Posted on by tarlanbaksi

KİŞİSEL VERİLERİ KORUMA KURULU YENİ KARAR ÖZETLERİ

Kişisel Verileri Koruma Kurumu’nun (“Kurum”) web sitesinde 17.12.2021 tarihinde 19 adet yeni kurul karar özeti yayınlanmıştır. Bu kararlardan 4 tanesinin özetini aşağıda bilgilerinize sunarız.

1)“İlgili kişinin cep telefonu numarasının kampanya adı altında bir dijital platform bayisi tarafından edinilmesi, işlenmesi ve rızası olmaksızın arama yapılması” hakkında Kişisel Verileri Koruma Kurulunun (“Kurul”) 04/06/2021 tarih ve 2021/548 sayılı Karar Özeti

İlgili kişiden alınan şikayet dilekçesinde özetle;

  • Şikayet olunan dijital platform ile hiçbir ilişkisinin olmamasına karşın ilgili kişinin sürekli olarak 0850’li bir çağrı merkezinden arandığı ve tarafına, bu platforma üye olması yönünde pazarlama yapılmaya çalışıldığı, 
  • Bunun üzerine ilgili kişinin reklamı yapılan dijital platformun internet adresinde bulunan irtibat formu vasıtasıyla başvuruda bulunduğu, kendisine e-posta ile verilen yanıtta ise ilgili kişinin müşteri olarak herhangi bir kaydının şirket nezdinde bulunmadığı yanıtını aldığı ancak kendisinin kişisel verilerinin nasıl elde edildiği ve nerelerde kullanıldığına ilişkin sorularına herhangi bir yanıt verilmediği, dolayısıyla işlenen suçun kabul edildiği ancak detay içermeyen bir cevap ile geçiştirilmeye çalışıldığı hususları beyan edilerek konunun incelenmesi, şirketin ilgili kişinin kişisel verilerini nasıl elde ettiği hususunda kendisine bilgi vermesi konusunda talimatlandırılması ve gerekli cezai yaptırımın uygulanması talep edilmiştir.

Kuruma ulaştırılan cevabi yazıda ise;

  • Şikayet edilen numaranın dijital platformun çağrı merkezi numarasının olmadığı, yapılan araştırmada ilgili kişiyi aradığı iddia edilen numaranın 21.12.2018 tarihinden 12.09.2019 tarihine kadar “…… Expert” unvanı ile faaliyet gösteren bir bayiye tahsis edildiği,
  • İlgili kişinin adının sistemlerde hiçbir şekilde kayıtlı olmadığının anlaşıldığı, diğer bir ifade ile ilgili kişinin potansiyel bir müşteri olarak kayıtlı olmayıp herhangi bir elektronik ticari ileti izninin de bulunmadığı, bu sebeple ilgili kişinin kişisel verilerinin nereden ve ne şekilde temin edildiğinin bilinmediği,
  • Şayet bayii bu şekilde bir arama gerçekleştirmiş ise bunun kendilerinin bilgisi ve izni dahilinde yapılmadığı beyanlarına yer verilmiştir.

Kurul kararında özetle;

  • 6698 sayılı Kişisel Verilerin Korunması Kanunda (“Kanun”) veri işleyenin; veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlandığı, buna göre veri işleyenin, veri sorumlusu adına, ondan aldığı yetki ve talimata göre kişisel veri işlemekte olduğu, bu minvalde “veri işleyen” sıfatının kazanılabilmesi için veri işleyenin, veri sorumlusunun idarî yapısından ayrı bir hukukî varlığının olması;
  • Her ne kadar bayii ile dijital platform arasında akdedilen sözleşme hükümlerinden genel şekliyle dijital platformun veri sorumlusu, bayinin ise veri işleyen olarak belirlendiği görülmekte ise de somut olayda bayinin kendi iradesiyle ve dijital platformdan bağımsız bir şekilde ilgili kişinin açık rızası veya Kanun’da yer verilen işleme şartlarına dayanmaksızın ve işleme faaliyeti yapmasından dolayı veri işleyen sıfatından çıkarak veri sorumlusu hâline geldiği,  telefon numarası bayiye dijital platform tarafından iletilmediğinden, bayinin veri işleyen olarak, veri sorumlusunun denetimi ve kontrolü altında kişisel veri işleme faaliyeti yürüttüğünden bahsedilemeyeceği,

değerlendirmelerinden hareketle;

  • İlgili kişinin kişisel verisi olan telefon numarasının Kanunun 5. maddesinde yer alan herhangi bir işleme şartına dayanmaksızın hukuka aykırı elde edildiği ve işlendiği dikkate alındığında Kanunun 12/1 maddesinde yer alan teknik ve idari tedbirleri almayan veri sorumlusu bayii hakkında Kanunun 18/1(b) kapsamında idarî para cezası uygulanmasına karar verilmiştir.

