Kisisel Verileri Koruma Kurulu'nun ("Kurul") resmi internet sitesinde 24.04.2023 tarihinde 6698 sayili Kisisel Verilerin Korunmasi Kanunu (''Kanun'') kapsaminda alinan bazi karar özetleri yayinlanmis olup, asagida bu kararlar konularina göre siniflandirilarak özetlenmistir.

Kararlar içerisinde, daha önce de oldugu gibi, kisisel verilerin Kanun'a aykiri sekilde yurtdisina aktarimina yönelik bir idari para cezasi karari mevcuttur. Buna ek olarak, ilgili kisinin açik rizasi olmaksizin verilerinin ticari elektronik ileti gönderimi için islenmesi ve veri sorumlusunun internet sitesinde bir çerez politikasina yer verilmemesi nedeniyle verilen idari para cezasi kararlari da dikkat çekmektedir. Çalisan verileri bakimindan ise, is iliskisinin sona ermesinden sonra islenmeye devam eden verilere iliskin kararlar dikkat çekmektedir.

A. Is Iliskisi Kapsaminda Islenen Verilere Yönelik Kararlar

Kisisel Verileri Koruma Kurumu'na ("Kurum") intikal eden sikâyette özetle; ilgili kisinin ücretsiz izne gönderildigine dair veri sorumlusu tarafindan kendisine bir ihtarname iletildigi, söz konusu ihtarnamenin yedi kisiye daha gönderildigi, ihtarnamede T.C. kimlik numarasi ve adresinin bulunmasi nedeniyle ilgili kisinin kisisel verilerinin alenen ifsa edildigi belirtilerek gereginin yapilmasi talep edilmistir.

Konuya iliskin yapilan degerlendirme neticesinde; somut olayda, veri sorumlusu tarafindan ilgili kisinin ve diger yedi çalisanin bilgilerine ayni ihtarnamede yer verildiginin görüldügü ve veri sorumlusu tarafindan da bu durumun ikrar edildigi belirtilmis olup diger yedi çalisanla birlikte ilgili kisinin kimlik ve iletisim verisinin ayni ihtarnamede yer almasi ve söz konusu ihtarname keside edilirken de herhangi bir sekilde karartma, muhataplara ayri ayri keside etme vb. islemin yapilmamasi nedeniyle ilgili kisinin kisisel verilerinin diger çalisanlarla paylasildigi, bu çerçevede Kanun'un 5'inci maddesinde yer alan herhangi bir isleme sartina dayanmaksizin gerçeklesen kisisel veri isleme faaliyetinin Kanun'un 12'nci maddesinin (1) numarali fikrasi hükmüne aykiri oldugu degerlendirildiginden veri sorumlusu 100.000 TL idari para cezasi uygulanmasina karar verilmistir.

Ilgili kisi tarafindan Kurum'a iletilen sikâyet dilekçesinde özetle; veri sorumlusu bünyesinde sirket müdürü olarak çalismakta iken is akdinin haksiz sekilde sonlandirildigi ve veri sorumlusuna ait sosyal medya hesabinda ". Yaptigi usulsüzlükler nedeni ile isten ATILAN .....'in sizlere vermis oldugu rahatsizliktan dolayi özür dileriz." içerikli bir paylasim yapildigi, söz konusu paylasimin silinmesi, durdurulmasi ve düzeltme metni yayinlanmasi için 5651 sayili Internet Ortaminda Yapilan Yayinlarin Düzenlenmesi ve Bu Yayinlar Yoluyla Islenen Suçlarla Mücadele Edilmesi Hakkinda Kanun ve Kanun geregi veri sorumlusuna ihtarda bulundugu ancak tarafina cevap verilmedigi, herhangi bir mahkeme karari ve rizasi olmadan yapilan bu duyurudan sikayetçi oldugu belirtilerek Kanun kapsaminda gereginin yapilmasi talep edilmistir.

Konuya iliskin olarak yapilan incelemede neticesinde; somut olayda, ilgili kisinin açik ad ve soyadi ile ilgili kisi hakkindaki ithamlari da içeren duyurunun sadece sirket müsterilerinin degil herkesin erisimine açik sekilde sirketin sosyal medyada yer alan kurumsal hesabinda/sayfasinda yayinlandigi, bu çerçevede, veri sorumlusunun sosyal medyadaki kurumsal hesabi/sayfasinin sadece sirketin müsterilerine özel bir ortam olmadigi, herkese açik bir platform oldugu dikkate alindiginda söz konusu eylemin Kanun'un 4'üncü maddesindeki ölçülülük ilkesine aykirilik teskil ettigi ve ilgili kisinin kisisel verilerinin islenmesine iliskin Kanun'un 5'inci maddesi kapsamindaki bir isleme sartina dayanildigina dair Kurum'a somut herhangi bir bilgi, belge sunulmadigi belirtilmis olup, veri sorumlusunun ekonomik durumu dikkate alinarak, 30.000 TL idari para cezasi uygulanmasina, ilgili sosyal medya paylasiminda yer verilen kisisel verilerin imha edilerek sonucundan Kurul'a bilgi verilmesi hususunda veri sorumlusunun talimatlandirilmasina karar verilmistir.

Ilgili kisinin sikâyetinde özetle; veri sorumlusu bir giyim magazasi tarafindan satisa çikarilan ürünlerin tanitim ve görsellerinin veri sorumlusuna ait internet sayfasinda paylasildigi, ilgili kisinin bünyesinde katalog modeli olarak çalistigi veri sorumlusu ile is iliskisinin sona ermesine ragmen fotograflarinin açik rizasi olmaksizin veri sorumlusuna ait internet adreslerinde yayinlanmaya devam edildigi, ilgili kisinin fotograflarin kaldirilmasi talebiyle veri sorumlusuna basvuruda bulunmasina ragmen fotograflarin yayinlanmasina devam edildigi belirtilerek gereginin yapilmasi talep edilmistir.

Konuya iliskin yapilan inceleme neticesinde; ilgili kisinin is iliskisinin sona ermesi nedeniyle fotograflarinin veri sorumlusu sirketin internet sayfasindan kaldirilmasi talebi ile ilgili olarak veri sorumlusunun, kiyafetlerin stoklarinin bitene kadar paylasildigi beyani ve ilgili kisinin fotograflarinin ilgili kisi ile veri sorumlusu arasindaki sözlesmeye istinaden internet sitesinde yayinlamak suretiyle islendigi dikkate alindiginda veri sorumlusu sirket hakkinda Kanun kapsaminda yapilacak bir islem bulunmadigina karar verilmistir.

Kurum'a intikal eden sikâyette özetle; ilgili kisinin halihazirda bir sirket bünyesinde çalismakta iken baska bir sirkete is görüsmesi yapmak maksadiyla davet edildigi ve is görüsmesinin gerçeklestirildigi, is görüsmesi yapan veri sorumlusu sirket tarafindan, ilgili kisinin halihazirda çalismakta oldugu sirket hakkinda itibarini zedeler nitelikte birçok beyanda bulundugu bilgisinin ilgili kisinin mevcut is yeri ile paylasildigi, bunun neticesinde ilgili kisinin mevcut is yeri tarafindan ücretsiz izne çikarildigi, bu durum üzerine ilgili kisi tarafindan is sözlesmesinin feshi için ihtarname gönderildigi, ilgili kisi tarafindan kisisel verilerinin islenip islenmedigi, kisisel verilerinin kimlerle paylasildigi konularinda bilgi edinmek, ayrica maddi ve manevi zararlarin tazmini ile kisisel verilerinin silinmesini talep etmek suretiyle is görüsmesi yapan veri sorumlusuna basvuruda bulunuldugu ancak yasal süresi içerisinde yanit verilmedigi belirtilerek veri sorumlusu hakkinda Kanun kapsaminda gereginin yapilmasi talep edilmistir.

Konuya iliskin olarak yapilan incelemede; veri sorumlusu tarafindan ilgili kisinin sirketleri ile is görüsmesi yaptigi bilgisi ile is görüsmesinde ilgili kisinin hali hazirda çalismakta oldugu is yeri hakkinda birçok söz beyan ettigi bilgisinin aktarilmasi faaliyetinin Kanun'un 8'nci maddesine uygun sekilde gerçeklestirilmedigi degerlendirilmekte olup, veri sorumlusunun ilgili kisinin basvurularina yasal süresi içerisinde yanit vermedigi de dikkate alinarak veri sorumlusu hakkinda 100.000 TL idari para cezasi uygulanmasina karar verilmistir.

Kurum'a intikal eden sikâyette özetle; ilgili kisi ile veri sorumlusu arasindaki is akdinin hakli nedenle feshedildigi tarihe kadar geçen sürede bir is iliskisinin mevcut oldugu, bu dogrultuda veri sorumlusu tarafindan ilgili kisiye ait kimlik, iletisim, özlük, mesleki deneyim, saglik verileri gibi birtakim kisisel verilerin islendigi, ancak bu kisisel veri isleme faaliyetlerine iliskin ilgili kisiye herhangi bir aydinlatma yapilmadigi, ayrica birtakim kisisel veriler islenirken ilgili kisinin açik rizasinin alinmadigi, bunlarin yani sira veri sorumlusu isveren tarafindan ilgili kisinin adinin geçtigi ceza sorusturma dosyasinda yer alan adli yazisma bilgilerinin dosya ile herhangi bir baglantisi olmadigi halde ilgili kisinin kardesinin e-posta adresine iletildigi, ilgili hususta veri sorumlusuna basvuru yapilmissa da cevap alinamadigi belirtilerek veri sorumlusu hakkinda Kanun kapsaminda gereginin yapilmasi talep edilmistir.

Konuya iliskin yürütülen inceleme neticesinde; veri sorumlusu ile ilgili kisi arasinda is sözlesmesinin kurulmus oldugu, veri sorumlusunun ilgili kisiye ait kimlik bilgilerini "kanunlarda açikça öngörülme" sartina dayali olarak islendigi ve veri sorumlusu hakkinda Kanun kapsaminda herhangi bir islem tesis edilmesine yer olmadigina, Veri sorumlusu tarafindan ilgili kisiye ve baska gerçek kisilere ait kisisel verileri barindiran Savcilik sikayet dilekçesinin olayla herhangi bir ilgisi olmadigi anlasilan ve ilgili kisinin kardesi oldugu belirtilen üçüncü bir kisiye e-posta yoluyla iletilmesi isleminin, kisisel verilerin hukuka aykiri olarak islenmesini önlemeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülügüne aykiri hareket ettigi degerlendirildiginden veri sorumlusu 150.000 TL idari para cezasi uygulanmasina, diger hususlarin veri sorumlusuna hatirlatilmasina karar verilmistir.

Ilgili kisinin Kurum'a intikal eden sikâyette özetle; mobilya-dekorasyon sektöründe faaliyet gösteren bir anonim sirket bünyesinde iç mimar olarak yaklasik 3 yil çalistigi, is akdinin feshi tarihinden sonra, pandemi döneminde veri sorumlusu sirket tarafindan müsterilere yönelik olarak sosyal medya üzerinden gerçeklestirilen canli yayinlardaki görüntüsünün TV reklamlarinda, veri sorumlusu sirketin internet sitesinde, sosyal medya hesaplarinda ve tanitima yönelik basili materyallerde reklam ve pazarlama amaciyla kullanildigi, görüntüsünün bu sekilde kullanimi ile ilgili olarak kendisine aydinlatma yapilmadigi, açik rizasinin da alinmadigi, öte yandan is akdinin feshedildigi tarihten sonra veri sorumlusunun tasima süreçlerine iliskin kargolarda hala ilgili kisinin cep telefonu numarasinin kullanildigi, yine is akdinin feshedildigi tarihten sonra ilgili kisinin veri sorumlusu bünyesinde gerçeklestirilen satis ve tahsilat islemlerinde islemi gerçeklestiren kisi gibi göründügü ifade edilerek Kanun kapsaminda gereginin yapilmasi ve hukuka aykiri olarak islenen kisisel verilerinin imha edilmesi talep edilmistir.

