KVKK

KİŞİSEL VERİLERİN KORUNMASI KURUL KARAR ÖZETLERİ

KİŞİSEL VERİLERİN KORUNMASI KURUL KARAR ÖZETLERİ 

A. KİŞİSEL VERİLERİN KORUNMASI KURULU TARİHLİ KARAR ÖZETLERİ  

1. Bir e-ticaret sitesinden alışveriş yapılabilmesi için kredi/banka kartı bilgilerinin kaydedilmesinin zorunlu tutulması hakkında” Kişisel Verileri Koruma Kurulunun 11/04/2023 Tarihli ve 2023/567 Sayılı Karar Özeti 

Kuruma intikal eden şikâyette; 

  • İlgili kişinin e-ticaret sitesi üzerinden alışveriş yapacağı sırada ödeme ekranında açılan “kredi/banka kartı ekle” butonu ile kredi/banka kartı bilgilerini kaydetmesinin talep edildiği, ilgili kişinin siteden alışveriş yapabilmesi için kredi/banka kartı bilgilerini kaydetmesinin zorunlu tutulduğu ve ilgili bilgiler girilmeksizin “devam et” butonlarının işlemediği ve alışveriş yapılmasının mümkün olmadığı,
  • Veri sorumlusu tarafından kredi/banka kartı bilgilerinin kaydedilmesi için 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında geçerli bir veri işleme şartı bulunmadığı, ilgili kişinin veri sorumlusuna verilmiş bir açık rızası da olmadığı,
  • Öte yandan ilgili kişiye bu işlemeye ilişkin bir aydınlatma da yapılmadığı

belirtilerek aracı hizmet sağlayıcı hakkında Kanun kapsamında gereğinin yapılması talep edilmiştir.  

Kurulun konu hakkında başlatmış olduğu inceleme neticesinde

Veri sorumlusunun internet sayfasındaki üyelik hesabı kapsamında alışverişin tamamlanması için girilmesi gerekli olan kart bilgilerinin alışverişin tamamlanmasının ardından sonraki alışverişlerin kolaylaştırılması amacıyla ilgili kişinin cüzdan hesabında işlenmeye devam edildiği, veri sorumlusunun kusuru ve ekonomik durumu dikkate alınarak 500.000 TL idari para cezası uygulanmasına, kredi kartı bilgilerinin üyelik hesabına kaydedilebilmesi için ilgili kişilerin aktif olarak buna rıza göstermelerini sağlayacak bir sistem geliştirilerek sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına ve uygun aydınlatma metinlerinin sisteme eklenmesine karar verilmiştir.  

2. “Bir kargo şirketi çalışanı tarafından kargo teslimi akabinde ilgili kişinin telefonuna kısa mesaj gönderilmesi suretiyle kişisel verilerin hukuka aykırı işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 18/05/2023 Tarihli ve 2023/845 Sayılı Karar Özeti 

Kuruma intikal eden şikayette özetle; bir online alışveriş sitesi üzerinden alışveriş gerçekleştirdiği, sipariş tarihinden bir gün sonra satın aldığı ürünün veri sorumlusu bünyesinde çalışan kurye tarafından teslim edildiği, sonrasında ise kurye tarafından cep telefonu numarasına taciz içerikli mesaj gönderildiği ve mesajı gönderenin kurye olduğu hususunun kargo şirketi (veri sorumlusu) tarafından teyit edildiği, veri sorumlusunun kişisel veri güvenliğini sağlayamadığı ve çalışanının kendisini rahatsız ettiği belirtilerek gereğinin yapılması talep edilmiştir.  

Kurulun konu hakkında gerçekleştirmiş olduğu incelemeler neticesinde;  

Veri sorumlusu tarafından ilgili kişinin kişisel verisi niteliğinde olan cep telefonu numarasının, Kanun’un 5’inci maddesinde öngörülen kişisel veri işleme şartlarına dayanılmaksızın hukuka aykırı olarak paylaşıldığı, bu kapsamda veri sorumlusunun Kanun’un 12’nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılması nedeniyle Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında veri sorumlusu hakkında 250.000 TL idari para cezası uygulanmasına karar verilmiştir. 

3. “Otopark işletmecisi veri sorumlusu tarafından ilgili kişinin kişisel verilerinin hukuka aykırı işlenmesi ve aydınlatma yükümlülüğünün yerine getirilmemesi” Hakkında Kişisel Verileri Koruma Kurulunun 01/06/2023 Tarihli ve 2023/924 Sayılı Karar Özeti 

Otopark işletmecisi veri sorumlusu tarafından, ilgili kişinin aracının park borcu olduğu iddiasıyla icra takibi başlatıldığı ve söz konusu icra takibine itiraz etmesi neticesinde tüketici mahkemesinde kendisi aleyhine itirazın iptali davası açıldığı, söz konusu dava kapsamında veri sorumlusu tarafından kişisel verilerinin Kanun’a aykırı olarak işlendiği, aracının ruhsat bilgilerinin hangi yolla temin edildiğinin belirsiz olduğu, dava dosyasına aracına ait fotoğraflar sunulduğu, bu fotoğrafların kim tarafından ve hangi gerekçe ile çekildiğinin belli olmadığı, borç bilgisine bir internet sitesinde aracın plakası ile yapılan sorgulama neticesinde alenen ulaşılabildiği ve kişisel verilerinin işlenmesi konusunda kendisine aydınlatma yapılmadığı hususları ifade edilerek 6698 sayısı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.  

