Kişisel Verilerin Korunması Kanunu’na (“Kanun”) uygunluk kapsamında, Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından ihlal şüphesi ile yapılan denetimler neticesinde verilen kararların özetleri, Kurum’a ait internet sitesinde (https://kvkk.gov.tr/) bir süredir yayımlanmaktadır. Bu kapsamda, kararlara konu olaylar, olayların Kanun’a uygunluk bakımından hangi yönlerden denetlendiği ve verilen kararların hukuki dayanaklarını içeren yayımlanmış karar özetlerinin sayısı, 3 Ağustos 2018 tarihinde yayımlanan 3 yeni kararla birlikte hâlihazırda 13’e ulaşmış durumdadır.
Aşağıda, Kurum’a ait söz konusu kararlar uyarınca, hukuka uygun kabul edilen durumlar ile ihlal olarak değerlendirilip idari yaptırım uygulanmış kişisel veri işleme faaliyetlerine yer verilmiş olup dikkat edilmesi geren hususlar açıklanmıştır:
1- Konu : Bir Gerçek Kişinin Adının Geçtiği Köşe Yazısının Silinmesi Talebi*
Olay : Bir gazetede yer alan ve halihazırda kamuyu ilgilendiren bir durumda olan gerçek bir kişinin ismini içeren köşe yazısının, ilgili kişinin istediği üzerine silinmesi talebi
Karar : Kişinin hala kamuyu ilgilendiren bir konumda olduğu hususu da dikkate alınarak, ifade özgürlüğünün bir yansıması olan basın özgürlüğünün kapsamında olduğu değerlendirildiğinden Kanun’un 28. maddesinin (1) numaralı fıkrasının (c) bendi uyarınca, talebe ilişkin olarak Kurul’ca yapılacak herhangi bir işlem bulunmadığına karar verilmiştir.
2- Konu : Özel Nitelikli Kişisel Verilerin Kanuna Aykırı Şekilde İnternet ve Sosyal Medya Mecralarında Paylaşılması*
Olay : İlgili kişiye ait özel nitelikli kişisel veri olan sağlık raporunun, bir Hastane nezdinde hastaların tedavi sürecinde yer alan hekimler tarafından, veri sorumlusuna ait mobil olarak kullanılan bir uygulamadan alınan ekran görüntüsünün başka bir cihaz tarafından çekilmesi suretiyle internet ve sosyal medya mecralarında paylaşılması ve bu itibarla özel nitelikli bir kişisel verinin sosyal medya aracılığıyla geniş bir kitleye ifşa edilmiş olduğu dikkate alınarak, Kurulca resen inceleme yapılması
Karar : Kanun’un 12. maddesinin (1) numaralı fıkrasının (c) bendi kapsamında kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin edemeyen veri sorumlusu hakkında Kanun’un 18. maddesi uyarınca idari para cezası uygulanmıştır.
3- Konu : İş Başvurusu Sürecinde İşlenen Kişisel Verilerin Hukuka Aykırı Şekilde Paylaşılması*
Olay : İlgili kişi tarafından, online olarak insan kaynakları hizmeti sunan veri sorumlusuna ait bir platform üzerinden yapılan iş başvurusunun akabinde; veri sorumlusunun, ilgili kişiye ait başvuru bilgisi, ad ve soyadı ile e-posta adresi bilgisini içeren kişisel verileri herhangi bir hukuki sebebe dayanmadan diğer işe başvuranlarla paylaştığının tespit edilmesi
Karar : Kanun’un 12. maddesinin (1) numaralı fıkrasına aykırılık teşkil etmesi nedeniyle anılan Şirket hakkında Kanunun 18. maddesi uyarınca idari para cezası uygulanmıştır.
4- Konu : Verilerin Hukuka Aykırı Şekilde Paylaşılması
Olay : İş başvurusunda bulunan bir adayın açık rızası olmadan kişisel verilerinin bir şirketler topluluğu altında yer alan veri sorumluları arasında aynı veri tabanını kullanmak suretiyle paylaşıldığının tespiti
Karar : Bir şirketler topluluğu bünyesinde yer alan birden çok veri sorumlusu şirketler arasında veri aktarımı gerçekleştirilmesinin, üçüncü kişiye veri aktarımı olarak değerlendirildiği, bu itibarla aynı şirketler topluluğu bünyesinde yer alan veri sorumluları arasında gerçekleşecek veri aktarımında da Kanun’un 8. maddesi hükümlerinin esas alınması gerektiği dikkate alındığından, Kanunun 12. maddesinin (1) numaralı fıkrasına aykırılık teşkil etmesi nedeniyle, anılan Şirket hakkında Kanun’un 18. maddesi uyarınca idari para cezası uygulanmıştır.
