KİŞİSEL VERİLERİ KORUMA KURULU TARAFINDAN YENİ KARARLAR YAYIMLANDI

19.07.2019

Kişisel Verileri Koruma Kurulu’na (“Kurul”) yapılan başvurulara ilişkin olarak Kurul tarafından, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında alınan beş adet karar Kurul’un internet sitesinde özet halinde yayımlanmıştır.

 

1. Kurumsal E-posta Hizmetinin, Google Firmasına Ait G-mail Üzerinden Yine Aynı Uzantıya Sahip Olarak Kullanılıp Kullanılmayacağına Dair Karar

Veri sorumlusunun ücretsiz bir kurumsal e-posta hizmeti sunan Zimbra aracılığıyla oluşturduğu kurumsal e-posta adreslerinin, Google şirketine ait olan G-mail üzerinden yine aynı uzantıya sahip olarak kullanılıp kullanılmayacağına ilişkin Kurul’un görüşlerini talep eden yazının incelenmesi sonucunda, Kurul tarafından 31.05.2019 tarihli 2019/157 sayılı Karar hükmedilmiştir.

Bilindiği üzere KVKK’nın 9. maddesinin 1.fıkrası doğrultusunda kişisel verilerin ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağına hükmedilmiştir. Aynı maddenin 2.fıkrasında ise KVKK’nın 5. maddesinde bulunan ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlendiği şartlarından ve 6. maddede bulunan özel nitelikli kişisel verilerin ilgili kişinin açık rızası aranmaksızın işleneceği şartlarından birinin varlığının bulunması halinde yurtdışına kişisel veri aktarımına ilişkin hususlar düzenlenmiştir. Bu kapsamda kişisel verilerin aktarılacağı yabancı ülkede; (i) yeterli korumanın bulunması, (ii) yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul’un izninin bulunması kaydıyla kişisel verilerin ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabileceği öngörülmüştür.

KVKK’nın yukarıda açıklanan maddesi kapsamında, Kurul tarafından yapılan değerlendirmeler sonucunda:

• Google firmasına ait G-mail e-posta hizmetinin altyapısının kullanılması durumunda gönderilen ve alınan e-postaların dünyanın çeşitli yerlerinde bulunan veri merkezlerinde tutulması sonucunda kişisel verilerin yurt dışına aktarılmış olacağı söz konusu olacağından KVKK’nın yukarıda belirtilen 9. maddesi hükümlerine uygun olarak gerçekleştirilmesine,
• Server’ları yurt dışında bulunan veri sorumlularından ya da veri işleyenlerden temin edilen saklama hizmetlerinin de KVKK’nın 9. maddesinin hükümlerine uygun olarak gerçekleştirilmesine,

karar verilmiştir.

Daha detaylı bilgiye buradan ulaşabilirsiniz.

 

2. Varlık Yönetim Şirketinin İlgili Kişiye Aynı Konu Hakkında Birden Fazla Mesaj Gönderimine İlişkin Karar

İlgili kişiye ait telefon numarasına açık rızası olmaksızın bir varlık yönetim şirketi tarafından kısa mesajların (“SMS”) gelmesi, gelen SMS’lerde ret bildirimin bulunmaması ve ilgili kişinin kişisel verilerinin Şirket tarafından nereden ve nasıl temin edildiğini bilmemesi neticesinde ilgili kişi tarafından KVKK kapsamında Şirket’e başvurulmuş ancak herhangi bir cevap alınamamıştır. Bu kapsamda ilgili kişi tarafından Kurul’a şikayette bulunulmuş ve işbu şikayetin Kurul tarafından incelenmesi sonucunda 31.05.2019 tarihli 2019/159 sayılı Karar’a hükmedilmiştir.

