Kişisel Verileri Koruma Kurulu’ndan dört yeni karar!

Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından son dönemde uygulamayı yakından ilgilendiren kararlar yayınlandı. Bu yazımızda, Kurul’un, kişisel verilerin güvenliğinin sağlanması ve korunması, Kurul kararlarına uyulması ve aydınlatma yükümlülüğünün yerine getirilmesi ile ilgili olan kararlara ilişkin bilgilendirmemizi bulabilirsiniz.

I. Teknik Servis Hizmeti Veren Veri Sorumlusunun Kurul Kararına Uymaması

Teknik servis hizmeti veren veri sorumlusu firma hakkında kişisel verileri ihlal ettiği gerekçesi ile Kurul’a gelen ihbar neticesinde, Kurul firmanın internet sitesinde servise bırakılan cihazlar için kişilere verilen sorgu numaralarının son iki hanesinin değiştirilerek başka cihaz sahiplerine ait cihaz kod numaralarına ulaşılabildiğini ve bunu takip eden linklerde ise ilgili kişilere ait kimlik bilgileri ile sahip oldukları cihazlara ilişkin kod numaralarına erişilebildiğini tespit etmişti. Kurul bu tespiti üzerine, veri sorumlusu tarafından söz konusu linklerin kullanımının durdurulmasına ve kişisel verilerin güvenliğine ilişkin gerekli idari ve teknik tedbirleri almaması sebebi ile veri sorumlusu firmanın 150.000 TL idari para cezası ödemesine karar vermişti.[1]

Kurul’un bu kararının şirkete tebliğinden sonra, Kurul tarafından veri sorumlusu firmanın internet sitesinde yapılan sorgulamada, internet sitesi üzerinden yönlendirilen çeşitli linkler aracılığı ile halen teknik servis hizmeti alan ilgili kişilerin sahip oldukları cihazların kod numaralarına ulaşılabildiği, kargo gönderileri sorgulama linki aracılığı ile firma tarafından ilgili kişilere gönderilen kargoları teslim alan kişilerin ad ve soyad bilgilerine açık bir şekilde erişilebildiği tespit edilmiş olup; veri sorumlusu firmanın Kurul Kararı’na uymadığı tutanağa bağlandı. Bunun üzerine Kurul, Kurul kararına uymama sebebi ile veri sorumlusu firmaya 50.000 TL idari para cezası uygulanmasına ve söz konusu sorgulama sistemine erişimin tamamen engellenmesine karar verdi.[2]

II. Sadakat kartları hizmet alımına engel mi? [3]

Tüketici şikayetleri ve Kurum’a intikal eden ihbarlar sonucunda Kurum bir marketi mercek altına aldı. Şikayetlerde marketin bazı alışveriş/hizmet alımlarında indirim ve puan biriktirme avantajı sağlayan sadakat kartlarının açık rızanın bir ürün veya hizmetin sunulmasına ilişkin koşul olarak ileri sürüldüğü, ihbarlarda ise marketin kart kullanımına ilişkin açık rıza alma esnasında “Veri İzni Alma Uygulaması” adı altında 0,01 TL’lik bir hizmet bedeli alındığı iddia edildi.

Yapılan incelemede, müşterilerin sadakat karta ilişkin açık rıza vermemeleri halinde kendilerine hizmet sunulmaması gibi bir durumun ortaya çıkmadığı, dolayısıyla hizmet veya ürün sunumunun açık rıza şartına bağlanmadığı anlaşıldı. Marketin savunmasından müşterilere çeşitli kanallardan yapılan duyuruların hukuka uygun olmayan şekilde elde edilen kişisel verilere meşruiyet kazandırılması için değil, aksine önceden alınan rızalara ilişkin matbu formdaki bazı eksiklik veya tahrifatların giderilmesi amacıyla alındığı anlaşıldığından konuya ilişkin bir işlem tahsis edilmedi.

“Veri İzni Alma Uygulaması” adı altında alınan hizmet bedelinin ise alışveriş kasalarına kurulan bilgi teknolojileri sisteminden kaynaklanan ve sehven yansıtılan bir bedel olduğu ve söz konusu bedelin müşteri kartlarına aynı tutarda indirim olarak yüklendiği anlaşıldığından, bu hususta da herhangi bir işlem yapılmamasına hükmedildi.

