Konu: Kişisel Verileri Koruma Kurulu’nun 19.03.2021 Tarihinde Yayınlanan Karar Özetleri

İlgili kişinin cep telefonuna ilgili kişinin akrabasının borcuna ilişkin kısa mesajlar gelmesi ve ilgili kişiye konuyla alakalı çelişkili bilgiler verilmesi karşısında ilgili kişi 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında gereğinin yapılması talep edilmiştir. Bu çerçevede başlatılan incelemede kısa mesajları gönderen Hukuk Bürosu Avukatından ve alacak sahibi Şirketten savunmaları istenmiştir. 

Alacak sahibi Şirket, bünyesinde gerçekleştirilen olağan borç tahsilatında iki adımlı bir sürecin yürütüldüğü ve farklı hukuk ofislerinden bu kapsamda destek alındığı, ilk adımda faturası üç ay üst üste ödenmemiş olan üyeliklerin sahiplerine borç hatırlatması yapılması ve borç tahsilat sürecinde onlara yol gösterilmesi amacıyla dış kaynak hizmet sağlayıcı hukuk ofislerinden (İdari Hukuk Büroları) destek alındığı, ilgili kişiye ait olduğu tespit edilen GSM numarasının Şirkete ait programda kayıtlı olmadığı ve söz konusu irtibat bilgisinin kısa mesaj gönderimi yapan ilgili Hukuk Bürosuna Şirket tarafından sağlanmadığı, Hukuk Bürosu tarafından ulaşılan ilgili kişinin irtibat bilgisinin incelemeler sonucunda ilgili kişiye ait olduğu beyan edilen GSM numarasının dosya idari takip sürecindeyken Şirketin dış hizmet sağlayıcısı olan diğer bir Hukuk Bürosu tarafından Yasal Takip Sistemi (“YTS”) sistemine bu Hukuk Bürosunun iş akdi feshedilmiş personeli tarafından alınan not ile girildiğinin görüldüğü, söz konusu büroların borç hatırlatma ve borçların icra takibi hizmetleri kapsamındaki veri işlemelerine ilişkin Şirketten doğrudan talimat almadıkları, yapılan veri işleme faaliyetleri açısından Şirketin veri işleyeni konumunda değil bağımsız birer veri sorumlusu durumunda oldukları ayrıca, Şirketin verilen hizmet kapsamında kişisel verilerin korunmasına azami önem gösterdiği ve bu konuda gerekli kontrolleri yaptığı savunmasında bulunulmuştur.

İlgili kişiye kısa mesaj gönderim işlemini yapan ilgili Hukuk Bürosu Avukatı ise;

İlgili kişiye ilişkin dosyanın şu an ofisin sisteminde kayıtlı olmadığı, bahsi geçen dosyanın Şirket tarafından YTS kullanılarak atandığı, dosyaların ofiste görev yapan personeller tarafından fatura borçlarının ödenmesini sağlamak için kullanıldığı, Müvekkil Şirket tarafından, ilgili kişiye ait telefon numarasının ofislerince sisteme kaydedildiğinin tarafına iletildiği, Şirketin verdiği bilgiye göre eski bir personelin sisteme şikâyete konu olan numarayı işlediğini öğrenmiş bulunduğunu öğrenmiştir, bunun üzerine eski çalışanı ile irtibata geçmiştir, eski çalışanının; 2018 yılının Haziran, Temmuz aylarında gerçekleşen olayda kişiyi hatırlamadığını, kişinin telefonu sistemde kayıtlı ise veya tarafınca kayıt edildiyse kamuya açık portallardan ya da borçlu şahıs veya yakınlarının paylaşması sonucu bu bilgiye ulaşmış olabileceğini, şikâyetçinin telefon numarasının müvekkil Şirketin borçlusu tarafından bürolarınca paylaşılabileceğini ve bu şekilde işlenebileceğini söylediği, çalışanı tarafından şikâyetçiye ait telefon numarasının irtibat numarası olarak kaydedilmediği, şahsın telefon numarasının kimse ile paylaşılmadığı, sadece kurumun yaptığı işlemi bilmesi adına not alındığı, dolayısıyla; söz konusu GSM numarasının tarafınca işlenmediği, ofisinde çalışan personelin Şirkete ait sisteme giriş yaptığı ve borçlular ile yaptıkları görüşmelere istinaden bir takım notlar alabildiği, bu numaranın da eski çalışanın beyanına göre 118 sorgu siteleri gibi kamuya açık portallardan edinilmiş ya da borçlu şahsın kendisi tarafından personele verilmiş olabileceği, bu numaranın sadece müvekkil firmayı dosyada yapılan işlem açısından bilgilendirme amaçlı olarak görüşme yapıldığına ilişkin not düşüldüğü yönünde savunmada bulunmuştur.

Bu kapsamda Kurul tarafından yapılan incelemede, alacaklı Şirketin abonelerine ait borçların tahsilatına ilişkin olarak iki aşamalı bir süreci sözleşmeli avukatlar aracılığı ile uyguladığı, bu süreçlerin idari takip aşaması ve icra takip aşaması olarak adlandırıldığı, idari takip aşamasına geçilmeden önce üyelere ait bilgilerin Şirket tarafından YTS adı verilen sisteme aktarıldığı ve alacağın tahsilini sağlamak üzere yapılan işlemlerin bu sistem aracılığıyla gerçekleştirildiği, ilk Hukuk Bürosu avukatının idari takip sürecinde yer aldığı  ve bu süre zarfında da ilgili kişiye ait iletişim bilgisinin Hukuk Bürosu çalışanı tarafından temin edilerek YTS isimli sisteme işlendiğinin gerek şirket gerek SMS gönderimi işlemini yapan ikinci Hukuk Bürosu Avukatı tarafından beyan edildiği,  bununla birlikte Kuruma sunulan evraklarda da ilk Hukuk Bürosu çalışanı tarafından ilgili kişiye ait iletişim bilgisinin işlendiğinin tevsik edildiği tespit edilmiştir.

İlgili kişiye ait telefon numarası Şirket tarafından ilk Hukuk Bürosuna aktarılmamış dahi olsa Hukuk Bürosu tarafından numaranın borçlu kişinin yakınına ait olduğu anlaşılacak şekilde not olarak kaydedildiği, dolayısıyla ilgili kişinin telefon numarasının YTS sistemine işlendiğinin çıkarılabileceği, ilk Hukuk Bürosu çalışanının ilgili sistemde borçlu kişiye ait olmayan ve YTS sisteminde bulunmayan numarayı bir şekilde temin ederek işlediği anlaşıldığından ilk Hukuk Bürosu Avukatının olay özelinde veri sorumlusu olduğu ikinci Hukuk Bürosu Avukatından alınan cevap yazısı ve ekinde yer alan belgeler incelendiğinde; “… ilk avukatlık bürosunun YTS’ye girmiş olduğu verilerle birlikte …” sonraki aşamanın gerçekleştirilmesi için ikinci Hukuk Bürosuna gönderildiği, numaranın YTS sisteminde kişinin yakınına ait olduğu notu ile işlendiği ve bu bilginin de ikinci Hukuk Bürosu Avukatı ile paylaşıldığı anlaşıldığından, bahse konu telefon numarasının borçlu kişiye ait olmadığı bilgisinin mevcut ve açıkça belirli olduğu halde kullanılarak SMS gönderildiği hususu dikkate alındığında SMS gönderimi işlemini yapan ikinci Hukuk Bürosu Avukatının da YTS isimli kayıt sistemi çerçevesinde kişisel veri işleme faaliyetinde bulunduğu dolayısıyla veri sorumlusu olduğu, ilk Hukuk Bürosu Avukatının ve ilgili verileri amaçları doğrultusunda kullanmak suretiyle işleyen ikinci Hukuk Bürosu Avukatının sürecin belli aşamalarında veri işleme faaliyetine katıldığının anlaşıldığı, bu çerçevede Şirket ile birlikte ilgili hukuk büroları avukatlarının da veri sorumlusu olduğu sonucuna varılmıştır.

