• +905335410514
  • zekeriya_demirtas@hotmail.com

Category ArchiveKişisel Verileri Koruma

Kişisel Verileri Koruma – Unutulma hakkı kapsamında ilgili kişinin arama motorunda adı ve soyadı ile bağlantılı sonuçların kaldırılması talebi

“Unutulma hakkı kapsamında ilgili kişinin arama motorunda adı ve soyadı ile bağlantılı sonuçların kaldırılması talebi”ne ilişkin Kişisel Verileri Koruma Kurulunun 08/12/2020 tarihli ve 2020/927 sayılı Karar Özeti

Karar Tarihi : 08/12/2020
Karar No : 2020/927
Konu Özeti : Üniversitede öğretim üyesi olarak görev yapmakta olan bir kişinin aynı üniversitede açılan akademik kadroya aile yakınının alınmasında usulsüzlük bulunduğu hususunda yapılan haberlerin arama motorunda ilgili kişinin adı ve soyadı ile arama yapıldığında listelenmemesine yönelik talebi

İlgili kişinin şikâyet başvurusunda özetle; üniversitede öğretim üyesi olarak görev yaptığı, görev yapmış olduğu bölümde akademik kadro ilanı verildiği, kadro için sınavların usulüne uygun şekilde yapıldığı ve kadro için aile yakınının sınavlarda başarılı olduğu, ancak sosyal medyada bu kadro işe alımı ile ilgili doğru olmayan haberlerin yapıldığı ve üniversitenin tepkiler üzerine soruşturma başlattığı, soruşturma sonucunda bir usulsüzlük olmadığının üniversite tarafından tespit edildiği, haberlerin kaldırılması talebi ile arama motoruna başvuruda bulunduğu ancak arama motoru tarafından URL’ler hakkında herhangi bir işlem yapılmamasına karar verildiği ve ilgili kişinin kaldırma talebini söz konusu siteyi kontrol eden web yöneticisine gönderebileceği bilgisinin tarafına iletildiği, dolayısıyla arama motoru tarafından ilgili kişinin talebinin karşılanmadığı, bu kapsamda yapılan haberlerin aile yakınının ve kendisinin kamuda görev yapmasını ve hayatını olumsuz yönde etkilediği belirtilerek söz konusu içeriklerin arama motorunda indekslenmeyecek şekilde teknik düzenlemeye tabi tutulması talep edilmektedir.

Bahse konu şikayet başvurusuna ilişkin olarak ilgili mevzuat hükümleri çerçevesinde yapılan değerlendirme neticesinde Kişisel Verileri Koruma Kurulu tarafından alınan 08/12/2020 tarih ve 2020/927 sayılı Kararda aşağıdaki değerlendirmelere yer verilmiştir;

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olup Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.

Kanunun “Tanımlar” başlıklı 3 üncü maddesinde kişisel verinin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, veri sorumlusunun kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, kişisel verilerin işlenmesinin ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade ettiği belirtilmiştir.

Kanunun “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi” başlıklı 7 inci maddesinin birinci fıkrası “Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.” hükmünü haizdir.

Kanunun “İlgili Kişinin Hakları” başlıklı 11 inci maddesinin birinci fıkrasında “Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; a) Kişisel veri işlenip işlenmediğini öğrenme, b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.” hükmü yer almaktadır.

Öte yandan, Kişisel Verileri Koruma Kurulunun “Kişilerin Ad ve Soyadı ile Arama Motorları Üzerinden Yapılan Aramalarda Çıkan Sonuçların İndeksten Çıkarılmasına Yönelik Talepler”e ilişkin olarak almış olduğu 23.06.2020 tarih ve 2020/481 sayılı Kararı ile;

  • Arama motorlarının, üçüncü taraflara ait internette topladıkları verilerin işlenmesinin amaç ve vasıtalarını belirledikleri göz önünde bulundurularak Kanunun 3 üncü maddesinde yer verilen tanım çerçevesinde veri sorumlusu olarak kabul edilmesine,
  • Arama motorunun işletmecisinin otomatik, düzenli ve sistematik olarak internette yayınlanan bilgiyi bulduğu, daha sonra kendi indeksleme programları çerçevesinde alıp, kaydedip, organize ettiği kişisel verileri arama sonuçlarının listesi formunda düzenlediği, sunucuları üzerinde sakladığı, belirli durumlarda açıkladığı ve kullanıcılarına sunduğu dikkate alındığında arama motorları tarafından gerçekleştirilen faaliyetlerin Kanunun 3 üncü maddesi kapsamında ‘kişisel veri işleme” faaliyeti olarak değerlendirilmesine,
  • Kanunun başvuru ve şikâyet hakkına ilişkin hükümlerinde belirtilen usul ve süreler esas alınarak ilgili kişilerin, arama sonuçlarının indeksten çıkarılmasına yönelik talepleri ile ilgili olarak öncelikle arama motorlarına başvuruda bulunmaları, veri sorumlusu arama motorlarının söz konusu talepleri reddetmeleri veya başvuru sahibine cevap vermemeleri halinde ilgili kişilerce Kurula şikâyette bulunabileceklerine,
  • İlgili kişinin arama motorları üzerinden kendi ad ve soyadı ile yapacağı bir arama sonucunda gösterilen sonuçların indeksten çıkarılması gerektiğine yönelik yapılacak değerlendirmede, ilgili kişinin temel hak ve özgürlükleri ile kamunun söz konusu bilgiyi edinmesinden sağlayacağı menfaatler arasında bir denge testi yapılması, yarışan menfaatlerden hangisinin ağır bastığının gözetilmesi ve bu değerlendirme yapılırken öncelikli olarak karar ekinde yer verilen açıklamaların dikkate alınması ancak bu konudaki şikâyetlerin değerlendirme sürecinde dikkate alınacak kriterlerin bunlarla sınırlı olmayacağı, her somut olay özelinde Kurulca ilave ölçütlerin de gündeme gelebileceğine,
  • İlgili kişilerin, arama motorları üzerinden kendi ad ve soyadları ile yapılacak aramalar neticesinde gösterilen sonuçların indeksten çıkarılmasına yönelik taleplerinin veri sorumlusu arama motorları tarafından reddedilmesi veya taleplerine cevap verilmemesi halinde Kurula başvuruda bulunulurken aynı zamanda doğrudan yargı yoluna başvurmalarının da mümkün bulunduğuna

karar verilmiştir.

Kişilerin ad ve soyadı ile arama motorları üzerinden yapılan aramalarda çıkan sonuçların indeksten çıkarılmasına ilişkin değerlendirmede dikkate alınacak ve her somut olay üzerinde incelenecek kriterler de Kurulun bahse konu Kararı ile belirlenmiş olup bunlar; ilgili kişinin kamusal yaşamda önemli bir rol oynaması, arama sonuçlarının öznesinin çocuk olması, bilginin içeriğinin doğruluğu, bilginin kişinin çalışma hayatı ile ilgisi, bilginin ilgili kişi hakkında hakaret, onur kırıcı, iftira niteliğine sahip olması, bilginin özel nitelikli kişisel veri niteliği taşıması, bilginin güncelliği, bilginin kişi hakkında önyargıya sebep olması, bilginin kişi açısından risk doğurması, bilginin kişinin kendisi tarafından yayımlanma durumu, içeriğin gazetecilik faaliyeti kapsamında işlenen verileri kapsaması, bilgilerin yayınlanmasında yasal zorunluluk olması, bilginin ceza gerektiren bir suçla ilgili olması şeklinde belirlenmiştir.

Bu kapsamda, ilgili kişinin arama motorundan adı ve soyadı ile bağlantılı sonuçların kaldırılmasına yönelik talebinin değerlendirilmesi neticesinde;

  • İlgili kişinin kamu üniversitesinde görev yapmakta olduğu, başvuru konusu hususlarda ilgili kişinin aile yakınının işe alınması ile ilgili usulsüzlük iddiaları sonucunda üniversite tarafından soruşturma açıldığı bilgisinin doğru olduğu, söz konusu bağlantılarda yer alan haberin ilgili kişinin çalışma yaşamına ilişkin olduğu ve ilgili kişinin hâlihazırda aynı işi yaptığı, bilgilerin özel nitelikli kişisel veri niteliği taşımadığı, yapılan haberlerin 2020 tarihli olduğu, dolayısıyla güncel olduğu, bilginin kişi açısından risk doğurmadığı ve içeriklerin gazetecilik faaliyeti kapsamında değerlendirilebileceği, öte yandan, bilginin kişi hakkında ön yargıya sebep olabileceği ancak bunun kanıtlanabilir nitelikte olmadığı, ilgili kişiye ilişkin bilgilerin yayınlanmasında yasal zorunluluk bulunmadığı, bilginin kişinin kendisi tarafından yayımlanmadığı, bilginin ceza gerektiren bir suçla ilgili olmadığı hususları göz önünde bulundurularak ilgili kişi hakkında yayınlanan içeriklerin arama motorundan kaldırılması yönündeki talebine ilişkin olarak veri sorumlusu tarafından yapılan işlemin 23.06.2020 tarih ve 2020/481 sayılı Kurul Kararı ekinde yer alan kriterler açısından yerinde olduğuna, bu kapsamda söz konusu şikayet ile ilgili olarak Kanun kapsamında tesis edilecek bir işlem bulunmadığına,
  • Diğer taraftan ilgili kişinin haber içeriğinin gerçeği yansıtmadığına yönelik iddialarının ise yargı mercileri nezdinde ileri sürülmesi gerektiğine

karar verilmiştir.

Devamı: Kişisel Verileri Koruma – Unutulma hakkı kapsamında ilgili kişinin arama motorunda adı ve soyadı ile bağlantılı sonuçların kaldırılması talebi Alomaliye.com Güncel Mevzuat, Muhasebe, Ekonomi, Vergi, SGK Haberleri ilk yayınlayan websitedir.

Kişisel Verileri Koruma – Veri sorumlusu bünyesinde işe giriş çıkış takibinin biyometrik veri işlenerek yapılması

“Belediyede memur olarak görev yapan ilgili kişinin, veri sorumlusu bünyesinde işe giriş çıkış takibinin biyometrik veri işlenerek yapılması” hakkında Kişisel Verileri Koruma Kurulunun 01/12/2020 tarihli ve 2020/915 sayılı Karar Özeti

Karar Tarihi : 01/12/2020
Karar No : 2020/915
Konu Özeti : Belediyede memur olarak görev yapan ilgili kişinin, veri sorumlusu bünyesinde işe giriş çıkış takibinin biyometrik veri işlenerek yapılması

Kurula intikal eden şikâyette ilgili kişi tarafından veri sorumlusu bünyesinde 657 sayılı Devlet Memurları Kanunu kapsamında çalışan memur olduğu, veri sorumlusu bünyesinde personel giriş çıkışlarının takibi için parmak izi okuma cihazları ile kişisel verilerinin, her personel için parmak izi bilgilerinin alındığı ve sisteme tanıtıldığı, bu konudaki uygulama için kendisine ait olan parmak izi bilgilerinin veri sorumlusunun kayıt sisteminden, kağıt ortamından ve elektronik ortamdan silinmesi ve kendisine bilgi verilmesi talebiyle veri sorumlusuna başvuru yaptığı; kendisine verilen cevapta sistemlerinden bu bilgilerin silinemeyeceğinin beyan edildiği, parmak izi bilgilerinin onayı olmadan işlenemeyeceği ve resmi başvuru yapmasına rağmen verilerinin silinmesi isteğinin kabul edilmediği belirtilmiştir.

