05 Eyl, 2022

Ayın GRC Karar Özetleri – Ağustos 2022

“Bir alacak yönetim şirketi tarafından ilgili kişinin borç bilgilerinin üçüncü kişilerle paylaşılması” hakkında Kişisel Verileri Koruma Kurulunun 04/03/2022 tarihli ve 2022/184 sayılı Karar Özeti ¹

İlgili kişinin ilgili kişinin kardeşi ve askeri personel olan eşi adına kayıtlı hatlara veri sorumlusu alacak yönetim şirketinin unvanını taşıyan bir başlık altında SMS gönderildiği, söz konusu SMS ile ilgili kişinin bir telekomünikasyon şirketine olan borcunun süresinin dolacağının ve ödenmemesi halinde icra işlemlerine başlanacağının bildirildiği; ilgili kişinin kişisel verilerinin ifşa edilmesinden ötürü ilgili alacak yönetim şirketinin hukuk bürosuna başvuruda bulunduğu ancak kendisine yazılı bir cevap verilmediği; akabinde ilgili kişinin eşine ait hattın hukuk bürosu çalışanı olduğunu söyleyen bir şahıs tarafından arandığı, konuşma esnasında konuyu hukuk yoluyla değil konuşarak çözelim nedir durum neden dilekçe yazdınız şeklinde hitapta bulunduğu; sonrasında ilgili kişinin eşinin, kişisel verileri istedikleri gibi ifşa edemeyeceklerini, bunun 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) uyarınca suç teşkil ettiğini, kendileri hakkında hukuki olarak gereken her türlü yasal yollara başvuracaklarını bildirdiği; ayrıca ilgili kişiye ait şahsi bilgilerin neden kendi telefonuna gönderilmediğinin sorulduğu ayrıca, istenildiği takdirde UYAP veya MERNİS’ten iletişim bilgilerine ulaşılabileceğinin söylendiği ve ilgili telefon numaralarına nasıl ulaşıldığı yönünde bilgi talep edildiğinde ise dolaylı yollardan bulduk, biz buluruz şeklinde cevap verildiği belirtilmiş; ilgili kişinin rızası olmadan kişisel verilerinin üçüncü kişilerle paylaşıldığı beyan edilerek Kanun kapsamında yapılan şikayette bulunulmuştur. Kanun kapsamında yapılan şikâyetin inceleme çerçevesinde veri sorumlusu alacak yönetim şirketinden savunması istenilmiş olup, istenilen savunma cevabi yazısı özetle;

  • Bir telekomünikasyon şirketi ile aralarında alacak devir sözleşmesinin akdedilmiş olması sebebiyle bahsi geçen şirket tarafından icra dosya bilgileri, müşterilere ait faturalar, müşteriler tarafından telekomünikasyon şirketine verilen iletişim bilgilerinin edinildiği,
  • İşlem yapılırken icra borçlularının telekomünikasyon firmasına ilettiği numaraların arandığı,
  • Şikâyette konu telefon hatlarından şirketlerin çağrı merkezlerinin ilgili kişi sıfatıyla aranması suretiyle söz konusu numaraların otomatik olarak sisteme kaydedilerek, otomatik olarak SMS gönderimi gerçekleştirildiği,

Beyan ve iddialarına yer verilmiştir. Konu ile ilgili şikâyet dilekçesinde belirtilen beyanlardan olayda geçen numaraların çağrı merkezini aradığını gösterir kayıtlar Kuruma iletilmiştir. Kurulun somut olaya ilişkin yaptığı değerlendirme neticesinde verdiği 04/03/2022 tarihli ve 2022/184 sayılı kararı;

  • İlgili kişinin kardeşi adına kayıtlı olan hatta ve eşine ait telefona ilgili kişinin telekomünikasyon şirketine olan borcunun süresinin dolacağına ilişkin bir SMS gönderildiği ifade edilerek rızası olmadan kişisel verilerinin üçüncü kişilerle paylaşıldığının beyan edildiğinin görüldüğü,
  • Veri sorumlusu tarafından Kurum’a iletilen cevap yazılarından; veri sorumlusunun çağrı merkezini arayarak bir borç hakkında bilgi talep edilmesi halinde arayan kişiye herhangi bir bilgilendirme yapılmaksızın ve Kanunun 5’inci maddesinde yer alan herhangi bir işleme şartına dayanmaksızın arayan kişilerin telefon bilgilerinin sisteme otomatik olarak kaydedilmek suretiyle işlenmesi ve bu kişilerle başka şahısların kişisel verisi niteliğindeki borç bilgisine ilişkin bilgi paylaşımında bulunulduğu kanaatine varılması nedeniyle veri sorumlusunun Kanunun 12’nci maddesinin (1) numaralı fıkrası çerçevesinde kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirlerin alınmadığı

değerlendirmelerinden hareketle; 

