6 Kasım 2019 tarihinde Kişisel Verileri Koruma Kurulu’nun (“Kurul”) yeni karar özetleri yayınlanmıştır. İşbu kararlar aşağıdaki konulara ilişkindir;
1. Veri Sorumlusuna Taleplerin İletim Yolları
Kurulun “Bir operatör şirketinin, ilgili kişinin internet sitesi üzerinden yapmış olduğu başvurusunu kimlik teyidi yapamadığı gerekçesiyle reddetmesi” konulu, 01.10.2019 tarihli ve 2019/296 sayılı karar özeti yayınlanmıştır.
Şikâyete konu olayda, ilgili kişi bireysel olarak telekomünikasyon hizmeti aldığı Operatör Şirketine (“Şirket”) internet üzerinden bir başvuru yapmıştır. Şirket ise başvurunun noter aracılığıyla veya elektronik imzalı e-posta ile iletilmemesinden bahisle başvuruyu reddetmiştir.
Şirket veri sorumlusu olarak konuya ilişkin şu açıklamaları yapmıştır;
Şirket internet sitesinde yer alan Gizlilik Politikasında, talep formunun bu vasıtalar kullanılarak gönderilmesi gerektiğine ilişkin bilgilendirmenin yapıldığı,
Söz konusu formun Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e (“Tebliğ”) uygun olarak sunulduğu,
Başvurunun bu şekilde yapılmasının talep edilme gerekçesinin ilgili kişinin kimlik tespitinin yapılması olduğu,
İlgili kişinin başvurusunu ilettiği formda ise kimlik bilgilerini teyit edebilecek bilgilerin bulunmadığı ifade edilmiştir.
6698 sayılı Kişisel Verilerin Korunması Kanunu’na (“Kanun”) göre, ilgili kişi bu Kanun’un uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir.
Tebliğ’in 5’inci maddesine göre ise, ilgili kişi taleplerini;
Yazılı olarak,
Kayıtlı elektronik posta (KEP) adresiyle,
Güvenli elektronik imzayla,
Mobil imza kullanarak,
Önceden veri sorumlusuna bildirdiği bir elektronik posta adresi kullanmak suretiyle,
Başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna iletebilir.
Tebliğ’in 6’ncı maddesine göre ise; veri sorumlusu bu tebliğ kapsamında yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlüdür.
Bu kapsamda Kurul aşağıdaki değerlendirmeleri yapmıştır;
Şirketçe kimlik teyidi sağlamak amacıyla yalnızca noter kanalı veyahut e-imza ile başvuruda bulunabileceğinin bildirilmesi, Kanun’da ya da Tebliğ’de öngörülmeyen maddi bir külfetin getirilmesidir. Bu şekilde ilgili kişinin uygun bir başvuru yapma hakkı engellenmiştir. Tebliğ’in 6’ncı maddesinde sayılan hukuka uygunluk ve dürüstlük kuralı ile bağdaşmayan bir durum mevcuttur. Bu değerlendirmeler kapsamında Şirket’e bir idari para cezası verilmeyerek Şirket’in talimatlandırılmasına (“uyarılmasına”) karar verilmiştir.
İlgili kişinin ise Kanun’un 11. maddesindeki hakları ve Tebliğ’in ilgili maddeleri konusunda bilgilendirilmesine karar verilmiştir.
2. İlgili Kişiden Kimlik Fotokopisi Talebi
Kurulun “ilgili kişinin kullanıcı adı ve parola bilgilerini değiştirme talebi karşısında veri sorumlusunun arkalı önlü kimlik görüntüsü talebi” hakkında 01.10.2019 tarihli ve 2019/294 sayılı karar özeti yayınlanmıştır.
İlgili kişi, bir havayolu taşımacılık şirketinin (veri sorumlusu) sunmuş olduğu sadakat programını kullanırken kullanıcı adı ve parola bilgilerini değiştirme talebinde bulunmuştur. Veri sorumlusu ise kişiden arkalı önlü kimlik fotokopisi talep etmiştir. Bu nedenle bilet bilgilerine erişmek için kimlik görüntüsü o sırada iletilmiştir. Ancak daha sonra ilgili kişi bu görüntünün silinmesini talep etmiştir. Buna yanıt olarak veri sorumlusu bilgilerin sistemde tutulmadığını ifade etmiştir ve ilgili kişi de Kurula şikâyette bulunmuştur.
