KİŞİSEL VERİLERİ KORUMA KURULU'NUN YAYINLADIĞI KARAR ÖZETLERİ

Kişisel Verileri Koruma Kurulu’nun Yayınladığı Karar Özetleri

  1. İlgili kişinin telefon numarası bilgisinin farklı veri sorumluları tarafından hukuka aykırı olarak işlenmesi hakkında 09.02.2021 tarihli ve 2021/111 numaralı karar:

 

Veri Sahibi Şikayeti/Talebi: İlgili kişi cep telefonuna, yakınına ait bir borca ilişkin iki adet kısa mesaj (SMS) gönderildiği bu mesajların kendisine ait herhangi bir içerik barındırmadığı; konuya ilişkin olarak ilgili hukuk bürosuna ve alacak sahibi şirkete başvuruda bulunduğu ancak ilgiliye verilen yanıtların birbiri ile çelişkili ve yetersiz olduğunu ifade ederek, Kanun kapsamında veri sorumluları hakkında gereken işlemlerin yapılmasını talep etmiştir.

Kurul Tarafından Verilen Karar:

 • İlgili kişinin telefon numarasının ilk hukuk bürosu çalışanı tarafından temin edilmesi ve işlenmesine ilişkin olarak, veri sorumlusu avukat tarafından ileri sürülen hususların Kanun’un 5. maddesinin ikinci fıkrasında yer alan açık rıza dışındaki kişisel veri işleme şartlarından herhangi birine dayanak teşkil etmediği dolayısıyla veri sorumlusu avukatın Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12. maddesinin birinci fıkrasının (a) bendinde öngörülen yükümlülüğü yerine getirmediği kanaatine varıldığından, veri sorumlusu avukat hakkında, Kanun’un 18. maddesinin birinci fıkrasının (b) bendi uyarınca 50.000 TL idari para cezası uygulanmasına,

• Şirket tarafından borç takibi yapılabilmesi amacıyla kullanılan sisteme ilk avukat tarafından girilen verilerin Kanun’un 4. maddesi gereğince doğruluğu ve güncelliğini sağlama noktasında gerekli denetim ve kontroller yapılmaksızın ikinci avukat ile paylaşılması sebebiyle veri sorumlusu Şirketin gerekli teknik ve idari tedbirleri almadığı dolayısıyla Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12. maddesinin birinci fıkrasında yer alan yükümlülüğünü yerine getirmediği kanaatine varıldığından, veri sorumlusu şirket hakkında Kanun’un 18. maddesinin birinci fıkrasının (b) bendi uyarınca 115.000 TL idari para cezası uygulanmasına,

 • YTS sisteminde bulunan telefon numarasının, kişinin yakınına ait olduğu bilgisi mevcut olmasına rağmen veri sorumlusu avukat tarafından ilgili kişiye SMS göndermek suretiyle Kanun’un 5. maddesinde yer alan kişisel veri işleme şartlarından herhangi biri söz konusu olmadığı halde işlendiği bu itibarla, veri sorumlusu avukat tarafından Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12. maddesinin birinci fıkrasının (a) bendinde öngörülen yükümlülüğün yerine getirilmediği kanaatine varıldığından, veri sorumlusu avukat hakkında, Kanun’un 18. maddesinin birinci fıkrasının (b) bendi uyarınca, 50.000 TL idari para cezası uygulanmasına karar verilmiştir.

  1. Bir kargo firmasında çalışan ilgili kişinin iş akdinin haksız feshedilmesi sonrası özlük dosyası kapsamında yer alan kişisel verilerinin birer suretinin tarafına verilmesi talebine veri sorumlusu tarafından cevap verilmemesi hakkında 28.05.2020 tarihli ve 2020/435 karar numaralı karar:

 

Veri Sahibi Şikayeti/Talebi: Bir kargo firmasında denetim uzmanı olarak görev yaparken iş akdinin haksız, geçersiz ve tazminatsız olarak feshedildiği; tehdit, baskı ve türlü vaatlerde bulunularak tarafından ileri tarihli istifa dilekçesinin alınması sonrası özlük dosyası kapsamında yer alan kişisel verilerinin birer suretini Kanun’un 11. maddesinin (1) numaralı fıkrasının (b) bendi kapsamında veri sorumlusu kargo firmasından talep etmesine rağmen, tarafına 30 gün içerisinde herhangi bir cevap verilmediği ifade edilerek Kanun’a aykırı uygulama nedeniyle veri sorumlusu hakkında yaptırım uygulanması ve özlük dosyası kapsamında yer alan kişisel verilerinin birer suretinin tarafına verilmesi amacıyla veri sorumlusunun talimatlandırmasını talep etmiştir.

 

Kurul Tarafından Verilen Karar:

 

• İlgili kişinin başvurusunun, Kanun’da düzenlenen haklara ilişkin olmadığı ve başvurunun Kanun’da düzenlenmeyen bir konu olan belge örneği talebi içerdiği için Kanun’un 11. maddesi kapsamında karşılanmasının mümkün olmadığı gerekçesiyle veri sorumlusu tarafından 30 günlük yasal süre içerisinde cevaplandırılmadığı dikkate alındığında, ilgili kişiye ait kişisel veri niteliğindeki bilgilerini içeren 30.09.2019 tarihli savunma yazısı ile 18.10.2019 tarihli ve 17.10.2019 tarihli istifa dilekçelerinin birer örneğinin ilgili kişiye verilmesi hususunda Kanun’un 15. maddesinin (5) numaralı fıkrası kapsamında veri sorumlusunun talimatlandırılmasına,

 

• Veri sorumlusunun, ilgili kişiler tarafından Kanun kapsamında yapılan başvurulara yasal süresi içerisinde cevap vermesi noktasında azami dikkat ve özeni göstermesi gerektiği hususunda talimatlandırılmasına karar verilmiştir. Bu kapsamda, belge suretinin verilmesi talebinin Kanun’un 11. maddesi kapsamında değerlendirilmemesi gerekçesiyle, talebe 30 gün içerisinde cevap verilmemesi nedeniyle veri sorumlusu aleyhine bir idari para cezası uygulanmamıştır.

