1. Veri sorumlusu havayolu şirketi bünyesindeki
çalışanın ilgili kişiye ait kişisel
verileri 6698
sayılı Kişisel Verilerin Korunması Kanununa
aykırı şekilde şirket kayıtlarından
elde
etmesi hakkında 13/02/2020 tarihli ve 2020/124
sayılı Karar Özeti
İlgili kişi tarafından Kurum'a iletilen
şikayette; veri sorumlusu olan bir havayolu şirketinin
çalışanın
ilgili kişiye ait uçuş bilgilerini şirket
kayıtlarından elde ettiği, ilgili kişinin her
uçuş sonrası aranarak
rahatsız edilmesi üzerine veri sorumlusuna başvuruda
bulunduğu; başvuru üzerine veri sorumlusu
tarafından çalışanın kişisel
verileri elde ettiğinin tespit edildiğinin, fakat
çalışan hakkında bir işlem
yapılmadığının belirtilmesi ve
aramaların devam etmesi üzerine, veri sorumlusu
tarafından verilen
cevabın ve alınan aksiyonların yetersiz
kaldığı ifade edilerek olayın 6698
sayılı Kişisel Verilerin
Korunması Kanunu ("Kanun") kapsamında
incelenmesi talep edilmiştir. İlgili kişi
şikayet ekinde veri
sorumlusunun çalışanları ile
gerçekleştirdiği kişisel telefonuna ait
whatsapp konuşma görüntüleri,
telefon çağrı geçmişi
kayıtları ve PNR bilgilerini de sunmuştur.
Kurul yapmış olduğu inceleme sonucunda; (i)
dilekçe ekinde yer verilen Whatsapp konuşma ve
telefon
çağrı geçmişi
görüntülerinin veri sorumlusu
çalışanlarına ait olup
olmadığı konusunda herhangi bilginin
bulunmadığı ve ayrıca veri sorumlusunun
soruşturma raporuna göre kişisel verileri elde eden
çalışanın
bu iddiaları kabul etmediği göz önünde
bulundurarak ilgili kişinin telefonunda yer alan kişisel
telefon
kayıtlarının tevsik edici belge olarak
değerlendirilemeyeceği, (ii)
çalışanın erişim yetkisinin
görev
tanımı gereği ve 2920 sayılı Türk
Sivil Havacılık Kanununun 40 ıncı maddesinin
dördüncü fıkrasında
yer alan "Havayolu ile seyahat edecek kişilerin bilgileri
kişilerin seyahatini kolaylaştırmak veya
güvenlik ve risk değerlendirmesi yapmak amacıyla
Kanun çerçevesinde toplanabilir,
kaydedilebilir,
işlenebilir, paylaşılabilir, havacılık
güvenliği ve emniyetini sağlamak üzere
değerlendirilerek gereken
tedbirler alınabilir" hükmü doğrultusunda
tanımlandığı ancak
çalışanın yetkisini kötüye
kullandığı (iii)
çalışanın görev tanımını
aşan düzeyde PNR sorgulaması
gerçekleştirdiği, veri sorumlusunun PNR
sorgulama sayısına bir sınırlama
getirmediği veya gözetim mekanizması
geliştirmemiş olduğunun
anlaşıldığı, veri sorumlusu
tarafından her ne kadar log kayıtları tutuluyor olsa
da, bu kayıtlarda
sıra dışı aktivitelerin gözlemlenebilir
olması ve bu kayıtların analiz edilmesi ile
kişisel verilerin
hukuka aykırı işlenmesinin ve erişilmesinin
tespitinin önem arz ettiği, (iv) her ne kadar
çalışanlar
eğitime tabi tutulmuş olsa da olay öncesinde
eğitimlerin seyrek düzenlenmiş olduğu, (v)
Kanun'un
17 nci maddesi (1) numaralı fıkrası uyarınca
ise kişisel verilere ilişkin suçlar
bakımından 5237 sayılı
Türk Ceza Kanununun 135 ila 140 ıncı madde
hükümlerinin çalışana
uygulandığı bu kapsamda
yürütülmekte olan bir soruşturmanın
bulunması sebebiyle 5271 sayılı Ceza
Muhakemesi
Kanununun 158 inci maddesi hükmü uyarınca konunun
Cumhuriyet Başsavcılığına
bildirilmesine gerek olmadığı ifade edilerek veri
sorumlusu tarafından kişisel verilere erişim ile
ilgili
sınırlama getirilmemesi ve çalışanlara
verilen eğitimin yetersiz olması sebebiyle Kanunun 12
nci
maddesinde yer alan veri güvenliğinin
sağlanmasına yönelik gerekli idari ve teknik
tedbirlerin
alınmadığı değerlendirilerek veri
sorumlusu hakkında 100.000 TL idari para cezası
uygulanmasına
karar vermiştir.