KVKK’nın 4. maddesi kapsamında kişisel veriler, ancak KVKK’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilecek olup, kişisel verilerin işlenmesinde hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun davranılması gerektiği hüküm altına alınmıştır. Kişisel veri işleme faaliyeti gerçekleştirilirken, veri işleme şartı sağlansa dahi kişisel verilerin işlenmesine ilişkin genel ilkelerin tüm kişisel veri işleme faaliyetlerinin özünde bulunması ve bu ilkelere uygun olarak kişisel veri işleme faaliyetlerinin gerçekleştirilmesinin gerektiği, söz konusu şikâyete konu olayda veri sorumlusu Şirket tarafından borç takibi yapılabilmesi amacıyla kullanılan sisteme ilk Avukat tarafından girilen verilerin doğruluğu ve güncelliği noktasında gerekli denetim ve kontroller yapılmaksızın dosyanın ikinci bir avukat ile paylaşıldığı anlaşıldığından söz konusu davranışın genel ilkelerden biri olan doğru ve gerektiğinde güncel olma ilkesine aykırılık teşkil edecektir.

Buna ilave olarak, KVKK’nın 5. maddesinde ise kişisel verilerin işlenebilmesi ilgili kişinin açık rızasının varlığı koşuluna bağlı tutulmuş ancak ikinci fıkrada işbu açık rıza kuralına bazı istisnalar getirilmiştir. İkinci fıkrada belirtilen istisnalar sınırlı sayıda olup, dar yorumlanması gerekmektedir. 

İlgili kişinin kişisel verilerinin, açık rızası olmaksızın işlendiği iddiası ile ilgili olarak ilk Hukuk Bürosu Avukatından alınan cevap yazısında; ilgili kişinin telefon numarasının nasıl temin edildiği konusunda 118 sorgu gibi kamuya açık portallardan edinilmesi ya da borçlu şahıs veya yakınlarının paylaşması sonucu bu bilgiye ulaşılmış olunabileceği açıklamalarına yer verildiği, dolayısıyla ileri sürülen olasılıkların açık rıza dışındaki işleme şartlarına ilişkin bir hukuki dayanak oluşturmadığı, aynı zamanda hukuki anlamda somut zemine oturan açıklamalar olmadığının anlaşıldığı, bu kapsamda KVKK’nın 5. maddesinin 2. fıkrasında yer alan açık rıza dışındaki kişisel veri işleme şartlarından herhangi biri geçerli olmadığı halde kişisel veri niteliğinde olan ilgili kişiye ait iletişim bilgisinin, yakınının borcu olması dolayısıyla Avukat tarafından işlendiği tespit edilmiştir. Diğer taraftan Hukuk Bürolarının ortak kullanımda olan YTS sisteminde ilgili kişiye ait telefon numarasının kişinin yakınına ait olduğu bilgisinin mevcut olmasına rağmen ikinci Hukuk Bürosu Avukatı tarafından ilgili kişiye SMS göndermek suretiyle KVKK’nın 5. maddesinde yer alan kişisel veri işleme şartlarından herhangi biri söz konusu olmadığı halde ayrıca işlendiği bu itibarla, avukat tarafından kişisel verilerin hukuka aykırı işlenmesini önlemek adına gerekli dikkat ve özen yükümlülüğünün yerine getirilmeyerek hukuka aykırı kişisel veri işleme faaliyetinde bulunulduğuna karar verilmiştir.

İşlenen verinin açık rıza dışındaki işleme şartları kapsamında işlenmediğinden ve ilgili kişinin verisinin işlenmesi için açık rızası olmadığından veri sorumlusu Avukat hakkında, Kanunun 18. maddesinin 1. fıkrasının (b) bendi uyarınca 50.000 TL idari para cezası uygulanmasına, veri sorumlusu Şirketin gerekli teknik ve idari tedbirleri almadığı dolayısıyla veri sorumlusu Şirket hakkında Kanunun 18. maddesinin birinci fıkrasının (b) bendi uyarınca 115.000 TL idari para cezası uygulanmasına, veri sorumlusu Avukat hakkında, Kanunun 18. maddesinin birinci fıkrasının (b) bendi uyarınca, 50.000 TL idari para cezası uygulanmasına karar verilmiştir.

İlgili kişi; iş akdinin haksız,  geçersiz ve tazminatsız olarak feshedildiği; tehdit, baskı ve türlü vaatlerde bulunularak tarafından ileri tarihli istifa dilekçesinin alınması sonrası özlük dosyası kapsamında yer alan kişisel verilerinin birer suretini 6698 sayılı Kişisel Verilerin Korunması Kanununun (“KVKK”) 11. Maddesi kapsamında veri sorumlusu kargo firmasından talep etmesine rağmen, kendisine cevap verilmediğini gerekçe göstererek veri sorumlusuna konuyla alakalı yaptırım uygulanması ve kendisine özlük dosyasında yer alan kişisel verilerinin birer kopyasının verilmesi için veri sorumlusunun talimatlandırılmasını talep etmiştir. 

Veri sorumlusu kargo firması savunmasında ilgili kişi tarafından noter kanalıyla yapılan başvurunun KVKK’nın 11. maddesi kapsamında bir başvuru olmadığından cevaplanmadığı, ilgili kişinin veri sorumlusundan kişisel verilerine ilişkin bilgi talep etmediği, kendisi tarafından veri sorumlusuna verilen belgelerin birer örneğini talep ettiği, ve bu durumun KVKK’nın 11. maddesi kapsamında bir hak olmadığını ayrıca, ilgili kişi tarafından veri sorumlusuna başvurularak örneği talep edilen veri sorumlusuna vermiş olduğu dilekçelerin KVKK kapsamında “tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla” işlenen bir veri de olmadığını iddia etmiştir.

Veri sorumlusuna yapılan başvuru bakımından veri sorumlusunun cevap verme süresi dolmadan konunun yargıya taşındığı, ilgili kişinin amacının bilgiye erişim hakkını kullanmak olmadığı, veri sorumlusunun özlük dosyasını ilgili kişinin dosyadaki verileri kendilerinin aleyhine kullanacağından dolayı ve Anayasa’da 38.madde 5. fıkrada düzenlenen ‘’Hiç kimsenin kendisini ve kanunda gösterilen yakınlarını suçlayan bir beyanda bulunmaya veya bu yolda delil göstermeye zorlanmayacağı’’ hükmünden hareketle bilgileri paylaşmamakta haklı olduklarını iddia etmişlerdir. 

Buna ilave olarak, ilgili kişinin Kuruma 30.12.2019 tarihinde başvurduğu, bu tarihten önce ilgili kişinin 04.12.2019 tarihinde arabulucuya başvurduğu, Kişisel Verileri Koruma Kurulunun 24.12.2018 tarih ve 2018/156 sayılı Karar özetinde; “KVKK’nın 15. maddesinin (2) numaralı fıkrasında 01.11.1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6. maddesinde “Yargı mercilerinin görevine giren konularla ilgili olan ihbar veya şikayetlerin incelemeye alınamayacağının hükme bağlandığı, şikayete konu iddiaların Türk Ceza Kanunu hükümleri uyarınca suç unsuru barındırdığı ve bunların da bireysel suç niteliğinde olduğu, bu kapsamda ilgili kişi tarafından da konunun yargıya intikal ettirilmiş olduğu dikkate alındığında söz konusu başvurunun Kanun kapsamında değerlendirilemeyeceğine” karar verildiği, ilgili kişi tarafından şikayet konusu yapılan hususun yargı mercilerinin görevine giren konularla ilgili olduğu, bu nedenle şikayetin reddinin gerektiği belirtilmiştir. 

Kurul yapmış olduğu incelemede, ilgili kişiden 30.09.2019 tarihinde aldığı yazılı savunma ve 18.10.2019 ile 17.10.2019 tarihli istifa dilekçelerinin içerik itibariyle kişiye ilişkin bilgiler içerdiği ve bu bilgilerin ilgili kişiyi belirli veya belirlenebilir kıldığı, bu kişisel veriler sayesinde ilgili kişiye ulaşılabilir olduğu hususu göz önünde bulundurulduğunda bu bilgilerin kişisel veri niteliğinde olduğu tespit edilmiştir. Bu nedenle, ilgili kişiye ait istifa dilekçesinin özlük dosyası kapsamında muhafaza edilmesinin ise veri işleme faaliyeti olduğu sonucuna varılmıştır. 

