Kişisel Verilerin Korunması Hakkında Aylık Bülten | Ocak 2022
Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından Ocak ayı içerisinde Kişisel Verileri Koruma Kurul (“Kurul”) kararı, Veri Sorumluları Siciline Kayıt Hakkında ve Taahhütname Başvurusu Hakkında kamuoyu duyuruları, Çerez Uygulamaları Hakkında Rehber Taslağı ve Araç Kiralama Sektöründeki Kara Liste Uygulamaları Hakkında İlke kararı yayımlanmıştır. Ayrıca, Sosyal Medyada Kişisel Verilerin Korunması konulu Çarşamba semineri ve 28 Ocak Veri Koruma Günü Etkinliği düzenlenmiştir.
1. İlgili Kişinin Cep Telefonunun, Digiturk Kampanyaları Hakkında Bilgilendirme İçin Aranması ve SMS Gönderilmesi
3 Ocak 2022 tarihinde Kurum tarafından, 02/12/2021 tarihli ve 2021/1210 numaralı Kurul karar özeti yayımlanmıştır. İlgili kişi şikayetinde, kullanmakta olduğu cep telefonu numarasına 3 adet numaradan farklı tarihlerde aramalar gerçekleştirilerek Digiturk bayisi olduğunu belirten kişilerin Digiturk kampanyaları hakkında bilgilendirmede bulunduğu, akabinde Digiturk reklam ve pazarlamasının yapılması amacıyla telefon üzerinden SMS gönderildiği, ancak iletişim bilgilerinin ticari elektronik ileti gönderilmesi suretiyle işlenmesi hususunda açık rızasının bulunmadığı ve kişisel verilerinin hukuka aykırı olarak işlendiği, Digiturk’e yapmış olduğu başvuruya cevap olarak da söz konusu ticari iletilerin kendileri tarafından gönderilmediği ve başvuruda belirtilen telefon numaralarının Şirket’lerine ait olmadığı yönünde bilgi verildiğini belirterek, konu ile ilgili gerekli incelemenin yapılmasını talep etmiştir.
Kurum tarafından Digiturk’ten savunma istenmiş olup savunmada, Şirket ürün ve hizmetlerinin son kullanıcılara satışına aracılık eden bayilerin tüm pazarlama süreçlerinde Şirket’ten bağımsız şekilde ayrı birer veri sorumlusu sıfatı ile hareket ettikleri, bu aramalar üzerinde Şirket’in herhangi bir denetim imkânının bulunmadığı ve dolayısıyla şikâyete konu olayda Şirket’in veri sorumlusu olarak hareket etmediği belirtilmiştir.
Yapılan incelemede telefon numaralarından birinin bayiye, ikisinin de bir şahsa ait olduğu tespit edilmiş ve bu kişilerden savunma talep edilmiştir. Bayi cevabında, ilgili kişinin rızası olmaksızın aranmasının Şirket’in operatör-çağrı merkezi bölümünü ilgilendirdiği ve operatör hizmetinin şahsa devredildiğini belirtmiş, şahısla aralarındaki taşeronluk sözleşmesini göndermiştir. Taşeron cevabında, bayiye taşeron çağrı merkezi hizmeti verilmekte olduğunu, sistemlerinde kayıtlı olan verilerin 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’un yürürlük tarihinden önce numara türetme yöntemiyle elde edilmiş olduğunu ve bu sebeple kapsam dışında olduğunu iddia etmiştir. Aramaları gerçekleştiren şahıs ise, bazı dönemlerde sosyal medya hesapları üzerinden verilen reklamların, kişilerin sosyal medya hesaplarında karşılarına çıktığı ve bu kapsamda kendi istekleri ile form doldurmalarının ardından kendilerine kampanya duyurusu yapıldığı, ilgili kişinin bir internet sitesi üzerinden doldurduğu formu sunarak da ilgili kişinin verisini kendisinin paylaştığı belirtilmiştir.
