EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

"Veri İşleme" etiketli kararlar

2023/1548

07/09/2023

Konu: İlgili kişinin açık rızası alınmadan ses kaydının alınması, paylaşılması ve mahkeme dosyasına sunulması hakkında inceleme.

Kararı Paylaşın

Karar Özeti:

“Veri sorumlusu ve yüklenici firma arasında akdedilen hizmet alım sözleşmesi, eklerinde bulunan teknik şartname, tedarikçilere ve yüklenicilere yönelik çalışma ilkeleri taahhütnamesi, gizlilik sözleşmesi ve KVK taahhüdü gibi belgeler çerçevesinde bir asıl işveren-alt işveren ilişkisi kurulmuştur. İş Kanunu’nun 2. maddesinin (6) numaralı fıkrasına göre, asıl işveren-alt işveren ilişkisi, işletmenin gereği ve teknolojik nedenlerle uzmanlık gerektiren işlerde iş alan ve bu iş için görevlendirdiği işçileri sadece o işyerinde çalıştıran işveren ile iş aldığı işveren arasında kurulan bir ilişkidir. Bu ilişkide asıl işveren, alt işverenin işçilerine karşı o işyeri ile ilgili olarak doğan yükümlülüklerinden sorumludur. İş Kanunu’na uygun olarak kurulan bu ilişkiden doğan yükümlülüklerde asıl işveren ve alt işveren açısından müteselsil sorumluluk esası benimsenmiştir. Veri sorumlusu ile yüklenici firma arasında da asıl işveren-alt işveren ilişkisi bulunduğundan, hizmetlerin hukuka uygun olarak yerine getirilmesinde sözleşme ve eklerinden kaynaklanan sorumluluklar mevcuttur. İlgili kişi, sayaç okuma, açma, kesme ve sahada yaşanan usulsüzlükleri rapor etme görevi ile yüklenici firma bünyesinde çalışan bir işçidir. Ancak İş Kanunu’nun 25. maddesinin (2) numaralı fıkrasının (e) bendi uyarınca “”İşçinin, işverenin güvenini kötüye kullanmak, hırsızlık yapmak, işverenin meslek sırlarını ortaya atmak gibi doğruluk ve bağlılığa uymayan davranışlarda bulunması”” nedeniyle iş sözleşmesi feshedilmiştir. Feshin hukuka uygunluğu yargı merciine intikal eden bir konudur ve bu süreçte feshe gerekçe kılınan ses kaydının işveren tarafından muhafaza edilmesi ile mahkeme dosyasına sunulması hususları değerlendirilmelidir. İlgili kişiye ait ses kaydı, uyuşmazlık konusunun gerçekleşip gerçekleşmediği hakkında bir delil niteliği taşımaktadır. Hukuk Muhakemeleri Kanunu’nun 190. maddesi, ispat yükünün iddia edilen vakıaya bağlanan hukuki sonuçtan kendi lehine hak çıkaran tarafa ait olduğunu belirtmektedir. Ancak, hukuka aykırı olarak elde edilen delillerin dikkate alınamayacağı HMK’nun 189. maddesi ile belirtilmiştir. İzinsiz ses kaydının, belirli durumlarda Türk Ceza Kanunu’na aykırı olmadığı ve hukuka uygun delil niteliği taşıdığı Yargıtay içtihatları tarafından kabul edilmiştir. İşverenin iş sözleşmesini haklı nedenle feshetmesini ispat etme imkânı olmadığı durumlarda veya kaybolma ihtimali bulunan kanıtların korunması amacıyla alınan ses kaydı, hukuka uygun delil olarak kabul edilebilmektedir. Veri sorumlusu tarafından Kurum kayıtlarına intikal eden cevabi yazıda, ses kaydının herhangi bir personel ile paylaşılmadığı, şifreli diske aktarılarak ve gerekli idari ve teknik tedbirler alınarak güvensiz ortamdan silinmesinin sağlandığı ve yasal saklama süresi ile sınırlı, şifreli bir biçimde muhafaza edildiği belirtilmiştir. İlgili kişinin ses kaydının erişim yetkisi olmayan işçiler tarafından dinlendiğine dair iddialar ise dosya içerisinde tevsik edilememiştir.

