Geçtiğimiz yılın temmuz ayından beri karar özeti yayımlamayan Kişisel Verileri Koruma Kurulu (“Kurul”) sessizliğini bozarak resmi internet sitesinde kırk yeni karar özeti yayımladı. Bu kararlar arasında özellikle yurtdışına aktarım, özel nitelikli kişisel verinin işlenmesi, kişisel verilere hukuka aykırı olarak erişilmesi gibi önemli konular da yer almaktadır. Bu bağlamda Kurul’un dikkat çeken kararlarını işbu yazımızda sizlerle paylaşmak istedik.
Bir E-Ticaret Sitesinden Alışveriş Yapan Üçüncü Kişiye Ait Sipariş Bilgilerinin Alışveriş Dışındaki İlgili Kişinin E-Posta Adresine Gönderilmesine İlişkin 03/08/2022 Tarihli Ve 2022/774 Sayılı Karar
İlgili kişi, kendisine gelen bir e-postada; (i) bir e-ticaret sitesinden alışveriş yapan kişinin ödenen tutar, sipariş içeriği, gönderici adı-soyadını, alıcı adı-soyadı, adresi, telefonu gibi sipariş bilgilerinin açık şekilde yer aldığını, (ii) gönderici veya alıcı bilgileri ile gönderi notu bilgilerinin aldığı e-maildeki “sipariş takibi ve güncelleme butonu” aracılığı ile düzenlenebilir durumda olduğunu, (iii) sipariş iptal butonunun da aktif olduğunu, (iv) kendi verilerine ilişkin endişe içerisinde bulunması sebebiyle veri sorumlusu sıfatındaki satıcıya güvenlik tedbirlerinin sağlanmasına ilişkin başvuruda bulunmasına rağmen bir cevap alamadığını belirtmiştir.
Veri sorumlusu ise cevabında; (i) e-ticaret sitesine kayıtlı tüm üyelerin bilgilerinde yapılan araştırmalar neticesinde şikâyete konu siparişte kullanılan e-posta adresi için bir üyelik hesabının bulunmadığını, (ii) siparişe ilişkin bilgilerin, isim benzerliğinden kaynaklı olarak sehven ilgili kişiye ait e-posta adresine gönderildiğini ve (iii) e-posta adresinin teyit edilmesine ilişkin çalışmalara başlandığını ifade etmiştir.
Kurulun yaptığı tespit uyarınca; (i) ilgili kişinin “xxx” ve “yyy” e-posta adreslerinin olduğu, (ii) ilgili kişi tarafından üyelik bilgilerine ilişkin olarak “xxx” e-posta adresi kullanılmışken, aynı isme sahip alışveriş yapan üçüncü kişinin üyelik oluşturmadan ilgili kişiye ait “yyy” e-posta adresini sehven girerek sipariş verdiği, (iii) “yyy” e-posta adresi için ilgili kişi veya bir başka kişi için satıcının sitelerinde üyelik hesabı bulunmadığı ifade edilmiştir.
Kişisel Verilerin Korunması Kanunu (“Kanun”) uyarınca ilgili kişiye ait “yyy” e-posta adresinin kişisel veri olması sebebiyle, veri sorumlusu tarafından sipariş bilgilerinin bu e-posta adresine gönderilmesiyle kişisel veri işleme faaliyetinde bulunulduğu ancak bu veri işleme faaliyeti için herhangi bir hukuka uygunuk sebebinin bulunmadığı belirtilmiştir. Diğer taraftan, alışveriş sürecinde, veri sorumlusu tarafından bir teyit mekanizmasının bulunmaması nedeniyle e-ticaret sitesine üye olmadan misafir girişi ile yapılan tüm alışveriş işlemlerinin veri ihlal riski taşıdığı, kötü niyetli olarak kullanılmasına da zemin hazırlayabileceği ayrıca dikkat çekilen diğer bir hukuka aykırılık olmuştur.
Kurul;
- veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere erişilmesini önlemek ve muhafazasını sağlamak adına gerekli her türlü teknik ve idare tedbiri alma yükümlülüğünü yerine getirmeyerek uzaktan satış sözleşmesinin tarafı olmayan ilgili kişinin e-posta adresinin işlenmesine ve
- e-postada yer alan gönderici ve alıcıya ait bilgilerinin taraf olmayan ilgili kişiye açıklanmasına sebebiyet vermesinden ötürü
veri sorumlusu hakkında 120.000 TL idari para cezası uygulanmasına karar vermiştir.
