Bağlantıları atla

Kişisel Verilerin Korunması Kurumu’nun Kasım 2019 Kararları

1) KURULUN 18/09/2019 TARİHLİ CEP TELEFONU NUMARASININ BANKA TARAFINDAN VERİLİŞ AMACI DIŞINDA KULLANILMASI HAKKINDA KARARI

Şikayetçi, bir banka çalışanının kendisini arayarak eşinin müdürü olduğu Şirket ile ilgili olarak eşine ulaşamadığını ve eşiyle iletişime geçebilmesi konusunda kendisine yardımcı olmasını talep ettiği, bunun üzerine Bankaya kendisiyle ilgili işlemlerde kullanılması için vermiş olduğu iletişim bilgilerine amacı dışında nasıl ve neden ulaşıldığı konusunda bilgi almak için Bankaya başvuru yaptığı ve Bankanın kendisine yazılı bir cevap vermediği iddiasıyla başvuruda bulunmuştur.

Bankanın Şikayetçinin e-posta adresine gönderdiği mesajda “… paylaşımınız hakkında detaylı bilgilendirme yapabilmek amacıyla iletişim numaranız üzerinden size ulaşmayı denedik ancak yanıt alamadık. İşleminiz ile ilgili detayları … Hizmet Hattı’nı arayarak öğrenebilirsiniz.” ifadelerine yer verilerek Şikayetçinin bilgilendirildiği görülmüştür.

Kararda;

– Banka tarafından, Şikayetçiye gönderilen eposta mesajında başvurusuna ilişkin detayları Banka Hizmet Hattını arayarak öğrenebileceğine dair bilgilendirme yoluna gidilmesinin, veri sorumlusunca Şikayetçiye başvurusunda talep ettiği hususları açıklayıcı nitelikte yazılı veya elektronik ortamda bir cevap olarak değerlendirilemeyeceği kanaatine ulaşılmış,
– Şikayetçinin müşterisi olduğu Bankaya kendisine ait iş ve işlemlerde ulaşılması adına vermiş olduğu telefon numarası bilgisinin, eşine ulaşılmasında yardımcı olunması adına işlenmesinin, 6698 Sayılı Kanunun 4. maddesinin 2. fıkrasının ( c ) ve ( ç ) bentlerinde yer alan kişisel verilerin işlenmesinde “belirli, açık ve meşru amaçlar için işlenme ve işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine uyulması zorunluluğuna aykırı olduğu, Bu çerçevede Kanunun 12. maddesinin 1. fıkrasının (a) bendi uyarınca veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığını göstermesi nedeniyle Banka hakkında Kanunun 18. maddesinin 1. fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına karar verilmiştir.

2) KURULUN 01/10/2019 TARİHLİ “SUNDUĞU SADAKAT PROGRAMINI KULLANAN İLGİLİ KİŞİNİN KULLANICI ADINI VE PAROLA BİLGİLERİNİ DEĞİŞTİRME TALEBİ KARŞISINDA ARKALI ÖNLÜ KİMLİK GÖRÜNTÜSÜ TALEP EDEN VERİ SORUMLUSU” KARARI

Havayolu taşımacılık şirketinin (veri sorumlusu) sunmuş olduğu sadakat programını kullanırken kullanıcı adı ve parola bilgilerini değiştirme talebiyle veri sorumlusuna başvuran ilgili kişiye, arkalı önlü kimlik görüntüsünü iletmesi halinde talebinin yerine getirileceği cevabının verilmesi, o sırada bilet bilgilerine erişmek için kimlik görüntüsünü elektronik olarak ileten, ancak daha sonra veri sorumlusuna başvurmak suretiyle kimlik görüntülerinin silinmesi ve kişisel verileri üçüncü kişilere aktarıldıysa, verilerin aktarılan üçüncü kişilerin kayıtlarından da silinmesi talebine cevaben kişisel verilerinin sistemlerinde tutulmadığı ve üçüncü kişilerle paylaşılmadığı yanıtını alan ilgili kişinin Kuruma yaptığı başvuru incelenmiştir.

