Kişisel Verilerin Korunması Kanunu (“Kanun”) 7 Nisan 2016
tarih ve 29677 sayılı Resmî Gazetede yayımlanarak yürürlüğe girmiştir. Kanun
ile kişisel verilerin işlenmesinde uyulması gerekli usul ve esaslara ilişkin
olarak veri sorumlularına birtakım yükümlülükler getirilmiştir.
Kişisel Verileri Koruma Kurumu (“Kurum”) veri sorumlularının yükümlülüklerini ve uyacakları usul ve esasları vurgulamak amacıyla 27.12.2023 tarihinde yeni karar özetlerini internet sitesinde yayımlamıştır. Kurulun vermiş olduğu bu güncel kararlar kurumların KVKK politikalarının revize edilmesinde önem arz etmekte olup karar özetlerine aşağıda yer verilmiştir.
1. Kişisel Veri Güvenliğinin Sağlanması Amacıyla Uygun
Güvenlik Düzeyini Temin Etmeye Yönelik Gerekli İdari ve Teknik Tedbirlerin
Alınması
Kanunun 12. maddesi uyarınca
veri sorumlularının kişisel verilerin hukuka aykırı olarak işlenmesini
önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel
verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye
yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda oldukları
hüküm altına alınmıştır.
Kişisel verilerin güvenliğinin sağlanması için öncelikle veri
sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu
verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme
olasılığının belirlenmesi gerekmektedir.
Bu riskler belirlenirken;
•Kişisel verilerin özel nitelikli veri olup olmadığı
•Mahiyeti gereği hangi derecede gizlilik seviyesi
gerektirdiği
•Güvenlik ihlali nedeniyle ilgili kişi bakımından ortaya
çıkabilecek zararın niteliği ve niceliği belirlenmelidir.
Risklerin belirlenmesinin ardından; söz konusu risklerin
azaltılması veya ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri
ortaya konulmalıdır. [1]
Bu kapsamda kurumların kişisel veri, veri güvenliği,
verilerin korunması için kullanılan sistemler gibi konularda çalışanlarına
eğitim vermesi şarttır. Zira kişisel verilerin hukuka aykırı olarak açıklanması
ya da paylaşılması gibi durumlarda bilgileri dahilinde ilk müdahaleyi yapacak
olan kişiler çalışanlar olacaktır. Dolayısıyla Veri sorumlusu nezdinde çalışan
herkesin hangi konumda çalıştığına bakılmaksızın kişisel veri güvenliğine
ilişkin rol ve sorumlulukları, görev tanımlarında belirlenmeli ve çalışanların
bu konudaki rol ve sorumluluğunun farkında olması sağlanmalıdır.
Kişisel Verileri Koruma Kurulunun 18/05/2023 Tarihli ve
2023/845 Sayılı Kararında;
Kuruma intikal eden şikayette özetle; bir online alışveriş
sitesi üzerinden alışveriş gerçekleştirdiği, sipariş tarihinden bir gün sonra
satın aldığı ürünün veri sorumlusu bünyesinde çalışan kurye tarafından teslim
edildiği, sonrasında ise kurye tarafından cep telefonu numarasına taciz
içerikli mesaj gönderildiği, veri sorumlusunun kişisel veri güvenliğini
sağlayamadığı ve çalışanının kendisini rahatsız ettiği belirtilerek gereğinin
yapılması talep edilmiştir.
Konuya ilişkin olarak yapılan inceleme neticesinde;
Türk Borçlar Kanunu ve İş Kanunu’nun ilgili hükümlerine göre veri sorumlusunun söz konusu hukuka aykırı veri işleme olayında sorumluluk sahibi olduğunun değerlendirildiği, buna rağmen veri sorumlusu vekili tarafından Kuruma iletilen cevap yazısından, söz konusu olayı gerçekleştiren ve olayın gerçekleştiği sırada veri sorumlusu adına çalışan şahsa, kişisel verilerin korunması ve veri güvenliği konusunda herhangi bir eğitim verilmediği ve gerekli bilgilendirmenin yapılmadığının anlaşılmıştır. [2]
Kişisel Verileri Koruma Kurulunun 06/07/2023 Tarih ve
2023/1130 Sayılı Kararında;
Kuruma intikal eden şikayette özetle; ilgili kişinin eşinden
boşandığı ancak eski eşi ile halen devam etmekte olan velayet davası görüldüğü,
ilgili kişinin uzun zamandır müşterisi olduğu eczaneye gittiği ve çeşitli
bahanelerle eski eşine ait hastane rapor ve ilaç kayıtlarının eczaneler
tarafından kullanılan Medula adlı sistemden tedarik edilmesini sağladığı, işbu
belgeleri delil olarak dava dosyasına sunduğu anlaşılmış, 6698 sayılı Kişisel
Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep
edilmiştir.
