KİŞİSEL VERİLERİ KORUMA KURULU TARAFINDAN YENİ KARARLAR YAYIMLANDI

30.05.2019

 

Duyurumuz, Kişisel Verileri Koruma Kuruluna (“Kurul”) yapılan başvurulara ilişkin olarak, Kurul tarafından, 6698 sayılı Kişisel Verileri Koruma Kanunu (“KVKK”) kapsamında alınan dört adet karar hakkındadır.

• Kişisel Verilerin Muhafazasının Sağlanmasını Teminen Gerekli İdari ve Teknik Tedbirlerin Alınmaması ile Kurul Kararının Yerine Getirilmemesi Hakkında Karar:

Teknik servis hizmeti veren veri sorumlusu firmanın, müşterilerine, servise cihaz girişi yapıldığına ilişkin bir form numarası verdiği ve form numarası sorgulaması ile kişilerin kendi telefonlarının servisteki durumlarına ilişkin bilgilere ulaşabildiği; ancak form numaralarının birbirini takip eden sayılar olması nedeniyle ilgili kişiye verilen sorgu numarasının bir öncesi veya bir sonrasındaki sayının girilmesi suretiyle farklı numara girişlerinde farklı kişilere ait kişisel verilere erişildiği yolundaki ihbarın incelenmesi sonucunda 14/02/2019 tarihli 2019/23 sayılı Karara hükmedilmiştir. 2019/23 sayılı Kurul kararının tebliği sonrasında, Kurul tarafından Şirket internet sitesi üzerinde, muhtelif tarihlerde herhangi bir form numarasının son iki hanesinin değiştirilmesi suretiyle yapılan sorgulamalarda Kurul kararının yerine getirilmediğinin tespit edilmesi neticesinde ise  05/03/2019 tarihli 2019/52 sayılı Karara hükmedilmiştir.

 

14/02/2019 tarihli 2019/23 sayılı Karar;

KVKK’nın 12. maddesinin 1.fıkrası kapsamında veri sorumlularının (i) kişisel verilerin hukuka aykırı olarak işlenmesini önleme, (ii) kişisel verilere hukuka aykırı olarak erişilmesini önleme ve (iii) kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülükleri mevcuttur.

Kurula yapılan ihbar üzerine veri sorumlusu tarafından, kişilerin servise bıraktıkları cihazları ile ilgili olarak ilgili internet sitesi üzerinden yapılan sorgulamalarda, cihaz sahiplerinin kişisel verilerine erişimin mümkün olmadığı belirtilmiştir. Ancak veri sorumlusu tarafından belirtilenin aksine, söz konusu internet sitesinde herhangi bir sorgu numarasının son iki hanesini değiştirerek başka cihaz ve cihaz sahiplerine ilişkin de sorgulamalar yapılabildiği Kurum tarafından tespit edilmiştir. Ayrıca söz konusu sorgulamalar neticesinde, açılan sayfada yönlendirilen muhtelif linklerin seçilmesi ile de bu kişilere ait isim, soy isim, adres ve sahip oldukları cihazın IMEI numarası bilgilerine de erişim sağlanabildiği fark edilmiştir.

Bu kapsamda Kurul tarafından;

• KVKK’nın 12. maddesinin 1. fıkrasına aykırı olarak, kişisel verilerin muhafazasının sağlanmasını teminen gerekli idari ve teknik tedbirlerin alınmaması nedeniyle ve söz konusu aykırılığın Karar tarihi itibariyle yapılan sorgulamalarda devam ettiği de göz önünde bulundurulduğunda; veri sorumlusu hakkında KVKK’nın 18. maddesi çerçevesinde 150.000 TL idari para cezası uygulanmasına,

• KVKK’nın 15. maddesinin 7. fıkrasında yer alan “Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması hâlinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verebilir” hükmü kapsamında söz konusu aykırılığın giderildiği hususunun Kurula tevsiki sağlanıncaya kadar işbu Kararda yer alan linklerin kullanımının durdurulmasına

karar verilmiştir.