2. Veri sorumlusu işveren tarafından, iş
sözleşmesi tek taraflı olarak feshedilen ve işe
iade
davası açan ilgili kişiye ait özlük
dosyasında yer alan sağlık raporunun dava
savunmasında kullanılmak suretiyle mahkemeye
sunulması hakkında 18/02/2020 tarihli
ve 2020/138 sayılı Karar Özeti
İlgili kişi tarafından
gerçekleştirilen şikayette, iş akdinin tek
taraflı feshi nedeniyle veri sorumlusu
işveren hakkında açtığı işe
iade davasında, dava içeriği ile ilgili
olmamasına rağmen özlük dosyasında
yer alan kendisine ait özel nitelikli kişisel verilerinin
mahkemenin talebi olmadığı hâlde dava
dosyasına
sunulduğu ve özlük dosyasında yer alan
sağlık raporlarının davaya konu edilmesinin
kişilik haklarının
ihlal edilmesine sebebiyet verdiğini belirterek Kanun
kapsamında Kurum'dan veri sorumlusu hakkında
gerekli işlemlerin tesis edilmesi talep edilmiştir.
Kurul yapmış olduğu inceleme sonucunda; (i) 4857
sayılı İş Kanununun işçi
özlük dosyası başlıklı 75
inci maddesine göre; işverenin
çalıştırdığı her
işçi için bir özlük dosyası
düzenlediği, ancak sağlık
raporlarının işçiye ait özlük
dosyasının içerisinde yer alıp
alamayacağı hususuna ilişkin ise gerek
4857 sayılı İş Kanununda gerekse 6331
sayılı İş Sağlığı ve
Güvenliği Kanununda özel bir hüküm
bulunmadığı, (ii) 6100 sayılı Hukuk
Muhakemeleri Kanununun 219 uncu maddesinin 1 inci
fıkrası
uyarınca, tarafların, kendilerinin veya karşı
tarafın delil olarak dayandıkları ve ellerinde
bulunan
tüm belgeleri mahkemeye ibraz etmek zorunda olduğu; (iii)
3071 sayılı Dilekçe Hakkının
Kullanılmasına Dair Kanunun "İncelenemeyecek
Dilekçeler" başlıklı 6 ncı
maddesinde, Türkiye Büyük
Millet Meclisine veya yetkili makamlara verilen veya
gönderilen dilekçelerden yargı mercilerinin
görevine giren konularla ilgili olanların
incelenemeyeceğinin hüküm altına
alındığı ve (iv) şikayete konu
olayda mahkemenin davaya ilişkin olarak yazmış
olduğu müzekkerede davalı veri sorumlusundan
davacı ilgili kişiye ait özlük
dosyasının tüm içeriğinin tasdikli bir
suretinin gönderilmesini
istediğinin görüldüğü
değerlendirilerek Kanun'un 28 inci maddesinin (1)
numaralı fıkrasının (d)
bendinde yer alan "Kişisel verilerin soruşturma,
kovuşturma, yargılama veya infaz işlemlerine
ilişkin
olarak yargı makamları veya infaz mercileri
tarafından işlenmesi" hükmü
kapsamında tesis edilecek bir
işlem bulunmadığına karar vermiştir.
3. Veri sorumlusu tarafından ilgili kişilerin
kişisel verilerinin hukuka aykırı şekilde
internet
gazetesi üzerinden yayımlanması hakkında
18/02/2020 tarihli ve 2020/145 sayılı Karar
Özeti
Kurum'a iletilen şikayet kapsamında, bir internet
gazetesi üzerinde asılsız ve gerçeğe
aykırı beyanlarda
bulunulduğu, ilgili kişilerin yönetim kurulu
üyesi olduğu şirket tarafından noter
aracılığı ile veri
sorumlusuna tekzip ihtarnamesinin gönderildiği, veri
sorumlusunun ilgili kişiler tarafından
gönderilen
ihtarnamenin fotoğrafını çekmek suretiyle
yeni bir haber şeklinde olduğu gibi
yayımladığı, ilgili
ihtarnamenin sonunda ilgili kişilerin T.C. kimlik
numaralarının, nüfus kayıt bilgilerinin,
anne-baba
isimlerinin ve adres bilgilerinin yer aldığı, ilgili
ihtarnamenin herhangi güvenlik tedbiri
uygulanmaksızın haberin içinde 10 gün boyunca
yayımlanması nedeniyle ilgili kişilerin
güvenliklerinin
tehlikeye düşürülmesine sebebiyet veren veri
sorumlusu hakkında gereğinin yapılması talep
edilmiştir.
Kurul yapmış olduğu inceleme sonucunda; veri
sorumlusunun bahse konu olan tekzip ihtarnamesini
yayımlamasının, 5187 sayılı Basın
Kanununun 14 üncü maddesinde yer alan
yükümlülüğünü yerine
getirmek amacıyla Kanunun 5 inci maddesinin 2 numaralı
fıkrasının (ç) bendinde yer alan
"veri
sorumlusunun hukuki
yükümlülüğünü yerine
getirebilmesi için veri işlemenin zorunlu
olması" hükmü
doğrultusunda hukuka uygun olduğu, ancak ilgili
ihtarnamenin kişisel verilere ilişkin
bölümünü
herhangi bir güvenlik önlemi almaksızın
olduğu gibi yayımlanmasının, daha sonra bu
bölüm
internet sitesinden kaldırılmış olsa dahi
Kanunun genel ilkeler başlıklı 4 üncü
maddesinde
düzenlenen "amaçla bağlantılı,
sınırlı ve ölçülü olma"
ilkesi ile bağdaşmadığı göz
önünde
bulundurulduğunda bu durumun veri sorumlusu tarafından
kişisel verilerin hukuka aykırı olarak
işlenmesini önlemek amacıyla uygun güvenlik
düzeyini temin etmeye yönelik gerekli her
türlü
teknik ve idari tedbirlerin alınmadığına
işaret ettiğini belirterek Kanunun 12 nci maddesinin
(1)
numaralı fıkrasının (a) bendinde
öngörülen
yükümlülüğünü yerine
getirmediği sonucuna varılan veri
sorumlusu hakkında 55.000 TL idari para cezası
verilmesine karar vermiştir.
