KVKK’dan yeni karar özetleri: Uygulama yavaş yavaş netleşmeye başlıyor

Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından son dönemde uygulamayı yakından ilgilendiren karar ve duyurular yayınlanmıştır. Kurul kararlarında özellikle sağlık, e-ticaret ve kamu sektörlerine ilişkin değerlendirmelere yer verilmektedir. Bu yazımızda, Kurul’un kişisel verilerin işlenmesi, muhafazası, yurtiçine ve yurtdışına aktarımı ile veri ihlali bildirimi hususlarına ilişkin kararları açıklanmakta ve ilgili kararların uygulamada ne gibi sonuçlar doğuracağına ilişkin değerlendirmelerimiz yer almaktadır.  

I. Eczanenin Hukuka Aykırı Veri Aktarımı

Doktor kontrolünde ilaç kullanan ilgili kişiye ait sağlık verilerine ilişkin bilgilerin, ilaçlarını temin ettiği eczane tarafından, herhangi bir işleme şartına dayanmadan üçüncü kişilere aktarıldığı gerekçesi ile ilgili tarafından Kurum’a şikayet başvurusu yapılmıştır. Kurum tarafından yapılan inceleme neticesinde, kişisel verilerin işlenmesinde ve kişisel verilerin üçüncü kişilere aktarılmasında temel kuralın, ilgilinin açık rızasının alınması olduğuna dikkat çekilmiştir. Bu kuralın istisnası olan hallerin ise yalnız ilgili mevzuat çerçevesi ile sınırlı olduğu belirtilmiş ve bu kapsamda olmayan hallerde temel kurala uyulmamasının ihlal olarak nitelendirileceği ortaya konulmuştur. Bu anlamda, eczanenin, kanunda yer alan istisnai hallerden herhangi birine dayanmaksızın, ilgilinin özel nitelikli kişisel verisi olan sağlık verilerini üçüncü kişilere aktarmasının hukuka uygun bir aktarım olmaması sebebiyle veri sorumlusunun en temel yükümlülüklerinden olan kişisel veri güvenliğinin sağlanması yükümlülüğüne aykırı hareket ettiğini saptayan Kurum, bu ihlal neticesinde eczaneye idari para cezası uygulanmasına karar vermiştir.[1]

Karardan anlaşıldığı üzere, özellikle özel nitelikli kişisel veri işleyen veri sorumlularının kişisel verilerin işlenmesinde ve bu verilerin aktarılmasında Kanun’unda öngörülen hukuki sebebe dayanması gerekmektedir. Aksi halde yaptırımı idari para cezası olacaktır.

II. Sistemde Yer Alan Verilerin Erişilebilir Hale Gelmesi

İlgili kişi, bir hazır giyim firmasının internet sitesi üzerinden üyelik bilgileri ile alışveriş yaparken, kendisine ait teslimat adresi, adı, soyadı, adresi ve telefon numarası gibi kişisel bilgilerinin, şirkete ait bu internet sitesi üzerinden alışveriş yapan diğer kişilerce erişilebilir hale gelmesi sebebiyle Şirkete başvuruda bulunmuş ve kişisel verilerinin sistemlerinden silinmesini talep etmiştir. Şirket tarafından şikayetin kendilerine gelmesi ile olayın öğrenildiği, olayın sistemsel bir hatadan kaynaklandığı ve Şirket tarafından başka müşterilerin aynı olaya maruz kalmamaları için önlemlerin alındığı belirtilmişse de ilgili kişi bu yanıtı yetersiz bularak Kurum’a başvurmuştur. Kurum tarafından yapılan değerlendirmede, firmanın kişisel verilere hukuka aykırı erişilmesini önleme amacıyla gerekli tedbirleri almadığı saptanmış ve firma aleyhine idari para cezası uygulanmasına karar verilmiştir.[2]

Karardan görüleceği üzere, özellikle e-ticaret alanında faaliyet gösteren veri sorumlularının sistemlerinde yer alan kişisel verilere hukuka aykırı erişilmesini önleme yükümlülüğüne uyulmaması, idari para cezası yaptırımı uygulanmasını gerektirmektedir.  

