Ülkemizde kişisel verilerin korunması kanunu yürürlük tarihinden itibaren birçok değişiklikle karşılaşmıştır. Bunun en büyük sebebi teknolojiyle ayrılmaz bir bağı olan kişisel verilerin işlenmesi ve paylaşılması hızının gün geçtikçe artmasıdır. Kişisel Verilerin Korunması Kanunu bir çerçeve olmakla birlikte düzenlediği hükümlere ilişkin oldukça fazla ikincil mevzuata başvurulmaktadır. Kişisel Verileri Koruma Kurulu uygulamalarıyla yönetmelik ve tebliğlerin yanı sıra ilgililerinin faydalanabileceği rehberlere de yer verilmektedir. Ancak veri dünyasının hızına yetişebilmek adına en önemli kaynak Kurul İlke Kararları ve idari yaptırımlara yönelik Karar Özetleri olmuştur. Mevzuat bu kararlar doğrultusunda fazlasıyla şekillenmiştir. 

Kişisel Verileri Koruma kurumu tarafından 24.04.2023 tarihinde birçok yeni kurul kararı yayınlanmıştır. Bu kararlardan birini inceleyecek olursak;

Veri sorumlusu bünyesinde çalışan bir kişinin iş akdinin sonlandırılması hususunun veri sorumlusuna ait sosyal medya hesabında paylaşılması” hakkında Kişisel Verileri Koruma Kurulunun 21/04/2022 tarihli ve 2022/386 sayılı Karar Özeti

Karar Tarihi : 21/04/2022
Karar No : 2022/386
Konu Özeti : Veri sorumlusu bünyesinde çalışan bir kişinin iş akdinin sonlandırılması hususunun veri sorumlusuna ait sosyal medya hesabında paylaşılması

İlgili kişi tarafından Kuruma iletilen şikâyet dilekçesinde özetle; veri sorumlusu bünyesinde şirket müdürü olarak çalışmakta iken iş akdinin haksız şekilde sonlandırıldığı ve veri sorumlusuna ait sosyal medya hesabında “... Yaptığı usulsüzlükler nedeni ile işten ATILAN …..’ın sizlere vermiş olduğu rahatsızlıktan dolayı özür dileriz...” içerikli bir paylaşım yapıldığı, söz konusu paylaşımın silinmesi, durdurulması ve düzeltme metni yayınlanması için 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) gereği veri sorumlusuna ihtarda bulunduğu ancak tarafına cevap verilmediği, herhangi bir mahkeme kararı ve rızası olmadan yapılan bu duyurudan şikayetçi olduğu belirtilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması talep edilmiş olup alınan cevabi yazıda özetle;

  • İlgili kişinin işten ayrıldıktan sonra taraflarını zarara uğratmak için çeşitli faaliyetlerde ve tarafları hakkında birtakım haksız şikayetlerde bulunduğu; Kuruma iletilen şikâyetin de bu amacı taşıdığı,
  • İlgili kişi ile aralarında çeşitli hukuki süreçlerin devam ettiği; İş Mahkemesinde davalarının olduğu ayrıca ilgili kişi hakkında dolandırıcılık, resmî belgede sahtecilik, şirket bilgisi dışında şirket adına para çekmek ve kendi adına usulsüz ödeme yaptırmak ile verilen yetkiyi kötüye kullanmak suçlamaları ile soruşturmaların bulunduğu,
  • İlgili kişinin, şirketlerinin ticari itibarlarını zedelemeye yönelik faaliyetlerinin olduğu, şirketin sahte kaşesini yaptırarak taraflarına haciz işlemi uygulatmaya çalıştığı konularında İcra Mahkemesinde davalarının olduğu ve şirket lehine sonuçlandığı,
  • Sosyal paylaşım sitesindeki duyurunun ilgili kişinin şirketin bütün müşterilerine  göndermiş olduğu “Kıymetli Musterimiz; Firmamız Mali Olarak Kapanmistir. …. eski yerimize yakin farkli isimle hizmet veren firmayla BAGIMIZ YOKTUR (…..Bey)” şeklindeki gerçek olmayan beyanlar içeren SMS bildirimine karşı doğru ve gerçek durumu açıklamak amacıyla ve ilgili kişinin kendisi veya aile bireyleri için şirket adına müşterilerinden ödeme talep etmesinden dolayı müşterilerinin mağdur olmasını engellemeye yönelik bilgilendirme maksadı ile yapıldığı, 
  • İlgili kişi tarafından yapılan ve gerçeği yansıtmayan açıklamaya karşılık yapılan düzeltme mahiyetindeki söz konusu duyuru haricinde herhangi bir veri girişi yapılmadığı, depolanmadığı, ilgili kişinin müşteriler tarafından tanınmasından dolayı benzer bir durum yaşanmaması için ilgili kişinin sadece adının verildiği,
  • İlgili kişinin ihtarnamesine aralarında devam eden dava ve soruşturmalar bulunması nedeni ile cevap verilmediği, 
  • Ayrıca ilgili kişi tarafından gönderilen ve gerçeği yansıtmayan mesajlara karşılık bir tedbir olarak sosyal paylaşım sitesinde yayınlanan yazının şikayetçi ile aralarındaki davaların devam etmesi nedeniyle ve herhangi bir zamanda benzer bir durum ile karşı karşıya kalınması halinde doğru bilginin öğrenilmesi adına silinmediği
  • Duyurunun Kişisel Verilerin Korunması Kanunu’na aykırılık teşkil etmediği, Kanun’un “Genel ilkeler” başlıklı 4’üncü maddesinde kişisel verilerin hukuka ve dürüstlük kurallarına uygun şekilde, doğru ve gerektiğinde güncel kalma şartı ile açıklanabildiği, ceza hukukunda düzenlenen meşru savunma kurumunun da taraflarına bu hakkı verdiği, meşru savunmanın kişinin kendisine veya bir başkasına yönelmiş haksız bir saldırıya karşı o anki durum ve imkanlar çerçevesinde saldırı ile orantılı bir şekilde işlenen bir fiil olduğu

