Nisan ayının kişisel verilerin korunması alanında göze çarpan gelişmeleri, Kişisel Verileri Koruma Kurumu'nun ("Kurum") (i) veri sorumluları siciline ("VERBİS") kayıt ve bildirim yükümlülüğüne ilişkin kamuoyu duyurusu, (ii) belediyelerin ödeme ve borç sorgulama hizmetleri hakkında ilke kararı ve (iii) Anayasa Mahkemesi'nin ("AYM") kişisel verilerin korunmasını isteme hakkına dair kararı oldu.
Nisan ayında ülkemizde ve dünyada yaşanan gelişmeleri aşağıda sizler için özetliyoruz:
Duyuru - VERBİS kayıt ve bildirim yükümlülüğünü yerine getirmeyen veri sorumluları hakkında duyuru
Kişisel Verileri Koruma Kurulu ("Kurul"), 11/03/2021 tarihli ve 2021/238 sayılı kararı ile (i) yıllık çalışan sayısı 50'den çok veya yıllık mali bilanço toplamı 25.000.000 TL'den çok olan gerçek ve tüzel kişi veri sorumluları, (ii) yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları ve (iii) yıllık çalışan sayısı 50'den az ve yıllık mali bilançosu 25.000.000 TL'den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularına sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için 31 Aralık 2021 tarihine kadar süre vermişti.
Kurum, 21 Nisan 2022 tarihli kamuoyu duyurusunda, söz konusu yükümlülüğü yerine getirmeyen veri sorumluları hakkında idari yaptırım uygulamasına başladığını duyurdu.
Kurum, sicile kayıt ve bildirim yükümlülüğünü yerine getirmeyen veri sorumluları hakkında 53.572 TL'den 2,678,863 TL'ye kadar idari para cezası uygulayabilecektir. Söz konusu aykırılığın kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde meydana gelmesi hâlinde, ilgili kurum ve kuruluşlarda görev yapanlar hakkında disiplin hükümlerine göre işlem yapılabilecektir.
Duyuruya buradan ulaşabilirsiniz.
Karar - Kişisel verilerin korunmasını isteme hakkına dair AYM kararı
AYM, 19 Nisan 2022 tarihli Resmi Gazete'de yayımlanan 2018/11988 sayılı kararında, bir başvurucunun ("Başvurucu") özel hayata saygı kapsamındaki kişisel verilerin korunmasını isteme hakkının ihlal edilip edilmediğini değerlendirdi.
Başvuruya konu olayda Başvurucu, mesai takibi için parmak izinin kaydedilmesinin özel hayatın gizliliğini ihlal ettiğini iddia ederek iptali için idare mahkemesinde dava açmıştır. İdare mahkemesi, mesai takibine ilişkin yasal bir dayanak bulunmadığı gerekçesiyle takibin ihlal oluşturduğuna karar vermiştir. İstinaf mahkemesi, kamu personelinin mesaiye devam zorunluluğu ve idarenin bunu denetim yükümlülüğünden hareketle söz konusu uygulamada mevzuata aykırılık tespit etmemiştir. Konu AYM'ye taşınmıştır.
AYM, başvuruyu Anayasa'nın 20. maddesi uyarınca kişisel verilerin korunmasını isteme hakkı kapsamında incelemiştir. AYM, yapılan müdahalenin hukuka uygun olması için Anayasa'nın 13. maddesinde öngörülen (i) kanunlar tarafından öngörülme, (ii) Anayasa'da öngörülen haklı sebeplere dayanma ve (iii) demokratik toplumun gereklerine uygun olma ve ölçülü olma koşullarını sağlaması gerektiğini vurgulamış ve başvuruyu kanunlar tarafından öngörülme koşulu kapsamında incelemiştir.
AYM, 6698 sayılı Kişisel Verilerin Korunması Kanunu'na ("KVKK") atıfta bulunarak somut olayda kişinin parmak izi verisinin kişinin açık rızasına dayanarak ya da kanunlarda açıkça öngörülen hallerde açık rıza aranmaksızın işlenebileceğini belirtmiştir. İlgili kişilerin açık rızasının bulunduğu hallerde de Anayasa'nın 13. maddesi uyarınca kanunilik ilkesinin sağlanması gerektiğini vurgulamıştır.
