KİŞİSEL VERİLERİN KORUMASI HUKUKU MART 2021 BÜLTENİ: KİŞİSEL VERİLERİ KORUMA KURULU TARAFINDAN YAKIN ZAMANDA YAYINLANAN VE DİKKAT ÇEKEN 14 ÖNEMLİ KARAR

Kişisel Verileri Koruma Kurulu (bundan sonra kısaca “Kurul”) geçtiğimiz günlerde arka arkaya sayıca oldukça fazla karar özetleri yayınladı. Geleneği her bir kararı ayrı ayrı yayınlamak olan Kurul’un artan başvuru ve dolayısıyla karar sayıları nedeniyle böyle bir yol izlediği düşünülmektedir. Çok sayıda yayınlanan kararlar arasında kaçırılması muhtemel önemli noktaların olabileceği düşüncesi ile özellikle dikkat çeken 14 karar hakkında işbu Bülten yazısı hazırlanmıştır. Keyifli okumalar dileriz.

1- Görüntü kaydı ile istenen sonuç elde edilebilecek iken hem görüntü hem ses kaydı yapan kameraların “ölçülülük” ilkesine aykırı olduğu hakkında 12/03/2020 tarihli ve 2020/212 sayılı ihlal kararı

Kurul ilgili kararında, Kanun’un 4. maddesinde yer alan kişisel verilerin hangi şartlarda ve hangi esaslara uygun olarak işlenebileceği ilkeler doğrultusunda karar konusu olayda bu ilkelere Anayasamızın 13. maddesinde yer alan “ölçülülük” ilkesine riayet edilmediği kararına varmıştır. Bu açıklamalar çerçevesinde, sesli kamera kaydının hukuka uygun bir kişisel veri işleme faaliyeti olarak değerlendirilebilmesi için Anayasada belirtilen temel hak ve özgürlüklerin sınırlanmasında gözetilmesi gereken ilkelere uygun olması gerekmektedir. Bu kapsamda söz konusu kayıt ile beklenen faydanın ses kaydı olmaksızın görüntü kaydı ile elde edilebileceği iken aynı zamanda ses kaydının da yapılması, gerçekleştirilecek kişisel veri işleme faaliyeti ile ulaşılmak istenen amaç arasındaki dengenin bozulmasına yol açacağından ölçülülük ilkesine aykırılık teşkil edeceği ve sadece görüntü kaydına göre çok daha müdahaleci olacağı ifade edilmiştir.

2- Bir eğitim kurumunun rehberlik servisinde yapılan testler ile çocukların özel nitelikli verilerinin hukuka aykırı olarak işlendiği hakkında Kişisel Verileri Koruma Kurulunun 02/04/2020 tarihli ve 2020/255 sayılı ihlal kararı

Karar, kısaca eğitim kurumlarının rehberlik servisleri tarafından uygulanan psikolojik testlerin çeşidi ne olursa olsun, uygulanılmaları sonucunda öğrencinin dikkat eksikliği/hiperaktivite bozukluğu/kaygı bozukluğu gibi ilgili kişinin ruh sağlığına ilişkin özel nitelikli kişisel verilerin de işlendiği ifade edilmiştir. Kurul tarafından, özel nitelikli kişisel veri olan sağlık verilerinin, Kanunda belirtilen haller haricinde ancak ilgili kişinin açık rızasına dayanarak işlenebildiği ve eğitim kurumu tarafından gerçekleştirilen bu uygulama sürecinde, ilgili kişilerin (ve reşit olmamaları nedeniyle velilerinin) açık rızası alınmadan işlenmesinin hukuka aykırı bir uygulama olduğu belirtilmiştir. Karar sonucunda, veri sorumlusu eğitim kurumuna 50.000 TL idari para cezası uygulanmasına karar verilmiştir.

3- Şirket çalışanının, şirket veri tabanı üzerinden üçüncü kişilerin verilerine ulaşmasına dair Kişisel Verileri Koruma Kurulunun 13/02/2020 tarihli ve 2020/124 sayılı ihlal kararı

Karar, ilgili kişinin uçuş bilgilerini sistem üzerinden elde eden havayolu şirketi çalışanının bu verileri bir başka havayolu çalışanına vermesi ve bu çalışanın da ilgili kişiyi her uçuşu sonrası arayıp rahatsız etmesi üzerine yaptığı başvuruyu konu edinmektedir. Kurul, Kanun’un 12. maddesinde düzenlenen veri güvenliğinin ihlal edildiğine dair vermiş olduğu kararda; veri sorumlusu tarafından kişisel verilere erişim ile ilgili herhangi bir sınırlama ve kontrol mekanizması geliştirilmemesi ve çalışanlara verilen eğitimin yetersiz olması sebebiyle veri güvenliğinin sağlanmasına yönelik gerekli idari ve teknik tedbirlerin alınmadığı sonucuna varılarak veri sorumlusuna 100.000,00-TL idari para cezası verilmiştir.

4- İşten ayrılan çalışanın biyometrik verilerinin silinmesi talebi hakkında Kişisel Verileri Koruma Kurulunun 01/12/2020 tarihli ve 2020/915 sayılı Kararı

Bu karar ile Kurul mesai kontrolü amacıyla parmak izi kişisel verisinin işlenmesinin “ölçülülük” ilkesi ile bağdaşmadığını bir kere daha kamuoyuna duyurmuştur. GDPR atfı yer alan kararda, işinden ayrılan çalışanın biyometrik verilerinin silinmesi talebinin veri sorumlusu tarafından yerine getirilmemesini doğru bulunmamış ve bu konuda veri sorumlusunun talimatlandırılmasına karar vermiştir. Kararda yer alan iki husus uyarınca da veri sorumlusuna cezai işlem yapılmaması veri sorumlusunun bir kamu kurumu olması nedeniyle mi cezai işlem uygulanmadığı sorusunu akıllara getirmektedir.

5- Veri sorumlusu ve veri işleyenin sorumluluklarına ilişkin Kişisel Verileri Koruma Kurulunun 30/01/2020 tarihli ve 2020/71 sayılı Kararı

Veri sorumlusu ve veri işleyenin tespitinde göz önünde bulundurulması gereken hususlar ile aydınlatma yükümlülüğünün kim tarafından yerine getirileceğini irdeleyen kararda; 6698 sayılı Kanun’un 3’üncü maddesinde yer alan tanımlardan yola çıkılarak karar tesis edilmiştir. Madde metni uyarınca, veri işleyen; veri sorumlusunun çıkarlarını gözeten, kendisine verilen belirli görevleri aldığı talimatlar doğrultusunda yerine getirmekle yükümlü olan taraftır. Bu çerçevede, veri işleyenin verileri hukuka uygun olarak işlemesi veri sorumlusunun vermiş olduğu emir ve talimatlara uyduğu ölçüde gerçekleşecektir. Dolayısıyla, veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi veri işleyen tarafından işlenmesi halinde; alınan her türlü teknik ve idari tedbirler hususunda bu kişilerle birlikte müştereken sorumludur. Kararda ayrıca aydınlatma yükümlülüğüne ve bu yükümlülüğün kim tarafından yapılacağına ilişkin bir değerlendirmede de bulunulmuştur. Buna göre her ne kadar aydınlatma yükümlülüğü veri sorumlusuna ait olsa da veri işleyene verdiği talimatlar doğrultusunda veri işleyen tarafından da aydınlatma yükümlülüğünün yerine getirilebileceği değerlendirilmektedir. Nitekim aydınlatma yükümlülüğünün bizzat veri sorumlusu tarafından mı yoksa yetkilendireceği kişi tarafından mı yerine getirileceği konusunda Kanun, veri sorumlusuna seçim hakkı tanımıştır.

Sonuç olarak; Kanunun 10. maddesinde düzenlenen “aydınlatma yükümlülüğü” bizzat veri sorumlusu tarafından veya veri sorumlusunun yetkilendirdiği bir kişi tarafından yerine getirilebilir. Görüldüğü üzere, karardan anlaşılan en önemli nokta, Kurul’un aydınlatma yükümlülüğünün kim tarafından getirildiğinden ziyade işlemeye dahil olan herhangi bir özne tarafından yerine getirilmesidir.

6- Kamu çalışanlarına KVKK kapsamında gizlilik sözleşmesi imzalatılmasına gerek olunmadığına ilişkin Kişisel Verileri Koruma Kurulunun 26/12/2019 tarihli ve 2019/393 sayılı Kararı

Kurul ilgili kararında, Anayasa, 657 sayılı Kanun ve ilgili mevzuatları uyarınca bu kapsamında çalışan kişilere ayrıca bir personel gizlilik sözleşmesinin imzalatılması uygun olmayacağı yönünde karar vermiştir. Ancak bu noktada önemle belirtmek gerekir ki, kişisel verilerin korunması hakkının bir temel hak ve özgürlük olarak yakın tarihte iç hukukumuzda düzenleme altına alınmış olduğu gözetildiğinde, 657 sayılı Kanun kapsamında çalışan personele, kişisel verilerin korunması hakkı kapsamında uymaları gereken usul ve esaslara dair bilgilendirici mahiyette bir metin tebliğ edilmesi ve bu konuda periyodik eğitimler düzenlenmesinin uygun olacağına karar verilmiştir.

7- Avukat sorgulama sitelerinden kişisel verilerini kaldırmak isteyen başvurucu hakkında Kişisel Verileri Koruma Kurulunun 30/06/2020 tarih ve 2020/508 sayılı Kararı

Bazı avukatların, avukat sorgulama siteleri ile ilgili ihbar başvurularına ilişkin Kurul’un vermiş olduğu kararda; ulaşılan sitelerinde ilgili kişinin TBB resmi internet sitesindeki bilgilerinin yer alması ve bu verilerin alenileştirilmiş veri olması sebebiyle olayda ihlal olmadığına karar verilmiştir.

8- Unutulma hakkı kapsamında arama motorunda adı ve soyadı ile bağlantılı sonuçların kaldırılması talebine ilişkin Kişisel Verileri Koruma Kurulunun 08/12/2020 tarihli ve 2020/927 sayılı Kararı

Üniversitede öğretim üyesi olarak görev yapmakta olan bir kişinin hakkında yapılan haberlerin arama motorunda ilgili kişinin adı ve soyadı ile arama yapıldığında listelenmemesine yönelik talebine ilişkin Kurul’un vermiş olduğu kararda; temelde başvuruyu kabul edilebilir bulmuş gibi anlaşılsa da karar kendi içerisinde birtakım çelişkiler barındırmaktadır. Kararda sayılan nedenler doğrultusunda, ilgili kişi hakkında yayınlanan içeriklerin arama motorundan kaldırılması yönündeki talebine ilişkin olarak veri sorumlusu tarafından yapılan işlemin yerinde olduğu ifade edilmiştir. Ancak veri sorumlusu tarafından yapılan işlemin niteliğine ilişkin bir açıklama yapılmamıştır. Karar bu yönüyle açıklamaya muhtaç olup, söz konusu şikâyet ile ilgili olarak Kanun kapsamında tesis edilecek bir işlem bulunmadığı ifadeleri ile de Kurul tarafından yapılan inceleme hakkında soru işaretleri doğurmaktadır. Günbegün şöhreti artan ve halen kavram olarak henüz tekâmüle ermemiş olan unutulma hakkı hakkında daha açıklayıcı ve uygulamaya yönelik kararlara yer verilmesi gerekmektedir.

9- İcra Müdürlükleri tarafından borçlu yakınlarına haciz ihbarnamesi gönderilmesi hakkında Kişisel Verileri Koruma Kurulunun 17/09/2020 tarih ve 2020/710 sayılı Karar Özeti

İcra dosyasının tarafı olan ilgili kişilerin icra takibi ile ilgisi bulunmayan akrabalarına icra müdürlükleri tarafından haciz ihbarnamesi gönderilmesine ilişkin Kurul, vermiş olduğu kararda; İcra ve İflas Kanununun 89. maddesi kapsamında bildirilen gerçek veya tüzel kişilere icra müdürlüklerince haciz ihbarnamesi gönderilmesinde hukuken engel bulunmadığına, icra müdürlükleri nezdinde gerçekleştirilen veri işleme faaliyetinin Kanunun 5. maddesinin (2) numaralı fıkrasında yer alan ‘Kanunlarda açıkça öngörülme’ şartına dayanılarak gerçekleştirildiğine, bu çerçevede söz konusu başvuruya ilişkin yapılacak bir işlem bulunmadığına karar vermiştir.

10- Özel bir hastane tarafından izinsiz aranan kişinin başvurusu üzerine Hastanenin çağrı merkezini yöneten Firma hakkında Kişisel Verileri Koruma Kurulunun 27/02/2020 tarih ve 2020/172 sayılı ihlal kararı

İlgili kişinin cep telefonunun özel bir hastane tarafından izinsiz aranması üzerinde bu durumdan rahatsızlığını dile getirerek hastaneden 6698 sayılı Kanun kapsamında bilgi talep ettiği ancak gelen cevabı yeterli bulmaması üzerine yapmış olduğu başvuru kapsamında Kurul; ilgili kişinin kişisel verisi olan cep telefonu numarasının hastaneye çağrı merkezi hizmeti veren firma tarafından reklam amacıyla işlendiğini, bu işleme sırasında çağrı merkezinin hastane kayıtlarında yer alan veriler haricinde kendisinin bağımsız olarak veri işleme faaliyetinde bulunması nedeniyle veri işleyen yerine veri sorumlusu olduğuna karar vermiştir. Bu bağlamda incelemeye konu olay açısından veri sorumlusu çağrı merkezi firma hakkında, Kanunun ilgili hükmü uyarınca 50.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

11- Kullanımına izin verilmeyen kredi kartı bilgilerinin veri sorumlusu tarafından kullanılması hakkında Kişisel Verileri Koruma Kurulunun 27/02/2020 tarihli ve 2020/166 sayılı ihlal kararı

Kararda, veri sorumlusu ile 1 günlük araç kiralama sözleşmesi akdeden başvurucunun bu sözleşme ilişkisi kapsamında provizyon çekilmesi için kredi kartı bilgilerini veri sorumlusu ile paylaşmıştır. Ancak ilerleyen zamanda birtakım ödemeler için bilgilerini vermemiş olduğu kredi kartından ücret kesintisi yapılmaya çalışıldığını fark eden başvurucu, veri sorumlusunun bu eyleminin Kanun’a aykırı olduğu düşüncesi ile Kişisel Veriler Korunma Kurumuna başvurmuştur. Veri sorumlusu tarafından araç kiralama sözleşmesinde bu duruma izin veren hüküm bulunması nedeniyle yapılan işlemin hukuka uygun olduğu savunulmuştur. Kurul tarafından yapılan değerlendirmede, başvurucunun araç kiralama şirketi ile daha önce yaptığı sözleşmeler kapsamında kullanımına onay verdiği kredi kartı bilgilerinin; veri sorumlusu tarafından sistemde saklanarak, haksız şart niteliği gösteren sözleşme hükmüne dayanmak suretiyle somut vakada kişinin makul beklentisine ve çıkarına aykırı olumsuz bir durum oluşturarak haklı bir gerekçe olmaksızın kullanılmasına ilişkin kişisel veri işleme faaliyetinin hukuka aykırı olduğu tespit edilmiştir. Bu bağlamda, veri sorumlusuna 75.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

12- İlgili kişilerin kişisel verilerinin hukuka aykırı şekilde internet gazetesi üzerinden yayımlanması hakkında Kişisel Verileri Koruma Kurulunun 18/02/2020 tarihli ve 2020/145 sayılı kararı

Başvuruya konu olay, internet gazetesine tekzip amacı ile gönderilen ihtarname metinlerinin üzerlerinde yer alan kişisel veriler redakte edilmeden internet sayfasına konulması ve bu sürede başvurucunun kişisel verilerinin üçüncü kişilerin erişimine sunulmasıdır. Kurul tarafından, tekzip metninin olduğu gibi yayınlanmasını bir kanuni yükümlülük olduğu ancak, bu kuralının uygulanması sırasında “ölçülülük” ilkesini açıkça riayet edilmediği belirtilmiştir. Bu nedenle, Kanundan doğan yükümlülüklerini getirmediği kanaatine varılan veri sorumlusu hakkında 55.000,00-TL idari para cezası verilmesine karar verilmiştir.

13- Geçmiş sağlık verilerinin düzeltilmesine/silinmesine yönelik talep hakkında Kişisel Verileri Koruma Kurulunun 06/02/2020 tarihli ve 2020/93 sayılı kararı

Karara konu başvuru kısaca, geçmişte çeşitli sebeplerle kaydedilen sağlık raporlarının ve özellikle psikiyatrik hastalık tanılarının yaşamlarında sorun teşkil etmesi nedeniyle ilgili sağlık kayıtlarının düzeltilmesi ya da silinmesidir. Kararda Kurul tarafından, kişilerin sağlık geçmişlerinde yer alan psikiyatrik tanıların silinmesi kamu güvenliği ve kamu düzenini etkileyebilecek bir durum olarak nitelendirilmiştir. Bu bağlamda ancak ve ancak sehven kaydedilen tanılar bakımından bir düzeltilme ihtimalinde durulmuş, bu ihtimal haricinde başvuru konusunun kabul edilemez olduğuna karar verilmiştir.

14- Verilecek hizmetin açık rıza şartına bağlaması sebebiyle yapılan şikâyet hakkında Kişisel Verileri Koruma Kurulunun 03/09/2020 tarihli ve 2020/667 sayılı kararı

Karar, bir sigorta şirketine başvurarak sağlık sigortası poliçesini yeniletmek isteyen başvurucunun bu isteğinin veri sorumlusu tarafından açık rıza vermesine bağlanması hakkında KVKK gereğinin yapılması talebinin değerlendirilmesidir. Kanunun 6. maddesinin (3) numaralı fıkrasında düzenlenen; “Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir” istisnası uyarınca sağlık sigortası poliçesinin özel nitelikli kişisel veri niteliğini haiz sağlık verilerini içerdiği, poliçede yer alan sağlık verilerinin ise Kanunun 6. maddesinin (3) numaralı fıkrası kapsamında işlenemeyeceği, bu nedenle veri işlemenin ancak ilgili kişiden açık rıza alınması yoluyla gerçekleştirilebileceği belirtilmiştir. Bu sebeple ilgili kişiden açık rıza alınması talebinin Kanuna aykırılık teşkil etmediği şeklinde karar tesis edilmiştir.

* * *

Kişisel verilerinizin işlenmesine ilişkin herhangi bir sorunuz olması halinde Esis Hukuk Bürosu olarak sizlere yardımcı olmaktan memnuniyet duyarız. 09/03/2021

Saygılarımızla,

ESİS HUKUK BÜROSU