Bir Sigorta Şirketi Tarafından İlgili Kişinin Banka Verilerinin İşlenmesi Hakkında” Kişisel Verileri Koruma Kurulunun 16/12/2021 Tarihli Ve 2021/1262 Sayılı Karar Özeti

Barlas Hukuk / Yayınlar / Bir Sigorta Şirketi Tarafından İlgili Kişinin Banka Verilerinin İşlenmesi Hakkında” Kişisel Verileri Koruma Kurulunun 16/12/2021 Tarihli Ve 2021/1262 Sayılı Karar Özeti
code-820275_1920

Bir Sigorta Şirketi Tarafından İlgili Kişinin Banka Verilerinin İşlenmesi Hakkında” Kişisel Verileri Koruma Kurulunun 16/12/2021 Tarihli Ve 2021/1262 Sayılı Karar Özeti

Veri sorumlusunun Kuruma intikal eden veri ihlali bildiriminde;

  • ilgili kişinin banka bilgilerini veri sorumlusu sigorta şirketi ile paylaşmadığı halde bu bilgilerin sigorta şirketi tarafından hukuka aykırı olarak işlendiği,

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 16/12/2021 tarih ve 2021/1262 sayılı Kararı ile;

Somut olayda, ilgili kişinin vekili aracılığıyla veri sorumlusuna ilettiği başvurunun veri sorumlusu tarafından teslim alınması ve özel yetki içeren vekâletname bulunmaması sebebiyle cevaplanmamasına karşılık, kişisel verilerin korunması mevzuatında ilgili kişilerin vekilleri aracılığıyla yapacakları başvurularda özel vekaletname gerektiğine ilişkin bir düzenleme bulunmadığından veri sorumlularınca vekâletnamede “özel yetki” şartı aranmaması gerektiği,

Veri sorumlusunun yasal temsilci vekâletnamelerinde “özel yetki” aramaması hususunda uyarılması, vekâletnamelerde “özel yetki” bulunması gerektiğine dair veri sorumlusu tarafından tanzim edilen ilgili kişi başvuru formu, aydınlatma metni ve kişisel verilerin korunması ile alakalı diğer dokümanlardan bu ibarenin kaldırılarak Kurula bilgi verilmesi ile Tebliğ’in 6’ncı maddesi uyarınca başvuruların gerekçesi açıklanarak reddedilmesi hususlarında veri sorumlusunun talimatlandırılmasına,

Kişisel verilerin silinmesi veya yok edilmesi talebinin yerine getirilmediği iddiası bakımından, ilgili kişi ile veri sorumlusu arasındaki sigorta sözleşmesinin/ilişkisinin devam ettiği, veri sorumlusunun yasal yükümlülüğü gereği ilgili kişinin kişisel verilerini muhafaza etmesi gerektiği dikkate alındığında Kanun’un 7’nci maddesi uyarınca ilgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin ortadan kalkmaması sebebiyle konu hakkında Kurul tarafından tesis edilecek bir işlem bulunmadığına karar verilmiştir.

“İLGİLİ KİŞİNİN KİŞİSEL VERİLERİNİN İŞ AKDİNİN SONA ERDİĞİ VERİ SORUMLUSU ŞİRKET TARAFINDAN HUKUKA AYKIRI OLARAK İŞLENMESİ HAKKINDA” KİŞİSEL VERİLERİ KORUMA KURULUNUN 16/12/2021 TARİHLİ VE 2021/1258 SAYILI KARAR ÖZETİ

Veri sorumlusunun Kuruma intikal eden veri ihlali bildiriminde;

  • veri sorumlusu şirket nezdinde 10.12.2018 tarihinde işe başladığı, söz konusu görevden 30.12.2019 tarihinde ayrıldığı,

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 16/12/2021 tarihli ve 2021/1258 sayılı Kararı ile;

Veri sorumlusu tarafından 2020 yılı Temmuz ayından itibaren ayrı ayrı hazırlanmış Çalışan Açık Rıza Metni ve Çalışan Aydınlatma Metninin personellere imzalatıldığı belirtilmiş olsa da Kuruma sunulan bu metinlerde ilgili kişinin imzasının bulunmadığı görülmüş olup ilgili kişinin şikayeti bakımından bu belgelerin esas alınamayacağı,

Şikayete konu olayda ise ilgili kişinin açık rızasının alınması için iş sözleşmesine bir madde eklenmesi yoluna gidildiği, ilgili kişiye, özel nitelikli kişisel verilerin işlenmesine dair açık rıza beyanının iş sözleşmesiyle birleşik olarak sunulması sebebiyle ilgili kişinin özel nitelikli kişisel verilerinin işlenmesinde açık rıza verip vermemek konusundaki kararının özgür iradeye dayandığından söz edilemeyeceği, ilgili kişinin iş sözleşmesini imzalamadan işe başlamak gibi bir şansı bulunmadığından; iş sözleşmesinde bir madde olarak yer alan açık rıza şartını kabul etmeme imkanının etkin bir biçimde ilgili kişiye tanınmadığı, bu anlamda veri sorumlusu tarafından dayanılan açık rıza veri işleme şartının hukuka aykırı olduğu,

