Kişisel Verilerin Korunması Kanunu
(“Kanun”) 7 Nisan 2016 tarih ve 29677 sayılı Resmî Gazetede yayımlanarak
yürürlüğe girmiştir. Kanun ile kişisel verilerin işlenmesinde uyulması gerekli
usul ve esaslara ilişkin olarak veri sorumlularına birtakım yükümlülükler
getirilmiş, “Kanun”da öngörülen yükümlülüklere aykırı davranılması halinde
uygulanacak idari yaptırımlar ise Kanun’un 18. maddesinde düzenlenmiştir.
Kişisel verilerin işlenmesinde başta
özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini
güvenceye almak, kişisel verileri işleyen kişilerin yükümlülüklerini ve
uyacakları usul ve esasları vurgulamak amacıyla Kişisel Verileri Koruma Kurumu
(“Kurum”) kararlarını uygulamacılar ile de paylaşmıştır. “Kurum”un son yıllarda
paylaştığı yaptırım kararlarına aşağıda yer verilmiştir.
1. Açık Rızanın Özgür İrade ile
Verilmesi
Açık rıza, Kişisel Verilerin Korunması
Kanunu (“Kanun”) 5. ve 6. maddelerinde bahsedildiği üzere hem genel nitelikli
kişisel verilerin hem de özel nitelikli kişisel verilerin işlenmesinde veri
işleme faaliyetini hukuka uygun hale getiren nedenlerden biridir. Açık rıza
beyanının en önemli unsurlarından biri de rızanın ilgili kişinin özgür
iradesinin ürünü olmasıdır. Rızanın özgür irade ile açıklanmış olması için
kişinin yaptığı davranışın bilincinde ve hiçbir etki altında kalmadan irade
beyanını açıklamış olması gerekir. [1]
Açık rızanın özgür irade ile
verildiğinden bahsedebilmek için, kişiye kişisel verilerinin işlenmesine rıza
gösterip göstermeme konusunda gerçekten bir tercih imkanı verilmesi
gerekmektedir. İlgili kişi rıza gösterirken üzerinde baskı hissetmemeli ve rıza
göstermeye mecbur bırakılmamalıdır.
Kişisel
Verileri Koruma Kurulunun 02/05/2023 tarihli ve 2023/692 sayılı kararında;
Veri sorumlusu sağlık kuruluşuna ait
internet sitesi üzerinde randevu almak üzere form sayfasında ilgili kişilere
ait kişisel bilgiler talep edilmekle birlikte, aynı sayfanın altında “… Sağlık
Grubu hizmetleri ve duyurularından haberdar olmak için kişisel bilgilerimin
kullanılmasına ve benimle iletişime geçilmesine izin veriyorum” ibaresinin yer
aldığı, bu hususta ilgili kişilerin onay beyanı alınmadıkça “ileri” butonunun
çalışmadığı dolayısıyla randevu işleminin tamamlanamadığı ve bu suretle veri
sorumlusu tarafından hizmetin açık rıza şartına bağlanmış olduğu görülmüştür.
Konuya ilişkin olarak yapılan inceleme
neticesinde;
İhbarın gerçekleştiği tarih itibariyle
randevu kayıt sayfasında veri sorumlusunun tanıtım faaliyetleri kapsamında
kişisel veri işleme faaliyetine açık rıza verilmeksizin randevu işleminin
tamamlanamamasının açık rızanın unsurlarından “özgür irade ile verilme”
unsurunu sakatladığı, bu durumun Kanun’un 4’üncü maddesinde yer alan hukuka ve
dürüstlük kurallarına uygun olma ilkesine aykırılık teşkil etmiştir. [2]
2. İşlenen Verilerin Doğru ve
Gerektiğinde Güncel Olması
Kişisel verilerin doğru olması bireyin
temel hak ve özgürlüklerinin, ekonomik menfaatinin ve manevi bütünlüğünün
korunmasını sağlar. “Verinin yanlış tutulması veya güncel olmaması, ilgili
kişinin sosyal imajını etkileyip, başkalarının onunla ilgili yanlış bir
izlenime sahip olmasına, bu izlenime dayalı olarak başkalarının ilgili kişi ile
ilgili bir karar almasına yol açabileceğinden, oldukça önemlidir.” [3]
Veri sorumlusunun veriyi güncel ve
doğru tutması yükümlülüğü, onun sürekli olarak ilgili kişinin durumunu
araştırmasını gerektirmese de bu noktada veri sorumlusu aktif özen
yükümlülüğüne sahiptir. Özellikle veri sorumlusu işlediği verilere dayalı
olarak ilgili kişiyle alakalı bir sonuç ortaya koyuyor ise veri sorumlusunun
aktif özen yükümlülüğü göz önünde bulundurulmalıdır.