Bu süreçte marketin Üyelik Rıza metni ile Aydınlatma Metni arasında tutarsızlıklar tespit eden Kurul, bu tutarsızlıkların giderilmesine ve Aydınlatma metninin kanunun temel ilkeleri ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e (“Tebliğ”) uygun hale getirilmesine hükmetti. Bu kararın arkasında yatan sebebin, marketin gıda ve ihtiyaç maddelerinin perakende olarak tüketiciye sunulması faaliyetinin kapsamını ve amacını aşan nitelikteki özel nitelikli kişisel verileri toplaması ve işlemesi olduğu anlaşıldı.

III. Siz siz olun başvurulara zamanında cevap verin![4]

İlgili kişinin hakları kapsamındaki taleplerini veri sorumlusu T.C. Ziraat Bankası A.Ş.’ye (“Banka”) bildirmesi ile başlayan süreç, Kurum’un önüne geldi. Kuruma yapılan şikayet başvurusunda Banka’nın kanuni yükümlülüğü olan 30 günlük sürede ilgili kişinin başvurusuna yanıt vermediği anlaşıldı.

Kurum’un konuya ilişkin açıklama talebini içeren yazısı Banka’ya teslim edilmekle beraber, Banka’dan herhangi bir dönüş yapılmamasını takiben Kurum, Kanun’un 18/3. maddesi çerçevesinde sorumlular ile gerekli tedbirleri almak ve denetimleri yapmakla yükümlü kişiler hakkında disiplin hükümlerine göre işlem yapılmasına karar verdi.

İlgili kişi başvurusuna ilişkin ise Banka tarafından cevap verilmesine ve Banka’nın kanuni yükümlülüklerine uyum konusunda azami dikkat ve özen göstermesi konusunda talimat verilmesi kararlaştırıldı. Son olarak Banka’nın internet sitesinde yer alan Aydınlatma Metni’ne ilişkin görüşlerini bildiren Kurul, ilgili metinde işlenen verilerin hangi hukuki sebebe dayandırıldığı belirtilmediği ve veri işleme amaçları ifadesinin belirsizlik yarattığı gerekçesiyle metnin gözden geçirilmesine ve Tebliğ’e uygun hale getirilmesine hükmetti.

IV. Kurul’a Yapılan Şikayet

İlgili kişi, bir şahsın kendisi ve ailesine ait kişisel verilere hukuk dışı yollar ile erişerek bu verileri ilgili kişinin rızası olmaksızın üçüncü kişiler ve İcra Müdürlükleri ile paylaştığı iddiası ile Kurul’a şikayette bulundu.

Kurul tarafından yapılan inceleme neticesinde, şikayet edilen şahsın kısmen veya tamamen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla gerçekleştirdiği bir veri işleme faaliyetinin olmadığı, dolayısıyla kendisinin veri sorumlusu olarak değerlendirilemeyeceği belirtildi.

Ek olarak, Kurul, şikayet edilenin eylemlerinin Türk Ceza Kanunu kapsamında suç niteliği taşıyabileceğini belirtmiş ve konunun ceza yargılaması konusu olabileceğini açıkladı. Bu nedenlerle, ilgili kişinin iddiası bakımından Kurul tarafından yapılabilecek bir işlem olmadığına karar verildi.[5]

Sonuç

Kurum kararlarınında veri sorumluları için önemli mesajlar içerdiği kanaatindeyiz. Bu kapsamda Kurul kararlarının yerine getirilmesinin önemi ve gerekliliğini ve Kurul’a yapılan şikayetlerde ortaya konan iddiaların ispat yükünün başvurucuda olduğunu hatırlatır, başkalarına ait kişisel verilerin ilgili kişilerin rızası olmadan elde edilmesinin Türk Ceza Kanunu kapsamında suç teşkil edeceğini dikkatinize sunarız. Ayrıca kararlardan Kurul’un veri sorumlularının aydınlatma metinlerini mercek altına aldığı anlaşılmakla, aydınlatma metinlerinizi Kanun’un temel ilkeleri ve Tebliğ kapsamında yeniden gözden geçirmenizin faydalı olabileceğini belirtmek isteriz.


[1] Kurul’un 14/02/2019 Tarihli ve 2019/23 Sayılı Kararı

[2] Kurul’un 05/03/2019 Tarihli ve 2019/52 Sayılı Kararı

[3] Kurul’un 25.03.2019 Tarihli ve 2019/82 Sayılı Kararı

[4] Kurul’un 02.05.2019 Tarihli ve 2019/122 Sayılı Kararı

[5] Kurul’un 01/03/2019 Tarihli ve 2019/47 Sayılı Kararı

Kişisel Verilen Korunması Mevzuatında Yapılan Son Değişiklikler

28 Nisan 2019 tarihinde yayınlanan Resmi Gazete ile i) “Veri Sorumluları Sicili Hakkında Yönetmelik”, ii) “Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik”[1] ve iii) “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul Ve Esaslar Hakkında Tebliğ”’de bazı değişiklikler yapılmıştır.

