“Bir şirket sahibinin, çalışanının Whatsapp yazışmalarını hukuka aykırı olarak elde etmesi hakkında” Kişisel Verileri Koruma Kurulunun 16/05/2019 Tarihli ve 2019/138 Sayılı Karar Özeti
Şikayet edilenin Whatsapp grubunun kullanıcılarından biri olan bir çalışanının işyerindeki bilgisayarı üzerinden yazışmaları okuyup, fotoğraflarını çekmesinin ve/veya ekran görüntülerini kaydetmesinin TCK kapsamında değerlendirilmesi gerektiği, diyerek TCK m.135-140 madde hükümleri uygulanacak hususların değerlendirilmeyeceğine karar vermiştir.
Kurul böylelikle bu tarz başvuruların önünü bir kez daha kesmiştir. Karar yerinde olup, söz konusu ihlal uyarınca Türk Ceza Kanunu uyarınca gerekli cezanın kesilmesi ve sonrasında zarara uğrayan kişinin tazminat davacı açması gerekecektir.
“Veri sorumlusunun, web sitesinde kişisel verilerin işlenmesini hizmet şartı olarak talep ettiği ve aydınlatma yükümlülüğünü usulüne uygun yerine getirmediği iddiaları hakkında” Kişisel Verileri Koruma Kurulunun 08/07/2019 tarih ve 2019/206 sayılı Karar Özeti
Açık rızanın özgür irade ile açıklanması gerektiğinden, ilgili kişinin açık rızasının alınmasının, bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmemesi gerektiği, Kurul tarafından daha önce de açıkça belirtilmişti, ancak söz konusu olayda
“..incelemeye konu web sitesinin, site bünyesinde kullanıcılara sunulan çeşitli alanlardaki mal ve hizmetlerin doğrudan tedarikçisi/sağlayıcısı niteliğinde olmadığı; farklı illerde, farklı sektörlerde ve farklı hizmet sağlayıcıları tarafından sunulan çeşitli hizmetlerin, indirimli fiyatlar üzerinden üyeler tarafından satın alınmasını sağlayan bir aracı firma/hizmet sağlayıcı rolü üstlendiğinin görüldüğü,
Bu çerçevede söz konusu Sitenin, farklı illerde, farklı sektörlerde ve farklı hizmet sağlayıcıları tarafından sunulan çeşitli hizmetler açısından üyelerine artı bir menfaat/avantaj sağladığı; siteye üye olmak istemeyen müşterilerin, söz konusu site bünyesinde yer almakla birlikte, farklı illerde, farklı sektörlerde ve farklı hizmet sağlayıcıları tarafından sunulan çeşitli hizmetlere erişim, bu ürünleri ya da hizmetleri satın alma imkânlarının da ortadan kaldırılmadığı..”
Denilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında tesis edilecek herhangi bir işlem bulunmadığına karar verilmiştir.
Kurul ürünü alma hakkı ile ürünü indirimli alabilme hakkını birbirinden ayırmıştır. İndirim ya da promosyon ileri sürülerek belli sitelerde kişisel veri toplanmasını yani artı menfaatler için Kişisel veri işlenmesinin ön şart olarak değerlendirilmeyeceğine karar vermiştir. Bir çok firmanın bu yol ile üyelik kartlarını dağıtmaya başladığı ve bu uygulamanın da Kurul tarafından kabul edileceğini gösterir önemli bir karardır.
Aynı kararda en az bu kadar önemli diğer husus ise; Açık rıza ile ilgilidir. Kurul kararda;
“..Oysa kişisel veri işleme faaliyetinin, Kanunda bulunan açık rıza dışındaki şartlardan birine dayanıyorsa, bu durumda ilgili kişiden açık rıza alınmasına gerek bulunmadığı ve veri işleme faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılmasının, aldatıcı ve hakkın kötüye kullanımı niteliğinde olacağı; nitekim ilgili kişi tarafından verilen açık rızanın geri alınması halinde veri sorumlusunun diğer kişisel veri işleme şartlarından birine dayalı olarak veri işleme faaliyetini sürdürmesinin hukuka ve dürüstlük kurallarına aykırı işlem yapılması anlamına geleceği,
dikkate alındığında, bahse konu web adresi üzerinden erişim sağlanan “GİZLİLİK ve KVK Politikamız” başlıklı metnin, “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ”e uygun düzenlenmediği, bu kapsamda söz konusu metnin Tebliğde yer verilen hükümler dikkate alınmak suretiyle güncellenmesi, ayrıca aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiği yönünde Şirketin talimatlandırılmasına
karar verilmiştir.” Demiştir.