2) “Sigortacılık ve bireysel emeklilik alanında faaliyet gösteren bir şirket tarafından ilgili kişiye ait kişisel verilerin hukuka aykırı olarak işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 09/06/2021 tarihli ve 2021/584 sayılı Karar Özeti

Kuruma intikal eden şikayet dilekçesinde özetle;

Sigortacılık ve Bireysel Emeklilik alanında faaliyet gösteren bir şirket tarafından ilgili kişinin cep telefonu numarasına “Sayın …., Sizinle görüşmemiz öncesinde, hakkımızdaki özet bilgilere aşağıda yer alan linki tıklayarak kolayca ulaşabilirsiniz… IPTAL: … Ret yazıp …’e gönderiniz. ONAY: … Onay yazıp …’e gönderiniz. Eğer bu mesaja 24 saat içerisinde tarafınızca herhangi bir <> yanıtı iletilmez ise, aranmak için olumlu yanıt verdiğiniz varsayılacaktır…” içerikli SMS gönderildiği, kişinin adı geçen şirket ile herhangi bir ilişkisinin olmadığı, bunun üzerine veri sorumlusuna e-postayla başvuruda bulunulduğu, şirket tarafından verilen cevapta SMS gönderen finansal danışmanın elindeki bir soğuk referans listesinden telefon numarasına ulaşıldığı, söz konusu iletinin tarafına tanıtım yapabilmek için izin amaçlı gönderildiği, GSM numarası ve isminin aranmayacak kişiler listesine alındığı, bilgilerin üçüncü şahıslara ya da herhangi bir platforma aktarılmadığı ve referans listelerinden silindiği ve gerekli idari ve teknik önlemlerin alındığı bilgisinin verildiği, ilgili kişinin aranmayacak kişiler listesine aktarıldığı bilgisinden kişisel veri işlemeye devam edildiğinin anlaşıldığı, verilen yanıtta ilgili kişinin ad ve soyadının nasıl elde edildiğine ilişkin bilgiye yer verilmediği, ayrıca, gönderilen iletide ilk 24 saat içinde iptal yanıtı verilmezse aranmak için olumlu yanıt verildiğinin varsayılacağı bilgisinin yer aldığı bu işleyişin hukuka aykırı olduğu belirtilerek yukarıda yer verilen hususlara ilişkin olarak gerekli yaptırımın uygulanması talep edilmiştir.

Veri sorumlusu savunmasında;

