Kişisel Verileri Koruma Kurulu'nun 27 Aralık 2023'te yayımlanan Karar Özetleri'nden önemli bir bölümü uzman ekibimizin notlarıyla paylaşıyoruz. Çeşitli önemli başlıklardaki gelişmeleri yorumlarımızla öğrenme şansını elde edeceksiniz.
KVKK, GDPR vb. kritik regülasyonlara uyum konusunda bize ulaşabilir, profesyonel destek alabilirsiniz.
2. www.Jurcom.nl
Karar Tarihi : 27/04/2023
Karar No : 2023/646
Konu Özeti : Bir üniversite bünyesinde çalışanların özlük bilgilerinin tüm personelle
paylaşılması
• Karara konu olayda veri sorumlusu bir üniversite ve başvurucu ise üniversitede çalışan
bir personeldir.
• Üniversite yetkilileri, başvurucunun izin kullanma süreçlerinde kurallara aykırı hareket
ettiği gerekçesiyle başvurucuya uyarı mahiyetinde olması amacıyla başvurucunun çeşitli
özlük bilgilerini e-posta üzerinden toplu bir şekilde tüm idari personellere göndermiştir.
• Kurul kararında söz konusu aktarımın Üniversite’nin iddiası aksine Kanun madde 5/2
(c) uyarınca sözleşmenin ifası kapsamında değerlendirilemeyeceğini nitekim başvurucunun
izin kullanımı hususunda uyarılması amacıyla başvurucunun çalıştığı birimde görevli diğer
tüm personelle kişisel verilerinin paylaşılmasının gereklilik arz etmediği ve bu amaçla yalnızca
başvurucuyu muhatap alarak alternatif süreçlerin işletilebileceğini belirtmiştir.
• Bu kapsamda Kurul, veri sorumlusu bünyesinde görev yapan ilgili personel hakkında
disiplin hükümlerine göre işlem yapılması ve işlemin sonucu hakkında Kurula bilgi verilmesi
hususunda veri sorumlusunun talimatlandırılmasına karar vermiştir.
Karardan çıkarılması gereken notlar:
• Veri minimizasyonu ilkesi gereği belirli bir veri işleme amacına ulaşmak için yürütülen
veri işleme faaliyetlerinde olabildiğince az veri işlenmedir. Aynı ilgili amaca daha az veri
işlemeyi gerektiren alternatif bir yöntem ile ulaşmak mümkünse daha az veri işlemeyi
gerektiren yöntem takip edilmelidir.
• Personelin disiplin süreçlerine ilişkin veri işleme faaliyetlerine yönelik ilgili mevzuata
uygun bir disiplin prosedürü oluşturulmalı ve takip edilmeli ve görev tanımında disiplin
süreçlerine dahil olmayan personeller dahil yetkisi bulunmayan kişi ve gruplara veri aktarımı
yapılmamalıdır.
• Kurulun kararı özellikle kişisel veri işlemeyi gerektiren disiplin süreçleri gibi konularda
şirket yetkililerinin nasıl hareket etmesi gerektiğini düzenleyen disiplin prosedürü gibi ayrı ve
özel dokümanların bulunması ve çalışanın bu konuda bilinçlendirilmesinin önemini, bu
süreçler yerine getirilirken gereğinden fazla ve ölçüsüz veri işlemenin hukuka aykırı olduğunu
vurgulamaktadır.
3. www.Jurcom.nl
Karar Tarihi : 11/04/2023
Karar No : 2023/567
Konu Özeti : Bir e-ticaret sitesinden alışveriş yapılabilmesi için banka/kredi kartı bilgilerinin
kaydedilmesinin zorunlu tutulması hakkında
• Karara konu olay, Hizmet sağlayıcı ve aracı hizmet sağlayıcı olarak faaliyet gösteren veri
sorumlusu bir şirketin E-ticaret sitesinde alışveriş yapılabilmesi için kredi/banka kartı bilgilerinin
zorunlu olarak kaydedildiği ancak buna ilişkin bir veri işleme şartı bulunmadığı ve ilgili kişinin açık
rızasının da alınmadığı ve aydınlatmanın da yapılmadığına ilişkindir.