Başlatılan inceleme çerçevesinde söz konusu iddialara ilişkin olarak veri sorumlusunun savunması istenilmiş olup alınan cevabi yazıda

  • Tüm birimlerde tutulan kişisel veriler üzerinde Kanun kapsamında çalışmalara 2018 yılında başlandığı, irtibat kişilerinin belirlenerek personelin bu konu hakkında eğitim, e-posta ve duyuru panolarına asılan aydınlatma metinleriyle bilgilendirildiği ve kişisel verilerin korunması ve işlenmesine dair politika ve prosedürlerin hazırlandığı, ayrıca yapılan işlemlerin tamamlanması ve devamında işletilmesi, 6698 sayılı Kanuna ve standartlara uygun yapıldığının ölçülebilmesi hususunda Bağımsız Denetim Firması tarafından denetlenerek BS10012-2009 Veri Koruma ve Kişisel Bilgi Yönetim Standardı Sertifikası ile belgelendirildikleri,
  • Başkanlığa ait Kültür Merkezleri, Bilgi Evleri, Spor Salonları vb faaliyet gösteren çok sayıda tesisin bulunduğu, iştirak personeli dahil olmak üzere 2302 kişinin istihdamının sağlandığı, kişisel verilerin korunmasına yönelik yapılacak başvuru ve taleplerin usulüne ilişkin …… Belediyesi Kişisel Verilerin İşlenmesi Duyuru Aydınlatma Metninin, Başkanlığın resmi web sitesi üzerinden ilan edildiği, ….. Belediyesi Kişisel Verilerin Korunması Başvuru Formunun doldurularak hangi yöntemlerle başvuru yapılacağının duyurulduğu, Başkanlık personeline ise hizmet içi eğitimlerle konuya ilişkin bilgilendirmenin yapıldığı,
  • İlgili kişiye ait başvuruda Kişisel Verilerin Korunması Başvuru Formunun bulunmaması, başvurunun veri sorumlusu görevini yürütmekte olan personele ulaştırılmaması ve çalıştığı Müdürlüğe verilmiş olan dilekçenin İnsan Kaynakları ve Eğitim Müdürlüğüne Bilgi ve Belge Talebi konulu başvuru olarak gönderilmesi nedeniyle ilgiliye ait başvurunun Kanun kapsamında değerlendirilmediği, buna bağlı olarak verilen cevap yazısında kamu kaynaklarını etkin ve verimli kullanabilmek amacıyla personelin işe giriş çıkışlarının takibi için parmak izinin kullanıldığı herhangi bir şaibeye mahal vermeden verinin temin edildiği ve üçüncü kişilerle paylaşılmasının teknik olarak mümkün olmadığının bildirildiği, alınan parmak izi şablonunun silinemeyeceğine dair herhangi bir ifadenin ise kullanılmadığı,
  • Başkanlıkça uygulanmakta olan PDKS sistemi gereği personelden alınan parmak izlerinin salt mesai kontrollerinde kullanıldığı, mesai kontrolü için ayrıca sicil numarası ve şifreli giriş, ıslak imzalı form yöntemlerinin kullanıldığı, covid-19 salgını sebebiyle halihazırda müdürlüklerde personel kontrolünün listelerin ıslak imzalanması metodu ile sağlandığı, parmak izi sisteminin devre dışı olduğu, parmak izi tanıma algoritmasının temel işlevinin parmak izinin çıkartılması ve karakterlerin eşleştirilmesi olduğu, parmak izinin çıkartılmasıyla kastedilenin parmak izinin temel karakteristik verilerinin şifrelenip karakteristik bir şablon haline getirilmesi olduğu, bir şablon haline getirilen parmak izinin daha sonra hiçbir şekilde görüntüsünün alınamadığı ve işlem yapılamadığı, kullanılan şifrelenmiş parmak izi şablonunun özel bir algoritma olduğu ve üçüncü kişilere tamamen kapalı olduğu, parmak izi şablonunun formatının teknik belgeler veya ürün kaynak kodları vasıtasıyla dahi herhangi biri tarafından öğrenilmesi veya başkalarının bilgisine açılmasının mümkün olmadığı

ifade edilmiştir.

ad

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 01/12/2020 tarihli ve 2020/915 sayılı Kararı ile,

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Tanımlar” başlıklı 3 üncü maddesinde “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi; “veri sorumlusu”nun kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi; “kişisel verilerin işlenmesi”nin ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı,
  • Özel nitelikli kişisel veriler arasında yer alan biyometrik veri tanımına Kanunda yer verilmemekle birlikte, 25.05.2018 tarihinde yürürlüğe giren Avrupa Genel Veri Koruma Tüzüğünde (GDPR) biyometrik verinin; “yüz görüntüleri veya daktiloskopik veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel veriler” olarak tanımlandığı,
  • GDPR’nin Recital bölümünün 51 inci maddesinde de fotoğrafların işlenmesinin doğrudan biyometrik veri olarak nitelendirilemeyeceği, yalnızca gerçek bir kişinin benzersiz bir şekilde tanımlanmasına veya doğrulanmasına izin veren belirli bir teknik yöntemle işlendiğinde, bu verilerin biyometrik verilerin tanımı kapsamında kabul edileceğine yönelik açıklamalara yer verildiği, dolayısıyla bir verinin biyometrik veri kapsamında değerlendirilebilmesi için o verinin sadece o kişiyi tanımlayabilme ya da doğrulayabilme özelliğine sahip olmasının kriter alındığının değerlendirildiği, yine Danıştay 15. Dairesinin 2014/4562 Esas sayılı kararında biyometrik yöntemlerin, ölçülebilir fizyolojik ve bireysel özellikleri aracılığıyla gerçekleştirilen ve otomatik şekilde doğrulanabilen kimlik denetleme tekniklerini ifade ettiği belirtilerek, bu yöntemler arasında parmak izi tanıma, avuç içi tarama, el geometrisi tanıma, iris tanıma, yüz tanıma, retina tanıma, DNA tanıma gibi yöntemlerin bulunduğunun ifade edildiği dikkate alındığında, işe giriş çıkışlarda personelin parmak izinin taranması suretiyle kişilerin kimlik doğrulamasının yapılması hususunda adı geçen veri sorumlusunun özel nitelikli kişisel veri niteliğindeki biyometrik veri işleme faaliyetinde bulunduğu,
  • Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde yer alan ilkelerden, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi çerçevesinde işlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olması, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasının gerektiği; ölçülülük ilkesinin ise, veri işleme faaliyeti ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması, diğer bir ifadeyle veri işlemenin amacı gerçekleştirecek ölçüde olması gerektiğine işaret ettiği; bu kapsamda, kişisel veri işleme faaliyetinin gerçekleşmesi için gerekli olmayan kişisel verilerin toplanmaması ve/veya işlenmemesi gerektiği, veri sorumlusunun amacı çerçevesinde, ölçülülük ilkesine uygun olarak ilgili kişiden minimum düzeyde bilgi talep etmesi, bunun dışındaki amaç için gerekli olmayan veri işlemeden kaçınması gerektiği,
  • Kişisel verilerin işlenmesi ilgili kişinin iznine bağlı olarak gerçekleştirilse ve belirli bir amaca bağlı olsa bile açık rızanın aşırı miktarda veri toplanmasını meşrulaştırmayacağı, buna göre kişisel verilerin yalnızca belirli amaçlar için ve gerektiği kadar toplanması ve amacın gerektirdiği yerlerde kullanılması gerektiği,
  • Öte yandan, Danıştay 5. Dairenin 2013/5342 E. ve 2013/9525 K. sayılı Kararında “personelden kişisel veri alınması kapsamında olan “parmak izi tarama sistemi” ile mesai takibi uygulamasının, kamusal alanda da olsa “özel hayatın gizliliği” ilkesi kapsamında bulunduğunun anlaşılması karşısında; uygulamanın sınırlarını usul ve esaslarını gösteren bir yasal dayanağının bulunmaması, toplanan verilerin ileride başka bir şekilde kullanılamayacağına dair bir güvencenin mevcut olmaması göz önüne alındığında, yukarıda belirtilen temel haklar ve Anayasal ilkelerle bağdaşmayan dava konusu işlemde hukuka uyarlık, davanın reddi yolunda verilen İdare Mahkemesi kararında hukuki isabet bulunmadığı anlaşılmıştır.” şeklinde hüküm tesis edilmiş olup bu kapsamda, mesai kontrolü için parmak izi alınması gibi çoğunlukla üstün güvenlik önlemi alınmasına ihtiyaç duyulan alanlarda kullanılan yöntem yerine alternatif yollara başvurulabileceği, dolayısıyla veri sorumluları bünyesinde mesai kontrolü amaçlı giriş ve çıkışlar için parmak izi okutma sisteminin kurulmasının Kanunun “Genel İlkeler” başlıklı 4 üncü maddesi kapsamında ele alınması gerektiği, üstün güvenlik önlemi alınmasına ihtiyaç duyulmayan alanlarda yalnızca mesai kontrolü amacıyla parmak izi alınmasına yönelik uygulamaların mezkur maddenin (ç) bendindeki ölçülülük ilkesine aykırı olduğu,
  • Somut olayda ilgili kişinin veri sorumlusu tarafından kendisine ait olan parmak izi bilgilerinin hukuka aykırı olarak işlenmesine ilişkin şikâyeti ile ilgili veri sorumlusunun PDKS sistemi gereği personelden alınan parmak izlerinin salt mesai kontrollerinde kullanıldığı, parmak izi tanıma algoritmasının temel işlevinin parmak izinin çıkartılması ve karakterlerin eşleştirilmesi olduğu, parmak izinin çıkartılmasıyla kastedilenin parmak izinin temel karakteristik verilerinin şifrelenip karakteristik bir şablon haline getirilmesi olduğu, bir şablon haline getirilen parmak izinin daha sonra hiçbir şekilde görüntüsünün alınamadığı ve işlem yapılamadığı şeklindeki açıklamaları çerçevesinde veri sorumlusu bünyesinde çalışan personellerden işe giriş ve çıkışlarda parmak izlerinin kullanıldığının açıkça kabul edildiği, ilgili kişinin parmak izinin açık rızasına dayanılarak alınıp alınmadığı hususunun anlaşılamadığı; ancak işe giriş ve çıkışlarda söz konusu kişisel verisinin işlenmesinin devam etmesi noktasında ilgili kişinin onayı olmadan parmak izinin işlenemeyeceği hususunda şikayeti bulunduğu dikkate alındığında ilgili kişinin parmak izi kullanılarak mesai kontrolü yapılması hususunda açık rızasının olmadığı kanaatine varıldığı,
  • Öte yandan veri sorumlusu tarafından mesai kontrolü için parmak izi, sicil numarası ve şifreli giriş, ıslak imzalı form yöntemlerinin kullanıldığı, covid-19 salgını sebebiyle halihazırda müdürlüklerde personel kontrolünün ıslak imzalama metodu ile sağlandığı, parmak izi sisteminin devre dışı olduğuna yönelik savunması dikkate alındığında işe giriş ve çıkış kontrollerinin biyometrik verileri işlemenin haricinde alternatif yollar ile sağlanabildiği, dolayısı ile üstün güvenlik önlemleri alınmasını gerektirecek bir durumun da olmadığının görüldüğü, bu kapsamda veri sorumlusu bünyesinde mesai kontrolü amaçlı giriş ve çıkışlar için parmak izi okutma sisteminin kurulmasının Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinin (ç) bendindeki ölçülülük ilkesine aykırı olduğu kanaatine varıldığı ve veri sorumlusunun söz konusu uygulamasının Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine aykırılık teşkil ettiği,
  • Öte yandan, ilgili kişinin Kanunun 7 nci ve 11 inci maddesi çerçevesinde veri sorumlusuna başvurmasına rağmen veri sorumlusu tarafından, söz konusu başvurunun Kişisel Verilerin Korunması Başvuru Formu ile yapılmaması, başvurunun veri sorumlusu görevini yürütmekte olan personele ulaştırılmaması ve çalıştığı Müdürlüğe verilmiş olan dilekçenin İnsan Kaynakları ve Eğitim Müdürlüğüne Bilgi ve Belge Talebi konulu başvuru olarak gönderilmesi nedeniyle ilgiliye ait başvurunun Kanun kapsamında değerlendirilmediği, buna bağlı olarak da verilen cevabi yazıyla kamu kaynaklarının etkin ve verimli kullanabilmek amacıyla personelin işe giriş çıkışlarının takibi için parmak izinin kullanıldığı, herhangi bir şaibeye mahal vermeden temin edildiği ve üçüncü kişilerle paylaşılmasının teknik olarak mümkün olmadığının bildirildiği, alınan parmak izi şablonunun silinemeyeceğine dair herhangi bir ifadenin kullanılmadığı şeklinde savunma yapıldığı görülmekle birlikte, ilgili kişinin Kanuna atıf yapıp taleplerini açıkça belirten ve tarafına talepleriyle ilgili bilgi verilmesine yönelik isteğini de içeren ıslak imzalı dilekçesini veri sorumlusuna sunduğu, bu anlamda ilgili kişinin kişisel verilerinin silinmesi yönünde talepte bulunduğu, öte yandan söz konusu evraka sayı numarası verildiğinin açık olduğu ancak veri sorumlusunun ilgili kişinin başvurusunu Kanun kapsamında değerlendirmeyip kişisel verisinin silinmesi hususunda herhangi bir ifadeye yer vermeyerek ilgili kişinin talebini cevaplamadığı, bu durumun dürüstlük kuralı ile bağdaşmadığı

değerlendirmelerinden hareketle;

  • Veri sorumlusu bünyesinde mesai kontrolü amacıyla biyometrik veri olan parmak izinin işlenmesinin Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinin (ç) bendindeki amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırı olduğu, öte yandan söz konusu veri işleme faaliyetinin hukuka uygun bir veri işleme şartına dayanmadığı dikkate alındığında veri sorumlusunun söz konusu uygulamasının Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine aykırılık teşkil ettiği değerlendirildiğinden Kanunun 18 inci maddesinin 3 üncü fıkrası hükmüne göre söz konusu veri sorumlusu bünyesinde görev yapan kişiler hakkında disiplin hükümlerinin işletilmesine ve sonucunun Kurula bildirilmesine,
  • Veri sorumlusu tarafından bugüne kadar işlenen ve muhafaza edilen parmak izi ile ilgili verilerin Kanunun 7 nci maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun olarak ivedilikle imha edilmesi, eğer ilgili özel nitelikli kişisel verilerin üçüncü kişilere aktarılması söz konusu ise, imha edilmesine yönelik işlemlerin bu verilerin aktarıldığı üçüncü kişilere ivedilikle bildirilmesinin sağlanması, işe giriş ve çıkış işlemlerinin salgın dönemi dışında da geçerli olmak üzere alternatif yollarla sağlanması, biyometrik veri ile giriş çıkış işlemleri yapılması uygulamasına son verilmesi ve mevcut sistemin kaldırılması hususlarında veri sorumlusunun talimatlandırılmasına,
  • Öte yandan söz konusu sistemin kaldırıldığı ve kişisel verilerin imha edildiğini tevsik edici bilgi ve belgelerin Kurula gönderilmesi konusunda veri sorumlusunun talimatlandırılmasına,
  • Veri sorumlusunun ilgili kişinin başvurusunu Kanun kapsamında değerlendirmeyip kişisel verisinin imhası hususunda herhangi bir ifadeye de yer vermemesinin dürüstlük kurallarıyla bağdaşmadığı, ilgili kişinin veri sorumlusu bünyesinde bulunan kişisel verilerinin imhası talebine istinaden, talebin yerine getirildiğine ve söz konusu kişisel verilerin imha edildiğine ilişkin ilgili kişinin bilgilendirilmesi ve söz konusu imha işlemine ilişkin tevsik edici bilgi ve belgelerin Kurula iletilmesi hususu ile ilgili kişilerin taleplerine Kanun kapsamında cevap verilmesi konusunda azami dikkat ve özenin gösterilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

Devamı: Kişisel Verileri Koruma – Veri sorumlusu bünyesinde işe giriş çıkış takibinin biyometrik veri işlenerek yapılması Alomaliye.com Güncel Mevzuat, Muhasebe, Ekonomi, Vergi, SGK Haberleri ilk yayınlayan websitedir.