  • İlgili kişinin adı soyadı ve telefon bilgisinin ürünlere ilişkin teklif araması yapılmadan önce gerçekleştirilen araştırmalar sonucunda bir Baronun resmi internet sitesi üzerinden temin edildiği ve bu bilgilerin herkes tarafından ulaşılabilecek aleni veriler olduğu,
  • Kanunun 5. maddesinde kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği 5/2(d) maddesinde ise “İlgili kişinin kendisi tarafından alenileştirilmiş olması” şeklinde kişisel verilerin açık rıza olmaksızın işlenmesinin mümkün olduğuna ilişkin düzenleme bulunduğu, bu bağlamda ilgili kişinin söz konusu bilgilerinin, telefonla aranmadan önce zaten ilgili kişi tarafından alenileştirildiğinden açık rızası alınmadan işlenmesinin mevzuata aykırılık teşkil etmeyeceğinin değerlendirildiği,
  • İlgili kişi tarafından veri sorumlusuna yapılan başvuruya, verilerinin veri sorumlususun faaliyet alanı çerçevesinde meşru amaçlar çerçevesinde kendisine ürün tanıtımı ve pazarlaması yapılması amacıyla, hangi kanaldan elde edildiği de belirtilerek yanıt verildiği, ilgili kişinin, başvurusu üzerine veri sorumlusu nezdinden tutulan “Aranmayacaklar Listesi”ne alındığının, bunun ötesinde verilerinin hiçbir şekilde işlenmediği, yurt içinde veya yurt dışında üçüncü kişiler ile paylaşılmadığının ifade edildiği, söz konusu liste ile kişisel verilerinin silinmesini veya kendisi ile iletişime geçilmemesini talep eden ilgili kişilerin verilerinin işlenmesinin engellendiği, bu şekilde veri sorumlusunun faaliyetlerine devam ederken uyması gereken bir diğer mevzuat olan Ticari Elektronik İleti mevzuatına da uygun hareket edildiği,
  • İlgili kişiye SMS gönderimi yapılan tarihte henüz ticari elektronik ileti gönderiminden önce onay alınmasına ilişkin yürürlüğe giren bir zorunluluk bulunmadığı, içinde bulunulan pandemi süreci nedeniyle ticari elektronik ileti gönderiminden önce onay alınması ve ilgili ret veya onayların tutulmasına ilişkin uygulamanın bir zorunluluk olarak yürürlüğe girişinin birden çok defa ertelendiği,
  • Şirketlerinin satış politikası gereğince meşru faaliyet alanı çerçevesinde elde edilen kişisel veri olan iletişim bilgileri üzerinden müşteri adaylarına ticari elektronik ileti almak isteyip istemediğinin sorulması suretiyle veri sorumlusunun ilgili kişilere açık rıza gösterme hakkı sağladığı ifade edilmiştir.

Kurum kararında özetle;

