Bülten | Kişisel Verilerin Korunması Hakkında Aylık Bülten – Mayıs 2022
Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından Mayıs ayı içerisinde 15 adet Kişisel Verileri Koruma Kurul (“Kurul”) kararı yayımlanmış, Veri Temelli Ekonomilerde Güncel Gelişmeler ve Avrupa Birliği’ndeki Son Veri Düzenlemeleri Işığında Kişisel Veriler konularında Çarşamba seminerleri, 2. Kişisel Verileri Koruma Zirvesi, 5. e-Safe Kişisel Verileri Koruma Zirvesi düzenlenmiş ve 30. Avrupa Veri Koruma Otoriteleri Konferansına katılım sağlanmıştır.
1. Kurul Karar Özetleri
23 Mayıs 2022 tarihinde 15 adet Kurul karar özeti yayımlanmıştır. Bu kararlardan en önemlileri şu şekildedir:
a.E- ticaret firması tarafından çerezlerin hukuka aykırı işlenmesi
10/03/2022 tarih ve 2022/229 sayılı kararda, ilgili kişi çerezler hakkında aydınlatma yükümlülüğünün tam olarak yerine getirilmediği, işleme şartı olarak meşru menfaatin zorunlu olduğunun iddia edilebilmesinin hukuken mümkün olmadığı, çerezler kapsamında işlenen kişisel verilerin yurt dışına aktarıldığı ve bu kapsamda açık rızasının alınmadığı sebepleriyle şikâyette bulunmuştur.
Kurul tarafından yapılan incelemede; (i) internet sitesinin çalışabilmesi için gereken zorunlu çerezlere ilişkin ilgili kişilerin açık rızası alınmasına gerek olmadığı ancak reklam, pazarlama ve performans amacıyla çalışan çerezlerin ilgili kişinin açık rızasına tabi olduğu belirtilerek veri sorumlusu tarafından “opt-in” mekanizmasına göre açık rıza alınmadığı, (ii) yurtdışına aktarım konusunda da açık rıza alınmadığı, (iii) internet sitesinde pop-up ile çerez politikası metni konusunda bilgi verildiği ancak metne direkt yönlendirme yapılmadığı, (iv) çerez politikasında kişisel verilerin hangi amaçla işleneceği, kimlere ve hangi amaçla aktarılabileceği, toplamanın yöntemi ve hukuki sebebi ile ilgili doğru bir şekilde bilgilendirme yapılmadığı kanaatine varılmıştır.
Bu kapsamda veri sorumlusu tarafından 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”)’nın 5 ve 6.maddesindeki şartlarından herhangi birine dayanılmaksızın işleme faaliyeti gerçekleştirildiği, KVKK’nın 9.maddesindeki aktarım usullerinden herhangi birine dayanılmaksızın kişisel veri aktarıldığı, KVKK’nın 12/1.maddesindeki veri güvenliğine ilişkin yükümlülüklerini yerine getirilmediği nedenleri doğrultusunda veri sorumlusuna 800.000 TL idari para cezası uygulanmasına ve Kurul kararında belirtilen eksiklikler konusunda düzenlemeler yapılarak Kurula en geç 30 gün içinde bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına karar verilmiştir.
b.Banka tarafından ilgili kişinin ailesinin telefonları üzerinden arama gerçekleştirilmesi
09/12/2021 tarih ve 2021/1239 sayılı kararda, ilgili kişi kredi sözleşmesi akdettiği Banka tarafından sözleşmeye konu borca ilişkin olarak kendisine ulaşılamadığı gerekçesiyle anne ve babasının sabit telefonları üzerinden ısrarla arandığı, bu görüşmelerde kendisi ve ortaklarının isimlerinin verildiği, yapılan aramalar sonucu zor duruma düştüğü sebepleriyle şikâyette bulunmuştur.
Kurul tarafından yapılan incelemede; (i) veri sorumlusu Banka ile kredi başvuru süreci yürütülürken ilgili kişinin bazı kişisel verilerinin işlendiği, anılan sözleşmeden kaynaklanan bir borcun/riskin oluştuğu, oluşan risk üzerine ilgili kişiye cep telefonu numarasından ulaşılamadığı, Risk Merkezi’nden yapılan sorgulama neticesinde alternatif numara olan Risk Merkezi sisteminde aynı zamanda ev telefon numarası şeklinde kayıtlı olan numaradan aramalar yapıldığı, (ii) söz konusu aramanın ilgili mevzuat ve Kurulun 05.03.2021 tarihli yazısı doğrultusunda gerçekleştirildiği, (iii) ilgili kişinin talebi üzerine yanlış numara aksiyonu alınması gerekirken, aramaların devam ettiği ve ilgili personelin bu konuda uyarıldığı tarihte yanlış numara aksiyonu alındığı, (iv) şikayete konu telefon numarası ile yapılan görüşmeleri kapsayan dökümlerde, ilgili kişinin borç bilgilerine ilişkin bilgi verilmediği tespitleri yapılmıştır.