KVKK’nın 4. maddesi kapsamında kişisel veriler, ancak KVKK’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilecek olup, kişisel verilerin işlenmesinde hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun davranılması gerektiği hüküm altına alınmıştır. KVKK’nın 5. maddesinin 1. fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, 2. fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hüküm altına alınmıştır. Anayasanın 20. maddesinin 3. fıkrasında “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” hükmüne yer verilmiştir.

 KVKK’nın 11. maddesinde ise “(1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; a) Kişisel veri işlenip işlenmediğini öğrenme, b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, e) 7. maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.” hükmünden hareketle ilgili kişinin veri sorumlusundan kişisel veri niteliğinde olan yazılı savunmasını ve istifa dilekçelerini KVKK’nın 11. maddesinin 1. fıkrasının (b) bendi kapsamında talep ettiği, yukarıda anılan mevzuat kapsamında ilgili kişinin kişisel verilerine erişme hakkının olduğu ve bu hakkını veri sorumlusuna karşı ileri sürebileceğine karar vermiştir. Ayrıca veri sorumlusunun ‘’susma hakkı’’ kapsamında verileri paylaşmayacağına yönelik iddiası bakımından ise KVKK’da bu hükmün düzenlenme amacının suç unsuru barındıran hususlar bakımından olması nedeniyle ve ilgili kişinin özlük dosyasındaki verilerin suç unsuru barındırmadığına dolayısıyla ilgili kişiyle paylaşılmasında bir sakınca olmadığına karar vermiştir.

İlgili kişinin başvurusunun, KVKK’da düzenlenen haklara ilişkin olmadığı ve başvurunun KVKK’da düzenlenmeyen bir konu olan belge örneği talebi içerdiği için KVKK’nın 11. maddesi kapsamında karşılanmasının mümkün olmadığı gerekçesiyle veri sorumlusu tarafından 30 günlük yasal süre içerisinde cevaplandırılmadığı dikkate alındığında, ilgili kişiye ait kişisel veri niteliğindeki bilgilerini içeren 30.09.2019 tarihli savunma yazısı ile 18.10.2019 tarihli ve 17.10.2019 tarihli istifa dilekçelerinin birer örneğinin ilgili kişiye verilmesi hususunda KVKK’nın 15. maddesinin 5. fıkrası kapsamında veri sorumlusunun talimatlandırılmasına, veri sorumlusunun ise bu süre içerisinde cevap verilmesine karar verilmiştir.

İlgili kişi, yurtdışında başına gelen bir olay nedeniyle internet yayınlarında adı ve soyadının geçtiğini, Google arama motorunda adı ve soyadının aratılması sonucunda veri sorumlusu Gazetenin internet sitesinin linkine ulaşıldığı, söz konusu haberde hüküm giydiği suça ilişkin bilgilerin yer aldığı ve haberin 2009 Haziran dönemine ait olması sebebiyle yaklaşık 10 yıl öncesine ilişkin olduğu, söz konusu cezanın tamamının infaz edildiği, ulaşılan haberler nedeniyle müvekkilinin iş hayatı ve ailesinin bu durumdan olumsuz etkilendiğini belirtmiştir. İlgili kişi, veri sorumlusu Gazeteye başvurmuş olup, başvurusu aynı gün içerisinde reddedilmiştir. İlgili kişi, kişisel verilerini ve özel nitelikli kişisel verilerini ihlal eden tarafların hukuka aykırı davranışlarına son verilerek haberlerin kaldırılmasını, ilgili kurumlara 6698 sayılı Kişisel Verilerin Korunması Kanunu  (“KVKK”) kapsamında idari para cezası verilmesini, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması nedeniyle veri işlenmesinin ve verinin yurt dışına aktarılmasının durdurulmasını, ilgili kurumlar hakkında Savcılığa suç duyurusunda bulunulmasını talep etmiştir.

Veri sorumlusu Gazetenin savunmasında,  KVKK’nın 28. maddesinin 1. fıkrasının (c) bendinde yer alan “Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi”  işlemiş oldukları verileri ifade özgürlüğü kapsamında işlediklerinden dolayı veriyi işlemelerinin hukuka uygun olduğu belirtilmiştir. Anayasa’nın 26. maddesinin 1. fıkrası uyarınca haber alma ve vermenin ifade özgürlüğünün bir parçası olarak değerlendirildiği, şikâyet konusu yazının kamunun haber alma hakkı kapsamında kaleme alındığı, basın ve medyanın yasama, yürütme ve yargıdan sonra 4. güç olarak değerlendirildiği ve AİHM Kararlarında ifade edildiği üzere Demokrasinin Bekçi Köpeği olarak kabul edildiği, basın kuruluşlarının genel yargı denetimi dışında bir iç denetim mekanizması kapsamında yayın ilkeleri oluşturarak bunları uyguladığı ve yürüttüğü, özellikle yaşanan adli süreçler ile ilgili yapılan bu haberlerin, gelişigüzel ve üstün kamuoyu yararı dikkate alınmadan sadece ilgilisi tarafından rahatsız edici bulunduğu için kaldırılması dolayısıyla orta ve uzun vadede medyanın işlevsiz kalması anlamına geleceği ve kamunun haber alma hakkının zarar görebileceğini, ilgili kişinin somut olaydaki talebi dikkate alındığında ilgili kişi hakkında verilen kararın tarafsız bir mahkeme tarafından verildiği ve kamuya açık ilan edildiği, dolayısıyla kamu yararının somut olay bakımından ağır basacağı savunmasında bulunulmuştur. Yayınların kaldırılması ile ilgili olarak 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun ile erişim engellemenin mümkün kılındığı, ve bu kapsamda bir içeriğin kişilik haklarını ihlal ettiğini iddia eden şahsa, bağımsız ve tarafsız mahkemeler aracılığıyla her somut olay için ayrı değerlendirme yapılması ve hakimler tarafından uygun görüldüğü takdirde erişim engelleme kararının verilmesini sağlayabilecek Sulh Ceza Hakimlikleri aracılığıyla talepte bulunma hakkının ihdas edildiği, bu minvalde alınacak kararların taraflarına tebliği sonrasında erişim engelleme kararının 4 saat içerisinde taraflarınca uygulandığını vurgulamıştır.

 KVKK ise somut olayı değerlendirirken ifade özgürlüğünün bir yansıması olan basın özgürlüğü ile kişilik hakları karşı karşıya geldiğinde haberin;

  1. a) Kamu ilgi ve yararı taşıması, 
  2. b) Gerçek ve güncel olması, 
  3. c) Özü ile biçimi arasındaki denge 

unsurlarını içermesini dikkate almaktadır.

Bahse konu şikâyet başvurusunun, haberin ve veri sorumlusunun cevabi yazısının incelenmesi neticesinde; gerçeklik unsuruna ilişkin olarak ilgili kişinin şikâyet başvurusunda yer alan  “Müvekkilinin 2009 yılında İngiltere’de 3 sene hapis cezası ile cezalandırıldığı, Haziran 2009’da cezaevine girip Ekim 2010’da çıktığı, 1,5 yıl cezaevinde kalması sonrasında İngiliz Yasaları doğrultusunda kontrollü tahliye şeklinde kalan cezasını cezaevi dışında tamamladığı ve Nisan 2012 itibariyle müvekkile verilen cezanın tamamının infaz edildiği…” ifadelerinden de anlaşılacağı üzere habere konu olayın yargı tarafından verilen kararla kanıtlanmış olduğu, öte yandan, haberin güncel olması kriterinin değerlendirilmesi kapsamında mevcut şartlar altında bahse konu haberin gündemde kalması hususunda ve kamunun bu haberi alma konusunda menfaatinin devam ettiği dolayısıyla hukuka uygunluk sebebi sayılabilecek kamu yararının söz konusu haberde bulunduğu sonucuna varılmıştır, dolayısıyla KVKK yaptığı inceleme sonucunda somut olayda kamu yararı kapsamında ifade özgürlüğünün kişilik haklarına üstün geleceğini tespit etmiş ve veri sorumlusu Gazete hakkında işlem yapmamıştır.