Kişisel Verileri Koruma – İcra Müdürlükleri tarafından ilgili kişilerin yakınlarına haciz ihbarnamesi gönderilmesi

“İcra Müdürlükleri tarafından ilgili kişilerin yakınlarına haciz ihbarnamesi gönderilmesi” hakkında Kişisel Verileri Koruma Kurulunun 17/09/2020 tarih ve 2020/710 sayılı Karar Özeti

Karar Tarihi : 17/09/2020
Karar No : 2020/710
Konu Özeti : İcra dosyasının tarafı olan ilgili kişilerin icra takibi ile ilgisi bulunmayan akrabalarına İcra Müdürlükleri tarafından haciz ihbarnamesi gönderilmesi

Kuruma intikal eden şikâyet başvurusunda, ilgili kişiler hakkında yürütülen icra takibi esnasında söz konusu icra takibi ile ilgisi bulunmayan, borçlu durumunda olmayan akrabalarının kişisel bilgilerinin araştırılması, adres ve kimlik bilgilerinin İcra Müdürlüğünün görevi kapsamında bulunmadığı halde tespit edilmesi ve bu çerçevede kişisel verilerinin hukuka aykırı bir şekilde akrabaları ile paylaşılmasının 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) aykırılık teşkil ettiği ifade edilerek İcra Müdürlükleri hakkında gereğinin yapılması talep edilmiştir.

Bahse konu şikâyet dilekçesi ve eklerinin incelenmesinden ilgili kişiler tarafından veri sorumlusuna kişisel verilerinin hukuka aykırı bir şekilde akrabaları ile paylaşılması hakkında bilgi talebi ile başvuruda bulunulduğu, veri sorumlusunun cevabi yazısında ise, “Alacaklı vekili tarafından bildirilen üçüncü şahıslara İcra ve İflas Kanunu (İİK)  89/1 Haciz ihbarnamesi gönderilmiş olup, haciz ihbarnamesi alacaklı ve borçlu dışında bulunan bütün üçüncü şahısları kapsamakta olduğundan Müdürlüğümüzce yapılan işlemde hukuka aykırılık bulunmamaktadır…” ifadelerine yer verildiği görülmüştür.

personel programı

Konuya ilişkin olarak yapılan değerlendirme neticesinde Kişisel Verileri Koruma Kurulunun 17/09/2020 tarih ve 2020/710 sayılı Kararı ile,

  • Kanunun  “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin, (2) numaralı fıkrasında ise kişisel verilerin kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın işlenmesinin mümkün olduğunun hüküm altına alındığı,
  • İcra ve İflas Hukuku gereğince iflası talep edilen borçluya ilişkin hak ve borçların ancak yetkili devlet organlarına başvuru yoluyla ve yasal düzenlemelerde gösterilen usuller çerçevesinde cebrî olarak takip edilebildiği, haczin, kural olarak kesinleşmiş bir icra takibinin konusu olan belli bir para alacağının ödenmesini sağlamak için bu yolda talepte bulunan alacaklı lehine, söz konusu alacağı karşılayacak miktar ve değerdeki borçluya ait mal ve haklara icra dairesi tarafından hukuken el konulması olarak tanımlandığı, söz konusu mal ve hakların borçlunun elinde olabileceği gibi üçüncü bir kişide de bulunabileceği, borçluya ait olmakla beraber üçüncü kişilerde bulunan hak ve alacakların haczinin İcra ve İflas Kanununun (İİK) 89 uncu maddesinde düzenlendiği,
  • Anılan maddede; “Hamiline ait olmayan veya cirosu kabil bir senetle müstenit bulunmayan alacak veya sair bir talep hakkı veya borçlunun üçüncü şahıs elindeki taşınır bir malı haczedilirse icra memuru; borçlu olan hakiki veya hükmi şahsa bundan böyle borcunu ancak icra dairesine ödeyebileceğini ve takip borçlusuna yapılan ödemenin muteber olmadığını veya malı elinde bulunduran üçüncü şahsa bundan böyle taşınır malı ancak icra dairesine teslim edebileceğini, malı takip borçlusuna vermemesini, aksi takdirde malın bedelini icra dairesine ödemek zorunda kalacağını bildirir (Haciz ihbarnamesi). Bu haciz ihbarnamesinde, ayrıca 2, 3 ve 4 üncü fıkra hükümleri de üçüncü şahsa bildirilir. Üçüncü şahıs; borcu olmadığı veya malın yedinde bulunmadığı veya haciz ihbarnamesinin tebliğinden önce borç ödenmiş veya mal istihlak edilmiş veya kusuru olmaksızın telef olmuş veya malın borçluya ait olmadığı veya malın kendisine rehnedilmiş olduğu veya alacak borçluya veya emrettiği yere verilmiş olduğu gibi bir iddiada ise, keyfiyeti, haciz ihbarnamesinin kendisine tebliğinden itibaren yedi gün içinde icra dairesine yazılı veya sözlü olarak bildirmeye mecburdur. Üçüncü şahıs, haciz ihbarnamesinin kendisine tebliğinden itibaren yedi gün içinde itiraz etmezse, mal yedinde veya borç zimmetinde sayılır ve kendisine gönderilen haciz ihbarnamesine süresinde itiraz etmediği, bu nedenle de malın yedinde veya borcun zimmetinde sayıldığı ikinci bir ihbarname ile bildirilir. Bu ikinci ihbarnamede ayrıca, üçüncü şahsın ihbarnamenin kendisine tebliğinden itibaren yedi gün içinde ikinci fıkrada belirtilen sebeplerle itirazda bulunması, itirazda bulunmadığı takdirde zimmetinde sayılan borcu icra dairesine ödemesi veya yedinde sayılan malı icra dairesine teslim etmesi istenir. İkinci ihbarnameye süresi içinde itiraz etmeyen ve zimmetinde sayılan borcu icra dairesine ödemeyen veya yedinde sayılan malı icra dairesine teslim etmeyen üçüncü şahsa on beş gün içinde parayı icra dairesine ödemesi veya yedinde sayılan malı teslim etmesi yahut bu süre içinde menfi tespit davası açması, aksi takdirde zimmetinde sayılan borcu ödemeye veya yedinde sayılan malı teslime zorlanacağı bildirilir. Bu bildirimi alan üçüncü şahıs, icra takibinin yapıldığı veya yerleşim yerinin bulunduğu yer mahkemesinde süresi içinde menfi tespit davası açtığına dair belgeyi bildirimin yapıldığı tarihten itibaren yirmi gün içinde ilgili icra dairesine teslim ettiği takdirde, hakkında yürütülen cebri icra işlemleri menfi tespit davası sonunda verilen kararın kesinleşmesine kadar durur. Bu süre içinde 106 ncı maddede belirtilen süreler işlemez. Bu davada üçüncü şahıs, takip borçlusuna borçlu olmadığını veya malın takip borçlusuna ait olmadığını ispat etmeye mecburdur. Üçüncü şahıs açtığı bu davayı kaybederse, mahkemece, dava konusu şeyin yüzde yirmisinden aşağı olmamak üzere bir tazminata mahkûm edilir. Bu fıkraya göre açılacak menfi tespit davaları maktu harca tabidir…” hükmüne yer verildiği,
  • Borçlunun üçüncü kişilerdeki mal ve alacakları için İcra Müdürlüğünce el koyma imkânı bulunduğundan, üçüncü kişilerin bünyesinde bulunan mal ve alacakların haczinde, haczin etkisiz bırakılmasının önlenmesi amacıyla İİK’nın 89 uncu maddesinde yer alan kuralların düzenlendiği, bu hususta ilgili maddenin İcra Müdürlüğü tarafından uygulanabilecek usulü ve alacaklı ile üçüncü kişinin başvurabileceği imkânları düzenlediği, İİK’nın 89 uncu maddesinin borçlunun üçüncü kişilerdeki mal ve alacaklarının nasıl haczedileceğinden ziyade, yapılan haczin korunmasına yönelik muhafaza tedbirlerini düzenlediği, borçlunun üçüncü kişilerdeki alacağı kavramına; maaş veya ücreti, borçlunun bir bankadaki mevduatı, üçüncü kişiye ödünç vermiş olduğu para, satmış olduğu malın satış bedeli, kiraladığı taşınmazın kira bedeli, borçlunun bir şirketteki kâr veya tasfiye payı, taraf bulunduğu cari hesap sözleşmesinde diğer taraftan alacaklı olduğu hesap bakiyesinin örnek olarak gösterilebildiği,
  • Benzer nitelikte bir olayda, Yargıtay 12. Hukuk Dairesinin 15.04.2013 tarihli ve E:2013/5621 K:2013/14186 sayılı kararında, ” … Buna göre kural olarak icra müdürünün haciz talebini yerine getirme konusunda herhangi bir takdir yetkisi bulunmadığının kabulü gerekir. … Görüldüğü gibi burada tanınan takdir yetkisi, İİK’nın 82. maddesi kapsamında malın haczi kabil olup olmadığı ile sınırlı olup, icra müdürünün bunun dışında, örneğin malın 3. kişiye ait olduğu ya da somut olayda olduğu gibi haciz ihbarnamesi gönderilmesi istenen kişilerin borçluya nazaran 3. kişi sayılamayacakları gerekçesi ile haciz talebinin veya haciz ihbarı gönderilmesi isteminin yerine getirilmesi konusunda herhangi bir takdir yetkisinin bulunmadığı tartışmasızdır. Haczi talep edilen malın üçüncü kişiye ait olduğunun iddia edilmesi halinde istihkak prosedürünün uygulanacağı ya da kendisine haciz ihbarı gönderilen kişinin 3. kişi olmadığı yönündeki iddiasını İİK’nın 16. maddesi uyarınca şikayet yoluyla icra mahkemesinde ileri sürebileceği tabidir. …” şeklinde açıklamalara yer verilerek, haciz ihbarnamesi gönderilmesi istenen kişilerin borçluya nazaran üçüncü kişi sayılamayacakları gerekçesi ile haciz ihbarı gönderilmesi isteminin yerine getirilmesi konusunda İcra Müdürünün herhangi bir takdir yetkisinin bulunmadığı hususunun vurgulandığı

değerlendirmelerinden hareketle;

  • İlgili kişilerin kişisel verilerinin üçüncü kişilerle paylaşılması hususuna ilişkin olarak; İcra ve İflas Kanununun 89 uncu maddesi kapsamında borçlunun üçüncü kişilerdeki alacağının tahsili amacıyla alacaklı tarafından bildirilen gerçek veya tüzel kişilere İcra Müdürlüklerince birinci haciz ihbarnamesi gönderilmesinde hukuken engel bulunmadığına, İcra Müdürlükleri nezdinde gerçekleştirilen ilgili kişilerin kişisel verilerinin işlenmesi faaliyetinin Kanunun 5 inci maddesinin (2) numaralı fıkrası kapsamında ‘Kanunlarda açıkça öngörülme’ şartına dayanılarak gerçekleştirildiğine, bu çerçevede söz konusu başvuruya ilişkin olarak Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

Devamı: Kişisel Verileri Koruma – İcra Müdürlükleri tarafından ilgili kişilerin yakınlarına haciz ihbarnamesi gönderilmesi Alomaliye.com Güncel Mevzuat, Muhasebe, Ekonomi, Vergi, SGK Haberleri ilk yayınlayan websitedir.

