KİŞİSEL VERİLERİ KORUMA KURULU KARARLARINA GENEL BAKIŞ

  • Kişisel Verileri Koruma Kurulu Nedir?

7 Nisan 2016 tarihinde 29677 Sayılı Resmi Gazete ile yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında; KVKK ile verilen görevleri yerine getirmek üzere, idari ve mali özerkliğe sahip ve kamu tüzel kişiliğini haiz Kişisel Verileri Koruma Kurumu (“Kurum”) kurulmuştur. Kişisel Verileri Koruma Kurulu (“Kurul”) ise; KVKK ile düzenlenen yükümlülük ve yaptırımları bağımsız olarak uygulayan ve KVKK uygulamalarına ilişkin emsal kararlar ile yönlendirmeler yapan ve görevleri arasında;

  • Kişisel verilerin temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak,
  • Kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin şikayetlerini karara bağlamak,
  • Şikayet üzerine veya ihlal iddiasını öğrenmesi durumunda re’sen görev alanına giren konularda kişisel verilerin kanunlara uygun olarak işlenip işlenmediğini incelemek ve gerektiğinde bu konuda geçici önlemler almak,
  • Özel nitelikli kişisel verilerin işlenmesi için aranan yeterli önlemleri belirlemek,
  • Veri Sorumluları Sicilinin tutulmasını sağlamak.
  • Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli düzenleyici işlemleri yapmak.
  • Veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak.
  • Veri sorumlusunun ve temsilcisinin görev, yetki ve sorumluluklarına ilişkin düzenleyici işlem yapmak.
  • Bu Kanunda öngörülen idari yaptırımlara karar vermek.
  • Diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere ilişkin hüküm içeren mevzuat taslakları hakkında görüş bildirmek.
  • Kurumun; stratejik planını karara bağlamak, amaç ve hedeflerini, hizmet kalite standartlarını ve performans kriterlerini belirlemek.
  • Kurumun stratejik planı ile amaç ve hedeflerine uygun olarak hazırlanan bütçe teklifini görüşmek ve karara bağlamak.
  • Kurumun performansı, mali durumu, yıllık faaliyetleri ve ihtiyaç duyulan konular hakkında hazırlanan rapor taslaklarını onaylamak ve yayımlamak.
  • Taşınmaz alımı, satımı ve kiralanması konularındaki önerileri görüşüp karara bağlamak.
  • Kanunlarla verilen diğer görevleri yerine getirmektir.

Bu görevler kapsamında kısaca özetlenecek olursa Kurul; kişisel verilerin kanunlara uygun şekilde işlenmesini sağlamakla görevli olan ve uygunsuz veri işleme, hak ihlalleri, özel nitelikli kişisel verilerin işlenmesi, alınması gereken önlemler, Veri Sorumluları Sicili (“VERBİS”), veri güvenliği, veri sorumlusunun ve temsilcisinin görev, yetki ve sorumlulukları gibi kişisel veri işleyen tüm gerçek ve tüzel kişilere hem yol gösteren hem de denetleyen ve bu kişilerin gerçekleştireceği muhtemel ihlallerde cezai yaptırım kararı alma yetkisi bulunan KVKK organıdır.

 

  • Kişisel Verileri Koruma Kurulu Emsal Kararları

 

  • 26.11.2019 Tarih 2019/353 Sayılı Kurul Kararı ile dernek, vakıf ve sendikalar tarafından bağış yapılan kişilere ilişkin kişisel verilerin VERBİS’e kayıt zorunluluğu olmadığı ve istisna kapsamında değerlendirileceği karara bağlanmıştır.

 

Bilindiği üzere KVKK 16.maddesi ikinci fıkrasında; “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce VERBİS’e kayıt olmak zorundadır.” “Ancak Kurulca belirlenecek bir takım objektif kriterler göz önüne alınmak sureti ile, Kurul tarafından, VERBİS zorunluluğuna istisna getirilebilecektir.” hükmü yer almaktadır. Bu kapsamda Kurul tarafından; 2018/32 sayılı Kurul kararı ile “04/11/2004 tarihli ve 5253 sayılı Dernekler Kanununa göre kurulmuş derneklerden, 20/02/2008 tarihli ve 5737 sayılı Vakıflar Kanununa göre kurulmuş vakıflardan ve 18/10/2012 tarihli 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler” VERBİS’e kayıt zorunluluğu kapsamına alınmamış ve istisnaya tabi tutulmuştur. İnceliyor olduğumuz 2019/353 sayılı Karar ile de Kurul; dernek, vakıf ve sendikalar tarafından “kendisine bağış yapılanlar” a ilişkin kişisel verilerin bu istisna kapsamında yorumlanması gerektiğine kanaat getirmiştir.

