SlideShare a Scribd company logo

27 Aralık 2023 KVKK Karar Özetleri ve Notlar

J
Jurcom GRC Services

Kişisel Verileri Koruma Kurulu'nun 27 Aralık 2023'te yayımlanan Karar Özetleri'nden önemli bir bölümü uzman ekibimizin notlarıyla paylaşıyoruz. Çeşitli önemli başlıklardaki gelişmeleri yorumlarımızla öğrenme şansını elde edeceksiniz. KVKK, GDPR vb. kritik regülasyonlara uyum konusunda bize ulaşabilir, profesyonel destek alabilirsiniz.

Law
1 of 15
Download to read offline
www.Jurcom.nl KVKK KARAR ÖZETLERİ (27.12.2013)
www.Jurcom.nl Karar Tarihi : 27/04/2023 Karar No : 2023/646 Konu Özeti : Bir üniversite bünyesinde çalışanların özlük bilgilerinin tüm personelle paylaşılması • Karara konu olayda veri sorumlusu bir üniversite ve başvurucu ise üniversitede çalışan bir personeldir. • Üniversite yetkilileri, başvurucunun izin kullanma süreçlerinde kurallara aykırı hareket ettiği gerekçesiyle başvurucuya uyarı mahiyetinde olması amacıyla başvurucunun çeşitli özlük bilgilerini e-posta üzerinden toplu bir şekilde tüm idari personellere göndermiştir. • Kurul kararında söz konusu aktarımın Üniversite’nin iddiası aksine Kanun madde 5/2 (c) uyarınca sözleşmenin ifası kapsamında değerlendirilemeyeceğini nitekim başvurucunun izin kullanımı hususunda uyarılması amacıyla başvurucunun çalıştığı birimde görevli diğer tüm personelle kişisel verilerinin paylaşılmasının gereklilik arz etmediği ve bu amaçla yalnızca başvurucuyu muhatap alarak alternatif süreçlerin işletilebileceğini belirtmiştir. • Bu kapsamda Kurul, veri sorumlusu bünyesinde görev yapan ilgili personel hakkında disiplin hükümlerine göre işlem yapılması ve işlemin sonucu hakkında Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına karar vermiştir. Karardan çıkarılması gereken notlar: • Veri minimizasyonu ilkesi gereği belirli bir veri işleme amacına ulaşmak için yürütülen veri işleme faaliyetlerinde olabildiğince az veri işlenmedir. Aynı ilgili amaca daha az veri işlemeyi gerektiren alternatif bir yöntem ile ulaşmak mümkünse daha az veri işlemeyi gerektiren yöntem takip edilmelidir. • Personelin disiplin süreçlerine ilişkin veri işleme faaliyetlerine yönelik ilgili mevzuata uygun bir disiplin prosedürü oluşturulmalı ve takip edilmeli ve görev tanımında disiplin süreçlerine dahil olmayan personeller dahil yetkisi bulunmayan kişi ve gruplara veri aktarımı yapılmamalıdır. • Kurulun kararı özellikle kişisel veri işlemeyi gerektiren disiplin süreçleri gibi konularda şirket yetkililerinin nasıl hareket etmesi gerektiğini düzenleyen disiplin prosedürü gibi ayrı ve özel dokümanların bulunması ve çalışanın bu konuda bilinçlendirilmesinin önemini, bu süreçler yerine getirilirken gereğinden fazla ve ölçüsüz veri işlemenin hukuka aykırı olduğunu vurgulamaktadır.
www.Jurcom.nl Karar Tarihi : 11/04/2023 Karar No : 2023/567 Konu Özeti : Bir e-ticaret sitesinden alışveriş yapılabilmesi için banka/kredi kartı bilgilerinin kaydedilmesinin zorunlu tutulması hakkında • Karara konu olay, Hizmet sağlayıcı ve aracı hizmet sağlayıcı olarak faaliyet gösteren veri sorumlusu bir şirketin E-ticaret sitesinde alışveriş yapılabilmesi için kredi/banka kartı bilgilerinin zorunlu olarak kaydedildiği ancak buna ilişkin bir veri işleme şartı bulunmadığı ve ilgili kişinin açık rızasının da alınmadığı ve aydınlatmanın da yapılmadığına ilişkindir. • Kurul kararında kredi/banka kartı bilgilerinin alışverişi tamamladıktan sonra zorunlu olarak kaydedilmesinin Kanun madde 5/2 (c) uyarınca sözleşmenin ifası ve madde 5/2 (ç) Veri sorumlusunun hukuki yükümlülüğü kapsamında değerlendirilemeyeceğini • Satın almaları kolaylaştırmak amacıyla kart bilgilerinin işlenmeye devam edilebilmesinin veri işleme amacının değişmesi sebebiyle ancak açık rızanın varlığı halinde mümkün olacağını, kaydedilen kart bilgilerinin alışveriş tamamlandıktan sonra ilgili bölümden silinebilmesinin bu durumu değiştirmediği, bu sebeple açık rıza alınmaksızın kart bilgilerinin zorunlu olarak kaydedilmesinin hukuka aykırı olduğu gereçkesiyle; 500.000 TL idari para cezasına, internet sitesinin kart bilgilerinin kaydedilmesi noktasında ilgili kişilerin açık rızasını göstermelerini sağlayacak şekilde yeniden tasarlanmasına ve sürece ilişkin aydınlatma metinlerinin de kredi kartı verilerinin işlenmesi süreçlerinde işleme şartının açık rıza olarak belirtilmiş şekilde düzenlenmesine karar verilmiştir. Karardan çıkarılan notlar: • İş süreçlerinde yürütülen veri işleme faaliyetlerinin Kanun’da düzenlenen hangi veri işleme şartına dayandırılacağının tespiti önem arz etmektedir. Bu kapsamda bir süreçte hangi noktada hangi bilgilerin hangi kanun maddesine dayanılarak ve hangi güvenlik tedbirleri ile işleneceğini belirlemek için her iş sürecine özel konunun uzmanları ile mahremiyet etki analizi çalışmaları yürütülmeli ve süreç buna göre tasarlanmalıdır. • E-ticaret sitelerinde sunulan ürün veya hizmetlerin satışı sürecinde işlenen kimlik, iletişim ve finans bilgileri sözleşmenin kurulması ve ifası ile veri sorumlusunun hukuki yükümlülüğü kapsamında açık rıza olmadan işlenebilir. Ancak alışverişin tamamlanmasıyla bu amaca ulaşılmaktadır. Sonraki satış işlemlerinin kolaylaştırılması amacıyla kredi/banka kartı gibi bilgilerin kaydedilmesi farklı bir amaç olduğu için bu kayıt işlemi için ayrıca açık rıza alınmalı ve ilgili kişi bilgilendirilmelidir.
www.Jurcom.nl Karar Tarihi : 15/06/2023 Karar No : 2023/1050 Konu Özeti : Veri sorumlusu Banka’nın, müşteri temsilcisi ile ilgili kişi arasında gerçekleştirilen görüşmeye ilişkin ses kaydı dökümünün ilgili kişiye sağlanması yönündeki talebi yerine getirmemesi • Karara konu olayda veri sorumlusu olan Banka, müşteri temsilcisi ile ilgili kişi arasında gerçekleşen görüşmeye ilişkin ses kaydının bir kopyasının ilgili kişiye sağlanması yönündeki talebi Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik ve 5411 sayılı Bankacılık Kanunu’nun “Sırların Saklanması” başlıklı 73’üncü maddesi gereğince reddetmiştir. • Kurul kararında 5411 sayılı Bankacılık Kanunu ve ilgili mevzuatta yer verilen “sır saklama yükümlülüğü ”nün, yalnızca kanuni düzenlemelerin öngördüğü hukuka uygunluk hâlleri dışında, müşteri ile ilgili ticari bağlantı nedeniyle elde edilmiş olan bilgi ve olaylar hakkında üçüncü kişilere bilgi verilmemesini kapsadığı, bu kapsamda 6698 sayılı Kanun madde 11 uyarınca ilgili kişilerin kişisel verileri üzerinde erişim hakkı uyarınca tarafların görüşme sırasındaki doğrudan ifadelerini içeren söz konusu dökümün, ilgili kişi dışında başkalarının kişisel verileri varsa bunların çıkarılması/maskelenmesi gibi önlemler alınarak İlgili Kişiye gönderilmesi gerektiğini belirtmiştir. Karardan çıkarılan notlar: • Bankacılık sektörüne özgü özellikle bilgi paylaşımı süreçlerine ilişkin birçok özel kanun ve yönetmelik bulunmaktadır. Bankalar kişisel veri işleme faaliyetleri yürütürken söz konusu özel düzenlemeleri her zaman göz önünde bulundurmalıdır. • Banka çalışanlarının başta Bankacılık Kanunu ve ilgili mevzuat uyarınca sır saklama yükümlülükleri olsa da bu düzenlemeler 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nda düzenlenen ilgili kişi hakları ile birlikte değerlendirilmelidir. • İlgili kişilerin, müşteri hizmetleri ile yapılan görüşmede alınan ses kaydının dökümünün taraflarına iletilmesi talebi, KKKK 11 uyarınca erişim ve bilgi talep etme hakkı kapsamındadır. Bankacılık Kanunu ve ilgili mevzuatta düzenlenen istisnalar kapsamına girmiyorsa; ilgili kişinin bankadan ses kaydı gibi ilgili kişi dışında üçüncü kişilere de ait kişisel verilerini içeren kayıt ya da dokümanlara erişmek istemesi veya bir kopyasını talep etmesi durumunda söz konusu kayıt ya da dokümandan üçüncü kişilere ait kişisel verileri içeren kısımlar çıkarılarak ya da maskelenerek ilgili kişinin talebi yerine getirilmelidir.
