Kişisel Verilerin Korunması Hakkında Kanun’un (“Kanun”) 15 ve 22. Maddeleri uyarınca, Kişisel Verileri Koruma Kurulu’nun (“Kurul”) veri sahiplerinin şikayeti üzerine veya resen görev alanına giren konularda inceleme yapma ve ihlal üzerine idari para cezası tanzim etme yetkisi bulunmaktadır. Kurul, yaptığı incelemeler sonucunda önemli gördüğü ve emsal oluşturabileceğini düşündüğü kararların özetlerini internet sitesinde yayımlamaktadır. Aşağıda Kurulun dört karar özeti önemine binaen paylaşılmaktadır.
İlgili kişiye ait telefon numarasına kendisine ait olmayan içeriğin gönderilmesi ile ilgili Kişisel Verileri Koruma Kurulunun 31/05/2019 Tarihli ve 2019/166 Sayılı Karar Özeti:
İlgili kişinin şahsına ait telefon numaralarına gönderilen ve kendisine ait olmayan içerikteki kısa mesaj nedeniyle veri sorumlusuna başvurduğu, verilen cevapta bu mesajların personel hatası sebebiyle başka bir aboneye gönderilmek üzere girişinde 1 rakam hatası sonucuyla ilgili kişiye gönderildiği tespit edilmesiyle, yanlışlığın düzeltildiği fakat ilgili kişiye gönderilen mesajda kişisel verileri yer alan kişinin, ilgilinin yeğeni olduğu ve yeğeni ile kendi numarası arasında 1 rakam hatası yapılmasının mümkün olmadığını belirterek veri sorumlusu hakkında gereğinin yapılmasını talep ettiği başvurunun incelenmesi sonucunda; şikâyetçinin yeğeni olduğu anlaşılan şahsa ait ad, soyad ve hizmet numarasının şikâyetçiye ait hatta gönderilmesi, şikâyetçiye ait telefon numarasının kanunda düzenlenen işleme şartlarından birine dayanmadan tek bir harekete bağlı iki veri işleme sonucu Kanunun 12.maddesinin birinci fıkrada öngörülen “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğünü yerine getirmediği anlaşılan veri sorumlusu avukat hakkında, Kanunun 18.maddesinin birinci fıkrası kapsamında 50.000 TL idari para cezası uygulanmasına karar vermiştir.
Spor salonu hizmeti sunan veri sorumlularının, üyelerinin giriş-çıkış kontrolünü biyometrik veri işleyerek yapması ile ilgili Kişisel Verileri Koruma Kurulunun 25/03/2019 Tarihli ve 2019/81 Sayılı Karar ve 31/05/2019 Tarihli ve 2019/165 sayılı Karar Özeti:
Spor salonu hizmeti sunan iki ayrı veri sorumlusu şirket üyelerin giriş-çıkış kontrolünde el-avuç okutma sistemine geçmiş, vesikalık fotoğraf, son ziyaret saati gibi bilgilerini herkesin görebileceği TV ekranında yansıtması gibi kişisel verileri işlemesi ve bilgileri güvenli şekilde muhafaza etmemesi şüphesi üzerine ilgili kişilerce Kuruma intikal eden muhtelif ihbar ve şikayetlerin incelenmesi ile;
1- 6698 sayılı Kanunun 6.maddesinde kişilerin biyometrik verilerinin özel nitelikli kişisel veri olarak belirlenmiş, biyometrik veri tanımına ise kanunda yer verilmemiştir. 25.05.2018 tarihinde yürürlüğe giren Avrupa Genel Veri Koruma Tüzüğü (GDPR)’ın 51. Maddesine göre bir verinin biyometrik veri kapsamında değerlendirilebilmesi için o verinin sadece o kişiyi tanımlayabilme ya da doğrulayabilme özelliğine sahip olmasının kriter alındığının anlaşılması ve Danıştay 15. Dairenin 2014/4562 Esas sayılı kararında biyometrik yöntemlerin, ölçülebilir fizyolojik ve bireysel özellikleri aracılığıyla gerçekleştirilen ve otomatik şekilde doğrulanabilen kimlik denetleme tekniklerini ifade ettiği belirtilerek, bu yöntemler arasında parmak izi tanıma, avuç içi tarama, el geometrisi tanıma yöntemlerin bulunduğunun ifade edildiği konularına göre bir spor tesisine giriş esnasında el ve parmak izinin taranması ile kişilere kimlik doğrulaması yapılması hususunda veri sorumlusunun özel nitelikli kişisel veri niteliğindeki biyometrik veri işleme faaliyetinde bulunduğu olarak değerlendirilmiştir.