Kişisel Verileri Koruma Kurulunun
19/01/2023 tarihli ve 2023/78 sayılı kararında;
İlgili kişi ile GSM operatörü veri
sorumlusu arasında mobil internet
hattına ilişkin yapılan sözleşmenin ilgili kişi tarafından iptal edilmesi
sonucu tarafına borç çıkarılmıştır. Borcun tahsilini sağlamak amacıyla ilgili
kişinin ortağı olduğu şirkete ait 4 farklı cep telefonu numarasına borçlu
olduğu miktar hakkında icra takibi başlatılacağı bilgilerini içeren bir kısa
mesaj gönderilmiş, bahsi geçen mesajlar nedeniyle ilgili kişinin ortağı olduğu
şirket hatlarını kullanan çalışanların konu ile ilgileri bulunmamasına karşın
ilgili kişinin borç bilgilerinden haberdar olduğu anlaşılmıştır.
Konuya ilişkin olarak yapılan inceleme
neticesinde;
İlgili kişinin ortağı olduğu Şirkete
ait kurumsal iletişim numaralarının, veri sorumlusu ile arasındaki bireysel
sözleşmelerde de iletişim numarası olarak kullanılmasının veri sorumlusu
tarafından Kanun’un 4’üncü maddesinde yer alan Genel İlkelerden “doğru ve
gerektiğinde güncel” olma ilkesine aykırılık teşkil ettiği anlaşılmış olup, hukuka aykırı veri işleme faaliyeti
neticesinde kişiye ilişkin borç bilgisi
Kanun’un 5’inci maddesinde yer alan herhangi bir işleme şartı bulunmaksızın
üçüncü kişi şirket çalışanları ile paylaşılmıştır. [4]
3. İşlenen Verilerin Meşru Amaçla
Bağlantılı Olması
OECD Rehber İlkeleri uyarınca meşru
amaç kapsamında veri toplamanın “yasal” olması gerekmektedir. Çalışma Grubu’na
göre ise, işleme amacının bir hukuka uygunluk sebebine dayanmasının yanı sıra
amacın, bütün veri koruma düzenlemeleri ve diğer mevzuatlara uygun olmayı
gerektirir. Özetle amacın meşru olması ilgili hukuk düzenine bütün olarak
uygunluğu gerektirecektir. [5]
Kişisel Verileri Koruma Kurulunun
11/05/2023 tarihli ve 2023/787 sayılı kararında;
Veri sorumlusu özel hastanenin
“Fotoğraf/Video Çekimi Yapılmasına Özgü Kişisel Verilerin Korunması Hakkında
Aydınlatılmış Onam Formu” kapsamında hastalardan açık rıza talep ettiği,
fotoğraf/video çekimleri ile elde edilen verilerin pazarlama, reklam ve tanıtım
süreçlerinin yürütülmesi kapsamında hizmet alınan, iş birliği yapılan veya
anlaşmalı olunan üçüncü kişilere, ulusal, yerel ve uluslararası basın yayın
organları ile sosyal medya platformlarına aktarılabileceği belirtildiği tespit
edilmiştir.
Kurul yaptığı değerlendirmede;
Veri Sorumlusu her ne kadar Kanun’un
“Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6’ncı maddesinin
2’nci fıkrası uyarınca “açık rıza” şartını sağlamış olsa da sektörel
düzenlemeler uyarınca özel hastanelerin talep yaratmaya yönelik tanıtım
yapmalarının yasak olduğu, ayrıca 27.03.2002 tarihli Resmî Gazete’de yayımlanan
Özel Hastaneler Yönetmeliği md. 60’ta yer alan yasaklayıcı hüküm dikkate
alındığında somut olayda açık rızanın bir veri işleme şartı olarak ileri
sürülemeyeceği ve dolayısıyla söz konusu veri işleme faaliyetinin KVKK md. 6
kapsamında da herhangi bir dayanağının bulunmadığı tespit edilmiştir. [6]
4. Verilerin Ölçülülük İlkesine Uygun
İşlenmesi
Ölçülülük ilkesi, veri işleme ile
gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulmasını sağlar.
Bu kapsamda, yapılması gereken; belirlenen amacı gerçekleştirmeye yönelik
yeterli veri temin edilmeli, elde edilen veriler toplanma amacı doğrultusunda
işlenmeli ve söz konusu amaçla uyumlu olmayan başkaca amaçlar için veri
işlemeden kaçınılmalıdır.