  • Veri sorumlusu tarafından cep telefonu numarasının elde edildiği kaynak olarak gösterilen internet sitesinde ilgili kişinin cep telefonu numarasına rastlanılmamakla birlikte, ilgili kişi tarafından bağlı bulunduğu Baronun resmi internet sayfasında kişisel verinin alenileştirilmesinde iradesi olması gerektiği, tek başına kişisel verinin kamuoyuna açık hale gelmesinin, alenileştirilmiş olması bakımından yeterli olmadığı; eylemin, ilgili kişinin iradesi ile de desteklenmesi gerektiği, olayda, ilgili kişinin telefon numarasının Baronun internet sayfasından elde edildiği kanıtlanamamakla birlikte yapılan incelemede de bu numaraya rastlanılmadığı, dolayısıyla söz konusu cep telefonu numarasının ilgili kişinin kendi iradesi ile alenileştirildiğine dair kanıtlayıcı herhangi bir bilgi ve belgenin de mevcut olmadığı,
  • Veri sorumlusunca iddia edildiği üzere Baronun internet sayfasından cep telefonu numarası elde edildiği kabul edilse bile ilgili kişinin ne amaç ile kişisel verilerini alenileştirdiğinin tespitinin gerektiği, söz konusu olayda da avukatın avukatlık faaliyeti kapsamında kendisiyle iletişime geçilmesi amacıyla iletişim bilgilerini kamuya açık bir hale getirdiği, alenileştirme eylemi, ilgili kişilerin kişisel verilerini kamuoyu ile paylaşma amacıyla sınırlı olup veri sorumlularının ilgili kişinin alenileştirme amacından farklı ya da bu amacı aşan şekilde işleme faaliyetinde bulunmalarının, başkaca bir işleme şartına dayanılmadığı sürece, Kanuna aykırılık oluşturacağı,
  • Sadece ekonomik fayda elde etmek amacıyla kişisel verilerin reklam, pazarlama ve bilgilendirme amacıyla işlenmesinin Kanunun 5/2(f) maddesinde yer alan “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hükmü çerçevesinde değerlendirilemeyeceği,
  • Herhangi bir veri işleme şartına dayanılmaksızın işlenmiş olan kişisel verilerin “Aranmayacaklar Listesi”ne alınmak suretiyle kişisel veri işleme faaliyetine devam edildiği, bu anlamda, kişisel verisi hukuka uygun olarak elde edilmiş ilgili kişiler bakımından rızanın geri çekilmesi durumunda kişisel verilerin bu listeye eklenmesi anlaşılabilir olmakla birlikte, hukuka aykırı olarak elde edilmiş olan kişisel verilerin burada işlenmeye devam etmesinin Kanun’a aykırılık oluşturduğu, Kanunun 11/e maddesi kapsamında herkesin, veri sorumlusuna başvurarak kendisiyle ilgili;  kişisel verilerin silinmesini veya yok edilmesini isteme hakkına sahip olduğu hükmü uyarınca ilgili kişinin kişisel verilerinin silinmesi talebinin veri sorumlusu tarafından yerine getirilmediği,
  • İlgili kişiye SMS gönderimi yapılan tarihte henüz ticari elektronik ileti gönderiminden önce onay alınmasına ilişkin yürürlüğe giren bir zorunluluk bulunmadığı iddia edilse de ilgili kişilerden onay alınarak cep telefonu numarasının işlenmesini mümkün kılan Elektronik Ticaretin Düzenlenmesi Hakkında Kanunun 05.11.2014 tarihinde, söz konusu Kanuna dayanılarak hazırlanan Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmeliğin ise 15.07.2015 tarihinde yürürlüğe girdiği, bu kapsamda şikayete konu ticari elektronik iletinin gönderilmiş olduğu 18.06.2020 tarihinde ticari elektronik ileti gönderilmesine ilişkin onay alınması zorunluluğunun bulunduğu, onaya ilişkin hususlarla ilgili olarak herhangi bir ertelemenin söz konusu olmadığı,
  • Başvuru Usul ve Esasları Hakkında Tebliğin “Başvuruya Cevap” başlıklı 6/4 maddesinde ise cevap yazısının; veri sorumlusu veya temsilcisine ait bilgileri, başvuru sahibinin; adı ve soyadını, T.C.K.N.O/Pasaport No., tebligata esas yerleşim yeri veya iş yeri adresini, varsa bildirime esas elektronik posta adresini, telefon ve faks numarasını, talep konusunu, veri sorumlusunun başvuruya ilişkin açıklamalarını içermesi zorunluluğunun düzenlenmiş olduğu, ilgili kişinin başvurusuna verilen cevapta Tebliğde yer alan T.C. kimlik numarası, adres gibi unsurların yer almadığı görülmekle birlikte veri sorumlusunda bu bilgilerin bulunmadığı dikkate alındığında bu hususta herhangi bir hukuka aykırılık olmadığı, öte yandan Tebliğde yer alan “başvuruya ilişkin açıklamalar” unsurundan ilgili kişinin taleplerinden ad ve soyadı bilgilerine nasıl ulaşıldığına ilişkin olarak veri sorumlusu tarafından açık ve net bir bilgiye yer verilmediği değerlendirmelerinden hareketle;
  • İlgili kişinin kişisel verisi niteliğindeki telefon numarasının kısa mesaj gönderilmek amacıyla işlendiği iddiası incelendiğinde  kişinin mesleki yetkinliğinden faydalanmak için kendisine ulaşılmaya çalışılmadığı, Kanun’un 5. maddesinde yer alan herhangi bir işleme şartına dayanmadan işlemin gerçekleştirildiği dolayısı ile veri sorumlusunun veri sorumlusunun her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı davrandığı tespit edilmiş, veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulamasına,
  • Kanunun kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini düzenleyen 7. maddesi ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğe uygun bir biçimde ilgili kişinin kişisel verilerinin imha edilmesi ve buna dair kanıtlayıcı belgeler ile birlikte Kurula en geç otuz gün içinde bilgi verilmesi yönünde veri sorumlusu şirketin talimatlandırılmasına karar verilmiştir.

3) “İlgili kişinin kişisel verilerinin bir tur şirketi tarafından üçüncü kişilerle paylaşılması” hakkında Kişisel Verileri Koruma Kurulunun 18/03/2021 tarihli ve 2021/242 sayılı Karar Özeti

Kuruma intikal eden şikayette özetle;

  • İlgili kişinin veri sorumlusu tur şirketinden tatil paketi satın aldığı ve ilgili tüm bilgilerini veri sorumlusu ile paylaştığı,
  • Paylaşılan bu verilerin veri sorumlusu tarafından üçüncü bir kişiye aktarıldığı, söz konusu üçüncü kişi tarafından bilgilerin bir mahkeme dosyasına ve baro şikayet dilekçesi ekine sunulduğu, veri sorumlusuna yapılan başvuruya verilen cevapta üçüncü kişilere hiçbir şekilde verilmediği söylenen kişisel verilerin mahkeme dosyasında nasıl yer aldığının açıklanmadığı, bu kapsamda ilgili kişinin rızası ve bilgisi olmaksızın kişisel verilerini üçüncü kişilerle paylaşmış olan veri sorumlusu hakkında Kanun kapsamında gerekli hukuki ve cezai işlemlerin yapılması talep edilmiştir.

