Türk Veri Koruma Hukuku 2023 | Sekizinci Yılında Uygulamadaki Gelişmeler

Önsöz

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun beşinci yılından itibaren Moroğlu Arseven olarak kaleme aldığımız ve bu yıl dördüncü sayısını sizlerle paylaştığımız çalışmamız, uygulamadaki sekizinci yıl olan 1 Ocak 2023 – 31 Aralık 2023 tarihleri arasındaki dönemde Kişisel Verilerin Korunması Kanunu’na uyum konusunda dikkat edilmesi gereken hususları, değişen uygulamaları ve Kişisel Verileri Koruma Kurulu’nun yaklaşımını içermektedir.

Bu çalışma, 12 Nisan 2023 tarihinde yayımlanan Kişisel Verileri Koruma Kurulu’nun 2022 yılı faaliyet raporunda yer alan veriler ve yayın tarihi itibarıyla Kişisel Verileri Koruma Kurulu’nun resmi internet sitesinde yayınlanan kamuoyu duyuruları, çalışmalar ve kararlara dayanılarak hazırlanmıştır.

A. MEVZUAT VE UYGULAMADAKİ ESASLI GELİŞMELER

I. Kişisel Verilerin Korunmasına İlişkin Mevzuata Genel Bakış

Kişisel veriler, Türk hukukunda başta T.C. Anayasası olmak üzere farklı hukuki kaynaklar altında koruma alanı bulmakla beraber, kişisel verilerin korunmasında uluslararası modern düzenleme yaklaşımına uygun temel ve kapsayıcı düzenleme 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ile getirilmiştir. KVKK’nin yürürlüğe girmesi ile beraber, kişisel verilerin hukuka uygun işlenmesine ilişkin kurallar düzenlenerek başta 5237 sayılı Türk Ceza Kanunu’nda yer alan kişisel verilerin korunmasına ilişkin hükümler olmak üzere pek çok hukuki düzenleme hem yorum hem de uygulama açısından açıklığa kavuşmuştur.

KVKK ile idari ve mali özerkliğe sahip ve kamu tüzel kişiliğini haiz Kişisel Verileri Koruma Kurumu (“Kurum”) düzenleyici ve denetleyici idari yetkileri de haiz surette kurulmuştur. Kurum, karar organı olan Kişisel Verileri Koruma Kurulu (“Kurul”) ve Başkanlık’tan oluşan bir yapı ile çalışmalarını yürütmektedir.

KVKK’nin yürürlüğe girmesinden sonra başta Veri Sorumluları Sicili Hakkında Yönetmelik, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ ve Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ olmak üzere ikincil mevzuat düzenleme çalışmaları yürütülmüştür. Kurum ayrıca o tarihten bu yana gerçekleştirdiği rehber çalışmalarıyla, kamuoyu duyurularıyla ve denetleyici faaliyetleri çerçevesinde verdiği kararlarla veri korumu hukuku alanında uygulamaya yön vermektedir.

II. Veri Koruma ve Gizliliğe İlişkin Mevzuat Düzenlemeleri

2023 yılı içerisinde doğrudan KVKK mevzuatı kapsamında bir gelişme yaşanmamakla birlikte; başka kanunlarda ve ikincil mevzuatta birtakım düzenlemeler meydana gelmiştir. İlgili değişiklikler aşağıda yer almaktadır.

1. Engelli Bireylere Kimlik Kartı Verilmesine ve Ulusal Engelli Veri Sistemi Oluşturulmasına Dair Yönetmelik

12 Mayıs 2023 tarihli ve 32188 sayılı Resmî Resmî Gazete’de yayımlanan, Engelli Bireylere Kimlik Kartı Verilmesine ve Ulusal Engelli Veri Sistemi Oluşturulmasına Dair Yönetmelik ile engelli bireylere hak ve hizmetlerden yararlanabilmeleri için kimlik kartı verilmesi ve Ulusal Engelli Veri Sistemi’nin oluşturulması amaçlanmıştır.  Bu doğrultuda, en az %40 engel oranına sahip erişkinlere veya özel gereksinim düzeyine sahip çocuklara engelli kimlik kartı (“Kimlik Kartı”) verilmesi ve Ulusal Engelli Veri Sistemi’ne ilişkin usul ve esaslar düzenlenmiştir.

Engelli Bireylere Kimlik Kartı Verilmesine ve Ulusal Engelli Veri Sistemi Oluşturulmasına Dair Yönetmelik ile Kimlik Kartı’nın hangi durumlarda imha edileceği ve imha sürecinin en geç bir ay içerisinde gerçekleşmesi gerektiği düzenlenmiştir.  Tahrifat, silinti veya kazıntı içeren kartların kullanılamamasının yanı sıra başkasının kimlik kartını kullananlar, yanlış bilgilerle kart düzenleyenler, kartını iade etmesi gerektiği halde kullanmaya devam edenler veya kartı kasıtlı olarak değiştirenler hakkında cezai soruşturma yapılacağı da getirilen düzenlemeler arasındadır.

Engelli Bireylere Kimlik Kartı Verilmesine ve Ulusal Engelli Veri Sistemi Oluşturulmasına Dair Yönetmelik kapsamında, Ulusal Engelli Veri Sistemi, engelli bireylere ilişkin diğer kurum ve kuruluşlardan aktarılan kişisel veriler ile Kimlik Kartı işlemleri sırasında elde edilen kişisel verilerin işlendiği veri tabanı olarak tanımlanmıştır. Ayrıca, Aile ve Sosyal Hizmetler Bakanlığı tarafından Ulusal Engelli Veri Sistemi için gerekli servisler sağlanacak ve Veri Sistemi’nin oluşturulmasına yönelik teknik çalışmalar Bakanlık Bilgi Teknolojileri Genel Müdürlüğü tarafından yürütülecektir.

Tüm bunlara ek olarak, Ulusal Engelli Veri Sistemi kapsamında işlenen kişisel veriler açısından veri güvenliği, veri işleme ve aktarılmasına ilişkin usul ve esaslar Engelli Bireylere Kimlik Kartı Verilmesine ve Ulusal Engelli Veri Sistemi Oluşturulmasına Dair Yönetmelik içerisinde ele alınmıştır. Bu doğrultuda;

• Veri Sistemi’ne aktarılan bilgilerin doğruluğundan ve güncelliğinden, veriyi aktaran tarafın sorumlu olacağı,
• Veri sorumlusu olarak Aile ve Sosyal Hizmetler Bakanlığı’nın engellilere yönelik hizmet sunan diğer kişi, kurum ya da kuruluşlar tarafından kendisine aktarılan kişisel verilerin doğru ve güncel olması amacıyla gerekli tedbirleri alacağı,
• Ulusal Engelli Veri Sistemi’nde yer alan kişisel verilerin gizliliğinin esas olduğu ve kişisel verilerin hukuka aykırı olarak işlenmesinin ve verilere erişilmesinin önlenilmesi ile kişisel verilerin muhafazasının sağlanması amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerin Aile ve Sosyal Hizmetler Bakanlığı tarafından alınacağı ve tedbirlerin alınması hususunda Bilgi Teknolojileri Genel Müdürlüğü’nün yetkili olacağı,
• Kişisel veriler üzerinde gerçekleştirilecek işleme, aktarma, yok etme, silme, anonim hale getirme gibi işlemlerin tamamının, KVKK ve ilgili mevzuat hükümlerine göre yürütüleceği,
• Aile ve Sosyal Hizmetler Bakanlığı ile sürekli veya tek seferlik bilgi paylaşımları ya da web servis taleplerinde veri aktarımının gerçekleştirilmesi için protokol imzalanmasının zorunlu olacağı,
• Aile ve Sosyal Hizmetler Bakanlığı tarafından aktarılan kişisel verilerin gizlilik ve güvenliğinin sağlanmasında her türlü sorumluluğun, süre ile sınırlı olmaksızın veri aktarımı talebinde bulunana ait olacağı,
• Aile ve Sosyal Hizmetler Bakanlığı tarafından aktarılan kişisel verilerin, herhangi bir nedenle üçüncü şahısların kullanımına sunulamayacağı ve yayımlanamayacağı,
• Ulusal Engelli Veri Sistemi’ne diğer kişi, kurum ya da kuruluşlardan aktarılan kişisel verilerin paylaşılmasına ilişkin taleplerin, talebe konu kişisel verilerin alındığı kişi, kurum ya da kuruluşa yönlendirileceği,
• Özel nitelikli kişisel verilerin KVKK uyarınca, ancak ilgililerin açık rızası alınmak şartıyla üçüncü kişilere aktarılabileceği,

düzenlenmiştir.

2. Bankalarca Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik

Bankalarca Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Yönetmelik’e dair usul ve esaslarda değişiklik yapmak amacıyla Bankalarca Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik 1 Haziran 2023 yürürlüğe girmek üzere, 25 Mayıs 2023 tarihli ve 21201 sayılı Resmi Gazete ’de yayımlanmıştır.

İlgili düzenlemede yer alan önemli detaylar aşağıdaki gibidir:

• Uzaktan kimlik tespiti süreci, 18 Haziran 2016 tarihli ve 29746 sayılı Resmî Gazete’de yayımlanan Bankacılık Hizmetlerinin Erişilebilirliğine Dair Yönetmelik’teki bankacılık hizmetlerinin erişilebilirliğine ilişkin genel ilkelere uygun olarak tasarlanacaktır, Bankalarca Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Yönetmelik’te yer verilen kontroller, engelli kişilerin engel durumuna göre tesis edilecektir.
• Engelli kişilerin uzaktan kimlik tespitinin görüntülü görüşme aşamasında ihtiyaç olması durumunda üçüncü bir kişiden yardım alınabilecek ve müşteri temsilcisi, yardımda bulunacak üçüncü kişinin ve bu kişinin sunacağı kendi kimlik belgesinin ön ve arka yüzünü gösteren fotoğraflar ve/veya ekran görüntülerini oluşturabilecektir.
• Tüzel kişinin kimliği tespit edilirken, gerçek kişinin Bankalarca Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Yönetmelik uyarınca kimlik tespiti yapılacak ve tüzel kişiyi temsile yetkili olduğu doğrulanacaktır. Kişinin, hâlihazırda aynı bankanın müşterisi olması ve internet bankacılığı ya da mobil bankacılık dağıtım kanallarından herhangi birinde oturum açması ile kişinin kimliğinin tespit edilmesi halinde, Bankalarca Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Yönetmelik’te düzenlenen, yakın alan iletişimi ile kimlik belgesine yapılan doğrulama karşılanmış sayılacaktır.
• Kişinin temsil yetkisi, kişiden alınan bilgilerin MERSİS ve/veya Ticaret Sicili Gazetesinden edinilen güncel bilgiler ile eşleştirilmesi suretiyle doğrulanacaktır. Banka tarafından ihtiyaç duyulması halinde, müşteri temsilcisi, kişi tarafından sunulan ve kişinin tüzel kişiyi temsile yetkili olduğunu gösteren imza sirkülerinin bir örneğini alacak ve imza sirkülerinden alınan imza örneği, kişinin kimlik belgesinde ve/veya MERSİS’te bulunan imza örneği ile karşılaştırılacaktır. Ayrıca, imza sirkülerinin güncelliği, üzerindeki tarih ve yevmiye numarası kullanılmak suretiyle teyit edilecektir. Bankacılık Düzenleme ve Denetleme Kurumu (“BDDK”) imzanın teyidini MERSİS kayıtlarının yanı sıra kişinin yeni kimlik kartı üzerindeki imza üzerinden yapabilecek olup; Tüzel kişileri temsile yetkili gerçek kişi veya kişiler uzaktan kimlik tespiti yolu ile banka işlemleri gerçekleştirebilecektir. Bu doğrultuda, Mali Suçları Araştırma Kurulu (“MASAK”) Sıra no:19 Tebliği’ndeki “Müşteri” tanımına tüzel kişileri kapsayıcı değişiklikler Bankalarca Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik’in yayımlanmasının akabinde gerçekleştirilmiştir.  
• Ayrıca tüzel kişiye ilişkin edinilen bilgilerin, MERSİS, Ticaret Sicili Gazetesi ve Gelir İdaresi Başkanlığının veri tabanından sorgulama yapılmak suretiyle alınan güncel bilgiler ile eşleştiği teyit edilecektir.
• Bankalarca Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Yönetmelik’e müşteri temsilcisinin yapacağı ifade edilen işlemlerin finansman, faktöring ve finansal kiralama şirketlerinin uzaktan kimlik tespiti süreçlerinde de olduğu gibi yapay zekâ temelli yöntemler ile yapılabilmesine ilişkin usul ve esasları belirlemeye BDDK yetkili olacaktır.

3. Millî Eğitim Bakanlığı Okul Öncesi Eğitim ve İlköğretim Kurumları Yönetmeliği’nde Değişiklik Yapılmasına Dair Yönetmelik

Millî Eğitim Bakanlığı Okul Öncesi Eğitim ve İlköğretim Kurumları Yönetmeliğinde Değişiklik Yapılmasına Dair Yönetmelik 14 Ekim 2023 tarihli Resmi Gazete’de yayımlanarak aynı gün yürürlüğe girmiştir. İlgili düzenlemede veliden ve rehberlik öğretmeni gözetiminde öğrenciden yazılı izin alınmaksızın öğrencilerin; okul içi ve okul dışında yapılan eğitim etkinlikleri, sosyal ve kültürel faaliyetler ile gezi ve gözlem faaliyetleri esnasında çekilen görüntülerinin sosyal medya platformları ve haberleşme gruplarında her ne ad altında olursa olsun paylaşılamayacağı hususları yer almaktadır. Böylelikle; okul öncesi eğitim ve öğretim kurumlarında gerçekleştirilen etkinliklerde; çocukların görüntüleri veliden veya çocuktan rıza alınarak sosyal platformlarda paylaşılabilecektir.

4. Kamuda Açık Kaynak Kodlu Yazılım Kullanımı’na ilişkin 2023/13 sayılı Genelge

29 Temmuz 2023 tarihli ve 32263 sayılı Resmi Gazete ile yayımlanan Kamuda Açık Kaynak Kodlu Yazılım (“AKKY”) Kullanımı konulu 2023/13 sayılı Genelge ile Türkiye’de kamuda açık kaynak kodlu yazılımların kullanımının yaygınlaştırılması ve bilişim harcamalarından tasarruf edilmesi, üretici bağımlılığının azaltılması ve siber güvenliğin güçlendirilmesi amaçlanmıştır.  Bu doğrultuda, aşağıda yer alan temel hususlar düzenlenmiştir:

• Dijital Dönüşüm Ofisi’nin resmi internet adresinde ilan edilecek şablona ve “Açık Kaynak Kodlu Yazılıma Geçiş Analiz Rehberi” ne uygun şekilde kullanılan ticari lisanslı yazılımların envanteri ve bunlardan hangilerinin AKKY muadilleriyle değiştirilebileceğine yönelik “AKKY Geçiş Analiz ve Yol Haritası Raporu” oluşturularak Dijital Dönüşüm Ofisi’ne sunulmalıdır.
• Oluşturulan AKKY Geçiş Analiz ve Yol Haritası Raporu doğrultusunda yapılacak çalışmalar için gerekli mali kaynaklar ve iş gücü tahsisine yönelik tedbirler alınmalıdır.
• Mal ve hizmet alımları esnasında kullanılan yazılım tedariki sürecinde, ticari lisanslı yazılımlar yerine AKKY alternatifleri tercih edilmelidir. Öte yandan, söz konusu işbu düzenleme AKKY alternatiflerinin teknik ve ekonomik açıdan uygun olmaması halinde uygulanmayabilecek; ancak bu nitelikteki ödenek talepleri için Strateji ve Bütçe Dairesi Başkanlığına iletilecek proje teklif formlarında, alınması öngörülen ticari lisanslı yazılımlar için AKKY alternatiflerinin tercih edilmemesine ilişkin teknik ve ekonomik gerekçelerin detaylı bir şekilde açıklanması gerekecektir.
• Türkiye’de faaliyet gösteren yazılım firmaları ve Türkiye’de istihdam edilen personel tarafından özelleştirilmesi ile geliştirilen mevcut AKKY, yazılım lisanslama usulü itibariyle AKKY lisanslarını kullanmasa bile, AKKY geçiş sürecinde değerlendirmeye alınacaktır. Söz konusu bu yazılımlar, teknik ve mali açılardan ilgili kamu kurum ve kuruluşlarının ihtiyaçlarını karşılaması ve uygun nitelikteki AKKY alternatiflerinin mevcut olmaması halinde, ticari lisanslı yazılımlara tercih edilecektir.

AKKY geçiş süreci boyunca, Dijital Dönüşüm Ofisi, kurumlar arasındaki koordinasyonu sağlamaktan sorumlu olmakla birlikte; ilgili raporlar ve kılavuzlar, ihtiyaç halinde Dijital Dönüşüm Ofisi tarafından güncellenerek resmi internet adresinde yayınlanacaktır.

III. 2023 yılında Kurum tarafından Yayımlanan Belgeler

1. Kişisel Verilerin Korunmasına Akademik Bakış, KVKK Akademi Derleme Çalışması

8 Ağustos 2023 tarihi itibariyle Kurum tarafından, farklı alanlarda uzman akademisyenlerin kişisel verilerin korunması hukukuna ilişkin eserlerinden oluşan “Kişisel Verilerin Korunmasına Akademik Bakış: KVKK Akademi Derleme Çalışması” isimli kitap yayımlanmıştır. Kişisel verilerin korunması, mahremiyet, veri koruma hukuku ve kişisel verilerin güvenliği ile ilgili çalışmaların yer aldığı kitap hem KVKK’de yer verilen temel kavramları hem de diğer hukuk alanları kapsamında kişisel verilerin korunmasına yönelik değerlendirmeler içermektedir. Derleme; Kişisel Verilerin Korunması Hakkı, Kişisel Verilerin Korunması ve Etik, Genel Kavramlar, Kişisel Verilerin Korunması Kanunu Kapsamında Genel İlkeler, Açık Rıza, İlgili Kişiler Tarafından Yapılan Başvuruların Cevaplanması Yükümlülüğü, Başvuru ve Şikâyet Usulleri ile Kurul, Kararlarının Yerine Getirilmesi Yükümlülüğü, Kişisel Verilere İlişkin Suçlar, Güncel Teknoloji ve Kişisel Veri, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi, Sürdürülebilir Kişisel Veri Güvenliği Yönetişimi, Blokzinciri ve Kişisel Verilerin Korunması, Yapay Zekâda Kişisel Verilerin Korunması Kanununun Uygulanmasındaki Sorunlara İlişkin Değerlendirmeler, Medeni Hukuk İlişkilerinde Kişisel Verilerin Korunması, Fikri Mülkiyet Alanında Kişisel Verilerin İşlenmesi, Medenî Usul Hukuku Çerçevesinde Kişisel Verilerin Korunması, İş Hukukunda Kişisel Verilerin İşlenmesi, Sağlık Sektöründe Kişisel Verilerin İşlenmesi konu başlıklarından oluşmaktadır.

2. KVKK Bültenleri

Kişisel verilerin korunmasında farkındalık oluşturma ve bilgilendirme çalışmaları kapsamında kamuoyu ile daha fazla bilgi paylaşmak amacıyla Nisan 2022’den itibaren videolar aracılığıyla KVKK Bültenleri yayımlamaktadır. Temmuz 2023 itibariyle ise “KVKK Bülten” başlığı altında Kurum’un resmi internet sitesinde bültenler yazılı olarak da yayımlanmaya başlanmıştır. KVKK Bülten ile sayıya özel olarak seçilen konu başlıklarına, köşe yazılarına, makalelere, dünyadaki gelişmelere, Kurum’un faaliyetlerine ve istatistiki bilgilere (belirli zaman aralığında yapılan şikayet ve ihbarlar, veri ihlal bildirimleri, verilen idari para cezaları, hukuki görüşler ve onaylanan yurt dışına kişisel veri aktarım taahhütnameleri) ve Kurul karar özetlerine yer verilmektedir. Bu yıl itibariyle iki adet bülten yayımlanmıştır: (i) Temmuz 2023 Sayı:1 (Üretici Yapay Zeka Çağında Mahremiyeti Yeniden Düşünmek) (ii) Temmuz-Eylül 2023 Sayı:2 (Gölgede Kalan İzler: Unutulma Hakkı).

3. 5. Yılında Kişisel Verileri Koruma Kurumu

“5.Yılında Kişisel Veri Koruma Kurumu” başlıklı belge 23 Kasım 2022 tarihinde Kurum’un resmi internet sitesinde yayımlanmıştır. İlgili dokümanda, Kurum’un teşkilat yapısına ilişkin detaylar ve beş yıl boyunca Kurum tarafından yapılan kamuoyu duyuruları detaylı olarak paylaşılmıştır. Öte yandan, Kurum’un inceleme faaliyetlerine ilişkin olarak süreç içerisinde Kurul’a yapılan ihbar, şikayet ve başvurulara, veri ihlal bildirimlerine, uygulanan idari para ceza tutarlarına ve son olarak, Kurumsal tanıtım, farkındalık ve bilinçlendirme faaliyetlerine detaylı olarak yer verilmiştir.

IV. Rehberler

1. Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber

Kurum tarafından ilk olarak 24 Ağustos 2022 tarihinde taslak olarak yayımlanan Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber (“Genetik Veri Rehberi”), 13 Ekim 2023 tarihinde nihai hale getirilerek kamuoyu ile paylaşılmıştır.[i] Genetik Veri Rehberi’nde detaylı olarak (i) Genetik veri tanımına, (ii) Genetik veri işleme süreçlerinde KVKK kapsamında veri sorumlusu, veri işleyen, ilgili kişi ve genel ilkelere, (iii) Genetik verilerin KVKK’de yer alan kişisel veri işleme şartları kapsamında değerlendirilmesi ve yurtdışına aktarılması hususlarına, (iv) Genetik veri işlenmesinde veri sorumlusunun yükümlülükleri ve genetik veri güvenliğine ilişkin teknik ve idari tedbirlere, (v) Genetik veri işlenmesine ilişkin önerilere ve tavsiyelere yer verilmiştir.

KVKK madde 6 kapsamında özel nitelikli veri olarak kabul edilen genetik veri, Genetik Veri Rehberi ile ilk defa kapsamlı bir tanıma kavuşmuştur. Genetik Veri Rehberi’nde Avrupa Birliği Genel Veri Koruma Tüzüğü (“GVKT”) kapsamındaki tanımına da yer verilmiş olup; nihai olarak genetik veri için “canlıya ait genomdan hücre çekirdeğinden ya da mitokondrisinden kodlanan tüm DNA, RNA ve Protein diziliminden elde edilen bilgilerin tamamı ya da bir kısmıdır. Genetik veriler sadece bir SNP (Single Nükleotit Polimorfizm) bilgisi olabileceği gibi çok kapsamlı tüm genom dizilimi bilgisi de olabilir. Bu veriler canlıdan elde edilmiş DNA ve/ veya RNA’dan kalıtsal olan veya kalıtsal olmayan tüm genomik değişiklikleri kapsamaktadır” açıklamasına yer verilmiştir. Ayrıca genetik veri için;

• Anlamlandırılabilir veya bilgilendirici olması için analiz edilmesi gerektiğine,
• Ham verilerin ve biyolojik örneklerin analiz edilmeden önce de değerli ve anlamlı olduğunun ve bir gerçek kişiyi belirlenebilir kılma potansiyeli olduğunun göz önüne alınması gerektiğine,
• Ölmüş kişilerden alınmış olan numunelerin de yıllar sonra bir gerçek kişiyi belirlenebilir kılacak şekilde analiz edilmesi ihtimali olduğuna,

dikkat çekilmiştir.

Ayrıca, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca DNA örneklerinin, yani genel olarak genetik verinin, tam anlamıyla ve gerçekten anonim hale getirilmesinin mümkün olmadığı da belirtilmiştir. Zira kullanılan her anonimleştirme yöntemi ile; elde edilen veri ile ilgili kişi arasındaki irtibatın gerçekten kesilebilmesinin mümkün olmadığı ve bu sebeple, genetik verilerin tam olarak anonim hale getirilmesinden (anonymization) ziyade kimliksizleştirilmesi (de-identification) kavramı kullanılabileceği belirtilmiştir.

Genetik Veri Rehberi içerisinde, Genetik Hastalıklar Değerlendirme Merkezleri Yönetmeliği uyarınca Genetik Hastalıklar Değerlendirme Merkezlerinin faaliyet gösterebilmeleri için Sağlık Bakanlığı’ndan ruhsat almaları gerektiği ve bu merkezlerin, sadece tıbbi gereklilik durumlarında veya tıbbi amaçlı bilimsel araştırmalar için ve uygun genetik danışmanlık hizmeti sunulması şartıyla genetik testler yapabilecekleri ve bu doğrultuda da Sağlık Bakanlığı ile üniversitelerin veri sorumlusu olduğu kabul edilmiştir.

Genetik Veri Rehberi’nde, genetik verilerin işlenmesi sürecinde, ilgili kişi dışında genetik irtibatı olan akrabaların verilerinin işlenebileceği ve bu nedenle başka kişilerin verilerinin işlenmesinin farklı bir amaç doğurabileceği vurgulanmaktadır.

Genetik veriler, KVKK’nin genel ilkelerine uygun olarak işlenmeli ve bu çerçevede, işlenen genetik verilerin gerektiği süre boyunca saklanması ve gerekli olmadığında hemen kişisel veri saklama ve imha politikasına uygun şekilde imha edilmesi gereklidir. Genetik Hastalıklar Değerlendirme Merkezleri Yönetmeliği uyarınca, merkezlerde raporlar ve kayıtlar en az 30 yıl, elektronik kayıtlar yedeklenerek süresiz, numuneler ve lamlar ise uygun şartlarda en az 2 yıl boyunca saklanmalıdır.

KVKK madde 6 kapsamında, genetik verilerin kanunlarda gösterilen hâllerle sınırlı olmak üzere, ilgili kişilerin açık rızaları olmaksızın işlenmeleri mümkündür. Genetik verilerin işlenmesi; yalnızca sağlık gerekçeleriyle sınırlı ise, bu verilerin işlenmesinin sadece kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi, bakım hizmetleri yürütülmesi ve sağlık hizmetlerinin planlanması ve yönetimi amaçlarına uygun olması durumunda, yine sadece gizlilik yükümlülüğüne sahip kişiler veya yetkili kurumlar tarafından açık rıza alınmadan da gerçekleştirilebilecektir.