Konuya iliskin yapilan degerlendirme neticesinde; ilgili kisinin yer aldigi görüntülerin veri sorumlusunun arsivlerinde bulunmasinin hukuka uygun olacagi ancak is akdinin sona ermesinden sonra da söz konusu verilerin paylasimina devam edilmesi suretiyle islenmesinde Kanun kapsaminda geçerli bir isleme sartinin mevcut olmadigi, öte yandan ilgili kisinin kargo sirketleri nezdinde kayitli olan kisisel cep telefonu numarasinin ve is akdi feshedilmeden öncesinde çalistigi magazadaki dijital ödeme sistemleri, çesitli evrak ve formlar içerisinde kayitli bulunan ve kendisini islem yetkilisi olarak gösteren kisisel verilerinin "dogru ve gerektiginde güncel olma" ilkesine aykiri sekilde islendigi, bu verilerin islenmesinde veri sorumlusunca bir baska hukuki nedenin de gösterilemedigi görüldügünden Kanun'un 12'nci maddesinin (1) numarali fikrasinda yer alan yükümlülüklerini yerine getirmedigi anlasilan veri sorumlusu hakkinda, ilgili kisinin hukuka aykiri olarak islenen kimlik ve iletisim bilgileri kullanilarak yapilan satis, kargo gönderimi gibi yasal islemlerin ilgili kisi üzerinde negatif sonuç dogurma riskinin yüksek oldugu hususu dikkate alinarak, 250.000 TL idari para cezasi uygulanmasina karar verilmistir.

Kurum'a intikal eden sikâyette özetle; ilgili kisinin veri sorumlusu sirkette is akdinin feshedildigi, fesih sebebinin sirket içi verilerin sirketin tahsis etmis oldugu e-posta adresi üzerinden kisisel e-posta adresine gönderilmesi ve sirketin bir baska çalisani ile gerçeklestirilen telefon görüsmesinin gizlice kayit altina alinarak yine kisisel e-posta adresi ile avukatinin e-posta adresine gönderilmesi oldugu ifade edilerek Kanun kapsaminda gereginin yapilmasi talep edilmistir.

Konuya iliskin yürütülen inceleme neticesinde; ilgili kisinin imzalamis oldugu metinlerde okunup anlasildigina iliskin beyanda bulundugu, dolayisiyla bu metinlerde yer alan e-posta denetimi vasitasiyla islenecek kisisel verilere iliskin veri sorumlusu tarafindan ilgili kisiye karsi aydinlatma yükümlülügünün yerine getirildigi, sirket tarafindan e-posta denetimi araciligiyla gerçeklestirilen kisisel veri isleme faaliyetinin "bir hakkin tesisi, kullanilmasi veya korunmasi için veri islemenin zorunlu olmasi" hükmü ile ( "Ilgili kisinin temel hak ve özgürlüklerine zarar vermemek kaydiyla, veri sorumlusunun mesru menfaatleri için veri islenmesinin zorunlu olmasi." isleme sartlari kapsaminda gerçeklestirildigi, e-posta denetimi suretiyle elde edilen kisisel verilerin fesih bildirimine konu edilmesinin "Bir hakkin tesisi, kullanilmasi veya korunmasi için veri islemenin zorunlu olmasi" hükmü kapsaminda gerçeklestirildigi, öte yandan, amaçla baglantili, sinirli ve ölçülü olma ilkesine de aykirilik teskil etmedigi degerlendirildiginden sirket tarafindan gerçeklestirilen kisisel veri isleme faaliyetinde herhangi bir hukuka aykirilik bulunmadigi hususlari dikkate alindiginda veri sorumlusu hakkinda Kanun kapsaminda yapilacak bir islem bulunmadigina karar verilmistir.

B. Müsteri/Potansiyel Müsteri Verilerinin Islenmesine Iliskin Kararlar

Ilgili kisi tarafindan Kurum'a iletilen sikayet dilekçesinde özetle; veri sorumlusu bir tasarruf finansman sirketince kendisine birkaç kez kisa mesaj gönderildigi, bunun üzerine ilgili kisi tarafindan kisisel verisi niteligindeki cep telefonu numarasinin açik rizasi olmadan ne sekilde elde edildigi, nasil ve hangi amaçla islendigine dair bilgi edinmek amaciyla veri sorumlusuna basvuruldugu, veri sorumlusu tarafindan verilen cevapta özetle Ileti Yönetim Sistemi (IYS) adi verilen sisteme kayitli kurumsal bir firma oldugunun, bu sisteme üyelerin rizasi dahilinde veri girisi yapildiginin, istenildigi zaman IYS sisteminden çikilabildiginin, söz konusu mesaj içeriginde ret imkaninin bulundugunun ve sistemde kayitli ilgili kisiye ait telefon numarasinin SMS gönderimine kapatildiginin belirtildigi, veri sorumlusu tarafindan verilen cevapta belirtildiginin aksine ilgili kisi tarafindan IYS araciligiyla veri sorumlusuna herhangi bir açik riza veya onay verilmedigi, ilgili kisinin kisisel verilerinin nasil, hangi amaçlarla islendigi ve kisisel verilerinin açik rizasi olmadan islenmesi konularinda yeterli cevap verilmemesi nedeniyle kisisel verilerinin Kanun'a aykiri olarak islendigi ifade edilerek sirket hakkinda Kanun kapsaminda gereginin yapilmasi talep edilmistir.

Konuya iliskin olarak yapilan incelemede; ticari elektronik iletiye iliskin ayri bir mevzuat bulunmakla birlikte somut olayda oldugu gibi ilgili kisiye ait cep telefon numarasinin bir veri kayit sisteminde depolanmasi suretiyle ticari nitelikli iletiler gönderilmesinin, bir kisisel veri isleme faaliyeti oldugu, dolayisiyla ticari nitelikli bir elektronik iletinin ticari elektronik ileti gönderilmesine iliskin mevzuata uygun olarak gönderilmesi gerekmekle birlikte, bu mesajlarin iletilmesi için kullanilan iletisim numarasinin kisisel veri niteliginde olmasi nedeniyle ticari elektronik iletilerin gönderilmesi süreçlerinin ayni zamanda kisisel verilerin korunmasi mevzuatina da uygun olmasi gerektigi belirtilmistir.

Somut olayda, veri sorumlusu tarafindan sunulan bilgi ve belgeler çerçevesinde IYS sistemine kaydinin yapilmasina temel teskil edecek nitelikte ilgili kisinin veri sorumlusu ile bir iliskisinin oldugunun tespit edilemedigi veya veri sorumlusu tarafindan ilgili kisinin kisisel verisinin islenmesi hususunda açik rizasinin oldugunun tevsik edilemedigi dikkate alindiginda, Kanun'un 12'nci maddesinin (1) numarali fikrasi çerçevesinde gerekli teknik ve idari tedbirleri almadigi kanaatine varilan; veri sorumlusu hakkinda 75.000 TL idari para cezasi uygulanmasina, Hukuka aykiri islendigi tespit edilen söz konusu kisisel verinin, baska bir isleme sebebi bulunmamasi halinde, Kanun'un 7'nci maddesi ile Kisisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Hakkinda Yönetmelik hükümlerine uygun sekilde imha ederek sonucundan Kurula bilgi vermesi hususunda veri sorumlusunun talimatlandirilmasina karar verilmistir.

Kurum'a intikal eden dilekçede özetle; pazarlama sirketine ait bir ürün için serbest girisimci olan gerçek kisi tarafindan 8 yasindaki çocuga (ilgili kisi) mektup yoluyla tanitim amaçli brosür gönderildigi, bunun üzerine, velisi tarafindan mektupta telefon numarasi bulunan gerçek kisiye telefonla ulasilarak 8 yasindaki kizinin kisisel bilgilerine nereden ulastiginin soruldugu, ancak yapilan bu görüsmede karsi tarafça kendisine bir bilgi verilmedigi gibi kizinin kisisel verileri ile ilgili herhangi bir islemin yapilmadigi, bu çerçevede velisi tarafindan çocugun ev adresi ve ismi gibi kisisel verilerine nasil ulasildigina iliskin pazarlama sirketine basvuru yapildigi, yapilan basvuru neticesinde yine herhangi bir bilgi verilmedigi, velinin çocugun kisisel verilerinin islenmesine iliskin herhangi bir rizasi olmadigi ve ticari amaçla tanitim yapmak amaciyla açik riza olmaksizin çocugun kisisel verilerinin islendigi belirtilerek Kanun kapsaminda gereginin yapilmasi talep edilmistir.

Konuya iliskin yürütülen inceleme neticesinde; ilgili kisiye tanitim amaçli gönderilen brosürün faturada belirtilen siparis ile birlikte gönderilmedigi, incelemeye konu salt brosür gönderiminin Kanun'da tanimli isleme sartlarindan herhangi birine dayanilmaksizin gerçeklestirildigi, bu bakimdan Kanun'un 12'nci maddesinin (1) numarali fikrasindaki yükümlülüklerin yerine getirilmedigi ve kabahate konu eylemin yalnizca bir kez gerçeklestirildigi kanaatine varildigindan, 5326 sayili Kabahatler Kanunu'nun 17'nci maddesinin (2) numarali fikrasi uyarinca islenen kabahatin haksizlik içerigi ile veri sorumlusunun kusuru ve ekonomik durumu birlikte göz önünde bulunduruldugunda veri sorumlusu hakkinda 30.000 TL idari para cezasi uygulanmasina karar verilmistir.

Ilgili kisinin Kurum'a intikal eden sikâyetinde özetle; ilaç sektöründe faaliyet gösteren bir sirketin çalisani oldugu iddia edilen bir sahistan e-posta aldigi, e-posta adresinin nasil elde edildigine iliskin veri sorumluna basvurarak e-posta adresinin ecza depolari vasitasiyla paylasildigi bilgisini edindigi ifade edilerek Kanun kapsaminda gereginin yapilmasi talep edilmistir.

Konuya iliskin yapilan degerlendirme neticesinde; veri sorumlusu tarafindan reklam ve pazarlama amaçli, izinsiz ticari elektronik ileti gönderilmesi suretiyle ilgili kisinin kisisel verisi niteliginde olan e-posta adresinin islenmesinde kisisel veri isleme sartlarinin bulunmadigi ve bu kapsamda veri sorumlusunun kisisel verilerin hukuka aykiri islenmesini önlemek amaciyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadigi kanaatine varilmasi nedeniyle veri sorumlusu hakkinda 50.000 TL idari para cezasi uygulanmasina karar verilmistir.

Kurum'a intikal eden dilekçede özetle; ilgili kisinin herhangi bir baglantisi olmadigi halde veri sorumlusu sirket tarafindan ilgili kisinin is e-posta adresine kampanya, reklam vb. içerikli e-posta gönderildigi, ilgili kisi tarafindan veri sorumlusuna ait e-posta adresine basvuruda bulunularak iletisim bilgilerinin ve kimlik bilgilerinin nereden ve nasil temin edildiginin soruldugu, tarafina reklam/kampanya içerikli e-postalarin gönderilmemesinin, kisisel verilerinin imha edilmesinin ve imha edilen bilgiler hakkinda tarafina bilgi verilmesinin talep edildigi ancak veri sorumlusu tarafindan verilen cevapta sadece e-posta adresi ve bilgilerinin kayitlardan silindiginin belirtildigi, verilerinin nereden temin edildigine iliskin herhangi bir bilgi verilmedigi ifade edilerek Kanun kapsaminda gereginin yapilmasi talep edilmistir.