05/03/2019 tarihli 2019/52 sayılı Karar;

2019/23 sayılı Kurul kararının şirkete tebliği sonrasında Kurul tarafından yapılan incelemelerde başka cihazlara ait sorgulamaların halen gerçekleştirilebildiği ve başka bir güvenlik doğrulamasının da yapılmadığı, bu suretle cihaz sahiplerine ilişkin çeşitli kişisel verilere yetkisiz kişiler tarafından halen erişim sağlanabildiği tespit edilmiştir.

Bu kapsamda Kurul tarafından;

• KVKK’nın, şikayet üzerine veya resen incelemenin usul ve esasları hakkındaki 15. maddesinin 5. fıkrasında düzenlenen “Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.” hükmü ile 18. maddesinin (c) bendine düzenlenen “KVKK’nın 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezasının verilir.” hükmü doğrultusunda; Şirket hakkında 50.000 TL idari para cezası uygulanmasına,

• Şirkete ait internet sitesinde herhangi bir sorgu numarasının son iki hanesini değiştirmek suretiyle başka cihaz ve cihaz sahiplerine ilişkin sorgulamaların halen yapılabildiği dikkate alındığında, asıl güvenlik açığının giderilmediğinden hareketle; cihaz takibi için sorgulama yapılabilmesine imkan veren sistemin değiştirilmesi ile halihazırda sorgulama yapılan sisteme erişimin ivedilikle kapatılması hususunda Şirketin talimatlandırılmasına,

karar verilmiştir.

Daha detaylı bilgi için Karar özetine buradan ulaşabilirsiniz.

• Kişisel Verilere Hukuka Aykırı Erişim ve Kişisel Verilerin Rıza Dışı Aktarımı Hakkında Karar:

Başvuranın, kendisi ve ailesi hakkındaki bilgilere hukuk dışı yollarla erişilerek, kişisel verilerinin rızaları dışında yargıya ve üçüncü kişilere aktarıldığı ve bahse konu bilgilere İcra Müdürlükleri kanalıyla usulsüzce ulaşıldığı iddiasıyla Kuruma yaptığı başvuru neticesinde Kurul tarafından 01/03/2019 tarihli 2019/47 sayılı Karara hükmedilmiştir.

Bu kapsamda Kurul tarafından;

• Şikayet edilen şahsın başvuranın ailesi hakkındaki bilgilere hukuk dışı yollarla erişerek rızası dışında yargıya ve üçüncü kişilere aktardığı iddiaları ile ilgili olarak, kişisel verilerin paylaşımının muhtelif mercilere yazılan dilekçelerden oluştuğu ve bu anlamda şikayet edilen tarafından kısmen ya da tamamen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla gerçekleştirilen bir kişisel veri işleme faaliyetine rastlanılmadığı, bu kapsamda şikayet edilenin veri sorumlusu olarak nitelendirilmesinin mümkün bulunmadığı ve diğer taraftan şikayet edilen tarafından başvuran ve ailesine ait kişisel verilerin hukuka aykırı bir şekilde elde edildiği iddiasının Türk Ceza Kanunu kapsamında bir suç niteliği taşıdığı göz önüne alındığında söz konusu iddiaya ilişkin KVKK kapsamında yapılacak bir işlem bulunmadığına,

• Şikayet dilekçesinde şikayet edilenin, başvuranın kişisel verilerine İcra Müdürlükleri kanalıyla ulaştığı düşüncesinde olduğu iddiasının ilgili kişinin şahsi kanaatine dayandığı ve bu durumun tevsik edici herhangi somut bir bilgi veya belgeyle de tevsik edilmediği dikkate alındığında, söz konusu iddia ile ilgili olarak Kurulca yapılacak bir işlem bulunmadığına,

karar verilmiştir.

Daha detaylı bilgi için Karar özetine buradan ulaşabilirsiniz.

