1. Veri sorumlusu bankanın ilgili kişiye ait kredi kartı ekstresinde yer alan kişisel verileri yanlış e-posta hesabına göndermesi" hakkında Kişisel Verileri Koruma Kurulunun 30/01/2020 tarihli ve 2020/78 sayılı Karar Özeti

İlgili kişinin Kuruma intikal eden şikayetinde özetle; müşterisi olduğu bankanın, kendisine ait kredi kartının ekstresini kendisine ait olmayan bir e-posta adresine göndererek şahsına ait bilgileri üçüncü kişilerle paylaştığı, veri sorumlusuna konuya ilişkin hem e-posta hem de dilekçe ile başvuruda bulunduğu, başvuru tarihinin üzerinden bir ay geçmiş olmasına rağmen kendisine yazılı bir dönüş yapılmadığı belirtilerek veri sorumlusu hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) çerçevesinde gerekli işlemlerin yapılması talep edilmiştir. Söz konusu şikâyeti takip eden süreçte ilgili kişinin Kuruma intikal eden ek dilekçesinde ise özetle; veri sorumlusu bankanın kendisine ait aynı kredi kartının ekstresini, kendisine ait olmayan bir e-posta adresine tekrar göndererek şahsına ait bilgileri tekrar üçüncü kişilerle paylaştığı, kendisinin Kuruma göndermiş olduğu dilekçe aracılığıyla veri sorumlusundan şikâyetçi olduğu belirtilerek veri sorumlusu hakkında Kanun çerçevesinde gerekli işlemlerin yapılması talep edilmiştir.

Konuya ilişkin olarak yapılan incelemede, Kişisel Verileri Koruma Kurulunun 30/01/2020 tarihli ve 2020/78 sayılı Kararı ile;

  1. İlgili kişilerin açık rızasının alınacağı hallerde, rızanın belirli bir konuya ilişkin olması, bilgilendirmeye dayanması ve özgür iradeyle açıklanması gerektiği, veri işlemek üzere verilen açık rızanın geçerli olması için, açık rızanın öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak verilmesinin zorunluluk arz ettiği, bu doğrultuda veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması bununla birlikte, açık rıza bir irade beyanı olduğundan, kişinin özgür bir şekilde rıza gösterebilmesi için, neye rıza gösterdiğini de bilmesi gerektiği, kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olmasının önem arz ettiği, bu sebeple, bilgilendirmenin, veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmesi ve mutlaka verinin işlemesinden de önce yapılması gerektiği, diğer yandan, açık rızanın geçerlilik kazanabilmesi için kişinin yaptığı davranışın bilincinde ve kendi kararı olmasının şart olduğu, açık rızanın özgür iradeyle açıklanması gerektiğinden, herhangi bir ürün ve/veya hizmetin sunumunun (ya da herhangi bir üründen ve/veya hizmetten yararlandırılması) ilgili kişi tarafından açık rıza verilmesi şartına bağlanamayacağı, tarafların eşit konumda olmadığı veya taraflardan birinin diğeri üzerinde etkili olduğu durumlarda rızanın özgür iradeyle verilip verilmediğinin dikkatle değerlendirilmesi gerektiği,
  2. Kanunun "kişisel verilerin işlenmesi" başlıklı 5 inci maddesi ve "kişisel verilerin aktarılması" başlıklı 8 inci maddesi hükümleri çerçevesinde; tarafların Kuruma iletmiş oldukları yazılarında yer alan beyanları incelendiğinde; veri sorumlusunun, ilgili kişinin kendisine ait olan kredi kartı ekstresini kendisine ait olmayan bir mail adresine (y...@gmail.com) göndermek suretiyle ilgili kişiye ait kişisel verilerin veri sorumlusu tarafından üçüncü kişilerle paylaşıldığı iddiasına aksi yönde bir beyanının olmadığı, şube personellerinin sehven başvuru sahibinin bireysel ürünü olan kredi kartı ekstresinin, başvuru sahibinin e-ekstre ortağı olduğu firma üzerinde tanımlı olan y...@gmail.com e-posta adresine gönderilmesi yönünde talimatlandırma yaptığının ifade edildiğinin görüldüğü, şikâyete konu olayda veri sorumlusunun ilgili kişinin kredi kartı ekstresinde yer alan kişisel verilerini, kendisine ait olmayan bir e-posta adresine göndermek suretiyle Kanunun 5 inci maddesinde düzenlenen kişisel veri işleme şartlarından biri bulunmaksızın üçüncü kişilerle paylaştığı ve bu yönüyle Kanunun 8 inci madde hükmüne aykırı bir kişisel veri aktarımı gerçekleştirdiği sonucuna varıldığı,
  3. Ayrıca ilgili kişinin, veri sorumlusunun Genel Müdürlüğüne konuya ilişkin hem e-posta hem de dilekçe aracılığıyla başvuruda bulunduğunu, ancak belirtilen tarihin üzerinden bir ay geçmiş olmasına rağmen kendisine yazılı bir dönüş yapılmadığını iddia ettiği, veri sorumlusunun, başvuru sahibinin, şube personelleri tarafından telefonla aranarak konu hakkında bilgilendirildiğini ifade ettiği görülmekle beraber bu noktada Kanunun "Veri sorumlusuna başvuru" başlıklı 13 üncü maddesinin üçüncü fıkrasında yer alan; "Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir." hükmünden hareketle, ilgili kişinin, veri sorumlusu Banka tarafından telefonla aranmak suretiyle bilgilendirilmesinin Kanunun ilgili hükmü kapsamında usulüne uygun bir bildirim niteliğini haiz olmadığı değerlendirmeleri yapılmıştır.

Kurul, bu kapsamda;

  • Veri sorumlusunun, ilgili kişinin şikâyet talebine yönelik cevabını, başvuru sahibini telefonla aramak suretiyle bildirmesinin Kanunun "Veri sorumlusuna başvuru" başlıklı 13 üncü maddesinin üçüncü fıkrası kapsamında usulüne uygun bir bildirim niteliğini haiz olmadığına, bu kapsamda Kanunun 15 inci maddesinin beşinci fıkrasında yer alan; "Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir." hükmü uyarınca da ilgili kişilerin başvurularının değerlendirilmesi ve yanıtlanmasında Kanun 13 ncü maddesi ve ilgili Veri Sorumlusuna Başvuru Usul ve Esasları Hakkındaki Tebliğ hükümlerine azami dikkat ve özeni göstermesi hususunda veri sorumlusunun talimatlandırılmasına,
  • Veri sorumlusu Bankanın ilgili kişinin bireysel ürünü olan kredi kartı ekstresindeki kişisel verilerini, Kanunda saylan işleme şartları olmaksızın bireysel mail adresi yerine e-ekstre ortağı olduğu firma üzerinde tanımlı olan e-posta adresine göndermek suretiyle Kanunun 8 inci maddesine aykırı bir kişisel veri aktarımı gerçekleştirmiş olduğu ve bu yönüyle veri sorumlusu Bankanın Kanunun 12 nci maddesinin birinci fıkrası kapsamında kişisel verilerin hukuka aykırı işlenmesini önlemek ve muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine ulaşıldığından Kanunun 18 inci maddesinin birinci fıkrasının (b) bendi hükmü uyarınca hakkında 60.000 TL idari para cezası uygulanmasına karar vermiştir.
  1. Veri sorumlusu sağlık firması tarafından eski çalışanı olan ilgili kişinin kişisel verilerinin rızası alınmaksızın aktarımı" hakkında Kişisel Verileri Koruma Kurulunun 11/02/2020 tarihli ve 2020/108 sayılı Karar Özeti