Konuya iliskin yürütülen inceleme neticesinde; ilgili kisinin e-posta adres bilgisinin reklam ve pazarlama amaciyla islenmesine yönelik herhangi bir platformda alenilestirme iradesinin bulunduguna dair veri sorumlusu tarafindan kanitlayici nitelikte bir belgenin Kurum'a sunulmadigi, veri sorumlusunun ilgili kisinin kisisel verilerinin Kanunda yer alan isleme sartlari kapsaminda islendigine iliskin açiklamalarinin hukuki dayanaktan yoksun oldugu dikkate alindiginda veri sorumlusunun Kanun'un 5'inci maddesi çerçevesinde herhangi bir kisisel veri isleme sarti bulunmaksizin veri isleme faaliyetinde bulundugu kanaatine varildigindan veri sorumlusu hakkinda 150.000 TL idari para cezasi uygulanmasina karar verilmistir.

Kurum'a intikal eden sikâyette özetle; veri sorumlusu sirket ile herhangi bir ticari faaliyette bulunulmamasina ve bu kapsamda iletisim onayi verilmemesine ragmen, aydinlatma yükümlülügü yerine getirilmeden ve açik rizasi alinmadan ilgili kisiye pazarlama amaciyla mesaj gönderildigi, veri sorumlusuna yapilan basvurunun cevabinda, ilgili kisiden yanlislik için özür dilenerek ilgili kisi tarafindan pazar yerlerinden alisveris yapilmis olmasi nedeniyle sistemin, cari kodunu sabit müsterileri gibi tanimlamasi nedeniyle ilgili kisiye kisa mesaj gönderildiginin ve basvuru akabinde gerekli düzeltmelerin yapildiginin belirtildigi ifade edilerek veri sorumlusu hakkinda Kanun kapsaminda gereginin yapilmasi talep edilmistir.

Konuya iliskin yürütülen inceleme neticesinde; veri sorumlusu tarafindan verilen yanitta firmalarina ait olan internet sitesinde kendi rizasiyla e-posta/SMS alabilmek için onay veren müsterilerine/üyelerine iletilmesi gereken mesajin sehven satis platformundaki magazalarindan alisveris yapan müsterilerine gönderilmis oldugu, yapilan yanlisin fark edilmesi üzerine iptal isleminin baslatildigi fakat bazi müsterilere kisa mesaj gitmesine engel olunamadiginin beyan edildigi dikkate alindiginda veri sorumlusunun Kanun'un 5'inci maddesinde yer alan isleme sartlarindan herhangi birine dayanmaksizin ilgili kisinin kisisel verisi niteligindeki telefon numarasini isledigi, bu çerçevede kisisel verilerin hukuka aykiri olarak islenmesini önlemek amaciyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadigi, öte yandan sikâyet konusunun veri ihlal niteligi arz ettigi ancak veri sorumlusunun gerçeklesen veri ihlali ile ilgili Kurul'a bir bildirim yapmadigi kanaatine varildigindan veri sorumlusu hakkinda 30.000 TL idari para cezasi uygulanmasina karar verilmistir.

Kurum'a iletilen sikayet dilekçesinde özetle; ilgili kisinin veri sorumlusunun sistemine internet sitesi üzerinden üye oldugu, internet sitesinde çerez politikasinin yer almadigi, aydinlatma metninde yurt disina aktarim yapildiginin bildirildigi ancak ilgili kisinin bu yönde bir açik rizasinin olmadigi, bunun üzerine konuya iliskin internet sitesinde yer alan aydinlatma metnindeki e-posta adresine basvuruda bulundugu, bu basvuruda ilgili kisinin hangi verilerinin kaydedildigi ve aktarildigi hususlarinda bilgi talep edilmisse de yasal süre olan 30 gün içerisinde veri sorumlusundan bir cevap alinamadigi ifade edilerek veri sorumlusu hakkinda Kanun kapsaminda gereginin yapilmasi talep edilmistir.

Konuya iliskin olarak yapilan incelemede; ilgili kisinin Kanun'un 13'üncü maddesi kapsaminda veri sorumlusuna yaptigi basvurunun sehven gözden kaçirildigi dikkate alindiginda, Veri Sorumlusuna Basvuru Usul ve Esaslari Hakkinda Teblig'in 6'nci maddesinin (1) numarali fikrasinda düzenlendigi üzere, veri sorumlusu tarafindan ilgili kisilerce yapilacak basvurulari etkin, hukuka ve dürüstlük kuralina uygun olarak sonuçlandirmak üzere gerekli her türlü idari ve teknik tedbirlerin alinmadigi kanaatine varildigi, veri sorumlusunun, Kurul tarafindan onaylanmis taahhütname basvurusu bulunmamakla birlikte Kanun kapsaminda yurt disina aktarim faaliyetinin hukuka uygun olabilmesi için açik rizadan baska bir hukuki sebep bulunmadigi, veri sorumlusu tarafindan somut olayda yurt disina aktarim faaliyeti kapsaminda ilgili kisilerden belirli bir konuya iliskin, bilgilendirmeye dayanan ve özgür iradeyle açiklanan açik riza alinmasi yoluna da basvurulmadigi belirtilmistir.

Yurt disina kisisel veri aktarma fiilinin münferit bir olaydan kaynakli olarak degil sistemli bir sekilde veri sorumlusu tarafindan kasten ve icrai hareketle yapildiginin savunma dilekçesinde ikrar edildigi, kabahat teskil eden ihlalin ticari amaç kapsaminda gerçeklestirildigi ve Kanun'un yürürlüge girdigi tarihin üzerinden 6 sene geçmis olmasina ragmen yurt disina aktarim faaliyetinin Kanun'a uygun hale getirilmemis oldugu dikkate alinarak, veri sorumlusu hakkinda 950.000 TL idari para cezasi uygulanmasina, Veri Sorumlusuna Basvuru Usul ve Esaslari Hakkinda Teblig kapsaminda ilgili kisiler tarafindan yapilacak basvurulari etkin, hukuka ve dürüstlük kuralina uygun olarak sonuçlandirmak üzere gerekli her türlü idari ve teknik tedbirleri almasi hususunda veri sorumlusunun uyarilmasina karar verilmistir.

Ilgili kisinin sikâyetinde özetle; ilgili kisinin alabilecegi kredi tutarini ögrenebilmek adina T.C. kimlik numarasini yazarak belirtilen numaraya SMS gönderdigi, veri sorumlusu banka tarafindan verilen SMS yanitinda ilgili kisinin kredi limitinin belirtildigi, ilgili kisinin daha önce bu bankada hiçbir hesabinin olmadigi ve hiçbir islem yapmadigi, bankaya gönderilen T.C. kimlik numarasi ve cep telefonu numarasi için veri sorumlusu bankanin ilgili kisiye yönelik herhangi bir aydinlatmada bulunmadigi, bu banka ile irtibati bulunmayan bir kisi olmasina karsin veri sorumlusunun ilgili kisiye kisa süre içerisinde kredi limiti belirleyebildigi, bu durumun veri sorumlusu banka tarafindan ilgili kisinin kisisel verilerinin bilgisi olmaksizin daha önceden isleniyor oldugunu gösterdigi, veri sorumlusunun ilgili kisinin basvurusuna usulüne uygun bir yanit verilmedigi ve kisisel verileri islenirken ilgili kisiden açik riza alinmadigi belirtilmis ve gerekli islemlerin yapilmasi talep edilmistir.

Konuya iliskin yapilan inceleme neticesinde; ilgili kisiye öncelikle kisisel verilerinin korunmasi ile ilgili olarak bir SMS gönderildigi ve bu SMS'te veri sorumlusunun aydinlatma metnine ulasilmasini saglayan bir baglantinin yer aldigi, sonrasinda gelen SMS'te ise ilgili kisiye ait çekilebilecek kredi tutarinin yer aldiginin görüldügü, su hâlde ilgili kisinin iddiasinin aksine veri sorumlusunun ilgili kisinin iradesiyle baslattigi veri isleme sürecini tamamlamadan evvel ilgili kisiye konuya iliskin aydinlatmada bulundugunun görüldügü, veri sorumlusu ilgili kisinin kisisel verilerinin Kanun'un 5'inci maddesinin (2) numarali fikrasinda gösterilen sartlar dâhilinde islendigini ifade etmekte ise de bu verilerin hangi veriler oldugunun ve ilgili maddede gösterilen hangi sarta dayali olarak islendiginin meçhul oldugu, bu sebeplerle veri sorumlusunun ilgili kisiye karsi tam ve eksiksiz aydinlatma ile ilgili arz edilen sartlari saglayan bir metinle yanit verme yükümlülügünü ihlâl ettiginin anlasildigi belirtilmis olup, veri sorumlusunun aydinlatma metninin Aydinlatma Yükümlülügünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkinda Teblig'e uygun hale getirilmesi ve sonucundan otuz günlük yasal süre içerisinde Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandirilmasina, ilgili kisinin veri sorumlusuna yaptigi basvuruya verilen yanitin; ilgili kisinin taleplerini karsilamaktan uzak ve eksik bir yanit oldugu dikkate alindigindan veri sorumlusunun ilgili kisilerin basvurularina, Kanun'a ve Teblig'e uygun sekilde yanit vermesi hususunda azamî dikkat ve özeni göstermesi konusunda uyarilmasina karar verilmistir.

Kurum'a intikal eden dilekçelerde özetle; ilgili kisilerin, isveren bünyesinde tüm çalisanlar gibi hiçbir sebep ve açiklama olmaksizin baskiyla uyusturucu testine zorlandigi, testin yapilmasi sirasinda ilgili kisilerin iletisim bilgileri alinmadigi gibi test sonuçlarinin hukuka aykiri olarak ilgili kisilerin isyerindeki bir personele ait e-posta adresine gönderildigi, dolayisiyla kisisel saglik verilerinin kendilerinden izin alinmaksizin ve hiçbir aydinlatma yapilmaksizin, açik rizalari disinda üçüncü bir kisiye aktarildigi, veri sorumlusu saglik kurulusu tarafindan verilen cevap yazisinda ilgili kisilerin isvereni oldugu belirtilse de söz konusu kisinin isverenleri olmadigi, sonuç olarak tetkik sonuçlarinin taraflarina gönderilmek yerine üçüncü bir kisiye gönderildigi ifade edilerek gereginin yapilmasi talep edilmistir.

Konuya iliskin yapilan inceleme neticesinde; ilgili kisilere ait özel nitelikli kisisel verilerin veri sorumlusu saglik kurulusu tarafindan ilgili kisilerin isyerinde görevli üçüncü bir kisiye ait e-posta adresine gönderilmek suretiyle paylasilmasi seklindeki veri isleme faaliyetine iliskin olarak her ne kadar veri sorumlusu tarafindan ilgili kisinin özel nitelikli kisisel verilerinin söz konusu e-posta adresine iletilmesi konusunda açik beyaninin bulundugu ifade edilse de söz konusu açik rizayi kanitlayici mahiyette herhangi bir bilgi ya da belgenin Kurum'a iletilmedigi bu anlamda veri sorumlusunun söz konusu veriyi Kanun'un 6'nci maddesinde yer alan herhangi bir veri isleme faaliyetine dayanmaksizin paylastigi, dolayisiyla kisisel verilerin hukuka aykiri olarak islenmesini önlemek amaciyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadigi ve bu hususun Kanun'un 12'nci maddesinin (1) numarali fikrasina aykirilik teskil ettigi kanaatine varildigindan, söz konusu ihlalden etkilenen kisi sayisinin ilgili kisilerle sinirli kalmadigi, ilgili veri isleme faaliyetinde kisilerin özel nitelikli kisisel veri niteligini haiz saglik verilerinin islendigi, veri sorumlusunun yaklasik 600'e yakin çalisan ile birçok ilde saglik hizmetleri verdigi hususlari da dikkate alinarak, veri sorumlusu hakkinda 75.000 TL idari para cezasi uygulanmasina karar verilmistir.