2- a) Kanunun 4.maddesinde, kişisel verilerin ancak hukuka ve dürüstlük kurallarına uygun şekilde, belirli, açık ve meşru amaçlar kapsamında, doğru ve gerektiğinde güncel olma şartıyla, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceği belirtilmiştir. Ölçülülük ilkesi kapsamında, veri sorumlusunun amacı çerçevesinde ilgili kişiden minimum düzeyde bilgi talep etmesi, bunun dışında amaç için gerekli olmayan veri işlemeden kaçınması gerektiği, kişisel verilerin işlenmesinin ilgili kişinin iznine bağlı olarak gerçekleştirilse de amacın gerektirdiği yerlerde kullanılması ve amaç için gerekli olandan uzun süre tutulmaması gerekir. Danıştayın 2014/2242 Esas sayılı, 2014/4562 Esas sayılı kararlarında da “parmak izi ya da yüz tarama sistemi” gibi biyometrik yöntemlerin, kamusal alan da olsa “özel hayatın gizliliği” ilkesi kapsamında bulunduğu ve toplanan verilerin ileride başka bir şekilde kullanılamayacağına dair bir güvencenin mevcut olmadığı, hukuka aykırı bir işlem olarak değerlendirilmiştir. Avrupa İnsan Hakları Mahkemesi de 4 Aralık 2008 tarihli S. ve Marper / Birleşik Krallık kararında kişilere ait parmak izi saklanmasının, başvurucuların özel yaşamının gizliliği hakkına yönelik orantısız, aşırı bir müdahale olduğu ve demokratik bir toplumda gerekli bir müdahale olarak kabul edilemeyeceğini vurgulayarak uygulamanın Avrupa İnsan Hakları Sözleşmesinin 8. maddesini ihlal ettiğine hükmetmiştir. Dolayısıyla spor salonuna giriş için veri sorumluları tarafından uygulanan “el ve parmak izi taraması” sisteminin, hizmet için zorunlu ve tek yol olarak üyelere sunulmasının, kişisel verilerin işlenmesinde ölçülülük ilkesi ışığında ilgili kişilerden minimum düzeyde veri talep etme ilkesi ile uyumlu olarak değerlendirilmemiştir.
b) Spor kulüplerinde giriş çıkış kontrolünün sağlanmasında özel nitelikli kişisel verilerin işlenmesinin kanunlarda açıkça öngörülmediği dikkate alındığında veri sorumluları tarafından el ve parmak izinin işlenmesi için ilgili kişilerin açık rızalarının alınması yoluna gidildiği iddiası ile ilgili olarak; Kanunun 6. maddesinin 1. fıkrasında biyometrik ve genetik verileri özel nitelikli kişisel veriler olarak sayıldığı ve aynı maddede “Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır” hükmü yer almaktadır. Veri sorumluları tarafından avuç izinin işlenmesi için ilgili kişilerin açık rızalarının alınması yoluna gidildiğinin anlaşılmıştır. 6698 sayılı Kanunda tanımlandığı üzere açık rızanın, belirli bir konuya ilişkin olması, bilgilendirmeye dayanması ve özgür iradeyle açıklanması şeklinde üç unsuru bulunur. Veri işlemek üzere verilen açık rızanın geçerli olması için, belirli bir konu ile sınırlı olarak verilmesi gerekir. Açık rıza bir irade beyanı olduğundan, kişinin özgür bir şekilde rıza gösterebilmesi için, neye rıza gösterdiğini bilmesi, konu ve rızasının sonuçları üzerinde tam bir bilgi sahibi olması gerekmektedir. Bahse konu olayda, üyelere sunulan online üyelik sözleşmesinde, özel nitelikli kişisel veri olan avuç içi izinin alınmasına onay verilmesinin sözleşmenin kurulması için zorunlu bir şart olduğu, uyulmaması halinde firmaya fesih hakkı tanınmış olduğu birlikte değerlendirildiğinde üyelerin kulüplere girişlerde avuç içi izi bilgilerinin alınmasına rıza göstermemeleri halinde söz konusu hizmetten yararlanamayacakları dikkate alındığında, üyelerin vermiş olduğu açık rızaların özgür iradeye dayalı olduğunu söylemenin mümkün olmadığı, bu kapsamda veri sorumlusu tarafından hizmetin sunulmasının açık rıza şartına bağlandığı kanaatine varılmış, ilgili veri sorumluları hakkında, Spor kulübünde giriş çıkış kontrolünün yapılabilmesi ve kulüp hizmetlerinden faydalanmak isteyen kişilere ilişkin giriş kontrolünün alternatif yollar ile sağlanması mümkünken kişilerin biyometrik veri niteliğindeki