İlgili kişi şikayetinde özetle; sağlık alanında faaliyet gösteren veri sorumlusu şirket bünyesinde belirli tarihler arasında çalıştığını ve çalışma ilişkisini veri sorumlusu ile mutabık kalarak sonlandırmak suretiyle başka bir şirkette işe başladığını, yeni işe başladığı şirketin yetkilileri ile yapılan toplantıda, veri sorumlusu tarafından çocuklarının ve eşinin uzun bir süredir Almanya'da yaşadıklarını ve bu ülkeye taşınacağını, Türkiye'de fazla kalmayacağı gibi bilgilerin kendisi ile paylaşıldığını, ayrıca, aldığı maaş, prim ve özel ödeme koşullarına riayet etmeksizin veri sorumlusu eski çalıştığı şirketten ayrıldığı gibi iddiaların kendilerine iletildiği belirtilerek kendisinden cevabının talep edildiğini, ilgili kişi hakkındaki bu bilgilerin veri sorumlusu eski çalıştığı şirket tarafından talep olmaksızın, ilgili kişinin yeni işe başladığı şirkete önce telefon ardından iki adet e-posta vasıtasıyla aktarıldığının öğrenildiği, ilgili kişinin rızası alınmaksızın yapılan bu veri aktarımının veri sorumlusu tarafından Kanunun 5 inci maddesinde sayılan kişisel veri işleme şartlarından "ilgili kişinin kendisi tarafından alenileştirilmiş olma" koşuluna dayandırıldığı, ancak ilgili kişinin rızası olmaksızın paylaşılan kişisel verilerin ilgili kişi tarafından herhangi bir şekilde kamuoyuna açıklanmış yani ilgili kişi tarafından alenileştirilen ve böylelikle herkes tarafından bilinebilecek hale getirilmiş bir bilgi niteliğini haiz olmadığı, söz konusu yeni işe başladığı şirket yetkililerinin ilgili kişinin çocukları ve eşinin yurt dışında yaşayıp yaşamadıklarını ve özel ödeme koşullarına ilişkin veri sorumlusu eski şirketin iddialarını teyit etmeye yönelik sorular sormalarının da söz konusu kişisel verilerin aleni olmadığının ve herkesçe bilinmediğinin göstergesi olduğu, ayrıca alenileştirmenin gerçekleştirilebilmesi için alenileştirme iradesinin varlığının gerektiği ancak ilgili kişinin bu yönde bir iradesinin bulunmadığı ve öte yandan Kanunun 12 nci maddesi kapsamında, veri sorumlusunun Kanunun kendisine yüklediği sorumluluklara aykırı davranarak, kişisel verilere erişme yetkisi olanlar tarafından yetkilerin kötüye kullanılması ile işlenme amacı dışında ilgili kişinin ve ailesinin kişisel verilerini üçüncü kişilerle paylaşması suretiyle Kanunu ihlal ettiği ve bu ihlallerin gerçekleşmesini önlemek için uygun güvenlik düzeyini temin etmeye yönelik gerekli herhangi bir teknik ve idari tedbir almadığı belirtilerek, konuya ilişkin gerekli yaptırımların uygulanması talep etmiştir.

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 11/02/2020 tarihli ve 2020/108 sayılı Kararı ile,

  1. İlgili kişinin veri sorumlusuna ayrılma nedenini "ailevi sebeplerden dolayı yurtdışına taşınma" ve yeni işverenine de daha önce çalıştığı iş pozisyonunu "Etik Direktörü" olarak beyan etmiş olması dikkate alındığında; her iki işverenin de yanlış bilgilerle yanıltılmış olması nedeniyle, veri sorumlusunun bu bilgilerle ilgili düzeltme yapmasının kişinin makul beklentisine aykırı olmadığı ve temel hak ve hürriyetlerini de ihlal etmediği sonucuna varıldığı,
  2. Ayrıca veri sorumlusu tarafından ilgili kişinin şirketlerinde çalıştığı iş pozisyonuna ilişkin gerçeği yansıtmayan bilginin düzeltilmesi, şirket itibarının korunması, şirketlerinin adı kullanılarak yanlış bilgi üzerinden menfaat temin edilmesinin önlenmesi, gerçeğe aykırı beyandan ötürü şirket alacağının tahsil edilmesi yönünde hukuki sürecin başlatılması, ilgili kişinin daha önce çalıştığı işyerindeki iş pozisyonu için yeni işverenini yanıltması sonucunda yeni işverenin mevzuattan kaynaklanan haklarını kullanabilmesi ve iş yaşamında dürüstlük ve etik ilkelerin teşvik edilmesi amacıyla gerçekleştirilen söz konusu veri aktarımının hukuki gerekçesinin, Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendinde öngörülen "ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması." kişisel veri işleme şartına dayandığı kanaatine varıldığı, 
  3. Diğer taraftan yeni işvereninin, ilgili kişinin kendi şirketlerinde işe başlamasına ilişkin kurumsal web sitesinde yaptığı duyuruda, ilgili kişinin yeni görevi, eğitim durumu ve daha önce çalıştığı işyerleri ve iş pozisyonlarının belirtildiği, yapılan web araştırması sonucunda, yeni işveren tarafından alenileştirilen bu bilgilerin ilgili kişinin kendisi tarafından da profesyonel sosyal iletişim ağı hesabında herkesin erişimine açık bir şekilde alenileştirildiğinin belirlendiği, bu doğrultuda veri sorumlusu tarafından ilgili kişinin açık rızası alınmaksızın gerçekleştirilen veri aktarımının Kanunun 5 inci maddesinin (2) numaralı fıkrasının (d) bendinde öngörülen "ilgili kişinin kendisi tarafından alenileştirilmiş olma" kişisel veri işleme şartına uygun olduğunun değerlendirildiği,
  4. Veri aktarımı olarak gerçekleşen söz konusu veri işleme faaliyetinin; yanlış bilginin düzeltilmesi gibi haklı bir gerekçeye dayandığı, veri aktarımının amacının belirli, açık ve meşru olduğu ve belirtilen amaç ile sınırlı olduğu ve ilgili kişi tarafından iddia edildiği üzere "hukuka ve dürüstlük kurallarına uygun olma" ve "belirli, açık ve meşru amaçlar için işlenme ilkesi" ne aykırılık teşkil etmediğinin değerlendirildiği,
  5. İlgili kişinin "kişisel verilere erişme yetkisi olanlar tarafından yetkilerini kötüye kullanmak suretiyle ve işlenme amacı dışında ilgili kişinin ve ailesinin kişisel verilerini üçüncü kişilerle paylaşarak Kanunu ihlal ettiği ve bu ihlallerin gerçekleşmesini önlemek için uygun güvenlik düzeyini temin etmeye yönelik gerekli herhangi bir teknik ve idari tedbir almadığı" yönündeki iddiası dikkate alındığında; e-posta yazışmaları yoluyla gerçekleşen veri aktarımının eski işveren ile yeni işverenin insan kaynakları müdürleri arasında yapılması ve insan kaynakları departmanının temel görevlerinden birisinin de kişilerin özlük dosyalarını tutmak olması nedeniyle veri sorumlusunun Kanunun 12 inci maddesi uyarınca veri güvenliğine ilişkin yükümlülüklerini ihlal etmediği değerlendirilmesi yapılmıştır.