www.Jurcom.nl Karar Tarihi : 20/07/2023 Karar No : 2023/1234 Konu Özeti : Bir araç kiralama şirketi tarafından ilgili kişiden Findeks Raporu talep edilmesi suretiyle kişisel verilerinin işlenmesi • Karara konu olayda ilgili kişi, kullanıcılara çevrimiçi otobüs, uçak, kiralık araç ve konaklayacak yer arama hizmetleri sunan; otobüs, feribot ve uçak firmalarının seyahat biletlerini kullanıcılara yönelik satışa açan bir Plaform’un internet sitesinden araç kiralamış ve ilgili aracı teslim almak için şirketin yetkili acentesine gittiğinde acente çalışanları tarafından ilgili kişiden ayrıca findeks raporu talep edilmiştir. İlgili kişinin findeks raporunu iletmemesi sonrasında firma prosedürlerini kabul etmediği gerekçesiyle araç teslimi yapılmamıştır. • Kurul kararında, Platform’un araç kiralama hizmeti vermediğini yalnızca rezervasyon taleplerini aldığını, dolayısıyla Platform’un veri sorumlusu sıfatıyla sorumluluğunun yalnızca bilet listeleme, sefer görüntüleme, bilet satış araç kiralama, araç listeleme otel listeleme, otel rezervasyonu yapma vb. hizmetler bakımından olduğu, bu sebeple somut olayda platform’un veri sorumlusu olmadığını • Platform üzerinden araç kiralama hizmeti sunan şirketlerin Kanun madde 3 (ı) uyarınca kişisel verilerin işleme amaçlarını ve vasıtalarını belirleme, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan tüzel kişi” olma şartının sağlanması sebebiyle veri sorumlusu olduğu • Araç kiralama hizmeti bakımından findeks raporunun talep edilmesinin veri minimizasyonu ve dürüstlük kuralı ilkelerine uygun olmadığı bu sebeple ancak açık rıza ile talep edilip işlenebileceği değerlendirilmiştir. • Somut olayda ilgili kişinin açık rıza vermemesi sebebiyle rezervasyonun iptal edilmesinden sunulan hizmetin açık rıza şartına bağlandığının anlaşıldığı bu sebeple Kanun madde 12 (1)’in ihlal edildiğinden hareketle araç kiralama şirketi olan veri sorumlusuna 100.000 TL idari para cezası uygulanmasına karar verilmiştir. Karardan çıkarılan notlar: • Tedarikçi, ortam sağlayıcı ya da aracı hizmet sağlayıcı gibi üçüncü kişilerle yürütülen iş süreçlerinde KVKK kapsamında hangi tarafın hangi noktada veri sorumlusu sıfatına haiz olduğu hususu önem taşımaktadır. Bir şirket, bir iş sürecinin belirli bölümleri bakımından veri sorumlusu sıfatına haiz olabilirken diğer kısımları açısından veri sorumlusu olarak değerlendirilmeyebilir. • Otel, otobüs ya da uçak bilet satımı ve araç kiralama gibi hizmetlerin alımı için rezervasyon hizmeti sunan platformlar, listeleme ve rezervasyon yapma gibi işlemler bakımından veri sorumlusu olarak sorumluyken ödeme işlemlerinin yapılması aracın teslim edilmesi gibi araç
www.Jurcom.nl kiralama sürecinin yürümesi bakımından söz konusu platform üzerinden araç kiralama hizmeti sunan şirket veri sorumlusu olarak sorumlu olmaktadır. • Araç kiralama hizmet sunan şirketler kiralama sürecinde veri minimizasyonu ve dürüstlük kuralına aykırı aşan ve açık rıza gerektiren bilgi taleplerinde Kanun’a uygun bir şekilde açık rıza almaları, sunulan hizmeti açık rızasının verilmesi şartına bağlamaması gerekmektedir.
www.Jurcom.nl Karar Tarihi : 07/09/2023 Karar No : 2023/1548 Konu Özeti : İlgili kişinin açık rızası alınmadan ses kaydının alınması, paylaşılması ve mahkeme dosyasına sunulması • Karara konu olayda yüklenici firma çalışanı olan ilgili kişi görevi gereği sayaç okuma, açma, kesme ve sahada yaşanan olumsuzlukları rapor etme görevlerini yerine getirmektedir. Yaşanan olayda müşteri/kullanıcı ilgili kişi görevini yerine getirirken yarattığı usulsüzlüğün suç teşkil ettiğini düşünerek ses kaydı almış ve bunu veri sorumlusu yüklenici firmanın en üst yönetici pozisyonundaki yetkiliye iletmiştir. Veri sorumlusu bu ses kaydına dayanarak ilgili kişinin sözleşmesini feshetmiş ve suç teşkil ettiği gerekçesiyle gerekli idari ve teknik tedbirleri alarak ses kaydını şifreli bir bicinde muhafaza etmiş ve şifreli disk halinde mahkeme dosyasına sunmuştur. • İlgili kişi her ne kadar açık rızası olmadan ses kaydı alındığı ve mahkemeye iletildiğini iddia etse de Kurul yaptığı değerlendirmede Yargıtay kararlarına atıf yaparak başka türlü delil ile tespit etme imkânı yok iken ses kaydı alınmasının veya kaybolma ihtimali bulunan kanıtların kaybolmalarının engellenmesi amacıyla ses kaydı alınmasının özel hayatın gizliliğini ihlal suçu oluşturmayacağını, veri sorumlusunun kendisine iletilen ses kaydını Kanun madde 5 (2) (e) uyarınca hakkın korunması kapsamında işlendiği, ayrıca ses kaydının iş sözleşmesinin feshinden sonra ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmasının iş kanunundan doğan yükümlülük olduğu bu sebeple ses kaydının silinmesi veya yok edilmesi hakkını ileri sürebilmek için hukuken bir olanak olmadığı, ses kaydının gerekli teknik ve idari önlemleri alarak saklandığı ve mahkemeye aktarıldığını ve bu sebeple veri sorumlusu hakkında bir işlem yapmaya gerek olmadığına karar vermiştir. Karadan çıkarılan notlar: • İlgili mevzuatta ve mahkeme kararlarında öngörülen kriterlere uygun olmak şartıyla ve başka türlü delil ile tespit etme imkânı yok iken ses veya görüntü kaydı alınmasının veya kaybolma ihtimali bulunan kanıtların kaybolmalarının engellenmesi amacıyla ses kaydı alınmasının özel hayatın gizliliğini ihlal suçunu oluşturmaz ve bu kayıtların veri sorumlunsun meşru menfaati ve hakkın korunması kapsamında gerekli teknik ve idari önlemleri almak şartıyla mahkeme ve resmî kurumlara aktarılması mümkündür. • Asıl işveren ile alt işveren yani yüklenici firma çalışanı bakımından alt işveren ve asıl iş veren müteselsil sorumludur. Bu ilişkide asıl işveren, alt işverenin işçilerine karşı o işyeri ile ilgili olarak bu Kanundan, iş sözleşmesinden veya alt işverenin taraf olduğu toplu iş sözleşmesinden doğan yükümlülüklerinden alt işveren ile birlikte sorumludur.
www.Jurcom.nl Karar Tarihi : 28/09/2023 Karar No : 2023/1653 Konu Özeti : Veri sorumlusuna ait mağazada ilgili kişilere reklam amaçlı SMS gönderilmesi amacıyla kişisel verilerin işlenmesi • Karara konu olayda ilgili kişi, veri sorumlusuna ait mağazada gerçekleştirdiği alışveriş sonrası kasa işlemleri sırasında kendisine veri sorumlusu çalışanı tarafından sesli bir şekilde metin okunarak aydınlatma yapılmış ve çeşitli kanallarla (QR kod internet sitesi linki gibi) ilgili kişi aydınlatma metnine aktarılmış müşteri kayıt olmak isterse cep telefonundan İZİN AD SOYAD yazarak ilgili numarama SMS göndermesi gerektiği iletmiş ve ilgili kişi de bu işlemi gerçekleştirmiş, daha sonra da rızasını geri aldığınına ilişkin bir bildirimde bulunmuş ve bu aşamadan sonra veri sorumlusu tarafından ilgili kişiye SMS gönderimi yapılmamıştır. • Kurul kararında, ilgili kişinin kendisine aydınlatma yapılmadığı ve açık rızasının alınmadığı iddialarının aksine somut olay kapsamında, ilgili kişinin açık rızasını vermek için kendi icrai hareketleri ile veri sorumlusuna kısa mesaj gönderdiği, gönderdiği kısa mesaja binaen kendisine gönderilen kısa mesajda yer alan kodu ise kasa görevlisine okuduğu, kendisine gönderilen kısa mesajın içeriğinde hangi kişisel verilerinin hangi amaçlarla işlendiğine dair detaylı bilgilendirmenin yapıldığı anlaşılır olan bir aydınlatma metnine ulaşılmasını sağlayan bir link yer aldığı, olayda ilgili kişinin açık rızasına dayanılarak kişisel veri işleme faaliyetinin gerçekleştirildiğini; ilgili kişinin açık rızasını geri alması üzerine ise veri işleme faaliyetine son verildiği ve tüm bu sebeplerle de şikayete ilişkin olarak Kanun kapsamında yapılacak bir işlem bulunmadığına karar vermiştir. • Kurul ayrıca müşteriden alınan açık rızanın zedelenmemesi için hediye kartı temin etmek adına söz konusu açık rıza alınması işlemenin alışverişin bir parçası olarak görünmemesi gerektiği ve sürecin bu şekilde açık rıza verme şartına bağlı olduğu izlenimi yaratmayacak şekilde revize edilmesi gerektiği ve aydınlatma ve açık rıza onay kodunun aynı kısa mesaj içerisinde bulunmaması konusunda veri sorumlusunun talimatlandırılmasına karar vermiştir. Karardan çıkarılan notlar: • Kasa işlemleri sırasında yürütülen hediye kart temin etme ve ETK onayı talep etme gibi veri işleme faaliyetlerine ilişkin olarak kasada ilgili kişinin rahatlıkla ulaşabileceği şekilde aydınlatma metni farklı kanallarla sunulmalıdır (QR kod, bilgilendirme föyü ya da internet sitesi linki). Ayrıca aktarmalı aydınlatma kapsamında kasa çalışanı tarafından: “Kişisel verilerinizin; ürün/hizmetlerimizin sizler için özelleştirilmesi, alışveriş tercihlerinizin analizi, kolay iade, değişim avantajlarından faydalanmanız, indirim, kampanya, promosyon, koleksiyon tanıtımlarından haberdar olmanız ve anketlerimiz ile yapacağımız telefon görüşmelerine katılarak görüşlerinizi bizlerle paylaşmanız amacıyla işlenmesini, bu kapsamda hizmet alınan üçüncü taraflarla paylaşılmasını ve sizlere bu amaçlarla elektronik ticari ileti gönderilmesini ister misiniz?” şeklinde bir bilgilendirme yapılarak veri işleme amacına ilişkin olarak ilgili kişiye hatırlatma yapılmalıdır.
www.Jurcom.nl • Söz konusu farklı amaçlara ilişkin veri işleme faaliyetleri alışveriş hizmetinin bir parçasıymış gibi bir izlenim yaratmayacak şekilde kurgulanmalı ve bunun içinde şeffaf ve anlaşılır bir dille ilgili kişinin ETK onayı veya hediye kart temin etme gibi faaliyetlere açık rıza göstermeden de işlemine devam edebileceği konusunda bilgilendirilmesi gerekmektedir. • SMS yoluyla yürütülen süreçlerde aydınlatma metni ve açık rıza onayı ayrı ayrı SMS gönderilerek yerine getirilmelidir.
