KİŞİSEL VERİLERİN KORUNMASINA YÖNELİK AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMEMESİ KABAHATİ
Kişisel Verileri Koruma Kanunun 18. maddesinde, aydınlatma yükümlülüğünü yerine getirmeyenlere 5.000 Türk lirasından 100.000 Türk lirasına kadar, veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenlere 15.000 Türk lirasından 1.000.000 Türk lirasına kadar, kurul tarafından verilen kararları yerine getirmeyenlere 25.000 Türk lirasından 1.000.000 Türk lirasına kadar, Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenlere 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası uygulanacağı düzenlenmiştir. İdari para cezaları her yıl yeniden değerleme oranı dikkate alınarak artırılmaktadır. Örneğin 5000 Tl para cezasının miktarı 2024 yılı için % 58,46 yeniden değerleme oranı dikkate alınarak 47.303 Tl olarak belirlenmiştir. İdari para cezaları veri sorumlusu gerçek ve tüzel kişilere uygulanacaktır. Bahse konu kabahatin veri sorumlusu kamu tüzel kişiliği tarafından işlenmesi halinde ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılacak ve sonuç KVK Kuruluna bildirilecektir.
KVK Kanunun 10. maddesinde “Veri sorumlusunun aydınlatma yükümlülüğü” başlığı altında kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişinin , ilgili kişilere, veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile ilgili kişinin hakları konusunda bilgi vermekle yükümlü olduğu düzenlenmiştir. Aydınlatma Yükümlülüğüne ilişkin KVK Kurumu tarafından KVK Kanununun 22. Maddesince kurula verilen düzenleyici işlem yapmak yetkisini kullanarak 10 Mart 2018 tarihinde Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul Ve Esaslar Hakkında Tebliğ yayınlanmıştır. Tebliğin 5. maddesinde aydınlatma yükümlülüğü sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortam kullanılmak suretiyle yerine getirilebileceği belirtilmiştir. Aynı madde kapsamında kişisel verilerin işlendiği her durumda aydınlatma yükümlülüğü yerine getirilmesi gerektiği, kişisel veri işleme amacı değiştiğinde, veri işleme faaliyetinden önce bu amaç için aydınlatma yükümlülüğünün ayrıca tekrar yerine getirilmesi gerektiği, sicile kayıt yükümlülüğünün bulunması durumunda, aydınlatma yükümlülüğü çerçevesinde ilgili kişiye verilecek bilgilerin, sicile açıklanan bilgilerle uyumlu olması gerektiği, aydınlatma yükümlülüğünün yerine getirilmesi için ilgili kişinin talebine ihtiyaç olmadığı, aydınlatma yükümlülüğünün yerine getirildiğinin ispat yükünün veri sorumlusunda olduğu, işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiği, yükümlülüğü yerine getirilirken, genel nitelikte ve muğlak ifadelere yer verilmemesi, anlaşılır, açık ve sade bir dil kullanılması gerektiği, aydınlatma yükümlülüğünün yerine getirilmesi esnasında hukuki sebebin açıkça belirtilmesi gerektiği, kişisel verilerin aktarılması gerçekleşecek ise aktarılma amacı ve aktarılacak alıcı grupların belirtilmesi gerektiği, aydınlatma yükümlülüğü yerine getirilirken eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmemesi gerektiği açıkça düzenlenmiştir.
KVK Kanunun 5. maddesinde kişisel verilerin işlenebilmesi için ilgili kişinin açık rızasının alınması gerektiği hususu düzenlenmiştir. Bu genel kuralın istisnası ise aynı madde de sıralanmıştır. İlgili kişinin açık rızası alınmadan önce, ilgili kişi kanunun 10. maddesinde düzenlenen konularda aydınlatılacak ve sonrasında rızası alınacaktır. Bahse konu aydınlatmanın nasıl yapılacağı hususunda ise Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul Ve Esaslar Hakkında Tebliğ çıkarılmıştır. KVK Kanunun 28. Maddesinin 1. fıkrasında Kişisel Verilerin Korunması Kanunu kapsamı dışında kalan haller sayılmış ve aynı maddenin 2. fıkrasında ise aydınlatma yükümlülüğü, ilgili kişinin hakları ve veri sorumluları sicili konularında kanunun uygulanmayacağı haller diğer bir ifade ile kanun kapsamı dışında kalan istisnai haller düzenlenmiştir. KVK Kanununun 28/1 fıkrasında gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında kişisel verilerin işlenmesi işlenmesi, kişisel verilerin resmi istatistik ile anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi, kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi, kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi, kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi hallerinde KVK Kanununun uygulanmayacağı açıkça belirtilmiştir. Kanunun 28/2. fıkrasında ise kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması, ilgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi, kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması, kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması hallerinde yapılan işleme faaliyetlerinde veri sorumlusunun aydınlatma yükümlülüğü mevcut değildir.
