Özgün Law Firm

İşbu yazımızda Kişisel Verileri Koruma Kurumu (bundan sonra “Kurum” olarak ifade edilecektir) tarafından verilen son dönem kararları özetlenip değerlendirilecektir. Bu kararlar; veri sorumlularının yükümlülüklerini, kişisel veri işleme şartlarını ve ihlaller karşısında yaptırımları somut örnekler üzerinden ortaya koymaktadır. Değerlendirme boyunca ilgili Kanun maddelerine atıf yapılacaktır.

Veri Güvenliği İhlalleri

Kurum’un son kararlarında veri güvenliğine ilişkin ihlallere yapılan atıflar sıklıkla karşımıza çıkmaktadır. Kanun’un 12. maddesi, veri sorumlularının kişisel verilerin hukuka aykırı işlenmesini ve erişimini önlemek için gerekli her türlü teknik ve idari tedbiri alma zorunluluğunu düzenlemektedir. Veri sorumlusu ise kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.  12. maddeye göre veri sorumlusu;

•   Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

•   Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

•   Kişisel verilerin muhafazasını sağlamak

ile yükümlüdür. Bunun yanı sıra ilgili maddenin 5. fıkrasında veri sorumlusunun işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kuruluna bildirme yükümlülüğü düzenlenmiştir.

Kanunun 18. maddesi ise bahsedilen veri güvenliğine ilişkin yükümlülükleri yerine getirmeme halinde 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası öngörmektedir. Aşağıda bu kanun hükümlerinin somutlaştığı kararlar sunulmaktadır. 

•           “Bir e-ticaret platformu tarafından Kurula intikal ettirilen veri ihlal bildirimi’’ hakkında 08.08.2024 Tarih ve 2024/1385 Sayılı Karar: Karara konu olayda özetle, satıcıların ürünlerini listelediği bir e-ticaret platformunun portalına, saldırganlar satıcılar tarafından kullanılan başka mecralardan ele geçirdikleri kullanıcı adı ve şifreleri deneyerek yetkisiz erişim sağlamıştır. İhlalden 673 satıcı hesabı ile 7.202 müşteri etkilenmiştir. Kurum bu hususta; 

“… Satıcıların ihlale konu portala ilk defa giriş yapmaları ya da son IP’lerinden farklı bir IP adresinden giriş denemeleri yapmaları durumunda tetiklenen tek seferlik parola sisteminin ancak ihlalden sonra uygulamaya konulduğu; veri sorumlusunun, ihlal öncesinde alması gereken tedbiri ihlalden sonra aldığı, Aynı IP adresinden ihlalin başladığı gün (02.02.2024) ve bir sonraki günde (03.02.2024) toplamda 400’ün üzerinde kullanıcı girişi (çok sayıda farklı kullanıcı adına olmak üzere) yapılmasına rağmen veri sorumlusunun, veri ihlalini bu tarihlerde değil de ancak müşteriler ve satıcılardan gelen şikâyetlerden sonra 06.02.2024 tarihinde tespit edebilmesinin ihlalin tespiti noktasında veri sorumlusunun geç kaldığının göstergesi olduğu, Satıcıların (kullanıcı hesaplarına giriş yapmasının ardından) bilgi değişikliği ve giriş yapma süreçlerine çift faktörlü kimlik doğrulama (2FA) aşaması eklenmesi önleminin ancak ihlalden sonra alınan tedbirler kapsamında hayata geçirildiği; ihlalin olumsuz etkilerini azaltabilecek bir tedbirin ihlalin gerçekleşmesinden önce alınmadığı hususları dikkate alındığında, Kanunun 12 nci maddesinin (1) numaralı fıkrasında yer alan … hükmü çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan  veri sorumlusu hakkında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurularak Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 3.250.000 TL idari para cezası uygulanmasına karar verilmiştir.”[1]

şeklinde değerlendirme yapmıştır.

•           “Bir havayolu şirketi tarafından ilgili kişiye ait kişisel verilerin hukuka aykırı olarak üçüncü kişilerle paylaşılması” hakkında 03/08/2023 Tarihli ve 2023/1309 Sayılı Karar: Karara konu olayda özetle bir havayolu firmasının mobil uygulamasında check-in yapmak isteyen yolcunun, kendi bilgileriyle birlikte tanımadığı dört yolcuya ait kimlik, pasaport ve vize bilgilerinin de ekranda göründüğü ve bu kişilerin biletleri üzerinde işlem yapma imkânı bulduğu belirtilmiştir. Kurum bu hususta;

“ … veri sorumlusunun Grup PNR'da yer alan bir yolcu check-in işlemi yapmak veya bilet işlemlerini internet sitesi veya mobil uygulama üzerinden yönetmek istediğinde PNR + SOYADI kombinasyonu ile giriş yapıldığı, başarılı giriş sonrasında ise genel uygulamadan farklı olarak PNR'daki tüm yolcuları görüntüleyememekte ve yalnız PNR içinde soyadı eşleşen kayıtların görüntülenebildiğine ilişkin açıklamalarına karşın, ilgili kişi tarafından iletilen ekran görüntülerinde PNR bilgisinin girilmesi sonucunda ekranında görmüş olduğu kişilere ait soyadların kendi soyadından farklı olduğu, dolayısı ile veri sorumlusu tarafından iddia edildiğinin aksine PNR + SOYADI kombinasyonu ile giriş işlemi yapılsa dahi farklı soyadına sahip kişilerin verilerinin aynı PNR üzerinden görülebildiği, bu durumun da veri sorumlusu tarafından Kanun’un 12’nci maddesinin (1) numaralı fıkrası kapsamında kişisel verilerin hukuka aykırı olarak erişilmesini önlemek ve muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığını gösterdiği, söz konusu durumdan çok sayıda kişinin etkilenme ihtimalinin de fazla olduğu, ayrıca söz konusu veri ihlali ile ilgili Kanun’un 12’nci maddesinin (5) numaralı fıkrası kapsamında Kuruma bir bildirim de yapılmadığı dikkate alındığında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 300.000 TL idari para cezası uygulanmasına, …” [2]

şeklinde karar vermiştir.

