KİŞİSEL VERİLERİ KORUMA KURULU YENİ KARAR ÖZETLERİ

Kişisel Verileri Koruma Kurumu’nun (KVKK) web sitesinde 9 adet yeni kurul karar özeti yayınlanmıştır.

1.“İlgili kişinin telefon numarası bilgisinin farklı veri sorumluları tarafından hukuka aykırı olarak işlenmesi”ne ilişkin Kişisel Verileri Koruma Kurulunun 09/02/2021 tarihli ve 2021/111 sayılı Karar Özeti: İlgili kişiden alınan şikâyet dilekçesinde özetle; cep telefonuna, kendisine ait herhangi bir içerik barındırmayan fakat yakınına ait bir borca ilişkin iki adet kısa mesaj (SMS) gönderildiği; konuya ilişkin olarak ilgili hukuk bürosuna ve alacak sahibi şirkete başvuruda bulunduğu ancak tarafına verilen yanıtların birbiri ile çelişkili ve yetersiz olduğu ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir. Şirket tarafından yapılan başvuruya ilişkin savunmada şirketleri bünyesinde borçlu olduğu tespit edilen kişiler hakkında iki aşamalı idari takip süreci ve icra takip süreçlerinin yürütüldüğü ve bu süreçlerin iki ayrı büro tarafından gerçekleştirildiği, şirketlerinde ilgili kişinin telefon numarasının kayıt altına alınmadığı ilk süreci yürüten hukuk bürosu tarafından Yasal Takip Sistemine (YTS) kaydedildiği öne sürülmüştür. Hukuk bürolarının vermiş olduğu savunmalarda da ilk hukuk bürosu tarafından bu kaydın alındığı yönünde emareler/iddialar mevcuttur.

Kurul kararında özetle;

  • İlgili kişinin telefon numarasının ilk Hukuk Bürosu çalışanı tarafından temin edilmesi ve işlenmesine ilişkin olarak, veri sorumlusu Avukat tarafından ileri sürülen hususların Kanun’da yer alan açık rıza dışındaki kişisel veri işleme şartlarından herhangi birine dayanak teşkil etmediği dolayısıyla veri sorumlusu Avukatın Veri Güvenliğine İlişkin Yükümlülüklerini yerine getirmediği kanaatine varıldığından, veri sorumlusu Avukat hakkında, 50.000 TL idari para cezası uygulanmasına, 
  • Şirket tarafından borç takibi yapılabilmesi amacıyla kullanılan sisteme ilk Avukat tarafından girilen verilerin doğruluğu ve güncelliğini sağlama noktasında gerekli denetim ve kontroller yapılmaksızın ikinci Avukat ile paylaşılması sebebiyle veri sorumlusu Şirketin gerekli teknik ve idari tedbirleri almadığı dolayısıyla Veri Güvenliğine İlişkin Yükümlülükleri yerine getirmediği kanaatine varıldığından, veri sorumlusu Şirket hakkında 115.000 TL idari para cezası uygulanmasına,
  • YTS sisteminde bulunan telefon numarasının, kişinin yakınına ait olduğu bilgisi mevcut olmasına rağmen veri sorumlusu Avukat tarafından ilgili kişiye SMS göndermek suretiyle Kanun’da yer alan kişisel veri işleme şartlarından herhangi biri söz konusu olmadığı halde işlendiği bu itibarla, veri sorumlusu avukat tarafından Veri Güvenliğine İlişkin Yükümlülüklerin yerine getirilmediği kanaatine varıldığından, veri sorumlusu Avukat hakkında, 50.000 TL idari para cezası uygulanmasına

karar verilmiştir.