Bugüne kadar bir çok hukukçunun yaptığı; “Kanunda bulunan açık rıza dışındaki şartlardan birine dayansa bile ben yine de açık rızasını alayım. Kişi Açık rızasını geri çekse bile ben 6698 sayılı Kanun 5. Madde 2. Fıkra (ve tabii ki Özel Nitelikli Kişisel Verilerde 6.madde 3. Fıkra) uyarınca veri işlemeye devam ederim. İki hukuki dayanağımdan biri olan (açık rıza) geri çekilse bile diğer hukuki dayanağım (açık rıza dışındaki şartlar) zaten sabit kalacak, böylelikle de bir sıkıntı yaşamayacağım” yorumu Kurul tarafından çürütülmüştür. Buradaki tek sevindirici kısım Kurul’un bu hususta Şirketi talimatlandırmış olması ve herhangi bir Para cezasına hükmetmemesidir. Yapılması gereken firmaların açık rızalarını işbu karara göre revize etmesi olacaktır.
“Ölü kişilerin verilerine yakınlarının erişim talebi hakkında” Kişisel Verileri Koruma Kurulunun 18/09/2019 Tarihli ve 2019/273 Sayılı Karar Özeti
- 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 3 üncü maddesinde ilgili kişinin “kişisel verileri işlenen gerçek kişi” olarak tanımlandığı,
- 4721 sayılı Türk Medeni Kanununun 28 inci maddesinde ise kişiliğin, çocuğun sağ olarak tamamıyla doğduğu anda başladığı ve ölümle sona erdiği hükmünün yer aldığı,
- Kanunun 11. maddesine göre ilgili kişinin kendisi ile ilgili kişisel veriler hakkında bilgi talep edebileceği,
hususları bir bütün olarak değerlendirildiğinde; talep edilen kişisel verilerin talep eden gerçek kişiye ilişkin olmaması ve ölmüş kişiye ait olması sebebiyle talebin, Kanunun 11. maddesi kapsamında bir talep olarak değerlendirilmeyeceğine karar verilmiştir.
Karar son derece açıktır. Ölü kişilere ait verilerin KVKK kapsamına girmeyeceği bir kez daha ortaya konulmuştur.
“Veri sorumlusu tarafından ilgili kişiye gönderilen reklam amaçlı SMS’ler hakkında” Kişisel Verileri Koruma Kurulunun 01/10/2019 Tarihli ve 2019/297 Sayılı Karar Özeti
6698 sayılı Kanunun Geçici 1 inci maddesinin (3) numaralı fıkrasında, “Bu Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilir. Bu Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinir, yok edilir veya anonim hâle getirilir. Ancak bu Kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması hâlinde, bu Kanuna uygun kabul edilir.” hükmüne yer verildiği,
Buna ilaveten, 15/07/2015 tarihli Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik’in Geçici 1/2 maddesinde, “Kanunun yürürlük tarihinden önce, hizmet sağlayıcı ve alıcı arasında doğrudan mal veya hizmet teminine yönelik işlemler sırasında alıcının elektronik iletişim adresini vermesi ile oluşturulan veri tabanlarının onaylı olduğu kabul edilir. Bu şekilde verildiği kabul edilen onay; acente, özel yetkili ya da bayi işletme için verilmiş ise sözleşmenin diğer tarafı için de verilmiş kabul edilir.” hükmünün yer aldığı, denilerek talep reddedilmiştir.
Bir çok firma tarafından sıkça sorulan bir sorunun yanıtı işbu kararda verilmiştir. Kanun yayım tarihinden önce işlenmiş olan kişisel verilerde kontrol yapılması, gereksiz olanların ayıklanması (Veri Minimizasyonu) veri sorumlusuna yüklenen bir ödevdir. Veri sahibinin aksine bir irade beyanı da yoksa hukuka uygun alınmış olan rızalar Kanuna uygun kabul edilecektir. Burada veri sorumlusunun dikkat etmesi gereken husus şudur; Kişisel veriyi alma yolunu/metodu daha doğru bir deyimle ilgili kişi ile arasındaki hukuki ilişkiyi ispat edebilmesidir. “Ben verisini 2014 yılında aldım” söylemi başlı başına yeterli olmayacaktır. İlgili kişinin verisinin alış şeklini de (iddiasını da) ispatlamak zorundadır.
