Veri sorumlusunun Kuruma intikal eden veri ihlali bildiriminde;

• bir tekstil firması (veri sorumlusu) ile yapılan alışveriş sonrasında veri sorumlusu tarafından ilgili kişinin adının geçtiği yedek parça şirketi (Şirket) hakkında icra takibi başlatıldığı,
• bu süreçte bir şahıs tarafından Facebook üzerinden herkese açık olan bir grupta “Şirketin aldığı maskelerin ödemesini yapmadığı, dolandırıcı olduğu, bu doğrultuda Şirket hakkında icra takibi başlatıldığı ve icraya ilişkin evrakların bu grupta paylaşılacağı” hususlarında herkese açık bir yorum yapıldığı,
• paylaşımı yapan şahıs adına internette yapılan araştırmalar neticesinde veri sorumlusu firmanın muhatabı olarak tanındığının tespit edildiği,
• bahsi geçen şahısla ilgili kişinin hiçbir ticari ilişkisi olmamasına rağmen icra dosyası içerisinde yer alan kişisel verilerinin üçüncü kişilerle paylaşılması suretiyle kişilik haklarının ihlal edildiği,
• veri sorumlusu firmanın ticaret sicil kaydında ismi geçmeyen ancak kendisini firma yetkilisiymiş gibi tanıtan söz konusu şahıs tarafından icra dosyası hakkında nasıl bilgi edinildiğinin anlaşılamadığı,

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 10/02/2022 tarih ve 2022/103 sayılı kararı ile;

• Somut olay özelinde, veri sorumlusunun çalışanı tarafından icra takip talebi evrakının fotoğraflanması suretiyle elde edilerek sosyal medya platformu aracılığıyla paylaşılması ile Şirket’e ait bazı bilgileri içeren yorumların sosyal medya platformunda paylaşılmasında, kişisel veri işlenmemesi sebebiyle konunun Kanun’un 2’nci maddesinin (1) numaralı fıkrası uyarınca Kanun kapsamında olmadığı

değerlendirmelerinden hareketle;

• Her ne kadar şikâyete konu edilen Şirket adında ilgili kişinin ad ve soyadı geçse de, sosyal medyada yapılan paylaşımlarda tüzel kişiliğin hedeflendiği anlaşıldığından söz konusu veri gerçek kişiye değil tüzel kişiliğe ait veri olarak değerlendirildiğinden şikâyet konusunun Kanun kapsamında olmadığı kanaatine varılması nedeniyle yapılacak bir işlem olmadığına

karar verilmiştir.

“Sağlık Sektöründe Faaliyet Gösteren Veri Sorumlusu Tarafından İlgili Kişinin Kişisel Verilerinin Açık Rızası Alınmaksızın Ticarî Elektronik İleti Gönderilmesi Amacıyla İşlenmesi” Hakkında Kişisel Verileri Koruma Kurulunun 18/01/2022 Tarihli Ve 2022/31 Sayılı Karar Özeti

e-posta adresine sağlık sektöründe faaliyet gösteren veri sorumlusu tarafından ticarî içerikli bir ileti gönderildiği, bu durumun 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’un (6563 sayılı ETK) 6’ncı maddesinin (1) numaralı fıkrasındaki “Ticarî elektronik iletiler, alıcılara ancak önceden onayları alınmak kaydıyla gönderilebilir…” hükmüne aykırılık teşkil ettiği,

Veri sorumlusu tarafından ilgili kişiye verilen cevapta 6563 sayılı ETK ve Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik kapsamında herhangi bir bilgiye yer verilmediğinden, kampanya ve reklamcılık faaliyetleri çerçevesinde ticari elektronik ileti gönderimine ilişkin yapılan savunmanın yerinde olmadığı hususları ifade edilmiş ve 6698 sayılı Kanun hükümleri uyarınca gerekli işlemlerin yapılması talep edilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 18/01/2022 tarih ve 2022/31 sayılı Kararı ile;

