğinin sağlanması kapsamındaki yükümlülüklerin yerine getirilmesi, üretim süreçlerinin kontrolü, iş yerinin ve müşterinin korunması, işçinin performansının değerlendirilmesi ve suç şüphesinin aydınlatılması gibi birçok amaç ile genel ve özel nitelikte kişisel verinin işlenmesi mümkün olsa da veri sorumlusunun kameralar vasıtasıyla ibadethane içerisindeki görüntü kayıtlarını işlemesinin, ilgili kişinin dini inancına ilişkin (özel nitelikli) bir veri işleme olduğunu, bu nedenle yalnızca açık rıza verilmesi ile mümkün olabileceğini, ancak işten çıkarılma korkusu ile verilen bir açık rızanın geçerli sayılamayacağını, kaldı ki çalışanların, soyunma odaları, mescit, dinlenme odaları vb. bakımından makul bir mahremiyet beklentisinin bulunduğunu, dolayısıyla böyle bir kaydın meşru kabul edilemeyeceğini, dolayısıyla da bu işleme faaliyetinin hukuka aykırı olduğunu, veri işleme faaliyetinin derhal durdurulması gerektiğini ifade etmiştir.

Yaptırım: 300.000 TL idari para cezası ve talimatlandırma (Şikâyete konu kişisel veri işleme faaliyetinin ivedilikle durdurulması ve hukuka aykırı olarak işlenen kişisel verilerin imha edilmesi).

Kararın detaylarına buradan ulaşabilirsiniz.

2023/1578

Mahkemelerden gelen yazıları, bu yazılarda belirtilen kapsamda cevaplayan ve belge sunan veri sorumluları hukuka uygun hareket etmektedir.

Kişinin Terapi Seanslarında Tutulan Ses Kaydının Delil Olarak Kullanılması

Karara konu olayda, karı-koca arasında görülmekte olan bir boşanma davasına, mahkemenin yazılı talebi üzerine, terapi gören eşlerden birinin aldığı şahsi terapi ile eşlerin birlikte aldığı evlilik terapilerini ses kayıtları hasta dosyası içerisinde, hiçbir güvenlik önlemi alınmaksızın ilgili tıp merkezinin müdürü konumundaki hekim tarafından mahkeme dosyasına gönderilmiştir. Akabinde bu veriler UYAP sistemine (mahkemelerce dava dosyalarının kaydedildiği bir sistem) kaydedilmiştir.

Kurul değerlendirmesinde, veri sorumlusu tıp merkezinin bu kişisel verileri mahkemenin talebine istinaden göndermiş olması nedeniyle bu aktarımın hukuka uygun olduğunu, ancak aktarım yapılırken özel nitelikli kişisel veriler yönünden alınması gereken tedbirlere uyulması gerektiğini; öte yandan UYAP’a kaydedilen veriler yönünden ise bir sorumluluğu bulunmadığını ve mahkemeler tarafından gerçekleştirilen bu işlemenin Kanun’un 28(1)(d). hükmündeki istisnaya dayandığını ifade etmiştir.

Yaptırım: Hatırlatma (Özel nitelikli kişisel veriler yönünden gerekli tedbirlerin alınması).

Kararın detaylarına buradan ulaşabilirsiniz.

2023/1548

Belirli durumlarda ses kaydı, işçi-işveren arasında görülen davalarda delil olarak kullanılabilir.

Bu durumda veri sorumlusu işveren bir hakkın tesisi/korunması ve kullanılması hukuki sebebine dayanabilir.

Yorumumuz:

Gerçekten de Yargıtay kararları ile de sabit olduğu üzere kişinin, -başka türlü ispat etme imkanı bulunmuyorsa- kendisi aleyhinde bir suç fiilinin işlendiğinin tespit edilebilmesi için “ses kaydı” alması ve bunu delil olarak kullanması hukuka uygun kabul edilmektedir.

Özel hukuk davalarında (özellikle boşanma davalarında) bazı özel durumlarda ses kayıtlarının delil olarak kabul edilebileceği de kabul edilmektedir.

Fakat Kurul’un bu tür kriterlere değinmeden doğrudan “başka türlü delil ile ispat etme imkânı yok ise ya da kaybolma ihtimali bulunan kanıtların kaybolmasının engellenmesi amacı var ise” denilerek ses kayıtlarının delil niteliğini kabul etmesi tartışmaya açıktır. Bununla birlikte bu kararın dava süreçlerini rahatlattığı da bir gerçektir.