Kurul kararında; (i) Digiturk ve bayi hakkında veri sorumlusu olarak davrandıklarına ilişkin bir tespit yapılamadığı için onlar hakkında tesis edilecek bir işlem bulunmadığına, (ii)Taşeron tarafından ilgili kişinin telefon numarasının işlenmesinde 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”)’nın 5.maddesinde yer alan herhangi bir işleme şartına dayanılmadığı, dolayısıyla KVKK’nın 12/1.maddesine aykırı hareket edildiğinden veri sorumlusu taşeron hakkında KVKK’nın 18/1-b.maddesi kapsamında idari yaptırım uygulanmasına, (iii) Şahıs tarafından Kurum’a sunulan formun hukuka uygun bir açık rıza olarak kabul edilemeyeceği belirtilerek, ilgili kişinin kişisel verisinin işlenmesinde KVKK’nın 5.maddesinde yer alan herhangi bir işleme şartına dayanılmadığı, veri sorumlusu şahıs hakkında KVKK’nın 12/1.maddesindeki veri güvenliğine ilişkin yükümlülüklerini yerine getirmemesi nedeniyle KVKK’nın 18/1-b.maddesi kapsamında idari yaptırım uygulanmasına, (iv) İlgili kişi tarafından kullanılmakta olan telefon numarası verisinin imha edilmesi ve sonucu hakkında Kurula bilgi verilmesi hususunda taşeron ve şahsın talimatlandırılmasına, (v) Yeni müşteri kazandırma süreçlerinde KVKK’ya uyum konusunda azami dikkat ve özenin gösterilmesi hususunda bayilerini yönlendirmesi/bilgilendirmesi ve bayiler ile yapılacak sözleşmelerde veri sorumlusu ve veri işleyenin kim olduğu hususunda açık hükümlere yer verilmesi hususunda Digiturk’ün talimatlandırılması sonucuna varmıştır.
2. Veri Sorumluları Siciline Kayıt Hakkında Kamuoyu Duyurusu
4 Ocak 2022 tarihinde, Kurum tarafından veri sorumluları siciline kayıt konusunda kamuoyu duyurusu yayımlanmıştır. Duyuruda Veri Sorumlusu Sicili Hakkındaki Yönetmelik doğrultusunda veri sorumlularının, Veri Sorumluları Sicil Bilgi Sistemi (“VERBİS”)’e sunulan bilgilerin eksiksiz, doğru, güncel ve hukuka uygun olmasından sorumlu olduğu, bu bilgilerin kişisel veri işleme envanterine dayalı olarak hazırlanması gerektiği hatırlatılmıştır.
VERBİS’e kayıt ve bildirim yükümlülüğünün yerine getirilmiş olması için sırasıyla gerçekleştirilmesi gereken işlemler şu şekildedir: (i) VERBİS’e kayıt başvuru formunun Kuruma posta, kargo, kurye veya KEP ile iletilmesi ya da elden teslim edilmesi, (ii) Kurum tarafından onaylanması, (iii) Başvuru formunda belirtilen elektronik posta adresine iletilen kullanıcı adı ve parola ile Veri Sorumlusu Yönetici sekmesinden giriş yaparak bir irtibat kişisi atanması, (iv) Atanan irtibat kişisi tarafından da yine Sicile Kayıt sekmesinden giriş yapılması, (v) İlgili veri sorumlusu için bildirim düzenlenerek sistem üzerinden bildirimin onaylanmasıdır.
Eksik başvuru ve bildirimlerin bu doğrultuda bir an önce tamamlanması veri sorumluları açısından önem arz etmektedir. Ayrıca veri sorumluları VERBİS’e kaydolmanın yanı sıra KVKK ve ikincil mevzuatta getirilen diğer yükümlülüklere de uymakla mükelleftir.
3. Taahhütname Başvurusu Hakkında Kamuoyu Duyurusu
KVKK’nın 9/2-b.maddesi kapsamında yeterli korumanın bulunmadığı ülkelere kişisel veri aktarımının gerçekleştirilebilmesi için aktarım taraflarının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurum’un aktarıma izin vermesi gerekmektedir.
