Kişisel Verileri Koruma Kurulu, 17 Temmuz 2019 tarihinde internet sitesinde 5 adet karar özeti yayınlamıştır.

1. İlgili kişiye ait telefon numarasına kendisine ait olmayan içeriğin gönderilmesi ile ilgili Kişisel Verileri Koruma Kurulunun 31/05/2019 Tarihli ve 2019/166 Sayılı Karar Özeti

Söz konusu karar ile bir şirketler grubunun avukatı olan veri sorumlusuna 50.000 TL idari para cezası kesilmiştir. Veri sorumlusu avukat, borçlu kişiye SMS gönderimi yapacakken bir rakam hatası sonucunda yanlış kişiye SMS göndermiştir. Söz konusu SMS içeriğinde asıl borçlunun adı soyadı, hizmet numarası ve borçlu olduğu şirket bilgileri yer almaktadır. Kendisine ait olmayan bu içeriği barındıran kısa mesaj nedeniyle ilgili kişi önce veri sorumlusu avukata daha sonra Kurul’a başvurmuştur. Kurul başvuruyu incelediğinde, Kanunda düzenlenen işleme şartlarından herhangi birine dayanmadan işlenmesi şeklindeki tek bir harekete bağlı iki farklı veri işleme faaliyeti olduğunu belirtmiştir. Bu nedenle avukatın, veri sorumlusu olarak kişisel verilerin hukuka aykırı olarak işlenmesini önleme yükümlülüğünü yerine getirmediği anlaşıldığından Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası uygulamasına karar verilmiştir.

Karar, verilerin doğru ve güncel tutulması gerekliliği ile idari ve teknik tedbirlerin alınmasının önemi göstermektedir. Ayrıca avukatın da gerçek kişi veri sorumlusu olarak Kanun kapsamındaki yükümlülüklere uyması gerektiğini vurgulayan önemli bir karar niteliğindedir.

2. Spor salonu hizmeti sunan veri sorumlularının, üyelerinin giriş-çıkış kontrolünü biyometrik veri işleyerek yapması ile ilgili Kişisel Verileri Koruma Kurulunun 25/03/2019 Tarihli ve 2019/81 Sayılı Karar ve 31/05/2019 Tarihli ve 2019/165 sayılı Karar Özeti

Bahsi geçen kararda, veri sorumlularının spor tesislerine girişlerde el ve parmak izi alınması suretiyle biyometrik veriler olarak tanımlanan özel nitelikli kişisel verileri işlediği tespit edilmiştir. Spor salonu üyelerinin spor salonu hizmetinden söz konusu verilerini vermeden yararlanamadığı, konuya yönelik açık rızanın online üyelik sözleşmesi içerisinde alınmasının geçersiz olacağı, spor salonuna giriş için alternatif yöntemler bulunmadığı ve üyelerin giriş yaptığı sırada herkesin görebileceği bir ekranda fotoğraf ve son ziyaret saati gibi kişisel verilerinin paylaşıldığı tespit edilmiştir. Bu nedenle veri sorumlusu olan iki ayrı spor salonuna idari para cezaları verilmiş ve veri sorumluları spor tesislerine giriş ve çıkışlarda biyometrik verilerin işlenmesinin durdurulması, alternatif yolların kullanılması konusunda talimatlandırılmıştır.

Kurul, diğer kararlardan farklı olarak Danıştay kararı, Avrupa Veri Koruma Tüzüğü ve Avrupa uygulamalarını da değerlendirerek kararına dayanak oluşturmuştur.

Bu kapsamda veri sorumlularına üyelerden alınan açık rızanın Kanunun 12’nci maddesinin (1) numaralı fıkrasının (a) bendine aykırılık teşkil etmesi nedeniyle ve kişisel verilerin başkaları tarafından görülmesini engelleyecek gerekli idari ve teknik tedbirlerin alınmaması nedeniyle Kanunun 18’inci maddesine dayanarak idari para cezası uygulanmasına karar verilmiştir. Ayrıca Kurul tarafından, spor tesislerine giriş çıkış işlemlerinin biyometrik veriler ile yapılması uygulamasının derhal durdurulması ve alternatif yollara geçilmesi konusunda talimat verilmiştir. Bugüne kadar işlenen ve muhafaza edilen biyometrik verilerin ise Kanunun 7’nci maddesi ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik kapsamında yok edilmesi ve bu verilerin üçüncü kişilere aktarıldığı bir durumun söz konusu olması mevcut ise yok etme işleminin bu kişilere de bildirilmesi konusunda karar verilmiştir.

Sonuç olarak, spor salonları dahil parmak izi gibi biyometrik veri ile giriş yapılan yerler için bu karar önem teşkil edecek olup, mevcut uygulamalarını Kurul kararı talimatlarına uygun hale getirmeleri önerilmektedir.

3. Bir anonim şirketin (veri sorumlusu) ilgili kişinin açık rızası dışı elektronik ticari ileti göndermesine ilişkin Kişisel Verileri Koruma Kurulunun 31.05.2019 arihli ve 2019/162 Sayılı Karar Özeti

Kararda söz konusu veri sorumlusu şirkete 50.000 TL idari para cezası verilmiştir. Veri sorumlusu şirketin, şikayetçinin kişisel verisi olan cep telefonunun pazarlama amaçlı olarak reklam içerikli mesaj gönderilmesi suretiyle verini işlediği ve bu işleme üzerine veri sorumlusuna yapılan başvuruya yasal süresinde geri dönüş yapılmadığı beyan edilmiştir. Kurul tarafından yapılan bu işlemenin, 6698 sayılı Kanunun 5 ve 6’ncı maddelerinde bulunan işleme şartlarının hiçbirini karşılamadığı ve bu hukuka aykırı işlemenin gerçekleşmemesi için hiçbir idari ve teknik tedbir almadığı tespit edilmiştir. Bu kapsamda veri sorumlusu şirkete Kurul tarafından Kanunun 12’nci maddesinin (1) numaralı fıkrasının (a) bendinde aykırı davranmış olması nedeniyle Kanunun 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 50.000 TL idari para cezası uygulanmıştır.

