Av. Muhittin Ertuğrul ERTÜRK yazdı…
Yurt dışında yerleşik tüzel kişilerin Türkiye’deki şubelerinin KVKK kapsamında olup olmadığı hakkında karar.
Kişisel Verileri Koruma Kurulu’na iletilen (“Kurul”) yurt dışında yerleşik tüzel kişilerin Türkiye’de işlemekte oldukları kişisel veriler nedeniyle; (i) yurt dışında yerleşik tüzel kişiler, (ii) yurtdışında yerleşik tüzel kişilerin Türkiye’deki şubeleri, (iii) yurt dışında yerleşik tüzel kişilerin Türkiye’deki irtibat bürolarının 6698 sayılı Kişisel Verileri Koruma Kanunu (“KVKK”) kapsamında veri sorumlusu sıfatına haiz olup olmayacağı, Sicile kayıt yükümlülüğü ve istisna kriterleri açısından değerlendirilmesi konusundaki görüş talebinin incelenmesi neticesinde 23/07/2019 tarihli ve 2019/225 sayılı karar Kurul’un internet sitesinde özet halinde yayımlanmıştır. Kurul tarafından yapılan incelemeler neticesinde; KVKK kapsamında veri sorumlusu, “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlanmıştır. Bu kapsamda yurt dışında yerleşik tüzel kişilerin, Türkiye’de doğrudan veya şubeleri aracılığıyla kişisel veri işleme faaliyetinde bulunan yurt dışında yerleşik veri sorumlularının KVKK kapsamında veri sorumlusu oldukları ve veri sorumluları siciline kayıt olmaları gerektiği ifade edilmiştir. Yurt dışında yerleşik tüzel kişilerin Türkiye’deki şubeleri açısından Kurul’un 2018/88 sayılı ve 2019/265 sayılı kararlarında yer alan “yıllık çalışan sayısı” ve “yıllık mali bilanço toplamı” kriterleri açısından yapılacak değerlendirme sonucunda Sicile kayıt yükümlülüğü bulunup bulunmadığına karar verileceğine, bu kriterleri taşımayan yurt dışında yerleşik tüzel kişilerin Türkiye’deki şubelerinin ise Sicile kayıt yükümlülüğünün bulunmadığı sonucuna ulaşılmıştır. Yurt dışında yerleşik tüzel kişilerin irtibat bürosu açabilmesi açısından şirket tüzel kişiliklerinin yabancı ülke kanunlarına göre kurulması ve kurulan irtibat bürolarının Türkiye’de ticari faaliyette bulunmaması gerektiği, irtibat bürolarının ticari faaliyet dışında haberleşme, fizibilite araştırması yapma, sosyal ve kültürel alanlarda bazı çalışmaları yürütme, şirketler arasında birleşme ve devirler için ön hazırlık yapma, tanıtım ve reklam, ülkedeki iş olanaklarının yakından takip etme ve bu konular hakkında merkez firmaya bilgi verme amacı doğrultusunda açılan bürolar olması ve şube özelliği bulunmadığı hususu dikkate alındığında söz konusu irtibat bürolarının Sicile kayıt olma yükümlülüğünün bulunmadığı sonucuna ulaşılmıştır.
Turizm Şirketi Hakkında Veri İhlaline İlişkin Karar
Bir turizm şirketinin Kurul’a iletilen bildirimin incelenmesi neticesinde Kurul tarafından 27.08.2019 tarihli 2019/225 sayılı Karar’a hükmedilmiştir. KVKK’nın 12.maddesinin 1.fıkrasının (a) bendinde belirtilen veri sorumlusunun; (i) kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, (ii) kişisel verilere hukuka aykırı olarak erişilmesini önlemek, (iii) kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma zorunluluğu ile 3.fıkrasında yer alan “veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.” hükmü çerçevesinde Şirket hakkında KVKK’nın 18.maddesinin 1.fıkrasının (b) bendi kapsamında 400.000 TL idari para cezası uygulanmasına, şirket tarafından tespit edilen ihlale ilişkin ilgili kişilere bildirim yapılmadığı ve Kuruma yapılan bildirimin KVKK’nın 12. maddesinin (5) numaralı fıkrasında yer verilen “en kısa sürede” bildirimde bulunma yükümlülüğüne aykırılık teşkil etmesi nedeniyle KVKK’nın 18. maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına karar verilmiştir.