Kişisel Sağlık Verileri Hakkında Yönetmeliği madde 16 uyarınca, genetik veri içeren çalışmaların mümkün olduğu ölçüde ilgili kişiyi belirlenebilir kılmayacak hale getirilmiş veriler üzerinden yürütülmesi (genetik verinin son çare prensibi ile işlenmesi) bunun için takma ad kullanımı (pseudonymisation) gibi yöntemlerin kullanılması suretiyle kişisel veri güvenliğine ilişkin risklerin en aza indirilmesi gerektiği belirtilmiştir. Böylelikle, durumun KVKK madde 28 kapsamında değerlendirilebileceği düzenlenmiştir.

“Genetik Hastalıklar Değerlendirme Merkezleri Yönetmeliği” kapsamında yurt dışına örnek gönderiminin Sağlık Bakanlığı’nın ruhsatlı genetik hastalıklar değerlendirme merkezleri üzerinden kayıt altına alınarak yapılabileceğine değinilmiştir.  Ayrıca, tetkik amacıyla insan kaynaklı biyolojik numuneler, Sağlık Bakanlığı’nın takip sistemine kaydedilecektir. Sonuç olarak, çalışmayan testlere yönelik yurt dışına numune gönderimi sadece ruhsatlı Genetik Hastalıklar Değerlendirme Merkezleri ve tıbbi laboratuvarlar tarafından Sağlık Bakanlığının kontrolünde güvenli ve uygun bir şekilde “Yurt Dışı Biyolojik Materyal Transfer Sistemi” aracılığıyla gerçekleşebilecektir.  Öte yandan, Tıbbi Laboratuvarlar Yönetmeliği uyarınca yurt dışına tetkik amaçlı numune gönderme yetkisinin sadece ruhsatlı tıbbi laboratuvarlara ait olabileceği; tetkik amacıyla insan kaynaklı biyolojik numunelerin, Türkiye’ye giriş ve çıkışı Sağlık Bakanlığı’nın onayı ile yapılabileceği düzenlenmiştir.

Ek olarak, Genetik Veri Rehberi’nde, genetik verisi işlenen ilgili kişilerin aydınlatılması bakımından yalnızca genel açıklamaların yer aldığı bir aydınlatmanın yapılmasının yeterli olmadığının altı çizilmiştir. Bu kapsamda, hangi genetik verilerin hangi hukuki sebeple ve hangi amaçla toplandığı, bu verilerin önemi, ihlâl durumunda ortaya çıkabilecek sonuçların neler olabileceği (genetik verilerin işlenmesine yönelik riskler) hususlarına ilişkin olarak ilgili kişiler ayrıca aydınlatılmalıdır. İlgili kişinin genetik veri işleme faaliyetini ve sonuçlarını, genetik verinin işlenmesinin sadece ilgili kişinin değil diğer aile fertlerinin de verisine erişimi sağlayabileceğini net bir şekilde anlaması sağlanmalıdır.

Ayrıca, Hasta Hakları Yönetmeliği’nde bahsi geçen “bilgilendirme” kavramının KVKK kapsamında “ilgili kişi” sıfatını alan hastanın kişisel verileri işlenmeden önce kendisine yapılması gereken “aydınlatma”dan farklı bir bilgilendirme olduğu ve açık rıza yerine geçmeyeceği vurgulanmıştır.

Bunun dışında genetik veri işleyen veri sorumluları VERBİS’e kaydolmak ve gerekli teknik ve idari tedbirleri almakla yükümlüdür.

“Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kurulun 31/01/2018 tarihli ve 2018/10 sayılı Kişisel Verileri Koruma Kurulu Kararında yer alan hususlara dikkat edilmesi gerektiği vurgulanmıştır. Veri sorumlularının, ayrıca genetik veri işleme hususunda aşağıdaki tedbirleri de alması tavsiye edilmiştir.

Teknik Tedbirler

• Bulut Ortamında Genetik Verilerin Muhafaza Edilmesi: Genetik Veri Rehberi’nde Genetik verilerin bulut sistemlerinde tutulmaması önerilmektedir. Bulut ortamında genetik verinin işlenmesinin gerekmesi halinde aşağıda yer alan hususlara dikkat edilmelidir;
  • Bulutta depolanan genetik verilerin neler olduğunun detaylıca kaydı tutulmalı,
  • Bulut dışında yedekleri alınmalı,
  • Buluttaki genetik verilere uzaktan erişimde iki kademeli kimlik doğrulama uygulanmalıdır.
  • Yeterli güvenliği sağlayacak kriptografik yöntemlerle şifrelenmeli,
  • Standartlaştırılmış ve güvenli kriptografik algoritma takımında yer alan algoritmaları barındıran uygulama, cihaz ve sistemler kullanılmalı,
  • Standartlaştırılmış ve güvenli kriptografik algoritmalara yönelik endüstri standartları ve en iyi uygulama örnekleri dikkate alınmalı
  • Standartlaştırılmış kriptografik algoritma takımında yer almayan kriptografik algoritmaların kullanımının gerekmesi durumunda kullanım öncesinde, yetkilendirilmiş kripto analiz laboratuvarı tarafından yeterli güvenlik seviyesinde olup olmadıklarının analizi ve değerlendirilmesi yapılmalı,
  • Şifreleme ve anahtar yönetimi politikası açıkça tanımlanmalı,
  • Kriptografik anahtarlara erişim sadece yetki sahibi kleranslı (kripto güvenlik belgesi) personel ile sınırlandırılmalı,
  • Mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılmalıdır.
• Cihazların bakım, onarım, tamirat vb. için yetkili firmalara teslimi veya kiralanmış cihazların ilgili firmalara iadesi durumunda cihaz üzerinde yer alan veri muhafaza üniteleri sökülerek alınmalı veya tüm veriler harddisk ortamında laboratuvara teslim edilmeli ve firmaya ait cihaz veya sunucuda veri olmadığına dair firmadan yazılı taahhütname alınmalıdır.
• Veri sorumluları sistemi kurmadan önce ve herhangi bir değişiklikten sonra, oluşturulacak test ortamlarında mümkünse sentetik veriler (gerçek olmayan) aracılığıyla sistemi test etmelidir.
• Test amaçlı yapacağı çalışmalarda gerçek veri kullanılması halinde genetik verileri veri minimizasyonu ilkesine uygun şekilde kullanmalıdır. Veri sorumluları, yetkisiz erişim denemeleri ve gerekli tüm güvenlik tedbirlerinin alınmasına karşın sisteme yetkisiz erişilmesi durumunda sistem yöneticisini ikaz eden ve/veya genetik verileri koruma altına alan ve rapor veren önlemler uygulamalıdır.
• Veri sorumluları sistemde sertifikalı teçhizat, lisanslı ve güncel yazılımlar kullanmalı, yama yönetimi sağlamalı, mümkün olduğunca açık kaynak kodlu yazılımları tercih etmeli ve sistemdeki gerekli güncellemeleri zamanında yapmalıdır.
• Veri sorumluları genetik veri işleyen yazılım üzerindeki kullanıcı işlemlerini izleyebilmeli ve sınırlayabilmelidir. Genetik veri işlenen program/sistem üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları (log) ayrı bir sistemde düzenli olarak tutulmalı ve güvenli bir şekilde korunmalıdır. İşlem kayıt (log) sisteminden sorumlu yönetici (admin) ile diğer sistemlerden sorumlu kişilerin farklı kişiler olmasına dikkat edilmelidir.
• Genetik veri işlenen sistemlerin donanımsal ve yazılımsal güvenlik testleri periyodik olarak yapılmalıdır. Sistemlerde gerçekleştirilen değişiklikler gerekli güvenlik testleri yapıldıktan sonra devreye alınmalıdır.
• 2019/12 sayılı Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi ve Genelge kapsamında Cumhurbaşkanlığı Dijital Dönüşüm Ofisi koordinasyonunda hazırlanan Bilgi ve İletişim Güvenliği Rehberi kapsamındaki tedbirlere riayet edilmesi gerektiği değerlendirilmektedir.

İdari Tedbirler kapsamında ise;

• Her ne kadar Türk mevzuatı kapsamında yer almasa da Genetik Veri Rehberi’nde Genel Veri Koruma Tüzüğü’nde (“GVKT”) yer alan kavramlar olarak; sürecin genetik veriler için “Mahremiyet Temelli Tasarım” (Privacy by Design) esasına göre kurulması ve yönetilmesi ve Veri Koruma Etki Değerlendirmesi uygulanması gerektiği belirtilmiştir.
• Genetik veriler; yetkili, konu ile ilgili eğitim almış ve kendisiyle gizlilik sözleşmesi akdedilmiş personel dışında kimse tarafından erişilemeyecek şekilde muhafaza edilmelidir.
• Kişisel Veri İşleme Envanteri hazırlanmalı ve VERBİS bildiriminde bulunulmalıdır.
• Genetik veri işleme süreçlerine ilişkin ayrı işleme politikaları, acil durum prosedürleri ve raporlama mekanizmaları oluşturulmalıdır.
• Elektronik ortamdaki genetik veriler, güvenli yedekleme sistemiyle düzenli olarak yedeklenmeli ve veri seti yedekleri mutlaka ağ dışında tutulmalıdır.
• Mevzuata uygun ve detaylı olarak aydınlatma yükümlülüğü yerine getirilmeli, gerekmesi halinde ilgili kişinin açık rızası alınmalıdır.
• Genetik verilere dair veri işleme faaliyetlerine ilişkin kurum içi rastgele ve periyodik denetimler ile risk analizleri vasıtasıyla veri sorumlusu, olası bir veri ihlâline karşı kendisinin hazırlık durumunu sürekli olarak ölçmeli ve izlemelidir.
• Genetik veri işleme süreçlerinde veri sorumlusu veri işleyenlerle yapılacak hizmet sözleşmelerinde gerekli görülen güvenlik tedbirlerine yer verilmeli ve tercih edilecek veri işleyen nezdinde gerekli teknik ve idari tedbirlerin sağlanıp sağlanmadığı hususunda belirli periyotlarla denetimler yapılmalı veya yaptırılmalıdır.
• Yukarıda sayılan bütün bu ilkelerin ve kriterlerin sağlandığı hususu veri sorumlusu tarafından kayıt altına alınıp belgelendirilmelidir ve kamuoyuna açıklanmalıdır.

“Bilgi ve İletişim Güvenliği Tedbirleri” konulu ve 2019/12 sayılı Cumhurbaşkanlığı Genelgesi’nde “Nüfus, sağlık ve iletişim kayıt bilgileri ile genetik ve biyometrik veriler gibi kritik bilgi ve verilerin yurtiçinde güvenli bir şekilde depolanacağı” belirtilerek kamu düzeninin bozulmasına yol açacak kritik türdeki verilerin güvenliğinin sağlanması amacıyla ulusal ve uluslararası standartlar ve bilgi güvenliği kriterleri çerçevesinde, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından “Bilgi ve İletişim Güvenliği Rehberi” yayımlanmış ve Ulusal Siber Güvenlik Stratejisi konulu 2020/15 sayılı Cumhurbaşkanlığı Genelgesi ile yürürlüğe girmiştir. Bu kapsamda, Genetik Veri Rehberi’nde de genetik veriler için aşağıda yer alan önlemlerin alınması tavsiye edilmiştir:

• Genetik verilerin işlenme amaçlarına göre prosedürlerin belirlenmesi ve KVKK madde 9’da yer alan hangi şarta dayalı olarak aktarıldığına dair detaylı düzenlemelerin yapılması,
• İşlenen genetik verilerin mahremiyetinin ve kullanım amacının dışında kullanılmasının engellenmesi için gerekli önlemlerin alınması,
• Genetik verilere ilişkin testlerin mümkün olduğunca yurt dışına gönderilmemesi amacıyla yerel laboratuvarların desteklenmesi ve yerli tıbbi cihazların temini için çalışmalar yapılması,
• Genetik verilerin yerel olarak depolanması için idari düzenlemelerin yapılması ve ulusal bilişim altyapısının desteklenmesi,
• Bilimsel amaçlarla ulusal genetik veri bankacılığının geliştirilmesi ve genetik veri saklama merkezi oluşturulmasının teşvik edilmesi,
• Genetik verilerin işlenmesi sırasında şeffaflık, açıklık ve hesap verebilirlik uygulamalarının geliştirilmesi ve toplumun bilgilendirilmesinin sağlanması,
• Genetik veri işleme süreçlerinde yer alan personelin kişisel verilerin korunması alanında gerekli eğitimleri almış olması ya da gerekliliklerin “Hasta Hakları Birimi”nce yerine getirilmesi,
• Genetik verilerin yurt dışına gönderilmesi durumunda ilgili kişilere sonuçlar hakkında bilgilendirme yapılması ve toplumsal farkındalığın artırılması.

2. Mobil Uygulamalarda Mahremiyetin Korunmasına Yönelik Tavsiyeler

22 Aralık 2023 tarihinde Kurul tarafından, Mobil Uygulamalarda Mahremiyetin Korunmasına Yönelik Tavsiyeler (“Mobil Uygulama Rehberi”) yayımlanmıştır. Mobil Uygulama Rehberi’nde, kullanıcıların yoğun bir şekilde kullandığı mobil cihazlarda; mikrofon, kamera, ivmeölçer, GPS, wi-fi ve bluetooth gibi birçok sensörün çalışması ve mobil uygulama geliştiricileri tarafından bulut hizmetlerinin yaygın şekilde kullanılması dolayısıyla mobil uygulamalarda bireylerin kişisel verilerinin korunmasının kritik bir öneme sahip olduğu vurgulanmıştır. Bu doğrultuda, Mobil Uygulama Rehberi ile mobil uygulamalarda mahremiyetin korunmasına yönelik mevcut ve potansiyel riskler ele alınmış ve mobil uygulamalar aracılığıyla gerçekleştirilen kişisel veri işleme faaliyetleri bakımından ilgili kişilere ve veri sorumlularına yönelik genel nitelikli tavsiyelerde bulunulması amaçlanmıştır.

Mobil uygulamalarda, kullanıcı deneyimini zenginleştirmek, işlevsellik sağlamak, sunulan hizmeti iyileştirmek ve pazarlama stratejileri oluşturmak gibi amaçlar doğrultusunda özel nitelikli kişisel veriler de dahil birçok kişisel veriler (kimlik bilgileri (ad, soyad, TC kimlik numarası, doğum tarihi vb.), üyelik bilgileri (kullanıcı adı, parola vb.), iletişim bilgileri (ev adresi, telefon numarası, e-posta adresi vb.), finansal bilgiler (IBAN, kredi kartı numarası vb.), çevrimiçi tanımlayıcılar (IP adresi, MAC adresi, IMEI ve IMSI numarası, cihazda yüklü uygulama listesi aracılığıyla çıkarılan parmak izi), kullanıcı etkileşimleri (arama geçmişi, uygulama içi satın alımlar vb.), konum bilgisi, telefon rehberi veya uygulamalardaki arkadaş listeleri, biyometrik veriler (yüz tanıma verisi, parmak izi verisi, ses izi biyometrisi), uygulamanın sağlık ile ilgili olması durumunda sağlık verisi (kalp atışı hızı, uyku düzeni), cihazın kamerası ve galerisine erişim izni verilmesiyle toplanan görsel veriler, sesli komutlar veya mesajlaşma uygulamaları aracılığıyla toplanan işitsel veriler, mesajlaşma platformlarından toplanan metin verileri) işlenebilmektedir.

Mobil uygulamalarda, uygulama sağlayıcısı, uygulama geliştiricisi, reklam ağı, uygulama mağazası kuruluşu, işletim sistemi sağlayıcısı, kütüphane sağlayıcısı ve cihaz üreticisi başta olmak üzere birçok taraf kişisel verilerin işlenmesi süreçlerine dahil olmaktadır. Mobil Uygulama Rehberi’nde süreç içerisinde ilgili tarafların hangi durumlarda veri sorumlusu olarak değerlendirilebileceğine ilişkin örnekler verilmiştir:

• Genellikle uygulama sağlayıcısının, kullanıcıların kişisel verilerini kendi amaçları doğrultusunda kullandığı ölçüde, veri sorumlusu olarak kabul edileceği belirtilmiştir.
• Öte yandan, mobil uygulamalarda toplanan kişisel veriler bakımından birden fazla veri sorumlusunun olabileceği vurgulanmıştır. Örneğin, mobil uygulamanın, dolandırıcılığın önlenmesi amacıyla iki faktörlü kimlik doğrulama yapmak üzere üçüncü taraf hizmet sağlayıcının mobil uygulamaya dahil olması ya da mobil uygulamada yer alan reklam ağları gibi üçüncü taraf bir hizmetin uygulamaya entegre edilmesi durumda birden fazla veri sorumlusu ortaya çıkabilecektir.
• Mobil cihazda yüklü uygulamalar kullanıldığında, işletim sistemi sağlayıcısı verileri bir araya getirmesi ve kullanıcının cihazındaki uygulamalardan topladığı kişisel verileri kendi amaçları doğrultusunda kullanması halinde işletim sistemi sağlayıcısının veri sorumlusu olması da söz konusu olabilecektir.
• Uygulama sağlayıcısı ve geliştiricisinin ayrı kuruluşlar olduğu bir durumda, uygulama sağlayıcısı ile geliştiricisi arasındaki sözleşmeye göre, uygulama geliştiricisinin kişisel veri işlemede yalnızca teknik bir rol üstlenmesi ve kendi amaçları doğrultusunda kişisel veri işlememesi halinde, uygulama geliştiricisi veri işleyen olarak nitelendirilebilecektir.
• Mobil uygulamalardan toplanan kişisel veriler genellikle bulutta depolanmakta olup uygulama geliştiricisi tarafından kullanılan bulut hizmetleri söz konusu olduğunda da veri işleyen olarak kabul edilebilecektir.

Bireylere Yönelik Tavsiyeler

Mobil Uygulama Rehberi’nde bireylere mobil uygulama yüklenmeden önce dikkat edilmesi gereken hususlara da yer verilmiştir:

• Uygulama, güvenilir olduğu değerlendirilen platformlar (örneğin, uygulama mağazaları) üzerinden cihaza indirilmelidir.
• Bir uygulama yüklenmeden önce uygulamanın geliştiricisi hakkında bilgi edinilmeli ve uygulama adının doğruluğundan emin olunmalıdır.
• Uygulamanın işlevselliği ile güvenilirliği hakkında fikir edinmek için uygulamaya yönelik kullanıcı yorumlarının ve uygulamanın kullanıcılardan aldığı puanın kontrol edilmelidir.
• Uygulama yüklenmeden önce hangi verilere erişim izni istendiği kontrol edilmeli ve uygulamanın gizlilik politikası gözden geçirilmelidir.
• Hizmetin sunulması için gerekli olandan daha fazla kişisel veri talep edilmesi durumunda, bu uygulamaya gerçekten ihtiyaç duyulup duyulmadığı değerlendirilmeli ve gerekiyorsa alternatif uygulamalar araştırılmalıdır.

Mobil uygulamanın kullanılması esnasında dikkat edilmesi gereken hususlara da Mobil Uygulama Rehberi’nde yer verilmiştir:

• Uygulamanın kullanımı sırasında uygulamanın belirli bir işlevselliği için ihtiyaç duyulmayan verilere erişim için ilave izinler de istenebildiği ve ancak kullanıcının mahremiyetin korunmasına yönelik endişe duyulması hâlinde erişim isteklerini reddetmesi ve alternatif bir uygulama araştırması gerektiğine dikkat çekilmiştir.
• Konum, ses ve görüntü verileri elde eden mobil cihaz araçlarına sürekli erişilmesine ilişkin izinlerin, söz konusu verilerin kullanım amaçları dikkate alınarak değerlendirilmesi tavsiye edilmiştir.
• Uygulamalara giriş yapmak için kullanıcıların sosyal medya hesaplarını kullanmaması tavsiye edilmiştir. Zira bir uygulamada kullanıcının sosyal ağ hesabına ilişkin bilgiler ile oturum açılmasının, bazı durumlarda uygulamanın ilgili sosyal ağ hesabından bilgi toplamasına olanak tanıyabileceği belirtilmiştir.
• Kolay şekilde tahmin edilebilecek parolalar kullanılmamasının ve mümkün olduğunda her hesap için farklı parola oluşturulmasının ve iki faktörlü doğrulamanın etkin hale getirilmesinin önem arz ettiği vurgulanmıştır.
• Güncel olmayan yazılımlara sahip uygulamaların saldırıya uğrama riskinin daha fazla olduğu belirtilip, bu sebeple kullanılan uygulamaların güncel tutulması önerilmiştir.

Kişisel Veri İşleyen Taraflara Yönelik Tavsiyeler

i. Genel İlkelere Uyumluluğun Sağlanması

Hukuka ve Dürüstlük Kurallarına Uygun Olma İlkesi: Uygulama geliştiricileri ile sağlayıcılarının kişisel veri işlemeye başlamadan önce işlemenin bir hukuki sebebinin olup olmadığını sorgulamaları, mobil uygulamalarda işlenen kişisel veriler konusunda dürüst ve şeffaf olmaları, bireylerin haklarını kullanabilmelerine imkân sağlamaları ve bu hakların kullanımını destekleyen süreç ve tasarımları uygulamaya koymaları beklenmektedir. Mobil uygulamada faydalanılan üçüncü taraf işlemeleri hakkında şeffaf olunması ve uygulamaya entegre edilen üçüncü taraf hizmetleri aracılığıyla kişisel veri işlenmesinde hukuki bir sebep bulunmadığı takdirde bu hizmetlerin uygulamada kullanılmaması gerektiğinin altı çizilmiştir. Hukuka ve dürüstlük kurallarına uygun olma ilkesini ihlal eden uygulama örneklerine de yer verilmiştir:

• Ses kontrol asistanları tarafından desteklenen sesli komut ile çalışabilen mobil uygulamalarda, işlenen kişisel veriler hakkında şeffaflık sağlanması gerekmektedir. Örneğin, mobil uygulama ilk kullanıma başlandığında, bu özelliğin cihazda kural olarak açık şekilde gelmesinin, hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırılık teşkil edebileceği belirtilmiştir. Öte yandan örneğin, cep telefonu masanın üzerinde dururken yahut kişinin cebinde veya çantasında iken mikrofona erişim sağlanması yerine, kullanıcı cihazı aktif bir şekilde kullanırken mikrofona erişim sağlanması gibi önlemlerle, kişisel verilerin işlenmesinde kullanıcının makul beklentisinin karşılanabileceği belirtilmiştir.
• Adım sayarak ve uyku düzeni ile beslenme alışkanlıklarını izleyerek bireylerin fiziksel aktivite seviyelerini takip eden bir mobil uygulamanın, elde ettiği bu verilere ilişkin istatistiki bilgiler oluşturmanın yanında, kullanıcılara egzersiz yapmalarını hatırlatmak amacıyla söz konusu verileri işlemesinin mobil uygulamanın kullanım amacıyla uyumlu olduğu söylenebilecektir. Ancak mobil uygulama sağlayıcısının sağlık sigortası hizmeti sunması ve mobil uygulama üzerinden topladığı kişisel verilerden sigorta primi hesaplamada yararlanmasının, kullanıcının makul beklentisinin aşılması nedeniyle, dürüstlük kuralına aykırılık teşkil edebileceği belirtilmiştir.

Doğru ve Gerektiğinde Güncel Olma İlkesi: Mobil uygulamalar kapsamında, kullanıcılara kişisel verilerini düzeltme imkânı tanınması ve uygulamanın kullanıcılara bu imkanı sağlayabilecek şekilde tasarlanması gerektiği ifade edilmiştir. Güncelliğini yitirmiş kişisel verilerin kimlik hırsızlığı riski ortaya çıkarabileceğinin de altı çizilmiştir. Doğru ve gerektiğinde güncel olma ilkesini ihlal edebilecek ve aynı zamanda kişi mahremiyetini zedeleyebilecek uygulama örnekleri de verilmiştir:

• Bir mobil uygulamaya üye olunması esnasında kullanıcı tarafından e-posta ve telefon numarası bilgilerinin girildiği ancak söz konusu mobil uygulamada bu bilgiler için herhangi bir doğrulama yapılmadığı ve kullanıcılara uygulama içinden bu bilgileri güncelleme fırsatı sunulmadığı bir durumda; kullanıcı, üyelik esnasında e-posta adresini sehven hatalı girmiş ve mobil uygulama üzerinden gerçekleştirdiği alışverişe ilişkin sipariş bilgileri bu e-posta adresine gönderilmişse kişisel verilerin üçüncü bir kişiye ifşa olması riskini doğurabileceği belirtilmiştir.
• Kullanıcının belli bir süre sonra telefon numarasını değiştirmesi ve mobil uygulamasının parolasını unuttuğu için mobil uygulama aracılığıyla parola sıfırlama talebinde bulunması durumunda, kullanıcının parola sıfırlaması esnasında daha önce girmiş olduğu ve artık kullanmadığı telefon numarasına kod gönderilmesi durumunda, kodun üçüncü bir kişiye mesaj olarak iletilmesi riskinin ortaya çıkabileceği de vurgulanmıştır.

Belirli, Açık ve Meşru Amaçlar İçin İşlenme ile İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma İlkeleri: Kişisel veriler mobil uygulamalarda uygulama amacı ile sınırlı olarak işlenmelidir. Ayrıca söz konusu bu kişisel verilerin işlemenin amacıyla bağlantılı, sınırlı ve ölçülü olması, kullanıcılar bakımından öngörülebilirliğin sağlanması da gerekmektedir. Bu doğrultuda, eğer bir kişisel verinin mobil uygulama aracılığıyla sunulan işlev veya faaliyetlerle nasıl ilişkili olduğu açıklanamıyorsa, bu veriler toplanmamalı ve mobil uygulama tarafından elde edilen kişisel veriler, bireylerin uygulamayı kullanım amacını aşar nitelikte işleme faaliyetlerine konu edilmemelidir. Mobil Uygulama Rehberi’nde belirli, açık ve meşru amaçlar için işlenme ile işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkelerinin uygulanmasına ilişkin örneklere de yer verilmiştir:

• Bulaşıcı hastalıklarla mücadele amacıyla temas takibinde kullanılmak üzere hazırlanan bir mobil uygulama, yalnızca bireylerin yakınlık verisini (Bluetooth teknolojisi vasıtasıyla toplanan ve kişilerin birbirlerine hangi süre zarfında ne kadar yakın olduğunu gösterir bilgi) işlemek suretiyle kullanım amacını gerçekleştirebilecektir. Dolayısıyla, söz konusu mobil uygulamanın kullanıcılarının tam konumunu ve hareketlerini izlemesi, kullanıcının bulaşıcı hastalığa sahip başka bir kullanıcıyla yakın temasta bulunduğunun tespit edilebilmesi amacı bakımından gereksiz olup bu nitelikteki bir işleme faaliyeti amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırılık teşkil edebilecektir.
• Mobil uygulamanın verdiği hizmet kapsamında gerçekleştirilecek işleme faaliyetlerinin, yalnızca mobil uygulamanın kullanıldığı cihazın yerel depolama alanında tutulacak kişisel veriler ile yürütülebilmesinin mümkün olduğu hâllerde, söz konusu kişisel verilerin mobil uygulama sağlayıcısının veri kayıt sistemlerine iletilmemesi “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine uygun olacaktır.

İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme İlkesi: Mobil uygulamalar aracılığıyla işlenen kişisel veriler açısından da açıkça tanımlanmış iş ihtiyaçlarına veya yasal yükümlülüklere göre gerekçelendirilmiş saklama ve imha süreleri belirlenmeli ve bu veriler gerekli olan süreden daha uzun süre saklanmamalıdır. Bir mobil uygulama geliştiricisinin bulutta depoladığı kişisel veriler açısından saklama süresi, mobil uygulamanın kullanıldığı sektöre özel mevzuatta öngörülen azami bir saklama süresi varsa bu süre göz önünde bulundurularak belirlenmeli; eğer bu şekilde bir azami saklama süresi bulunmuyorsa bu verilerin işlendikleri amaçla bağlantılı bir saklama süresi belirlenmelidir. Ayrıca, saklama süresi dolan kişisel verilerin, bu verilerin imhasına ilişkin gerekli her türlü teknik ve idari tedbir alınarak imha edilmesinin beklendiği de belirtilmelidir. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkesine uyum için iyi uygulama örneği de Mobil Uygulama Rehberi’nde paylaşılmıştır.

• Mobil uygulama üzerinden sunulacak hizmetin niteliğine göre sınıflandırılacak aktif ve aktif olmayan kullanıcıların kişisel verilerinin saklanma süreleri söz konusu statülere göre belirlenmelidir. Bu anlamda, elektronik posta hizmeti sunan bir mobil uygulamanın kullanıcısının, belirli bir süre boyunca uygulamaya giriş yapmaması durumunda statüsünün aktif olmayan kullanıcıya dönüştürülmesi ve aktif kullanıcılara kıyasla kişisel verilerinin saklanma süresinin daha kısa olması (yasal yükümlülükler hariç olmak üzere) bu hususta iyi uygulama örneği teşkil edebilecektir.

Şeffaflığın Sağlanması

Mobil Uygulama Rehberi’nde, şeffaflığın sağlanabilmesi adına aşağıdaki hususlara dikkat edilmesi gerektiği belirtilmiştir:

• Aydınlatma metni ve eğer ayrıca hazırlanmışsa gizlilik politikası, mevcut kullanıcıların ve uygulamayı indirmeyi düşünen potansiyel kullanıcıların kolaylıkla erişebilecekleri bir şekilde konumlandırılmalıdır.
• Uygulamaya ilişkin güncellemeler konusunda kullanıcılar haberdar edilirken, kişisel verilerinin işlenmesini ilgilendiren değişiklikler konusunda da kullanıcılar bilgilendirilmelidir.
• Kullanıcıların bir uygulamanın varsayılan gizlilik ayarlarından haberdar olmaları sağlanmalı ve gizliliklerini yönetmelerine yardımcı olacak anlaşılması kolay mekanizmalar, kullanıcı dostu bir arayüz ile sunulmalıdır.
• Kullanıcıların bir uygulamanın kullanılması konusunda bilinçli kararlar verebilmelerini sağlamak üzere, KVKK madde 4’e uygun olarak bilgilendirme yapılmalıdır.
• Mobil uygulamalarda Türkiye’deki kullanıcıların hedeflenmesi veya davranışlarının izlenmesi söz konusu olduğunda, mobil uygulama aracılığıyla işlenen kişisel veriler bakımından KVKK madde 16 uyarınca VERBİS kayıt ve bildirim yükümlülüğünün de göz önünde bulundurulması önem taşımaktadır. Yurt dışında yerleşik sağlayıcıların sundukları mobil uygulamalarda; Türkiye’ye atıfta bulunarak mal ve hizmet sunulması, Türkiye’deki kişilere yönelik hizmetin verildiğini gösteren tanıtıcı açıklamalar yapılması, mal ve hizmet sunulmasında Türkçe dil seçeneği, Türkiye’ye ürün teslimatı seçeneğinin sunulması gibi hususların bulunması, mal ve hizmet sunumunda Türkiye’deki ilgili kişilerin hedeflenmesi; yahut davranışsal reklamcılık faaliyeti gerçekleştirilmesi, benzersiz tanımlayıcılar aracılığıyla çevrim içi takip yapılması ve pazarlama amacıyla coğrafi yerelleştirme faaliyetleri yürütülmesi gibi işlemler gerçekleştirilmesi Türkiye’deki ilgili kişilerin davranışlarının izlenmesi anlamına gelecektir.

iii. Mobil Uygulamalarda Çocukların Kişisel Verilerinin İşlenmesi

Çocuklara yönelen veya çocuklar tarafından yaygın olarak kullanılan mobil uygulamalar açısından, kullanıcıların yaşını doğrulayacak sistemler kurulması ve çocuklara yönelik işleme faaliyetlerinin ayrı bir politika ve prosedür takip edilerek gerçekleştirilmesi önerilmektedir.

iv. Kişisel Verilerin İşlenme Şartlarının Belirlenmesi

Mobil Uygulama Rehberi’nde, veri işleme şartlarının belirlenmesinin, şeffaflığın sağlanması konusundaki yükümlülüğün yerine getirilebilmesinin ön koşulu olduğu belirtilmiştir. Mobil uygulamalar üzerinden gerçekleştirilecek kişisel veri işleme faaliyetlerinde, uygulamanın asıl işlevinin yerine getirilmesi için ihtiyaç duyulmayan kişisel verilerin işlenmesi durumunda kullanıcının açık rızasının alınması gerekecektir. Bu doğrultuda:

• Bir kullanıcı tarafından talep edilen bir uygulamanın herhangi bir özelliği veya işlevi için kullanıcının konumuna erişilmesi gerekmeyen durumlarda, kullanıcı açık rıza vermediği sürece hedefli reklamcılık amaçları doğrultusunda kullanıcının konum verisi toplanmaması gerektiği ifade edilmiştir. 
• Kullanıcılar, uygulamanın mikrofonlarına veya konumlarına erişim sağlaması gibi isteğe bağlı olan ve uygulamanın fonksiyonelliği açısından gerekli bulunmayan işlevlere yönelik izinleri devre dışı bırakmayı seçseler dahi uygulamanın kullanılabilmesine izin verilmesi gerektiğinin altı çizilmiştir.

v. Veri Güvenliğinin Sağlanması

Mobil uygulamaların tasarımdan itibaren mahremiyet (privacy by design) ve başlangıçtan itibaren mahremiyet (privacy by default) ilkeleri ile uyumlu şekilde tasarlanması ve kişisel verilerin korunmasını en üst düzeyde sağlayacak şekilde kullanıma sunulması gerektiği belirtilmiştir. Bu doğrultuda:

• Bireyler tarafından gerçekleştirilecek ilave bir eyleme gerek duyulmaksızın mobil uygulamaların ilk kullanımında mahremiyet odaklı ayarların açık olması, kişisel verilerin işlenmesinde dürüstlük kuralına uyulması açısından önem arz etmektedir.
• Mobil uygulamaların kullanıldığı cihazlara yetkisiz erişimler gerçekleştirilmesini önlemek adına cihazlarda kimlik doğrulama yöntemlerinin kullanılmasının sağlanması gerektiği ifade edilmiştir. Öte yandan, aynı anda farklı cihazlardan oturum açılması bakımından kullanıcılara yönelik kontrol mekanizmaları oluşturulmasının faydalı bir uygulama olacağı değerlendirilmiştir.
• Kullanıcıların, mümkünse çok faktörlü kimlik doğrulama yöntemlerinin kullanılmasına teşvik edilmesi gerektiği vurgulanmıştır.
• Mobil uygulamalara erişimlerde kullanıcılar tarafından güçlü parolalar oluşturulması ve kullanıcılara ait parolaların belirli aralıklarla değiştirilmesi sağlanarak uygun bir parola güvenliği politikası işletilmesi gerektiği belirtilmiştir. Kullanıcılar tarafından yeni parola oluşturulurken daha önce kullandıkları eski parolaların yeniden kullanılmasının önüne geçilmesi de iyi bir uygulama olarak değerlendirilmiştir.
• Parolaların, yeterli güvenlik önlemleri alınarak saklanması ve siber saldırı riskine karşı güncel “özet/karma(hashing)” fonksiyonlarından geçirilerek muhafaza edilmesi önerilmektedir.
• Düzenli olarak yama yönetimi ve yazılım güncellemesi süreçleri gerçekleştirilmesi ve mobil uygulamalardaki açıkların ve zafiyetlerin kapatılması adına yazılımların güncel tutulması tavsiye edilmiştir.
• Geliştirilen mobil uygulamaların yayımlanmasından önce yazılım testlerinin uygun şekilde gerçekleştirilmesi gerekliliği vurgulanmıştır.
• Kullanıcıların mobil uygulamalara ilişkin hesap girişlerinde başarısız giriş sayısı sınırlandırılması ve bot saldırılarına bir önlem olarak kullanıcı girişi olan sayfalarda CAPTCHA, dört işlem vb. gibi yöntemlerin kullanılması önerilmiştir.
• Uygulamalar yayımlanmadan önce hedeflenen işletim sistemlerinin veri koruma ve güvenlik özellikleri dikkate alınarak risk değerlendirmesi yapılması tavsiye edilmiştir.
• Mobil uygulamalarda kişisel verilerin depolanması ve aktarımı sırasında veri güvenliğinin sağlanması kapsamında, ağ iletişiminde uygun şekilde yapılandırılmış yeterli bir şifreleme katmanı ve ilgili şifreleme anahtarlarının güvenli yönetimi aracılığıyla koruma için şifreleme kullanılması gerektiği belirtilmiştir.        

V. Rehber Taslakları

Kurum, 2023 yılı itibariyle herhangi bir rehber taslağı kamuoyu ile paylaşmamıştır. 16 Haziran 2022 tarihinde yayımlanan Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesine İlişkin Rehber Taslağı hala taslak aşamasında olup[ii]; Kurum tarafından henüz nihai hale getirilip, kamuoyu ile paylaşılmamıştır.

VI. 2023 yılında Kurum Tarafından Yayımlanan Kamuoyu Duyuruları

2023 yılında Kurum tarafından 7 adet kamuoyu duyurusu yayımlanmıştır. Bu kamuoyu duyurularında, 2023 yılı idari para cezaları tutarlarına, 6 Şubat 2023 tarihinde gerçekleşen depremden etkilenen ilgili kişi ve veri sorumlularına, seçim süreçlerinde siyasi parti ve bağımsız adayların veri işleme süreçlerine, vekaleten yapılacak şikayetlerin elektronik ortamda Kurul’a iletilmesine, kamu kurumlarında veri ihlali soruşturmasına, VERBİS yükümlülüğüne ilişkin istisnaya ve mağazalarda alışveriş sırasında ilgili kişilere SMS ile doğrulama kodu gönderilmesine ilişkin konular kapsamında açıklamalara yer verilmiştir. Söz konusu kamuoyu duyuruları, hukuki açıdan bağlayıcılık taşımamakla birlikte, Kurum’un ilgili hususa ilişkin hukuki değerlendirmesini ve yaklaşımını göstermesi bakımından önem arz etmektedir.

1. 6698 Sayılı Kişisel Verilerin Korunması Kanunu Kapsamında İdari Para Cezası Tutarları (2023 ve 2024 yılı)

17 Ocak 2023 tarihi itibariyle, KVKK madde 18’de düzenlenen idari para cezalarının 5326 sayılı Kabahatler Kanunu madde 17/7’e göre her takvim yılı başından geçerli olmak üzere o yıl için 213 sayılı Vergi Usul Kanunu mükerrer madde 298 hükümleri uyarınca 2023 yılı için tespit ve ilan edilen yeniden değerleme oranında (%122,93) arttırılmış tutarları aşağıda yer almaktadır:

5 Ocak 2024 yılı itibariyle, 2024 yılı için de tespit ve ilan edilen yeniden değerleme oranında (%58,46) arttırılmış tutarlar da yayımlanmıştır.

2. Depremden Etkilenen İlgili Kişilere ve Veri Sorumlularına Yönelik Kamuoyu Duyurusu

6 Şubat 2023 tarihinde Kahramanmaraş’ın Pazarcık ve Elbistan ilçeleri merkezli olarak gerçekleşen iki büyük deprem felaketi nedeniyle 8 Şubat 2023 tarihli Resmî Gazete’de yayımlanan 6785 sayılı Cumhurbaşkanı Kararı ile Adana, Adıyaman, Diyarbakır, Gaziantep, Hatay, Kahramanmaraş, Kilis, Malatya, Osmaniye ve Şanlıurfa illerinde 8 Şubat 2023’ten itibaren üç ay süreyle olağanüstü hâl ilan edilmesine karar verilmiştir. 9 Şubat 2023 tarihinde Kurul’un resmi internet sitesinde;

• Deprem sebebiyle olağanüstü hâl ilan edilen illerde bulunan veya diğer illerde bulunmakla birlikte depremden etkilenen ilgili kişiler ya da veri sorumluları,
• Deprem sebebiyle olağanüstü hâl ilan edilen il barolarına bağlı olarak görev yapan veya diğer il barolarına bağlı olarak görev yapmakla birlikte depremden etkilenen avukatlar tarafından temsil edilen ilgili kişiler ya da veri sorumluları

açısından KVKK ve ilgili alt düzenlemelerde yer alan sürelerin değerlendirilmesinde depremin sebep olduğu olağanüstü koşulların gözetileceği kamuoyuna duyurulmuştur.

3. Seçim Faaliyetleri Kapsamında Siyasi Partiler ve Bağımsız Adaylar Tarafından İşlenen Kişisel Veriler Hakkında Kamuoyu Duyurusu

23 Mart 2023 tarihinde Kurul tarafından, Türkiye’de gerçekleşen Türkiye Büyük Millet Meclisi genel seçimi ile Cumhurbaşkanlığı seçimi süreçlerinde kişisel verilerin işlenmesinde dikkat edilmesi gereken hususlara ilişkin olarak Seçim Faaliyetleri Kapsamında Siyasi Partiler ve Bağımsız Adaylar Tarafından İşlenen Kişisel Veriler Hakkında Kamuoyu Duyurusu yapılmıştır. Bu doğrultuda, Kurul, seçim faaliyetleri kapsamında siyasi partilerin ilgili kanunlar gereğince kuruluş, üyelik, seçimlerde aday belirleme faaliyetleri, yetkili organlarının seçimi ve bunların ilgili mercilere bildirimi vb. işlemler kapsamında kişisel verileri işlediğini ve dolayısıyla yürüttükleri faaliyetler nedeniyle işledikleri kişisel veriler bakımından veri sorumlusu olduklarını belirtmiştir. 

Siyasi partilerin ve bağımsız adayların kişisel veri işleme faaliyetlerinde, işlenecek kişisel verinin niteliğine göre KVKK madde 5 ve madde 6’da yer alan şartlara dayalı olarak kişisel veri işlemesi gerektiği ifade edilmiştir. Bu hususta, Kurum tarafından bir bilgi notu hazırlanmış olup seçim süreçlerinde kişisel veri işleme faaliyetlerinde söz konusu hususlara uygun hareket edilmesi gerekliliğinin altı çizilmiştir.

4. Vekaleten Yapılacak Şikayetlerin Elektronik Ortamda Kurula İletilmesine İlişkin Kamuoyu Duyurusu

27 Mart 2023 tarihi itibariyle Kurum’un resmi internet sitesinde, mevcut uygulama kapsamında şikayet dilekçelerinin Kurul’a elden, posta veya kargo yoluyla iletilebildiği gibi www.kvkk.gov.tr  adresinde hizmete sunulan “Şikayet Modülü” aracılığıyla elektronik ortamda da iletilebileceği belirtilmiştir. Bu kapsamda, vekaleten yapılacak şikayetlerin daha hızlı ve etkin bir şekilde Kurum’a iletilebilmeleri ve takip edebilmelerini teminen 27 Mart 2023 tarihi itibariyle “Şikayet Modülü” sistemi avukatların da vekaleten yapacakları şikayetleri iletebileceği, söz konusu şikayet modülüne https://sikayet.kvkk.gov.tr  internet bağlantısından ulaşılabileceği kamuoyu ile paylaşılmıştır. 

5. Kamu Kurumlarında Veri İhlaline İlişkin Kamuoyu Duyurusu

Kurum 19 Haziran 2023 tarihinde yaptığı Kamuoyu Duyurusu ile çeşitli haber kanallarında ve sosyal medya platformlarında vatandaşların kişisel verilerinin kamu kurumlarından sızdırıldığına yönelik çeşitli haberler yer aldığını ancak söz konusu Kamuoyu Duyurusu’nun yapıldığı güne kadar konuya ilişkin olarak kamu kurumlarından intikal eden herhangi bir veri ihlali bildirimi bulunmadığını açıklamıştır. Öte yandan, konu hakkında medyada daha önce de benzer haberlerin yer alması sebebiyle Kurul’un 9 Mart 2023 tarih ve 2023/341 sayılı kararı ile söz konusu bu durum hakkında resen inceleme başlatıldığı ve ilgili kamu kurumları ile koordineli bir şekilde çalışmalara devam edildiği belirtmiştir.

6. VERBİS Kayıt Yükümlülüğüne İlişkin İstisna Kriterinde Değişiklik Yapılması Hakkında Kamuoyu Duyurusu

25 Temmuz 2023 tarihinde Kurum’un resmi internet sitesinde VERBİS Kayıt Yükümlülüğüne İlişkin İstisna Kriterinde Değişiklik Yapılması Hakkında Kamuoyu duyurusu yayımlanmıştır.  Son dönemde Türkiye’deki ekonomik koşullar göz önüne alınarak Kurul tarafından 17 Temmuz 2018 tarihli ve 2018/87 sayılı Kurul kararında yer alan “yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25.000.000TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar” ifadesi “yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 100.000.000 TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar” şeklinde değiştirilmiştir. Çalışan sayısında herhangi bir güncelleme yapılmamakla birlikte sadece yıllık mali bilanço tutarına ilişkin bir düzenleme yapılmıştır. Bu doğrultuda, tamamlanmış takvim yılına ait tüzel kişilerde kurumlar vergisi ve gerçek kişilerde gelir vergisi beyannamesindeki yıllık mali bilanço toplamının 100.000.000 TL’ye ulaşması halinde veri sorumlusunun VERBİS kayıt yükümlülüğü doğacaktır.

7. Mağazalarda Alışveriş Sırasında İlgili Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesine İlişkin Kamuoyu Duyurusu

13 Kasım 2023 tarihinde Kurul tarafından resmi internet sitesinde Mağazalarda Alışveriş Sırasında İlgili Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesi ilişkin Kamuoyu Duyurusu yayımlanmıştır. Özellikle alışveriş sırasında müşterilerden alınan telefon numaralarına iletilen ticari elektronik iletilere ilişkin KVKK’nin doğru bir şekilde uygulanması ve açık rıza alınmasının gerekliliği vurgulanmıştır. Kurul’un bu konuda yaptığı incelemeler sonucunda, doğrulama kodu gönderilen SMS’lerde veya öncesinde gerekli bilgilendirmenin yapılmadığı ve hukuka uygun şekilde açık rıza alınmadığı tespit edilmiştir. Bu bağlamda, ticari elektronik ileti gönderimi için kişisel veri işleme süreçlerinin hukuka uygunluğunu sağlamak adına, açık rıza alınması ve aydınlatma yükümlülüğünün eksiksiz şekilde yerine getirilmesi gerektiğinin altı çizilmiştir. Bu doğrultuda:

• Mağazalarda yapılan alışverişlerde, kasa işlemleri sırasında gönderilecek olan SMS’lerin amacı ve içeriği, açık ve anlaşılır bir şekilde ilgili kişilere aktarılmalıdır. Bu bilgilendirme, katmanlı aydınlatmanın bir gereği olarak yapılmalıdır.
• Ödeme işlemleri sırasında kişilere gönderilen SMS’ler ile birlikte gerçekleştirilen farklı işlemlerin (örneğin üyelik sözleşmesi onayı, kişisel veri işleme izni, ticari elektronik ileti onayı) tek bir eylemle gerçekleştirilmesine yönelik uygulamalara son verilmesi ve her bir işlem için ayrı ayrı açık rıza alınması gerektiği belirtilmiştir.
• Veri sorumluları tarafından açık rıza alınması ve aydınlatma yükümlülüğünün yerine getirilmesi işlemleri birbirinden ayrı olarak gerçekleştirilmelidir.
• Ticari elektronik ileti gönderimi için açık rıza almak amacıyla gönderilen SMS’lerde, alınacak açık rızanın KVKK’de belirtilen tüm unsurları içermesi gerekmektedir.
• Ticari ileti gönderilmesi amacıyla kişisel verilerin işlenmesine yönelik açık rıza, alışverişin tamamlanabilmesi için zorunlu bir unsur olarak sunulmamalıdır. Aksi takdirde açık rıza unsurlarından olan “bilgilendirmeye dayanma ve özgür irade ile açıklanma” unsurlarının zedelenmesine neden olabilmektedir.
• Ticari elektronik ileti gönderilmesi amacıyla kişisel verilerin işlenmesine yönelik açık rızanın, alışverişin tamamlanmasından sonra talep edilmesi gerekmektedir, böylece ticari elektronik ileti iznine yönelik açık rızanın alışverişin gerekli bir unsuru gibi algılanmasının önüne geçilecektir.

VII. Anayasa Mahkemesi Kararları

Anayasa Mahkemesi’nin 2020/7518 Başvuru Numaralı ve 12 Ekim 2023 Karar Tarihli Kararı

15 Aralık 2023 tarihli 32400 sayılı Resmi Gazete’de yayımlanan Anayasa Mahkemesi’nin 2020/7518 Başvuru Numaralı ve 12 Ekim 2023 Karar Tarihli kararında Anayasa Mahkemesi (“AYM”), Kişisel Verileri Koruma Kurulu tarafından veri sorumlusuna uygulanan idari para cezasına ilişkin itirazların Sulh Ceza Hakimliği tarafından değerlendirme yapılmaksızın reddedilmesinin mülkiyet hakkının ihlali olduğuna karar verdi.

AYM’ye bireysel başvuruda bulunan veri sorumlusu (“Başvurucu”), merkezi yurt dışında bulunan ve farklı ülkelerde oteller işleten bir veri sorumlusudur. 2016 yılında başka bir konaklama şirketini devralmış ve 19 Kasım 2018 tarihinde devraldığı konaklama şirketinin veri tabanına yetkisiz üçüncü bir kişinin eriştiğini öğrenmiş ve 3 Aralık 2018 tarihinde ise Kurum’a veri ihlali bildiriminde bulunmuştur.

Kurul tarafından 15 Mayıs 2019 tarihinde, veri sorumlusu Başvurucu hakkında, KVKK madde 12 uyarıca veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirler almaması sebebi ile 1.100,000 TL ve ihlalin en kısa sürede bildirilmesi yükümlülüğüne uyulmamasından kaynaklı olarak 350.000 TL olmak üzere toplam 1.450.000 TL idari para cezası uygulanmasına karar verilmiştir.

Başvurucu ise karar verilen idari para cezasının kaldırılması talebiyle İstanbul Anadolu 1.Sulh Ceza Hakimliği’ne başvurmuş ancak başvurusu reddedilmiştir. Başvurucu, her ne kadar karara itiraz etse de Anadolu 2.Sulh Ceza Hakimliği’nin kararıyla talebi kesin olarak reddedilmiştir. Başvurucu, itiraz talebinin de reddedilmesi ile birlikte süresi içerisinde AYM’ye veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmadığından bahisle Kurul tarağından uygulanan idari para cezasının mülkiyet hakkını ihlal edildiği iddiası ile bireysel başvuruda bulunmuştur.

Başvurucu, AYM’ye yaptığı bireysel başvuruda:

• Veri ihlalinin yaşandığı konaklama şirketinin veri sorumlusu olarak kabul edilmesi gerektiğini, idari para cezalarının muhatabının kendisi olmadığı ve idari para cezasının cezaların şahsiliğine aykırı olduğunu,
• Kabahat olduğu iddia edilen fiile, gerçekleştiği tarihten sonra yürürlüğe giren KVKK’nın uygulanmasının kanunların geriye yürümezliği ilkesine aykırılık teşkil ettiği,
• İdari para cezasına ilişkin Kurul kararının usulüne uygun bir biçimde tebliğ edilmediğini, yeterli gerekçe içermediğini, derece mahkemesi tarafından yeterli ve gerekli inceleme yapılmaksızın itirazın reddedildiğini,
• Tüm teknik ve idari tedbirlerin alındığını, kısa bir sürede ihlalin tespit edilip bildirildiğini, KVKK’de bu yönde kısıtlayıcı bir süre bulunmadığını, bu hususun derece mahkemesi tarafından gözetilmemesinin suçta ve cezada kanunilik ilkelerine aykırı olduğunu, en üst hadden idari para cezasın uygulamasının orantılı olmadığını ve mülkiyet hakkını ihlal ettiğini ifade etmiştir.