III. Verilerin İşlenmesini Gerektiren Sebeplerde Dikkat Edilecek Süreler

Devlet memuru ilgili kişilerce, memuriyet döneminde haklarında açılmış inceleme-soruşturma dosyalarına ilişkin evrakların imha edilmesi talebi ile veri sorumlusu kamu kurumuna başvurulmuş ve kişisel verilerinin silinmesi talep edilmiştir. Anılan kurum, ilgili mevzuat uyarınca verileri saklamaları gerektiğini belirterek bu talebi reddetmiştir. İlgili söz konusu şikayeti Kurum’a taşımış ve Kurul, kanunda yer alan özel saklama sürelerinin (memurluğun sona ermesinden itibaren 101 yıl) devam ediyor olması sebebiyle ilgili kişinin bu talebinin karşılanmamasının hukuka uygun olduğu yönünde karar vermiştir.[3]

Karardan anlaşılacağı üzere, Kurum, kişisel verilerin işlenmesini gerektiren sebebe ilişkin olarak özellikle saklama süreleri bakımından mevzuattan doğan en uzun süreyi dikkate almıştır. Bu anlamda, veri sorumlularının, kişisel verilerin işlenmesi ve muhafaza edilmesinde mevzuatta yer alan sürelere dikkat etmesinin çok önemli olduğunu vurgulamak isteriz.

IV. Veri İhlali Bildiriminde “en kısa süre” 72 Saat Olarak Belirlendi[4]

Veri sorumlularının veri ihlalini öğrenmelerinin üzerine durumu en kısa sürede ilgilisine ve Kurul’a bildirmesine ilişkin düzenleme, uygulamada “en kısa süre”den ne anlaşılması gerektiğine ilişkin soru işaretleri ortaya çıkarmaktaydı. Bu hususta Kurul’un alacağı kararlar arasında yeknesaklığın sağlanması ve uygulamada bir standardın yakalanması amacı Kurul, “en kısa süre” ifadesinin 72 saat olarak yorumlanmasına karar vermiştir. Bu sayede Avrupa Genel Veri Koruma Tüzüğü (GDPR) ile de yeknesak bir uygulama yaratılmıştır.

Veri sorumlusu, ihlali öğrenmesinden itibaren en geç 72 saat içinde Kurul’a bildirim yapmalı, ihlalden etkilenen kişilerin belirlenmesini takiben makul olan en kısa süre içerisinde ilgili kişilere iletişim adreslerinden ve kendi web sitesinden ihlale ilişkin bildirimde bulunmalıdır. Kurul’a yapılacak bildirimde Kişisel Veri İhlal Bildirim Formu sunulmalı, formda yer alan tüm bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde ise bilgilerin gecikmeksizin aşamalı olarak sağlanması gerekmektedir. Haklı bir gerekçe ile 72 saat içerisinde yapılamayan bildirimlerde, yapılan bildirim ile beraber gecikme sebepleri de mutlaka Kurul’a açıklanmalıdır. Kurul duyurusunda veri sorumlularınca bir veri ihlali müdahale planı hazırlanmasına ve belirli aralıklarla bu planın gözden geçirilmesine de karar vermiştir.

Veri ihlalinin yurtdışında yerleşik bir veri sorumlusu nezdinde gerçekleşmesi halinde ise Türkiye’de yerleşik kişilerin ihlalden etkilenmesi ve ilgili kişilerin ürün ve hizmetlerden Türkiye’de yararlanması şartlarıyla aynı bildirim süreci yürütülecektir.