5- Konu : Kişisel Veri Güvenliği İhlalinin Geç Bildirimi
Olay : İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesinin veri sorumlusu tarafından en kısa sürede ilgilisine ve Kurula bildirimde bulunulmaması, veri sorumlusunun, gerçekleşen veri ihlalini ilgili kişilere 17 ay, Kurula ise 10 aylık gecikmeyle bildirdiğinin tespiti
Karar : Veri sorumlusunun gerçekleşen veri ihlalini ilgili kişilere 17 ay, Kurula ise 10 aylık gecikmeyle bildirmesinin Kanunda belirtilen “en kısa süre”yi aşan bir süre olduğu ve bu durumun Kanunun 12. maddesinin (5) numaralı fıkrası kapsamında veri güvenliği ihlali olarak değerlendirilmesi nedeniyle Kurul tarafından Kanunun 18. maddesi gereğince ilgili veri sorumlusu hakkında idari yaptırım uygulanmasına karar verilmiştir.
6- Konu : Açık Rızanın Hizmet Şartına Bağlanması
Olay : Veri sorumlusu tarafından Kanunun 5. maddesinin (2) numaralı fıkrasının (c) bendi kapsamında sözleşmenin taraflarına ait kişisel veri işlenmesi durumunda ayrıca açık rıza alması ve de açık rızayı üyeliğin ve hizmetin dolayısıyla sözleşmenin bir koşulu olarak dayattığının tespiti
Karar : - Diğer kişisel veri işleme şartlarının varlığı durumunda açık rıza alınmasının ilgili kişinin yanıltılması ve yanlış yönlendirilmesi dolayısıyla veri sorumlusunca hakkın kötüye kullanılması anlamına geleceği,
- Ayrıca hizmetin açık rıza şartına bağlanmış olmasının açık rızayı sakatlayacağı,
dikkate alındığında, bu durumun Kanun’un 4. maddesinde yer alan hukuka ve dürüstlük kurallarına uygun olma ve işlenme amacı ile bağlı, sınırlı ve ölçülü olma ilkelerine aykırılık teşkil etmesi nedeniyle, Kurul tarafından Kanunun 12. maddenin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kanunun 18. maddesi uyarınca idari yaptırım uygulanmasına karar verilmiştir.
7- Konu : İşlenme Amacının Gerektirdiğinden Fazla Kişisel Veri İşlenmesi / Aktarılması (Veri Minimizasyonu İlkesine Aykırılık)
Olay : Mahkemece veri sorumlusundan ilgili kişi hakkında bazı kişisel verilerin talep edilmesi ve veri sorumlusunun gereğinden fazla kişisel veri aktarımında bulunduğunun tespiti
Karar : Söz konusu aktarımın;
- Kanunun 8. maddesinin (2) numaralı fıkrasında atıfta bulunulan Kanunun 5. maddesinin (2) numaralı fıkrasının (ç) bendinde yer verilen hukuki yükümlülüğün yerine getirilmesi için zorunlu olması kapsamında değerlendirilemeyeceği,
- Kanunun 4. maddesinin (1) numaralı fıkrasının (ç) bendinde yer alan işlendikleri, amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırılık teşkil ettiği,
dikkate alınarak, Kurul tarafından Kanunun 12. maddesinin (1) numaralı fıkrası çerçevesinde ilgili kişiye ait kişisel verilerin güvenliğini sağlayamayan veri sorumlusu hakkında Kanunun 18. maddesi uyarınca idari yaptırım uygulanmasına karar verilmiştir.
8- Konu : Veri Sorumlusu Tarafından Kanunda Belirlenen Süre İçerisinde İlgili Kişiye Cevap Verilmemesi
Olay : İlgili kişinin veri sorumlusuna Kanunun 11. maddesinde sayılan hakları kapsamında başvuruda bulunmasına rağmen veri sorumlusunun süresinde ilgili kişiye cevap vermediğinin tespiti
Karar : Kurul tarafından veri sorumlusunun ilgili kişiye Kanunun 11. maddesi kapsamında talep ettiği hususlarla ilgili olarak, Kanunun 15. maddesinin (5) numaralı fıkrası gereğince kararın tebliğinden itibaren 30 gün içerisinde cevap vermesi, aksi takdirde Kanunun 18. maddesi uyarınca hakkında idari yaptırım uygulanacağı hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.