• Kurul kararında kredi/banka kartı bilgilerinin alışverişi tamamladıktan sonra zorunlu olarak
kaydedilmesinin Kanun madde 5/2 (c) uyarınca sözleşmenin ifası ve madde 5/2 (ç) Veri
sorumlusunun hukuki yükümlülüğü kapsamında değerlendirilemeyeceğini
• Satın almaları kolaylaştırmak amacıyla kart bilgilerinin işlenmeye devam edilebilmesinin
veri işleme amacının değişmesi sebebiyle ancak açık rızanın varlığı halinde mümkün olacağını,
kaydedilen kart bilgilerinin alışveriş tamamlandıktan sonra ilgili bölümden silinebilmesinin bu
durumu değiştirmediği, bu sebeple açık rıza alınmaksızın kart bilgilerinin zorunlu olarak
kaydedilmesinin hukuka aykırı olduğu gereçkesiyle; 500.000 TL idari para cezasına, internet sitesinin
kart bilgilerinin kaydedilmesi noktasında ilgili kişilerin açık rızasını göstermelerini sağlayacak şekilde
yeniden tasarlanmasına ve sürece ilişkin aydınlatma metinlerinin de kredi kartı verilerinin işlenmesi
süreçlerinde işleme şartının açık rıza olarak belirtilmiş şekilde düzenlenmesine karar verilmiştir.
Karardan çıkarılan notlar:
• İş süreçlerinde yürütülen veri işleme faaliyetlerinin Kanun’da düzenlenen hangi veri işleme
şartına dayandırılacağının tespiti önem arz etmektedir. Bu kapsamda bir süreçte hangi noktada
hangi bilgilerin hangi kanun maddesine dayanılarak ve hangi güvenlik tedbirleri ile işleneceğini
belirlemek için her iş sürecine özel konunun uzmanları ile mahremiyet etki analizi çalışmaları
yürütülmeli ve süreç buna göre tasarlanmalıdır.
• E-ticaret sitelerinde sunulan ürün veya hizmetlerin satışı sürecinde işlenen kimlik, iletişim ve
finans bilgileri sözleşmenin kurulması ve ifası ile veri sorumlusunun hukuki yükümlülüğü
kapsamında açık rıza olmadan işlenebilir. Ancak alışverişin tamamlanmasıyla bu amaca
ulaşılmaktadır. Sonraki satış işlemlerinin kolaylaştırılması amacıyla kredi/banka kartı gibi bilgilerin
kaydedilmesi farklı bir amaç olduğu için bu kayıt işlemi için ayrıca açık rıza alınmalı ve ilgili kişi
bilgilendirilmelidir.
4. www.Jurcom.nl
Karar Tarihi : 15/06/2023
Karar No : 2023/1050
Konu Özeti : Veri sorumlusu Banka’nın, müşteri temsilcisi ile ilgili kişi arasında
gerçekleştirilen görüşmeye ilişkin ses kaydı dökümünün ilgili kişiye sağlanması yönündeki talebi
yerine getirmemesi
• Karara konu olayda veri sorumlusu olan Banka, müşteri temsilcisi ile ilgili kişi arasında
gerçekleşen görüşmeye ilişkin ses kaydının bir kopyasının ilgili kişiye sağlanması yönündeki talebi
Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik ve 5411 sayılı Bankacılık Kanunu’nun
“Sırların Saklanması” başlıklı 73’üncü maddesi gereğince reddetmiştir.
• Kurul kararında 5411 sayılı Bankacılık Kanunu ve ilgili mevzuatta yer verilen “sır saklama
yükümlülüğü ”nün, yalnızca kanuni düzenlemelerin öngördüğü hukuka uygunluk hâlleri dışında,
müşteri ile ilgili ticari bağlantı nedeniyle elde edilmiş olan bilgi ve olaylar hakkında üçüncü kişilere
bilgi verilmemesini kapsadığı, bu kapsamda 6698 sayılı Kanun madde 11 uyarınca ilgili kişilerin
kişisel verileri üzerinde erişim hakkı uyarınca tarafların görüşme sırasındaki doğrudan ifadelerini
içeren söz konusu dökümün, ilgili kişi dışında başkalarının kişisel verileri varsa bunların
çıkarılması/maskelenmesi gibi önlemler alınarak İlgili Kişiye gönderilmesi gerektiğini belirtmiştir.