18 Ocak 2022 tarihinde Kurum tarafından yayınlanan duyuruda, veri sorumlusu olan Türkiye Futbol Federasyonu tarafından yurt dışına kişisel veri aktarımı yapılması konusundaki taahhütname başvurusunun, KVKK’nın 9/2-b.maddesi kapsamında değerlendirildiği ve kişisel verinin yurtdışı aktarımına 18 Ocak 2022 tarihinde Kurum tarafından izin verildiği belirtilmiştir.
4. Çerez Uygulamaları Hakkında Rehber Taslağı
11 Ocak 2022 tarihinde Kurum tarafından Çerez Uygulamaları Hakkında Rehber Taslağı yayınlanmıştır. Taslak Rehber’de, çerezler yoluyla kişisel veri işleyen internet sitesi işleticileri için kişisel verilerin korunmasına yönelik öneriler yer almaktadır. Ayrıca kamuoyunun görüşüne sunulan bu Taslak Rehber’e ilişkin görüş ve değerlendirmelerin 10 Şubat 2022 tarihine kadar yazı ile Kuruma ve/veya e-posta ile cerez@kvkk.gov.tr elektronik posta adresine gönderilebileceği belirtilmiştir.
Taslak Rehber’de çerez tanımı, “bir internet sayfası ziyaret edildiğinde kullanıcılara ilişkin birtakım bilgilerin kullanıcıların terminal cihazlarında depolanmasına izin veren düşük boyutlu zengin metin biçimli text formatları” şeklinde yapılmış ve çerezler sürelerine, kullanım amaçlarına ve taraflarına göre türlere ayrılmıştır. Bu doğrultuda sürelerine göre çerezler; oturum çerezleri ve kalıcı çerezler, kullanım amaçlarına göre çerezler; kesinlikle gerekli çerezler (zorunlu çerezler) , işlevsel çerezler, performans-analitik çerezler ve reklam/pazarlama çerezleri olarak belirtilmiştir. Taraflarına göre çerezler ise birinci taraf ve üçüncü taraf çerezlerdir.
Rehberin üçüncü bölümü, 5809 Sayılı Elektronik Haberleşme Kanunu ile KVKK arasındaki ilişki üzerine değinmiştir. Çerezler konusunun KVKK’da açıkça düzenlenmediği ancak 5809 sayılı Elektronik Haberleşme Kanunu’nun 51/3.maddesinin, Avrupa Birliği’nin 2002/58/EC sayılı Direktifinin 5/3.maddesi ile kısmi bir uyum göstermesi sebebiyle çerezler konusunda sınırlı bir uygulama alanı bulabileceği değerlendirilmiştir. Çerezler vasıtasıyla kişisel verilerin işlenmesi bağlamında Kurul’un 27.02.2020 tarihli ve 2020/173 sayılı kararının dikkate alınabileceği değerlendirilmiştir.
a. 27.02.2020 tarihli ve 2020/173 sayılı Kararın Önemli Noktaları
Kurul’un 27.02.2020 tarihli ve 2020/173 sayılı kararı kapsamında çerezler konusunda dikkat edilmesi gereken hususlar şu şekildedir:
- Tek başına gizlilik bildirimlerinin yer alması aydınlatma yükümlülüğünün yerine getirildiği şeklinde yorumlanmayacak ve aydınlatmanın tüm unsurları içerecek şekilde açık, sade ve anlaşılır yapılması gerekmektedir.
- Kişisel veri işleme faaliyeti için alınacak açık rıza, aydınlatma yükümlülüğünden ayrı şekilde alınmalıdır.
- Çerez yoluyla kişisel veri işlenmesi için açık rıza istenirken, açık rıza, ilgili kişiye sözleşmenin kurulması veya ifasının ön koşulu olarak dayatılamayacaktır.
- Eğer kişisel veri işleme faaliyeti açık rıza alınmak suretiyle yapılacaksa, her farklı amaç için ayrı açık rıza alınmalıdır.
- Aydınlatma, en geç veri işlendiği esnada yapılmalıdır.
- Açık rızanın alınabilmesi için aktif bir eylemin gerçekleşmiş olması gerekmektedir (Sadece internet sitesine girmek aktif bir eylem olarak kabul edilmemektedir).