İlgili kişi, veri sorumlusu hastane tarafından tahlil sonuçlarının e-posta yoluyla kendisine iletildiğini, ancak aynı e-postanın başka bir e-posta adresine ve tanımadığı bir kişiye daha gönderildiğini fark ettiği gerekçesiyle şikayette bulunmuştur. Veri sorumlusu Hastanenin “Kişisel Verilerin Korunması ve İşletilmesi Politikası” kapsamında kişisel verilerinin muhafazasında gerekli tedbirleri almadığı, kişisel verilerinin işlenme amacının gereklilikleri doğrultusunda üçüncü kişilere aktarılmasında ilgili mevzuata ve alt düzenlemelere uygun davranmadığı, bu sebeple veri sorumlusundan ihtarname ile bilgi talebinde bulunduğu, söz konusu talebine ilişkin veri sorumlusu tarafından hatanın kabul edildiğini içeren bir cevap verildiği belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (“KVKK”) kapsamında gereğinin yapılması talep edilmiştir

Veri sorumlusu hastane savunmasında, ilgili kişinin hastanenin Tüp Bebek Bölümüne tahlil için başvurduğu, tahlil sonuçlarının aynı gün aynı test için hastalarını hastane laboratuvarına yönlendirmiş olan başka bir doktorun özel asistanına ve hastaların kendilerine e-posta olarak iletildiği, özel ve genel nitelikteki kişisel verilerin muhafazasını sağlamak amacıyla KVKK’nın 12. maddesi kapsamında hukuka uygun güvenlik düzeyini temin etmeye yönelik hangi idari ve teknik tedbirlerin alındığına ilişkin olarak; sistemdeki bilgilerin hasta temsilcilerine görmesine kapatılması kararı alındığı, hekimlerin sadece kendi hasta bilgilerine, hemşirelerin görev yaptıkları servislerde yatan hasta bilgilerine erişebilmesi kararı alındığı, tıbbi sekreterlik ve anlaşmalı kurumlar birimi çalışanlarına gerektiğinde erişim için özel yetkilendirme yapılacağına dair beyanda bulunmuştur.

KVKK somut olayı incelediğinde ilgili kişinin sağlık verilerinin özel nitelikli kişisel veri olduğu KVKK’nın 6. maddesinde düzenlenen özel nitelikli kişisel verilerin işlenmesine ilişkin ise; “(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.” hükümlerine yer verildiği, anılan maddenin 4. fıkrasında da, “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” hükmünün yer aldığı, bu çerçevede, KVKK’nın 22. maddesinin 1. fıkrasının (ç) ve (e) bentleri uyarınca Kişisel Verileri Koruma Kurulunun 31/01/2018 tarihli ve 2018/10 sayılı Kararı ile “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” belirlenerek Resmi Gazetede yayımlandığı vurgulanmıştır. 

Bu nedenle, veri sorumlusu Hastane tarafından, ilgili kişinin özel nitelikli kişisel verisinin KVKK’nın 8. maddesinde düzenlenen aktarıma ilişkin ilgili kişinin açık rızasının bulunmaması ve KVKK’nın 6. maddesinde düzenlenen işleme şartlarından birinin bulunmamasına rağmen üçüncü kişilere aktarılmak suretiyle hukuka aykırı olarak işlenmesi sebebiyle, KVKK’nın “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12. maddesinin 1. fıkrasına yönelik yükümlülüğünü yerine getirmediği kanaatine varılan veri sorumlusu hakkında KVKK’nın 18. maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına karar verilmiştir.

İlgili kişi, veri sorumlusu işvereni tarafından kendisine kişisel verilerinin işlenme amacıyla ilgili olarak genel nitelikli bir bilgilendirme yapıldığını ancak çalışanlara verilerin işlenme ve saklanma süreçlerine ilişkin bilgi verilmediğini belirtmiştir. İlgili kişi, veri sorumlusu işverene 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) 11. maddesi çerçevesinde bilgi talebinde bulunmuş olup, veri sorumlusunun cevap yazısında çalışanların bordro bilgileri ve disiplin süreçlerine ilişkin bilgilerin HR Yazılım Programında tutulduğunu; tüm özlük bilgilerinin … Arşiv ve Dokümantasyon Programında tutulduğunu; performans değerlendirme süreçleri, disiplin süreçleri, masraf bilgilerine ait verilerin … Yazılım aracılığı ile elektronik ortamda tutulduğu bilgisinin verildiği, ancak bu programa kimlerin erişiminin olduğu, yetki matrisi olup olmadığına dair bilgilendirmenin yapılmadığı, ayrıca adı geçen programlarda saklanan verilerin ne kadar süre sonra silindiğine dair bilgi verilmediği, tüm çalışanların erişim yetkisi olan İntranet ağında bulunan “Veri Güvenliği Politikası”nda da bu bilgilere yer verilmediği belirtilmiştir. Buna ilave olarak, çalışanlar işe alınırken Veri sorumlusu tarafından elektronik ortamda KVKK Çalışma Muvafakatnamesi alındığı, söz konusu muvafakatnamenin çok geniş kapsamlı olduğu ve yeterli aydınlatmanın yapılmadığı, verilecek rızanın “battaniye rıza” olduğu, kendisinin bu muvafakatnameye onay vermekten imtina ettiği ancak onay vermek durumunda bırakıldığı, ayrıca tüm çalışanlardan açık rıza almaksızın ve gerekli aydınlatma yapılmaksızın parmak izi alındığı ve alınan parmak izinin üçüncü bir şirket ile paylaşılıp paylaşılmadığına ilişkin kendilerine bilgi verilmediğini belirtmiştir. 

Veri sorumlusu ise ilgili kişinin kişisel verilerinin hangi amaçla alındığı konusunda ilgili kişinin aydınlatıldığının, şirketin kişisel verilerin korunması bakımından gerekli önemin ve özenin gösterildiğini, açık rıza metinlerinde hangi kişisel verilerin hangi amaçla kullanıldığının açıkça yazılıp çalışana anlatıldığını, hukuki dayanakların yerine getirilebilmesi için, çalışan muvafakatnamesinin ve açık rıza metninin her çalışandan ıslak imzalı şekilde temin edildiği; şayet çalışan tarafından onay verilmezse özlük dosyasının tamamlanmamış kabul edildiğini Çalışan ve aday çalışanlarının her birine KVKK Aydınlatma Metni ve Açık Rıza metninin tebliğ edildiği ve çalışanların bu metinleri imza karşılığı olarak veri sorumlusuna teslim ettiği, çalışanların parmak izlerinin acil durum yönetimi sürecinin yürütülmesi, fiziksel mekan güvenliği ve yetkili kurum ve kuruluşlara bilgi verilmesi amaçlarıyla kullanıldığı, parmak izlerinin kriptografik yöntemlerle muhafaza edildiği, bu sebeple bu verilerin biyometrik veri niteliği taşımadığı, özel nitelikli verilerin işlenmesi kapsamında veri sorumlusu tarafından, taşınabilir bellek, CD veya VCD ile bunların taşınması gerektiğinde kriptografik yöntemlerle şifreleme yapıldığı, fiziken taşınması gerektiğinde ise gizlilik dereceli belge olarak gönderildiği ve çalışanlardan alınan özel nitelikli kişisel verilerin yalnızca yetkili kişilerce ulaşılabilecek şekilde ayarlandığına dair beyanda bulunmuştur.