www.Jurcom.nl Karar Tarihi : 11/04/2023 Karar No : 2023/570 Konu Özeti : İlgili kişinin kripto varlık hizmet sağlayıcısı nezdinde bulunan üyeliğinin seviyesinin artırılması için gereğinden fazla kişisel veri talep edilmesi • Bir kripto varlık hizmet sağlayıcısı şirket, kullanıcılardan kimliklerinin ön ve arka yüzünün fotoğrafını talep etmektedir. • Veri sorumlusunun mevzuattan kaynaklanan bir kimlik teyit yükümlülüğü bulunduğu için kullanıcıların kimlik fotoğraflarını KVKK m. 5/2 a bendi çerçevesinde “kanunlarda açıkça öngörülmesi” hukuki işleme şartına dayanılarak talep etmektedir. • Bu sebeple veri sorumlusu hakkında yapılacak bir işlem bulunmadığına karar verilmiştir. Karardan çıkarılması gereken notlar: • Müşterilerin kimlik fotoğrafının talep edildiği bir uygulamaya başlanmadan önce, kimlik fotoğrafı talebinin ilgili mevzuatta açık bir dayanağının olup olmadığı tespit edilmelidir. • Ayrıca, ilgili mevzuat uyarınca kimlik doğrulamasının zorunlu olup olmadığı kontrol edilmeli, zorunlu değilse alternatif uygulamalara gidilmelidir. • Kampanya süreçleri kapsamında öğrenci kimliğimi, esnaf kimliği vb. olaya özgü kimliği tespit edici belgelerin istendiği uygulamalarda temkinli davranılmalı; var ise talebin mevzuattaki açık dayanak tespit edilmeli veya alternatif doğrulama mekanizmaları değerlendirilmelidir. Örneğin, öğrenciler için “.edu” uzantılı okul e-posta adresleri üzerinden teyit işleminin gerçekleştirilmesi.
www.Jurcom.nl Karar Tarihi : 15/06/2023 Karar No : 2023/1041 Konu Özeti : Veri sorumlusunun internet sitesinde aydınlatma yükümlülüğünü usulüne uygun olarak yerine getirmemesi ve sunduğu hizmeti açık rıza şartına bağlaması • İnternet üzerinden tıbbi cihaz satışı yapan bir şirketin aydınlatma ve gizlilik metinlerine ilişkin alanlar işaretlenmeden satışın veya üyelik işlemlerinin gerçekleştirilemediği, müşterilerin sağlık verilerinin ticari ve pazarlama amaçlı kullanıldığı, satış işleminin gerçekleştirilebilmesi için verilerin yurtdışına aktarımının zorunlu tutulduğu iddia edilmektedir. • Kararda, gizlilik ve aydınlatma metninin işaretlenmeksizin satışın gerçekleştirilmemesinin veri sorumlusunun aydınlatma yükümlülüğünü yerine getirmesi için benimsenen bir uygulama olması sebebiyle KVKK’ya aykırılık bulunmadığı; tıbbi cihaz alımı faaliyeti ile müşterilerin sağlık verilerinin işlendiği sonucuna varılamayacağı, pazarlama amacıyla işlenen verilerde ise açık rızanın usulüne uygun olarak alındığı için yine Kanun’a aykırılık bulunmadığı hususlarına yer verilmiştir. • Bununla birlikte, kişisel verilerin yurt dışına aktarımının satışın ön şartı olarak sunulması bakımından yurt dışına aktarıma açık rıza vermeyen müşteriler için alternatif bir satış kanalının mevcut olduğu, ancak bu satış kanalının müşteriler tarafından bulunmasının neredeyse imkânsız olduğuna karar verilmiş; şirket, söz konusu satış kanalının açık ve anlaşılır olarak müşterilere sunulması hususunda talimatlandırılmıştır. Karardan çıkarılması gereken notlar: • Aydınlatma metinlerine ilişkin olarak sunulan kutucukların onaylatılmadan satın alma vb. işlemlere devam edilmemesinde KVKK bakımından herhangi bir sakınca bulunmamaktadır. Aksine, söz konusu uygulama ile müşterilerin aydınlatma metnini okuyarak bilgilendirilmesi amaçlandığı için şirketlerin aydınlatma yükümlülüklerini yerine getirmelerini ispatlayabilmeleri için doğru bir uygulamadır. • Sağlık cihazları satışları ile ilgili olarak söz konusu cihazları satın alan kişilerin belirli hastalıklara sahip olduğu kanısına varılamayacağından müşterilerin sağlık verisinin işlendiğinden bahsedilemez. Bu sebeple sağlık cihazı satışlarına özgü olarak ek bir açık rıza alınması gereksinimi bulunmamaktadır. • Kişisel verilerin pazarlama ve ticari amaçlarla işlendiği senaryoda mutlaka müşterilerden sürece yönelik açık rıza alınmalıdır. Ayrıca, pazarlama ve ticari amaçlı ileti gönderimi söz konusuysa ticari elektronik ileti gönderimiyle ilgili olarak müşterilere ayrı bir aydınlatma metni sunulmalı ve ileti gönderimiyle ilgili olarak izin alınmalıdır. • Kişisel verilerin pazarlama ve ticari amaçla işlenmesi için alınan açık rızalar, hizmetin ön şartı olarak sunulmamalıdır; yani müşteriler pazarlama ve ticari amaçla kişisel
www.Jurcom.nl veri işlenmesine açık rıza vermediği senaryoda da satın alım, üyelik vb. işlemlere devam etme imkanlarının bulunması gerekmektedir. • Yurt dışına aktarım için açık rızanın da yine hizmetin sunulması için zorunlu tutulmaması gerekmektedir. Yurt dışına aktarım şirketin satış vb. faaliyetlerini sürdürebilmesi için gerekli olsa dahi müşterilerin kişisel verilerini yurt dışına aktarmayı reddetmesi durumunda kullanabilecekleri alternatif uygulamalar bulunmalıdır.
www.Jurcom.nl Karar Tarihi : 03/08/2023 Karar No : 2023/1321 Konu Özeti : İlgili kişinin e-posta verilerinin, önceden ortağı olduğu veri sorumlusu Şirket tarafından işlenmeye devam edilmesi • İşten ayrılan bir çalışanın eski işindeki e-posta adresinin hala aktif olduğunu ve veri sorumlusu olarak eski işvereninin söz konusu adrese iletilen e-postaları okuması suretiyle kişisel verilerinin işlenmeye devam edildiği iddia edilmektedir. • E-posta verileri kişisel veri olarak nitelendirildiği için eski çalışana ait e-posta adresinin kapatılmaması, bu adrese e-posta gönderiminin devam etmesi ve iletilen e- postaların eski işveren tarafından görüntülenmesi suretiyle KVKK’ya aykırı olarak veri işlendiği değerlendiriliyor. • Bu sebeple veri sorumlusuna 50.000 TL idari para cezası uygulanmasına karar veriliyor. Ayrıca veri sorumlusu işten ayrılan çalışanların verilerinin işlenmesine devam edilmemesini sağlayacak bir sistem oluşturulması ve şikâyete konu e-postalara ilişkin verilerin imhası yönünde talimatlandırılıyor. Karardan çıkarılması gereken notlar: • Eski çalışanlara ait e-posta adresleri ve bu e-posta adreslerine gönderilen iletiler, kişisel veri niteliğinde olabilmektedir. Bu sebeple, çalışanların işten ayrılmasını takiben en kısa sürede eski çalışanlara ait e-posta adresleri kapatılmalı ve buna ilişkin yazılı bir prosedür belirlenmelidir. • Eski çalışanların şirket uzantılı e-posta adreslerini kullanmalarına izin verilmemelidir. • Ayrıca, eski çalışanın e-posta adresinin kapatılmasına kadar geçen sürede önlem olarak söz konusu adreslere gelen iletiler işveren tarafından okunmamalı ve cevaplanmamalıdır.
www.Jurcom.nl Karar Tarihi : 03/08/2023 Karar No : 2023/1327 Konu Özeti : İlgili kişinin kişisel verilerinin konakladığı otel çalışanı tarafından üçüncü kişilerle paylaşılması hakkında • Otelde konaklayan bir müşteri tarafından konaklamasına ilişkin bilgilerin yer aldığı bir belgenin otel çalışanı tarafından sosyal medyada paylaşıldığı, ayrıca veri sorumlusu olan otel tarafından müşterilere gerekli aydınlatmanın yapılmadığı iddia ediliyor • Müşterilerin bilgilerinin yer aldığı bu belge Housekeeping Task Sheet olarak geçiyor ve kat görevlilerinin bakım ve temizlik hizmetlerine ilişkin bir belge. İlgili belgede odalarda konaklayan kişilerin ad ve soyadları yer alıyor. • Bu belgede müşterilere ait ad ve soyad bilgilerinin yer alması ölçüsüz bir veri işleme faaliyeti olarak değerlendiriliyor. Ayrıca söz konusu belgenin üçüncü kişilerin eline geçmesi sebebiyle Kanun’un 12’nci maddesi uyarınca kişisel verilere hukuka aykırı olarak erişilmesini önlemek ile kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünün sağlanamadığı tespit ediliyor. Bu sebeple veri sorumlusu otele 500.000 TL idari para cezası uygulanmasın karar veriliyor. • Otel, ayrıca Housekeeping Task Sheet’in müşterilere yönelik bilgileri içermeyecek şekilde düzenlenmesi hususunda talimatlandırılıyor. • Aydınlatma yükümlülüğü ile ilgili olarak ise konaklama belgesi ekinde sunulan metin ile web sayfasında bulunan metindeki farklılıkların giderilmesi, ayrıca konaklama belgesi ile birlikte reklam ve pazarlama amaçlı olarak müşterilerin iletişim bilgilerinin işlenmesinin kabulün zorunlu tutulması uygulamasının kaldırılarak açık rıza ve aydınlatma süreçlerinin Kanun’a uygun olarak düzenlenmesi hususunda talimatlandırılıyor. Karardan çıkarılması gereken notlar: • Müşterilerin kişisel verileri işlenirken sınırlı ve ölçülü davranmaya dikkat edilmeli, örneğin kararda olduğu gibi otelde konaklayan müşterilerin ad ve soyad bilgilerinin kat personeli tarafından tutulması gibi bir uygulamaya gidilmemelidir. Kişisel verilerin işlenmesindeki amacın kişisel verilerin korunması hakkı karşısında korunmaya değer bir menfaat taşıyıp taşımadığı kontrol edilmelidir. • Şirket çalışanlarının müşterilerin verilerine yetkisiz olarak erişimi ve üçüncü kişilerle paylaşımını engellemek adına şirket içinde gerekli her türlü idari ve teknik tedbir alınmalı ve bu tedbirlere ilişkin politika ve prosedürler hazırlanmalıdır. Ayrıca, çalışanlara kişisel verilerin korunması hakkında farkındalık için periyodik eğitimlerde bulunulmalıdır. • Pazarlama ve ticari amaçlı açık rıza onayları, hizmete ilişkin sözleşme vb. diğer belgelerin içinde yer almamalı; bu tip onaylar hizmetin ifası için zorunlu olan dokümanlardan ayrıştırılmalıdır. Aksi halde açık rızanın özgür olarak verildiği kabul edilemez.
www.Jurcom.nl