• İlgili Kişinin Başvurusunun Veri Sorumlusu Tarafından Cevaplandırılmaması ve Veri Sorumlusu Tarafından İnternet Üzerinden Yayımlanan Aydınlatma Metninin Mevzuatta Düzenlenen Şartları Taşımaması Hakkında Karar:

İlgili kişinin veri sorumlusu Ziraat Bankası (“Banka”) aleyhine yaptığı; (i) KVKK kapsamında veri sorumlusuna başvurarak taleplerini kayıtlı elektronik posta (“KEP”) yoluyla iletmesine karşılık, başvurusunun KVKK’da öngörülen 30 günlük süre dolduğu halde cevaplanmadığı ve (ii) veri sorumlusunun internet sitesi üzerinden yayımladığı aydınlatma metninin KVKK’da düzenlenen şartları taşımadığına ilişkin şikayeti Kurul tarafından değerlendirilerek 02/05/2019 tarihli ve 2019/122 numaralı Karara hükmedilmiştir.

KVKK’da “İlgili Kişinin Hakları” başlığı altında düzenlenen 11. madde uyarınca herkesin veri sorumlusuna başvurarak kişisel verilerinin işlenip işlenmediğini, işlenme amacını, kullanılma şeklini, aktarıldığı üçüncü kişileri öğrenme; kişisel verilerinin imhasını talep etme, işlenen kişisel verilerinin otomatik sistemler vasıtasıyla analiz edilmesi sebebiyle aleyhine bir sonucun ortaya çıkmasına itiraz etme ve kişisel verilerinin hukuka aykırı olarak işlenmesi sebebiyle uğranılan zararların tazminini talep etme hakkı mevcuttur. Bu kapsamda KVKK’nın 13. naddesinin 2. fıkrasına göre veri sorumlusu ilgili kişinin yaptığı başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç 30 gün içinde ücretsiz olarak sonuçlandırmakla yükümlüdür.

Bu kapsamda Kurul tarafından;

-  Şikayete ilişkin olarak Kurum tarafından Banka’ya iletilen “İş Yerine Amirine Teslim” açıklamalı yazının Banka’ya teslim edilmesine rağmen, bu yazıya ilişkin herhangi bir cevap alınamaması sebebiyle; KVKK’nın “Suçlar ve Kabahatler” başlıklı 18. maddesinin üçüncü fıkrası kapsamında düzenlenen “Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.” hükmü doğrultusunda, ihlale sebebiyet veren sorumlular ile gerekli tedbirleri almak ve denetimleri yapmakla yükümlü kişiler hakkında disiplin hükümlerine göre işlem yapılmasına,   

• İlgili kişinin KVKK hükümleri kapsamındaki taleplerine ilişkin başvurusuna Banka tarafından cevap verilmesi ve mevzuat hükümlerine uyumda azami dikkat ve özenin gösterilmesi hususunda Banka’nın talimatlandırılmasına,
•  “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ”de yer alan 5. maddenin 1. fıkrasının (g) ve (h) bentleri gereği  aydınlatma yükümlülüğü kapsamında açıklanacak kişisel veri işleme amacının belirli, açık ve meşru olması;  aydınlatma yükümlülüğü yerine getirilirken, genel nitelikte ve muğlak ifadelere yer verilmemesi ve aydınlatma yükümlülüğü kapsamında kişisel verilerin KVKK’nın 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartlarından hangisine dayanılarak işlendiğine ilişkin hukuki sebebin açıkça belirtilmesi gerekliliği kapsamında; Banka’nın, internet sitesinde yer alan aydınlatma metninin bu hususlara uygun hazırlanmaması nedeniyle gözden geçirilerek Tebliğ hükümlerine uygun hale getirilmesi yönünde talimatlandırılmasına,

karar verilmiştir.

Daha detaylı bilgi için Karar özetine buradan ulaşabilirsiniz.

• Sadakat Kart Uygulaması Hakkında Karar:

Kurul tarafından, bir market zincirinin mağazalarından temin edilen sadakat kartı ile kişisel verilerin korunması mevzuatı çerçevesinde gerçekleştirilen faaliyetlere ilgili olarak yapılan şikayet ve ihbarlar kapsamında gerçekleştirilen değerlendirmeler neticesinde 5/03/2019 tarihli 2019/82 Karara hükmedilmiştir.