Karardan çıkarılan notlar:
• Bankacılık sektörüne özgü özellikle bilgi paylaşımı süreçlerine ilişkin birçok özel kanun ve
yönetmelik bulunmaktadır. Bankalar kişisel veri işleme faaliyetleri yürütürken söz konusu özel
düzenlemeleri her zaman göz önünde bulundurmalıdır.
• Banka çalışanlarının başta Bankacılık Kanunu ve ilgili mevzuat uyarınca sır saklama
yükümlülükleri olsa da bu düzenlemeler 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nda
düzenlenen ilgili kişi hakları ile birlikte değerlendirilmelidir.
• İlgili kişilerin, müşteri hizmetleri ile yapılan görüşmede alınan ses kaydının dökümünün
taraflarına iletilmesi talebi, KKKK 11 uyarınca erişim ve bilgi talep etme hakkı kapsamındadır.
Bankacılık Kanunu ve ilgili mevzuatta düzenlenen istisnalar kapsamına girmiyorsa; ilgili kişinin
bankadan ses kaydı gibi ilgili kişi dışında üçüncü kişilere de ait kişisel verilerini içeren kayıt ya da
dokümanlara erişmek istemesi veya bir kopyasını talep etmesi durumunda söz konusu kayıt ya da
dokümandan üçüncü kişilere ait kişisel verileri içeren kısımlar çıkarılarak ya da maskelenerek ilgili
kişinin talebi yerine getirilmelidir.
5. www.Jurcom.nl
Karar Tarihi : 20/07/2023
Karar No : 2023/1234
Konu Özeti : Bir araç kiralama şirketi tarafından ilgili kişiden Findeks Raporu talep edilmesi
suretiyle kişisel verilerinin işlenmesi
• Karara konu olayda ilgili kişi, kullanıcılara çevrimiçi otobüs, uçak, kiralık araç ve
konaklayacak yer arama hizmetleri sunan; otobüs, feribot ve uçak firmalarının seyahat biletlerini
kullanıcılara yönelik satışa açan bir Plaform’un internet sitesinden araç kiralamış ve ilgili aracı teslim
almak için şirketin yetkili acentesine gittiğinde acente çalışanları tarafından ilgili kişiden ayrıca
findeks raporu talep edilmiştir. İlgili kişinin findeks raporunu iletmemesi sonrasında firma
prosedürlerini kabul etmediği gerekçesiyle araç teslimi yapılmamıştır.
• Kurul kararında, Platform’un araç kiralama hizmeti vermediğini yalnızca rezervasyon
taleplerini aldığını, dolayısıyla Platform’un veri sorumlusu sıfatıyla sorumluluğunun yalnızca bilet
listeleme, sefer görüntüleme, bilet satış araç kiralama, araç listeleme otel listeleme, otel
rezervasyonu yapma vb. hizmetler bakımından olduğu, bu sebeple somut olayda platform’un veri
sorumlusu olmadığını
• Platform üzerinden araç kiralama hizmeti sunan şirketlerin Kanun madde 3 (ı) uyarınca
kişisel verilerin işleme amaçlarını ve vasıtalarını belirleme, veri kayıt sisteminin kurulmasından ve
yönetilmesinden sorumlu olan tüzel kişi” olma şartının sağlanması sebebiyle veri sorumlusu olduğu
• Araç kiralama hizmeti bakımından findeks raporunun talep edilmesinin veri minimizasyonu
ve dürüstlük kuralı ilkelerine uygun olmadığı bu sebeple ancak açık rıza ile talep edilip işlenebileceği
değerlendirilmiştir.
• Somut olayda ilgili kişinin açık rıza vermemesi sebebiyle rezervasyonun iptal edilmesinden
sunulan hizmetin açık rıza şartına bağlandığının anlaşıldığı bu sebeple Kanun madde 12 (1)’in ihlal
edildiğinden hareketle araç kiralama şirketi olan veri sorumlusuna 100.000 TL idari para cezası
uygulanmasına karar verilmiştir.
