Turkey: Kişisel Verileri Koruma Kurulu'nun En Son Yayınladığı Kararlara İlişkin Bülten

Kişisel Verileri Koruma Kurulu'nun ("Kurul") resmi internet sitesinde 27.12.2023 tarihinde 6698 sayılı Kişisel Verilerin Korunması Kanunu (''Kanun") kapsamında alınan bazı kararlar yayınlanmıştır. Bültenimizde, bunlar içerisinden en çok önem arz ettiğini ve/veya yeni tespitler içerdiğini düşündüğümüz kararlara ilişkin özetlere yer verdik.

Kurul tarafından verilen kararlarda dikkat çeken bazı önemli hususları aşağıda kısaca belirtmek isteriz:

• İlgili kişinin işten ayrılmasından sonra e-posta gönderilmesinin engellenmemesi nedeniyle tanımsız e-postada iletilerin görüntülenmesine imkan sağlanmak suretiyle kişisel verilerinin işlenmeye devam edilmesinin, Kanun'un 5'inci maddesi kapsamında herhangi bir dayanağı bulunmaması nedeniyle hukuka aykırı olduğuna kanaat getirilmiştir.
• Gazete vasıtasıyla ilgili kişinin özel nitelikli kişisel verilerinin işlendiği bir durumda, kişisel veri işlemesinin ifade özgürlüğü kapsamında tam istisnai hal olarak değerlendirilebilmesi için, kişisel veri işleme faaliyetinin özel hayatın gizliliğini ihlal etmemesi gerektiği belirtilmiştir.
• Veri sorumlusu internet sitesinde gizlilik ve aydınlatma metinleri işaretlenmeksizin üyelik ve satış işlemlerinin gerçekleştirilememesi yönündeki uygulamanın, veri sorumlusunun Kanun'dan doğan aydınlatma yükümlülüğünü yerine getirmek üzere benimsediği ve müşterilerin aydınlatma metnini okuyarak bilgilendirilmesi ve bu suretle düşünmeye sevk edilmesi maksadı taşıdığı, bu sebeple Kanun'a aykırılık teşkil etmediğini belirtilmiştir.
• Açık rızanın veri sorumlusu hizmetlerinin ön şartı olarak sunulmasına ilişkin iddia bakımından, veri sorumlusu tarafından sağlanan menfaatlerin açık rıza koşuluna bağlanmasının "açık rızanın özgür irade ile verilmesi" koşulunu ortadan kaldırmayacağı belirtilmiştir.
• E-ticaret sitesi işleten bir veri sorumlusu hakkındaki kararda, Kurul, Avrupa Veri Koruma Otoritesi'nin bir kararına atıf yaparak, bir alışveriş kapsamında kaydedilen kart bilgilerinin üyelik hesabında işlenmeye devam edilmesinin ancak ilgili kişilerin bu yönde Kanun'a uygun şekilde açık rızalarının alınması halinde mümkün olabileceği belirtmiştir.
• Geçtiğimiz aylarda Kurul tarafından yayınlanan Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesine İlişkin Kamuoyu Duyurusu'na uyumlu olarak, alışveriş esnasında ticari elektronik ileti gönderilmesi suretiyle kişisel verilerin işlenmesine ilişkin açık rıza alınmasının ilgili kişiler tarafından alışverişin bir parçası olarak bu rızanın verilmesinin gerektiği izlenimini oluşturacağından, açık rızanın özgür irade ile açıklanma unsurunu zedeleyebileceğinden bahsedilmiştir.
• T.C. kimlik numarasının genel nitelikte bir kişisel veri olmasına rağmen, niteliği itibariyle telefon numarasına nazaran daha önemli bir veri olduğu ve veri ihlali yaşanması halinde kişiler için daha büyük zararlara yol açabileceği belirtilmiştir.
• Son olarak, iş sağlığı ve güvenliği çerçevesinde kamera vasıtasıyla ibadethanenin gözetlenmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin, Kanun'daki veri işleme şartlarından birine dayandırılamayacağı belirtilmiştir.

Karar özetlerini aşağıda bulabilirsiniz.