– İlgili kişinin kimlik görüntüsünde yer alan bilgilerin “kan grubu” ve “din” bilgilerini de içermesi nedeniyle arkalı önlü kimlik görüntüsünde yer alan verilerin özel nitelikli kişisel veri niteliğinde olduğu, bu nedenle Kanunun 5. ve 6. maddelerinde düzenlenen hükümlerin birlikte dikkate alınması gerektiği, söz konusu verilerin özel nitelikli verileri de ihtiva etmesi nedeniyle ilgili kişinin açık rızası olmadan gerçekleştirilen veri işleme faaliyetinin hukuka aykırı bir işleme olduğu,
– Başvuruya konu olay Genel İlkeler bakımından değerlendirildiğinde;

a) Veri sorumlusunun kimlik görüntüsünün muhafaza edilmesine rağmen kayıt altına alınmadığı yönünde ilgili kişiye cevap vermesinden dolayı şeffaf olmadığı, bu nedenlerle de dürüstlük kuralına aykırı veri işleme faaliyetinde bulunduğu,
b) Veri sorumlusunun kimlik görüntülerini işlemesinde hangi hukuki işleme şartına dayandığı hususunun ilgili kişiye verilen cevapta ve Kuruma intikal eden yazıda belirtilmediği, bu nedenle veri sorumlusunun veri işleme faaliyetinin belirli, açık ve meşru amaçlar için işlenme ilkesine aykırı olduğu,
c) Kimlik doğrulama işlemi için daha az verinin işlenmesinin mümkün olduğundan hareketle veri sorumlusunun somut olayda işlediği kimlik görüntüsünün işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırı olduğu,
d) Veri sorumlusunun kimlik görüntüsünü işlediği gibi, kimlik doğrulama işlemi bittikten sonra bu verileri silmediği, Kurum tarafından bilgi ve belge talep edilmesi üzerine sildiğini beyan ettiği gerçeğinden yola çıkarak, veri sorumlusunun veri işleme faaliyetinin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkesine de aykırı olduğu,

– Kurumun bilgi ve belge talep etmesi üzerine veri sorumlusu tarafından yapılan incelemede ilgili kişi ile iletişim halinde olan çağrı merkezi ekibi tarafından ilgili kişinin ilk başvurusu işleme alınırken kimlik doğrulama sürecinin Şirket kurallarına uygun olarak yürütülmediği, kimlik görüntülerinin alınmasına dair şikayetin içeriğinin doğru tahlil edilemediği, ilgili kişinin, kimlik görüntülerinin kaydedilmediği ve üçüncü kişilerle paylaşılmadığı şeklinde hatalı bilgilendirildiği, ilgili kişinin iletmiş olduğu kimlik görüntülerinin şikayet modülü yazılım firmasının sunucuları üzerinde bulundurulduğu, kimlik görüntülerinin silinmediğinin tespit edildiği, bu nedenle veri sorumlusunun ilgili kişinin başvurusuna hukuka ve dürüstlük kuralına uygun bir yanıt vermediği,
– Veri sorumlusunun, Kanun kapsamındaki başvurusuna cevap verebilmek amacıyla ilgili kişinin kimliğinin teyidi noktasında ek bilgi istemesinin yerinde olduğu değerlendirilmekle birlikte, ilgili kişinin din ve kan grubu gibi özel nitelikli kişisel verilerini de içeren arkalı önlü kimlik görüntüsünün talep edilmesinin, Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde düzenlenen “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine uygun olmadığı gibi, Kanunun özel nitelikli kişisel verilerin işlenmesini düzenleyen 6. maddesine de uygun olmadığı, zira veri sorumlusunun da yapığı savunmada, somut olayda çağrı merkezi ekibi tarafından yazılı çalışma kurallarına aykırı şekilde kimlik belgesi talep edildiğini belirterek, olaya ilişkin ikrarda bulunduğu,
– Yukarıda açıklandığı üzere veri işleme faaliyetinin hukuka aykırı olduğu, bu çerçevede kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olan veri sorumlusunun veri güvenliğine ilişkin yükümlülüğüne aykırı davrandığı,

Tespit edilmiştir.