Kurulun konu hakkında gerçekleştirmiş olduğu incelemeler neticesinde;  

İşlediği kişisel veriler bakımından Kanunun 10’uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kanunun 18’inci maddesinin birinci fıkrasının (a) bendi uyarınca 75.000 TL idari para cezası uygulanmasına, 

Otopark kullanıcılarına ilişkin olarak Aydınlatma Yükümlülüğünün yerine getirilmesine yönelik Kanun ve Tebliğ’e uygun olarak ve kişisel verilerin hangi durumlarda işleneceği bilgisine yer verilmek suretiyle Aydınlatma Metni hazırlanması ve sonucundan Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına, 

İlgili kişi de dahil olmak üzere veri sorumlusunun işlettiği otopark alanlarından yararlanan kişilerin kullanımına sunulmuş internet adresinde yer alan plaka sorgulanması suretiyle ödeme yapılmasına imkan sağlayan sistemin çift faktörlü doğrulama yapılarak gerçekleştirilmesi mümkün ise bu şekilde kullanıcılara sunulması veya bu şekilde sunulması mümkün değil ise Kanun’un 15’nci maddesinin 7’inci fıkrası uyarınca kişisel verilerin işlenmesine son verilmesi ve her iki durum bakımından da yapılacak işlemlerin sonucundan Kurula bilgi verilmesine karar verilmiştir.  

4. “Bir Araç kiralama şirketi tarafından ilgili kişiden Findeks raporu talep edilmesi suretiyle kişisel verilerinin işlenmesi” Hakkında Kişisel Verileri Koruma Kurulunun 20/07/2023 tarihli ve 2023/1234 sayılı Karar Özeti 

Kullanıcılara çevrimiçi otobüs, uçak, kiralık araç ve konaklayacak yer arama hizmetleri sunan; otobüs, feribot ve uçak firmalarının seyahat biletlerini kullanıcılara yönelik satışa açan Platform’un (Platform) resmi internet sitesi üzerinden bir araç kiralama şirketinden 7 günlük bir süre için araç kiralandığı, kiralama hizmetini almak için aynı gün ilgili kişinin adına kayıtlı kredi kartından ödeme yapıldığı, İlgili kişi aracı teslim almak üzere araç kiralama şirketinin yetkili acentesine gittiğinde rezervasyonunu yaptığı ve bedelini ödediği aracın teslim edilmesi için depozito ödemek üzere yetkililere kredi kartını tekrar verdiği, depozito bedelinin ödenmesi amacıyla kredi kartının ibraz edilmesine karşın acente çalışanları tarafından ilgili kişinin ayrıca Findeks raporuna erişilmek istendiğine ilişkin SMS’in kendisinin cep telefonuna iletildiği, İlgili kişiye Findeks raporunun iletilmesi gerektiği, rapordaki verilerin işlenmesi konusunda açık rıza vermesi gerektiği, aksi halde araç kiralama hizmetinden faydalanamayacağının belirtildiği, aracın bu sebeple ilgili kişiye tesliminin yapılmadığı, Findeks raporunun ve açık rıza beyanının verilmemiş olması sebebi ile hizmetin ifasının araç kiralama şirketi tarafından gerçekleştirilmediği, aynı gün ilgili kişiye “firmamızın prosedürlerini kabul etmediğinizden rezervasyonunuz iptal edilmiştir.” şeklinde bildirim yapıldığı  bildirilerek, araç kiralama şirketi bünyesinde tutulan ve işlenen tüm kişisel verilerin imha edilmesi ve imha işlemine dair kaydın verilmesi, kişisel verilerin aktarıldığı 3. kişiler var ise imha işleminin bu 3. kişiler nezdinde de yerine getirilmesi, hukuka aykırı uygulamaya son verilmesi, araç kiralama şirketi sistemlerinde ve/veya kayıtlarda ilgili kişiye ait herhangi bir kişisel veri bulunuyorsa derhal imha edilmesi talep edilmiştir.  

