23 MAYIS 2022 TARİHİNDE KVKK.GOV.TR İNTERNET SİTESİNDE YAYIMLANAN KARAR ÖZETLERİ

Veri sorumlusu E-ticaret şirketi tarafından internet sitesinde/mobil uygulamalarında kullanılan çerezler aracılığıyla hukuka aykırı olarak kişisel veri işlenmesi Kişisel Verileri Koruma Kurulunun 10/03/2022 tarih ve 2022/229 sayılı Karar Özeti

• İnternet sitesinin düzgün çalışması için zorunlu çerezlere ilişkin olarak ilgili kişilerin açık rızasına gerek duyulmayacak iken; reklam, pazarlama ve performans amacıyla çalışan çerezlerin kullanılmasının ilgili kişinin açık rızasına tabi olduğu belirtilmiştir.

İşlevsel çerezler, performans-analitik çerezler, reklam/pazarlama çerezlerinin çalıştırılmasına ilişkin olarak açık rıza dışında bir veri işleme şartı bulunmuyor ise internet sitesini/mobil uygulamaları ziyaret eden kullanıcılardan internet sitesine/mobil uygulamaya giriş anında ilgili kişilerin iradi aktif hareketiyle söz konusu çerezlerin çalışmasına onay vermesini, dolayısıyla varsayılan ayar olarak çerezlerin çalışmamasını öngören “opt-in” mekanizmasına göre açık rıza alması gerektiği vurgulanmıştır.

• Çerezler vasıtasıyla yurt dışına kişisel veri aktarmak suretiyle gerçekleşen faaliyetler Kanun’un 9’uncu maddesine uygun şekilde gerçekleştirilmesi gerekliliği belirtilmiştir. Bu kapsamda 3. Taraf çerezleri kullanılmak suretiyle yurtdışına aktarılan kişisel verilere yönelik olarak, 6698 Sayılı Kanun’nun Kişisel verilerin yurt dışına aktarılması başlıklı 9. Maddesi uyarınca ilgili kişilerin yurtdışına aktarım hususunda açık rızalarının temin edilmesi gerekmektedir.
• Hangi kişisel veri işleme faaliyetinin hangi işleme amacı ile örtüştüğüne ilişkin detaylı bilgilendirme ve çerez çeşitlerinin her birine ilişkin amaçların ilgili kişiler tarafından anlaşılabilecek nitelikte açıklanması gerekmektedir.
• Çerezler konusunda aydınlatmanın daha kolay erişilebilir olması adına Gizlilik ve Kişisel Verilerin Korunması Politikasında direkt olarak ilgili kişileri Çerez Politikası’na yönlendirebilecek bir bağlantı eklenmesi önerilmektedir.

İlgili kişinin kişisel verisi niteliğindeki e-posta adresinin bir insan kaynakları firması tarafından reklam ve pazarlama amaçlı e-posta gönderilmesi amacıyla işlenmesi hakkında Kişisel Verileri Koruma Kurulunun 09/12/2021 tarihli ve 2021/1243 sayılı Karar Özeti

• Karara konu olayda ilgili kişinin iletişim bilgileri Kanun’un 5’inci maddesinin (d) bendi çerçevesinde “ilgili kişinin kendisi tarafından alenileştirilmiş olması”na dayanılarak işlendiği bildirilse de ilgili kişinin hangi yöntemle ve hangi platformda veya mecrada e-posta adres bilgisini alenileştirme iradesinde bulunduğuna ilişkin veri sorumlusu tarafından herhangi bir açıklamaya, anket ve tanıtım işleri çerçevesinden nasıl elde edildiğine ilişkin olarak kanıtlayıcı nitelikte herhangi bir belgeye yazı ekinde yer verilmediği, e-posta adresinin ilgili kişiye ticari amaçlı bir e-posta gönderilmesi suretiyle işlendiği ancak Kanun’un 5’inci maddesinde yer alan işleme şartlarından herhangi birinin söz konusu olmadığı dolayısıyla, veri sorumlusu tarafından Kanun’un 12’nci maddesinin (1) numaralı fıkrası çerçevesinde “kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğüne aykırı davranıldığından idari para cezası uygulanmasına,
• İlgili kişinin veri sorumlusuna İlgili başvurusunda kişisel verilerinin silinmesi talebine istinaden ilgili kişinin kişisel verilerini imha ederek imha işlemine ilişkin log kayıtlarının da Kurum’a iletilmesi suretiyle Kurul’a bilgi vermesine karar verilmiştir.