Veri ihlali bildirimi noktasında Kurul’a yapılacak bildirimler ön planda tutulmuş, ilgili kişiye ve veri işleyen tarafından veri sorumlusuna yapılacak bildirimlerde ise süre belirlememiştir. Ancak Kurul’un önceki kararlarında “en kısa süre”ye ilişkin esnek yorumlarının artık kabul edilmeyeceği varsayımında söz konusu bildirimlerde de süre konusuna titizlikle yaklaşılması gerekmektedir. Veri ihlali müdahale planlarının kapsamlı bir biçimde hazırlanması (kimlere raporlama yapılacağı, ihlalin olası sonuçlarının değerlendirilmesinde sorumluluğun kimde olduğu vs.) hem ilgili bildirim formunun doldurulmasında hem de ihlale ilişkin bilgi, etki ve önlemlerin Kurul’un incelemesine hazır halde bulundurulmasında kolaylık sağlayacaktır.

Sonuç

Yayınlanan kararlarda da görüldüğü üzere Kurul, özel nitelikli kişisel verilerin hukuka aykırı biçimde işlenmesi ve kişisel verilere hukuka aykırı biçimde erişilmesi hususlarında idari para cezası verme uygulamasını oldukça katı bir biçimde sürdürmektedir. Veri sorumlularının bu noktada iç politikalarını titizlikle incelemeleri önem arz etmektedir. Kurul, kişisel verilerin saklanması ve veri ihlali bildirimi noktalarında da uygulamanın süreye ilişkin kaygılarını giderir nitelikte kararlar vermiştir. Bu kararların ilgililerce gerek kişisel verilerin muhafazası aşamasında, gerek ise olası bir veri ihlalinin bildirimi noktasında dikkate alınması gerekmektedir.

Kurul kararları ile ilgili yeni gelişmeler oldukça güncellemeler aracılığı ile sizlere bilgi vermeye devam edeceğiz.


[1] Kurul’un 05/12/2018 Tarihli ve 2018/143 Sayılı Kararı

[2] Kurul’un 26/07/2018 Tarihli ve 2018/91 Sayılı Kararı

[3] Kurul’un 28/06/2018 Tarihli ve 2018/69 Sayılı Kararı

[4] Kurul’un 24/01/2019 Tarihli ve 2019/10 Sayılı Kararı

GDPR İHLALİ İLE GOOGLE’A 50 MİLYON € CEZA!

Fransız Veri Koruma Otoritesi Ulusal Bilişim ve Özgürlük Komisyonu (“CNIL”), 21 Ocak 2019 tarihinde kamuoyuna açıkladığı karar ile birlikte, Google LLC’nin (“Google”), şeffaflık ilkesinin ve aydınlatma yükümlülüğünü Avrupa Birliği Genel Veri Koruma Tüzüğü’nün (“GDPR”) gerekliliklerine uygun olarak getirmediği ve belirli faaliyetler için alınan rızanın geçersiz olduğu gerekçeleri ile 50 Milyon € değerinde ceza ödemesine hükmetti.

GDPR’ın yürürlüğe girdiği 25 Mayıs 2018’i izleyen hafta içerisinde, pek çok küresel ve sektör lideri firma gibi, Google’ın da faaliyetlerinin veri koruma mevzuatına uygunluğu şikâyet konusu olmuştu. Bilişim ve özgürlük gibi kamuya hitap eden alanlarda faaliyet gösteren sivil toplum örgütleri olan None Of Your Business (“NOYB”) ve La Quadrature du Net (“LQDN”), CNIL’e şikâyetlerini sunmuşlardı. Şikâyetler temel olarak, Google’ın hüküm ve koşullarını kabul etmeksizin, Android telefonları kullanmanın mümkün olmadığı ve Google tarafından gerçekleştirilen davranış analizi ve kişiye özgü reklam faaliyetleri için hukuki bir dayanak bulunmadığı iddiaları etrafında şekillenmekteydi. CNIL tarafından yürütülen soruşturma ve alınan karar, hem sektörlerinde hâkim konumda olan şirketlere uygulanacak cezalar için içtihat oluşturması açısından; hem de veri koruma otoritelerinin küresel firmalar nezdinde gerçekleştirecekleri soruşturmalara ilişkin yetki değerlendirmesi açısından büyük önem taşıyor.