Kurul yaptığı inceleme sonucunda; KVKK’nın 10. maddesi kapsamında “(1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11. maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.”aydınlatma yükümlülüğünün gerek açık rıza alınacağı durumlarda gerek KVKK’da yer alan diğer kişisel veri işleme şartlarından bağımsız olarak yerine getirilmesi gereken bir yükümlülük olduğunu, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin (“Tebliğ”) 5. maddesinin 1. fıkrasının (e) bendi uyarınca aydınlatma yükümlülüğünün yerine getirilip getirilmediğinin ispatının veri sorumlusuna ait bulunduğunu vurgulamıştır. Ayrıca ilgili kişinin şikayet dilekçesi ekinde yer verilen “Kişisel Verilerin İşlenmesine İlişkin Çalışan Muvafakatnamesi”nin hem aydınlatma metni hem de açık rıza metni olarak düzenlendiği kabul edildiğinde; Tebliğin 5. maddesinin 1. fıkrasının (f) bendinde yer alan “Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.” hükmü gereği şekli olarak aydınlatmanın usulüne uygun yapıldığından söz edilemeyeceği, ayrıca hazırlanan metinin hangi kişisel verilerin kimlerle hangi amaçla paylaşılacağına dair net ifadeler yer almaksızın muğlak ifadelerle hazırlanmış olmasının usulen geçersiz olacağı belirtilmiştir. Veri sorumlusu tarafından açık rıza metninin onaylanması için çalışanlara e-postalar gönderildiği, metni imzalamayan çalışanların listesinin tutulduğu, bu listelerin başkaca çalışanlara gönderilmesi suretiyle metni imzalamayan çalışanların metni imzalamalarının sağlanmasının talep edildiğinin anlaşıldığı, bununla birlikte çalışan tarafından onayın verilmemesi sebebiyle özlük dosyasının tamamlanmamış kabul edildiği durumlarda; işçiye rıza göstermeme imkânının etkin bir biçimde sunulmamasından ötürü verilen rızanın, geçerli bir açık rıza beyanı olarak değerlendirilemeyeceği hüküm altına alınmıştır. Öte yandan, işçinin eşine ve çocuğuna ait kişisel verilerin işlenmesine dair alınan açık rıza geçersiz sayılacaktır. Çalışanların parmak izlerinin saklanması bakımından ise biyometrik verilerin hash yöntemi ile saklandıklarında biyometrik veri olma niteliklerini kaybetmedikleri, bu bakımdan açık rızanın bulunmadığı hallerde biyometrik verilerin ancak KVKK’nın 6. maddesinde öngörülen kanunlarda öngörülme şartı doğrultusunda işlenebileceği, bununla birlikte söz konusu verinin işlenme amacının da KVKK’nın genel ilkeleri arasında yer alan “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine de aykırı olduğu, örneğin fiziksel mekan güvenliğinin sağlanabilmesi için giriş esnasında manyetik kart sistemi, RFID etiketi, cep telefonuna gönderilecek bir SMS’in sisteme girilmesi gibi alternatif yollar ile sağlanması mümkünken çalışanların biyometrik veri niteliğindeki parmak izi verisinin alınmasının KVKK’nın 4. maddesinin 2. fıkrasında yer alan “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi ile bağdaşmadığı, bu çerçevede “acil durum yönetimi sürecinin yürütülmesi, fiziksel mekan güvenliği ve yetkili kurum ve kuruluşlara bilgi verilmesi amaçları”nın farklı yollarla da hasıl olması mümkünken söz konusu veri işleme faaliyeti ile orantısız bir veri işleme yapıldığı tespit edilmiştir. Veri sorumlusunun “bulutta depolanan kişisel verilerin güvenliğini yalnızca yetkili kişilerin ulaşabileceği biçimde ayarlandığı” ifadesi ele alındığında daha önce Kurul tarafından alınan 31.05.2019 tarihli ve 2019/157 sayılı l Kararı ile; “Google firmasına ait G-mail e-posta hizmeti altyapısının kullanılması durumunda gönderilen ve alınan e-postaların dünyanın çeşitli yerlerinde bulunan veri merkezlerinde tutulması söz konusu olacağından, böyle bir durumda kişisel verilerin yurt dışına aktarılmış olacağına ve veri sorumlularının söz konusu uygulamayı KVKK’nın 9. maddesi hükümlerine uygun olarak gerçekleştirmesine;“Server”ları yurt dışında bulunan veri sorumlularından/veri işleyenlerden temin edilen saklama hizmetlerinin de KVKK’nın 9. maddesi hükümlerine uygun olarak gerçekleştirilmesine” karar verildiği, bu kapsamda serverları yurt dışında bulunan hizmetlerin kullanımının yurt dışına kişisel veri aktarımı olduğu ve KVKK’nın 9. maddesine uygun hareket edilmesi gerektiği, aydınlatma yükümlülüğünü yerine getirmediği kanaatine varıldığından veri sorumlusu hakkında KVKK’nın 18. maddesinin 1. fıkrasının (a) bendi uyarınca 50.000 TL idari para cezası uygulanmasına karar verilmiştir. Veri sorumlusunun çalışanlarının ve yakınlarının açık rızaları olmaksızın kişisel verilerini ve özel nitelikli kişisel verilerini işlediği, işlediği özel nitelikli kişisel veriler bakımından KVKK’nın 4. maddesinde yer alan genel ilkelerden ölçülülük ilkesine aykırı hareket ettiği ve bu verileri yine çalışanlarının açık rızası olmaksızın yurtiçi ve /veya yurtdışına aktardığı görüldüğünden, KVKK’nın 12. maddesinin 1. fıkrasında yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ile kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı hareket ettiği kanaatine varılan veri sorumlusu hakkında KVKK’nın 18.maddesinin 1. fıkrasının (b) bendi uyarınca 200.000 TL idari para cezası uygulanmasına karar verilmiştir.

İlgili kişi; memuriyete ilk giriş tarihinden önce hakkında verilmiş olan ceza kararının özlük dosyasında yer aldığını, verilen kararda yer alan beş yıllık denetim süresinin dolduğunu ve davanın düşmesine karar verildiğini, kararın adli sicil kaydından da silindiğini, bu itibarla özlük dosyasında yer alan mezkûr karar ve ilgili dosyanın kaldırılarak imha edilmesi için veri sorumlusu kuruma yapmış olduğu başvurunun reddedildiğini belirtmiştir. Ancak, söz konusu dosyanın açık rızası dâhilinde, resmi olarak güvenlik soruşturması yapılmadan, veri sorumlusu kurumda çalışmaya ilk başladığı tarihte İl Yazı İşleri Müdürünün kendisine sözlü olarak güvenlik soruşturması yapması ve mahkeme sürecinin devam etmesi sebebiyle mahkeme kararını getirmesinin gerekmesi üzerine özlük dosyasına konulduğu, anılan verinin muhafazasını gerektiren bir sebebin bulunmadığı belirtilerek özlük dosyasında yer alan mahkeme dosyasının kaldırılmasını talep edilmiştir.

Veri sorumlusu ise; ilgili kişinin atamasının yapılabilmesini teminen başvuru belgelerinin istendiği, bu kapsamda sunulan belgeler arasında yer alan “Güvenlik Soruşturması ve Arşiv Araştırması Formu”nda “Hakkınızda Verilmiş Bulunan Mahkûmiyet Hükmü veya Halen Devam Eden Ceza Davası Bulunup Bulunmadığı” kısmının “Var” olarak beyan edilmesi nedeniyle, ilgili kişi hakkında verilmiş hükümler veya devam eden cezaların 657 sayılı Devlet Memurları Kanununun 48. maddesinde yer alan şartlara engel teşkil edip etmediğinin tespiti amacıyla, söz konusu mahkeme kararlarının ilgili kişinin kendi isteği ile … Asliye Ceza Mahkemesinden talep edilerek atamasının yapılıp yapılamayacağı hususunun incelenmesini teminen Kurumuna sunulduğu, ve sunulan belgenin 07.04.2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunun’dan (“KVKK”) önce özlük dosyasına eklendiğini belirtmiştir.