Yukarıdaki tespitlere dayanılarak, Kanunun 12 inci maddesinin (1) numaralı fıkrasında yer alan veri güvenliğine ilişkin yükümlülükleri yerine getirmediği değerlendirilen Veri Sorumlusu hakkında Kanunun 18 inci maddesinin 1 numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına karar verilmiştir.

3) KURULUN 01/10/2019 TARİHLİ “OPERATÖR ŞİRKETİNİN, İLGİLİ KİŞİNİN İNTERNET SİTESİ ÜZERİNDEN YAPTIĞI BAŞVURUSUNU KİMLİK TEYİDİ YAPAMADIĞI GEREKÇESİYLE REDDETMESİ”NE İLİŞKİN KARARI

İlgili kişinin bireysel olarak hizmet aldığı Operatör Şirketine (Şirket) internet sitesi üzerinden yapmış olduğu başvurusunun, Şirketin internet sitesinde bulunan KVKK başvuru formunun doldurularak noter aracılığıyla veya elektronik imzalı e-posta ile iletilmediğinden bahisle kimlik teyidi yapılamadığı gerekçesiyle reddedilmesi sonucu Kurula ilettiği şikayet başvurusu incelenmiştir.

Şirketin internet sitesinde yer alan Gizlilik Politikasında ilgili kişi tarafından Şirkete yapılacak başvurunun KVKK talep formunun doldurularak Şirket adresine “noter kanalı vb. yollarla” gönderilmesi gerektiği doğrultusunda bilgilendirme mahiyetinde açıklamada bulunulduğu ve söz konusu formun Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e (Tebliğ) uygun bir formatta sunulduğu, Şirketin yapılacak başvurularda belirtilen şekilde başvuruyu aramasının nedeni olarak kişilerin kimlik tespitinin amaçlandığı, Şirket tarafından başvuran kişi ile bilgisi talep edilenin aynı kişi olup olmadığı hususunda Tebliğ’de belirtilen yöntemlere ek bir kontrol mekanizması daha oluşturulduğu, ilgili kişinin başvurusunun Şirket tarafından belirtilen yöntem üzerinden değil Şirketin müşteri hizmetlerine elektronik ortamda yapıldığı, ilgili kişinin başvurusunu ilettiği formda ise Şirketin başvuru amacına yönelik oluşturduğu KVKK talep formunun aksine kimlik teyidini sağlayacak TC kimlik numarası, adres gibi bilgilerin istenmediği, yalnızca ad soyad, telefon, e-posta adresi gibi bilgilerin zorunlu olarak yer aldığı ve bu sebeplerle bahsi geçen şikayet başvurusunun Tebliğ’e uygun olmadığı anlaşılmıştır.

6698 sayılı Kanun’un “Veri Sorumlusuna Başvuru” başlıklı 13. maddesinin (1) numaralı fıkrası dikkate alınarak; Şirketçe kimlik teyidi sağlamak amacıyla yalnızca noter kanalı veyahut e-imza ile başvuruda bulunabileceğinin bildirilmesi sonucu Kanun’da ya da Tebliğ’de öngörülmeyen maddi bir külfet getirilmesinin ve ilgili kişinin bu şekilde yanlış yönlendirilmesi suretiyle söz konusu KVKK talep formunu doldurarak usule uygun bir başvuru yapma hakkının engellenmesinin Tebliğ’in 6’ncı maddesinde sayılan hukuka uygunluk ve dürüstlük kuralı ile bağdaşmayacağı belirtilmiştir.