Karardan çıkarılan notlar:
• Tedarikçi, ortam sağlayıcı ya da aracı hizmet sağlayıcı gibi üçüncü kişilerle yürütülen iş
süreçlerinde KVKK kapsamında hangi tarafın hangi noktada veri sorumlusu sıfatına haiz olduğu
hususu önem taşımaktadır. Bir şirket, bir iş sürecinin belirli bölümleri bakımından veri sorumlusu
sıfatına haiz olabilirken diğer kısımları açısından veri sorumlusu olarak değerlendirilmeyebilir.
• Otel, otobüs ya da uçak bilet satımı ve araç kiralama gibi hizmetlerin alımı için rezervasyon
hizmeti sunan platformlar, listeleme ve rezervasyon yapma gibi işlemler bakımından veri
sorumlusu olarak sorumluyken ödeme işlemlerinin yapılması aracın teslim edilmesi gibi araç
6. www.Jurcom.nl
kiralama sürecinin yürümesi bakımından söz konusu platform üzerinden araç kiralama hizmeti
sunan şirket veri sorumlusu olarak sorumlu olmaktadır.
• Araç kiralama hizmet sunan şirketler kiralama sürecinde veri minimizasyonu ve dürüstlük
kuralına aykırı aşan ve açık rıza gerektiren bilgi taleplerinde Kanun’a uygun bir şekilde açık rıza
almaları, sunulan hizmeti açık rızasının verilmesi şartına bağlamaması gerekmektedir.
7. www.Jurcom.nl
Karar Tarihi : 07/09/2023
Karar No : 2023/1548
Konu Özeti : İlgili kişinin açık rızası alınmadan ses kaydının alınması, paylaşılması ve
mahkeme dosyasına sunulması
• Karara konu olayda yüklenici firma çalışanı olan ilgili kişi görevi gereği sayaç okuma, açma,
kesme ve sahada yaşanan olumsuzlukları rapor etme görevlerini yerine getirmektedir. Yaşanan
olayda müşteri/kullanıcı ilgili kişi görevini yerine getirirken yarattığı usulsüzlüğün suç teşkil ettiğini
düşünerek ses kaydı almış ve bunu veri sorumlusu yüklenici firmanın en üst yönetici pozisyonundaki
yetkiliye iletmiştir. Veri sorumlusu bu ses kaydına dayanarak ilgili kişinin sözleşmesini feshetmiş ve
suç teşkil ettiği gerekçesiyle gerekli idari ve teknik tedbirleri alarak ses kaydını şifreli bir bicinde
muhafaza etmiş ve şifreli disk halinde mahkeme dosyasına sunmuştur.
• İlgili kişi her ne kadar açık rızası olmadan ses kaydı alındığı ve mahkemeye iletildiğini iddia
etse de Kurul yaptığı değerlendirmede Yargıtay kararlarına atıf yaparak başka türlü delil ile tespit
etme imkânı yok iken ses kaydı alınmasının veya kaybolma ihtimali bulunan kanıtların
kaybolmalarının engellenmesi amacıyla ses kaydı alınmasının özel hayatın gizliliğini ihlal suçu
oluşturmayacağını, veri sorumlusunun kendisine iletilen ses kaydını Kanun madde 5 (2) (e)
uyarınca hakkın korunması kapsamında işlendiği, ayrıca ses kaydının iş sözleşmesinin feshinden
sonra ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmasının iş kanunundan doğan
yükümlülük olduğu bu sebeple ses kaydının silinmesi veya yok edilmesi hakkını ileri sürebilmek için
hukuken bir olanak olmadığı, ses kaydının gerekli teknik ve idari önlemleri alarak saklandığı ve
mahkemeye aktarıldığını ve bu sebeple veri sorumlusu hakkında bir işlem yapmaya gerek
olmadığına karar vermiştir.
Karadan çıkarılan notlar:
• İlgili mevzuatta ve mahkeme kararlarında öngörülen kriterlere uygun olmak şartıyla ve
başka türlü delil ile tespit etme imkânı yok iken ses veya görüntü kaydı alınmasının veya kaybolma
ihtimali bulunan kanıtların kaybolmalarının engellenmesi amacıyla ses kaydı alınmasının özel
hayatın gizliliğini ihlal suçunu oluşturmaz ve bu kayıtların veri sorumlunsun meşru menfaati ve
hakkın korunması kapsamında gerekli teknik ve idari önlemleri almak şartıyla mahkeme ve resmî
kurumlara aktarılması mümkündür.