•           “Veri sorumlusuna ait internet sitesinde yapılan kullanıcı girişinde üçüncü kişiye ait kişisel verilerin görüntülenmesi” hakkında 24/08/2023 Tarihli ve 2023/1465 Sayılı Karar: Karara konu olayda özetle bir araç kiralama şirketinin internet sitesinde kullanıcı girişi yapılırken sistemin yanlış yönlendirme yapması sonucu, bazı kullanıcıların adres, telefon, T.C. kimlik numarası ve ehliyet bilgileri gibi kişisel verileri üçüncü kişiler tarafından görüntülenmiştir. İncelemede giriş sayfasındaki algoritmanın, sisteme hatalı e-posta girilmesi durumunda yanlış çalıştığı ve bu nedenle dört farklı kişinin hesaplarının birbirine karışarak yetkisiz erişime açıldığı saptanmıştır. Kurum bu hususta;

“ …Hatalı e-posta girişi nedeniyle aksayan algoritmanın veri sorumlusunun hizmetlerini kullanmakta olan kişilerin kişisel verilerini yetkisiz erişime açık hale getirdiği, nitekim ilgili kişi tarafından üçüncü kişiye ait kişisel verilere erişildiği, somut olayın kişisel verilere hukuka aykırı erişimi ortaya koyar nitelikte olduğu… değerlendirmelerinden hareketle …Veri sorumlusunun veri kayıt sistemindeki algoritmanın yanlış çalışması nedeniyle araç kiralama platform kullanıcıları tarafından sisteme giriş yapılmaya çalışıldığı esnada farklı kullanıcıların kişisel verilerine hukuka aykırı olarak erişim sağlandığı dikkate alındığında, Kanunun 12’nci maddesinde yer alan veri güvenliğine ilişkin yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında Kanunun 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 200.000 TL idari para cezası uygulanmasına …” [3]

şeklinde karar vermiştir.

•           “İlgili kişinin kişisel verilerinin, konakladığı otel çalışanı tarafından üçüncü kişilerle paylaşılması hakkında” 03/08/2023 Tarihli ve 2023/1327 Sayılı Karar: Karara konu olayda özetle bir otelde konaklayan kişinin, kendi isim ve konaklama bilgilerinin “Housekeeping Task Sheet” adlı iç belge aracılığıyla üçüncü kişilerin eline geçmiş ve bu bilgilerin sosyal medya üzerinden kendisine iletildiği şikâyet edilmiştir. Kurum bu hususta; 

“ Housekeeping Task Sheet belgesinde müşterilere ait isim ve soy isime yer verilmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin Kanun’un 4’üncü maddesi kapsamında ölçüsüz bir veri işleme faaliyeti olduğu, üçüncü kişilerle paylaşılmaya konu edilen Housekeeping Task Sheet belgesinde yer alan kişisel verilerin veri sorumlusu bünyesinde oluşturulduğu ve üçüncü kişiler tarafından elde edilmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin yalnızca veri sorumlusu tarafından idari ve teknik tedbirlerin alınmamış olması dolayısıyla gerçekleşebileceği kanaatine varıldığından Kanun’un 12’nci maddesi uyarınca kişisel verilere hukuka aykırı olarak erişilmesini önlemek yükümlülüğü ile kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idarî tedbirleri alma yükümlülüğünün sağlanamadığı dikkate alındığında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında veri sorumlusu hakkında 500.000 TL idari para cezası uygulanmasına, …” [4]

şeklinde karar vermiştir.

Verilen olaylarda bahsedilen kişisel verilere yetkisiz erişim, teknik güvenlik zafiyetleri, üçüncü kişilerin verilen erişim; e-ticaret, havayolu, araç kiralama ve otelcilik gibi farklı sektörlerde yaşanmış olup Kurum; veri güvenliği yükümlülüklerinin ihlal edilmesini temel gerekçe olarak kabul etmiş ve idari para cezalarını bu ihlaller üzerinden tesis etmiştir. Mevcut tedbirlerinin yetersiz olması halihazırda m.12 kapsamında sorumluluk doğururken, veri sorumlularının ancak ihlalden sonra önlem alması kusurlu davranış olarak değerlendirilip idari para cezasının miktarını etkilemiştir.

Kişisel Verilerin İşlenme Şartları ve Açık Rıza

6698 sayılı Kanun’un 5. maddesi, kişisel verilerin işlenme şartlarını düzenlemektedir. Bu şartlardan biri, ilgili kişinin açık rızasıdır (m.5/1). Bunun dışındaki şartlar (m.5/2) arasında kanunlarda açıkça öngörülme, rızanın alınamadığı durumlarda hayat veya beden bütünlüğünün korunması için zorunluluk, sözleşmenin ifası için zorunluluk, hukuki yükümlülük, bir hakkın tesisi, ilgilinin kendisi tarafından alenileştirilmesi meşru menfaat durumlarıdır. Kişisel verilerin işlenebilmesi için bu şartlardan en az birinin varlığı zorunludur, aksi takdirde kişisel verilerin işlenmesi hukuka aykırı olacaktır. Bu şartlar Kanunda sınırlı sayıda sayılmış olup, genişletilmeleri mümkün değildir. [5]

•           “İlgili kişinin e-posta verilerinin, önceden ortağı olduğu veri sorumlusu Şirket tarafından işlenmeye devam edilmesi” hakkında 03/08/2023 Tarihli ve 2023/1321 Sayılı Karar: Karara konu olan olayda özetle şikâyetçi, ortağı olduğu şirketten ayrılarak yeni bir şirket kurmasına rağmen, eski şirketindeki şahsına tahsisli e-posta adresinin kapatılmayıp aktif bırakıldığını ve eski ortağı şirketin bu adrese gelen e-postaları okumaya devam ettiğini ileri sürmüş ve bu durumun haksız rekabet yarattığını ve kişisel verilerinin işlenmeye devam ettiğini iddia etmiştir. Kurum bu hususta;

“İlgili kişinin daha önceden kullanmış olduğu ve şu an pasif durumda bulunan e-posta adresine ileti gönderilmeye devam edildiği, e-posta verilerinin kişisel veri niteliğini haiz olduğu, bu çerçevede ilgili kişinin işten ayrılmasından sonra e-posta gönderilmesinin engellenmemesi nedeniyle tanımsız e-postada iletilerin görüntülenmesine imkan sağlanmak suretiyle kişisel verilerinin işlenmeye devam edildiği, söz konusu kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesi kapsamında herhangi bir dayanağı bulunmaması nedeniyle Kanun’un 18’inci maddesi uyarınca 50.000 TL idari para cezası uygulanmasına …” [6]

şeklinde karar vermiştir.