4. İlgili kişinin kullanımına izin
vermediği kredi kartı bilgilerinin veri sorumlusu
araç
kiralama şirketi tarafından kullanılması
hakkında 27/02/2020 tarihli ve 2020/166 sayılı
Karar Özeti
Kuruma iletmiş olduğu şikayetinde ilgili
kişi; veri sorumlusu araç kiralama şirketi
arasında imzalanan
araç kiralama sözleşmesi kapsamında 1
günlük süreyle araç
kiraladığını ve veri sorumlusu ile
arasındaki
sözleşme uyarınca araç kiralama bedeli ve
provizyonun çekilmesi için ...22 ile biten kredi
kartının
kullanımına onay verdiğini, kiralama süresi
içerisinde 1 kez HGS kullandığını ve
kiralama süresi sona
erdiğinde aracı teslim ettikten sonra telefonuna gelen
SMS ile söz konusu HGS bedelinin ...67 ile biten
başka bir kredi kartından tahsil edilmeye
çalışıldığını fark
ettiğini, bunun üzerine müşteri
temsilcisini
aradığında "araç kira bedeli
ödemesi hangi kredi kartı ile yapılmış ise
HGS bedelinin de aynı kredi
kartından yapılması gerektiği" bilgisini
edindiği, yaşadığı olay ile ilgili olarak
kişisel veri güvenliğinin
ihlal edildiği gerekçesi ile veri sorumlusuna
başvurmuşsa da kendisine son yazışma tarihinden
itibaren
hiçbir geri dönüş
yapılmadığını, bu durumun 6698
sayılı Kişisel Verilerin Korunması
Kanununun
(Kanun) 13 üncü maddesine aykırılık
teşkil ettiğini belirterek araç kiralama
şirketi hakkında gerekli
yaptırımın uygulanarak kendisine bilgi verilmesini
talep etmiştir.
Kurul yapmış olduğu inceleme sonucunda;
(i)İlgili kişinin veri sorumlusu ile daha önce
yaptığı araç kiralama sözleşmesi
kapsamında
kullanımına onay verdiği kredi kartı
bilgilerinin; veri sorumlusu tarafından daha sonra
gerçekleştirilmesi düşünülen
amaçlar doğrultusunda kullanılmak üzere
sistemde
saklanmasında ilgili kişinin tüketici olması
sebebiyle menfaatlerin yarışabilir
olmadığı ve;
(ii) Tüketici Sözleşmelerindeki Haksız
Şartlar Hakkında Yönetmelik uyarınca
haksız şart
niteliği gösteren "kiracı tarafından
bildirilen kredi kartından tahsilat
yapılamadığı durumlarda;
kiracının kiralayan ile yapmış olduğu
başkaca araç kiralama sözleşmelerinde
bildirdiği kredi
kartı ve/veya nakit hesaplarından, kiralayanın
tahsil etme hakkı saklıdır" sözleşme
hükmüne
dayanmak suretiyle kredi kartının saklanmasının
ve kullanılmasının somut olayda kişinin
makul
beklentisine ve çıkarına aykırı olumsuz
bir durum oluşturduğu dolayısıyla söz
konusu veri
işleme faaliyetinin "ilgili kişinin temel hak ve
özgürlüklerine zarar vermemek kaydıyla
veri
sorumlusunun meşru menfaatleri için veri
işlenmesinin zorunlu olması" kişisel veri
işleme şartına
dayandırılmasının uygun
olmadığı;
(iii) İlgili kişinin kartının bu şekilde
haklı bir gerekçe olmaksızın
kullanılmasının Kanun'un
"Kişisel verilerin işlenme şartları"
başlıklı 5 inci maddesinde yer alan şartlardan
herhangi
birine dayandırılamayacağı ve
dolayısıyla hukuka aykırı bir veri işleme
faaliyetinin mevcut
olduğu ve;
(iv) Söz konusu sözleşme maddesine dayanılarak
veri işlenmesinin Kanunun "Genel ilkeler"
başlıklı 4' üncü maddesi uyarınca
"hukuka ve dürüstlük kurallarına uygun
olma" ilkesine
aykırılık teşkil ettiği ve de;
(v) Kredi kartı bilgilerinin kiralama süreci
sonrasında araç tesliminin gerçekleşmesi ve
bütün
bedellerin tahsil edilmesiyle birlikte sözleşmenin sona
ermesi, veri işleme amacının ortadan
kalkması ve mevcutta olmayan ve sonradan
gerçekleşmesi düşünülen
amaçlarla işlenmeye devam
edilmesinin Kanun'un Genel ilkeler"
başlıklı 4' üncü maddesi uyarınca
"işlendikleri amaçla
bağlantılı, sınırlı ve
ölçülü olma" ilkesine de
aykırılık teşkil ettiği kanaatine
varılarakŞikayetçinin hem ilgili kişi hem de
tüketici sıfatıyla güçsüz konumda
olduğu da göz önünde
bulundurularak veri sorumlusunun Kanunun 12'nci maddesinde
öngörülen veri güvenliğine
ilişkin
yükümlülüklerini yerine getirmemiş
olması nedeniyle veri sorumlusu hakkında 75.000 TL idari
para
cezası uygulanmasına karar vermiştir.