Ilgili kisinin Kurum'a intikal eden sikâyetinde özetle; özel bir hastanede gerçeklestirilen burun ameliyati esnasinda baygin oldugu sirada açik rizasi alinmaksizin çekilen kisisel verisi niteligindeki fotograflarinin veri sorumlusu hastanede çalisan ve ameliyati gerçeklestiren doktorun sosyal medya hesabinda reklam amaçli olarak paylasildigi ve söz konusu fotograflarin yaklasik iki yil boyunca bu hesapta tutuldugu, ilgili kisinin yaptigi basvuru sonrasinda fotograflar kaldirilmis olmakla birlikte kisisel verilerinin reklam ve pazarlama amaçli islenmesinde açik rizasinin bulunmadigi belirtilerek gereginin yapilmasi talep edilmistir.

Konuya iliskin yapilan degerlendirme neticesinde, ilgili kisinin, baygin oldugu esnada çekilen görsellerinin bahsi geçen doktor tarafindan paylasilmasi konusunda açik riza beyaninin bulunmadigi, bununla birlikte veri sorumlusu hastanenin söz konusu fotograflarin adi geçen doktor tarafindan sosyal medya hesabinda paylasildigi hususunda bilgisinin bulundugu, bu itibarla veri sorumlusunun ilgili kisinin kisisel verisi olan görselin adi geçen doktor tarafindan sosyal medya hesabinda paylasilmasini önleyici gerekli idari ve teknik tedbirleri almadigi dikkate alindiginda; veri sorumlusu hastane hakkinda 100.000 TL idari para cezasi uygulanmasina karar verilmistir.

Ilgili kisinin Kurum'a intikal eden sikâyet dilekçesinde özetle; sahsi telefonundan bir sigorta sirketince pek çok kez arandigi, sigorta sirketi ile yapilan görüsmede cep telefonu numarasinin veri sorumlusu bir banka araciligiyla elde edildigini ögrendigi, veri sorumlusu bankada hesabinin bulundugu fakat veri sorumlusu disinda veri sorumlusuyla ilisikli baskaca bir kurum veya kurulusla iliskisinin bulunmadigi, bu çerçevede veri sorumlusuna basvuru yapildigi ancak veri sorumlusu tarafindan verilen cevabin yeterli olmadigi ifade edilerek Kanun kapsaminda gereginin yapilmasi talep edilmistir.

Konuya iliskin yapilan incelemede neticesinde; ilgili kisinin kisisel verisi niteliginde olan telefon numarasinin, veri sorumlusu tarafindan Kanun'un 5'inci maddesinde yer alan kisisel veri isleme sartlarindan herhangi birine dayanilmaksizin ilgili sigorta sirketine Kanun'un 8'inci maddesine aykiri olarak aktarildigi; bu minvalde Kanun'un 12'nci maddesinin (1) numarali fikrasinda öngörülen kisisel verilerin hukuka aykiri olarak islenmesini önlemek amaciyla uygun güvenlik düzeyini temin etmeye yönelik gerekli idari ve teknik tedbirlerin alinmasi yükümlülügünün yerine getirilmedigi göz önünde bulunduruldugunda veri sorumlusu hakkinda 250.000 TL idari para cezasi uygulanmasina karar verilmistir.

Kurum'a intikal eden sikâyette özetle; ilgili kisinin baska bir bankada bulunan hesabindan veri sorumlusu bankada bulunan üçüncü tarafa ait bir hesaba para gönderdigi, akabinde kendisiyle iletisim kurulmasina iliskin riza vermedigi ve tarafina herhangi bir aydinlatma yapilmadigi halde veri sorumlusu banka tarafindan tanitim amaciyla ayni gün telefonla arandigi, ilgili hususta veri sorumlusu bankaya basvurdugu, posta gönderi takibinden banka tarafindan basvurunun teslim alindigi görüntülenmisse de yasal süresi içerisinde cevap verilmedigi belirtilerek veri sorumlusu hakkinda Kanun kapsaminda gereginin yapilmasi talep edilmistir.

Konuya iliskin yürütülen inceleme neticesinde; ilgili kisinin kendisiyle iletisime geçilmesi amaciyla veri sorumlusu bankayla paylasmis oldugu cep telefonu bilgisinin, Elektronik Ticaretin Düzenlenmesi Hakkinda Kanun'un 6'nci maddesi ile Ticari Iletisim ve Ticari Elektronik Iletiler Yönetmeligi'nin 6'nci maddesinin (2) numarali fikrasi uyarinca, devam eden müsteri iliskisi sebebiyle, veri sorumlusu tarafindan herhangi bir mal veya hizmet özendirilmesi ya da tanitimi yapilmaksizin, kullanilmakta olan hizmete iliskin bilgi verilmek amaciyla "Kanunlarda açikça öngörülme" hukuki isleme sartina dayali olarak islendigi kanaatine varildigindan, veri sorumlusu banka hakkinda yapilacak bir islem bulunmadigina karar verilmistir.

Ilgili kisinin Kurum'a intikal eden sikayetinde özetle; bir oyun platformunun internet sayfasina giris yapildiginda çerez isleme süreçleriyle ilgili kullanicilara aydinlatma yapilmadigi ve zorunlu olmayan çerezler için açik riza alinmadigi, siteye üye olan kullanicilardan kimlik ve iletisim bilgilerinin talep edildigi ancak aydinlatma ve açik riza metinlerinin sunulmadigi, ilgili sirkete basvuru yapilmakla birlikte yeterli bir cevap alinamadigi ifade edilerek Kanun kapsaminda gereginin yapilmasi talep edilmistir.

Konuya iliskin yapilan degerlendirme neticesinde; veri sorumlusu tarafindan internet sayfasinda herhangi bir isleme sartina dayanmadan reklam ve pazarlama amaci gibi zorunlu olmayan çerezler vasitasiyla kisisel veri islendigi, bu durumun ise Kanun'un 12'nci maddesinin (1) numarali fikrasinda yer alan yükümlülüklere aykirilik teskil ettigi dikkate alindiginda veri sorumlusu hakkinda 300.000 TL idari para cezasi uygulanmasina karar verilmistir.

Ilgili kisinin Kurum'a intikal eden sikâyetinde özetle; bir spor salonunun isletmecisi olan veri sorumlusunun spor salonundan hizmet alan kisilerin saglik verilerini (detayli yag, kilo ve performans ölçümü, kan grubu, yillik hastane ziyaret sayisi, içilen sigara bilgisi vb.), biyometrik verilerini (salona giriste alinan parmak izi) ve kamera görüntülerini isledigi ancak bu verilerle ilgili olarak Kanun kapsaminda aydinlatma yapilmadigi ve kisilerin açik rizalarinin alinmadigi, ilgili kisinin kisisel verilerinin islenmesine iliskin soru ve taleplerini içeren e-postanin veri sorumlusu tarafindan yasal süre içerisinde cevaplandirilmadigi, ilgili kisilere ait kisisel verileri içeren kartlara spor salonunda görevli herkesçe erisilebildigi ve bu bilgilerin güvenliginin saglanmadigi, saglik verilerinin de aralarinda bulundugu bu kartlarin zaman zaman kayboldugu ve kimlerin eline geçtiginin belirsiz oldugu, spor salonu görevlilerinin kamera kayitlarini izledigi ve ilgili kisilerin salon içerisindeki davranislariyla bu kayitlarin eslestirilmesi suretiyle yorum yapilabildigi belirtilerek veri sorumlusu hakkinda gereginin yapilmasi talep edilmistir.

Konuya iliskin yapilan degerlendirme neticesinde, spor salonu üyeligi için özel nitelikli kisisel veri niteligindeki kan grubu verisinin islendigi ve bu isleme için açik riza alinmadigi dikkate alindiginda Kanun'un 12'nci maddesinin (1) numarali fikrasinda yer alan yükümlülüklerini yerine getirmeyen veri sorumlusu hakkinda, veri sorumlusunca isletilen spor salonunun üyelik sözlesmesi kapsaminda çok sayida üyenin kisisel verilerinin islendigi, bunlar arasinda özel nitelikli kisisel verilerin de bulunmasinin kullanicilarin mahremiyeti açisindan önemli bir risk arz ettigi, veri sorumlusunca ilgili kisi basvurusunun cevapsiz birakildigi ve spor salonu isletmeciliginin yani sira turizm ve otel isletmeciligi ile insaat taahhüt gibi birçok sektörde faaliyet gösteren veri sorumlusunun ekonomik durumu da dikkate alinarak 100.000 TL idari para cezasi uygulanmasina, aydinlatma ve açik riza metinlerinin üyelere sunulan sözlesme metni içerisinde degil ayrica düzenlenmesi, açik rizanin ilgili kisilere her bir faaliyet açisindan onay verme ve vermeme seçeneklerini içerecek sekilde sunulmasi, aydinlatma metninin Kanun'un 10'uncu maddesinin yani sira Aydinlatma Yükümlülügünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkinda Teblig'in ilgili hükümlerine uygun sekilde düzenlenmesi ve yapilan islemlerin sonucundan Kurulu bilgilendirmesi hususunda veri sorumlusunun talimatlandirilmasina karar verilmistir.

Ilgili kisinin sikâyetinde özetle; ilgili kisinin kulakligini onarim yapilmasi için bir elektronik perakende zincirinin AVM'deki subesine teslim ettigi, magaza yetkililerinin de kulakligi distribütör firmaya iletilmek üzere kargo sirketine teslim ettigi ama kargonun distribütör firma yerine konuyla ilgisiz üçüncü bir sahsa teslim edildigi, ilgili kisinin kargonun teslim edildigi üçüncü sahsin kendisine ulasmasi üzerine konudan haberdar oldugu, elektronik perakende zinciri yetkililerinin konu kapsaminda herhangi bir suçlarinin olmadigini ve hatanin tamamen kargo sirketinde oldugunu ileri sürdükleri, ancak tasinan kargonun içine ilgili kisiye ait isim, soy isim, cep telefonu numarasi, e-posta adresi, ikamet ettigi il ve ilçe ile ödeme yaptigi kredi kartinin ilk alti hanesi gibi bilgileri haiz belgelerin koyuldugu belirtilmis ve konu hakkinda Kanun kapsaminda gerekli islemlerin yapilmasi talep edilmistir.

Konuya iliskin yürütülen inceleme neticesinde; ilgili kisinin bazi kisisel verilerini içeren belgelerin veri sorumlusu tarafindan bir onarim isleminin yapilabilmesi için distribütör firmaya gönderilmesinden ibaret olan kisisel veri isleme/aktarim faaliyetine dayanan ve ilgili kisinin sikâyetine esas olan olay veri sorumlusunun Kanun'un 12'nci maddesinin (1) numarali fikrasindan kaynaklanan yükümlülügü kapsaminda ele alindiginda ise; veri sorumlusunun ilgili kisinin kisisel verilerini içeren kargo paketini "göndericisi veri sorumlusu, alicisi ise distribütör firma" olacak sekilde kargo sirketine teslim etmis olmasindan dolayi Kanun'un 12'nci maddesinin (1) numarali fikrasina aykiri herhangi bir eyleminin mevcut olmadigi belirtilmis, somut olayda veri sorumlusunca bir onarim isleminin yapilabilmesi için distribütör firmaya gönderilen belgelerde yer alan ilgili kisiye ait kisisel verilerin mahiyetleri göz önünde bulundurularak veri sorumlusu hakkinda Kanun kapsaminda herhangi bir islem tesis edilmesine gerek görülmemis olsa da gelecekte onarim amaciyla veri sorumlusu tarafindan onarim firmalarina iletilebilecek kargo paketleri içindeki formlarda minimum düzeyde kisisel veri paylasilmasi ve paylasilan kisisel verilerin de mümkün oldugunca maskelenmesini teminen gerekli önlemlerin alinmasi hususunda veri sorumlusunun uyarilmasina ve ilgili kisi tarafindan yapilan basvuruya cevaben de olsa- ilgili kisiye bilgi verildigi", "yasanan hatali kargo teslimatindan ilgili kisi disinda herhangi bir kisinin etkilenme ihtimalinin bulunmadigi", "olay sebebiyle ilgili kisi hakkinda ortaya çikabilecek olumsuz sonuçlarin bir an önce önüne geçilmesi veya en aza indirilmesine imkân verecek ve ilgili kisi tarafindan Kurulun yönlendirmesi olmaksizin düsünülemeyecek ilave bir önlemin bulunup bulunmadigi konusunun tartismali oldugu" ve "konu hakkinda veri sorumlusunca Kurula bildirim yapilmamis olmasinin ilgili kisinin kisisel verilerinin korunmasi baglaminda somut nitelikte bir tehlikeye yol açmayabilecegi" hususlari göz önünde bulunduruldugunda; gelecekte yasanabilecek benzer olaylar için Kanun'un 12'nci maddesinin (5) numarali fikrasi uyarinca ilgilisine ve Kurula bildirimde bulunmasi konusunda veri sorumlusunun talimatlandirilmasina karar verilmistir.