Recommended

12 Mart 2024 Tarihli KVKK Değişiklikleri
12 Mart 2024 Tarihli KVKK Değişiklikleri12 Mart 2024 Tarihli KVKK Değişiklikleri
12 Mart 2024 Tarihli KVKK Değişiklikleri
Jurcom GRC Services
 
GDPR infographic
GDPR infographicGDPR infographic
GDPR infographic
Marketing Team at Crown Worldwide Group
 
Chapter 08 – Data Protection, Privacy and Freedom of Information - BIT IT5104
Chapter 08 – Data Protection, Privacy and Freedom of Information - BIT IT5104 Chapter 08 – Data Protection, Privacy and Freedom of Information - BIT IT5104
Chapter 08 – Data Protection, Privacy and Freedom of Information - BIT IT5104
Upekha Vandebona
 
Kişisel Verilerin Korunması Kanunu (KVKK)
Kişisel Verilerin Korunması Kanunu (KVKK)Kişisel Verilerin Korunması Kanunu (KVKK)
Kişisel Verilerin Korunması Kanunu (KVKK)
MGC Legal
 
Tietosuoja oppilaitoksen hallinnossa
Tietosuoja oppilaitoksen hallinnossaTietosuoja oppilaitoksen hallinnossa
Tietosuoja oppilaitoksen hallinnossa
Harto Pönkä
 
Introduction to GDPR
Introduction to GDPRIntroduction to GDPR
Introduction to GDPR
Priyab Satoshi
 
Data Protection and Privacy
Data Protection and PrivacyData Protection and Privacy
Data Protection and Privacy
Vertex Holdings
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessa
Harto Pönkä
 

Recommended

12 Mart 2024 Tarihli KVKK Değişiklikleri
12 Mart 2024 Tarihli KVKK Değişiklikleri12 Mart 2024 Tarihli KVKK Değişiklikleri
12 Mart 2024 Tarihli KVKK Değişiklikleri
Jurcom GRC Services
 
GDPR infographic
GDPR infographicGDPR infographic
GDPR infographic
Marketing Team at Crown Worldwide Group
 
Chapter 08 – Data Protection, Privacy and Freedom of Information - BIT IT5104
Chapter 08 – Data Protection, Privacy and Freedom of Information - BIT IT5104 Chapter 08 – Data Protection, Privacy and Freedom of Information - BIT IT5104
Chapter 08 – Data Protection, Privacy and Freedom of Information - BIT IT5104
Upekha Vandebona
 
Kişisel Verilerin Korunması Kanunu (KVKK)
Kişisel Verilerin Korunması Kanunu (KVKK)Kişisel Verilerin Korunması Kanunu (KVKK)
Kişisel Verilerin Korunması Kanunu (KVKK)
MGC Legal
 
Tietosuoja oppilaitoksen hallinnossa
Tietosuoja oppilaitoksen hallinnossaTietosuoja oppilaitoksen hallinnossa
Tietosuoja oppilaitoksen hallinnossa
Harto Pönkä
 
Introduction to GDPR
Introduction to GDPRIntroduction to GDPR
Introduction to GDPR
Priyab Satoshi
 
Data Protection and Privacy
Data Protection and PrivacyData Protection and Privacy
Data Protection and Privacy
Vertex Holdings
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessa
Harto Pönkä
 
Rodo podstawy przetwarzania_danych_ dla pracownikow
Rodo podstawy przetwarzania_danych_ dla pracownikowRodo podstawy przetwarzania_danych_ dla pracownikow
Rodo podstawy przetwarzania_danych_ dla pracownikow
Szymon Konkol - Publikacje Cyfrowe
 
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkintaEvästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Harto Pönkä
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
Harto Pönkä
 
Tietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessaTietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessa
Harto Pönkä
 
Aplicación de la ley de protección de datos personales
Aplicación de la ley de protección de datos personalesAplicación de la ley de protección de datos personales
Aplicación de la ley de protección de datos personales
EY Perú
 
GDPR Demystified
GDPR DemystifiedGDPR Demystified
GDPR Demystified
SPIN Chennai
 
GDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessaGDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessa
Harto Pönkä
 
Everything you Need to Know about The Data Protection Officer Role
Everything you Need to Know about The Data Protection Officer Role Everything you Need to Know about The Data Protection Officer Role
Everything you Need to Know about The Data Protection Officer Role
HackerOne
 
100 soruda kvkk
100 soruda kvkk100 soruda kvkk
100 soruda kvkk
Tekvizyon Pc Teknoloji Hizmetleri
 
General data protection
General data protectionGeneral data protection
General data protection
BrijeshR3
 
What about GDPR?
What about GDPR?What about GDPR?
What about GDPR?
Martin Hawksey
 
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmastaSosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Harto Pönkä
 
E-Para Veri Koruma
E-Para Veri KorumaE-Para Veri Koruma
E-Para Veri Koruma
Sertel Şıracı
 
