top of page

Kişisel Verilerin Korunması Hukuku Bülteni 1. Sayı

Güncelleme tarihi: 1 Şub 2022



KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI


Kurum Tarafından Spor Salonu Hizmeti Sunan Firmaya Müşterilerin Avuç içi Verilerini Toplamaktan İdari Para Cezası Verildi

4 Mayıs’ta yayınlanan 27/02/2020 Tarihli ve 2020/167 Sayılı Karar’ında Kurul, spor salonu hizmeti sunan veri sorumlusu şirketin, üyelerinin giriş-çıkış kontrolünü sağlamada el okutma sistemine geçmesini KVKK’ya (Kanun’a) aykırı buldu. Daha önce de spor salonlarıyla ilgili benzer bir karar vermiş olan Kurul, bu kararda da 6698 sayılı Kanun’da özel nitelikli kişisel veri kategorisinde biyometrik veri tanımının yer almamasına rağmen GDPR’ın Recital bölümünün 51.maddesine atıf yaparak biyometrik veri tanımını yapmış, daha sonra ise Danıştay 15. Dairesinin 2014/4562 Esas sayılı kararına atıf yaparak biyometrik yöntemlerin neler olduğunu açıklamıştır. Bu bilgiler ışığında söz konusu olayda ise veri sorumlusu şirketin avuç içi tarama sisteminin bir biyometrik veri olmayacağı iddiasını reddederek söz konusu uygulamanın ölçülülük ilkesine aykırı olduğuna karar vererek, veri sorumlusu hakkında 225.000 TL idari para cezasına hükmetmiştir.


Amazon’a 1.2 Milyon Tl’lik Ceza

7 Mayıs’ta yayınlanan 27/02/2020 Tarihli ve 2020/173 Sayılı Karar’da, Kurul, e-ticaretin önde gelen ismi Amazon’un Türkiye temsilciliğini iki farklı ihlalden dolayı toplamda 1.2 milyon TL idari para cezası ödemesine hükmetti. Kararda, e-ticaret şirketlerine yönelik önemli hususlar yer almakla birlikte, ihlal konularına bakıldığında Kurul,- Web sitesinde yayımlanan “Gizlilik Bildirimi”nin, birçok bilgi içermesi, veri işlemeye ilişkin genel bir bilgilendirme olması nedeniyle kişisel verilerin işlenmesine ilişkin ilgili kişilere yeterli bir aydınlatma yapıldığı anlamına gelmediği göz önünde bulundurulduğunda ihbar edilen web sitesine girişle birlikte çerezler vasıtasıyla kişisel verilerin işlenmeye başlamasına karşın, çerezler, üyelik girişi gibi veri işlemenin başladığı hiçbir aşamada aydınlatma yükümlülüğünün Kanun uyarınca yerine getirilmemesi nedeniyle de 100.000 TL idari para cezasına hükmetmiştir.


Veri sorumlusu şirketin usulüne uygun açık rıza almadığı ve verileri Kanun’a aykırı olarak yurtdışına aktardığı gerekçesiyle madde 12’de yer alan yükümlülükleri kapsamında kişisel verilerin hukuka aykırı işlenmesini önleyememesinden 1.100.000 TL’ye;


Şirket Müşterilerinin Kart Bilgileri Çalışanlar Tarafından Görüldüğünden Dolayı Veri Sorumlusu Şirkete İdari Para Cezası Kesildi

13 Mayıs’ta yayınlanan 12.03.2020 tarih ve 2020/213 sayılı Karar’da bir internet servis sağlayıcı olan veri sorumlusu şirket müşterilerinin kullanımına sunulan Online İşlem Merkezi’nde çıkan bir sorun üzerine 69 kişiye ait kart bilgisinin 649 adet Şirket müşterisi tarafından görüntülendiği tespit edilerek Kurum’a bildirim yapılmış ve bildirim neticesinde Kurul, Kanun’un 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan Şirket hakkında 300.000 TL idari para cezasına hükmetmiştir.