  • “Veri sorumlusunu arayan telefon numaralarının ilgili kişinin telefon numarası olarak kaydedilmesi ve bu telefonların aranması suretiyle borç bilgilerinin üçüncü kişiler ile paylaşılmasında Kanunun 5’inci maddesi çerçevesinde bir işleme şartının geçerli olmadığı dikkate alındığında Kanunun 12’nci maddesinin (1) numaralı fıkrası çerçevesinde kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı tespit edilen veri sorumlusu hakkında Kanunun 18’inci maddesinin (1) numaralı fıkrasının (b) bendi çerçevesinde 50.000 TL idari para cezası uygulanmasına,
  • Veri sorumlusunu bilgi almak amacıyla arayan kişilerin telefon numaralarının veri sorumlusu sistemlerine otomatik olarak borcu olan kişilerin iletişim bilgileri olarak kaydedilmesi uygulamasına son verilmesi ve sonucundan Kurul’a bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına” şeklinde özetlenebilir.

Sonuç:

Veri sorumluları ilgili mevzuatta öngörüldüğü gibi işlediği verileri ne şekilde/amaçla işlendiği konularında ilgili kişilere aydınlatma yapmalılarına müteakip açık rızayla veya diğer işleme şartlarına uygun dayanağı gösterme koşuluyla işleyebilir. İşlediği kişisel verilere hukuka aykırı şekilde erişilmesini engellemek ve muhafaza etmek yükümlülüğünü sağlayabilmek adına gerekli tüm idari ve teknik tedbirleri alması konusuna büyük hassasiyet göstermelidir. 

¹İlgili kararın tamamı: https://kvkk.gov.tr/Icerik/7295/2022-184

“Unvanında ilgili kişinin adının geçtiği bir şirket hakkında başlatılan icra takibine ilişkin dosya içeriğinin sosyal medyada paylaşılması hakkında” Kişisel Verileri Koruma Kurulunun 10/02/2022 tarihli ve 2022/103 sayılı Karar Özeti ²

Veri sorumlusu bir tekstil firması ile yapılan alışveriş sonrasında veri sorumlusu tarafından ilgili kişinin adının geçtiği yedek parça şirketi (Şirket) icra takibi başlatıldığı, bu süreçte bir şahıs tarafından Facebook üzerinden herkese açık olan bir grupta “Şirketin aldığı maskelerin ödemesini yapmadığı, dolandırıcı olduğu, bu doğrultuda Şirket hakkında icra takibi başlatıldığı ve icraya ilişkin evrakların bu grupta paylaşılacağı” hususlarında herkese açık bir yorum yapıldığı, paylaşımı yapan şahıs adına internette yapılan araştırmalar neticesinde veri sorumlusu firmanın muhatabı olarak tanındığının tespit edildiği, bahsi geçen şahısla ilgili kişinin hiçbir ticari ilişkisi olmamasına rağmen icra dosyası içerisinde yer alan kişisel verilerinin üçüncü kişilerle paylaşılması suretiyle kişilik haklarının ihlal edildiği, veri sorumlusu firmanın ticaret sicil kaydında ismi geçmeyen ancak kendisini firma yetkilisiymiş gibi tanıtan söz konusu şahıs tarafından icra dosyası hakkında nasıl bilgi edinildiğinin anlaşılamadığından ötürü 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 11’inci maddesi kapsamındaki hakları uyarınca veri sorumlusuna başvuruda bulunulduğu ancak süresi içerisinde yanıt alınamadığı ifade edilerek, veri sorumlusu hakkında gereğinin yapılmasını talep edilmiştir.