Kurul, bu kapsamda;

  • Şikâyete konu kişisel veri işleme faaliyetinin hem kişisel verilerin korunması hem de iş mevzuatının ilgili maddelerine aykırılık teşkil etmediği, veri sorumlusu tarafından gerçeği yansıtmayan bilginin düzeltilmesi, şirket itibarının korunması, şirket adı kullanılarak yanlış bilgi üzerinden menfaat temin edilmesinin önlenmesi, ilerde oluşabilecek hukuki etkilerinin ortadan kaldırılması, iş yaşamında dürüstlük ve etik ilkelerin teşvik edilmesi amacıyla gerçekleştirildiği belirtilen söz konusu veri aktarımının Kanunun "Kişisel verilerin işlenme şartları" başlıklı 5 inci maddesinin (2) numaralı fıkrasının (f) bendi uyarınca "ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlemesinin zorunlu olması" kişisel veri işleme şartına dayandığı, bu kapsamda Kanunun "Kişisel verilerin aktarılması" başlıklı 8 inci maddesi kapsamında söz konusu veri aktarımının hukuka aykırı bir veri işleme olmadığı sonucuna varıldığından veri sorumlusu hakkında herhangi bir müeyyide uygulanmasına yer olmadığına,
  • Bununla birlikte Kanunun "İlgili kişinin hakları" başlıklı 11 inci maddesi uyarınca, ilgili kişinin kişisel verilerinin rızası dışında üçüncü kişilere aktarımına ilişkin talebinin veri sorumlusu tarafından yeterli düzeyde karşılanamadığı, bu çerçevede ilgili kişinin talebi doğrultusunda "belirli tarihler arasında veri sorumlusu İnsan Kaynakları Departmanı çalışanları tarafından kanunlarda açıkça öngörülmesi ve Kanun kapsamında veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması durumları haricinde, ilgili kişiye ait kişisel verilerin ilgili kişinin açık rızası dışında herhangi bir iletişim aracı vasıtasıyla herhangi bir gerçek ve/veya tüzel kişiye aktarılıp aktarılmadığı; böyle bir aktarım yapıldıysa, yapılan bu aktarımın hangi amaçla yapıldığını, aktarımın içeriğini, aktaran ve aktarılan kişileri de gösterir orijinal metnin kopyasını içeren bilgi, belge vb. dokümanın" Kuruma sunulduğu üzere ilgili kişiye de sunulması ve akabinde söz konusu bilgi, belge vb. dokümanın ilgili kişiye sunulduğuna dair Kuruma bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına karar vermiştir.
  1. İlgili kişinin, veri sorumlusu bir banka nezdindeki kişisel verileri olan hesap ve kiralık kasa bilgilerinin aktarılması" hakkında Kişisel Verileri Koruma Kurulunun 13/02/2020 tarihli ve 2020/118 sayılı Karar Özeti

Kuruma intikal eden şikayet dilekçesinde özetle; ilgili kişiye karşı İcra ve İflas Kanunu hükümlerine aykırı ve haksız bir şekilde icra takibine geçildiği, Tebligat Kanununa aykırı tebligat hileleri yapılarak ilgili kişi adına ödeme emrinin kesinleştirildiği, bunun üzerine şikayete konu bankaya birinci haciz ihbarnamesi gönderildiği ve Bankanın şubelerinden birinde yer alan kiralık kasasına fiili haciz uygulandığı, ayrıca icra takibinde borçlu konumunda olan ilgili kişinin iş yaptığı kişi ve şirketler, çalışma arkadaşları, ortak olduğu şirketler, şirket bilgilerinin resmi olmayan yollarla ele geçirildiği, kimse tarafından bilinmeyen kişisel verisi olan banka hesap ve kiralık kasa bilgisinin paylaşıldığı hususları belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 11 inci maddesi kapsamında ilgili kişinin hesap ve kiralık kasa bilgilerinin işlenip işlenmediği, işlenme amacı ve bu amaca uygun kullanılıp kullanılmadığı, yurt içi ve yurt dışındaki üçüncü kişilere aktarma yapılıp yapılmadığı hususlarının tespiti ile hukuka aykırılıklar nedeniyle veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 13/02/2020 tarih ve 2020/118 sayılı kararı ile;