Ilgili kisinin sikayetinde özetle; bir e-ticaret firmasindan satin aldigi ürünü tarafina teslim edecek kargo firmasinin siparisi ilgili kisiye teslim etmesini müteakip ilgili kisi tarafindan kargo paketinin üzerinde kendisi disinda isim benzerligi bulunan baska bir kisiye (üçüncü kisi) ait adres ve iletisim bilgilerinin yer aldigini gördügü, veri sorumlusu kargo firmasina Kanun kapsaminda basvuruda bulunarak kendisi disinda üçüncü kisiye ait kisisel verilerin hangi hukuki gerekçeyle tarafina gönderildigi, benzer sekilde kendisine ait kisisel verilerin de üçüncü kisilere aktarilip aktarilmadigi ve aktarildiysa hangi hukuki nedenlere dayanilarak aktarildigi hususlarina iliskin bilgi talep ettigi, veri sorumlusu tarafindan verilen cevabi yazida söz konusu durumun barkodlama islemi sirasinda gerçeklesen bir hata sonucunda meydana geldiginin ve ilgili kisiye ait gönderinin üçüncü kisiden iade alinarak gönderici firmaya teslim edildiginin belirtildigi, söz konusu beyanlardan hareketle veri sorumlusunun yapmis oldugu çapraz kargo gönderimi hatasi nedeniyle ilgili kisiye teslim edilmesi gereken kargo paketinin üçüncü kisiye gönderildigi ve bu suretle ilgili kisiye ait kisisel verilerin üçüncü kisi ile paylasildigi sonucuna varildigi, bu itibarla veri sorumlusunun hem ilgili kisiye hem de üçüncü kisiye ait kisisel verileri Kanun'un 8'inci maddesine aykiri olarak aktardigi belirtilerek gereginin yapilmasi talep edilmistir.

Konuya iliskin yapilan inceleme neticesinde; ilgili kisinin kisisel verilerinin üçüncü kisi ile paylasilmasinin yeni bir veri isleme faaliyeti oldugu, söz konusu veri islemenin Kanun'da yer alan herhangi bir isleme sartina dayanmadigi, veri sorumlusunun anilan fiilinin Kanun'un veri güvenligine iliskin yükümlülüklere aykirilik teskil ettigi, öte yandan söz konusu durumun bir veri ihlali olmasina karsin veri sorumlusunun Kurula veri ihlal bildiriminde bulunmadigi da dikkate alindiginda; Kanun'un 12'nci maddesinde yer alan yükümlülüklerini yerine getirmeyen veri sorumlusu hakkinda 75.000 TL idari para cezasi uygulanmasina karar verilmistir.

Ilgili kisinin Kurum'a intikal eden sikâyetinde özetle; bir pazarlama sirketinin Trabzon bölge müdürlügü yetkilileri tarafindan bir market adina düzenlenmis e-faturalarin ilgili kisinin kullanmakta oldugu e-posta adresine 13/01/2020 tarihinden 20/04/2020 tarihine kadar on bes kez gönderildigi, ilgili kisinin adina fatura düzenlenen market ile bir ilgisinin bulunmadigi, bu durum çesitli iletisim kanallari üzerinden söz konusu sirkete bildirilmesine ragmen faturalarin tarafina iletilmeye devam ettigi belirtilerek gereginin yapilmasi talep edilmistir.

Konuya iliskin yapilan degerlendirme neticesinde, ilgili kisi, yetkili saticinin ilk sözlesme imzaladigi pazarlama sirketi hakkinda Kurul'a sikâyette bulunmus olmakla birlikte sikâyete konu faturayi düzenleyen kisi ile Kasim 2018 tarihi itibariyle ilisiklerinin kesildigi ve fatura tarihinin Subat 2020 oldugu göz önünde bulunduruldugunda söz konusu ilk sözlesme imzalanan pazarlama sirketinin veri sorumlusu sifatini haiz olmadigi, son satici olan market ile sözlesme kurdugunun anlasildigi, veri isleyen tarafindan ilgili kisinin e-posta adresinin sehven sisteme kaydedilmesi suretiyle herhangi bir kasit bulunmaksizin islendigi ve sikâyete konu durumun düzeltildigi belirtilmis olup sikâyette bulunulan ilk pazarlama sirketinin ilgili kisiye tarafi olmayan faturalarin gönderilmesi faaliyetinde herhangi bir ilgisi ve sorumlulugunun bulunmadigi kanaatine varildigindan hakkinda yapilacak bir islem olmadigina, son satici olan market sahibi ile ilgili kisinin e-posta adresi benzerligi sebebiyle veri isleyen yetkili satici tarafindan sehven ilgili kisinin e-posta adresinin sisteme kayit edilerek herhangi bir kasit bulunmaksizin islendigi ve ilgili kisinin faturalarin tarafina gönderilmemesi yönündeki talebinin gerekli düzeltme yapilarak yerine getirildigi dikkate alindiginda veri sorumlusu ikinci pazarlama sirketi hakkinda Kanun kapsaminda yapilacak bir islem bulunmadigina, veri sorumlulari tarafindan kisilerin telefon numarasi, e-posta adresi gibi iletisim kanallarina Kanuna aykiri sekilde gönderilen üçüncü kisilere ait kisisel veriler hakkinda Kurul'un 22/12/2020 tarih ve 2020/966 sayili Ilke Karari kapsaminda e-posta gönderilmesi hususunda gerekli teyit mekanizmalarinin kurulmasinin uygun olacaginin veri sorumlusu ikinci pazarlama sirketine hatirlatilmasina karar verilmistir.

Kurum'a intikal eden sikayette özetle; ilgili kisinin e-posta adresine bir e-ticaret sitesinden alisveris yapan üçüncü bir kisinin siparis bilgilerinin gönderildigi, söz konusu e-posta içeriginde ödenen tutar, resimli olarak siparisin içerigi, gönderici adi soyadi, alicinin adi soyadi, adresi, telefon numarasi gibi bilgilerin açik bir biçimde yer aldigi, ayrica e-postada yer alan "Siparis Takibi ve Güncelleme" adli buton sayesinde tüm siparis detaylarinin görülebilecegi bir sayfaya yönlendirme yapildigi, bu sayfada ise gönderici ve alici bilgilerine ek olarak siparis edilen ürünün içerik adi, ürün kodu, rengi ve gönderici tarafindan aliciyi muhatap gönderi notunun görüntülendigi, gönderici veya alici bilgileri ile gönderi notu bilgilerinin düzenlenebilir durumda olmakla birlikte siparis iptal butonunun da aktif oldugu, söz konusu olaylarin veri ihlali oldugunu tespit ederek ve sahsina ait kisisel verilerinin de belirttigi sekilde baskalari tarafindan görülebilecegini düsünerek öncelikle e-ticaret sitesine ait müsteri hizmetleriyle canli destek sistemi üzerinden irtibata geçtigi, müsteri hizmetleri tarafindan müsterinin isim benzerligi neticesinde yanlis e-posta verdiginin, bu sebeple söz konusu siparis bildiriminin iletildiginin, bu siparisten kendisine ait e-posta adresinin silindiginin ve artik kendisine bildirim iletilmeyeceginin ifade edildigi, ancak bahse konu e-posta adresine halen veri sorumlusu e-ticaret sitesi tarafindan reklam içerikli e-postalarin iletildigi belirtilerek Kanun kapsaminda gereginin yapilmasi talep edilmistir.

Konuya iliskin olarak yapilan incelemede; bireyler tarafindan manuel olarak yapilan bilgi girislerinde yanlis beyanlarda bulunulabilmesinin muhtemel oldugu, veri sorumlulari tarafindan ise Kanun'un 12'nci maddesinin (1) numarali fikrasinda tanimlanan kisisel verilerin hukuka aykiri olarak islenmesini önlemeye yönelik idari ve teknik tedbirlerin alinmasi yükümlülügü kapsaminda, bu yanlis bilgi girisleri sebebiyle üçüncü kisilere ait kisisel verilerin hukuka aykiri bir biçimde islenmesinin önüne geçilebilmesi adina, kendilerine bildirilen iletisim bilgilerinin dogrulugunu teyit edecek mekanizmalarin olusturulmasina yönelik gerekli idari ve teknik tedbirlerin alinmasi gerektigi, söz konusu islemde bir teyit mekanizmasinin bulunmamasi nedeniyle e-ticaret sitesine üye olmadan misafir girisi ile yapilan tüm alisveris islemlerinin veri ihlal riski tasidigi belirtilmis olup sikayete konu olayda veri sorumlusunun Kanun'un 12'nci maddesindeki yükümlülüklerini yerine getirmeyerek ihmali davranisla e-postanin gönderilecegi alici gruplarina yönelik bir teyit mekanizmasi kurmadan uzaktan satis sözlesmesinin tarafi olmayan ilgili kisinin e-posta adresinin islenmesine, bu e-postanin yanlis muhataba gönderilmesi halinde hak kaybina yol açabilecegi hususlari da dikkate alinarak, veri sorumlusu hakkinda 120.000 TL idari para cezasi uygulanmasina karar verilmistir.

Kurum'a intikal eden sikâyette özetle; ilgili kisinin ev esyasi satan bir veri sorumlusu tarafindan arandigi, ertesi gün de cep telefonuna mesaj gönderildigi, sonraki bir tarihte de veri sorumlusu tarafindan üç kez arandigi ve yapilan son aramada veri sorumlusu tarafindan alisveris yapan kisinin numarasinin soruldugu, ilgili kisinin bu kisinin numarasini bilmedigini ve kendisinin herhangi bir borcunun ya da kefilliginin bulunmadigini belirttigi ancak veri sorumlusu tarafindan borçlu borcunu bitirene kadar sürekli rahatsiz edileceginin söylendigi, en son arandiginda numarasinin sistemden silinmesi talebine olumsuz cevap verildigi, ayrica veri sorumlusuna yapilan silme talebini içeren yazili basvuruya cevap verilmedigi ve aramalara devam edildigi ifade edilerek Kanun kapsaminda gereginin yapilmasi talep edilmistir.

Konuya iliskin yürütülen inceleme neticesinde, veri sorumlusunun Kanun'un 4'üncü maddesinde yer alan kisisel verilerin "dogru ve gerektiginde güncel olma" ile "islendikleri amaçla baglantili, sinirli ve ölçülü olma" ilkelerine aykiri olarak ve Kanun'un 5'inci maddesinde yer alan kisisel verilerin islenme sartlarindan herhangi biri bulunmaksizin ilgili kisiye ait olmadigini bildigi bir borca iliskin olarak ilgili kisiyi defaatle aramak suretiyle kisisel verisi niteligindeki telefon numarasini islemeye devam ettigi göz önünde bulunduruldugunda, veri sorumlusunun ekonomik durumu dikkate alinarak, hakkinda 200.000 TL idari para cezasi uygulanmasina karar verilmistir.