Sonuç olarak, iş sözleşmesinin feshine neden olan ses kaydı, Kanun’un 8. maddesinin (2) numaralı fıkrasının atfı ile Kanun’un 5. maddesinin (2) numaralı fıkrasının (e) bendinde yer alan “”Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması”” hükümleri doğrultusunda Kanuna uygun bir şekilde mahkeme dosyasına sunulmuştur. İlgili kişinin ses kaydının erişim yetkisi olmayan işçiler tarafından dinlendiğine ilişkin iddialar ise dosya kapsamında tevsik edilememiştir. Bu nedenle, veri sorumlusu hakkında herhangi bir işlem yapılmasına gerek bulunmamaktadır.”

Ceza: Herhangi bir işlem yapılmamıştır.

İlgili GDPR kararlarını görmek ister misin?

2023/1461

24/08/2023

Konu: Bir eğitim kurumu tarafından kamera vasıtası ile görüntü ve ses kaydı alınması neticesinde Kurul’ca inceleme.

Kararı Paylaşın

Karar Özeti:

“Veri sorumlusu, muhatap cevap yazısında, okulun genel kullanımına açık alanlarda Millî Eğitim Bakanlığı Özel Öğretim Kurumları Yönetmeliği hükümleri uyarınca görüntü ve ses kaydı alındığını belirtmiştir. Ancak, ilgili mevzuat incelendiğinde, görüntü kaydı alınabilecek yerlerin sınırlı olduğu ve belirli bazı yerlere kamera yerleştirilmesinin yasaklandığı tespit edilmiştir. Bu yasaklamaların sadece görüntü kaydına yönelik olduğu ve ses kaydını meşru kılan özel bir hüküm olmadığı ifade edilmiştir. Metinde, kameralar aracılığıyla alınan görüntü kaydının her durumda meşru bir gereklilik oluşturmadığı vurgulanmıştır. Görüntü kaydının alınmasını gerektiren sebebin, kişilerin temel hak ve özgürlükleri ile çatışması durumunda üstün tutulan bir menfaate işaret etmesi gerektiği belirtilmiştir. Ayrıca, ses kaydının alınmasıyla ilgili olarak da, kişisel verinin işlenmesi açısından meşru bir menfaatin olup olmadığı, çatışan menfaatlerin varlığı ve meşru menfaatin dahi ölçülü olup olmadığının değerlendirilmesi gerektiği ifade edilmiştir. Veri sorumlusunun bir eğitim kurumu olarak faaliyet gösterdiği ve öğrencilerinin okul öncesi, ilk ve orta öğretim öğrencileri olduğu belirtilmiş, güvenlik ve iş sağlığı güvenliği amaçlarının bir arada düşünüldüğünde kamera aracılığıyla görüntü kaydının meşru, ölçülü ve amaçları gerçekleştirmeye elverişli bir işleme faaliyeti olduğu savunulmuştur. Ancak, bu durumda ses kaydının alınmasına gerek olmadığı ve ses kaydının fazladan veri işlemesiyle ilgili olarak özel hayatın gizliliği ve kişisel verilerin korunması haklarına zarar verebileceği ifade edilmiştir. Kişisel Verileri Koruma Kurulu’nun 2019/78 sayılı Kararı referans alınarak, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hali değerlendirilmiştir. Bu bağlamda, kamera ile görüntü kaydı alınmasının güvenlik amacıyla uygun olduğu ancak ses kaydının aynı gerekçeyle uygun olmadığı belirtilmiştir. Ses kaydının, ilgili kişilerin makul beklentilerinin ötesinde olduğu ve genel olarak güvenlik gerekçesiyle kamera kaydının yapıldığı koşullarda aşırı bir müdahale olduğu vurgulanmıştır.

Sonuç olarak, veri sorumlusunun ses kaydı alma uygulamasının Kanun’a uygun olmadığı ve bu nedenle hukuka aykırı olduğu sonucuna varılmıştır. Bu doğrultuda, ses kaydı alınmasında herhangi bir meşru sebep bulunmaması, aydınlatma yükümlülüğünün yerine getirilmemesi ve Kanun’un hükümlerine aykırı davranılması nedeniyle toplamda 230.000 TL idari para cezası uygulanmasına karar verilmiştir. Ayrıca, ilgili kişilerin veri sorumlusuna başvurularına erişememesi ve sorularının yanıtlanmaması nedeniyle veri sorumlusuna talimatlandırma yapılmıştır. İlgili kişilerin başvurularının etkin, hukuka uygun ve süresi içinde sonuçlandırılması için veri sorumlusuna hatırlatma yapılmıştır.”

Ceza: Kanun’un 12. maddesinin birinci fıkrasına aykırı davranış nedeniyle 200.000 TL idari para cezası ile Kanun’un 10. maddesine aykırılık nedeniyle 30.000 TL idari para cezası uygulanmış ve toplam ceza miktarı 230.000 TL’ye ulaşmıştır.