Kurul tarafından yapılan incelemeler sonucunda:

• Şikayetçinin yapmış olduğu bilgi talebi başvurusuna veri sorumlusu Şirket tarafından KVKK kapsamında 30 günlük yasal süre içerisinde cevap verildiği, işbu cevabi yazının Şikayetçi tarafından teslim alındığının Şirket tarafından “Gönderi Takip” ile tevsik edildiği ve Şikayetçinin bilgi talebinde bulunduğu tüm hususlara cevap verildiği dikkate alınarak veri sorumlusu Şirket hakkında yapılacak bir işlem olmadığına,
• 5411 sayılı Bankacılık Kanunu ve 6098 sayılı Türk Borçlar Kanunu (“TBK”) hükümleri çerçevesinde, Şikayetçinin geri ödemesi gerçekleştirilmeyen tahsili gecikmiş alacaklarının ilgili bankalar ile veri sorumlusu arasında akdedilmiş bulunan sözleşmeler kapsamında veri sorumlusu Şirket tarafından devir ve temlik alındığı,  Şikayetçinin kişisel verisi olan şahsi telefon numarası verisinin veri sorumlusunun Şikayetçinin ilgili bankalardan kullanmış olduğu kredi borçlarının yeni alacaklısı olması ve bu kapsamda TBK’nın 186. maddesinin hükümleri çerçevesinde borçlunun önceki alacaklılara karşı borcunu ifa etmesinin engellenmesi ve taraflarınca Şikayetçiye sağlanacak kolaylıklar ile borcunun ödenmemesi durumunda Şikayetçinin maruz kalabileceği hukuki risklerin bildirilmesi amacıyla işlenmiş olmaksızın gerçekleşebilir olması nedenleriyle veri sorumlusu Şirket tarafından yapılacak bir işlem bulunmadığına,
• KVKK’nın 4. maddesinin 2. fıkrasının (a) bendi kapsamında kişisel verilerin işlenmesinin hukuka ve dürüstlük kurallarına uygun olma ilkesi ile 12. maddesinin 1.fıkrasının (a) bendinde belirtilen veri sorumlusunun; (i) kişisel verilerin  hukuka aykırı olarak işlenmesini önlemek, (ii) kişisel verilere hukuka aykırı olarak işlenmesini önlemek, (iii) kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri  alma zorunluluğu göz önünde bulundurularak; Şirket tarafından ilgili kişinin telefon numarasına aynı içerikteki mesajların farklı tarihlerde birden fazla gönderilmesinin veri sorumlusunun sahip olduğu hakkı kötüye kullanımı olarak değerlendirilmesi sonucunda KVKK’nın 18.maddesinin  1.fıkrasının (b) bendi kapsamında 20.000-TL idari para cezasına

karar verilmiştir.

Daha detaylı bilgiye buradan ulaşabilirsiniz.

 

3- İlgili Kişiye Ait Telefon Numarasına Kendisine Ait Olmayan İçeriğin Gönderilmesine İlişkin Karar

İlgili kişi tarafından kendi telefon numarasına içeriği kendisine ait olmayan bir kısa mesaj gönderilmesi akabinde, ilgili kişi tarafından veri sorumlusuna yapılan başvuruya cevaben, veri sorumlusu tarafından bu kısa mesajın başka bir aboneye gönderim yapılacakken telefon numarasındaki bir rakamın personel hatası nedeniyle yanlış yazılması sonucu gönderildiğine ilişkin açıklamada bulunulmuştur. Bu cevap akabinde, ilgili kişi tarafından, kendisine gelen kısa mesajdaki içeriğin yeğenine ait olduğu ve veri sorumlusunun açıklamasının aksine, bir rakamının karıştırılması nedeniyle bu iki telefon numarası arasında yanlışlık yaşanmasının mümkün olmadığı yönünde Kurul’a başvuruda bulunulmuştur. İşbu başvurunun Kurul tarafından incelenmesi sonucunda 31.05.2019 tarihli 2019/166 sayılı Karar’a hükmedilmiştir.

Kurul tarafından yapılan incelemede:

• Bir şirketler grubuna borçlu olduğu belirtilen ve şikayetçinin yeğeni olduğu anlaşılan kişinin ad, soyad ve hizmet numarasının şikayetçiye ait hatta gönderilmesi fiili ile şikayetçiye ait telefon numarasının, KVKK kapsamında düzenlenen kişisel veri işleme şartlarından herhangi birine dayanmadan işlenmesi şeklindeki tek bir harekete bağlı iki farklı veri işleme faaliyeti olduğu sonucuna varılmıştır.
• Bu doğrultuda KVKK’nın 12. maddesinin 1. fıkrasının (a) bendinde düzenlenen “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğünü yerine getirmediği anlaşılan veri sorumlusu avukat hakkında, KVKK’nın 18. maddesinin 1. fıkrasının (b) bendi kapsamında 50.000 TL idari para cezası uygulanmasına karar verilmiştir.