- Çerezler yoluyla kişisel verilerin işlenmesi için açık rıza dışında bir hukuki sebebe de dayanılabilmesi mümkün olacaktır.
b. Çerezlere Dair Dikkat Edilmesi Gereken Kurallar
Taslak Rehber’in dördüncü bölümünde çerezler vasıtasıyla kişisel veri işlenmesinde önem arz eden tavsiyeler verilmiştir. Bu kapsamda veri sorumlularının çerezler aracılığıyla kişisel veri işlerken aşağıdaki kriterleri göz önünde bulundurmaları gerekmektedir:
“Kriter A: Çerezin sadece, iletişimin elektronik haberleşme şebekesi üzerinden sağlanması amacıyla kullanılması,
Kriter B: Çerez kullanımının, abonenin veya kullanıcının hizmet almak için açıkça talep ettiği bilgi toplum hizmetleri için kesinlikle gerekli olması.”
Ayrıca KVKK kapsamında çerezler bakımından kişisel veri işlemek için açık rıza veya KVKK’nın 5 veya 6.maddelerinde sayılan diğer veri işleme şartlarından birinin bulunması gerekmektedir. Veri sorumlusu, KVKK’nın 5/2-f.maddesindeki kişinin temel hak ve özgürlükleri ihlal edilmeden veri sorumlusunun meşru menfaatine dayanarak veri işlenmesi işleme şartına dayanarak hareket edecekse, Kriter A ve B’yi göz önüne alarak denge testi yapması uygun olacaktır.
Veri sorumlusu, öncelikle açık rıza dışındaki işleme şartlarının somut olaya uygun olup olmadığını değerlendirecek, uygun olmadıkları takdirde açık rıza işleme şartına dayanacaktır. İnternet sayfasına üçüncü taraf çerezlerin yerleştirildiği durumlarda hem internet sitesi sahibi hem de üçüncü taraf, kullanıcıların çerezler hakkında açık bir şekilde bilgilendirilmesini sağlamak ve rızalarını almakla yükümlüdür.
c. Açık Rıza Gerektiren ve Gerektirmeyen Çerez Kullanım Senaryoları
Taslak Rehber’in 5 ve 6. bölümlerinde veri sorumlularına örnek olması için sınırlı sayıda olmayan açık rıza gerektirmeyen ve açık rıza gerektiren çerez kullanım senaryoları belirtilmiştir. Bu düzenlemeye göre açık rıza gerektirmeyen çerez kullanım senaryoları; (i) Kullanıcı girdili çerezler, (ii) Kimlik doğrulama çerezleri, (iii) Kullanıcı merkezli güvenlik çerezleri, (iv) Multimedya oynatıcı oturum çerezleri, (v) Yük dengelemesi oturum çerezleri, (vi) Kullanıcı ara yüzünü kişiselleştirme çerezleri, (vii) Sosyal eklenti içerik paylaşımı çerezleri, (viii) Açık rıza yönetim platformu için kullanılan çerezler, (ix) Birinci taraf analitik çerezler, (x) İnternet sitesinin güvenliği için kullanılan çerezlerdir.
Açık rıza gerektiren çerez kullanım senaryoları ise, (i) Sosyal eklenti takip çerezleri, (ii) Çevrimiçi davranışsal reklamcılık çerezleridir.
5. Araç Kiralama Sektöründeki Kara Liste Uygulamaları Hakkında İlke Kararı
20 Ocak 2022 tarihli ve 31725 sayılı Resmî Gazete’de, Kurum’un 23 Aralık 2022 tarihli ve 2021/1304 sayılı araç kiralama sektöründeki kara liste uygulamaları hakkındaki ilke kararı yayımlanmıştır.