 

(NOT: Bu noktada dikkat çekmek isteriz ki; KVKK kapsamında Kurul tarafından belirlenen istisnalardan en çok bilineni, 50’nin üzerinde çalışanı bulunan ve yıllık mali bilanço toplamı 25 Milyon Türk Lirası ve üzerinde bulunan ticari işletmelerin VERBİS’e kayıt yükümlülüğü olduğudur. Bu istisna aynı yukarıda anlatılan kararda olduğu gibi Veri Sorumluları Sicili’ne (VERBİS) kayıt zorunluluğuna ilişkin getirilen istisnalardandır. Ancak, bu durum çoğu gerçek ve tüzel kişi tarafından KVKK’dan istisna olunduğu şeklinde yorumlanmaktadır. Bu yorum yanlıştır. Türkiye’de yerleşik tüm gerçek ve tüzel kişiler Kişisel Verilerin Korunması Kanunu’na uygun hareket etmek ve KVKK’dan doğan yükümlülüklerini yerine getirmek zorundadır.)

 

  • 07.11.2019 Tarih 2019/332 Sayılı Kurul Kararı ile; bir Doktor tarafından kişinin açık rızası olmaksızın cep telefonuna bilgilendirme/reklam amaçlı mesaj gönderilmesi üzerine Kurul doktora 50.000,00TL idari para cezası uygulamıştır.

 

Bilindiği üzere KVKK 5.maddesinin birinci fıkrası uyarınca bir kişinin açık rızası olmaksızın kişisel verilerinin işlenmesi, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından biri yok ise KVKK ile yasaklanmıştır. Somut durumda, bir Doktor tarafından hastası olmayan üçüncü kişiye “herhangi bir işleme şartı olmaksızın cep telefonuna reklam amaçlı mesaj gönderilmesi suretiyle kişisel verilerin işlenmesi” nedeniyle 50.000,00-TL idari para cezası uygulanmıştır. Bu sebeple; reklam amaçlı olarak üçüncü kişiler ile elektronik posta, cep telefonu mesajı veya arama yolu ile iletişime geçilmesi durumlarında, bu kişilerin kendisine

 

ait cep telefonu numarası, adı- soyadı, adres bilgileri, cinsiyeti gibi kişisel verilerinin üçüncü kişiler ile paylaşılmasına dair açık rızasının olduğundan emin olunmalıdır. Aksi halde idari para cezasına maruz kalınabilecektir.

 

  • 07.11.2019 Tarih 2019/331 Sayılı Kurul Kararı ile; şikayette bulunan kişi tarafından alenileştirilmiş olsa da alenileştirilme amacı dışında cep telefonu numarasının işlenmesi üzerine ihlalde bulunan şirkete 100.000,00TL idari para cezası uygulanmıştır.

 

İncelemede bulunduğumuz somut durumda bir kişi profesyonel çalışma alanına ilişkin (avukat, doktor, diş hekimi, psikolog, diyetisyen ve sair) olarak kendisine ulaşılmasını sağlamak üzere cep telefonu numarası ve isim-soy isim bilgilerini internet sitesinde herkesin kullanımına

 

sunmak üzere alenileştirmiştir. Ancak bir sigorta şirketi tarafından aranan bu kişi, Kurula şikayette bulunmuş ve kendisi tarafından alenileştirilen bilgilerin profesyonel çalışma alanına ilişkin aramalar için kullanılması amacı ile alenileştirildiğini ve kendisinin bir sigorta şirketi tarafından reklam ve satış amaçlı arandığını belirterek; sigorta şirketi aleyhine Kurula şikayette bulunmuştur. Bunun üzerine Kurul, sigorta şirketi tarafından yapılan eylemin KVKK 5. Maddesinin ikinci fıkrası kapsamında değerlendirilmeyeceğini ve ihlal ortaya çıktığını belirterek ilgili sigorta şirketine 100.000,00-TL idari para cezası yaptırım uygulamıştır. Bu durumda Kurul’un alenileştirilen kişisel verilere ilişkin tutumunun da alenileştirme amacı ile sınırlı olarak yorumlandığı sonucuna ulaşılabilecektir.

 

  • 27.08.2019 Tarih ve 2019/255 Sayılı Kurul Kararı ile; siber saldırıya uğrayan bir turizm şirketine; kişisel verilerin siber saldırı sonucu da olsa ihlal edilmesi sebebi ile 400.000,00TL ve en kısa sürede cevap verilmediği için ise ayrıca 100.000,00-TL idari para cezası uygulanmasına karar verilmiştir. 