•           “Abonelik Tesisi Amacıyla Hukuka Aykırı Kişisel Veri İşlenmesi” Hakkında 18/07/2024 Tarihli ve 2024/1176 sayılı Karar: Bir internet sağlayıcısının abonesi, sözleşmesini yenilemek isterken resmi siteye çok benzeyen sahte bir web sitesine yönlendirilmiş, burada iletişim ve kimlik bilgilerini paylaşmıştır. Ardından kendisini mevcut şirketin temsilcisi gibi tanıtan kişi tarafından aranmış ve yanlış bilgilendirilerek, iradesi dışında başka bir internet servis sağlayıcısına abonelik işlemi yapılmıştır. İlgili kişi durumu fark edince hem mevcut hem de yeni şirkete iptal başvurusu yapmıştır. Kurum bu hususta;

“C Şirketi/Bayi’nin, D Şirketi ile akdettikleri sözleşme uyarınca veri işleyen statüsünde, anılan şirketin emir ve talimatları ile sözleşme hükümleri çerçevesinde hareket etmesi gerektiği halde başka bir firmaya ait görselleri kullanarak potansiyel müşterileri yanılttığı ve bu suretle anılan şirketin İlgili Kişiye ait kişisel verileri temin ederek işlediği, söz konusu faaliyetin D  Şirketi ile C Şirketi/Bayi arasında akdedilen sözleşme hükümlerine aykırı olması sebebiyle C Şirketi/Bayi’nin somut olayda veri sorumlusu sıfatı ile hareket ettiği, söz konusu işleme faaliyetinin ise Kanun’un 5’inci maddesinde düzenlenen işleme şartlarından herhangi birine dayandırılmadığı değerlendirmelerinden hareketle Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12’nci maddesinin birinci fıkrasının (a) bendinde öngörülen kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli idari ve teknik tedbirlerin alınması yükümlülüğünü yerine getirmediği gerekçesiyle Veri Sorumlusu hakkında Kanun’un 18’inci maddesinin birinci fıkrasının (b) bendi uyarınca 450.000 Türk Lirası idari para cezası uygulanmasına…” [7]

şeklinde karar vermiştir.

•           “Geniş katılımlı çevrim içi bir oyunun Türkiye’deki dağıtıcısı ve tek yetkilisi konumundaki veri sorumlusu tarafından kişisel verilerin hukuka aykırı işlenmesi” hakkında 28/09/2023 Tarihli ve 2023/1645 Sayılı Karar Özeti: Karar konu olayda bir çevrim içi oyunun Türkiye’deki dağıtıcısı konumunda olan veri sorumlusu hakkında, kişisel verilerin hukuka aykırı işlendiği, özellikle hile tespit yazılımı ile bilgisayardaki tüm dosyalara erişildiği, kişisel verilerin yurt dışına aktarıldığı, aydınlatma metinlerinin ve çerez politikasının Kanun’a uygun olmadığı yönünde şikayette bulunulmuştur. Kurum bu hususta;

“Veri sorumlusuna ait internet sitesinde yayımlanan çerezlere ilişkin pop-up açıklaması altında “sadece gerekli çerezleri kullanın” ve “tüm çerezlere izin ver” olmak üzere iki seçeneğin sunulduğu, “tüm çerezlere izin ver” seçeneği sunularak gerekli çerezler kategorisi dışındaki her bir çerez tipi için topluca açık rıza alma yoluna gidildiği ve ilgili kişilere tercih etme imkanının sunulmadığı, Çerez Beyanı ve Çerez Politikası metinlerinde yer alan çerez tablosunda üçüncü taraf çerez sağlayıcıları tarafından çeşitli çerezlerin “gerekli çerezler” kategorisinde kullanıldığının belirtildiği, … , veri sorumlusu tarafından internet sitesinde çerezler yoluyla açık rıza şartına dayalı olarak gerçekleştirilen kişisel veri işleme faaliyetinde açık rızanın unsurlarından olan “belirli bir konuya ilişkin olması” ve “özgür iradeyle verilmesi” unsurlarının sağlanmaması nedeniyle açık rızanın sakatlandığı ve Kanun’un 5’inci maddesi kapsamında hukuka uygun bir kişisel veri işleme faaliyetinin gerçekleştirilmediği; diğer taraftan sağlayıcısı yurt dışında yerleşik şirketler olan ve zorunlu çerez kategorisinde bulunan üçüncü taraf çerezler kullanılarak kişisel verilerin yurt dışına aktarımının yapılması suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin Kanun’un 9’uncu maddesinde belirtilen yurt dışına veri aktarım şartlara dayanmaması nedeniyle hukuka aykırı olduğu kanaatine varılmış olup Kanun’un 12’inci maddesinde düzenlenen veri güvenliği yükümlülüklerine aykırı hareket ettiği değerlendirilen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 750.000 TL idari para cezası uygulanmasına…veri sorumlusu tarafından oyun sunucularının yurt içinde tutulduğu ve oyun kullanıcısı/üye olan ilgili kişinin kişisel verilerinin yurt dışına aktarımının yapılmadığı kanaatine varılmış olup bu hususta Kanun kapsamında veri sorumlusu hakkında tesis edilecek herhangi bir işlem bulunmadığına,…; oyun kullanıcısı/üye olan ilgili kişinin bilgisayarındaki kişisel verilere erişim sağlamak suretiyle hukuka aykırı kişisel veri işleme faaliyetinde bulunulmadığı kanaatine varılmış olup bu hususta Kanun kapsamında veri sorumlusu hakkında tesis edilecek herhangi bir işlem bulunmadığına karar verilmiştir.” [8]

şeklinde değerlendirilmiştir.

•           “Veri sorumlusuna ait mağazada ilgili kişilere reklam amaçlı SMS gönderilmesi amacıyla kişisel verilerin işlenmesi” hakkında 28/09/2023 Tarihli ve 2023/1653 Sayılı Karar: Karara konu olayda özetle ilgili kişi bu kodu görevliye okuduğunda, bunun aydınlatma metnini okuduğu ve kişisel verilerinin işlenmesine onay verdiği anlamına geldiğini sonradan fark etmiştir. Açık rızasının kandırılma suretiyle alındığını ileri sürerek her ne kadar kendisinin kişisel verileri, veri sorumlusuna yaptığı başvuru üzerine silinmiş ise de kişisel verilerin elde edilmesi yönteminin tüm müşterilere sistematik olarak uygulandığı ifade edilerek şikayette bulunmuştur. Kurum bu hususta:

“Somut olay kapsamında ilgili kişinin açık rızasına dayanan bir kişisel veri işleme faaliyeti gerçekleştirildiği; ilgili kişinin açık rızasını geri alması üzerine ise söz konusu işleme faaliyetine son verildiği görülmekte olup, şikayete ilişkin olarak Kanun kapsamında yapılacak bir işlem bulunmadığına, Alışveriş esnasında ticari elektronik ileti gönderilmesi suretiyle kişisel verilerin işlenmesine ilişkin açık rıza alınmasının ilgili kişiler tarafından alışverişin bir parçası olarak bu rızanın verilmesinin gerektiği izlenimi oluşacağından açık rızanın özgür irade ile açıklanma unsurunu zedeleyebileceği değerlendirilmiş olup, bu kapsamda söz konusu uygulamanın ilgili kişileri doğru şekilde bilgilendirmek suretiyle ve alışverişin bir parçası olduğu izlenimi oluşturmayacak şekilde revize edilmesi, ayrıca aydınlatma ve açık rıza onay kodunun aynı kısa mesaj içerisinde sunulmaması ve yapılan işlemlerin sonucu hakkında Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.” [9]

şeklinde değerlendirmede bulunmuştur.