Daha detaylı bilgiye buradan ulaşabilirsiniz.

 

4- Veri Sorumlusu anonim şirketin ilgili kişinin açık rızası olmaksızın elektronik ticari ileti göndermesine ilişkin karar

Veri sorumlusu anonim şirket tarafından şikâyetçiye ait telefon numarasına reklam amaçlı gönderilen kısa mesaj üzerine, ilgili kişi kişisel verilerinin nasıl ve nereden temin edildiğini bilmemesi ve buna ilişkin olarak da kişisel verilerinin açık rızası olmaksızın kullanılması dolayısıyla veri sorumlusuna başvuruda bulunmuş ancak yasal süre içerisinde tarafına herhangi bir cevap verilmemiştir. KVKK kapsamında veri sorumlusuna yaptığı başvuruya yasal süresi içerisinde cevap verilmemesi neticesinde ilgili kişi tarafından Kurul’a (i) veri sorumlusu nezdinde kendisine reklam/bildirim içerikli kısa mesaj gönderimi konusunda herhangi bir açık rızasının olup olmadığı, (ii) kişisel verilerinin işlenip işlenmediği, işlenmişse ne amaçla işlendiği, (iii) kişisel verilerinin yurt içinde kimlere aktarıldığı, (iv) kişisel verilerinin yurt dışına aktarılıp aktarılmadığı, aktarılmış ise kimlere aktarıldığı, (v) gelen kısa mesajlardan anonim şirketin haberdar olup olmadığı hususlarında bilgi almak istediği yönünde başvuruda bulunulmuştur. İşbu başvurunun Kurul tarafından incelenmesi sonucunda 31.05.2019 tarihli 2019/162 sayılı Karar’a hükmedilmiştir.

Kurul tarafından yapılan incelemede şikâyetçinin kişisel verisi olan cep telefonu numarası bilgisinin veri sorumlusu anonim şirket tarafından kendisine reklam içerikli mesaj gönderilmesi suretiyle kullanılmasının;

• Kişisel verilerin korunması mevzuatı açısından bir veri işleme faaliyeti olduğu, veri işlemenin ise KVKK’nın 5. ve 6. maddelerinde yer alan işleme şartlarından birine dayanması gerektiği, ancak şikayet konusu mesaj gönderiminin herhangi bir işleme şartına dayanmadığı değerlendirilmiştir.
• Bu doğrultuda kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı için veri sorumlusu hakkında, KVKK’nın 12. maddesinin 1. fıkrasının (a) bendinde aykırı davranmış olması nedeniyle KVKK’nın 18. maddesinin 1. fıkrasının (b) bendi uyarınca 50.000 TL idari para cezası uygulanmasına karar verilmiştir.

Daha detaylı bilgiye buradan ulaşabilirsiniz.

5- Spor Salonu Hizmeti Sunan Veri Sorumlularının, Üyelerinin Giriş-Çıkış Kontrolünü   Biyometrik Veri İşleyişi Yapmasına İlişkin Karar

Spor salonları giriş ve çıkışlarında el-avuç okutma sisteminin kullanılması ve kaydı tutulan üyelere ait fotoğraf, ziyaret saati gibi bilgilerin herkesin görebileceği konumdaki bir televizyon ekranına yansıtılması üzerine, işbu verilerin kanuna uygun bir şekilde işlendiği ve/veya depo edildiği yönündeki şüpheler üzerine ilgili kişiler tarafından Kurul’a şikayette bulunulmuştur.

Kurul tarafından yapılan değerlendirmede;