AYM’nin 2020/7518 Başvuru Numaralı ve 12 Ekim 2023 Karar Tarihli Kararın’daki dikkat çekici hususlar şu şekilde sıralanabilecektir:

• İdari para cezası uygulamasıyla Başvurucu’nun mal varlığında eksilmeye yol açıldığı ve bu paranın Başvurucu hakkında mülk teşkil ettiği kabul edilmiştir. Bu doğrultuda, veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almaması ile veri güvenliği ihlalini en kısa ürede bildirmemesi nedeniyle Başvurucu hakkında idari para cezası uygulanmasının mülkiyet hakkına müdahale olduğu belirtilmiştir.
• AYM, veri ihlalinin tespit edilip bildirilmesi yönünden KVKK’de kısıtlayıcı bir süre bulunmadığını, bu sebeple müdahalenin kanuni dayanağı olmadığını ileri sürülmüşse de değerlendirmenin “ölçülük” ilkesi kapsamında yapılmasına karar vermiştir.
• Mülkiyet hakkının kamu yararı amacıyla sınırlandırılabileceği belirtilmiştir. Mülkiyet hakkına yapılan müdahalenin Anayasa’ya uygun olabilmesi için amacı gerçekleştirmeye elverişli ve gerekli olmasının altı çizilmiştir. Müdahale oluşturulacak aracın seçiminde kamu otoritelerinin belli ölçüde takdir yetkisi olduğu ancak alternatif aracın bulunmadığı veya mevcut alternatiflerin öngörülen meşru amaca ulaşılması bakımından etkisinin olmadığı ya da daha az etkili olduğu durumlarda kamu makamlarının araç seçimi hususundaki tercih yetkisinin gereklilik kriterini sağlamadığına karar verilebilmesi için çok güçlü nedenlerinin bulunması gerektiği belirtilmiştir. Bu doğrultuda, derece mahkemelerinin kararlarında konu ile ilgili ve yeterli gerekçe bulunması gerektiği ifade edilmiştir.
• Kişisel verilerin koruması ile veri güvenliğinin korunmasının birbirinden farklı olduğunun altı çizilmiştir. Kişisel verilerin korunmasının temel olarak kişisel verilerin işlenmesi esnasında temel hak ve özgürlüklerin korunması ile verilerin işlenmesi sırasındaki hukuki sınırlara karşılık geldiği; veri güvenliğinin korunmasının ise verilerin bizzat kendisinin korunması için alınması gereken teknik ve idari tedbirleri kapsadığı belirtilmiştir.
• Kişisel verilerin korunması amacıyla uygun güvenlik düzeyini temine etmeye yönelik gerekli her türlü teknik ve idari tedbirler alınmak zorundadır. Uygunluk güvenlik seviyesi değerlendirilirken iletilen, saklanan veya işlenen kişisel verilerin tesadüfen veya usulsüz olarak imha edilmesi, kaybedilmesi, değiştirilmesi, yetkisiz şekilde açıklanması veya bunlara erişim de dahil olmak üzere işleme faaliyetinin yol açtığı riskler gözü önünde bulundurmalıdır. Ayrıca, uygun güvenlik düzeyinin belirlenmesinde şirketin büyüklüğü veya mali bilançosunun yanı sıra veri sorumlusunun yaptığı işin ve korunan kişisel verinin niteliğinin de önemli olduğu vurgulanmıştır. Bu doğrultuda, veri sorumlusu kendi bünyesinde KVKK hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
• Veri güvenliğinin sağlanması amacıyla hangi tedbirlerin uygulanacağının belirlenmesinde idarelerin belli ölçüde takdir yetkisi olduğu, ancak bu takdir yetkisinin sınırsız olmadığı belirtilmiştir. Özellikle, tercih edilen aracın müdahaleyle ulaşılmak istenen amaca nazaran bariz bir şekilde ağırlaşması halinde, müdahalenin gerekli olmadığı sonucuna ulaşılmaktadır.
• AYM tarafından, veri ihlalinin yaşandığı devralınanın konaklama şirketinin veri sorumlusu olduğu sonucuna varılmıştır.
• AYM, Başvurucu’nun Sulh Ceza Hakimliği’ne itiraz ederken Kurul tarafından verilen karara ilişkin sunduğu iddiaların yargılama sürecinin bütününü etkileyen önemli ve karşılanması gereken iddialar olduğunu kabul etmiş ve Sulh Ceza Hakimliği’nin hiçbir şekilde bu iddiaları incelememesi sebebiyle mülkiyet hakkının korunmasına yönelik usule ilişkin güvencelerin yerine getirilmediği ve mülkiyet hakkının ihlal edildiğine karar vermiştir.

VIII. Türkiye Cumhuriyeti Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Tarafından Yayımlanan Belgeler

Türkiye Cumhuriyeti Cumhurbaşkanlığı Dijital Dönüşüm Ofisi (“Dijital Dönüşüm Ofisi”), gelişen teknolojiler, toplumsal talepler ve kamu sektöründeki reform eğilimleri doğrultusunda, farklı kurumlar altında ayrı ayrı sürdürülen dijital dönüşüm, siber güvenlik, milli teknolojiler, büyük veri ve yapay zekâ ile ilgili çalışmaların tek çatı altında toplanması amacıyla faaliyet göstermektedir. Bu doğrultuda, Dijital Dönüşüm Ofisi faaliyetleri kapsamında Türkiye’nin dijital dönüşüm süreçleri içerisinde verinin temas ettiği faaliyet çalışmalarının da incelenmesi gerekmektedir. Aşağıda da Dijital Dönüşüm Ofisi’nin 2023 yılı içerisinde gerçekleştirdiği önemli çalışmalara yer verilmiştir.

1. Bilgi ve İletişim Güvenliği Uyum ve Denetim İzleme Sistemi

4 Ocak 2023 tarihinde Bilgi ve İletişim Güvenliği Uyum ve Denetim İzleme Sistemi (“BİGDES”) uygulamaya konmuştur. BİGDES ile 2019/12 sayılı Bilgi ve İletişim Güvenliği Tedbirleri konulu Genelge kapsamındaki kurum ve kuruluşlar tarafından gerçekleştirilmesi gereken Bilgi ve İletişim Güvenliği Rehberi uyum denetimine ilişkin sonuçlarının Dijital Dönüşüm Ofisi Başkanlığı’na iletilmesi öngörülmüştür. Böylelikle, Bilgi ve İletişim Güvenliği Rehberi uyum sürecine, Bilgi ve İletişim Güvenliği Rehberi uyum denetimine ve Bilgi Güvenliği Yönetim Sistemi’nin kurulumu ve işletimine yönelik faaliyetlerin gözetiminin sağlanması hedeflenmiştir. Kurum ve kuruluşlar tarafından belirlenen kurum yetkilileri sisteme e-Devlet Kapısı kimlik doğrulaması ile erişim sağlayabilecek olup; Bilgi ve İletişim Güvenliği Rehberi kapsamındaki kurum ve kuruluşların 31 Mart 2023 tarihine kadar denetim faaliyetlerini tamamlayıp sonuçları sisteme yüklemesi gerektiği belirtilmiştir.

2. Chatbot Uygulamaları ve ChatGPT Örneği Raporu

Dijital Dönüşüm Ofisi tarafından, 13 Haziran 2023 tarihinde, Chatbot Uygulamaları ve ChatGPT Örneği başlıklı rapor yayımlanmıştır. Bu kapsamda, chatbot uygulamalarının tanımına, sınıflandırılmasına, kullanım amaçlarına ve müşteriler için sağladıkları faydalara yer verilirken aynı zamanda bu uygulamalara yönelik potansiyel saldırı risklerine, güvenlik, gizlilik ve veri koruma hususlarına ilişkin tehditlere de değinilmiştir.

Dijital Dönüşüm Ofisi, ilgili raporda chatbotu, Türkçe sohbet robotları olarak Türkçeleştirilmiş konuşma arayüzleri aracılığıyla etkileşimde bulunan ve birtakım görevleri otomatik olarak sonuçlandıran algoritma temelli yazılımlar olarak tanımlamıştır.  Chatbotlar kullandıkları yapay zekâ algoritmaları sayesinde kullanıcıların sordukları soruları analiz ederek karşılığında mantıklı bir cevap üretmektedirler. Bununla birlikte sağlık, finans, eğitim, pazarlama, eğlence ve internet siteleri gibi farklı alanlarda sıklıkla ve özellikle pazarlama ve müşteri ilişkileri açısından kullanımları her geçen gün artmakta ve bu sayede geniş müşteri kitlelerine ulaşmaları çok daha kolay hale gelmektedir.

Chatbotları mercek altına alan ilgili raporda aynı zamanda chatbotlara yönelik potansiyel saldırı risklerine ve güvenlik, gizlilik ile veri koruma hususuna ilişkin tehditlere yer verilmiştir. Güvenlik tehditlerinin başlıcaları sahte e-posta, onaysız değişiklik, reddetme, bilgi ifşası, hizmet reddi ve ayrıcalıkların kaldırılması olarak belirtilmiştir. Güvenlik tehditlerinin ise güvenilirlik, bütünlük, reddedilemezlik, gizlilik, kullanılabilirlik ve yetkilendirme gibi özellikleri bünyesinde bulunduran kimlik doğrulama, yetkilendirme, uçtan uca şifreleme, kendi kendini imha eden mesajlar, kullanıcı iletişim verileri ve arka uç tarafı gibi mekanizmalarla azaltılabileceği öngörülmüştür. Anılan mekanizmalardan kimlik doğrulama, kullanıcının telefonunu ya da bilgisayarını kaybettiği veya kilitsiz bıraktığı durumlarda kullanıcıların verilerini ve cihazlarını olası siber saldırılara karşı korumaktadır. Uçtan Uca Şifreleme mekanizması ise yalnızca iletişim kuran tarafların mesajları okuyabildiği bir iletişim sistemidir. İlgili raporda, bu mekanizmalar sayesinde chatbotların olası risklerinin önlenebileceği ve elde edilebilecek faydanın maksimize edilebileceği soncuna varılmıştır.

B. KURUL VE KURUM’UN YAPISI İLE DENETLEYİCİ FAALİYETLERİ

I. Kurul ve Kurum’un Yapısı ve Teşkilatlanma

Kurum, Kurul ve Başkanlık’tan oluşmaktadır. Kurum, Kurum Başkanı ve İkinci Başkan dışında 7 Kurul üyesi ve 7 başkanlık birimi şeklinde teşkilatlanmıştır.

Kurul’un 6 Nisan 2023 tarihi itibariyle Cennet ALAS ŞEKERBAY’ın da atanması ile mevcut yapısı şu şekildedir:

Başkanlıklar

• Veri Yönetimi Dairesi Başkanlığı
• İnceleme Dairesi Başkanlığı
• Hukuk İşleri Dairesi Başkanlığı
• Veri Güvenliği ve Bilgi Sistemleri Dairesi Başkanlığı
• Rehberlik, Araştırma ve Kurumsal İletişim Dairesi Başkanlığı
• İnsan Kaynakları ve Destek Hizmetleri Dairesi Başkanlığı
• Strateji Geliştirme Dairesi Başkanlığı

Kurum, 2018 yılından beri gerçekleştirdiği Çarşamba Seminerleri’ne ve 2021 yılından itibaren gerçekleştirdiği podcast yayınlarına 2023 yılında da devam etmiştir. Ayrıca, 2023 yılında da birçok seminer, çalıştay, eğitim ve etkinlik gerçekleştirmiştir. Bunlardan bazıları;

• 28 Ocak Veri Koruma Günü
• 7 Nisan Kişisel Verileri Koruma Günü
• E-Safe Kişisel Verileri Koruma Zirvesi
• Ulusararası Kişisel Verileri Koruma Kongresi
• Çarşamba Seminerleri olarak;
  • Kişisel Verilerin İşlenmesinde Amaç Odaklı Bakış: Ölçülülük İlkesi
  • Bir Sorumluluk Şekli Olarak Ortak Veri Sorumluluğu
  • Yurt Dışına Veri Aktarımı: Avrupa Birliği ve Temel Farklılıklar
  • Çerezler Aracılığıyla Kişisel Verilerin İşlenmesi
  • Kişisel Verilerin Korunması Açısından Dijital Parmak İzi
  • Kişisel Verilerin Korunması Kapsamında Blokzincir Teknolojisi
  • Kabahatler Kanunu Kapsamında KVKK’deki İdari Yaptırımlar
  • Sigorta Hukukunda Kişisel Verilerin Korunması
  • İşçi-İşveren İlişkileri Bağlamında Kişisel Verilerin Korunması
  • IoT (Nesnelerin İnterneti) Uygulamalarında Kişisel Veri Güvenliği ve Mahremiyetin Korunması
  • Bulut Bilişimde Kişisel Veri Güvenliği
  • Risk Temelli Yaklaşım
  • Hedefli Reklamcılık Uygulamalarının Kişisel Verilerin Korunması Hukuku Açısından Değerlendirilmesi
• Podcast yayınlarında ise;
  • Kişisel Verilerin Korunması Alanında Uluslararası ve Ulusal Düzenlemeler
  • 6698 sayılı Kişisel Verileri Korunması Kanunu Amacı ve Kapsamı
  • Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi 

ele alınan başlıklardır.

Ayrıca, Eylül 2023 itibariyle “Bir Küçük Farkındalık Yeter” isimli podcast kanalı ile yeni bir podcast serisinin yayınlanmaya başladığı duyurulmuştur. KVKK Gündem adı verilen bu seride; ilgililerin, kişisel verilerin korunmasına ilişkin dünyada ve ülkemizde gerçekleşen gelişmeler konusunda bilgilendirilmesi amaçlanmaktadır.

Kurum, 2018 yılı için ilk defa faaliyet raporu yayımlamış ve bu uygulamasını 2019, 2020, 2021 ve 2022 yılları için devam ettirmiştir. Kurum, işbu Türk Veri Koruma Hukuku 2023 Sekizinci Yılında Uygulamadaki Gelişmeler çalışmasının yayımlandığı tarih itibariyle 2023 yılı için faaliyet raporunu yayımlamamıştır. Kurum’un faaliyetlerine ilişkin genel bilgilere, Kurum’un resmi internet sitesinde yer alan “KVKK Bülten” başlığı altında ulaşılabilmektedir. Bu kapsamda, 2022 yılına kadar olan istatistiki bilgiler faaliyet raporlarından alınmış; 2023 yılına ait istatistiki bilgiler ise KVKK Bülten başlığı altında yer alan “Temmuz 2023 Sayı:1 (Üretici Yapay Zeka Çağında Mahremiyeti Yeniden Düşünmek)” ve “Temmuz-Eylül 2023 Sayı:2 (Gölgede Kalan İzler: Unutulma Hakkı)” ve ayrıca, kısa video formatında aylık olarak paylaşılan KVKK Bülten’lerinden 2023 yılı için Ekim ve Kasım ayları (hepsi birlikte “KVKK Bültenleri” olarak anılacaktır) içeriklerinden alınmıştır.

Kasım 2023 tarihi itibariyle toplam 274 adet veri ihlal bildirimi, 8490 adet şikayet başvurusu gerçekleşmiş olup; 2 adet taahhütname başvurusu kabul edilerek yurt dışı veri aktarım izni verilmiştir.  İşbu çalışma kapsamında, ayrıca 2023 yılı içinde Kurum resmi internet sitesinde yer alan yayınlar da dikkate alınmış olup; 2023 yılı içerisinde 74 adet karar özeti kamuoyu ile paylaşılmıştır.

II. Kurul’un 2023 Yılında Kamuoyu ile Paylaşılan Denetleyici Faaliyetlerine Genel Bakış

 

2. Kurul’un Faaliyetlerine Yönelik İstatistiki Veriler

İşbu çalışmanın hazırlandığı tarih itibariyle Kurul, 2023 yılı Faaliyet Raporu’nu henüz yayımlamamıştır. Bu sebeple Ocak 2023’ten Kasım 2023’e kadar geçen on bir aylık döneme ilişkin olarak KVKK Bültenlerinden edinilen istatistiki verilere yer verilmiştir.

Ayrıca, Kurul’un yayımlamış olduğu 2019, 2020, 2021 ve 2022 yılı Faaliyet Raporunda açıklanan bilgilere göre istatistiki veriler aşağıdaki gibidir:

3. Şikayetler

3.1. Şikayetlerin Sektör Bazında Dağılımı

İşbu çalışmanın hazırlandığı tarih itibariyle Kurum tarafından şikayetlerin sektör bazında dağılımı kamuoyu ile paylaşılmamıştır. 2019, 2020, 2021 ve 2022 yılına ait şikayetlerin sektör bazında dağılım aşağıdaki tabloda yer almaktadır:

3.2. Şikayetler Konu Bazında Dağılımı

İşbu çalışmanın hazırlandığı tarih itibariyle Kurum tarafından şikayetlerin konu bazında dağılımı kamuoyu ile paylaşılmamıştır. 2019, 2020, 2021 ve 2022 yılına ait şikayetlerin konu bazında dağılım aşağıdaki tabloda yer almaktadır:

a) 2019 Yılı Şikayetler Bazında Dağılım[iii]

b) 2020 Yılı Şikayetler Bazında Dağılım[iv]

c) 2021 Yılı Şikayetler Bazında Dağılım[v]

d) 2022 Yılı Şikayetler Bazında Dağılım[vi]

e) 2023 Yılı Şikâyet ve İhbar Sayıları[vii]

4. VERBİS’e Kayıt ve Başvuru Sayıları ile VERBİS Üzerinden Gerçekleşen Faaliyetlerin Sayısal Özeti[viii]

İşbu çalışmanın hazırlandığı tarih itibariyle Kurum tarafından 2023 yılına ilişkin olarak VERBİS kayıt, başvuru ve faaliyetlerin sayısı kamuoyu ile paylaşılmamıştır. 31 Aralık 2022 tarihi itibariyle VERBİS’e kayıt ve başvuru sayılarına ilişkin istatistiki veriler aşağıdaki gibidir:

5. Taahhütname Başvurusu

2023 yılı içerisinde Kurul tarafından iki tane taahhütname başvurusu sonuçlandırılmış ve toplam taahhütname başvurusu onaylanan veri sorumlusu sayısı altıya ulaşmıştır. Aşağıda taahhütname başvurusu onaylanan veri sorumlularının listesini bulabilirsiniz:

6. Yaptırımlar

6.1. İdari Yaptırımlar

6.2. Yaptırımların İncelenmesi

• 2017-2023 Yılları Arasında 300.000.000 TL İdari Para Cezası
  • Kurul’un internet sitesinde yayımlanan en yüksek idari para cezası: WhatsApp’a 12 Ocak 2021 tarihli 2021/28 Karar’ı altında verilen 1.950.000 TL tutarındaki cezadır. Bu ceza, Kurul’un faaliyete başladığı tarihten itibaren açıklanmış olan ve tek kalemde kesilen en yüksek para cezasıdır.
• 2023 yılı içerisinde 74 adet Yayınlanmış Özet/Kısa Karar
  • Kişisel verilerin hukuka aykırı işlenmesini önlemek için gerekli teknik ve idari tedbirlerin alınmaması nedeniyle 46 adet idari para cezası,
  • Kişisel verilerin hukuka aykırı olarak işlendiğinin makul bir sürede Kurula ve veri sahiplerine bildirilmemesi nedeniyle 3 adet idari para cezası,
  • Genel veri koruma ilkelerine uyulmaması nedeniyle 7 adet idari para cezası,
  • İlgili kişilerin haklarını düzenleyen KVKK madde 11’e uyulmaması nedeniyle 6 adet idari para cezası,
  • KVKK’ye aykırılığın olmadığına ilişkin olarak 21 adet karar,

verilmiştir.

Kurum tarafından resmi internet sitesinde kamuoyu ile paylaşılan kararlar arasında; Kurul’un talimatlarını ve ihlalleri giderme emirlerini yerine getirmeme nedeniyle herhangi bir idari para cezası kesmediği görülmektedir.

• Sektörlere Göre Yayınlanan Kararlar

2023 yılı içerisinde Kurum’un internet sitesinde yayımlanan ve sektör bilgisine yer verilen kararlardan derlediğimiz üzere, verilen kararların sektörler bazında dağılımı aşağıdaki gibidir.

• • 10 karar Bankacılık ve Finans
  • 2 karar Kamu
  • 12 karar Perakende ve Elektronik Ticaret (“e-ticaret”)
  • 7 karar Bilişim, Telekomünikasyon ve Medya
  • 1 karar Endüstri
  • 2 karar İnsan Kaynakları
  • 10 karar Sağlık
  • 4 karar Hukuk
  • 3 karar Pazarlama
  • 17 karar Diğer Sektörler[x]

6 kararda ise sektör belirtilmemiştir.

6.3. İlgili Kanun Maddelerine Göre Yayınlanan Kararlar  ve Yaptırımlar

2023 yılı içerisinde Kurum’un internet sitesinde yayımlanan kararların ilgili kanun maddelerine göre dağılımı aşağıdaki şekildedir:

6.4. En Yüksek İdari Para Cezaları

Aşağıdaki tabloda Kurul tarafından 2018 yılından itibaren kamuoyuna duyurulmuş olan kararlar çerçevesinde kesilmiş olan en büyük 20 idari para cezası listelenmektedir. En yüksek idari para cezası kesilen ilk beş karara bakıldığında Bilişim ve Medya sektörünün en çok ceza alan sektör olarak ilk sırada geldiği görülmektedir. İlgili kararlar incelendiğinde ise, bu beş karardan dördünde veri ihlallerinin idari aksaklıklardan çok bilgi sistemlerindeki aksaklıklar ve Kurul’a zamanında bildirimde bulunulmamasından kaynaklandığı anlaşılmaktadır.

Yukarıdaki tabloda gösterildiği gibi, Kurul tarafından yayımlanmış kararlarda uygulanan yaptırımların çoğunluğu, madde 12’de düzenlenen veri güvenliği kurallarına uyulmamış olması gerekçesiyle idari para cezasını düzenleyen madde 18/1 (b)’ye dayanmaktadır. Bunun nedeni, KVKK’nin yalnızca madde 10, 12, 15 ve 16’nın ihlali için yaptırım öngörmesi ve KVKK’nin madde 4, 5, ve 6’nın ihlaline yönelik herhangi bir yaptırım öngörmemiş olmasıdır.

III. Kurul İlke Kararları

2023 yılı içerisinde Kurul ilke kararı yayımlamamıştır. 2022 yılına ait Kurul’un son yayımladığı ilke kararlarını buradan inceleyebilirsiniz.

IV. Önemli Karar Özetleri

1. Bankacılık ve Finans Sektörüne İlişkin Verilen Kararlar

1.1. Kurul’un “bir tasarruf finansman şirketi tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmaksızın işlenmesi ve ilgili numaraya reklam içerikli SMS gönderilmesi” hakkında 10 Şubat 2022 tarihli ve 2022/107 sayılı Kararı

Veri sorumlu olan finansman şirketi tarafından, ilgili kişiye ait cep telefon numarasına ticari amaçlı iletiler gönderilmiştir. Kurul tarafından yapılan inceleme neticesinde, ticari nitelikli bir elektronik iletinin, ticari elektronik ileti gönderilmesine ilişkin mevzuata uygun olarak gönderilmesinin yanı sıra, KVKK madde 5 uyarınca bir veri işleme şartı kapsamında gerçekleşmesi gerektiği belirtilmiştir. Her ne kadar somut olayda, veri sorumlusu tarafından ilgili kişinin İleti Yönetim Sistemi’ne (“İYS”) kaydının yapıldığı belirtilse dahi; İYS sistemine kaydının yapılmasına temel teşkil edecek nitelikte veri sorumlusu ile bir ilişkisinin olduğu veya kişisel verisinin işlenmesi hususunda açık rızasının alındığı tespit edilememiş olup; Kurul, veri sorumlusu hakkında 75.000 TL idari para cezası uygulanmasına karar vermiştir.

1.2. Kurul’un “veri sorumlusu banka tarafından ilgili kişinin kişisel verilerinin açık rızası alınmaksızın bir sigorta şirketine aktarılması” hakkındaki 3 Ağustos 2022 tarihli ve 2022/768 sayılı Kararı

İlgili kişi, cep telefonu numarasının bunu veri sorumlusu bir banka aracılığı ile elde eden sigorta şirketi tarafından pek çok kez arandığı iddiasıyla şikâyette bulunmuştur. Veri sorumlusu ise ilgili sigorta şirketi ile aralarında bulunan sigorta acentelik sözleşmesi uyarınca sigorta şirketinin ürünlerinin satış ve pazarlanması noktasında yetkili acente olarak hizmet verdiğini, ilgili kişinin kampanya, hizmet ve ürünlerle ilgili kişinin ticari ileti gönderilmesine yönelik izninin bulunduğunu ve bu kapsamda arandığını belirtmiştir. Ancak veri sorumlusunun savunmasında şikâyet konusu veri işleme faaliyetine yönelik KVKK kapsamında bir açık rıza aldığına dair ve kişinin şikâyet konusu veri işleme faaliyeti yönünde bir talimatının veya talebinin olduğuna dair kanıtlayıcı bilgi ve/veya belge sunulmamıştır. Ayrıca, Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik uyarınca, veri sorumlusunun sır saklama yükümlülüğünden istisna tutulabilmesi adına sadece belirtilen amaçlarla sınırlı kalınması şartıyla düzenlemesi gereken gizlilik sözleşmesi Kurum’a sunulmamıştır. Bu doğrultuda, KVKK madde 8’te yer alan veri aktarım şartlarının sağlanmadığı tespit edilmiş ve 250.000 TL idari para cezası uygulanmasına karar verilmiştir.