  1. İcra Dairelerinin 2004 sayılı İcra ve İflas Kanununun 1 inci maddesinde düzenlenen kanunen yetkili mercilerden olduğu, haciz işleminin, belli bir para alacağının ödenmesini sağlamak için borçluya ait mal ve haklara icra dairesi tarafından el konulması olarak tanımlandığı, haciz işlemlerini, alacaklının haciz istemi üzerine yetkili icra dairelerinin yerine getirdiği, somut olayda, haciz işleminin yetkili İcra Dairesi tarafından gerçekleştirildiği, yine, ilgili kişiye ödeme emrinin tebliğinin İcra Dairesi tarafından 7201 sayılı Tebligat Kanununa göre yapıldığı,
  2. Bu anlamda ilgili kişinin şikâyet başvurusunda belirttiği gibi haksız bir şekilde icra takibine geçildiği, haczin haksız olduğu ve tebligatın Tebligat Kanunu hükümlerine aykırı yapıldığı iddialarının veri sorumlusu tarafından yapılmış işlemlere ilişkin olmadığı, İcra Dairesi tarafından yasal olarak yapılmış işlemler ile ilgili olduğu, veri sorumlusu bankanın icra ve iflas hukuku bağlamında üçüncü kişi konumunda olduğu,
  3. Yine şikâyetçinin başvurusunda belirttiği söz konusu İcra Hukuk Mahkemesinin haciz işleminden sonraki tarihte, tebligatın usulsüz olduğu ve itiraz ile takibin kaldırılması kararı dolayısıyla icra takibinin ve haczin yasal dayanağı olmadığı iddiasının, şikâyet edilen veri sorumlusunun yasal yükümlülüğünden kaynaklanan kiralık kasa bilgisinin paylaşılmasına ilişkin olmadığı, Kurumun görev alanı ve kişisel verilerin korunması mevzuatı kapsamında bulunmadığı,
  4. Öte yandan, 2004 sayılı İcra ve İflas Kanununun "Borçlunun mevcudu hakkında malümat vermek mecburiyeti" başlıklı 367 nci maddesinin "İcra veya İflas dairelerinin borçlunun mevcuduna dair isteyeceği bütün malümatı hakiki ve hükmi her şahıs derhal vermeğe ve talep halinde mevcudu bu dairelere teslime mecburdur." hükmü nedeniyle veri sorumlusunun borçlunun kişisel verilerini İcra Dairesine vermekle yükümlü olduğu, diğer bir ifade ile bankanın, bankacılık işlemleri anlamında ilgili kişinin kişisel verilerini işlediği, bu kapsamda veri sorumlusu sıfatını haiz olduğu ve kişisel veri olan hesap ve kiralık kasa bilgilerini İcra ve İflas Kanununun ilgili hükmü dolayısıyla İcra Dairesine aktardığı,
  5. Aynı Kanunun 89 uncu maddesi uyarınca da malı elinde bulunduran üçüncü şahsın bundan böyle taşınır malı ancak icra dairesine teslim edebileceği, bu çerçevede ve ilgili Kanunun 367 nci maddesi hükmü nedeniyle, somut olayda veri sorumlusunun kiralık kasa bilgilerini icra dairesine aktarmasının ve haciz işlemi yapılmasının Kanunda açıkça öngörülen bir yükümlülük olduğunun anlaşıldığı,
  6. Veri sorumlusunun cevap yazısından, ilgili kişi tarafından öne sürüldüğü şekliyle kiralık kasa bilgisinin veri sorumlusu nezdinde bankacılık ve kişisel verilerin korunması mevzuatına aykırı bir biçimde elde edildiği iddiasına karşılık; alacaklı vekili, icra memuru ve veri sorumlusunun Şube yöneticisi, Operasyon yetkilisi ve diğer personelin ilk kez haciz işlemi sırasında karşılaştığının, alacaklı vekili ve memur tarafından ilgili kişinin Şube nezdinde kiralık kasası olup olmadığının sorulması üzerine sistem üzerinden tespit yapıldığının ve polis nezaretinde kiralık kasanın çilingir marifetiyle açıldığının anlaşıldığı, bu noktada İcra ve İflas Kanununa ve yasal usule uygun hareket edildiği değerlendirilmesi yapılmıştır.

Kurul, bu kapsamda;

  • Tebligat ve icra iflas mevzuatı yönünden inceleme yapıldığında, veri sorumlusu olarak şikâyet edilen bankanın, İcra Dairesince ödeme emrinin tebliğ edilmesi ve kiralık kasaya haciz konulması işlemleri nedeniyle kişisel verilerin korunması mevzuatından kaynaklanan bir sorumluluğunun bulunmadığı ve icra ve iflas hukuku bakımından üçüncü kişi konumunda olduğu,
  • Kişisel veri olan hesap ve kiralık kasa bilgisinin veri sorumlusu nezdinde bankacılık ve kişisel verilerin korunması mevzuatına aykırı bir biçimde elde edildiğini gösteren bir bulguya rastlanılmadığı hususları dikkate alındığında mezkûr iddialarla ilgili olarak Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.
  1. İlgili kişilerin kişisel verileri olan banka hesap hareketlerinin, mevduat bilgilerinin, para yatırma ve çekme işlemlerinin açık rızaları olmaksızın vergi müfettiş yardımcısı tarafından hukuka aykırı olarak işlenmesi" hakkında Kişisel Verileri Koruma Kurulunun 13/02/2020 tarihli ve 2020/120 sayılı Karar Özeti

Kuruma intikal eden şikayet dilekçesinde özetle; ilgili kişilerin çalışmakta olduğu mükellef kurum hakkında Vergi Müfettiş Yardımcısı tarafından yapılmış olan bir vergi incelemesi sonucunda düzenlenen "Vergi Tekniği Raporunda" (Rapor) kendileri ile ilgili bir vergi incelemesi olmamasına rağmen şahıslarına ait kişisel veri olan banka hesap hareketlerinin, mevduat bilgilerinin, para yatırma ve çekme işlemlerinin rızaları olmaksızın hukuka aykırı olarak işlendiği belirtilerek, veri sorumlusu ile ilgili olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir. 

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 13/02/2020 tarih ve 2020/120 sayılı Kararı ile,

  1. 213 sayılı Vergi Usul Kanununun (213 sayılı Kanun) "Vergi Kanunlarının uygulanması ve ispat" başlıklı 3 ncü maddesinin B fıkrasına göre, vergiyi doğuran olay ve bu olaya ilişkin her türlü işlemin yemin dışındaki her türlü delille ispatlanabileceği, olayın özelliğine göre mutat olmayan bir durumun iddia olunması halinde ispat külfetinin iddia edende olduğu
  2. 213 sayılı Kanunun "İncelemeye yetkililer" başlıklı 135 inci maddesine göre vergi incelemesinin; vergi müfettişleri, vergi müfettiş yardımcıları, ilin en büyük mal memuru veya vergi dairesi müdürleri tarafından yapıldığı,
  3. Benzer şekilde, 213 sayılı Kanunun "İncelemede uyulacak esaslar" başlıklı 140 ıncı maddesinin yedinci fıkrası çerçevesinde vergi raporlarının hukuka aykırı olmaması bakımından katı ve çok aşamalı prosedürlerin öngörüldüğü,
  4. Bu kapsamda incelemeye konu edilen yazı bağlamında Kanunun "İstisnalar" başlıklı 28 inci maddesinin (2) numaralı fıkrasının (c) bendinin uygulanıp uygulanmayacağı değerlendirildiğinde kamu kurumu niteliğini haiz Bakanlığın, 213 sayılı Kanunun verdiği yetkiye dayanarak denetleme görevi kapsamında kişisel verileri işlediğinin anlaşıldığı, somut olayda veri işleme şartları bulunmakla birlikte kısmi istisna olarak sayılan Kanunun 28 inci maddesinin (2) numaralı fıkrasının (c) bendinin uygulanacak olması dolayısıyla söz konusu kişisel veri işleme faaliyetleri bakımından Kanunun veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, veri sorumluları siciline kayıt yükümlülüğünü düzenleyen 16 ncı ve zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci maddelerinin uygulama alanı bulmayacağı ancak veri sorumlusunun Kanunun diğer hükümleri ile bağlı olacağı,
  5. Bakanlığın cevabi yazısı ve eki evrakta, üç farklı görevlendirme yazısına istinaden, mükellef kurumun 2012 ila 2016 yılları arası ihracat teslimleri nedeniyle KDV iadesi yönünden incelenmesi sürecinde; mükellef kurumun banka hesaplarında normal hayata ve ticari icaplara uymayan şekilde, banka şubesinden yüklü miktarlarda elden para yatırma işlemlerinin gerçekleştirildiğinin ve bu işlemlerin de mükellef kurumun %100 ortağı olan şahıs tarafından kurumu temsile vekil tayin edilen ilgili kişiler tarafından gerçekleştirildiğinin tespit edilmesi üzerine, 213 sayılı Kanunun 3 üncü maddesi gereğince olayın gerçek mahiyetini ortaya çıkarmak amacıyla, adı geçen kişilerin sadece mükellef kurumun çek ödemesi olarak kullandığı bankalarda bulunan hesaplarının inceleme sürecine dâhil edildiğinin belirtildiği, bu çerçevede, başvuran ilgili kişilerin kişisel verilerinin hukuka ve ölçülülük ilkesine uygun olarak işlendiği,
  6. 213 sayılı Kanunun "Vergi mahremiyeti" başlıklı 5 inci maddesi uyarınca vergi muameleleri ve incelemeleri ile uğraşan memurların görevleri dolayısıyla, mükellefin ve mükellefle ilgili kimselerin şahıslarına, muamele ve hesap durumlarına, işlerine, işletmelerine, servetlerine veya mesleklerine ilişkin olmak üzere öğrendikleri sırları veya gizli kalması lazım gelen diğer hususları ifşa edemeyecekleri ve kendilerinin veya üçüncü şahısların nef'ine kullanamayacakları hususunun hüküm altına alındığı, ayrıca, bahsi geçen yasağın bu kişiler görevlerinden ayrılsalar dahi devam edeceği de aynı hüküm altında vurgulandığı, ilgili düzenlemeden de görüleceği üzere, inceleme kapsamında mükellefle ilgili kimselerin hesap durumlarının elde edilebileceği gibi; bu görevi ifa eden memurların da konuya ilişkin sır saklama yükümlülüğü bulunduğu, başvuran ilgili kişilerin mükellef kurumun %100 ortağı olan kişi tarafından kendilerine vekâlet verilmesi suretiyle şirketi temsile haiz olmaları nedeniyle bu kişilerin "mükellefle ilgili kimseler" kapsamında değerlendirileceği, dolayısıyla, başvuranlara ait kişisel veri olan hesap numaralarının incelemeye konu olabileceği değerlendirilmesi yapılmıştır.