Kişisel verilerin işlenmesinin ilgili kişinin iznine bağlı olarak gerçekleştirilse ve belirli bir amaca bağlı olsa bile açık rızanın, aşırı miktarda veri toplanmasını meşrulaştırmayacağı, buna göre kişisel verilerin yalnızca belirli amaçlar için ve gerektiği kadar toplanması, amacın gerektirdiği yerlerde kullanılması ve amaç için gerekli olandan uzun süre tutulmaması gerektiği, bu doğrultuda, ilgili kişiye ait parmak izi ve yüz tarama verilerinin işlenme sebebi olarak veri sorumlusu tarafından belirtilen şirket çalışanlarının güvenliğinin sağlanması ihtiyacı ile orantısız olduğu, aynı amaca biyometrik verilerin işlenmesini gerektirmeyen manyetik kart okuyucu ve kontrol listesi gibi yöntemlerle de ulaşılabilmesi mümkün iken veri sorumlusu tarafından biyometrik veri işlenmesi yoluna gidilmesinin Kanun’un genel ilkelerinden ölçülü olma ilkesine uygun olmadığı,

Veri sorumlusunun biyometrik veri işlemekte hukuki sebep olarak ileri sürdüğü iş sözleşmesinde bir madde olarak yer alan açık rıza metninin, ilgili kişinin iş sözleşmesini imzalamadan işe başlamak gibi bir şansı bulunmadığından, özgür irade ile imzalanmadığı, söz konusu açık rıza metnini kabul etmeme imkanının etkin bir biçimde ilgili kişiye tanınmamış olduğu,

Hukuka aykırı işlendiği tespit edilen biyometrik veri işleme faaliyetine son verilmesi, öte yandan söz konusu verilerin Kanun’un 7’nci maddesi ve Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesine Dair Yönetmelik hükümlerine uygun şekilde imha edilerek sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına, karar verilmiştir.

 “İLGİLİ KİŞİNİN, BİR SADAKAT PROGRAMI KAPSAMINDA VERİ SORUMLUSUNCA HUKUKA AYKIRI KİŞİSEL VERİ İŞLENDİĞİ YOLUNDAKİ İHBARI” HAKKINDA KİŞİSEL VERİLERİ KORUMA KURULUNUN 05/07/2019 TARİHLİ VE 2019/198 SAYILI KARAR ÖZETİ

Veri sorumlusunun Kuruma intikal eden veri ihlali bildiriminde;

  • veri sorumlusunun mağazasında satılan bazı ürünlere sadakat karta özel indirim uygulandığı, böylece özel indirimlerin şarta bağlandığı,
  • söz konusu sadakat programına üyelik ve kart temini için de müşterinin kişisel verilerinin talep edildiği ve açık rızanın koşul olarak dayatıldığı belirtilerek veri sorumlusu hakkında ihbarda bulunulmuştur.

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 05/07/2019 tarih ve 2019/198 sayılı sayılı Kararı ile;

İncelemeye konu ihbar niteliğindeki dilekçede yer alan bilgiler çerçevesinde veri sorumlusunun 99,99 TL olan ürünün fiyatını sadakat karta özel indirim kapsamında 79,99 TL olarak belirlediğinin ve satışa sunduğunun anlaşıldığı, Sadakat kart programına dahil olmak istemeyen ve/veya söz konusu program dahilinde açık rıza vermek istemeyen ilgili kişilerin veri sorumlusunun mağazalarından alışveriş yapma imkanının ortadan kaldırılmadığı ve sadakat programına üye olmayan müşterilere indirimsiz fiyatlar üzerinden satış yapılmaya devam edildiği,

Sadakat programı kapsamında ürün/hizmetlerin ek menfaat ile indirimli olarak sunulmasının açık rızanın koşul olarak dayatılması anlamına gelmediği değerlendirmelerinden hareketle; açık rızanın koşul olarak dayatılması ve bu anlamda ilgili kişinin açık rızasının bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmesi olarak kabul edilemeyeceğinden, söz konusu dilekçeye ilişkin olarak Kanun hükümleri kapsamında yapılacak bir işlem olmadığına karar verilmiştir.

barlas-law-firm-logo-white

Son Yayınlar

Menü

Adres

AGAOGLU MASLAK1453
Maslak Mah. Tas Yoncası Sok.
C7 Blok D:45 Kat:8
Sariyer Istanbul – Turkey

+90 212 274 99 53 / 54
info@barlaslaw.com

© 2019 Barlas Hukuk Bürosu. Tüm Hakları Saklıdır.

Aydınlatma Metni - Gizlilik Politikası

site by boozaa

error: Bu içerik korumalıdır.