Kurumsal E-posta Hizmetinin, Google Firmasına Ait G-mail Üzerinden Yine Aynı Uzantıya Sahip Olarak Kullanılıp Kullanılmayacağına Dair Karar
Veri sorumlusunun ücretsiz bir kurumsal e-posta hizmeti sunan Zimbra aracılığıyla oluşturduğu kurumsal e-posta adreslerinin, Google şirketine ait olan G-mail üzerinden yine aynı uzantıya sahip olarak kullanılıp kullanılmayacağına ilişkin Kurul’un görüşlerini talep eden yazının incelenmesi sonucunda, Kurul tarafından 31.05.2019 tarihli 2019/157 sayılı Karar hükmedilmiştir. Bilindiği üzere KVKK’nın 9. maddesinin 1.fıkrası doğrultusunda kişisel verilerin ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağına hükmedilmiştir. Aynı maddenin 2.fıkrasında ise KVKK’nın 5. maddesinde bulunan ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlendiği şartlarından ve 6. maddede bulunan özel nitelikli kişisel verilerin ilgili kişinin açık rızası aranmaksızın işleneceği şartlarından birinin varlığının bulunması halinde yurtdışına kişisel veri aktarımına ilişkin hususlar düzenlenmiştir. Bu kapsamda kişisel verilerin aktarılacağı yabancı ülkede; (i) yeterli korumanın bulunması, (ii) yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul’un izninin bulunması kaydıyla kişisel verilerin ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabileceği öngörülmüştür. KVKK’nın yukarıda açıklanan maddesi kapsamında, Kurul tarafından yapılan değerlendirmeler sonucunda; Google firmasına ait G-mail e-posta hizmetinin altyapısının kullanılması durumunda gönderilen ve alınan e-postaların dünyanın çeşitli yerlerinde bulunan veri merkezlerinde tutulması sonucunda kişisel verilerin yurt dışına aktarılmış olacağı söz konusu olacağından KVKK’nın yukarıda belirtilen 9. maddesi hükümlerine uygun olarak gerçekleştirilmesine, server’ları yurt dışında bulunan veri sorumlularından ya da veri işleyenlerden temin edilen saklama hizmetlerinin de KVKK’nın 9. maddesinin hükümlerine uygun olarak gerçekleştirilmesine karar verilmiştir.
Varlık Yönetim Şirketinin İlgili Kişiye Aynı Konu Hakkında Birden Fazla Mesaj Gönderimine İlişkin Karar
İlgili kişiye ait telefon numarasına açık rızası olmaksızın bir varlık yönetim şirketi tarafından kısa mesajların (“SMS”) gelmesi, gelen SMS’lerde ret bildirimin bulunmaması ve ilgili kişinin kişisel verilerinin Şirket tarafından nereden ve nasıl temin edildiğini bilmemesi neticesinde ilgili kişi tarafından KVKK kapsamında Şirket’e başvurulmuş ancak herhangi bir cevap alınamamıştır. Bu kapsamda ilgili kişi tarafından Kurul’a şikayette bulunulmuş ve işbu şikayetin Kurul tarafından incelenmesi sonucunda 31.05.2019 tarihli 2019/159 sayılı Karar’a hükmedilmiştir. Kurul tarafından yapılan incelemeler sonucunda; KVKK’nın 4. maddesinin 2. fıkrasının (a) bendi kapsamında kişisel verilerin işlenmesinin hukuka ve dürüstlük kurallarına uygun olma ilkesi ile 12. maddesinin 1.fıkrasının (a) bendinde belirtilen veri sorumlusunun; (i) kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, (ii) kişisel verilere hukuka aykırı olarak işlenmesini önlemek, (iii) kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma zorunluluğu göz önünde bulundurularak; Şirket tarafından ilgili kişinin telefon numarasına aynı içerikteki mesajların farklı tarihlerde birden fazla gönderilmesinin veri sorumlusunun sahip olduğu hakkı kötüye kullanımı olarak değerlendirilmesi sonucunda KVKK’nın 18.maddesinin 1.fıkrasının (b) bendi kapsamında 20.000-TL idari para cezasına karar verilmiştir.