İlgili GDPR kararlarını görmek ister misin?

2023/1356

10/08/2023

Konu: Bir işveren tarafından işe iade davasına ilgili kişinin mescitte ibadet etme görüntülerinin ibraz edilmesi, dini inancına ilişkin bir veri işleme husunun mevcut olması ve hukuka aykırı şekilde rızaya zorlanması hakkında Kurul’ca inceleme.

Kararı Paylaşın

Karar Özeti:

“Kurul tarafından incelenen olayda, şikayet konusu olan veri işleme faaliyetinin, açık rıza alınsa dahi Kanun’un genel ilkelerine uygun olmadığı sonucuna varılmıştır. Özellikle, çalışanların mahremiyet beklentilerini zedeleyen bir şekilde veri işleme faaliyetinin gerçekleştirilmesi, açık rıza alınsa bile işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırıdır. Ayrıca, söz konusu veri işleme faaliyetinin özel nitelikli kişisel verileri içerdiği ve bu verilerin işlenmesi için gerekli olan koşulların oluşmadığı belirtilmiştir. İlgili kişinin açık rızasını özgür irade ile vermediği, işten çıkarılma korkusu ile geriye dönük olarak kişisel verilerin işlenmesiyle ilgili diğer belgeleri imzalamak zorunda bırakıldığı tespit edilmiştir.
Sonuç olarak, veri sorumlusunun yürüttüğü kişisel veri işleme faaliyetinin Kanun’a aykırılık teşkil ettiği ve bu nedenle idari para cezası uygulanması gerektiği kararlaştırılmıştır. Ayrıca, şikayet konusu veri işleme faaliyetinin derhal durdurulması ve sonucun Kurula bildirilmesi, hukuka aykırı işlenen kişisel verilerin imha edilmesi de talep edilmiştir.”

Ceza: Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca veri sorumlusu hakkında 300.000 TL idari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

2023/924

01/06/2023

Konu: Otopark işletmecisi veri sorumlusu tarafından ilgili kişinin kişisel verilerinin hukuka aykırı işlenmesi ve aydınlatma yükümlülüğünün yerine getirilmemesi hususunda inceleme.

Kararı Paylaşın

Karar Özeti:

“Otopark işletmecisi, araç sahiplerinden tahsil edilmesi gereken park borçlarına ilişkin olarak açtığı itirazın iptali davasında, ilgili kişinin kimlik bilgilerine ulaşabilmek amacıyla veri işleme faaliyeti gerçekleştirmiştir. Ancak, bu işlem Kanun’un 5. maddesi ikinci fıkrasının (e) bendi kapsamında değildir, çünkü araç sahibinin kimliğini ispat etmek için gereken deliller mahkemeye sunulabilmektedir. Ayrıca, bu süreçte kullanılan çevrimiçi borç sorgulama hizmetinde çift faktörlü doğrulama yapılmamıştır, bu da Kişisel Veri Güvenliği Rehberi’ne aykırıdır. Öte yandan, veri sorumlusu, aydınlatma yükümlülüğünü yerine getirmemiş ve Kanun’un 18. maddesi uyarınca 75.000 TL idari para cezasına çarptırılmıştır. Bu nedenle, veri sorumlusuna Kanun ve Tebliğ’e uygun bir Aydınlatma Metni hazırlama ve sonucunu Kurula bildirme talimatı verilmiştir.

Sonuç olarak, ilgili kişinin araç plakası üzerinden yapılan kimlik sorgulama ve veri işleme faaliyetleri, Kanun’a uygun olmadığı için işlem yapılmamıştır. Ayrıca, çevrimiçi ödeme sisteminde çift faktörlü doğrulama sağlanması veya bu mümkün değilse veri işleme faaliyetine son verilmesi gerekmektedir. Bu işlemlerin sonuçlarının Kurula bildirileceği karara bağlanmıştır. “

Ceza: Kanunun 18’inci maddesinin birinci fıkrasının (a) bendi uyarınca 75.000 TL idari para cezası uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/471

