Kişisel Verilerin Korunması Kurul Karar Özetleri

1. “Veri sorumlusu kargo firması tarafından ilgili kişi adına sehven fatura düzenlenmesi” hakkında 30/09/2021 tarihli 2021/993 sayılı kurul kararı özeti 

Kişisel Verilerin Korunması Kurumu’na gelen ilgili kişi başvurusu neticesinde başvurucu tarafından kargo firmasından herhangi bir hizmet alınmamasına karşı, veri sorumlusu tarafından ilgili kişinin e-posta adresine kendisi adına düzenlenen fatura gönderilmiş olup, ilgili kişinin veri sorumlusuna yaptığı başvuru neticesinde verilen yanıtta, faturalandırma işleminin sehven yapıldığı ilgili kişinin kişisel verilerinin kayıtlı bulunduğu meslek kuruluşuna kayıtlı üyelerin indirimli gönderim ücretinden faydalanmasını sağlayan sözleşme kapsamında veri sorumlusu tarafından işlendiği ve veri sorumlusunun arşivinde bulunduğu ifade edilmiştir. İlgili kişi başvurusu üzerine, kişisel verilerin silinmesi talebi yerine getirilmemiş olup şikâyete konu edilmiştir. 

Kurulun konu hakkında başlatmış olduğu inceleme neticesinde;  

  • KVKK Madde 5, fıkra 1 c bendinde sözleşmenin ifasıyla doğrudan ilgili olması hukuki şartına dayanılarak işlendiği ve ilgili kişinin kişisel verilerinin veri sorumlusu tarafından temin edilmesinin hukuka uygun olduğu tespit edilmiş fakat hukuka uygun olmayan nedenle fatura düzenlendiği vurgularanak, hukuka uygunluk sebebi olmadan, ilgili kişi adına fatura düzenlenmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin hukuka aykırı bir biçimde gerçekleştiği belirtilmiştir.  
  • KVKK Madde 12 fıkra 1 a bendine göre kişisel verilerin hukuka aykırı olarak işlenmesini önlemek için uygun güvenlik tedbirlerini temin etmeye yönelik gerekli teknik ve idari tedbirlerin alınmadığı kanaatine varılmış olup, Veri sorumlusu hakkında KVKK Madde 18 Fıkra 1 b bendi kapsamında idari para cezası uygulanmasına, veri sorumlusunun ilgili mevzuat gereğince işlenen kişisel verileri belirli süreler boyunca muhafaza etmesi gerektiğinden, ilgili kişinin kişisel verilerinin silinmesi talebinin yerine getirilmemesinde bir hukuka aykırılık bulunmadığı tespit edilmiştir. 

*KVKK 12/1 Madde: “(1) Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır…”  

2. “İlgili kişinin, bir spor tesisi tarafından açık rıza alınmaksızın yer aldığı müsabakaların kaydedilip yayınlanması’’ hakkında Kişisel Verileri Koruma Kurulu’nun 2021/889 sayılı Karar Özeti:  

Kişisel Verilerin Korunması Kurumu’na başvuruda bulunan ilgili kişi şikayetinde; halı saha işletmeciliği yapan veri sorumlusu hakkında, tesislerde spor yapanların rızası alınmadan görüntülerinin kaydedildiği ve kayıtlarının veri sorumlusu tarafından kendi internet platformunda yayınlandığı gerekçesiyle gerekli işlemlerin yapılmasını talep etmiştir. 

Kurulun konu hakkında gerçekleştirmiş olduğu incelemeler neticesinde;  

  • Veri sorumlusu; Tesislerinin sosyal alanlarında poster ve afişlerle tesiste oynanan maçların yayınlandığı hususunun tesise gelen her ziyaretçinin kolaylıkla fark edebileceği şekilde açıkça duyurulduğu ve ilgili kişilerin bu yolla aydınlatıldığını, tesiste bulunan tüm ilgili kişilerin açık rızasının alınabilmesi için açık rıza formlarının hazırlanıp pilot tesislerde uygulanmaya başladığını bildirmiştir. 
  • Açık rızanın, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile ya da karşı taraftan gelen istek üzerine, onay vermesi anlamını taşıdığı, açık rızanın, rıza veren kişinin ‘’olumlu irade beyanı’’ içermesi gerektiği ve açık rızanın alınmasının şekil şartına bağlı olmadığını; elektronik ortam ve çağrı merkezi gibi yollarla da alınabileceğini ve ispat yükümlülüğünün veri sorumlusuna ait olduğunu; ancak veri sorumlusunun açık rızaya ait form uygulamasını henüz hayata geçirmemesinden dolayı, ilgili kişinin kişisel verisi olan görüntüsünün Kanunda yer alan herhangi bir kişisel veri işleme şartına dayanmaksızın veri sorumlusu tarafından işlendiği belirtilmiştir. 
  • Veri sorumlusunun KVKK Madde 12 Fıkra 1 a bendi kapsamında kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı sonucuna varılmasıyla veri sorumlusu hakkında Kanunun 18. Maddesinin 1 numaralı fıkrasının b bendi uyarınca idari para cezası uygulanmasına ve söz konusu veri işleme faaliyetinin ancak ilgili kişilerin açık rızası kapsamında gerçekleştirilebileceği dikkate alındığında açık rıza konusunda gerekli düzenlemelerin yapılarak Kuruma bilgi verilmesi hususunda talimatlandırılmasına karar verilmiştir. 