KİŞİSEL VERİLERİN KORUMASINA İLİŞKİN AB’DEN KARARLAR


Danimarka Veri Koruma Otoritesinin Carlsberg Kararı

Danimarka veri koruma otoritesi (‘Datatilsynet’), 25 Mayıs 2020 tarihli kararında,(1) Carlsberg şirketinin özellikle işe alım ile ilgili kişisel verilerin işlenmesine yönelik yaptığı denetimde söz konusu şirketin istihdam için işe alımla bağlantılı olarak toplanan çalışan adaylarının kişisel verilerinin saklanması ve silinmesi prosedürünün GDPR ile uyumlu olduğu sonucuna vardı. Bu noktada şirketin gelecekteki iş fırsatları için çalışan adaylarının verisini tutma konusunda bir meşru menfaati olduğuna, ilgili kişilerin açık rızası temelinde verilerin saklandığına, iş başvurusunda bulunanların işe alım web sitesinden kendi başvuru bilgilerini silme fırsatına sahip olduklarına ve çalışan adaylarının kendi başvuru profillerini kendilerinin silmemesi durumunda altı ay sonra otomatik olarak silindiğine dikkat çekti.


Finlandiya Veri Koruma Otoritesinin Kimlik Numarası Kararı

Finlandiya Veri Koruma Otoritesi, faturalarda müşterilerin adına ek olarak kimlik numaralarının da basılmasını orantısız buldu. Kişisel kimlik numarası yerine illa bir numara kullanılacaksa müşterileri tanımlamak için farklı müşteri veya referans numaraları kullanılabileceğine işaret etti.


Hollanda Veri Koruma Otoritesi Tarafından Verilen Kararlar

Hollanda Veri Koruma Otoritesi (Autoriteit Persoonsgegevens), veri sorumluları işyerlerine yönelik COVID-19 nedeniyle alınacak tedbirler kapsamında ateş ölçümü yapılıp yapılamayacağına ilişkin bir duyuru yayınladı.(3) Söz konusu duyuruda ateş ölçümünün aslında tıbbi veriler kapsamında değerlendirildiğini dolayısıyla GDPR korumasında olduğunu ifade eden kurum, eğer sadece söz konusu işyerlerine girişte ilgili kişilerin ateşlerinin ölçülüp bu verilerin herhangi bir işleme tabi tutulmaması ve otomatik sistemin bir parçası olarak saklanmaması halinde GDPR kapsamında değerlendirilmeyeceğini ifade etti. Böylelikle tedbir kapsamında örtülü şekilde ateş ölçümüne onay vermiş oldu.


Hollanda Veri Koruma Otoritesi (Autoriteit Persoonsgegevens), çalışanlarının mesai takip amacıyla parmak izlerini yasa dışı bir şekilde işleyen bir şirket için 725.000 Euro para cezası verdi. GDPR kapsamında, gerçek bir kişiyi tanımlamak amacıyla işlenen biyometrik verilerin özel kişisel veri kategorisi altında olduğunu hatırlatarak biyometrik verilerin işlenmesinin iki istisnası olduğunu belirtti; açık rıza ve işlemenin kimlik doğrulama veya güvenlik amacıyla gerekli olması (Bu iki istisnadan ikincisi, Hollanda Yasası’nda öngörülen bir istisnadır). Söz konusu olayda işverenin çalışanların açık rızasını kanıtlayamadığı gerekçesiyle birinci istisnanın gerçekleşmediğini; ikinci istisnayı sağlamak için ise söz konusu yöntemin gerekli ve orantılı olmadığı sonucuna vararak yasadışı şekilde parmak izi toplamadığına karar verdi. Şirket ise karara itiraz edeceğini duyurdu.


Romanya Veri Koruma Otoritesinden Banka Çalışanın Müşterilerin Verileri Arşivlemesinden Dolayı Ceza Kesildi

Romanya Veri Koruma Otoritesi, Romanya Ticaret Bankası’nı veri koruma konusunda GDPR kapsamında gerekli idari ve teknik tedbirleri almamasından dolayı 24,163.50 Romen Leyi (yaklaşık 5000 Euro) para cezasına çarptırdı.(2) Söz konusu olayda banka çalışanı, müşterilerin kimlik fotoğraflarını kendi telefonunda arşivleyerek Banka sistemine Whatsapp yoluyla aktarıyordu. Otorite bunun veri işleme riski ışığında dahili çalışma prosedürünün ihlali saydı.