KVKK-Kararlar.pdf
KVKK-Kararlar.pdfKVKK-Kararlar.pdf
KVKK-Kararlar.pdf
Mustafa Kuğu
 
MGC Legal Şubat 2022 Bülteni
MGC Legal Şubat 2022 BülteniMGC Legal Şubat 2022 Bülteni
MGC Legal Şubat 2022 Bülteni
MGC Legal
 
2013 dk sdd-228
2013 dk sdd-2282013 dk sdd-228
2013 dk sdd-228
Erol Dizdar
 
TTNET Gezinti Hizmeti Soruşturmasına ilişkin BTK Kararı
TTNET Gezinti Hizmeti Soruşturmasına ilişkin BTK KararıTTNET Gezinti Hizmeti Soruşturmasına ilişkin BTK Kararı
TTNET Gezinti Hizmeti Soruşturmasına ilişkin BTK Kararı
Erol Dizdar
 
Emel aydin turkeli_saglik_satinalma
Emel aydin turkeli_saglik_satinalmaEmel aydin turkeli_saglik_satinalma
Emel aydin turkeli_saglik_satinalma
Serkan Turkeli
 
9. Kredi Taleplerinin Değerlendirilmesi II
9. Kredi Taleplerinin Değerlendirilmesi II9. Kredi Taleplerinin Değerlendirilmesi II
9. Kredi Taleplerinin Değerlendirilmesi II
eFinans
 
MGC Legal Mart 2022 Bülteni.pdf
MGC Legal Mart 2022 Bülteni.pdfMGC Legal Mart 2022 Bülteni.pdf
MGC Legal Mart 2022 Bülteni.pdf
MGC Legal
 

More Related Content

What's hot

What's hot (12)

Rodo podstawy przetwarzania_danych_ dla pracownikow
Rodo podstawy przetwarzania_danych_ dla pracownikowRodo podstawy przetwarzania_danych_ dla pracownikow
Rodo podstawy przetwarzania_danych_ dla pracownikow
 
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkintaEvästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
 
Tietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessaTietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessa
 
Aplicación de la ley de protección de datos personales
Aplicación de la ley de protección de datos personalesAplicación de la ley de protección de datos personales
Aplicación de la ley de protección de datos personales
 
GDPR Demystified
GDPR DemystifiedGDPR Demystified
GDPR Demystified
 
GDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessaGDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessa
 
Everything you Need to Know about The Data Protection Officer Role
Everything you Need to Know about The Data Protection Officer Role Everything you Need to Know about The Data Protection Officer Role
Everything you Need to Know about The Data Protection Officer Role
 
100 soruda kvkk
100 soruda kvkk100 soruda kvkk
100 soruda kvkk
 
General data protection
General data protectionGeneral data protection
General data protection
 
What about GDPR?
What about GDPR?What about GDPR?
What about GDPR?
 
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmastaSosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
 

Similar to 27 Aralık 2023 KVKK Karar Özetleri ve Notlar

TTNET Gezinti Hizmeti Soruşturmasına ilişkin BTK Kararı
TTNET Gezinti Hizmeti Soruşturmasına ilişkin BTK KararıTTNET Gezinti Hizmeti Soruşturmasına ilişkin BTK Kararı
TTNET Gezinti Hizmeti Soruşturmasına ilişkin BTK Kararı
Erol Dizdar
 
9. Kredi Taleplerinin Değerlendirilmesi II
9. Kredi Taleplerinin Değerlendirilmesi II9. Kredi Taleplerinin Değerlendirilmesi II
9. Kredi Taleplerinin Değerlendirilmesi II
eFinans
 

Similar to 27 Aralık 2023 KVKK Karar Özetleri ve Notlar (8)

E-Para Veri Koruma
E-Para Veri KorumaE-Para Veri Koruma
E-Para Veri Koruma
 
KVKK-Kararlar.pdf
KVKK-Kararlar.pdfKVKK-Kararlar.pdf
KVKK-Kararlar.pdf
 
MGC Legal Şubat 2022 Bülteni
MGC Legal Şubat 2022 BülteniMGC Legal Şubat 2022 Bülteni
MGC Legal Şubat 2022 Bülteni
 
2013 dk sdd-228
2013 dk sdd-2282013 dk sdd-228
2013 dk sdd-228
 
TTNET Gezinti Hizmeti Soruşturmasına ilişkin BTK Kararı
TTNET Gezinti Hizmeti Soruşturmasına ilişkin BTK KararıTTNET Gezinti Hizmeti Soruşturmasına ilişkin BTK Kararı
TTNET Gezinti Hizmeti Soruşturmasına ilişkin BTK Kararı
 
Emel aydin turkeli_saglik_satinalma
Emel aydin turkeli_saglik_satinalmaEmel aydin turkeli_saglik_satinalma
Emel aydin turkeli_saglik_satinalma
 
9. Kredi Taleplerinin Değerlendirilmesi II
9. Kredi Taleplerinin Değerlendirilmesi II9. Kredi Taleplerinin Değerlendirilmesi II
9. Kredi Taleplerinin Değerlendirilmesi II
 
MGC Legal Mart 2022 Bülteni.pdf
MGC Legal Mart 2022 Bülteni.pdfMGC Legal Mart 2022 Bülteni.pdf
MGC Legal Mart 2022 Bülteni.pdf
 