ifade edilmiştir.

Vestel Ticaret A.Ş.' den KVKK' ya Veri İhlal Bildirimi Vestel Ticaret A.Ş.' den KVKK' ya Veri İhlal Bildirimi

Konuya ilişkin olarak yapılan incelemede Kişisel Verileri Koruma Kurulunun 21/04/2022 tarihli ve 2022/386 sayılı Kararı ile;

  • Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (a)  bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi”  olarak tanımlandığı,
  • Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükmünün yer aldığı,
  • Hukuka uygun bir kişisel veri işleme faaliyetinin gerçekleştirilebilmesi için kişisel verilerin öncelikle Kanun’un 5’inci maddesindeki şartlardan birine dayanılarak işlenmesi gerekmekte olup, geçerli bir hukuki sebebi olan kişisel veri işleme faaliyetleri bakımından ise her hal ve şartta Kanun’un 4’üncü maddesinde sayılan temel ilkelere uygunluğun sağlanmasının veri sorumlusunun başlıca yükümlülükleri arasında olduğu,
  • Somut olayda, ilgili kişinin açık ad ve soyadı ile ilgili kişi hakkındaki ithamları da içeren duyurunun sadece şirket müşterilerinin değil herkesin erişimine açık şekilde şirketin sosyal medyada yer alan kurumsal hesabında/sayfasında yayınlandığı, bu çerçevede, veri sorumlusunun sosyal medyadaki kurumsal hesabı/sayfasının sadece şirketin müşterilerine özel bir ortam olmadığı, herkese açık bir platform olduğu dikkate alındığında söz konusu eylemin Kanun’un 4’üncü maddesindeki ölçülülük ilkesine aykırılık teşkil ettiği ve ilgili kişinin kişisel verilerinin işlenmesine ilişkin Kanun’un 5’inci maddesi kapsamındaki bir işleme şartına dayanıldığına dair Kuruma somut herhangi bir bilgi, belge sunulmadığı

değerlendirmelerinden hareketle;

  • İlgili kişinin kişisel verilerinin Kanun’un 5’inci maddesinde yer alan herhangi bir işleme şartına dayanmaksızın veri sorumlusuna ait sosyal medya hesabında paylaşılmak suretiyle işlendiği kanaatine varıldığından, Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer verilen yükümlülüklerini yerine getirmediği değerlendirilen veri sorumlusu hakkında, şikayete konu olayda ilgili kişi hakkındaki duyurunun veri sorumlusu tarafından Kanun’un 4’üncü maddesine aykırı olarak herkese açık bir şekilde yapıldığı, veri işleme ile gerçekleştirilmesi istenen amaç arasında makul bir denge bulunmadığı, Kanun kapsamındaki bir işleme şartına dayanıldığına dair Kuruma somut herhangi bir bilgi, belge sunulmadığı hususları ile veri sorumlusunun ekonomik durumu dikkate alınarak, Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 30.000 TL idari para cezası uygulanmasına,
  • İlgili sosyal medya paylaşımında yer verilen kişisel verilerin imha edilerek sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına 

karar verilmiştir.

Sonuç olarak; Kişisel Verileri Koruma Kurumu, İlgili kişinin kişisel verilerinin Kanun’un 5’inci maddesinde yer alan herhangi bir işleme şartına dayanmaksızın veri sorumlusuna ait sosyal medya hesabında paylaşılmak suretiyle işlendiği kanaatine varılması" gerekçesiyle veri sorumlusuna  30.000 TL idari para cezası vermiştir. 

Editör: Elif Kosedag