İlgili karar kapsamında; (i) söz konusu market zincirinin mağazalarından temin edilen ve bazı alışveriş/ hizmet alımlarında indirim ve puan biriktirme avantajı sağlayan sadakat kart ile ilgili olarak; internet sitesine giriş yapıldığı esnada, internet sitesi ekranında “…. Kart avantajlarından faydalanmaya devam edebilmek için Kişisel Verilerin Korunması Kanunu kapsamında veri işleme iznini vermen yeterli…iznin yoksa karşına çıkacak olan üyelik ve rıza beyanı metnini okuyarak onayla.” şeklinde ve kart tarafından kişilerin cep telefonlarına gönderilen kısa mesajlarda “Kişisel Verilerin Korunması Kanunu kapsamında izninizi lütfen güncelleyiniz. İzni güncel olmayan müşterilerimiz, kişisel bilgileri silineceği için kasalarımızdan cep telefonu söyleyerek alışveriş yapamayacaklar.” şeklinde açıklamalar bulunmasının, açık rızanın bir ürün veya hizmetin sunulmasına ilişkin koşul olarak ileri sürüldüğünden bahisle KVKK kapsamında gerekli işlemlerin tesis edilmesi talebiyle bulunulan şikayet (ii) sadakat kart kullanımı ile ilgili KVKK kapsamında müşterilerden açık rıza alınması esnasında “Veri İzni Alma Uygulaması” adı altında söz konusu market tarafından düzenlenen perakende satış fişlerinde 0,01 TL hizmet bedeli alındığına ilişkin olarak yapılan ihbarlar ve (iii) Kurum tarafından yapılan incelemeler sonucunda işbu sadakat kartına ilişkin  olarak internet sitesinde yayımlanan “…. Kart Üyelik ve Rıza Beyanı” başlıklı metinde, “Üye; Program kapsamında otomatik ve otomatik olmayan yollarla edinilen mevcut ve/veya yeni kişisel bilgiler, (Alışveriş bilgisi, isim, soy isim, rumuz, cep telefon numaraları, e-mail adresleri, doğum tarihi, yaşadığı şehir, cinsiyet, medeni durum, eğitim düzeyi, ilgi alanları, zevk ve beğenileri gibi), elektronik programlar nedeniyle ulaşılabilen lokasyon bilgiler yahut kişisel olmayan bilgiler” gibi genel nitelikli ifadeler  yer aldığına ilişkin tespitler değerlendirilmiştir.

Bu kapsamda Kurul Tarafından;