2.“Bir kargo firmasında çalışan ilgili kişinin iş akdinin haksız feshedilmesi sonrası özlük dosyası kapsamında yer alan kişisel verilerinin birer suretinin tarafına verilmesi talebine veri sorumlusu tarafından cevap verilmemesi” hakkında Kişisel Verileri Koruma Kurulunun 28/05/2020 tarihli ve 2020/435 sayılı Karar Özeti: Bir kargo firmasında çalışan ilgili kişinin iş akdinin haksız feshedilmesi sonrası özlük dosyası kapsamında yer alan kişisel verilerinin birer suretinin tarafına verilmesine yönelik talebine veri sorumlusu tarafından cevap verilmemesi sebebiyle Kurum’a şikayet başvurusunda bulunulmuştur.

Kurul kararında özetle;

  • İlgili kişinin başvurusunun, Kanunda düzenlenen haklara ilişkin olmadığı ve başvurunun Kanunda düzenlenmeyen bir konu olan belge örneği talebi içerdiği için Kanunun 11 inci maddesi kapsamında karşılanmasının mümkün olmadığı gerekçesiyle veri sorumlusu tarafından 30 günlük yasal süre içerisinde cevaplandırılmadığı dikkate alındığında, ilgili kişiye ait kişisel veri niteliğindeki bilgilerini içeren 30.09.2019 tarihli savunma yazısı ile 18.10.2019 tarihli ve 17.10.2019 tarihli istifa dilekçelerinin birer örneğinin ilgili kişiye verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
  • Veri sorumlusunun, ilgili kişiler tarafından Kanun kapsamında yapılan başvurulara yasal süresi içerisinde cevap vermesi noktasında azami dikkat ve özeni göstermesi gerektiği hususunda talimatlandırılmasına

Karar vermiştir.

3.“Hakkında hüküm verildiği suçtan dolayı cezası infaz edilen ilgili kişiye ait haberin yayımlandığı gazetenin internet sitesinden kaldırılması talebi” hakkında Kişisel Verileri Koruma Kurulunun 22/05/2020 tarihli ve 2020/414 sayılı Karar Özeti: İlgili kişinin vekiline ait şikayet dilekçesinde özetle; Müvekkilinin yurtdışında başına gelen bir olay nedeniyle internet yayınlarında adı ve soyadının geçtiği, Google arama motorunda adı ve soyadının aratılması sonucunda veri sorumlusu Gazetenin internet sitesinin linkine ulaşıldığı, söz konusu haberde müvekkilinin hüküm giydiği suça ilişkin bilgilerin yer aldığı ve haberin 2009 Haziran dönemine ait olması sebebiyle yaklaşık 10 yıl öncesine ilişkin olduğu, söz konusu cezanın tamamının infaz edildiği, ulaşılan haberler nedeniyle müvekkilinin iş hayatı ve ailesinin bu durumdan olumsuz etkilendiği, veri sorumlusu Gazeteye başvurulduğu; ancak başvurusunun aynı gün reddedildiği ifade edilerek haberlerin kaldırılması, ilgili kurumlara Kanun kapsamında idari para cezası verilmesi, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması nedeniyle veri işlenmesinin ve verinin yurt dışına aktarılmasının durdurulması, ilgili kurumlar hakkında Savcılığa suç duyurusunda bulunulması talep edilmiştir.

Kurul kararında özetle; İlgili kişinin kendisine ilişkin verinin söz konusu habere konu edilerek yayımlanmasında hâlihazırda kamu yararı bulunduğu ve bu itibarla çatışan haklar bakımından ifade özgürlüğünün kişilik haklarına üstün geldiği sonucuna varıldığı ve ilgili kişinin şikayeti ile ilgili olarak Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