1.3. Kurul’un “ilgili kişinin Bankaya iletişim numarası olarak bildirmediği telefon numarasının kredi işlemleri ile ilgili olarak bilgilendirme yapılması suretiyle işlenmesi” hakkındaki 1 Ağustos 2023 tarihli ve 2023/932 sayılı Kararı

İlgili kişi, cep telefonu numarası aracılığıyla online olarak veri sorumlusu bankanın müşterisi olduğu ve bireysel kredi başvurusunda bulunduğunu, adına kayıtlı olan ama banka ile olan işlemlerinde kullanmadığı telefon numarasına da kredi başvurusu ile ilgili ve içeriği farklı kısa mesajlar iletildiğini, bankanın şikayet konusu cep telefon numarasının Kredi Kayıt Bürosu’ndan (“KKB“) aldığını belirttiğini, KKB’nin internet sitesinde araştırma yaptığında ise ilgili kuruluşta kayıtlı telefon numarasının bankaya vermiş olduğu telefon numarası ile aynı olduğunu tespit ettiğini belirtmiştir. Veri sorumlusu, KKB’nin Türkiye Bankalar Birliği (“TBB”) Risk Merkezi’nin tüm operasyonel ve teknik faaliyetlerini vekaleten kendi bünyesinde barındırdığını, bu açıdan şikayet özelinde de bankaların kredilendirme süreçlerinde karar almasına teşkil edebilecek ilgili tüm veri akışını kredi kuruluşlarına sağlayan resmi kredi bürosu niteliğinde bir kuruluş olduğunu, KKB’de üye statüsünde bulunan finansal kuruluşların, müşterilerine ait kredi bilgilerini birbirleriyle, amaçla sınırlı ve ölçülü şekilde paylaştığını belirtmiştir.  Bu doğrultuda, KKB kayıtlarından elde edilen alternatif mobil iletişim numarasının; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, kanunlarda açıkça öngörülmesi ve veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hukuki sebeplerine dayalı olarak işlendiğini ifade etmiştir. Kurul, ilgili kişinin kredi talebi sürecinde müşterinin beyan ettiği ve sistemleri aracılığıyla makul yöntemlerle (SMS OTP) doğrulanmış mobil iletişim bilgisinin kaydedildiğini tespit etmiştir. Söz konusu alternatif iletişim bilgisine, bankaların kanunen yerine getirmekle yükümlü olduğu başvuru güvenliği/dolandırıcılığın önlenmesi sürecinde, veri sorumlusunun Kredi Kayıt Bürosu (KKB) ile imzalamış olduğu veri aktarım sözleşmesi çerçevesinde, gerekli teknik ve idari tedbirlerin alınması ile sistem entegrasyonu aracılığıyla ilgili BT servisleri üzerinden otomatik olarak veya bankadaki görev tanımları dolandırıcılık girişimlerini önlemek olan sorumlu ekip üyelerince manuel olarak erişildiğini bu durumun 5411 sayılı Bankacılık Kanunu madde 73/4 uyarınca bankacılık mevzuatında da düzenlendiğini belirtmiştir. Dolayısıyla veri sorumlusu hakkında KVKK kapsamında yapılacak bir işlem bulunmadığına ve KKB kayıtlarının hangi kapsamda güncellendiği yönündeki bilgi talebi ve KKB tarafından bankalara sağlanan bilgilerin kapsamının yanlış veya güncel olmadığı yönünde iddialar mevcut ise öncelikle KKB nezdinde bu talep ve iddiaların ileri sürülmesi gerektiği hususunun ilgili kişiye hatırlatılmasına karar verilmiştir.

2. Bilişim, Telekomünikasyon ve Medya Sektörüne İlişkin Verilen Kararlar

2.1. Kurul’un “bir teknoloji şirketi tarafından ilgili kişinin kişisel verilerinin açık rızası olmaksızın yurt dışına aktarılması” hakkındaki 17 Mart 2022 tarihli ve 2022/249 sayılı Kararı

İlgili kişi, veri sorumlusunun sistemine internet sitesi üzerinden üye olduğunu, internet sitesinde çerez politikasının yer almadığını, aydınlatma metninde yurt dışına aktarım yapıldığının bildirildiğini fakat bu yönde açık rızası olmadığını, bunun üzerine internet sitesinde yer alan e-posta adresine başvurduğunu ve hangi verilerinin yurt dışına aktarıldığı konusunda bilgi istese de yasal süre içerisinde veri sorumlusundan cevap alamadığını belirterek şikâyette bulunmuştur. Veri sorumlusu, ilgili kişi başvurularına özel bir e-posta adresi oluşturulduğunu fakat başvurunun sehven gözden kaçırıldığını,  aydınlatma metninde çerezler vasıtası ile işlenen kişisel verilere ilişkin bilgilerin yer aldığını ve aydınlatmanın mevzuata uygun gerçekleştirildiğini, hizmetlerini yurt dışında bulunan bulut servis teknolojileri ile sağlandığını, internet sitesinde bulunan aydınlatma metninde yer alan yurt dışına aktarım bildiriminin verilerin yurt dışındaki sunucuda tutulması sebebiyle gerçekleştirildiğini, verilerin yurt dışında tutulmasının amacının etkin bir koruma sağlamak olduğunu belirtmiştir. Kurul, veri sorumlusunun asli sorumluluğunun kişisel veri işleme faaliyetinden önce ilgili kişileri aydınlatma yükümlülüğü olduğunu, ilgili kişinin başvurusunun sehven gözden kaçırılması dikkate alınarak etkin tedbirlerin alınmadığını, verilerin yurt dışına aktarılmasının veri işleme faaliyetinden bir farkı bulunmadığını, verilerin yurt dışında aktarılmasında kişisel veri işleme şartlarına ek diğer bazı şartların arandığını, yeterli koruma bulunmayan ülkelere yapılacak aktarımlarda yeterli korumayı taahhüt etme yollarının öngörüldüğünü ve veri sorumlusunun onaylanmış bir taahhütname başvurusunun bulunmadığını, veri sorumlusu tarafından yurt dışına aktarım faaliyeti kapsamında ilgili kişilerden açık rıza alınması yoluna başvurulmadığını tespit etmiştir. Kurul, veri sorumlusu hakkında yurt dışına aktarım faaliyetinin KVKK’ye uygun şekilde yerine getirilmediğini dikkate alarak 950.000 TL para cezası uygulanmasına karar vermiştir.

2.2. Kurul’un “TikTok Pte. Ltd.” hakkındaki 2023/134 sayılı Kararı

TikTok’a, KVKK uyarınca, açık rızanın usulüne uygun bir şekilde alınmaması, kişisel verilerin hukuka aykırı olarak elde edilmesi, yazılıma ait güvenlik açıklarının bulunması hususlarına yönelik yapılan şikayetler neticesinde Kurul tarafından resen inceleme başlatılmıştır. Yapılan inceleme kapsamında TikTok’un savunma yazısı, Gizlilik Politikası ve Hizmet Koşulları incelenmiştir. Kurul tarafından yapılan inceleme neticesinde:

• TikTok’un Ocak 2021 tarihinde Gizlilik Politikasında güncelleme yapılmadan önce13-16 yaş arası kullanıcılara ait profillerin varsayılan olarak herkese açık olarak dizayn edildiği ve böylelikle hassas yaş grubunda olan kullanıcıların profillerine etkileşimde sınırlandırma bulunmadan erişilmesinin risk teşkil ettiği ve risklerin belirlenerek azaltılmasına dair tedbir alınmadığı,
• 3 yaş altı çocukların kişisel verilerinin görüntülendiği ve veli/vasilerinin izni olmaksızın çocuklar hakkında veri toplandığı,
• Gizlilik Sözleşmesinde, kişisel verilerin hangi amaçla ve hangi işleme şartına dayanılarak işlendiği hakkında net bilgi verilmediği, bu sebeple “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerinin ihlal edildiği,
• TikTok hesabı oluşturulurken kullanıcıların hesap oluşturmaya devam etmeleri halinde Hizmet Koşulları (Kullanım Şartları) ile Gizlilik Politikasını kabul etmiş sayılacakları belirtilmekle beraber Hizmet Koşulları kısmında onay alınırken ilgili metnin Türkçe olarak hazırlanmadığı, bu sebeple kullanıcılara içeriğin kolay anlaşılır bir biçimde sunulmadığı ve kullanıcıların kullanım şartlarını tam olarak anlayamadan kabul edebileceği,
• TikTok’un Gizlilik Politikasının, aydınlatma yükümlülüğünü yerine getirmek için hazırlanmış bir metin olduğu fakat açık rıza metni yerine de kullanıldığı,
• Profilleme amacıyla çerezler kullanılarak kişisel veri işleme faaliyeti gerçekleştirildiği ancak bu duruma ilişkin olarak ilgili kişilerden açık rıza alınmadığı,

tespit edilmiştir.

Sonuç olarak, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı tespit edilen TikTok hakkında 1.750.000 TL idari para cezası uygulanmasına hükmedilmiştir. Ek olarak, TikTok’un Hizmet Koşullarının bir ay içerisinde Türkçeye çevrilmesi, Gizlilik Politikası metinlerinin üç ay içerisinde KVKK’ya uygun hale getirilmesi, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine uygun bir aydınlatma yapılması hususunda talimatlandırılmasına karar verilmiştir.

2.3. Kurul’un “ilgili kişinin Resmî Gazete’nin internet sayfasından erişilebilen bir ilana ilişkin olarak arama motorunda adı ve soy adı ile yapılan aramada ulaşılan sonuçların indeksten çıkarılması talebi” hakkındaki 10 Kasım 2022 tarihli ve 2022/1201 sayılı Kararı

İlgili kişi, ismi ile veri sorumlusu arama motoru üzerinden arama yapıldığında https://www.resmigazete.gov.tr/arsiv/*****.pdf üzerinden ulaşılan sayfanın unutulma hakkı kapsamında kaldırılmasını talep ettiği fakat gereğinin yapılmadığı iddiasıyla şikâyette bulunmuştur. Veri sorumlusu, ilgili kişinin adının arama sonuçlarından kaldırılmasındaki mahremiyet menfaati ile halkın bilgiye erişim hakkı dahil ifade özgürlüğü arasında denge testi yapılarak arama sonuçlarında kalmasından yana olduğu sonucuna varıldığını, kamusal menfaatin önemli rol oynadığını belirtmiştir. Öte yandan, veri sorumlusunun üçüncü kişi internet sayfalarında sunulan beyanların doğruluğunu veya yanlışlığını değerlendirmeye uygun bir konumda olmadığını, dolayısıyla kamu menfaati için önem arz eden ancak halihazırda yanlış olduğu iddia edilen ifadelerin ele alınması için uygun yöntemin mahkemelerin delilleri değerlendirmesi ve maddi gerçekleri tespit etmesi olduğunu belirtmiştir. Kurul yaptığı değerlendirmede, internette yer alan sayfalardaki kişisel veri barındıran içeriklerin belirli bir sistematiğe göre indekslenmesinin “kişisel veri işleme faaliyeti” olduğunu ve internet sitelerinden topladığı verilerin işlenmesinin amaç ve vasıtalarını belirlediği dikkate alındığında arama motoru işleticisi şirketin “veri sorumlusu” sıfatını haiz olduğunu belirtmiştir.

Ek olarak Kurul, somut olay özelinde arama motoru üzerinden yapılan aramada çıkan sonuçların indeksten çıkarılmasına ilişkin olarak; ilgili kişinin bir şirketin yönetim kurulu üyesi ve başkanı olduğunu, bu kapsamda söz konusu içeriğin ilgili kişinin iş yaşamına ilişkin olmadığını, içerikte yer alan verilerin işlenmesindeki amacın ilgili içeriğin kamu bilgisine sunulması değil ilgili kişiye tebliğinin sağlanması olduğunu ve bu sebeple yayınlanmasında kamu yararının bulunmadığını belirmiştir. Ayrıca, şikâyete konu URL adresinde yer alan Resmî Gazete’nin **/**/2000 ve mahkeme kararının da 1999 tarihli olduğu göz önüne alındığında 20 yıldan fazla sürenin geçmiş olduğunu, bu anlamda içeriğin güncelliğini yitirdiğini, her ne kadar içerikte yer alan bilgi ilgili kişinin üzerine atılı suçtan mahkeme kararıyla beraat ettiğinin teyidi olsa da ilgili kişi hakkında önyargıya sebep olabileceğini, içeriğin ilgili kişinin kendisi tarafından yayınlanmadığını, içeriğin gazetecilik faaliyeti kapsamında işlenen verileri kapsamadığını  ifade etmiş ve  ilgili kişinin ad ve soyadıyla yapılan arama sonucunda çıkan https://www.resmigazete.gov.tr/arsiv/*****.pdf URL adresinin ilgili kişinin ad ve soy adıyla ilişkilendirilemeyecek şekilde indeksten çıkarılması hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.

3. Sağlık Sektörüne İlişkin Kararlar

3.1. Kurul’un “ilgili kişinin ameliyat sırasında çekilen fotoğraflarının veri sorumlusu hastanede çalışan bir doktorun sosyal medya hesabında paylaşılması” hakkındaki 29 Haziran 2022 tarihli ve 2022/630 sayılı Kararı

İlgili kişi, veri sorumlusu bünyesinde çalışan doktor tarafından burun estetiği ameliyatında çekilen fotoğraflarının açık rızası alınmaksızın doktora ait sosyal medya hesabında paylaşılması sebebiyle şikâyette bulunmuştur. Kurul, ilgili kişinin, söz konusu veri işleme faaliyeti kapsamında açık rıza gösterdiği tarafın veri sorumlusu hastane olduğunu, fotoğrafların doktor tarafından paylaşılması konusunda açık rızasının bulunmadığını tespit etmiştir. Kurul ayrıca, ilgili kişinin fotoğraflarının doktor tarafından sosyal medya hesabında paylaşıldığı hususunda veri sorumlusu hastanenin bilgisinin bulunduğunu, bu doğrultuda veri sorumlusunun doktor tarafından fotoğrafların sosyal medya hesabında paylaşılmasını önleyici gerekli idari ve teknik tedbirleri almadığını da belirterek veri sorumlusu hastaneye 100.000 TL idari para cezası uygulamıştır. Kurul, doktor hakkında ise Türk Ceza Kanunu’nu kapsamında yargı yoluna başvurabileceği hususunda ilgili kişinin bilgilendirilmesine karar vermiştir.

3.2. Kurul’un “özel nitelikli kişisel sağlık verisi niteliğindeki bağımlılık yapıcı madde testinin sonuçlarının ilgili kişilerin açık rızası alınmaksızın veri sorumlusu özel bir sağlık kuruluşu tarafından ilgili kişilerin işyerinde görevli üçüncü bir kişiye ait e-posta adresine gönderilmesi” hakkındaki 22 Haziran 2022 tarihli ve 2022/594 sayılı Kararı

İlgili kişi, işverenince açıklama yapılmadan uyuşturucu testine zorlandığı, sonuçların açık rızası olmadan işyerindeki personele ait e-posta adresine gönderilerek üçüncü bir kişiye aktarıldığını ifade ederek şikâyette bulunmuştur. Kurul tarafından yapılan inceleme neticesinde, ilgili kişilere ait özel nitelikli kişisel verilerin veri sorumlusu sağlık kuruluşu tarafından ilgili kişilerin işyerinde görevli üçüncü bir kişiye ait e-posta adresine gönderilmesine ilişkin olarak KVKK’de yer alan veri işleme şartlarını taşımadığı ve bu noktada açık rıza alınmadığı anlaşılmıştır. Bu doğrultuda, veri sorumlusu tarafından kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alınmamasından kaynaklı veri ihlali yaşandığı tespit edilmiştir. Söz konusu ihlalden etkilenen kişi sayısının ilgili kişilerle sınırlı kalmadığı, ilgili veri işleme faaliyetinde kişilerin özel nitelikli kişisel veri niteliğini haiz sağlık verilerinin işlendiği, veri sorumlusunun yaklaşık 600’e yakın çalışan ile birçok ilde sağlık hizmetleri verdiği hususları da dikkate alınmış ve veri sorumlusu hakkında 75.000 TL idari para cezası uygulanmasına karar verilmiştir.

3.3. Kurul’un “bir hastanenin reklam ve tanıtım faaliyetleri kapsamında sağlık verileri de dahil kişisel verilerin işlenmesine ilişkin olarak hastalardan açık rıza almasının hukuka aykırı olduğuna yönelik ihbar” hakkındaki 11 Mayıs 2023 tarihli ve 2023/787 sayılı Kararı

Somut olayda, veri sorumlusu hastanenin reklam ve tanıtım faaliyetleri kapsamında sağlık verileri de dahil kişisel verilerin işenmesine ilişkin olarak hastalardan açık rıza almasının hukuka aykırı olması dolayısıyla şikâyette bulunulmuştur. Veri sorumlusu tarafından ise toplum nezdinde az bilinen hastalıklar konusunda toplumsal bilincin oluşturulması ile bu hastalıkların özellikleri ve tedavi süreci hakkında sağlığı koruyucu ve geliştirici nitelikte bilgilendirme gerçekleştirilmesi amacıyla bu hastalıklara sahip hastalara aydınlatma yapılarak ve açık rızaları alınarak fotoğraf ve bilgilendirici video çekimlerinin gerçekleştirildiği, bu görüntülerin şirketlerinin internet sitesi ve sosyal medya hesaplarından paylaşıldığı belirtilmiştir. Kurul tarafından yapılan inceleme neticesinde, veri sorumlusu tarafından hastalarına sunulan “Fotoğraf/Video Çekimi Yapılmasına Özgü Kişisel Verilerin Korunması Hakkında Aydınlatılmış Onam Formu” ile hastalardan açık rızaları alınarak pazarlama, reklam ve tanıtım süreçlerinin yürütülmesi amacıyla fotoğraf/video çekimlerinin kayıt altına alınacağı ve bunların hizmet alınan, iş birliği yapılan veya anlaşmalı olunan üçüncü kişilere, ulusal, yerel ve uluslararası basın yayın organları ile sosyal medya platformlarına aktarılabileceği düzenlenmiştir.  Kurul yaptığı değerlendirme neticesinde, veri sorumlusu tarafından toplum nezdinde az olarak bilinen hastalıklar konusunda toplum bilinci oluşturulması amacıyla yapılmış ve açık rıza alınmış olsa dahi kişisel sağlık verilerinin işlenmesinin zorunlu olmadığı, zira herhangi bir kişisel veri işlenmeksizin yalnızca ilgili hastalıklar hakkında bilgilendirme yapılmasının mümkün olduğu, dolayısıyla ulaşılmak istenen amaç bakımından kişisel verilerin işlenmesini gerektirmeyen alternatif yolların mevcut olduğu ve kişisel verilerin işlenmesinin gerekli olmadığını belirtmiştir. Tüm bu sebepler doğrultusunda da kişisel veri işleme faaliyetinin ölçülülük ilkesine aykırılık teşkil ettiğine karar vermiştir. Öte yandan, her ne kadar ilgili kişilerin açık rızası bulunsa da sektörel düzenlemeler uyarınca özel hastanelerin talep yaratmaya yönelik tanıtım yapmalarının yasak olduğu ve Özel Hastaneler Yönetmeliği uyarınca, özel hastanelerin talep yaratmaya yönelik reklam mahiyetinde tanıtım yapamayacağının düzenlendiği dikkate alındığında somut olayda açık rızanın bir veri işleme şartı olarak ileri sürülemeyeceği ve dolayısıyla söz konusu veri işleme faaliyetinin KVKK’de düzenlenen herhangi bir veri işleme şartını taşımadığını belirtmiştir. Sonuç olarak, Kurul, veri sorumlusu hastaneye 250.000 TL idari para cezası uygulamıştır.

3.4. Kurul’un “bir özel sağlık kuruluşu tarafından sunulan sağlık hizmetinin açık rıza şartına bağlanması” hakkındaki 2 Mayıs 2023 tarihli ve 2023/692 sayılı Kararı

ilgili kişi, veri sorumlusu olan sağlık kuruluşunun internet sitesi üzerinden randevu almak isteyen kişilerin kişisel verilerini girdiği ekranda “… Sağlık Grubu hizmetleri ve duyurularından haberdar olmak için kişisel bilgilerimin kullanılmasına ve benimle iletişime geçilmesine izin veriyorum” ibaresinin yanındaki kutucuğun işaretlenmediği sürece randevu oluşturamaması sebebi ile Kurul’a ihbarda bulunmuştur. Kurul’un incelemesi başlamadan önce veri sorumlusu internet sitesini düzenlemiş ve hizmet şartına dayalı olmayacak şekilde açık rıza verilmesi mümkün kılınmıştır.  Ancak Kurul, her ne kadar hukuka aykırılık giderilmiş olsa da; ilgili kişilerin hizmet almalarına ön adım teşkil eden randevu hizmetinin, veri sorumlusunun tanıtımına yönelik açık rıza şartına bağlanmış olduğunu; sunulacak sağlık hizmetiyle doğrudan bağlantılı olmayan ve yalnızca veri sorumlusunun hizmetlerinin tanıtımından dolayı menfaat sağladığı işleme faaliyetine yönelik verilecek açık rıza beyanının zorunlu tutulmasının ilgili kişilerin bu husustaki iradelerini sakatlayacağını belirtmiştir. Kurul ayrıca hizmet kapsamında randevu başvuru formunda işlenmesi gereken kişisel verilerin açık rıza işleme şartı dışındaki işleme şartları mevcut olmasına rağmen açık rıza işleme şartına dayanmasının aldatıcı ve hakkın kötüye kullanımı niteliğinde olacağı ve bu durumun hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırılık teşkil ettiği için toplam 300.000 TL idari para ceza uygulamıştır. Ayrıca, randevu başvuru formunun altında yer alan “Kişisel verilerimin işlenmesine ilişkin aydınlatma metnini okudum. Kişisel Verilerin Korunması Kanunu’na uygun şekilde verilerimin işlenmesine onay veriyorum.” ifadesinin ilgili kişiler tarafından aydınlatma metnine onay veriliyormuş izlenimi yarattığı; söz konusu metinden “onay veriyorum” ifadesinin çıkarılarak aydınlatma yükümlülüğünün yerine getirildiğinin veri sorumlusu tarafından ispat edilmesini teminen yalnızca aydınlatma metninin okunduğuna dair bir kutucuğun işaretlenmesi şeklinde bir düzenlemenin yapılması ve sonucundan Kurul’a bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.

3.5. Kurul’un “özel bir tıp merkezi tarafından ilgili kişinin e-Nabız sistemindeki verilerine hukuka aykırı erişilmesi” hakkındaki 2 Mayıs 2023 tarihli ve 2023/695 sayılı Kararı

İlgili kişi, daha önce sağlık hizmeti almadığı tıp merkezi çalışanı hekim tarafından sağlık verilerinin e-Nabız sistemi üzerinden görüntülenmesi dolayısıyla hukuka aykırı veri işleme faaliyeti sebebi ile şikâyette bulunmuştur. Veri sorumlusu, bünyesinde çalışan hekimin sekreteri tarafından hastane bilgisi ve rızası dışında ilgili kişinin e-Nabız bilgilerinin sorgulandığını, e-Nabız sistemi üzerinden kişinin gizlilik paylaşım ayarlarının “Sağlık Bakanalığı’na Bağlı Tüm Hekimler Verilerimi Görsün” şeklinde seçilmiş olduğunu ve hekimlerin sağlık verilerine erişim sağlayabileceğini belirtmiştir. Bu doğrultuda, Kurul tarafından yapılan inceleme neticesinde, gizlilik paylaşım ayarlarının “Sağlık Bakanlığına Bağlı Tüm Hekimler Verilerimi Görsün” şeklinde ayarlamış olabileceği ancak kişilerin kendi kayıtlarına erişim yetkisini vermesinin, diğer sağlık personeline/hekimlere bu verileri amacı dışında işleme hakkını vermediğini belirterek sisteme erişim yetkilerinin sınırlandırılmasında gerekli düzenlemelerin (gizlilik sözleşmesi, erişim yetkisi tanımlamaları vb.) sağlanmadığı belirtilmiştir. Sonuç olarak, KVKK’de düzenlenen kişisel veri işleme şartlarından herhangi birine dayanılmaksızın ilgili kişinin e-Nabız sisteminde tutulan bilgilerine erişildiği, bu hususta veri sorumlusunun çalışanı olan hekimin e-Nabız şifresini korunmasına yönelik gerekli özeni göstermesini sağlamak adına gerekli önlemlerin alınmadığı, hekim ve ilgili çalışanlara kişisel verilerin korunması konusunda eğitim verildiğinin tevsik edilemediği hususları dikkate alındığında veri sorumlusunun kişisel verilere hukuka aykırı erişilmesini önlemek amacıyla makul tedbirleri almadığından bahisle 200.000 TL idari para cezası uygulanmasına karar verilmiştir.

3.6. Kurul’un “evli çifte ait sağlık verilerini içeren özel nitelikli kişisel verilerin gazetede yayımlanmak suretiyle işlenmesi” hakkındaki 11 Mayıs 2023 Tarihli ve 2023/767 Sayılı Kararı

İlgili kişiler özel bir hastaneden aldıkları sağlık hizmeti sırasında yaşanan olumsuzluklar nedeniyle tedaviyi yapan doktor hakkında Sağlık Bakanlığı’na, Cumhuriyet Başsavcılığı’na ve hastaneye şikayetlerde bulunmuştur. Ayrıca, tedavi tarihinden sonra yüksek tirajlı bir gazetede özel nitelikli kişisel verileri içeren bir haber yayımlanmış, bu haberde hastaneye gönderdikleri ihtarnamenin kaynak olarak kullanıldığı iddia edilmiştir.  İlgili kişi tarafından doktor ve hasta arasında gizli kalması gereken kişisel verilerin gazetede yayımlanmasının hukuka aykırılık oluşturduğu, kamusal yarar bulunmaması sebebi ile ifade özgürlüğü ve basın hürriyeti kapsamında değerlendirilemeyeceği belirtilmiştir. Öte yandan, haberin yapıldığı gazetenin yazarı ve sosyal medya üzerinden paylaşım yapan gazeteci hakkında iftira ve hakaret içeren pek çok yorum nedeniyle ilgili kişiler Kurul’a şikayette bulunmuşlardır. Kişilik haklarına saldırı mahiyetinde olmayan haberin hukuka uygun olduğunun kabul edilebilmesi için; kamu ilgi ve yararı taşıması, gerçek ve güncel olması, öz ile biçim arasındaki dengenin gözetilmiş olması gerektiği belirtilmiştir. Bu durumda, kamu yararının tespitinde haberin kişilerin gereksiz merak duygularına mı yoksa yüksek ahlaki ve hukuki değerlerin korunmasına mı hizmet ettiği değerlendirilerek bir sonuca varılmasının uygun olacağı, toplumsal ilgi uyandıran, kamuoyunu düşünmeye ve tartışmaya sevk eden, belli bir sorunun aydınlatılmasına ve çözüm yollarının gösterilmesine hizmet eden olayların açıklamasında kamu yararının bulunduğunun söylenebileceği ifade edilmiştir.  Ayrıca Kurul kararında, gerçeklik unsurunun somut gerçeğe değil, olayın, haberin verildiği andaki biçimine uygunluk olarak anlaşılması gerektiği vurgulanmıştır.  Öte yandan, haberde kullanılan dil, ifade ve resimlerin haberin veriliş biçiminin gerektirdiği ölçüde olması, bir olayın açıklanmasında kullanılan dil ve sözcüklerin orta düzeydeki bir okuyucu üzerinde başka bir anlama gelecek şekilde yer almaması gerektiği, haberin verilişinde gerekli, ilgili ve yararlı olmayan beyan ve değerlendirmelerde bulunulması halinde kişilik hakkı ile çatışan basın özgürlüğüne üstünlük tanınmasının mümkün olmayacağı değerlendirilmiştir.  Yayımlanan haber veya eleştiride kamuoyunu aydınlatma görevinin dışına çıkılarak sansasyon yaratma, küçük düşürme ve daha fazla tiraj sağlama gibi öznel amaçlarla kişinin onur ve saygınlığına saldırı teşkil eden aşağılayıcı ve lüzumsuz ifadelere yer verilmiş olması halinde haberin özü ile biçim arasındaki dengenin gözetilmediği şeklinde yorumlanacağı belirtilmiştir. Bu noktada haberin özü ile biçimi arasındaki denge unsuru değerlendirilirken haberin bütününün dikkate alınması gerektiği ifade edilmiştir. Ayrıca, ifade özgürlüğü ile kişilik haklarının çatışması halinde çatışan menfaatlerin dengelenip dengelenmediğini ve basın özgürlüğüne yapılan müdahalenin demokratik toplumda gerekli ve orantılı olup olmadığını belirlemeye yönelik olarak; basında yer alan yazı veya ifadelerin kamuoyunu ilgilendiren genel yarara ilişkin bir tartışmaya sağladığı katkı, hedef alınan kişinin tanınmışlık düzeyi ve yazının amacı, ilgili kişinin medyaya karşı önceden yaptığı davranışları, bilginin elde edilme yöntemi ve doğruluğu, yayının içeriği, biçimi, sonuçları ve yapılan haber dolayısıyla uygulanan yaptırımın ağırlığı kriterlerinin esas alındığı ifade edilmiştir.

