Kişisel Verileri Koruma Kurulu (“Kurul”), 24 Nisan 2023 tarihinde resmi internet sitesinde 40 adet yeni karar paylaştı.
Paylaşılan kararların genel olarak aşağıdaki konularda gruplandığı gözlemlenmekte olup; bu kapsamda önemli olduğunu düşündüğümüz karar incelemelerini yazımızın devamında bulabilirsiniz.
- Aydınlatma yükümlülüğünün yerine getirilmemesi,
- Genel veri işleme ilkelere aykırılık
- Kişisel veri işleme şartlarına aykırılık
- Kişisel verilerin imhası ve
- Çerezler aracılığıyla kişisel verilerin hukuka aykırı bir şekilde işlenmesidir.
2022/107 sayılı Karar Özeti: İlgili Karar’da, veri sorumlusu tarafından, ilgili kişiye ait cep telefon numarasına ticari amaçlı iletiler gönderilmiştir. Kurul tarafından yapılan inceleme neticesinde, ticari nitelikli bir elektronik iletinin, ticari elektronik ileti gönderilmesine ilişkin mevzuata uygun olarak gönderilmesinin yanı sıra, 6698 sayılı Kişisel Verilerin Korunması Kanunu ‘nda (“KVKK“) madde 5 uyarınca bir veri işleme şartı kapsamında gerçekleşmesi gerektiği belirtilmiştir. Her ne kadar somut olayda, veri sorumlusu tarafından ilgili kişinin İleti Yönetim Sistemi’ne (“İYS”) kaydının yapıldığı belirtilse dahi İYS sistemine kaydının yapılmasına temel teşkil edecek nitelikte ilgili kişinin veri sorumlusu ile bir ilişkisinin olduğu veya ilgili kişinin kişisel verisinin işlenmesi hususunda açık rızasının alındığı tespit edilememiş olup; Kurul, veri sorumlusu hakkında 75.000 TL idari para cezası uygulanmasına karar vermiştir.
2022/386 sayılı Karar Özeti: İlgili kişi, veri sorumlusu eski işvereni tarafından veri sorumlusuna ait sosyal medya hesabında “… Yaptığı usulsüzlükler nedeni ile işten ATILAN …..’ın sizlere vermiş olduğu rahatsızlıktan dolayı özür dileriz…” içerikli paylaşımın silinmesi talebi ile veri sorumlusuna başvurmuştur. Veri sorumlusu ise, ilgili kişinin şirketlerinin ticari itibarlarını zedelemeye yönelik faaliyetlerinin olduğunu ve söz konusu sosyal medya paylaşımının müşterilerinin mağdur olmasını engellemeye yönelik bilgilendirme maksadı ile yapıldığını belirtmiştir. Kurul, ilgili kişinin ad ve soyadı ile ilgili kişi hakkındaki ithamları da içeren duyurunun sadece şirket müşterilerinin değil herkesin erişimine açık şekilde şirketin sosyal medya kurumsal hesabında yayınlanması sebebi ile söz konusu eylemin KVKK madde 4 uyarınca veri işleme ile gerçekleştirilmesi istenen amaç arasında makul bir denge bulunmaması dolayısıyla ölçülülük ilkesine aykırılık teşkil ettiğine kanaat getirmiş ve hukuka aykırı veri işleme faaliyetinin de gerçekleşmesi sebebi ile 30.000 TL idari para cezası uygulamıştır.
2022/630 sayılı Karar Özeti: İlgili kişi, veri sorumlusu bünyesinde çalışan doktor tarafından burun estetiği ameliyatında çekilen fotoğraflarının açık rızası alınmaksızın doktora ait sosyal medya hesabında paylaşılması sebebiyle şikâyette bulunmuştur. Kurul, ilgili kişinin, söz konusu veri işleme faaliyeti kapsamında açık rıza gösterdiği tarafın veri sorumlusu hastane olduğu, fotoğrafların doktor tarafından paylaşılması konusunda açık rızasının bulunmadığını tespit etmiştir. Ancak, Kurul, ilgili kişinin fotoğraflarının, veri sorumlusu hastanenin doktor tarafından sosyal medya hesabında paylaşıldığı hususunda bilgisinin bulunduğunu, bu doğrultuda veri sorumlusunun doktor tarafından sosyal medya hesabında paylaşılmasını önleyici gerekli idari ve teknik tedbirleri almaması sebebi ile veri sorumlusu hastaneye 100.000 TL idari para cezası uygulamıştır. Kurul, doktor hakkında ise Türk Ceza Kanunu’nu kapsamında yargı yoluna başvurabileceği hususunda ilgili kişinin bilgilendirilmesine karar vermiştir.