4.“İlgili kişinin tahlil sonuçlarının veri sorumlusu hastane tarafından hukuka aykırı şekilde üçüncü kişilere aktarılması” hakkında Kişisel Verileri Koruma Kurulunun 20/05/2020 tarihli ve 2020/407 sayılı Karar Özeti: İlgili kişinin şikâyetinde özetle; İlgili kişinin şikayete konu hastanenin Tüp Bebek bölümüne tahlil için başvurduğu, tahlil sonuçlarının e-posta yoluyla kendisine iletildiği, ancak aynı e-postanın başka bir e-posta adresine ve tanımadığı bir kişiye daha gönderildiğini fark ettiği, veri sorumlusu Hastanenin “Kişisel Verilerin Korunması ve İşletilmesi Politikası” kapsamında kişisel verilerinin muhafazasında gerekli tedbirleri almadığı, kişisel verilerinin işlenme amacının gereklilikleri doğrultusunda üçüncü kişilere aktarılmasında ilgili mevzuata ve alt düzenlemelere uygun davranmadığı, bu sebeple veri sorumlusundan ihtarname ile bilgi talebinde bulunduğu, söz konusu talebine ilişkin veri sorumlusu tarafından hatanın kabul edildiğini içeren bir cevap verildiği belirtilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.

Kurul tarafından verilen kararda özetle;

  • Veri sorumlusu Hastane tarafından Kuruma iletilen Veri Sorumlusu Tanıtım Formunda veri sorumlusu olarak mesul müdürün gösterildiği ve bu kişiye ilişkin bilgilerin söz konusu forma işlendiğinin görüldüğüğünden, tüzel kişilerin, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendilerinin “veri sorumlusu” olduğu, ilgili düzenlemelerde belirtilen hukuki sorumluluğun da tüzel kişinin şahsında doğacağı, Hastanenin bizatihi veri sorumlusu olduğunun Hastaneye hatırlatılmasına,
  • Veri sorumlusu Hastane tarafından, ilgili kişinin özel nitelikli kişisel verisinin açık rıza ya da Kanun’da sayılan diğer işleme şartlarından biri olmadığı halde üçüncü kişilere aktarılmak suretiyle hukuka aykırı olarak işlenmesi sebebiyle, Kanunun Veri Güvenliğine İlişkin Yükümlülüklerini yerine getirmediği kanaatine varılan veri sorumlusu hakkında 100.000 TL idari para cezası uygulanmasına

karar verilmiştir. 

5.“İşverenin, işçisine ait kişisel verileri ve özel nitelikli kişisel verileri; aydınlatma yükümlülüğünü yerine getirmeden ve hukuka aykırı işlemesi” hakkında Kişisel Verileri Koruma Kurulunun 20/05/2020 tarihli ve 2020/404 sayılı Karar Özeti: Kuruma intikal eden şikâyet dilekçesinde özetle, 

İlgili kişinin çalışmakta olduğu veri sorumlusu şirketten Kanun kapsamındaki hakları kapsamında bilgi talebinde bulunduğu, söz konusu talebine yeterli cevap alamadığı,

Veri sorumlusu tarafından kendisine kişisel verilerinin işlenme amacıyla ilgili olarak genel nitelikli bir bilgilendirme yapıldığı, verilerin işlenme ve saklanma süreçlerine ilişkin bilgi verilmediği, 

Veri sorumlusunun cevap yazısında çalışanların bordro bilgileri ve disiplin süreçlerine ilişkin bilgilerin HR Yazılım Programında tutulduğunu; tüm özlük bilgilerinin … Arşiv ve Dokümantasyon Programında tutulduğunu; performans değerlendirme süreçleri, disiplin süreçleri, masraf bilgilerine ait verilerin … Yazılım aracılığı ile elektronik ortamda tutulduğu bilgisinin verildiği, ancak bu programa kimlerin erişiminin olduğu, yetki matrisi olup olmadığına dair bilgilendirmenin yapılmadığı, ayrıca adı geçen programlarda saklanan verilerin ne kadar süre sonra silindiğine dair bilgi verilmediği, tüm çalışanların erişim yetkisi olan İntranet ağında bulunan “Veri Güvenliği Politikası”nda da bu bilgilere yer verilmediği,

Veri sorumlusu tarafından çalışanlarından elektronik ortamda KVKK Çalışma Muvafakatnamesi alındığı, söz konusu muvafakatnamenin çok geniş kapsamlı olduğu ve yeterli aydınlatmanın yapılmadığı, verilecek rızanın “battaniye rıza” olduğu, kendisinin bu muvafakatnameye onay vermekten imtina ettiği ancak onay vermek durumunda bırakıldığı,