Bu kapsamda veri sorumlusu tarafından borçlu takibinin Risk Merkezi sisteminde kayıtlı telefon numarasına yönelik yapıldığı, eldeki mevcut bilgi ve belgelerden veri sorumlusu tarafından kişisel veri paylaşıldığına yönelik bir tespitte bulunulamadığı ve ilgili kişinin talebi üzerine aramalara ilişkin kısa sürede gerekli aksiyonun alındığı dikkate alındığında veri sorumlusu hakkında Kanun kapsamında yapılacak bir işlem olmadığına, personelin telefon aramalarında kişisel verilerin korunması yönünden daha dikkatli olunmasına dair bilgilendirilmesinin veri sorumlusuna hatırlatılmasına karar verilmiştir.
c.Üniversite eğitiminde kişisel verileri içeren yoklama listesinin diğer katılımcılar tarafından görünebilir şekilde düzenlenmesi
02/12/2021 tarih ve 2021/1214 sayılı kararda, ilgili kişi üniversiteden aldığı eğitim sırasında kursiyerlerin isim ve T.C. kimlik numaralarının yer aldığı yoklama listelerinin elden elde dolaştırılarak imzalandığı, ayrıca kişisel verilerin işlenmesine dair aydınlatma yapılmadığı sebepleriyle şikâyette bulunmuştur.
Kurul tarafından yapılan incelemede; (i) kullanılan devam takip çizelgesinde aynı ad ve soyadı bilgisine sahip kişilerin olması ihtimaline karşın, kişiyi belirleyici kılan başka bir verinin (örneğin T.C. kimlik numarasının) kullanılmasının gerekmesi halinde ilgili verinin maskelenerek kullanılması gerektiği, (ii) Üniversite ile ilgili kişi arasında imzalanan sözleşmede aydınlatma yükümlülüğünün yerine getirilmediği değerlendirilerek; veri sorumlusu Üniversite hakkında devam takip çizelgesinin tekrar gözden geçirilerek uygulamaya geçirilmesi ve aydınlatma yükümlülüğünün yerine getirilmesi yönünde talimatlandırılmasına ve sonucundan Kurula bilgi verilmesine karar verilmiştir.
d.İlgili kişinin kredi notunun Banka tarafından düzeltilmemesi ve kişisel verilerinin üçüncü kişilerle paylaşılması
02/11/2021 tarih ve 2021/1107 sayılı kararda, ilgili kişi Banka tarafından hukuksuz şekilde kredi notunu etkileyen işlemler ile kredi notunun düşürüldüğü, yapılan itiraz üzerine Banka tarafından bu işlemin düzeltildiği fakat takip eden aylarda Banka tarafından birkaç kez daha tekrarlandığı ve her seferinde ilgili kişinin ısrarlı tepkileri sonucunda düzeltildiği, finans bilgilerinin gerçeğe aykırı olarak hukuka aykırı şekilde paylaşıldığı sebepleriyle şikâyette bulunmuştur.
Kurul tarafından yapılan incelemede; (i) veri sorumlusu Bankanın Risk Merkezine üye olma zorunluluğunun bulunduğu ve ilgili mevzuat gereği Risk Merkezine müşterilerine ait kredi bilgisi, kredi riski vb. bilgileri bildirmesi gerektiği, (ii) Bankanın somut olaydaki gibi kişisel verilere dayalı olarak ilgili kişiyle alakalı bir sonuç ortaya koyduğu durumda kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması konusundaki özen yükümlülüğünü bulunduğu, (iii) Banka tarafından manuel düzeltmeler ile ilgili kişinin talebi yerine getirilmiş olsa dahi, Banka tarafından Kredi Kayıt Bürosuna yapılan hatalı raporlamalar suretiyle ilgili kişinin kişisel verilerinin yanlış işlendiği ve bu kapsamda Bankanın kişisel verilerin hukuka aykırı işlenmesini önlemek üzere gerekli idari ve teknik tedbirleri almadığı, ilgili kişinin mağduriyet yaşadığı ve zarara uğratıldığı kanaatine varılmıştır.
