4 Nisan ve 21 Haziran 2023 tarihlerinde Kişisel Verileri Koruma Kurulu (“Kurul”), 6698 sayılı Kişisel Verilerin Korunması Kanunu (‘‘Kanun”) kapsamında almış olduğu çeşitli kararlarını yayınlamıştır. Yayınlanan kararlarda; veri aktarımının amaçla bağlantılı, sınırlı ve ölçülü olma ilkesinin altı önemle çizilirken, veri sahibinin açık rızası alınmaksızın veri sorumlusu tarafından verilerinin paylaşılması, veri sahibi tarafından alenileştirilen verinin amacı dışında kullanılması, verilerin yurtdışına açık rıza alınmaksızın aktarılması durumlarına dikkat çekilmektedir. Bu hususlarla alakalı kararlardan bazılarına aşağıda yer verilmiştir.
Veri Sorumlusu, kişisel verilerinin kargo firmasının çapraz barkodlama hatası nedeniyle hukuka aykırı olarak paylaşımına sebep olması hakkında 05/01/2023 tarihli ve 2023/4 sayılı Kararı:
Veri Sahibinin başvuru dilekçesinde; e-ticaret firmasından satın aldığı bir ürünün kargo firmasının tarafına teslim ettiği ancak Veri Sahibi ile isim benzerliği bulunan başka bir kişiye ait adres ve iletişim bilgilerinin kargo paketinde yer aldığını ve siparişin tarafına ait olmadığını fark ettiği belirtilmiştir. Veri Sorumlusu kargo firmasına Kanun kapsamında, kendisi dışında üçüncü kişiye ait kişisel verilerin hangi hukuki gerekçeyle tarafına gönderildiği, benzer şekilde kendisine ait kişisel verilerin de üçüncü kişilere aktarılıp aktarılmadığı ve aktarıldıysa hangi hukuki nedenlere dayanılarak aktarıldığı hususlarına ilişkin bilgi talep ettiğine ilişkin başvuruda bulunmuştur. Veri Sorumlusu, bu durumun barkodlama hatasından kaynaklandığını ve İlgili Kişiye ait siparişin üçüncü kişiden iade alınıp gönderici firmaya teslim edildiğini söylemiştir. İşbu hususta, çapraz kargo gönderimi hatası nedeniyle İlgili Kişiye teslim edilmesi gereken siparişin üçüncü kişiye gönderildiği ve bu suretle İlgili Kişiye ait kişisel verilerin üçüncü kişi ile paylaşıldığı sonucuna varılmıştır ve Veri Sahibi bu durumun Kanun’un “Kişisel Verilerin Aktarımı” olan 8. Maddesine aykırılık teşkil ettiğini öne sürmüştür.
Yapılan incelemeler sonucu; yaşanan bu hadise de Veri Sahibinin kargo paketi üzerinde yer alan bilgilerinin üçüncü kişiye ulaşması bir veri işleme faaliyeti olduğu ve bu faaliyetin hukuka uygunluğu için gereken açık rıza mevcut olmayıp Kanun’da yer alan bir işleme şartına dayanamadığı anlaşılmıştır. İlgili hadisenin Kanun’da belirtilen vergi güvenliğine aykırılık oluşturduğu ve veri sorumlusunun Kurul’a veri ihlali bildiriminde bulunmadığından bahisle Kurul, Kanun’un 12 maddesi uyarınca Veri Sorumlusu olan kargo firması hakkında 75.000 TL idari para cezası uygulanmasına karar vermiştir.
Veri Sahibinin kişisel verilerinin yer aldığı adli yazışma bilgilerinin, Veri Sorumlusu eski işveren tarafından kardeşi ile paylaşılması hakkında 02/09/2022 tarihli ve 2022/896 sayılı Karar Özeti:
Veri Sahibinin başvuru dilekçesinde; Veri Sorumlusu şirket ile iş akdinin feshine kadar devam eden önceki sürede kimlik, iletişim, özlük, mesleki deneyim, sağlık verileri gibi kişisel verilerin işlendiği, ancak bu kişisel veri işleme faaliyetleri ile ilgili aydınlatma yapılmadığı belirtilmiştir. Aynı zamanda Veri Sahibi, bazı kişisel verilerin işlenmesi hakkında kendisinden açık rıza alınmadığı ve en önemlisi, iş akdiyle bağlantısı olmamasına rağmen Veri Sahibinin kişisel verilerini içeren ceza soruşturma dosyasında yer alan bazı yazışmaların Veri Sorumlusunun kardeşine iletildiği söylenmiştir. Hadise ile alakalı Veri Sorumlusuna başvuru yapılmasa bile İlgili Kişi tarafından dönüş alınamamıştır.