P.T. v. Moldova Cumhuriyeti (AİHM; 26.05.2020; Başvuru no. 1122/12)

Dava, başvurucunun HIV pozitif olmasının bir belgede aleni şekilde yer almasına ilişkindir. Başvurucu, söz konusu belgeyi askerlikten muafiyetin yanı sıra ehliyet alma kimlik yenileme gibi birçok durumda göstermek zorunda olmasından dolayı şikayetçi olmuştur. Mahkeme, Hükümet’in, başvurucunun hastalığının bu şekilde açığa vurulmasının Sözleşme’nin 8. maddesindeki hangi meşru amaca hizmet ettiğini ifade etmediğini tespit etmiştir. Söz konusu sağlık sorunuyla birebir ilgisi bulunmayan birçok halde böylesine hassas bir kişisel veri içeren belgenin gösterilmesinin istenmesinin orantısız bir müdahale olduğunu ifade etmiştir. 8.maddenin ihlal edildiğine karar vererek 41000 Euro manevi tazminata hükmetmiştir.


HABERLER


İleti Yönetim Sistemi (İYS) Süreleri 3 Ay Ertelendi

23 Mayıs’ta Ticaret Bakanlığı sitesinden yapılan açıklamada “Birçok ülkede olduğu gibi ülkemizde de yeni tip Koronavirüs (Covid-19) salgını günlük hayatı olumsuz etkilemiş ve iş süreçlerinde önemli aksamalar yaşanmasına neden olmuştur. Bu yüzden farklı sektörlerde bulunan şirketlerden ve sivil toplum kuruluşlarından İYS’ye ilişkin tarihlerin ertelenmesi talepleri Bakanlığımıza iletilmiştir. Bu talepleri de dikkate alarak işletmelerimizi mağdur etmemek için 31 Mayıs 2020 son tarihli olan hizmet sağlayıcıların İYS’ye onay yükleme tarihini 31 Ağustos 2020 tarihine erteledik.” İfadelerine yer verildi.


İstanbul Barosunun ÖSYM Uygulaması için Yaptığı Başvuru Sonuç Verdi

İstanbul Barosu tarafından ÖSYM tarafından gerçekleştirilen “sınavlarda parmak izi, göz retinası gibi kişisel verilerin yasa olmaksızın alınması ve işlenmesi” uygulamasının iptal edilmesi için başlatılan yasal süreç sonucu uygulama iptal edildi.


Google’a Gizlilik İhlali Suçlamasıyla Arizona Başsavcı Tarafından Dava Açıldı.

Google, Android cihaz kullanıcılarının konumunu kullanıcılardan habersiz bir şekilde takip etmekle suçlanıp bu konum verileriyle elde ettiği gelirleri geri ödemesi isteniyor.


25 Mayıs 2018’de Yürürlüğe Giren GDPR (Genel Veri Koruma Yönetmeliği) 2 Yaşında.

2 yıldır GDPR ile gelinen noktaya ilişkin Privacy International tarafından bir değerlendirme yazısı yayınlandı.


AB Sınırlarını Korumak için Büyük Ölçekli Biyometrik Veritabanı için Sözleşme İmzaladı.

Avrupa Birliği 400 Milyon kişiye ait biyometrik verilerle, dünyadaki en büyük biyometrik veritabanı olma yolunda ilerliyor.


Fransız Danıştay’ı Covıd-19 Kapsamında Kurallara Uyulup Uyulmadığını Kontrol Etmek Amacıyla Drone Kullanılması Uygulamasını Askıya Aldı

Söz konusu kararda bunun bir kişisel veri işleme olduğu ancak hukuki çerçevesinin belli olmadığı ifade edildi.


Alman Federal Mahkemesi’nin (BGH) Çerezlerin Almanya’da Onay Gerektirip Gerektirmediği Konusunda Uzun Zamandır Beklenen Kararı Çıktı

Mahkeme rıza alma yükümlülüğünü teyit ederek ve böylece web sitesi operatörlerinin uç cihazlarında çerezler depolanmadan veya okunmadan önce kullanıcılardan izinlerinin alınması gerektiğine hükmetti.


KAYNAKÇA


YAZAR

Bilgi Teknolojileri Ekibi

Comments


bottom of page