Kişisel Verileri Koruma Kurulu tarafından 17 Temmuz 2019 tarihinde beş yeni kararın özetleri yayınlandı. Kararların konuları ve özetleri şu şekilde;

• Kurumsal e-posta hizmetinin, Google (gmail) üzerinden yine aynı uzantıya sahip olarak kullanılıp kullanılamayacağına ilişkin başvuru hakkında 31.05.2019 tarihli ve 2019/157 sayılı karar:

Kurul tarafından konuya ilişkin görüş talep edilmesinin ardından Google firmasına ait Gmail e-posta hizmeti altyapısının kullanılması durumunda gönderilen ve alınan e-postaların dünyanın çeşitli yerlerinde bulunan veri merkezlerinde tutulması söz konusu olacağından kişisel verilerin yurt dışına aktarılmış olacağına ve veri sorumlularının söz konusu uygulamayı 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Kişisel verilerin yurt dışına aktarılması” başlıklı 9. maddesi hükümlerine uygun olarak gerçekleştirmesine, server’ları yurt dışında bulunan veri sorumlularından/veri işleyenlerden temin edilen saklama hizmetlerinin de 9. madde hükümlerine uygun olarak gerçekleştirilmesine karar verilmiştir.

• Bir varlık yönetim şirketinin ilgili kişiye aynı konu ile ilgili birden çok mesaj gönderimine ilişkin başvuru hakkında 31.05.2019 tarihli ve 2019/159 sayılı karar: 

6098 sayılı Türk Borçlar Kanunu’nun 186. maddesinde çerçevesinde borçlunun önceki alacaklılara karşı borcunu ifa etmesinin engellenmesi ve şikayetçiye sağlanacak kolaylıklar ile borcun ödenmemesi durumunda şikayetçinin maruz kalabileceği hukuki risklerin bildirilmesi amacıyla işlenmiş olmasının 6698 sayılı Kanunu m. 5/2-e kapsamında şikayetçinin açık rızası olmaksızın gerçekleşebilir olması nedenleriyle veri sorumlusu hakkında yapılacak bir işlem bulunmadığına ancak bu kanun kapsamında kişisel verilerin kullanılmasının da bir veri işleme faaliyeti olduğu; şirket tarafından ilgili kişinin telefon numarasına aynı içerikteki mesajların farklı tarihlerde birden fazla gönderilmesinin veri sorumlusunun sahip olduğu hakkın kötüye kullanılmasını teşkil ettiğinden 6698 sayılı Kanun m. 12/1-a’da yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemeye yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında m. 18/1-b kapsamında 20.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

• Veri sorumlusu bir anonim şirketin ilgili kişinin açık rızası dışı elektronik ticari ileti göndermesine ilişkin başvuru hakkında 31.05.2019 tarihli ve 2019/162 sayılı karar: 

Şikayetçinin kişisel verisi olan cep telefonu numarası bilgisinin şirket tarafından kendisine reklam içerikli mesaj gönderilmesi suretiyle kullanılmasının bir veri işleme faaliyeti olduğu, veri işlemenin ise Kanun’un 5 ve 6. maddelerinde yer alan işleme şartlarında birine dayanması gerektiği ancak şikayet konusu mesaj gönderiminin herhangi bir işleme şartına dayanmadığı değerlendirildiğinden Kanun’un m. 12/1-a bendine aykırı davranmış olması nedeniyle şirket hakkında Kanun’un m. 18/1-b bendi uyarınca 50.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

• Spor salonu hizmeti sunan veri sorumlularının, üyelerinin giriş-çıkış kontrolünü biyometrik veri işleyerek yapması ile ilgili 25.03.2019 tarihli ve 2019/81 sayılı karar ve 31.05.2019 tarihli ve 2019/165 sayılı kararlar: 

Spor kulübünde giriş çıkış kontrolünün yapılabilmesi ve kulüp hizmetlerinden faydalanmak isteyen kişilere ilişkin giriş kontrolünün alternatif yollar ile sağlanması mümkün iken kişilerin biyometrik veri niteliğindeki avuç içi izi verisinin alınmasının verilerin “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi ile bağdaşmadığı, veri sorumlusu tarafından avuç içi izi verisinin işlenmesi için kişilerden açık rızalarının alınması yoluna gidildiği ancak açık rıza verilmemesi durumunda kulüp hizmetlerinden yararlanamadıkları dikkate alındığında üyelerden alınan açık rızanın 6698 sayılı Kanun m. 12/1-a’ya aykırılık teşkil etmesi nedeniyle m. 18/1-b kapsamında idari para cezası uygulanmasına; Kurul’un 21.12.2017 tarih ve 2017/62 sayılı “Banko, Gişe, Masa Gibi Hizmet Alanlarında Kişisel Verilerin Korunması”na ilişkin kararı çerçevesinde üyelere ait kişisel bilgilerin üçüncü kişiler tarafından görülmesini önleyecek gerekli teknik ve idari tedbirleri almadığı kanaatine varılan veri sorumlusu hakkında m 18/1-c bendi kapsamında idari para cezası uygulanmasına; spor kulübünde giriş çıkış kontrolünün ve kulüp içerisindeki güvenliğin temini noktasında kulüp hizmetlerinden faydalanmak isteyen kişilere ilişkin giriş kontrollerinin biyometrik verileri işlemenin haricinde alternatif yollar ile sağlanması, biyometrik veri ile giriş çıkış işlemleri yapılmasının ve biyometrik veri işlemenin ivedilikle durdurulması hususunda veri sorumlularının talimatlandırılmasına; veri sorumluları tarafından bugüne kadar işlenen ve muhafaza edilen el, parmak ve avuç izi ile ilgili verilerin 6698 sayılı Kanun m. 7 ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun olarak ivedilikle yok edilmesi, eğer ilgili özel nitelikli verilerin üçüncü kişilere aktarılması söz konusu ise, yok etmeye yönelik işlemlerin bu verilerin aktarıldığı üçüncü kişilere ivedilikle bildirilmesinin sağlanması hususunda veri sorumlularının talimatlandırılmasına karar verilmiştir.

• İlgili kişiye ait telefon numarasına kendisine ait olmayan içeriğin gönderilmesi ile ilgili 31.05.2019 tarihli ve 2019/166 sayılı karar: 

Bir şirketler grubuna borçlu olduğu belirtilen ve şikayetçinin yeğeni olduğu anlaşılan şahsa ait ad, soyad ve hizmet numarasının şikayetçiye ait hatta gönderilmesi ve şikayetçiye ait telefon numarasının Kanun’da düzenlenen işleme şartlarından herhangi birine dayanmadan işlenmesi şeklindeki tek bir harekete bağlı iki farklı veri işleme faaliyeti sonucunda Kanun m. 12/1-a bendinde öngörülen “kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğünü yerine getirmediği anlaşılan veri sorumlusu avukat hakkında, Kanun m. 18/1-b bendi kapsamında 50.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

Karar özetlerinin tamamına https://kvkk.gov.tr/Icerik/5406/Kurul-Karar-Ozetleri linkinden ulaşılabilir.