Tüm çalışanların parmak izinin alındığı, çalışanların bu veriyi vermek zorunda bırakıldığı, parmak izi alındığı sırada çalışanların açık rızalarının alınmadığı ve aydınlatma yükümlülüğünün de yerine getirilmediği, biyometrik verilerin üçüncü taraf bir şirket ile paylaşılıp paylaşılmadığı, yeterli güvenlik önlemleri ile saklanıp saklanmağı hususlarında tarafına bilgi verilmediği belirtilerek hukuka aykırı uygulamaları nedeniyle veri sorumlusu hakkında gerekli yaptırımların uygulanması talep edilmiştir.

Kurul tarafından verilen kararda özetle;

  • Veri sorumlusu şirketin aydınlatma yükümlülüğünü yerine getirmediği kanaatine varıldığından 50.000 TL idari para cezası uygulanmasına,
  • Veri sorumlusunun çalışanlarının ve yakınlarının açık rızaları olmaksızın kişisel verilerini ve özel nitelikli kişisel verilerini işlediği, işlediği özel nitelikli kişisel veriler bakımından Kanun’da yer alan genel ilkelerden ölçülülük ilkesine aykırı hareket ettiği ve bu verileri yine çalışanlarının açık rızası olmaksızın yurtiçi ve /veya yurtdışına aktarıldığının tespit edildiği, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ile kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı hareket ettiği kanaatine varılan veri sorumlusu hakkında 200.000 TL idari para cezası uygulanmasına 

karar verilmiştir.

6.“İlgili kişinin, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili özel nitelikli kişisel verilerinin özlük dosyasından çıkarılması talebi” hakkında Kişisel Verileri Koruma Kurulunun 20/05/2020 tarihli ve 2020/396 sayılı Kararı: Kuruma intikal eden şikâyet dilekçesinde özetle, ilgili kişinin memuriyete ilk giriş tarihinden önce hakkında verilmiş olan ceza kararının özlük dosyasında yer aldığı, verilen kararda yer alan beş yıllık denetim süresinin dolduğu ve davanın düşmesine karar verildiği, kararın adli sicil kaydından silindiği, bu itibarla özlük dosyasında yer alan mezkûr karar ve ilgili dosyanın kaldırılarak imha edilmesi için veri sorumlusu çalıştığı kuruma yapmış olduğu başvurunun reddedildiği; ancak söz konusu dosyanın açık rızası dâhilinde, resmi olarak güvenlik soruşturması yapılmadan, kurumunda çalışmaya ilk başladığı tarihte İl Yazı İşleri Müdürünün kendisine sözlü olarak güvenlik soruşturması yapması ve mahkeme sürecinin devam etmesi sebebiyle mahkeme kararını getirmesinin gerekmesi üzerine özlük dosyasına konulduğu, anılan verinin muhafazasını gerektiren bir sebebin bulunmadığı belirtilerek özlük dosyasında yer alan mahkeme dosyasının kaldırılması talep edilmiştir. İlgili kişiye güvenlik soruşturması ve arşiv araştırması işleminin yapılabilmesinin, konuya ilişkin temel düzenleme vasfı taşıyan 4045 sayılı “Güvenlik Soruşturması, Bazı Nedenlerle Görevlerine Son Verilen Kamu Personeli ile Kamu Görevine Alınmayanların Haklarının Geri Verilmesine ve 1402 Numaralı Sıkıyönetim Kanununda Değişiklik Yapılmasına İlişkin Kanun” kapsamında, ilgili kişinin “gizlilik dereceli birim” olarak ifade edilen birimlerde çalıştırılacak olması koşuluyla; 4045 sayılı Kanuna dayalı olarak çıkarılan “Güvenlik Soruşturması ve Arşiv Araştırması Yönetmeliği” kapsamında ise “…ilk defa veya yeniden kamu hizmeti ve görevlerine atanacakları…” ifadesi kapsamında mümkün olabileceği, bunun dışındaki olasılıklarda ise şikâyete konu olay tarihinde yürürlükte bulunan mevzuata aykırılık teşkil edeceğinin değerlendirilmiştir. Şikâyete konu kişisel verinin özel nitelikli kişisel veri olduğu ve ilgili kişinin söz konusu mahkeme kararlarının özlük dosyasında yer almasına ilişkin hâlihazırda açık rızasının bulunmadığı; bununla birlikte, Kanun bakımından söz konusu kişisel verinin işlenmesine ilişkin “kanunilik” unsurunun öğretide ifade edilen “maddi kanun” olarak değerlendirilmesi gerektiği kanaatine varıldığından Devlet Personel Başkanlığının Kurum görüş talebine verdiği cevap ve 2 Seri No’lu Kamu Personeli Genel Tebliği hükümleri uyarınca mer’i mevzuat bakımından sözü edilen kararların özlük dosyasından çıkarılmasına yer olmadığına karar verilmiştir.

