Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından Aralık ayı içerisinde Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ, iş vaadi konulu TCK kapsamındaki kişisel veri ihlalleri ve alışveriş sırasında kişilere SMS doğrulama kodu gönderilmesi suretiyle kişisel verilerin işlenmesine ilişkin kamuoyu duyuruları ve 33 adet Kişisel Verileri Koruma Kurul (“Kurul”) kararı yayımlanmıştır.
Ayrıca podcast kanalı faaliyete geçirilerek yayınlar ve Kabahatler Kanunu'nun Genel Hükümleri Çerçevesinde Kişisel Verilerin Korunması Kanunu'nda Düzenlenen Kabahatler, Kişisel Verilerin Korunması Kanunu’na Uyum Süreci ve Kişisel Verilerin Korunması Alanındaki Suçlara İlişkin Değerlendirmeler konularında seminerler düzenlenmiştir.
6 Aralık 2021 tarihli ve 31681 sayılı Resmî Gazete’de Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ yayımlanmış ve aynı tarihte yürürlüğe girmiştir. Tebliğ, veri koruma görevlisi ve bu kapsamda söz konusu olacak sertifikasyona ilişkin hükümleri düzenlemektedir.
Veri koruma görevlisinin, kişisel verilerin korunması mevzuatı açısından yeterli bilgiye sahip olduğu kabul edilmektedir. Veri koruma görevlisi sıfatına haiz olmak isteyen kişilerin izlemesi gereken adımlar şu şekildedir:
Veri koruma görevlisi sıfatına hak kazanan kişi, bu unvanı 4 yıl süreyle kullanabilecektir. Kullanmaya devam etmek isterse tekrar sınava girerek başarı göstermesi gerekmektedir.
Kurum tarafından veri koruma görevlisi hakkında 10 Aralık 2021 tarihinde bir duyuru yayınlanmış ve bu unvanın kamuoyunda Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”)’nde düzenlenen Data Protection Officer (DPO) ile karıştırıldığı ancak DPO ile Tebliğ uyarınca VKG Sertifikası verilecek kişinin birbirinden farklı olduğu açıklanmıştır. Bu kapsamda GDPR’da düzenlenen belirli koşulları karşılayan veri sorumlularının DPO atamasını zorunluluğu, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve Kurum kararları kapsamında açıklanan VKG Sertifikası verilecek kişi için bulunmamaktadır.
7 Aralık 2021 tarihinde Kurum tarafından iş vaadi konulu TCK kapsamındaki kişisel veri ihlallerine ilişkin kamuoyu duyurusu yayımlanmıştır. Duyuruda ilgili kişilerin evde paketleme vb. konulu iş ilanlarına başvuruda bulundukları, başvuru neticesinde T.C. kimlik kartı fotoğraflarının ve belirtilen IBAN hesap numarasına para gönderilmesi ve hemen ardından para iadesi işlemi yapılmasının talep edildiği, sonrasında ise iş vaadinde bulunan işletmelere ya da kişilere ulaşılamadığı dolayısıyla kimlik bilgilerinin dolandırıcıların eline geçtiği yönünde şikâyet aldıkları belirtilmiştir.
KVKK’nın 17.maddesinde kişisel verilere ilişkin suçlar bakımından 5237 sayılı Türk Ceza Kanunu (“TCK”)’nun 135 ila 140’ıncı madde hükümlerinin uygulanacağı ve 15.maddesinde yargı mercilerinin görevine giren konularla ilgili olan dilekçelerin incelenemeyeceği düzenlenmiştir. Bu kapsamda TCK uyarınca hukuka aykırı olarak kişisel verileri kaydeden, kişisel verileri hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişiler hakkında hapis cezası uygulanacaktır. Şikâyet konusu olan iddialarda da dolandırıcılık amaçlı olduğu anlaşılan iş vaadi konulu durumların TCK uyarınca suç unsuru barındırabileceği ve ilgili kişilerin konuya ilişkin gerekli hukuksal işlemler için yargı yoluna başvurmaları gerekmektedir.
Kurum’a çok sayıda gelen benzer başvurular sebebiyle Kurum tarafından vatandaşların farkındalık düzeyinin arttırılması için kamuoyu duyurusunda bulunulmasına karar verilmiştir. Bu kapsamda, vatandaşların telafisi güç maddi veya manevi zararlarla karşılaşmamak adına güvenilir olmayan gerçek veya tüzel kişilerin iş ilanlarına itibar etmemeleri ve kişisel verilerini paylaşmamaları yönünde azami dikkat ve özen göstermesi gerektiği bildirilmiştir.