Bu kapsamda veri sorumlusunun KVKK’nın 4.maddesinde yer alan genel ilkelerden doğru ve gerektiğinde güncel olma ilkesine aykırı olarak işleme faaliyeti gerçekleştirmesi, KVKK’nın 12/1.maddesindeki veri güvenliğine ilişkin yükümlülüklerini yerine getirmemesi nedenleri doğrultusunda veri sorumlusuna 150.000 TL idari para cezası uygulanmasına ve ilgili kişi başvurularına usule uygun ve yeterli bir cevap verilmesi gerektiğinin veri sorumlusuna hatırlatılmasına karar verilmiştir.
e.İş arama ve işe alım süreçlerini yürüten bir istihdam platformunun hukuka aykırı uygulamalarda bulunması
14/10/2021 tarih ve 2021/1051 sayılı kararda, ilgili kişi istihdam platformu üyelik hesabı üzerinden yaptığı iş başvuruları ve iş görüşmeleri sonucunda işverenlere yönelik kişisel verilerinin gizliliği ve işlenmesi hususlarında veri sorumlusunun KVKK’ya aykırı uygulamalarda bulunduğu, işverenlere sunulan tüm bilgi ve belgelerin dijital bir örneğinin kendisine verilmesi hususundaki bilgi/erişim talebinin veri sorumlusunca yerine getirilmediği ve cevabi yazıda onayı olmaksızın verilerinin silineceğinin belirtildiği sebepleriyle şikâyette bulunmuştur.
Kurul tarafından yapılan incelemede; (i) ilgili kişinin bilgi edinme talebinin veri sorumlusunun e-postası ile yerine getirildiği, (ii) İlgili kişinin talebi olmaksızın kişisel verilerinin silineceğinin bildirilmesi konusunda, ilgili kişinin başvurusunda KVKK’nın 11/1.maddesindeki tüm haklarını kullanma talebinde bulunması nedeniyle veri sorumlusu tarafından kişisel verilerinin silinmesi talebinde de bulunduğunun anlaşıldığı fakat ilgili kişinin cevabı üzerine böyle bir talebin olmadığının anlaşılması sonucunda silme işleminin derhal durdurulduğu, (iii) İlgili kişinin onayı olmaksızın iş başvuruları ve iş görüşmelerine ilişkin kişisel verilerinin diğer işverenlerle paylaşılması konusunda, ilgili kişi tarafından şüphenin ötesine geçen herhangi bir tevsik edici bilgi veya belge sunulmaması, veri sorumlusunun ise işverenlerin yalnızca çalışan adaylarının platforma yüklediği bilgileri görebildiğini, işverenlerin kendilerine başvuruda bulunan çalışan adaylarına ilişkin notlarını ve izlenimlerini platforma yükleyebildiği ancak bu durumun tamamen işverenlerin takdirinde olduğu ve işverenlerin çalışan adayları hakkında aldığı notların ve izlenimlerinin diğer işverenler ile paylaşılması gibi bir uygulamanın söz konusu olmadığını beyan etmesi değerlendirilerek; veri sorumlusu hakkında yapılacak bir işlem bulunmadığına karar verilmiştir.
2. Veri Temelli Ekonomilerde Güncel Gelişmeler
Kurum tarafından düzenlenen Çarşamba seminerleri kapsamında 11 Mayıs 2022 tarihinde Veri Temelli Ekonomilerde Güncel Gelişmeler konulu seminer düzenlenmiştir. Seminere ODTÜ İktisadi ve İdari Bilimler Fakültesi Öğretim Üyesi Doç. Dr. Gamze AŞÇIOĞLU ÖZ konuşmacı olarak katılım sağlamıştır.
Seminerde, dijitalleşmeyle birlikte değişen denge ve değerlerin özellikle rekabet hukukunu etkilediği belirtilmiş ve verinin güç ifade ettiği günümüz dünyasında, veri ile ilgili hukuki düzenlemelere daha çok ihtiyaç duyulduğuna değinilmiştir.
Veri konusunda yapılacak düzenlemeler ile rekabet hukukunun kesiştiği pek çok nokta olmakla birlikte, veri temelli rekabet sorunları incelenerek çözüm önerilerinde bulunulmuştur.
3. Avrupa Birliği’ndeki Son Veri Düzenlemeleri Işığında Kişisel Veriler
Kurum tarafından düzenlenen Çarşamba seminerleri kapsamında 25 Mayıs 2022 tarihinde Avrupa Birliği’ndeki Son Veri Düzenlemeleri Işığında Kişisel Veriler konulu seminer düzenlenmiştir. Seminere Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Hukuk Müşavirliğinden Işıl Selen DENEMEÇ konuşmacı olarak katılım sağlamıştır.