Kişisel Verileri Koruma Kurulunun
21/04/2022 tarihli ve 2022/386 sayılı kararında;
Veri sorumlusu bünyesinde şirket müdürü
olarak çalışmakta iken iş akdinin haksız şekilde sonlandırıldığı ve veri
sorumlusuna ait sosyal medya hesabında “...
yaptığı usulsüzlükler nedeni ile işten ATILAN …..’ın sizlere vermiş
olduğu rahatsızlıktan dolayı özür dileriz...” içerikli bir paylaşım yapıldığı,
Kurul yaptığı değerlendirmede;
Veri sorumlusuna ait sosyal medya
hesabının sadece müşterilere ait olmayıp, herkese açık bir ortam olduğu dikkate
alındığında söz konusu eylemin Kanun’un 4’üncü maddesindeki ölçülülük ilkesine
aykırılık teşkil etmektedir. [7]
5. Kişisel Verilerin Yurt Dışına
Aktarılması
Kişisel verilerin yurt dışına
aktarılması “Kanun”un 9. maddesinde ayrı bir düzenleme olarak yer almıştır.
Madde uyarınca yurt dışına veri aktarımı ilgilinin açık rızası ile “Kanun”da
belirtilen hallerin varlığında (“Kanun”’un 5. maddesinin 2. fıkrası ile 6.
maddesinin 3. Fıkrasında belirtilen şartlar) veri aktarılacak ülkede yeterli
korumanın bulunmaması halinde, yeterli korumanın yazılı olarak taahhüt edilmesi
ve Kişisel Verileri Koruma Kurulu’nun (“Kurul”) izninin bulunması şartlarına
bağlı olarak gerçekleşebilir.
“Kurul”, yurt dışına yapılacak olan
veri aktarımlarında ilgili kişinin veya Türkiye Cumhuriyeti’nin menfaatlerinin
ciddi şekilde zarar görme ihtimalinin bulunduğunu tespit ederse, veri
aktarımını onaylama veya yasaklama imkanına sahiptir. [8]
Kişisel
Verileri Koruma Kurulunun 17/03/2022 tarihli ve 2022/249 sayılı kararında;
Kuruma iletilen şikayet dilekçesinde
özetle; veri sorumlusunun internet sitesinde aydınlatma metninde yurt dışına aktarım
yapıldığının bildirildiği ancak ilgili kişinin bu yönde bir açık rıza
alınmadığını ifade ederek Kurul’a başvuruda bulunmuştur.
Kurul yaptığı değerlendirmede;
Söz konusu faaliyet gerçekleştirilmeden önce aktarım
yapılacak ülkede yeterli korumanın sağlanacağına ilişkin bir taahhütnamenin
Kurula sunulmadığı, yurt dışına aktarım faaliyeti bakımından somut olayda açık
rıza dışında bir hukuki sebep bulunmadığı, veri sorumlusu tarafından bu hususta
ilgili kişilerden de açık rıza alınmadığı anlaşıldığından Kanun’un 12’nci
maddesinin (1) numaralı fıkrası kapsamında uygun güvenlik düzeyini temin etmeye
yönelik gerekli teknik ve idari tedbirlerin alınmadığı tespit edilmiştir. [9]
6. İlgili Kişinin Kişisel Verilerinin
Silinmesi Talebinin Yerine Getirilmemesi
Kişisel veriler “Kanun”a uygun olarak
işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması
halinde kişisel veriler resen veya ilgili ilgili kişinin talebi üzerine veri
sorumlusu tarafından silinmeli, yok edilmeli veya anonim hale getirilmelidir.
Veri sorumlusu, kişisel verileri sakladığı süre boyunca, saklama amacına uygun
şekilde verileri kullanmalı, amaca aykırılık oluşturacak veri işleme
faaliyetlerinden kaçınmalıdır.
Kişisel verilerin işlenmesini
gerektiren sebep ortadan kalktığı durumda kişisel verileri silmek, yok etmek
veya anonim hale getirmek veri sorumlusunun yükümlülüğü haline gelecektir.
Kişisel Verileri Koruma Kurulunun
20/10/2022 tarihli ve 2022/1147 sayılı kararında;
İlgili kişinin iş akdinin feshinden
sonra dahi, veri sorumlusu işveren tarafından görüntüsünün sosyal medya
üzerinden gerçekleştirilen canlı yayınlarda, TV reklamlarında, veri sorumlusu
şirketin internet sitesinde, sosyal medya hesaplarında ve tanıtıma yönelik
basılı materyallerde reklam ve pazarlama amacıyla kullanıldığı ifade
edilmiştir.