Kurul, bu kapsamda;

  • Vergi Usul Kanunu ve sair mevzuat hükümleri de incelendiğinde, şikâyete konu veri işleme faaliyetinde; vergi incelemesi kapsamında mükellefle ilgili kimselerin hesap durumlarının elde edilebileceği, bu nedenle ilgili kişilerin mükellefin %100 ortağı tarafından kendilerine vekâlet verilmesi suretiyle şirketi temsile haiz olmaları nedeniyle bu kişilerin "mükellefle ilgili kimseler" kapsamında değerlendirilebileceğine, bu noktada tüm mükellef şirket çalışanlarının değil şirketi temsile yetkili kişilerin mükellefin çek ödemesi olarak kullandığı banka hesaplarıyla sınırlı olarak kişisel verilerinin işlenmesinin ölçülülük ilkesine uygun olduğuna, bu çerçevede, Kanunun 28 inci maddesinin (2) numaralı fıkrasının (c) bendi uyarınca yapılan kişisel veri işleme faaliyetinin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (ç) bendi kapsamında veri sorumlusunun hukuki yükümlülüğü çerçevesinde yerine getirildiğine ve şikâyete konu kişisel verilerin açık rıza olmaksızın işlenebileceğine karar verilmiştir.
  1. İlgili kişinin bir kargo şirketine karşı açtığı işe iade davasında, kişisel verisi olan kamera görüntülerinin kargo şirketi tarafından mahkemeye sunulması" hakkında Kişisel Verileri Koruma Kurulunun 25/06/2020 tarihli ve 2020/494 sayılı Karar Özeti

Kuruma intikal eden şikayette; ilgili kişinin veri sorumlusu kargo şirketi nezdinde çalıştığı, iş akdinin sonlandırılmasından sonra açtığı işe iade davasının görülmesi sırasında veri sorumlusunun ilgili kişiye ait kamera görüntülerini mahkemeye sunduğu, kamera görüntülerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında kişisel veri niteliğini haiz olduğu ve Kanunun 5 inci maddesi uyarınca kişisel verilerin ilgili kişinin açık rızası olmadan işlenemeyeceği, bu hususa ilişkin olarak ilgili kişinin bir açık rıza beyanının bulunmadığı, konuya yönelik olarak veri sorumlusuna yapılan başvuruya cevaben veri sorumlusu tarafından ilgili kişinin kişisel verilerinin önceden ilgili kişi tarafından imzalanmış bir bilgilendirme metni kapsamında işlendiğinin belirtilmiş olmasına rağmen kendisinin böyle bir açık rıza beyanının bulunmadığı belirtilerek veri sorumlusu kargo şirketi nezdinde Kanun kapsamında gerekli yaptırımların uygulanarak hukuka aykırı olarak elde edilen kişisel verilerin silinmesi talep edilmiştir. 

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun 25/06/2020 tarihli ve 2020/494 sayılı kararı ile,

