Kişisel Verileri Koruma Kurumu (KVKK) arama motorlarında kişilerin ad ve soyadlarıyla aranması sonrasında çıkan sonuçların indekslenmeyecek şekilde teknik düzenleme yapılmasıyla ilgili kararını duyurdu. Kurum’un kararına göre, arama sonuçlarından isim ve soyadının çıkartılmasını isteyen vatandaşlar önce arama motorunun sahibi olan şirkete başvuruda bulunacak. Bireyin talebinin cevapsız kalması veya olumsuz olması durumunda KVKK’ya şikayette bulunabileceği belirtildi. Karara göre vatandaşlar kuruma başvuruyla beraber aynı zamanda doğrudan yargı yoluna da başvurulacak.
Kamuoyunda ‘unutulma hakkı’ olarak bilinen hak, AB ülkeleri ile Google arasında süren bir hukuki süreç sonucunda AB vatandaşlarına verilmişti. Google’da bireye ‘unutulma hakkı’ verilmesi geçmişte yaşanan olayların objektif olarak yazılmasının önüne geçeceği için bazı tarihçiler tarafından sakıncalı bulunuyor.
Kararda arama motoru sonuçlarından çıkmak isteyen vatandaşların taleplerinin değerlendirilmesinde kamu yararı ile temel hak ve özgürlükler arasındaki dengenin gözetileceğinin altı çizildi.
“İlgili kişinin arama motorları üzerinden kendi adı ve soyadı ile yapacağı bir arama sonucunda gösterilen sonuçların indeksten çıkarılmasına yönelik yapılacak değerlendirmede, ilgili kişinin temel hak ve özgürlükleri ile kamunun söz konusu bilgiyi edinmesinden sağlayacağı menfaatler arasında bir denge testi yapılmasına, yarışan menfaatlerden hangisinin ağır bastığının gözetilmesine ve bu değerlendirme yapılırken öncelikli olarak aşağıda belirtilen linkte yer verilen açıklamaların dikkate alınmasına ancak bu konudaki şikâyetlerin değerlendirme sürecinde dikkate alınacak kriterlerin bunlarla sınırlı olmayacağına, her somut olay özelinde Kurulca ilave ölçütlerin de gündeme gelebileceğine…”
“İDARİ BİR KURUM YARGI YETKİSİ VEREMEZ”
Kurum’un verdiği karara hukukçular arasında eleştiri geldi. Önde gelen bilişim hukukçusu Gökhan Ahi Twitter’da yaptığı yorumda KVKK’nın idari bir kurum olduğuna işaret ederek mahkemenin yetki alanına girdiğini savundu:
“Kurum, bir taraftan iyi bir rehber hazırlarken (geliştirilebilir), diğer tarafta mahkemelerin görev alanına girmeye çalışıyor. Haklar yarışırsa ne olacak, özgürlükler çatışırsa nasıl çözülecek sorularına cevabı, idari bir kurum veremez, yargı yetkisini kullanan mahkemeler verir.”
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Kişisel Verileri Koruma Kurumu veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorunluluğu bulunan kişisel verileri işleyen gerçek ve tüzel kişilerin sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için verilen süreyi bir kez daha uzattı.
KVKK web sitesinde yayınlanan duyuruya göre, sektör temsilcilerinden gelen koronavirüs sürecine ilişkin talepler değerlendirilerek böyle bir karar alındığı belirtildi.
Kararda “Tüm dünyada olduğu gibi ülkemizde de etkisini gösteren Covid-19 virüs salgını nedeniyle bazı işyerlerinin fiziksel olarak kapalı olduğu veya uzaktan / dönüşümlü çalışma modeli uygulandığı, bu nedenle veri sorumlularınca kişisel veri işleme envanteri hazırlama çalışmalarının yapılamadığı ve Veri Sorumluları Siciline (Sicil) kayıt yükümlülüğünün süresinde yerine getirilemediği” gerekçe gösterilerek,
Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 30.09.2020 tarihine,
Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.03.2021 tarihine,
Kamu kurum ve kuruluşu veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.03.2021 tarihine kadar uzatıldı.
Geçtiğimiz yılın Aralık ayında KVKK yayınladığı 2019/387 sayılı kurul kararı özeti ile veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorunluluğu bulunan kişisel verileri işleyen gerçek ve tüzel kişilerin sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için verilen süreyi bir kez daha uzatmıştı.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Kişisel Verileri Koruma Kurulu 2 Nisan Perşembe günü yeni yayınladığı karar özetlerini kamuoyu ile paylaştı. 11 karar özeti içerisinde tüketicilere rızası dışında SMS göndermeden, veri sorumlusunun kişisel verileri reklam amaçlı sosyal medyada paylaşmasına kadar bir çok şikayet karara bağlandı.
Kurulun kararlarını inceleyerek her birinden sizler için kişisel verilerinizi daha sıkı bir şekilde koruma altına almanızı sağlayacak kuralları derledik.
1. Çalıştığım şirketin sahibi Whatsapp yazışmalarımı izinsiz şekilde elde ederse ne yapacağım?
