Kişisel Verileri Koruma Kurumu’nun Yeni Kararları

Yeni Gelişme

Kişisel Verileri Koruma Kurumu (“Kurum“) 6 Kasım 2019’da ilgili kişinin veri sorumlusuna başvurusu, kişisel veri işleme şartları ve veri sorumlusunun veri güvenliği yükümlülüklerine ilişkin dört adet yeni karar yayımladı.

Kararlarda Neler Var? 

Kararlardan ilki, ilgili kişinin Kişisel Verilerin Koruması Kanunu’nun (“KVKK”) 11. maddesi uyarınca düzenlenen ilgili kişinin haklarının kullanımına ilişkin şikâyeti ile ilgilidir. Bir telekom operatörü olan veri sorumlusu, ilgili kişilerin KVKK’nın 11. maddesi uyarınca veri sorumlusuna başvururken kullanılması amacıyla internet sitesi üzerinden bir form yayımlamıştır ve işbu formun noter aracılığıyla veya elektronik imzalı e-posta yoluyla gönderilmesi gerektiğini belirtmiştir. Veri sorumlusunun formların noter veya elektronik imzalı e-posta yoluyla iletilmesini talep etmesinin gerekçesi, ilgili veri sahiplerini tespit olarak açıklanmıştır. Kurum, noter veya elektronik imzalı e-posta yoluyla başvuru şartının, ilgili kişilere KVKK’da veya Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’de (“Tebliğ”) öngörülmemiş bir maddi külfet getirdiğini belirtmiştir. Kurum ayrıca, veri sahibinin veri sorumlusuna yazılı olarak veya bir yazılım veya bu amaç için geliştirilen bir uygulama aracılığıyla başvurmasını mümkün kılan Tebliğ’in, 5. maddesine de atıfta bulunmuştur. Sonuç olarak, Kurum, veri sorumlusunun eylemlerinin KVKK’ya aykırı olduğu ve dürüstlük kuralı ile bağdaşmadığı kanaatine varmıştır. Bu doğrultuda Kurum, veri sorumlusunun Tebliğ’in 6. maddesini ihlal ettiği sonucuna varmış ve Tebliğ hükümlerine uyum konusunda azami dikkat ve özenin gösterilmesi hususunda şirketi talimatlandırmıştır.

Kurum’un ikinci kararı, bir havacılık şirketinin sadakat kartı parola değiştirme işlemlerinde kullandığı kimlik tespiti yöntemleri ile ilgili bir şikâyete ilişkindir. Havacılık şirketi, kimlik tespitinde kullanılması için ilgili kişinin kimliğinin arkalı önlü fotokopisini talep etmiştir. Ek olarak, veri sahibi kimliğinin kopyalarının saklanma süresini öğrenmek istediğinde, veri sorumlusu bu verilerin hiçbir yerde saklanmadığını belirtmiştir. Kurum tarafından yapılan değerlendirmede ise söz konusu kopyaların saklandığı sonucuna ulaşılmıştır. Kurum, kimliklerin kan grubu ve mensup olunan din gibi KVKK kapsamında daha katı bir korumaya tabi ve özel nitelikli kişisel bilgiler içerdiğini belirtmiştir. Kurum ayrıca, ilgili kişiye saklama süresine ilişkin yanlış bilgi verildiğine dikkat çekerek, veri sorumlusunun iyi niyetli davranmadığını belirtmiştir. Daha az miktarda kişisel veri işlenerek kimlik tespitinin mümkün olması nedeniyle, kararda, söz konusu veri işleme faaliyetinin KVKK’nın 4. maddesinde yer alan işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma kriterlerini karşılamadığı belirtilmiştir. Bu doğrultuda Kurum tarafından veri sorumlusuna 100.000 TL idari para cezası uygulanmasına ve veri sorumlusunun, kişilerin kimliklerinin teyit edilmesi sürecinde uygulanacak yöntem ve bu durumda işlenecek kişisel verilere ilişkin düzenlemelerin KVKK kapsamında gözden geçirilmesi ve bu hususta ilgili kişiler ile veri işleyenlerin uyarılması hususlarında talimatlandırılmasına karar verilmiştir.

Kurum’un üçüncü kararı, bir telefon numarasının banka tarafından veri işleme amacından başka amaçlarla kullanılmasına ilişkindir. Banka çalışanının, ilgili kişinin banka işlemleri için vermiş olduğu telefon numarası bilgisini, eşine ulaşılmasında yardımcı olması adına işlenmesinin, KVKK’nın 4. maddesinde öngörülen verilerin “belirli, açık ve meşru amaçlar için işlenme, amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırı olduğu değerlendirilmiştir. Bu doğrultuda banka hakkında kişisel verilerin korunmasına ilişkin uygun güvenlik düzeyinin sağlanmadığı gerekçesiyle idari para cezasına hükmedilmiştir. Ek olarak Kurum, ilgili kişinin kişisel verilerinin işlenmesi hakkında bilgi almak için yaptığı başvurusuna ilişkin olarak Banka’nın, başvuruya cevaben ilgili kişiyi banka müşteri hizmet hattına yönlendirmesinin, kişisel verilerin korunması mevzuatına uygun bir cevap olmadığına hükmetmiştir. Bu hususların veri sorumlusu banka hakkında kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirin almadığını göstermesi nedeniyle banka hakkında 100.000 TL idari para cezası uygulanmıştır.

Kurum’un yayımladığı son kararı ise bir eğitim kurumunun kişisel veri işleme şartları olmaksızın ilgili cep telefonuna reklam amaçlı kısa mesaj göndermesine ilişkin yapılan şikâyet hakkındadır. Kurum ilk olarak ilgili kişilerin cep telefonlarına reklam amaçlı mesaj gönderilmesinin KVKK’nın 3. maddesi gereği bir veri işleme faaliyeti olduğunu belirtmiştir. Buradan hareketle Kurum, söz konusu veri işleme faaliyetinin hukuka uygun olarak yerine getirilmesi için ilgili kişinin açık rızası veya KVKK’nın 5. maddesinde sayılan diğer işleme şartlarının bulunması gerektiğini belirtmiştir. İlgili eğitim kurumu nezdinde yerinde inceleme de gerçekleştiren Kurum, işleme şartları bulunmaksızın cep telefonuna reklam amaçlı mesaj gönderilmesi suretiyle kişisel verilerin hukuka aykırı olarak işlendiğini belirtmiş ve 50.000 TL idari para cezasına hükmetmiştir.

Sonuç

Kurum’un bu dört yeni kararı, veri sorumlularının ilgili kişilerin taleplerini yerine getirme yükümlülüğü, kişisel veri işleme şartları ve gerekli idari ve teknik tedbirleri alma yükümlülüğü gibi çeşitli veri koruma konularındaki kişisel veri ihlallerinin pratikte Kurum’ca nasıl değerlendirileceğine dair ışık tutmaktadır. KVKK’dan doğan yükümlülüklerin geniş kapsamlı uygulama alanı göz önüne alındığında, veri sorumluları Kurum kararları ışığında süreçlerini gözden geçirmelidirler.