27 Aralık 2023 KVKK Karar Özetleri ve Notlar

  • 2. www.Jurcom.nl Karar Tarihi : 27/04/2023 Karar No : 2023/646 Konu Özeti : Bir üniversite bünyesinde çalışanların özlük bilgilerinin tüm personelle paylaşılması • Karara konu olayda veri sorumlusu bir üniversite ve başvurucu ise üniversitede çalışan bir personeldir. • Üniversite yetkilileri, başvurucunun izin kullanma süreçlerinde kurallara aykırı hareket ettiği gerekçesiyle başvurucuya uyarı mahiyetinde olması amacıyla başvurucunun çeşitli özlük bilgilerini e-posta üzerinden toplu bir şekilde tüm idari personellere göndermiştir. • Kurul kararında söz konusu aktarımın Üniversite’nin iddiası aksine Kanun madde 5/2 (c) uyarınca sözleşmenin ifası kapsamında değerlendirilemeyeceğini nitekim başvurucunun izin kullanımı hususunda uyarılması amacıyla başvurucunun çalıştığı birimde görevli diğer tüm personelle kişisel verilerinin paylaşılmasının gereklilik arz etmediği ve bu amaçla yalnızca başvurucuyu muhatap alarak alternatif süreçlerin işletilebileceğini belirtmiştir. • Bu kapsamda Kurul, veri sorumlusu bünyesinde görev yapan ilgili personel hakkında disiplin hükümlerine göre işlem yapılması ve işlemin sonucu hakkında Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına karar vermiştir. Karardan çıkarılması gereken notlar: • Veri minimizasyonu ilkesi gereği belirli bir veri işleme amacına ulaşmak için yürütülen veri işleme faaliyetlerinde olabildiğince az veri işlenmedir. Aynı ilgili amaca daha az veri işlemeyi gerektiren alternatif bir yöntem ile ulaşmak mümkünse daha az veri işlemeyi gerektiren yöntem takip edilmelidir. • Personelin disiplin süreçlerine ilişkin veri işleme faaliyetlerine yönelik ilgili mevzuata uygun bir disiplin prosedürü oluşturulmalı ve takip edilmeli ve görev tanımında disiplin süreçlerine dahil olmayan personeller dahil yetkisi bulunmayan kişi ve gruplara veri aktarımı yapılmamalıdır. • Kurulun kararı özellikle kişisel veri işlemeyi gerektiren disiplin süreçleri gibi konularda şirket yetkililerinin nasıl hareket etmesi gerektiğini düzenleyen disiplin prosedürü gibi ayrı ve özel dokümanların bulunması ve çalışanın bu konuda bilinçlendirilmesinin önemini, bu süreçler yerine getirilirken gereğinden fazla ve ölçüsüz veri işlemenin hukuka aykırı olduğunu vurgulamaktadır.
  • 3. www.Jurcom.nl Karar Tarihi : 11/04/2023 Karar No : 2023/567 Konu Özeti : Bir e-ticaret sitesinden alışveriş yapılabilmesi için banka/kredi kartı bilgilerinin kaydedilmesinin zorunlu tutulması hakkında • Karara konu olay, Hizmet sağlayıcı ve aracı hizmet sağlayıcı olarak faaliyet gösteren veri sorumlusu bir şirketin E-ticaret sitesinde alışveriş yapılabilmesi için kredi/banka kartı bilgilerinin zorunlu olarak kaydedildiği ancak buna ilişkin bir veri işleme şartı bulunmadığı ve ilgili kişinin açık rızasının da alınmadığı ve aydınlatmanın da yapılmadığına ilişkindir. • Kurul kararında kredi/banka kartı bilgilerinin alışverişi tamamladıktan sonra zorunlu olarak kaydedilmesinin Kanun madde 5/2 (c) uyarınca sözleşmenin ifası ve madde 5/2 (ç) Veri sorumlusunun hukuki yükümlülüğü kapsamında değerlendirilemeyeceğini • Satın almaları kolaylaştırmak amacıyla kart bilgilerinin işlenmeye devam edilebilmesinin veri işleme amacının değişmesi sebebiyle ancak açık rızanın varlığı halinde mümkün olacağını, kaydedilen kart bilgilerinin alışveriş tamamlandıktan sonra ilgili bölümden silinebilmesinin bu durumu değiştirmediği, bu sebeple açık rıza alınmaksızın kart bilgilerinin zorunlu olarak kaydedilmesinin hukuka aykırı olduğu gereçkesiyle; 500.000 TL idari para cezasına, internet sitesinin kart bilgilerinin kaydedilmesi noktasında ilgili kişilerin açık rızasını göstermelerini sağlayacak şekilde yeniden tasarlanmasına ve sürece ilişkin aydınlatma metinlerinin de kredi kartı verilerinin işlenmesi süreçlerinde işleme şartının açık rıza olarak belirtilmiş şekilde düzenlenmesine karar verilmiştir. Karardan çıkarılan notlar: • İş süreçlerinde yürütülen veri işleme faaliyetlerinin Kanun’da düzenlenen hangi veri işleme şartına dayandırılacağının tespiti önem arz etmektedir. Bu kapsamda bir süreçte hangi noktada hangi bilgilerin hangi kanun maddesine dayanılarak ve hangi güvenlik tedbirleri ile işleneceğini belirlemek için her iş sürecine özel konunun uzmanları ile mahremiyet etki analizi çalışmaları yürütülmeli ve süreç buna göre tasarlanmalıdır. • E-ticaret sitelerinde sunulan ürün veya hizmetlerin satışı sürecinde işlenen kimlik, iletişim ve finans bilgileri sözleşmenin kurulması ve ifası ile veri sorumlusunun hukuki yükümlülüğü kapsamında açık rıza olmadan işlenebilir. Ancak alışverişin tamamlanmasıyla bu amaca ulaşılmaktadır. Sonraki satış işlemlerinin kolaylaştırılması amacıyla kredi/banka kartı gibi bilgilerin kaydedilmesi farklı bir amaç olduğu için bu kayıt işlemi için ayrıca açık rıza alınmalı ve ilgili kişi bilgilendirilmelidir.
  • 4. www.Jurcom.nl Karar Tarihi : 15/06/2023 Karar No : 2023/1050 Konu Özeti : Veri sorumlusu Banka’nın, müşteri temsilcisi ile ilgili kişi arasında gerçekleştirilen görüşmeye ilişkin ses kaydı dökümünün ilgili kişiye sağlanması yönündeki talebi yerine getirmemesi • Karara konu olayda veri sorumlusu olan Banka, müşteri temsilcisi ile ilgili kişi arasında gerçekleşen görüşmeye ilişkin ses kaydının bir kopyasının ilgili kişiye sağlanması yönündeki talebi Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik ve 5411 sayılı Bankacılık Kanunu’nun “Sırların Saklanması” başlıklı 73’üncü maddesi gereğince reddetmiştir. • Kurul kararında 5411 sayılı Bankacılık Kanunu ve ilgili mevzuatta yer verilen “sır saklama yükümlülüğü ”nün, yalnızca kanuni düzenlemelerin öngördüğü hukuka uygunluk hâlleri dışında, müşteri ile ilgili ticari bağlantı nedeniyle elde edilmiş olan bilgi ve olaylar hakkında üçüncü kişilere bilgi verilmemesini kapsadığı, bu kapsamda 6698 sayılı Kanun madde 11 uyarınca ilgili kişilerin kişisel verileri üzerinde erişim hakkı uyarınca tarafların görüşme sırasındaki doğrudan ifadelerini içeren söz konusu dökümün, ilgili kişi dışında başkalarının kişisel verileri varsa bunların çıkarılması/maskelenmesi gibi önlemler alınarak İlgili Kişiye gönderilmesi gerektiğini belirtmiştir. Karardan çıkarılan notlar: • Bankacılık sektörüne özgü özellikle bilgi paylaşımı süreçlerine ilişkin birçok özel kanun ve yönetmelik bulunmaktadır. Bankalar kişisel veri işleme faaliyetleri yürütürken söz konusu özel düzenlemeleri her zaman göz önünde bulundurmalıdır. • Banka çalışanlarının başta Bankacılık Kanunu ve ilgili mevzuat uyarınca sır saklama yükümlülükleri olsa da bu düzenlemeler 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nda düzenlenen ilgili kişi hakları ile birlikte değerlendirilmelidir. • İlgili kişilerin, müşteri hizmetleri ile yapılan görüşmede alınan ses kaydının dökümünün taraflarına iletilmesi talebi, KKKK 11 uyarınca erişim ve bilgi talep etme hakkı kapsamındadır. Bankacılık Kanunu ve ilgili mevzuatta düzenlenen istisnalar kapsamına girmiyorsa; ilgili kişinin bankadan ses kaydı gibi ilgili kişi dışında üçüncü kişilere de ait kişisel verilerini içeren kayıt ya da dokümanlara erişmek istemesi veya bir kopyasını talep etmesi durumunda söz konusu kayıt ya da dokümandan üçüncü kişilere ait kişisel verileri içeren kısımlar çıkarılarak ya da maskelenerek ilgili kişinin talebi yerine getirilmelidir.
  • 5. www.Jurcom.nl Karar Tarihi : 20/07/2023 Karar No : 2023/1234 Konu Özeti : Bir araç kiralama şirketi tarafından ilgili kişiden Findeks Raporu talep edilmesi suretiyle kişisel verilerinin işlenmesi • Karara konu olayda ilgili kişi, kullanıcılara çevrimiçi otobüs, uçak, kiralık araç ve konaklayacak yer arama hizmetleri sunan; otobüs, feribot ve uçak firmalarının seyahat biletlerini kullanıcılara yönelik satışa açan bir Plaform’un internet sitesinden araç kiralamış ve ilgili aracı teslim almak için şirketin yetkili acentesine gittiğinde acente çalışanları tarafından ilgili kişiden ayrıca findeks raporu talep edilmiştir. İlgili kişinin findeks raporunu iletmemesi sonrasında firma prosedürlerini kabul etmediği gerekçesiyle araç teslimi yapılmamıştır. • Kurul kararında, Platform’un araç kiralama hizmeti vermediğini yalnızca rezervasyon taleplerini aldığını, dolayısıyla Platform’un veri sorumlusu sıfatıyla sorumluluğunun yalnızca bilet listeleme, sefer görüntüleme, bilet satış araç kiralama, araç listeleme otel listeleme, otel rezervasyonu yapma vb. hizmetler bakımından olduğu, bu sebeple somut olayda platform’un veri sorumlusu olmadığını • Platform üzerinden araç kiralama hizmeti sunan şirketlerin Kanun madde 3 (ı) uyarınca kişisel verilerin işleme amaçlarını ve vasıtalarını belirleme, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan tüzel kişi” olma şartının sağlanması sebebiyle veri sorumlusu olduğu • Araç kiralama hizmeti bakımından findeks raporunun talep edilmesinin veri minimizasyonu ve dürüstlük kuralı ilkelerine uygun olmadığı bu sebeple ancak açık rıza ile talep edilip işlenebileceği değerlendirilmiştir. • Somut olayda ilgili kişinin açık rıza vermemesi sebebiyle rezervasyonun iptal edilmesinden sunulan hizmetin açık rıza şartına bağlandığının anlaşıldığı bu sebeple Kanun madde 12 (1)’in ihlal edildiğinden hareketle araç kiralama şirketi olan veri sorumlusuna 100.000 TL idari para cezası uygulanmasına karar verilmiştir. Karardan çıkarılan notlar: • Tedarikçi, ortam sağlayıcı ya da aracı hizmet sağlayıcı gibi üçüncü kişilerle yürütülen iş süreçlerinde KVKK kapsamında hangi tarafın hangi noktada veri sorumlusu sıfatına haiz olduğu hususu önem taşımaktadır. Bir şirket, bir iş sürecinin belirli bölümleri bakımından veri sorumlusu sıfatına haiz olabilirken diğer kısımları açısından veri sorumlusu olarak değerlendirilmeyebilir. • Otel, otobüs ya da uçak bilet satımı ve araç kiralama gibi hizmetlerin alımı için rezervasyon hizmeti sunan platformlar, listeleme ve rezervasyon yapma gibi işlemler bakımından veri sorumlusu olarak sorumluyken ödeme işlemlerinin yapılması aracın teslim edilmesi gibi araç
  • 6. www.Jurcom.nl kiralama sürecinin yürümesi bakımından söz konusu platform üzerinden araç kiralama hizmeti sunan şirket veri sorumlusu olarak sorumlu olmaktadır. • Araç kiralama hizmet sunan şirketler kiralama sürecinde veri minimizasyonu ve dürüstlük kuralına aykırı aşan ve açık rıza gerektiren bilgi taleplerinde Kanun’a uygun bir şekilde açık rıza almaları, sunulan hizmeti açık rızasının verilmesi şartına bağlamaması gerekmektedir.
  • 7. www.Jurcom.nl Karar Tarihi : 07/09/2023 Karar No : 2023/1548 Konu Özeti : İlgili kişinin açık rızası alınmadan ses kaydının alınması, paylaşılması ve mahkeme dosyasına sunulması • Karara konu olayda yüklenici firma çalışanı olan ilgili kişi görevi gereği sayaç okuma, açma, kesme ve sahada yaşanan olumsuzlukları rapor etme görevlerini yerine getirmektedir. Yaşanan olayda müşteri/kullanıcı ilgili kişi görevini yerine getirirken yarattığı usulsüzlüğün suç teşkil ettiğini düşünerek ses kaydı almış ve bunu veri sorumlusu yüklenici firmanın en üst yönetici pozisyonundaki yetkiliye iletmiştir. Veri sorumlusu bu ses kaydına dayanarak ilgili kişinin sözleşmesini feshetmiş ve suç teşkil ettiği gerekçesiyle gerekli idari ve teknik tedbirleri alarak ses kaydını şifreli bir bicinde muhafaza etmiş ve şifreli disk halinde mahkeme dosyasına sunmuştur. • İlgili kişi her ne kadar açık rızası olmadan ses kaydı alındığı ve mahkemeye iletildiğini iddia etse de Kurul yaptığı değerlendirmede Yargıtay kararlarına atıf yaparak başka türlü delil ile tespit etme imkânı yok iken ses kaydı alınmasının veya kaybolma ihtimali bulunan kanıtların kaybolmalarının engellenmesi amacıyla ses kaydı alınmasının özel hayatın gizliliğini ihlal suçu oluşturmayacağını, veri sorumlusunun kendisine iletilen ses kaydını Kanun madde 5 (2) (e) uyarınca hakkın korunması kapsamında işlendiği, ayrıca ses kaydının iş sözleşmesinin feshinden sonra ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmasının iş kanunundan doğan yükümlülük olduğu bu sebeple ses kaydının silinmesi veya yok edilmesi hakkını ileri sürebilmek için hukuken bir olanak olmadığı, ses kaydının gerekli teknik ve idari önlemleri alarak saklandığı ve mahkemeye aktarıldığını ve bu sebeple veri sorumlusu hakkında bir işlem yapmaya gerek olmadığına karar vermiştir. Karadan çıkarılan notlar: • İlgili mevzuatta ve mahkeme kararlarında öngörülen kriterlere uygun olmak şartıyla ve başka türlü delil ile tespit etme imkânı yok iken ses veya görüntü kaydı alınmasının veya kaybolma ihtimali bulunan kanıtların kaybolmalarının engellenmesi amacıyla ses kaydı alınmasının özel hayatın gizliliğini ihlal suçunu oluşturmaz ve bu kayıtların veri sorumlunsun meşru menfaati ve hakkın korunması kapsamında gerekli teknik ve idari önlemleri almak şartıyla mahkeme ve resmî kurumlara aktarılması mümkündür. • Asıl işveren ile alt işveren yani yüklenici firma çalışanı bakımından alt işveren ve asıl iş veren müteselsil sorumludur. Bu ilişkide asıl işveren, alt işverenin işçilerine karşı o işyeri ile ilgili olarak bu Kanundan, iş sözleşmesinden veya alt işverenin taraf olduğu toplu iş sözleşmesinden doğan yükümlülüklerinden alt işveren ile birlikte sorumludur.
  • 8. www.Jurcom.nl Karar Tarihi : 28/09/2023 Karar No : 2023/1653 Konu Özeti : Veri sorumlusuna ait mağazada ilgili kişilere reklam amaçlı SMS gönderilmesi amacıyla kişisel verilerin işlenmesi • Karara konu olayda ilgili kişi, veri sorumlusuna ait mağazada gerçekleştirdiği alışveriş sonrası kasa işlemleri sırasında kendisine veri sorumlusu çalışanı tarafından sesli bir şekilde metin okunarak aydınlatma yapılmış ve çeşitli kanallarla (QR kod internet sitesi linki gibi) ilgili kişi aydınlatma metnine aktarılmış müşteri kayıt olmak isterse cep telefonundan İZİN AD SOYAD yazarak ilgili numarama SMS göndermesi gerektiği iletmiş ve ilgili kişi de bu işlemi gerçekleştirmiş, daha sonra da rızasını geri aldığınına ilişkin bir bildirimde bulunmuş ve bu aşamadan sonra veri sorumlusu tarafından ilgili kişiye SMS gönderimi yapılmamıştır. • Kurul kararında, ilgili kişinin kendisine aydınlatma yapılmadığı ve açık rızasının alınmadığı iddialarının aksine somut olay kapsamında, ilgili kişinin açık rızasını vermek için kendi icrai hareketleri ile veri sorumlusuna kısa mesaj gönderdiği, gönderdiği kısa mesaja binaen kendisine gönderilen kısa mesajda yer alan kodu ise kasa görevlisine okuduğu, kendisine gönderilen kısa mesajın içeriğinde hangi kişisel verilerinin hangi amaçlarla işlendiğine dair detaylı bilgilendirmenin yapıldığı anlaşılır olan bir aydınlatma metnine ulaşılmasını sağlayan bir link yer aldığı, olayda ilgili kişinin açık rızasına dayanılarak kişisel veri işleme faaliyetinin gerçekleştirildiğini; ilgili kişinin açık rızasını geri alması üzerine ise veri işleme faaliyetine son verildiği ve tüm bu sebeplerle de şikayete ilişkin olarak Kanun kapsamında yapılacak bir işlem bulunmadığına karar vermiştir. • Kurul ayrıca müşteriden alınan açık rızanın zedelenmemesi için hediye kartı temin etmek adına söz konusu açık rıza alınması işlemenin alışverişin bir parçası olarak görünmemesi gerektiği ve sürecin bu şekilde açık rıza verme şartına bağlı olduğu izlenimi yaratmayacak şekilde revize edilmesi gerektiği ve aydınlatma ve açık rıza onay kodunun aynı kısa mesaj içerisinde bulunmaması konusunda veri sorumlusunun talimatlandırılmasına karar vermiştir. Karardan çıkarılan notlar: • Kasa işlemleri sırasında yürütülen hediye kart temin etme ve ETK onayı talep etme gibi veri işleme faaliyetlerine ilişkin olarak kasada ilgili kişinin rahatlıkla ulaşabileceği şekilde aydınlatma metni farklı kanallarla sunulmalıdır (QR kod, bilgilendirme föyü ya da internet sitesi linki). Ayrıca aktarmalı aydınlatma kapsamında kasa çalışanı tarafından: “Kişisel verilerinizin; ürün/hizmetlerimizin sizler için özelleştirilmesi, alışveriş tercihlerinizin analizi, kolay iade, değişim avantajlarından faydalanmanız, indirim, kampanya, promosyon, koleksiyon tanıtımlarından haberdar olmanız ve anketlerimiz ile yapacağımız telefon görüşmelerine katılarak görüşlerinizi bizlerle paylaşmanız amacıyla işlenmesini, bu kapsamda hizmet alınan üçüncü taraflarla paylaşılmasını ve sizlere bu amaçlarla elektronik ticari ileti gönderilmesini ister misiniz?” şeklinde bir bilgilendirme yapılarak veri işleme amacına ilişkin olarak ilgili kişiye hatırlatma yapılmalıdır.
  • 9. www.Jurcom.nl • Söz konusu farklı amaçlara ilişkin veri işleme faaliyetleri alışveriş hizmetinin bir parçasıymış gibi bir izlenim yaratmayacak şekilde kurgulanmalı ve bunun içinde şeffaf ve anlaşılır bir dille ilgili kişinin ETK onayı veya hediye kart temin etme gibi faaliyetlere açık rıza göstermeden de işlemine devam edebileceği konusunda bilgilendirilmesi gerekmektedir. • SMS yoluyla yürütülen süreçlerde aydınlatma metni ve açık rıza onayı ayrı ayrı SMS gönderilerek yerine getirilmelidir.