Ilgili kisinin sikâyetinde özetle; Nisan 2022 içerisinde ilgili kisinin sahsi e-posta hesabi olan *************@gmail.com'a yasal bahis platformu olan ******.com tarafindan bir e-postanin gönderildigi ve söz konusu e-postada özetle "Sayin ******* ******, Üyelik islemleriniz ile ilgili detaylari asagida bulabilirsiniz: Üye Numaraniz: ********. Üye numaraniz, kullanici adiniz, TC kimlik numaraniz ile ******.com hesabiniza giris yapabilirsiniz. Güvenlik önlemi olarak ******.com'a giris sifrenizi belirli araliklarla degistirmenizi tavsiye ediyoruz." denildigi, hemen ardindan gelen ikinci bir e-posta ile ise "Sayin Üyemiz, E-posta adresinize reklam, promosyon vb. ticari elektronik iletilerin gönderilmesini onayladiniz." denildigi, ilgili kisi tarafindan ******.com sitesine herhangi bir üyeligin asla gerçeklestirilmedigi, Veri sorumlusunun ise "Iletmis oldugunuz talebinize istinaden E-posta adresiniz kayitli oldugu üyelikten kaldirilmistir." seklinde cevap verdigi, somut olayda Kanun bakimindan asil sorunun veri sorumlusunun kisisel veriyi islerken herhangi bir kontrol mekanizmasi olusturmamis olmasi oldugu beyan edilerek Kanun kapsaminda gereginin yapilmasi talep edilmistir.

Konuya iliskin yürütülen inceleme neticesinde; veri sorumlusunun kisisel veri isleme faaliyetlerini yürüttügü elektronik sistemi Kanun'un 4'üncü maddesinin (2) numarali fikrasinda düzenlenen "Hukuka ve dürüstlük kurallarina uygun olma", "Dogru ve gerektiginde güncel olma" ve "Islendikleri amaçla baglantili, sinirli ve ölçülü olma" genel ilkelerine uygun tasarlamamis/tasarlatmamis olmasindan dolayi; veri sorumlusunun anilan fiillerinin Kanun'un veri güvenligine iliskin yükümlülüklerin düzenlendigi 12'nci maddesinin (1) numarali fikrasinin (a) bendi hükmüne aykirilik teskil ettigi dikkate alinarak veri sorumlusu hakkinda 250.000 TL idari para cezasi uygulanmasina karar verilmistir.

Ilgili kisinin Kurum'a intikal eden sikâyetinde özetle; ilgili kisinin daha önce veri sorumlusu telekomünikasyon sirketi hakkinda kendisine ait e-posta adresine baska bir aboneye ait e-faturalarin gönderilmesi nedeniyle sikâyette bulundugu, bu kapsamda veri sorumlusu telekomünikasyon sirketi hakkinda Kurul tarafindan idari para cezasi uygulanmasina ve kisisel verilerin güvenligine iliskin gerekli tüm idari ve teknik tedbirlerin alinmasi hususunda veri sorumlusunun talimatlandirilmasina karar verildigi ancak 2018 yilindan beri 053......4 numarali hattin sahibinin e-faturalarinin veri sorumlusu tarafindan ilgili kisiye iletildigi bununla birlikte 054......9 numarali hattin sahibinin e-faturalarinin da kendisine iletilmeye baslandigi ifade edilerek Kanun kapsaminda gereginin yapilmasi talep edilmistir.

Konuya iliskin yapilan degerlendirme neticesinde; ilgili kisinin e-posta adresinin üçüncü kisilere ait faturanin iletilmesi suretiyle islenmesi ve bu durumun "dogru ve gerektiginde güncel olma" ilkesine aykirilik teskil etmesi sebebiyle Kanun'un 12'nci maddesinin (1) numarali fikrasindaki yükümlülükleri yerine getirmedigi kanaatine varilan veri sorumlusu hakkinda, daha önce verilen Kurul kararinda abonelerin kisisel verilerinin güvenligine iliskin gerekli idari ve teknik tedbirlerin alinmasi hususunda talimatlandirildigi da dikkate alinarak, 200.000 TL idari para cezasi uygulanmasina karar verilmistir.

Ilgili kisi tarafindan Kurum'a intikal ettirilen dilekçede özetle; bir banka nezdindeki hesabina iliskin ekstre ve anlik hesap hareketlerinin, ilgili kisinin bilgisi ve rizasi disinda üçüncü bir kisinin e-posta adresine gönderildigi, bu suretle ilgili kisinin tüm para transferleri ile hesap bilgilerinin, üçüncü kisiler tarafindan ögrenildigi, bu sebeple güvensizlik ve tedirginlik içinde oldugu, veri sorumlusu tarafindan aydinlatma yükümlülügünün yerine getirilmedigi belirtilerek veri güvenliginin ihlal edilmesi sebebiyle gereginin yapilmasi talep edilmistir.

Konuya iliskin yapilan inceleme neticesinde; sikâyete konu e-posta adresinin ilk olarak ilgili kisinin ortagi oldugu sirketin vekili tarafindan banka ile paylasildigi sonrasinda ilgili kisinin bireysel emeklilik basvurusu sirasinda kendisine sunulan formda yer alan söz konusu e-posta adresini formu imzalamak suretiyle onayladigi, öte yandan ilgili kisinin basvurusu üzerine veri sorumlusunun hemen aksiyon alarak e-posta adresinde gerekli düzeltmeyi yaptigi hususlari dikkate alindiginda sikâyet konusu ile ilgili olarak veri sorumlusu banka hakkinda Kanun kapsaminda yapilacak bir islem olmadigina, "Veri sorumlulari tarafindan kisilerin telefon numarasi, e-posta adresi gibi iletisim kanallarina Kanun'a aykiri sekilde gönderilen üçüncü kisilere ait kisisel veriler hakkinda Kurul'un "22/12/2020 tarihli ve 2020/966 sayili Ilke Karari" dogrultusunda, banka islemlerinde kullanilan ilgili kisilerin iletisim bilgilerinin belirli periyotlarla dogrulanmasi ve güncelliginin saglanmasi hususunda gerekli mekanizmalarin kurulmasina iliskin veri sorumlusunun uyarilmasina karar verilmistir.

Kurum'a intikal eden sikâyetinde özetle ilgili kisinin; Ocak 2018 tarihinde hastanede bir doktor tarafindan muayene edildigi, ilgili doktorun hastaneden ayrilarak özel muayenehane açtigi ve akabinde ilgili kisinin cep telefonu numarasina reklam amaçli SMS gönderdigi, bu sebeple doktor tarafindan hastaneden ayrilirken kisisel verilerinin hukuka aykiri olarak temin edildigini düsündügü, konuya iliskin ilgili doktora ve hastaneye basvurdugu ancak yeterli bir cevabin alinamadigi, kendisinin ne hastane nezdinde ne de doktor nezdinde devam eden ya da takip edilen hiçbir saglik probleminin söz konusu olmadigi ifade edilerek Kanun kapsaminda hastane ve doktor hakkinda gereginin yapilmasi talep edilmistir.

Konuya iliskin yapilan degerlendirme neticesinde; eldeki bilgi ve belgeler çerçevesinde söz konusu kisisel verilerin hastanenin veri tabanindan alindiginin tevsik edilemedigi dikkate alindiginda hastane hakkinda Kanun kapsaminda yapilacak bir islem bulunmadigina, veri sorumlusu doktor tarafindan telefon numarasinin ilgili kisinin kendisinden alindiginin beyan edildigi bu çerçevede söz konusu iletisim verisinin hasta doktor iliskisi çerçevesinde muayene/tedavi süreçlerine iliskin bilgilendirme amaciyla temin edildiginin anlasildigi ancak daha sonra doktor tarafindan reklam içerikli SMS göndermek amaciyla ilgili kisinin telefon numarasinin islendigi dikkate alindiginda söz konusu kisisel veri isleme faaliyetinin herhangi bir isleme sartina dayanmadigina, bu kapsamda Kanun'un 12'nci maddesine aykiri uygulamada bulunan gerçek kisi veri sorumlusu doktor hakkinda 100.000 TL idari para cezasi uygulanmasina karar verilmistir.

Kurum'a iletilen sikayet dilekçesinde özetle; bir kamu kurumu ile ilgili kisi arasinda idare mahkemesi nezdinde yürütülen dava dosyasi ile ilgili olarak davali kamu kurumu tarafindan üniversite hastanesinden birtakim bilgilerin talep edildigi, söz konusu talep üzerine üniversite hastanesi tarafindan ilgili kisiye ait saglik verilerinin kamu kurumuna teslim edildigi, üniversitenin yapmis oldugu ihlal nedeni ile ilgili kisinin manevi zarara ugradigi ve bu kapsamda manevi tazminat talebinde bulunuldugu, hastanede gerçeklesen muayenesi sonucunda ilgili kisi için düzenlenen hasta anamnez formunda belirtilen "... ara sira tek tük esrar kullanmak zorunda kaldigini söylüyor" içerikli beyan üzerine ilgili kisinin gözaltinda kaldigi, konutu ve arabasinin arandigi, ilgili kisinin üniversite hastanesinde çalismakta olan doktorun sorusuna verdigi cevabin doktor tarafindan yanlis anlasilarak hasta muayene bilgilerinin hikaye bölümüne yanlis sekilde yazildigi, ilgili kisi hakkinda kovusturmaya yer olmadigina dair karar verildigi, uyusturucu madde kullanmadiginin Cumhuriyet Bassavciliginin Karari ile sabit oldugu, bu nedenle ilgili kisiye ait saglik dosyasinda "esrar maddesi kullanildigina iliskin verilerin ve bilgilerin silinmesi"nin talep edildigi, belirtilen taleplerine iliskin olarak basvurusuna üniversite tarafindan cevap verilmedigi ifade edilerek üniversite hakkinda Kanun kapsaminda gereginin yapilmasi talep edilmistir.

Konuya iliskin olarak yapilan incelemede; özel nitelikli kisisel verilerin aktarilmasina iliskin ilgili kisinin açik rizasi mevcut olmadigi halde ilgili kisiye iliskin özel nitelikli kisisel veri olan saglik verilerinin Kanun'a aykiri olarak kamu kurumuna aktarildigi, öte yandan talep edilen bilgiden daha genis kapsamda bilgi paylasildigi dikkate alindiginda veri sorumlusu üniversite hastanesinin kisisel verilerin güvenligine iliskin gerekli her türlü teknik ve idari tedbiri alma yükümlülügünü yerine getirmedigi degerlendirildiginden sorumlular hakkinda disiplin hükümlerine göre islem yapilmasina ve yapilan islem hakkinda Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandirilmasina, ilgili kisinin "Anamnez Formu"nda geçen "esrar maddesi kullanildigina iliskin verilerin" düzeltilmesini talep etme hakki dikkate alindiginda; "dogru ve gerektiginde güncel olma" ilkesine uygun olarak, veri sorumlusu tarafindan gerek kendi bünyesinde ve gerektigi takdirde ilgili kisiyi de yönlendirmek suretiyle Il Saglik Müdürlügü nezdinde gerekli islemlerin yapilmasi ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandirilmasina karar verilmistir.