•           “Bir Araç kiralama şirketi tarafından ilgili kişiden Findeks raporu talep edilmesi suretiyle kişisel verilerinin işlenmesi” Hakkında 20/07/2023 Tarihli ve 2023/1234 sayılı Karar: Karara konu olayda bir çevrimiçi seyahat platformu üzerinden araç kiralayan ilgili kişi, tüm ücretleri aynı gün ödedikten sonra aracı teslim almak üzere acenteye gittiğinde depozito ödemek üzere yetkililere kredi kartını tekrar vermiş ancak acente çalışanları tarafından ilgili kişinin ayrıca Findeks raporuna erişilmek istendiğine ilişkin SMS’in kendisinin cep telefonuna iletildiği, aksi halde aracın teslim edilmeyeceği belirtilmiştir. Raporunu paylaşmasını şart koştuğunu, aksi halde aracı teslim etmeyeceklerini öğrenmiştir.  Kurum bu hususta:

“Findeks raporu bilgileri sorgulanması suretiyle kişisel verilerin işlenmesinin ancak Kanun’un 5’inci maddesinin (1) numaralı fıkrası kapsamında açık rıza ile gerçekleştirebileceği, bu kapsamda veri sorumlusu tarafından Findeks raporu temin edilmeksizin kiralama işlemi yapılmaması suretiyle açık rızanın hizmet şartına bağlandığı dikkate alındığında Kanunun 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında Kanunun 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına…” [10]

şeklinde karar vermiştir.

•           “Yemek kartı hizmeti sunan veri sorumlusuna ait mobil uygulamada T.C. kimlik numarasının işlenmesi” hakkında 17/08/2023 Tarihli ve 2023/1430 Sayılı Karar: Karara konu olay yemek çeki hizmeti sunan bir firmanın mobil uygulamasına kayıtlı olanlara yemek kartı tanımlanabilmesi için kullanıcılardan T.C. kimlik numarası istenmesidir. Kurum bu hususta;

“Fiziksel yemek kartlarının mobil uygulamada kayıt altına alınması halinde kartın doğrulanması işleminin kişilerin T.C. kimlik numarası bilgisi işlenmeden, işveren aracılığıyla kart ve telefon numarası bilgisi işlenmesi gibi ilgili kişileri daha çok koruyacak yollarla yapılması mümkün olduğundan, T.C. kimlik numarası verisinin işlenmesinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 5’inci maddesindeki hukuki sebeplere dayanmaksızın yapıldığı ve Kanun’un 4’üncü maddesindeki kişisel verilerin işlendiği amaçla ölçülü işlenmesi ilkesine aykırı olduğu değerlendirildiğinden Kanun’un 12’nci maddesinin birinci fıkrasında yer alan yükümlülüklerini yerine getirmediği değerlendirilen veri sorumlusu hakkında 200.000 TL idari para cezası uygulanmasına, …” [11]

şeklinde karar vermiştir.

Verilen olaylarda Kurum özellikle açık rıza kavramının üzerinde durmuştur. Nitekim 5. Maddenin 2. Fıkrasında sayılan hallerden birinin olmadığı hallerde, kişisel veriler ancak ilgilinin açık rızası ile işlenebilecektir. Kanundaki tanımına göre açık rıza ‘Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza”dır (KVKK m.3/1 (a)). Açık rızanın kanuni tanımından bir sonraki başlıkta ele alınacak olan aydınlatma yükümlülüğünün önemi de öne çıkmaktadır, çünkü ilgili kişi kendisiyle ilgili verilerin neden, ne zaman, ne kadar ve ne kapsamda kullanılacağına dair bilgi alma hakkına sahiptir.

Açık rızanın “özgür irade” unsuru Kurum’un son dönem kararlarında üstünde durduğu bir husustur. Bahsedilen kararlardan da anlaşıldığı üzere ilgili kişiler bir hizmeti alabilmek adına rıza vermek zorunda bırakılamazlar. Aksi takdirde veri sorumlusunun sorumluluğu doğacaktır. Kurum ayrıca, özgür iradenin açıkça bertaraf edilmediği ancak ilgili kişilere rıza verme zorunluluğu hissiyatının verilip bu unsurun zedelenme ihtimalinde de veri sorumlusu bu durumu düzeltmesi adına talimatlandırmıştır.

Bunun yanında Kurum, kararlarında “ölçülülük” ilkesini de gözetmiştir. Bu ilke, Kanun’un 4. Maddesinde sayılmıştır. Buna göre kişisel veriler ancak işlendikleri amaçla, bağlantılı ve sınırlı olmalıdır. Aksi takdirde vergi güvenliğine ilişkin yükümlülüklerin ihlali kapsamında sorumluluk doğacaktır.

Özel Nitelikli Kişisel Veriler ile Kanunun İstisnaları

Kanun’un 6. maddesi, özel nitelikli kişisel verileri belirlemiş ve bunların işlenmesine daha sıkı şartlar getirmiştir. Kanuni tanımına göre kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Buna göre özel nitelikli veriler, ancak ilgili kişinin açık rızası veya kanunda öngörülen hallerde işlenebilir; bu kapsamda sağlık verileri KVKK m.6/3 uyarınca kamu sağlığı, tedavi gibi amaçlarla sır saklama yükümlülüğü altındaki kişiler tarafından rıza aranmaksızın işlenebilecektir.

Genel kural kişisel verilerin işlenmesi ve aktarımının ancak açık rıza veya kanunda öngörülen hallerinin birinin varlığı halinde mümkün olması iken, Kanun’un 28. maddesi bu hükümlerin uygulanmayacağı istisnai halleri sıralamaktadır. Bu hallerden biri de kişisel verilerin yargı mercilerince yargılama faaliyetleri kapsamında işlenmesidir.