Kişisel Verileri Koruma – Bir sigorta şirketinin ilgili kişiye vereceği hizmeti açık rıza şartına bağlaması sebebiyle Kuruma iletilen şikâyet

“Bir sigorta şirketinin ilgili kişiye vereceği hizmeti açık rıza şartına bağlaması sebebiyle Kuruma iletilen şikâyet” hakkında Kişisel Verileri Koruma Kurulunun 03/09/2020 tarihli ve 2020/667 sayılı Karar Özeti

Karar Tarihi : 03/09/2020
Karar No : 2020/667
Konu Özeti : Bir sigorta şirketinin ilgili kişiye vereceği hizmeti açık rıza temini şartına bağlaması

Kuruma intikal eden şikâyet dilekçesinde özetle; ilgili kişinin veri sorumlusu bir sigorta şirketine başvurarak ailesi adına düzenlettiği sağlık sigortası poliçesini yeniletmek istediği; ancak veri sorumlusunun kendisinden poliçeyi yenilemek için açık rıza almak istediği ifade edilmiş olup bu durumun 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) aykırı olduğu gerekçesi ile veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Başvurunun değerlendirilmesi neticesinde Kişisel Verileri Koruma Kurulunun 03/09/2020 tarihli ve 2020/667 sayılı Kararı ile;

  • Kanunun “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6 ncı maddesinin (1) numaralı fıkrasında özel nitelikli kişisel verilerin “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” olarak sayıldığı, özel nitelikli verilerin işlenmesine ilişkin ise; “(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.” hükümlerine yer verildiği,
  • Bu kapsamda; sağlık sigortası poliçesinin özel nitelikli kişisel veri niteliğini haiz sağlık verilerini içerdiği, poliçede yer alan sağlık verilerinin ise Kanunun 6 ncı maddesinin (3) numaralı fıkrası kapsamında işlenemeyeceği, veri işlemenin ancak ilgili kişiden açık rıza alınması yoluyla gerçekleştirilebileceği ve bu nedenle ilgili kişiden açık rıza alınması talebinin Kanuna aykırılık teşkil etmediği

değerlendirmelerinden hareketle söz konusu şikâyet ile ilgili olarak Kanun kapsamında tesis edilecek bir işlem bulunmadığına karar verilmiştir.

personel programı

Devamı: Kişisel Verileri Koruma – Bir sigorta şirketinin ilgili kişiye vereceği hizmeti açık rıza şartına bağlaması sebebiyle Kuruma iletilen şikâyet Alomaliye.com Güncel Mevzuat, Muhasebe, Ekonomi, Vergi, SGK Haberleri ilk yayınlayan websitedir.

Kişisel Verileri Koruma – Bazı avukatların avukat sorgulama siteleri ile ilgili ihbar başvuruları

“Bazı avukatların avukat sorgulama siteleri ile ilgili ihbar başvuruları” hakkında Kişisel Verileri Koruma Kurulunun 30/06/2020 tarih ve 2020/508 sayılı Karar Özeti

Karar Tarihi : 30/06/2020
Karar No : 2020/508
Konu Özeti : Bazı avukatların, avukat sorgulama siteleri ile ilgili ihbar başvuruları

Kuruma intikal eden ihbarlarda, ihbar başvurusu sahiplerinin muhtelif avukat sorgulama sitelerinde taraflarına ait ad soyadı, kayıtlı bulundukları baro, baro ve Türkiye Barolar Birliği (TBB) sicil numaraları, e-posta adresleri ve fotoğraflarının yayımlandığı, söz konusu verilerin rızaları olmaksızın hukuka aykırı olarak elde edildiği, bahsi geçen internet sitelerince gerek taraflarına gerek çok sayıda avukata ait kişisel verilerin hukuka aykırı olarak elde edildiği ve bu suretle paylaşıldığı, söz konusu internet sitelerinde ve bu siteler ile ilişkili bulunan kurum/kuruluş ya da alan adında yer alan tüm profillerin kaldırılması gerektiği yönünde ihbarda bulunularak gereğinin yapılması talep edilmiştir.

Konuya ilişkin yapılan değerlendirmede, Kişisel Verileri Koruma Kurulunun 30/06/2020 tarih ve 2020/508 sayılı Kararı ile,

  • 1136 sayılı Avukatlık Kanununun “Baroya yazılma istemi” başlıklı 6 ncı maddesinin, “4 üncü maddedeki koşulları taşıyanlar başvurdukları yer barosu levhasına yazılmalarını dilekçe ile isteyebilirler.” hükmünü, “Avukatlık yetkilerinin başkaları tarafından kullanılmaması” başlıklı 63 üncü maddesinin “… Baro levhasında yazılı bulunmayanlar avukatlık unvanını da taşıyamazlar…” hükmünü haiz olduğu, Avukatlık Kanununun “Levhaya yazılma yükümlülüğü” başlıklı 66 ncı maddesi uyarınca, her avukatın bölgesi içinde sürekli olarak avukatlık edeceği yerin baro levhasına yazılmakla yükümlü olduğu, dolayısıyla avukatlık görevini ifa edecek kişiler için baro levhasına yazılmanın kanuni bir yükümlülük olduğu, bu yükümlülüğü yerine getirmeden avukatlık görevini icra etmenin mümkün olmadığı,
  • Avukatlık Kanununun “Avukatlar listesi” başlıklı 75 inci maddesinde, “Baro yönetim kurulu üç yılda bir bölgesi içinde bulunan ve baro levhasında yazılı olan bütün avukatların bir listesini son yılın 31 Aralık tarihine kadar düzenler. Listeye her avukatın alfabe sırasıyla adı, soyadı, büro ve konut adresi yazılır. Birlikte çalışan avukatların büroları ve avukatlık ortaklıkları listede ayrıca belirtilir. Levhadaki değişiklikler her yıl sonunda düzenlenecek ek listede gösterilir. Bu listenin düzenlenme şekli Türkiye Barolar Birliğince tespit edilir. Listenin düzenlenmesinden sonra baro levhasına yazılanlara yeni listenin düzenlenmesine kadar kullanılacak geçici bir belge verilir. Listeden Anayasa Mahkemesine, Yüksek Mahkemelere, Adalet Bakanlığına, Türkiye Barolar Birliğine, diğer barolara, baronun bölgesi içinde bulunan mahkemelerle Cumhuriyet Savcılıklarına, en büyük idare amirine, diğer yargı mercilerine, noterlere ve icra ve iflas dairelerine yeteri kadar gönderilir.” düzenlemesinin yer aldığı, bu kapsamda, baro levhasının, her baronun bünyesinde bulunan avukatlar listesinin TBB ya da baroların internet sayfalarında yayımlanan tezahürü olduğu kanaatine varıldığı,
  • Buna ek olarak TBB ve il barolarının internet sayfalarında yayımlanan avukat bilgilerinin genel olarak; fotoğraf (biyometrik veya normal), baro sicil numarası, birlik sicil numarası, ad, soyadı, adres, iş telefonu, fax numarası, cep telefonu, web adresi, e-posta adresi olduğu, bununla birlikte, yayımlanan bilgilerin barodan baroya farklılık gösterdiği ve bu yönde tek tip bir uygulama olmadığı, hangi bilgilerin yayımlanacağına ilişkin yukarıda ifade edilen hükümler dışında doğrudan bir yasal düzenleme bulunmadığının anlaşıldığı,
  • Baroya yazılma istemiyle birlikte baroya iletilen bilgilerin baro levhasında doğrudan yayımlandığı fakat daha sonradan avukatların söz konusu baroya başvurarak bu bilgileri güncelleme ya da sildirme imkânı olduğunun anlaşıldığı,
  • TBB Başkanlığının 08.04.2016 tarihli 2016/24 numaralı duyurusunda, avukatlıkla birleşmeyen bir işte çalıştığını ve bu nedenle avukatlık yapmayacağını belirten talep sahiplerinin sadece adına avukatlık ruhsatnamesi düzenlenmesini talep edebileceği ve baro levhasına yazılma talebinin olmadığını belirten bir dilekçe alınması gerektiğinin görüldüğü,
  • Söz konusu sitelerden birçoğunda ‘Bu siteye ulaşılamıyor’ ibaresinin yer aldığının görüldüğü, erişilebilen siteler incelendiğinde; internet sitelerinin ana sayfasında il barolarına ait butonlar olduğu, söz konusu butonlara basıldığında o ilde kayıtlı avukatlar listesine ilçelere göre ayrılmış şekilde ulaşılabildiği, ilçe ismine tıklandığında ise adresi o ilçede görünen avukat isimlerinin listesinin çıktığı, herhangi bir avukat ismine tıklandığında söz konusu profilin altında “Bu sayfada bulunan bilgiler … levhasından alınmıştır” şeklinde o avukat hangi il barosuna kayıtlı ise o baro levhasının belirtildiği, internet sitelerinin ana sayfasında “Hakkımızda, Gizlilik, Hukuki Uyarı, Avukat Sorgula, İcra Iban Numaraları, Avukat Ekle, İletişim” sekmelerinin yer aldığı, kullanıcıların bahsi geçen internet sitelerine giriş yaptıktan sonra arama butonuna herhangi bir isim yazmasıyla otomatik olarak https://cse.google.com.tr/cse/ uzantılı Google özel arama motoru (Google Custom Search) linkinin açıldığı ve ismin bu link üzerinde aratıldığı, internet sitelerinin “Gizlilik” bölümündeki “Kişisel Verilerin Korunması” başlığı altında, 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) uyarınca, veri sorumlusu sıfatıyla, mevzuatın izin verdiği durumlarda yurt içinde ve dışında üçüncü kişilere aktarılabileceği, “Kişisel Verilerin İşlenme Amaçları” başlığı altında sitenin, avukatların iletişim bilgilerinin müvekkiller veya avukat arayışında olan kişiler tarafından daha kolay bulunabilmesini amaçladığı, bu doğrultuda avukat bilgilerinin güncel tutulmaya çalışıldığı, yanlış ya da hatalı bilgiler için “Avukat Düzelt” ya da “Sorun Bildir” butonuyla kişilere düzeltme ve sorun bildirme imkanı tanındığı ve “Kişisel Verilerin Toplanma Yöntemleri ve Hukuki Sebepleri” başlığı altında, avukatların kişisel verilerinin baroların internet sitelerinden, sosyal medya veya diğer kamuya açık mecralardan ve kendi istekleri ile ekleme yaptıkları ‘Avukat ekle’ sayfasından elde edildiği, kişisel verilerin Kanunun ilgili maddelerinde (4,5,6) belirtilen şartlar çerçevesinde bu bildirimin Kişisel Verilerin İşlenme Amaçları bölümünde sayılan amaçlar için toplandığı, işlendiği, aktarıldığı ve saklandığının belirtildiği,
  • Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde, kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlanmış olup kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, bu çerçevede, kişisel verilerin ancak, hukuka ve dürüstlük kurallarına uygun şekilde, belirli, açık ve meşru amaçlar kapsamında, doğru ve gerektiğinde güncel olma şartıyla, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun olarak işlenebileceği,
  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin birinci fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, ikinci fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanunun “İstisnalar” başlıklı 28 inci maddesinin ikinci fıkrasında, bu Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16 ncı maddelerinin aynı fıkranın (b) bendinde yer alan ilgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi durumunda uygulanmayacağının belirtildiği,
  • Kişisel Verilerin Korunması Kanununa İlişkin Uygulama Rehberinin ‘Kişisel Verilerin İlgili Kişi Tarafından Alenileştirilmiş Olması’ başlığı altında; “İlgili kişinin kendisi tarafından alenileştirilen, bir başka ifadeyle herhangi bir şekilde kamuoyuna açıklanmış olan kişisel verileri işlenebilecektir. Bu duruma örnek olarak ise bir kişinin belirli hallerde kendisiyle iletişime geçilmesi amacıyla iletişim bilgilerini kamuya açık şekilde ilan etmesi verilebilir. Kurumsal internet sitelerinde, çalışanların işyeri telefon numaraları ve kurumsal elektronik posta adreslerinin üçüncü kişilerin erişimine açık şekilde paylaşılması halinde de alenileştirmeden söz edilebilir.” ifadelerinin yer aldığı

değerlendirmelerinden hareketle;

personel programı
  • Bahsi geçen internet sitelerinden; birçoğuna ulaşılamadığı, erişilebilen sitelerde ise ilgili kişilerden sadece birinin profilinin bulunduğu, bu profilde ise yalnızca ilgili kişinin e-posta adresinin yer aldığı ve bu bilginin, ilgili kişinin kayıtlı olduğu ilin baro levhası ve TBB resmi internet sitesindeki profilinde de yer aldığı ve bahsi geçen sitelerin ilgili kişinin e-posta adresini TBB resmi internet sitesinden çekmiş olabileceği hususunda ilgili kişinin kendisi tarafından alenileştirilen kişisel verilerinin işlenebileceği kanaatine varıldığı ve işlenen kişisel verinin Kanunun 4 üncü maddesindeki genel ilkelere aykırı bir işleme faaliyeti olmadığına,
  • Bahsi geçen internet sitelerinde; il baroları levhalarında ve TBB internet sitelerinde yayımlanan bilgilerden farklı bir bilgi yayımlanmadığı, yayımlanan bilgilerin il baroları levhalarında ve TBB internet sitesinde yayımlanma amacından farklı bir amaçla yayımlandığına ilişkin bir tespit yapılamadığı, söz konusu kişisel verileri düzeltme veya silme imkânlarının ilgili kişilere tanındığı göz önünde bulundurulmakla mevcut ihbar başvuruları hakkında Kanunun 5 inci maddesinde yer verilen kişisel verilerin işlenme şartlarına aykırı bir durumun gerçekleşmediği kanaatine varıldığından Kanun kapsamında yapılacak bir işlem bulunmadığına

karar verilmiştir.

