“İlgili kişiye ait kişisel verinin denetim faaliyeti kapsamında bir kamu kurumuna aktarılmasına ilişkin şikayet hakkında” Kişisel Verileri Koruma Kurulunun 03/03/2020 Tarihli ve 2020/196 Sayılı Karar Özeti
Karar Tarihi | : | 03/03/2020 |
Karar No | : | 2020/196 |
Konu Özeti | : | İlgili kişiye ait kişisel verinin denetim faaliyeti kapsamında bir kamu kurumuna aktarılmasına ilişkin şikayet başvurusu hakkında |
Kurumumuza intikal eden şikayet başvurusunda; bir veri sorumlusuna ait internet sitesinin ana sayfasında yayımlanan haberin altına yapılan yorumlarla ilgili olarak, başlatılan idari soruşturma kapsamında veri sorumlusundan habere yapılan yorumların tamamı ve yorum yapan kullanıcı IP adreslerinin istenildiği, bunun üzerine veri sorumlusu tarafından ilgili kişinin kişisel verilerinin çalıştığı kamu kurumuyla paylaşıldığı ve bu nedenle ilgili kişinin çalıştığı kamu kurumunda idari soruşturmaya maruz kaldığı, cep telefonuna ait IP adresinin ilgili kurum ile paylaşılmasının hukuka, hakkaniyete ve ölçülülük ilkesine uygun olmadığından bahisle veri sorumlusu şirket hakkında Kanun kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin yapılan inceleme aşağıdaki hususlar tespit edilmiştir:
- Bir veri sorumlusuna ait internet sitesinin ana sayfasında yayımlanan haberin altına yapılan yorumlar ile ilgili olarak habere konu kamu kurumu nezdinde başlatılan idari soruşturma çerçevesinde söz konusu kamu kurumunda görevli denetçiler tarafından haberin altına yapılan tüm kullanıcı yorumları ve bu yorumları yapan kimselerin tüm IP adreslerinin talep edildiği ve bu talebe cevaben ilgili veri sorumlusunun, tüm kullanıcı yorum ve IP’lerinin diğer veri sorumlusuna aktarıldığı tespit edilmiştir.
- 6698 sayılı Kişisel Verilerin Korunması Kanununun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği hükme bağlanmıştır. Aynı maddenin (2) numaralı fıkrasında da ilgili kişinin açık rızasının aranmayacağı durumlar;
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
şeklinde sayılmıştır.
- Kanunun kişisel verilerin aktarılmasına ilişkin 8 inci maddesi “(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. (2) Kişisel veriler; a) 5 inci maddenin ikinci fıkrasında, b) Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir. (3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” şeklinde düzenlenmiştir.
- Veri güvenliğine ilişkin yükümlülükler Kanunun 12 nci maddesinde hüküm altına alınmış olup, ilgili madde hükmü şu şekildedir;
“(1) Veri sorumlusu;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır."
- Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde, kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verilmiştir. Bu çerçevede, kişisel veriler ancak; hukuka ve dürüstlük kurallarına uygun şekilde, belirli, açık ve meşru amaçlar kapsamında, doğru ve gerektiğinde güncel olma şartıyla, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebilmektedir. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi kapsamında, işlenen veriler belirlenen amaçların gerçekleştirilebilmesine elverişli olmalı, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılması gerekmektedir. Bu noktada önemli olan husus, amacı gerçekleştirmeye yönelik yeterli verinin elde edilip, bunun dışındaki amaç için gerekli olmayan veri işlemeden kaçınılmasıdır.
- 375 sayılı Kanun Hükminde Kararnamenin Ek 24 üncü maddesinde “….Denetime tabi gerçek ve tüzel kişiler, denetim için gereken gizli dahi olsa bütün belge, defter ve bilgileri talep edildiği takdirde ibraz etmek, para ve para hükmündeki evrakı ve ayniyatı ilk talep halinde göstermek, sayılmasına ve incelenmesine yardımcı olmak zorundadır. Müfettiş, denetmen, denetçi, kontrolör ve aktüerler ile bunların yardımcısı ve stajyerleri, görevleri sırasında tüm resmi daire, kurum, kuruluş ve kamuya yararlı derneklerle, gerçek ve tüzel kişilerden gerekli yardım, bilgi, evrak, kayıt ve belgeleri istemeye yetkili olup, kanuni bir engel olmadıkça bu isteğin yerine getirilmesi zorunludur.” hükmüne yer verilmiştir.
- Veri sorumlusu haberin altına yapılan kullanıcı yorumları ve bu yorumları yapan kimselerin IP adreslerini, kanuni yükümlülüklerini yerini getirmesi kapsamında ilgili veri sorumlusuna aktardığını beyan etmiştir.
Yukarıda verilen bilgiler çerçevesinde neticesinde Kişisel Verileri Koruma Kurulunun 03/03/2020 tarihli ve 2020/196 sayılı kararında;
Denetim için gerekli olan tüm bilgi ve belgelerin talep edilmesi şeklinde gerçekleşen kişisel veri işleme faaliyetinin, Kanunun 5 inci maddesinin 2 numaralı fıkrasının (a) bendinde yer alan “kanunlarda açıkça öngörülme” hükmü kapsamında olduğu, şirketin söz konusu verileri aktarmasının ise Kanunun 5 inci maddesinin 2 nci fıkrasının (ç) bendi hükmüne göre “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması ” hükmü kapsamında olduğu, bu çerçevede söz konusu verilerin bahse konu şirket tarafından, kamu kurumuna Kanunun 8 inci maddesinin 2 nci fıkrasının (a) bendi uyarınca aktarıldığı, ancak söz konusu aktarım ile idari soruşturmanın konusu olmayan üçüncü kişilerin kişisel verilerinin de veri sorumlusu şirket tarafından ilgili veri sorumlusuna aktarıldığı dikkate alındığında, idari soruşturma konusu olmayan kişisel verilerin aktarılmasının Kanunun 4 üncü maddesinin 2 numaralı fıkrasının (ç) bendinde yer alan “amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine aykırı olduğu, bu hususun ise hukuka aykırı bir veri işleme faaliyeti olduğu bu itibarla Kanunun 12 nci maddesinin 1 numaralı fıkrasında yer alan veri güvenliğine ilişkin yükümlülükleri yerine getirmediği değerlendirilen veri sorumlusu hakkında Kanunun 18 inci maddesinin 1 numaralı fıkrasının (b) bendi kapsamında 50.000 TL idari para cezası uygulanmasına,
- Kişisel veri aktarılan kamu kurumunun, denetim faaliyetlerinde 6698 sayılı Kanunun 4 üncü maddesinde yer alan Genel İlkeler başta olmak üzere kanun hükümlerine uyum hususunda azami dikkat ve özeni göstermesi, öte yandan, ve söz konusu soruşturma kapsamında elde edilmiş ve soruşturma konusuyla ilgili olmayan üçüncü kişilere ait kişisel verilerin Kanunun 7 nci maddesinde yer alan hükümler çerçevesinde silinmesi veya yok edilmesi ve sonucundan Kurula bilgi verilmesi hususlarında talimatlandırılmasına
karar vermiştir.