Veri sorumlusu Banka tarafından ilgili kişinin ailesinin telefonları üzerinden arama gerçekleştirilmesi suretiyle kişisel verilerinin paylaşılması hakkında Kişisel Verileri Koruma Kurulunun 09/12/2021 tarihli ve 2021/1239 sayılı Karar Özeti

• Karara konu olayda veri sorumlusu Banka 5411 sayılı Bankacılık Kanunu (5411 sayılı Kanun) ile alt düzenlemelerin belirlediği kapsamla sınırlı olacak şekilde ve yine bu düzenlemelerde yer verilen esas ve usullere uygun olarak, Banka müşterilerinin kredilendirme süreçlerinde kullanılmak üzere risk bilgilerini alabilmek amaçları ile Türkiye Bankalar Birliği Risk Merkezi’nden (Risk Merkezi) sorgulamalar yapıp elde ettiği iletişim bilgilerine yönelik aramalarda bulunmuştur. Aramaların 6111 sayılı Kanun ile, 5411 sayılı Bankacılık Kanunu’na ek 1 inci madde ve geçici 28 inci oluşan riskten dolayı yapılan borçlu takibinin Risk Merkezi sisteminde kayıtlı telefon numarasına yönelik yapıldığı,mevcut bilgi ve belgelerden veri sorumlusu tarafından kişisel veri paylaşıldığına yönelik bir tespitte bulunulamadığı ve ilgili kişinin talebi üzerine gerekli aksiyonun alındığından bahisle Veri Sorumlusu’na yönelik olarak Kanun kapsamında işlemde bulunulmamıştır. Ayrıca telefon aramalarında kişisel verilerin korunması yönünden daha dikkatli olunması ve personelin bu konuda bilgilendirilmesi hususunun veri sorumlusuna hatırlatılmasına karar verilmiştir.

İlgili kişi işçinin hakkında yürütülen kişisel verilerin işlenmesi faaliyetleri kapsamında Yurtdışında mukim olan veri sorumlusu işverence aydınlatılmaması, ilgili kişiye ait kişisel verilerin Nisan 2021 sonrası dönemde veri sorumlusu tarafından hukuka aykırı olarak işlenmesi hakkında Kişisel Verileri Koruma Kurulunun 02/12/2021 tarihli ve 2021/1218 sayılı Karar Özeti