•           “İlgili Kişinin Hasta Dosyasında Yer Alan Özel Nitelikli Kişisel Verilerinin Mahkemeye Aktarılması” Hakkında 14/09/2023 Tarihli ve 2023/1578 Sayılı Karar: Karara konu olayda bir üniversiteye bağlı tıp merkezinde tedavi gören ilgili kişinin şahsi terapi ve evlilik terapisi kayıtlarını içeren hasta dosyası, boşanma davası kapsamında mahkemenin müzekkeresi üzerine mesul müdür olan hekim tarafından mahkemeye gönderilmiştir. Gönderimde herhangi bir gizlilik ibaresi veya bizzat seansta tutulan notların da gönderilmesi dahil olmak üzere bir sınırlama bulunmadığı, bu nedenle özel hayatına ilişkin çok sayıda mahrem bilginin UYAP’a işlendiği ve üçüncü kişilerin (mahkeme kalemi, karşı taraf, avukatlar vb.) erişimine açıldığı iddia edilmiştir. Kurum bu hususta;

“ İlgili kişinin özel nitelikli kişisel verilerinin, aldığı sağlık hizmetine istinaden üniversite bünyesinde yer alan bir tıp merkezi tarafından işlenmesinin, Kanun’un 6’ncı maddesinin (3) numaralı fıkrası hükümleri kapsamında olduğuna, İlgili kişinin özel nitelikli kişisel verisi niteliğindeki sağlık kayıtlarının veri sorumlusu tarafından mahkemeye aktarılmasının, 6100 sayılı Hukuk Muhakemeleri Kanunu’nun 221’inci maddesinde yer alan hükme dayandığı dikkate alındığında söz konusu kişisel veri aktarımının Kanun’un 8’inci maddesinin (3) numaralı fıkrasında yer alan “Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” hükmü kapsamında olduğuna, Aktarım faaliyetlerinde, “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler konulu 2018/10 sayılı Kurul Kararı”na uygun olarak önlemlerin alınması gerektiği, bu kapsamda özel nitelikli kişisel verilerin gönderim yöntemlerinin gizlilik esaslarına riayet edilmek suretiyle seçilmesi gerektiği hususunda veri sorumlusuna hatırlatma yapılmasına, İlgili kişinin iddiaları arasında, söz konusu belgenin UYAP’a yüklenmek suretiyle üçüncü kişilerin erişimine açıldığı da belirtilmekle birlikte, müzekkere ile talep edilmesi nedeniyle veri sorumlusu tarafından mahkemeye sunulan özel nitelikli kişisel veri ihtiva eden bilgi ve belgeler üzerinde daha sonra mahkeme tarafından gerçekleştirilen işlemler bakımından veri sorumlusunun tıp merkezi olmadığına, mahkeme tarafından gerçekleştirilen iş ve işlemler bakımından ise Kanun’un 28’inci maddesinin (1) numaralı fıkrasının (d) bendinde yer alan “Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi” hükmünün uygulama alanı bulması nedeniyle Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.” [12]

şeklinde değerlendirmede bulunmuştur.

•           “İlgili kişiye ait özel nitelikli kişisel verilerin avukat tarafından mahkemeye aktarılması” hakkında 17/08/2023 Tarihli ve 2023/1414 Sayılı Karar: Karara konu olayda ilgili kişi, kendisi ve çocuklarına ait DNA test raporlarının, testi gizlilik sınırları içinde yapması için anlaştığı şirket tarafından şifresini yalnızca kendisinin bildiği e-posta adresine gönderildiğini ve başkalarıyla hiçbir surette paylaşmadığını belirtmiştir. Buna rağmen karşı tarafın avukatı olan veri sorumlusunun bu raporlara hukuka aykırı biçimde e-posta hesabına erişerek ulaştığını ve alacak davasında kendisi aleyhine kullandığını iddia ederek Kurum’a şikâyette bulunmuştur. Kurum bu hususta; 

“İlgili kişiye ait genetik veri kategorisindeki DNA test raporlarının aynı zamanda ilgili kişinin çocuklarına ait raporlar olduğu göz önünde bulundurularak söz konusu kişisel verinin çocukların vekili olan veri sorumlusunca işlenmesinin ve aktarılmasının Kanun’un 8’inci maddesinin 2 numaralı fıkrası kapsamında ve Kanun’un 6’ncı maddesinin (3) numaralı fıkrasında yer verilen sağlık ve cinsel hayat dışındaki kişisel verilerin kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebileceği hükmüne uygun olduğu değerlendirildiğinden Kanun kapsamında yapılacak bir işlem olmadığına, Söz konusu kişisel verinin İlgili Kişinin e-posta adresine hukuka aykırı biçimde erişilmek suretiyle Veri Sorumlusunca ele geçirildiğini gösterir bir belgeye yer verilmemiş olduğu anlaşıldığından bahse konu şikâyet ile ilgili olarak Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.” [13]

şeklinde değerlendirme yapmıştır.

•           “İlgili Kişinin Kişisel Verilerinin Bir Banka Tarafından Kredi Kayıt Bürosu AŞ’ye Aktarılması” Hakkında 31/08/2023 Tarihli ve 2023/1509 Sayılı Karar:  : Karara konu olayda bir banka müşterisi, bankasının kendi kişisel verilerini Kredi Kayıt Bürosu A.Ş. (KKB) ile paylaşmasına açık rızasını geri çekmek istemiş; banka ise mevzuat gereği bu paylaşımı yapmak zorunda olduğunu belirterek talebi reddetmiştir. Kurum bu hususta;

“…Anılan mevzuat hükümleri ile tarafların Kurum’a sunduğu bilgi ve belgeler birlikte ele alındığında; bankacılık hizmetlerinin gerektiği gibi sunulabilmesi ve bankacılık alanındaki yasal düzenlemeler gereğince, veri sorumlusu banka tarafından ilgili kişinin kişisel verilerinin Şirket’e aktarılmasının Kanun’un 8’inci maddesinin atfı ile 5’inci maddesinin (2) numaralı fıkrasına uygun olduğu, Öte yandan, veri sorumlusu bankanın ilgili kişinin başvurusuna verdiği cevabi yazıda ilgili kişinin talebinin reddedilmesine ilişkin gerekçelere yer verilmediğinin görüldüğü değerlendirilmelerinden hareketle Bankacılık hizmetlerinin gerektiği gibi sunulabilmesi ve bankacılık alanındaki yasal düzenlemeler gereğince veri sorumlusu banka tarafından ilgili kişinin kişisel verilerinin Şirket’e aktarılmasının Kanun’un 8’inci maddesinin (2) numaralı fıkrasının atfı ile Kanun’un 5’inci maddesinin (2) numaralı fıkrasına uygun olması sebebiyle veri sorumlusu hakkında tesis edilecek bir işlem bulunmadığına, Kanun kapsamındaki başvuruların reddedileceği hallerde Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 6’ncı maddesinin (2) numaralı fıkrası uyarınca gerekçesi açıklanarak reddedilmesi gerektiğinin Veri Sorumlusuna hatırlatılmasına karar verilmiştir.” [14]

şeklinde değerlendirmede bulunmuştur.