5. İlgili kişinin cep telefonunun özel bir
hastane tarafından izinsiz aranması hakkında
27/02/2020 tarih ve 2020/172 sayılı Karar Özeti
Kurum'a intikal eden şikayet kapsamında; ilgili
kişi hastane olarak faaliyet gösteren veri
sorumlusu
tarafından şahsına ait cep telefonunun hastane
adına bir şahsın aradığını ve
hastanenin reklamını
yapmaya çalıştığını, ilgili
kişinin bu durumdan rahatsız olması sebebiyle,
hastanenin e-posta adresine
yazılı olarak başvurarak Kanun'a dayanarak bilgi
talep ettiğini, ancak konu ile alakalı olarak
verilen
cevabı yeterli bulmayarak Kanun kapsamında gereğinin
yapılmasını talep etmiştir.
Kurul tarafından yapılan incelemede; öncelikle
şikâyete konu Hastane ile bir Firma arasında
üçüncü
kişilere checkup hizmetinin pazarlanması ve
satışı ile ilgili olarak bir sözleşme
imzalanmış olduğu ve
ilgili kişinin aslen bu firma tarafından
aranmış olduğu tespit edilerek ilgili kişinin
aranmasına ilişkin
olarak sorumluluğun kimde olduğunun tespit edilmesi
amacıyla bu sözleşme incelenmiştir.
İnceleme
kapsamında (i) Firmanın Hastane adına hareket ederek
hem hastanenin eski müşterilerine hem de kendi
bulduğu müşterilere checkup panelini pazarlayan bir
çağrı merkezi olduğu; (ii)
sözleşmede Firmanın
satış esnasında kanundan ya da sözleşmeden
kaynaklı yükümlülüklere riayet etmemesi
sebebiyle
doğacak tüm zararlar nedeniyle Hastanenin Firmaya
rücu hakkına sahip olduğu hükmünün
bulunduğu
ve bu anlamda Hastanenin checkup hizmetinin pazarlanması ve
satışı için Firmaya yetki verdiği;
(iii)
yeni müşterilerin nereden bulunacağı ve bu
müşterilere ürünlerin hangi yollarla
pazarlanacağına
ilişkin karar verme yetkisinin Firmaya
bırakılması sebebi ile Hastanenin checkup
panelinin
Hastanenin kayıtlarında bulunan müşterilerine
pazarlanmasına yönelik kişisel veri
işlenmesinde Firma
veri işleyen olarak değerlendirilirken; Hastane
kayıtlarında bulunmayan ancak Firmanın kendisi
tarafından bulunan yeni müşterilerin pazarlama
amacıyla aranarak kişisel verilerinin
işlenmesinde
Firmanın veri sorumlusu olduğu kanaatine
varılmıştır. Bu çerçevede Kurul
ilgili kişinin cep telefonu
numarasının veri sorumlusu Firma tarafından reklam
amacıyla aranması suretiyle
kullanılmasının,
Kanunun 5 inci maddesinde düzenlenen işleme
şartlarından herhangi birine dayanılarak
yapılmaması sebebiyle Kanunun "Veri
Güvenliğine İlişkin
Yükümlülükler" başlıklı 12
nci
maddesinin (1) numaralı fıkrasının (a) bendinde
öngörülen "Kişisel verilerin hukuka
aykırı olarak
işlenmesini önlemek"
yükümlülüğünün yerine
getirilmediği sonucuna vararak incelemeye konu
olay açısından veri sorumlusu olarak kabul edilen
Firma hakkında, 50.000 TL idari para cezası
uygulanmasına karar vermiştir.
6. İlgili kişinin oturmakta olduğu binaya,
komşusu tarafından kamera yerleştirilerek
kayıt
ve izleme gerçekleştirilmesi hakkında 27/02/2020
tarihli ve 2020/187 sayılı Karar Özeti
Kurum iletilen şikayet kapsamında; ilgili kişi
oturmakta olduğu bina içerisine komşusu
tarafından 2
tanesi dışarıyı, 1 tanesi apartman
girişini, 1 tanesi kat arasını gösterecek
şekilde 4 tane kamera
yerleştirildiği, bu kameralarla kayıt ve izleme
gerçekleştirildiği, kişilerin huzur ve
sükûnunu bozma,
hukuka aykırı olarak kişisel verileri kaydetme,
özel hayatın gizliliğini ihlal etme
suçlarının işlendiğini
belirterek kameraları yerleştiren komşu
hakkında savcılığa şikâyette
bulunulduğu da ifade ederek
gereğinin yapılması, şahsın
cezalandırılması ve kamera
görüntülerinin tarafına iadesi edilmesini
talep
etmiştir.
