KVKK Karar Özetleri 06.11.2019
Kişisel Verileri Koruma Kurulu tarafından 6 Kasım 2019 tarihinde yeni karar özetleri yayınlanmıştır. Kararlar, veri sorumlusuna yapılacak başvuru yöntemleri ve veri sorumluları tarafından ilgili başvuruların nasıl karşılanması gerektiğine yönelik Kurul’un bakış açısını anlamak bakımından önemli yorumlar içermektedir. Yine bu karar özetlerinden, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 4. maddesinde yer alan genel ilkelerin ne kadar önemli olduğu bir kez daha anlaşılmakta ve veri sorumluları tarafından her süreç ve uygulamanın bu hükümler göz önünde bulundurularak düzenlenmesi gerektiği açıkça vurgulanmaktadır.
“Bir operatör şirketinin, ilgili kişinin internet sitesi üzerinden yapmış olduğu başvurusunu kimlik teyidi yapamadığı gerekçesiyle reddetmesine ilişkin olarak Kurula yapılan başvuru” hakkında Kişisel Verileri Koruma Kurulunun 01/10/2019 Tarihli ve 2019/296 Sayılı Karar Özeti: Bir telekomünikasyon şirketine yapılan veri sahibi başvurusunun ilgili şirket tarafından kimlik teyidi yapılamadığı gerekçesiyle reddedilmesi üzerine Kurul tarafından inceleme yapılmıştır. Kurul tarafından veri sahibinin Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e uygun şekilde başvuru yapmadığı gerekçesiyle başvurusunun reddedilmiş olması haklı görülmüş olmakla birlikte, şirketin veri sahiplerini bu hususta doğru bilgilendirmeye azami dikkat ve özen göstermesi yönünde uyarıda bulunulmuştur.
“Bir havayolu taşımacılık şirketinin (veri sorumlusu) sunduğu sadakat programını kullanan ilgili kişinin kullanıcı adı ve parola bilgilerini değiştirme talebi karşısında ilgili kişiden arkalı önlü kimlik görüntüsü talep eden veri sorumlusu” hakkında Kişisel Verileri Koruma Kurulunun 01.10.2019 Tarihli ve 2019/294 sayılı Karar Özeti: Bir havayolu şirketi tarafından, sadakat kart programı kapsamındaki bilgilerini değiştirmek isteyen bir müşteriden kimliğinin arkalı önlü görüntüsünün talep edilmesi Kurul tarafından Kanun’un kişisel verilerin işlenmesine ilişkin genel ilkelerine aykırı görülmüştür. Aynı zamanda bu kimliğin kan grubu ve din hanelerini de içermesi nedeniyle özel nitelikli kişisel verilere ilişkin ayrıca bir tedbir ve açık rıza alınmamış olması da Kurul tarafından değerlendirilen önemli hususlardan bir diğeridir. Şirket ayrıca müşteriye verdiği cevabi yazıda her ne kadar bu görüntüsünün sistemlerde tutulmadığı bilgisini vermişse de Kurul gerçekleştirdiği inceleme neticesinde bu görüntünün tutulduğunu tespit etmiştir. Tüm bu tespitler ışığında Kurul, havayolu şirketine bu ihlal neticesinde 100.000 TL idari para cezası uygulamış; bahse konu verilerin silinerek Kurul’a bilgi verilmesini talep etmiş, bu tür iş süreçlerinin mevzuata uygun şekilde düzenlenmesi için şirketi talimatlandırmıştır.
“Bir bankanın, ilgili kişinin cep telefonu numarasını bankaya veriliş amacı dışında kullanması” hakkında Kişisel Verileri Koruma Kurulunun 18/09/2019 Tarihli ve 2019/227 Sayılı Karar Özeti: Bir banka çalışanı tarafından, bir müşteri, eşinin çalıştığı şirkete ulaşılabilmesi amacıyla aranmış; bunun üzerine müşteri, bankaya verdiği iletişim bilgilerinin amacı dışında kullanımına yönelik bankaya başvuruda bulunmuştur. İlgili mevzuatın “belirli, açık ve meşru amaçlar için işlenme ve işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine açıkça aykırı olan bu durum karşısında Kurul yaptığı inceleme neticesinde, bankaya 100.000 TL idari para cezası uygulamış ve banka tarafından müşterinin başvurusu üzerine verilen yanıtı Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e uygun bulmayarak, veri sahibi başvurularına verilecek yanıtların mevzuata uygun hale getirilmesi bakımından bankaya uyarıda bulunmuştur.
Karar özetlerinin tam metnine https://www.kvkk.gov.tr/Icerik/5406/Kurul-Karar-Ozetleri adresinden erişilebilir. (07.11.2019)
Av. Dilara Duygu KOŞAY