  1. Kanunun 5 inci maddesinde kişisel verilerin işlenme şartlarına yer verilmiş olduğu; buna göre maddenin (1) numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinden birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun hükme bağlandığı,
  2. İlgili kişinin Kuruma ilettiği şikayet başvurusundan, bahsi geçen kamera görüntülerinin ilgili kişinin çalışma arkadaşına hakaret içerikli sözlerde bulunarak fiziksel şiddet uygulaması sonucu iş akdinin haklı nedenle feshedildiğine dair delil olmak üzere işveren vekili tarafından mahkemeye sunulduğunun anlaşıldığı, 
  3. Veri sorumlusu tarafından ilgili kişinin başvurusuna cevap olarak iletilen ihtarname örneğinde, ilgili kişinin imzaladığı kişisel veriler hakkında bilgilendirme metni gereğince aktarma merkezinde kamera kaydı alındığına ilişkin olarak ilgili kişiye bilgilendirme yapıldığı, ilgili kişinin imzaladığı bu aydınlatma bildirimine göre veri sorumlusunca kamera kayıtlarının hukuken geçerli sebeplere dayanılarak işlendiği ve Kanunun 5 inci maddesinin (2) numaralı fıkrasının (e) bendindeki; "Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması" hukuki sebebi uyarınca taraflar arasında görülen işe iade davasında, iş akdinin haklı nedenle fesih sebebinin kanıtlanması amacıyla mahkemeye sunulduğunun açıklandığı,
  4. İlgili kişinin veri sorumlusu kargo şirketi tarafından açık rızası alınmaksızın kamera kaydının alındığı iddiası karşısında; veri sorumlusunun daha önceden, ilgili kişinin imzaladığı kişisel veriler hakkında bilgilendirme metni gereğince aktarma merkezinde kamera kaydı alındığına ilişkin olarak ilgili kişiye bilgilendirme yapıldığı, ilgili kişinin imzaladığı bu aydınlatma bildirimine göre veri sorumlusunca kamera kayıtlarının hukuken geçerli sebeplere dayanılarak işlendiği" beyanı çerçevesinde değerlendirme yapıldığında; veri sorumlusunun ilgili kişinin açık rızasının alındığını tevsik edici belgeyi sunmadığı,  ancak veri sorumlusunun kargo şirketi olduğu göz önüne alındığında; Bilgi Teknolojileri ve İletişim Kurulunun 2016/DK – YED/517 sayılı kararı ile onaylanan "Posta Gönderilerine İlişkin Güvenlik Tedbirlerine Yönelik Usul ve Esaslar" düzenlemesinin "Posta gönderilerinin görüntüleme cihazları ile kontrolü" başlıklı 6 ncı maddesinin ikinci fıkrasında yer alan, "Hizmet sağlayıcılarının posta gönderilerini kabul merkezlerinde kamera sistemi kurularak kayıtlar, gerektiğinde ilgili mercilere sunulmak üzere en az bir (1) ay süreyle saklanır." hükmü gereğince veri sorumlusu kargo şirketinin, Kanunun 5 inci maddesinin ikinci fıkrasının (a) bendinde yer alan; "Kanunlarda açıkça öngörülmesi" hukuki sebebine uygun olarak işleme yaptığı değerlendirmelerinden hareketle, söz konusu şikayet ile ilgili olarak Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.  
  5. Veri sorumlusu bir havayolu şirketi tarafından ilgili kişiye ait çağrı merkezi görüşme kayıtlarının transkriptinin teslim edilmemesi" hakkında Kişisel Verileri Koruma Kurulunun 30/06/2020 tarihli ve 2020/504 sayılı Karar Özeti

Kuruma intikal eden şikâyette özetle; ilgili kişinin veri sorumlusu bir havayolu şirketinin çağrı merkezi ile gerçekleştirdiği görüşmeye ait olan ses kaydının 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 3 üncü maddesinin (d) bendi gereğince yazıya dökülmesi suretiyle bir nüshasının tarafına yazılı yahut e-posta yolu ile iletilmesinin istendiği, veri sorumlusu tarafından söz konusu talebin "ilgili ses kayıtlarının talebi şirket prosedürleri gereği yalnızca yasal merciler tarafından iletilmesi durumunda mümkün olduğu" gerekçesi ile reddedildiği, ancak Kanuna göre gerçek kişiye ait olan, gerçek kişiyi belirlenebilir kılan her türlü bilginin kişisel veri olduğu, ilgili kişiye ait olan ses kaydının da kişisel veri niteliğini haiz olduğu belirtilerek ilgili kişi tarafından talebini reddeden veri sorumlusunun Kanunun 13 üncü maddesi anlamında veri ihlaline sebep olduğu gerekçesiyle cezalandırılması ve ilgili görüşme kaydının kendisine teslim edilmesi talep edilmiştir.

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 30/06/2020 tarihli ve 2020/504 sayılı Kararı ile,

  1. Bu hakkın; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsadığı,
  2. Bu anlamda bireylerin, hangi amaçla hangi kişisel verilerinin kullanıldığını öğrenme hakkına sahip olduğu gibi söz konusu kişisel verilerde herhangi bir yanlışlık bulunması halinde bu durumun düzeltilmesini ya da verilerinin silinmesini isteme hakkına da sahip olduğu,
  3. Kanunun 11 inci maddesinin birinci fıkrasının (b) bendi hükmü kapsamında ilgili kişinin, kendisiyle ilgili kişisel veriler işlenmişse buna ilişkin bilgi talep etme hakkının, söz konusu veriye erişim hakkını da kapsadığı, erişim hakkının, bilgi talep etme hakkını tamamlayarak ilgili kişinin, kişisel verileri üzerindeki haklarını kullanabilmesi için, kişisel verilerinin ne şekilde işlendiğine dair tam olarak bilgi sahibi olmasına imkân sağladığı,
  4. Ancak bu hakkın, kişisel verilerin işlendiği veri kayıt sisteminin/kayıt ortamının doğrudan kendisine erişimini, bu kayıt ortamının kendisinin ilgili kişiye teslimini veya doğrudan verinin kendisinin "elde edilme"sini değil; veri sorumlusunun veri güvenliğine ilişkin yükümlülükleri de dikkate alınarak, işlenen kişisel verilerin, teknik/fiziki imkânların el verdiği ölçüde ve verinin muhtevasına/içeriğine ilgili kişi tarafından makul bir şekilde ulaşılabilmesine imkân tanınmasını kapsadığı,
  5. Ayrıca veri sorumlusu tarafından gönderilen evraklar içerisinde Operasyon Birimine hitaben yazılan ve Kanun kapsamında yeni süreçte Çağrı Merkezi ile yapılan görüşmelere ilişkin kayıt talep eden misafirlere, görüşmenin transkriptinin dokümanda belirtilen hususlara bağlı kalınması suretiyle paylaşılması talimatını içeren e-postaya da yer verildiği değerlendirilmesi yapılmıştır.

Kurul, bu bağlamda;

  • İlgili kişinin kişisel verilerinin veri sorumlusu havayolu şirketi tarafından temin edilmesinin hukuka uygun olduğu,
  • İlgili kişinin kişisel verilerinin veri sorumlusu havayolu şirketi tarafından temin

edilmesinin hukuka uygun olduğu,

  • Somut olayla benzerlik arz eden bir konuya ilişkin olarak alınan ve 13.03.2020 tarihinde Kurum internet sitesinde yayımlanan 14.01.2020 tarih ve 2020/13 sayılı Kurul Karar özeti dikkate alınarak veri sorumlusu tarafından ilgili kişinin talebi doğrultusunda ses kaydına ait transkriptin hâlihazırda gönderildiği,
  • Veri sorumlusu bünyesindeki birimlerin, uygulamada artık ilgili kişilerin Kanuni talepleri doğrultusunda hareket edilmesi hususunda bilgilendirildiği hususlarını göz önüne alındığında veri sorumlusu hakkında yapılacak bir işlem bulunmadığına karar vermiştir.
  1. Ölenin sağlık verisinin yasal mirasçısı tarafından talep edilmesi" hakkında Kişisel Verileri Koruma Kurulunun 30/06/2020 tarihli ve 2020/507 Sayılı Karar Özeti

