Karara Konu Olayin Özeti
Ilgili kisinin spor salonu isletmecisi olan veri sorumlusunun spor salonundan hizmet alan kisilerin saglik verilerini (örn. detayli yag, kilo ve performans ölçümü, kan grubu, yillik hastane ziyaret sayisi, sigara kullanim bilgisi), biyometrik verilerini (örn. salona giriste alinan parmak izi) ve kamera görüntülerini isledigi, ancak bu verilerle ilgili olarak KVKK kapsaminda aydinlatma yapmadigi ve ilgili kisilerin açik rizalarini almadigi, kisisel verilerinin islenmesine iliskin soru ve taleplerini içeren e-postanin veri sorumlusu tarafindan yasal süre içerisinde cevaplandirilmadigi, ilgili kisilere ait kisisel verileri içeren kartlara spor salonunda görevli herkesçe erisilebildigi, bu bilgilerin güvenliginin saglanmadigi, saglik verilerinin de aralarinda bulundugu bu kartlarin zaman zaman kayboldugu ve kimlerin eline geçtiginin belirsiz oldugu, spor salonu görevlilerinin kamera kayitlarini izledigi ve ilgili kisilerin salon içerisindeki davranislariyla bu kayitlarin eslestirilmesi suretiyle yorum yapabildikleri yönündeki iddialarini içerir sikayet dilekçesi üzerine baslatilan inceleme çerçevesinde Kurul tarafindan veri sorumlusunun savunmasi istenmistir.
Veri sorumlusunun savunmasi kapsaminda (i) ilgili kisinin iddialarinin asilsiz oldugu ve spor salonunda uygulanan COVID-19 tedbirlerine uymamak amaciyla sikayette bulundugu, (ii) ilgili kisinin spor salonunda hizmet almak üzere üyelik sözlesmesi imzaladigi ve bu sözlesmede yer alan kisisel verileri disinda baska verisinin islenmedigi, (iii) üyelik sözlesmesinin ilk sayfasinda yer alan "SMS pazarlama faaliyetlerini istiyorum" kismina, ilgili kisinin "okudum, anladim, onayliyorum" seklinde imzali onay verdigi ve bu suretle söz konusu verilerin islenmesinin kendisi tarafindan da kabul edilmis oldugu, (iv) spor salonu üyelerinin kendi talepleri olmadikça boy ve kilo gibi verilerinin alinmadigi, nitekim sözlesmede "anilan spor salonunun üyelere yönelik bir kilo kaybetme, kilo artisi veya sagliginin iyilestirilmesi gibi konularda herhangi bir yazili veya sözlü taahhüdü bulunmamaktadir." ibaresinin yer aldigi ve (v) dolayisiyla veri sorumlusunun üyelerin kilo ve boy gibi verilerini kaydetmedigi, zira bu hususlarda bir yükümlülügünün bulunmadigi, aksi bir durumun yalnizca üyenin talebi ve rizasi ile mümkün oldugu ve ancak ilgili kisiye ait bu nitelikte bir veri girisinin bulunmadigi ifadelerine yer verilmistir.
Kurul Karari ve Yaptirimi
Kurul tarafindan gerçeklestirilen inceleme kapsaminda (i) üyelik sözlesmesi incelendiginde islenen kisisel verilere iliskin herhangi bir aydinlatmanin yer almadiginin görüldügü ve üyelik sözlesmesi kapsaminda islenen kisisel veriler için sözlesme metninden ayri olarak aydinlatma metninin veri sorumlusunca sunulmasi gerektigi, (ii) sözlesmenin ilk sayfasinda ilgili kisinin kimlik verilerinin yani sira saglik verisi olan kan grubu bilgisinin de yer aldigi ve özel nitelikli kisisel veri olarak saglik verisi kategorisinde yer alan kan grubu bilgisinin spor salonu tarafindan islenmesi KVKK'nin 6. maddesinin (2) numarali fikrasi uyarinca ilgili kisilerin açik rizasi ile mümkün olmakla birlikte buna iliskin bir açik riza metninin sunulmadigi görüldügünden, veri sorumlusunun KVKK'da yer alan isleme sartina dayanmaksizin kisisel veri islediginin anlasildigi, (iii) veri sorumlusunun savunmasinda beyan edildigi üzere sözlesme metninde yer alan "SMS pazarlama faaliyetlerini istiyorum" kismina onay verilmesinin ilgili kisi tarafindan kisisel verilerinin islenmesine açik riza