• İlgili kişinin veri sorumlusunun Londra’da bulunan ofisinde işe başlaması nedeniyle ilgili kişiye Avrupa Birliği’nin birincil kişisel veri koruma düzenlemesi Avrupa Birliği Genel Veri Koruma Tüzüğü’ne istinaden bilgilendirme yapıldığı, daha sonra ilgili kişinin Londra’daki görevinden ayrılarak veri sorumlusunun İstanbul’da bulunan irtibat ofisi bünyesinde görev yapmaya başladığı, dolayısıyla ilgili kişiye Avrupa Genel Veri Koruma Tüzüğü (GDPR) yükümlülükleri kapsamında yapılan bilgilendirmenin ilgili kişi hakkında veri sorumlusunca yürütülen kişisel veri işleme faaliyetleri açısından yeterli olduğu, ancak Türkiye’de işlenen kişisel veriler bakımından Kanun’un 10’uncu maddesine uygun olarak aydınlatma yükümlülüğünün yerine getirilmesi konusunda özen gösterilmesi hususunda veri sorumlusuna hatırlatmada bulunulmasının da uygun olacağı,
• Kişisel verilerinin veri sorumlusunun internet sitesinde yayınlanabilmesi için ilgili kişi tarafından başlangıçta bir açık rıza verilip verilmediği araştırılması gerektiği ve kişisel veri işleme faaliyetinin hukuki sebebinin Kanun’un 5’inci maddesinin (1) numaralı fıkrasında düzenlendiği şekliyle “açık rıza” olduğunun kabulü halinde, ilgili kişinin veri sorumlusuna ilettiği 26/05/2021 tarihli İhtarname’den sonra verilen açık rızanın geri alındığının da kabul edilmesinin gerektiği,
• İlgili kişinin kişisel verilerinin veri sorumlusunun internet sitesinde yayınlanmasının Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (f) bendindeki “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki sebebine dayanmasının mümkün olduğu, ancak bu hukuki sebebe dayanılabilmesi için -somut olay özelinde tespit edilecek- veri sorumlusunun meşru menfaatleri ile ilgili kişinin temel hak ve özgürlükleri esas alınarak yapılacak bir “denge testi” sonucunda veri sorumlusunun meşru menfaatlerinin ağır basıyor olmasının gerektiği,
• Veri sorumlusunun Türkiye’de bir irtibat ofisinin bulunduğunu ve bu ofiste kariyerli/yetkin kişilerin çalıştığını veya en azından kimlerin çalıştığını kamuoyuna açıklamakta meşru menfaatinin bulunduğunun söylenebileceği ve açıklamanın ilgili kişinin temel hak ve özgürlüklerine açıkça zarar verdiğinden de bahsedilemeyeceği,
• Taraflar arasındaki iş ilişkisinin  sona erdiğinde, kişisel verilerinin halen veri sorumlusunun internet sitesinde tutulmasının, yeni iş arayışlar için Anayasası’nın 48’inci maddesinde düzenlenen “Çalışma ve sözleşme hürriyeti”ne zarar verebileceği bu nedenle kişisel veri işleme faaliyetlerinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (f) bendindeki “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki sebebine dayanamayacağı ,
• İlgili kişinin başvurusunun Kanun ve sair mevzuat uyarınca etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırılmadığından bahisle veri sorumlusunun ileride kendisine yapılabilecek ilgili kişi başvurularını mevzuata uygun şekilde cevaplandırması hususunda talimatlandırılmasının yerinde olacağına karar verilmiştir. Ayrıca iş ilişkisinden kaynaklanan uyuşmazlıkların çözümü için adli makamlar nezdinde girişimde bulunması gerektiği hususunda ilgili kişinin bilgilendirilmesine karar verilmiştir.

İlgili kişi anne ve ilgili kişi sıfatını haiz çocuğunun fotoğrafları da kullanılmak suretiyle ilgili kişi hakkında gerçek dışı, şeref ve haysiyet kırıcı bir televizyon haberi yapıldığı iddiası hakkında Kişisel Verileri Koruma Kurulunun 02/12/2021 tarihli ve 2021/1217 sayılı Karar Özeti