Veri sorumlusunun cevabi yazısında özetle;

  • İnternet sitesinden gerçekleştirilen bir seyahat alım sürecinde kredi kartı bilgileri kaydedilmeden banka sistemleri üzerinden işlem yapıldığı ve onay sürecinde bankanın paylaştığı son 4 hane ile ilk 6 haneyi içeren bilgiler ile kişi adı gibi detayların ödeme kısmında saklandığı,
  • Çağrı merkezi ve acente sistemlerinin aynı altyapıda olduğu, çağrı merkezlerinin büyük ve online bir acente gibi işlem yaptığı; çağrı merkezinden yapılan alımlarda kişi kartlarındaki iletişim bilgilerinin Kanuna uygun olarak alınan teknik ve idari tedbirler kapsamında tamamen boş geldiği ve satış personelinin/müşteri temsilcisinin gereken bilgileri seyahat özelinde misafirden talep ederek ve talebe uygun olarak doldurduğu,
  • Bu suretle, her bir rezervasyonda rezervasyon bilgilerinin iletileceği e-posta adresi ve telefon bilgilerinin güncellenmekte olduğu,  misafir rezervasyonunun önceki kayıtlarda yer alan e-posta adresine veya telefon numarasına gönderilmesinin de önüne geçildiği; sistemde gerçekleştirilen bu kayıtlarda işlemi yapan temsilcinin giriş yaptığı/login olduğu kendisine ait hesap ile sisteme kaydedildiği/log kaydı alındığı, böylelikle ileride de temsilcinin oluşturduğu ya da sonradan görüntülediği şeklindeki bilgilere erişilebildiği,
  • Her bir satış kanalından yapılan rezervasyonlar için öncelikle ödemenin alındığına dair “alındı belgesi”, ardından da rezervasyon detaylarını ve şartlarını içeren “voucher” düzenlendiği, “voucher”in rezervasyonun onayı için hem ilgili tesisle hem de misafirin rezervasyon detayları ile bu rezervasyonun şartlarına hakim olmasını sağlamak amacıyla misafir ile paylaşıldığı, misafir ile paylaşım acente üzerinden yapılan satışlarda misafire elden imza karşılığı teslim edilerek yapılmakta iken, çağrı merkezi ve internet üzerinden gerçekleştirilen satışlarda rezervasyon sırasında bildirilen e-posta adresine gönderilerek yapıldığı,
  • Şikâyet konusu rezervasyonun Çağrı Merkezi üzerinden yapıldığı, rezervasyona ilişkin ilk e-posta gönderiminin 20.11.2018 tarihinde ilgili kişinin e-posta adresine rezervasyonun onaylanması için gönderildiği, bu işlemin onaylanmaması sebebiyle 21.11.2018 tarihinde tekrar e-posta gönderildiği, daha sonra konaklama tarihinin yaklaşması sebebiyle aynı adrese 05.12.2018 tarihinde rezervasyon hatırlatma e-postası gönderildiği

hususları belirtilerek veri sorumlusu tarafından ilgili kişi ile kurulan tüm iletişimin log kayıtlarına dair ekran görüntüleri Kurum ile paylaşılmıştır.

Kurum kararında özetle;