Konuya ilişkin yapılan inceleme neticesinde, veri sorumlusunun Kişisel Verilerin Korunması Kanunu’nun 12’nci maddesinde yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alma yükümlülüğünü yerine getirmediği değerlendirilmekte olup veri sorumlusu hakkında Kanun'un 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 50.000 TL idari para cezası uygulanmasına karar verilmiştir. [3]
2. İşlenme Amacının Gerektirdiğinden Fazla Kişisel Veri
İşlenmesi/Aktarılması (Veri Minimizasyonu İlkesine Aykırılık)
Ölçülülük ilkesi, veri işleme ile gerçekleştirilmesi istenen
amaç arasında makul bir dengenin kurulmasını sağlar. İlke gereğince kişisel
veriler ve işlenmeleri üzerine öngörülen amaç arasında bağlantı olmalı ve
işlenecek kişisel veriler belirli amacı gerçekleştirmeye elverişli olmalıdır.
Bunun yanında önem arz eden hususlardan biri ise toplanan
kişisel verinin miktarı ile ilgilidir. Elde edilecek ve işlenecek kişisel veri
miktarı veri sorumlusunun belirlediği amaç için gerekli olduğu kadarla sınırlı
tutulmuş olmalıdır. Söz konusu amaçla uygun olmayan verilerin işlenmesinden
kaçınılmalıdır. [4]
Kişisel Verileri Koruma Kurulunun
17/08/2023 tarihli ve 2023/1430 Sayılı Kararında;
Kuruma intikal eden ihbarda, yemek
kartı hizmeti sunan veri sorumlusuna ait mobil uygulamayı kullanmak için kayıt
olurken kişilerin T.C. kimlik numarası bilgilerinin istendiğinin belirtilmesi
üzerine konu hakkında Kişisel Verileri Koruma Kurulu (Kurul) tarafından resen
inceleme başlatılmıştır. Mobil uygulama üzerinde yapılan incelemede, mobil
uygulamaya kayıt olurken isim, soy isim, telefon numarası, doğum tarihi,
e-posta bilgilerinin talep edildiği; kişi profiline yemek kartı tanımlanmak
istediğinde ise girilen bilgilerin T.C. kimlik numarası ile
karşılaştırılacağının belirtildiği tespit edilmiştir.
Fiziksel yemek kartlarının mobil uygulamada kayıt altına alınması halinde kartın doğrulanması işleminin kişilerin T.C. kimlik numarası bilgisi işlenmeden, işveren aracılığıyla kart ve telefon numarası bilgisi işlenmesi gibi ilgili kişileri daha çok koruyacak yollarla yapılması mümkün olduğundan, Kanun’un 12’nci maddesinin birinci fıkrasında yer alan yükümlülüklerini yerine getirmediği değerlendirilen veri sorumlusu hakkında 200.000 TL idari para cezası uygulanmasına karar verilmiştir. [5]
3. Mahkemeye Sunulan Delilerin KVKK Kapsamında
Değerlendirilmesi
Kişisel Verilerin Korunması Kanununun “İstisnalar” başlıklı
28. maddesinin (1). fıkra (d) bendi uyarınca kişisel verilerin soruşturma,
kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları
veya infaz mercileri tarafından işlenmesi gereken durumlarda “Kanun”
hükümlerinin uygulanmayacağını belirtmiştir.
Bu kapsamda kişisel veriler kişinin açık rızası alınmaksızın
mahkemeye delil olarak sunulabilecektir. Her ne kadar Kanun kapsamında elde
edilen kişisel verinin yargı makamları ve infaz mercilerine sunulması için açık
rıza aranmıyor olsa da, delilin mahkeme tarafından değerlendirilebilmesi için
işlenen verinin hukuka ve dürüstlük kurallarına uygun olma, açık ve meşru
amaçlar için işlenme ile işlendikleri amaçla bağlantılı olma ilkelerine uygun
olması şarttır.