• Asıl işveren ile alt işveren yani yüklenici firma çalışanı bakımından alt işveren ve asıl iş veren
müteselsil sorumludur. Bu ilişkide asıl işveren, alt işverenin işçilerine karşı o işyeri ile ilgili olarak bu
Kanundan, iş sözleşmesinden veya alt işverenin taraf olduğu toplu iş sözleşmesinden doğan
yükümlülüklerinden alt işveren ile birlikte sorumludur.
8. www.Jurcom.nl
Karar Tarihi : 28/09/2023
Karar No : 2023/1653
Konu Özeti : Veri sorumlusuna ait mağazada ilgili kişilere reklam amaçlı SMS gönderilmesi
amacıyla kişisel verilerin işlenmesi
• Karara konu olayda ilgili kişi, veri sorumlusuna ait mağazada gerçekleştirdiği alışveriş
sonrası kasa işlemleri sırasında kendisine veri sorumlusu çalışanı tarafından sesli bir şekilde metin
okunarak aydınlatma yapılmış ve çeşitli kanallarla (QR kod internet sitesi linki gibi) ilgili kişi
aydınlatma metnine aktarılmış müşteri kayıt olmak isterse cep telefonundan İZİN AD SOYAD
yazarak ilgili numarama SMS göndermesi gerektiği iletmiş ve ilgili kişi de bu işlemi gerçekleştirmiş,
daha sonra da rızasını geri aldığınına ilişkin bir bildirimde bulunmuş ve bu aşamadan sonra veri
sorumlusu tarafından ilgili kişiye SMS gönderimi yapılmamıştır.
• Kurul kararında, ilgili kişinin kendisine aydınlatma yapılmadığı ve açık rızasının alınmadığı
iddialarının aksine somut olay kapsamında, ilgili kişinin açık rızasını vermek için kendi icrai
hareketleri ile veri sorumlusuna kısa mesaj gönderdiği, gönderdiği kısa mesaja binaen kendisine
gönderilen kısa mesajda yer alan kodu ise kasa görevlisine okuduğu, kendisine gönderilen kısa
mesajın içeriğinde hangi kişisel verilerinin hangi amaçlarla işlendiğine dair detaylı bilgilendirmenin
yapıldığı anlaşılır olan bir aydınlatma metnine ulaşılmasını sağlayan bir link yer aldığı, olayda ilgili
kişinin açık rızasına dayanılarak kişisel veri işleme faaliyetinin gerçekleştirildiğini; ilgili kişinin açık
rızasını geri alması üzerine ise veri işleme faaliyetine son verildiği ve tüm bu sebeplerle de şikayete
ilişkin olarak Kanun kapsamında yapılacak bir işlem bulunmadığına karar vermiştir.
• Kurul ayrıca müşteriden alınan açık rızanın zedelenmemesi için hediye kartı temin etmek
adına söz konusu açık rıza alınması işlemenin alışverişin bir parçası olarak görünmemesi gerektiği
ve sürecin bu şekilde açık rıza verme şartına bağlı olduğu izlenimi yaratmayacak şekilde revize
edilmesi gerektiği ve aydınlatma ve açık rıza onay kodunun aynı kısa mesaj içerisinde
bulunmaması konusunda veri sorumlusunun talimatlandırılmasına karar vermiştir.
Karardan çıkarılan notlar:
• Kasa işlemleri sırasında yürütülen hediye kart temin etme ve ETK onayı talep etme gibi veri
işleme faaliyetlerine ilişkin olarak kasada ilgili kişinin rahatlıkla ulaşabileceği şekilde aydınlatma
metni farklı kanallarla sunulmalıdır (QR kod, bilgilendirme föyü ya da internet sitesi linki). Ayrıca
aktarmalı aydınlatma kapsamında kasa çalışanı tarafından: “Kişisel verilerinizin;
ürün/hizmetlerimizin sizler için özelleştirilmesi, alışveriş tercihlerinizin analizi, kolay iade, değişim
avantajlarından faydalanmanız, indirim, kampanya, promosyon, koleksiyon tanıtımlarından
haberdar olmanız ve anketlerimiz ile yapacağımız telefon görüşmelerine katılarak görüşlerinizi
bizlerle paylaşmanız amacıyla işlenmesini, bu kapsamda hizmet alınan üçüncü taraflarla
paylaşılmasını ve sizlere bu amaçlarla elektronik ticari ileti gönderilmesini ister misiniz?” şeklinde bir
bilgilendirme yapılarak veri işleme amacına ilişkin olarak ilgili kişiye hatırlatma yapılmalıdır.