Kuruma intikal eden şikayette; ilgili kişinin vefat eden babasının mirasçısı olduğunu gösterir mirasçılık belgesi ile Kişisel Sağlık Verileri Hakkında Yönetmeliğin 11 inci maddesi uyarınca babasına ait kayıtlı her türlü sağlık verisinin tarafına iletilmesini ilgili kamu kurumundan talep ettiği fakat talebinin 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 8 inci maddesi ile 5502 sayılı Sosyal Güvenlik Kurumu Kanununun 35 inci maddesinin beşinci fıkrası dayanak gösterilerek ve 4721 sayılı Türk Medeni Kanununa ilişkin sükna hakkı, intifa hakkı ve nafaka alacağının devredilmediği belirtilerek reddedildiği, ancak bu hususların talebi ile hiçbir ilgisinin olmadığı, ölen kişinin verisinin mirasçısına verilmesi ile ilgili açık mevzuat olmadığı sürece, idarenin emsal yolu ile sınırlama getirmesinin hukuka aykırı olduğu, kişinin tıbben ve hukuken ölümüyle gerçek kişiliğinin sona ermesi ile birlikte, ölenin sağlığında sahip olduğu tüm mal varlığı, hukuki hakları, borçları ve yükümlülüklerinin mirası reddetmemiş mirasçılara geçtiği, hukuki varlığı sona eren ölen bir kişinin 6698 sayılı Kanuna dayanılarak gerçek kişi ve ilgili kişi kavramları ile ilişkilendirilmesinin fiilen ve hukuken söz konusu olmadığı, Kişisel Sağlık Verileri Hakkında Yönetmeliğin 11 inci maddesi göz önüne alındığında verilerin sadece yargı yolu ile alınması gerektiğine ilişkin açık bir düzenleme, yöntem ya da kısıtlama bulunmadığı,  veri sorumlusu kamu kurumu tarafından verilen yanıtta Kişisel Sağlık Verileri Hakkında Yönetmeliğin yalnızca Sağlık Bakanlığını bağladığının ifade edildiği ancak, bir yönetmeliğin yalnızca onu çıkaran Bakanlığı bağlayabileceğinin düşünülemeyeceği, bu yönetmeliğin vatandaşı doğrudan ilgilendiren ve idarenin uygulaması gereken açık bir düzenleme olduğu hususları belirtilerek söz konusu verilerin tarafına verilmesi talep edilmiştir. 

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun 30/06/2020 tarihli ve 2020/507 sayılı Kararı ile,

  1. Kanunun gerekçesinde; sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgilerin değil, aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgilerin de bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade ettiğinden kişisel veri olarak tanımlandığı, diğer bir ifadeyle,  kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıyan veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsadığı, bu sebeple, isim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi verilerin dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel veriler olarak değerlendirildiği,
  2. Söz konusu olaya benzer nitelikte bir başvuruya ilişkin olarak Kişisel Verileri Koruma Kurulunun vermiş olduğu 18/09/2019 tarih ve 2019/273 sayılı Kararı ile; 
    "...
    -6698 sayılı Kişisel Verilerin Korunması Kanununun 3 üncü maddesinde ilgili kişinin "kişisel verileri işlenen gerçek kişi" olarak tanımlandığı, 4721 sayılı Türk Medeni Kanununun 28 inci maddesinde ise kişiliğin çocuğun sağ olarak tamamıyla doğduğu ve ölümle sona erdiği hükmüne yer verildiği dikkate alındığında başvuranın vefat eden eşine ilişkin kayıtları veri sorumlusundan talep etmesinin 6698 sayılı Kanunda yer alan ilgili kişi tanımı kapsamında değerlendirilemeyeceğine,
    -Öte yandan 21.06.2019 tarihli ve 30808 sayılı Resmi Gazete'de yayımlanarak yürürlüğe giren Kişisel Sağlık Verileri Hakkında Yönetmeliğin,  "Ölünün sağlık verilerine erişim" başlıklı 11 inci maddesinin 1 inci fıkrasında "Ölmüş bir kimsenin sağlık verilerini almaya, veraset ilamını ibraz etmek suretiyle murisin yasal mirasçıları münferit olarak yetkilidir" hükmü kapsamında ... vefat eden eşi ... yasal mirasçısı olarak söz konusu verileri Kişisel Sağlık Verileri Hakkında Yönetmelik kapsamında adı geçen klinikten talep edebileceği hususunda başvuru sahibinin bilgilendirilmesine...karar verilmiştir."     değerlendirmesi yapılmıştır.

Kurul, bu kapsamda;

  • İlgili kişinin vefat eden babasının yasal mirasçısı olarak söz konusu verileri Kişisel Sağlık Verileri Hakkında Yönetmelik kapsamında talep edebileceğine ancak Kuruma yapmış olduğu başvurunun Kanun kapsamında değerlendirilemeyeceğine karar vermiştir.
  1. İlgili kişinin, bilet satın almamasına karşın bir havayolu şirketinden uçak bileti satın aldığına dair SMS alması" hakkında Kişisel Verileri Koruma Kurulunun 11/08/2020 tarihli ve 2020/608 sayılı Karar Özeti

Kuruma intikal eden şikâyet dilekçesinde özetle; ilgili kişinin 05********4 numaralı cep telefonuna 01.07.2019 tarihinde bir Havayolu Şirketi tarafından Umman'dan İzmir aktarmalı İstanbul'a uçak bileti satın alındığına dair bir SMS gönderildiği, ilgili kişinin mesajı görür görmez veri sorumlusunu aradığı ancak görüşme sağlayamadığı, bunun üzerine çevrimiçi şikâyet formu doldurduğu, bu başvurusunu müteakiben veri sorumlusu tarafından aranarak belirtilen biletin iptal edildiğinin kendisine söylendiği, ilgili kişinin bunun üzerine adını ve cep telefonu numarasını kullanarak kimin söz konusu uçak biletini satın aldığının tarafına yazılı olarak bildirilmesini talep ettiği ancak herhangi bir yanıt alamadığı belirtilmiş olup veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 11/08/2020 tarihli ve 2020/608 sayılı Kararı ile; 

  1. Söz konusu bilgi ve belgelerin incelenmesi neticesinde, veri sorumlusu kanalları üzerinden bilet almakta olan 05*******2 telefon numarasının kullanıcısı gerçek kişinin satın aldığı biletle ilişkili olarak ilgili kişiye ait 05********4 telefon numarasını veri sorumlusu ile paylaştığının anlaşıldığı, bu kapsamda veri sorumlusunun müşterilerine alınan biletlere ilişkin SMS hizmeti sunarken başka bir telefon numarasına SMS gönderilmesi seçeneği de sunduğu görülmüş olup alınan bilete ilişkin müşteri bilgilerinin ilgili kişiye ait olmadığı değerlendirmesi yapılmıştır.