Kişisel Verileri Koruma Kurulunun
07/09/2023 Tarihli ve 2023/1548 Sayılı Kararında;
Kuruma intikal ettirilen şikâyet
dilekçesinde özetle; veri sorumlusu bünyesinde çalışan ilgili kişinin kod46 ile
işten çıkarıldığı, iş mahkemesinde veri sorumlusu aleyhine işçi alacağı davası
açıldığı, mahkeme dosyasına veri sorumlusu tarafından sunulan dilekçede; ilgili
kişi ile yapılan telefon görüşmesine alındığını, kayıtların veri sorumlusu
bünyesinde KVKK gereği halen şifreli
ortamda saklandığını, mahkemenin isteği üzerine ses kaydının şifreli şekilde
dosyaya sunulacağı belirtişmiştir. Bunun üzerine ilgili kişi veri sorumlusunun
6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamına aykırı hareket
ettiğini iddia ettiği, haksız ve hukuka aykırı alındığı açık olan ses kaydının
veri sorumlusu bünyesinde denetim yükümlülüğü olmadan muhafaza edildiği iddia
edilmiştir.
Veri sorumlusu tarafından Kurum
kayıtlarına intikal eden cevabi yazıda; ses kaydının herhangi bir personel ile
paylaşılmadığının, şifreli diske aktarılarak ve gerekli idari ve teknik
tedbirler alınarak güvensiz ortamdan silinmesinin sağlandığının ve yasal
saklama süresi ile sınırlı, şifreli bir biçimde muhafaza edildiğinin
belirtildiği belirtilmiştir.
Değerlendirmelerinden hareketle; İlgili
kişiye ait ses kaydının 8’inci maddenin (2) numaralı fıkrasının atfı ile
Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendinde yer alan “Bir
hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması”
hükmü doğrultusunda mahkemeye aktarıldığı, veri sorumlusu hakkında Kanun
kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir. [6]
Kanun uyarınca kişilerin sağlığı ile
ilgili verileri özel nitelikli kişisel veridir. Özel nitelikli kişisel veriler
arasında sağlık ve cinsel hayata ilişkin kişisel verilere ise daha fazla önem
addedilmiş ve ancak kamu sağlığının korunması kapsamında sır saklama
yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından
açık rıza aranmaksızın işlenebileceği öngörülmüştür. Buna rağmen özel nitelikli
kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak
yargı makamları veya infaz mercileri tarafından işlenmesi gereken durumlar için
de Kanunun 28. maddesi geçerli olacak ve Kişisel Verilerin Korunması Kanunu
hükümleri uygulanmayacaktır.
Kişisel Verileri Koruma Kurulunun
14/09/2023 Tarihli ve 2023/1578 Sayılı Kararında;
Kurum’a intikal ettirilen şikâyet
dilekçesinde özetle; ilgili kişinin bir tıp merkezinde aldığı tedavi hizmeti
aldığı, tedavi kapsamında aldığı şahsi terapi ve eşi ile birlikte aldığı
evlilik terapisi kayıtlarını içeren dosyaların ilgili kişi ile eşi arasında
görülen boşanma davası kapsamında mahkeme dosyasına sunulduğu, mahkemenin talep
ettiği bilgiler tedavinin nedeni, süresi, şekli (yatış/ayakta tedavi) sonucu
şeklinde sıralanmışken bizzat seansta tutulan notların paylaşılmasının ilgili
kişinin özel hayatının UYAP’a kaydedilmek suretiyle mahkeme kalemi çalışanları,
karşı taraf ve vekili dahil herkesçe okunduğu ve öğrenildiği belirtilerek 6698
sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında Tıp Merkezi
hakkında gereğinin yapılması talep edilmiştir.