  • Konaklama satın almaya ilişkin işlemlerin tur şirketinin kendisine ait çağrı merkezi üzerinden yürütülmesi; rezervasyon takibinin yapıldığı ve otel ile tur şirketi arasındaki ilişkiyi kuran satışa ilişkin tek bir satış altyapısının varlığı ve bunun kurulması ve yönetilmesinden tur şirketinin sorumlu olması sebebiyle tur şirketinin  Kanunun 3 üncü maddesinde tanımlanan veri sorumlusu sıfatını taşıdığı, 
  •  “Voucher” ve “alındı” belgelerinde kimlik bilgileri kategorisinde ilgili kişinin adı soyadı, doğum tarihi gibi kişisel verilerin yer aldığı,
  • Somut olayda, ilgili kişinin rezervasyonuna ilişkin log kayıtlarının ekran görüntülerine ilişkin detaylar incelendiğinde; rezervasyon işlemine ilişkin görüntüleme detaylarının 25 satırda takip edildiği, bunlardan ilk 16 adetinin ilgili kişinin veri sorumlusuna yaptığı başvuruya istinaden farklı saatlerdeki görüntüleme kayıtları olduğu, geri kalan 9 adetinin de Kurumdan gönderilen tebligata istinaden tekrar kontrol amaçlı olarak şirket içindeki görüntülemeye yönelik log kayıtlarının olduğu, her bir görüntüleme işlemine ilişkin olarak log kayıtlarının IP numarası dahil kullanıcı adını içerecek şekilde tutulduğu, yukarıda bahsi geçen 25 satırlık log kaydına ilişkin olarak 4 farklı kullanıcı tarafından rezervasyon ve sonrasındaki inceleme işlemlerine yönelik kaydın yer aldığının görüldüğü,
  • İlgili kişiye gönderilen e-postaların iletim tarihi ve adresine ilişkin olarak log kayıtlarına bakıldığında, veri sorumlusu tarafından ilgili kişinin e-posta adresine 20.11.2018, 21.11.2018 ve 05.12.2018 tarihlerinde şikâyete konu rezervasyon için elektronik posta gönderildiği, bu mesajların içeriğine ilişkin log kayıtlarına bakıldığında; 20.11.2018 ve 21.11.2018 tarihinde gönderilen e-postaların onay için olduğu, 05.12.2018 tarihinde gönderilen e-postada ise rezervasyona ilişkin bilgilendirme yapıldığı,
  • Ayrıca, “voucher” dokümanının acente üzerinden yapılan satışlarda misafire elden imza karşılığı verilirken, çağrı merkezi ve internet üzerinden gerçekleştirilen satışlarda rezervasyon sırasında bildirilen e-posta adresine gönderildiği, benzer şekilde “alındı” dokümanının konaklamanın yapılacağı tesis ile paylaşılmadığı ve sadece misafir ile e-posta üzerinden paylaşıldığı değerlendirmelerinden hareketle;
  • Şikâyet dosyasında yer alan konaklamaya ilişkin detayları içeren “Alındı” belgesinin sadece konaklamayı satın alan tarafla paylaşılan bir doküman olduğu ve konaklamanın yapılacağı tesis ile paylaşılmadığı; veri sorumlusunun Kuruma sunduğu log kayıtlarında konaklamaya ilişkin gönderilen “voucher” ve “alındı” dokümanlarının sadece ilgili kişinin e-posta adresine iletildiğinin belirlendiği ve konaklamaya yönelik veri sorumlusu personelinin yaptığı görüntülemelerin her birinin söz konusu belgelerin mahkemeye sunulma tarihi olan 04.04.2019 tarihinden sonra ve ilgili kişinin başvurusuna ve/veya Kurum tarafından yapılan bilgi ve belge talebine istinaden yapılan görüntülemeler olduğu dikkate alındığında, ilgili kişinin verilerinin veri sorumlusu tarafından paylaşıldığını tevsik eden somut bilgi ve belge bulunmadığından ilgili şikayet hakkında Kanun kapsamında tesis edilecek bir işlem bulunmadığına karar verilmiştir.

4) “Ölenin sigorta poliçesine yasal mirasçısının erişim talebinin sigorta şirketi tarafından reddedilmesi” hakkında Kişisel Verileri Koruma Kurulunun 18/03/2021 tarihli ve 2021/241 sayılı Karar Özeti

Kuruma intikal eden şikayet dilekçesinde özetle;

