KİŞİSEL VERİLERİN KORUNMASI MEVZUATI

Kişisel veri, kimliği belirli veya belirlenebilir gerçek bir kişi ile ilişkilendirilebilecek her türlü veridir. Örneğin; TC Kimlik No, ad- soyad, e-posta, adres, genetik bilgiler, alışveriş tercihleri en yaygın kullanılan kişisel veri örneklerindendir.

Veri Sorumlusu; Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir.

Veri Sahibi/ İlgili Kişi: Kişisel verisi işlenen gerçek kişidir.

6698 Sayılı Kişisel Verilerin Korunması Kanunu, kişisel verilerin işlenmesini; “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi” ifade ettiği şeklinde tanımlamıştır.

Kişisel veri, genel nitelikli ve özel nitelikli kişisel veri olmak üzere ikiye ayrılmıştır.

  • Genel Nitelikli Kişisel Veri; Hassas veri niteliğinde olmayan her türlü veriyi kapsamakta iken,
  • Özel Nitelikli Kişisel Veri; Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleri ile ilgili verileri, biyometrik ve genetik verileri kapsamaktadır. (Fişleme ile ilgili olan, ayrımcılığa uğrama tehlikesini bünyesinde barındıran tüm veriler hassas veri niteliğindedir.)

Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Kanun çerçevesinde açık rıza, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile ya da karşı taraftan gelen istek üzerine, onay vermesi anlamını taşımaktadır. Açık rızanın bu anlamda, rıza veren kişinin “olumlu irade beyanı”nı içermesi gerekmektedir. Diğer mevzuattaki düzenlemeler saklı kalmak üzere, açık rızanın yazılı şekilde alınmasına gerek yoktur. Açık rızanın elektronik ortam ve çağrı merkezi vb. yollarla alınması da mümkündür. Burada ispat yükümlülüğü veri sorumlusuna aittir.

Açık rızanın 3 unsuru bulunmaktadır:

• Belirli bir konuya ilişkin olması

• Rızanın bilgilendirmeye dayanması

• Özgür iradeyle açıklanması

Genel Nitelikli Kişisel Verilerin İşlenmesinde Rızanın Aranmayacağı Haller;

  • Kanunlarda açıkça öngörülmesi (Sigortacılık mevzuatı, taşıma mevzuatı, iş mevzuatı gibi.)
  • Fiili imkansızlık nedeni ile rızasını açıklamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması (Akıl Hastalığı, Yaş küçüklüğü gibi.)
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması (Kira Sözleşmesinde tarafların iletişim ve banka hesap bilgileri gibi bilgilerin yer alması gibi)
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması (idari makama hukuki yükümlülük kapsamında verilen bilgiler, işe giriş tescilleri gibi.)
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması (Örneğin; kamuya açık bir paylaşım ağında iletişim bilgisini paylaşmış olması)
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması (Mülkiyet hakkının tesisi için tapu müdürlüğüne birtakım bilgilerin verilmesi, satış sonrası hizmetler için kişisel veri işlenmesi gibi)
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması (kamera kayıtları)

Özel Nitelikli Kişisel Verilerin İşlenmesinde Rızanın Aranmayacağı Haller;

  • Kanunlarda öngörülen haller,
  • Sağlık ve cinsel hayata ilişkin veriler, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler ya da yetkili kurum ve kuruluşlar tarafından işlenebilir.

Kişisel verilerin işlenmesinde temel olarak; Hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme kurallarına uygun hareket edilmelidir.

Kişisel veriler ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. Ancak bu durumun istisnası, Kanunun istisna hükümlerinin varlığı ile veri aktarılacak ülkede yeterli korumanın olması veya veri aktarılan kişinin korumayı yazılı olarak taahhüt etmesi ve veri koruma kurulunun izninin olması halleridir.

  1. AYDINLATMA YÜKÜMLÜLÜĞÜ

Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in de yürürlüğe girmesiyle birlikte, kişisel verilerin elde edilmesi sırasında veri sorumlusu ya da yetkilendirdiği kişinin, veri sahiplerine aşağıdaki konularda bilgi vermekle yükümlü olduğu düzenlenmiştir

  • Veri sorumlusunun ve varsa temsilcisinin kimliği
  • Kişisel verilerin hangi amaçla işleneceği
  • İşlenen verilerin kimlere ve hangi amaçla aktarılabileceği
  • Kişisel verileri toplama yöntemi ve hukuki sebebi
  • Veri sahibinin hakları

Aydınlatma yükümlülüğü yerine getirilirken, aşağıdaki hususlara dikkat edilmelidir;