  • 10. www.Jurcom.nl Karar Tarihi : 11/04/2023 Karar No : 2023/570 Konu Özeti : İlgili kişinin kripto varlık hizmet sağlayıcısı nezdinde bulunan üyeliğinin seviyesinin artırılması için gereğinden fazla kişisel veri talep edilmesi • Bir kripto varlık hizmet sağlayıcısı şirket, kullanıcılardan kimliklerinin ön ve arka yüzünün fotoğrafını talep etmektedir. • Veri sorumlusunun mevzuattan kaynaklanan bir kimlik teyit yükümlülüğü bulunduğu için kullanıcıların kimlik fotoğraflarını KVKK m. 5/2 a bendi çerçevesinde “kanunlarda açıkça öngörülmesi” hukuki işleme şartına dayanılarak talep etmektedir. • Bu sebeple veri sorumlusu hakkında yapılacak bir işlem bulunmadığına karar verilmiştir. Karardan çıkarılması gereken notlar: • Müşterilerin kimlik fotoğrafının talep edildiği bir uygulamaya başlanmadan önce, kimlik fotoğrafı talebinin ilgili mevzuatta açık bir dayanağının olup olmadığı tespit edilmelidir. • Ayrıca, ilgili mevzuat uyarınca kimlik doğrulamasının zorunlu olup olmadığı kontrol edilmeli, zorunlu değilse alternatif uygulamalara gidilmelidir. • Kampanya süreçleri kapsamında öğrenci kimliğimi, esnaf kimliği vb. olaya özgü kimliği tespit edici belgelerin istendiği uygulamalarda temkinli davranılmalı; var ise talebin mevzuattaki açık dayanak tespit edilmeli veya alternatif doğrulama mekanizmaları değerlendirilmelidir. Örneğin, öğrenciler için “.edu” uzantılı okul e-posta adresleri üzerinden teyit işleminin gerçekleştirilmesi.
  • 11. www.Jurcom.nl Karar Tarihi : 15/06/2023 Karar No : 2023/1041 Konu Özeti : Veri sorumlusunun internet sitesinde aydınlatma yükümlülüğünü usulüne uygun olarak yerine getirmemesi ve sunduğu hizmeti açık rıza şartına bağlaması • İnternet üzerinden tıbbi cihaz satışı yapan bir şirketin aydınlatma ve gizlilik metinlerine ilişkin alanlar işaretlenmeden satışın veya üyelik işlemlerinin gerçekleştirilemediği, müşterilerin sağlık verilerinin ticari ve pazarlama amaçlı kullanıldığı, satış işleminin gerçekleştirilebilmesi için verilerin yurtdışına aktarımının zorunlu tutulduğu iddia edilmektedir. • Kararda, gizlilik ve aydınlatma metninin işaretlenmeksizin satışın gerçekleştirilmemesinin veri sorumlusunun aydınlatma yükümlülüğünü yerine getirmesi için benimsenen bir uygulama olması sebebiyle KVKK’ya aykırılık bulunmadığı; tıbbi cihaz alımı faaliyeti ile müşterilerin sağlık verilerinin işlendiği sonucuna varılamayacağı, pazarlama amacıyla işlenen verilerde ise açık rızanın usulüne uygun olarak alındığı için yine Kanun’a aykırılık bulunmadığı hususlarına yer verilmiştir. • Bununla birlikte, kişisel verilerin yurt dışına aktarımının satışın ön şartı olarak sunulması bakımından yurt dışına aktarıma açık rıza vermeyen müşteriler için alternatif bir satış kanalının mevcut olduğu, ancak bu satış kanalının müşteriler tarafından bulunmasının neredeyse imkânsız olduğuna karar verilmiş; şirket, söz konusu satış kanalının açık ve anlaşılır olarak müşterilere sunulması hususunda talimatlandırılmıştır. Karardan çıkarılması gereken notlar: • Aydınlatma metinlerine ilişkin olarak sunulan kutucukların onaylatılmadan satın alma vb. işlemlere devam edilmemesinde KVKK bakımından herhangi bir sakınca bulunmamaktadır. Aksine, söz konusu uygulama ile müşterilerin aydınlatma metnini okuyarak bilgilendirilmesi amaçlandığı için şirketlerin aydınlatma yükümlülüklerini yerine getirmelerini ispatlayabilmeleri için doğru bir uygulamadır. • Sağlık cihazları satışları ile ilgili olarak söz konusu cihazları satın alan kişilerin belirli hastalıklara sahip olduğu kanısına varılamayacağından müşterilerin sağlık verisinin işlendiğinden bahsedilemez. Bu sebeple sağlık cihazı satışlarına özgü olarak ek bir açık rıza alınması gereksinimi bulunmamaktadır. • Kişisel verilerin pazarlama ve ticari amaçlarla işlendiği senaryoda mutlaka müşterilerden sürece yönelik açık rıza alınmalıdır. Ayrıca, pazarlama ve ticari amaçlı ileti gönderimi söz konusuysa ticari elektronik ileti gönderimiyle ilgili olarak müşterilere ayrı bir aydınlatma metni sunulmalı ve ileti gönderimiyle ilgili olarak izin alınmalıdır. • Kişisel verilerin pazarlama ve ticari amaçla işlenmesi için alınan açık rızalar, hizmetin ön şartı olarak sunulmamalıdır; yani müşteriler pazarlama ve ticari amaçla kişisel
  • 12. www.Jurcom.nl veri işlenmesine açık rıza vermediği senaryoda da satın alım, üyelik vb. işlemlere devam etme imkanlarının bulunması gerekmektedir. • Yurt dışına aktarım için açık rızanın da yine hizmetin sunulması için zorunlu tutulmaması gerekmektedir. Yurt dışına aktarım şirketin satış vb. faaliyetlerini sürdürebilmesi için gerekli olsa dahi müşterilerin kişisel verilerini yurt dışına aktarmayı reddetmesi durumunda kullanabilecekleri alternatif uygulamalar bulunmalıdır.
  • 13. www.Jurcom.nl Karar Tarihi : 03/08/2023 Karar No : 2023/1321 Konu Özeti : İlgili kişinin e-posta verilerinin, önceden ortağı olduğu veri sorumlusu Şirket tarafından işlenmeye devam edilmesi • İşten ayrılan bir çalışanın eski işindeki e-posta adresinin hala aktif olduğunu ve veri sorumlusu olarak eski işvereninin söz konusu adrese iletilen e-postaları okuması suretiyle kişisel verilerinin işlenmeye devam edildiği iddia edilmektedir. • E-posta verileri kişisel veri olarak nitelendirildiği için eski çalışana ait e-posta adresinin kapatılmaması, bu adrese e-posta gönderiminin devam etmesi ve iletilen e- postaların eski işveren tarafından görüntülenmesi suretiyle KVKK’ya aykırı olarak veri işlendiği değerlendiriliyor. • Bu sebeple veri sorumlusuna 50.000 TL idari para cezası uygulanmasına karar veriliyor. Ayrıca veri sorumlusu işten ayrılan çalışanların verilerinin işlenmesine devam edilmemesini sağlayacak bir sistem oluşturulması ve şikâyete konu e-postalara ilişkin verilerin imhası yönünde talimatlandırılıyor. Karardan çıkarılması gereken notlar: • Eski çalışanlara ait e-posta adresleri ve bu e-posta adreslerine gönderilen iletiler, kişisel veri niteliğinde olabilmektedir. Bu sebeple, çalışanların işten ayrılmasını takiben en kısa sürede eski çalışanlara ait e-posta adresleri kapatılmalı ve buna ilişkin yazılı bir prosedür belirlenmelidir. • Eski çalışanların şirket uzantılı e-posta adreslerini kullanmalarına izin verilmemelidir. • Ayrıca, eski çalışanın e-posta adresinin kapatılmasına kadar geçen sürede önlem olarak söz konusu adreslere gelen iletiler işveren tarafından okunmamalı ve cevaplanmamalıdır.
  • 14. www.Jurcom.nl Karar Tarihi : 03/08/2023 Karar No : 2023/1327 Konu Özeti : İlgili kişinin kişisel verilerinin konakladığı otel çalışanı tarafından üçüncü kişilerle paylaşılması hakkında • Otelde konaklayan bir müşteri tarafından konaklamasına ilişkin bilgilerin yer aldığı bir belgenin otel çalışanı tarafından sosyal medyada paylaşıldığı, ayrıca veri sorumlusu olan otel tarafından müşterilere gerekli aydınlatmanın yapılmadığı iddia ediliyor • Müşterilerin bilgilerinin yer aldığı bu belge Housekeeping Task Sheet olarak geçiyor ve kat görevlilerinin bakım ve temizlik hizmetlerine ilişkin bir belge. İlgili belgede odalarda konaklayan kişilerin ad ve soyadları yer alıyor. • Bu belgede müşterilere ait ad ve soyad bilgilerinin yer alması ölçüsüz bir veri işleme faaliyeti olarak değerlendiriliyor. Ayrıca söz konusu belgenin üçüncü kişilerin eline geçmesi sebebiyle Kanun’un 12’nci maddesi uyarınca kişisel verilere hukuka aykırı olarak erişilmesini önlemek ile kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünün sağlanamadığı tespit ediliyor. Bu sebeple veri sorumlusu otele 500.000 TL idari para cezası uygulanmasın karar veriliyor. • Otel, ayrıca Housekeeping Task Sheet’in müşterilere yönelik bilgileri içermeyecek şekilde düzenlenmesi hususunda talimatlandırılıyor. • Aydınlatma yükümlülüğü ile ilgili olarak ise konaklama belgesi ekinde sunulan metin ile web sayfasında bulunan metindeki farklılıkların giderilmesi, ayrıca konaklama belgesi ile birlikte reklam ve pazarlama amaçlı olarak müşterilerin iletişim bilgilerinin işlenmesinin kabulün zorunlu tutulması uygulamasının kaldırılarak açık rıza ve aydınlatma süreçlerinin Kanun’a uygun olarak düzenlenmesi hususunda talimatlandırılıyor. Karardan çıkarılması gereken notlar: • Müşterilerin kişisel verileri işlenirken sınırlı ve ölçülü davranmaya dikkat edilmeli, örneğin kararda olduğu gibi otelde konaklayan müşterilerin ad ve soyad bilgilerinin kat personeli tarafından tutulması gibi bir uygulamaya gidilmemelidir. Kişisel verilerin işlenmesindeki amacın kişisel verilerin korunması hakkı karşısında korunmaya değer bir menfaat taşıyıp taşımadığı kontrol edilmelidir. • Şirket çalışanlarının müşterilerin verilerine yetkisiz olarak erişimi ve üçüncü kişilerle paylaşımını engellemek adına şirket içinde gerekli her türlü idari ve teknik tedbir alınmalı ve bu tedbirlere ilişkin politika ve prosedürler hazırlanmalıdır. Ayrıca, çalışanlara kişisel verilerin korunması hakkında farkındalık için periyodik eğitimlerde bulunulmalıdır. • Pazarlama ve ticari amaçlı açık rıza onayları, hizmete ilişkin sözleşme vb. diğer belgelerin içinde yer almamalı; bu tip onaylar hizmetin ifası için zorunlu olan dokümanlardan ayrıştırılmalıdır. Aksi halde açık rızanın özgür olarak verildiği kabul edilemez.