Yine 15/07/2015 tarihli Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik’in Geçici 1/2 maddesinde, “Kanunun yürürlük tarihinden önce, hizmet sağlayıcı ve alıcı arasında doğrudan mal veya hizmet teminine yönelik işlemler sırasında alıcının elektronik iletişim adresini vermesi ile oluşturulan veri tabanlarının onaylı olduğu kabul edilir. Bu şekilde verildiği kabul edilen onay; acente, özel yetkili ya da bayi işletme için verilmiş ise sözleşmenin diğer tarafı için de verilmiş kabul edilir.”denilmektedir.
Burada Kurul’un 04.01.2020 tarihli yönetmelik ve Ticari Elektronik İleti Yönetim Sistemi (İYS) ile ilgili kararlarının da önümüzdeki günlerde geleceğini düşünüyorum.
Bu konu ile ilgilenen firmaların 15.07.2015 tarihli Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik’i incelerken 04.01.2020 tarihli TİCARİ İLETİŞİM VE TİCARİ ELEKTRONİK İLETİLER HAKKINDA
YÖNETMELİKTE DEĞİŞİKLİK YAPILMASINA DAİR YÖNETMELİK’i de incelemesinin faydalı olacağı kanaatindeyiz.
“İlgili kişinin dergi aboneliği işlemleri ile ilgili bir çağrı merkezine vermiş olduğu telefon numarasının, anılan çağrı merkezi tarafından bir gıda şirketinin reklamının yapılması amacıyla aranması hakkında” Kişisel Verileri Koruma Kurulunun 16/01/2020 Tarihli ve 2020/34 Sayılı Karar Özeti
Kanunun yürürlük tarihinden önce ilgili kişi tarafından spor dergisi aboneliği sırasında paylaşılan kişisel verilerin o dönemde söz konusu spor kulübü adına dergi abonesi olan kişilerin abonelik süresini uzatmaya yönelik arama hizmeti gerçekleştiren kişi (veri sorumlusu) tarafından işlendiği, veri sorumlusu tarafından kayıtlarında yer alan bilgilerin başka bir tarihte yine veri sorumlusu tarafından bu kez bir başka Şirket adına işlenerek arandığı, dolayısı ile verinin ilk işlenme amacından farklı olarak başka bir amaç için kullanıldığı yani kişisel verilerin Kanunun 4 üncü maddesinde yer alan verinin işlendikleri amaçla bağlantılı ve sınırlı olma ilkesine aykırı hareket edildiği kanaatine varıldığı,
Denilerek İdari Para Cezası uygulanmıştır. Kurul 4. Maddeyi yorumlarken özellikle amaçla bağlantılı ve sınırlı olma ilkesini incelemektedir. Bu hususa tüm veri sorumlularının dikkat etmesi şarttır.
“İlgili kişinin kişisel verilerinin hukuka aykırı işlendiği iddiası kapsamında veri sorumlusu bankadan talep ettiği tazminat talebinin karşılanmaması hakkında” Kişisel Verileri Koruma Kurulunun 16/01/2020 Tarihli ve 2020/41 Sayılı Karar Özeti
İlgili kişinin veri sorumlusuna başvurusunun 11 inci madde kapsamında bir talep içermediği ve Kuruma şikayetinde de iddialarını kanıtlayıcı bir belge de sunmadığının görüldüğü,
Ayrıca zarara uğradığı ve buna yönelik bir tazminat talebi söz konusuysa, Kanunun 14’üncü maddesinin (3) numaralı fıkrasında yer alan “Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır.” hükmü çerçevesinde, söz konusu talebini genel mahkemeler huzurunda kullanması gerektiği,
Bankadan 100.000 TL. tazminat isteyen ve talebin yerine getirilmemesi sebebiyle de Kuruma şikayet eden kişinin talebi haklı olarak reddedilmiştir.