Amazon Turkey Perakende Hizmetleri Limited Şirketi hakkındaki başvuru ile ilgili Kişisel Verileri Koruma Kurulunun 27/02/2020 Tarihli ve 2020/173 Sayılı Kararında “Veri sorumlusunca web sitesinde yayımlanan “Gizlilik Bildirimi”nin, birçok bilgi içermesi, veri işlemeye ilişkin genel bir bilgilendirme olması nedeniyle kişisel verilerin işlenmesine ilişkin ilgili kişilere aydınlatma yapıldığı anlamına gelmediği göz önünde bulundurulduğunda ihbar edilen web sitesine girişle birlikte çerezler vasıtasıyla kişisel verilerin işlenmeye başlamasına karşın, çerezler, üyelik girişi gibi veri işlemenin başladığı hiçbir aşamada aydınlatma yükümlülüğünün, Kanunun 10’uncu maddesinde ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğde düzenlenen usul ve esaslara uygun olarak yerine getirilmediği kanaati oluştuğundan Kanunun 10’uncu maddesinde düzenlenen Aydınlatma Yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kanunun 18’inci maddesinin (1) numaralı fıkrasının (a) bendi uyarınca 100.000 TL idari para cezası uygulanmasına,”[1] karara verilmiştir.
Veri sorumlusunun, web sitesinde kişisel verilerin işlenmesini hizmet şartı olarak talep ettiği ve aydınlatma yükümlülüğünü usulüne uygun yerine getirmediği iddiaları hakkında Kişisel Verileri Koruma Kurulunun 08/07/2019 tarih ve 2019/206 sayılı Kararında “bahse konu web adresi üzerinden erişim sağlanan “GİZLİLİK ve KVK Politikamız” başlıklı metnin, “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ”e uygun düzenlenmediği, bu kapsamda söz konusu metnin Tebliğde yer verilen hükümler dikkate alınmak suretiyle güncellenmesi, ayrıca aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiği yönünde Şirketin talimatlandırılmasına” [2] karar verilmiştir.
Ulaşım hizmeti sunan bir mobil uygulama kapsamında işlenen kişisel veriler hakkında Kişisel Verileri Koruma Kurulunun 27/01/2020 tarih ve 2020/65 sayılı Kararında “veri sorumlusunun sözü geçen kişisel veri işleme faaliyetine ilişkin olarak ilgili kişi ile hiçbir bilgi paylaşmadığı, ……… veri sorumlusun aydınlatma metninde ve kullanım koşullarına ilişkin metinde belirtilen amaçların müşterilerin puanlanmasına dayanan kişisel veri işleme faaliyetinin asıl amacının ne olduğunu açıklayamadığı, bu kapsamda, söz konusu uygulamanın yüklenmesi akabinde üye olunması esnasında ilgili kişilere bir aydınlatma gerçekleştirilmediği ve ilgili kişinin yolculuklarının şoförler tarafından değerlendirilerek çıkarılacak bir puanlamaya dayalı veri işleme faaliyetine, internet sitesinde yer alan veri sorumlusunun aydınlatma metni yerine geçen “Kişisel Verilerin Korunması Hakkında Bilgilendirme” dokümanında ve Kullanım Koşulları başlıklı belgede yer verilmemesi sebebiyle, Kanunun 10 uncu maddesinde yer alan “Veri Sorumlusunun Aydınlatma Yükümlülüğü”nü yerine getirmemiş olduğu kanaatine varılmasından ötürü Kanunun 18 inci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında veri sorumlusu hakkında 10.000 TL idari para cezası uygulanmasına,”[3] karar verilmiştir.
Ulaşım hizmeti sunan bir mobil uygulama kapsamında işlenen kişisel veriler hakkında Kişisel Verileri Koruma Kurulunun 27/01/2020 tarih ve 2020/65 sayılı Kararında “veri sorumlusunun sözü geçen kişisel veri işleme faaliyetine ilişkin olarak ilgili kişi ile hiçbir bilgi paylaşmadığı, ……… veri sorumlusun aydınlatma metninde ve kullanım koşullarına ilişkin metinde belirtilen amaçların müşterilerin puanlanmasına dayanan kişisel veri işleme faaliyetinin asıl amacının ne olduğunu açıklayamadığı, bu kapsamda, söz konusu uygulamanın yüklenmesi akabinde üye olunması esnasında ilgili kişilere bir aydınlatma gerçekleştirilmediği ve ilgili kişinin yolculuklarının şoförler tarafından değerlendirilerek çıkarılacak bir puanlamaya dayalı veri işleme faaliyetine, internet sitesinde yer alan veri sorumlusunun aydınlatma metni yerine geçen “Kişisel Verilerin Korunması Hakkında Bilgilendirme” dokümanında ve Kullanım Koşulları başlıklı belgede yer verilmemesi sebebiyle, Kanunun 10 uncu maddesinde yer alan “Veri Sorumlusunun Aydınlatma Yükümlülüğü”nü yerine getirmemiş olduğu kanaatine varılmasından ötürü Kanunun 18 inci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında veri sorumlusu hakkında 10.000 TL idari para cezası uygulanmasına,” karar verilmiştir.