17 Aralık 2021 tarihinde Kurum tarafından yayınlanan duyuruda, mağazalarda gerçekleştirilen alışverişi müteakip kasa işlemleri esnasında ilgili kişilere SMS ile doğrulama kodu gönderildiği ve ödemelerinin tamamlanması ya da bilgilerinin güncellenmesi için gerekli olduğu gerekçesi ile söz konusu kodun kasa görevlisine bildirilmesinin istenildiği, ancak bahse konu işlemin akabinde ilgili kişilere söz konusu mağaza faaliyetleri ile ilgili ticari elektronik ileti gönderildiği konusunda Kurum’a çok sayıda şikâyet geldiği belirtilmiştir.
Kurul tarafından şikayetler incelendiğinde, ilgili kişilere gönderilen SMS içeriklerinde ya da SMS gönderimi öncesinde veri sorumlusunca herhangi bir aydınlatma yapılmadığı ve söz konusu kodun istenilen gerekçelerden farklı olarak ticari elektronik ileti gönderimine ilişkin açık rıza alınması için kullanıldığı ve ilgili kişilerin yanıltıldığı tespit edilmiştir.
Açık rıza, KVKK’nın 3.maddesinde “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmıştır. Şikayetlere sebebiyet veren durumlarda ise açık rıza beyanının hangi konuya ilişkin olarak istenildiği açıkça ortaya konulmamış, ilgili kişilere gerekli bilgilendirme yapılmamış ve yanıltma gibi iradeyi sakatlayan bir durum oluşturularak ilgili kişinin özgür biçimde karar vermesi engellenmiştir. Bu doğrultuda ilgili kişilerin açık rızalarının geçerli olduğu kabul edilemeyecektir.
Bu kapsamda, Kurul mağazalardaki alışveriş sırasında SMS gönderimi sırasında dikkat edilmesi gereken hususları şu şekilde belirtmiştir:
17 Aralık 2021 tarihinde 19 adet ve 27 Aralık 2021 tarihinde 14 adet Kurul karar özeti yayımlanmıştır. Bu kararlardan en önemlileri şu şekildedir:
a.) İlgili kişinin fotoğraflarının veri sorumlusunun sosyal medya hesabında paylaşılması
27.04.2021 tarih ve 2021/422 sayılı kararda, ilgili kişi eskiden çalışmış olduğu veri sorumlusunun çalıştığı dönemde çekilen fotoğrafları sosyal medya hesabından paylaşmaya devam etmesi ve kaldırmaması sebebiyle şikâyette bulunmuştur.
Veri sorumlusu, ilgili kişinin açık rızasının alındığına ilişkin bir delil sunmaması sebebiyle Kurul; kişisel verilerin hukuka aykırı şekilde işlendiğini, ilgili kişinin talebi üzerine fotoğrafların Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’te öngörülen 30 günlük yasal süre içinde silinmediğini göz önünde bulundurarak veri sorumlusu hakkında idari para cezası uygulanmasına, sosyal medya hesabında ilgili kişiye ait tüm fotoğrafların kaldırılması hususunda talimatlandırılmasına karar vermiştir.
b.) Veri sorumlusunun izni olmadan ilgili kişiye arama yapan veri işleyenin, veri sorumlusu olarak kabul edilmesi
04.06.2021 tarih ve 2021/548 sayılı kararda, ilgili kişi dijital platform ile hiçbir ilişkisinin olmamasına karşın sürekli olarak 0850’li bir çağrı merkezinden aranarak platforma üye olması yönünde pazarlama yapıldığı gerekçesiyle şikâyette bulunmuştur. Dijital platform cevap yazısında; ilgili kişinin şirket ile bir ilgisinin tespit edilemediği ve ilgili kişinin kişisel verilerinin nereden ve ne şekilde temin edildiğinin bilinmediği, şikâyet edilen numaranın bir bayiye tahsis edildiği, eğer bayii bu şekilde bir arama gerçekleştirmiş ise bunun kendilerinin bilgisi ve izni dâhilinde yapılmadığı beyan edilmiştir.