Kurul, bu kapsamda;

  • Veri sorumlusu tarafından ilgili kişinin iletişim bilgilerinin başka bir kullanıcı tarafından sisteme girilmesi suretiyle ve kastı bulunmaksızın işlendiği; ayrıca söz konusu manuel veri girişlerine cevaz veren sisteme girilen telefon numaralarının kime ait olduğunun belirlenmesine ilişkin sistemsel bir eşleştirme yahut veri tabanı bulunmadığı dikkate alındığında Kanunun 12 nci maddesinde yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alma yükümlülüğünü ihlal ettiği yönünde bir tespitte bulunulamadığından konuya ilişkin Kanun kapsamında tesis edilecek bir işlem olmadığına,
  • İlgili kişiler tarafından Kanun çerçevesinde yapılan başvurulara süresi içinde ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe uygun bir şekilde cevap vermesi hususunda veri sorumlusunun talimatlandırılmasına karar vermiştir.
  1. Bankaya olan borcundan dolayı ilgili kişinin yakınına Bankanın sözleşmeli avukatı tarafından ilgili kişinin borç bilgisinin iletilmesi" hakkında Kişisel Verileri Koruma Kurulunun 09/02/2021 tarihli ve 2021/115 sayılı Karar Özeti

Kuruma intikal eden şikâyette ilgili kişi tarafından, Bankaya olan borcu sebebiyle kız kardeşinin cep telefonu numarasının Bankanın sözleşmeli avukatı tarafından aranması ve cep telefonu numarasına SMS gönderilmesi suretiyle kişisel verisinin avukat tarafından hukuka aykırı olarak paylaşıldığı belirtilerek, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 09/02/2021 tarihli ve 2021/115 sayılı Kararı ile,

  1. İlgili kişinin kız kardeşine ait olan numarayı asla iletişim numarası olarak kullanmadığı şeklindeki iddiasına ilişkin olarak Bankanın müşterilerinin sistemlerinde kayıtlı olan iletişim numarasından farklı bir numara ile aramaları durumunda ilgili numaranın sistemlerine alternatif numara olarak kaydedildiği, müşterilerin ödemelerinin gecikmesi durumunda, müşterilerine sistemde kayıtlı numaralarından ulaşılamadığında, alternatif numaralar aranarak, hiçbir kişisel bilgi paylaşılmaksızın müşterilerinin Bankayı araması hususunda not bırakıldığı savunması ve Kanunun 3 üncü maddesinde unsurları belirtilen açık rızanın kişinin sahip olduğu verinin işlenmesine, kendi isteği ile hukuka uygun şekilde onay vermesi anlamını taşıdığı dikkate alındığında ilgili kişinin kız kardeşine ait olan telefon numarasının Bankanın sistemlerine kayıt edilmesi işleminin ilgili kişinin açık rızasına dayanılarak yapıldığı sonucuna varılamayacağı, diğer taraftan Kanunun 5 inci maddesinde yer alan diğer işleme şartlarından birine dayanılarak da yapılmadığı, bu kapsamda, ilgili kişinin kız kardeşine ait telefon numarasının Banka tarafından hukuka aykırı olarak işlendiğinin değerlendirildiği,
  2. Bankanın alacaklarının borçlu müşteriler aleyhinde icra takibine geçilmeden müşterilerle uzlaşarak tahsil edilebilmesi amacıyla icra takibi öncesinde tahsilat hizmeti aldığı ve kişisel verileri aralarında sözleşme imzaladıkları hukuk bürolarına aktardığını ifade ettiği; bu çerçevede, Bankanın müşterilerine ilişkin kişisel verileri hukuk bürolarına aktarmasının Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan "Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması" veya (e) bendinde yer alan "Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması" çerçevesinde olduğu; dolayısıyla Bankanın alacaklarının borçlu müşterilerden tahsilini sağlamak üzere Avukata hukuka uygun şekilde erişim yetkisi verildiğinin değerlendirildiği; ancak Kanun hükümleri gereğince açık rıza aranmaksızın işlenecek kişisel verilerin borçluya ait olması gerektiği, bu kapsamda somut olayda Banka ile bağı olmayan ve bahse konu icra işlemine konu kişisel verisi bulunmayan ilgili kişinin kız kardeşinin cep telefonu numarasına erişim yetkisi verildiğinin anlaşıldığı, ancak Bankanın kendi bünyesinde oluşturduğu Yasal Takip Sisteminde yer alan ilgili kişinin kişisel verileri haricinde kız kardeşinin telefon numarasını Avukat ile paylaşmasının Kanun kapsamında gerçekleştirilebilecek bir kişisel veri işleme faaliyeti olmadığı ve hukuka aykırı olduğunun değerlendirildiği, bu durumun Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine aykırılık teşkil ettiği kanaatine varıldığı,
  3. Avukatın söz konusu Yasal Takip Sisteminde "diğer telefonu" olarak kayıtlı olan telefon numarasının ilgili kişinin kız kardeşinin telefon numarası olup olmadığını ilk anda bilecek durumda olmadığı, zira sistemde bu telefon numarasının ilgili kişi haricinde kime ait olduğunun belirtilmediği, ilgili kişinin kız kardeşine sırasıyla 01.07.2019, 18.09.2019, 19.09.2020 ve 13.11.2019 tarihinde SMS'ler gönderildiği, 21.11.2019 tarihinde otomatik aramanın gittiği ve ilk otomatik arama sonrasında numaranın ilgili kişiye ait olmadığının anlaşıldığı ve veri sorumlusuna konu hakkında bilgi verilerek numaranın kayıtlardan çıkarıldığı değerlendirilmesi yapılmıştır.

Kurul, bu kapsamda;

  • Banka tarafından ilgili kişinin kız kardeşinin cep telefonu numarasının Yasal Takip Sistemine kaydedilmesi işleminin ilgili kişinin açık rızasının alınması şartına dayanılarak yapılmadığı anlaşıldığından söz konusu kişisel verinin elde edilmesinin Kanunun 5 inci maddesine aykırı olduğu; diğer taraftan Bankanın söz konusu kişisel veriyi elde etmesinin akabinde kendi bünyesinde oluşturduğu Yasal Takip Sisteminde yer alan ilgili kişinin kişisel verileri haricinde kız kardeşinin telefon numarasını Avukat ile paylaşmasının hukuka aykırı olduğu değerlendirilmekte olup, bu durumun Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine aykırılık teşkil ettiği kanaatine varıldığından Banka hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 175.000 TL idari para cezası uygulanmasına,
  • Avukatın söz konusu Yasal Takip Sisteminde "diğer telefonu" olarak kayıtlı olan telefon numarasının ilgili kişinin kız kardeşinin telefon numarası olup olmadığını ilk anda bilecek durumda olmadığı, zira sistemde bu telefon numarasının ilgili kişi haricinde kime ait olduğunun belirtilmediği, ilgili kişinin kız kardeşine sırasıyla 01.07.2019, 18.09.2019, 19.09.2020 ve 13.11.2019 tarihinde SMS'ler gönderildiği, 21.11.2019 tarihinde otomatik aramanın gittiği ve ilk otomatik arama sonrasında numaranın ilgili kişiye ait olmadığının anlaşıldığı ve veri sorumlusuna konu hakkında bilgi verilerek numaranın kayıtlardan çıkarıldığı dikkate alındığında avukat hakkında yapılacak bir işlem olmadığına karar vermiştir.

Originally published 29 March 2021

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.