avuç içi izi verisinin alınmasının 6698 sayılı Kanunun 4. Maddesinin 2. fıkrasında yer alan “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi ile bağdaşmadığı, diğer yandan özel nitelikli kişisel verilerin Kanun kapsamında ancak ilgili kişilerin açık rızasına ya da Kanunun 6. maddesinin 3. fıkrasında sayılan şartlar çerçevesinde işlenebileceği, veri sorumlusu tarafından avuç içi izi verisinin işlenmesi için kişilerden açık rızalarının alındığı ancak açık rıza verilmemesi durumunda kulüp hizmetlerinden yararlanamadıkları dikkate alındığında üyelerden alınan açık rızanın Kanunun 12.maddesinin 1.fıkrasına aykırılık teşkil etmesi nedeniyle Kanunun 18. maddesinin 1.fıkrası kapsamında idari para cezası uygulanmasına, Kişisel Verileri Koruma Kurulunun 21/12/2017 tarih ve 2017/62 sayılı “Banko, Gişe, Masa Gibi Hizmet Alanlarında Kişisel Verilerin Korunması’na ilişkin Kararı çerçevesinde üyelere ait kişisel bilgilerin üçüncü kişiler tarafından görülmesini önleyecek gerekli teknik ve idari tedbirleri almadığı kanaatine varılan veri sorumlusu hakkında Kanunun 18. maddesinin 1.fıkrası kapsamında idari para cezası uygulanmasına, Spor Kulübünde giriş çıkış kontrolünün ve kulüp içerisindeki güvenliğin temini noktasında kulüp hizmetlerinden faydalanmak isteyen kişilere ilişkin giriş kontrollerinin biyometrik verileri işlemenin haricinde alternatif yollar ile sağlanması, biyometrik veri ile giriş çıkış işlemleri yapılmasının ve işlemenin ivedilikle durdurulması hususunda veri sorumlularının talimatlandırılmasına; Veri sorumluları tarafından bugüne kadar işlenen ve muhafaza edilen el, parmak ve avuç izi ile ilgili verilerin Kanunun 7. maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun olarak ivedilikle yok edilmesi, eğer ilgili özel nitelikli verilerin üçüncü kişilere aktarılması söz konusu ise, yok etmeye yönelik işlemlerin bu verilerin aktarıldığı üçüncü kişilere bildirilmesinin sağlanması hususunda veri sorumlularının talimatlandırılmasına karar vermiştir.
Bir anonim şirketin (veri sorumlusu) ilgili kişinin açık rızası dışı elektronik ticari ileti göndermesine ilişkin Kişisel Verileri Koruma Kurulunun 31/05/2019 Tarihli ve 2019/162 Sayılı Karar Özeti:
Veri sorumlusu tarafından şikâyetçiye ait telefon numarasına reklam amaçlı kısa mesajın gönderilmesi ile ilgili kişinin kişisel verilerinin nasıl ve nereden temin edildiğini bilmemesi ve açık rızası olmaksızın kullanılması ile 6698 Sayılı Kişisel Verilerin Korunması Kanunu uyarınca veri sorumlusuna bilgi talebinde bulunduğu ancak yasal sürede cevap verilmediğinden Kurula şikâyette bulunduğu ve 1-Veri sorumlusu nezdinde kendisine reklam/bildirim içerikli SMS gönderimi konusunda herhangi bir açık rızasının olup olmadığı, 2-kişisel verilerinin işlenip işlenmediği, işlenmişse ne amaçla işlendiği, 3-kişisel verilerinin yurt içinde kimlere aktarıldığı,
4-kişisel verilerinin yurt dışına aktarılıp aktarılmadığı, aktarılmış ise kimlere aktarıldığı, 5-gelen mesajlardan şirketin haberdar olup olmadığı hususlarında bilgi almak istediği şeklindeki talepler birlikte incelenmiş ve yapılan inceleme sonucunda; şikâyetçinin kişisel verisi olan cep telefon numarası bilgisinin Şirket tarafından kendisine reklam içerikli mesaj gönderilme amaçlı kullanılmasının, mevzuat kapsamında veri işleme faaliyeti olduğu, Kanunun 5 ve 6. maddelerinde yer alan işleme şartlarından birine dayanması gerektiği ancak şikâyet konusu mesaj gönderiminin herhangi bir işlem şartına dayanmadığı değerlendirildiğinden, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idari tedbirleri almadığı için veri sorumlusu hakkında Kanunun 12. maddesinin 1. fıkrasına aykırı davranmış olması nedeniyle Şirket hakkında Kanunun 18. Maddesinin 1.fıkrası uyarınca 50.000 TL idari para cezası uygulanmasına karar vermiştir.