• Sadakat kartı programına üye olunması sırasında kişilerin açık rızalarına başvurulması, aksi takdirde söz konusu programdan yararlanılmaması hususunda, Şirket tarafından bir hizmet veya ürün sunulmasının açık rıza şartına bağlandığı iddiası ile ilgili olarak Kurumca yapılacak bir işlem bulunmadığına,
• KVKK’nın geçici 1. maddesinin 3. fıkrasında düzenlenen “Bu Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilir. Bu Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinir, yok edilir veya anonim hâle getirilir. Ancak bu Kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması hâlinde, bu Kanuna uygun kabul edilir” hükmü kapsamında; Şirket tarafından hukuka uygun olmayan bir şekilde elde edilen kişisel verilere hukuki meşruiyet kazandırılması için ilgili kişilerden açık rıza alınması şeklinde bir yola başvurulmadığı, aksine daha önce kişisel verilerin işlenmesine yönelik alınan rızalara ilişkin matbu formlardaki muhtelif eksiklik ya da tahrifatlar nedeniyle bu rızaların iki yıl içinde KVKK hükümlerine uyumlu hale getirilmesinin amaçlandığı dikkate alındığında ilgili geçici maddenin belirtilen fıkrası çerçevesinde Kurulca yapılacak bir işlem bulunmadığına,
• İnternet sitesinde yer alan aydınlatma metninde ucu açık ifadelere yer verilip sadakat kart programına üye olunması aşamasında elde edilen kişisel veriler ve bunların aktarıldığı taraflara dair hususlar başta olmak üzere, “Üyelik ve Rıza Metni” ile “Aydınlatma Metni” arasında tutarsızlıklar bulunduğuna, aynı zamanda elde edilen kişisel verilerin sosyal paylaşım siteleri ile paylaşılacağı hususunda kişilerin aydınlatılmasına rağmen yapılan güncelleme neticesinde “Üyelik ve Rıza Beyanı”nda bu ifadenin metinden çıkarılması ile birlikte söz konusu paylaşım için kişilerin açık rızalarının alınmadığı bir durumun oluşmasına sebebiyet verildiğine,
• Sadakat kart uygulamasının bir pazarlama programı olarak tasarlandığı dikkate alındığında, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler gibi özel nitelikli kişisel verilerin işlenmesinin, veri sorumlusunun faaliyetleri kapsamında amaçla bağlantılı, sınırlı ve ölçülü olmadığı değerlendirildiğinden, “Üyelik ve Rıza Beyanı” ile “Aydınlatma Metni” arasındaki tutarsızlıkların giderilmesi ve “Aydınlatma Metni”nin KVKK’nın temel ilkeleri ve Tebliğ hükümleri de dikkate alınmak suretiyle güncellenmesi gerektiği hususunda Şirketin talimatlandırılmasına,
• KVKK’nın 3. maddesinin (b) bendi uyarınca, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi olarak tanımlanan anonim hale getirme kapsamında ve anonim veriler -diğer bir ifade ile kişiler ile ilişkilendirilemeyecek veriler- üzerinden kişiye özel bir pazarlamanın gerçekleştirilemeyeceği göz önüne alındığında; Şirket uygulamasının KVKK’da yer alan anonimleştirme tanımı ile bağdaşmadığına ve bu nedenle anonimleştirmenin KVKK’ya uygun olarak gerçekleştirilmesi gerektiği yönünde Şirketin talimatlandırılmasına,
• Şirket tarafından düzenlenen perakende satış fişlerinde “Veri İzni Alma Uygulaması” altında 0,01 TL hizmet bedeli alındığı iddialarına ilişkin olarak Şirketten alınan savunmada;  müşterilere kasada alışveriş yaparken gerekli bilgiyi vermek ve müşterinin dilerse açık rızasını verebileceği üyelik linkini SMS gönderebilmek için alışveriş kasalarına bilgi teknolojileri sistemi kurulduğu, bir teknik problem nedeni ile bazı fişlerde bu sistemin çalışmadığı ve müşterilere sehven 0,01 TL tutarında bir bedel yansıdığı, bilgi teknolojileri hatası nedeni ile gerçekleşen bu olayda toplamda 91.502 fişte 910,52 TL’lik ücret alındığı ancak bu ödemelerin telafisi olarak müşterilerin kartına aynı tutarda indirim yüklendiği ve sistemsel bir hatadan kaynaklanan bu durumun derhal telafi edildiği hususları dikkate alındığında, konuya ilişkin KVKK kapsamında Kurumca yapılacak bir işlem bulunmadığına,

 karar verilmiştir.

Daha detaylı bilgi için Karar özetine buradan ulaşabilirsiniz.

İşbu yazı hakkında ek bilgi gerektiğinde bizlerle irtibata geçmenizi rica ederiz.

NAZALI HUKUK info@nazali.av.tr

Yukarıda yer verilen açıklamalarımız, hukuki görüş ve tavsiye niteliğinde olmayıp, konuya ilişkin genel bilgiler içermektedir; bu sebeple belirtilen konularda bir aksiyon almadan önce, bir uzmana danışmanızı tavsiye ederiz. NAZALI’ya işbu dokümanın içeriğinden kaynaklanan veya içeriğine ilişkin olarak ortaya çıkan sonuçlardan dolayı herhangi bir sorumluluk iddiasında bulunulamaz