Somut olayda Başvurucu'nun parmak izi verilerinin işlenmesi için açık rızası bulunmamaktadır. AYM, çalışanın mesaiye devam durumunun kontrolü için özel nitelikli verilerin işlenmesini öngören açık bir düzenleme de bulunmadığı gerekçesiyle müdahalenin kanunilik şartını sağlamadığını tespit etmiştir.
Karara buradan ulaşabilirsiniz.
Karar - Belediyelerin ödeme ve borç sorgulama hizmetleri hakkında ilke kararı
Kurul, 21 Nisan 2022 tarihli 2022/388 sayılı ilke kararında, belediyelerin internet üzerinden sunduğu emlak vergisi ödeme/hızlı ödeme ve borç sorgulama hizmetlerinde ilgili kişilerin yalnızca T.C. kimlik numarası girilerek emlak bilgilerine ulaşılabilmesini değerlendirdi.
Kurul kararında, Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) uyarınca, kişisel verilere uzaktan erişim sağlandığı hallerde iki kademeli kimlik doğrulama tedbiri alınması gerektiğini ve ilgili kişinin kolayca erişilebilen bilgilerinin sorgulandığı sistemlerin tek kademeli doğrulama olarak değerlendirileceğini belirtmiştir. Bu doğrultuda, kişiye özel oluşturulmuş şifre veya kişinin telefon numarasına iletilen SMS kodu ile erişim sağlanan sistemler iki kademeli doğrulama olarak kabul edilmektedir. Kurul, üçüncü kişilerin erişebileceği telefon numarası, doğum tarihi, anne/baba adı, sicil numarası gibi bilgiler yerine yalnızca kişiye özel olan ve sadece ilgili kişinin erişebileceği verilerin istendiği ya da üyelik ile çalışan sistemlerin kullanılması gerektiğini belirtmiştir. Kurul, söz konusu tedbirleri almayan belediyeler hakkında KVKK'nın 18. maddesi uyarınca işlem yapılacağına dikkat çekmiştir.
Karara buradan ulaşabilirsiniz.
Dünyadan Göze Çarpan Gelişmeler
- ABD (New Jersey): İşverenin
çalışanların kullandığı
araçlara takip cihazı yerleştirmesine ilişkin
yasa yürürlüğe girdi
New Jersey'de işverenlerin izleme cihazlarının kullanımına ilişkin yasa 18 Nisan 2022 tarihinde yürürlüğe girdi. Yasa uyarınca çalışanların kullandığı araçlarda takip cihazları kullanan işverenlerin çalışana yazılı bildirimde bulunmaları gerekiyor. Yasayı ihlal eden işverenlere, ilk ihlal için 1.000 ABD Dolarına ve sonraki ihlaller içinse 2.500 ABD Dolarına kadar para cezası uygulanması öngörülüyor.
Yasaya buradan ulaşabilirsiniz (İngilizce). - AB: Avrupa Veri Koruma Kurulu (EDPB), yeni
Trans-Atlantik Veri Gizliliği Düzenlemesi hakkında
bir bildiri kabul etti
6 Nisan 2022 tarihinde EDPB, 25 Mart 2022 tarihinde prensipte anlaşmaya varıldığı duyurulan Trans- Atlantik Veri Gizliliği Düzenlemesi'ne ilişkin bir bildiri kabul etti. EDPB, ABD'nin Avrupa Ekonomik Alanı'ndaki kişilere ait kişisel verilerin güvenliğine yönelik önlemlere ilişkin çabalarını olumlu bir gelişme olarak değerlendirdi. Öte yandan EDPB, ABD'ye yönelik yeterlilik kararının alınmasında EDPB'nin Avrupa Komisyonu'na sunacağı görüşün belirleyici olacağını vurguladı. Bu kapsamda EDPB, (i) kişisel verilerin ulusal güvenlik amaçlarına yönelik olarak orantılı ve yalnızca kesinlikle gerekli olduğu durumlarda toplanabilmesini sağlamaya yönelik düzenlemeleri, (ii) tazmin mekanizması kapsamında ilgili kişilerin adil yargılanma ve mahkemeye erişim haklarını ve (iii) Avrupa Komisyonu'nun destekleyici belgelerini dikkate alacağını belirtti.
Bildiriye buradan ulaşabilirsiniz (İngilizce).
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