•   “Banka mobil uygulamasında dijital parola belirlerken yüz verisinin işlenmesi suretiyle kişisel verilerin işlenmesi” hakkında 03/08/2023 Tarihli ve 2023/1310 Sayılı Karar: Karara konu olayda ilgili kişi, bankanın mobil uygulamasından kurumsal hesabına ait şifresini sıfırlamak istemiş, ancak yalnızca T.C. kimlik kartı seçeneğiyle ilerlenebildiğini, bu seçenekte de yüz verilerinin işlenmesine onay verilmediğinde işlem yapılamadığını belirtmiştir. Bu durumda kişisel verilerinin zorla işlendiğini ileri sürmüştür. Kurum bu hususta;

“… Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik’in Kimlik Doğrulama ve İşlem Güvenliği başlıklı 34’üncü maddesinin birinci ve ikinci fıkralarının sırasıyla …(2) Kimlik doğrulamada T.C. Kimlik Kartının kart PIN'i veya biyometrik veri ile birlikte kullanılması veya elektronik imzanın kullanılması hallerinde birinci fıkranın gerekleri yerine getirilmiş sayılır.” hükümlerini amir olup bu maddenin diğer fıkralarında da bankalarca alınması gereken güvenlik tedbirlerine ilişkin usul ve esaslara yer verildiği,… değerlendirilmelerinden hareketle Veri sorumlusu Bankanın hizmetleri kapsamında dijital parola oluşturmanın şikayet tarihinde mobil bankacılıkta yalnızca T.C. kimlik kartı ve yüz verilerinin işlenmesi suretiyle gerçekleşebildiği ancak müşterilerin dijital parola alma hizmetinden Bankanın Şube ve Telefon Bankacılığı kanalları aracılığıyla da yararlanabildiği ve bu hususun Bankanın internet sitesinde belirtildiği dikkate alındığında, bu hizmetin şarta bağlandığı iddiasının yerinde olmadığı değerlendirildiğinden veri sorumlusu hakkında yapılacak bir işlem bulunmadığına, Bankanın şikayete konu olay tarihinde T.C. kimlik kartı ile işlem yapma seçeneğinde yüz izi verilerinin işlenmesine rıza göstermeyen müşteriler için işlemi herhangi bir bilgilendirme yapmadan sonlandırdığı, dijital parola belirleme hizmetinin alternatif kanallar ile yapılabildiğine ilişkin bilginin internet sitesinde başka bir bölümde belirtildiği anlaşıldığından, her ne kadar mevcut durumda şikayete konu hizmetin mobil bankacılıkta da alternatif bir yöntemle verilmesine başlanılmış olsa da, veri sorumlusu Bankanın hizmet süreçlerini gözden geçirmesi ve veri işleme faaliyetlerinde müşterileri tarafından yanlış anlaşılmaya sebebiyet verebilecek süreçler var ise ilgili kişilerin bu süreçler hakkında kolay anlaşılır/ulaşılır bir şekilde bilgilendirilmesi hususunda azami özeni göstermesini teminen uyarılmasına karar verilmiştir.’’ [15]

şeklinde değerlendirmede bulunmuştur.

•           “İlgili kişinin açık rızası alınmadan ses kaydının alınması, paylaşılması ve mahkeme dosyasına sunulması” hakkında 07/09/2023 Tarihli ve 2023/1548 Sayılı Karar: Karara konu olayda bir çalışanın, işverene karşı doğruluk ve sadakat yükümlülüğünü ihlal ettiğine dair iddiaları destekleyen ve müşteri tarafından kaydedilmiş bir ses kaydının, işveren tarafından mahkemeye sunulması söz konusudur. Kurum bu hususta;

“… İşçi işveren uyuşmazlıklarında; işverenin iş sözleşmesini haklı nedenle feshettiğini başka türlü delil ile ispat etme imkânı yok ise ya da kaybolma ihtimali bulunan kanıtların kaybolmasının engellenmesi amacı var ise alınan ses kaydının hukuka uygun delil olarak kabul edilebileceği, bu kapsamda ilgili kişinin iş sözleşmesinin haklı sebeple feshedildiğini ispatlama aracı olarak kullanılan ses kaydının hukuka uygun delil olduğu, nitekim somut olayda ilgili kişinin ses kaydının veri sorumlusu tarafından da alınmadığı ve kullanıcı/müşteri tarafından veri sorumlusu ile paylaşılan ses kaydının delil mahiyeti taşıması sebebiyle veri sorumlusu tarafından muhafaza edildiği,…Veri sorumlusu tarafından Kurum kayıtlarına intikal eden cevabi yazıda; ses kaydının herhangi bir personel ile paylaşılmadığının, şifreli diske aktarılarak ve gerekli idari ve teknik tedbirler alınarak güvensiz ortamdan silinmesinin sağlandığının ve yasal saklama süresi ile sınırlı, şifreli bir biçimde muhafaza edildiğinin belirtildiği, 20/06/2022 tarihinde mahkemeye sunulan beyanlar incelendiğinde; “Şikâyet sahibi kullanıcı bu telefon görüşmesini kayıt altına almış ve bilgileri gizli kalması koşulu ile tarafımıza sunmuştur. KVKK kapsamında ses kaydının doğrudan sayın mahkemenize sunmadığımızı şayet mahkemenizce istenir ise şifreli olarak sunabileceğimizi belirtmek isteriz. Ayrıca iş bu ses kaydının KVKK gereği halen şifreli ortamda saklandığını da belirtmek isteriz” dendiği, 24.08.2022 tarihli dilekçesinde de “İş bu ses kaydının KVKK gereği şifreli ortamda saklandığını da belirterek şifreli bir şekilde ekte sayın mahkemenize de sunmaktayız.” diyerek ses kaydının yer aldığı şifreli flash diski dosyaya sunduğu,… İlgili kişiye ait ses kaydının 8’inci maddenin (2) numaralı fıkrasının atfı ile Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendinde yer alan “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hükmü doğrultusunda mahkemeye aktarıldığı, Ses kaydının erişim yetkisi olmayan işçiler tarafından dinlendiğine ilişkin iddiaların ise dosya kapsamında tevsik edilemediği hususları dikkate alındığında veri sorumlusu hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.” [16]

şeklinde değerlendirmiştir.