Devamı: Kişisel Verileri Koruma – Bazı avukatların avukat sorgulama siteleri ile ilgili ihbar başvuruları Alomaliye.com Güncel Mevzuat, Muhasebe, Ekonomi, Vergi, SGK Haberleri ilk yayınlayan websitedir.

Kişisel Verileri Koruma – İlgili kişinin irtibat numarasının bir elektrik dağıtım şirketi tarafından herhangi bir işleme şartına dayanılmaksızın işlenmesi

“İlgili kişinin irtibat numarasının bir elektrik dağıtım şirketi tarafından herhangi bir işleme şartına dayanılmaksızın işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 27/01/2020 tarihli ve 2020/66 sayılı Karar Özeti

Karar Tarihi : 27/01/2020
Karar No : 2020/66
Konu Özeti : İlgili kişinin irtibat numarasının herhangi bir veri işleme şartına dayanmaksızın işlenmesi

Kuruma intikal eden bir şikâyette özetle; ilgili kişinin irtibat numarasına, bir elektrik dağıtım firması tarafından kendisine ait olmayan birkaç elektrik abone numarasına ilişkin farklı konularda bilgilendirme amaçlı SMS’ler gönderildiği, söz konusu aboneliklere dair bilgilendirme mesajı almak istemediği, kendisine ait irtibat numarasının söz konusu sözleşmelerin iletişim bilgilerinden silinmesi ve başvurusunun sonucu hakkında yazılı olarak haberdar edilmesi konusunda veri sorumlusuna abone numarası sayısı kadar başvuruda bulunulduğu, ancak veri sorumlusu tarafından başvuru kapsamında herhangi bir işlem yapılmadığı ve kendisine cevap verilmediği, buna karşın irtibat numarasına hâlen bilgilendirme mesajı gönderildiği belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gerekli işlemin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda; incelemeye konu talep değerlendirilmiş olup ilgili kişi adına kayıtlı olan irtibat numarasında güncelleme yapıldığı ifade edilmiş ancak bu durumu tevsik edici herhangi bir doküman gönderilmemiştir.

İlgili kişinin şikayeti, veri sorumlusunun savunması ve ilgili mevzuat hükümlerinin birlikte incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 27/01/2020 tarih ve 2020/66 sayılı Kararı ile;

  • Kanunun 3 üncü maddesinin (1) numaralı fıkrasının (d) bendi uyarınca kişisel verinin; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, (e) bendi uyarınca kişisel verilerin işlenmesinin; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,  (ç) bendi uyarınca ilgili kişinin; kişisel verisi işlenen gerçek kişiyi, (ı) bendi uyarınca veri sorumlusunun; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişiyi ifade ettiği,
  • Yukarıda aktarılan “kişisel veri” tanımına istinaden cep telefonu numarasının kimliği belirli bir gerçek kişiye ulaşılmasını sağladığından, şikâyette bulunanın ilgili kişi sıfatını ve şikâyet edilen elektrik dağıtım şirketinin veri sorumlusu sıfatını haiz olduğu,
  • Kanunun “İlgili Kişinin Hakları” başlıklı 11 inci maddesinde, “herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
    a)Kişisel veri işlenip işlenmediğini öğrenme,
    b)Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
    c)Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
    ç)Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
    d)Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
    e)7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
    f)(d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
    g)İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
    ğ)Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.
    ” hükmüne yer verildiği,
  • İlgili kişinin veri sorumlusuna yaptığı başvuruda talebi, her ne kadar cep telefonu numarasının kendisine ait olmayan aboneliklere yönelik veri işleme faaliyetlerine ilişkin olarak silinmesi olarak belirtilse de, yukarıda aktarılan Kanunun 11 inci maddesi bağlamında bu talebin “kişisel verilerin eksik ya da yanlış işlenmiş olması halinde düzeltilmesini isteme” hakkıyla örtüştüğü, zira Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 8 inci maddesinin (1) numaralı fıkrasında kişisel verilerin silinmesinin, “kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir” şeklinde tanımlandığı bu bakımdan, ilgili kişinin veri sorumlusunun dağıtımını üstlendiği elektrik hizmetinden yararlanmaya devam eden bir sözleşmesinin olup olmadığı bilinemediğinden ve veri sorumlusunun, kendisinden istenilen bilgi ve belge talebinde bu hususta bir açıklama yapmadığından talebin Kanun kapsamındaki silme işlemi değil “…düzeltilmesini isteme” olarak değerlendirilmesi kanaatine varıldığı,
  • Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin 6 ncı maddesinin (1) numaralı fıkrasında “Veri sorumlusu bu Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlüdür.” (2) numaralı fıkrasında “Veri sorumlusu, başvuruyu kabul eder veya gerekçesini açıklayarak reddeder.” (5) numaralı fıkrasında “Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyet gerektirmesi hâlinde, 7 nci maddede belirtilen ücret alınabilir. Başvurunun, veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.” düzenlemelerine yer verildiği,
  • Veri sorumlusunun ilgili kişinin Tebliğ hükümlerine göre yaptığı başvuruya kendisine tanınan 30 günlük süre içerisinde cevap vermediğinden Tebliğin 6 ncı maddesinin (2) ve (5) numaralı fıkralarına aykırılık ortaya çıktığı, ilgili kişinin başvurusuna neden cevap verilmediğinin veri sorumlusuna gönderilen bilgi, belge yazısında sorulduğu, ancak veri sorumlusunun bu hususta herhangi bir cevap vermediği,
  • Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde ise kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, bu çerçevede, kişisel verilerin ancak;  hukuka ve dürüstlük kurallarına uygun şekilde,  belirli, açık ve meşru amaçlar kapsamında, doğru ve gerektiğinde güncel olma şartıyla, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceği,
  • Kanunun kişisel verilerin işlenme şartlarının belirlendiği 5 inci maddesinin (1) numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmadan işlenemeyeceği hüküm altına alınmış olmakla birlikte, (2) numaralı fıkrasında, kişisel verilerin
    a)Kanunlarda açıkça öngörülmesi,
    b)Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
    c)Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
    ç)Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
    d)İlgili kişinin kendisi tarafından alenileştirilmiş olması,
    e)Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
    f)İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
    şartlarından birinin varlığı halinde ilgili kişinin açık rızası aranmaksızın işlenebileceğinin hükme bağlandığı,
  • İlgili kişinin irtibat numarasının kendisine ait olmayan aboneliklerde kullanıldığına dair veri sorumlusu tarafından Kuruma herhangi bir açıklama yapılmadığı, ayrıca Kuruma intikal eden cevabi yazısında belirttiği hususa dair destekleyici bir doküman sunulmadığı, bu sebeple ilgili kişinin irtibat numarasının işlenmesine ilişkin Kanunun 5 inci maddesinde belirtilen kişisel veri işleme şartlarının bulunup bulunmadığının tespitine imkân tanınmadığı, ancak mezkûr cevabi yazıda ilgili kişi adına sistemde kayıtlı olan telefon numarasında güncelleme yapıldığı açıklamasından hareketle, veri sorumlusu tarafından ilgili kişinin irtibat numarasının kişisel veri işleme faaliyetine dâhil edildiği,
  • Kanunda belirtilen veri işleme ilkelerinden “Doğru ve Gerektiğinde Güncel Olma İlkesi” uyarınca, veri sorumlusunun her zaman ilgili kişinin bilgilerinin doğru ve güncel olmasını temin edecek kanalları açık tutması gerektiği, bu ilkenin aslında kişisel verilerin düzeltilmesini isteme hakkıyla ilişkili olduğu, bu bakımdan, ilgili kişinin dilekçe ile yaptığı başvuruların işleme alınmasında zorluk çıkarılması ve kabul edildikten sonra süresi içinde ilgili kişiye talebine ilişkin olarak dönüş yapılmamasının bu ilkeye aykırı olarak hareket edildiğinin ve ilgili kişinin hakkını kullanamamasına yol açtığının bir göstergesi olduğu

değerlendirmelerinden hareketle

personel programı
  • Kanunun 13 üncü maddesinin (2) numaralı fıkrasında “Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyet gerektirmesi halinde, Kurulca belirlenen tarifedeki ücret alınabilir”   hükmü ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin 6 ncı maddesinin (1) numaralı fıkrasındaki “Veri sorumlusu bu Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlüdür.” hükmüne istinaden ilgili kişinin başvurusunu süresi içinde cevaplamayan veri sorumlusunun Kanun kapsamında yöneltilen başvuruları zamanında, tam ve eksiksiz olarak cevaplaması hususunda talimatlandırılmasına,
  • Mevcut bilgi ve belgeler bir bütün olarak değerlendirildiğinde; veri sorumlusu tarafından ilgili kişinin cep telefonu numarasının, Kanunun 4 üncü maddesinde belirtilen “Belirli, açık ve meşru amaçlar için işlenme” ilkesi göz önünde bulundurulduğunda, Kanunun 5 inci maddesinde belirtilen kişisel veri işleme şartlarına dayanmadan işlendiği, bu hususun ise veri güvenliğine ilişkin yükümlülüklerin düzenlendiği Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendinde yer alan “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır” hükmüne aykırılık teşkil ettiği değerlendirildiğinden, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendine istinaden veri sorumlusu hakkında 100.000 TL idari para cezası uygulanmasına,
  • İlgili kişinin talebinin yerine getirildiğine yönelik veri sorumlusunun, gerekli bilgi, belge ve kayıtları ilgili kişiye iletmesi ve yine söz konusu hususları yerine getirdiğine dair bilgi, belge ve kayıtları Kanunun 15 inci maddesinin (5) numaralı fıkrası uyarınca 30 gün içinde Kurula sunması hususunda talimatlandırılmasına

karar verilmiştir.

Devamı: Kişisel Verileri Koruma – İlgili kişinin irtibat numarasının bir elektrik dağıtım şirketi tarafından herhangi bir işleme şartına dayanılmaksızın işlenmesi Alomaliye.com Güncel Mevzuat, Muhasebe, Ekonomi, Vergi, SGK Haberleri ilk yayınlayan websitedir.

Kişisel Verileri Koruma – Veri sorumlusu hastanede uygulanan beyaz kod kapsamında ilgili kişinin işlenen kişisel verileri

“Veri sorumlusu hastanede uygulanan beyaz kod kapsamında ilgili kişinin işlenen kişisel verileri” hakkında Kişisel Verileri Koruma Kurulunun 27/01/2020 tarihli ve 2020/63 sayılı Karar Özeti

Karar Tarihi : 27/01/2020
Karar No : 2020/63
Konu Özeti : Beyaz Kod uygulaması kapsamında işlenen kişisel veriler

 

İlgili kişi tarafından Kuruma yapılan şikâyette özetle, babasının tedavisi için gittikleri hastanede hastane görevlileri ile arasında yaşadığı tartışma sonucunda barkot alamadan hastaneden ayrılmak durumunda kaldığı, bahse konu hastane görevlilerinin yaşanan tartışma olayından 1 yıl 3 ay sonra tutanak tuttuğu, daha sonra bu tutanak aracılığıyla savcılığa suç duyurusunda bulunulduğu, bu sebeple adli para cezasına mahkûm edildiği ve vekâlet ücreti ödemek zorunda kaldığı, hastane görevlilerinin kamu gücünü kullanarak ilgili kişinin açık rızası olmaksızın adı, soyadı ve T.C. kimlik numarası bilgilerini hastane verilerinden alarak olay yeri tutanağına işlediği, bu durumun 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) aykırılık teşkil ettiği belirtilerek, konunun incelenmesi talep edilmiştir.

Şikâyet dilekçesi ekinde yer alan veri sorumlusunun konuya ilişkin yapmış olduğu başvuru çerçevesinde ilgili kişiye verdiği cevapta özetle,

  • Hasta kayıt sürecinde yaşanan olay ile ilgili olarak tutanak tutulduğu, Sağlık Bakanlığının Hukuk Müşavirliğinin Hukuki Yardım ve Beyaz Kod Uygulamasına dair 2016/3 Genelgesine göre işlem başlatılarak, Cumhuriyet Savcılığına bildirim yapıldığı,
  • Ayrıca Kanunun 6 ncı maddesi gereğince, kişisel verilerin sadece sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından paylaşıldığı

ifade edilmiştir.

Başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • Hastanede yaşanan tartışma sonucunda veri giriş elemanı tarafından Beyaz Kod verildiği, bu sebeple, Beyaz Kod tutanağının tutulduğu, söz konusu tutanak tutulurken ilgili kişinin kimlik bilgilerinin tutanağa işlendiği, kimlik bilgileri işlenmeden Beyaz Kod tutanağının tutulmasının mümkün olmadığı,
  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin ikinci fıkrasında yer alan hüküm ile söz konusu kişisel verilerin işlenmesinin mümkün olduğu

ifade edilmiştir.

personel programı

Söz konusu iddiaların incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 27/01/2020 tarih ve 2020/63 sayılı Kararında;

  • Kişisel verilerin işlenme şartlarının düzenlendiği Kanunun 5 inci maddesinin birinci fıkrasında; kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin, ikinci fıkrasında ise kişisel verilerin kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde ilgili kişinin açık rızası aranmaksızın işlenmesinin mümkün olduğunun hükme bağlandığı,
  • Taraflar arası yaşanan tartışma sonucunda veri sorumlusu nezdinde Beyaz Kod uygulaması kapsamında hastane görevlileri tarafından ilgili kişiye ait kişisel verilerin işlendiği,
  • Öte yandan, 2/11/2011 tarih ve 28103 mükerrer sayılı Resmi Gazetede yayımlanan Sağlık Alanında Bazı Düzenlemeler Hakkında Kanun Hükmünde Kararnamenin “Hukuki Yardım” başlıklı 54 üncü maddesinin birinci fıkrasında, “Bakanlık ve bağlı kuruluşlarında; sağlık hizmeti sunumu sırasında veya bu görevlerden dolayı personele karşı işlenen suçlar sebebiyle ceza hukuku kapsamında yürütülmekte olan işlemler ve davalarda personelin talebi üzerine Bakanlık ve bağlı kuruluşlarınca hukukî yardım yapılır. Bakanlık ve bağlı kuruluşları merkez ve taşra teşkilatı ile döner sermaye teşkilatı kadrolarında bulunan hukuk birimi amirleri, hukuk müşavirleri ve avukatlar, ayrıca vekâletname ibraz etmeksizin ilgili personeli vekil sıfatı ile temsil eder. Bu yardımın usûl ve esasları Bakanlıkça belirlenir.” hükmünün yer aldığı,
  • Bununla birlikte, Sağlık Bakanlığı Hukuk Müşavirliğinin Hukuki Yardım ve Beyaz Kod Uygulamasına dair 2016/3 Genelgesi ile Beyaz Kod uygulamasına başlandığı, bu doğrultuda, sağlık personelinin hukuki yardımdan faydalanabilmesi adına “Beyaz Kod Kullanım Kılavuzu 2.0” kapsamında, şiddete maruz kalan çalışanın, adli süreçlerde kanıt teşkil etmesi açısından olaya tanık olan diğer personel ile birlikte, olayı anlatan ve belgeleyen bir tutanak düzenlemesi gerektiğinin ifade edildiği,
  • Uygulamada yürütme organının Anayasada öngörülmüş düzenleyici işlemlere ek olarak, genel, soyut ve objektif hukuk kuralları öngörebildiği, bu tür düzenleyici işlemlere “adsız düzenleyici işlemler” denildiği, genelgelerin de bunlardan biri olduğu

değerlendirmelerinden hareketle,

  • İlgili kişi ile hastane görevlileri arasında yaşanan tartışma neticesinde yaşanan olayla ilgili hastane görevlilerince tutanak tutulduğu, sonrasında hastane görevlilerince ilgili kişi hakkında Savcılığa suç duyurusunda bulunulduğu, bu kişilerce kamu gücü kullanılarak açık rızası olmaksızın ad, soyad ve T.C. kimlik numarası bilgilerinin hastane verilerinden alınarak olay yeri tutanağına 1 yıl 3 ay sonra işlendiği, bu şekilde temel hak ve özgürlüklerinin ihlal edildiği gerekçesiyle hastaneye başvurduğu; hastanenin vermiş olduğu cevapta ise, ilgili kişinin babasının tedavisinin eksiksiz planlanıp yapıldığı, olay ile ilgili tutanağın 1 yıl 3 ay sonra değil, olayla aynı gün tutulduğu, Sağlık Bakanlığı Hukuk Müşavirliği Hukuki Yardım ve Beyaz Kod Uygulamasına dair 2016/3 Genelgesine göre işlem başlatılarak Cumhuriyet Savcılığına bildirildiği; ayrıca Kanunun 6 ncı maddesi uyarınca kişisel verilerin, hastane kapsamında sır saklamakla yükümlü bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından paylaşıldığı yanıtları karşısında ilgili kişinin Kuruma yaptığı şikâyet başvurusunun, veri sorumlusundan alınan bilgi ve belgeler ve yukarıda belirtilen hukuki gerekçeler çerçevesinde incelenmesi sonucunda; söz konusu kişisel verilerin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (ç) bendi uyarınca veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi kapsamında işlendiği kanaati oluştuğundan, söz konusu şikâyete ilişkin Kanun kapsamında yapılacak bir işlem olmadığına karar verilmiştir.

Devamı: Kişisel Verileri Koruma – Veri sorumlusu hastanede uygulanan beyaz kod kapsamında ilgili kişinin işlenen kişisel verileri Alomaliye.com Güncel Mevzuat, Muhasebe, Ekonomi, Vergi, SGK Haberleri ilk yayınlayan websitedir.

Kişisel Verileri Koruma – e-Posta Adresine İzinsiz ve Hukuka Aykırı Olarak Erişilmesi

e-Posta Adresine İzinsiz ve Hukuka Aykırı Olarak Erişilmesi

“İlgili kişinin ortağı olduğu şirkette kullandığı e-posta adresine izinsiz ve hukuka aykırı olarak erişildiği iddiası” hakkında Kişisel Verileri Koruma Kurulunun 27/01/2020 tarihli ve 2020/59 sayılı Karar Özeti

Karar Tarihi : 27/01/2020
Karar No : 2020/59
Konu Özeti : İlgili kişinin ortağı olduğu şirkette kullandığı e-posta adresine izinsiz ve hukuka aykırı olarak erişilmesi

Kuruma intikal eden bir şikâyette, ilgili kişinin ortağı bulunduğu …….Ltd. Şti bünyesinde kullanmakta olduğu (ismininbaşharfivesoyadı)@şirketadı.com.tr şeklindeki ve kişisel verilerinin de bulunduğu kişisel e-posta hesabına izinsiz ve hukuka aykırı olarak erişildiği, erişim ayarlarının değiştirildiği, söz konusu e-posta hesabına ait tüm verilerin silinmesi ve kaldırılması konusunda bu e-posta hesabının bulunduğu IP adreslerinin sahibi veri sorumlusu … Menkul Kıymetler AŞ’den noter kanalıyla talepte bulunulduğu; ancak, talebin reddedildiği belirtilerek, söz konusu hususlara ilişkin 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde e-posta hesabının bulunduğu IP adreslerinin sahibi veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • Şikâyet edilen veri sorumlusunun Genel Müdürünün aynı zamanda ilgili kişinin ortak olduğu …..Ltd. Şti’nin diğer ortağı ve yetkili müdürü olduğu,
  • Ticari işlerin takip edilmesi için ortağı olduğu şirketin müdürü sıfatıyla söz konusu e-posta adresinin ilgili kişiye tahsis edildiği, ortağı olduğu şirkete ait işlemlerin ilgili kişi tarafından takip edilmekte olmasına rağmen ilgili kişinin gerçekleştirdiği işlem ve kayıtlar hakkında hiçbir bilgi vermemesi, genel kurul davetine de icabet etmemesi üzerine şirket Genel Müdürünün, ilgili kişinin gerçekleştirdiği işlemleri ve yazışmalarını bulmak amacıyla şirket e-posta sunucusundan şirkete ait info@şirketadı.com.tr e-posta adresinin yazışmalarına bakıldığı, Asliye Ticaret Mahkemesinin dosyasına konu ve şirket gelirlerinin suiistimaline ilişkin e-posta yazışmalarına, ilgili kişinin hesabına erişilmek suretiyle değil ilgili kişinin kendisinin talebiyle önceden dâhil edildiği e-posta hesabının sunucu yedeklerinden ulaşıldığı,
  • E-posta ve eki kayıtları, yevmiye defteri ve fatura kayıtları ile şirketin gelirlerinin yatırıldığı banka kayıtlarının karşılaştırılması sonucunda, ilgili kişinin geçmiş yıllarda müdürlük görevini kötüye kullanarak şirket gelirlerinden bir kısmını muhtelif banka hesaplarına transfer ettiğinin tespiti üzerine Asliye Ticaret Mahkemesi nezdinde dava açıldığı,
  • E-posta hesabının bulunduğu IP adreslerinin sahibi veri sorumlusu şirket genel müdürü hakkında, ilgili kişinin söz konusu e-posta hesabının izinsiz olarak ele geçirildiği ve söz konusu hesaptaki kişisel bilgilerinin tümünün alenileştirildiği ve başkaca kişilerle paylaşıldığı, böylece ilgili kişinin 6698 sayılı Kanun kapsamındaki haklarının açıkça ihlal edildiği yönünde Savcılığa yaptığı şikâyet başvurusuna ilişkin olarak, “şirket ortakları tarafından şirkete ilişkin iş ve işlemler için kullanıldığında şüphe bulunmayan maillerin kişisel içerik taşımayacağı, şirket serverlarından elde edilen bilgilerin hukuk ve ceza yargılamasına delil olarak sunulmasının suç teşkil etmeyeceği, müştekinin şirket iş ve işlemleri dışındaki kişisel verilerinin başkaca bir ortamda kullanıldığı, yayıldığı vb. bir iddiasının da bulunmadığı, yine şirket mail içeriklerinden özel hayatına ilişkin bilgi ve veri elde edildiğine dair bir iddiasının da bulunmadığı, iddia edilen suçların ise unsurları itibariyle oluşmadığı” gerekçesiyle kovuşturma yapılmasına yer olmadığına karar verildiği,
  • Mülkiyeti, ortağı olduğu şirkete ait olan ve faturası şirket tarafından ödenen e-posta hesabının ilgili kişiye, şirkete ait işlemlerin takibi ile sözleşme ve ödeme işlemleri için tahsis edildiği ve kişisel bir e-posta hesabı olmadığı,
  • İddia edildiği gibi, söz konusu şirket uzantılı e-posta adresine hukuka aykırı bir erişimin gerçekleşmediğinin gerek Asliye Ticaret Mahkemesinin gerekse Savcılığın kararları ile sabit olduğu ve “server yedek” kayıtlarından elde edilen e-postaların, ilgili kişinin müdürlükten azil, şirketi uğrattığı zararın tazmini ve ticari kayyım atanması talepli açılan davalarda delil olarak yalnızca Mahkemeye ve suç duyurusu esnasında da Savcılığa sunulduğu,
  • İlgili kişinin, müdürlük yetkisinin tedbiren kaldırılması ve yerine yönetici kayyım atanması sonrasında söz konusu adresine erişildiği ve erişim ayarlarının değiştirildiği iddiasının gerçeğe aykırı olduğu ve Kurumu yanıltmaya yönelik olduğu; bu yöndeki iddianın Mahkeme ve Savcılık tarafından reddedildiği,
  • İlgili kişinin söz konusu e-posta adresine ait tüm verilerin yedekleriyle kopyalarının silinmesi yönündeki talebinin, şirket mailini kullanarak şirket aleyhine işlemiş olduğu zarar doğurucu, şirket gelirlerini zimmete geçirme ve suç teşkil eden fiillerine ilişkin delilleri Mahkemede ortadan kaldırma, bu delilleri karartma, hukuken geçersiz kılabilme amacına dönük olduğundan reddedildiği ve bunun hukuka uygun olduğu,
  • Şikayet edilen e-posta hesabının bulunduğu IP adreslerinin sahibi şirketin Kanun ve Türk Ceza Kanunu (TCK) uyarınca işlediği bir suç veya kabahatinin bulunmadığı, TCK’nın 26/1 maddesi gereğince, hakkını kullanan kimseye ceza verilemeyeceği; şikayet edilen şirket genel müdürünün, aynı zamanda ilgili kişinin ortak olduğu şirketin de ortağı ve yetkili müdürü olması sebebiyle, Türk Ticaret Kanununun 626 ncı maddesi hükmü uyarınca müdürlük görevini yerine getirebilmek ve şirket menfaatini korumak için şirkete ait sözleşme ve müşteri yazışmalarını denetlemek yükümlülüğünün bulunduğu, şirketin diğer müdürü olan ilgili kişinin hesap vermekten kaçınması üzerine, şirket uzantılı mail adresinin yedek kayıtlarının denetlenmesinin Kanuna ve hukuka uygun olduğu

belirtilmiştir.

personel programı

İlgili kişinin şikayeti, veri sorumlusunun savunması ve ilgili mevzuat hükümlerinin birlikte incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 27/01/2020 tarih ve 2020/59 sayılı Kararı ile;

  • Kanunun 4 üncü maddesinde kişisel verilerin işlenmesinde uyulacak genel ilkelerin, 5 inci ve 6 ncı maddelerinde de kişisel veriler ile özel nitelikli kişisel verilerin işlenme şartlarının belirlendiği, bu çerçevede, ad, soyad, adres, telefon numarası, Türkiye Cumhuriyeti kimlik numarası, doğum tarihi gibi kişisel verilerin herhangi bir veri sorumlusu tarafından işlenmesinin ancak açık rızanın bulunması ya da Kanunda belirtilen açık rıza dışı diğer hallerin varlığında mümkün bulunduğu,
  • Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesi hükmü uyarınca, kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemeyeceği; ancak kişisel verilerin

a) Kanunlarda açıkça öngörülmesi.

b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” şartlarından birinin varlığı halinde ilgili kişinin açık rızası aranmaksızın işlenebileceğinin hükme bağlandığı

değerlendirmelerinden hareketle;

  • Kişinin ortağı olduğu şirkete ilişkin hakların korunması amacıyla söz konusu e-posta adresine ilişkin sunucu yedek kayıtlarından elde edilen kişisel verilerin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (e) bendinde yer alan “…. bir hakkın tesisi, kullanılması ve korunması kapsamında veri işlemenin zorunlu olması” kapsamında işlendiği ve kişisel veriler kullanılarak Asliye Ticaret Mahkemesi nezdinde açılan dava nedeniyle gerçekleştirilen kişisel veri işleme faaliyetinin ise Kanunun 28 inci maddesinin 1 numaralı fıkrasının (d) bendi hükmü kapsamında olduğu değerlendirildiğinden söz konusu şikayet ile ilgili Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

Devamı: Kişisel Verileri Koruma – e-Posta Adresine İzinsiz ve Hukuka Aykırı Olarak Erişilmesi Alomaliye.com Güncel Mevzuat, Muhasebe, Ekonomi, Vergi, SGK Haberleri ilk yayınlayan websitedir.