9. www.Jurcom.nl
• Söz konusu farklı amaçlara ilişkin veri işleme faaliyetleri alışveriş hizmetinin bir parçasıymış
gibi bir izlenim yaratmayacak şekilde kurgulanmalı ve bunun içinde şeffaf ve anlaşılır bir dille ilgili
kişinin ETK onayı veya hediye kart temin etme gibi faaliyetlere açık rıza göstermeden de işlemine
devam edebileceği konusunda bilgilendirilmesi gerekmektedir.
• SMS yoluyla yürütülen süreçlerde aydınlatma metni ve açık rıza onayı ayrı ayrı SMS
gönderilerek yerine getirilmelidir.
10. www.Jurcom.nl
Karar Tarihi : 11/04/2023
Karar No : 2023/570
Konu Özeti : İlgili kişinin kripto varlık hizmet sağlayıcısı nezdinde bulunan üyeliğinin
seviyesinin artırılması için gereğinden fazla kişisel veri talep edilmesi
• Bir kripto varlık hizmet sağlayıcısı şirket, kullanıcılardan kimliklerinin ön ve arka yüzünün
fotoğrafını talep etmektedir.
• Veri sorumlusunun mevzuattan kaynaklanan bir kimlik teyit yükümlülüğü bulunduğu için
kullanıcıların kimlik fotoğraflarını KVKK m. 5/2 a bendi çerçevesinde “kanunlarda açıkça
öngörülmesi” hukuki işleme şartına dayanılarak talep etmektedir.
• Bu sebeple veri sorumlusu hakkında yapılacak bir işlem bulunmadığına karar verilmiştir.
Karardan çıkarılması gereken notlar:
• Müşterilerin kimlik fotoğrafının talep edildiği bir uygulamaya başlanmadan önce, kimlik
fotoğrafı talebinin ilgili mevzuatta açık bir dayanağının olup olmadığı tespit edilmelidir.
• Ayrıca, ilgili mevzuat uyarınca kimlik doğrulamasının zorunlu olup olmadığı kontrol edilmeli,
zorunlu değilse alternatif uygulamalara gidilmelidir.
• Kampanya süreçleri kapsamında öğrenci kimliğimi, esnaf kimliği vb. olaya özgü kimliği
tespit edici belgelerin istendiği uygulamalarda temkinli davranılmalı; var ise talebin
mevzuattaki açık dayanak tespit edilmeli veya alternatif doğrulama mekanizmaları
değerlendirilmelidir. Örneğin, öğrenciler için “.edu” uzantılı okul e-posta adresleri üzerinden
teyit işleminin gerçekleştirilmesi.
11. www.Jurcom.nl
Karar Tarihi : 15/06/2023
Karar No : 2023/1041
Konu Özeti : Veri sorumlusunun internet sitesinde aydınlatma yükümlülüğünü
usulüne uygun olarak yerine getirmemesi ve sunduğu hizmeti açık rıza şartına bağlaması
• İnternet üzerinden tıbbi cihaz satışı yapan bir şirketin aydınlatma ve gizlilik
metinlerine ilişkin alanlar işaretlenmeden satışın veya üyelik işlemlerinin
gerçekleştirilemediği, müşterilerin sağlık verilerinin ticari ve pazarlama amaçlı kullanıldığı,
satış işleminin gerçekleştirilebilmesi için verilerin yurtdışına aktarımının zorunlu tutulduğu
iddia edilmektedir.
• Kararda, gizlilik ve aydınlatma metninin işaretlenmeksizin satışın
gerçekleştirilmemesinin veri sorumlusunun aydınlatma yükümlülüğünü yerine getirmesi
için benimsenen bir uygulama olması sebebiyle KVKK’ya aykırılık bulunmadığı; tıbbi cihaz
alımı faaliyeti ile müşterilerin sağlık verilerinin işlendiği sonucuna varılamayacağı,
pazarlama amacıyla işlenen verilerde ise açık rızanın usulüne uygun olarak alındığı için
yine Kanun’a aykırılık bulunmadığı hususlarına yer verilmiştir.