Mevzuat değişikliklerine ek olarak, yine aynı tarihte, Kişisel Verileri Koruma Kurumu (“Kurum”) resmi web sitesinde “Kişisel Veri İşleme Envanteri Hazırlama Rehberi” yayınlanmıştır. Yazımızda bu rehbere ilişkin olarak da hazırlanmış olan kısa bilgilendirmeyi bulabilirsiniz.                                                                                                                                                        

VERİ SORUMLULARI SİCİLİ (“SİCİL”) HAKKINDA YÖNETMELİK’TE YAPILAN DEĞİŞİKLİKLER

– Yönetmeliğin tanımları düzenleyen ilgili maddesinde yapılan değişiklikler neticesinde irtibat kişisi ile kişisel veri işleme envanteri tanımına birtakım eklemeler yapılmış olup; bu eklemeler ile;

       (a) Mevzuattan doğan yükümlülükleri bakımından Kurum ile iletişimi sağlayacak olan irtibat kişisinin;

              (i) Türkiye’de yerleşik olan gerçek ve tüzel kişiler için veri sorumlusu;

              (ii) Türkiye’de yerleşik olmayan gerçek ve tüzel kişiler için ise veri sorumlusu temsilcisi tarafından Sicil’e kayıt esnasında bildirileceği;

         (b) Kişisel Veri İşleme Envanterinde;

(i) Kişisel verileri işleme faaliyetlerine, kişisel veri işleme amaçlarına, veri kategorisine, aktarılan alıcı grubuna, yabancı ülkelere aktarımı yapılan kişisel verilere ve veri güvenliğine ilişkin alınan tedbirlere ek olarak veri işleme faaliyetinin hukuki sebebine ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza etme süresine yer verilmesi gerektiği düzenlenmiştir.[2]

– Kişisel Veri İşleme Envanteri’nin Sicile kayıtla yükümlü veri sorumluları tarafından hazırlanması kanuni bir yükümlülük haline getirilmiştir.

– Sicil’de yer alan ve kamuya açıklanacak olan bilgiler kapsamından irtibat kişisine ilişkin bilgiler çıkarılmıştır.

– Sicil’de yer alan kayıt bilgilerinde meydana gelen değişikliklerin, değişikliğin meydana geldiği tarihten itibaren 7 (yedi) gün içerisinde Kurum’a bildirileceği düzenlenmiştir.

– Kişisel Verileri Koruma Kurulu’nun (“Kurul”) Sicil’e kayıt yükümlülüğüne istina getirirken değerlendireceği kriterlere Kurul’un daha önceki kararıyla da paralel olarak veri sorumlusunun yıllık çalışan sayısı ile yıllık mali bilanço toplamı bilgisi eklenmiştir.

AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİNDE UYULACAK USUL VE ESASLAR HAKKINDA TEBLİĞ’DE YAPILAN DEĞİŞİKLİK

– Veri sorumlusunun farklı birimlerinde farklı amaçlarla işlenen kişisel veriler bakımından, her bir birim için aydınlatma yükümlülüğünün ayrı ayrı yerine getirilmesi gerekliliğini düzenleyen ilgili madde yürürlükten kaldırılmıştır.

– Veri Kayıt Sistemi değişiklik öncesi “Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam” olarak tanımlanırken, değişiklik ile birlikte “Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi” olarak tanımlanmıştır.

KİŞİSEL VERİ İŞLEME ENVANTERİ HAZIRLAMA REHBERİ

Yayınlanan Rehber’de, Sicil’e kayıt yükümlülüğü olan veri sorumlularının;

– Kişisel verileri işleme faaliyetlerini,

– Kişisel veri işleme amaçlarını ve hukuki sebebi,

– Veri kategorisini,

– Kişisel verilerin aktarıldığı alıcı grubunu,

– Kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza etme süresini,

– Yabancı ülkelere aktarımı yapılan kişisel verileri,

– Veri güvenliğine ilişkin alınan idari ve teknik tedbirleri

içeren Kişisel Veri İşleme Envanteri hazırlamakla yükümlü olduğu ve Kişisel Veri İşleme Envanteri ile VERBİS’in birbirinden farklı kavramlar olduğu ancak Kişisel Veri İşleme Envanteri’nin VERBİS’e kayıt esnasında kaynak olarak kullanılacağı düzenlenmiştir.