23/06/2020

Konu: Ülkemizde temsilciliği bulunan bir yabancı bankanın, verdiği hizmetler kapsamında kişisel verilerin işlenmesi bakımından 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca veri sorumlusu statüsünü taşıyıp taşımayacağı ve Sicile kayıt yükümlülüğü hakkında.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından Kurul’a yapılan görüş talebi sonucunda, veri sorumlusu bankanın sağladığı finansman hizmetleri kapsamında Türkiye’de mukim kişilerin kişisel verilerini işlediği, bu kapsamda bankanın temsilciliğinin ülkemizde gerçekleştirdiği faaliyetler ile bankanın bankacılık faaliyetleri çerçevesinde gerçekleştirdiği kişisel veri işleme faaliyetlerinin ayrı tutulamayacağı belirtilerek, bankanın temsilciği vasıtasıyla Türkiye’de sürekli mevcudiyeti bulunduğu belirtilerek kişisel veri işleme faaliyetleri açısından KVKK’nın uygulama alanı bulacağı ve bankanın veri sorumlusu sıfatını haiz olduğu belirtilmiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/166

27/02/2020

Konu: İlgili kişinin kullanımına izin vermediği kredi kartı bilgilerinin veri sorumlusu araç kiralama şirketi tarafından kullanılması.

Kararı Paylaşın

Karar Özeti:

Kurul’a iletilen şikayette, ilgili kişi tarafından kullanımına izin vermediği kredi kartı bilgilerinin veri sorumlusu araç kiralama şirketi tarafından kullanıldığı belirtilmiştir, Kurul tarafından ilgili kişinin kredi kartı bilgilerinin veri sorumlusu tarafından haksız şart niteliğindeki sözleşme hükmüne dayanarak, sistemde saklanarak,kişinin makul beklentisine ve çıkarına aykırı olumsuz bir durum oluşturarak haklı bir gerekçe olmaksızın kullanıldığı belirtilerek kişisel veri işleme faaliyetinin KVKK’nın 5’inci maddesinde yer alan veri işleme şartlarından herhangi birine dayanmadığı ve KVKK’nın 4’üncü maddesine aykırılık teşkil etmesi sebebiyle KVKK madde 12 uyarınca gerekli teknik ve idari tedbirlerin alınmaması sebebiyle idari para cezası uygulanmasına karar verilmiştir.

Ceza: 75.000 TL idari para cezası uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2019/206

08/07/2019

Konu: Veri sorumlusunun, web sitesinde kişisel verilerin işlenmesini hizmet şartı olarak talep ettiği ve aydınlatma yükümlülüğünü usulüne uygun yerine getirmediği iddiaları hakkında.

Kararı Paylaşın

Karar Özeti:

Kurulun yapmış olduğu inceleme sonucunda; İlgili web sitesinde kişisel verilerin işlenmesini hizmet şartı olarak talep edildiği iddiası üzerine söz konusu web sitesinin, üye olanlara farklı illerde değişik satıcılardan avantajlı ürün satın alınması amacını taşıdığı ve bu bağlamda bir ürün ve hizmetten yararlanmanın değil indirimden faydalanmanın ön şartı olarak açık rızaya dayandırıldığı tespit edilmiş, KVKK kapsamında tesis edilecek bir işlem bulunmadığına karar verilmiştir. Ancak sitenin KVKK ve Gizlilik politikasında topladığı verilerin hangi hukuki sebebe dayandırıldığı açık bir şekilde belirtilmemiş olup “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun düzenlenmediği, bu kapsamda söz konusu metnin Tebliğde yer verilen hükümler dikkate alınarak güncellenmesi, ayrıca aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiği yönünde talimatlandırılmasına karar verilmiştir.

Ceza: Şirketin talimatlandırılmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2019/162

31/05/2019

Konu: İlgili kişi kendisine bir firma tarafından reklam içerikli SMS gelmesi üzerine buna dair açık rızasının bulunmadığı gerekçesiyle firmaya başvurur ancak süresinde cevap alamaz. Bunun üzerine Kurum’a başvurur ve verilerine ilişkin bilgi talep eder.

Kararı Paylaşın

Karar Özeti:

Kurul cep telefonu numarasına reklam içerikli SMS gönderilmesini bir veri işleme faaliyeti olarak nitelendirdi. Ancak buna herhangi bir hukuki dayanak olmadığını saptadı. Bu kapsamda firmanın kişisel verilerin hukuka uygun işlenmesi için gerekli güvenlik düzeyini temin etmek için gerekli idari ve teknik tedbirleri almadığı ve ilgili kişinin talebine cevap vermediği gerekçeleriyle idari para cezası uyguladı.

Ceza: 50.000 TL idari para cezası kesilmiştir.

İlgili GDPR kararlarını görmek ister misin?

Türkçe dilinde GDPR karar özetlerini görmek ister misin?