Üçüncü Kişi Tarafından Alınan Ses Kaydının İşveren Tarafından Dava Dosyasına Sunulması

Karara konu olayda, veri sorumlusunun tedarikçisi nezdinde sayaç okuma, açma, kesme ve sahada yaşanan usulsüzlükleri rapor etmek ile görevli bir çalışan, sayaç okuma esnasında bir kullanıcının/müşterinin yapmış olduğu usulsüzlüğü tespit etmiş, usulsüzlüğü iş yerine bildirmek yerine menfaat elde etmek amacıyla durumu kullanmak istemiş ve duruma göz yummak kaydıyla rüşvet istemiştir. Kullanıcı/müşteri bu konuşmanın ses kaydını alarak veri sorumlusuna iletmiştir. Bunun üzerinde işçinin, iş sözleşmesi feshedilmiştir. Akabinde bu ses kayıtları, taraflar arasındaki işçilik alacağı konulu davaya delil olarak sunulmuştur.

Kurul değerlendirmesinde, Yargıtay’ın istikrar kazanmış kararları doğrultusunda işverenin iş sözleşmesini haklı nedenle feshettiğini, başka türlü delil ile ispat etme imkânı yok ise ya da kaybolma ihtimali bulunan kanıtların kaybolmasının engellenmesi amacı var ise alınan ses kaydının hukuka uygun delil olarak kabul edilebileceğini, dolayısıyla feshe gerekçe kılınan ses kaydının işveren tarafından muhafaza edilmesi ile mahkeme dosyasına sunulmasının hukuka uygun olduğunu belirtmiştir. Kurul bu kararında da Hukuk Muhakemeleri Kanunu’nda delil sunma imkanına değinerek, bu veri işlemenin “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hukuki sebebine dayanabileceğini ifade etmiştir.

Yaptırım: Kanun kapsamında yapılacak bir işlem bulunmadığı.

Kararın detaylarına buradan ulaşabilirsiniz.

2023/1414

DNA testi sonuçları birden fazla kişinin ortak verisi olduğundan her bir kişi tarafından kullanılabilir.

Hukuk Muhakemeleri Kanunu, özel nitelikli kişisel verilerin mahkemelere delil olarak sunulmasına kanuni bir temel teşkil edebilir.

Kişisel veriler mahkemelere delil olarak sunulurken bir hakkın tesisi/korunması ve kullanılması hukuki sebebine dayanılabilir.

DNA Testi Sonuçlarının Avukat Tarafından Dava Dosyasına Sunulması

Karara konu olayda, bir avukat müvekkiline ait -farklı dava dosyalarına da sunulmuş olan- DNA testi sonuçlarını, ilgili kişi ile müvekkili arasında görülmekte olan ve konusu alacak olan dava dosyasına sunmuştur.

Kurul değerlendirmesinde, DNA testi sonuçlarının niteliği gereğince yalnızca ilgili kişiye ilişkin değil, ilgili kişinin çocukları gibi üçüncü kişilere ilişkin de bilgi içerdiğini, bu nedenle bahsi geçen kişiler yönünden ortak bir veri olduğunu, genetik veri niteliğindeki bu verilerin Kanun’un 6(3). maddesi gereğince kanunlarda açıkça yazan hallerde açık rıza olmaksızın işlenebileceğini, nitekim Hukuk Muhakemeleri Kanunu gereğince tarafların dosyaya delil sunabileceklerini ve DNA testi sonuçlarının da bu minvalde dava dosyasına sunulmuş olduğunun anlaşıldığını, dolayısıyla DNA testi sonuçlarının mahkemeye sunulmasının hukuka aykırı olmadığını belirtmiştir.

Yaptırım: Kanun kapsamında yapılacak bir işlem bulunmadığı.

Kararın detaylarına buradan ulaşabilirsiniz.

2023/924

Delil olarak sunulmak üzere kişisel verilerin işlenmesi mümkündür.

Ancak ilgili kişilere bu hususta aydınlatma yapılmalıdır.

Alacak İddiasının İspatlanabilmesi için Kişisel Verilerin İşlenmesi

Karara konu olayda, bir otopark hizmetinden yararlanan kişinin otopark ücretini ödememesi sonrasında veri sorumlusu, aracın otoparktayken fotoğraflarını çekmiş ve bunları delil olarak mahkemeye sunmuştur.

Kurul değerlendirmesinde, veri sorumlusunun söz konusu fotoğrafların “aracın park tarihinin ve süresinin ispat edilmesi için gerekli olduğu” yönündeki savunmasını uygun bulmuş; araç fotoğraflarının çekilmesi suretiyle kişisel veri işlenmesinin, “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hukuki sebebine dayandığını ve hukuka uygun olduğunu belirtmiştir. Ancak veri işlemenin bu hukuki sebebe dayanmasının aydınlatma yapma yükümlülüğünü ortadan kaldırmadığına işaret ederek veri sorumlusu aleyhinde idari para cezası uygulanmasına karar vermiştir.

Yaptırım: 75.000 TL idari para cezası ve talimatlandırma (Aydınlatma yükümlülüğünün yerine getirilmesi ve internet sitesinde çift faktörlü doğrulama yapılması, bu mümkün değil ise işlemenin sona erdirilmesi).

Kararın detaylarına buradan ulaşabilirsiniz.