İlgili kişinin yer aldığı görüntülerin
veri sorumlusunun arşivlerinde bulunmasının hukuka uygun olacağı ancak iş
akdinin sona ermesinden sonra da söz konusu verilerin paylaşımına devam
edilmesi suretiyle işlenmesinde Kanun kapsamında geçerli bir işleme şartının
mevcut olmadığı dolayısıyla Kanun’un 12’nci maddesinin (1) numaralı fıkrasında
yer alan yükümlülüklerini yerine getirmediği anlaşılmaktadır. [10]
7. Kişisel Veri Güvenliği İhlalinin
Bildirilmemesi
“Kanun”un 12’nci maddesinin (1)
numaralı fıkrasında; işlenen kişisel verilerin kanuni olmayan yollarla
başkaları tarafından elde edilmesi halinde, veri sorumlusunun bu durumu en kısa
sürede ilgilisine ve “Kurul”a bildirilmesi gerektiği düzenlenmiştir. “Kurul”
gerekli gördüğü hallerde, ihlali kendi internet sitesinde ya da uygun göreceği
başka bir yöntemle ilan edilebilecektir.
Kişisel Verileri Koruma Kurulunun
24.01.2019 tarih ve 2019/10 sayılı kararında “en kısa sürede” ifadesinin 72
saat olarak yorumlanmasına ve bu kapsamda veri sorumlusunun bu durumu öğrendiği
tarihten itibaren gecikmeksizin ve en geç 72 saat içinde “Kurul”a bildirmesi
gerektiği öngörülmüştür.
Kişisel Verileri Koruma Kurulunun
05/01/2023 tarihli ve 2023/4 sayılı kararında;
İlgili Kişi e-ticaret firmasından satın
aldığı ürünü tarafına teslim edilmesinin ardından, kargo paketinin kendisi ile
isim benzerliği bulunan başka bir kişiye ait olduğu, kargo paketi üzerinde
üçüncü kişiye ait ad-soyad, adres ve iletişim bilgilerinin yer aldığını fark
etmiştir. Bunun üzerine Veri Sorumlusu kargo firmasına 6698 sayılı Kişisel
Verilerin Korunması Kanunu kapsamında başvuruda bulunarak kendisi dışında
üçüncü kişiye ait kişisel verilerin hangi hukuki gerekçeyle tarafına
gönderildiği, benzer şekilde kendisine ait kişisel verilerin de üçüncü kişilere
aktarılıp aktarılmadığı ve aktarıldıysa hangi hukuki nedenlere dayanılarak
aktarıldığı hususlarına ilişkin bilgi talep etmiştir. Olaydan hareketle, veri
sorumlusunun yapmış olduğu çapraz kargo gönderimi hatası nedeniyle ilgili
kişiye teslim edilmesi gereken kargo paketinin üçüncü kişiye gönderildiği ve bu
suretle ilgili kişiye ait kişisel verilerin üçüncü kişi ile paylaşıldığı
sonucuna varıldığı anlaşılmıştır.
Söz konusu durumun bir veri ihlali
olmasına karşın veri sorumlusunun Kanun’un 12’nci maddesinin (5) numaralı
fıkrası kapsamında Kurula veri ihlal bildiriminde bulunmadığı tespit
edilmiştir. [11]
Stj. Av. Berfin Dicle Onar
Kaynakça:
1. Çelikel,
Serdar, "Kişisel Verilerin İşlenmesinde, Açık Rıza Hukuka Uygunluk
Nedeninin, 95/46 Sayılı Direktif Ve Gdpr’la Karşılaştırmalı Olarak
İncelenmesi", Uyuşmazlık Mahkemesi Dergisi, Yıl 9, Sayı 17, Haziran 2021, s.
161-190.
https://dergipark.org.tr/en/download/article-file/1844531
2. Kişisel
Verileri Koruma Kurulunun 02/05/2023 tarihli ve 2023/692 sayılı kararı
3.
Yücedağ, Nafiye, "Kişisel Verilerin Korunması Kanunu Kapsamında Genel
İlkeler". Kişisel Verileri Koruma Dergisi 1 / 1 (Haziran 2019): 47-63
4.
Kişisel Verileri Koruma Kurulunun 19/01/2023 tarihli ve 2023/78 sayılı kararı
5. Kişisel Verileri Koruma Kurumu Bülteni,
Kişisel Verilerin İşlenmesine
İlişkin Temel İlkeler
https://www.kvkk.gov.tr/Icerik/4189/Kisisel-Verilerin-Islenmesine-Iliskin-Temel-Ilkeler
6. Kişisel Verileri Koruma Kurulunun
11/05/2023 tarihli ve 2023/787 sayılı kararı
7. Kişisel Verileri Koruma Kurulunun
21/04/2022 tarihli ve 2022/386 sayılı kararı
8.
Kişisel Verileri Koruma Kurumu Bülteni, Kişisel Verilerin Yurtdışına
Aktarılması
9. Kişisel
Verileri Koruma Kurulunun 17/03/2022 tarihli ve 2022/249 sayılı kararı
10. Kişisel
Verileri Koruma Kurulunun 20/10/2022 tarihli ve 2022/1147 sayılı kararı
11. Kişisel
Verileri Koruma Kurulunun 05/01/2023 tarihli ve 2023/4 sayılı kararı