• Bununla birlikte, kişisel verilerin yurt dışına aktarımının satışın ön şartı olarak
sunulması bakımından yurt dışına aktarıma açık rıza vermeyen müşteriler için alternatif bir
satış kanalının mevcut olduğu, ancak bu satış kanalının müşteriler tarafından
bulunmasının neredeyse imkânsız olduğuna karar verilmiş; şirket, söz konusu satış
kanalının açık ve anlaşılır olarak müşterilere sunulması hususunda talimatlandırılmıştır.
Karardan çıkarılması gereken notlar:
• Aydınlatma metinlerine ilişkin olarak sunulan kutucukların onaylatılmadan satın
alma vb. işlemlere devam edilmemesinde KVKK bakımından herhangi bir sakınca
bulunmamaktadır. Aksine, söz konusu uygulama ile müşterilerin aydınlatma metnini
okuyarak bilgilendirilmesi amaçlandığı için şirketlerin aydınlatma yükümlülüklerini yerine
getirmelerini ispatlayabilmeleri için doğru bir uygulamadır.
• Sağlık cihazları satışları ile ilgili olarak söz konusu cihazları satın alan kişilerin belirli
hastalıklara sahip olduğu kanısına varılamayacağından müşterilerin sağlık verisinin
işlendiğinden bahsedilemez. Bu sebeple sağlık cihazı satışlarına özgü olarak ek bir açık rıza
alınması gereksinimi bulunmamaktadır.
• Kişisel verilerin pazarlama ve ticari amaçlarla işlendiği senaryoda mutlaka
müşterilerden sürece yönelik açık rıza alınmalıdır. Ayrıca, pazarlama ve ticari amaçlı ileti
gönderimi söz konusuysa ticari elektronik ileti gönderimiyle ilgili olarak müşterilere ayrı bir
aydınlatma metni sunulmalı ve ileti gönderimiyle ilgili olarak izin alınmalıdır.
• Kişisel verilerin pazarlama ve ticari amaçla işlenmesi için alınan açık rızalar,
hizmetin ön şartı olarak sunulmamalıdır; yani müşteriler pazarlama ve ticari amaçla kişisel
12. www.Jurcom.nl
veri işlenmesine açık rıza vermediği senaryoda da satın alım, üyelik vb. işlemlere devam
etme imkanlarının bulunması gerekmektedir.
• Yurt dışına aktarım için açık rızanın da yine hizmetin sunulması için zorunlu
tutulmaması gerekmektedir. Yurt dışına aktarım şirketin satış vb. faaliyetlerini
sürdürebilmesi için gerekli olsa dahi müşterilerin kişisel verilerini yurt dışına aktarmayı
reddetmesi durumunda kullanabilecekleri alternatif uygulamalar bulunmalıdır.
13. www.Jurcom.nl
Karar Tarihi : 03/08/2023
Karar No : 2023/1321
Konu Özeti : İlgili kişinin e-posta verilerinin, önceden ortağı olduğu veri sorumlusu
Şirket tarafından işlenmeye devam edilmesi
• İşten ayrılan bir çalışanın eski işindeki e-posta adresinin hala aktif olduğunu ve veri
sorumlusu olarak eski işvereninin söz konusu adrese iletilen e-postaları okuması suretiyle
kişisel verilerinin işlenmeye devam edildiği iddia edilmektedir.
• E-posta verileri kişisel veri olarak nitelendirildiği için eski çalışana ait e-posta
adresinin kapatılmaması, bu adrese e-posta gönderiminin devam etmesi ve iletilen e-
postaların eski işveren tarafından görüntülenmesi suretiyle KVKK’ya aykırı olarak veri
işlendiği değerlendiriliyor.
• Bu sebeple veri sorumlusuna 50.000 TL idari para cezası uygulanmasına karar
veriliyor. Ayrıca veri sorumlusu işten ayrılan çalışanların verilerinin işlenmesine devam
edilmemesini sağlayacak bir sistem oluşturulması ve şikâyete konu e-postalara ilişkin
verilerin imhası yönünde talimatlandırılıyor.