9- Konu : İlgili Kişinin Kişisel Verilerinin Silinmesi Talebinin Yerine Getirilmemesi
Olay : Veri sorumlusunun, hâlihazırda aktif olmayan müşterisinin (ilgili kişi) kişisel verilerinin silinmesi hususundan talebini yerine getirmediğinin tespiti
Karar : Veri sorumlusunun tabi olduğu mevzuat uyarınca işlediği kişisel verileri 10 yıl boyunca muhafaza etmesi zorunluluğu bulunduğundan, Kurul tarafından aktif olmayan müşterilerin kişisel verilerinin, Kanunun 4. maddesinde yer verilen genel ilkelere uygun olarak saklama amacı dışında işlenmemesi gerektiği yönünde veri sorumlusunun talimatlandırılmasına karar verilmiştir.
10- Konu : Kişisel Veri Güvenliğinin Sağlanması Amacıyla Uygun Güvenlik Düzeyini Temin Etmeye Yönelik Gerekli İdari ve Teknik Tedbirlerin Alınmaması
Olay : Veri sorumlusu tarafından müşterisinin (ilgili kişi) kişisel verilerinin yer aldığı bir belgenin, aynı isme sahip başka bir kişiye gönderildiğinin tespiti
Karar : Veri sorumlusu açısından sistemsel bir açığa işaret ettiği dikkate alınarak, Kurul tarafından Kanunun 12. maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğinin sağlanması hususunda gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18. maddesi uyarınca idari yaptırım uygulanmasına karar verilmiştir.
11- Konu : Kişisel Veri Güvenliğinin Sağlanması Amacıyla Uygun Güvenlik Düzeyini Temin Etmeye Yönelik Gerekli İdari ve Teknik Tedbirlerin Alınmaması
Olay : Veri sorumlusunun bir çalışanının, talebi olmamasına rağmen müşterisinin (ilgili kişi) kişisel verilerini, kendisine yetki tanımlaması yapılan sistemler aracılığıyla kişisel amaçları için sorguladığının tespiti
Karar : Kurul tarafından Kanunun 12. maddesinin (1) numaralı fıkrası gereğince veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18. maddesi uyarınca idari işlem tesis edilmesine karar verilmiştir.
12- Konu : Kanunda Yer Alan Genel İlkelere Aykırı Şekilde Kişisel Veri İşlenmesi (Hukuka ve Dürüstlük Kurallarına Uygun Olma ile Belirli, Açık Ve Meşru Amaçlar İçin İşleme İlkelerine Aykırı Kişisel Veri İşlenmesi)
Olay : Veri sorumlusu tarafından ilgili kişinin talebi üzerine gerçekleştirilen işlemde veri sorumlusu tarafından işlemin gerektirmediği kişisel veri içeren bir belgenin müşteriden istenildiğinin tespiti
Karar : Söz konusu belgenin istenilmesinin;
- İlgili mevzuatta yer almaması
- Ulaşılmak istenen amaç ile bağdaşmaması nedeniyle
Kanunun 4. maddesinin (2) numaralı fıkrasının (a) bendinde yer verilen hukuka ve dürüstlük kurallarına uygun olma ilkesi ile (c) bendinde yer verilen belirli, açık ve meşru amaçlar için işlenme ilkesine aykırılık teşkil ettiği dikkate alınarak, Kurul’ca Kanun’un 12. maddesinin (1) numaralı fıkrası çerçevesinde kişisel veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18. maddesi uyarınca idari yaptırım uygulanmasına karar verilmiştir.
13- Konu : Kanuna Aykırı Şekilde Kişisel Verilerin Paylaşılması
Olay : Veri sorumlusu tarafından, bir şirketin çalışanlarına e-posta yoluyla gönderilen sözleşme örneklerinde veri sorumlusu tarafından, işveren iletişim adresi kısmına şirketin adresinin yazılması gerekirken, şirket adına sürecin yönetiminden sorumlu kişinin (ilgili kişi) ev adresinin yazıldığının tespiti
Karar : Kanunun 5. maddesinde sayılan kişisel veri işleme şartlarından herhangi birine dayanmaksızın şirket adına sürecin yönetiminden sorumlu kişinin (ilgili kişi) ev adresinin yazılması nedeniyle, Kurul tarafından Kanun’un 12. maddesi kapsamında veri güvenliğini sağlayamayan veri sorumlusu hakkında Kanunun 18. maddesi uyarınca idari yaptırım uygulanmasına karar verilmiştir.
* 3 Ağustos 2018 tarihinde yayımlanan yeni kararlar