Kurum’a gelen ihbarlar doğrultusunda Kurul’un yaptığı incelemelerde araç kiralama sektöründe kara liste programı, uygulamalarının kullanıldığı tespit edilmiştir. Kara Liste uygulamaları ile araç kiralayan gerçek kişilerin kişisel verilerinin işlenerek araçların kullanım sürecinde meydana gelen olumsuzlukları veya araç kiralama firmasının yorumlarını da içeren kara liste bilgilerinin, araç kiralama firmaları tarafından sonraki kiralamalar için karar verirken kullanılmak üzere işlendiği görülmektedir. Ayrıca, bu yazılımlar ile bir araç kiralama firmasının kendi girdiği verileri diğer araç kiralama firmalarına da açmasına da olanak sağlanmaktadır. Dolayısıyla, araç kiralama firmasından yazılıma, yazılımdan ise söz konusu yazılımı kullanan diğer araç kiralama firmalarına kara listeye ilişkin veri akışı sağlayan bir sistem oluşturulduğu, araç kiralayan ilgili kişilerin kişisel verilerinin de böylece karşılıklı olarak paylaşılmakta olduğu, araç kiralayan gerçek kişinin ise kişisel verilerinin kara liste özelliği içeren yazılımlar vasıtasıyla müşterisi olduğu araç kiralama firması haricinde bilinmeyen sayıda kullanıcı ile paylaşıldığına dair bilgi sahibi olmadığı anlaşılmıştır.
Kurum tarafından, KVKK 5/2-f maddesi uyarınca “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” kapsamında veri sorumlusu bünyesinde olmak üzere kara liste kaydı yapılmasının somut olaya göre ayrıca değerlendirilmek koşuluyla uygulanabilir olabileceği; ancak işlenen kişisel verilerin aynı yazılımı kullanan diğer veri sorumlularına (diğer araç kiralama firmalarına) açılması halinde ilgili kişinin temel hak ve özgürlüklerinin ihlal edilmeme şartının karşılanamayacağı ve ayrıca bilinmeyen sayıda paylaşılan verinin de hukuka ve dürüstlük kurallarına aykırı olacağı değerlendirilmiştir. Ayrıca kara liste kapsamında ilgili kişilerin KVKK’nın 11. maddesinden kaynaklanan haklarını gereği gibi kullanabilmelerini engelleyeceği belirtilmiştir.
6. Sosyal Medyada Kişisel Verilerin Korunması Semineri
Kurum tarafından düzenlenen Çarşamba seminerleri kapsamında 12 Ocak 2022 tarihinde Sosyal Medyada Kişisel Verilerin Korunması konulu seminer düzenlenmiştir. Seminere, İbn Haldun Üniversitesi İletişim Fakültesi Öğretim Üyesi Doç. Dr. Berrin Kalsın konuşmacı olarak katılım sağlamıştır.
Seminerde, dijitalleşen dünyada kişisel olan ve olmayan kavramlarının birbirine karıştığı belirtilmiş ve örnek olarak da gizli hesaplarda yapılan paylaşımların Google aramalarda karşımıza çıkabilmesi gösterilmiştir. Bu durumların önüne geçmek maksadı ile görülmesinin istenmeyeceği içeriklerin paylaşılmaması gerektiği, paylaşılacağı takdirde gizlilik sözleşmelerinin ve güvenlik bilgilerinin dikkatle incelenmesi gerekliliği vurgulanmıştır. Özellikle dolandırıcılığın, siber suçun ve kötü niyetli davranışların önüne geçmek amacıyla T.C. kimlik numarası, adres, siyasi parti üyeliği vb. bilgilerin paylaşılmaması gerektiğine de değinilmiştir.
Sosyal medya hesaplarında kişisel verilen korunması ve güvenliğin/gizliliğin sağlanması adına öneriler sıralanmıştır. Bu öneriler, kişilerin; sosyal medyada gerçekten tanımadığı kişileri arkadaş olarak eklememesi, hesap açımı için gerekli olmayan bilgilerin paylaşılmaması, gidilen yerlerde konum paylaşılmaması, çevrimiçi fotoğraf paylaşımının gereklilikle sınırlandırılması, gerçekten ihtiyaç olmadıkça internet sitelerindeki içeriklere tıklama yapılmaması, masaüstü bilgisayarlarda kullanım bittikten sonra açık erişim hesaplarının kapatılması, güçlü ve her hesap için özel parolalar oluşturulması, uygulamaların sürekli olarak güncellenmesidir.