Karardan çıkarılması gereken notlar:
• Eski çalışanlara ait e-posta adresleri ve bu e-posta adreslerine gönderilen iletiler,
kişisel veri niteliğinde olabilmektedir. Bu sebeple, çalışanların işten ayrılmasını takiben en
kısa sürede eski çalışanlara ait e-posta adresleri kapatılmalı ve buna ilişkin yazılı bir
prosedür belirlenmelidir.
• Eski çalışanların şirket uzantılı e-posta adreslerini kullanmalarına izin verilmemelidir.
• Ayrıca, eski çalışanın e-posta adresinin kapatılmasına kadar geçen sürede önlem
olarak söz konusu adreslere gelen iletiler işveren tarafından okunmamalı ve
cevaplanmamalıdır.
14. www.Jurcom.nl
Karar Tarihi : 03/08/2023
Karar No : 2023/1327
Konu Özeti : İlgili kişinin kişisel verilerinin konakladığı otel çalışanı tarafından
üçüncü kişilerle paylaşılması hakkında
• Otelde konaklayan bir müşteri tarafından konaklamasına ilişkin bilgilerin yer aldığı
bir belgenin otel çalışanı tarafından sosyal medyada paylaşıldığı, ayrıca veri sorumlusu
olan otel tarafından müşterilere gerekli aydınlatmanın yapılmadığı iddia ediliyor
• Müşterilerin bilgilerinin yer aldığı bu belge Housekeeping Task Sheet olarak geçiyor
ve kat görevlilerinin bakım ve temizlik hizmetlerine ilişkin bir belge. İlgili belgede odalarda
konaklayan kişilerin ad ve soyadları yer alıyor.
• Bu belgede müşterilere ait ad ve soyad bilgilerinin yer alması ölçüsüz bir veri işleme
faaliyeti olarak değerlendiriliyor. Ayrıca söz konusu belgenin üçüncü kişilerin eline geçmesi
sebebiyle Kanun’un 12’nci maddesi uyarınca kişisel verilere hukuka aykırı olarak erişilmesini
önlemek ile kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini
temin etmeye yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünün
sağlanamadığı tespit ediliyor. Bu sebeple veri sorumlusu otele 500.000 TL idari para cezası
uygulanmasın karar veriliyor.
• Otel, ayrıca Housekeeping Task Sheet’in müşterilere yönelik bilgileri içermeyecek
şekilde düzenlenmesi hususunda talimatlandırılıyor.
• Aydınlatma yükümlülüğü ile ilgili olarak ise konaklama belgesi ekinde sunulan
metin ile web sayfasında bulunan metindeki farklılıkların giderilmesi, ayrıca konaklama
belgesi ile birlikte reklam ve pazarlama amaçlı olarak müşterilerin iletişim bilgilerinin
işlenmesinin kabulün zorunlu tutulması uygulamasının kaldırılarak açık rıza ve aydınlatma
süreçlerinin Kanun’a uygun olarak düzenlenmesi hususunda talimatlandırılıyor.
Karardan çıkarılması gereken notlar:
• Müşterilerin kişisel verileri işlenirken sınırlı ve ölçülü davranmaya dikkat edilmeli,
örneğin kararda olduğu gibi otelde konaklayan müşterilerin ad ve soyad bilgilerinin kat
personeli tarafından tutulması gibi bir uygulamaya gidilmemelidir. Kişisel verilerin
işlenmesindeki amacın kişisel verilerin korunması hakkı karşısında korunmaya değer bir
menfaat taşıyıp taşımadığı kontrol edilmelidir.
• Şirket çalışanlarının müşterilerin verilerine yetkisiz olarak erişimi ve üçüncü kişilerle
paylaşımını engellemek adına şirket içinde gerekli her türlü idari ve teknik tedbir alınmalı ve
bu tedbirlere ilişkin politika ve prosedürler hazırlanmalıdır. Ayrıca, çalışanlara kişisel
verilerin korunması hakkında farkındalık için periyodik eğitimlerde bulunulmalıdır.
• Pazarlama ve ticari amaçlı açık rıza onayları, hizmete ilişkin sözleşme vb. diğer
belgelerin içinde yer almamalı; bu tip onaylar hizmetin ifası için zorunlu olan
dokümanlardan ayrıştırılmalıdır. Aksi halde açık rızanın özgür olarak verildiği kabul
edilemez.