Kurula yapılan başvurunun incelenmesi sonucunda; Veri Sahibine ait kimlik bilgilerin Kanun’un 5. Maddesi 2. Fıkrası uyarınca “Kanunlarda açıkça öngörülme” şartına dayanarak işlenebileceği, ancak iş ilişkisiyle alakası olmadığı anlaşılan ceza soruşturma dosyasında yer alan savcılık dilekçesinin e-posta yoluyla üçüncü kişi olan işverenin kardeşiyle paylaşılması nedeniyle Veri Sorumlusu’na 150.000 TL idari para cezası uygulanmasına Kurul tarafından karar verilmiştir.
Veri Sahibinin ameliyat sırasında çekilen fotoğraflarının veri sorumlusu hastanede çalışan bir doktorun sosyal medya hesabında paylaşılması hakkında 29/06/2022 tarihli ve 2022/630 sayılı Karar Özeti:
Veri Sahibi şikayetinde özetle; Veri Sahibi burun ameliyatı olduğu hastanede çalışan doktorun Kişi baygın olduğu sırada fotoğraflarına çektiği, Kişinin kişisel verilerinin reklam ve pazarlama amacıyla kullanılmasına ilişkin açık rızası olmadığı halde doktorun iki yıl boyunca kendi sosyal medya hesabında fotoğrafları tuttuğunu belirtmiştir. Veri sorumlusu; ilgili fotoğraflarda burun dışında belirleyici bir unsurun oluşmadığı ve bu nedenle fotoğrafların İlgili Kişiyle ilişkilendirilemeyeceği ve ayrıca Kişinin uygulanan tedavinin özellikleri, sonuçları hakkında kamunun bilgilendirilmesi bakımından açık rıza verdiğini ancak açık rıza geri alındıktan sonra şikayete konu fotoğrafların kaldırıldığını belirtmiştir.
İlgili hadisede Kurul; ilgili fotoğraflarda kişinin yüz hatlarını belirten kaş, bıyık gibi unsurların varlığı nedeniyle Veri Sahibinin kimliğinin belirlenebilir olduğunu ve en önemlisi İlgili Kişinin verdiği açık rızanın hastaneye ilişkin olduğunu bu sebeple doktorun kişisel sosyal medya da fotoğraflarının paylaşılması belirli bir konuya ilişkin, bilgilendirmeye dayalı ilkesi uyarınca verilen açık rızanın kapsamı dışında olduğu kanaatine varmıştır. Kurul; doktor hakkında kişisel verilerin hukuka aykırı paylaşımı nedeniyle Türk Ceza Kanunu kapsamında yargılanabileceğini belirtmiş, hastane hakkında ise 100.000 TL idari para cezası uygulanmasına karar vermiştir.
Veri Sahibinin internet aracılığı ile ulaşılan işyeri e-postasına açık rızası alınmaksızın veri sorumlusu bir pazarlama şirketi tarafından ticarî elektronik ileti gönderilmesini konu alan 01/09/2022 tarihli ve 2022/861 sayılı Karar Özeti:
Veri Sahibinin ilgili dilekçesinde; Veri Sorumlusu şirket tarafından Veri Sahibinin e-posta adresine reklam, kampanya vb. amaçlarla ticari elektronik ileti gönderildiği belirtmiştir. İlgili Kişi, Veri Sorumlusunun e-posta adresine reklam veya kampanya içerikli e-postaların gönderilmemesi ve kişisel verilerinin imha edilmesi taleplerini belirten mail göndermiştir. Şirket, sadece imha işleminin gerçekleştirildiğini söylemiştir ve bunun üzerine İlgili Kişi Kurul’a başvurmuştur.