Kurul yaptığı inceleme neticesinde, özle biçim arasındaki denge unsuru bakımından; taraflar arasında yaşanan olayın, ilgili kişilerin özel hayatının gizliliğini ihlal edecek boyutta detaylar içerecek şekilde haberleştirildiği, olayın bir gazete haberinin gerektirdiğinden fazla detay ile anlatılmak istenen özden uzaklaşılarak verildiği, ilgili kişilerin sağlık sorununa ilişkin tüm detaylar, olayın meydana geliş sürecinde sarf edilen sözler, olayın hangi mekanlarda geçtiği gibi anlatılmak istenen özden uzaklaşmak suretiyle fazlaca detaya yer verildiği ve bu detayların ilgili kişilerin kişilik haklarını ihlal ettiğini değerlendirmiştir. Ayrıca, haberin yapılmasında kamu ilgi ve yararı kriteri mevcut ise de habere konu edilen detayların kamuoyu tarafından bilinmesinde bir menfaat olmadığı, söz konusu kişisel verilerin yayımlanmasının toplumun genelini ilgilendiren ya da ilgilendirmesi gereken bir durum olmadığı, toplumu bir olayı düşünmeye sevk etmediği ya da kamuoyunda tartışılan bir meseleye katkı sağlayabilecek nitelikte olmadığı, aksine ilgili kişilerin kişisel verilerinin korunması hakkının ihlal edilmesi sonucu kişilik haklarını zedelediği, öte yandan haberde yer verilen kişisel verilerin özel nitelikli veri niteliğini haiz olması sebebiyle özle biçim arasındaki denge unsurunun sağlanamadığı belirtilmiştir.  Sonuç olarak, şikâyete konu haberde yer alan özel nitelikli kişisel veriler bakımından ifade özgürlüğü ile kişilik hakları arasında yapılan karşılaştırma neticesinde ilgili kişiler bakımından kişilik hakkı ve özel hayatın gizliliğinin ihlal edildiği kanaatine ulaşılmış olması nedeniyle KVKK madde 28/1(c) kapsamında ifade özgürlüğü istisnasına öncelik tanınamayacağı, bu minvalde söz konusu haberde yer verilen özel nitelikli kişisel verilerin KVKK kapsamında geçerli bir işleme şartına dayanmaksızın işlenmiş olmasının kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirlerin alınmamış  olmasını sonuçlayacağı dolayısıyla 100.000 TL idari para cezası uygulanmasına karar verilmiştir.

3.7. Kurul’un “ilgili kişinin rapor ve ilaç kayıtlarının eczane tarafından eski eşi ile paylaşılması” hakkındaki 6 Temmuz 2023 Tarih ve 2023/1130 Sayılı Kararı

İlgili kişi, eski eşi ile aralarında velâyet davası görüldüğü, kendisine ait hastane rapor ve ilaç kayıtlarının eczacı tarafından Medula sisteminden çıkartılarak eski eşine verildiği iddiasıyla şikâyette bulunmuştur. Veri sorumlusu, tarafların boşandıklarını ve aralarında velayet konusunda bir husumet bulunduğunu bilmeyen eczane çalışanının, ilgili kişiye faydalı olabilmek maksadı ile ilgili kişinin eşi olarak bildiği kişiye raporları verdiği, ilgili kişinin 4 yıl boyunca ilaçlarının kendi nam ve hesabına eşi tarafından eczaneden alınmasına, reçetelerinin eczaneye vermesine ve eşinin kendi adına reçete işlemleri yapmasına onay verdiği ve eczacıya ilgili kişinin duruma rızası bulunmadığının söylenmediğini belirtmiştir. Kurul, veri sorumlusu eczacının Medula sistemini kullanarak edindiği ilgili kişiye ait özel nitelikli kişisel verileri KVKK’de yer alan veri işleme şartlarından herhangi birine dayanılmaksızın üçüncü kişi olan boşandığı eşi ile paylaştığının anlaşıldığı, bu kapsamda veri sorumlusunun KVKK’de yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alma yükümlülüğünü yerine getirmediğini değerlendirmiştir. Sonuç olarak, veri sorumlusu hakkında KVKK kapsamında 50.000 TL idari para cezası uygulanmasına ve Mevzuata azami dikkat ve özenin gösterilmesi hususunda veri sorumlusu eczacının uyarılmasına karar verilmiştir.

4. Perakende ve Elektronik Ticaret Sektörüne İlişkin Kararlar

4.1. Kurul’un “ilgili kişinin, çevrimiçi alışveriş hizmeti veren veri sorumlusundan gerçekleştirdiği alışverişine ilişkin kredi kartı ve cep telefonu bilgilerinin kendisine bildirilmesi talebi” hakkındaki 7 Temmuz 2022 tarihli ve 2022/653 sayılı Kararı

İlgili kişi, veri sorumlusu şirketin sunduğu çevrimiçi alışveriş platformu üzerinden gerçekleştirdiği alışveriş ile ilgili olarak, uygulamaya girdiği kredi kartı bilgilerini ve sipariş teslimatı için verilen iletişim bilgisini talep etmiştir. Ancak veri sorumlusu, ilgili kişinin sipariş bilgisi talep ettiği bazı siparişlerin ilgili kişinin üyelik hesabından yapılmasına rağmen üçüncü bir kişiye ait bilgilerinin verildiğini ve bu sebeple talep konusu siparişlerin üçüncü kişilere ait olması ve veri sorumlusu bünyesinde kredi kartı bilgilerinin bulunmaması nedeniyle başvuruyu reddettiğini belirtmiştir. Kurul, kart hamili verisinin mobil ödeme teknolojisi sağlayıcısı aracı şirkete ait sistemlerde saklanması dolayısıyla veri sorumlusu bünyesinde kart bilgisinin tutulmadığını tespit etmiştir. Öte yandan Kurul, ilgili kararda, Avrupa Veri Koruma Otoritesi’nin “İlgili Kişi Hakları- Erişim Hakkı Üzerine 01/2022 sayılı Rehber” ilkelerine atıf yapmış; diğer kişinin hak ve özgürlüklerinin olumsuz etkilendiği ve kişisel verilere erişim hakkına üstün geldiği sürece, ilgili kişiye erişim hakkının sağlanmamasının tavsiye edildiğini belirtmiştir. Sonuç olarak Kurul, ilgili kişinin kişisel verisi olmaması nedeniyle kişisel verilere erişim hakkı kapsamında veri sorumlusu tarafından telefon numarasının ilgili kişiye sağlanamayacağına kanaat getirmiştir. Ancak Kurul, ilgili kişinin üyelik hesabından verilen siparişlerin teslimatı için bildirilen telefon numarasının kimlik doğrulama mekanizmaları aracılığıyla ilgili kişiye sağlanması yönünde veri sorumlusunu talimatlandırmıştır.

4.2. Kurul’un “veri sorumlusu bir giyim mağazası için katalog modeli olarak çalışan ilgili kişinin fotoğraflarının, iş ilişkisinin sona ermesinden sonraki süreçte açık rızası olmaksızın veri sorumlusuna ait internet sitesinde yayınlanmaya devam edilmesi” hakkındaki 18 Mayıs 2022 tarihli ve 2022/491 sayılı Kararı

İlgili kişi veri sorumlusu giyim mağazasınca iş ilişkisi sona ermesine rağmen katalog modelliği yaptığı ürünlerin fotoğraflarının açık rızası olmadan internet sitesinde yayınlanmaya devam etmesi sebebiyle şikâyette bulunmuştur. Kurul yaptığı inceleme neticesinde, ilgili kişinin fotoğraflarının ilgili kişi ile veri sorumlusu arasındaki sözleşmeye istinaden KVKK madde 5/2(c) uyarınca, internet sitesinde yayınlaması dolayısıyla işlenmesini ve veri sorumlusunun, kıyafetlerin stoklarının bitmesi süresi ile sınırlı olarak muhafaza edilmesini uygun bulmuş ve KVKK kapsamında yapılacak bir işlem bulunmadığına karar vermiştir.

4.3. Kurul’un “veri sorumlusu bir elektronik ticaret sitesinden alışveriş yapan üçüncü kişiye ait sipariş bilgilerinin ilgili kişinin e-posta adresine gönderilmesi” hakkındaki 3 Ağustos 2022 tarihli ve 2022/774 sayılı Kararı

İlgili kişi, e-posta adresine e-ticaret sitesinden alışveriş yapan üçüncü bir kişinin kişisel verilerinin ve sipariş bilgilerinin gönderildiği, müşteri hizmetleri ile iletişime geçmesi sonucu durumun isim benzerliği nedeniyle ortaya çıktığını ve e-posta adresinin silindiğini fakat e-posta adresine halen reklam içerikli e-postaların iletildiği iddiasıyla şikâyette bulunmuştur. Veri sorumlusu isim benzerliği sonucu sehven ilgili kişiye bildirim gönderildiğini, ilgili kişinin yaptığı başvuruda kendisine e-posta gönderilmemesine ilişkin bir talepte bulunmadığını belirtmiştir. Kurul yaptığı inceleme neticesinde, veri sorumlusu tarafından taraflara yönelik bir teyit mekanizması kurulmadan satış sözleşmesi ile ilgisiz üçüncü kişi konumundaki ilgili kişiye sipariş bilgilendirmesine dair e-posta gönderilmesi dolayısıyla kişisel verilerin KVKK madde 5’te yer alan işleme şartlarından herhangi birine dayanılmaksızın işlendiğini ve veri güvenliğine ilişkin yükümlülüklerin yerine getirilmediğini tespit emiştir. Ayrıca, söz konusu e-postanın yanlış muhataba gönderilmesi halinde hak kaybına yol açabileceği hususlarını da dikkate alarak veri sorumlusu hakkında 120.000 TL idari para cezası uygulanmasına karar vermiştir.

4.4. Kurul’un “tüketici finansman kredisiyle alışveriş imkânı sunan şirket tarafından ilgili kişilerden e-Devlet şifrelerinin talep edilmesi” hakkındaki 22 Mart 2023 tarihli ve 2023/426 sayılı Kararı

İlgili kişi şikayet dilekçesinde tüketici finansman kredisiyle alışveriş imkânı sunan şirketten senetle televizyon alındığı sırada kendisinden e-Devlet şifresinin talep edildiğini ve kendisi dışında birçok kişiden e-Devlet şifrelerinin alındığını belirtmiştir. Veri sorumlusu tarafından ise ilgili kişinin işe başlama kaydının sigorta hizmet dökümü üzerinden teyit edilmesi amacıyla müşterinin en yakın şubeye davet edilerek sigorta kayıtlarının beyan edilmesinin talep edildiği, bu bilgilerin e-Devlet sistemi üzerinden temin edilebileceği ancak şirketin ilgili kişinin e-Devlet şifresini talep etmediği ve ilgili kişinin e-Devlet şifresinin bilinmediği ifade edilmiştir. E-Devlet üzerinden sadece müracaat anında müşterinin sigorta hizmet dökümünü görüntülemek, işe başladığını teyit etmek ve öğrenebilmek adına kendi rızası olduğu takdirde ve kendi cep telefonundan kendisinin görebileceği şekilde e-Devlet üzerinden talep edilen kayıtların gösterilmesinin talep edildiği ve ilgili kişiye ait kayıtların paylaşılmadığı belirtilmiştir. Kurul tarafından yapılan inceleme neticesinde, Kurul nezdinde ilgili kişilerin e-Devlet şifrelerine erişim sağlandığı yönünde güçlü bir kanaat oluşmuş ve ilgili kişilerin e-Devlet şifreleri talep edilerek hassas nitelikli olanlar da dahil pek çok kişisel veriye erişim sağlanabileceği sonucuna varıldığından yapılan taksitli alışverişlerde e-Devlet şifrelerinin talep edilmesinin KVKK madde 5’te yer alan herhangi bir veri işleme şartına dayanmaması nedeniyle 400.000 TL idari para cezası uygulanmasına karar verilmiştir.

4.5. Kurul’un “bir e-ticaret sitesinden alışveriş yapılabilmesi için kredi/banka kartı bilgilerinin kaydedilmesinin zorunlu tutulması” hakkındaki 11 Nisan 2023 Tarihli ve 2023/567 Sayılı Kararı

İlgili kişi, e-ticaret sitesi üzerinden alışveriş yapması esnasında, hukuka uygun veri işleme şartlarının olmaması ve aydınlatma yükümlülüğünün yerine getirilmemesi sebebi ile veri sorumlusu hakkında şikayette bulunmuştur. Kurul tarafından yapılan inceleme neticesinde, kart bilgisi sisteme kaydedilmeden alışverişin tamamlanamadığı ve alışveriş tamamlandıktan sonra da kart bilgilerinin cüzdan bölümünde kayıtlı tutulduğu anlaşılmıştır. Kurul, Avrupa Veri Koruma Otoritesi (EDPB) tarafından 19 Mayıs 2021 tarihinde kabul edilen “Kredi Kartı Verilerinin Yalnızca Sonraki Çevrimiçi Satın Almaları Kolaylaştırmak Amacıyla İşlenmesinde Veri İşleme Şartları Konulu 02/2021 sayılı Tavsiye Kararı”na atıfta bulunarak satın almaları kolaylaştırmak amacıyla kart bilgilerinin işlenmeye devam edilmesinde dayanılabilecek işleme şartının rıza olarak kabul edildiğini belirtmiştir. Zira, veri sorumlusu tarafından ödeme aracı ekleyen ilgili kişilerin sonraki satın almaları kolaylıkla yapılabilmesi amacıyla kart bilgilerin işlenmesine devam edilmesinin veri sorumlusu tarafından yeni bir veri işleme amacının ortaya koyulduğunun göstergesi olduğu ifade edilmiştir. Bu doğrultuda, kart bilgilerinin mevcut satın alma işlemi tamamlandıktan sonra işlenmeye devam edilebilmesi için ilgili kişilerin açık rızalarının alınması gerektiği;  öncelikle kart bilgisinin kaydedilmesi ve sonrasında dileyen müşterilerin kart bilgisini hesabından kaldırılmasına olanak tanınmasının  “hukuka ve dürüstlük kuralına” uygun olma ilkesine aykırı şekilde ilgili kişilerin yanıltılmasına sebep olduğu; yine aynı şekilde söz konusu veri işleme sürecinin “belirli, açık ve meşru amaçla işleme” ve “işlendikleri amaçla bağlı sınırlı ve ölçülü olma” ilkelerine aykırılık oluşturduğu değerlendirilmiştir. Sonuç olarak Kurul, 500.000 TL idari para cezası uygulanmasına karar vermiştir.

4.6. Kurul’un “ir kargo şirketi çalışanı tarafından kargo teslimi akabinde ilgili kişinin telefonuna kısa mesaj gönderilmesi suretiyle kişisel verilerin hukuka aykırı işlenmesi” hakkındaki 18 Mayıs 2023 Tarihli ve 2023/845 Sayılı Kararı

İlgili kişi, online alışveriş sitesi üzerinden gerçekleştirdiği siparişin kurye tarafından teslim edildiği sonrasında cep telefonu numarasına kurye tarafından taciz içerikli mesaj gönderildiği ve bu durumda veri sorumlusunun kişisel veri güvenliğini sağlayamadığı ve çalışanının kendisini rahatsız ettiği iddiasıyla şikâyette bulunmuştur.

Veri sorumlusu, eylemi gerçekleştiren kişinin şirket çalışanı olmadığını, söz konusu olayın şirketin bilgisi dışında gerçekleştiğini, ilgili kişinin kişisel verilerinin taşıma hizmeti sebebiyle işlendiğini belirtmiştir. Kurul, 6098 sayılı Türk Borçlar Kanunu madde 66 uyarınca,  “Adam çalıştıran, çalışanın, kendisine verilen işin yapılması sırasında başkalarına verdiği zararı gidermekle yükümlüdür. Adam çalıştıran, çalışanını seçerken, işiyle ilgili talimat verirken, gözetim ve denetimde bulunurken, zararın doğmasını engellemek için gerekli özeni gösterdiğini ispat ederse, sorumlu olmaz. Bir işletmede adam çalıştıran, işletmenin çalışma düzeninin zararın doğmasını önlemeye elverişli olduğunu ispat etmedikçe, o işletmenin faaliyetleri dolayısıyla sebep olunan zararı gidermekle yükümlüdür.” hükmünün uygulanabileceğini değerlendirmiştir. Ayrıca, 4857 sayılı İş Kanunu madde 2 /6 ve madde 2/7 uyarınca, “Bir işverenden, işyerinde yürüttüğü mal veya hizmet üretimine ilişkin yardımcı işlerinde veya asıl işin bir bölümünde işletmenin ve işin gereği ile teknolojik nedenlerle uzmanlık gerektiren işlerde iş alan ve bu iş için görevlendirdiği işçilerini sadece bu işyerinde aldığı işte çalıştıran diğer işveren ile iş aldığı işveren arasında kurulan ilişkiye asıl işveren-alt işveren ilişkisi denir. Bu ilişkide asıl işveren, alt işverenin işçilerine karşı o işyeri ile ilgili olarak bu Kanundan, iş sözleşmesinden veya alt işverenin taraf olduğu toplu iş sözleşmesinden doğan yükümlülüklerinden alt işveren ile birlikte sorumludur. Asıl işverenin işçilerinin alt işveren tarafından işe alınarak çalıştırılmaya devam ettirilmesi suretiyle hakları kısıtlanamaz veya daha önce o işyerinde çalıştırılan kimse ile alt işveren ilişkisi kurulamaz. Aksi halde ve genel olarak asıl işveren alt işveren ilişkisinin muvazaalı işleme dayandığı kabul edilerek alt işverenin işçileri başlangıçtan itibaren asıl işverenin işçisi sayılarak işlem görürler. İşletmenin ve işin gereği ile teknolojik nedenlerle uzmanlık gerektiren işler dışında asıl iş bölünerek alt işverenlere verilemez.” hükümlerine de atıf yapmıştır. Bu doğrultuda, Türk Borçlar Kanunu ve İş Kanunu’nun ilgili hükümlerine göre veri sorumlusunun söz konusu hukuka aykırı veri işleme olayında sorumluluk sahibi olduğu değerlendirilmiştir. Kurul, veri sorumlusu ile kurye arasında herhangi bir ilişkinin bulunmadığı ifadesinin gerçeği yansıtmadığını ve veri sorumlusu tarafından kişiye gerekli eğitimlerin verilmediğini de göz önünde bulundurularak kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri alınmaması dolayısıyla 250.000 TL idari para cezası uygulanmasına karar vermiştir.

5. Pazarlama Sektörüne İlişkin Kararlar

5.1. Kurul’un “veri sorumlusu bir pazarlama şirketi tarafından çocuğun kişisel verilerinin velisinin açık rızası alınmaksızın tanıtım amaçlı broşür gönderilmesi suretiyle işlenmesi” hakkındaki 3 Ağustos 2022 tarihli ve 2022/776 sayılı Kararı

Somut olayda, pazarlama şirketine ait bir ürün için serbest girişimci olan gerçek kişi tarafından 8 yaşındaki çocuğa (ilgili kişi) mektup yoluyla tanıtım amaçlı broşür gönderilmiştir. Pazarlama şirketi ise; satış yapan gerçek kişi ile şirket arasında şirket ürünlerini satın alma ve satma opsiyonu veren bir sözleşme ilişkisinin olduğunu, bu sözleşme kapsamında satış yapan kişinin bağımsız bir iş sahibi/serbest girişimci olarak hareket ettiğini ve broşür göndermesi için serbest girişimciye şirket tarafından bir talimat verilmediğini belirtmiştir. Serbest girişimci ise, e-ticaret sitesi üzerinden kendi adres ve iletişim bilgilerini kendisiyle paylaşan ilgili kişinin velisinin her ne kadar adres ve telefon bilgileri olarak kendi bilgilerini vermiş olsa da velisi olduğu çocuğunun ismini kullanarak sipariş verdiğini ve bu sipariş dahilinde kendisine bu broşürün gönderildiğini ifade etmiştir. Kurul yaptığı değerlendirme neticesinde, söz konusu olayda pazarlama şirketinin incelemeye konu kişisel veri işleme faaliyetine dair bir ilgisinin bulunmaması sebebiyle yapılacak herhangi bir işlem bulunmadığına; ancak ilgili kişiye tanıtım amaçlı gönderilen broşürün faturada belirtilen sipariş ile birlikte gönderilmediği, incelemeye konu salt broşür gönderiminin KVKK kapsamında veri işleme şartlarından herhangi birine dayanılmaksızın gerçekleştirildiğinden bahisle veri sorumlusu serbest girişimci hakkında 30.000 TL idari para cezası uygulanmasına karar vermiştir.

5.2. Kurul’un “ilgili kişinin internet arama motorlarında yapılan aramalardan elde edilen iş yeri e-postasının açık rızası alınmaksızın veri sorumlusu bir pazarlama şirketi tarafından ticarî elektronik ileti gönderilmesi suretiyle işlenmesi” hakkındaki 1 Eylül 2022 tarihli ve 2022/861 sayılı Kararı

İlgili kişi herhangi bir bağlantısı olmadığı veri sorumlusu şirket tarafından e-posta adresine kampanya, reklam içerikli e-posta gönderilmesi ve veri sorumlusu tarafından kişisel verilerinin ne şekilde elde edildiğine ilişkin bilgi verilmemesi sebebiyle şikâyette bulunmuştur. Veri sorumlusu, şirketlerinin avukat büroları için yazılımlar ürettiği ve pazarladığı, avukatlık bürolarına tanıtım faaliyetlerinde bulunmak için avukatlık bürolarında çalışan avukatların e-posta adreslerinin internet arama motorlarında yapılan aramalardan temin edildiği, burada bulunan bilgilerden kişinin sadece isim, çalıştığı büro adı ve e-posta adresi bilgilerinin sistemlerine kaydedildiği ve e-postanın kişinin mesleğiyle ilgili yazılım ürününün tanıtımı amaçlı olduğunu belirtmiştir. Kurul ise KVKK madde5/2(d) uyarınca, “ilgili kişinin kendisi tarafından alenileştirilmiş olması” şartı kapsamında kişisel verilerin açık rıza olmaksızın işlenmesinin mümkün olduğunu, ancak ilgili verinin alenileştirilmiş olmasının bu kişisel verilerin her türlü amaç için işlenebileceği anlamına gelmediğini vurgulamıştır. Bu doğrultuda, kişisel verilerin ancak alenileştirme amacıyla bağlantılı ve amaçla sınırlı olarak işlenebileceğini, şikayete konu somut olayda ise ilgili kişinin iş e-posta adresinin avukatlık mesleğine yönelik yapılacak iletişimler kapsamında aleni hale getirildiğini, pazarlama/reklam amacıyla yapılacak işlemlere ilişkin bir alenileştirme iradesini içermediğini ifade etmiştir. Ayrıca, 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun madde 6’da düzenlenen “Esnaf ve tacirlere önceden onay alınmaksızın ticari elektronik iletiler gönderilebilir” hükmünün uygulanamayacağını; zira avukatların ne esnaf ne de tacir sıfatıyla hareket edemeyeceğinin Avukatlık Kanunu’nda belirtildiğinden avukat olan ilgili kişiye bu hükme dayanılarak onay alınmaksızın ticari ileti gönderilemeyeceği de vurgulanmıştır. Sonuç olarak Kurul, KVKK madde 5 çerçevesinde herhangi bir kişisel veri işleme şartı bulunmaksızın veri işleme faaliyetinde bulunulduğunu belirtmiş ve 150.000 TL idari para cezası uygulanmasına karar vermiştir.

6. İnsan Kaynakları Sektörüne İlişkin Kararlar

6.1. Kurul’un “ilgili kişinin kişisel verilerinin yer aldığı ihtarnamenin, bordrolama hizmeti sunan veri sorumlusu tarafından başka çalışanlara da gönderilmesi” hakkındaki 7 Nisan 2022 tarih ve 2022/328 sayılı Kararı

İlgili kişi, ücretsiz izne gönderildiğine dair veri sorumlusu tarafından kendisine ve yedi diğer kişiye üzerinde T.C. kimlik numarası ve adresinin bulunduğu ihtarname gönderilerek kişisel verilerinin ihlal edilmesi iddiası ile şikayette bulunmuştur. Veri sorumlusu, ilgili kişinin aynı grup şirketine ait başka bir şirketin çalışanı olduğunu ve söz konusu şirket çalışanlarına yönelik bordrolama hizmeti sunduklarını, COVID-19 pandemisi nedeniyle ücretsiz izin kullanımının zorunlu hale gelmesi nedeniyle ilgili kişiye ait bilgilerin şirket tarafından kendilerine aktarıldığını, ücretsiz iznin uzatılması kararının ihtar edilmesi gerektiğini, birden çok muhatabın yer aldığı ihtarname içerisinde muhatapların bilgilerine yer verildiğini ve ilgili kişisel verilerin noterlik ile paylaşıldığını belirtmiştir. Kurul, veri sorumlusu tarafından ilgili kişinin ve diğer yedi çalışanın bilgilerine aynı ihtarnamede yer verildiğinin görüldüğünü ve bu durumun veri sorumlusu tarafından ikrar edildiğini, ilgili kişi ile diğer yedi kişinin kişisel verilerinin toplu bir şekilde aynı ihtarnamede yer almasından dolayı her birinin kişisel verilerinin birbiri ile paylaşıldığını tespit ederek 100.000 TL para cezası uygulanmasına karar vermiştir.

7. Oyun Sektörüne İlişkin Verilen Kararlar

7.1. Kurul’un “bir internet sitesinde yer alan çerezlere ilişkin aydınlatma ve açık rıza metinlerinin sunulmaması” hakkındaki 23 Aralık 2022 tarihli ve 2022/1358 sayılı Kararı

İlgili kişi, bir oyun platformunun çerez işleme süreçlerine ilişkin olarak aydınlatma yapmaması ve zorunlu olmayan çerezler için açık rıza almaması sebebi ile şikâyette bulunmuştur. Kurul tarafından yapılan inceleme neticesinde, sitede çok sayıda çerezin kullanıldığı ve bu çerçevede herhangi bir aydınlatma yapılmadığı, zorunlu olmayan ve kullanıcı hareketlerini reklam veya istatistik gibi amaçlar için takip eden çerezler için veri sorumlusu tarafından açık rıza alınmadığı tespit edilmiş olup; 300.000 TL idari para cezası uygulanmasına karar verilmiştir.

7.2. Kurul’un “geniş katılımlı çevrim içi bir oyunun Türkiye’deki dağıtıcısı ve tek yetkilisi konumundaki veri sorumlusu tarafından kişisel verilerin hukuka aykırı işlenmesi” hakkındaki 28 Eylül 2023 tarihli ve 2023/1645 sayılı Kararı

İlgili kişi, geniş katılımlı bir çevrim içi oyunun Türkiye’deki dağıtıcısı olan veri sorumlusu firmaya başvurarak KVKK kapsamındaki haklarını kullanmak istemiştir. Ancak veri sorumlusu tarafından taleplerinin yanıtsız bırakıldığı, yurtdışı veri aktarımının gerçekleşmediğine ilişkin bilginin eksik ve yanıltıcı olduğu iddiasında bulunmuştur. Ayrıca, internet sitesindeki aydınlatma metni ile gizlilik politikasının incelenmesi sonucunda kişisel verilerin yurt dışına aktarıldığının anlaşıldığını belirtmiştir.

Veri sorumlusu ise; şirketlerinin ortaklık yapısının tamamen yabancı uyruklu hissedarlardan oluştuğunu, şirketin yer aldığı sektörün oyuncu-geliştirici, oyuncu-yayıncı, oyuncu-oyuncu, lisans veren-lisans alan, marka hakkı sahibi-marka hakkını kullanan vb. kimseler arasında akdedilecek dijital oyun sözleşmeleri hazırlanması üzerine kurulu olduğunu, böylece ortaklarının yabancı olmasının da iş süreçleri bakımından kişisel verilerin yurt dışına aktarımını zorunlu kıldığını, oyun hizmetleri kapsamında kullanılan bütün sunucuların Türkiye’de tutulduğunu belirtmiştir. Öte yandan, ilgili kişinin işlenen kişisel verilerinin, oyuna kayıt olunabilmesi amacıyla “e-posta adresi, IP adresi” ve kendisi tarafından güvenli giriş uygulaması seçildiyse bu verilere ek olarak “cep telefonu numarası” olduğu, söz konusu kişisel verilerin 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun ve bu kanuna bağlı mevzuat, Türk Borçlar Kanunu’nun madde 419/3, 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve bağlı mevzuat, Türk Ceza Kanunu ve KVKK başta olmak üzere, ilgili mevzuattan kaynaklanan yasal yükümlülüklerinin yerine getirilebilmesi amacıyla KVKK madde 5/2(ç) doğrultusunda ve meşru menfaatlerin sağlanması amacıyla ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla KVKK madde 5/2(f) doğrultusunda işlendiğini belirtmiştir. Ayrıca, oyun hizmeti kapsamında sadece e-posta adresinin işlendiği, oyuncuların takma isimlerle oyuna giriş yapabildiği ve e-posta adreslerinin de kişilerin gerçek adlarını içermediği ifade edilmiştir.  Yine, oyun alışveriş kayıtları, hareket kayıtları, eşya kayıtları, karakter bilgileri, sunucu bilgileri vb. bilgilerin bir gerçek kişiyi belirli veya belirlenebilir kılmasının mümkün olmadığı, ayrıca oyunda belirli sayıda sunucu olması nedeniyle kullanıcıların sadece oluşturulmuş mevcut sunuculardan giriş yapabildiği, bu sunuculardan kişilerin belirlenebilir veya belirli kılınmasının mümkün olmadığı belirtilmiştir.  Ek olarak, hile ve dolandırıcılık faaliyetlerini tespit etmek amacıyla özel bir yazılım kullanıldığı, bu yazılımın çalışma mantığının hile ve dolandırıcılık programlarının sıfırlardan ve birlerden oluşan kodlarını tespit etmeyi amaçladığı, bunun için de bilgisayardaki tüm dosyaların değil kendi içerisine tanımlanmış hile ve dolandırıcılık yazılımlarının exe dosyası kodunu taradığı, ayrıca yazılım aracılığıyla hiçbir şekilde yurt dışına kişisel veri aktarılmadığı iddia edilmiştir.

Kurul tarafından “veri sorumlusu tarafından ilgili kişinin kişisel verisi niteliğindeki e-posta adresi ve IP adresinin yurtdışına aktarımının yapılıp yapılmadığı hususunda kesin bir kanaate varılamadığından” veri sorumlusunun ofisi ve hizmet aldığı bir diğer firmanın merkezinin ziyaret edilmesi ile yerinde inceleme gerçekleştirilmiştir. Kurul, kişisel verilerin yurtdışına aktarılmasına ilişkin olarak yaptığı yerinde inceleme neticesinde, kullanılan sistemler kapsamında yurtdışına veri aktarımının gerçekleşmediği sonucuna ulaşmıştır.  Ayrıca, şikayete konu edilen özel yazılımın oyun kullanıcılarının hile ve sahtekarlığa başvurup başvurmadığını tespit amacıyla kullanıldığı, bu kullanım sırasında oyuncuların bilgisayarındaki kişisel verilere erişim sağlamak amacıyla hukuka aykırı kişisel veri işleme faaliyetinde bulunulmadığı anlaşılmıştır. Veri sorumlusunun büyük hissedarı olan yabancı menşeili şirket tarafından hazırlanan “Gizlilik Politikası”; “Kullanıcı Sözleşmesi” incelenmiş ve kişisel verilerin yurtdışına aktarılabileceği bilgisinin yer aldığı görülmüştür. Bu doğrultuda Kurul, VERBİS’e kayıtlı olan veri sorumlusunun VERBİS’e kaydettiği bilgileri de incelemiş; kimlik, iletişim ve işlem güvenliği verilerinin yurtdışına aktarıldığını bildirildiğini tespit etmiştir.

Aydınlatma Metni ve Gizlilik Politikası kapsamında yapılan incelemede ise, muğlak ifadelere yer verilen “Kayıt Ol Aydınlatma Metni” ile “Kişisel Veri Koruma Politikası” metinlerinin veri sorumlusu tarafından, “Gizlilik Politikası”nın ise veri sorumlusunun büyük hissedarı olan yabancı menşeili şirket tarafından hazırlandığı görülmüştür.  “Gizlilik Politikası” başlıklı metin incelendiğinde; ilgili metnin veri sorumlusunun büyük hissedarı olan şirket tarafından ziyaretçilere, kullanıcılara ve müşterilere sunulan bir çevrim içi gizlilik politikası olduğu ve söz konusu şirketin ayrı bir veri sorumlusu olduğu kanaatine varılmıştır.  Ancak ilgili metnin KVKK madde 10 ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ ile uyumlu olmadığı tespit edilmiştir. Bu doğrultuda, ilgili kişilere üyelik kaydı sırasında sunulan ve kullanıcı sözleşmesinde de kabul edildiği varsayılan bu metnin diğer metinlerle tutarlı olarak KVKK’ye uygun hale getirilmesi veya kaldırılması gerektiği belirtilmiştir. Yine ayrı olarak, “Kişisel Veri Koruma Politikası” metninin de yer aldığı ve diğer iki metin ile içeriklerinin örtüşmediği anlaşılmıştır.

Öte yandan, veri sorumlusuna ait internet sitesinde yayımlanan çerezlere ilişkin pop-up açıklaması altında “sadece gerekli çerezleri kullanın” ve “tüm çerezlere izin ver” olmak üzere iki seçeneğin sunulduğu, “tüm çerezlere izin ver” seçeneği sunularak gerekli çerezler kategorisi dışındaki her bir çerez tipi için topluca açık rıza alma yoluna gidildiği ve ilgili kişilere tercih etme imkanının sunulmadığı anlaşılmıştır.  Çerez Beyanı ve Çerez Politikası metinlerinde yer alan çerez tablosunda üçüncü taraf çerez sağlayıcıları tarafından çeşitli çerezlerin “gerekli çerezler” kategorisinde kullanıldığının belirtildiği, üçüncü taraf çerez sağlayıcısının yurt dışında yerleşik bir firma olduğu, veri sorumlusu tarafından internet sitesinde çerezler yoluyla açık rıza şartına dayalı olarak gerçekleştirilen kişisel veri işleme faaliyetinde açık rızanın unsurlarından olan “belirli bir konuya ilişkin olması” ve “özgür iradeyle verilmesi” unsurlarının sağlanmaması nedeniyle açık rızanın sakatlandığı ve KVKK madde 5  kapsamında hukuka uygun bir kişisel veri işleme faaliyetinin gerçekleştirilmediği; diğer taraftan sağlayıcısı yurt dışında yerleşik şirketler olan ve zorunlu çerez kategorisinde bulunan üçüncü taraflara ait  çerezler kullanılarak kişisel verilerin yurt dışına aktarımının yapılmasının yurt dışına veri aktarım şartlarına dayanmaması nedeniyle hukuka aykırı olduğu kanaatine varılmıştır. Sonuç olarak Kurul, veri sorumlusu hakkında 750.000 TL idari para cezası uygulanmasına karar vermiştir.

8. İş İlişkisi ve İşe Alım Süreçlerinde Kişisel Veri İşleme Faaliyetlerine İlişkin Kararlar

8.1. Kurul’un “veri sorumlusu bünyesinde çalışan bir kişinin iş akdinin sonlandırılması hususunun veri sorumlusuna ait sosyal medya hesabında paylaşılması” hakkındaki 21 Nisan 2022 tarihli ve 2022/386 sayılı Kararı

İlgili kişi, veri sorumlusu eski işvereni tarafından veri sorumlusuna ait sosyal medya hesabında “… Yaptığı usulsüzlükler nedeni ile işten ATILAN …..’ın sizlere vermiş olduğu rahatsızlıktan dolayı özür dileriz…” içerikli paylaşımın silinmesi talebi ile veri sorumlusuna başvurmuştur. Veri sorumlusu ise ilgili kişinin şirketlerinin ticari itibarlarını zedelemeye yönelik faaliyetlerinin olduğunu ve söz konusu sosyal medya paylaşımının müşterilerinin mağdur olmasını engellemeye yönelik bilgilendirme maksadı ile yapıldığını belirtmiştir. Kurul, ilgili kişinin ad ve soyadı ile ilgili kişi hakkındaki ithamları da içeren duyurunun sadece şirket müşterilerinin değil herkesin erişimine açık şekilde şirketin sosyal medya kurumsal hesabında yayınlanması sebebi ile söz konusu eylemin KVKK madde 4 uyarınca veri işleme ile gerçekleştirilmesi istenen amaç arasında makul bir denge bulunmaması dolayısıyla ölçülülük ilkesine aykırılık teşkil ettiğine kanaat getirmiş ve hukuka aykırı veri işleme faaliyetinin de gerçekleşmesi sebebi ile 30.000 TL idari para cezası uygulamıştır.

8.2. Kurul’un “ilgili kişinin bir şirket ile iş görüşmesi yaptığı bilgisi ile görüşmenin içeriği hakkındaki muhtelif bilgilerin iş görüşmesi yapılan şirket tarafından halihazırdaki iş yeri ile paylaşılması” hakkındaki 04 Ağustos 2022 tarihli ve 2022/798 sayılı Kararı

İlgili kişi halihazırda bir şirket bünyesinde çalışmakta iken başka bir şirketle iş görüşmesi yapmış ve iş görüşmesi yapan veri sorumlusu şirket tarafından, ilgili kişinin halihazırda çalışmakta olduğu şirket hakkındaki itibar zedeleyici nitelikteki ifadeleri ilgili kişinin mevcut iş yeri ile paylaşılmış ve sonrasında ilgili kişi ücretsiz izne çıkartılmıştır.  Bu olay üzerine, ilgili kişi Kurul’a şikayette bulunmuştur. Kurul ise, veri sorumlusu tarafından ilgili kişinin şirketleri ile iş görüşmesi yaptığı bilgisi ile iş görüşmesinde ilgili kişinin halihazırda çalışmakta olduğu işyeri hakkındaki ifadelerinin paylaşılması faaliyetinin, veri sorumlusu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırılık oluşturduğunu belirtmiş ve bu doğrultuda 100.000 TL idari para cezası uygulanmasına karar vermiştir.

8.3. Kurul’un “veri sorumlusu eski işveren tarafından ilgili kişinin kişisel verilerinin yer aldığı adli yazışma bilgilerinin kardeşi ile paylaşılması” hakkındaki 2 Haziran 2022 tarihli ve 2022/896 sayılı Kararı

İlgili kişi, haklı nedenle feshine kadar veri sorumlusu ile arasında iş ilişkisinin olduğu ve bu doğrultuda birtakım kişisel verilerinin işlendiği fakat bu verilerin aydınlatma yapılmadan ve rızası dışında işlendiği, veri sorumlusu işveren tarafından ilgili kişinin adının geçtiği ceza soruşturma dosyasında yer alan adli yazışma bilgilerinin ise herhangi bir bağlantısı olmadığı halde ilgili kişinin kardeşinin e-posta adresine iletildiği iddiasıyla şikâyette bulunmuştur. Veri sorumlusu, ilgili kişinin kişisel verilerinin iş ilişkisi kapsamında işlendiğini, ilgili kişinin iş sözleşmesindeki ticari sır saklama, şirket yazılımlarını üçüncü kişilerle paylaşmama, gizlilik anlaşmalarına aykırı davranmama yükümlülüklerine aykırı davrandığını belirtmiştir. Kurul, iş sözleşmesi kapsamında işlenen kişisel veriler açısından veri sorumlusu hakkında KVKK kapsamında herhangi bir işlem tesis edilmesine yer olmadığına karar vermiştir. Ancak, veri sorumlusu tarafından ilgili kişiye ve başka gerçek kişilere ait kişisel verileri barındıran savcılık şikayet dilekçesinin olayla herhangi bir ilgisi olmayan ilgili kişinin kardeşine e-posta yoluyla iletilmesi işleminin veri sorumlusunun kişisel verileri hukuka aykırı olarak işlenmesini önlemeye yönelik gerekli tedbirleri alma yükümlülüğüne aykırı olduğunu tespit ederek 150.000 TL idari para cezası uygulanmasına karar vermiştir.

8.4. Kurul’un “ilgili kişinin kişisel verilerinin iş akdinin feshinden sonra işveren tarafından işlenmeye devam edilmesi” hakkındaki 20 Ekim 2022 tarihli ve 2022/1147 sayılı Kararı

İlgili kişi, eski çalışanı olduğu şirketin reklamlarında kendi görüntüsüne yer verdiği, iş ilişkisinin sona ermesinden sonra veri sorumlusunun taşıma süreçlerine ilişkin kargolarda cep telefonu numarasının kullanıldığı iddiasıyla şikâyette bulunmuştur. Veri sorumlusu, ilgili kişinin iş akdinde belirtildiği şekilde mesleğini, satışa yönelik pazarlama faaliyetleri çerçevesinde sunarak gerçekleştirmesinin işe alındığı pozisyonun gereği olduğu ve görev kapsamı içerisinde bulunduğunu, imzaladığı aydınlatma metnine göre şirket reklamlarında yer alarak pazarlama amacıyla kişisel verilerinin işlenmesine rıza vermiş sayılacağını belirtmiştir. Kurul, ilgili kişinin yer aldığı görüntülerin veri sorumlusunun arşivlerinde bulunmasının hukuka uygun olacağı ancak iş akdinin sona ermesinden sonra da söz konusu verilerin paylaşımına devam edilmesi suretiyle işlenmesinin KVKK kapsamında geçerli bir işleme şartının mevcut olmadığı, öte yandan ilgili kişinin kargo şirketleri nezdinde kayıtlı olan kişisel verilerinin KVKK’ye aykırı şekilde işlendiği hususlarını tespit ederek 250.000 TL idari para cezası uygulanmasına karar vermiştir.

8.5. Kurul’un “bir işveren tarafından işe iade davasına, ilgili kişinin mescitte ibadet etme görüntülerinin ibraz edilmesi” hakkındaki 10/08/2023 tarihli ve 2023/1356 sayılı Kararı

İlgili kişi, özel nitelikli kişisel verisi niteliğindeki ibadethane içerisindeki ibadet etme görüntülerinin eski işvereni tarafından rızası dışında kayıt altına alındığı, iş akdinin feshedilmesinden kısa bir süre önce geriye dönük olarak kişisel verilerin işlenmesiyle ilgili belgelerin imzalanmasının istendiği ve kaydedilen görüntülerin şirketle ihtilaflı olduğu mahkeme dosyasına şirket tarafından ibraz edildiği iddialarıyla şikayette bulunmuştur. Veri sorumlusu, ilgili kişinin çalışma süresi boyunca görev kapsamına giren işlerini aksattığı, işe gelmediği ve haksız ithamlarla şirket ve yetkilileri aleyhine gazetede yalan haber yaptırdığı gerekçeleriyle iş akdinin feshedildiğini, ilgili kişi tarafından yaptırılan haber hakkında suç duyurusunda bulunulduğunu belirtmiştir. Veri sorumlusu ayrıca, ilgili kişinin ibadetlerini rahatlıkla yaptığı, mescit içerisindeki görüntülerin, yaşanacak herhangi bir olayın takibi amacıyla “fiziksel mekân güvenliği” verisi olarak işlendiğini ve bu nedenle işlenmeyen bir veri için ilgili kişiden açık rıza istenmediğini belirtmiştir. Kurul, kişisel veri işleme faaliyetine ilişkin açık rızanın özgür irade ile verilmediği ve ilgili kişinin işten çıkarılma korkusu dolayısıyla rızası olmadan imzalamak zorunda bırakıldığı kanaatine varılmış, herhangi bir veri işleme şartına dayanılmaksızın veri işleme faaliyetinin gerçekleştirildiğini, açık rıza alınsa dahi söz konusu veri işleme faaliyetinin genel ilkelere aykırılık teşkil edeceği sonucuna varmıştır. Kurul, veri sorumlusu hakkında 300.000 TL idari para cezası uygulanmasına, ilgili veri işlemesinin sonlandırılması ve imha edilmesiyle ilgili veri sorumlusunun talimatlandırılmasına karar vermiştir.

9. Diğer Sektörlere İlişkin Kararlar

9.1. Kurul’un “ilgili kişinin kripto varlık hizmet sağlayıcısı nezdinde bulunan üyeliğinin seviyesinin artırılması için gereğinden fazla kişisel veri talep edilmesi” hakkındaki 11 Nisan 2023 tarihli ve 2023/570 sayılı Kararı

İlgili kişi, kripto varlık hizmet sağlayıcısı olan veri sorumlusu hakkında platformdaki üyelik seviyesinin arttırılması amacıyla kimliğinin ön ve arka yüzünün fotoğrafının kendi fotoğrafıyla birlikte talep edilmesi dolayısıyla veri sorumlusunca gerektiğinden fazla ve ölçüsüz olarak kişisel veri işlendiği iddiası ile şikâyette bulunmuştur. Kripto varlık hizmet sağlayıcı olan veri sorumlusu ise, Suç Gelirlerinin Aklanmasının ve Terörün Finansmanının Önlenmesine Dair Tedbirler Hakkında Yönetmelik (“Tedbirler Yönetmeliği“) madde 4 uyarınca suç gelirlerinin aklanmasının ve terörün finansmanının önlenmesi amacıyla yükümlülüklerinin olması sebebiyle söz konusu veri işleme faaliyetinin gerçekleştiğini belirtimiştir.  Öte yandan, veri sorumlusu, kripto para çekme işlemi yapılmayacaksa bu verilerin paylaşılmasına gerek olmadığını belirtmiştir. Kurul, Tedbirler Yönetmeliği kapsamında müşteri tanımaya ilişkin detaylı düzenlemelerin bulunduğunun ve MASAK tarafından yayınlanan Kripto Varlık Hizmet Sağlayıcıları Rehberinde müşterinin tanınması yükümlülüğü kapsamında alınması gerekli en önemli tedbirin “kimlik tespiti” olduğunun altını çizmiştir. Ayrıca, veri sorumlusunun sunduğu hizmetlerden hesap açılması şartıyla yararlanılabildiği, hesap açılması esnasında kullanıcılardan çeşitli kimlik verilerinin talep edildiği ve bu kapsamda açılan hesaplarda belli bir limite kadar işlem yapılmasının serbest olduğu anlaşılmıştır. Ayrıca Kurul, belli limitin üzerindeki işlemlerin gerçekleştirilebilmesi için kullanıcıların üyelik seviyesini yükseltmeleri gerektiğini bunun için ise T.C. kimlik belgesinin ön ve arka yüzü ile fotoğrafılarıyla beraber üzerinde belirli bir ifadenin ve günün tarihinin yazılı olduğu bir kâğıdın fotoğrafını paylaşmalarının gerektiğini belirtmiştir. Zira veri sorumlusunun faaliyet alanında suç gelirlerinin aklanması olarak nitelendirilen kara para aklama faaliyetinin gerçekleştirilmesi ihtimali bulunduğundan kullanıcıların kimliğinin tespit edilmesinde kamusal bir menfaat bulunduğunu değerlendirmiştir. Sonuç olarak Kurul, veri sorumlusunun kişisel verilerin işlenmesi hususunda 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun başta olmak üzere ilgili mevzuattan kaynaklanan bir yükümlülüğünün bulunduğunu, bu doğrultuda kişisel verilerinin işlenmesinin KVKK madde 5/2(a) bendi uyarınca “kanunlarda açıkça öngörülmesi” hukuki işleme şartına dayandığından bahisle KVKK nezdinde yapılacak bir işlem bulunmadığına karar verilmiştir.

9.2. Kurul’un “bir Araç kiralama şirketi tarafından ilgili kişiden Findeks Raporu talep edilmesi suretiyle kişisel verilerinin işlenmesi” hakkındaki 20 Temmuz 2023 tarihli ve 2023/1234 sayılı Kararı

İlgili kişi, araç kiralama şirketinin kendisinden Findeks Raporu talep ettiği, rapordaki verilerin işlenmesi konusunda açık rıza vermesi gerektiği, aksi halde araç kiralama hizmetinden faydalanamayacağının belirtildiği, aracın bu sebeple ilgili kişiye tesliminin yapılmadığı iddialarıyla şikayette bulunmuştur. Veri sorumlusu, kendilerinin Findeks Raporu talebinde bulunmadığını, ilgili kişinin hizmetten yararlanmama nedeninin depozito vermek istememesi olduğunu, verilerin aracı lpatform tarafından işlendiği, dolayısıyla şikâyet ve taleplerinin de seyahat biletlerini kullanıcılara yönelik satışa açan platforma iletilmesi gerektiği, araç kiralama şirketinin sadece aracın teslimi esnasında müşteri ile muhatap olduğu, rezervasyonu yapıp müşterinin verilerini işleyenin platform olduğu, platform ile araç kiralama şirketi arasında gizlilik sözleşmesi mevcut olduğu ve veri aktarımı için gerekli teknik önlemlerin alındığı hususlarını belirtmiştir. Aracı platform, kendisinin “aracı hizmet sağlayıcı” olduğunu, sözleşme ilişkisinin kullanıcıların platform üzerinden hizmet sağlayıcıların hizmetlerinin satışa sunulması ve hizmetlerin satın alınması halinde söz konusu satışın ilgili hizmet sağlayıcıya bildirilmesini kapsadığını, hizmet ve/veya ürün nedeniyle meydana gelen hukuka aykırı durumdan, aracı hizmet sağlayıcının sorumlu olmadığını,  araç kiralamaya ilişkin ücretin platform üzerinden tahsil edilerek araç kiralama şirketine gönderilmekte olduğunu, tarafların mutabık kaldığı komisyon oranına uygun şekilde komisyon faturası kesilip ilgili komisyon bedelinin araç kiralama şirketi tarafından platforma ayrıca ödenmekte olduğunu belirtmiştir. Kurul, Findeks Raporu bilgileri sorgulanması suretiyle kişisel verilerin işlenmesinin ancak KVKK madde 5/1 kapsamında açık rıza ile gerçekleştirebileceği, bu kapsamda veri sorumlusu tarafından Findeks raporu temin edilmeksizin kiralama işlemi yapılmaması suretiyle hizmetin açık rıza şartına bağlandığı dikkate alındığında KVKK’de yer alan yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında 100.000 TL idari para cezası uygulanmasına, veri sorumlusunun başvuruya eksik cevap vermesi nedeniyle yapılacak başvuruyu uygun şekilde sonuçlandırması gerektiğinin veri sorumlusuna hatırlatılmasına karar verilmiştir.