 

Bir turizm şirketine Local Area Network (LAN) ağları üzerinden yapılan siber saldırı sonucunda, şirket bilgisayarlarına ve bu bilgisayarda bulunan; personel verileri ve müşteri verilerine şirket bünyesinde bulunmayan üçüncü bir kişi tarafından erişim sağlanmasının önüne geçilememiş olması sebebi ile; KVKK 12. Maddesinin birinci fıkrasında yer alan; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak” hükümleri çerçevesinde veri güvenliğini sağlamaya yönelik gerekli tedbirlerin turizm şirketi tarafından alınmadığı gerekçesi ile 400.000,00-TL ve şirket tarafından bu ihlalin (siber saldırının) tespit edildiği esnada en kısa sürede Kurum’a bildirim yapılmadığı gerekçesi ile bildirimde bulunma yükümlülüğüne aykırı hareket etmesi nedeniyle 100.000,00-TL idari para cezası uygulanmasına karar verilmiştir. Bu sebeple; tarafınızca işlenen kişisel verilerin güvenli bir şekilde işlenmesi ve güvenli ortamda saklanması için gerekli her türlü önlemin alındığından ve herhangi bir siber saldırıya maruz kalındığında kişisel verilerin yasa dışı yollarda işlenebileceği düşüncesi ile derhal Kuruma haber verildiğinden emin olmakta fayda vardır.

 

  • 26.07.2018 Tarih ve 2018/90 Sayılı Kurul Kararı ile; veri sorumlusu tarafından aydınlatma yükümlülüğü ve açık rıza onayı alınması süreçlerinin ayrı ayrı yerine getirilmesi gerektiği mütalaa edilmiştir.

 

Kurul tarafından verilen karar kapsamında, veri sorumlusu tarafından aydınlatma yükümlülüğünün yerine getirilmesinin herhangi bir onaya bağlı olmadığı, aydınlatma yükümlülüğünün yerine getirilmesindeki amacın kişisel verilerin işlenmesi noktasında ilgili kişinin bilgi sahibi olmasının temin edilmesi olduğu ancak açık rıza almakta ki amacın; kişinin kişisel verilerinin işlenmesinin hukuki bir gerekçeye dayandırılması olduğundan bahisle; kişilerin aydınlatma metninde yer alan yazılara açık rıza vermek zorunda olmadığı mütalaa edilmiştir.

 

  • Açık Rızanın Hizmet Şartına Bağlanması

Kurul tarafından 02.08.2018 tarihinde yayımlanan ve herhangi bir şikayet sonucu oluşturulmamış bir kararda ise; veri sorumlusu tarafından KVKK 5.maddesi ikinci fıkrası kapsamında sözleşmenin taraflarına ait kişisel veri işlenmesi durumunda ayrıca açık rıza alması ve açık rızayı üyeliğin ve hizmetin dolayısıyla sözleşmenin bir koşulu olarak dayatmasının; a) diğer kişisel veri işleme şartlarının varlığı durumunda açık rıza alınmasının ilgili kişinin yanıltılması ve yanlış yönlendirilmesi dolayısıyla veri sorumlusunca hakkın kötüye kullanılması anlamına geleceği ve b) hizmetin açık rıza şartına bağlanmış olmasının açık rızayı sakatlayacağı dikkate alınarak bunu yapan veri sorumlularına idari yaptırım uygulanmasına karar verilmiştir. Bu kapsamda; kişilerin herhangi bir hizmet veya üyelik sözleşmesinde kişisel verilerinin işlenmesi konusunda açık rıza verme zorunluluğu olmadığı hususuna dikkat çekmek gerekir. Hizmetin veya üyeliğin kişisel verilerin işlenebileceği hususunda açık rıza şartına bağlanması durumunda bu veri işleyen açısından ihlal teşkil edecektir.

 

  • Sonuç ve Değerlendirme

Görüldüğü üzere; Kişisel Verileri Koruma Kurulu tarafından incelemeler ve buna bağlı olarak yaptırım uygulamaları yaklaşık iki yıl önce başlamış ve şu an için Kurul’a yapılan şikayetler neticesinde onlarca karar verilmiştir. KVKK kapsamında Kurum’a tanınan yaptırım haklarından yalnızca biri olan, idari para cezası uygulaması hali hazırda başlamış ve bu para cezalarının 25 Bin Türk Lirası ile 1 Milyon Türk Lirası arasında olabileceği düzenlenmiştir. Henüz idari para cezası uygulanıyor olsa da Kurul tarafından diğer idari yaptırımların uygulanması da mümkündür.

Bu sebeplerle Kişisel Verilerin Korunması Kanunu’na ve Kurul kararlarına uygun hareket edilmeli; hem şahsımız hem de ticari işletmemiz için ek külfet doğuracak bu tür idari yaptırımlardan kaçınılmalıdır.

 

Av. Süleyman Tolga Çelik

Leave A Reply