• İlgili kişinin şikâyeti hakkında veri sorumlusu tarafından “İlgili kişinin e-posta adresinin, kendisi tarafından veri sorumlusunun şubesine yapılan başvuru sırasında, hasta kaydı açılırken elde edildiği” bilgisinin verildiği,
• Hasta kaydı açılması sırasında ilgili kişinin veya refakatçilerinin iletişim bilgilerinin temin edilmesinin, 6698 sayılı Kanun ile birlikte diğer sair mevzuata da bir aykırılık teşkil etmediği, ancak somut hadisede ilgili kişinin iletişim bilgisinin, herhangi bir tıbbî bilginin kendisine veya yakınına iletilmesi için değil bir pazarlama faaliyetinde bulunmak amacıyla kullanıldığı, ilgili kişiye gönderilen e-posta içeriğinin bilgilendirme ve ticarî amaçlı olduğunun görüldüğü,

değerlendirmelerinden hareketle;

• İlgili kişinin kişisel verilerinin veri sorumlusu tarafından temin edilmesi hukuka uygun olsa da söz konusu kişisel verilerin elde edilme amaçlarıyla alakalı olarak kullanılmamasından ötürü şikâyet edilen veri işleme faaliyetinin hukuka aykırı olduğu, bu kapsamda veri sorumlusu tarafından bir veri işleme şartı olmaksızın ilgili kişinin e-posta adresine reklam ve pazarlama amacıyla bildirim gönderilmesi suretiyle kişisel verisinin işlenmesi sebebiyle 6698 sayılı Kanun’un 12’nci maddesinin (1) numaralı fıkrasının (a) bendi çerçevesinde kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli tedbirleri almadığı kanaatine varılan veri sorumlusu hakkında 6698 sayılı Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 100.000 TL idari para cezası uygulanmasına karar verilmiştir.

“İlgili Kişinin Eski Ortağı Olduğu Şirketin Sicil Bilgilerinin Görüntülendiği İnternet Adresinde Kişisel Verilerinin Hukuka Aykırı Olarak Paylaşılması” Hakkında Kişisel Verileri Koruma Kurulunun 06/01/2022 Tarih Ve 2022/6 Sayılı Karar Özeti

Veri sorumlusunun Kuruma intikal eden veri ihlali bildiriminde;

• ilgili kişinin eski ortağı olduğu şirkete ait sicil bilgilerinin yer aldığı “…” internet sayfasında eski ortaklar başlığı altında ad ve soyadının yazılı olduğu,
• şirketle herhangi bir hukuki veya idari bağının kalmadığı, dolayısıyla kişisel verilerinin üçüncü kişilerle izni olmaksızın paylaşılmasını istemediği,
• bu kapsamda veri sorumlusu Ticaret Odası’na sözlü ve yazılı olarak başvuruda bulunulduğu,
• Ticaret Odası tarafından ilgili kişinin talebinin Türk Ticaret Kanunu ve Ticaret Sicili Yönetmeliği gereğince yerine getirilemeyeceğinin belirtildiği ifade edilerek gereğinin yapılması talep edilmiştir.

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulu’nun 06/01/2022 tarih ve 2022/6 sayılı Kararı ile;

İlgili kişinin şikâyetinde de ifade edildiği gibi söz konusu Şirketin eski ortağı olarak sorgulama sayfasında ilgili kişinin adı, soyadı ve sermaye miktarının yer aldığının görüldüğü,

Türkiye Odalar ve Borsalar Birliği ile Odalar ve Borsalar Kanunu’nda yer aldığı üzere; ticaret ve sanayiyi ilgilendiren bilgi ve haberleri derleyerek ilgililere ulaştırmak, ilgili kanunlar çerçevesinde resmî makamlarca istenecek bilgileri vermek ve özellikle üyelerinin mesleklerini icrada ihtiyaç duyabilecekleri her çeşit bilgiyi, başvuruları durumunda kendilerine vermek veya bunların elde edilmesini kolaylaştırmak, elektronik ticaret ve internet ağları konusunda üyelerine yol gösterecek girişimlerde bulunmak, bu konularda gerekli alt yapıyı kurmak ve işletmek şeklinde odalara görev ve sorumlulukların yüklendiği