I. VERİ KORUMA OTORİTELERİNİN YETKİSİ 

Google şikâyetlerle ilgili bildirimlerin kendisine ulaşmasını takiben, GDPR uyarınca bu tür şikâyetlerin ‘veri sorumlusu kuruluşun genel merkezinin bulunduğu ülke’ veri koruma otoritesi tarafından yetkili olarak değerlendirilmesi gerektiğini savunmuş ve anılan şikâyetlerin İrlanda veri koruma otoritesine aktarılmasını talep etmişti.

Bu talebe dayanak olarak, (i) Google Ireland Ltd.’nin (“Google İrlanda”), Google’ın AB içerisindeki ana kuruluşu olması, (ii) finansal süreçler ve denetim süreçleri gibi pek çok idari sürecin Google İrlanda tarafından yürütülmesi, (iii) AB’de yer alan müşteriler ile kurulan reklam hizmetleri sözleşmelerinin Google İrlanda tüzel kişiliği altında yapılması, (iv) Google İrlanda altında yalnızca gizlilik sorunları ile ilgilenmek üzere istihdam edilmiş bir ekip bulunması ve (v) Google’ın küresel iştirakleri tarafından, Google bünyesinde AB vatandaşlarının verilerinin işlenmesini içeren süreçler için Google İrlanda’nın veri sorumlusu olarak konumlandırılmış ve kabul edilmiş olması gösterilmişti.

Google’ın itirazları CNIL tarafından, GDPR’ın 4.maddesinin 16.fıkrası ve 36 sayılı gerekçesi ile gerekçelendirilmek suretiyle reddedilmişti. Ret kararı temelde Google İrlanda’nın, Google’ın kişisel veri işleme faaliyetleri üzerinde karar alma yetkisi olmadığı ve ana kararlarda rol aldığına ilişkin yeterli dayanak bulunamadığı nedeniyle verilmişti. Ana kuruluş değerlendirmesinden bağımsız olarak, şikâyetlerin temel kaynaklarından birisi olan Android yazılımının Google tarafından geliştirilmiş olması, Google’ın aydınlatma metinlerinde Google İrlanda’nın karar verici iştirak olarak belirtilmemesi de talebin reddinde büyük rol oynadı. Netice olarak CNIL yetkili otorite olduğunu tespit edip ihlallerin içeriğini değerlendirdi.

II. TESPİT EDİLEN İHLALLER

CNIL’in esasa ilişkin değerlendirmelerinde, Google’ın cezaya tabi olduğuna karar verdiği bulgular şu şekilde:

  • Aydınlatmanın Erişilebilir Olmaması: CNIL, ilgili kişilerin Google’ın aydınlatma metni niteliği taşıyan bilgilendirmelerinde metinlerinde, yanıtların farklı dokümanlarda yer aldığını ve kullanıcıların pek çok farklı doküman arasında yanıt aramak durumunda kaldığını belirtmiştir.
  • Bilgilendirmenin Yeterince Açık ve Saf Olmaması: Veri koruma mevzuatlarında genel ölçüt, bilgilendirmenin konuya hâkim olmayan kişiler tarafından da anlaşılabilmesi olarak belirlenmektedir. Google uygulamaları özelinde ise ilgili kişilerin ‘verilerim neden toplanıyor?’ sorusuna yanıt almakta zorlandığı belirtilmiştir.
  • ‘Şemsiye’ Aydınlatma: CNIL’in kararını incelediğimizde, Google’ın doktrinde ‘şemsiye aydınlatma’ olarak tabir edilen genel bir hataya düştüğü görülmektedir. Google verileri pek çok farklı hukukî dayanakla işlemektedir. Bu, hukuki açıdan yapılabilir kabul edilse de, ilgili kişilerin, işleme faaliyetleri baz alınarak farklı hukukî dayanakları bilmesi gerektiği vurgulanmaktadır. Şikâyet konularından birisi olan kişiye özgü reklam faaliyetleri esasen rızaya tabi bir veri işleme faaliyeti olmasına karşın, Google’ın bilgilendirme dokümanlarında bu faaliyetin rızaya tabi olduğu ise açıkça belirtilmemiştir.
  • Bilgilendirmenin Zamanında Yapılmaması: Kural olarak verinin toplanması esnasında, ilgili kişinin bilgilendirilmesi esastır. Ancak CNIL Android ürünlerinin kullanımında, kullanıcıların bilgilendirme metnine erişebilmek için profil oluşturması (‘verinin toplanması’) gerektiğini tespit etmiştir. Bu durumda ise sürecin mevcut modelinde aslında bilgilendirme veri toplandıktan sonra yapılmış olmaktadır.
  • Rızanın Hukuka Uygun Olarak Alınamaması: Veri koruma mevzuatında tanımlanan rızanın unsurları arasında, ilgili kişinin bilgilendirilmiş olması da yer almaktadır. Yukarıda da açıklamış olduğumuz üzere, her ne kadar kişiye özgü reklam faaliyeti ilgili kişilerin rızası esas alınarak gerçekleştirilse de, bilgilendirme ile ilgili tespit edilen hususlar aslında rızayı da hukukî olarak sağlıksız hale getirmektedir. Zira rıza veren kişi aslında, yeterince bilgilendirilmemiş olmaktadır. CNIL bu hususu bir adım daha ileri taşıyıp ve kişiye özgü reklamcılık için rıza alınan bölümde Google’ın Youtube, Google Plus, Google Maps, Playstore gibi uygulamalardan söz etmediğini, ancak bu platformlardan toplanan çevrimiçi verilerin de işlendiğini tespit etmektedir. Yine mevzuata ve Avrupa’da oturmuş veri koruma içtihadına bakıldığında rızanın ‘aktif’ bir hareketle alınması gerektiği görülmektedir. CNIL, Google tarafından bu veri işleme faaliyetine ilişkin rıza alınması esnasında onay verilen ‘kutucuğun’ otomatik olarak işaretlenmiş olduğunu belirtmektedir. Bu kapsamda aslında kişi aktif bir hareketine ihtiyaç duyulmaksızın rıza vermiş olmaktadır.

III. CEZANIN BELİRLENMESİ

Türkiye’de, Nisan 2018 itibariyle tam anlamıyla yürürlüğe giren Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında öngörülen cezaların ne şekilde uygulanacağı tartışma konusudur. Türk veri koruma otoritesi tarafından bazı veri sorumlularına cezaî işlem uygulanmış olmasına karşın cezaların nasıl belirleneceği, cezanın şahsiliği ilkesinin ne ölçüde uygulanacağı gibi tartışmalar, gerek hukukî platformlarda gerek akademide henüz net bir yanıt bulamamış durumdadır.

Buna karşın CNIL, 50 milyon €’luk cezayı nasıl belirlediği konusunda bizleri biraz olsun aydınlatmaktadır. Yapılan açıklamaya göre (i) aydınlatma yükümlülüğünün ve şeffaflığın kişisel verilerin korunması üzerindeki önemi, (ii) ihlâlin tek seferlik değil, geçmişten gelen ve bugün dahi sürmekte olan bir ihlâl olması, (iii) hakları ihlâl edilen kullanıcıların (ilgili kişilerin) sayılarının fazlalığı ve (iv) Android telefonların soruşturmanın yürütüldüğü yer olan Fransa’daki yaygınlığı ceza miktarının belirlenmesinde göz önüne alınmıştır.

Her ne kadar 50 milyon €, kamuoyunda yarattığı yankı ile birlikte ciddi bir meblağ olarak değerlendirilse de, GDPR kapsamında anılan ihlaller için öngörülen ceza miktarı, grup şirketlerin global cirosunun %4’üne kadar çıkabilmektedir. 50 milyon € ise Google’ın yıllık cirosunun yalnızca %0,05’ine tekabül etmektedir.

Karara ilişkin şikâyet sürecini başlatmış olan sivil toplum örgütleri ise, cezanın yeterli olmadığını, Google’ın çok daha fazla ilkeyi ihlâl ettiğini iddia etmeyi sürdürürken, Google CNIL tarafından verilen kararı Fransız Danıştayı’nın önüne taşımıştır.