6698 sayılı Kişisel Verilerin Korunması Kanununu menfaatleri için kullanmak isteyen kişilere karşı Kurul tarafından çok isabetli bir cevap verilmiştir.
Kurul Mahkemelerin alanına giren kısımlara karışmamaya (gerek Ceza Hukuku gerekse Tazminat hukuku) azami gayret göstermektedir. Zira aksi bir durumda Mahkemelerin görev alanına müdahale edileceği açıktır.
“İlgili kişiye ait verilerin veri sorumlusu bir banka tarafından rızası olmaksızın babası ile paylaşılması karşısında kişinin Bankadan tazminat talep etmesi hakkında” Kişisel Verileri Koruma Kurulunun 16/01/2020 Tarihli ve 2020/43 Sayılı Karar Özeti
Bu kararda en önemli kısım; “…Diğer yandan, ilgili kişinin vekili tarafından yapılan şikayet başvurusu yalnızca tazminat talebine yanıt verilmemiş olmasını içermekte ise de, yapılan incelemede Kanunun 12 nci maddesi hükümlerinin ihlal edildiği kanaati oluştuğundan veri sorumlusu bünyesinde söz konusu ihlale neden olanlar hakkında Kanunun 18 inci maddesinin hükmü kapsamında işlem tesis edilmesine..” denilmesidir.
Kurul’un inceleme yaparken Re’sen inceleme yaptığı, taleple bağlı kalmadığını açıkça ortaya koyduğu önemli bir karardır.
“Bir Sigorta Acentesinin müşterilerine ait kişisel verileri herkese açık sosyal medya platformlarında müşterilerinden habersiz olarak ve reklam amacıyla paylaşması hakkında” Kişisel Verileri Koruma Kurulunun 27/01/2020 Tarihli ve 2020/58 Sayılı Karar Özeti
Açık rıza olmadan verileri sosyal medyada paylaşan veri sorumlusuna para cezası kesilmiştir.
“İlgili kişiye rızası bulunmamasına rağmen bir gayrimenkul şirketi tarafından SMS aracılığıyla gönderilen reklam ve bildirimler hakkında” Kişisel Verileri Koruma Kurulunun 27/01/2020 tarih ve 2020/67 sayılı Karar Özeti
Kanunun 5 inci maddesinin 2 nci fıkrasının (d) bendinde yer alan alenileştirme ilkesi gereğince, ilgili kişinin kendisi tarafından alenileştirilen, bir başka ifadeyle herhangi bir şekilde kamuoyuna açıklanmış olan kişisel verileri işlenebileceği, bu duruma örnek olarak ise bir kişinin belirli hallerde kendisiyle iletişime geçilmesi amacıyla iletişim bilgilerini kamuya açık şekilde ilan etmesinin verilebileceği,
Alenileştirmenin gerçekleştirilebilmesi için alenileştirme iradesinin ne olduğuna bakılması gerektiği, zira bir kişinin kişisel verisinin herkesin görebileceği bir yerde olmasının aleni olmasını sağlamayacağı, alenileştirme durumunda kişisel verinin alenileştirme amacı kapsamında kullanılması gerektiği, somut olayda, alenileştirme bulunuyor olsa dahi ilgili kişinin reklam faaliyetleriyle ilgili kendisiyle iletişim kurulması amacıyla söz konusu kişisel verileri alenileştirmemiş ise, gerçekleştirilecek olan kişisel veri işleme faaliyetinin hukuka uygun olmayacağının değerlendirildiği,
Kurul burada Yargıtay kararına uyum sağlayarak “Alenileştirmeyi dar yorumlamıştır”, nitekim kişisel verilerin alenileştirme amacı dışında kullanılması sebebiyle de veri sorumlusuna para cezası kesilmesi doğrudur. Kurul; kararı ile alenileştirme konusundaki tartışmalara son noktayı koymuştur.
Av. ONUR ÖZDİKER
Bursa barosuna kayıtlı Onur ÖZDİKER’in, Bilişim Hukuku, İş Hukuku, Kişisel Verilerin Korunması mevzuatları konularında çalışmaları bulunmaktadır. Avrupa Birliği Veri Koruma Regülasyonu – GDPR üzerine çalışmalar yürüten Onur ÖZDİKER, Türkiye’deki sayılı GDPR DPO Sertifikalı avukatlardandır. |