KVKK Kurul Kararı 2020/765 – Kurul Kararı ile Verilen Talimatın Gereğinin Yerine Getirilmemesi

Bir Banka Tarafından Kurul Kararı ile Verilen Talimatın Gereğinin Yerine Getirilmemesi Hakkında Kişisel Verileri Koruma Kurulu’nun 08/10/2020 Tarihli ve 2020/765 Sayılı Karar Özeti

Karar Tarihi: 08/10/2020

Karar No: 2020/765

Konu Özeti: Bir banka tarafından Kurul kararı ile verilen talimatın gereğinin yerine getirilmemesi hakkında

İlgili kişinin 6698 sayılı Kişisel Verilerin Korunması Kanununun 11’inci maddesinde belirtilen hakları kapsamında veri sorumlusu Banka’ya yaptığı başvuruya Kanun’da düzenlenen otuz günlük süre içerisinde cevap verilmediği ve Bankanın internet sayfasında yayımlanan aydınlatma metninin de Kurum tarafından yayımlanan tebliğe uygun olmadığı, metinde kişisel verilerin işlenmesindeki sebeplerin belirtilmediği, ayrıca kişisel verilerin işlenme amaçları için genel ifadeler kullanıldığına ilişkin Kişisel Verileri Koruma Kuruluna ilettiği şikayet dilekçesi ile ilgili olarak savunması alınan veri sorumlusu Bankaya “internet sayfasında yer alan Kişisel Verilerin Korunması Kişisel Verileriniz Koruma Altında!” başlıklı metnin Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine uygun hazırlanmaması nedeniyle gözden geçirilmesi ve Tebliğ hükümlerine uygun hale getirilmesini teminen kişisel verilerin hangi kişisel veri işleme şartlarına dayanılarak işlendiğine metinde ayrıntılı şekilde yer verilmesi, bahse konu metnin aydınlatma yerine geçmeyeceği, aydınlatmanın kişisel verilerin elde edilmesi sırasında ve faaliyet bazlı olarak yerine getirilmesi gerektiği hususlarında gerekli düzenlemelerin yapılması” gerektiği yönündeki talimatı içerir 06.02.2020 tarih ve 2020/100 sayılı Kurul Kararı tebliğ edilmiş olup, bu çerçevede veri sorumlusundan alınan bilgi ve belgelerin birlikte incelenmesinden:

  • Veri sorumlusu tarafından aydınlatma metnine, işlenen kişisel verilerin işleme amaçları ile ilgili olarak “Bankamızdan alacağınız ürün ve hizmetler nedeni ile kuracağınız ilişki çerçevesinde; Kişisel verileriniz aşağıda belirtilen hukuki sebeplere dayalı olarak işlenmektedir. Kanun’un: 5/2 (a) maddesinde düzenlenen kanunlarda açıkça öngörülmesi; 5/2 (c) maddesinde düzenlenen Bankamızla imzalanan sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; 5/2 (ç) maddesinde düzenlenen Bankamızın hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; 5/2 (e) maddesinde düzenlenen bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması; 5/2 (f) maddesinde düzenlenen sizlerin temel hak ve özgürlüklerinize zarar vermemek kaydıyla Bankamızın meşru menfaatleri için veri işlenmesinin zorunlu olması; son olarak özel nitelikli kişisel verileriniz ise; de 6/2 maddesine göre ancak açık rızanızla işlenebilmektedir.” şeklindeki paragrafın eklendiği,
  • Aydınlatma metninde veri sorumlusu tarafından işlenen kişisel verilere ayrıca yer verilmediği gibi metinde kişisel verilerin hangi kişisel veri işleme şartına dayanılarak işlendiğine ilişkin de ayrıntılı bir düzenleme yapılmadığı; yalnızca Kanunun 5’inci maddesinin (2) numaralı fıkrasının (a), (c), (ç), (e) ve (f) bentleri ile Kanunun 6’ncı maddesinin (2) numaralı fıkrasındaki hükümlerin sıralandığı,
  • Aydınlatma metninde işleme amaçlarında bazı eklemeler yapılması ve başvuru sahiplerinin veri sorumlusuna başvurularını iletme yollarının yeniden düzenlenmesi dışında genel itibariyle aydınlatma metninin Tebliğe uygun hale getirilmesi amacıyla talimatta yer verilen ilgili değişikliklerin yapılmadığı,
  • Ayrıca veri sorumlusu tarafından savunma metninde; 5411 sayılı Bankacılık Kanununda belirlenmiş olan ve Bankacılık Düzenleme ve Denetleme Kurumu tarafından ayrıca izin alınmış olan faaliyetleri de kapsayacak şekilde kişisel verilerin işlenme amacını belirten tek bir aydınlatma metni ile ilgili kişilerin, kişisel verilerin elde edilmesi anında bilgilendirildiği ancak Bankanın yürüttüğü sosyal sorumluluk projeleri ve kurumsal marka çalışmaları ile reklam faaliyetleri gibi diğer faaliyetlerinde ise müşterileri dışındaki gerçek kişiler hakkında gerçekleştirdiği veri işleme faaliyetlerinde özel ve ayrı aydınlatma metinleri kullanıldığı ifadelerine yer verilmekle birlikte bu hususta Kuruma tevsik edici herhangi bir belge sunulmadığı,
  • Bu kapsamda ilgili Karardaki “… aydınlatmanın kişisel verilerin elde edilmesi sırasında ve faaliyet bazlı olarak yerine getirilmesi gerektiği…” talimatına ilişkin olarak veri sorumlusunun internet sayfasında kredi kartı başvurusu yapılmak istenildiğinde “Kişisel verilerimin neden ve nerelerden toplandığı, nasıl kullanıldığı ve diğer haklarımla ilgili olarak Kişisel Verilerin Korunması Kanunu uyarınca yapılan bilgilendirmeyi okudum.” ifadesinin yer aldığı ve bilgilendirme linkinin seçilmesi halinde ise yönlendirilen sayfada “Kişisel Verilerin Korunması” başlıklı bir aydınlatma metninin yer aldığı, söz konusu aydınlatma metninin Bankanın anasayfasında Gizlilik Politikası sekmesi atında da yer alan genel aydınlatma metni olduğu ve “Kredi Kartı Başvurusu” sırasında gerçekleştirilen işleme faaliyetine özgülenmemiş, genel nitelikli bir aydınlatma metni olduğu,
  • Ek olarak “İhtiyaç Kredisi Başvurusu” nda bulunulduğunda da yine aynı genel aydınlatma metni ile karşılaşılmış olup, kredi kartı başvurusu ve ihtiyaç kredisi başvurusu sırasında bu başvurulara özgü, sadece o işlem kapsamında işlenen kişisel verilere, işleme amaçlarına ve işlemenin dayandığı hukuki sebep ve diğer unsurlarına yer verilmeyen aksine genel nitelikli bir metin ile aydınlatma yapıldığı,
  • Söz konusu aydınlatma metinlerinde de veri sorumlusu tarafından işlenen kişisel verilerin hangi kişisel veri işleme şartına dayanılarak işlendiğine ilişkin ayrıntılı bilgiye yer verilmemesi dolayısıyla Tebliğin “Usul ve esaslar” başlıklı 5’inci maddesinin (1) numaralı fıkrasının (h) bendinde yer alan hükme aykırılığın söz konusu olduğu

değerlendirilmiş olup, mevcut durum 6698 sayılı Kişisel Verilerin Korunması Kanunu ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümleri çerçevesinde değerlendirildiğinde;

  • Veri sorumlusunun aydınlatma metninde Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine uygun olarak kişisel verilerin hangi kişisel veri işleme şartına dayanılarak işlendiğine ilişkin ayrıntılı bilgiye yer verilmediği, yalnızca Kanunun 5’inci ve 6’ncı maddelerinin ilgili fıkra ve bentlerine yer verilmesiyle yetinildiği,
  • Aydınlatmanın kişisel verilerin elde edilmesi sırasında ve faaliyet bazlı olarak yerine getirilmesi gerektiği talimatına ilişkin olarak tevsik edici belge sunulmamakla birlikte veri sorumlusunun savuma yazısında; kişisel verilerin işlenme amacını belirten tek bir aydınlatma metni ile ilgili kişilerin kişisel verilerin elde edilmesi anında bilgilendirildiği ve veri sorumlusunun müşterileri dışındaki gerçek kişiler hakkında gerçekleştirdiği veri işleme faaliyetlerinde ise özel ve ayrı aydınlatma metinleri kullanıldığı ifadelerine yer verilmekle birlikte web sayfasında farklı bankacılık ürünlerine başvuru yapılması sırasında o faaliyete özgü hazırlanmamış genel bir aydınlatma metnine yer verildiği ve bu aydınlatma metninin de Tebliğe uygun olmadığı

dikkate alındığında veri sorumlusu tarafından yayımlanan aydınlatma metninin Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine uygun olarak düzenlenmediği ve Kurul Kararı ile verilen talimatın yerine getirilmeyerek Banka tarafından Kanunun 15’inci maddesinin (5) numaralı fıkrasına aykırı hareket edildiği kanaatine varıldığından, veri sorumlusu hakkında Kanunun 18’inci maddesinin (1) numaralı fıkrasının (c) bendi uyarınca 120.000 TL idari para cezası uygulanmasına karar verilmiştir.

Kaynak: KVKK

personel programı

Devamı: KVKK Kurul Kararı 2020/765 – Kurul Kararı ile Verilen Talimatın Gereğinin Yerine Getirilmemesi Alomaliye.com Güncel Mevzuat, Muhasebe, Ekonomi, Vergi, SGK Haberleri ilk yayınlayan websitedir.

Covid-19 ile Mücadele Sürecinde Kişisel Verilerin Korunması Kanunu Kapsamında Bilinmesi Gerekenler

Koronavirüs Kişisel Verileri Koruma

Covid-19 ile Mücadele Sürecinde Kişisel Verilerin Korunması Kanunu Kapsamında Bilinmesi Gerekenler

Tüm Dünya ve Ülkemizi etkileyen COVID-19 virüsü salgınının yayılmasını engellemek ve etkilerini hafifletmek adına kamu kurum ve kuruluşları gerekli adımları atmakta ve çeşitli önlemler alınması suretiyle mücadele etmektedir. Bu önlemlerin alındığı çoğu durumda özel nitelikli kişisel veriler de (sağlıkla ilgili veriler vb.) dahil olmak üzere pek çok kişisel verinin (TC kimlik no, ad, adres, işyeri, seyahat bilgileri gibi) işlenmesi kaçınılmazdır.

Bu süreçte öncelikli olarak sağlık hizmetlerinin sağlanması ve kamu sağlığının korunması esastır. 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında özellikle kişilerin sağlık verilerinin ve diğer kişisel verilerin işlenmesi gerektiği durumlarda veri sorumluları ve veri işleyenler tarafından söz konusu faaliyetlerin Kanun hükümlerine uygun yürütülmesinin sağlanması ve veri güvenliğine yönelik gerekli idari ve teknik tedbirlerin alınması önem arz etmektedir.

Belirtmek gerekir ki, bu istisnai zamanlarda dahi veri sorumluları ve veri işleyenlerin, ilgili kişilerin kişisel verilerinin güvenliğini sağlamaları gerekmektedir. Bu nedenle kişisel verilerin hukuka uygun olarak işlenmesi ve bu konuda alınan herhangi bir önlemin hukukun genel ilkelerine uygun olması, bu çerçevede kişilerin temel hak ve özgürlükleri açısından geri döndürülemez zararların ortaya çıkmaması önemlidir. Bu minvalde özellikle COVID-19 virüsüne karşı alınan önlemler kapsamında gerçekleştirilen kişisel veri işleme faaliyetleri gerekli, amaçla bağlantılı, sınırlı ve ölçülü olmalıdır. Bu konuda alınan kararlar, Sağlık Bakanlığı başta olmak üzere halk sağlığı kuruluşlarının veya diğer ilgili kurum ve kuruluşların rehberliği ve / veya talimatları çerçevesinde olmalıdır.