1. İlgili kişinin e-posta verilerinin, önceden ortağı olduğu veri sorumlusu Şirket tarafından işlenmeye devam edilmesi hakkında Kişisel Verileri Koruma Kurulunun 03/08/2023 Tarihli ve 2023/1321 Sayılı Karar Özeti

Kurul tarafından verilen kararda özetle:

• Veri sorumlusu şirketten ayrılmasından sonra ilgili kişinin, yeni kurduğu firmada daha önce ortağı olduğu veri sorumlusu şirketin faaliyet alanı ile aynı işi yapmaya başladığı,
• Bu süreçte ilk olarak, veri sorumlusu nezdindeki ortaklığını bitirdiğini bilmeyen eski bir müşterinin ilgili kişinin eski e-posta adresine mesaj ilettiği, söz konusu mesajı okuyan veri sorumlusu Şirket yetkilisinin ilgili müşteriyle iletişime geçtiği,
• İkinci olarak ilgili kişinin yeni firmasının bir çalışanının sehven eski e-posta adresine mesaj ilettiği, veri sorumlusu Şirket yetkilisinin bu mesaja yorumsuz bir e-postayla dönüş yaptığı,
• Bu çerçevede her ne kadar veri sorumlusu; bahse konu e-posta adresinin kapanmış olduğunu, kendi şirketi nezdinde kullanılan e-posta adresleri arasında yer almadığını ve bu e-posta adresine gönderilen iletilerin "tanımsız mail" olarak yönetici e-postasına geldiğini ifade etse de, ilgili kişinin daha önceden kullanmış olduğu ve şu an pasif durumda bulunan e-posta adresine ileti gönderilmeye devam edildiği, e-posta verilerinin kişisel veri niteliğini haiz olduğu, bu minvalde ilgili kişinin işten ayrılmasından sonra e-posta gönderilerek tanımsız e-postada iletilerin görüntülenmesine imkan sağlanmak suretiyle kişisel verilerinin işlenmeye devam edildiği, söz konusu işleme faaliyetinin ise Kanun'un 5'inci maddesindeki herhangi bir işleme şartına dayanmadığı

belirtilerek, veri sorumlusu aleyhine 50.000 TL tutarında idari para cezası uygulanmıştır.

2. Bir e-ticaret sitesinden alışveriş yapılabilmesi için kredi/banka kartı bilgilerinin kaydedilmesinin zorunlu tutulması hakkında Kişisel Verileri Koruma Kurulunun 11/04/2023 Tarihli ve 2023/567 Sayılı Karar Özeti

Kurul tarafından verilen kararda özetle:

• Alışverişin tamamlanması için kart bilgilerinin kaydedilmesinin zorunlu olması ve önceki alışveriş için veri sorumlusunun internet sayfasına girilen kart bilgilerinin alışverişin tamamlanmasının ardından kayıtlı olmaya devam etmesinde veri sorumlusu tarafından öne sürülen işleme şartlarının geçerli olup olamayacağının değerlendirilmesinin gerektiği,
• Avrupa Veri Koruma Otoritesi (EDPB) tarafından 19 Mayıs 2021 tarihinde kabul edilen "Kredi Kartı Verilerinin Yalnızca Sonraki Çevrimiçi Satınalmaları Kolaylaştırmak Amacıyla İşlenmesinde Veri İşleme Şartları Konulu 02/2021 sayılı Tavsiye Kararı"nda satın almaları kolaylaştırmak amacıyla kart bilgilerinin işlenmeye devam edilmesinde dayanılabilecek işleme şartının rıza olduğunun belirtildiği,
• Veri sorumlusunun internet sayfasındaki üyelik hesabı kapsamında alışverişin tamamlanması için girilmesi gerekli olan kart bilgilerinin alışverişin tamamlanmasının ardından sonraki alışverişlerin kolaylaştırılması amacıyla ilgili kişinin cüzdan hesabında işlenmeye devam edildiği, bu amaçla veri işlemenin Kanun'un 5'inci maddesinin (1) numaralı fıkrasında yer alan açık rıza işleme şartı kapsamında gerçekleştirilebileceği

belirtilerek, veri sorumlusu aleyhine 500.000 TL tutarında idari para cezası uygulanmıştır.