7.“Bir tıp merkezinin internet sitesinde video tanıtım bölümü içerisinde görsel ve işitsel kişisel verileri işlenen ilgili kişinin başvurusuna veri sorumlusu tıp merkezi tarafından cevap verilmemesi” hakkında Kişisel Verileri Koruma Kurulunun 14/05/2020 tarihli ve 2020/379 sayılı Karar Özeti: İlgili kişiden alınan şikayet dilekçesinde özetle; bir Tıp Merkezinin internet sitesinde pazarlama amaçlı olarak “Video Tanıtım” bölümü içerisinde görsel ve işitsel kişisel verilerinin işlendiği, akdedilen iş sözleşmesi sona ermiş olduğundan kullanılan bu verilerin işleme amacı veya konusunun kalmadığı gerekçesiyle veri işlemenin durdurulmasını ve verilerin kaldırılmasını talep ettiğini, bu çerçevede veri sorumlusuna başvurduğu, bildirimde bulunmasına rağmen yasal sürede ilgili kişiye bilgi verilmediği, internet sitesindeki videoların silinmediği ifade edilerek veri sorumlusu Tıp Merkezine ait internet sitesinde bulunan kişisel verilerinin silinmesi ve başkaca işlenen kişisel verilerinin bulunup bulunmadığı, hangi verilerinin hangi amaçla işlendiği hususlarında tarafına bilgi verilmesi talep edilmiştir.  

Kurul kararında özetle;

  • İlgili kişinin tüm kişisel verilerinin silinmesi veya yok edilmesi talebinin, işlenmesini gerektiren sebep ortadan kalktığı halde; veri sorumlusu tarafından yerine getirilmediği, kişinin silme talebinin üzerinden makul süre geçmesine rağmen söz konusu kişisel veri işleme faaliyetine Kanun’da yer alan veri işleme şartlarından herhangi birine dayanmaksızın devam edildiği, bu durumun ise Kanuna aykırılık teşkil ettiği, kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılan veri sorumlusu hakkında 75.000 TL idari para cezası uygulanmasına,
  • İlgili kişinin talebi doğrultusunda işlenmesini gerektiren herhangi bir sebep bulunmaması durumunda veri sorumlusu tarafından ilgili kişiye ait işlenen tüm kişisel verilerin silinmesi veya yok edilmesi ve tevsik edici belgelerin ilgili kişiye ve Kurula gönderilmesi hususunda veri sorumlusunun talimatlandırılmasına,
  • Kanunun 13 üncü maddesi kapsamında başvuruda bulunan ilgili kişilere cevap verilmesine ilişkin gerekli özeni göstermesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

8.“İlgili kişinin kendisine iletilmesi gereken cevap yazısının veri sorumlusu tarafından resmi yazı şeklinde, çalıştığı birime gönderilmesi” hakkında Kişisel Verileri Koruma Kurulunun 05/05/2020 tarihli ve 2020/336 sayılı Karar Özeti: İlgili kişiden alınan şikâyet dilekçesinde özetle; daha önce personeli olduğu veri sorumlusu Üniversitenin Sanat Tarihi Bölümüne iletmiş olduğu dilekçesinin akıbeti hakkında 4982 sayılı Bilgi Edinme Hakkı Kanunu kapsamında veri sorumlusundan kendisine bilgi verilmesini talep ettiği, bu kapsamdaki talebine ilişkin cevabın, doğrudan ve sadece kendisine verilmesi gerekirken başvurusunun halihazırda görevli olduğu aynı Üniversitenin Meslek Yüksekokulu Müdürlüğüne, tüm taraflara açık biçimde yazılmış ve personele iletilen alelade resmi yazı şeklinde iletildiği, üçüncü kişilerin erişimine açılan kişisel bilgilerinin Kanun kapsamında korunmasına yönelik olarak veri sorumlusundan gerekli tedbirleri almasını talep ettiği ancak yasal süre içinde gerekli tedbirlerin alınmadığı ve tarafına cevap verilmediği belirtilerek Kanun kapsamında gereğinin yapılması talep edilmiştir. Veri sorumlusu tarafından verilen cevabi yazıda özetle; ilgilinin başvurusunda yazı içeriğinde kendisine ait ad, soyad, unvan ve sicil numarasına yer verilerek kişisel bilgilerinin üçüncü kişilerin erişimine açıldığının belirtildiği ancak ilgilinin zaten Üniversiteye bağlı bir birimde görevli olduğundan bu bilgilerin çalıştığı birimde bulunması zorunlu olan bilgiler olduğu, dolayısıyla kişisel bilgilerinin üçüncü kişilerin erişimine açıldığı iddiasının gerçek durumla bağdaşmadığının düşünüldüğü ifade edilmiştir.

Kurul tarafından verilen kararda özetle;

  • Veri sorumlusunun kendisine yapılan başvuruya cevap vermemesinin başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırma yükümlülüğüne aykırı olduğu değerlendirildiğinden veri sorumlusunun kendilerine yapılan başvurulara Tebliğe uygun olarak cevap verilmesi hususunda azami dikkat ve özenin gösterilmesi konusunda talimatlandırılmasına,
  • Veri sorumlusunun söz konusu uygulaması neticesinde yetkisi olmayan kişiler tarafından ilgili kişinin verilerine erişildiği dikkate alındığında veri sorumlusunca kişisel verilerin muhafazasına yönelik veri güvenliğine ilişkin gerekli yükümlülüklerin yerine getirilmediği kanaatine ulaşıldığından, veri sorumlusunun Kanunun 12’nci maddesinin birinci fıkrasına aykırılık teşkil eden uygulaması nedeniyle sorumlular hakkında Kanunun 18’inci maddesinin üçüncü fıkrası çerçevesinde işlem yapılmasına ve işlemin sonucu hakkında Kurula bilgi verilmesine

Karar verilmiştir.