Kurul Kararında; sözleşmede dijital platform veri sorumlusu bayi ise veri işleyen olarak belirlenmiş olsa da ilgili kişinin dijital platformun talimatı veya bilgisi olmaksızın arandığı ve bu telefon numarası bayiye dijital platform tarafından iletilmediğinden ötürü bayinin veri işleyen sıfatından çıkarak veri sorumlusu hâline geldiğini tespit etmiştir. Bu kapsamda bayii hakkında ilgili kişinin kişisel verisinin hukuka aykırı elde etmesi ve işlemesi doğrultusunda KVKK’nın 12/1.maddesinde yer alan teknik ve idari tedbirleri almaması sebebiyle KVKK’nın 18/1-b.maddesi kapsamında idarî para cezası uygulanmasına karar verilmiştir.
c.) Kargo firması tarafından ilgili kişi adına sehven fatura düzenlenmesi
30.09.2021 tarih ve 2021/993 sayılı kararda, ilgili kişi herhangi bir hizmet almamasına karşın veri sorumlusu kargo şirketi tarafından e-posta adresine kendisi adına düzenlenen bir fatura gönderildiği, kargo gönderim kodu ile yapılan sorguda faturanın bir firmaya teslim edilen kargo işlemine ait olduğu ve faturada yer alan ad, soyadı, adres, e-posta adresi, T.C. kimlik numarası gibi kişisel verilerinin kargo gönderilen firmaya aktarıldığı gerekçesiyle şikâyette bulunmuştur.
Kargo şirketinden Kuruma iletilen cevap yazısında; ilgili kişinin şikâyetine konu kişisel verilerinin, bir meslek kuruluşu ile imzalanan ve söz konusu meslek kuruluşunun üyelerinin indirimli gönderim ücretlerinden yararlanmasını sağlayan sözleşme kapsamında veri sorumlusunun arşivinde bulunduğu, şikâyete konu faturalandırma işleminin veri sorumlusunun acentesi tarafından sehven gerçekleştirildiği, söz konusu faturanın iptal edildiği ve işlemi gerçekleştiren acente çalışanlarına gerekli uyarıların yapıldığı beyan edilmiştir.
Kurul Kararında; veri sorumlusunun, hatalı faturalandırma işlemi ile veri işleme şartları bulunmadan ilgili kişinin kişisel verilerinin işlenmesinin hukuka aykırılık oluşturması sebebiyle KVKK’nın 12/1.maddesinde yer alan teknik ve idari tedbirleri almaması sebebiyle KVKK’nın 18/1-b.maddesi kapsamında idarî para cezası uygulanmasına karar verilmiştir.
d.) İnternetten verilen siparişte teslim talebi ev adresi olmasına karşın iş adresine gönderilmesi
22.06.2021 tarih ve 2021/603 sayılı kararda, ilgili kişi internet alışveriş sayfası üzerinden ev adresine teslim talepli olarak vermiş olduğu siparişlerinin, veri sorumlusu tarafından sebep belirtilmeksizin işyeri adresine gönderilmesi gerekçesiyle şikâyette bulunmuştur.
Kurul Kararında; veri sorumlusu tarafından ilgili kişinin belirtmiş olduğu adresten farklı bir adrese (daha önce ilgili kişinin kargo teslimatlarının yapıldığı iş yeri adresi) teslimatın yönlendirilerek iletişim bilgisinin işlenmesinin KVKK m.5’te yer alan kişisel veri işleme şartlarından herhangi birine dayanmaksızın gerçekleştiği, dolayısıyla veri sorumlusunun KVKK’nın 12/1.maddesinde belirtilen yükümlülüğe aykırı hareket ettiği kanaatine varılması nedeniyle veri sorumlusu hakkında KVKK’nın 18/1-b.maddesi kapsamında idari para cezası uygulanmasına karar verilmiştir.
e.) Hasta kayıt ekranına hukuka aykırı şekilde erişilerek resminin çekilmesi
06.07.2021 tarih ve 2021/666 sayılı kararda, ilgili kişi veri sorumlusu hastanede doğan oğluna ait doğum belgesinin yer aldığı bilgisayar ekran görüntüsünün boşanmış olduğu eski eşi tarafından Aile Mahkemesinde tarafına açılan davada delil olarak kullanıldığı ve belgenin içeriğinde oğlunun T.C. kimlik numarası, doğum tarihi, anne ve baba adı, hasta numarası vb. kişisel verilerin yer aldığı gerekçesiyle şikâyette bulunmuştur.