Şikayet dilekçesinde yer alan huşulara ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması istenilmiş olup verilen cevabi yazıda özetle;

  • İlgili kişinin adının geçtiği Şirketin, şikâyete konu sosyal medya paylaşımlarına ilişkin Cumhuriyet Savcılığına intikal eden şikayette suçun yasal unsurları oluşmadığı gerekçesi ile  kovuşturma yapılmasına yer olmadığına karar verilmiş olup, şikayete konu paylaşımları yapan şahsın o tarihlerde ilgili kişinin adının geçtiği şirketin yarı zamanlı çalışanı olduğu sonradan firmadan ayrıldığı, akabinde veri sorumlusu nezdinde çalışmaya başladığı,
  • Şirketin söz konusu mal alımına ilişkin ödeme yapmadığı, e-postalara ve telefonlara yanıt vermediği, Şirketle hiçbir şekilde irtibat sağlanamadığı, bunun üzerine Şirket hakkında icra takibi başlatıldığı,
  • Bahsi geçen şahıs bu pazarlamadan çok zarar gördüğü için diğer firmaların da bu Şirketten zarar görmemesi adına üyesi olduğu bir Facebook grubunda ilgili kişinin adının geçtiği Şirket ile yaşanan durumu kısaca izah ettiği, ispat olarak dava dosyasının ön kapak görselini okunmayacak şekilde paylaştığı, ancak bu paylaşımın yayımlanmadan silindiği ve üçüncü şahısların söz konusu paylaşımı görmediği, olay sonrasında bahsi geçen şahsın gruptan çıkarılarak engellendiği

ifade edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 10/02/2022 tarih ve 2022/103 sayılı kararı ile;

  • “Madde 29 Veri Koruma Çalışma Grubu’nun 04.06.2007 tarihli ve 4/2007 sayılı görüşünde; tüzel kişiler hakkında bilginin gerçek kişilerle “ilişkili olması” durumunun somut olay özelinde göz önünde bulundurulması gerektiği, tüzel kişilerin unvanının gerçek kişi isimlerinden türetildiği durumda kişisel veri olup olmadığının belirli kriterlere (içerik, amaç ve sonuç kriterlerine) göre değerlendirilmesi gerektiğinin belirtildiği, Madde 29 Veri Koruma Çalışma Grubu’nun söz konusu görüşü ile örneğin, bir şirket e-postasının belirli bir çalışan tarafından kullanılmasında veya küçük bir işletmenin sahibinin davranışlarını ifade eden bilgide bu durumun söz konusu olabileceği, “içerik”, “amaç” veya “sonuç” kriterlerine göre değerlendirildiğinde, işletme veya tüzel kişi hakkında bilginin gerçek kişiyle ilişkili olması mümkünse kişisel veri olarak düşünülebileceğinin ifade edildiği, söz konusu kriterlerin kümülatif olarak bulunmasının gerekli olmadığı, kriterlerin birbirinin alternatifi olarak düşünülebileceği, söz konusu görüşe göre; aynı bilginin aynı zamanda farklı unsurlar bakımından farklı kişilerle ilişkilendirileceğinin de değerlendirildiği, örneğin bir bilgi A kişisi hakkında ise içerik kriteri bakımından A kişisiyle, B kişisine belirli bir şekilde davranılması amacıyla kullanılması durumunda amaç kriteri bakımından B kişisiyle, C kişisinin hak ve menfaatlerinde bir etkiye sahipse veya herhangi bir etkiye sahip olması muhtemelse “sonuç” kriteri bakımından C kişisiyle ilişkili olduğunun söylenebileceği,
  • “İlgili şirketin, yetkilisinin ismini ve soy ismini taşıdığı, somut olay özelinde şirket unvanının, Kanun’un 3’üncü maddesinin (1) numaralı fıkrasının (d) bendi uyarınca kişisel veri olup olmadığının göz önünde bulundurulması gerektiği, icra takibi evrakında bulunan tacirin unvanında ilgili kişinin isim ve soy ismi bulunsa da yapılan paylaşım ve yorumlarda tüzel kişiliğin hedeflendiği göz önünde bulundurulduğunda şirketin unvanının veya borç bilgisi, adresi, vergi kimlik numarası bilgisinin gerçek kişinin hak ve menfaatlerinde bir etkiye sahip olmadığı ya da gerçek kişiye belirli bir şekilde davranılması amacıyla kullanılmadığı kanaatiyle Kanun’da yer alan kişisel veri tanımını karşılamadığı,
  • Kanun’un 2’nci maddesinin (1) numaralı fıkrası uyarınca, Kanun hükümlerinin kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanacağı,
  • Somut olay özelinde, veri sorumlusunun çalışanı tarafından icra takip talebi evrakının fotoğraflanması suretiyle elde edilerek sosyal medya platformu aracılığıyla paylaşılması ile Şirket’e ait bazı bilgileri içeren yorumların sosyal medya platformunda paylaşılmasında, kişisel veri işlenmemesi sebebiyle konunun Kanun’un 2’nci maddesinin (1) numaralı fıkrası uyarınca Kanun kapsamında olmadığı”

değerlendirmelerinden hareketle;

