“İlgili kişinin kişisel verisi niteliğindeki e-posta adresinin bir insan kaynakları firması tarafından reklam ve pazarlama amaçlı e-posta gönderilmesi amacıyla işlenmesi hakkında” Kişisel Verileri Koruma Kurulunun 09/12/2021 tarihli ve 2021/1243 sayılı Karar Özeti
Veri sorumlusu bir insan kaynakları firması tarafından ilgili kişiye ticari tanıtım amaçlı e-postalar iletildiği, ilgili kişinin veri sorumlusu ile daha önceden herhangi bir hukuki işleminin bulunmadığı dolayısıyla kişisel verilerinin nereden ve nasıl temin edildiği hakkında bir bilgiye sahip olmadığı, kişisel verilerinin bu çerçevede işlenmesi yönünde açık rızasının bulunmadığı, veri sorumlusuna bu hususta başvuruda bulunduğu ve kişisel verilerinin silinmesini talep ettiği, ancak kişisel verilerinin nereden temin edildiği ve ne amaçla işlendiği hususlarında tarafına bir bilgi verilmediği ifade edilerek, veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabî yazıda özetle;
İlgili kişiye ait e-posta adresinin veri sorumlusunca yürütülen ekonomik faaliyetler (anket ve tanıtım işleri) kapsamında edinildiği,
Söz konusu e-posta adresinin 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 5’inci maddesinin (d) bendi kapsamında “İlgili kişinin kendisi tarafından alenileştirilmiş olması” şartına dayanarak işlendiği ifade edilmiştir.
Kurulun yaptığı araştırma sonucunda;
İlgili kişinin hangi yöntemle ve hangi platformda veya mecrada e-posta adres bilgisini alenileştirme iradesinde bulunduğuna ilişkin veri sorumlusu tarafından herhangi bir açıklamaya, anket ve tanıtım işleri çerçevesinden nasıl elde edildiğine ilişkin olarak kanıtlayıcı nitelikte herhangi bir belgeye yazı ekinde yer verilmediği,
İlgili kişinin e-posta bilgisinin Kanun’a aykırı olarak işlendiği ve ilgili kişinin veri sorumlusuna başvurusunda, kişisel verilerinin silinmesi talebini de ilettiğinin anlaşıldığı değerlendirmelerinden hareketle;
“Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğüne aykırı davranıldığı anlaşıldığından veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrası uyarınca 50.000 TL idari para cezası uygulanmasına,
İlgili kişinin e-posta adresi bilgisinin Kanun’a aykırı olarak işlendiği ve ilgili kişinin veri sorumlusuna başvurusunda kişisel verilerinin silinmesi talebini de ilettiği anlaşıldığından veri sorumlusunun, ilgili kişinin kişisel verilerini imha ederek imha işlemine ilişkin log kayıtlarının da Kurum’a iletilmesi suretiyle Kurul’a bilgi vermesi yönünde talimatlandırılmasına karar verilmiştir.
Sonuç:
Veri sorumlularının ilgili kişi verilerini alenileştirse bile yöntemle ve hangi platformda veya mecrada e-posta adres bilgisini alenileştirme iradesinde bulunduğuna ilişkin bir açıklama ve nasıl elde edildiğine ilişkin olarak kanıtlayıcı nitelikte herhangi bir belgeye yazı ekinde yer vermesi gerekmektedir.
İdari ve teknik tedbirlerin uygulanması veri sorumlularının KVKK tarafından idari yaptırım cezasına uğramamalarına sebep olmaktadır.
Veri sorumlularının bir diğer yükümlülüğü de kişisel verilerin Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hale getirilmesi gerektiğidir.
İlgili karara benzer diğer kararlar;
“Bir üniversite tarafından verilen eğitimde, eğitim alan kişilerin kişisel verilerini içeren yoklama listesinin diğer katılımcılar tarafından görülebilir şekilde düzenlenmesi hakkında” Kişisel Verileri Koruma Kurulunun 02/12/2021 tarihli ve 2021/1214 sayılı Karar Özeti
İlgili kişinin Bakanlık tarafından eğitim verilmesi için görevlendirilen bir Üniversite Eğitim Merkezinin eğitim programına katıldığı, eğitim süresince kursiyerlerin isimlerinin ve T.C. kimlik numaralarının yer aldığı yoklama listelerinin elden elde dolaştırılarak imzalandığı, ayrıca Üniversite ve Bakanlık tarafından kişisel verilerin işlenmesine dair ilgili kişiye aydınlatma yapılmadığı, konuyla ilgili Bakanlığa ve Üniversiteye ayrı ayrı başvuruda bulunduğu, Bakanlığın başvuruya cevap vermediği, Üniversitenin cevabında ise yoklama listelerinin Bakanlık tarafından hazırlandığı ve imza alınmasının yükümlülükleri olduğunun ifade edildiği belirtilerek veri sorumlusu Bakanlık ve Üniversite hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gerekli idari yaptırımların uygulanması talep edilmiştir.