Seminerde, teknolojide yaşanan son gelişmeler ve dünyada yaşanan güncel olaylarla birlikte kişisel verilerin korunmasına olan ihtiyacın gün geçtikçe arttığı ve bu nedenle kişisel verilerin korunmasına ilişkin yeni düzenlemelerin yapılması gerektiğine değinilmiştir.
Bu doğrultuda Avrupa Konseyi’nin 25 Mayıs 2018 tarihinde yürürlüğe giren Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ardından güncel gelişmeler doğrultusunda 16 Mayıs 2022 tarihinde Veri Yönetim Yasası’nı (Data Govermance Act) kabul ettiği belirtilmiştir. Veri Yönetim Yasası’nın amaç ve kapsamı incelendiğinde ise GDPR’ı yürürlükten kaldırmadığı ve GDPR’la birlikte uygulanacağı görülmektedir.
4. 2. Kişisel Verileri Koruma Zirvesi
Kişisel Verileri Koruma Kurumu ile Türkiye Bilişim Derneği’nin iş birliğiyle 24 Mayıs 2022 tarihinde gerçekleşen 2. Kişisel Verileri Koruma Zirvesi etkinliğine Kurum başkanı Prof. Dr. Faruk BİLİR, Kurul Üyeleri Şaban BABA ve Cengiz PAŞAOĞLU, Türkiye Bilişim Derneği Başkanı Rahmi AKTEPE ile kamu ve özel sektörden çok sayıda temsilci katılım sağlamıştır.
Zirvede Kişisel Verilerin Korunmasında İdari Hususlar ve Çözüm Önerileri, Kişisel Verilerin Korunmasında Teknik Hususlar ve Çözüm Önerileri, KVKK Gelecek Öngörüleri başlıklı 3 oturum gerçekleştirilmiştir.
5. 5. e-Safe Kişisel Verileri Koruma Zirvesi
17 Mayıs 2022 tarihinde gerçekleşen ve bu yılki teması Dijital Çağda Kişisel Verilerin Korunması olan 5. e-Safe Kişisel Verileri Koruma Zirvesi etkinliğine Kurum başkanı Prof. Dr. Faruk BİLİR, e-Safe Kurucusu Musa SAVAŞ, Türk Telekom Regülasyon Uyum Direktörü Numan İLERİ ile hukukçu ve bilişim uzmanları katılım sağlamıştır.
Zirvede; Kurumlarca Verilecek Hizmetlerde Çift Katmanlı Doğrulamanın Yapılması, Kişisel Verileri Koruma Kurulu İlke Kararlarına Kısa Bir Bakış, Kullanıcı Güvenliğine İlişkin Veri Sorumluları Tarafından Alınması Tavsiye Edilen Tedbirler, Ticari İleti Onayı ve Kişisel Verilerin Açık Rızaya Dayanarak İşlenmesi İlişkisi ve Özel Nitelikli Kişisel Verilerin İşlenmesinde Alınması Gereken Yeterli Önlemler konularında sunumlar yapılmıştır.
6. 30. Avrupa Veri Koruma Otoriteleri Konferansı
30. Avrupa Veri Koruma Otoriteleri Konferansı (Spring Conference) 19-20 Mayıs 2022 tarihlerinde Hırvatistan’ın Dubrovnik kentinde Avrupa’da bulunan Veri Koruma Otoritelerinin temsilcilerinin katılımı ile gerçekleştirilmiştir. Konferansa Kurumu temsilen Kurum Başkanı Prof. Dr. Faruk BİLİR, Kurul Üyelerinden Hasan AYDIN ve uzmanlardan Ahmet Miraç SÖNMEZ katılım sağlamıştır.
Konferans kapsamında “Konferans’ın Geleceği Alt Çalışma Grubu”nun hazırladığı rapor görüşüldü ve 108+ Sözleşmesi ile ilgili bir İlke Kararı kabul edilmiş ve bir sonraki Konferans’ın ise Macaristan’ın Budapeşte kentinde yapılması kararlaştırılmıştır.
7. Sonuç
Yukarıda incelediğimiz kararlar ve seminerler doğrultusunda:
- Reklam, pazarlama ve performans amacıyla çalışan çerezlerle ilgili veri sorumlusu tarafından “opt-in” mekanizmasına göre açık rıza alınması gerekmektedir.
- Herkese açık yayınlanan dokümanlarda aynı ad ve soyada sahip kişilerin olması ihtimaline karşın kişiyi belirleyici kılan başka bir verinin kullanılmasının gerekmesi halinde ilgili verinin maskelenerek kullanılması gerekmektedir.
- Veri sorumlusunun, kişisel verilere dayalı olarak ilgili kişiyle alakalı bir sonuç ortaya koyduğu durumda kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması konusundaki özen yükümlülüğü bulunmaktadır.