Kişisel Verileri Koruma Kurulu (“Kurul”), 23 Mayıs 2022 tarihinde çoğunlukla veri sorumlusunun e-ticaret platformu olduğu koşullarda yapılan işlemelere ilişkin 15 yeni karar yayımladı.
Bu kararlar arasında öne çıkanlar şöyledir:
- 2022/229 sayılı Karar Özeti: Kurul, veri sorumlusu tarafından uygulanmakta olan çerez politikasının kişilerin temel hak ve özgürlükleri ile özel hayatın gizliliğine müdahaleci nitelikte olduğuna ilişkin şikayet üzerine e-ticaret şirketi veri sorumlusu tarafından gerçekleştirilen veri ihlalini değerlendirdi. Kurul, veri sorumlusunun kişisel veri niteliğinde “kesinlikle gerekli olmayan çerezler” kullanmak suretiyle 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 5. ve 6. maddesinde yer alan hiçbir kişisel veri işleme şartına uygun olmaksızın verileri işlediğine karar verdi. Veri sorumlusunun çerezler vasıtasıyla yurt dışına kişisel verileri aktarmak suretiyle gerçekleştirdiği faaliyetlerin, Kanun’un 9. maddesine uyumlu hâle getirilmesine ve Gizlilik ve Kişisel Verilerin Korunması Politikası içerisinde ilgili kişileri doğrudan Çerez Politikası’na yönlendirebilecek bir bağlantı eklenmesi yönünde güncelleme yapılmasına hükmedildi.
- 2021/1218 sayılı Karar Özeti: Kurul, ilgili kişi işçinin hakkında yürütülen kişisel verilerin işlenmesi faaliyetleri kapsamında yurt dışında mukim olan veri sorumlusu işverence aydınlatılmaması ve ilgili kişiye ait kişisel verilerin, işveren tarafından hukuka aykırı olarak işlenmesine yönelik şikayeti değerlendirdi. Kurul, (i) ilgili kişiye Avrupa Genel Veri Koruma Tüzüğü (GDPR) yükümlülükleri kapsamında bir bilgilendirme yapılmış olmakla birlikte, Türkiye’de işlenen kişisel veriler bakımından Kanun’un 10. maddesine uygun olarak aydınlatma yükümlülüğünü yerine getirmesine özen gösterilmesi hususunda veri sorumlusuna hatırlatmada bulunulmasına, (ii) Veri sorumlusu ile arasındaki iş ilişkisinden kaynaklanan uyuşmazlıkların çözümü için adli makamlar nezdinde girişimde bulunması gerektiği hususunda ilgili kişinin bilgilendirilmesine, (iii) İlgili kişiler tarafından kendisine Kanun’un 11. ve 13. maddeleri ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in (“Tebliğ”) 5. maddesine istinaden yapılacak başvuruları Kanun’un 13. maddesi ile Tebliğ’in 6. maddesi çerçevesinde etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırması hususunda veri sorumlusunun talimatlandırılmasına hükmetti.
- 2021/1217 sayılı Karar Özeti: Kurul, ilgili anne ve çocuğunun fotoğrafları kullanılmak suretiyle, ilgili kişi hakkında gerçek dışı, şeref ve haysiyet kırıcı bir televizyon haberi yapılmasına yönelik şikayeti değerlendirdi. Kurul, mevcut tüm bilgi ve belgeler itibarıyla, ilgili kişilere ait kişisel verilerin veri sorumlusunca herhangi bir işleme şartına dayanmadan işlendiği gerekçesi ile idari para cezası uygulanmasına hükmetti.
- 2021/1187 sayılı Karar Özeti: Kurul, veri sorumlusu işveren tarafından eski çalışanı olan ilgili kişinin kurumsal e-posta hesabına aydınlatma yapılmaksızın erişilmesine yönelik veri sorumlusu tarafından gerçekleştirilen veri ihlalini değerlendirdi. Kurul, ilgili kişiye Kanun ve Aydınlatma Tebliği hükümleri kapsamında herhangi bir aydınlatma yapılmaması dolayısıyla veri sorumlusu tarafından ilgili kişinin e-postalarının incelenmesinin, Kanun’un 5’inci maddesinde yer verilen herhangi bir işleme şartına dayanmadığı dikkate alındığında idari para cezası uygulanmasına karar verdi.
İlgili kişinin “müşterilerinin ve çalışanlarının bilgilerinin muhafaza edildiği hizmet sağlayıcı firma olan Microsoft serverlarının yurt dışında bulunuyor olmasından dolayı söz konusu kişisel veri işlemenin Kanun’un 9. maddesine uygun olarak gerçekleştirmesi gerektiği” yönündeki iddiasına ilişkin olarak ise; Kanun’un 15. maddesinin (1) numaralı fıkrası kapsamında resen inceleme başlatılmasına hükmetti.