İlgili Kişiye Ait Telefon Numarasına Kendisine Ait Olmayan İçeriğin Gönderilmesine İlişkin Karar
İlgili kişi tarafından kendi telefon numarasına içeriği kendisine ait olmayan bir kısa mesaj gönderilmesi akabinde, ilgili kişi tarafından veri sorumlusuna yapılan başvuruya cevaben, veri sorumlusu tarafından bu kısa mesajın başka bir aboneye gönderim yapılacakken telefon numarasındaki bir rakamın personel hatası nedeniyle yanlış yazılması sonucu gönderildiğine ilişkin açıklamada bulunulmuştur. Bu cevap akabinde, ilgili kişi tarafından, kendisine gelen kısa mesajdaki içeriğin yeğenine ait olduğu ve veri sorumlusunun açıklamasının aksine, bir rakamının karıştırılması nedeniyle bu iki telefon numarası arasında yanlışlık yaşanmasının mümkün olmadığı yönünde Kurul’a başvuruda bulunulmuştur. İşbu başvurunun Kurul tarafından incelenmesi sonucunda 31.05.2019 tarihli 2019/166 sayılı Karar’a hükmedilmiştir. Kurul tarafından yapılan incelemede; Bir şirketler grubuna borçlu olduğu belirtilen ve şikayetçinin yeğeni olduğu anlaşılan kişinin ad, soyad ve hizmet numarasının şikayetçiye ait hatta gönderilmesi fiili ile şikayetçiye ait telefon numarasının, KVKK kapsamında düzenlenen kişisel veri işleme şartlarından herhangi birine dayanmadan işlenmesi şeklindeki tek bir harekete bağlı iki farklı veri işleme faaliyeti olduğu sonucuna varılmıştır. Bu doğrultuda KVKK’nın 12. maddesinin 1. fıkrasının (a) bendinde düzenlenen “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğünü yerine getirmediği anlaşılan veri sorumlusu avukat hakkında, KVKK’nın 18. maddesinin 1. fıkrasının (b) bendi kapsamında 50.000 TL idari para cezası uygulanmasına karar verilmiştir.
Veri Sorumlusu anonim şirketin ilgili kişinin açık rızası olmaksızın elektronik ticari ileti göndermesine ilişkin karar
Veri sorumlusu anonim şirket tarafından şikâyetçiye ait telefon numarasına reklam amaçlı gönderilen kısa mesaj üzerine, ilgili kişi kişisel verilerinin nasıl ve nereden temin edildiğini bilmemesi ve buna ilişkin olarak da kişisel verilerinin açık rızası olmaksızın kullanılması dolayısıyla veri sorumlusuna başvuruda bulunmuş ve işbu başvurunun Kurul tarafından incelenmesi sonucunda 31.05.2019 tarihli 2019/162 sayılı Karar’a hükmedilmiştir. Kurul tarafından yapılan incelemede şikâyetçinin kişisel verisi olan cep telefonu numarası bilgisinin veri sorumlusu anonim şirket tarafından kendisine reklam içerikli mesaj gönderilmesi suretiyle kullanılmasının; Kişisel verilerin korunması mevzuatı açısından bir veri işleme faaliyeti olduğu, veri işlemenin ise KVKK’nın 5. ve 6. maddelerinde yer alan işleme şartlarından birine dayanması gerektiği, ancak şikayet konusu mesaj gönderiminin herhangi bir işleme şartına dayanmadığı değerlendirilmiştir. Bu doğrultuda kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı için veri sorumlusu hakkında, KVKK’nın 12. maddesinin 1. fıkrasının (a) bendinde aykırı davranmış olması nedeniyle KVKK’nın 18. maddesinin 1. fıkrasının (b) bendi uyarınca 50.000 TL idari para cezası uygulanmasına karar verilmiştir.
Şikayetçinin şahsına ait cep telefonunun açık rızası olmaksızın bir yatırım ve menkul değerler şirketi tarafından bilgilendirme/reklam amaçlı aranması hakkında karar
Kurul tarafından yapılan inceleme neticesinde Kurul tarafından; KVKK’nın 5. maddesinde sayılan veri işleme şartlarından birine dayanmaksızın telefon numarası işlediği ve Şirket’in hukuka aykırı veri işleme faaliyetinde bulunduğu sonucuna varılmıştır. Bu sebeple KVKK’nın 12. maddesinin 1. fıkrasının (a) bendinde düzenlenen kişisel verilerin hukuka aykırı olarak işlenmesini önleme yükümlülüğüne aykırı davranan Şirket hakkında KVKK’nın 18. maddesinin 1. fıkrasının (b) bendi uyarınca 75.000 TL idari para cezası uygulanmasına, Şikayetçinin Şirket’in yeni personelinin Şirket’e bu verileri aktardığı iddialarına ilişkin olarak; Şikayetçinin 5237 sayılı Türk Ceza Kanunu’nun 136. maddesi hakkında bilgilendirilmesine, Şikayetçinin Şirketi muhatap başvurusunda yer alan kişisel verilerinin kimlerden ne şekilde elde edildiğine dair bilgi talebine Şirketçe cevap verilmemiş olması nedeniyle Şirketin KVKK’ya uyum konusunda gerekli hassasiyeti ve özeni göstermesi yönünde uyarılmasına ve söz konusu hususlarda Şirket’in Şikayetçiye bilgi vermesi yönünde talimatlandırılmasına karar verilmiştir.