Kurul Kararında; veri sorumlusu bünyesinde kayıt altına alınan kişisel verilerin yer aldığı ve doğumhane/bebek odasındaki hastaların bilgilerinin takip edildiği sisteme KVKK’ya aykırı olarak üçüncü kişiler tarafından erişim sağlandığı ve şikâyete konu olan ekran görüntüsünün çekildiği dikkate alınarak KVKK’nın 12/1.maddesinde belirtilen yükümlülüğe aykırı hareket ettiği kanaatine varılması nedeniyle veri sorumlusu hakkında KVKK’nın 18/1-b.maddesi kapsamında idari para cezası uygulanmasına karar verilmiştir.
f.) Spor tesisi tarafından müsabakaların kaydedilip yayınlanması
03.09.2021 tarih ve 2021/889 sayılı kararda, ilgili kişi halı saha işletmeciliği yapan veri sorumlusunun spor tesislerinde görüntü kaydı yaparak elde ettiği kayıtları kendine ait internet platformunda yayınlandığı gerekçesiyle şikâyette bulunmuştur.
Kurul Kararında; kayıtlarda görüntüleri yer alan kişilerin fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin verilerinin, bu bireylerin özgün bir şekilde teşhis edilmesini sağlayabilecek nitelikte oldukları dikkate alınmış ve bu kapsamda veri sorumlusunun KVKK’da yer alan herhangi bir kişisel veri işleme şartına dayanmaksızın verileri işlemesi sebebiyle KVKK’nın 12/1.maddesinde belirtilen yükümlülüğe aykırı hareket ettiği kanaatine varılması nedeniyle veri sorumlusu hakkında KVKK’nın 18/1-b.maddesi kapsamında idari para cezası uygulanmasına karar verilmiştir.
Kurum tarafından düzenlenen Çarşamba seminerleri kapsamında 1 Aralık 2021 tarihinde 5. Kabahatler Kanunu’nun Genel Hükümleri Çerçevesinde Kişisel Verilerin Korunması Kanunu’nda Düzenlenen Kabahatler konulu seminer düzenlenmiştir. Seminere TOBB Ekonomi ve Teknoloji Üniversitesi Ceza ve Ceza Muhakemesi Hukuku Öğretim Üyesi Prof. Dr. Olgun DEĞİRMENCİ konuşmacı olarak katılım sağlamıştır.
Seminerde, KVKK ve Kabahatler Kanunu (“KK”) arasındaki ilişkiye değinilerek KVKK’nın KK’ye göre sonraki özel kanun niteliği taşıdığı belirtilmiştir. KVKK m.18’de idari para cezası düzenlenmediği için KK m.3/1-b, KVKK’da düzenlenen kabahatler bakımından da uygulanacaktır. Ayrıca, KVKK’da kanun yoluna ilişkin özel bir düzenleme olmadığı için KK’da düzenlenen yargı yolu uygulanacaktır.
KVKK’da idari para cezaları alt ve üst sınırları gösterilerek belirlenmiştir. Buna göre alt ve üst sınırlar arasında para cezasının miktarlarının belirlenmesinde kabahatin haksızlık içeriği, failin kusuru ve ekonomik durumu göz önüne alınacaktır. Bunun dışında eylemin tekerrür etmesi halinde idari yaptırımın ağırlaştırılmasına KVKK’da yer verilmemiştir.
Kurum tarafından düzenlenen Çarşamba seminerleri kapsamında 15 Aralık 2021 tarihinde Kişisel Verilerin Korunması Kanunu’na Uyum Süreci ve VERBİS konulu seminer düzenlenmiştir. Seminere Kurum Veri Yönetimi Dairesi Başkanı Mustafa ERBİLLİ ile Kurum Uzmanları Ahmet Miraç SÖNMEZ ve Ahmet Sait ALTIN konuşmacı olarak katılım sağlamıştır.
Seminerde, Ahmet Miraç SÖNMEZ KVKK Uyum Yol Haritası kapsamında ilk olarak veri sorumlusu bünyesinde bir KVKK uyum ekibinin veya komisyonunun kurulması gerektiğini dile getirmiş ve söz konusu ekibe her birimden en az bir personelin katılmasının faydalı olacağını belirtmiştir. Ayrıca kişisel veri işleme envanterinin de titizlikle hazırlanması ve envanter hazırlanırken kişisel veri işleme süreçlerinin iyi analiz edilmesi gerektiğine değinmiştir. Yol haritasının devamında VERBİS’e kaydın gerçekleştirilmesi, kişisel veri saklama ve imha politikasının hazırlanması, aydınlanma ve açık rıza metinlerinin hazırlanması, ilgili kişi başvurularının uygun biçimde sonuçlandırılması için mekanizma oluşturulması veya mevcut mekanizmaların iyileştirilmes ve teknik ve idari tedbirlerin alınması gerekmektedir.