4) KURULUN 18/09/2019 TARİHLİ “KİŞİSEL VERİ İŞLEME ŞARTLARI OLMAKSIZIN İLGİLİ KİŞİNİN CEP TELEFONUNA REKLAM AMAÇLI KISA MESAJ GÖNDERİLMESİ” HAKKINDA KARARI

– 6698 sayılı Kişisel Verilerin Korunması Kanununun “Tanımlar” başlıklı 3 üncü maddesinde; kişisel verilerin işlenmesi, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı,
– Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5. maddesinin (1) numaralı fıkrasında sayılan şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
– Sevinç Eğitim Kurumları nezdinde yapılan yerinde inceleme esnasında istenilen ve 05.08.2019 tarihine kadar Kuruma gönderilmesi tebliğ edilen bilgi ve belgelerin eğitim kurumu tarafından Kuruma iletilmediği de dikkate alındığında,

Şikayetçinin açık rızası veya Kanunun 5 inci maddesinin (2) numaralı fıkrasında sayılan diğer işleme şartları olmaksızın cep telefonuna reklam amaçlı mesaj gönderilmesi suretiyle kişisel verilerinin işlenmesi nedeniyle anılan eğitim kurumunun Kanunun 12. maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılması sebebiyle, Sevinç Eğitim Kurumları hakkında Kanunun 18. maddesinin (1) numaralı fıkrasının (b) bendi hükmü gereğince 50.000 TL idari para cezası uygulanmasına karar verilmiştir.

5) KİŞİSEL VERİLERİ KORUMA KURULUNUN HUKUKA AYKIRI OLARAK ELDE EDİLEN VERİLER ÜZERİNDEN VATANDAŞLARIN KİMLİK VE İLETİŞİM BİLGİLERİ GİBİ KİŞİSEL VERİLERİNİN SORGULANMASINA İMKAN TANIYAN YAZILIM / PROGRAM / UYGULAMALARA YÖNELİK 18/10/2019 TARİHLİ İLKE KARARI

Kişisel Verileri Koruma Kurumuna intikal eden ihbarlar kapsamında avukatlar/hukuk büroları ile finans, gayrimenkul danışmanlık, sigorta vb. sektörlerde faaliyet gösteren bazı kişi ve kuruluşlar tarafından muhtelif yollarla elde edilen veriler üzerinden vatandaşların kimlik ve iletişim bilgileri gibi kişisel verilerinin sorgulanmasına imkân tanıyan yazılım / program / uygulamaların kullanılmakta olduğu tespit edilmiştir. Yapılan değerlendirme sonucunda bu durumun, 6698 sayılı Kişisel Verilerin Korunması Kanununun veri sorumlularının veri güvenliğine ilişkin yükümlülüklerini düzenleyen 12. maddesi hükümlerine aykırılık oluşturduğu dikkate alınarak, yaşanabilecek veri güvenliği ihlallerinin önüne geçilmesini teminen;

-Bu mahiyetteki yazılımları / programları / uygulamaları kullandığı tespit edilenler hakkında Türk Ceza Kanunu kapsamında gerekli adli işlemlerin tesisi için konunun, 5271 sayılı Ceza Muhakemesi Kanununun 158. maddesi hükmü uyarınca ihbaren ilgili Cumhuriyet Başsavcılıklarına bildirileceğine,
-Kişisel Verileri Koruma Kurulunun görev alanına giren yönüyle de veri sorumluları hakkında 6698 sayılı Kişisel Verilerin Korunması Kanununun 18. maddesi hükmü çerçevesinde idari işlem tesis edileceği hususlarında kamuoyunun bilgilendirilmesine oybirliği ile karar verilmiştir.

Bu web sitesi, web deneyiminizi geliştirmek için çerezleri kullanır. Size en iyi web deneyimini sağlamak için çerezleri kullanıyoruz. Gizlilik politikasını buradan okuyabilirsiniz.