  • “Her ne kadar şikâyete konu edilen Şirket adında ilgili kişinin ad ve soyadı geçse de, sosyal medyada yapılan paylaşımlarda tüzel kişiliğin hedeflendiği anlaşıldığından söz konusu veri gerçek kişiye değil tüzel kişiliğe ait veri olarak değerlendirildiğinden şikâyet konusunun Kanun kapsamında olmadığı kanaatine varılması nedeniyle yapılacak bir işlem olmadığına” karar verilmiştir.

Sonuç:

Kanunun kapsamını belirten 2. maddesinde “kişisel verileri işlenen gerçek kişiler…” şeklinde belirtilerek Kanun hükümlerinin sadece kişisel verisi işlenen gerçek kişileri kapsamına aldığı görülmektedir. Bu kapsamda somut olayda da olayın konusunu oluşturan verinin gerçek kişi yerine tüzel kişiyi ilgilendiren bir veri olduğundan ötürü ve tüzel kişi verilerinin kanun kapsamında olmadığı için Kurulun verdiği Kanun kapsamında yapılacak bir işlemin olmaması kanaatine katılmaktayız. 

² İlgili kararın tamamı: https://kvkk.gov.tr/Icerik/7293/2022-103

“İlgili kişinin kişisel verilerinin iş akdinin sona erdiği veri sorumlusu şirket tarafından hukuka aykırı olarak işlenmesi hakkında” Kişisel Verileri Koruma Kurulunun 16/12/2021 tarihli ve 2021/1258 sayılı Karar Özeti ³

İlgili kişinin, Kuruma intikal eden şikayetinde özetle; veri sorumlusu şirket nezdinde 10.12.2018 tarihinde işe başladığı, söz konusu görevden 30.12.2019 tarihinde ayrıldığı, kişisel verilerine yönelik olarak veri sorumlusu şirkete başvuru yapmak istediğinde şirketin bir başvuru formunun bulunmadığı gibi başvuru yollarının da tarafına bildirilmediği, aydınlatma yükümlülüğünün hukuka uygun olarak yerine getirilmediği, özel nitelikli kişisel verilerinin açık rızası olmaksızın işlendiği, veri sorumlusu şirkete parmak izi ve yüz tarama sistemi ile giriş yapıldığı, grup şirketinin farklı firmalarının yurt dışında şubesinin olduğu ve ilgili kişi yurt dışı şubesine ziyarete gittiğinde kişisel verilerinin açık rızası olmaksızın yurt dışına aktarılmış olduğu, kişisel verilerine yönelik yeterli teknik ve idari güvenlik tedbirlerinin alınmadığı, veri sorumlusu şirketin internet sitesinde gizlilik politikasının bulunmadığı hususları ifade edilerek veri sorumlusu şirket hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