3. Bir üniversite bünyesinde çalışanların özlük bilgilerinin tüm personelle paylaşılması hakkında Kişisel Verileri Koruma Kurulunun 27/04/2023 Tarihli ve 2023/646 Sayılı Karar Özeti

Kurul tarafından verilen kararda özetle:

• Somut olayda, her ne kadar veri sorumlusunun cevap yazısında şikâyete konu kişisel veri paylaşımının izin kullanımı konusunda ilgili personelin uyarılması amacıyla Kanun'un 5'inci maddesinin (2) numaralı fıkrasının (c) bendinde düzenlenen "bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması" şartına dayanılarak gerçekleştirildiği ifade edilmiş olsa da mezkûr işleme şartının ilgili kişinin izin durumuna ilişkin kişisel verilerinin veri sorumlusu bünyesinde çalışan diğer kişilerle paylaşılması bakımından geçerli olmayacağı,
• İlgili kişinin izin kullanımı hususunda uyarılması amacıyla ilgili kişinin çalıştığı birimde görevli diğer tüm personelle kişisel verilerinin paylaşılmasının gereklilik arz etmediği ve bu amaçla yalnızca ilgili kişi muhatap alınmak suretiyle alternatif süreçlerin işletilebileceği,
• Veri sorumlusu tarafından ilgili kişinin izin durumuna ilişkin kişisel verilerinin ilgili kişinin çalıştığı birimde görevli diğer personelle paylaşılması suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin Kanun'un 5'inci maddesinde yer alan işleme şartlarından herhangi birine dayanmadığı ve bu durumun Kanun'un 12'nci maddesinin (1) numaralı fıkrasına aykırılık teşkil ettiği

belirtilerek, veri sorumlusu bünyesinde görev yapan ilgili personel hakkında disiplin hükümlerine göre işlem yapılması ve işlemin sonucu hakkında Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.

4. Evli çifte ait sağlık verilerini içeren özel nitelikli kişisel verilerin gazetede yayımlanmak suretiyle işlenmesi hakkında Kişisel Verileri Koruma Kurulunun 11/05/2023 Tarihli ve 2023/767 Sayılı Karar Özeti

Kurul tarafından verilen kararda özetle:

• Kişisel veri işlemesinin ifade özgürlüğü kapsamında tam istisnai hal olarak değerlendirilebilmesi için suç teşkil etmemek kaydıyla özel hayatın gizliliğini de ihlal etmemesi gerektiği,
• Kişilik haklarına saldırı mahiyetinde olmayan haberin hukuka uygun olduğunun kabul edilebilmesi için; kamu ilgi ve yararı taşıması, gerçek ve güncel olması, öz ile biçim arasındaki dengenin gözetilmiş olması gerektiği,
• Haberin yapılmasında kamu ilgi ve yararı kriteri mevcut ise de habere konu edilen detayların kamuoyu tarafından bilinmesinde bir menfaat olmadığı, söz konusu kişisel verilerin yayımlanmasının toplumun genelini ilgilendiren ya da ilgilendirmesi gereken bir durum olmadığı, toplumu bir olayı düşünmeye sevk etmediği ya da kamuoyunda tartışılan bir meseleye katkı sağlayabilecek nitelikte olmadığı, aksine ilgili kişilerin kişisel verilerinin korunması hakkının ihlal edilmesi sonucu kişilik haklarını zedelediği, öte yandan haberde yer verilen kişisel verilerin özel nitelikli veri niteliğini haiz olmasının özle biçim arasındaki denge unsurunun sağlanamadığını gösterdiği,
• Bu kapsamda, haberde yer alan kişisel veriler bakımından Kanun'un 28'inci maddesinin (1) numaralı fıkrasının (c) bendinde yer alan istisna hükmüne dayanılamayacağı, Kanun'un 5'inci ve 6'ncı maddelerinde yer alan geçerli bir işleme şartı mevcut olmaksızın kişisel verilerin işlenmiş olmasının Kanun'un 12'nci maddesinin (1) numaralı fıkrasında yer alan "kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirlerin" alınmamış olduğunun göstergesi olduğu,
• Şikayete konu haberde yer alan özel nitelikli kişisel veriler bakımından ifade özgürlüğü ile kişilik hakları arasında yapılan karşılaştırma neticesinde ilgili kişiler bakımından kişilik hakkı ve özel hayatın gizliliğinin ihlal edildiği kanaatine ulaşılmış olması nedeniyle Kanun'un 28'inci maddesinin (1) numaralı fıkrasının (c) bendinde yer alan ifade özgürlüğü istisnasına öncelik tanınamayacağı, bu minvalde söz konusu haberde yer verilen özel nitelikli kişisel verilerin Kanun kapsamında geçerli bir işleme şartına dayanmaksızın işlenmiş olmasının Kanun'un 12'nci maddesinde yer alan "kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirlerin" alınmamış olduğunun göstergesi olduğu