7. 28 Ocak Veri Koruma Günü Etkinliği
28 Ocak tarihinin Veri Koruma Günü olarak kabul edilmesi sebebiyle Kurum tarafından, bir konferans düzenlenmiştir. Konferansa Adalet Bakanı Abdulhamit GÜL, Kamu Görevlileri Etik Kurulu Başkanı Zerrin GÜNGÖR, Bakan Yardımcıları Uğurhan KUŞ, Zekeriya BİRKAN, Hasan YILMAZ, Yakup MOĞUL, Türkiye İnsan Hakları ve Eşitlik Kurumu Başkanı Muharrem KILIÇ, Bilgi Edinme Değerlendirme Kurulu Başkanı Hasan Tahsin FENDOĞLU, Kamu Denetçisi Sadettin KALKAN, alanlarında uzman akademisyenler ve davetliler katılmıştır. Program, Abdulhamit GÜL ve Kurum Başkanı Prof. Dr. Sayın Faruk BİLİR tarafından yapılan açılış konuşmaları ile başlamıştır.
Abdulhamit GÜL, kişisel Verilerin korunmasının önemine değinerek bu konuda yapılan çalışmalara destek vereceğini belirtmiştir. Ayrıca mahremiyet hakkının altını çizerek, 4. yargı paketi ile iddianamelerde özel ve mahrem hususlarla ilgili özel hayat konularına girilmesinin yasaklandığını belirtmiştir. Prof. Dr. Faruk BİLİR mahremiyetin, kişinin özgürlüğünün bir parçası olduğunu ve dolayısıyla mahremiyet hakkının, kişiye sunulan bir seçenek veya bir lütuf olarak görülemeyeceğine değinmiş ve veriden değer üretebilen teknolojilerden yararlanılmasının bir gereklilik olduğunu ancak bu yapılırken insanın merkez alınması gerektiğini söylemiştir.
Konferansın devamında “Türk Hukukunda Kişisel Verilerin Korunması” ve “Yapay Zekâ Alanında Kişisel Verilerin Korunması” konulu iki oturum düzenlenmiş ve alanında uzman kişiler konuşmalarını gerçekleştirmiştir.
8. Sonuç
Yukarıda incelediğimiz kamuoyu duyuruları, kararlar ve seminerler doğrultusunda:
- Şirketler, KVKK’ya uyum konusunda azami dikkat ve özenin gösterilmesi hususunda bayilerini bilgilendirerek yönlendirmelidir. Ayrıca bayiler ile yapılacak sözleşmelerde veri sorumlusu ve veri işleyenin kim olduğu hususunda açık hükümlere yer verilmesi gerekmektedir.
- VERBİS’e sunulan bilgiler eksiksiz, doğru, güncel ve hukuka uygun olmalı, ayrıca bu bilgilerin kişisel veri işleme envanterine dayalı olarak hazırlanması gerekmektedir.
- Çerez yoluyla kişisel veri işlemesi durumunda somut duruma göre açık rıza dışındaki işleme şartlarından birinin oluşup oluşmadığı incelenmeli, oluşmuyorsa ilgili kişilerden açık rıza alınmalıdır. Açık rıza işleme şartına dayanıldığı durumda açık rızanın hukuka uygun şekilde alınmasına dikkat edilmelidir. Bu bağlamda, aydınlatmanın da uygun sürede ve şekilde yapılmasının önemi unutulmamalıdır.
- Araç kiralama sektöründe kullanılan kara liste uygulamasının KVKK hükümlerine aykırılık teşkil etmesi sebebiyle, Kurum tarafından araç kiralama sektöründe kara liste uygulamasına başvuran veri sorumluları hakkında KVKK’nın 18.maddesi hükümleri çerçevesinde işlem tesis edileceği göz ardı edilmemelidir.
- Görülmesi istenmeyen hiçbir kişisel veri sosyal medyada paylaşılmamalıdır. Ayrıca, paylaşılan kişisel veriler açısından da sosyal medya hesaplarında kişisel verilen korunması ve güvenliğin/gizliliğin sağlanması adına öneriler dikkate alınmalıdır.