Kurul yapmış olduğu incelemede, Kanun'un 15 inci
maddesinin birinci fıkrasında Kurul'un,
şikayet
üzerine veya ihlal iddiasını öğrenmesi
durumunda resen, görev alanına giren konularda gerekli
incelemeyi yapacağı; aynı maddenin ikinci
fıkrasında ise; 1/11/1984 tarihli ve 3071
sayılı Dilekçe
Hakkının Kullanılmasına Dair Kanunun 6 ncı
maddesinde belirtilen; a) Belli bir konuyu ihtiva etmeyen,
b) Yargı mercilerinin görevine giren konularla ilgili
olan, c) 4 üncü maddede gösterilen
şartlardan
(dilekçe sahibinin adı soyadı ve imzası ile
iş veya ikametgâh adresi) herhangi birini
taşımayan ihbar
veya şikâyetleri incelemeye
alınmayacağının düzenlendiğini ve
hukuka aykırı olarak kamera
taktırılması ve görüntü kaydı
alınmasına ilişkin şikâyetlerinin
Türk Ceza Kanunu hükümleri
çerçevesinde suç unsuru
barındırabileceği ve bu kapsamda Kanunun 17 nci
maddesinin birinci
fıkrasında kişisel verilere ilişkin
suçlar bakımından 26/09/2004 tarih ve 5237
sayılı Türk Ceza
Kanununun 135 ila 140 ıncı madde hükümlerinin
uygulanacağını belirterek söz konusu
şikâyetin Kanun
kapsamında değerlendirilemeyeceğine karar
vermiştir.
7. Ses kayıt özelliği bulunan güvenlik
kamerası kullanılması" ile ilgili 12/03/2020
tarihli ve
2020/212 sayılı Karar Özeti
Kurul, bir kamu kurumu olan veri sorumlusu tarafından ses
kayıt özelliği bulunan güvenlik
kamerası
kullanılmasına ilişkin olarak yapmış
olduğu değerlendirme neticesinde Kanun'da yer alan
kişisel veri
işleme şartlarını, Kanun'un 4. Maddesinde
düzenlenen kişisel verilerin işlenmesinde
uyulması gereken
genel ilkeleri, Anayasa'nın 20.Maddesi ve Anayasa
Mahkemesi'nin 8/09/2017 tarihli ve 2016/125 E.
2017/143 K. sayılı kararını göz
önünde bulundurarak:
(i) Sesli kamera kaydının hukuka uygun bir kişisel
veri işleme faaliyeti olarak
değerlendirilebilmesi için Anayasada belirtilen temel
hak ve özgürlüklerin
sınırlanmasında
gözetilmesi gereken ilkelere uygun olması
gerektiği,
(ii) Söz konusu kayıt ile beklenen faydanın ses
kaydı olmaksızın görüntü kaydı
ile elde
edilebileceği hallerde ses kaydının da
yapılması, gerçekleştirilecek kişisel
veri işleme
faaliyeti ile ulaşılmak istenen amaç
arasındaki dengenin bozulmasına yol
açacağından
ölçülülük ilkesine
aykırılık teşkil edeceği;
(iii) Bu anlamda, gözetim sistemlerinde görüntü
kaydı ile birlikte ses kayıt sisteminin de
kullanılmasının sadece görüntü
kaydına göre çok daha müdahaleci
olacağı
(iv) Diğer taraftan ise kameralar vasıtasıyla
görüntü ile birlikte ses kaydı
yapılması, bireylerde
her açıdan gözetim altında tutuldukları
endişesi yaratabileceği ve kişilerin kamusal
alanda
bile özel bir kısım diyaloglarının ya da
yaşantı kesitlerinin bulunabileceği de dikkate
alındığında bu yönde bir uygulamanın
hakkın özüne de zarar vereceği ve
(v) Ayrıca güvenlik amacıyla kamu kurumunun halk
girişine takılması yönünde
ihtiyaç
bulunduğu belirtilerek ses kaydı yapan kameraların
kullanılması, benzer nitelikteki her
türlü
ortam açısından da gerekli olduğu
yönünde genel bir değerlendirmeye neden
olabileceğinden, kişisel verilerin korunması
hakkına yönelik oldukça geniş nitelikte
bir
istisna oluşması sonucunu doğurabileceğinden bu
hususun da hakkın özüne zarar vereceği
kanaatine varmıştır.
8. İlgili kişinin, bir Valilikte görev yapmakta
iken, Valilik çalışanı tarafından hukuka
aykırı
olarak elde edildiği iddia edilen kişisel verilerinin
Valiliğe dijital ortamda sunulması
19/03/2020 tarih ve 2020/226 sayılı Karar Özeti
Kuruma iletilen şikayet başvurusunda, ilgili kişi
veri sorumlusu olan bir Valilikte görev yapmakta iken,
veri sorumlusunun bir çalışanı
tarafından hukuka aykırı olarak elde edildiği
iddia edilen kişisel
verilerinin veri sorumlusuna dijital ortamda sunulduğu,
söz konusu verilere dayanılarak ilgili kişi
hakkında 657 sayılı Devlet Memurları Kanunu
gereğince disiplin soruşturması
başlatıldığı ve disiplin
cezası aldığını, başka bir ilde alt
kadroya atandığını, Kanun kapsamında
İçişleri Bakanlığına
müracaat
ederek Kanuna aykırı olarak gerçekleştirilen
disiplin soruşturması sonucunda tarafına verilen
disiplin cezalarının ve atama işleminin iptali ve
hukuka aykırı olarak elde edilen ve
üçüncü şahıslara
aktarılan
kişisel verilerinin yok edilmesi talebinde bulunduğunu,
İçişleri Bakanlığının bu
talebi veri sorumlusuna
gönderdiğini ancak veri sorumlusu tarafından
disiplin cezalarının kaldırılması ve atama
işleminin iptali
ile ilgili talebe karşılık yetersiz bir cevap
verildiğinden bahisle gereğinin
yapılmasını talep etmiştir.