• KVKK’nın 6. maddesinin 1. fıkrası doğrultusunda kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verileri özel nitelikli kişisel veriler olarak belirtilmiştir. Özel nitelikli kişisel veriler arasında sayılan biyometrik verilerin KVKK kapsamında özel bir tanımlaması olmamasına karşın, Avrupa Veri Koruma Genel Tüzük’ü (“GDPR”) kapsamında 4. maddenin 14. fıkrası doğrultusunda biyometrik verinin yüz görüntüleri ve daktiloskopik veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik ve davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel veriler olarak tanımlandığı, GDPR’ın Recital bölümünün 51. maddesinde biyometrik verilerle ilgili açıklamalara yer verilerek fotoğrafın işlenmesinin doğrudan biyometrik veri olarak nitelendirilemeyeceği sadece gerçek bir kişinin tanımlanmasına veya doğrulanmasına izin veren belirli bir teknik yöntemle işlendiğinde bu verilerin biyometrik verilerin tanımı kapsamında kabul edileceği açıklamalarına yer verilerek bir verinin biyometrik veri kapsamında değerlendirilebilmesi için o verinin sadece o kişiyi tanımlayabilme ya da doğrulayabilme özelliğine sahip olmasının kriter alındığının değerlendirildiği ve Danıştay 15. Dairesi’nin 2014/4562 esas sayılı Kararı kapsamında biyometrik yöntemlerin, ölçülebilir fizyolojik ve bireysel özellikleri aracılığıyla gerçekleştirilen ve otomatik şekilde doğrulanabilen kimlik denetleme tekniklerini ifade ettiği belirtilerek, bu yöntemler arasında parmak izi tanıma, avuç içi tarama, el geometrisi tanıma, iris tanıma, yüz tanıma, retina tanıma ve DNA tanıma gibi yöntemlerinin bulunduğunun ifade edildiği  hususları göz önünde bulundurularak spor tesisine giriş esnasında el ve parmak izinin taranarak kişilerin kimlik bilgisinin doğrulanması hususunda ilgili veri sorumlusunun özel nitelikteki kişisel veri niteliğindeki biyometrik veri işleme faaliyetinde bulunduğunun değerlendirildiği,
• KVKK’nın 4. maddesinin 2. fıkrası kapsamında kişisel verilerin işlenmesinde; (i) hukuka ve dürüstlük kurallarına uygun olma, (ii) doğru ve gerektiğinde güncel olma, (iii) belirli, açık ve meşru amaçlar için işlenme, (iv) işlendikleri amaç için bağlantılı ve ölçülü olma, (v) ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uyulması zorunluluğu düzenlenmiştir. Bu ilkelerden, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesinin işlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olması, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını gerektirdiği, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik olarak veri işlenmesi yoluna gidilmemesi gerektiği, ölçülülük ilkesi kapsamında veri işleme faaliyeti ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması ve bu kapsamda kişisel veri işleme faaliyetinin gerçekleşmesi için gerekli olmayan kişisel verilerin toplanmaması ve/veya işlenmemesi gerektiği, veri sorumlusunun amacı çerçevesinde ölçülülük ilkesine uygun olarak ilgili kişiden minimum düzeyde bilgi talep etmesi ve bunun haricindeki amaçlar için gerekli olmayan kişisel verilerin toplanmaması ve/veya işlenmemesi gerektiği, kişisel verilerin işlenmesinin ilgili kişinin iznine bağlı olarak gerçekleştirilse ve belirli bir amaca bağlı olsa bile açık rızanın aşırı miktarda veri toplanmasını meşrulaştırmayacağını ve bu kapsamda kişisel verilerin yalnızca belirli amaçlar için ve gerektiği kadar toplanması, amacın gerektirdiği yerlerde kullanılması ve gerekli olandan uzun süre tutulmaması gerektiği; Danıştay’ın 2017/816 esas sayılı kararında, davalı olan idarenin toptancı hali biriminde görev yapan personelin mesai takibinin sağlanması amacıyla başlatıldığı yüz tarama sistemi uygulamasına son verilmesi talebinin ilgili İdare Mahkemesinde reddedilmesi işleminin iptali sebebiyle açılan davada, davalı idarenin tüm birimlerinin mesai takibinde anılan yöntemin kullanılmadığı, uygulamanın gerçekleştirildiği birimin konumu ve vardiyalı çalışma sistemi sebebiyle personelin kontrol ve denetiminde güçlük yaşanması karşısında bahse konu uygulamaya geçildiği, yüz tanıma sisteminde personelin yüz görüntüsünün sayısal kodlara çevrilerek karşılaştırma yapmak suretiyle çalıştığı göz önünde bulundurulduğunda yapılan uygulamanın veri kaydetme olarak