3. İlgili kişiye ait görselin, açık rızası alınmaksızın bir internet sitesinde yer alan haber içeriğinde kullanılması hakkında 30/09/2021 tarihli 2021/989 Kurul Kararı Özeti 

Bir veri sorumlusu bünyesinde yer alan internet sitesinin haber içeriğinde kullanılan fotoğrafın kullanılmasında ilgili kişinin açık rızasının bulunmadığı, gerçek dışı haber içeriği sonucu mağduriyet yaşadığı ve ilgili kişinin kişilik haklarının ihlal edildiği gerekçesiyle söz konusu haber içeriği şikayete konu edilmiştir. 

Kurulun konu hakkında gerçekleştirmiş olduğu incelemeler neticesinde;  

Fotoğrafın yer aldığı içeriğin veri sorumlusunun bünyesinde içerik üreten bir editör tarafından oluşturulduğunun anlaşılmasından dolayı, şirketin somut olay nezdinde veri sorumlusu sıfatını haiz olduğu; ancak bu kapsamda, başvuru konusunun Kanun hükümlerinin uygulama alanı dışında kalıp kalmadığının değerlendirilmesi gerektiği belirtilmiştir.  

  • Ifade özgürlüğünün bir yansıması olan basın özgürlüğü ile kişilik hakları karşı karşıya geldiğinde haberin,  
  1. Kamu ilgi ve yararı taşıması,  
  2. Gerçek ve güncel olması,  
  3. Özü ile biçimi arasındaki denge, 
  4. Kriterleri kapsamında değerlendirilmelidir. 
  • İlgili kişi açısından bahse konu olayda yer alan haber içeriğinin kamu ilgi ve yararının varlığına sebep olabilecek bir nitelik taşımadığı, mahkeme kararından da ilgili kişinin annesinin tarafına vasi olarak tayin edildiği dolayısıyla ilgili kişinin adı geçen ünlü tarafından evlat edinilmediğinin açık olduğu dikkate alındığında; internet sitesinde yayımlanan söz konusu haber içeriğinde yer alan bilgilerin ilgili kişi açısından doğru olmadığı ve kişilik haklarını ihlal ettiği hususları göz önünde bulundurulduğunda şikâyet konusu içeriğin Kanunun 28 inci maddesinin (1) numaralı fıkrasının (c) bendi kapsamında değerlendirilemeyeceğine, 
  • İlgili kişinin adına vasisinin açık rızası ya da Kanunun 5 inci maddesinde yer alan diğer işleme şartlarından biri olmaksızın ilgili kişiye ait fotoğrafın veri sorumlusu bünyesinde çalışan bir editör tarafından ilgili kişi ile ilgili olmayan yanlış bir içerikle internet sitesinde yayımlandığı dikkate alındığında, veri sorumlusunun Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin (1) numaralı fıkrasının (a) bendinde öngörülen yükümlülüğünü yerine getirmediği sonucuna varılmış olup veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına karar verilmiştir. 

4. Araç Kiralama Sektöründeki Kara Liste Uygulamaları Hakkında İlke Kararı: 

Araç kiralama sektöründe kullanılan kara liste uygulamaları ile söz konusu yazılıma kendi müşterileri olan araç kiralayan gerçek kişilerin kişisel verilerinin işlendiği; işlenen bu veriler arasında araç kullanım sürecinde meydana gelen olumsuzlukları veya araç kiralama firmasının yorumlarını içeren kara liste bilgilerinin yer aldığı, bu bilgilerin araç kiralama firmaları tarafından sonraki kiramalar için kullanıldığı, anlaşılmıştır. 

  • 1774 Sayılı Kimlik Bildirme Kanunun ilgili maddeleri gereğince araç kiralama faaliyetlerinin kolluk kuvvetlerine bildirilme zorunluluğu bulunmaktadır. Dolayısıyla, Araç Bildirim Sistemine (KABİS) veri girişi yapmaları bağlamında kişisel veri işlemeleri Kanunun 5’inci maddesinin 2 numaralı fıkrasının a bendinde yer alan ‘’Kanunlarda açıkça öngörülmesi’’ işleme şartı ile ç bendinde yer alan ‘’veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması’’ işleme şartları kapsamında değerlendirilebilecektir. 
  • Araç kiralama işi taraflar arasında akdedilen bir sözleşme olduğu için Kanunun 5. Maddesinin 2 numaralı fıkrasının c bendinde yer alan ‘’bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması’’ işleme şartı kapsamında ilgili kişilerin kişisel verilerinin işlenmesi mümkündür. 
  • Kanun’un 5’inci maddesinin 2 numaralı fıkrasının f bendinde ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri sorumlusunun meşru menfaatleri için veri sorumlusunun meşru menfaatleri için veri işlemesinin zorunlu olması’’ işleme şartı düzenlenmiş olup ilgili kişinin temel hak ve özgürlükleri ile veri sorumlusunun meşru menfaatleri arasında yapılacak denge testi sonucunda meşru menfaatin baskın gelmesi durumunda, işletmenin faaliyetleri ile sınırlı olmak kaydıyla uygulanabilir olacaktır fakat işlenen kişisel verilerin aynı yazılımı kullanan diğer veri sorumlularına açılması durumu temel hak ve özgürlüklerinin ihlal edilmeme şartının karşılanamayacağı değerlendirilmiştir. 

  Saygılarımızla,  

Rasyotek İnsan Kaynakları Bilişim A.Ş.  

Bilişim Hukuku Departmanı 

Önceki
Sonraki