• İlgili kişinin isim ve soy isim bilgileri ile ilgili kişi ve çocuğuna ait bir fotoğrafın adı geçen kişilerin kimliklerini belirli veya belirlenebilir kılmaları nedeniyle “kişisel veri” niteliğini haiz olacakları, ilgili verilerin medya şirketi bünyesinde kayıt altına alma, depolama, yayınlama vb. fiillere konu edilmesinin 6698 sayılı Kanun uyarınca birer “kişisel veri işleme faaliyeti” teşkil ettiği medya şirketinin “veri sorumlusu” olacağı belirtilmiştir. İlgili kişilere ait fotoğrafın medya şirketi tarafından blurlanmak/buzlanmak suretiyle yayınlanmış olmasına karşın blurlanan fotoğraf ile “isim ve soy isim” gibi başka bilgilerin birleştirilmesi/eşleştirilmesi halinde ilgili kişilerin kimliklerinin belirlenebilmesinin mümkün olmasından ve Facebook adlı sosyal medya platformundan arama yapıldığında bu fotoğrafın blurlanmamış versiyonuna da erişimin mümkün olduğundan ayrıca fotoğrafın herkese açık olduğu anlaşılan Facebook sayfasında yer alması göz önüne alındığında bu fotoğrafın amacı dışında kullanılabilmesine cevaz vermeyeceği de vurgulanmıştır.
• 6698 sayılı Kanun kapsamında “alenileştirme” kavramının, kişisel verinin herhangi bir şekilde kamuoyuna sunulmasından daha dar bir anlama sahip olduğu, 6698 sayılı Kanun’un “İstisnalar” başlıklı 28’inci maddesinin (1) numaralı fıkrasının (c) bendinde 6698 sayılı Kanun hükümlerinin “Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi” halinde uygulanmayacağı belirtilmiş olup yayın faaliyetinin mezkûr hükmün kapsamına girip girmediğinin öncelikle değerlendirilmesi gerektiği, ifade özgürlüğü ile özel hayatın gizliliğinin veya kişilik haklarının çatıştığı hallerde haklar arasında bir denge testinin yapılmasını gerektirdiği ve sadece -yapılacak denge testinin ardından – çatışan haklar bakımından özel hayatın gizliliğinin veya kişilik haklarının ifade özgürlüğüne üstün geldiğinin anlaşıldığı durumların 6698 sayılı Kanun hükümlerine göre incelenip değerlendirilebileceği, Kurulun 22/05/2020 tarihli ve 2020/414 sayılı kararında da belirtildiği üzere, ifade özgürlüğünün bir yansıması olan basın özgürlüğü ile kişilik hakları karşı karşıya geldiğinde haberin; a) Kamu ilgi ve yararı taşıması, b) Gerçek ve güncel olması, c) Özü ile biçimi arasındaki denge, kriterleri kapsamında değerlendirilmesi suretiyle hangi hakka üstünlük tanınması gerektiğinin belirlenmesinin önem arz ettiği belirtilmiştir.
• “Bir gencin eşinden boşanıp bir başkası ile evlenen annesinin kapısına dayanarak onu kalbinden bıçakladığı” bilgisinin paylaşılmasında herhangi bir kamu ilgi ve/veya yararının bulunduğundan bahsedilemeyeceği, “haberin kamu ilgi ve yararı taşıyıp taşımadığı” kriteri kapsamındaki durumunun tartışmalı olduğu belirtilmiştir.
• Habere konu edilen olayın gerçek olması gerektiği, ancak yerleşik yargı kararlarında gerçeklikten maddi gerçekliğin değil görünürdeki gerçekliğin anlaşılması gerektiği,  habere konu bilgilerin gerçeğe uygun olup olmadığının araştırılması hususunda ilgili basın kuruluşu tarafından gereken her türlü dikkat ve özenin gösterilip gösterilmediğinin ele alınması gerektiği, haber yapılmadan önce ilgili basın kuruluşunca gereken her türlü dikkat ve özen gösterilmemişse, orada artık maddi gerçeklik veya görünürdeki gerçeklik tartışması yapılmasının herhangi bir fayda sağlamayacağı da belirtilmiştir.
• “haberin güncel olması” kriterinin somut olayın açıklandığı tarihlerde kamu yararının bulunması, üzerinden süre geçmiş ve açıklanmasında artık kamu yararı bulunmayan bir olayın yayınlanmasında haber verme hakkından söz edilemeyeceğinin ve kişilik hakkına üstünlük tanınması gerekeceğinin savunulabileceği,  habere konu olayın gerçekleşme tarihi ile haberin veriliş tarihi göz önüne alındığında haberin güncel olduğunun söylenebileceği, Haber verilirken gerekli, yararlı ve ilgili olmayan içeriklerin kullanılmasının kişilik haklarına ölçüsüz müdahale anlamına gelebileceği, somut olayda –kullanılan fotoğrafların blurlanmış olması nedeniyle- ölçülü olduğunun ilk bakışta savunulabileceği, Ancak ilgili kişinin isim ve soy isim bilgisinin haber içeriğinde zikredilmesi ve bu isim-soy isim bilgileri kullanılarak fotoğrafların açık kaynaklardan teyit edilebilmesinin mümkün olması sebepleriyle, yapılan haberin biçimi ile özü arasında makul bir dengenin bulunmadığının, diğer bir ifadeyle haberin ölçüsüz olduğu değerlendirilmiştir.
• Yayınlanan haber kapsamında çatışan haklar; ifade özgürlüğü ile kişilik hakkı arasında yapılan denge testi neticesinde ifade özgürlüğüne öncelik tanınabilmesi için zikredilen kriterlerin aynı anda karşılanmasının gerektiği, şikâyetin dayandığı haber bakımından bahsi geçen kriterlerin tamamını karşılanmadığı belirtilmiştir.
• Bu yüzden, veri sorumlusu tarafından ilgili kişi ile çocuğuna ait bilgiler ve fotoğraf da kullanılarak yapılan haberin 6698 sayılı Kanun’un 28’inci maddesinin (1) numaralı fıkrasının (c) bendi uyarınca 6698 sayılı Kanun hükümlerinden istisna tutulamayacağından, işleme faaliyetleri için 6698 sayılı Kanun’da düzenlenen herhangi bir hukuki sebebe dayanılmadığından işleme faaliyetinin hukuka aykırı olduğuna karar verilmiştir.
• İlgili kişilerin yargı mercilerinin görev alanına giren veri sorumlusundan tazminat talepleri konusunda Kurul tarafından yapılabilecek herhangi bir işlemin bulunmadığı, habere ilişkin olarak, bir yargı kararına istinaden veri sorumlusu tarafından süresi içerisinde cevap ve düzeltme metninin yayınlanması suretiyle yayının ilk ulaştığı izleyicilere haberde yapılan hata hakkında bildirimde bulunulmuş olmasının veri sorumlusu tarafından yürütülen hukuka aykırı kişisel veri işleme faaliyetini ortadan kaldırmayacağı, şikâyetin, mahkeme kararına istinaden bir cevap ve düzeltme metninin yayınlanmasından sonra yapılmış olmasının konuya ilişkin olarak 6698 sayılı Kanun hükümleri uyarınca yapılacak müstakil değerlendirmeleri etkilemeyeceği de ayrıca belirtilmiştir.