•           “Bir işveren tarafından işe iade davasına, ilgili kişinin mescitte ibadet etme görüntülerinin ibraz edilmesi” hakkında 10/08/2023 Tarihli ve 2023/1356 Sayılı Karar: Karara konu olayda ilgili kişi, iş akdi feshedilmeden kısa süre önce çalıştığı şirketin mescidinde ibadet ederken kaydedildiğini, sonrasında kendisine geçmişe dönük olarak kişisel veri işleme onay formları imzalatılmaya çalışıldığını belirtmiştir. İşten çıkarıldıktan sonra açılan işe iade davasında işveren, çalışanın mescitte namaz kıldığına dair görüntüleri delil olarak mahkemeye sunmuştur. Kurum bu hususta;

“Veri sorumlusu tarafından mescitte kamera vasıtasıyla gerçekleştirilen kişisel veri işleme faaliyetine ilişkin ilgili kişinin açık rızasını özgür irade ile vermediği ve işten çıkarılma korkusu ile geriye dönük olarak kişisel verilerin işlenmesiyle ilgili diğer belgeleri de rızası olmadan imzalamak zorunda bırakıldığı kanaatine varıldığından Kanun’un 6’ncı maddesi kapsamında herhangi bir veri işleme şartına dayanılmaksızın veri işleme faaliyetinin gerçekleştirildiği, diğer taraftan açık rıza alınsa dahi söz konusu veri işleme faaliyetinin Kanun’un 4’üncü maddesinde yer alan genel ilkelerden “işlendikleri amaçla bağlı, sınırlı ve ölçülü olma” ilkesine aykırılık teşkil edeceği sonucuna varılmakta olup, bu hususların Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer verilen “Veri sorumlusu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmüne aykırılık teşkil etmesi nedeniyle Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca veri sorumlusu hakkında 300.000 TL idari para cezası uygulanmasına…” [17]

şeklinde karar vermiştir.

Verilen olaylarda özel nitelikli kişisel verilerin kanunun öngördüğü hallerde açık rızaya dayanmadan da işlenebilmesi ile KVKK m.28’in uygulama alanı bulması halinde Kanun kapsamında yapılacak bir işlem olmaması öne çıkmaktadır.  Sağlık dosyalarının mahkemeye sunulması her ne kadar m.8 uyarınca hukuka uygun bir özel nitelikli kişisel verilerin aktarımı olarak kabul edilse de, aktarım sırasında özen yükümlülüğünün yerine getirilmesi gerektiği unutulmamalıdır. Bununla beraber önceki başlıklarda bahsedilen “açık rızanın özgür irade unsuru” ile “ölçülülük ilkesi” de bu kararlarda yeniden karşımıza çıkması Kurum’un bu iki hususa ne denli önem verdiğini somutlaştırmaktadır.

Aydınlatma Yükümlülüğü

KVKK’nın 10. Maddesine göre  kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;

•   Veri sorumlusunun ve varsa temsilcisinin kimliği,

•   Kişisel verilerin hangi amaçla işleneceği,

•   İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

•   Kişisel veri toplamanın yöntemi ve hukuki sebebi,

•   11 inci maddede sayılan diğer hakları,

konusunda bilgi vermekle yükümlüdür.

Aydınlatma yükümlülüğü kişisel verilerin işlenebilmesi için öngörülen tüm hallerde devam eder. Nitekim Kanunun 18(1) maddesi uyarınca yükümlülüğün ihlali durumunda  5.000 Türk lirasından 100.000 Türk lirasına kadar idari para cezası tesis edilecektir. Bu yükümlülüğün önemi ayrıca “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak  Usul ve Esaslar Hakkında Tebliğ”de kendini göstermektedir.

•           “Bir eğitim kurumu tarafından kamera vasıtasıyla görüntü ve ses kaydı alınması” hakkında 24/08/2023 Tarihli ve 2023/1461 Sayılı Karar:  Karara konu olayda ilgili kişinin kiracısı olan eğitim kurumu kişi ile yapılan kira uyuşmazlığına ilişkin görüşmenin ses ve görüntülü kaydı alınmıştır. Kurum bu hususta;

“… Somut olayda, ilgili kişiler ve veri sorumlusu arasındaki bir ihtilafın çözümünde delil olarak kullanılmak üzere ve aynı zamanda güvenlik amacıyla ses verisinin işlenmesinin, ses verisini işlemeyi mecburi kılacak bir sebep olarak nazara alınamayacağı, bu nedenle görüntü kaydı alınmaksızın yalnızca ses kaydının alındığı durumda dahi kişisel verinin meşru menfaat kapsamında işlenmesinin söz konusu olmayacağı, Veri sorumlusunun ses kaydı alma yönündeki uygulaması Kanun’a uygun bulunmadığından söz konusu işleme faaliyetinin her halde hukuka aykırı olduğu ve bu sebeple aydınlatma yükümlülüğünün yerine getirilip getirilmediği hususunun ayrıca incelenmesine gerek bulunmadığı, buna karşılık görüntü kaydı alınmasında Kanun’a uygun bir işleme sebebi bulunduğundan hukuka uygun olan kişisel veri işleme faaliyeti açısından aydınlatma yükümlülüğünün yerine getirilip getirilmediğinin de ayrıca ele alınması gerektiği, … değerlendirmelerinden hareketle Ses kaydı alınması suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinde yer alan veri işleme şartlarından herhangi birine dayanılmaksızın gerçekleştirildiği, bu bakımdan veri sorumlusu tarafından, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alması zorunluluğunu getiren, Kanun’un 12’nci maddesinin birinci fıkrasına aykırı hareket edildiği değerlendirilmiş olup bu doğrultuda veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 200.000 TL, Kamera vasıtasıyla görüntü kaydı alınmasının Kanun’un 5’inci maddesinin ikinci fıkrasının (ç) bendinde yer alan“ veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması” ve (f) bendinde yer alan “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” kapsamında hukuka uygun olduğu değerlendirilse de veri sorumlusunun aydınlatma yükümlülüğünün devam ettiği; buna karşılık aydınlatma yükümlülüğünün yerine getirildiğini ispat edemediği, bu bakımdan Kanun’un 10’uncu maddesinde düzenlenen hükme aykırı davranması nedeniyle veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (a) bendi uyarınca 30.000 TL olmak üzere toplam 230.000 TL idari para cezası uygulanmasına …” [18]

şeklinde karar vermiştir.