9.3. Kurul’un “bir havayolu şirketi tarafından ilgili kişiye ait kişisel verilerin hukuka aykırı olarak üçüncü kişilerle paylaşılması” hakkındaki 3 Ağustos 2023 tarihli ve 2023/1309 sayılı Kararı

İlgili kişi, havayolu firmasından check-in işlemi yapmak için Yolcu İsim Kaydını-Passenger Name Information (PNR) ve soyadını girdiğinde tanımadığı dört kişinin “isim, soy isim, cinsiyet, doğum tarihi, uyruğu, belge türü, belgenin verildiği ülke, belge numarası, son geçerlilik tarihi, vize bilgileri” gibi bilgilerinin de görüntülendiği, bu durumda tanımadığı kişilerin biletleri üzerinde biletleri üzerinde değişiklik yapabilmesine olanak tanındığını belirtmiştir. Bu durumda, kendisine ait verilerin de başka kişiler tarafından kontrol edilebileceği ihtimalinin olması dolayısıyla söz konusu süreç hakkında detaylı bilgiler elde edebilmek amacıyla KVKK madde 11 kapsamında ilgili kişi haklarını kullanmış ve veri sorumlusuna başvurmuştur. Ancak, ilgili kişi veri sorumlusu tarafından ilgili süreç hakkında eksik bilgi vermesi iddiasıyla Kurul’a başvurmuştur.  Veri sorumlusu, sistem üzerinden veri gizliliğini korumaya yönelik gerekli tedbirleri aldığı ve uyguladığı, sistemde kaydı oluşturan seyahat acentesinin aynı soyadlı farklı kişileri tek bir Grup PNR’ında birleştirmemesi yükümlülüğü bulunduğunu, kişisel verilere hukuka aykırı olarak erişilmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri aldığını, başvuru sahibinin PNR içerisinde yalnızca kendi aile bireylerini görebileceği şekilde PNR içeriğinin güncellendiği, seyahat acentelerine başvuru sahibinin talebine cevap verilen e-posta iletisinin gönderilerek, paket tur satın alan misafirlerinden aynı soyadına sahip ve fakat aynı aile bireyi olmayan yolcuların PNR’larının ayrıştırılması gerektiği yönünde hatırlatma yapıldığı belirtmiştir.  Kurul, veri sorumlusunun iddialarına karşın ilgili kişi tarafından iletilen ekran görüntülerinde PNR bilgisinin girilmesi sonucunda ekranında görmüş olduğu kişilere ait soyadların kendi soyadından farklı olduğu, dolayısı ile veri sorumlusu tarafından iddia edildiğinin aksine PNR + SOYADI kombinasyonu ile giriş işlemi yapılsa dahi farklı soyadına sahip kişilerin verilerinin aynı PNR üzerinden görülebildiği, bu durumun da veri sorumlusu tarafından KVKK kapsamında kişisel verilerin hukuka aykırı olarak erişilmesini önlemek ve muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığını gösterdiğini belirtmiştir. Kurul, söz konusu durumdan çok sayıda kişinin etkilenme ihtimalinin de fazla olduğunu, ayrıca söz konusu veri ihlali dolayısıyla 300.000 TL idari para cezası uygulanmasına karar vermiştir.

9.4. Kurul’un “ilgili kişinin kişisel verilerinin, konakladığı otel çalışanı tarafından üçüncü kişilerle paylaşılması” hakkındaki 3 Ağustos 2023 tarihli ve 2023/1327 sayılı Kararı

İlgili kişi, sosyal medya uygulamasından üçüncü bir kişi tarafından ilgili kişiye veri sorumlusuna ait otelde ikamet ettiği döneme ilişkin bilgiler içeren bir belge gönderildiği ve bu belgenin otel çalışanı tarafından üçüncü kişilerle paylaşıldığı iddiasıyla şikayette bulunmuştur. Veri sorumlusu, lüks hizmet sunan otellerin standartları gereği konaklayan misafirlerin kişisel ve özel hissettirilmesi amaçlı misafirlere soy isim ile seslenildiği, ayrıca acil durum yaşanması durumunda kat hizmetleri görevlisi kişilerin misafirlerin kontrollerini sağlamalarının gerektiği, belgenin fiziksel arşivde anahtarı sınırlı sayıda kişide olacak şekilde kilitli dolaplar içerisinde saklandığı ve olayın gerçekleştiği dönemde periyodik olarak imha edildiğini belirtmiştir. Kurul, söz konusu belgede müşterilere ait isim ve soy isime yer verilmesinin ölçüsüz bir veri işleme faaliyeti olduğu, üçüncü kişilerle paylaşılan belgede yer alan kişisel verilerin veri sorumlusu bünyesinde oluşturulduğu ve veri sorumlusu tarafından idari ve teknik tedbirlerin alınmamış olması dolayısıyla gerçekleşebileceği kanaatine varıldığından KVKK uyarınca kişisel verilere hukuka aykırı olarak erişilmesini önlemek yükümlülüğü ile kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idarî tedbirleri alma yükümlülüğünün sağlanamadığı dikkate alınarak veri sorumlusu hakkında 500.000 TL idari para cezası uygulanmasına ve pazarlama amaçlı işleme konusunda aydınlatma metninde KVKK hükümlerine uygun olarak ayrıca açık rıza alma yoluna gidilmesi ve yapılacak işlemlerin sonucundan Kurul’a bilgi vermesi hususunda talimatlandırılmasına karar vermiştir.

9.5. Kurul’un “ilgili kişiye ait özel nitelikli kişisel verilerin avukat tarafından mahkemeye aktarılması” hakkındaki 17 Ağustos 2023 tarihli ve 2023/1414 sayılı Kararı

İlgili kişi, gizlilik içinde DNA testi yaptırmak için anlaştığı şirketin, DNA raporlarını şifreli bir şekilde ilgili kişinin e-posta adresine gönderdiğini, bir alacak davasında karşı tarafın avukatı olan veri sorumlusunun, bu şifreli e-posta adresinden hukuka aykırı bir şekilde ilgili kişinin ve çocuklarının kişisel verilerine eriştiğini, bunları alacak davasında ilgili kişi aleyhine kullandığını belirtmiştir. Veri sorumlusu, ilgili kişinin DNA testi raporlarının, aile üyelerine karşı açılan soy bağının tespiti davasında kullanılmak üzere talep üzerine dava dosyasına sunulduğunu, ilgili kişinin eski eşi ve çocukları adına vekaleten çalışarak bu bilgileri işlediğini, bunun da avukatlık hizmeti kapsamında gerçekleşen bir veri işleme olduğunu, kişisel veri işleme faaliyetinin ilgili kişinin çocuklarından alınan açık rıza temelinde gerçekleştiğini ve ilgili kişinin davaların tarafı olması nedeniyle hukuki bir engel bulunmadığını ifade etmiştir. Kurul, konuyu 1136 sayılı Avukatlık Kanunu madde 2’de düzenlenen “Avukatlığın amacı; hukuki münasebetlerin düzenlenmesini, her türlü hukuki mesele ve anlaşmazlıkların adalet ve hakkaniyete uygun olarak çözümlenmesini ve hukuk kurallarının tam olarak uygulanmasını her derecede yargı organları, hakemler, resmi ve özel kişi, kurul ve kurumlar nezdinde sağlamaktır.” hükmü ve madde 35’te yer alan “Kanun işlerinde ve hukuki meselelerde mütalaa vermek, mahkeme, hakem veya yargı yetkisini haiz bulunan diğer organlar huzurunda gerçek ve tüzel kişilere ait hakları dava etmek ve savunmak, adli işlemleri takip etmek, bu işlere ait bütün evrakı düzenlemek, yalnız baroda yazılı avukatlara aittir.”  hükmü kapsamında değerlendirerek işlemenin KVKK madde 6/3 düzenlemesine uygun olduğu belirtmiştir. Öte yandan, 6100 sayılı Hukuk Muhakemeleri Kanunu ispat hükümlerine de atıf yaparak genetik verilerin veri sorumlusu tarafından işlenmesinin ve ilgili mahkemelere aktarılmasının da KVKK madde 8’e uygun olduğunu değerlendirmiştir. Ayrıca Kurul, söz konusu verilere avukatın hukuka aykırı olarak eriştiğini gösterir bir delilin bulunmadığını ve genetik veri kategorisinde olan DNA test raporunun yalnızca ilgili kişiye ait bilgileri içermediği, ilgili kişinin çocuklarına da ait bir rapor olması bakımından çocuklarıyla ortak bir kişisel veri niteliğinde olduğu, örnek olayın şartları gözetildiğinde bu belgenin mahkemeye aktarılması sebebiyle ilgili kişinin verisinin güvenliği bakımından aleyhinde bir sonuç doğurmasından bahsedilemeyeceğini ifade etmiştir. Sonuç olarak, Kurul, şikayete ilişkin olarak KVKK kapsamında yapılacak bir işlem olmadığına karar vermiştir.

9.6. Kurul’un “bir eğitim kurumu tarafından kamera vasıtasıyla görüntü ve ses kaydı alınması” hakkındaki 24/08/2023 tarihli ve 2023/1461 sayılı Kararı

İlgili kişilerden birinin veri sorumlusunun kiracısı olduğu, aralarında kira uyuşmazlığı sebebiyle bir görüşme gerçekleştiği, veri sorumlusu tarafından gönderilen ihtarnamede yapılan görüşme sırasında ilgili kişilere ait ses ve görüntü kayıtlarının alındığının beyan edildiği belirtilmiştir. Veri sorumlusu tarafından güvenlik amacıyla kameralarla görüntü ve ses kaydı alındığı, bu kayıtların genel kullanım alanlarında yapıldığı, kiraya verenle yaşanan kira ödemesi anındaki görüntü ve ses kaydının güvenlik ve delil amaçlı olduğu, 5237 sayılı Türk Ceza Kanunu madde 133 hükmüne aykırı bir durum olmadığı, 50 çalışana sahip olunmaması sebebiyle VERBİS kaydı oluşturmalarının gerekli olmadığı, hukuksal ilişkisi olmayan diğer kişiyle ilgili kişisel veri işlemedikleri ve talebe cevap verme yükümlülüklerinin olmadığı savunulmuştur. Ayrıca, alınan görüntü ve ses kayıtlarının delil amaçlı olduğu ve yargı makamlarında kullanılacağı, KVKK’ye aykırılık teşkil etmediği belirtilmiştir. Kurul, görüntü kaydının güvenlik amacıyla uygun, meşru ve ölçülü bir işlem olduğunu ancak ses kaydının aynı meşruiyeti taşımadığını belirtmiştir. Ses kaydının, ilgili kişilerin temel hak ve özgürlüklerine ağır bir müdahale teşkil ettiği ve meşru menfaatin bulunmadığı vurgulanmıştır. Bu çerçevede, ses kaydının alınmasının hukuka aykırı bir veri işleme faaliyeti olduğu değerlendirilmiş ve veri sorumlusuna KVKK madde 12’ye aykırı hareket ettiği gerekçesiyle 200.000 TL idari para cezası uygulanmasına karar verilmiştir. Ayrıca, görüntü kaydı alınmasının hukuki temele dayandığı ancak aydınlatma yükümlülüğünün yerine getirilmediği belirlenmiş, bu nedenle ayrıca 30.000 TL para cezası uygulanmasına karar verilmiştir.

C. BEKLENEN GELİŞMELER

I. Kanun Değişikliği

Adalet Bakanlığı’nın Nisan 2021’de yayımladığı İnsan Hakları Eylem Planı (“Plan”) kapsamında, 1 yıl içerisinde KVKK’nin AB standartları ile uyumlu hale getirileceği öngörülmüştü. Öte yandan, 11. Kalkınma Raporu’nda da KVKK’nin AB mevzuatı ile uyumlandırılacağı hüküm altına alınmıştı. İşbu düzenlemeler uyarınca, Eylül 2022’de Adalet Bakanlığı eşliğinde bir çalışma grubu kurularak çalışma düzenlenmiş olup geçtiğimiz yıl Kurul’un Çarşamba Seminerleri’nde ifade etmiş olduğu mevzuat değişiklikleri üzerinde çalışmalar tamamlanmıştır. İşbu husus Adalet Bakanı tarafından duyurulmuştur. İlgili duyuru uyarınca değişikliklerin başta özel nitelikli kişisel verilerin işlenmesi ve yurtdışına veri aktarımı hususlarında gerçekleştirileceği belirtilmiştir. Ancak 2023 yılı içerisinde, kanun değişikliği yapılmamış ancak kanun değişikliğinin yapılacağına ilişkin açıklamalar devam etmiştir. Bu doğrultuda, Orta Vadeli Program (2024-2026) içerisinde, Avrupa Birliği (“AB”) dijital ekonomi düzenlemeleri uyarınca, KVKK’nin GVKT başta olmak üzere AB müktesebatına uyum sürecinin 2024, 4. çeyreğe kadar tamamlanacağı ve doğrudan yatırımlar açısından aciliyet taşıyan hususlarda düzenlemelerin daha erken gündeme alınacağı belirtilmiştir.

II. Platformlara ilişkin verilerin düzenlenmesi

7 Temmuz 2022 tarihli ve 31889 sayılı Resmî Gazete’de 7416 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanunda Değişiklik Yapılmasına Dair Kanun ve akabinde 29 Aralık 2022 tarihli 32058 sayılı Resmi Gazete ile Elektronik Ticaret Aracı Hizmet Sağlayıcı ve Elektronik Ticaret Hizmet Sağlayıcılar Hakkında Yönetmelik yayımlanmıştı. Ancak 10 Mayıs 2023 tarihinde Danıştay 10.Daire tarafından ilgili mevzuat değişikliğinde yer alan birçok hükmünün yürütmesi durdurulmuştu.  13 Temmuz 2023 tarihli 2022/109 E., 2023/125 sayılı Anayasa Mahkemesi Kararı ile ilgili hükümlerin Anayasa’ya aykırı olmadığına oy çokluğu ile karar verilmiş ve ilgili hükümlerin yürütmesinin durdurulması kararı kaldırılmıştır. Bu doğrultuda, 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’da (“ETK”) yapılan birtakım ile belirli hacmin üzerindeki elektronik ticaret aracı hizmet sağlayıcılara, elektronik ticaret hizmet sağlayıcılar tarafından gerçekleştirilen satışlar sebebiyle elde edilen verilerin elektronik ticaret hizmet sağlayıcılar tarafından taşınabilirliğini sağlamaya ilişkin yükümlülükler getirilmiştir. Buna benzer şekilde elektronik ticaret ortamında satışlar dolayısıyla elde edilen kişisel verilerin veri sahipliğine ilişkin olarak Kurum tarafından bir rehber yayımlanması beklenmektedir.

III. Verinin Taşınabilirliğine ilişkin düzenlemeler

4054 sayılı Rekabetin Korunması Hakkında Kanun’da (“Rekabet Kanunu”) özellikle dijital ekonomilerdeki rekabetin korunması adına değişiklikler yapılmasına dair düzenleme taslağı, 14 Ekim 2022 tarihinde taslak ile ilgili görüşlerin alınması amacıyla ilgili taraflar ile paylaşılmıştı. Yine bu dönemde, 2022 yılı içerisinde Rekabet Kurulu, Facebook’un temel hizmetler olarak adlandırılan Facebook, Instagram ve WhatsApp hizmetlerinden topladığı verileri birleştirmesi ile kişisel amaçlı sosyal ağ hizmetleri ile çevrim içi görüntülü reklamcılık pazarlarında faaliyet gösteren rakiplerinin faaliyetlerini zorlaştırdığı ve pazara giriş engeli yarattığı sebepleri dolayısıyla ile rekabetin bozulmasına yol açtığına ve Rekabet Kanunu’nu ihlal ettiğine karar vererek idari para cezası uygulamıştı.

2023 yılı içerisinde Rekabet Kanunu’nda beklenen değişiklikler gerçekleşmemiş ancak Rekabet Kurulu veri kullanımından kaynaklı rekabet ortamının bozulması ve Rekabet Kanunu’nun ilgili maddelerini ihlal etmesi sebebiyle dijital platformlara idari para cezası uygulamaya devam etmiştir. Bu doğrultuda, Rekabet Kurulu tarafından DSM Grup Danışmanlık İletişim ve Satış Tic.’ye (Trendyol e-ticaret platformu) algoritmaya müdahale ederek ve pazaryerinde satış yapan üçüncü taraf satıcıların verilerini kullanarak kendi perakende faaliyetine haksız avantaj sağlaması ve gerçekleştirdiği bu eylemlerinin rakiplerinin faaliyetlerini zorlaştırıcı nitelikte olduğu sebeplerine dayalı olarak 61.342.847 TL idari para cezası uygulandı. Yine, Türkiye ikinci el dijital pazarda faaliyet gösteren sahibinden.com’a hakim durumunu kötüye kullandığı gerekçesiyle Sahibinden Bilgi Teknolojileri Pazarlama ve Ticaret AŞ’ye 40. 100. 000 TL idari para cezası verildi. Veri kullanımının rekabet ortamını gün geçtikçe daha da etkileyici bir rol üstlendiği ve dijital platformların piyasadaki konumu da göz önüne alındığında, 2024 yılı içerisinde Rekabet Kanunu’nun taslağının sonlandırılması ve kanunlaşma sürecinin ilerlemesi beklenmektedir.

Öte yandan aynı amaçla veri taşınabilirliği ve erişimine ilişkin benzer değişiklikler ETK nezdinde yapılmıştır (Bkz. Bölüm C.II.). Şöyle ki, bir takvim yılındaki net işlem hacmi on milyar Türk lirasının üzerinde olan elektronik ticaret aracı hizmet sağlayıcının, elektronik ticaret hizmet sağlayıcının satışları dolayısıyla elde ettiği verileri bedelsiz taşımasına ve bu veriler ile bunlardan elde ettiği işlenmiş verilere bedelsiz ve etkin şekilde erişim sağlamasına teknik imkân sunması gerekmektedir. Bölüm C.II.’de de belirtildiği üzere ETK’de yer alan veri taşınabilirliğine ilişkin maddenin Mayıs 2023 itibariyle Danıştay 10.Daire’si tarafından yürütmesi durdurulmuş ve Temmuz 2023 itibariyle Anayasa Mahkemesi kararı ile tekrardan uygulanmaya başlanmıştır. Veri taşınabilirliğine ilişkin düzenlemeye aykırı hareket eden elektronik ticaret aracı hizmet sağlayıcıya, 100.000 TL’den az olmamak üzere, aykırılığın gerçekleştiği tarihten bir önceki takvim yılına ait net satış tutarının on binde beşi oranında ceza verileceği de düzenlenmiştir.

Rekabet ve e-ticaret alanında veri taşınabilirliğine ilişkin hususlar gündemi oldukça meşgul etmekte ve mevzuat yansımaları görülmektedir. Öte yandan, Bölüm C.I.’de de belirtilen kanun değişikliği ile, KVKK’nin GVKT’ye uyumlaştırılması sürecinde, veri taşınabilirliğine ilişkin GVKT madde 20’nin de KVKK kapsamına alınması söz konusu olabilecektir. Hal böyleyken, işbu düzenlemeler içerisinde veri taşınabilirliği başta olmak üzere kişisel verilerin önemli bir rekabet girdisi olarak kullanılabileceği alanlarda çeşitli düzenlemeler yapılmaya başlandığı göz önüne alındığında bu durumun KVKK nezdinde de rehberler ve/veya kanun değişikliği ile devam etmesi beklenmektedir.

IV. Çocuk Kişisel Verilerine İlişkin Düzenlemeler

Bölüm A.II.3’de de belirtildiği üzere, Millî Eğitim Bakanlığı Okul Öncesi Eğitim ve İlköğretim Kurumları Yönetmeliğinde Değişiklik Yapılmasına Dair Yönetmelik yayımlanmış olup; veliden ve rehberlik öğretmeni gözetiminde öğrenciden yazılı izin alınmaksızın öğrencilerin; okul içi ve okul dışında yapılan eğitim etkinlikleri, sosyal ve kültürel faaliyetler ile gezi ve gözlem faaliyetleri esnasında çekilen görüntüleri sosyal medya platformları ve haberleşme gruplarında her ne ad altında olursa olsun paylaşılamayacağı düzenlenmiştir. Son dönemlerde çevrimiçi oyunlar ve sosyal medya kullanımı neticesinde çocuklara ait verilerin oldukça yoğun bir şekilde kullanıldığı görülmektedir. Kurul ise 2019 yılından itibaren çocuk kişisel verilerinin korunması noktasında birçok farkındalık çalışmaları yürütmüş ancak henüz bir rehber veya kamuoyu duyurusu bu konuda yayımlamamıştır.  Çocukların kişisel verilerinin özellikle çevrimiçi platformlarda (sosyal medya, oyun siteleri) daha sıkı bir şekilde korumayı kapsayan değişiklikler yapılması ve Kurul’un da 2024 yılı içinde çocukların kişisel verilerinin işlenmesinde dikkat edilmesi gereken hususlara ilişkin rehber yayımlaması beklenmektedir.

V. Finansal Veri Erişimi

Avrupa Komisyonu, “Finansal Veri Erişimi ve Ödemeler Paketi kapsamında Ödeme Hizmeti Direktifi 3 (Payment Service Directive 3), Ödeme Hizmetleri Yönetmeliği (Payment Service Regulation 1), Finansal Veri Erişimi Yönetmeliği (Financial Data Access Regulation) 28 Haziran 2023 tarihinde yayımlamıştır. Böylelikle, AB kapsamında ödeme sistemleri de dahil olmak üzere finans sektörünü düzenleyen mevzuatta önemli değişiklikler yapılmasına ilişkin büyük bir adım atılmıştır. Ödeme ve finans sektörünü dijital çağ ile senkronizasyonunun arttırması, elektronik ödemelerde rekabetin iyileştirilmesi ve tüketicilerin verilerini güvenli bir şekilde paylaşılmasını sağlayacak finansal ürün ve hizmetlere erişim imkanı sunulması hedeflenmiştir. Bu doğrultuda, Avrupa Veri Koruma Otoritesi tarafından 38/2023 sayılı Görüşü ile GDPR kapsamında Finansal Veri Erişimi Yönetmeliği’ne ilişkin değerlendirmeler 22 Ağustos 2023 tarihi itibariyle kamu ile paylaşılmıştır.

Türkiye’de ise her ne kadar daha önce Kurul, Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulama Rehberi’ni çıkartmış ve bankacılık sektörü özelinde kişisel verilerin korunmasına ilişkin detaylı açıklamalarda bulunmuş olsa da finans ve ödeme sektörünü de kapsayan bir yayın henüz paylaşmamıştır. Öte yandan, Türk mevzuatı kapsamında, finansman ve faktoring şirketleri de dahil olmak üzere finans ve ödeme sektöründe birincil sistem verilerinin korunmasına yönelik sıkı düzenlemeler mevcuttur. İlgili mevzuat kapsamında yer alan birincil sistem verilerinin korunmasının yanı sıra birincil sisteme dahil olan kişisel verilerin de KVKK düzenlemelerine uyumuna ilişkin Kurul tarafından bir rehberin çıkartılması beklenmektedir. 

EK 1 TEMEL KAVRAMLAR

Açık Rıza ilgili kişi tarafından belirli bir konuya ilişkin olarak özgür iradeyle verilen ve bilgilendirilmeye dayanan onay anlamına gelir. KVKK kişisel verilerin veya özel nitelikli kişisel verilerin kural olarak açık rıza ile işlenmesini öngörmektedir; ancak, açık rızayı almak için belirli bir yöntem KVKK altında düzenlenmemiştir. Bu bağlamda, veri sorumluları açık rızayı yazılı, elektronik veya sözlü olarak temin edebilirler.  Her hâlükârda açık rızanın alınmasına ilişkin ispat yükümlülüğü veri sorumlusuna aittir.

Kişisel Veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi anlamına gelir. Dolayısıyla, kişiyi tanımlamak için kullanılabilecek herhangi bir bilgi kişisel veri niteliğindedir. Örneğin, bir müşterinin adı ve adresi, IP adresi, e-posta adresi veya müşteri e-posta adreslerinden oluşan bir veri tabanı kişisel veri kapsamındadır.

Kişisel Verilerin İşlenmesi kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olması kaydıyla, otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanımının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü bir işlemi ifade eder.

Özel Nitelikli Kişisel Veri Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verilerdir. KVKK’de yer alan kılık kıyafet, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler, biyometrik ve genetik verilere ilişkin koruma AB düzenlemelerindeki özel nitelikli kişisel verilerin korunmasına yönelik düzenlemelere kıyasla daha kapsamlıdır.

Veri İşleyen veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder.

Veri Sorumlusu kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.

Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) veri sorumlularının Veri Sorumluları Siciline başvuruda ve sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Kişisel Verileri Koruma Kurumu Başkanlığı tarafından oluşturulan ve yönetilen bilişim sistemini ifade eder.

 

————————————–

[i] Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber Taslağı’na ilişkin detaylı bilgi için Türk Veri Koruma Hukuku 2023 Yedinci Yılında Uygulamadaki Gelişmeler Güncellenmiş Versiyon’da yer alan “Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber Taslağı” başlıklı içeriğimize bakabilirsiniz.

[ii] https://www.morogluarseven.com/wp-content/uploads/2023/05/KVKK-Round-Up-2023-Vol2_TR-1.pdf – sayfa 22 ve devamı

[iii] Kurum tarafından yayımlanmış olan 2022 Faaliyet Raporu’ndan alınmıştır.

[iv] Kurum tarafından yayımlanmış olan 2022 Faaliyet Raporu’ndan alınmıştır.

[v] Kurum tarafından yayımlanmış olan 2022 Faaliyet Raporu’ndan alınmıştır.

[vi] Kurum tarafından yayımlanmış olan 2022 Faaliyet Raporu’ndan alınmıştır.

[vii] Kurum’un resmi internet sitesinde yer alan KVKK Bültenleri’nden alınmıştır.

[viii] Kurum tarafından yayımlanmış olan 2022 Faaliyet Raporu’ndan alınmıştır.

[ix] VERBİS’e kayıt ve bildirim yükümlülüğü için son tarih olarak 31 Aralık 2021 belirlenmiş olup; Kurum’un 21 Nisan 2022 tarihli duyurusu ile VERBİS’e kayıt ve bildirim yükümlülüğüne aykırılık sebebi ile idari yaptırım uygulanacağı ifade edilmiştir. Bu sebeple, 2017-2021 döneminde uygulanan idari para cezası bulunmamaktadır.

[x] Kararlara konu olmuş ilgili veri sorumluları, lojistik, eğitim, kripto, inşaat bahis, ilaç, döviz, spor salonu, oyun alanında faaliyet göstermektedir.