Kurul yapmış olduğu inceleme sonucunda; (i)
kişisel verileri hukuka aykırı olarak elde eden
Valilik
çalışanı açısından
şikâyete konu iddiaların esasen Türk Ceza
Kanunu hükümleri uyarınca
değerlendirilmesi gerektiğinden 3071 sayılı
Dilekçe Hakkının Kullanılmasına Dair
Kanunun 6 ncı
maddesi de dikkate alınarak söz konusu başvurunun
Kanun kapsamında
değerlendirilemeyeceğine, (ii) Veri sorumlusu
Valiliğin işlediği kişisel verilerin disiplin
soruşturma
veya kovuşturması kapsamında Kanunun 28 inci
maddesinin (2) numaralı fıkrasının (c)
bendi
kapsamında işlendiğinden bu aşamada Kanun
çerçevesinde yapılacak bir işlem
bulunmadığına, (iii)
diğer yandan işlenen veriler ve yürütülen
soruşturma sonucunda ilgili kişi hakkında
uygulanan
yaptırımların ise 657 sayılı Kanun
gereğince özlük dosyalarında saklanması
gerektiği, Kamu
Personeli Genel Tebliğine (Seri No: 2) göre görevi
herhangi bir şekilde sona eren memurların
özlük dosyalarının kurumlarınca
saklanacağı ve Devlet Arşiv Hizmetleri Hakkında
Yönetmeliğe
göre son işlem tarihi üzerinden yüz bir
yıl geçmemiş memuriyet sicil dosyaları
içerisinde yer aldığı
dikkate alınarak, ilgili kişinin veri sorumlusu
nezdindeki bahse konu verilerinin silinmesi talebinin de
6698 sayılı Kanunun 7 inci maddesinde belirtildiği
üzere kişisel verilerin işlenmesini gerektiren
sebeplerin henüz ortadan kalkmaması dolayısıyla
veri sorumlusu tarafından
karşılanmasının
mümkün olmadığına karar
vermiştir.
9. Veri sorumlusu eğitim kurumu tarafından
şikayetçinin çocuklarının özel
nitelikli kişisel
verilerinin hukuka aykırı olarak işlenmesi
hakkında 02/04/2020 tarihli ve 2020/255 sayılı
Karar Özeti
Kuruma iletilen şikâyet kapsamında;
şikayetçi velisi bulunduğu
çocuklarının veri sorumlusuna ait
okulda eğitim gördüğü,
öğrencilerin okulda eğitim gördükleri
sırada velilerinden herhangi bir şekilde
izin alınmadan, aydınlatma
yükümlülüğü yerine getirilmeden veya
açık rızaları alınmadan CAS
(Cognitive Assessment System) Uygulama ve Değerlendirme
testinin yapıldığını, CAS testinin
klinik ve nörolojik değerlendirme yeteneği ile
geniş yelpazede gelişimsel değerlendirme
yapabilen
güncel bir ölçek olduğu,
çocukların bu test için Kanun'un 6. maddesi
ile belirlenmiş özel nitelikli kişisel
verilerinin kullanıldığı ve
işlendiğini, aynı madde hükmünce ilgili
kişilerin veya velisinin açık
rızası
bulunmadan bu verilerin işlenmesinin kesinlikle
yasaklandığını, Kanunun 10 uncu maddesi
hükümlerince aydınlatma
yükümlülüğünün yerine
getirilmediğini, veri sorumlusuna başvuruda
bulunulduğu ancak yeterli bir cevap
alamadığını bu çerçevede Kurula
şikâyette bulunduğunu
belirtilerek, veri sorumlusunun Kanunun 18 inci maddesi
uyarınca aydınlatma
yükümlülüğü ve veri
güvenliğine ilişkin
yükümlülüklerini ihlal fiillerinden dolayı
cezalandırılması, işlenen verilerin
Kanunun 7 nci maddesi doğrultusunda silinmesi, yok edilmesi
veya anonim hale getirilmesi ve yapılan
yargılama masrafları vs. tüm giderlerin
karşı tarafa yükletilmesine karar verilmesini talep
etmiştir.
Kurul tarafından gerçekleştirilen incelemede;
öncelikle (i)CAS testi uygulanması sonrasında,
veri
sorumlusunun rehberlik servisinde görevli rehberlik
öğretmeni/ psikolojik danışman tarafından
yapılan
ve öğrenciye ilişkin duygu durum,
davranış, bilişsel yetenekler vb. unsurları
içerdiği kanaatine varılan
test sonucuna ilişkin değerlendirmenin kişisel veri
işleme faaliyeti kapsamında olduğu, (ii) veri
sorumlusu ile veli arasında, bireysel görüşme
formları ve e-posta yazışmaları yoluyla en az 7
ay süren
rehberlik sürecinde ilgili kişi öğrencinin ruh
sağlığına ilişkin bilgilerin
paylaşıldığı ve CAS testinin
uygulanması sonucunda dikkat eksikliği/ hiperaktivite
bozukluğu/ kaygı bozukluğu gibi ilgili
kişinin
ruh sağlığına ilişkin özel nitelikli
kişisel verilerin de işlendiği, (iii) psikolojik
testlerin ölçüm alanları
itibariyle farklılık gösterdiği ve eğitim
sürecinde; öğrencinin öğrenme
becerilerinin geliştirilmesi,
akademik performansının arttırılması,
sosyal faaliyetlere yönlendirilmesi, meslek seçimi vb.