İlgili kişinin iddiaları arasında, söz konusu belgenin UYAP’a yüklenmek suretiyle üçüncü kişilerin erişimine açıldığı da belirtilmekle birlikte, mahkeme tarafından gerçekleştirilen iş ve işlemler bakımından Kanun’un 28’inci maddesinin (1) numaralı fıkrasının (d) bendinde yer alan “Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi” hükmünün uygulama alanı bulması nedeniyle Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir. [7]
4. Kişisel Verinin İşlenmesinin Kanunda
Açıkça Öngörülmesi Sebebiyle Açık Rıza Alınmaksızın İşlenmesi
Bazı kişisel verilerin diğer verilere
kıyasla hukuka aykırı bir şekilde kullanılması sonucunda bireyin temel hak ve
özgürlüklerine daha fazla zarar verici olduğu düşüncesinden hareketle, bu
veriler özel nitelikli olarak kabul edilmiştir. T.C. kimlik bilgisi her ne
kadar Kanunun 6. maddesinde sayılmış olan özel nitelikli kişisel veriler
arasında yer almasa da T.C. kimlik bilgisinin vatandaşların benzersiz olarak
tanımlanmasını sağlıyor olması itibariyle olumsuz etkilerin doğmasına sebep
olabileceğinden Kurum tarafından işlenmesi daha sıkı kriterlere bağlanmıştır.
5549 sayılı Suç Gelirlerinin
Aklanmasının Önlenmesi Hakkında Kanun’a tabi yükümlülerin kendileri nezdinde
işlem yapanlar ile nam veya hesaplarına işlem yapılanların kimliklerini tespit
etme zorunluluğu bulunmaktadır. Yine işlem tutarı veya birbiriyle bağlantılı
birden fazla işlem toplam tutarın belirli bir meblağın üzerinde oldığında kimliğe
ilişkin bilgileri almak ve bu bilgilerin doğruluğunu teyit etmek suretiyle
müşterilerin ya da onlar nam ve hesabına hareket edenlerin kimliğini tespit
etmek zorundadır. veri sorumlusunun faaliyet alanında suç gelirlerinin
aklanması olarak nitelendirilen kara para aklama faaliyetinin
gerçekleştirilmesi ihtimali bulunduğundan kullanıcıların kimliğinin tespit
edilmesinde kamusal yararın bulunduğu da göz önünde bulundurulmalıdır
Kişisel Verileri Koruma Kurulunun
11/04/2023 Tarihli ve 2023/570 Sayılı Kararında;
Kuruma intikal eden şikayette özetle;
bir kripto varlık hizmet sağlayıcısı olan veri sorumlusuna ait platformdaki
üyelik seviyesinin arttırılması talebine istinaden ilgili kişinin kimliğinin ön
ve arka yüzünün fotoğrafının kendi fotoğrafı ile birlikte talep edildiği, veri
sorumlusunca gerektiğinden fazla ve ölçüsüz olarak kişisel veri işlendiği
hususları belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun)
kapsamında gereğinin yapılması talep edilmiştir.
Veri sorumlusunun kişisel verilerin işlenmesi hususunda 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun başta olmak üzere ilgili mevzuattan kaynaklanan bir yükümlülüğünün bulunduğu, bu itibarla veri sorumlusu tarafından kullanıcıların kimliğinin tespit edilebilmesi ve ilgili kullanıcı tarafından işlem yapıldığının tespit ve teyit edilebilmesi için kişisel verilerinin işlenmesinin Kanun’un 5’inci maddesinin 2’nci fıkrasının (a) bendi çerçevesinde “kanunlarda açıkça öngörülmesi” hukuki işleme şartına dayandığı dikkate alındığında ilgili kişinin şikayeti hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir. [8]
Stj. Av. Berfin Dicle Onar
Kaynakça:
1. Kişisel
Verileri Koruma Kurumu – Kişisel Veri Güvenliği Rehberi
https://www.kvkk.gov.tr/yayinlar/veri_guvenligi_rehberi.pdf
2. Kişisel Verileri Koruma
Kurulu 18/05/2023 Tarihli ve 2023/845 Sayılı Kararı
3. Kişisel Verileri Koruma Kurulu
06/07/2023 Tarih ve 2023/1130 Sayılı Kararı
4. Dülger, Murat Volkan, 2019, s. 126
5. Kişisel
Verileri Koruma Kurulu 17/08/2023 tarihli ve 2023/1430 Sayılı Kararı
6. Kişisel
Verileri Koruma Kurulunun 07/09/2023 Tarihli ve 2023/1548 Sayılı Kararı
7. Kişisel
Verileri Koruma Kurulunun 14/09/2023 Tarihli ve 2023/1578 Sayılı Kararı
8. Kişisel
Verileri Koruma Kurulunun 11/04/2023 Tarihli ve 2023/570 Sayılı Kararı