nitelendirilmeyeceği gerekçesiyle hukuka aykırı bulunmadığı sonucuna varılan davaya konu işlemin iptali istemiyle açılan davanın İdare Mahkemesince reddi yönündeki kararı hukuka aykırı bulunduğu; Danıştay’ın 2014/2242 esas sayılı ve 2014/4562 esas sayılı Kararları’nda da parmak izi ya da yüz tarama sistemi gibi biyometrik yöntemlerin kamusal alan dahi olsa olsa özel hayatın gizliliği ilkesi kapsamında bulunduğu ve toplanan verilerin ileride başka bir şekilde kullanılmayacağına dair bir güvencenin mevcut olmadığı göz önünde tutularak hukuka uygun olmayan bir işlem olarak değerlendirildiği; Avrupa İnsan Hakları Mahkemesinin 4 Aralık 2008 tarihli S. Ve Marper/Birleşik Krallık Kararı’nda kişilere ait parmak izi, hücre örneği ve DNA profillerinin saklanmasının, başvurucuların özel yaşamının gizliliği hakkına yönelik orantısız, aşırı bir müdahale olduğu ve demokratik bir toplumda gerekli bir müdahale olarak kabul edilemeyeceğini vurgulayarak uygulamanın Avrupa İnsan Hakları Sözleşmesinin 8.maddeini ihlal ettiğine hükmettiği ve son olarak Article 29 Working Party tarafından hazırlanan WP193 sayılı “Opinion 3/2012 on Developments in Biometric Technologies” başlıklı dökümanda yer alan emsalde bir fitness kulübüne ya da spor salonuna sadece üyelerin girişini ve ilgili hizmetlere erişimini sağlamak için tüm müşterilerin ve personelin parmak izinin depolanarak işlenmesi, kulübe erişimi kolaylaştırma ve abonelikleri yönetme ihtiyacı ile orantısız olarak değerlendirildiği ve böyle bir uygulama yerine basit bir kontrol listesi ya da RFID etiketlerinin kullanımı ya da biyometrik verilerin işlenmesini gerektirmeyen bir manyetik bantlı kart gibi farklı önlemler kullanılarak da aynı ihtiyaçların karşılanabileceği ifadelerine yer verildiği Kurul tarafından göz önünde bulundurulduğunda spor salonuna girişte veri sorumluları tarafından uygulanan “el ve parmak izi taraması” sisteminin, hizmetten faydalanmak için zorunlu ve tek yol olarak üyelere sunulmasının kişisel verilerinin işlenmesinde ölçülülük ilkesi kapsamında ilgili kişilerden minimum düzeyde veri talep etme ilkesine uyumlu olarak değerlendirilmediği,
• KVKK’nın 6. maddesinin 1. fıkrası doğrultusunda kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verileri özel nitelikli kişisel veriler olarak belirtilmiştir. Aynı maddenin 2. fıkrası kapsamında özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğu, 3.fıkrasında ise birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel verilerin kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebildiği ve sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbii teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilin açık rızası aranmaksızın işlenebildiği hükümlerine yer verildiği göz önünde bulundurularak spor kulüplerinde giriş çıkış kontrolünün sağlanması hususunda özel nitelikli kişisel verilerin işlenmesinin kanunlarda açıkça öngörülmediği dikkate alındığında veri sorumluları tarafından avuç izinin işlenmesi için ilgili kişilerin açık rızalarının alınması yoluna gidildiğinin anlaşıldığı; KVKK’nın 3. maddesinin 1. fıkrasının (a) bendinde açık rızanın belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza şeklinde tanımlandığı ve bu doğrultuda veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması gerektiği; kişinin özgür bir şekilde rıza gösterebilmesi için neye rıza gösterdiğini bilmesinin zorunlu olduğu, kişinin aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olması gerektiği; işbu sebeple bilgilendirmenin veri işleme ile ilgili tüm konularda açık ve anlaşılır bir biçimde gerçekleştirilmesi ve bu işlemin mutlaka verinin işlemesinden de önce yapılması gerektiği, açık rızanın geçerlilik kazanabilmesi için kişinin yaptığı davranışın bilincinde ve kendi kararı olması gerektiği aksi durumda kişinin iradesini sakatlayacak cebir, tehdit, hata ve hile gibi hallerde açık rıza da sakatlanacağından kişinin özgür biçimde karar vermesinden söz edilemeyeceği ve bu kapsamda herhangi bir ürün ve/veya hizmetin sunumunun açık rıza ön şartına bağlanmaması gerektiği ve eğer yapılan seçimin sonuçları kişisel veri sahibinin seçim özgürlüğünü etkisi altında bırakıyorsa rızanın özgürce verildiğini söylemenin mümkün olmadığı,

