Kişisel Verileri Koruma Kurulu Tarafından Yeni Karar Özetleri Yayınlandı 09 Nisan 2020

Kişisel Verileri Koruma Kurulu Tarafından Yeni Karar Özetleri Yayınlandı

Kişisel Verilerin Korunması Hakkında Kanun’un (“Kanun”) 15 ve 22. Maddeleri uyarınca, Kişisel Verileri Koruma Kurulu’nun (“Kurul”) veri sahiplerinin şikâyeti üzerine veya resen görev alanına giren konularda inceleme yapma ve ihlal üzerine idari para cezası tanzim etme yetkisi bulunmaktadır. Kurul,  yaptığı incelemeler sonucunda önemli gördüğü ve emsal oluşturabileceğini düşündüğü kararların özetlerini internet sitesinde yayımlamaktadır.

Kurul tarafından yeni kararlar yayımlanmış olup karar özetlerini aşağıda bilgilerinize sunarız.

Bir şirket sahibinin, çalışanının Whatsapp yazışmalarını hukuka aykırı olarak elde etmesi hakkında” Kişisel Verileri Koruma Kurulunun 16/05/2019 Tarihli ve 2019/138 Sayılı Karar Özeti

Şikâyetçinin rızası dışında kendisine ait Whatsapp yazışmalarının, çalıştığı şirketin sahibi tarafından hukuka aykırı olarak elde edilmesi ve üçüncü kişilerle paylaşılmasına ilişkin iddiaları ile ilgili olarak şikâyette bulunulması üzerine Kurul inceleme başlatmıştır.

Bu inceleme sonucunda Kurul, Kanun’un 15/1 maddesinde Kurul’un şikayet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapacağı; aynı maddenin 2. fıkrasında ise 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesinde belirtilen şartlardan birini taşımayan ihbar veya şikâyetlerin incelemeye alınmayacağının hükme bağlandığı, şikayetçi tarafından iletilen şikayetin yargı mercilerinin görevine giren konularla ilgili olduğu, bu nedenle de şikâyet edilenin Whatsapp grubunun kullanıcılarından biri olan bir çalışanının işyerindeki bilgisayarı üzerinden yazışmaları okuyup, fotoğraflarını çekmesinin ve/veya ekran görüntülerini kaydetmesinin Türk Ceza Kanunu kapsamında değerlendirilmesi gerektiğine ve Kanun’un 15/1 maddesi çerçevesinde ilgili başvurunun Kanun kapsamında değerlendirilemeyeceğine karar vermiştir. Kurul bu kararda Whatsapp kullanıcısının Kanun kapsamında veri sorumlusu olmadığı ve yazışmaların okunması, fotoğraf çekmesi /ekran görüntüsü kaydetmesinin de Kanun kapsamında kişisel veri işleme faaliyeti olmayacağı yönünde değerlendirme yapmıştır.

Veri sorumlusunun, web sitesinde kişisel verilerin işlenmesini hizmet şartı olarak talep ettiği ve aydınlatma yükümlülüğünü usulüne uygun yerine getirmediği iddiaları hakkında” Kişisel Verileri Koruma Kurulunun 08/07/2019 tarih ve 2019/206 sayılı Karar Özeti

Kurul’a intikal eden başvuruda özetle, veri sorumlusunun hizmet sunduğu web sayfasına girildiğinde, giriş yapılması için zorunlu bir alan çıktığı ve e-posta adresinin talep edildiği, istenilen kişisel veriler verilmeden ana sayfaya geçiş imkânının bulunmadığı ve bu bakımdan söz konusu kişisel verinin verilmesinin bir hizmet şartı olarak talep edildiği ve kişisel veri talebi sırasında aydınlatma yükümlülüğü kapsamında sunulan metnin, işlenen kişisel verileri ve hukuki sebeplerini açıkça ortaya koymadığı iddia edilmiş, konuya ilişkin olarak Kurul tarafından inceleme başlatılmıştır.

Yapılan incelemeler sonucunda, bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının açık rıza şartına dayandırılmasının, açık rızanın özgür iradeyle açıklanmış olması kuralına aykırılık teşkil edecek olmakla birlikte, incelemeye konu web sitesinin, site bünyesinde kullanıcılara sunulan çeşitli alanlardaki mal ve hizmetlerin doğrudan tedarikçisi/sağlayıcısı niteliğinde olmadığı; farklı illerde, farklı sektörlerde ve farklı hizmet sağlayıcıları tarafından sunulan çeşitli hizmetlerin, indirimli fiyatlar üzerinden üyeler tarafından satın alınmasını sağlayan bir aracı firma/hizmet sağlayıcı rolü üstlendiği görülmüş, bu anlamda iddiaya konu hususta, bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının açık rıza şartına dayandırılmasından ziyade Site bünyesinde sunulan indirimli fiyatların ve avantajların yalnızca üye olanlara sunulmasının söz konusu olduğu değerlendirmesinden hareketle, iddiaya konu hususa ilişkin olarak Kanun kapsamında tesis edilecek herhangi bir işlem bulunmadığına karar verilmiştir.