Kurul yapmış olduğu incelemede, söz konusu mahkeme kararlarının KVKK’nın 6. maddesi kapsamında özel nitelikli kişisel veri niteliğini haiz bulunduğu, KVKK’nın 6. maddesinin 1. fıkrasında kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerinin özel nitelikli kişisel veri olduğu, 2. fıkrasında özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğu, 3. fıkrasında, birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel verilerin kanunlarda öngörülen hallerde, sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceğinin hükme bağlandığı belirtiliştir. İlgili kişinin, başvurusunda resmi dayanağı olmaksızın yapıldığını iddia ettiği güvenlik soruşturması evrakının 2013 yılına ait olduğu, söz konusu tarihte 03.11.1994 sayılı Resmi Gazetede yayımlanan 4045 sayılı “Güvenlik Soruşturması, Bazı Nedenlerle Görevlerine Son Verilen Kamu Personeli ile Kamu Görevine Alınmayanların Haklarının Geri Verilmesine ve 1402 Numaralı Sıkıyönetim Kanununda Değişiklik Yapılmasına İlişkin Kanun” un yürürlükte bulunduğu, anılan Kanunun 1. maddesi uyarınca güvenlik soruşturması işleminin yapılabilmesinin ön koşulunun; ilgili personelin ya kamu kurum veya kuruluşlarında “gizlilik dereceli birim” olarak nitelendirilen birimlerde ya da düzenlemede sınırlı olarak sayılan kurumlarda yahut görevlerde çalıştırılacak olması durumlarından birisinin gerçekleşmesi olduğu, ilgili kişinin 657 sayılı Devlet Memurları Kanunu’nun (“657 sayılı Kanun”) 48. maddesinde yer verilen şartlar arasında gösterilen “Kamu haklarından mahrum bulunmamak” ve “Türk Ceza Kanunu’nun 53. maddesinde belirtilen süreler geçmiş olsa bile; kasten işlenen bir suçtan dolayı bir yıl veya daha fazla süreyle hapis cezasına ya da affa uğramış olsa bile devletin güvenliğine karşı suçlar, Anayasal düzene ve bu düzenin işleyişine karşı suçlar, zimmet, irtikâp, rüşvet, hırsızlık, dolandırıcılık, sahtecilik, güveni kötüye kullanma, hileli iflas, ihaleye fesat karıştırma, edimin ifasına fesat karıştırma, suçtan kaynaklanan malvarlığı değerlerini aklama veya kaçakçılık suçlarından mahkûm olmamak.” koşullarının adayda bulunup bulunmadığının tespit edilebilmesini teminen birtakım belgelerin, aday tarafından veri sorumlusuna sunulmasının gerektiği; ancak atamaya esas teşkil eden belgelerin neler olduğuna ilişkin olarak 657 sayılı Kanun’da herhangi bir hükmün yer almadığı, bununla birlikte; özel nitelikli kişisel veri niteliğini haiz bulunan “Ceza Mahkûmiyeti ve Güvenlik Tedbirleri” bilgisinin 657 sayılı Kanun uyarınca atamayı yapacak kuruma sağlanması hususunda adli sicil bilgisinin talep edilmesinin, KVKK’ya aykırılık teşkil etmediği tespit edilmiştir. Diğer taraftan ilgili kişinin, 657 sayılı Kanunundaki koşulları taşıyıp taşımadığının araştırılması noktasında yeterli olduğu düşünülen adli sicil kaydının, bilgi ve belge talepli Kurum yazısına veri sorumlusu tarafından gönderilen cevap ve ekinde yer almadığının görüldüğü, bu itibarla, söz konusu mahkeme kararlarının; adli sicil kaydı istenmeksizin/verilmeksizin, doğrudan mahkeme kararlarının talep edilmesi/verilmesi şeklinde gerçekleştiği; bununla birlikte durumun ilgili kişinin bilgisi ve talebi doğrultusunda gerçekleşmesi sebebiyle, Kanunun yürürlüğe girdiği tarihten önce gerçekleşen söz konusu olgunun, olayın gerçekleştiği tarihte yürürlükte bulunan mevzuat bakımından hukuka aykırılık içermediğinin değerlendirildiği, kararların teminen ilgili kişi tarafından veri sorumlusuna sunulan evraklar arasında yer aldığından özlük dosyasına girdiği anlaşılmıştır.

657 sayılı Kanun’un 109. maddesinin dördüncü fıkrası gereğince özlük dosyalarının tutulma esasları ile özlük dosyalarında yer alacak belgelere ilişkin usul ve esasların Devlet Personel Başkanlığınca (DPB) belirlendiği, bu sebeple, konuya ilişkin olarak memurların ilk veya naklen atanmalarına ilişkin belgeler ile memurun adaylık ve asli memurluğa atanmasına ilişkin belgelerin neler olduğu, kamu kurumlarının/kuruluşlarının memurlardan ilk işe başlamaları sırasında istedikleri bilgi ve belgelerin neler olduğu ile bu belgelerin her kurum/kuruluşta farklılık gösterip gösteremeyeceği hususları ile “yargı organlarınca memur hakkında verilmiş karar örnekleri” ifadesinin yargı organlarınca memurun çalışma hayatına ilişkin verilmiş karar örneklerini mi yoksa memur hakkında verilmiş tüm karar örneklerini mi kastettiği hususuna ilişkin olarak Kurumca, Devlet Personel Başkanlığından görüş talep edildiği ve Devlet Personel Başkanlığının Kuruma gönderdiği cevabi yazıda; 2 Seri No’lu Kamu Personeli Genel Tebliğinin “Özlük dosyalarının tutulma esasları ile özlük dosyalarında yer alacak belgelere ilişkin usul ve esaslar” başlıklı bölümüne ilişkin düzenlemelere yer verildikten sonra, “Mezkûr Tebliğde memurun özlük dosyasının sekiz bölümden oluştuğu belirtilmekte, bölümlerde hangi konulara ilişkin belgelerin yer alması gerektiği hususu düzenlenmekte olup, özlük dosyasında yer alan her bir bölüme ilişkin belgelerin tek tek zikredilmesinin mümkün bulunmadığı, kurumlarca lüzum görülen tüm belgelerin ilgili bölümlere konulmasının uygun olacağı, dosyanın dördüncü bölümünde memurun yalnızca çalışma hayatına ilişkin değil yargı organlarınca memur hakkında verilen tüm karar örneklerinin bulunması gerektiği değerlendirilmektedir” denilmekle birlikte, bahsi geçen kişisel verinin KVKK’nın 6. maddesi kapsamında özel nitelikli kişisel veri olması ve ilgili kişinin, şikâyet başvurusuna konu etmiş olduğu mahkeme kararlarının işlenmesine ilişkin olarak hâlihazırda açık rızasının bulunmaması hususları birlikte değerlendirildiğinde, söz konusu verilerin işlenmesinde KVKK’nın 6. maddesinin üçüncü fıkrasında yer alan “…sağlık ve cinsel hayat dışındaki veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilir…” düzenlemesi uyarınca kişisel verinin işlenebilmesinde “kanunlarda öngörülme” prensibi doğrultusunda hareket edileceği ve söz konusu ifadenin, “maddi kanun” biçiminde anlaşılması gerektiği, bu doğrultuda, DPB’nin Kurum görüş talebine verdiği cevap ve 2 Seri No’lu Kamu Personeli Genel Tebliği hükümleri uyarınca sözü edilen kararların özlük dosyasından çıkarılmasına yer olmadığı belirlenmiştir.

Şikâyete konu kişisel verinin özel nitelikli kişisel veri olduğu ve ilgili kişinin söz konusu mahkeme kararlarının özlük dosyasında yer almasına ilişkin hâlihazırda açık rızasının bulunmadığı; bununla birlikte, KVKK bakımından söz konusu kişisel verinin işlenmesine ilişkin “kanunilik” unsurunun öğretide ifade edilen “maddi kanun” olarak değerlendirilmesi gerektiği kanaatine varıldığından DPB’nin Kurum görüş talebine verdiği cevap ve 2 Seri No’lu Kamu Personeli Genel Tebliği hükümleri uyarınca mer’i mevzuat bakımından sözü edilen kararların özlük dosyasından çıkarılmasına yer olmadığına karar verilmiştir.