 

  1. Hüküm verildiği suçtan dolayı cezası infaz edilen ilgili kişiye ait haberin yayımlandığı gazetenin internet sitesinden kaldırılması talebi hakkında 22.05.2020 tarihli ve 2020/414 numaralı karar:

 

Veri Sahibi Şikayeti/Talebi: Müvekkilinin yurtdışında başına gelen bir olay nedeniyle internet yayınlarında adı ve soyadının geçtiği, Google arama motorunda adı ve soyadının aratılması sonucunda veri sorumlusu gazetenin internet sitesinin linkine ulaşıldığı, söz konusu haberde müvekkilinin hüküm giydiği suça ilişkin bilgilerin yer aldığı ve haberin 2009 Haziran dönemine ait olması sebebiyle yaklaşık 10 yıl öncesine ilişkin olduğu, söz konusu cezanın tamamının infaz edildiği, ulaşılan haberler nedeniyle müvekkilinin iş hayatı ve ailesinin bu durumdan olumsuz etkilendiği, veri sorumlusu Gazeteye başvurulduğu; ancak başvurusunun aynı gün reddedildiği ifade edilerek kişisel verileri ve özel nitelikli kişisel verilerini ihlal eden tarafların hukuka aykırı davranışlarına son verilerek haberlerin kaldırılması, ilgili kurumlara Kanun kapsamında idari para cezası verilmesi, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması nedeniyle veri işlenmesinin ve verinin yurt dışına aktarılmasının durdurulması, ilgili kurumlar hakkında savcılığa suç duyurusunda bulunulması talep etmektedir.

 

Kurul Tarafından Verilen Karar:

 

 • İlgili kişinin kendisine ilişkin verinin söz konusu habere konu edilerek yayımlanmasında hâlihazırda kamu yararı bulunduğu ve bu itibarla çatışan haklar bakımından ifade özgürlüğünün kişilik haklarına üstün geldiği sonucuna varıldığı ve söz konusu başvurunun Kanun’un 28. maddesinin birinci fıkrasının (c) bendi çerçevesinde değerlendirilmesi nedeniyle ilgili kişinin şikayeti ile ilgili olarak Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir. Burada söz konusu olan veri sahibi talebi, GDPR kapsamında ele alınan “unutulma hakkı” ile bağlantılıdır ancak burada kişinin kamuya mal olmuş bir kişi olması nedeniyle, kamu yararı üstün tutularak kişisel veri ihlali olmadığına kanaat getirilmiştir.

 

  1. İlgili kişinin tahlil sonuçlarının veri sorumlusu hastane tarafından hukuka aykırı şekilde üçüncü kişilere aktarılması hakkında 20.05.2020 tarihli ve 2020/407 karar numaralı karar:

 

Veri Sahibi Şikayeti/Talebi: İlgili kişi, şikayete konu hastanenin tüp bebek bölümüne tahlil için başvurduğu, tahlil sonuçlarının e-posta yoluyla kendisine iletildiği, ancak aynı e-postanın başka bir e-posta adresine ve tanımadığı bir kişiye daha gönderildiğini fark ettiği, veri sorumlusu hastanenin “Kişisel Verilerin Korunması ve İşletilmesi Politikası” kapsamında kişisel verilerinin muhafazasında gerekli tedbirleri almadığı, kişisel verilerinin işlenme amacının gereklilikleri doğrultusunda üçüncü kişilere aktarılmasında ilgili mevzuata ve alt düzenlemelere uygun davranmadığı, bu sebeple veri sorumlusundan ihtarname ile bilgi talebinde bulunduğu, söz konusu talebine ilişkin veri sorumlusu tarafından hatanın kabul edildiğini içeren bir cevap verildiği belirtilerek Kanun kapsamında gereğinin yapılması talep etmiştir.

 

Kurul Tarafından Verilen Karar:

 

• Veri sorumlusu hastane tarafından Kurul’a iletilen Veri Sorumlusu Tanıtım Formunda veri sorumlusu olarak mesul müdürün gösterildiği ve bu kişiye ilişkin bilgilerin söz konusu forma işlendiği görüldüğünden, Kanun’un 3. maddesinde veri sorumlusunun, “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olduğu, tüzel kişilerin, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendilerinin “veri sorumlusu” olduğu, ilgili düzenlemelerde belirtilen hukuki sorumluluğun da tüzel kişinin şahsında doğacağı, bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından bir farklılık gözetilmediği, bahse konu hüküm çerçevesinde hastanenin bizatihi veri sorumlusu olduğunun hastaneye hatırlatılmasına,

 

• Veri sorumlusu hastane tarafından, ilgili kişinin özel nitelikli kişisel verisinin Kanun’un 8. maddesinde belirtilen ilgili kişinin açık rızası ya da 6 ncı maddede düzenlenen işleme şartlarından biri olmadığı halde üçüncü kişilere aktarılmak suretiyle hukuka aykırı olarak işlenmesi sebebiyle, Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12. maddesinin birinci fıkrasına yönelik yükümlülüğünü yerine getirmediği kanaatine varılan veri sorumlusu hakkında Kanun’un 18. maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına karar verilmiştir.