Ilgili kisinin Kurum'a intikal eden dilekçesinde özetle; veri sorumlusu sirketin sundugu hizmetlerden biri olan çevrimiçi alisveris platformu üzerinden gerçeklestirdigi alisveris ile ilgili olarak, uygulamaya girdigi kredi karti bilgilerinin ve siparis teslimati için verilen iletisim -cep telefonu numarasi- bilgisinin Kanun uyarinca veri sorumlusundan talep edildigi, kayit altina alindigi beyan edilen bilgilerin sisteme kayitli kullanici e-postasi ve telefon yoluyla talep edilmesine ragmen bu bilgilerin kendisiyle paylasilmamasinin Kanun'a aykiri oldugu ifade edilerek Kanun kapsaminda gereginin yapilmasi talep edilmistir.

Konuya iliskin yapilan incelemede; ilgili kisinin kredi karti bilgilerinin mobil ödeme teknolojisi saglayicisi araci sirket bünyesinde tutuldugu dikkate alindiginda veri sorumlusu hakkinda bu açidan yapilacak bir islem olmadigina karar verilmistir.

Kurum'a intikal ettirilen bir ihbar dilekçesinde özetle; tüketici finansman kredisiyle alisveris imkâni sunan Sirketten senetle televizyon alindigi sirada kendisinden e-Devlet sifresinin talep edildigi,

Kurum'a intikal ettirilen bir diger ihbar dilekçesinde ise özetle; sirketin ihbar edenden e-Devlet sifresini istedigi, ihbar edenin israrlar sonucunda sifre almadigini söyleyerek talebi reddettigi, ihbar edenin kendisi disinda birçok vatandastan da e-Devlet sifrelerinin alindiginin bilindigi hususlari Kanun kapsaminda gerekli islemlerin yapilmasi talep edilmistir.

Konuya iliskin yapilan inceleme neticesinde, ilgili kisilerin e-Devlet sifrelerine erisim saglandigi yönünde güçlü bir kanaat olustugu, ilgili kisilerin e-Devlet sifreleri talep edilerek hassas nitelikli olanlar da dahil pek çok kisisel veriye erisim saglanabilecegi sonucuna varildigindan veri sorumlusundan yapilan taksitli alisverislerde e-Devlet sifrelerinin talep edilmesinin Kanun'un 5'inci maddesinde yer alan herhangi bir veri isleme sartina dayanmamasi nedeniyle Kanun'un 12'nci maddesinin (1) numarali fikrasinda yer alan yükümlülüklerini yerine getirmedigi degerlendirilen veri sorumlusu hakkinda 400.000 TL idari para cezasi uygulanmasina karar verilmistir.

C. Avukatlar Tarafindan Islenen Kisisel Verilere Iliskin Kararlar

Bir Avukatlik Ortakligi tarafindan vekili oldugu Sirket ve Sirket ile ilgili kisi arasindaki abonelik iliskisi kapsaminda, borcun takibi ve hatirlatilmasi amaciyla ilgili kisiye bes kez kisa mesaj gönderilmesi suretiyle gerçeklestirilen kisisel veri isleme faaliyeti ile ilgili olarak Kurum'a intikal eden sikâyet dilekçesinde özetle; veri sorumlusu olarak Avukatlik Ortakligi tarafindan Sirketten elde edilen kisisel veriler hakkinda ilgili kisiyle iletisime geçildigi ilk anda aydinlatma yükümlülügünün yerine getirilmemesi ve ayrica çagri merkezi vasitasiyla yapilan görüsme baglaminda ses kaydi hakkinda ses kaydi gerçeklesmeden önce aydinlatma yükümlülügünün yerine getirilmemesi nedeniyle veri sorumlusu hakkinda yaptirim uygulanmasi, toplamda bes kez ayni konu ve içerikle ilgili kisiye kisa mesaj gönderilmesi nedeniyle veri sorumlusu hakkinda yaptirim uygulanmasi talep edilmistir.

Konuya iliskin yapilan inceleme neticesinde; veri sorumlusu tarafindan ilgili kisinin telefon numarasinin islenmesi suretiyle gerçeklesen kisisel veri isleme faaliyetinin Kanun'un 5'inci maddesinin ikinci fikrasinin (e) bendinde yer alan bir hakkin tesisi, korunmasi veya kullanilmasi için veri islemenin zorunlu olmasi hükmü kapsaminda hukuka uygun oldugu degerlendirildiginden söz konusu sikâyet kapsaminda yapilacak bir islem bulunmadigina, ilgili kisinin, veri sorumlusunun Sirketten elde ettigi kisisel veriler hakkinda ilgili kisiyle iletisime geçildigi ilk anda aydinlatma yükümlülügünün yerine getirilmemesi ve ilgili kisinin kendisine gönderilen kisa mesajlar hakkinda bilgi almak üzere veri sorumlusunun çagri merkezini aramasi sirasinda alinan ses kaydi hakkinda ses kaydi gerçeklesmeden önce aydinlatma yükümlülügünün yerine getirilmemesi nedeniyle Kanun'un 18'inci maddesinin birinci fikrasinin (a) bendi uyarinca cezalandirilmasi talebine iliskin olarak ilgili kisinin veri sorumlusuna basvurusunda söz konusu iddialara iliskin bir açiklama veya talebin bulunmadigi anlasildigindan Kanun kapsaminda yapilacak bir islem bulunmadigina, ilgili kisinin, veri sorumlusu nezdinde hukuka aykiri olarak elde edilen veriler üzerinden vatandaslarin kimlik ve iletisim bilgileri gibi kisisel verilerin sorgulanmasina imkân taniyan yazilim/program/uygulama kullanip kullanmadigi hususunda denetim yapilmasi talebine iliskin olarak veri sorumlusunun cevabi yazisinda ilgili kisinin bu iddiasinin reddedilmis oldugu ve ilgili kisi tarafindan da iddiasini tevsik edici nitelikte herhangi bir bilgi, belge veya kaydin Kurum'a iletilmemis oldugu dikkate alindiginda bahse konu talep hakkinda Kanun kapsaminda yapilacak bir islem bulunmadigina karar verilmistir.

Ilgili kisilerin vekillerinin Kurum'a intikal eden sikâyet dilekçesinde özetle; ilgili kisilerin ortagi oldugu ve tasfiyesi gerçeklesmis limited sirkete ait oldugu iddia edilen bir borç nedeniyle veri sorumlusu avukatin ve bünyesinde çalisanlarin ilgili kisilerle kisa mesaj gönderme ve arama yoluyla iletisim kurdugu ve bu kapsamda kisisel verilerinin islendigi ifade edilerek Kanun kapsaminda gereginin yapilmasi talep edilmistir.

Konuya iliskin yapilan incelemede; ilgili kisilerin borcun dogdugu/icra takibinin baslatildigi dönemde münfesih sirketin yönetim kurulunda yer aldigi, bu hususun da Ticaret Sicil Gazetesi'nde aleni bir sekilde paylasildigi, veri sorumlusu avukatin Avukatlik Kanunu ve sair mevzuat çerçevesinde vekâlet iliskisi içerisinde bulunulan müvekkile ait alacagin tahsili amaciyla ilgili kisilerin ad, soyadi, T.C. kimlik numarasi, adresi, telefon numarasi gibi verilerini UHAP/bilinmeyen numara servisleri vb. mevzuata uygun faaliyet yürüten yasal platformlar üzerinden edinmesinin ve islemesinin Kanun'un 5'inci maddesinin (2) numarali fikrasinin (ç) bendi geregince veri sorumlusunun vekâlet iliskisinden dogan hukuki yükümlülügünü yerine getirebilmesi için zorunlu olmasi sartina ve (e) bendi geregince alacaklinin hak arama hürriyetinin tesisi, kullanilmasi veya korunmasi için veri islemenin zorunlu olmasi sartina dayandigi dikkate alinarak bu iddia açisindan Kanun kapsaminda yapilacak bir islem olmadigina karar verilmistir.

Ilgili kisilerin (borçlu ve oglu) ayni konuya iliskin Kurum'a intikal eden sikayetlerinde özetle; borçlu hakkinda baslatilan icra takibi ile ilgili olarak ogluna ait telefon numarasinin veri sorumlusu avukat tarafindan defalarca aranarak borca iliskin bilgi verildigi, borçlunun hukuki islem ve finansal bilgilerinin açik rizasi olmaksizin üçüncü kisi konumundaki oglu paylasildigi, öte yandan kendisi ile borç bilgisi paylasilan borçlunun oglunun ise telefon numarasinin hukuka aykiri olarak elde edildigi ve kullanildigi, konu ile ilgili olarak ilgili kisilerin veri sorumlusu avukata yaptiklari basvurunun veri sorumlusunca tebellüg edilmesine ragmen cevaplandirilmadigi ifade edilerek, Kanun kapsaminda gereginin yapilmasi talep edilmistir.

Konuya iliskin yapilan degerlendirme neticesinde; borçlunun oglunun haciz esnasinda haciz mahallinde oldugu ve haczedilen mallarin yediemin sifatiyla kendisine birakilmis oldugu da dikkate alindiginda, eldeki mevcut bilgi ve belgelerden veri sorumlusunun borçlunun oglunun telefon numarasini hukuka aykiri islediginin tevsik edilemedigi anlasildigindan söz konusu iddia hakkinda Kanun kapsaminda yapilacak bir islem olmadigina karar verilmistir.

Ilgili kisinin Kurum'a intikal eden dilekçesinde özetle; ilgili kisi ile GSM operatörü veri sorumlusu arasinda mobil internet hattina iliskin yapilan sözlesmenin ilgili kisi tarafindan iptal edilmesi sonucu tarafina borç çikarildigi, ilgili kisi adina çikarilan borcun tahsili için GSM operatörünün bir avukatlik ortakligina yetki verdigi, avukatlik ortakligi tarafindan borcun tahsilini saglamak amaciyla ilgili kisinin ortagi oldugu sirkete ait 4 farkli cep telefonu numarasina ilgili kisinin soyadini maskeleyerek fakat adinin açikça görünecegi sekilde borçlu oldugu miktar hakkinda icra takibi baslatilacagi bilgilerini içeren bir kisa mesaj gönderildigi, bahsi geçen mesajlar nedeniyle, ilgili kisinin ortagi oldugu sirket hatlarini kullanan çalisanlarin konu ile ilgileri bulunmamasina karsin ilgili kisinin borç bilgilerinden haberdar oldugu, ayrica sirkette ilgili kisiyle ayni ada sahip baskaca kimse bulunmadigindan soyadi maskelenmis olsa dahi bahsi geçen kisa mesajda kimliginin bilinir kilindigi, konuya iliskin olarak avukatlik ortakligina ve GSM operatörüne basvurdugu, verilen cevaplarda bilgi amaçli gönderilen kisa mesajin maskelenerek paylasildigi belirtilmis ise de ilgili kisiye ait kisisel verilerin, ilgili kisinin ortagi oldugu sirket hatlarina hangi amaçla iletildiginin açiklanamadigi ifade edilerek Kanun kapsaminda gereginin yapilmasi talep edilmistir.

Konuya iliskin yapilan incelemede, ilgili kisinin ortagi oldugu Sirkete ait kurumsal iletisim numaralarinin, veri sorumlusu ile arasindaki bireysel sözlesmelerde de iletisim numarasi olarak kullanilmasinin veri sorumlusu tarafindan "dogru ve gerektiginde güncel" olma ilkesine aykirilik teskil ettigi anlasilmis olup, bu hukuka aykiri veri isleme faaliyeti nedeniyle avukatlik ortakligi tarafindan ilgili kisiye iliskin kisisel verileri içeren kisa mesajlarin sirkete ait iletisim numaralarina gönderilmesi neticesinde, borca konu islemle ilgisi olmayan üçüncü kisi sirket çalisanlari ile ilgili kisiye iliskin kisisel veri olan borç bilgisinin herhangi bir isleme sarti bulunmaksizin paylasildigi gözetildiginde; Kanun'un 12'nci maddesinde öngörülen veri güvenligine iliskin yükümlülüklerini yerine getirmedigi kanaatine varilan veri sorumlusu hakkinda 85.000 TL idari para cezasi uygulanmasina, veri sorumlusu tarafindan verilen talimat çerçevesinde borcun tahsili amaciyla ilgili kisiye iliskin oldugu belirtilen telefon numaralarina bir adet kisa mesaj gönderen ve sinirli yetkisi çerçevesinde söz konusu numaralara iliskin dogrulama imkâni olmayan veri isleyen avukatlik ortakligi hakkinda Kanun kapsaminda yapilacak bir islem bulunmadigina karar verilmistir.