  • Somut olayda, veri sorumlusu tarafından sadece şirket personelinin erişim sağlayabildiği bir sosyal medya platformunda veri sorumlusuna başvuru formunun ve aydınlatma metninin yer almakta olduğunun ifade edildiği, ancak söz konusu başvuru formuna savunma dilekçesi ekinde yer verilmediği, aydınlatma metninin ise sadece adı geçen platformdaki başlığının görüntüsünün savunma dilekçesi ekinde yer aldığı, 
  • Savunma dilekçesi ekinde yer alan ve ilgili kişiyle imzalanmış olan iş sözleşmesinin “Kişisel Verilerin İşlenmesi ve Korunması” başlıklı 9’uncu maddesiyle veri sorumlusunun aydınlatma yükümlülüğünü yerine getirmiş olduğunun iddia edildiği, ilgili kişinin imzalamış olduğu iş sözleşmesinin aydınlatma yerine geçtiği iddia edilen 9’uncu maddesinin hem aydınlatmaya yönelik hem de ilgili kişiden açık rıza alınmasına yönelik ifadeler içeren, aydınlatma ve açık rıza metinlerinin içermesi gereken asgari unsurları da tam olarak içermeyen karma bir metin şeklinde kaleme alındığı,
  • Veri sorumlusu tarafından 2020 yılı temmuz ayından itibaren ayrı ayrı hazırlanmış Çalışan Açık Rıza Metni ve Çalışan Aydınlatma Metninin personellere imzalatıldığı belirtilmiş olsa da Kuruma sunulan bu metinlerde ilgili kişinin imzasının bulunmadığı görülmüş olup ilgili kişinin şikayeti bakımından bu belgelerin esas alınamayacağı, 
  • İlgili kişinin açık rızasının alınması için iş sözleşmesine bir madde eklenmesi yoluna gidildiği, ilgili kişiye, özel nitelikli kişisel verilerin işlenmesine dair açık rıza beyanının iş sözleşmesiyle birleşik olarak sunulması sebebiyle ilgili kişinin özel nitelikli kişisel verilerinin işlenmesinde açık rıza verip vermemek konusundaki kararının özgür iradeye dayandığından söz edilemeyeceği, bu anlamda veri sorumlusu tarafından dayanılan açık rıza veri işleme şartının hukuka aykırı olduğu, 
  • Kişisel verilerin işlenmesinin ilgili kişinin iznine bağlı olarak gerçekleştirilse ve belirli bir amaca bağlı olsa bile açık rızanın, aşırı miktarda veri toplanmasını meşrulaştırmayacağı, buna göre kişisel verilerin yalnızca belirli amaçlar için ve gerektiği kadar toplanması, amacın gerektirdiği yerlerde kullanılması ve amaç için gerekli olandan uzun süre tutulmaması gerektiği, bu doğrultuda, ilgili kişiye ait parmak izi ve yüz tarama verilerinin işlenme sebebi olarak veri sorumlusu tarafından belirtilen şirket çalışanlarının güvenliğinin sağlanması ihtiyacı ile orantısız olduğu, aynı amaca biyometrik verilerin işlenmesini gerektirmeyen manyetik kart okuyucu ve kontrol listesi gibi yöntemlerle de ulaşılabilmesi mümkün iken veri sorumlusu tarafından biyometrik veri işlenmesi yoluna gidilmesinin Kanun’un genel ilkelerinden ölçülü olma ilkesine uygun olmadığı,
  • Öte yandan, ilgili kişinin veri sorumlusu şirketin yurt dışında yer alan şubesine gittiği süreçte kişisel verilerinin açık rızası olmaksızın yurt dışına aktarıldığını iddia ettiği, veri sorumlusunun ise savunma dilekçesinde ilgili kişinin herhangi bir kişisel verisinin yurt dışına aktarılmadığını belirttiği, ancak şikâyet dilekçesinde aktarım faaliyetine ilişkin somut bilgi ve belgelere yer verilmemiş olduğu ve bu nedenle bu iddialar bakımından Kanun kapsamında yapılacak bir işlem bulunmadığı,
  • Şikâyet dilekçesinde veri sorumlusunun internet sitesinde gizlilik politikasının bulunmadığının da belirtildiği, veri sorumlularının Kanun’un 10’uncu maddesi kapsamında aydınlatma yükümlülüğünü yerine getirmekle yükümlü olduğu, her ne kadar uygulamada veri sorumluları tarafından gizlilik politikası adı altında belgeler hazırlanıp ilgili kişilerin dikkatine sunuluyor olsa da Kanun’da ve Kanun ile ilgili diğer mevzuatta veri sorumluları tarafından gizlilik politikası hazırlanmasına dair bir yükümlülük yer almadığı

değerlendirmelerinden hareketle;

  • İlgili kişinin iş sözleşmesine bir madde olarak eklenen aydınlatma metninin aynı zamanda açık rıza metni niteliği de taşıyan karma nitelikte bir metin olduğu, aydınlatma metninin içermesi gereken asgari unsurları içermediği ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in 5’inci maddesinin (1) numaralı fıkrasının (f) bendi gereğince aydınlatmanın açık rıza beyanından ayrı olarak yerine getirilmediği dikkate alındığında aydınlatma yükümlülüğünün Kanun’un 10’uncu maddesi ve Tebliğ’e uygun şekilde düzenlenerek sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına, 
  • Veri sorumlusunun biyometrik veri işlemekte hukuki sebep olarak ileri sürdüğü iş sözleşmesinde bir madde olarak yer alan açık rıza metninin, ilgili kişinin iş sözleşmesini imzalamadan işe başlamak gibi bir şansı bulunmadığından, özgür irade ile imzalanmadığı, personelin işyerine giriş çıkışlarında kullanılan biyometrik verilerle ulaşılmak istenen amaca başka vasıtalarla ulaşılabilecek olmasına rağmen açık rıza şartına dayanılarak biyometrik veri işlenmesinin Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesinde yer alan amaç ile ölçülü olma ilkesine aykırı olduğu gerekçeleriyle Kanun’un 12’nci maddesinin (1) numaralı fıkrasına aykırı hareket ettiği kanaatine varılan veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 125.000 TL idari para cezası uygulanmasına
  • Hukuka aykırı işlendiği tespit edilen biyometrik veri işleme faaliyetine son verilmesi, öte yandan söz konusu verilerin Kanun’un 7’nci maddesi ve Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesine Dair Yönetmelik hükümlerine uygun şekilde imha edilerek sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına, 

karar verilmiştir.

Sonuç:

Veri sorumlularının biyometrik veri işleme hususunda dikkatle hareket etmeleri gerekmektedir. Biyometrik verilerin işlenmesinde özellikle açık rıza şartına önem gösterilmeli ve ilgili kişilerin özenli bir şekilde bilgilendirilmesi gerekmektedir. Ayrıca, veri sorumluları aydınlatma yükümlülüğünün yerine getirilmesi aşamasında kişisel veri işleme faaliyetini açık rıza şartına dayalı olarak gerçekleştiriliyorsa, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirmelidir.

³ İlgili kararın tamamına ulaşmak için: https://kvkk.gov.tr/Icerik/7286/2021-1258

“İlgili kişinin eski ortağı olduğu şirketin sicil bilgilerinin görüntülendiği internet adresinde kişisel verilerinin hukuka aykırı olarak paylaşılması” hakkında Kişisel Verileri Koruma Kurulunun 06/01/2022 tarih ve 2022/6 sayılı Karar Özeti

Kuruma intikal eden şikâyette; ilgili kişinin eski ortağı olduğu şirkete ait sicil bilgilerinin yer aldığı, internet sayfasında eski ortaklar başlığı altında ad ve soyadının yazılı olduğu, şirketle herhangi bir hukuki veya idari bağının kalmadığı, dolayısıyla kişisel verilerinin üçüncü kişilerle izni olmaksızın paylaşılmasını istemediği, bu kapsamda veri sorumlusu Ticaret Odası’na sözlü ve yazılı olarak başvuruda bulunulduğu, Ticaret Odası tarafından ilgili kişinin talebinin Türk Ticaret Kanunu ve Ticaret Sicili Yönetmeliği gereğince yerine getirilemeyeceğinin belirtildiği ifade edilerek gereğinin yapılması talep edilmiştir.

Söz konusu iddialara ilişkin başlatılan inceleme çerçevesinde veri sorumlusu Ticaret Odası’ndan savunması istenilmiş olup alınan cevabî yazıda özetle;

  • Türk Ticaret Kanunu hükümleri gereğince tescile tabi olan kayıt, değişiklik ve kayıt silme işlemlerinin Ticaret Sicili Müdürlükleri tarafından MERSİS (Merkezi Sicil Kayıt Sistemi) üzerinden yapıldığı, tescile ait ilan metinlerinin ise MERSİS’te üretilerek Türkiye Ticaret Sicili Gazetesinde yayınlandığı, 
  • Limited şirketlerin kuruluş işleminde ana sözleşmenin ve tüm ortakların tescilinin Türk Ticaret Kanunu’nun 587’nci maddesinde, payların geçiş hallerinin tescilinin ise 598’inci maddesinde düzenlendiği, bu çerçevede; tescile tabi ve üçüncü kişilerin incelemesine açık olan Türkiye Ticaret Sicili Gazetesinde yayınlanan limited şirketlerin pay devrine ilişkin tescillerine ait ilanlarda payı devir alan ortak ile payını devreden ortağa ait ad-soyad bilgisinin yer aldığı, kimlik numarası ve adres bilgisi gibi kişisel verilerin gizlenerek ilan edildiği, 
  • Şirketin ortaklık yapısının mevzuat gereği tescil edilip ilan edilmesi nedeni ile kişinin ortak olarak ya da eski ortak olarak görünmesinin aleni bir bilgi olduğu, kimlik numarası ve adresi gibi kişisel veri niteliği taşımadığı,
  • Bu bağlamda, veri sorumlusunun internet sayfasındaki firma bilgileri içerisinde; Türk Ticaret Kanunu’nun 35 inci maddesi ile Ticaret Sicili Yönetmeliği’nin 15’inci maddesine göre mevzuatın izin verdiği ve Ticaret Sicili Gazetesinde yayınlanarak üçüncü kişilerin incelemesine açık olan bilgilerin yer aldığı

ifade edilmiştir.

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulu’nun 06/01/2022 tarih ve 2022/6 sayılı Kararı ile;

  • İlgili kişinin ad ve soyadının silinmesi talebinin bulunduğu internet sayfası incelendiğinde Ticaret Odası’nın Bilgi Bankasından Şirket bilgilerine göre bir sorgulama yapılabildiğinin görüldüğü, ilgili kişinin eski ortağı olduğu Şirket hakkında ilgili sayfada sorgulama yapıldığında Şirketin sicil numarası, oda sicil numarası, MERSİS numarası, firma unvanı, iş adresi, odaya kayıt tarihi, sermayesi, iş konusu gibi bilgilerin yanı sıra Tescil ve Gazete Bilgileri başlığı altında sicil gazetesine tescil edilen işlemlere ilişkin bilgi, ayrıca ortaklar ve eski ortakların adı, soyadı, görevi ve sermaye miktarına ilişkin bilgilere yer verildiğinin görüldüğü,
  • İlgili kişinin şikâyetinde de ifade edildiği gibi söz konusu Şirketin eski ortağı olarak sorgulama sayfasında ilgili kişinin adı, soyadı ve sermaye miktarının yer aldığının görüldüğü,
    • Bu çerçevede ticaret sicilinin, Ticaret Bakanlığının gözetim ve denetiminde ticaret sicili müdürlükleri ve şubeleri tarafından tutulacağı düzenlenmiş olup Ticaret Bakanlığı tarafından il merkezindeki ticaret ve sanayi odaları ile ticaret odalarında faaliyet gösterecek şekilde ticaret sicili müdürlükleri kurulacağı hükmünden de anlaşılacağı üzere ticaret sicili müdürlüklerinin il merkezindeki ticaret odasına bağlı olarak faaliyet gösterdiği, 
    • Öte yandan, kayıtlar ile tescil ve ilan edilmesi gereken içeriklerin düzenli olarak depolandığı ve elektronik ortamda sunulabilen merkezi ortak veri tabanının, Ticaret Bakanlığı ile Türkiye Odalar ve Borsalar Birliği nezdinde oluşturulduğu,
    • Türk Ticaret Kanunu’nun ve Ticaret Sicili Yönetmeliği’nin ilgili maddeleri çerçevesinde, herkesin sicilin içeriğini ve müdürlükte saklanan tüm senet ve belgeleri inceleyebileceği ve bu incelemenin elektronik ortamda ve/veya müdürlükte yapılabileceği ile tescil edilmiş olgularda meydana gelen her türlü değişikliğin de tescil edileceği anlaşılmakta olup Şirketin pay devrine ilişkin değişikliğin ticaret sicili gazetesinde tescil edildiği, söz konusu ticaret sicilinin tutulmasından sorumlu ticaret sicil müdürlüklerinin de ticaret odalarına bağlı olarak faaliyet gösterdiği dikkate alındığında söz konusu bilgilerin ticaret odası bünyesinde hâlihazırda mevcut olduğu sonucuna varıldığı,
    • Ayrıca, ticaret sicil gazetesinde yer alan bir bilginin ticaret odasının sayfasında bulunmasındaki amacın yine ticaret sicil işlemlerine ilişkin bilginin daha kolay ulaşılabilir olmasını sağlamak adına gerçekleştirildiği, bununla birlikte söz konusu bilgiye yalnızca ilgilileri tarafından ticaret odasının sayfasındaki bilgi bankası platformundan firma bilgileri girilmek suretiyle erişildiği, söz konusu bilginin ticaret sicil gazetesinde yayınlanma amacından farklı bir amaçla yayınlandığına ilişkin herhangi bir emare bulunmadığı dikkate alındığında söz konusu kişisel veri işleme faaliyetinin Kanun’un Genel İlkeler başlıklı 4 üncü maddesinde yer alan “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine de aykırılık teşkil etmediği, diğer yandan söz konusu bilginin ilgili kişi tarafından da belirtildiği üzere doğru olduğu ve yayınlanmasında amaca aykırılık bulunmadığı,
    • Diğer taraftan, Anayasa’da ve Türkiye Odalar ve Borsalar Birliği ile Odalar ve Borsalar Kanunu’nda yer aldığı üzere Kamu Kurumu niteliğindeki meslek kuruluşları ve üst kuruluşlarının; belli bir mesleğe mensup olanların müşterek ihtiyaçlarını karşılamak, mesleki faaliyetlerini kolaylaştırmak, mesleğin genel menfaatlere uygun olarak gelişmesini sağlamak amacıyla kurulan kamu tüzel kişilikleri olduğu, 
    • Türkiye Odalar ve Borsalar Birliği ile Odalar ve Borsalar Kanunu’nda yer aldığı üzere; ticaret ve sanayiyi ilgilendiren bilgi ve haberleri derleyerek ilgililere ulaştırmak, ilgili kanunlar çerçevesinde resmî makamlarca istenecek bilgileri vermek ve özellikle üyelerinin mesleklerini icrada ihtiyaç duyabilecekleri her çeşit bilgiyi, başvuruları durumunda kendilerine vermek veya bunların elde edilmesini kolaylaştırmak, elektronik ticaret ve internet ağları konusunda üyelerine yol gösterecek girişimlerde bulunmak, bu konularda gerekli alt yapıyı kurmak ve işletmek şeklinde odalara görev ve sorumlulukların yüklendiği 
  • Dikkate alındığında ilgili Ticaret Odası tarafından internet sayfasında Bilgi Bankası bölümünden firma bilgileri girilmek suretiyle sorgulama yapılmasına ve ticaret sicili gazetesindeki bilgilerin bu platformda yer alması suretiyle bilgiye ulaşımın kolaylaştırılmasına imkân sağlanması suretiyle gerçekleştirilen kişisel verileri işleme faaliyetinin T.C. Anayasası ve 5174 sayılı Türkiye Odalar ve Borsalar Birliği İle Odalar ve Borsalar Kanunu’nda ticaret odaları için öngörülen yükümlülükler kapsamında değerlendirilebileceği dikkate alındığında söz konusu kişisel veri işleme faaliyetinin Kanun’un 5 inci maddesinin (2) numaralı fıkrasının (a) bendinde yer alan kanunlarda açıkça öngörülme ve aynı fıkranın (ç) bendinde yer alan veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması şartlarına dayanılarak gerçekleştirildiği sonucuna varıldığı

değerlendirmelerinden hareketle;

  • Kanun’un “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi” başlıklı 7 nci maddesinde yer alan “Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.” hükmüne istinaden söz konusu kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkmadığı sonucuna varılmış olup ilgili kişinin bu yöndeki talebi ile ilgili olarak Kanun kapsamında tesis edilecek herhangi bir işlem bulunmadığına karar verilmiştir.

Sonuç:

Karara konu olan olayda ilgili kişinin eski ortağı olduğu şirkete ait sicil ve ad soyad gibi bilgilerinin şirketle herhangi bir bağı kalmadığı halde yer aldığı görülmüştür. Yapılan incelemelerde ilgili kişinin eski ortağı olduğu Şirket hakkında ilgili sayfada sorgulama yapıldığında Şirketin sicil numarası, oda sicil numarası, MERSİS numarası, firma unvanı, iş adresi, odaya kayıt tarihi, sermayesi, iş konusu, ortaklar ve eski ortakların adı, soyadı, görevi ve sermaye miktarına ulaşılabildiği görüntülenmiştir. Ancak söz konusu verilerin yayınlanma amacı Kanun’un Genel İlkeler başlıklı 4’üncü maddesine uygun bulunmuştur. Aynı zamanda veri işlemenin Kanun’un 5 inci maddesine göre veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması şartlarına dayanılarak gerçekleştirildiği sonucuna varıldığından, söz konusu kişisel verilerin işlenme amacının ortadan kalkmadığı belirtilmiş olup Kanun kapsamında tesis edilecek herhangi bir işlem bulunmadığına karar verilmiştir. 

⁴ İlgili kararın tamamı için: https://kvkk.gov.tr/Icerik/7291/2022-6

Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.

Teklif Talep Edin

 

İçerik Hakkında:
Sosyal Medyada Paylaş:
Facebook
Twitter
LinkedIn
Telegram

İlgili Yazılar