Kurumun yaptığı inceleme neticesinde;
Bakanlık ve Üniversitenin kişisel veri işleme faaliyeti alanları kapsamında ayrı ayrı veri sorumlusu olarak faaliyette bulunduğu,
Üniversite tarafından ilgili kişinin başvurusuna cevap verildiği, fakat Bakanlık tarafından ilgili kişinin başvurusuna verilen cevabın Kanun’un 13’üncü maddesi uyarınca veri sorumlularına tanınan 30 günlük süre aşıldıktan sonra gerçekleştirildiğinin tespit edildiği,
İlgili kişinin şikâyetinin temel olarak ad, soyad ve T.C. kimlik numarasının bulunduğu devam çizelgesinin ve fatura teslim ve sertifika teslim listelerinin sınıf ortamında elden ele dolaştırılması suretiyle imza alınması nedeniyle T.C. kimlik numarası bilgisinin hukuka aykırı olarak üçüncü kişilerle paylaşıldığı, dolayısıyla kişisel verilerinin güvenliğinin sağlanmadığına ilişkin olduğu,
Şikâyet konusu hakkında veri sorumlularından alınan bilgi ve belgeler ilgili mevzuat kapsamında değerlendirildiğinde, kullanılan devam takip çizelgesinde aynı ad ve soyadı bilgisine sahip kişilerin olması gibi durumlarda karışıklığın önlenmesini teminen, kişilerin ad ve soyadı bilgisinin yanı sıra kişiyi belirleyici kılan başka bir verinin (örneğin T.C. kimlik numarasının) kullanılmasının gerekmesi halinde ilgili verinin maskelenerek kullanılması gerektiği,
Kanun’un 10’uncu maddesine göre; kişisel verilerin elde edilmesi sırasında veri sorumluları veya yetkilendirdiği kişilerce, ilgili kişilerin bilgilendirilmesi gerektiği belirtilmiş ve bu yükümlülük yerine getirilirken veri sorumluları veya yetkilendirdiği kişilerce yapılacak bilgilendirmenin asgari olarak veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve ilgili kişinin Kanunun 11 inci maddesinde sayılan diğer hakları konularını içermesi gerektiğinin ifade edildiği,
Sürekli Eğitim Merkezinde eğitim öncesinde diğer tüm katılımcılar gibi ilgili kişiyle de, sözleşme imzalandığının ifade edildiği, söz konusu sözleşme ile veri sorumlusu tarafından aydınlatma yükümlülüğünün gereği gibi yerine getirilip getirilmediği incelendiğinde; anılan sözleşmede aydınlatma yükümlülüğünün gereği gibi yerine getirilmesini sağlayıcı nitelikteki asgari unsurlar olan; kişisel verilerin hangi amaçla işleneceği, kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve ilgili kişinin diğer haklarına ilişkin bilgilendirmelere yer verilmediği görüldüğünden veri sorumlusu tarafından aydınlatma yükümlülüğünün gereği gibi yerine getirilmediği sonucuna varıldığı,
değerlendirmelerinden hareketle;
Bakanlık tarafından ilgili kişinin başvurusuna 30 günlük süreden sonra yanıt verildiği anlaşıldığından Kanun’un 13’üncü maddesi çerçevesinde yapılan başvurulara yanıt verilirken 30 günlük sürenin gözetilmesi yönünde hatırlatmada bulunulmasına karar verilmiştir.
Sonuç:
Söz konusu karar bütün eğitim ve öğretim kurumlarını ilgilendirmektedir. Özellikle kişisel verilerin alınması noktasında kurumların Aydınlatma Yükümlülüklerini yerine getirmesi büyük önem taşımakta T.C. kimlik numarası gibi verilerin maskelenmesinin gerekliliği kurul kararında tartışılmaktadır.
İlgili kararın tamamına ulaşmak için;