İlgili kişi ile bir Tıp Merkezi arasında ortaya çıkan uyuşmazlıkta, Tıp Merkezi’nin internet sitesinde pazarlama amaçlı olarak “Video Tanıtım” bölümü içerisinde ilgili kişi ile ilgili görsel ve işitsel kişisel verilerin işlendiği,  akdedilen iş sözleşmesi sona ermiş olduğundan kullanılan bu verilerin işleme amacı veya konusunun kalmadığı gerekçesiyle veri işlemenin durdurulmasını ve verilerin kaldırılmasını talep ettiğini, bu çerçevede veri sorumlusuna başvurduğu, bildirimde bulunmasına rağmen yasal sürede ilgili kişiye bilgi verilmediği, internet sitesindeki videoların silinmediği ifade edilerek veri sorumlusu Tıp Merkezi’ne ait internet sitesinde bulunan kişisel verilerinin silinmesi ve başkaca işlenen kişisel verilerinin bulunup bulunmadığı, hangi verilerinin hangi amaçla işlendiği hususlarında tarafına bilgi verilmesi talep edilmiştir.  

Konuya ilişkin şikayet sebebiyle inceleme başlatılarak, veri sorumlusu Tıp Merkezi’nden savunma istenmiştir. Veri sorumlusu, Kişisel Verileri Koruma Kurulu’na (“Kurul”) herhangi bir savunma ve bilgi/belge iletmemiştir. Kurul, veri sorumlusunun internet sitesinde yaptığı incelemelerde, veri sorumlusu Tıp Merkezi’nin kim tarafından kurulduğuna ilişkin bilgi toplamış ve Merkezi Sicil Kayıt Sistemi’nde kayıtlı olduğunu tespit etmiştir. Eldeki bilgi ve belgeler çerçevesinde incelemeler yaparak, karar vermiştir.

Şikayete konu olayda, ilgili kişiye ait görüntülerin kişisel veri niteliğinde olduğu,  şikâyet başvurusunda bulunanın gerçek kişi olması nedeniyle ilgili kişi sıfatını haiz olduğu, kişisel verilerin hangi amaçla ve araçla işleneceğini belirleyip veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olduğu için Tıp Merkezi’nin veri sorumlusu olduğu, veri sorumlusu tarafından reklam yapmak amacıyla ilgili kişinin görüntülerinin kullanılmasının kişisel veri işleme faaliyeti olduğunu tespit etmiştir.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) “Veri Sorumlusuna Başvuru” başlıklı 13. maddesinin ikinci fıkrasında yer alan “Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır.” hükmü sebebiyle, ilgili kişinin veri sorumlusuna başvurduğu, başvurusunda veri sorumlusu tarafından kişisel verilerinin, işleme amacı veya konusu kalmadığından silinmesi ve ilgili kişinin başkaca işlenen kişisel verilerinin bulunup bulunmadığı, hangi verilerinin hangi amaçla işlendiği hususlarında tarafına bilgi verilmesinin talep edildiği, ilgili kişinin, başvurusunun veri sorumlusuna tebliğ edildiği tarihten itibaren 30 günlük yasal süre içerisinde veri sorumlusundan herhangi bir cevap alamadığının anlaşıldığı, bu nedenle veri sorumlusu tarafından ilgili kişinin başvurusunu cevaplama yükümlülüğünün yerine getirilmediği anlaşılmıştır. Ayrıca, veri sorumlusu, ilgili kişinin şikayetine istinaden Kurul tarafından talep edilen savunmasını ve bilgi/belgeyi iletmemiştir.

Kurul tarafından verilen kararda, KVKK’nın 11. maddesi uyarınca, ilgili kişinin tüm kişisel verilerinin silinmesi veya yok edilmesi talebinin, işlenmesini gerektiren sebep ortadan kalkmasına rağmen veri sorumlusu tarafından KVKK’nın 7. maddesinin 1. fıkrası gereği yerine getirilmediği, ilgili kişinin silme talebinin üzerinden makul süre geçmesine rağmen söz konusu kişisel veri işleme faaliyetine KVKK’nın 5. maddesinde yer alan şartlarından herhangi birine dayanmaksızın devam edildiği ve  bu durumun KVKK’ya aykırılık teşkil ettiğine karar vermiştir. Bu kapsamda KVKK’nın 12. maddesinin 1. fıkrası hükümleri gereğince, kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığına karar vererek, 75.000,00.-TL idari para cezası uygulanmasına karar vermiştir. Ayrıca, ilgili kişiye ilişkin işlenen tüm kişisel verilerin silinmesi veya yok edilmesi ve tevsik edici belgelerin ilgili kişiye ve Kurul’a gönderilmesi hususunda ve başvuruda bulunan ilgili kişilere cevap verilmesine ilişkin gerekli özeni göstermesi hususunda veri sorumlusu hakkında işlem yapılmasına karar vermiştir.

İlgili kişi, daha önce personeli olduğu veri sorumlusu Üniversite’nin Sanat Tarihi Bölümüne iletmiş olduğu dilekçesinin akıbeti hakkında 4982 sayılı Bilgi Edinme Hakkı Kanunu kapsamında veri sorumlusundan kendisine bilgi verilmesini talep ettiği, bu kapsamdaki talebine ilişkin cevabın, doğrudan ve sadece kendisine verilmesi gerekirken başvurusunun halihazırda görevli olduğu aynı Üniversite’nin Meslek Yüksekokulu Müdürlüğüne, tüm taraflara açık biçimde yazılmış ve personele iletilen alelade resmi yazı şeklinde iletildiği, üçüncü kişilerin erişimine açılan kişisel bilgilerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında korunmasına yönelik olarak veri sorumlusundan gerekli tedbirleri almasını talep ettiği ancak yasal süre içinde gerekli tedbirlerin alınmadığı ve tarafına cevap verilmediği belirtilerek KVKK kapsamında gereğinin yapılması talep edilmiştir.

Veri sorumlusu savunmasında; ilgili kişinin başvurusunda yazı içeriğinde kendisine ait ad, soyad, unvan ve sicil numarasına yer verilerek, kişisel bilgilerinin üçüncü kişilerin erişimine açıldığının belirtildiği ancak ilgili kişinin zaten Üniversite’ye bağlı bir birimde görevli olduğundan bu bilgilerin çalıştığı birimde bulunması zorunlu olan bilgiler olduğu, dolayısıyla kişisel bilgilerinin üçüncü kişilerin erişimine açıldığı iddiasının gerçek durumla bağdaşmadığının düşünüldüğü, ilgili kişinin gönderdiği dilekçenin geldiği sistem üzerinden bağlantı kurularak, dilekçesine herhangi bir kasıt olmaksızın cevapla butonu ile yanıt verildiği için doğrudan çalıştığı birime gitmesine neden olunduğu ve bu çerçevede kişilik haklarının korunması ilkesi doğrultusunda zedeleyici/yıpratıcı bir tutum sergilenmesinin söz konusu olmadığını ifade etmiştir.

Kişisel Verileri Koruma Kurulu (“Kurul”) kararında; 

Veri sorumlusunun KVKK’nın 13. maddesi kapsamında kendisine yapılan başvuruya cevap vermemesinin Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in (“Tebliğ”) 6. maddesinde yer alan başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırma yükümlülüğüne aykırı olduğu değerlendirildiğinden veri sorumlusunun KVKK kapsamında kendilerine yapılan başvurulara Tebliğ’e uygun olarak cevap verilmesi hususunda azami dikkat ve özenin gösterilmesi konusunda uyarılmasına karar vererek, işlem yapmıştır.

Veri sorumlusunun söz konusu uygulaması neticesinde yetkisi olmayan kişiler tarafından ilgili kişinin verilerine erişildiği dikkate alındığında veri sorumlusunca kişisel verilerin muhafazasına yönelik veri güvenliğine ilişkin gerekli yükümlülüklerin yerine getirilmediği sonucuna ulaşılmıştır. Veri sorumlusunun KVKK’nın 12. maddesinin birinci fıkrasına aykırılık teşkil eden uygulaması nedeniyle sorumlular hakkında KVKK’nın 18. maddesinin üçüncü fıkrası çerçevesinde söz konusu aykırılıkların kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi sebebiyle, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre  işlem yapılmasına ve işlemin sonucu hakkında Kurul’a bilgi verilmesine karar verilmiştir.