Kurul aşağıdaki değerlendirmeleri yapmıştır;
Kimlik görüntüsü üzerinde yer alan “din bilgisi” ve “kan grubu” gibi bilgilerin özel nitelikli kişisel veriler olduğu için işlenmesinde ilgili kişinin açık rızasının alınması gerekmektedir. Bu nedenle veriler hukuka aykırı olarak işlenmiştir.
Veri sorumlusu kimlik görüntülerini işlemesinde hangi hukuki işleme şartına dayandığını belirtmemiştir. Bu nedenle veri sorumlusu belirli, açık ve meşru amaçlar için işleme ilkesine aykırı olarak verileri işlemiştir.
Kimlik doğrulama işlemi için daha az veri işlemek mümkündür, bu nedenle veri sorumlusu verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırı olarak işlemiştir.
Veri sorumlusu kimlik görüntülerini silmeyerek, verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme ilkesine de aykırı olarak işlemiştir.
Bu itibarla Kurul aşağıdaki karaları vermiştir;
Veri sorumlusu, Kanunun 12. maddesinin 1. fıkrasında yer alan veri güvenliğine ilişkin yükümlülüklerini yerine getirmemiştir. Bu nedenle, Veri Sorumlusu hakkında Kanunun 18. maddesinin 1. fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına,
Verilerin silindiği bilgisinin ilgili kişiye bildirilerek sonrasında Kurumumuza bilgi vermesi, önceden bildirildi ise de buna ilişkin belgelerin Kurulumuza iletilmesi konusunda veri sorumlusunun talimatlandırılmasına,
Sadakat kart uygulaması ve diğer hizmetlerin sunulması sürecinde ilgili kişilerin kimliklerinin teyidinde uygulanan yöntemin Kanun kapsamında yeniden değerlendirilmesi ve gerekli bilgilendirmelerin yapılması konusunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.
3. Cep Telefonu Numarasının Bir Banka Tarafından Veriliş Amacı Dışında Kullanılması
Kurulun “bir bankanın, ilgili kişinin cep telefonu numarasını bankaya veriliş amacı dışında kullanması” konulu 18.09.2019 tarih ve 2019/227 sayılı karar özeti yayınlanmıştır.
Karara konu olayda, bir banka çalışanı eşine ulaşamadıkları gerekçesiyle şikayetçiyi aramıştır. Bankaya kendisiyle ilgili işlemlerde kullanılması için verdiği iletişim bilgisinin amacı dışında kullanılması nedeniyle ilgili kişi şikâyette bulunmuştur. Zira bu konuda bilgi almak için bankaya başvuruda bulunulmuş ancak banka hizmet hattının aranarak konuya ilişkin bilgi edinilebileceğine dair bir e-posta göndermiştir.
Bu çerçevede Kurul aşağıdaki kararları vermiştir;
Şikâyetçinin başvurusuna Tebliğ hükümlerine uygun cevap verilmemiştir. Bu nedenle Bankaya Kanun ve Tebliğ hükümlerine uyum hususunda azami dikkat ve özenin gösterilmesi konusunda hatırlatmada bulunulmasına,
Şikâyetçinin müşterisi olduğu Bankaya kendisine ait iş ve işlemlerde kullanılması adına vermiş olduğu telefon numarası bilgisi, eşine ulaşılmasında yardımcı olunabilmesi adına işlenmiştir. Bu durum 6698 sayılı Kanunun 4. maddesinin 2. fıkrasının (c) ve (ç) bentlerine aykırıdır. Bu çerçevede Kanunun 12. maddesinin 1. fıkrasının (a) bendi uyarınca veri sorumlusunun gerekli teknik ve idari tedbirleri almadığı gerekçesiyle, Banka hakkında Kanunun 18. maddesinin 1. fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına karar verilmiştir.
Comments