Üniversitede gerçekleşen eğitim yoklama listesinin diğer katılımcılar tarafından görülebilecek şekilde düzenlenmesi hakkında Kişisel Verileri Koruma Kurulunun 02/12/2021 tarihli ve 2021/1214 sayılı Karar Özeti

• Veri sorumlusu Üniversite tarafından devam takibine yönelik hukuki yükümlülük yerine getirilirken kullanılan devam takip çizelgesinde kişilerin ad ve soyadı dışında kişiyi belirleyici başka bir veriye (T.C. kimlik numarası) yer verilmesinin gerekmesi halinde; ilgili verinin maskelenmesi bu kapsamda devam takip çizelgesinin tekrar gözden geçirilerek uygulamaya geçirilmesine,
• İlgili eğitimi veren başka kuruluşların bulunduğu ve benzer uygulamaların söz konusu olabileceği hususları dikkate alındığında, bu eğitimi veren diğer eğitim kuruluşlarına da konu hakkında bilgi verilmesine,
• Kanun’un 10’uncu maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ çerçevesinde; veri sorumlusu Üniversiteye eğitim verilirken kursiyerlere ait kişisel verilerin işlenmesi sürecinde aydınlatma yükümlülüğüne uygun olacak şekilde bir uygulama geliştirmesine karar verilmiştir.

İşveren tarafından eski çalışanın kurumsal e-posta hesabına aydınlatma yapılmadan erişilmesine ilişkin Kişisel Verileri Koruma Kurulunun 25/11/2021 tarihli ve 2021/1187 sayılı Karar Özeti

• İlgili AYM ve AİHM kararlarında yer verilen kriterler uyarınca, iş ilişkisi kapsamında ilgili kişiye veri sorumlusu tarafından kurumsal faaliyetlerde ve işin gerektirdiği ölçüde kullanılmak üzere bir kurumsal e-posta hesabının tahsis edildiği, ilgili kişiye söz konusu hesabın sadece işin ifası amacı ile kullanılacağına veya işveren tarafından çalışanların e-postalarının incelenebileceğine/denetlenebileceğine ilişkin olarak Kanun’un 10’uncu maddesi ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in (Tebliğ) 4’üncü maddesi kapsamında herhangi bir aydınlatma yapılmadığı,
• Bu nedenle veri sorumlusu tarafından ilgili kişinin e-postalarının incelenmesinin Kanun’un 5’inci maddesinde yer verilen herhangi bir işleme şartına dayanmadığı, Kanun’un 12’nci maddesi kapsamındaki yükümlülüklerin ihlal edildiği,
• Öte yandan, ilgili kişinin “müşterilerinin ve çalışanlarının bilgilerinin muhafaza edildiği hizmet sağlayıcı firma olan Microsoft serverlarının yurtdışında bulunuyor olmasından dolayı söz konusu kişisel veri işlemenin Kanun’un 9’uncu maddesine uygun olarak gerçekleştirmesi gerektiği” yönündeki iddiasına ilişkin olarak; Kanun’un 15’inci maddesinin (1) numaralı fıkrası kapsamında resen inceleme başlatılmasına karar verilmiştir.

Kişisel verilerin üniversite internet sitesinde yayımlanması hakkında Kişisel Verileri Koruma Kurulunun 04/11/2021 tarihli ve 2021/1127 sayılı Karar Özeti

• Akademik teşvik, atama ve yükseltmelere etki edecek nitelikteki belgede yer alan ilgili kişiye ait kişisel verilerin akademik çalışmalar için kullanılan Üniversiteye ait internet sayfasında yayımlanmak suretiyle Kanun’un 5’inci maddesinin ikinci fıkrasının (e) bendine uygun olarak kullanımı yasaklanan söz konusu dergilerin çalışmalarda esas alınmaması adına veri sorumlusu Üniversitenin yüksek lisans ve doktora öğrencileri ile akademik personele bilgi vermesi gerekliliğinin Kanun’a uygun olduğu,
• Bununla birlikte veri sorumlusu tarafından bilgilendirme amacını aşacak nitelikte söz konusu belgede yer alan kişisel verilerin tamamının (üçüncü kişilere ait kişisel veriler, ilgili kişinin adres bilgisi, soruşturma bilgileri, hakkındaki görüş yazıları ve komisyon görüşü) Üniversiteye ait internet sitesinde paylaşılmasının kişisel verilerin işlenmesinde işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkelerine aykırılık teşkil ettiği ve bu doğrultuda veri sorumlusu Üniversite tarafından kişisel verilerin güvenliğine yönelik gerekli yükümlülüklerin yerine getirilmediği kanaatine ulaşılmıştır.

Kurulun resen inceleme yetkisi ve kişisel verilerin herkesin erişimine açık bir internet sitesinde yayımlaması hakkında Kişisel Verileri Koruma Kurulunun 02/11/2021 tarih ve 2021/1110 sayılı Karar Özeti

• Kanun’un 15’inci maddesinin birinci fıkrası gereğince Kurulun şikâyet veya ihbar olmasa dahi görev alanına giren konularda resen inceleme başlatmasının mümkün olduğu, bir veri ihlali iddiasıyla ilgili olarak Kurulun harekete geçmesi için ihlalden etkilenen ilgili kişilerin Kurula şikâyet başvurusunda bulunmasının gerekmediği göz önünde bulundurulduğunda CİMER üzerinden iletilen dilekçenin ihbar niteliğinde kabul edileceği,
• Veri sorumlusu şirket tarafından icra takibi başlatılan müşterilerinin T.C. kimlik numarası, telefon numarası, araç plakası ve adres bilgisinin bir internet adresinde paylaşıldığı,
• İcra ve İflas Kanunu hükümleri çerçevesinde borçlu müşterilerden alacağını tahsil etmek için kişisel veri işlenmesi, kanunlarda açıkça öngörülme ve bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması hukuki sebeplerine dayanabilirse de bu verilerin herkesin erişimine açık internet ortamında veri sorumlusu tarafından yayımlanmasının herhangi bir veri işleme şartına dayanmadan yapılan hukuka aykırı bir veri işleme faaliyeti olduğu belirtilmiştir.

Ceza mahkûmiyeti bilgisinin veri sorumlusu avukat tarafından hukuka aykırı olarak elde edilmesi ve mahkeme dosyasına sunulması hakkında Kişisel Verileri Koruma Kurulunun 02/11/2021 tarihli ve 2021/1111 sayılı Karar Özeti

• İlgili kişinin adli sicil kaydı bilgilerinin veri sorumlusu tarafından otomatik, kısmen otomatik ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, depolanması, kullanılması, aktarılması vb. fiillere konu edilmesinin “özel nitelikli kişisel verilerin işlenmesi faaliyeti” olarak niteleneceği ve bu faaliyetlerin hem 6698 sayılı Kanun’un 6’ncı maddesindeki hukuki sebeplerden birine dayanılarak ve Kurul tarafından belirlenen yeterli önlemler alınarak hem de 6698 sayılı Kanun’un 4’üncü maddesindeki genel ilkelere uygun olarak yürütülmesi gerektiği,
• İlgili kişinin adli sicil verilerinin işlenebilmesi için veri sorumlusuna vermiş olduğu bir açık rızanın bulunmadığının görüldüğü, veri sorumlusunun “ilgili kişinin adli sicil kaydı bilgilerinin Avukatlık Kanunu’na uygun olarak adliyeden temin edildiği” yönündeki savunmasında zikrettiği Avukatlık Kanunu’nun 2’nci maddesi hükmünün 6698 sayılı Kanun’un 6’ncı maddesinin (3) numaralı fıkrasında geçen “kanunlarda öngörülen haller”in kapsamına girip girmediğinin açıklığa kavuşturulması gerektiği,
• Mevzuat hükümlerinin lafızlarına istinaden, Avukatlık Kanunu’nun 2’nci maddesinde yer alan düzenlemenin Adlî Sicil Kanunu’nun 7’nci maddesinde (Adlî sicil bilgileri, kullanılış amacı belirtilmek suretiyle; a) İlgili kişiye veya vekaletnamede açıkça belirtilmek koşuluyla vekiline … verilebilir.) mevcut olan “özel hüküm” karşısında “genel hüküm” niteliği taşıdığı ve avukatlara ilgili kişilerin adli sicil kaydı bilgilerine resen erişim yetkisi vermediği, dolayısıyla ilgili kişiye ait adli sicil bilgilerinin veri sorumlusu tarafından hukuka aykırı olarak elde edildiği, bu sebeple de veri sorumlusu tarafından ilgili kişi hakkında yürütülen kişisel veri işleme faaliyetinin hukuka aykırı olduğu sonucuna ulaşılmıştır.

Kişisel verilerin doğruluğu ve güncelliği ilkesine ilişkin Kişisel Verileri Koruma Kurulunun 02/11/2021 tarihli ve 2021/1107 sayılı Karar Özeti

• Kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması bakımından, veri sorumlusu Banka’nın aktif özen yükümlülüğü altında olduğu, zira, kredi verme, kredi kartı kullanımı, hesap özeti çıkarılması gibi işlemler bakımından banka hesap bilgilerinin güncelliğinin önem arz ettiği,
• Söz konusu verilerin yalnızca veri sorumlusu bünyesinde tutulmadığı ve pek çok kredi ve finans kuruluşunun erişebildiği Risk Merkezine de aktarıldığı,
• İlgili kişiye ait kişisel veri niteliğini haiz kredi notu bilgisinin veri sorumlusu tarafından yanlış işlenmesi ve Risk Merkezine aktarılmasının Kanun’un 4’üncü maddesinde yer alan genel ilkelerden; “doğru ve gerektiğinde güncel olma” ilkesine aykırılık teşkil ettiği,
• Veri sorumlusunun Kanun’un 12’nci maddesinin (1) numaralı fıkrasının (a) bendinde bulunan “…Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek…” yükümlülüğüne aykırı davrandığına karar verilmiştir.

Kişisel verilerinin silinmesi talebine rağmen Banka tarafından ilgili kişiye SMS ile ticari elektronik ileti gönderilmesine ilişkin Kişisel Verileri Koruma Kurulunun 02/11/2021 tarihli ve 2021/1104 sayılı Karar Özeti

• İlgili kişinin kişisel verilerinin silinmesi talebi ile ilgili olarak Bankanın kişisel verilerin saklama amacı dışında işlenmeyeceği yönünde ilgili kişiye verdiği cevaba rağmen Banka tarafından bilgilendirme amaçlı SMS göndermek suretiyle ilgili kişinin kişisel verilerini işlemesinin Kanun’un 5’inci maddesinde yer alan herhangi bir işleme şartına dayanmadığı dikkate alındığında, veri sorumlusunun Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerini yerine getirmediği,
• İlgili kişinin veri sorumlusu banka nezdindeki son işlemi olan aktif ürünlerinin kapatılması işlem tarihi üzerinden 10 yıllık sürenin geçmemiş olduğu dikkate alındığında; ilgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin henüz ortadan kalkmaması sebebiyle silme talebinin veri sorumlusu tarafından yerine getirilmemesinin hukuka aykırı olmadığı kanısına varılmıştır.