  • Kişisel veri işlendiği her durumda aydınlatma yükümlülüğü yerine getirilmelidir.
  • Kişisel veri işleme amacı değiştiğinde, veri işleme faaliyetinden önce bu amaç için aydınlatma yükümlülüğü ayrıca yerine getirilmelidir.
  • Veri sorumlusunun farklı birimlerinde kişisel veriler farklı amaçlarla işleniyorsa, aydınlatma yükümlülüğü her bir birim nezdinde ayrıca yerine getirilmelidir.
  • Kişiye verilecek bilgiler, Sicile açıklanan bilgilerle uyumlu olmalıdır.
  • Aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişinin talebine bağlı değildir.
  • Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.
  • Açık rıza aranan hallerde aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.
  • Kişisel veri işleme amacının belirli, açık ve meşru olması gerekir. Aydınlatma yükümlülüğü yerine getirilirken, genel nitelikte ve muğlak ifadelere yer verilmemelidir.
  • Gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadeler kullanılmamalıdır.
  • Aydınlatma yükümlülüğü kapsamında ilgili kişiye yapılacak bildirimin anlaşılır, açık ve sade bir dil kullanılarak gerçekleştirilmesi gerekmektedir.
  • Aydınlatma yükümlülüğünün yerine getirilmesi esnasında hukuki sebebin açıkça belirtilmesi gerekmektedir.
  • Aydınlatma yükümlülüğü kapsamında, kişisel verilerin aktarılma amacı ve aktarılacak alıcı grupları belirtilmelidir.
  • Aydınlatma yükümlülüğü kapsamında kişisel verilerin, tamamen veya kısmen otomatik yollarla ya da veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yöntemlerden hangisiyle elde edildiği açık bir şekilde belirtilmelidir.
  • Aydınlatma yükümlülüğü yerine getirilirken eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmemelidir.
  • VERİ SAHİBİNİN HAKLARI

Veri sahibi veri sorumlusuna başvurarak aşağıdaki haklara başvurabilir;

  • Kişisel verisinin işlenip işlenmediğini öğrenme
  •  Kişisel verileri işlenmişse buna ilişkin bilgi talep etme
  •  Kişisel verilerin işlenme amacını ve amaca uygun kullanılıp kullanılmadığını öğrenme
  •  Kişisel verilerin aktarıldığı üçüncü kişileri bilme
  • Kişisel verilerin eksik ya da yanlış işlenmiş olması halinde bunların düzeltilmesini isteme
  •  Kişisel verilerin yok edilmesini, silinmesini isteme
  •  Düzeltilen ya da silinen verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme
  •  Kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme
  •  Kişisel verilerin kanuna aykırı olarak işlenmesi nedeni ile zarara uğraması halinde zararın giderilmesini isteme.
  • KİŞİSEL VERİLERİN SİLİNMESİ/ YOK EDİLMESİ / ANONİMLEŞTİRİLMESİ

İşlenmesini gerektiren sebeplerin ortadan kalkması halinde veriler resen veya ilgili kişinin talebi üzerine silinir, yok edilir veya anonim hale getirilir. Bu doğrultuda “Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik” yürürlüğe girmiştir. Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumluları, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür.

Anonimleştirme : Kişisel verinin kişi ile bağlanan anahtarının olmaması/kaldırılmasıdır.

Silme: Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Yok etme: Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Anonim hale getirme: bir veri kümesindeki tüm doğrudan ve/veya dolaylı tanımlayıcıların çıkartılarak ya da değiştirilerek, ilgili kişinin kimliğinin saptanabilmesinin engellenmesi veya bir grup/kalabalık içinde ayırt edilebilir olma özelliğini, bir gerçek kişiyle ilişkilendirilemeyecek şekilde kaybetmesidir.

Kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi gerekir. Bunu yaparken;

  • Yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.
  • Veri sorumlusu, yapılan işlemlerle ilgili uyguladığı yöntemleri ilgili politika ve prosedürlerinde açıklamakla yükümlüdür.
  • Veri sorumlusu, Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını seçer. İlgili kişinin talebi halinde uygun yöntemi gerekçesini açıklayarak seçer.
  • PERİYODİK İMHA

Kişisel veri saklama ve imha politikası hazırlamış olan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir. Periyodik imhanın gerçekleştirileceği zaman aralığı, veri sorumlusu tarafından kişisel veri saklama ve imha politikasında belirlenir. Bu süre her halde altı ayı geçemez.

  • VERİ GÜVENLİĞİNİN SAĞLANMASI

Veri sorumlularının veri güvenliğinin sağlanması ile ilgili yükümlülükleri;

  • Kişisel verilerin hukuka aykırı işlenmesini önlemek
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek
  •  Kişisel verilerin muhafazasını sağlamak
  • Bu bağlamda veri sorumlularının yani kişisel veri toplayan kuruluşların donanımsal, yazılımsal ve çevresel güvenliği sağlamaları gerekmektedir.