belirtilerek, veri sorumlusu gazete aleyhine 100.000 TL idari para cezası uygulanmasına karar verilmiştir.

5. Bir hava yolu şirketinin özel yolcu programı hizmetinin açık rıza şartına bağlanması hakkında Kişisel Verileri Koruma Kurulunun 25/05/2023 Tarih ve 2023/890 Sayılı Karar Özeti

Kurul tarafından verilen kararda özetle:

• Şikâyete konu özel yolcu programının bir sadakat programı olduğu, ilgili kişinin bu sadakat programına katılmaksızın da veri sorumlusunun temel hizmeti olan uçak bileti satışı hizmetinden faydalanabildiği, programın üyelerine yalnızca ek imkanlar sağladığı,
• Somut olayda hediye millerin görüntülenmesi şikâyete konu edilmiş olup, yapılan incelemelerde millerin görüntülenmesi değil ekstra millerin kazanılmasının ancak özel yolcu programına üye olunması ile mümkün olduğu; üyeliğin ise ilgili kişinin açık rızası ile oluşturulabildiği,
• Ek menfaatlerin açık rıza koşuluna bağlanmasının "açık rızanın özgür irade ile verilmesi" koşulunu ortadan kaldırmayacağının Avrupa Birliği mevzuatında da açıkça kabul edildiği; nitekim, Kişisel Verileri Koruma Kurulunun 05/07/2019 tarihli ve 2019/198 sayılı Kararında da "Sadakat programı kapsamında ürün/hizmetlerin ek menfaat ile indirimli olarak sunulmasının açık rızanın koşul olarak dayatılması anlamına gelmediği"nin değerlendirildiği,
• Bu bağlamda özel yolcu programına katılımının ilgili kişinin kişisel verilerinin işlenmesine göstereceği açık rızaya bağlanmasının "açık rızanın özgür irade ile verilmesi" ne engel olmayacağı ve biriken millerin görüntülenmesinin açık rıza şartına bağlı olmadığı ve pek çok alternatif yol aracılığıyla program kapsamında biriken millerin görüntülenebildiği görüldüğünden söz konusu olayda açık rızanın koşul olarak dayatılması ve bu anlamda ilgili kişinin açık rızasının bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmesi niteliği taşımadığı

belirtilerek, veri sorumlusu hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

6. Veri sorumlusunun internet sitesinde aydınlatma yükümlülüğünü usulüne uygun olarak yerine getirmemesi ve sunduğu hizmeti açık rıza şartına bağlaması hakkında Kişisel Verileri Koruma Kurulunun 15/06/2023 Tarihli ve 2023/1041 Sayılı Karar Özeti

Kurul tarafından verilen kararda özetle:

• İnceleme dosyası kapsamındaki tüm bilgi ve belgenin bir arada değerlendirilmesi neticesinde şikayet tarihinde yurt dışına veri aktarımına ilişkin açık rıza alınması yönündeki uygulamanın internet sitesi üzerinden yapılan satışlarda söz konusu olduğu, ancak kişisel verilerinin yurt dışına aktarılmasına açık rıza vermeyen müşteriler için müşteri hizmetleri aracılığıyla kullanılabilen alternatif bir satış kanalının bulunduğu ve bu kanalın herhangi bir ek maliyet/yükümlülük öngörmeksizin müşterilere alışveriş olanağı sunduğu, bu doğrultuda ilgili kişinin herhangi bir zarara uğramadan ve kişisel verilerinin yurt dışına aktarılmasına izin vermek zorunda bırakılmadan ürünü temin edebilecek olduğu, dolayısıyla hizmetin açık rıza şartına bağlanmış sayılamayacağı,
• Gizlilik ve aydınlatma metinleri işaretlenmeden satışın gerçekleştirilemediği ve üyelik işleminin yapılamadığı iddiası yönünden; kural olarak Kanun'un 3'üncü maddesinin birinci fıkrasının (ı) bendi uyarınca veri sorumlusu niteliğini haiz kişilerin Kanun'un 10'uncu maddesi uyarınca kişisel verisi işlenen gerçek kişilere karşı aydınlatma yükümlülüğünün uygulama alanı bulduğu, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ'in "Usul ve Esaslar" başlıklı 5'inci maddesinin birinci fıkrasının (e) bendinde aydınlatma yükümlülüğünün yerine getirildiğinin ispatının veri sorumlusuna ait olduğu hükmünün yer aldığı, söz konusu iki hükmün birlikte değerlendirilmesi neticesinde, gizlilik ve aydınlatma metinleri işaretlenmeksizin üyelik ve satış işlemlerinin gerçekleştirilememesi yönündeki uygulamanın, Veri Sorumlusunun Kanun'dan doğan aydınlatma yükümlülüğünü yerine getirmek üzere benimsediği ve müşterilerin aydınlatma metnini okuyarak bilgilendirilmesi ve bu suretle düşünmeye sevk edilmesi maksadı taşıdığı, bu sebeple Kanun'a aykırılık teşkil etmediği,

belirtilerek, veri sorumlusu aleyhine herhangi bir idari para cezası uygulanmamış ancak karar tarihinde ise veri sorumlusunun internet sitesinde yapılan değişiklik neticesinde alternatif satış kanalının anlaşılmasının neredeyse imkansız hale getirildiği dikkate alınarak şeffaf bir bilgilendirme yapılmasını teminen üyelik ve satış ekranlarında alternatif satış kanalına ilişkin yolun açık ve anlaşılır biçimde gösterilmesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.

7. Bir işveren tarafından işe iade davasına, ilgili kişinin mescitte ibadet etme görüntülerinin ibraz edilmesi hakkında Kişisel Verileri Koruma Kurulunun 10/08/2023 Tarihli ve 2023/1356 Sayılı Karar Özeti

Kurul tarafından verilen kararda özetle:

• Güvenlik kameraları vasıtasıyla iş yerlerinde, çalışanların iş sağlığı ve güvenliğinin sağlanması kapsamındaki yükümlülüklerin yerine getirilmesi, üretim süreçlerinin kontrolü, iş yerinin ve müşterinin korunması, işçinin performansının değerlendirilmesi ve suç şüphesinin aydınlatılması gibi birçok amaç ile genel ve özel nitelikte kişisel verinin işlenmesinin mümkün olduğu, bu çerçevede, öncelikli olarak veri sorumlusu tarafından kameralar ile görüntülerin işlenmesinin özel nitelikli veya genel nitelikli kişisel veri olup olmadığının değerlendirilmesi gerektiği, şikâyete konu olayda veri sorumlusunun kameralar vasıtasıyla ibadethane içerisindeki görüntü kayıtlarını işlemesinin, ilgili kişinin dini inancına ilişkin bir veri işleme olduğu ve bu sebeple özel nitelikli kişisel veri kategorisine gireceği, bu anlamda Kanun'un 6'ncı maddesi çerçevesinde bir değerlendirme yapılmasının uygun olacağı
• Söz konusu olayda, ilgili kişiye veri sorumlusu çalışanı tarafından gönderilen elektronik posta içeriğinden anlaşılacağı üzere açık rızanın özgür irade ile verilmediği ve ilgili kişinin işten çıkarılma korkusu ile geriye dönük olarak kişisel verilerin işlenmesiyle ilgili diğer belgeleri de rızası olmadan imzalamak zorunda bırakıldığı,
• Söz konusu veri işleme faaliyetinin her halükârda Kanun'un 4'üncü maddesinde yer alan genel ilkelerden "belirli, açık ve meşru amaçlar için işlenme" ve "işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma" ilkelerine uygun olması gerektiği, çalışanların; soyunma odaları, tuvaletler, duşlar, mescit, dinlenme odaları ve emzirme odaları bakımından makul bir mahremiyet beklentisinde olduğu dikkate alındığında veri sorumlusu tarafından söz konusu alanlarda veri işleme faaliyeti gerçekleştirilmesinin çalışanların mahremiyet beklentilerini zedeler nitelikte ve özel alanlarının işgali niteliğinde sayılabileceği,

belirtilerek, veri sorumlusu aleyhine 300.000 TL idari para cezası uygulanmıştır.