Ticaret Odası tarafından “…”internet sayfasında Bilgi Bankası bölümünden firma bilgileri girilmek suretiyle sorgulama yapılmasına ve ticaret sicili gazetesindeki bilgilerin bu platformda yer alması suretiyle bilgiye ulaşımın kolaylaştırılmasına imkân sağlanması suretiyle gerçekleştirilen kişisel verileri işleme faaliyetinin T.C. Anayasası ve 5174 sayılı Türkiye Odalar ve Borsalar Birliği İle Odalar ve Borsalar Kanunu’nda ticaret odaları için öngörülen yükümlülükler kapsamında değerlendirilebileceği dikkate alındığında söz konusu kişisel veri işleme faaliyetinin Kanun’un 5 inci maddesinin (1) numaralı fıkrasının (a) bendinde yer alan kanunlarda açıkça öngörülme ve aynı fıkranın (ç) bendinde yer alan veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması şartlarına dayanılarak gerçekleştirildiği sonucuna varıldığı değerlendirmelerinden hareketle;

Kanun kapsamında tesis edilecek herhangi bir işlem bulunmadığına karar verilmiştir.

“ARAÇ KİRALAMA PROGRAMLARI YAZILIMCISI VE SATICISI FİRMALAR TARAFINDAN, İLGİLİ KİŞİLERİN VERİLERİNİN İŞLENMESİ VE BU VERİLERİN ARAÇ KİRALAMA FİRMALARI ARASINDA PAYLAŞILMASINI SAĞLAYAN BİR KARA LİSTE PROGRAMI OLUŞTURULMASI” HAKKINDA KİŞİSEL VERİLERİ KORUMA KURULUNUN 23/12/2021 TARİHLİ VE 2021/1303 SAYILI KARAR ÖZETİ

Kuruma intikal eden ihbarda özetle;

• araba kiralama yazılımı üreticileri veya satıcıları olduğu, Bu yazılımları kullanan araba kiralama şirketlerinin müşterileri hakkında elde ettikleri tüm verileri bu yazılımlar vasıtasıyla kayıt altında tuttuğu, bu kapsamda aynı yazılımları kullanan diğer şirketlerin de, rızaları olmaksızın ilgili müşterilerin kişisel verilerini uygulamadaki kara liste havuzundan görebildiği ve böylece bu yazılımı kullanan diğer kullanıcılara verilerin ifşa edildiği,

Konuya ilişkin yapılan inceleme neticesinde Kurulun 23.12.2021 tarihli ve 2021/1303 sayılı Kararı aşağıdaki değerlendirmelere ulaşılmıştır.

1.  Araç Kiralama Programı Yazılım Şirketlerinin ve Araç Kiralama Firmalarının Veri Sorumluluğu Sıfatına İlişkin Değerlendirme
2.  Yazılım Şirketlerinin Sundukları Hizmeti Bulut Teknoloji Altyapısı ile Gerçekleştirmelerine İlişkin Değerlendirme
3.  Veri İşleme Faaliyeti Sırasında İlgili Kişilerin Aleyhlerine Ortaya Çıkan Sonuçlara İtiraz Etme Haklarına ve Profillemeye İlişkin Değerlendirme

Bu kapsamda;

• • Araç kiralayan gerçek kişi müşterilerin kişisel verilerinin de yer aldığı “kara liste” uygulamaları ile Kanunun 12’nci maddesinde düzenlenen müşterilere ilişkin araç kiralama firmalarınca ilk elden girilen kişisel verilere hukuka aykırı olarak erişilmesini önlemek, bu verilerin hukuka aykırı olarak işlenmesini önlemek ve muhafazasını sağlamak yükümlülüklerine aykırı olarak söz konusu verilerin yazılım şirketlerinin müşterileri olan başka araç kiralama firmalarının erişimine de açılması; fiili durumun araç kiralama firmalarınca da bilinmesi; aktarımın direkt bir araç kiralama firmasından diğer araç kiralama firmasına değil öncelikli olarak yazılıma yapılması; yazılım şirketlerinin bu veriyi bilinmeyen sayıda ve nitelikte kullanıcıya (diğer araç kiralama firmalarına) açması halinde hem veri sorumlusu haline geleceği,

• Öte yandan bu minvalde işlenen kişisel verilerin Kanuna aykırılık doğuracağı dikkate alındığında bu yönde işlenmiş kişisel verilerin Kanunun 7’nci maddesinde düzenlenen hükümler ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun şekilde imha edilmesi hususunda ihbar kapsamında incelenen veri sorumlularının talimatlandırılmasına karar verilmiştir.