konulara
yönelik çalışmalar yapılmasını
desteklemek amacıyla öğrencinin kişilik
özelliklerini, akademik başarısını, zeka
düzeyini, yeteneklerini, ilgi alanlarını
ölçen psikolojik testlerin uygulanması
sonucunda
elde edilen değerlendirmelerin dahi kişisel veri
içerdiği, Milli Eğitim Bakanlığı
Rehberlik Hizmetleri
Yönetmeliğinin 10 uncu maddesi
çerçevesinde; bu kapsamdaki kişisel veri
işleme faaliyetinin, veri
sorumlusunun Kanunun 5 inci maddesinin (ç) bendinde yer alan
"veri sorumlusunun hukuki
yükümlülüğünü yerine
getirebilmesi için zorunlu olması" kişisel
veri işleme şartına
dayandırılabileceği (iv) ancak, CAS testinin
uygulanması sonucunda, zekâ ve bilişsel
becerilerin
yanı sıra dikkat eksikliği ve hiperaktivite
bozukluğu gibi öğrencinin ruh
sağlığına ilişkin özel
nitelikli kişisel verilerin de işlenmiş olduğu
göz önünde bulundurulduğunda Kanunun 6.
maddesinin (3) numaralı fıkrasında yer verilen
"kamu sağlığının korunması,
koruyucu hekimlik, tıbbî
teşhis, tedavi ve bakım hizmetlerinin
yürütülmesi, sağlık hizmetleri ile
finansmanının planlanması ve
yönetimi" amaçları da
bulunmadığından, veri sorumlusu tarafından
söz konusu veri işleme faaliyetinin
"açık rıza" şartına
dayandırılması gerektiği sonucuna
varıldığı, (v) CAS testinin velinin bilgi
ve
onayı dâhilinde uygulandığının ifade
edildiği, bunun da daha önce iletilen velinin
imzasının bulunduğu
bireysel görüşme formları ve e-posta
yazışmaları ile açıkça
kanıtlandığı ancak açık
rızanın alındığına
veya talep edildiğine dair herhangi bir bilgi/ belge
iletilmediği, (vi) ilgili kişilerin reşit
olmaması
nedeniyle velisinin açık rızasına dayanmadan
özel nitelikli kişisel verilerini işlediği,
ilgili kişilerin açık
rızasının alınmadığı hususunda
taraflar arasında ihtilaf olmadığı, söz
konusu verilerin özel nitelikli
verileri de içermesi nedeniyle ilgili kişilerin
açık rızası olmadan
gerçekleştirilen veri işleme faaliyetinin
hukuka aykırı bir veri işleme faaliyeti olduğu,
(vi) veri sorumlusu her ne kadar CAS testinin
uygulanması süreci ve testin sonucu hakkında velinin
bilgisi ve onayının olduğunu kanıtlasa
da,
aydınlatma yükümlülüğünün
yerine getirilmesi için Kanunda öngörülen
gerekli şartlar ile
Aydınlatma Yükümlülüğünün
Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında
Tebliğde yer alan usul ve esasları tam olarak yerine
getirmediğini belirterek
Kurul:
▪ Öğrencinin sağlık verisine ilişkin
olarak; ilgili kişinin/velinin açık
rızasının alınmadığı,
açık
rızanın aranmadığı diğer
durumların da bulunmadığı gerekçesiyle
Kanunun 12 inci maddesi
uyarınca; kişisel verilerin hukuka aykırı
olarak işlenmesinin engellenmesini teminen gerekli
idari ve teknik tedbirleri almadığı kanaatine
varılan veri sorumlusu hakkında 50.000 TL idari
para cezası uygulanmasına;
▪ İlgili kişinin özel nitelikli kişisel
veri olan sağlık verisinin ilgili kişilerin/velinin
açık rızası
alınmadan işlenmesi nedeniyle hukuka aykırı bir
şekilde veri işlendiği dikkate alınarak
velilere
ve öğrencilere sunulan rehberlik hizmeti sürecinin
kişisel verilerin korunması mevzuatı ile
uyumlu hale getirilmesi, hukuka aykırılıkların
giderilmesi hususunda veri sorumlusunun
talimatlandırılmasına,
▪ Veri sorumlusu tarafından gerçekleştirilen
kişisel veri işleme faaliyetlerine ilişkin
olarak
aydınlatma yükümlülüğünün
Kanunun 10 uncu maddesi ve ilgili Tebliğ hükümlerine
uygun
şekilde yerine getirilmesi hususunda veri sorumlusunun
talimatlandırılmasına,
▪ Öte yandan, hukuka aykırı elde edilen
verilerin Kanunun 7 nci maddesi kapsamında silinmesi,
yok edilmesi veya anonim hale getirilmesi hususunda Şirketin
talimatlandırılmasına,
▪ Diğer taraftan şikâyetçinin,
yapılan yargılama masrafları vs. tüm giderlerin
karşı tarafa
yükletilmesine karar verilmesine yönelik talebinin Kanun
kapsamında olmadığı dikkate
alındığında bu hususta Kurulca yapılacak
bir işlem bulunmadığına
karar vermiştir.