verildigi anlamina gelmedigi, bu ifadenin yalnizca pazarlama faaliyetleri kapsaminda ilgili kisinin kisisel verisinin islenmesiyle sinirli bir beyandan ibaret oldugu, ve ilgili kisilerin tercihlerinin metne yansitilmasini teminen söz konusu seçenekle birlikte "SMS pazarlama faaliyetlerini istemiyorum" seçeneginin de üyelik sözlesmesinde sunulmasi gerektigi, (iv) ilgili kisinin yag ve kilo performans ölçümleri, hastane ziyaret sikligi, boy uzunlugu ve sair verilerinin yani sira salon girisinde biyometrik veri olan parmak izinin alindigina yönelik iddiasini tevsik edememesi nedeniyle bu hususta herhangi bir tespitte bulunulamadigi, (v) ilgili kisinin spor salonu içerisinde üyelere ait bilgi kartlarinin herkes tarafindan kolayca ulasilabilir durumda bulundugu, bu kartlarin uygun biçimde saklanmadigi ve zaman zaman kayboldugu, salon içerisindeki güvenlik kamerasi görüntülerine yetkisiz kisilerce erisilebildigi ve ilgili kisinin birtakim davranislarinin bu görüntülerle eslestirildigi yönündeki iddialarina iliskin tevsik edici bilgi ve belge sunamadigi ve veri sorumlusundan alinan savunmada da bu iddialarin reddedildigi ve (vi) ilgili kisi tarafindan veri sorumlusuna gönderilen e-postaya herhangi bir cevap verilmediginin ve bu anlamda veri sorumlusunun kendisine yapilan basvuruyu KVKK'nin 13. maddesinin (2) numarali fikrasi kapsaminda sonuçlandirma yükümlülügüne uygun davranmadiginin görüldügü degerlendirmelerinde bulunulmustur.
Söz konusu degerlendirmeler isiginda;
- spor salonu üyeligi için özel nitelikli kisisel veri niteligindeki kan grubu verisinin islendigi ve bu isleme için açik riza alinmadigi dikkate alindiginda, KVKK'nin 12'nci maddesinin (1) numarali fikrasinda yer alan yükümlülüklerini yerine getirmeyen veri sorumlusu hakkinda, veri sorumlusunca isletilen spor salonunun üyelik sözlesmesi kapsaminda çok sayida üyenin kisisel verilerinin islendigi, bunlar arasinda özel nitelikli kisisel verilerin de bulunmasinin kullanicilarin mahremiyeti açisindan önemli bir risk arz ettigi, veri sorumlusunca ilgili kisi basvurusunun cevapsiz birakildigi ve spor salonu isletmeciliginin yani sira turizm ve otel isletmeciligi ile insaat taahhüt gibi birçok sektörde faaliyet gösteren veri sorumlusunun ekonomik durumu da dikkate alinarak 100.000 TL idari para cezasi uygulanmasina
- aydinlatma ve açik riza metinlerinin üyelere sunulan sözlesme metni içerisinde degil ayrica düzenlenmesi, açik rizanin ilgili kisilere her bir faaliyet açisindan onay verme ve vermeme seçeneklerini içerecek sekilde sunulmasi, aydinlatma metninin, KVKK'nin 10. maddesinin yani sira Aydinlatma Tebligi'nin ilgili hükümlerine uygun sekilde düzenlenmesi ve yapilan islemlerin sonucundan Kurul'u bilgilendirmesi hususunda veri sorumlusunun talimatlandirilmasina,
- lgili kisinin KVKK'nin 11. maddesi uyarinca bilgi edinme talebinin cevapsiz birakildigi anlasildigindan, bundan sonra söz konusu olabilecek ilgili kisi basvurularinin uygun biçimde cevaplandirilmasinda gerekli hassasiyetin gösterilmesi hususunun veri sorumlusuna hatirlatilmasina ve
- ilgili kisilere ait bilgi kartlarinda yer alan verilerin yani sira güvenlik kameralari ile islenen görsel kayitlarin güvenliginin saglanmadigi yönündeki sikayet ile ilgili olarak eldeki mevcut bilgi ve belgeler kapsaminda bu sekilde bir veri ihlali yasandigi yönünde bir tespitte bulunulamamis olup, bu hususta yapilacak bir islem bulunmadigina
karar verilmistir.
Söz konusu kararin tam metnine buradan ulasabilirsiniz.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