Veri sorumluları veri işleyenlerle söz konusu tedbirlerin alınmasından müştereken sorumludur. Şirketlerin kişisel verilerin saklanması konusunda bilgi güvenliği şirketlerinden destek almaları/iş birliği yapmaları mümkün olmakla birlikte bu husus şirketlerin kişisel verilere ilişkin yükümlülüğünü ortadan kaldırmayacaktır. Veri sorumluları ve veriyi işleyen kişiler öğrendikleri kişisel verileri başkasına açıklayamayacaklar ve işleme amacı dışında kullanamayacaklardır. Veriyi işleyen kişilerin bu yükümlülüğü görevden ayrılmalarından sonra da devam eder.

  • VERİ SORUMLUSUNA BAŞVURU

Kişiler taleplerini, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna iletir.

Veri sorumlusu en geç 30 gün içersinde ücretsiz olarak talebi sonuçlandıracaktır. (Ayrıca maliyet gerektiren haller hariç) Veri sorumlusu ilgili cevabı yazılı olarak ya da elektronik ortamda ilgili kişiye bildirir. Talebi reddetmesi halinde gerekçesini bildirmelidir.

  • KURULA ŞİKAYET

Kişisel Verileri Koruma Kurulu’na ilgili kişi başvuru yapar ancak; başvurusu reddedilir, verilen cevap yetersiz bulunur ya da süresinde cevap verilmez ise, ilgili kişi veri sorumlusunun cevabını öğrenmesi tarihinden itibaren 30 gün içinde Kurul’a şikâyette bulunabilir. İlgili kişinin kişilik hakkının ihlaline ilişkin genel hükümlere göre tazminat hakkı saklıdır.

Veri sorumlusu Kurul’un inceleme konusu ile ilgili istemiş olduğu bilgi ve belgeleri on beş gün içerisinde göndermek ve yerinde inceleme yapılmasına imkân sağlamak zorundadır. Şikâyet üzerine Kurul talebi inceler ve 60 gün içerisinde cevap verir. Cevap verilmezse talep reddedilmiş sayılır. Kurul tarafından ihlalin varlığının anlaşılması halinde veri sorumluları karar gereğini  en geç 30 gün içerisinde yerine getirir.

  • VERİ SORUMLULARI SİCİLİ

Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulur. (VERBİS) Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Veri Sorumluları hangi tür verileri hangi kapsamda işlediklerini ve kimlerle paylaştıklarını Kurul’a bildirecek ve bilgiler herkesin erişimine açık olacaktır.

  • SUÇLAR VE KABAHATLER
  • Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000-TL-100.000-TL
  • Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi halinde 15.000-TL-1.000.000-TL
  • Kurul kararlarını yerine getirmeyenler hakkında 25.000-TL-1.000.000-TL
  • Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000-TL-1.000.000-TL

İdari para cezası uygulanacaktır.

  • KANUN’UN İSTİSNALARI
  • Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi,
  • Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
  • Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
  • Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi,
  • Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi halinde söz konusu KVKK hükümleri uygulanmayacaktır.
  • KURUL KARARLARI

Banko, Gişe, Masa gibi Hizmet Alanlarında Kişisel Verilerin Korunmasına Yönelik Kurulun 21/12/2017 Tarihli ve 2017/62 Sayılı Kararı:

Bankacılık ve sağlık sektörleri başta olmak üzere birden fazla çalışan ile birlikte bitişik düzende hizmet veren posta ve kargo hizmetleri, turizm acenteleri, zincir mağazaların müşteri hizmetleri bölümleri, çeşitli abonelik işlemlerinin yapıldığı kuruluşlar ile belediye, vergi ve nüfus ile ilgili işlemler gibi hizmetlerin verildiği kamu ve özel sektör kurum ve kuruluşlarının, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesi uyarınca kişisel verilerin korunması ile ilgili olarak; banko/gişe/masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda birbirlerine yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymasını, görmesini, öğrenmesini veya ele geçirmesini engelleyecek nitelikte gerekli teknik ve idari tedbirleri almasına, karar verilmiştir.

Rehberlik Hizmeti Veren İnternet Sitelerinde/Uygulamalarda Kişisel Verilerin Korunmasına Yönelik Kişisel Verileri Koruma Kurulunun 21/12/2017 Tarihli ve 2017/61 Sayılı Kararı:

Kanunda ve ilgili mevzuatta dayanağı bulunmaksızın ilgili kişilerin iletişim bilgilerinin paylaşımını yapan internet siteleri ve mobil uygulamalar tarafından gerçekleştirilen veri işleme faaliyetinin Kanunun 15 inci maddesinin (7) numaralı fıkrası uyarınca derhal durdurulması gerektiği,

Kanunun 15 inci maddesinin (6) numaralı fıkrası uyarınca alınan bu ilke kararının Resmi Gazete ile Kurumun internet sitesinde yayımlanmasına ve bu karara uymayanlar hakkında Kanunun 18 inci maddesi kapsamında işlem yapılmasına karar verilmiştir.

“Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı:

Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi,

Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik alınması gereken tedbirler,

Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise alınması gereken tedbirler,

Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise alınması gereken tedbirler,

Özel nitelikli kişisel veriler aktarılacaksa ne şekilde aktarılacağı konularında karar alınmıştır.

“Veri Sorumluları Siciline Kayıt Yükümlülüğünde İstisna Tutulacak Veri Sorumluları” ile ilgili Kişisel Verileri Koruma Kurulunun 02/04/2018 Tarihli ve 2018/32 Sayılı Kararı:

Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler.

18/01/1972 tarihli ve 1512 sayılı Noterlik Kanunu uyarınca faaliyet gösteren noterler.

04/11/2004 tarihli ve 5253 sayılı Dernekler Kanunu’na göre kurulmuş derneklerden, 20/02/2008 tarihli ve 5737 sayılı Vakıflar Kanuna göre kurumuş vakıflardan ve 18/10/2012 tarihli 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler.

22/04/1983 tarihli ve 2820 sayılı Siyasi Partiler Kanununa göre kurulmuş siyasi partiler.

19/3/1969 tarihli ve 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar

1/6/1989 tarihli ve 3568 sayılı Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu uyarınca faaliyet gösteren Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler.

Veri sorumlusu nezdindeki kişisel verilere erişim yetkisi bulunan personelin yetkisi ve amacı dışında söz konusu verileri işlemesi hususunun değerlendirilmesine ilişkin 31/05/2018 tarih ve 2018/63 sayılı ilke kararı:

Bir veri sorumlusu nezdinde bulundukları pozisyon veya görev itibariyle kişisel verilere erişme yetkisi olanlar tarafından, yetkileri aşmak ve/veya yetkilerini kötüye kullanmak suretiyle, kişisel amaçlara veya nedenlere bağlı olarak işleme amacı dışında söz konusu kişisel verilerin işlenmesi ve/veya bu verilerin üçüncü kişilerle paylaşılması 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil edeceğinden, bu kapsamdaki eylemlerin önlenmesi amacıyla veri sorumlularınca uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirin alınması gerektiği hususunda veri sorumlularının bilgilendirilmesine karar verilmiştir.

Kişisel Veri Güvenliği İhlalinin Geç Bildirilmesi

Veri sorumlusunun gerçekleşen veri ihlalini ilgili kişilere 17 ay, Kurula ise 10 aylık gecikmeyle bildirmesinin Kanunda belirtilen “en kısa süre”yi aşan bir süre olduğu ve bu durumun Kanunun 12’nci maddesinin (5) numaralı fıkrası kapsamında veri güvenliği ihlali olarak değerlendirilmesi nedeniyle Kurul tarafından Kanunun 18 inci maddesi gereğince ilgili veri sorumlusu hakkında idari yaptırım uygulanmasına karar verilmiştir.

Açık Rızanın Hizmet Şartına Bağlanması

Sözleşmenin taraflarına ait kişisel veri işlenmesi durumunda ayrıca açık rıza alması ve de açık rızayı üyeliğin ve hizmetin dolayısıyla sözleşmenin bir koşulu olarak dayatmasının;

– Diğer kişisel veri işleme şartlarının varlığı durumunda açık rıza alınmasının ilgili kişinin yanıltılması ve yanlış yönlendirilmesi dolayısıyla veri sorumlusunca hakkın kötüye kullanılması anlamına geleceği,

Ayrıca hizmetin açık rıza şartına bağlanmış olmasının açık rızayı sakatlayacağı belirtilmiştir.

İşlenme Amacının Gerektirdiğinden Fazla Kişisel Veri İşlenmesi/Aktarılması

Mahkemece veri sorumlusundan ilgili kişi hakkında bazı kişisel verilerin talep edilmesi ve veri sorumlusunun gereğinden fazla kişisel veri aktarımında bulunmasının;

– Kanunun 8 inci maddesinin (2) numaralı fıkrasında atıfta bulunulan Kanunun 5 inci maddesinin (2) numaralı fıkrasının (ç) bendinde yer verilen hukuki yükümlülüğün yerine getirilmesi için zorunlu olması kapsamında değerlendirilemeyeceği,

– Kanunun 4 üncü maddesinin (1) numaralı fıkrasının (ç) bendinde yer alan işlendikleri, amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırılık teşkil ettiği dikkate alınarak, Kurul tarafından Kanunun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde ilgili kişiye ait kişisel verilerin güvenliğini sağlayamayan veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari yaptırım uygulanmasına karar verilmiştir.