Bunun yanında, ihbara konu web adresi üzerinden erişim sağlanan “GİZLİLİK ve KVK Politikamız” başlıklı metin, söz konusu mevzuat düzenlemeleri çerçevesinde incelendiğinde; web sitesinin ilgili kişiler hakkında işlediği bilgilerin, “ilgili mevzuat”tan kaynaklanan yasal yükümlülük çerçevesinde mi yoksa ilgili kişilerin açık rızalarına istinaden mi işlendiğinin ya da söz konusu kişisel verilerin hangilerinin “ilgili mevzuat”tan kaynaklanan yasal yükümlülük çerçevesinde hangilerinin ise ilgili kişilerin açık rızalarına istinaden işlendiğinin açıkça belirtilmemiş olduğu, bu bağlamda kişisel veri işleme faaliyetinin, Kanunda bulunan açık rıza dışındaki şartlardan birine dayanıyorsa, bu durumda ilgili kişiden açık rıza alınmasına gerek bulunmadığı ve veri işleme faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılmasının, aldatıcı ve hakkın kötüye kullanımı niteliğinde olacağı; nitekim ilgili kişi tarafından verilen açık rızanın geri alınması halinde veri sorumlusunun diğer kişisel veri işleme şartlarından birine dayalı olarak veri işleme faaliyetini sürdürmesinin hukuka ve dürüstlük kurallarına aykırı işlem yapılması anlamına geleceğinin altı çizilerek; bahse konu web adresi üzerinden erişim sağlanan “GİZLİLİK ve KVK Politikamız” başlıklı metnin, “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ”inde yer verilen hükümler dikkate alınmak suretiyle güncellenmesine ve ayrıca aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiği yönünde Şirketin talimatlandırılmasına karar verilmiştir. Kurul burada diğer birçok kararında belirttiği gibi internet sitesi üzerinde yer alan metinlerin açık ve anlaşılabilir şekilde Kanun’a uygun olarak kaleme alınması gerektiğini, aydınlatma yükümlülüğünün “KVKK Bilgilendirme Metni, KVKK Politikamız, Gizlilik ve KVKK Bilgilendirme” gibi başlıklarla ve uzun metinlerle yerine getirmenin Kanun’a uygun olmadığını, aydınlatmanın Kanun ve ikincil mevzuat hükümlerine uygun şekilde açık, sade ve anlaşılabilir şekilde ilgili kişiye sunulması gerektiğini belirtmektedir.  

Ölü kişilerin verilerine yakınlarının erişim talebi hakkında” Kişisel Verileri Koruma Kurulunun 18/09/2019 Tarihli ve 2019/273 Sayılı Karar Özeti

Ölü bir kişinin eşinin Kişisel Verileri Koruma Kurumuna yaptığı başvurusunda özetle; 2018 yılında vefat eden eşinin yasal mirasçısı olarak eşinin İstanbul’da tedavi görmüş olduğu Klinikten tüm medikal ve diğer bilgilerini talep ettiğini, bu talebini içeren bir mektubu taahhütlü posta ile bahse konu Kliniğe ilettiğini, postanın karşı tarafça alındığını, ancak kendisine bir yanıt verilmediğini belirtmiştir. Bunun üzerine bahse konu taleplerini içeren bir e-postayı Kliniğin elektronik ortamdaki adresine ilettiğini ve yanıt olarak resmi olmayan yollarla kendisi ile veri paylaşılamayacağını kendisine iletildiğini ifade eden kişi, eşinin başvurusunda yer alan verilerine erişim talebinde bulunmuştur.

6698 sayılı Kişisel Verilerin Korunması Kanununun 3 üncü maddesinde ilgili kişinin “kişisel verileri işlenen gerçek kişi” olarak tanımlandığı değerlendirildiğinde; talep edilen kişisel verilerin talep eden gerçek kişiye ilişkin olmaması ve ölmüş kişiye ait olması sebebiyle talebin Kanunun 11. maddesi kapsamında bir talep olarak değerlendirilmeyeceğine karar verilmiştir. Kurul burada Kanun’daki kişisel veri tanımında yer alan “gerçek kişi”ye ilişkin olma şartını ele almış ve Medeni Kanun kapsamında kişilik kavramının doğum ile başlayıp ölüm ile sona erdiği dikkate alındığında ölmüş kişilere ait verilerin Kanun kapsamında kişisel veri olmaması ve Kanun’un 11. Maddesinde belirtilen haklardan faydalanılamayacağını belirtmektedir.

Diğer Haberler