Bir varlık yönetim şirketinin ilgili kişiye aynı konu ile ilgili birden çok mesaj gönderimine ilişkin Kişisel Verileri Koruma Kurulunun 31/05/2019 Tarihli ve 2019/159 Sayılı Karar Özeti:
Şikâyetçi, veri sorumlusu tarafından telefon numarasına açık rızası bulunmaksızın, kısa mesajların gelmesi ve ret bildiriminin bulunmaması, kişisel verilerinin nereden ve nasıl temin edildiğini bilmemesi sebebiyle 6698 sayılı Kişisel Verilerin Korunması Kanununun ilgili maddeleri uyarınca veri sorumlusuna yaptığı başvurudan sonuç alamamış ve Kurul’a şikayette bulunmuştur. Veri sorumlusunun bilgi talebi başvurusuna 30 günlük yasal süre içinde cevap vermediği iddiasına ilişkin, sorumlu şirketin cevap yazısı eki ile, ilgili kişiye cevap verdiği, bu yazının şikâyetçi tarafından teslim alındığı, veri sorumlusunun Gönderi Takibi ile belgelediği ve şikâyetçinin bilgi talebindeki tüm hususlara cevap verdiği görülerek veri sorumlusu hakkında yapılacak işlem olmadığına, şikayetçinin geri ödemesi gerçekleştirilmemiş tahsili geciken alacaklarında, bankalar ile sorumlu arasında akdedilen sözleşmeler uyarınca 5411 sayılı Bankacılık Kanunu ve 6098 sayılı Türk Borçlar Kanunu hükümleri çerçevesinde şirket tarafından devir ve temlik alınmıştır. Şikayetçinin ilgili bankalardan kullandığı kredi borçlarının yeni alacaklısı veri sorumlusu olmuştur. 6698 sayılı kanunun 5.maddesinin 2. fıkrası kapsamında ilgilinin açık rızası olmadan gerçekleşebileceği mümkün olduğundan veri sorumlusu hakkında yapılacak işlem bulunmadığına, fakat 6698 sayılı kanun kapsamında kişisel verilerin kullanılması da veri işleme faaliyeti olduğu için şirket tarafından ilgili kişinin telefon numarasına aynı içeriğe sahip mesajlar birden fazla kez gönderilmesi veri sorumlusunun sahip olduğu hakkı kötüye kullanmak olarak değerlendirilmiştir. Kanunun 4.maddesinin 2.fıkrasında yer alan kişisel verilerin işlenmesinin hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırılık teşkil ettiği kanaatine varılmış, Kanunun 12. maddesinin 1.fıkrasında yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemeye yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında Kanunun 18. maddesinin 1.fıkrası kapsamında 20.000 TL idari para cezası uygulanmasına karar vermiştir.
Yukarıda belirtmiş olduğumuz Kişisel Verileri Koruma Kurulu kararlarından da anlaşılacağı üzere Kişisel Verilerin Korunması Hakkında Kanun ve ilgili mevzuat tarafından belirlenen yükümlere riayete edilmemesi ağır yaptırımlarla karşılaşılmasına neden olmaktadır. Bununla birlikte Kişisel Verileri Koruma Kurulunun resen inceleme yapma yetkisinin de bulunması nedeni ile kanun ve mevzuat gereği sorumlulukların yerine getirilmesi hususunda azami özen gösterilmesi tavsiye edilmektedir.