SONUÇ

Kanun’a uyumluluk kapsamında mevzuatta meydana gelen değişiklikleri yakından takip etmenin ve bu değişiklikler ışığında, prosedürleriniz ve politikalarınızda gerekli güncellemeleri yapmanın siz veri sorumlusu şirketler için önemini vurgulamak isteriz


[1] Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik’te mevzuatın uygulanma esaslarını etkilemeyecek derecede şekli değişiklikler yapılmıştır.

[2] Kişisel Veri İşleme Envanteri tanımında yapılan bu değişiklik çerçevesinde; tüm mevzuatta yer alan bu tanım güncellenmiştir. 

KVK Kurulu’ndan Başvuru ve Şikayet Sürelerine ilişkin Kamuoyu Duyurusu

Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından 13 Şubat 2019 tarihinde duyurulan, 24.01.2019 tarih ve 2019/9 sayılı karar (“Karar”) ile birlikte, başvuru ve şikâyet sürelerine ilişkin bazı soru işaretlerini gidermek adına başvuru sürelerine ilişkin çeşitli ihtimallere açıklık getirilmiştir.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”), veriye temas edenlerin yükümlülükleri ile birlikte verisi işlenen ilgili kişilerin hakları da düzenlenmiştir. Kanun, ilgili kişiler tarafından yürütülecek veri sorumlularına başvuru ve Kurul nezdinde şikâyet imkânlarını 13 ve 14. Maddelerinde yer verdiği hükümler ile açıklamaktadır.

Kanun’un ilgili maddeleri uyarınca veri sorumlusu, kendisine gelen ilgili kişi başvurularını en geç otuz gün içerisinde yanıtlamakla yükümlüdür. Başvurunun reddedilmesi, hiç yanıt verilmemesi veya verilen yanıtın ilgili kişi tarafından yeterli bulunmaması hâllerinde; ilgili kişinin Kurul nezdinde şikâyet sunma hakkı saklıdır. Ancak Kanun metninde de açıkça belirtildiği üzere, şikâyet öncesinde, veri sorumlusuna başvuru müessesesinin tüketilmesi gerekmektedir.

13 Şubat 2019 tarihinde Kişisel Verileri Koruma Kurumu’nun internet sitesi üzerinden yayınlanan Karar’da veri sorumlusuna başvuru ve başvuruya verilen yanıta istinaden Kurul’a başvurma sürelerinin yorumlanmasına ilişkin endişelerin giderilmesi adına başvuru süreleri üç farklı ihtimal üzerinde durularak açıklanmıştır.

Veri Sorumlusunun Yanıtı Şikayet Süresi
Başvuruya 30 gün içinde yanıt verilmesi Veri sorumlusu tarafından verilen yanıttan itibaren 30 gün içerisinde şikâyette bulunulması gerekir.
Başvuruya hiç yanıt verilmemesi Veri sorumlusuna yapılan başvurudan itibaren 60 gün içerisinde şikâyette bulunulması gerekir.
Başvuruya 30 günlük süre tamamlandıktan sonra yanıt verilmesi Veri sorumlusuna yapılan başvurudan itibaren, 30 günlük cevap verme süresi beklendikten sonra 30 gün içerisinde (başvuru tarihinden itibaren 60 gün) içerisinde şikâyette bulunulması gerekir.

Karar’da 60 gün olarak açıklanan sürelerin, başvuru sürecinin doğası gereği, başvuruyu izleyen otuz günlük sürenin sonunda başlayacak olan, yeni bir otuz günlük süre olarak yorumlanması yerinde olacaktır. Zira aslında veri sorumlusuna başvuruya yanıt hakkı tanıyan ilk otuz günlük dönemde (yanıt alınmadığı müddetçe) herhangi bir şekilde şikâyet prosedürünü işletmek mümkün değildir.

Son olarak hatırlatmak gerekir ki, her ne kadar Karar’da yer alan açıklamalar veri sorumlusu tarafından başvuruya yanıt verilmesini esas alsa da mevzuatta da açıkça belirtildiği üzere, ilgili kişinin, yanıtın tatmin edici olmaması hâlinde,  veri sorumlusunun yanıtından itibaren 30 gün içerisinde Kurul nezdinde şikâyet yoluna başvurma haklı saklı kalacaktır.