Ahmet Said ALTIN, konuşmasında VERBİS’e kayıt esnasında yapılan hatalı işlemlere değinerek bu işlemlere ilişkin örnekler paylaşmış, kayıt ve bilgi girişi işlemleri için Kurumun internet sayfasında yayınlanan VERBİS kılavuzundan yararlanılabileceğini ifade etmiştir. Mustafa ERBİLLİ ise örnek amacı ile VERBİS’e canlı bilgi girişinde bulunmuş, uygulamada karşılaşılabilecek soruları ve konuyla ilgili önemli noktaları vurgulamıştır.
Kurum tarafından düzenlenen Çarşamba seminerleri kapsamında 29 Aralık 2021 tarihinde Kişisel Verilerin Korunması Kanunu ve Yargıtay Kararları Doğrultusunda Kişisel Verilerin Korunması Alanındaki Suçlara İlişkin Değerlendirmeler konulu seminer düzenlenmiştir. Seminere Hacettepe Üniversitesi Hukuk Fakültesi Dr. Öğr. Üyesi Muammer KETİZMEN konuşmacı olarak katılım sağlamıştır.
Kişisel verilere ilişkin hükümleri TCK kapsamında inceleyen KETİZMEN, KVKK öncesi ve sonrasına dair Yargıtay’ın esas aldığı kriterlerden bahsetmiştir. KVKK öncesinde Yargıtay, kişisel veriyi “ancak herkesin ulaşamayacağı nitelikte” veri olarak kabul etmiş, ilerleyen süreçte de TCK m.135 uyarınca gerçek kişi hakkındaki tüm verilerin kişisel veri olarak kabul edilmesi gerektiği kanaatine varmıştır.
KVKK sonrası dönemde ise kişisel veriyi tasnif ederken Yargıtay verinin içerik ve niteliğine bakarak, özel yaşama ilişkin olduğunda TCK m.134 kapsamında bir değerlendirme yapılması, özel yaşamın dışında bir veri ise TCK m.135 ve 136 kapsamında bir değerlendirme yapılması gerektiği görüşündedir.
Kurum tarafından “Bir Küçük Farkındalık Yeter” kanalı açılarak podcast yayınları yapılmaya başlanmıştır. İlk podcast yayını 15 Aralık 2021’de gerçekleştirilmiş ve Kurum Başkanı Prof. Faruk Bilir’in katılımı ile Türkiye’de kişisel verilerin korunması alanının Türkiye’deki gelişmelerinden bahsedilmiştir.
Bu konudaki ilk hukuki düzenleme Almanya’nın Essen kentindeki 1970 yılındaki Veri Koruma Kanunu olup, ilk uluslararası bağlayıcı sözleşme ise 28 Ocak 1981 tarihinde imzaya açılan 108 sayılı sözleşmedir. Ülkemizde 2005 yılında yürürlüğe giren TCK ile Kişisel Verileri korumaya yönelik düzenlemeler getirilmiş, esas düzenleme de 2010 yılındaki anayasa değişikliği ile olmuştur. KVKK ise 7 Nisan 2016 tarihinde resmî gazetede yayınlanmıştır.
22 Aralık 2021 tarihli podcast yayınında da Unutulma Hakkı konusundaki rehber seslendirilmiştir. Bu Rehber’e ilişkin değerlendirmemize Ekim ayı bültenimizden ulaşabilirsiniz.
Bir Küçük Farkındalık Yeter kanalında 30 Aralık 2021’de Kurum Hukuk İşleri Dairesi Başkanı Demet ARSLANER KEKLİKKIRAN’ın katılımı ile gerçekleştirilen podcast yayınında kişisel verilerin işlenme şartları ve yurt dışına aktarımı hususları değerlendirilmiştir.
Yayında öncelikle kişisel verilerin neden korunması gerektiği ve kişisel verilerin önemine dair Anayasa ve Avrupa İnsan Hakları Sözleşmesi kapsamında bir değerlendirme yapılmıştır. Kişisel verilerin işlenmesi konusunda da kişisel verilerin işlenebilmesi için KVKK’da öngörülen hukuki şartlar incelenmiştir.
Kişisel verilerin yurtdışına aktarılması konusunda gereken güvencelerden bahsedilmiş ve Avrupa Veri Koruma Tüzüğü’ne atıf yapılarak konu incelenmiştir. Bu konuda Avrupa Birliği standartları ile uyumlu hale getirme çalışmalarının gerçekleştirildiğine de değinilmiştir.
Yukarıda incelediğimiz kamuoyu duyuruları, kararlar ve seminerler doğrultusunda: