KVKK Karar Özetleri

 

“İlgili kişinin, bir sadakat programı kapsamında veri sorumlusunca hukuka aykırı kişisel veri işlendiği yolundaki ihbarı” hakkında Kişisel Verileri Koruma Kurulunun 05/07/2019 tarihli ve 2019/198 sayılı Karar Özeti

Karar Tarihi	:	05/07/2019
Karar No	:	2019/198
Konu Özeti	:	İlgili kişinin, bir sadakat programı kapsamında veri sorumlusunca hukuka aykırı kişisel veri işlendiği yolundaki ihbarı

Bilindiği üzere 6698 sayılı Kişisel Verilerin Korunması Kanunu madde 3 kapsamında açık rızanın; belirli bir konuya ilişkin, bilgilendirmeye dayalı ve özgür iradeyle açıklanma şeklinde üç unsuru bulunmaktadır. Kuruma intikal eden dilekçede ilgili kişi ise, veri sorumlusunun mağazasında satılan bazı ürünlere sadakat karta özel indirim uygulandığı, böylece özel indirimlerin şarta bağlandığı, söz konusu sadakat programına üyelik ve kart temini için de müşterinin kişisel verilerinin talep edildiği ve açık rızanın koşul olarak dayatıldığı belirtilerek veri sorumlusu hakkında ihbarda bulunulmuştur.

Yapılan değerlendirmede;

• Programa dahil olmak isteyen ilgili kişilere sunulan açık rıza metninde açık rızanın unsurlarının karşılandığı,
• Kişilere uygun şekilde aydınlatma yapıldığı,
• Programa rıza vermeyen kişilerin alışveriş haklarının engellenmediği, ürün ve hizmetlerin herkesin erişimine açık bir şekilde ve belirlenen fiyatlar üzerinden temin edildiği,
• Program dahilinde ve ilgili kişiler tarafından açık rıza verilmesi halinde yararlanılabilen indirimlerin ana ürün veya hizmetin sunumuna ilişkin olmayıp ek menfaat niteliğinde olduğu ve bu durumun ilgili kişinin açık rızasının alınmasının, bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmediğini gösterdiği,
• Ek menfaatlerin açık rıza koşuluna bağlanmasının “açık rızanın özgür irade ile verilmesi” koşulunu ortadan kaldırmayacağının mehaz Avrupa Birliği mevzuatında da açıkça kabul edildiği

ifade edilmiştir.

Söz konusu inceleme sonucunda Kurum tarafından, Veri sorumlusunun mağazalarında sunulan ürün veya hizmetlerin, gerçekleştirilen kampanyalar dahilinde ve veri sorumlusu şirketin sadakat programına özel indirimli fiyatlar üzerinden ek bir menfaatle sunuluyor olmasının, açık rızanın koşul olarak dayatılması ve bu anlamda ilgili kişinin açık rızasının bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmesi olarak kabul edilemeyeceğinden, söz konusu dilekçeye ilişkin olarak Kanun hükümleri kapsamında yapılacak bir işlem olmadığına karar verilmiştir.

 

“İlgili kişinin kişisel verilerinin iş akdinin sona erdiği veri sorumlusu şirket tarafından hukuka aykırı olarak işlenmesi hakkında” Kişisel Verileri Koruma Kurulunun 16/12/2021 tarihli ve 2021/1258 sayılı Karar Özeti

Karar Tarihi	:	16/12/2021
Karar No	:	2021/1258
Konu Özeti	:	İlgili kişinin kişisel verilerinin iş akdi sona erdiği şirket tarafından hukuka aykırı olarak işlenmesi

Söz konusu şikayet; veri sorumlusu şirket nezdinde 10.12.2018 ile 30.12.2019 tarihleri arasında “E-ticaret Pazar Yerleri Yetkilisi” olarak görev almış çalışanın, kişisel verilerine yönelik olarak şirkete başvuru yapmak istediği lakin başvuru formunun bulunmadığı, başvuru yollarının açıklanmadığı, aydınlatma yükümlülüğünün hukuka uygun bir şekilde yerine getirilmediği, özel nitelikli kişisel verilerin rıza dışı işlendiği, yurt dışındaki grup şirketlere açık rıza olmaksızın aktarım yapıldığı, yeterli teknik ve idari önlemlerin alınmadığı ile internet sitesinde gizlilik politikasının bulunmadığı hususlarını içermektedir.

İddialara ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş ve cevabi yazı alınmıştır.

Konuya ilişkin incelemede Kurum;