İlgili Kişinin Kişisel Verilerinin Açık Rızası Olmaksızın Bir Teknoloji Şirketi Tarafından Yurt Dışına Aktarılmasına İlişkin 17/03/2022 Tarihli Ve 2022/249 Sayılı Karar
Bir internet sitesi üzerinden üye kayıt işlemlerini gerçekleştiren ilgili kişi; aydınlatma metninde yurtdışına aktarım yapıldığının belirtilse de bunun için açık rızasının alınmadığını, bunun üzerine aydınlatma metninde yer alan e-posta adresine başvuruda bulunduğunda da herhangi bir cevap alamadığını belirtmiştir.
Veri sorumlusu ise cevabında; (i) e-posta adresine ilgili tarafından yapılan başvurunun sehven yanıtsız kaldığını, (ii) aydınlatma metninde çerezler vasıtası ile işlenen kişisel verilere ilişkin bilgilerin belirtildiğini, (iii) hizmetlerini yurt dışında bulunan bulut servis teknolojileriyle sağladığını ve bu yüzden yurtdışına aktarımın gerçekleştiğini belirtmiştir.
Kurul, ilgili kişinin başvurusunun sehven gözden kaçırıldığı savunmasına ilişkin olarak veri sorumlusunun başvurunun etkin, hukuka ve dürüstlük kuralına uygun sonuçlandırılması için gerekli idari ve teknik tedbirlerin alınmasına ilişkin yükümlülüğünün ihlal edildiğine karar vermiştir. Ayrıca veri sorumlusu teknoloji şirketinin, barındırma hizmeti kullanımı dolayısıyla yurt dışındaki sunucularda verilerin saklandığı ve benzer güvenlik önlemlerini sunan bir mekanizmanın ülke içinde bulunmadığı gerekçesine ilişkin olarak, yurt dışına verilerin aktarılmasının da veri işleme faaliyeti olduğunu; değiştirme, yeniden düzenleme, kaydetme, depolama ve muhafaza etme gibi diğer kişisel veri işleme faaliyetlerinden bu kapsamda bir farkı olmadığını belirtmiştir. Dolayısıyla, yurtdışına veri aktarımının yalnızca Kanun’un ilgili maddeleri altında yer alan kişisel verilerin işlenmesi veya özel nitelikli kişisel verilerin işlenmesi hallerinin varlığında ve yeterli korumanın bulunması veya yeterli koruma bulunmasa da Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmesi ve Kurulun izninin bulunması hallerinde mümkün olacağı belirtilmiştir.
Bu bağlamda veri sorumlusu için açık rıza dışında yurtdışına veri aktarımını meşru kılan başka bir sebep olmadığını ve açık rızanın da alınmadığını belirten Kurulca;
- Kişisel verilerin işlenmesinde kullanılan uygulama ve internet sitesi aracılığıyla toplanan çok sayıda kişisel verinin hukuka aykırı olarak yurt dışına aktarıldığı,
- söz konusu fiilden etkilenen ilgili kişilerin fazla olduğu,
- yurt dışına kişisel veri aktarma fiilinin münferit bir olaydan kaynaklı olarak değil sistemli bir şekilde veri sorumlusu tarafından kasten ve icrai hareketle yapıldığının savunma dilekçesinde ikrar edildiği,
- kabahat teşkil eden ihlalin ticari amaç kapsamında gerçekleştirildiği ve
- Kanun’un yürürlüğe girdiği tarihin üzerinden 6 sene geçmiş olmasına rağmen yurt dışına aktarım faaliyetinin Kanun’a uygun hale getirilmemiş olduğu dikkate alınarak,
veri sorumlusu hakkında 950.000 TL idari para cezası uygulanmasına karar verilmiştir.
Veri Sorumlusu Sıfatındaki Hastane Bünyesinde Çalışan Doktorun Sosyal Medya Hesabında İlgili Kişinin Ameliyat Sırasında Çekilen Fotoğraflarının Paylaşılmasını Konu Edinen 29/06/2022 Tarihli Ve 2022/630 Sayılı Karar
Özel bir hastanede burun ameliyatı olan ilgili kişi şikayetinde; kişisel verilerinin reklam ve pazarlama amacıyla işlenmesinde açık rızası bulunmadığı halde ameliyat olduğu hastanede çalışan doktorun sosyal medya hesabında baygın olduğu sırada çekilen fotoğraflarının reklam amaçlı paylaşıldığını ve söz konusu fotoğrafların yaklaşık iki yıl boyunca ilgili sosyal medya hesabında reklam yapmak amacıyla tutulduğunu belirtmiştir.
Veri sorumlusu hastane cevabında; (i) burun dışında belirleyici bir unsurunun olmaması nedeniyle şikayete konu görsel ile ilgili kişinin ilişkilendirilemeyeceğini, (ii) bahse konu görselin ilgili kişinin açık rızası alınarak paylaşıldığını, (iii) ilgili kişinin tedavinin nitelikleri, özellikleri ve sonuçları bakımından kamunun bilgilendirilmesi amacıyla görsel olarak kullanılması yönünde açık rıza verdiğini gösteren belgenin var olduğunu, (iv) ilgili kişinin doktora fotoğrafın kaldırılması yönünde talebini ilettikten sonra açık rızasını geri aldığından bahisle fotoğrafın kaldırıldığını, (v) doktora gönderdiği ihtarnamede kendisine manevi tazminat ödenmesi halinde yasal yollara başvurmayacağını belirttiğini ve kurum tarafından kesilecek idari para cezası yaptırımından manevi tazminat talep ederek yararlanmaya çalışmasında kötü niyetli olduğunu belirtmiştir.
Kurul, şikayet dilekçesinin ekinde yer alan görsellerin Kanun kapsamında kişisel veri niteliğinde olup olmadığı ve verilen açık rızanın kapsamı hakkında kapsamlı değerlendirmelerde bulunmuştur. Bu kapsamda, görsellerin burna ilave olarak kaş, bıyık gibi yüz hatlarını içerdiğinden bahisle kişinin kimliğini belirleyebilecek nitelikte olduğunu, dolayısıyla kişisel veri niteliğine haiz olduğunu belirtmiştir. Ayrıca, ilgili kişi tarafından verilen açık rızanın tedaviyi gerçekleştiren sağlık kuruluşuna verildiğini, ameliyatı gerçekleştiren doktorun sosyal medya hesabında ilgili fotoğrafın paylaşılmasına bir rıza gösterilmediğini belirtmiştir. Kanun gereğince, açık rızanın belirli bir konuya ilişkin, bilgilendirmeye dayalı ve özgür iradeye dayalı olması gerektiği belirtilmiş olup verilen rıza kapsamının hastane özelinde olduğu gerekçesiyle doktorun sosyal medya hesabından yapılan paylaşımın bu rıza kapsamı dışında kaldığı belirtilmiştir.
Belirtilen gerekçeler uyarınca Kurul, veri sorumlusu sıfatındaki hastane hakkında kişisel verilerin korunmasına ilişkin gerekli idari ve teknik tedbirleri almadığından bahisle 100.000 TL idari para cezası uygulanmasına karar vermiştir. Doktor hakkında ise Türk Ceza Kanunu kapsamında kişisel verilerin ilgili kişinin rızası olmadan paylaşılmasından ötürü gerekli hukuksal işlemlerin başlatılabileceğini belirtmiştir.
Özel Nitelikli Kişisel Sağlık Verisi Niteliğindeki Bağımlılık Yapıcı Madde Testi Sonuçlarının İlgili Kişinin Açık Rızası Alınmaksızın Veri Sorumlusu Özel Bir Sağlık Kuruluşu Tarafından İlgili Kişinin Çalıştığı İşyerinde Görevli Üçüncü Bir Kişiye Ait E-Posta Adresine Gönderilmesi Kapsamında Yapılan Şikayete İlişkin 22/06/2022 Tarihli Ve 2022/594 Sayılı Karar
Şikayete konu olayda ilgili kişi; (i) işveren bünyesinde ki çalışanların hiçbir sebep ve açıklama olmaksızın baskıyla özel sağlık kuruluşunda uyuşturucu testine zorlandığı, (ii) bu kapsamda kendilerinden herhangi bir rıza alınmadığı veya kendilerine aydınlatma yapılmadığını, (iii) test sonuçlarının da işyerindeki başka personele (“üçüncü kişi”) ait e-posta adresine gönderildiğini dolayısıyla sağlık verilerinin işlenmesinde hukuka aykırılıkların olduğunu belirtilmiştir.
İşveren tarafından verilen cevapta, işyerinin depo katından koku gelmesi üzerine, kokunun uyuşturucu dumanı olabileceğinden hareketle, uyuşturucu testi yaptırılmasının uygun olacağının kararlaştırıldığı belirtilmiştir. Test sonrasında sağlık kuruluşu personeli tarafından, test sonuçlarının hangi e-mail adresine gönderileceğinin ilgili kişiye sorulması üzerine, üçüncü kişiye ait e-posta adresine gönderilmesine sözlü olarak rıza gösterildiği belirtilmiş; test sonuçlarının gönderildiği tarihte sonuçların ilgili kişi ile paylaşıldıktan sonra üçüncü kişi tarafından e-posta içeriğinin derhal silindiği ifade edilmiştir.
Gerçekleştirilen uyuşturucu testini, ilgili kişinin sağlığına ilişkin olduğundan bahisle özel nitelikli kişisel veri kapsamında değerlendiren Kurul, (i) açık rızanın, hem özel nitelikli kişisel veriler hem de özel nitelikli olmayan kişisel veriler bakımından hukuka uygunluk sebeplerinden biri olduğunu, (ii) açık rızanın ilgili kişinin işlenmesine izin verdiği verinin sınırlarını, kapsamını ve gerçekleştirilme biçiminin belirlemesini sağladığını ve rıza veren kişinin “olumlu irade beyanı”nı içermesi gerektiğini, (iii) açık rızanın alındığına dair ispat yükünün ise veri sorumlusuna ait olduğunu belirtmiştir.
İlave olarak, Kurul özel nitelikli kişisel verinin gönderildiği üçüncü kişinin mağaza çalışanı olarak görev yaptığını ve bu kişinin, özel nitelikli kişisel verileri açık rıza olmaksızın işleyebilecek sır saklama yükümlülüğü altında olan işyeri hekimi sıfatında olmadığını ifade etmiştir.
Kurul tarafından;
- söz konusu açık rızayı kanıtlayıcı mahiyette herhangi bir bilgi ya da belgenin Kişisel Verileri Koruma Kurumu’na iletilmediği,
- bu anlamda veri sorumlusunun söz konusu veriyi, Kanun’da yer alan herhangi bir veri işleme faaliyetine dayanmaksızın paylaştığı ve
- paylaşım yapılan üçüncü kişinin de Kanun kapsamında belirtilen sır saklama yükümlülüğü olan bir kişi olmadığı,
- veri sorumlusunun yaklaşık 600'e yakın çalışan ile birçok ilde sağlık hizmetleri verdiği hususları dikkate alınarak
veri sorumlusu hakkında 75.000 TL idari para cezası uygulanmasına karar verilmiştir.
İdari Davaya Taraf Olan Bir Kişinin Verilerinin Bir Üniversite Hastanesi Tarafından Talebine Binaen Davaya Taraf Olan Kamu Kurumuna, Davaya Esas Teşkil Etmek Üzere Aktarılmasına İlişkin 04/08/2022 Tarihli Ve 2022/790 Sayılı Karar
Şikayetçi, idare mahkemesinde ilgili kişi ve bir kamu kurumu arasında görülen davada, (i) kamu kurumu tarafından üniversite hastanesinden ilgili kişi ile ilgili bir takım bilgilerin istendiği, (ii) sağlık verilerinin kamu kurumuna teslim edildiği, (iii) hastanede gerçekleşen muayenesi sonrasında ilgili kişi için düzenlenen bir formda yer alan “ara sıra tek tük esrar kullanmak zorunda kaldığını söylüyor” şeklindeki ifadesinin de yer aldığı bu paylaşım nedeni ile hakkında soruşturma başlatıldığını, (iv) savcılık kararı ile uyuşturucu madde kullanmadığının sabit olduğunu ve (v) madde kullanımına ilişkin bilgilerin silinmesini üniversiteden talep ettiğini ancak cevap verilmediğini iddia etmiştir.
Bahse konu üniversite cevabında; (i) verilerin Hastane Bilgi Yönetim Sistemine girildiği için silinemediğini ve (ii) verilerin Kanun kapsamında özel nitelikli kişisel verilerin sır saklama yükümlülüğü altında bulunan kişi veya yetkili kurum tarafından işlenebileceğine ve bu kapsamda aktarılabileceğine ilişkin hükme dayanılarak aktarıldığını belirtmektedir.
Kurul, söz konusu verilerin talep edilmesinin sebebinin “yürütülmekte olan bir İdari Davaya esas teşkil etmek üzere” şeklinde belirtildiğini, idare mahkemesi nezdinde devam eden dava dosyasında davacı tarafın söz konusu kamu kurumunda çalışan ilgili kişi, davalı tarafın ise kamu kurumu olduğunun beyan edildiğini, dolayısıyla ilgili kişi ile kamu kurumu arasında devam eden idari dava nedeniyle talep edilen özel nitelikli kişisel verilerin veri sorumlusu üniversite tarafından kamu kurumuna aktarılmasına ilişkin işleme faaliyetinde, üniversitenin savunmasında belirttiği işleme şartlarının mevcut olmadığını belirtmiştir.
Her ne kadar kamu kurumu tarafından talepte bulunulmuş olsa da, kamu kurumunca yalnızca (i) ilgili kişinin belirtilen tarihlerde ameliyat işlemi geçirip geçirmediği, (ii) ameliyat geçirmedi ise rahatsızlığı ile ilgili hastanede tedavi ve tetkik işlemine tabi tutulup tutulmadığı, (iii) tedavi sürecinin ne kadar sürdüğü, (iv) tedavi sonrasında istirahat raporu verilmiş ise ne kadar süre verildiği ve (v) hastane nezdinde resmi tatil günlerinde ne gibi durumlarda ameliyat işlemlerinin gerçekleştirildiğine dair bilgi talep edildiğini belirten Kurul, aktarılan verilerin kapsamının talep edilenden çok daha geniş olduğunu ve veriler aktarılırken amaçla bağlantılı, sınırlı ve ölçülü olma ilkelerinin gözetilmediğini belirtmiştir.
Bu kapsamda Kurul, kişisel verilerin doğru ve güncel olması gerektiği ilkesi uyarınca, sehven uyuşturucu kullanımına ilişkin hastane sistemine işlenen verilere ilişkin olarak; Kişisel Sağlık Verileri Hakkında Yönetmelik uyarınca İl Sağlık Müdürlüğünce gerekli işlemlerin yaptırılmasına, hastanenin kişisel verilerin güvenliğine ilişkin gerekli her türlü teknik ve idari tedbir alma yükümlülüğüne aykırı hareket etmesinden dolayı hakkında disiplin hükümleri uyarınca işlem yapılmasına karar vermiştir.
Veri Sorumlusu Bünyesinde Çalışan Bir Kişinin İş Akdinin Sonlandırılması Hususunun Veri Sorumlusuna Ait Sosyal Medya Hesabında Paylaşılması Hakkında 21/04/2022 Tarihli Ve 2022/386 Sayılı Karar
Şikayetçi; veri sorumlusu bünyesinde şirket müdürü olarak çalışmakta iken (i) iş akdinin haksız şekilde sonlandırıldığı, (ii) veri sorumlusuna ait sosyal medya hesabında “(...) yaptığı usulsüzlükler nedeni ile işten atılan …..’ın sizlere vermiş olduğu rahatsızlıktan dolayı özür dileriz...” içerikli bir paylaşım yapıldığı ve (iii) paylaşımın sair mevzuat çerçevesinde kaldırılması ve düzeltme metni yayınlanması için talepte bulunulmasına rağmen veri sorumlusu tarafından cevap verilmediğini belirtmiştir.
Kurul, yaptığı inceleme sonucunda ilgili kişinin açık ad ve soyadı ile ilgili kişi hakkındaki ithamları da içeren duyurunun sadece şirket müşterilerinin değil herkesin erişimine açık şekilde sosyal medya hesabından paylaşılmasının veri işleme ile gerçekleştirilmesi istenen amaç arasında makul bir denge bulunmadığı gerekçesiyle ölçülülük ilkesine aykırılık teşkil ettiğini belirtmiştir.
Bu bağlamda Kurul veri sorumlusu hakkında,
- şikayete konu olayda ilgili kişi hakkındaki duyurunun veri sorumlusu tarafından Kanun’un 4’üncü maddesine aykırı olarak herkese açık bir şekilde yapıldığı,
- veri işleme ile gerçekleştirilmesi istenen amaç arasında makul bir denge bulunmadığı,
- Kanun kapsamındaki bir işleme şartına dayanıldığına dair Kurum’a somut herhangi bir bilgi, belge sunulmadığı hususları ile
- veri sorumlusunun ekonomik durumu dikkate alınarak,
veri sorumlusu hakkında 30.000 TL idari para cezası uygulanmasına ve ilgili sosyal medya paylaşımında yer verilen kişisel verilerin imha edilmesine karar verilmiştir.