8. Yemek kartı hizmeti sunan veri sorumlusuna ait mobil uygulamada T.C. kimlik numarasının işlenmesi hakkında Kişisel Verileri Koruma Kurulunun 17/08/2023 tarihli ve 2023/1430 Sayılı Karar Özeti

Kurul tarafından verilen kararda özetle:

• Telefon numarası ve T.C. kimlik numarası genel nitelikte kişisel veri kategorisinde yer almakla birlikte, T.C. kimlik numarasının niteliği itibariyle telefon numarasına nazaran daha önemli bir veri olduğu ve veri ihlali yaşanması halinde kişiler için daha büyük zararlara yol açabileceği gözetildiğinde; ilgili kişilerin menfaatlerinin korunması için çalışan tarafından fiziksel kartların mobil uygulamaya eklenmek istenmesi halinde uygulamadaki doğrulamanın, işveren aracılığıyla veri sorumlusuna ibraz edilecek kart bilgisi ve telefon numarası gibi bilgilerle sağlanması için yapılacak düzenlemelerin tasarımda mahremiyet, veri minimizasyonu ve kişisel verilerin amaca uygun ve ölçülü işlenmesi ilkelerine uygun olacağı
• Fiziksel yemek kartlarının mobil uygulamada kayıt altına alınması halinde kartın doğrulanması işleminin kişilerin T.C. kimlik numarası bilgisi işlenmeden, işveren aracılığıyla kart ve telefon numarası bilgisi işlenmesi gibi ilgili kişileri daha çok koruyacak yollarla yapılması mümkün olduğundan, T.C. kimlik numarası verisinin işlenmesinin Kanun'un 5'inci maddesindeki hukuki sebeplere dayanmaksızın yapıldığı ve Kanun'un 4'üncü maddesindeki kişisel verilerin işlendiği amaçla ölçülü işlenmesi ilkesine aykırı olduğu

belirtilerek, veri sorumlusu aleyhine 200.000 TL idari para cezası uygulanmıştır.

9. Geniş katılımlı çevrim içi bir oyunun Türkiye'deki dağıtıcısı ve tek yetkilisi konumundaki veri sorumlusu tarafından kişisel verilerin hukuka aykırı işlenmesi hakkında Kişisel Verileri Koruma Kurulunun 28/09/2023 Tarihli ve 2023/1645 Sayılı Karar Özeti

Kurul tarafından verilen kararda özetle:

• Veri sorumlusu tarafından sunulan çevrim içi sanal oyun hizmetinden faydalanmak isteyen ilgili kişilerin üyelik kaydı oluşturmasının gerektiği, üyelik kaydı oluşturulurken, ilgili kişilerin "Kayıt Ol Aydınlatma Metni" ile "Gizlilik Politikası"nı okuduğuna, anladığına ve kabul ettiğine dair kutucuğu işaretlemelerinin talep edildiğinin görüldüğü, "Kayıt Ol Aydınlatma Metni" incelendiğinde veri sorumlusu tarafından üyelik kaydı oluşturacak olan ilgili kişilere yönelik hazırlandığı ve genel olarak Kanun'un 10'uncu maddesine ve Aydınlatma Tebliği'ne uygun olduğu görülmekle birlikte "... paylaşılabilir." gibi muğlak ifadelere yer verilmemesi gerektiği,
• "Gizlilik Politikası" başlıklı metin incelendiğinde; ilgili metnin veri sorumlusunun büyük hissedarı olan şirket tarafından ziyaretçilere, kullanıcılara ve müşterilere sunulan bir çevrim içi gizlilik politikası olduğu ve söz konusu şirketin ayrı bir veri sorumlusu olduğu kanaatine varıldığı, metinde genel olarak; toplanan bilgi türleri (çocukların kişisel verilerinin işlenmesi; ilgili kişiler tarafından sağlanan tanılanabilir şahsi bilgiler; teknolojiler, yöntemler ve/veya servisler aracılığıyla toplanan bilgiler) ve bu bilgilerin e-posta adresi, cinsiyet, telefon numarası, ev adresi, doğum tarihi, IP adresi gibi bilgileri kapsadığı; elde edilen bilgilerin şirket tarafından kullanımı ve paylaşımı (ticari amaçlı kurum içi kullanımı; ticari amaçlı üçüncü partilerin kullanımı ve/veya paylaşımı; promosyon, yarışma ve/veya çekiliş durumları; satın alma, satma, tasfiye, birleşme; bilgilerin iş dışı sebeplerle ifşası, kullanımı ve/veya paylaşımına ilişkin açıklamalar) ile kişisel bilgilerin güncelliğinin sağlanması hususlarına yer verildiği, söz konusu metnin Kanun'un 10'uncu maddesi ve Aydınlatma Tebliği ile uyumlu olmadığının tespit edildiği, bu nedenle ilgili kişilere üyelik kaydı sırasında sunulan ve Kullanıcı Sözleşmesinde de kabul edildiği varsayılan bu metnin diğer metinlerle tutarlı olarak Kanun'a uygun hale getirilmesi veya kaldırılması gerektiği,
• "Kişisel Veri Koruma Politikası" metninde ise kişisel verilerin işlenmesi faaliyetine ilişkin genel bilgilere yer verilmiş olmakla birlikte diğer iki metin ile karşılaştırıldığında daha geniş bir ilgili kişi kategorisine (çalışan adayı, çalışan, hissedar/ortak, tedarikçi çalışanı, tedarikçi yetkilisi, ürün veya hizmet alan kişi, ziyaretçiler) hitap ettiği, veri sorumlusu tarafından yürütülen kişisel veri işleme faaliyetinin amaçları, kişisel veri kategorileri, kişisel verilerin paylaşıldığı tarafların kategorileri ve paylaşma amaçlarına yer verildiği, hangi ilgili kişi grubunun, hangi kişisel verilerinin, hangi amaçla ve hangi hukuki sebebe dayanılarak işlendiği ve hangi üçüncü taraflara aktarıldığının açık bir şekilde anlaşılamadığı, bu nedenle söz konusu metnin Aydınlatma Tebliği'nin 5'inci maddesinin (1) numaralı fıkrasının (g), (ğ) ve (h) bentlerine uygun hale getirilmesi gerektiği,
• Sonuç itibariyle üç farklı metnin sunulmasının ilgili kişiler açısından karmaşık bir durum oluşturduğu, bu hususun yerinde inceleme sırasında da veri sorumlusuna iletildiği ve veri sorumlusunun bu dokümanların Kanun'a uyumlu hale getirilmesi için çalışmalar yürütüldüğünü belirttiği,
• Veri sorumlusunun internet sitesinde zorunlu çerezler, işlev çerezleri, analiz/performans çerezleri ile hedefleme/reklam çerezlerinin kullanıldığı, çerezlere ilişkin pop-up açıklaması altında "sadece gerekli çerezleri kullanın" ve "tüm çerezlere izin ver" olmak üzere iki seçeneğin sunulduğu, gerekli çerezler dışındaki çerezler yoluyla kişisel veri işleme faaliyeti için "tüm çerezlere izin ver" seçeneğinin sunularak topluca açık rıza alma yoluna gidildiği ve ilgili kişilere tercih etme imkanının sunulmadığı, ancak açık rıza alınmasını gerektiren her bir çerez tipi için seçeneklerin sunulması suretiyle "opt-in" yöntemiyle açık rıza alınması gerektiğinden veri sorumlusunun açık rıza metninin açık rızanın "belirli bir konuya ilişkin olması" ve "özgür iradeyle verilmesi" unsurlarını sakatladığı ve Kanun'un 5'inci maddesi kapsamında hukuka uygun bir kişisel veri işleme faaliyetinin gerçekleştirilmediği,
• Diğer taraftan veri sorumlusunun internet sitesinde yayımlanan "Çerez Beyanı" ve "Çerez Politikası"nda yer alan çerez tablosunda üçüncü taraf çerez sağlayıcıları tarafından çeşitli çerezlerin "gerekli çerezler" kategorisinde kullanıldığının belirtildiği, ancak Çerez Uygulamaları Hakkında Rehber'de de belirtildiği üzere, internet sayfasına üçüncü taraf çerezlerin yerleştirildiği durumlarda hem internet sitesi sahibi hem de üçüncü tarafın, kullanıcıların çerezler hakkında açık bir şekilde bilgilendirilmesini sağlamak ve rızalarını almakla yükümlü olduğu, Türkiye'de faaliyet gösteren internet sitelerinin yurt dışında yerleşik şirketler vasıtasıyla kullandığı çerezler aracılığıyla yurt dışına veri aktarımı faaliyetini gerçekleştirdiği durumlarda, bu veri aktarım faaliyetinin Kanun'un 9'uncu maddesindeki şartlara uygun şekilde yapılması gerektiği dikkate alındığında; ilgili kişilerin açık rızasının alınmadığı ve Kanun'un 9'uncu maddesine aykırı bir şekilde yurtdışına aktarım yapıldığı,