• Kanunun 5. maddesi kapsamında kişisel veri işleme faaliyeti gerçekleştirilebileceği ve ancak bu hükme uyularak veri işlemenin mümkün olduğu,
• Veri sorumlusu şirketin cevabi yazısında belirttiği ve yalnızca şirket personelinin erişim sağlayabildiği sosyal medya platformunda yer alan başvuru formu ile aydınlatma metninin görüntüsünün yer alması,
• İş sözleşmesi kapsamında imzalandığı ileri sürülen aydınlatma ve açık rıza metninin karma bir şekilde oluşturulduğu, çalışanın işe başlarken iş sözleşmesinin imzalamama gibi bir ihtimalinin olmamasından ötürü açık rızanın “özgür irade ile açıklanma” unsurunun sağlanamadığı ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin (Tebliğ) 5’inci maddesinin (1) numaralı fıkrasının (f) bendi gereğince kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekliliği sağlanmadığından şekli olarak aydınlatmanın usulüne uygun yapıldığından söz edilemeyeceği,
• Veri sorumlusu tarafından Kuruma sunulan Çalışan Açık Rıza Metni ve Çalışan Aydınlatma Metninin personellere imzalatıldığı belirtilmiş olsa da ilgili kişinin imzasının bulunmadığı,
• İlgili kişinin açık rızasının alınması için iş sözleşmesine bir madde eklenmesi yoluna gidildiği, ilgili kişiye, özel nitelikli kişisel verilerin işlenmesine dair açık rıza beyanının iş sözleşmesiyle birleşik olarak sunulması sebebiyle ilgili kişinin özel nitelikli kişisel verilerinin işlenmesinde açık rıza verip vermemek konusundaki kararının özgür iradeye dayandığından söz edilemeyeceği, ilgili kişinin iş sözleşmesini imzalamadan işe başlamak gibi bir şansı bulunmadığından; iş sözleşmesinde bir madde olarak yer alan açık rıza şartını kabul etmeme imkanının etkin bir biçimde ilgili kişiye tanınmadığı, bu anlamda veri sorumlusu tarafından dayanılan açık rıza veri işleme şartının hukuka aykırı olduğu,
• İlgili kişiye ait parmak izi ve yüz tarama verilerinin işlenme sebebi olarak veri sorumlusu tarafından belirtilen şirket çalışanlarının güvenliğinin sağlanması ihtiyacı ile orantısız olduğu, aynı amaca biyometrik verilerin işlenmesini gerektirmeyen manyetik kart okuyucu ve kontrol listesi gibi yöntemlerle de ulaşılabilmesi mümkün iken veri sorumlusu tarafından biyometrik veri işlenmesi yoluna gidilmesinin Kanun’un genel ilkelerinden ölçülü olma ilkesine uygun olmadığı,
• Veri sorumlularının Kanun’un 10’uncu maddesi kapsamında aydınlatma yükümlülüğünü yerine getirmekle yükümlü olduğu, her ne kadar uygulamada veri sorumluları tarafından gizlilik politikası adı altında belgeler hazırlanıp ilgili kişilerin dikkatine sunuluyor olsa da Kanun’da ve Kanun ile ilgili diğer mevzuatta veri sorumluları tarafından gizlilik politikası hazırlanmasına dair bir yükümlülük yer almadığı

Değerlendirmelerinde bulunarak;

Aydınlatma ve açık rıza metinlerinin iş sözleşmesinde karma bir biçimde bulunması asgari unsurları taşımadığından veri sorumlusunun talimatlandırılmasına, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı hareket ettiği kanaatine varılan veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 125.000 TL idari para cezası uygulanmasına, Hukuka aykırı işlendiği tespit edilen biyometrik veri işleme faaliyetine son verilmesi, öte yandan söz konusu verilerin Kanun’un 7’nci maddesi ve Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesine Dair Yönetmelik hükümlerine uygun şekilde imha edilerek sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.

 

“Bir sigorta şirketi tarafından ilgili kişinin banka verilerinin işlenmesi hakkında” Kişisel Verileri Koruma Kurulunun 16/12/2021 tarihli ve 2021/1262 sayılı Karar Özeti

Karar Tarihi	:	16/12/2021
Karar No	:	2021/1262
Konu Özeti	:	Bir sigorta şirketi tarafından ilgili kişinin banka verilerinin işlenmesi

Söz konusu şikâyet dilekçesinde özetle; ilgili kişinin vekili aracılığıyla sigorta şirketine başvurarak bilgi talebinde bulunduğu ancak bu talebin “genel vekaletname” ile yapılmış olması sebebiyle veri sorumlusu tarafından reddedildiği, kişisel verilerin silinmesi ve yok edilmesi talebinin yanıtsız bırakıldığı ifade edilmiştir.

Şikâyet akabinde inceleme başlatan Kurum, bahsi geçen veri sorumlusu şirketten savunma istemiştir.

Savunma sonucunda Kişisel Verileri Koruma Kurulu tarafından;

• İlgili kişinin vekili aracılığıyla yaptığı başvurunun şirket tarafından “genel vekaletname” sunulması nedeniyle reddinin usulsüz olduğu ve kişisel verilerin korunması mevzuatında ilgili kişilerin vekilleri aracılığıyla yapacakları başvurularda özel vekaletname gerektiğine ilişkin bir düzenleme bulunmadığından veri sorumlularınca vekâletnamede “özel yetki” şartı aranmaması gerektiği,
• Sigortacılık faaliyetleri yürüten veri sorumlusunun çeşitli amaçlarla iş birliği yapmakta olduğu acentelere, ilgili kişinin banka bilgilerinin Kanun’un 5. maddesinin (2) numaralı fıkrasının (c) bendinde belirtilen hukuki sebeplere dayanarak işlediği,
• Kişisel verilerin silinmesi veya yok edilmesi talebinin yerine getirilmediği iddiası bakımından, ilgili kişi ile veri sorumlusu arasındaki sigorta sözleşmesinin/ilişkisinin devam ettiği

sonuçlarına varılmıştır.

Tüm bu sebeplerden ötürü veri sorumlusu şirketin tüm kişisel verilerin korunması ile alakalı dokümanlarından vekil ile yapılacak başvurularda “özel vekaletname” isteminin kaldırılarak Kurula bilgi verilmesi ve başvuruların gerekçesi açıklanarak reddedilmesi hususlarında talimatlandırılmasına karar verilmiş, lakin ilgili kişinin başvurusunda yer alan amaçla bağlantılı olmayan işleme ve kişisel verilerin silinmesi talepleri hakkında söz konusu sözleşmelerin halen taraflar arasında devam ediyor olması sebebiyle Kurul tarafından tesis edilecek herhangi bir işlem bulunmadığına karar verilmiştir.