Kurulun konu hakkında gerçekleştirmiş olduğu incelemeler neticesinde;  

Findeks raporu bilgileri sorgulanması suretiyle kişisel verilerin işlenmesinin ancak Kanun’un 5’inci maddesinin (1) numaralı fıkrası kapsamında açık rıza ile gerçekleştirebileceği, bu kapsamda veri sorumlusu tarafından Findeks raporu temin edilmeksizin kiralama işlemi yapılmaması suretiyle açık rızanın hizmet şartına bağlandığı dikkate alındığında Kanunun 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında Kanunun 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına, karar verilmiştir.  

5. Bir eğitim kurumu tarafından kamera vasıtasıyla görüntü ve ses kaydı alınması” hakkında Kişisel Verileri Koruma Kurulunun 24/08/2023 Tarihli ve 2023/1461 Sayılı Karar Özeti 

Kuruma intikal ettirilen şikâyet dilekçelerinde özetle; veri sorumlusunun ilgili kişilerden birinin kiracısı olduğu, kira uyuşmazlığı nedeniyle aralarında bir görüşme gerçekleştiği, daha sonra veri sorumlusu tarafından gönderilen ihtarnamede, yapılan görüşme esnasında ilgili kişilere ait ses ve görüntü kayıtlarının alındığının beyan edildiği, bu doğrultuda ilgili kişiler tarafından veri sorumlusuna gönderilen cevap ihtarnamesinde ilgili kişilerin açık rızası dışında ses ve görüntü kaydının alınmasının Türk Ceza Kanunu’nun (TCK) 133’üncü maddesi vd. hükümleri gereği suç teşkil eden bir fiil olduğunun hatırlatıldığı, veri sorumlusu tarafından gönderilen ihtarnamede ise ilgili kişilerin ses ve görüntü kaydının açık rızası ve muvafakati olmadığı halde alınmasının veri sorumlusuna tanınmış yasal bir hak olduğunun belirtildiği, bununla birlikte veri sorumlusu tarafından ilgili kişilerden yalnızca birine cevap verildiği diğer ilgili kişiye ise cevap verilmediği belirtilerek gereğinin yapılması talep edilmiştir. 

 Kurulun konu hakkında gerçekleştirmiş olduğu incelemeler neticesinde;  

Ses kaydı alınması suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinde yer alan veri işleme şartlarından herhangi birine dayanılmaksızın gerçekleştirildiği, bu bakımdan veri sorumlusu tarafından, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alması zorunluluğunu getiren, Kanun’un 12’nci maddesinin birinci fıkrasına aykırı hareket edildiği değerlendirilmiş olup bu doğrultuda veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 200.000 TL,  

Kamera vasıtasıyla görüntü kaydı alınmasının Kanun’un 5’inci maddesinin ikinci fıkrasının (ç) bendinde yer alan“ veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması” ve (f) bendinde yer alan “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” kapsamında hukuka uygun olduğu değerlendirilse de veri sorumlusunun aydınlatma yükümlülüğünün devam ettiği; buna karşılık aydınlatma yükümlülüğünün yerine getirildiğini ispat edemediği, bu bakımdan Kanun’un 10’uncu maddesinde düzenlenen hükme aykırı davranması nedeniyle veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (a) bendi uyarınca 30.000 TL olmak üzere toplam 230.000 TL idari para cezası uygulanmasına, karar verilmiştir. 

  Saygılarımızla,  

Rasyotek İnsan Kaynakları Bilişim A.Ş.  

Bilişim Hukuku Departmanı 

admin

Geçerli Gönderi

384 Bin Web Sitesini Etkileyen Tedarik Zinciri Saldırısı: Polyfill Vakası

Siber güvenlik dünyasında son dönemin en dikkat çekici olaylarından biri, yüz binlerce web sitesini etkileyen…

6 gün -

Özlük Dosyasında Bulunması Gereken Bilgi ve Belgeler

İşe girişte her çalışandan istenilen bazı belgeler söz konusudur. Bu belgeler firmalara, işçinin özelliğine ve…

1 hafta -

Whatsapp Yazışmaları ve E- postaların Takibi

İş hayatında iletişimin önemli bir bölümü e-posta, anlık mesajlaşma uygulamaları ve sosyal medya üzerinden yapılıyor.…

2 ay -

Kısa Çalışma Uygulamasına İlişkin İŞKUR Genelgesi

16.07.2024 tarihli ve 2024/04 sayılı İŞKUR Genelgesi ile 4447 sayılı İşsizlik Sigortası Kanunu’nun ek 2.…

2 ay -

Dikkat: Kişisel Verilerinizin de Bir Son Kullanma Tarihi Var!

Kişisel Verileri Koruma Kanunu (KVKK) kapsamında, her belgenin bir son kullanma tarihi olduğunu biliyor muydunuz?…

3 ay -

İSG-KATİP Uygulamasında Yapılan Yeni Güncellemeler

OSGB’ler ile işyerleri arasında veya bireysel olarak yapılan iş sağlığı ve güvenliği (İSG) profesyoneli sözleşmelerinin…

3 ay -