Kurulun yayınladığı ilk karar özeti Whatsapp yazışmaları patronu tarafından okunan bir çalışana ait. Buna göre, bir şirket sahibi şirketindeki çalışanlardan birinin üye olduğu bir Whatsapp grubundaki yazışmalarını işyerindeki bilgisayarından okumuş, fotoğraflarını çekmiş ve ekran görüntülerini almış. Çalışan durumu kişisel verilerin korunması kapsamında değerlendirerek kurula şikayette bulunmuş. Fakat Kurulun 16 Mayıs 2019’da verdiği karara göre, bu şikayetin Türk Ceza Kanunun ilgili hükümleri kapsamında değerlendirilmesi gerekiyor.
2. Bir pazar yeri web sitesinin ana sayfasına geçiş için kişisel verilerimi istemesi KVKK ihlali midir?
Kurulun yayınladığı bir diğer karar özetinde, bir internet kullanıcısı bir web sitesine giriş yapmak istiyor ancak web sitesinin ana sayfasına geçiş için e-posta adresi girilmesi isteniyor. Kullanıcı da bu durumun Kişisel Verileri Koruma Kanuna aykırı olduğunu değerlendirerek durumu şikayet ediyor.
Kurul geçtiğimiz yıl temmuz ayında verdiği karardan incelemeye konu web sitesinin bir pazar yeri sitesi olduğu anlaşılıyor. Diğer bir deyişle, site bünyesinde kullanıcılara sunulan çeşitli alanlardaki mal ve hizmetlerin doğrudan tedarikçisi/sağlayıcısı değil. Farklı illerde, farklı sektörlerde ve farklı hizmet sağlayıcıları tarafından sunulan çeşitli hizmetleri indirimli fiyatlar üzerinden üyeler tarafından satın alınmasını sağlayan bir aracı firma görevini üstleniyor.
Bu yüzden Kurul sitenin “bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının açık rıza şartına dayandırılmasından ziyade Site bünyesinde sunulan indirimli fiyatların ve avantajların yalnızca üye olanlara sunulmasının söz konusu olduğu” için şikayetin Kişisel Verileri Koruma Kanunu kapsamında olmadığını değerlendirmiştir.
3. Vefat eden kişinin eşi ölünün kişisel verilerini talep edebilir mi?
Kurulun 18 Eylül günü verdiği karar ölmüş bir kişinin tedavi gördüğü sağlık kuruluşundaki medikal verileri ile ilgili. Karara göre bir kişi vefat eden eşinin tedavi gördüğü klinikten tüm medikal ve diğer bilgilerini talep ediyor. Fakat klinik kişinin bu talebini cevapsız bırakyor.
Kurul talep edilen kişisel verilerin talep eden gerçek kişiye ilişkin olmaması ve ölmüş kişiye ait olması sebebiyle talebin, Kanunun 11. maddesi kapsamında bir talep olarak değerlendirilmeyeceğine karar verdi.
4. Kanun çıkmadan önce verdiğiniz SMS gönderme izni hala geçerli olabilir
Kurula gelen bir şikayette, ilgili kişinin numarasına reklam içerikli SMS gönderildiği ve bundan rahatsızlık duyduğunu belirterek veri sorumlusuna başvurduğu, başvurunun yazılı olarak cevap verildiği fakat bu cevabı ilgili kişinin yetersiz bulduğu belirtiliyor.
Kurul verdiği kararda, şikayette bulunan kişinin 2012’de firmayı arayarak motosikleti için İngilizce kullanım kılavuzu talep ettiği ve bu talebiyle beraber şahsıyla e-posta, SMS ve telefon ile iletişime geçilmesine izin verdiğine dikkat çekildi. Ayrıca müşterinin 2013 yılında motosikleti için firmadan yedek parça ve servis hizmeti satın alması da dosyaya bilgi olarak eklendi. Kararda “bahsi geçen satın alma işleminin Kanunun yürürlüğe girmesinden önce gerçekleştiği anlaşıldığından şikayete ilişkin 6698 sayılı Kanun kapsamında yapılacak herhangi bir işlem bulunmadığına karar verilmiştir.” ifadesi yer aldı.
5. İsim ve soyad benzerliğinden dolayı bana ait olmayan bir fatura e-posta ile bana geldi ne yapmalıyım?
E-posta kutunuzu açtınız ve size ait olmayan bir faturanın şahsınıza gönderildiğini fark ettiniz. Fakat o da ne? İsim ve soyad sizinkine çok benzer. Hemen hizmet aldığınız veri sorumlusu olan telekomünikasyon şirketine durumu bildirdiniz ancak bir cevap alamadınız.
Böyle bir durumla karşılaşan bir kullanıcının şikayeti üzerine, Kurul verdiği kararda aynı e-posta adresinin farklı kişiler tarafından alınmasının teknik olarak mümkün olmadığı ve bir yazım yanlışı yapıldığı ihtimali üzerinde durarak “bir müşterinin abonelik kaydı oluşturulurken sistemde kayıtlı bulunan bir e-posta adresi yazıldığında bu e-postanın hali hazırda kayıtlı bir müşteri için var olduğu uyarısının kayıt yapılan sistem tarafından verilmemesi dolayısıyla veri sorumlusunun veri güvenliğine ilişkin gerekli teknik tedbirleri almadığı … kanaatine varıldığı” için veri sorumlusuna 50 bin TL ceza kesmiştir.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