10. Türkiye Ticaret Sicili Gazetesinde açık
bir şekilde ilan edilmeyen kişisel verilerin,
talepleri
üzerine kamu kurum ve kuruluşlarıyla
paylaşılması 22/04/2020 tarihli ve 2020/307
sayılı
Karar Özeti
İşbu kararı kapsamında;
Kurul ticaret sicilinin aleni olduğunu ve MERSİS ile
getirilen aleniyetle gerçek anlamda
şeffaflık
sağlanarak kayıtlardaki yolsuzlukların,
aykırılıkların ve düzensizliklerin
önüne geçilmesinin
hedeflendiğini belirtmiştir. Kurul, sicilin aleni
olması sayesinde herkesin ticaret sicilinin
içeriğini ve
dairede saklanan bütün senet ve belgeleri
inceleyebilmekte, bunların onaylı suretlerini
alabilmekte
olduğunu ve bir hususun sicilde kayıtlı olup
olmadığına dair onaylı belgenin verilmesinin
istenebildiğini
ifade etmiştir. Bu çerçevede Kurul
tarafından;
Kanun'un 3.1.(d) Maddesi kapsamında tacirlerin ya da
şirket hissedarlarının isim, kimlik, adres ve
benzeri bilgileri üzerinde Müdürlükler
tarafından yapılan işlemlerin kişisel veri
işleme faaliyeti olduğu,
bu kapsamda, tescil ve ilanı öngörülen
bilgiler, kişisel veri de içerdiği ve bu verilere
herkes tarafından
kolaylıkla ulaşılabildiği için bu
verilerin kötü niyetli kullanımını
engellemek amacıyla alınması gereken
teknik ve idari tedbirlerin mevzuatta belirtildiği ortaya
koyulmuştur.
Diğer yandan, Ticaret Sicili Yönetmeliğinin
"İlan" başlıklı 41 inci maddesinde bu
Yönetmelik uyarınca
tescil edilen gerçek kişilerin kimlik
numaralarının ilan edilmeyeceği hususunun
düzenlendiği, ve
Türkiye Ticaret Sicili Gazetesinde yapılan ilanlarda T.C.
kimlik numaralarının maskelenmek
suretiyle yayımlanmakta olduğu ve gerçek
kişilerin yerleşim yeri adresleri olarak yalnızca il
ve
ilçe bilgisi ilan edildiği
vurgulanmıştır.
Müdürlükler nezdinde tutulan kişisel verilerin
çeşitli kamu kurum ve kuruluşlarıyla
paylaşılmasının bir
"aktarım" faaliyeti olduğu ifade
edilmiştir. Bu anlamda, ticaret sicili
müdürlükleri nezdinde tutulan
kişisel verilerin başka kamu kurum ve
kuruluşlarıyla paylaşılmasında bir
başka ifadeyle diğer kamu
kurum ve kuruluşlarına aktarılmasında da 6698
sayılı Kanunun 8 inci maddesine uygun hareket
edilmesi
gerektiğini değerlendirilmiştir.
Nüfus Hizmetleri Kanununa göre kimlik bilgilerini
paylaşmaya yetkili merci nüfus
müdürlükleri olup,
bu verilerin ticaret sicil müdürlüklerinden
istenmesi hususunun Nüfus Hizmetleri Kanununa
aykırı
olduğu, bir başka ifadeyle, talep edilecek kişisel
verilerin özel düzenleme niteliğini haiz ilgili
mevzuat
hükümlerinde belirtilen yetkili kamu kurumlarından
temin edilmesi gerektiği yönünde kanaat
oluştuğu
belirtilmiştir.
Bu açıklamaları neticesinde Kurul;
▪ Müdürlük tarafından tutulan ticaret
sicilinin kişisel verileri içerdiği ve sicilde yer
alan kişisel
veriler bakımından Müdürlüğün
kişisel veri işleme faaliyetini
gerçekleştirdiğini;
▪ Ticaret sicilinin aleni olmasının sicilde yer
alan kişisel verilerin 6698 sayılı Kanun
hükümlerinden muaf olacağı anlamını
taşımadığını,
▪ Bu kapsamda Müdürlük tarafından kamu
kurum ve kuruluşlarına gerçekleştirilecek
aktarımların
Kanunun 8 inci maddesinde yer alan düzenlemeye uygun
biçimde yapılması ve sicilde aleni
olarak işlenen verilerin işlenmesi noktasında
aleniyet amacına bağlı kalınması
gerektiği;
▪ Aktarımı talep edilen kişisel verilerin, bu
verileri işleme faaliyetinin özel olarak
düzenlendiği ilgili mevzuatlarca yetkili
kılınmış kuruluşlardan talep
edilmesini,
▪ Her türlü kişisel veri işleme
faaliyetinde özellikle Kanunun 4. maddesinde yer alan
"İşlendikleri amaçla
bağlantılı, sınırlı ve
ölçülü olma" ilkesi ve veri
güvenliğine ilişkin
gerekli her türlü teknik ve idari tedbirlerin
alınması
yükümlülüğünün birlikte
gözetilmesi
gerektiğisonuçlarına
ulaşmıştır.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.