9.“İlgili kişinin araç kiralama hizmeti alması esnasında kişisel verilerinin işlenmesine dair açık rıza vermemesi üzerine kiralama hizmetinden yararlandırılmaması”na ilişkin Kişisel Verileri Koruma Kurulu’nun 05/05/2020 tarihli ve 2020/335 sayılı Karar Özeti: İlgili kişiden alınan şikâyet dilekçesinde özetle; veri sorumlusu araç kiralama şirketinin hizmet noktasında, yetkilisi olduğu şirket adına kısa süreli araç kiralamak istediği, araç kiralama sözleşmesi ve ilgili belgelerin yetkili tarafından imzalanmasının talep edildiği, imzalanması talep edilen evrakları incelendiğinde önceki kiralamalardan farklı olarak kişisel verilerinin işlenmesine dair açık rıza verdiğine ilişkin evrakın da içinde bulunduğunu tespit ettiği, bunun üzerine kişisel verilerinin işlenmesine rıza göstermek istemediğini, bu nedenle de ilgili evrakı imzalamayacağını çalışana beyan etmesi üzerine araç kiralama işleminin gerçekleştirilmediği, konuyla ilgili olarak veri sorumlusuna yetkilisi olduğu şirket tarafından 23/03/2018 tarihinde başvuruda bulunduğu, veri sorumlusu tarafından 29/03/2018 tarihinde cevap verildiği ancak taleplerine yönelik hiçbir cevap veya çözüm önerisi yer almadığı gerekçesiyle gereğinin yapılması talep edilmiştir. Bununla birlikte,  veri sorumlusuna yapılan başvuruların ilgili kişinin yetkilisi olduğu Şirket veya Şirket çalışanları tarafından yapıldığı, veri sorumlusunun da Şirketi muhatap alarak cevap verdiği görüldüğünden Kanunun ilgili maddeleri hakkında bilgi verilerek Kanun kapsamında mağduriyet yaşamış olan Şirket yetkilisinin Kanunda belirtilen usul çerçevesinde öncelikle kendi adına veri sorumlusuna başvuruda bulunması sonrasında ise ilgili kişinin başvurusunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde ise; Kurul’a şikâyette bulunulması durumunda konunun incelemeye alınabileceği hususunda bilgi verilmiştir.  

Bu kapsamda ilgili kişi tarafından Kurum’a iletilen 26/09/2018 tarihli şikayette, Kurumun yazısının ardından veri sorumlusuna ilgili kişi adına 03/08/2018 tarihinde başvuruda bulunulduğu ancak 30 günlük yasal süre içinde herhangi bir cevap verilmediği ifade edilerek daha önce Kurum’a intikal eden 25/05/2018 tarihli şikayete konu aynı hususlara yer verilmiştir. 

Kurul kararında özetle;

Veri sorumlusuna başvuruların içeriği benzer olsa da 23/03/2018 tarihli başvurunun tüzel kişilik adına, 03/08/2018 tarihli ikinci başvurunun ise ilgili kişi adına yapıldığı dolayısıyla iki başvurunun aynı nitelikte olmadığı değerlendirildiğinden ve ilgili kişi tarafından ayrıca e-posta üzerinden başvurularının da mevcut olduğu göz önüne alındığında veri sorumlusunun Kanun kapsamında kendisine yapılan başvurulara Tebliğe uygun olarak cevap vermesi yönünde talimatlandırılmasına,

Araç kiralama hizmeti alımı esnasında veri sorumlusu tarafından Kanun’da yer alan işleme şartları dışındaki haller kapsamında hizmetten faydalanmak isteyen kişilerin kişisel verilerinin işlenmesi amacıyla toptan bir şekilde açık rıza alımı yoluna gidildiği, hizmetin ifası için gerekli olmamasına rağmen kişisel verilerin talep edildiği ve açık rıza verilmemesi durumunda da kişilere hizmet verilmediği dikkate alındığında; hukuka aykırı veri işleme faaliyetinin söz konusu olduğu bu durumun ayrıca hukuka ve dürüstlük kurallarına uygun olma ilkesine de aykırılık teşkil etmesi nedeniyle, veri sorumlusunun “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğünü yerine getirmediği kanaatine varıldığından, veri sorumlusu hakkında 50.000 TL idari para cezası uygulanmasına

karar verilmiştir. 

Yukarıda yer alan karar özetleri KVKK’nın websitesinde yayınlanan kurul karar özetlerinin bir özeti şeklinde bilgi amaçlı paylaşılmış olup, kararlar hakkında detaylı bilgiye https://www.kvkk.gov.tr/Icerik/6918/Kisisel-Verileri-Koruma-Kurulu-nun-Yeni-Yayinlanan-Karar-Ozetleri adresi üzerinden ulaşabilirsiniz.

Av. Sinem İLİKLİ

TARLAN BAKSI AVUKATLIK BÜROSU


AV. AYLİN TARLAN – AV. DERYA BAKSI

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Google fotoğrafı

Google hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Connecting to %s