"Kamu tüzel kisiligini haiz Birlik tarafindan ilgili kisinin kisisel verilerini içeren belgelerin Birligin vekili tayinedilen avukat ile paylasilmasi ve müteakiben söz konusu belgelerin avukat tarafindan Baroya aktarilmasi" hakkinda 18/05/2022 tarihli ve 2022/489 sayili Karar Özeti:

Ilgili kisinin sikâyetinde özetle; kendisinin avukatlik meslegini icra ettigi, kamu tüzel kisiligini haiz Birlik ile arasindaki hukuki danismanlik ve avukatlik sözlesmesinin fesih görüsmeleri sirasinda kendisini Birlik vekili olarak tanitan bir avukatin ilgili kisiyi aradigi ve sözlesmeyi feshetmesini istedigi, bunun üzerine Birlik ile konu hakkindaki görüsmeleri devam ederken kendisini Birlik vekili gibi tanittigi ve avukatlik meslek etigine uygun olmayacak sekilde konusmasi nedeniyle hakkinda disiplin sorusturmasi yapilmasini teminen ilgili kisinin söz konusu avukati Baroya sikâyet ettigi, avukatin Baro Baskanligina sundugu savunmasi ile ilgisi olmayan, sadece Birlikte asillari bulunan ve danismanlik sözlesmesi kapsaminda Birlige kesilen serbest meslek makbuzu ve stopaj ödeme listesinin fotokopilerine savunma dilekçesi ekinde yer verdigi, bunun üzerine ilgili kisinin söz konusu avukata ve Birlige basvuruda bulundugu ancak yanit alamadigi belirtilerek Kanun kapsaminda gerekli islemlerin yapilmasi talep edilmistir.

Konuya iliskin yapilan inceleme neticesinde; Birlik Baskanliginin ilgili kisinin kisisel verilerini içeren belgeleri Birligin vekili tayin edilen avukat ile paylasmasi ile ilgili olarak; Birligin kamu tüzel kisiligini haiz bir kurum olarak taraflarina hasredilen görevleri yerine getirmeleri sürecinde disaridan avukatlik hizmeti aldiklari ve bu durumda söz konusu avukat ile ilgili kisiye ait kisisel verileri içeren belgeleri paylasmalarinin Kanun'un 5'inci maddesinin (2) numarali fikrasinin (e) bendi çerçevesinde degerlendirilebilecegi kanaatine varildigindan ilgili kisinin Birlik hakkindaki sikâyeti ile ilgili olarak Kanun kapsaminda yapilacak herhangi bir islem bulunmadigina, veri sorumlusu sifatini haiz avukatin ilgili kisinin kisisel verilerini içeren belgeleri yürütülen sorusturma kapsaminda Baroya aktarmasinin Kanun'un 8'inci maddesine uygun olarak Kanun'un 5'inci maddesinin (2) numarali fikrasinin (e) bendi çerçevesinde gerçeklestirildigi kanaatine varildigindan ilgili kisinin söz konusu avukat hakkindaki sikâyeti ile ilgili olarak Kanun kapsaminda yapilacak herhangi bir islem bulunmadigina karar verilmistir.

D. Diger Veri Isleme Faaliyetlerine Yönelik Kararlar

Kurum'a yapilan sikâyette özetle; ilgili kisinin ismi ile veri sorumlusu arama motoru üzerinden arama yapildiginda https://www.resmigazete.gov.tr/arsiv/*****.pdf sayfasina ulasildigi, ilgili kisinin ismiyle yapilan arama sonucunda çikan sayfanin "unutulma hakki" kapsaminda kaldirilmasinin veri sorumlusundan talep edildigi, ancak taraflarina verilen yanitta "içerigin engellenmemesine" karar verildiginin bildirildigi hususlari beyan edilerek ilgili kisinin ismiyle veri sorumlusu arama motoru üzerinde arama yapildiginda ilgili adresin çikmamasinin saglanmasi için gereginin yapilmasi talep edilmistir.

Konuya iliskin yürütülen inceleme neticesinde; sikâyete konu Resmî Gazete sayfasinin veri sorumlusu arama motoru üzerinden ilgili kisinin ismi ile iliskilendirilerek indekslenmesindeki veri isleme faaliyetinin amacinin ilgili içerigin kamu bilgisine sunulmasi degil ilgili kisiye tebligin yapilmasinin saglanmasi oldugu, bununla birlikte Tebligat Kanunu kapsaminda ve Resmî Gazete'de belirtildigi üzere söz konusu içerigin ilan tarihinden itibaren 15 gün sonra teblig edilmis sayilacagi, bu anlamda ilgili kisiye teblig amacinin gerçeklestigi, bununla birlikte ilgili kisinin bir sirketin yönetim kurulu üyesi ve baskani oldugu ancak söz konusu içerigin ilgili kisinin is yasamina iliskin olmadigi, ayrica içerikte yer alan verilerin islenmesindeki amacin ilgili içerigin kamu bilgisine sunulmasi degil ilgili kisiye tebliginin saglanmasi oldugu dikkate alindiginda yayinlanmasinda kamu yarari bulunmadigi, arama sonuçlarinin öznesinin çocuk olmadiginin açik oldugu, sikayete konu URL adresinde yer alan Resmî Gazetenin **/**/2000 ve mahkeme kararinin da 1999 tarihli oldugu göz önüne alindiginda 20 yildan fazla süre geçmis oldugu ve bu anlamda içerigin güncelligini yitirdigi, her ne kadar içerikte yer alan bilgi ilgili kisinin üzerine atili suçtan mahkeme karariyla beraat ettiginin teyidi olsa da ilgili kisi hakkinda önyargiya sebep olabilecegi, içerigin ilgili kisinin kendisi tarafindan yayinlanmadigi, içerigin gazetecilik faaliyeti kapsaminda islenen verileri içermedigi degerlendirildiginden, ilgili kisinin ad ve soyadiyla yapilan arama sonucunda çikan https://www.resmigazete.gov.tr/arsiv/*****.pdf URL adresinin ilgili kisinin ad ve soy adiyla iliskilendirilemeyecek sekilde indeksten çikarilmasi hususunda veri sorumlusunun talimatlandirilmasina karar verilmistir.

Ilgili kisinin Kurum'a intikal eden sikâyetinde özetle; bir ilçe belediyesinin sosyal medya hesabindan paylasilan olagan meclis toplantisi videosunda, kisisel verilerinin hukuka aykiri olarak islendigi, bahse konu toplantida belediye baskani tarafindan ilgili kisinin özel hayatina, kisisel verilerine ve bazi dava dosyalari ile ilgili adli islemlere iliskin bilgileri içeren bir konusma gerçeklestirildigi ve bu konusmanin belediyenin sosyal medya hesabindan kamuoyu ile paylasildigi, bu çerçevede kisisel verilerinin ihlal edilmesine iliskin olarak Belediyeye basvuruda bulunuldugu, ancak Belediye tarafindan Kanun kapsaminda herhangi bir hak ihlaline rastlanmadigi seklinde cevap verildigi ifade edilerek gereginin yapilmasi talep edilmistir.

Konuya iliskin yapilan degerlendirme neticesinde; ilgili kisinin Belediyesi Meclis Toplantisinda kisisel verilerinin Kanun'a aykiri olarak paylasildigi ve ilgili video kaydinin sosyal medya platformu üzerinde yayimlandigi iddiasiyla Kurula intikal eden sikâyetinin incelenmesi neticesinde; ilgili kisinin eski meclis üyesi oldugu ve konuya iliskin olarak kamuoyunun bilgilendirilmesinde kamu ilgi ve yararinin mevcut oldugu, öte yandan 5393 sayili Belediye Kanunu'nun 20'nci maddesinin altinci fikrasinda "Toplantilar, meclisin karariyla sesli ve görüntülü cihazlarla da kaydedilebilir." hükmüne, Belediye Meclisi Çalisma Yönetmeligi'nin 11'inci maddesinin dokuzuncu fikrasinda ise "Meclis toplantilari halka açiktir. Meclis baskani veya üyelerden herhangi birinin gerekçeli teklifi üzerine kapali oturum yapilmasina karar verilebilir. (.)" hükmüne yer verildigi dikkate alindiginda söz konusu veri isleme faaliyetinin "veri sorumlusunun hukuki yükümlülügünü yerine getirebilmesi için veri islemenin zorunlu olmasi" hükmü kapsaminda oldugu degerlendirildiginden Belediye Baskanligi hakkinda Kanun kapsaminda yapilacak bir islem bulunmadigina karar verilmistir.

Ilgili kisinin sikâyetinde özetle; veri sorumlusuna ait döviz bürosunda gise görevlisi tarafindan yapilan yanlis islem sebebiyle ilgili kisiye fazla ödeme yapildigi, fazla ödemenin ilgili kisi tarafindan ögrenilmesi üzerine fazla ödenen kismin iade edildigi, bununla birlikte döviz bürosunda bulunan güvenlik kamerasi ile kayda alinmis ilgili kisiye ait görüntülerin haber ajans ve siteleri ile ilgili kisinin açik rizasi alinmaksizin paylasildigi, Veri sorumlusunun is yerinde görüntü kaydi yapildigina iliskin herhangi bir uyari levhasinin bulunmadigi, ilgili kisi tarafindan Kanun'un 11'inci maddesindeki haklari uyarinca veri sorumlusuna yazili sekilde basvuruda bulunuldugu ancak basvuru dilekçesindeki hususlara makul ve yeterli cevap verilmedigi ve ihlal durumunun veri sorumlusunca reddedildigi belirtilmis ve gerekli islemlerin yapilmasi talep edilmistir.

Konuya iliskin yapilan inceleme neticesinde; döviz bürolarinda kamera bulundurulmasinin hukuki bir yükümlülük oldugu bu itibarla kamera-video kaydi yapmak suretiyle ilgili kisinin görüntülerinin veri sorumlusunun hukuki yükümlülügünün yerine getirilmesi isleme sartina dayandigi, öte yandan ilgili kisinin kamera kaydi yapildigina iliskin aydinlatma yapilmadigi iddialarina iliskin olarak veri sorumlusunun savunmasi ve eklerinde iletmis oldugu fotograflarin incelenmesinden döviz bürosunun muhtelif yerlerinde "Bu is yeri güvenliginiz için 7/24 kamera ile izlenmektedir" levhalarinin asili oldugu görüldügünden, kamera kaydi yapildigina iliskin ilgililerin aydinlatilmasinin saglandigi kanaati hasil olmus olup ilgili kisinin söz konusu sikâyeti hakkinda Kanun kapsaminda yapilacak bir islem olmadigina, veri sorumlusu tarafindan ilgili kisiye yapilan fazla-haksiz ödemenin iadesinin saglanabilmesini ve ekonomik kaybin önlenmesini teminen ilgili kisinin göz çevresinin ve siluetinin görüntülendigi kamera kaydi görüntülerinin ilan amaciyla yerel haber kanalina aktarilmasinin, "Ilgili kisinin temel hak ve özgürlüklerine zarar vermemek kaydiyla, veri sorumlusunun mesru menfaatleri için veri islenmesinin zorunlu olmasi" isleme sarti kapsaminda oldugundan hareketle bu hususta Kanun kapsaminda yapilacak bir islem olmadigina karar verilmistir.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.