  • Şikayetçinin ölen eşi ile veri sorumlusu sigorta şirketi arasında Hayat Sigortası Sözleşmesi kurulduğu, şikayetçinin eşinin ölüm sebebinin iş kazası olduğunun mahkeme ilamı ile kesinleşmesi üzerine iş kazası nedeni ile yapılması gereken ödeme miktarının tespit edilebilmesi için Poliçenin ibrazının gerektiği, bu kapsamda çeşitli tarihlerde gönderilen ihtarnamelerle veri sorumlusundan söz konusu Poliçenin tesliminin talep edildiği, ancak veri sorumlusunca ilgili kişiye gönderilen yazı ile Kişisel Sağlık Verileri Hakkında Yönetmeliğin 10. maddesi uyarınca “avukatların, müvekkilin sağlık verilerini genel vekaletname ile talep edemeyeceği, ilgili kişinin özel nitelikli kişisel verilerin işlenmesi ve aktarılmasına ilişkin açık rızasını gösteren özel bir hükmün bulunmasının gerektiği ve bu sebeple yazı ekinde gönderilen vekaletnamenin genel vekaletname niteliğinde olduğundan KVKK ve ilgili yönetmelik uyarınca özel nitelikli kişisel veri olan sağlık verilerinin paylaşılmasının mümkün olmadığı” hususları belirtilerek talebin reddedildiği,
  • Bunun üzerine şikayetçinin kendi adına yeniden ihtarname düzenleyip veri sorumlusuna başvurduğu ancak veri sorumlusunca talebin karşılanmayarak hak yoksunluklarına sebep olduğu belirtilmiş ve gereğinin yapılması talep edilmiştir.

Veri sorumlusunun cevabi yazısında özetle;

  • Veri sorumlusu sigorta şirketi ile sigorta ettiren arasında imzalanan Grup Sigortası Sözleşmesi kapsamında sigorta ettiren tarafından bildirilen SGK’lı çalışanların sigortalandığı,  şikâyetçinin eşinin de bu çalışanlardan biri olarak Grup Hayat Sigorta Poliçesi ile sigortalandığı, bu kapsamda murislere toplamda 100.000,00 TL ödeme yapıldığı, Poliçe teminatının tamamının murislere ödenmesiyle veri sorumlusunun Poliçe kapsamındaki tüm yükümlülüklerini yerine getirdiği,
  • Şikayet konusu Poliçenin müteveffanın eşi varise verilmemesinin hukuki gerekçesi ile ilgili olarak Poliçenin, sigorta ettiren banka ile veri sorumlusu arasında imzalanan Sözleşmeye istinaden düzenlenmiş olduğu, sigortalıların bu grup sözleşmesinin tarafı olmadığı, Türk Ticaret Kanununun(“TTK”) 1496. maddesi uyarınca sigortalılara ayrı ayrı Poliçeler yerine sertifikalar verildiği,müteveffanın sigortalılığını, sigortalı olduğu dönemi ve sigorta teminatı ile kapsamı gösteren sertifikanın da veri sorumlusu tarafından şikâyetçi ile paylaşıldığı,
  • Diğer taraftan Grup Hayat Sigortası Sözleşmesinde sigorta ettiren bankaya ait ticari bilgilerin ve o sözleşmeyi imzalayanların kişisel verilerinin yer aldığı, dolayısıyla müteveffanın tarafı olmadığı sözleşmenin ve buna istinaden düzenlenen Grup Poliçesinin de ne sigortalılarla ne de murisleri ile paylaşma yükümlülüklerinin bulunmadığı ve veri sorumlusuna yönelik yapılan şikayetin haksız olduğu ifade edilmiştir.

Kurul kararında özetle;