Veri sorumlusu araç kiralama şirketinin hizmet noktasında, yetkilisi olduğu şirket adına kısa süreli araç kiralamak istediği, araç kiralama sözleşmesi ve ilgili belgelerin yetkili tarafından imzalanmasının talep edildiği, imzalanması talep edilen evrakları incelendiğinde önceki kiralamalardan farklı olarak kişisel verilerinin işlenmesine dair açık rıza verdiğine ilişkin evrakın da içinde bulunduğunu tespit ettiği, bunun üzerine kişisel verilerinin işlenmesine rıza göstermek istemediğini, bu nedenle de ilgili evrakı imzalamayacağını çalışana beyan etmesi üzerine araç kiralama işleminin gerçekleştirilmediği, konuyla ilgili olarak veri sorumlusuna yetkilisi olduğu şirket tarafından 23/03/2018 tarihinde başvuruda bulunduğu, veri sorumlusu tarafından 29/03/2018 tarihinde cevap verildiği ancak taleplerine yönelik hiçbir cevap veya çözüm önerisi yer almadığı gerekçesiyle 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında gereğinin yapılması talep edilmiştir.

Veri sorumlusu savunmasında; veri sorumlusu şirketin araç kiralama sektöründe öncü konumda olmakla birlikte tekel niteliğinde olmadığı, müşterilerin serbest piyasa kapsamında dilediği başka araç kiralama şirketinden kiralama yapma olanağının bulunduğunu belirtmiştir. Araç kiralama sektörünün büyümesi ve kiralık araç sayılarındaki artış ile birlikte özellikle uyuşturucuya ilişkin suçlar, gasp, hırsızlık ve terörle ilintili suçlarda kiralık araçların kullanımının yaygınlaşması üzerine kiralanan tüm araçların Kiralık Araç Bildirim Sistemine (KABİS) girişi zorunlu hale gelmiştir. 1174 sayılı Kimlik Bildirme Kanunu’nun Ek Madde 3 uyarınca “Araç kiralama şirketlerinin sorumlu işleticileri ve yöneticileri, kiralanan araç bilgileri ile aracı kiralayanların kimlik bilgileri ve kira sözleşmesi kayıtlarını usulüne uygun şekilde günü gününe tutmak ve bu kapsamda mevcut bilgi, belge ve kayıtları genel kolluk kuvvetlerinin her an incelemelerine hazır bulundurmak zorundadırlar.” şeklinde düzenleme yapılmış, bu düzenlemeye aykırı hareket eden, araç kiralamalarını sisteme girmeyen, istendiğinde bilgileri paylaşmayanlar hakkında cezai yaptırımlar öngörüldüğü, buna göre bu bilgilerin araç kiralama şirketi olarak alınmasının zorunlu olduğu, bu bilgilerin bilişim sisteminde arşivlenmesi maksadıyla yüklüce masraf ve gider yapıldığı, ayrıca bunlara veri paylaşım izni verilmediği takdirde fiilen araç kiralaması yapılmasının mümkün olmayacağını ifade etmiştir.

Ayrıca, Şirketin müşteriler ile imzaladığı sözleşmelerden kaynaklanan ilişkilerden doğan kanuni zorunlulukları uyarınca bu evrakları saklama ve yargı makamlarınca celbi talep edildiğinde ibraz etme yükümlülüğünün bulunduğu, Şirketin bu şekilde kanuni zorunlulukları bulunması nedeniyle şirketin veri işleyen sıfatını haiz olduğu kiralama hizmetine ilişkin kişisel verileri temin etmesi ve saklaması gerektiği, tüm bu nedenlerle, KVKK’ya aykırı olarak hareket etmemek amacıyla ilgili kişinin kiralama hizmetinden yararlandırılmadığı, açıklanan tüm bu sebeplerle araç kiralaması yapmak isteyip kanunen zorunlu kişisel verilerinin işlenmesine muvafakat etmeyen ilgili kişi bakımından bu tutumun fiili ve hukuki imkansızlıklar nedeniyle mesnedi bulunmadığı şeklinde savunmasını Kişisel Verileri Koruma Kurul’a (“Kurul”)  bildirmiştir.

Kurul kararında; 

Şikayete konu olayla ilgili olarak 1174 sayılı Kimlik Bildirme Kanunu’nun Ek-3.  maddesi kapsamında aracı kiralayan kişinin kişisel verilerinin ve kiralanan aracın bilgilerinin veri sorumlusu tarafından Emniyet Genel Müdürlüğü tarafından hazırlanan Kiralık Araç Bildirim Sistemine (KABİS) kaydının zorunlu olduğu, dolayısıyla KVKK’nın 5. maddesinin ikinci fıkrasının  (a) bendinde yer alan “Kanunlarda açıkça öngörülmesi” hükmü ve verilen hizmetin ifası amacıyla aynı fıkranın (c) bendinde yer alan “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” hükmü gereğince kişisel verilerinin işlendiği anlaşılmıştır. 

Ancak ilgili kişinin başvurusunun ekinde yer alan ve veri sorumlusu tarafından imzalatılmak istenen yazının;

“… Kişisel verilerinizin yasa gereği sözleşmenin ifası için gerektiği ölçüde işlenmesi ve aktarılması halleri haricinde, işbu onayınız ile Şirketimize vereceğiniz kişisel verilerinizin yukarıda belirtilen bilgiler kapsamında işleneceğine, yurtiçi ve yurtdışındaki üçüncü kişilere aktarılacağına rıza göstermektesiniz. ”   

şeklinde olduğu dikkate alındığında; KVKK’nın 5. maddesinin 2. fıkrasında bahsedilen “Kanunlarda açıkça öngörülme” halini aştığı ve diğer haller için de açık rıza alındığı, şikayete konu olayda da diğer haller için de açık rıza verilmemesi halinde hizmetten yararlandırılmadığı dolayısıyla hizmetin açık rıza şartına dayandırıldığı anlaşılmıştır.

Kişinin irade beyanı olan açık rızanın, kişinin yaptığı davranışın bilincinde ve kendi kararı olması halinde geçerlilik kazanacağından kişinin iradesini sakatlayacak her türlü fiilin, kişisel verilerin işlenmesi için verdiği açık rızayı da sakatlayacağı, bu anlamda açık rızanın özgür irade ile açıklanması gerektiğinden ilgili kişinin açık rızasının alınmasının bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmemesi gerektiği, kişisel verilerin veri sorumlusu tarafından KVKK’nın 5. maddesinin ikinci fıkrası kapsamında “Kanunlar açıkça öngörülme” halleri haricinde kişisel verilerin işlenmesi ve yurtdışına aktarımın sağlanması amacıyla açık rıza almasının ayrıca açık rızanın hizmetin dolayısıyla sözleşmenin bir koşulu olarak dayatılmasının söz konusu olduğunun görüldüğü bununla birlikte diğer kişisel veri işleme şartlarının varlığı söz konusu iken açık rıza alınmasının, ilgili kişinin yanıltılması ve yanlış yönlendirilmesi dolayısıyla veri sorumlusunca hakkın kötüye kullanılması anlamına da geldiği sonucuna varılmıştır.

Araç kiralama hizmeti alımı esnasında veri sorumlusu tarafından KVKK’nın 5. maddesinin 2. fıkrasında yer alan hukuka uygunluk nedenleri dışındaki haller kapsamında hizmetten faydalanmak isteyen kişilerin kişisel verilerinin işlenmesi amacıyla toptan bir şekilde açık rıza alımı yoluna gidildiği, hizmetin ifası için gerekli olmamasına rağmen kişisel verilerin talep edildiği ve açık rıza verilmemesi durumunda da kişilere hizmet verilmediği dikkate alındığında; hukuka aykırı veri işleme faaliyetinin söz konusu olduğu bu durumun ayrıca KVKK’nın 4 . maddesinde yer alan hukuka ve dürüstlük kurallarına uygun olma ilkesine de aykırılık teşkil etmesi nedeniyle, veri sorumlusunun KVKK’nın 12. maddesinin 1. fıkrasının (a) bendinde öngörülen “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğünü yerine getirmediği sonucuna ulaşılmıştır ve veri sorumlusu hakkında 50.000,00.-TL idari para cezası uygulanmasına karar verilmiştir.