2022/653 sayılı Karar Özeti: İlgili kişi, veri sorumlusu şirketin sunduğu çevrimiçi alışveriş platformu üzerinden gerçekleştirdiği alışveriş ile ilgili olarak, uygulamaya girdiği kredi kartı bilgilerini ve sipariş teslimatı için verilen iletişim bilgisini talep etmiştir. Ancak veri sorumlusu, ilgili kişinin sipariş bilgisi talep ettiği bazı siparişlerin ilgili kişinin üyelik hesabından yapılmasına rağmen üçüncü bir kişiye ait bilgilerinin verildiğini ve bu sebeple talep konusu siparişlerin üçüncü kişilere ait olması ve veri sorumlusu bünyesinde kredi kartı bilgilerinin bulunmaması nedeniyle başvuruyu reddettiğini belirtmiştir. Kurul, kart hamili verisinin mobil ödeme teknolojisi sağlayıcısı aracı şirkete ait sistemlerde saklanması dolayısıyla veri sorumlusu bünyesinde kart bilgisinin tutulmadığını tespit etmiştir. Öte yandan Kurul, ilgili kararda, Avrupa Veri Koruma Kurulu’nun “İlgili Kişi Hakları- Erişim Hakkı Üzerine 01/2022 sayılı Rehber” ilkelerine atıf yapmış; diğer kişinin hak ve özgürlüklerinin olumsuz etkilendiği ve kişisel verilere erişim hakkına üstün geldiği sürece ilgili kişiye erişim hakkının sağlanmamasının tavsiye edildiğini belirtmiştir. Sonuç olarak Kurul, ilgili kişinin kişisel verisi olmaması nedeniyle kişisel verilere erişim hakkı kapsamında veri sorumlusu tarafından telefon numarasının ilgili kişiye sağlanamayacağına kanaat getirmiştir. Ancak Kurul, ilgili kişinin üyelik hesabından verilen siparişlerin teslimatı için bildirilen telefon numarasının kimlik doğrulama mekanizmaları aracılığıyla ilgili kişiye sağlanması yönünde veri sorumlusunu talimatlandırmıştır.
2022/776 sayılı Karar Özeti: Somut olayda, pazarlama şirketine ait bir ürün için serbest girişimci olan gerçek kişi tarafından 8 yaşındaki çocuğa (ilgili kişi) mektup yoluyla tanıtım amaçlı broşür gönderilmiştir. Pazarlama şirketi ise; satış yapan gerçek kişi ile şirket arasında şirket ürünlerini satın alma ve satma opsiyonu veren bir sözleşme ilişkisinin olduğunu, bu sözleşme kapsamında satış yapan kişinin bağımsız bir iş sahibi/serbest girişimci olarak hareket ettiğini ve broşür göndermesi için serbest girişimciye şirket tarafından bir talimat verilmediğini belirtmiştir. Serbest girişimci ise, e-ticaret sitesi üzerinden kendi adres ve iletişim bilgilerini kendisiyle paylaşan ilgili kişinin velisinin her ne kadar adres ve telefon bilgileri olarak kendi bilgilerini vermiş olsa da velisi olduğu çocuğunun ismini kullanarak sipariş verdiğini ve bu sipariş dahilinde kendisine bu broşürün gönderildiğini ifade etmiştir. Kurul yaptığı değerlendirme neticesinde, söz konusu olayda pazarlama şirketinin incelemeye konu kişisel veri işleme faaliyetine dair bir ilgisinin bulunmaması sebebiyle herhangi bir işlem bulunmadığına; ancak ilgili kişiye tanıtım amaçlı gönderilen broşürün faturada belirtilen sipariş ile birlikte gönderilmediği, incelemeye konu salt broşür gönderiminin KVKK kapsamında veri işleme şartlarından herhangi birine dayanılmaksızın gerçekleştirildiğinden bahisle veri sorumlusu serbest girişimci hakkında 30.000 TL idari para cezası uygulanmasına karar vermiştir.
2022/1358 sayılı Karar Özeti: İlgili kişi, bir oyun platformunun çerez işleme süreçleriyle ilişkin olarak aydınlatma yapmaması ve zorunlu olmayan çerezler için açık rıza almaması sebebi ile şikâyette bulunmuştur. Kurul tarafından yapılan inceleme neticesinde, sitede çok sayıda çerezin kullanıldığı ve bu çerçevede herhangi bir aydınlatma yapılmadığı, zorunlu olmayan ve kullanıcı hareketlerini reklam veya istatistik gibi amaçlar için takip eden çerezler için veri sorumlusu tarafından açık rıza alınmadığı tespit edilmiş olup; 300.000 TL idari para cezası uygulanmasına karar vermiştir.
24 Nisan 2023 tarihinde yayımlanan tüm kararlara bu linkten ulaşabilirsiniz.