  • Kişisel Sağlık Verileri Hakkında Yönetmeliğin 4 üncü maddesinde; kişisel sağlık verisinin kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgiler olarak tanımlamalara yer verildiği; anılan Yönetmeliğin “Ölünün sağlık verilerine erişim” başlıklı 11 inci maddesinde ise ölmüş bir kimsenin sağlık verilerini almaya, veraset ilamını ibraz etmek suretiyle murisin yasal mirasçılarının münferit olarak yetkili olduğuna yer verildiği, ölen kişilere ilişkin kişisel veriler hakkında Kanunda doğrudan bir düzenleme bulunmamakla birlikte Kurul’un “Ölü kişilerin verilerine, ölenin yakınlarının erişim talebi hakkındaki 18/09/2019 tarihli ve 2019/273 sayılı  kararında “(…) talep edilen kişisel verilerin talep eden gerçek kişiye ilişkin olmaması ve ölmüş kişiye ait olması sebebiyle talebin, Kanunun 11’inci maddesi kapsamında bir talep olarak değerlendirilmeyeceği kanısına varıldığından bu hususta Kanun kapsamında yapılacak bir işlemin olmadığına” karar verildiği, 
  • Türk Medeni Kanununun 499. maddesinde ise sağ kalan eşin, birlikte bulunduğu zümredeki oranlara göre mirasbırakana mirasçı olacağı; 599 uncu 601/2. Maddeleri doğrultusunda ölen eşin kişiliğinin de ölümle birlikte sona erdiği dikkate alındığında her ne kadar hayat sigortası ölen eşin adına yapılmış ve kişilik ölümle son bulduğundan ölen kişinin kişisel verilerine ilişkin talepler Kanun kapsamında değerlendirilemeyecek olsa da, hayat sigortasının lehtarlarının ölen kişinin kanuni mirasçıları olduğu, bu çerçevede ilgili Sigorta Poliçesinin lehtarı olmaları bakımından mirasçıların ilgili kişi niteliği kazandığı, bu sebeple başvurucu için de kanuni mirasçılıktan kaynaklı olarak, Poliçeyi özetler belgede yer alan verilerin kişisel veri niteliği taşıdığı kanaatine varıldığı,
  • TTK’nın 1496. maddesinde “ Grupta yer alan her kişiye poliçe içeriğini özetleyen bir belge verilir.” hükmüne yer verildiği, bu kapsamda,  ilgili kişinin eşi adına yapılan sigortanın da grup sigortası olarak yapıldığı gözetildiğinde, Kanunun kapsamında talep edilebilecek belgenin grup poliçesinin kendisi yerine “poliçeyi özetler nitelikteki belgenin/sertifikanın” olabileceği kanaatine varıldığı,
  • Anayasanın 20 nci maddesinin (3) numaralı fıkrasında yer verilen düzenleme ile “(…) kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme (…)” hakkına sahip olduğu, Kanunun 11/1(b) maddesi kapsamındai ilgili kişilerin kişisel verileri işlenmişse buna ilişkin bilgi talep etme hakkına sahip olduğu düzenlemelerinin yer aldığı, bu çerçevede ilgili kişinin eşinin kanuni mirasçılıktan kaynaklı olarak müteveffanın kişisel verisi niteliğindeki “poliçeyi özetler belgeye” erişme hakkının olduğu ve bu hakkını veri sorumlusuna karşı ileri sürebileceği dikkate alındığında “poliçeyi özetler belge”nin talep edebileceği ve somut olayda veri sorumlusu tarafından  “belgenin ilgili kişiye verildiği; bu anlamda Kanunun 11 inci maddesinden kaynaklanan erişim hakkının kişiye sağlandığı 

değerlendirmelerinden hareketle; 

  • Kanununun 3. maddesinde ilgili kişinin “kişisel verileri işlenen gerçek kişi” olarak tanımlandığı, Türk Medeni Kanununun 28. maddesinde ise kişiliğin, ölümle sona erdiği hükmünün yer aldığı belirtilse de hayat sigortasının lehdarlarının ölen kişinin kanuni mirasçıları olduğu, bu çerçevede ilgili Sigorta Poliçesinin lehdarı olmaları bakımından mirasçıların ilgili kişi niteliği kazandığı, bu sebeple ilgili kişi için de kanuni mirasçılıktan kaynaklı olarak, poliçeyi özetler belgede yer alan verilerin kişisel veri niteliği taşıdığı; öte yandan grup sigortalarına ilişkin hususların TTK’da, sigortalanan kişilere poliçe yerine poliçeyi özetler belgenin verileceğinin anılan Kanunda hüküm altına alındığı ve somut olayda veri sorumlusu tarafından  “Poliçeyi özetler belgenin/sertifika”nın ilgili kişiye verildiği; bu anlamda Kanun’dan kaynaklanan erişim hakkının kişiye sağlandığı dikkate alındığında söz konusu şikayet hakkında Kanun kapsamında yapılacak bir işlem olmadığına karar verilmiştir.
     

 Stj. Av. Sıla ATİLLA

TARLAN – BAKSI AVUKATLIK BÜROSU

AV. AYLİN TARLAN – AV. DERYA BAKSI

Leave a Reply

Fill in your details below or click an icon to log in:

Gravatar
WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Cancel

Connecting to %s

%d bloggers like this: