06.11.2019 TARİHİNDE YAYIMLANAN KURUL KARARLARI

07.11.2019

Kişisel Verileri Koruma Kurulu’na (“Kurul”) yapılan başvurulara ilişkin olarak Kurul tarafından, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında alınan üç adet karar Kurul’un internet sitesinde özet halinde yayımlanmıştır.

1. Cep Telefonu Numarasının Veriliş Amacı Dışında Kullanılması Hakkında Karar

İlgili kişinin kişisel verisi niteliğinde olan cep telefonu numarasının bir banka tarafından veriliş amacı dışında kullanılmasına ilişkin Kurul tarafından 18.09.2019 tarihinde 2019/227 sayılı Karar’a hükmedilmiştir.

Şikayetçi Kurul’a yapmış olduğu başvurusu kapsamında; i) banka çalışanın kendisini arayarak eşinin müdürü olduğu Şirket ile ilgili olarak eşine ulaşamadığını, ii) eşiyle iletişime geçebilmek için kendisine yardımcı olmasını talep ettiğini, iii) bunun üzerine müşterisi olduğu Banka’ya banka işlemleri amacıyla iletişim bilgilerini vermiş olduğunu, buna karşılık iletişim bilgilerine amacı dışında nasıl ve neden ulaşıldığı hususlarında bilgi almak için Banka’ya başvurduğunu, iv) Banka’nın ise yazılı bir cevap vermediğini belirtmiştir.

Kurul tarafından yapılan inceleme sonucunda Şikayetçi’nin Banka’ya e-posta yoluyla başvurduğunu Banka’nın ise Şikayetçi’nin e-posta adresine, Şikayetçi’yi iletişim numaraları üzerinden aradıklarını ancak ulaşamadıklarını, başvuruya ilişkin detaylar için Hizmet Hattı’nı aramasını gerektiği yönünde mail gönderdiği görülmüştür.

Kurul tarafından;

• Şikayetçi’nin taleplerine karşı verilen mesajın talep edilen hususları açıklayıcı nitelikte yazılı veya elektronik ortamda bir cevap olarak değerlendirilemeyeceğinden Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e aykırılık olması sebebiyle Banka’ya Kanun ve Tebliğ hükümlerine uyum hususunda azami dikkat ve özenin gösterilmesi konusunda hatırlatmada bulunulmasına,
• Şikayetçi’nin cep telefonu numarasının Şikayetçi’nin Banka ile ilgili iş ve işlemleri dışında kullanılarak işlenmesinin ise KVKK m.4/f.2’de yer alan belirli, açık ve meşru amaçlar için işlenme ve işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırı olduğu ve KVKK m.12/f.1-a kapsamında düzenlenen veri güvenliğine ilişkin yükümlülüğüne aykırı davrandığından KVKK m.18/f.1-b uyarınca Banka’ya 100.000 TL idari para cezası uygulanmasına,

karar verilmiştir.

Daha detaylı bilgi için karar özetine buradan ulaşabilirsiniz.

 

2. İlgili Kişiden Arkalı Önlü Kimlik Görüntüsünün İstenmesi ve İlgili Kişinin Silme Talepli Başvurusu Karşısında Veri Sorumlusunun “Kimlik Görüntülerinin Kaydedilmediğine” İlişkin Cevabının İncelenmesi Hakkında Karar

İlgili kişinin Veri Sorumlusuna başvurarak kimlik görüntüsünün silinmesi ve ilgili kinin kişisel verileri üçüncü kişilere aktarıldı ise verilerin aktarılan üçüncü kişilerin kayıtlarından da silinmesi talepleri karşısında; Veri Sorumlusunun i) kişisel verilerinin sistemlerinde tutulmadığı ve ii) üçüncü kişilerle paylaşılmadığı yanıtının verilmesi üzerine Kurul’a yaptığı başvuru hakkında Kurul tarafından 01.10.2019 tarihinde 2019/294 sayılı Karar’a hükmedilmiştir.

Veri Sorumlusu sıfatını haiz Havayolu Taşımacılık Şirketi’nin (“Şirket”) sunduğu sadakat programını kullanan ilgili kişi kullanıcı adı ve parolasını değiştirmeyi talep etmiştir. Şirket ise talebin yerine getirilebilmesi için, arkalı önlü kimlik görüntüsünün iletilmesi gerektiğini belirtmiştir. İlgili kişi elektronik olarak kimlik görüntüsünü Şirket’e göndermiş ancak daha sonra Şirket’e başvurarak kimlik görüntülerinin silinmesini talep etmiştir. Şirket’in vermiş olduğu cevap üzerine ilgili kişi Kurul’a başvurmuştur.

Kurul tarafından başvuru konusu olay kapsamında yapılan inceleme sonucunda;

• Kimlik görüntüsünde özel nitelikli kişisel veri niteliğinde olan “kan grubu” ve “din” bilgilerinin yer alması nedeniyle KVKK 5. ve 6. maddeler uyarınca ilgili kişinin açık rızasının alınması gerektiğinden hukuka aykırı veri işleme faaliyeti olduğu,
• Kimlik görüntüsü işlenmesinin hukuka uygun olmayan veri işleme faaliyeti olması sebebiyle, genel ilkeler bakımından hukuka uygunluk ilkesine aykırı olduğu, “görüntülerin kayıt altına alınmadığı” yönündeki cevabın şeffaf olmadığı ve dürüstlük kuralına aykırı bir işleme olduğu,
• Kimlik doğrulama işleme için daha az veri işlenmesi mümkün olduğundan işleme faaliyetinin işlendiği amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırı olduğu,
• İlgili kişinin “silme” talebi üzerine Şirket’in ilgili verileri silmediği ancak Kurum tarafından bilgi belge talep edildiği zaman Şirket’in verileri sildiğini beyan ettiği, bunun ise veri sorumlusunun veri işleme faaliyetinin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkesine de aykırı olduğu,
• İlgili kişinin “silme talebinin verilerin aktarıldığı üçüncü kişilere de bildirilmesi” talebi ile ilgili olarak da ilgili kişinin veri sorumlusuna başvuru hakkına riayet etmediği dolayısıyla veri sorumlusunun ilgili kişinin başvurusuna hukuka ve dürüstlük kuralına uygun bir yanıt vermediği,

hususları tespit edilmiştir.

Yukarıda açıklanan gerekçeler kapsamında Kurul tarafından;

• KVKK m.12/f.1’de yer alan veri sorumlusunun veri güvenliğine ilişkin yükümlülüklerini yerine getirmediğinden KVKK m.18/f.1-b uyarınca Şirket hakkında 100.000 TL idari para cezasına,
• Şirket’in ilgili kişinin kişisel verilerinin silindiği hususunda ilgili kişinin bilgilendirileceğini belirtmesine rağmen Kurum’a bu yönde bir bilgilendirme yapılmadığından Şirket’in ilgili kişiye ve Kurum’a gerekli bilginin verilmesi yönünde Şirket’in talimatlandırılmasına,
• Şirket’in kişisel verileri işlenen müşterilerinin bundan sonraki taleplerinde benzer karışıklıklara meydan verilmemesi amacıyla kişisel verilere ilişkin Şirket’in kurumsal düzenlemelerini KVKK kapsamında gözden geçirerek, ilgili birimleri ile veri işleyenleri bilgilendirmesi hususunda Şirket’in talimatlandırılmasına

karar verilmiştir.

Daha detaylı bilgi için karar özetine buradan ulaşabilirsiniz.

 

3. Veri Sorumlusuna İnternet Sitesi Üzerinden Yapılan Başvurunun “Kimlik Teyidi Yapılamadığı” Gerekçesiyle Reddedilmesi Hakkında Karar

İlgili kişinin Operatör Şirketi’ne (“Şirket”) internet sitesi üzerinden başvurması üzerine, Şirket’in başvurunun internet sitesinde bulunan KVKK başvuru formunun doldurularak noter aracılığıyla veya elektronik imzalı e-posta ile iletilmediğinden kimlik teyidi yapılamadığı gerekçesiyle reddedilmesi hakkında Kurul tarafından 01.10.2019 tarihinde 2019/296 sayılı Karar’a hükmedilmiştir.

Şirket savunması kapsamında; internet sitesinde yer alan Gizlilik Politikasında ilgili kişi tarafından Şirket’e yapılacak başvurunun KVKK Talep Formunun doldurularak Şirket adresine “noter kanalı vb. yollarla” gönderilmesi gerektiğinin belirtildiği, söz konusu KVKK Talep Formunun Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e (“Tebliğ”) uygun bir formatta sunulduğu, formun amacının Şirket’e başvuran kişilerin kimlik tespitinin yapılabilmesi olduğu, Şirket’e yapılan başvurunun Şirket tarafından belirtilen yöntem üzerinden değil Şirket’in müşteri hizmetlerine elektronik ortamda yapıldığı hususları açıklanmıştır.

Kurul tarafından yapılan inceleme sonucunda şikayet başvurusunun Tebliğ’e uygun olmadığı anlaşılmıştır. Bununla birlikte kararda; ilgili kişinin KVKK m.13 ve Tebliğ’in 5. maddesi uyarınca KVKK m.11’de belirtilen ilgili kişinin hakları kapsamındaki taleplerini veri sorumlusuna iletmesi gerektiği ve veri sorumlusunun da Tebliğ’in 6. maddesi kapsamında yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlü tutulduğu ifade edilmiştir.

Kurul tarafından;

• Şirketçe kimlik teyidi sağlamak amacıyla yalnızca noter kanalı veyahut e-imza ile başvuruda bulunabileceğinin bildirilmesi sonucu Kanun’da ya da Tebliğ’de öngörülmeyen maddi bir külfet getirilmesinin ve ilgili kişinin bu şekilde yanlış yönlendirilmesi suretiyle söz konusu KVKK Talep Formunu doldurarak usule uygun bir başvuru yapma hakkının engellenmesinin Tebliğ’in 6. maddesinde sayılan hukuka uygunluk ve dürüstlük kuralı ile bağdaşmadığından Tebliğ hükümlerine uyum konusunda azami dikkat ve özenin gösterilmesi hususunda Şirket’in talimatlandırılmasına,
• İlgili kişiye ise KVKK m.11 kapsamında ilgili kişinin hakları ile Tebliğ ile ilgili maddelerin hatırlatılmasına,

karar verilmiştir.

Daha detaylı bilgi için karar özetine buradan ulaşabilirsiniz.

NAZALI HUKUK info@nazali.com

Yukarıda yer verilen açıklamalarımız, hukuki görüş ve tavsiye niteliğinde olmayıp, konuya ilişkin genel bilgiler içermektedir; bu sebeple belirtilen konularda bir aksiyon almadan önce, bir uzmana danışmanızı tavsiye ederiz. NAZALI’ya işbu dokümanın içeriğinden kaynaklanan veya içeriğine ilişkin olarak ortaya çıkan sonuçlardan dolayı herhangi bir sorumluluk iddiasında bulunulamaz