Kurul’un incelemesi sonucu; Veri Sahibinin kişisel verilerini reklam ve kampanya amacıyla alenileştirmediğini zira alenileştirilen kişisel verilerin de alenileştirme amacı dışında işlenmesinin Kanun’a aykırı olduğunu ve ilgili olayın Kanun’un 5. Maddesinde belirtilen veri işleme şartlarının kapsamı dışında kaldığından bahisle ilgili şirketin veri işleme faaliyeti nedeniyle hakkında 150.000 TL idari para cezası uygulanmasına karar verilmiştir.
Veri Sahibinin kişisel verilerinin teknoloji şirketi tarafından açık rızası olmaksızın yurt dışına aktarılması hakkında 17/03/2022 tarihli ve 2022/249 sayılı Karar Özeti:
Veri Sahibinin şikayet dilekçesinde; üye olduğu internet sitesinde herhangi bir çerez politikasının yer almadığını ve aydınlatma metni olup bu metinde kişisel verilerin yurtdışına aktarıldığından bahsedilse bile bu hususta açık rıza alınmadığını belirtilmiştir. Bunun üzerine, internet sitesine konuya ilişkin e-posta yoluyla başvuruda bulunan Veri Sahibi 30 günlük yasal süre içinde herhangi bir dönüş alamadığından bahisle Kurul’a başvuruda bulunduğunu söylemiştir.
Kurul tarafından yapılan incelemede; ilk olarak Veri Sorumlusu olan internet sitesinin Başvuru Usul ve Esasları Hakkında Tebliğ’in 6. maddesinin 1. Fıkrası uyarınca, Veri Sorumlusunun ilgili kişilerce yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli idari ve teknik tedbirlerin alınmadığı kanaatine varıldığı açıklanmıştır. Kanun’un “Verilen Yurtdışına Aktarımı” hakkında olan 9. Maddesi kapsamında; Veri Sorumlusu şirketin Kurul onayından geçmiş taahhütnamesi bulunmadığı ve bu nedenle veri sahiplerinden açık rıza alması gerektiği ancak ilgili olayda açık rızanın alınmadığı belirtilmiştir. Bu sebeple; Başvuru Usul ve Esasları Hakkında Tebliğ uyarınca veri sahipleri tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli idari ve teknik tedbirleri alması hususunda Veri Sorumlusunun uyarılmasına ve kişisel verilerin yurtdışına aktarımının hukuka aykırı şekilde gerçekleştirildiğinden bahisle de hakkında 950.000 TL idari para cezası uygulanmasına karar vermiştir.
Veri Sahibinin, iş görüşmesi yaptığı bilgisi ile görüşmenin içeriği hakkındaki bilgilerin iş görüşmesi yapılan şirket tarafından hali hazırdaki işyeri ile paylaşılması hakkında 04/08/2022 tarihli ve 2022/798 sayılı Karar Özeti:
Veri Sahibi şikayet dilekçesinde; Veri Sorumlusu firma ile iş görüşmesi gerçekleştirdikten sonra mevcut çalıştığı işyerine ulaşan Veri Sorumlusu şirket, İlgili Kişinin mevcut şirket hakkında itibarını zedeler nitelikte açıklamalarda bulunduğu belirtilmiştir. Veri Sahibi, iş görüşmesi yaptığı Veri Sorumlusu şirkete kişisel verilerinin işlenip işlenmediği ve kimlerle paylaşıldığı konularında bilgi edinmek, ayrıca maddi ve manevi zararların tazmini ile kişisel verilerinin imha edilmesi hususunda başvuruda bulunmuş, yasal süre içinde dönüş alamamıştır.
Kurul yapılan inceleme sonucunda; Veri Sahibinin iş görüşmesi sırasında Veri Sorumlusu şirketle paylaştığı kişisel verileri Kanun’un “Kişisel Verilerin Aktarılması” hakkında olan 8. Maddesi kapsamı dışında mevcut şirketle paylaşıldığı kanaatine varılmıştır. Bu sebeple, veri aktarım faaliyetinin Kanun’un ilgili maddesine uygun olmayarak gerçekleştirildiği ve yasal süre içerisine Veri Sahibi tarafından yapılan başvuruya dönüş yapılmadığı da göz önüne alınarak Veri Sorumlusu şirket hakkında 100.000 TL idari para cezası uygulanmasına karar verilmiştir.