Kurul’un bu kararı ile bir sözleşme ilişkisine bağlanmayan işleme faaliyeti açısından açık rıza alınması gerektiğinin önemi öne çıkarılmıştır.

4. Bir varlık yönetim şirketinin ilgili kişiye aynı konu ile ilgili birden çok mesaj gönderimine ilişkin Kişisel Verileri Koruma Kurulunun 31/05/2019 Tarihli ve 2019/159 Sayılı Karar Özeti

Kararda veri sorumlusu şirket tarafından ilgili kişiye ait kişisel veri olan telefon numarasına açık rızası olmaksızın kısa mesaj atıldığı, kısa mesajın içeriğinde ret bildiriminin bulunmadığı, şirketin bu kişisel veriyi nasıl elde ettiğinin bilinmediği ve veri sorumlusuna yapılan başvuruya herhangi bir cevap alınamadığı beyan edilmiştir. Kurul, şikayetçinin telefon numarasının aralarında bulunan devir alınmış borç ilişkisinin ifa edilmesi için ve bu konuda borçluya kolaylıklar sağlanabilmesi için gerekli olması nedeni ile 6698 sayılı Kanunun 5’inci maddesinin (2) numaralı fıkrasının (e) bendi kapsamında Şikayetçinin açık rızası alınmadan da işlenebileceğinden dolayı işlem yapılmasına gerek olmadığına karar vermiştir. Ancak numaraya atılan kısa mesajların sayısına bakıldığında işleme amacının dışına çıkıldığının ve veri işleme hakkının kötüye kullanıldığının ve bu durumun Kanunun 4’üncü maddesinin (2) numaralı fıkrasının (a) bendinde yer alan kişisel verilerin işlenmesinin hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırılık teşkil etmesi sebebi ile Kanunun 12’nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında verilerin işlenme amacının aşılmasının önlenmesine yönelik gerekli idari ve teknik tedbirlerin alınmaması sebebiyle Kanunun 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 20.000 TL idari para cezası verilmesine karar vermiştir.

Kurul Kararı, kişisel verilerin kanuna uygun şekilde elde edilse dahi bu kişisel verilerin kullanılmasının da bir işleme faaliyeti olduğu ve bu sebeple kullanılmasının işleme amacına uygun yapılması gerektiğine dikkat çekmektedir.

5. Kurumsal e-posta hizmetinin, Google (gmail) üzerinden yine aynı uzantıya sahip olarak kullanılıp kullanılamayacağı ilişkin Kişisel Verileri Koruma Kurulunun 31/05/2019 Tarihli ve 2019/157 Sayılı Karar Özeti

Kurul kendisinden görüş talep edildiği hususa ilişkin yaptığı incelemeyi karar olarak yayınlaşmıştır. Görüş talep edilen konu ise veri sorumlularının ücretsiz bir kurumsal e-posta hizmeti olan Zimbra aracılığıyla … uzantılı e-posta adreslerinin, gmail üzerinden yine aynı uzantıya sahip olarak kullanılıp kullanılamayacağı hakkındadır.

Kurul, gmailin altyapısının kullanılması durumunda e-postaların dünyanın farklı yerlerinde bulunan veri merkezlerinde tutulacağından dolayı verilerin yurtdışına aktarılmasının söz konusu olacağını, bu sebeple bu aktarımın 6698 sayılı Kanunun 9’uncu maddesi hükümlerine uygun olarak gerçekleştirilmesi gerektiğine, “Server”ları yurtdışında bulunan veri sorumlusu ve veri işleyenlerden temin edilen saklama hizmetlerinin de aynı madde hükümlerine uygun olarak gerçekleştirilmesine karar vermiştir. Kurulun görüşü üzerine, saklamaların yurtdışında yapılması da yurtdışına aktarım olarak değerlendirileceğinin altı çizilmiştir.

6 Temmuz tarihinde Resmi Gazete’de yayımlanan 2019/12 sayılı Bilgi ve İletişim Güvenliği Tedbirleri Hakkında Genelge’nin 18 ve 19’uncu maddeleri de özellikle e-postalar nezdinde düzenlemeler öngörmüştür. Düzenlemeye göre e-posta sunucularının ülkemizde olması, kurumsal olmayan şahsi e-posta adreslerinden kurumsal iletişim yapılmaması, kurumsal e-postaların şahsi amaçlarla kullanılmaması gibi hususlar yer almaktadır. Genelgeye ilişkin detaylı bilgiye 8 Temmuz 2019 tarihli 8 numaralı şirketler hukuku sirkülerimizden ulaşabilirsiniz...

Tüm bu kararlar nezdinde veri sorumluları, e-posta sunucularının bulundukları yerlere, SMS gibi ticari elektronik ileti gönderimlerine, verilerin doğru ve güncel tutulmasının sağlanmasına ve özel nitelikli kişisel veriler başta olmak üzere kişisel verileri. veri işleme şartlarına ve ilkelerine uygun işlemeye dikkat etmeleri gerekmektedir.

Saygılarımızla,
Kuzey YMM ve Bağımsız Denetim A.Ş.
Erdal Çalıkoğlu