Av.Yalçın TORUN
[1] https://kvkk.gov.tr/Icerik/6739/2020-173
[2]Kişisel Verileri Koruma Kurulunun 08/07/2019 tarih ve 2019/206 sayılı Kararında :İhbara konu web adresi üzerinden erişim sağlanan “GİZLİLİK ve KVK Politikamız” başlıklı metin, söz konusu mevzuat düzenlemeleri çerçevesinde incelendiğinde; Web sitesinin ilgili kişiler hakkında işlediği ad, soyadı, doğum tarihi, cep telefonu numarası, e-posta, cinsiyet, adres, sosyal medya hesaplarıyla bağlanılması durumunda üyenin o kanallar aracılığıyla paylaşılmasına onay verdiği bilgilerin, üyenin tüm alışveriş bilgilerinin, yani hangi üye işyeri, alışveriş noktası ve zamanı, ne kadar ödeme yaptığı, hangi kampanyadan faydalandığı, aldığı indirim tutarı, alışverişindeki ürün bilgileri, uygulama üzerindeki gezinme ve tıklama bilgilerinin, uygulamayı açtığı lokasyon bilgilerinin, “ilgili mevzuat”tan kaynaklanan yasal yükümlülük çerçevesinde mi yoksa ilgili kişilerin açık rızalarına istinaden mi işlendiğinin ya da söz konusu kişisel verilerin hangilerinin “ilgili mevzuat”tan kaynaklanan yasal yükümlülük çerçevesinde hangilerinin ise ilgili kişilerin açık rızalarına istinaden işlendiğinin açıkça belirtilmemiş olduğu, ilgili kişilerin kişisel verilerin işlenmesinin hukuki sebebi olarak “ilgili mevzuattan kaynaklanan yasal yükümlülük”ten bahsedildikten sonra, aydınlatma metninin devamında, “… söz konusu amaç ve yasal yükümlülüklerini yerine getirebilmeyi sağlayacak kişisel verilerinizi … sizlerden talep etmektedir. Bu kişisel veriler veri sorumlusunun sunmuş olduğu hizmetlerden yararlanabilmeniz adına, açık rızanıza istinaden, … işlenecek ve saklanacaktır.” şeklinde bir bilgilendirmede bulunularak, kişisel veri işleme faaliyetinin asıl olarak ve yalnızca ilgili kişilerin açık rızalarına dayanılarak geçekleştirildiği izlenimine neden olunduğu, oysa kişisel veri işleme faaliyetinin, Kanunda bulunan açık rıza dışındaki şartlardan birine dayanıyorsa, bu durumda ilgili kişiden açık rıza alınmasına gerek bulunmadığı ve veri işleme faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılmasının, aldatıcı ve hakkın kötüye kullanımı niteliğinde olacağı; nitekim ilgili kişi tarafından verilen açık rızanın geri alınması halinde veri sorumlusunun diğer kişisel veri işleme şartlarından birine dayalı olarak veri işleme faaliyetini sürdürmesinin hukuka ve dürüstlük kurallarına aykırı işlem yapılması anlamına geleceği, dikkate alındığında, bahse konu web adresi üzerinden erişim sağlanan “GİZLİLİK ve KVK Politikamız” başlıklı metnin, “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ”e uygun düzenlenmediği, bu kapsamda söz konusu metnin Tebliğde yer verilen hükümler dikkate alınmak suretiyle güncellenmesi, ayrıca aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiği yönünde Şirketin talimatlandırılmasına karar verilmiştir.
[3] https://kvkk.gov.tr/Icerik/6717/2020-65
UYARI
Web sitemizde yayımlanan yukarıdaki yazılı metnin, eser sahipliği hakları Av.Yalçın TORUN’a aittir. Bu yazılı metin hak sahipliğinin tespiti amacıyla zaman içerikli elektronik imza ile muhafaza edilmektedir. Sitemizdeki yazılı metinler avukat meslektaşlarımız tarafından dilekçelerinde serbestçe kullanılabilir, fakat metinlerin tamamının, bir kısmının veya özetinin atıf yapılmaksızın başka web sitelerinde yayınlanmasına iznimiz yoktur.