Sehven hatalı numaranın bildirilmesi sonucu ilgili kişiye SMS ile ticari elektronik ileti gönderilmesine ve “kara listeye alma”nın bir imha yöntemi olmadığına ilişkin Kişisel Verileri Koruma Kurulunun 11/11/2021 tarihli ve 2021/1153 sayılı Karar Özeti

• Söz konusu cep telefonu numarasının veri sorumlusu kayıtlarında ilgili kişi ile ilişkilendirmiş bir veri olarak işlenmediği, bir müşteri tarafından sehven hatalı numaranın bildirilmesi sonucu şikâyete konu olayın vuku bulduğu ve bu hususların veri sorumlusu tarafından belgeleri ile tevsik edilebildiği kanaatine varılmış olup veri sorumlusu hakkında Kanun kapsamında tesis edilecek herhangi bir işlem bulunmadığına,
• Veri sorumlusunun Kuruma verdiği yanıtta, ilgili kişinin başvurusu üzerine söz konusu numaranın “kara liste”ye alındığı belirtilerek ilgili listeye ilişkin ekran görüntüsüne yer verilmişse de herhangi bir veri işleme şartına dayanılmaksızın işlenmiş olan kişisel verilerin kara listeye alınmak suretiyle kişisel veri işleme faaliyetine devam edildiği ve bu anlamda ilgili kişinin şikâyetine konu kişisel verisinin Kanun’un 7’inci maddesine uygun olarak imha edilmediğine, Kanuna ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi Hakkında Yönetmeliğe uygun bir biçimde ilgili kişinin kişisel verilerinin imha edilmesine karar verilmiştir.

Veri sorumlusu sıfatına ve borçlu yakınlarına haciz ihbarnamesi gönderilmesine ilişkin Kişisel Verileri Koruma Kurulunun 21/10/2021 tarihli ve 2021/1069 sayılı Karar Özeti

• Kişisel verilerin hangi amaç ve vasıtayla işleneceğini belirleyip veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olduğu tanımından hareketle, somut olayda İcra İflas Kanunu’nun 89’uncu maddesinin (1) numaralı fıkrası kapsamında düzenlenen haciz ihbarnamesinde yer alan üçüncü kişilerin alacaklı vekili tarafından icra müdürlüğüne bildirilmesi nedeniyle veri sorumlusu sözleşmeli Banka Avukatıdır.
• Bu kapsamda, veri sorumlusunun vekili olduğu Banka adına borçlu tarafın yakınlarına 89/1 haciz ihbarnamesi göndermesinde, Bankanın haklarını ve menfaatlerini korumak amacıyla hareket ettiği, bu anlamda Avukatlık Kanunu’ndan kaynaklanan yükümlülükleri ve yürütmekte olduğu icra işlemleri bakımından İcra İflas Kanunu ve ikincil mevzuat düzenlemelerinden kaynaklanan yükümlülüklerini yerine getirmek amacıyla ilgili birim/mercilere bildirme yetkisi olduğu ve bu bağlamda işlediği kişisel verilerin Kanun’un 5’ inci maddesinin (2) numaralı fıkrası çerçevesinde ilgili kişinin açık rızası olmaksızın işlemesinin kanuna uygun olduğu belirtilmiştir.

İlgili kişinin bilgi/erişim talepleri/başvuruları süreçlerinin 6698 sayılı Kanun’un gerekleri doğrultusunda yönetildiğine ilişkin Kişisel Verileri Koruma Kurulunun 14/10/2021 tarihli ve 2021/1051 sayılı Karar Özeti

• Veri sorumlusuna ait iş arama ve iş alım süreçlerini yürüten istihdam platformunda üyeliği bulunan ilgili kişinin, iş verenlere sunulan başvuru bilgilerine yönelik bilgi/erişim talebine ilişkin cevabın e-posta ile kendisine iletilmiş olması,
• İlgili kişinin başvurusunda 6698 sayılı Kanun’un 11’inci maddesi kapsamındaki tüm haklarını kullanmak istediğini belirtmesi karşısında veri sorumlusunun ilgili kişinin verilerini silme ve imha işlemlerine başlaması,
• İlgili kişinin verilerinin silinmesini ve imha edilmesini talep etmediğinin veri sorumlusu tarafından anlaşılması üzerine buna yönelik işlemlerin derhal durdurulması ve ilgili kişiye herhangi bir kişisel veri kaybının olmadığının bildirilmesi üzerine veri sorumlusuna bu konuda herhangi bir kusur yüklenemeyeceği değerlendirilmiştir.