göz önünde bulundurulduğunda, işbu somut olayda, üyelere sunulan online üyelik sözleşmesinde, özel nitelikli kişisel veri niteliğinde olan avuç içi izinin alınmasına onay verilmesi sözleşmenin kurulması için zorunlu bir şart olarak değerlendirildiğinden ve kurala uyulmadığı takdirde firmaya fesih hakkı tanınmış olduğu hususları birlikte değerlendirildiğinde üyeler tarafından verilen açık rızaların özgür iradeye dayalı olmadığı ve bu doğrultuda veri sorumlusu tarafından hizmetin sunulmasının açık rıza şartına bağlandığı değerlendirilmiştir.

Bu kapsamda Kurul tarafından veri sorumluları hakkında;

• İlgili somut olayın KVKK’nın 4. maddesinin 2. fıkrası kapsamında yer alan işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi ile bağdaşmadığı, özel nitelikli kişisel verilerin ancak yukarıda bahsedilen KVKK’nın 6. maddesinin 3. fıkrasında sayılan şartlar çerçevesinde işlenebileceği bu doğrultuda veri sorumlusu tarafından avuç içi izi verisinin işlenmesi için kişilerden açık rızalarının alınması yoluna gidilmesine karşın açık rıza verilmemesi durumunda kulüp hizmetlerinden yararlanamadıkları dikkate alındığında işbu üyelerden alınan açık rızanın KVKK’nın 12. maddesinin 1. fıkrasının (a) bendinde yer alan veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerinin alınmasının zorunlu olduğu hükmüne aykırılık teşkil etmesi sebebiyle KVKK’nın 18. maddesinin 1. fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına,
• KVKK’nın 21/12/2017 tarih ve 2017/62 sayılı “Banko, Gişe, Masa Gibi Hizmet Alanlarında Kişisel Verilerin Korunması”’na ilişkin Kararı kapsamında üyelere ait kişisel bilgilerin üçüncü kişiler tarafından görülmesini önleyecek gerekli teknik ve idari tedbirleri almadığı kanaatine varılan veri sorumlusu hakkında KVKK’nın 18.maddesinin 1.fıkrasının (c) bendi kapsamında idari para cezası uygulanmasına,
• Spor Kulübünde giriş çıkış kontrolünün ve kulüp içerisindeki güvenliğin temini noktasında kulüp hizmetlerinden faydalanmak isteyen kişilere ilişkin giriş kontrollerinin biyometrik verileri işlemenin haricinde alternatif yollar ile sağlanması, biyometrik veri ile giriş çıkış işlemleri yapılmasının ve biyometrik veri işleminin ivedilikle durdurulması hususunda veri sorumlularının talimatlandırılmasına,
• Veri sorumluları tarafından bugüne kadar işlenen ve muhafaza edilen el, parmak ve avuç izi ile ilgili verilerin KVKK’nın 7. maddesinin 1. fıkrası kapsamında işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinmesi, yok edilmesi veya anonim hale getirilmesi gerektiğinin belirtildiği ve aynı şekilde Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun olarak ilgili verilerin ivedilikle yok edilmesi gerektiği ve eğer ilgili özel nitelikli verilerin üçüncü kişilere aktarılması söz konusu ise, yok etmeye yönelik işlemlerin bu verilerin aktarıldığı üçüncü kişilere ivedilikle bildirilmesinin sağlanması hususunda veri sorumlularının talimatlandırılması gerektiğine,

karar verilmiştir

Daha detaylı bilgiye buradan ulaşabilirsiniz.

İşbu yazı hakkında ek bilgi gerektiğinde bizlerle irtibata geçmenizi rica ederiz.

NAZALI HUKUK info@nazali.av.tr

Yukarıda yer verilen açıklamalarımız, hukuki görüş ve tavsiye niteliğinde olmayıp, konuya ilişkin genel bilgiler içermektedir; bu sebeple belirtilen konularda bir aksiyon almadan önce, bir uzmana danışmanızı tavsiye ederiz. NAZALI’ya işbu dokümanın içeriğinden kaynaklanan veya içeriğine ilişkin olarak ortaya çıkan sonuçlardan dolayı herhangi bir sorumluluk iddiasında bulunulamaz