•           “İlgili kişinin ortaklıktaki paylarının borsada işlem gören niteliğe dönüşmesi için Merkezi Kayıt Kuruluşu AŞ’ye yaptığı başvuru üzerine ad-soyadı ve pay bilgilerinin Kamuyu Aydınlatma Platformu internet sitesinde yayımlanması” hakkında 07/09/2023 Tarihli ve 2023/1563 Sayılı Karar: Karara konu olayda ilgili kişi, elinde bulunan payların borsada işlem gören tipe dönüşümü için Merkezi Kayıt Kuruluşu’na (MKK) başvurmuş; MKK ise yasal zorunluluk gereği bu kişi ve pay bilgilerini Kamuyu Aydınlatma Platformu (KAP) aracılığıyla kamuya duyurmuştur. Şikâyetçi, ad ve soyadının izni olmadan KAP’ta yayımlandığını ileri sürmüştür. Kurum bu hususta;

“ … MKK’nın ise söz konusu işlemi Pay Tebliği (VII-128.1)’nin 15’inci maddesinin üçüncü fıkrasına dayanarak gerçekleştirdiğini belirttiği ve ilgili fıkrada “MKK, borsada işlem gören niteliğe dönüştürülmek istenen payların nominal değerini, başvuruyu yapan kişilerin isim veya unvanını, günlük olarak toplu halde KAP vasıtasıyla kamuya duyurur.” ifadesinin yer aldığı görülmüş olup, sonuç itibariyle bahse konu kişisel veri işleme faaliyetinin Pay Tebliği uyarınca Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (ç) bendi kapsamında hukuki yükümlülüğün yerine getirilmesi amacıyla zorunlu olarak gerçekleştirildiği, bu anlamda veri sorumlusu tarafından yeterli açıklamalarda bulunulduğundan hareketle ilgili kişinin veri sorumlusu Merkezi Kayıt Kuruluşu AŞ hakkındaki şikâyetine ilişkin Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.” [19]

şeklinde değerlendirmede bulunmuştur.

Verilen olaylardan da anlaşıldığı üzere aydınlatma yükümlülüğü kişisel veri işleme faaliyetinin kanunen zorunlu tutulduğu hallerde de devam etmektedir. Buna uyulmadığı takdirde KVKK’nın 18. maddesi kapsamında veri sorumlusu hakkında idari para cezasına hükmedilmesi ihtimali gündeme gelecektir.

Veri Sorumluları Siciline Kayıt İstisnaları

KVKK m.16 gereği, Veri Sorumluları Sicili (VERBİS)’e kayıt, gerçel ve tüzel kişiler veri işlemeye başlamadan önce yapılmalıdır. Bununla beraber Kişisel Verileri Koruma Kurulu, Kanun’da kendisine tanınan yetkiyle bazı objektif kriterler çerçevesinde kayıt yükümlülüğüne istisna getirebilecektir. (KVKK m.16/2). Bu doğrultuda 2023 yılında iki önemli istisna kararı alınmıştır:

•   Köy Tüzel Kişiliklerinin Veri Sorumluları Siciline Kayıt Yükümlülüğünden İstisna Tutulması Hakkında 14/12/2023 Tarihli ve 2023/2135 Sayılı Karar: Muhtar ve ihtiyar meclisi tarafından temsil edilen köy kamu tüzel kişilikleri, aldıkları karar ile VERBİS’e kayıt yükümlülüğünden muaf tutulmuştur. Karar, 12.01.2024 tarihli Resmî Gazete’de yayımlanarak yürürlüğe girmiştir. Kurul bu istisnayı, Kanun’un 16(2) maddesi ile Veri Sorumluları Sicili Hakkında Yönetmelik m.16/1’de sayılan kriterlere dayanarak getirmiştir. Böylece sınırlı kaynaklara sahip köylerin Sicile kayıt yükümlülüğü kaldırılmıştır. [20]

•   Veri Sorumluları Siciline Kayıt Yükümlülüğüne İlişkin İstisna Kriterinde Değişiklik Yapılması Hakkında 06/07/2023 Tarihli ve 2023/1154 Sayılı Karar : Kurul, daha önce belirlediği “50’den az çalışanı ve 25 milyon TL’den az yıllık mali bilanço toplamı olan” veri sorumluları için getirdiği Sicile kayıt muafiyeti kriterindeki finansal limiti artan enflasyon ve ekonomik ölçütler nedeniyle güncellemiştir.  Bu doğrultuda 25 milyon TL olarak uygulanan ciro/aktif toplam sınırı 100 milyon TL’ye çıkarılmıştır. Böylece artık çalışan sayısı 50’den az ve mali bilançosu 100 milyon TL’den az olan veri sorumluları ana faaliyetleri özel nitelikli veri işlemek olmadığı sürece VERBİS’e kayıt zorunluluğundan istisna olacaktır. Kurul, diğer istisna kapsamlarına (örn. noterler, avukatlar, dernekler vb.) dokunmamıştır.[21]

Öğr. Stj. Merve Germeşik

Kaynakça:

1. Kişisel Verileri Koruma Kurulunun 08/08/2024 tarih ve 2024/1385 sayılı Kararı

2. Kişisel Verileri Koruma Kurulunun 03/08/2023 Tarihli ve 2023/1309 Sayılı Kararı

3. Kişisel Verileri Koruma Kurulunun 24/08/2023 Tarihli ve 2023/1465 Sayılı Kararı

4. Kişisel Verileri Koruma Kurulunun 03/08/2023 Tarihli ve 2023/1327 Sayılı Kararı

5. https://kvkk.gov.tr/Icerik/2050/Kisisel-Veriler

6.  Kişisel Verileri Koruma Kurulunun 03/08/2023 Tarihli ve 2023/1321 Sayılı Kararı

7. Kişisel Verileri Koruma Kurulunun 18/07/2024 tarihli ve 2024/1176 sayılı Kararı

8. Kişisel Verileri Koruma Kurulunun 28/09/2023 Tarihli ve 2023/1645 Sayılı Kararı

9. Kişisel Verileri Koruma Kurulunun 28/09/2023 Tarihli ve 2023/1653 Sayılı Kararı

10. Kişisel Verileri Koruma Kurulunun 20/07/2023 tarihli ve 2023/1234 sayılı Kararı

11. Kişisel Verileri Koruma Kurulunun 17/08/2023 tarihli ve 2023/1430 Sayılı Kararı

12. Kişisel Verileri Koruma Kurulunun 14/09/2023 Tarihli ve 2023/1578 Sayılı Kararı

13. Kişisel Verileri Koruma Kurulunun 17/08/2023 Tarihli ve 2023/1414 Sayılı Kararı

14. Kişisel Verileri Koruma Kurulunun 31/08/2023 Tarihli ve 2023/1509 Sayılı Kararı

15. Kişisel Verileri Koruma Kurulunun 03/08/2023 Tarihli ve 2023/1310 Sayılı Kararı

16. Kişisel Verileri Koruma Kurulunun 07/09/2023 Tarihli ve 2023/1548 Sayılı Kararı

17. Kişisel Verileri Koruma Kurulunun 10/08/2023 Tarihli ve 2023/1356 Sayılı Kararı

18. Kişisel Verileri Koruma Kurulunun 24/08/2023 Tarihli ve 2023/1461 Sayılı Kararı

19. Kişisel Verileri Koruma Kurulunun 07/09/2023 Tarihli ve 2023/1563 Sayılı Kararı

20. Kişisel Verileri Koruma Kurulunun 14/12/2023 Tarihli ve 2023/2135 Sayılı Kararı

21. Kişisel Verileri Koruma Kurulunun 06/07/2023 Tarihli ve 2023/1154 Sayılı Kararı