belirtilerek, veri sorumlusu aleyhine 750.000 TL tutarında idari para cezası uygulanmıştır.

10. Veri sorumlusuna ait mağazada ilgili kişilere reklam amaçlı SMS gönderilmesi amacıyla kişisel verilerin işlenmesi" hakkında Kişisel Verileri Koruma Kurulunun 28/09/2023 Tarihli ve 2023/1653 Sayılı Kararı

Kurul tarafından verilen kararda özetle:

• Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesine İlişkin Kamuoyu Duyurusu'nda, mağazalarda gerçekleştirilen alışverişlerde; kişilerin telefonuna gönderilecek olan SMS'in amacının ne olduğu ve bu SMS ile iletilen kodun verilmesi halinde ne gibi sonuçlar doğuracağı hususunun, katmanlı aydınlatmanın bir gereği olarak ilk aşamada veri sorumlusunun mağazalarda yetkilendirdiği kişiler tarafından ilgili kişilere açık ve anlaşılır bir biçimde aktarılması, ayrıca aydınlatma yükümlülüğünün yerine getirilebilmesini teminen yine söz konusu SMS içeriklerinde de gerekli kanalların sağlanması, ticari elektronik ileti gönderimi için açık rıza alınmasını teminen SMS doğrulama kodu gönderilmesine yönelik bir uygulamaya gidilmesi halinde ise söz konusu işlemde alınacak açık rızanın tüm unsurları kapsaması hususlarına dikkat çekildiği,
• Somut olay kapsamında, ilgili kişinin açık rızasını vermek için kendi icrai hareketleri ile veri sorumlusuna kısa mesaj gönderdiği, gönderdiği kısa mesaja binaen kendisine gönderilen kısa mesajda yer alan kodu ise kasa görevlisine okuduğu, kendisine gönderilen kısa mesajın içeriğinde hangi kişisel verilerinin hangi amaçlarla işlendiğine dair detaylı bilgilendirmenin yapıldığı anlaşılır olan bir aydınlatma metnine ulaşılmasını sağlayan bir link yer aldığı,
• Somut olay kapsamında ilgili kişinin açık rızasına dayanan bir kişisel veri işleme faaliyeti gerçekleştirildiği; ilgili kişinin açık rızasını geri alması üzerine ise söz konusu işleme faaliyetine son verildiği görülmekte olup, şikayete ilişkin olarak Kanun kapsamında yapılacak bir işlem bulunmadığına,
• Alışveriş esnasında ticari elektronik ileti gönderilmesi suretiyle kişisel verilerin işlenmesine ilişkin açık rıza alınmasının ilgili kişiler tarafından alışverişin bir parçası olarak bu rızanın verilmesinin gerektiği izlenimi oluşacağından açık rızanın özgür irade ile açıklanma unsurunu zedeleyebileceği

belirtilerek, söz konusu uygulamanın ilgili kişileri doğru şekilde bilgilendirmek suretiyle ve alışverişin bir parçası olduğu izlenimi oluşturmayacak şekilde revize edilmesi, ayrıca aydınlatma ve açık rıza onay kodunun aynı kısa mesaj içerisinde sunulmaması ve yapılan işlemlerin sonucu hakkında Kurul'a bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.