Bu bağlamda veri sorumlularının başta sağlık verisi olmak üzere kişisel verileri işlerken aşağıdaki hususlara dikkat etmeleri önem arz etmektedir.

Kişisel Verilerin İşlenmesine İlişkin Temel İlkeler

6698 sayılı Kanunda kişisel verilerin işlenmesinde sayılan genel (temel) ilkeler hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmedir. İşlenmesini gerektiren sebeplerin ortadan kalkması halinde ise söz konusu kişisel veriler silinmeli, yok edilmeli veya anonim hale getirilmelidir.

Söz konusu ilkeler, COVID-19 ile mücadele kapsamında tüm kişisel veri işleme faaliyetlerinin özünde bulunmalı ve tüm kişisel veri işleme faaliyetleri bu ilkelere uygun olarak gerçekleştirilmelidir.

Kanuna Uygunluk

6698 sayılı Kişisel Verilerin Korunması Kanununun 5 inci maddesinde kişisel verilerin işlenme şartları, 6 ncı maddesinde ise sağlık verilerinin dahil olduğu özel nitelikli kişisel verilerin işlenme şartları belirlenmiştir.

Kanunun 6 ncı maddesinde özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenemeyeceği belirtilmekle birlikte sağlık ve cinsel hayat dışındaki kişisel verilerin, kanunlarda öngörülen hâllerde, sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği düzenlenmiştir.

Ayrıca Kişisel Verileri Koruma Kurulunun 31/01/2018 tarihli ve 2018/10 sayılı Kararı ile “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” belirlenmiştir.

Bu noktada, kişisel verilerin Kanunun 5 inci ve/veya 6 ncı maddesinde belirtilen şartlara uygun olarak işlenmesi gerektiği unutulmamalıdır.

Bu çerçevede, özellikle sağlık verilerinin işlenmesi açısından çalışanın rızasını alma yoluna gidilmesi tercih edilebileceği gibi, salgının yayılma hızı düşünülürse, çalışan kendi rızası ile de hastalık bildirimi yapabilecektir. Açık rıza dışındaki şartlar dâhilinde ise, sağlık verilerinin iş yeri hekimleri tarafından işlenmesi söz konusu olacaktır. Bu süreçte doğaldır ki her işlenen veri özel nitelikli kişisel veri de olmayabilir (Örneğin kişilerin son olarak seyahat ettikleri ülke bilgisi gibi). Bu durumlarda da Kanunun 5 inci maddesinde kişisel veri işleme şartlarının dikkate alınması gerekecektir.

Öte yandan, Kanunun 28 inci maddesinin (1) numaralı fıkrasının (ç) bendinde kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi halinde Kanun hükümlerinin uygulanmayacağı düzenlenmiştir. Bu çerçevede, mevcut durum kamu güvenliğini ve kamu düzenini tehdit ettiğinden kişisel verilerin Sağlık Bakanlığı ve yukarıdaki madde kapsamına giren kamu kurum ve kuruluşları tarafından işlenmesinin önünde de bir engel bulunmamaktadır.

Aydınlatma Yükümlülüğü (Şeffaflık)

Bu noktada hatırlatılması gereken diğer önemli bir konu da işlenen kişisel veriler ile ilgili olmak üzere aydınlatma yükümlülüğünün yerine getirilmiş olmasıdır. Bu anlamda, kişisel verileri işleyen veri sorumluları, kişisel verilerin toplanma amacı ve ne kadar süreyle saklanacağı hususu da dahil olmak üzere, uyguladıkları önlemler konusunda şeffaf olmalıdır. Bireylere kişisel verilerinin işlenmesi hakkında kısa, kolay erişilebilir, anlaşılır, açık ve sade bir dil kullanılması suretiyle bilgi sağlamalıdırlar.

Gizlilik

COVID-19 virüsünün yayılmasını önleme bağlamında, veri sorumlusu ve veri işleyenler tarafından başta sağlık verisi olmak üzere herhangi bir veri işleme faaliyetinde, kişisel verilerin güvenliğini sağlayacak gerekli idari ve teknik tedbirler alınmalıdır. Etkilenen kişilerin verileri açık ve zorunlu bir gerekçe olmaksızın herhangi bir üçüncü tarafa ifşa edilmemelidir.

Öte yandan, sosyal medya hesapları ve benzeri mecralarda sağlık verileri başta olmak üzere kişisel veriler ile ilgili hukuka aykırı olarak yapılacak paylaşımların aynı zamanda 5237 sayılı Türk Ceza Kanununun 136 ncı maddesi kapsamında suç teşkil edebileceği unutulmamalıdır.

Veri Minimizasyonu

Herhangi bir veri işleme faaliyetinde olduğu gibi, COVID-19 virüsünün yayılmasını önleme amacına yönelik gerçekleştirilen veri işleme faaliyetleri de amaçla bağlantılı ve sınırlı ölçüde gerçekleştirilmeli, gereğinden fazla kişisel veri işlenmesinden kaçınılmalıdır. Hedeflenen amaca ulaşmak için imkân dâhilindeki en müdahaleci olmayan yolun tercih edilmesi gerekmektedir.

Haber Arası Reklam

Sıkça Sorulan Sorular

  • Bir sağlık kuruluşu önceden izin almaksızın COVID-19 ile ilgili kişilerle iletişim kurulabilir mi?

Yönetimlerin, COVID-19 virüsü gibi küresel salgın boyutuna ulaşan durumlarda kamu sağlığını ve kamu düzenini sağlamak ile ilgili yükümlülükleri bulunmaktadır. Kamu kurum ve kuruluşları, halk sağlığına yönelik ciddi tehditlerle mücadele etmek için ek olarak kişisel verilerin toplanmasına ve paylaşılmasına gerek duyabilir.

Bu çerçevede, ilgili sağlık kurum ve kuruluşlarının kişilere telefon, mesaj veya e-posta yoluyla halk sağlığı ile ilgili mesajlar göndermesinde Kişisel Verilerin Korunması Kanunu açısından bir engel bulunmamaktadır.

  • Salgın sırasında kuruluşların personelinin çoğunun evden çalıştığı bilinmektedir. Evden çalışılan bu süre zarfında ne tür güvenlik önlemleri alınmalıdır?

Kişisel verilerin korunması mevzuatı, evden çalışmanın önünde bir engel değildir. Salgın sırasında personel evden çalışabilir ve kendi cihazlarını veya iletişim ekipmanlarını kullanabilir. Kişisel verilerin korunması mevzuatı bunu engellemez, ancak kişisel verilerin güvenliğini sağlamaya yönelik gerekli idari ve teknik tedbirlerin alınması gerekmektedir.

Uzaktan çalışmanın doğurabileceği risklerin asgariye indirilmesi adına, sistemler arasındaki veri trafiğinin güvenli iletişim protokolleriyle gerçekleştirilmesi ve herhangi bir zafiyet içermemesinin sağlanması ile anti-virüs sistemlerinin ve güvenlik duvarlarının güncelliğinin sağlanması başta olmak üzere, her türlü tedbirin alınması ve kişisel verilerin güvenliği açısından konuya ilişkin çalışanların dikkatle bilgilendirilmesi gerekmektedir.

Ancak unutulmamalıdır ki, çalışanlar tarafından alınacak tedbirler Kanun kapsamında kişisel verilerin güvenliğinin sağlanması noktasında veri sorumlusunun yükümlülüğünü ortadan kaldırmamaktadır.

  • Bir işveren, bir çalışanın virüs taşıdığını meslektaşlarına/diğer çalışanlarına açıklayabilir mi?

İşveren, vakalar hakkında personeli bilgilendirmelidir. Bilgilendirme yapılırken bireylerin isimlerinin verilmesinin gerekmeyeceği gibi gereğinden fazla bilgi de verilmemelidir. Koruyucu tedbirlerin alınması açısından virüsün bulaştığı çalışanın/çalışanların isminin açıklanmasının zorunlu olduğu hallerde ilgili çalışanların bu hususta önceden bilgilendirilmesinde fayda görülmektedir. İşverenin, çalışanlarının sağlık ve güvenliğini sağlama ve aynı zamanda özen yükümlülüğünü yerine getirme sorumlulukları bulunmaktadır.

Bu kapsamda ilk etapta işverenler tarafından örneğin “…Genel Müdürlük binamızın 5. katında çalışan bir arkadaşımızın COVID-19 testinin pozitif çıktığını bildirmek isteriz. Testi pozitif çıkan arkadaşımızın binada bulunduğu tarihler dikkate alınarak, arkadaşımızla temasta bulunan kişiler tespit edilerek kendilerini durum hakkında bilgilendireceğiz…” şeklinde açıklamalarda bulunulması yoluna gidilebilir.

Yukarıdaki örnekte olduğu gibi, bir kurum, kuruluş veya şirket içerisinde yapılacak duyurularda çalışanlara COVID-19 enfekte bir çalışanın bulunduğu, evden çalıştığı ya da izinde olduğu belirtilmeli; ancak zorunlu olmadığı sürece şirket içi seviye ya da ekip gibi çalışanın kim olduğunun tespitini doğrudan sağlayacak detaylar paylaşılmamalıdır.

  • Bir işveren, binadaki tüm personelden ve ziyaretçilerden virüsten etkilenen ülkelere yakın dönemde gerçekleştirdikleri seyahatler ve ateş vb. virüs belirtileri hakkında bilgi talebinde bulunabilir mi?

İşverenlerin, çalışanın sağlığını korumak ve güvenli bir iş yeri sağlamakla ilgili yasal yükümlülükleri bulunmaktadır. Bu bağlamda ve mevcut koşullarda, işverenlerin, çalışanlardan ve ziyaretçilerden virüsten etkilenen bir bölgeyi ziyaret edip etmedikleri ve/veya virüsün neden olduğu hastalığa dair belirtiler gösterip göstermedikleri konusunda kendilerini bilgilendirmelerini istemek için haklı gerekçeleri gündeme gelecektir.

Bilgi talebinin gereklilik ve ölçülülüğe bağlı ve risk değerlendirilmesine dayanan güçlü bir gerekçesi olması gerekir. Bu durumda, görevleri ile ilgili olarak personelin seyahatleri, işyerinde kronik rahatsızlığı olan ya da virüsten daha ağır etkilenme ihtimali bulunan kişilerin varlığı ve halk sağlığı yetkililerinin talimatları veya rehberliği gibi belirli unsurlar dikkate alınmalıdır.

Kişilerin kısa bir süre önce virüsten etkilenen bir bölgeye seyahat etmiş olmaları ve/veya hastalığa dair belirtiler göstermelerine dayanarak uygun önlemler almalarının istenmesi durumunda, belirli tavsiyelerin personel ve ziyaretçilerin dikkatine sunulmasında kişisel verilerin korunması mevzuatı açısından bir sakınca bulunmamaktadır.

  • İşveren tarafından kamu sağlığı amacıyla çalışanların sağlık bilgileri yetkililerle paylaşılabilir mi?

Kanunun 8 inci maddesi ve bulaşıcı hastalıklara ilişkin ilgili diğer kanunlarda yer alan hükümler çerçevesinde, bildirime esas bulaşıcı hastalıkları taşıyanlara ilişkin kişisel veriler, işveren tarafından ilgili makamlar ile paylaşılabilecektir.

  • Salgın sırasında, kuruluşların geçici olarak kapatıldığı veya veri sorumlularının ilgili kişilerin taleplerini yerine getirme kapasitesinin COVID-19 nedeniyle kısıtlandığı durumlarda, zaman çizelgelerine göre ilgili kişilerin başvurularına yanıt verme ve Kurumumuza karşı yükümlülükleri kapsamında Kişisel Verilerin Korunması Kanunu ve ilgili mevzuatta belirtilen süreler hala geçerli midir?

Kişisel verilerin korunması mevzuatı kapsamında Kurumumuza intikal eden şikayet, ihbar ve veri ihlal bildirimleri ile ilgili olarak veri sorumlularının gerek Kurumumuza gerek ilgili kişilere karşı yükümlülükleri açısından Kanunda ve ilgili alt düzenlemelerde çeşitli süreler belirlenmiş olup, veri sorumluları tarafından bu sürelere riayet edilmesi önem arz etmektedir.

Kanun ve ilgili mevzuatta belirtilen yasal sürelerin uzatılması söz konusu değildir, ancak Ülkemizin içinde bulunduğu bu olağanüstü süreçte veri sorumluları tarafından alınan önlemler kapsamında farklı operasyonel uygulamalara (uzaktan çalışma, dönüşümlü çalışma vb.) gidildiği de dikkate alınarak, her bir başvuru ya da veri ihlal bildirimi özelinde, veri sorumlularının uymakla yükümlü oldukları sürelerin değerlendirilmesi açısından Kişisel Verileri Koruma Kurulu tarafından içerisinde bulunduğumuz olağanüstü koşullar gözetilecektir.

Kaynak: KVKK

Devamı: Covid-19 ile Mücadele Sürecinde Kişisel Verilerin Korunması Kanunu Kapsamında Bilinmesi Gerekenler Alomaliye.com Güncel Mevzuat, Muhasebe, Ekonomi, Vergi, SGK Haberleri ilk yayınlayan websitedir.