Tahkim Bülteni 4. Sayı
Ocak 14, 2021Veri Gizliliğinin Korunması Ekseninde Rekabet Hukukunun Rolü
Ocak 20, 2021
KURUM KARARLARI
Kişisel Verileri Koruma Kurulu, Veri Sorumluları Tarafından Kişilerin Telefon Numarası, E-Posta Adresi Gibi İletişim Kanallarına Kanuna Aykırı Şekilde Gönderilen Üçüncü Kişilere Ait Kişisel Veriler Hakkında İlke Kararı Yayımladı
Kurulun 22.12.2020 tarihli 2020/966 sayılı ilke kararı, 31365 sayılı 15 Ocak 2021 tarihli Resmi Gazete’de yayımlandı. Kuruma gelen ihbar ve şikayetlerde, e-ticaret, telekomünikasyon, ulaşım, turizm gibi muhtelif sektörlerde faaliyet gösteren veri sorumlularının fatura, ekstre, rezervasyon belgesi gibi dokümanları ilgili kişilerin telefonlarına SMS olarak veya eposta yoluyla göndermek için aldıkları numara veya eposta adreslerinin doğru olmaması sonucu, kişisel veri içeren bu belgelerin üçüncü kişilere gönderildiği belirtilmiştir.
Kurul, Kişisel Verilerin Korunması Kanunu’nda, veri işlemede uyulması gereken ilkeler arasında “doğruluk ve gerektiğinde güncel olma”nın da sayıldığını, bu bağlamda bu ilkenin hem veri sorumlusunun çıkarına uygun olduğu hem de ilgili kişinin temel hak ve özgürlüklerini korumak için gerekli olduğunu belirtmiştir. Ayrıca, veri sorumlusunun kişisel veriden hareketle, ilgili kişiye ilişkin sonuca ulaşıyor olması halinde, kişisel veriyi doğru ve gerektiğinde güncel tutmanın, veri sorumlusunun aktif özen yükümlülüğü haline geldiğinden söz edilmiştir. Bu yükümlülüğü yerine getirmek için ise, veri sorumlusunun kişisel verinin kaynağını veya güncel tutabilmesi için gerekli yolları belirlemesi ve ulaşılabilir olduğundan emin olması gerekmektedir. Aksi takdirde, ilgili kişinin bu sebeple maruz kalacağı maddi ve manevi zararlardan sorumlu hale gelecektir. Kararda, telefon veya eposta adresine doğrulama kodu/linki gönderilmesi örnek gösterilerek, bu yönde gerekli önlemlerin alınması gerektiği belirtilmiştir.
Fatura gibi kişisel veri içeren belgelerin kanuna aykırılık oluşturacak şekilde gönderilmesini önlemek için, veri sorumlularının ilgili kişilere ilişkin iletişim bilgilerini doğrulama mekanizmaları oluşturması ve bunları uygulaması adına kişisel verilerin hukuka aykırı olarak işlenmesini, erişilebilir olmasını önlemek ve muhafazasını sağlamak için Kanunda alınması zorunlu kılınan teknik ve idari tedbirlerin alınması yönünde ilke kararı alınmıştır.(1)
Whatsapp Gizlilik Sözleşmesi ve Uygulanmasının Ertelenmesin ve Kurul Kararı
Bilindiği üzere Whatsapp Inc., Facebook Inc.’in satın alımından sonra gizlilik sözleşmesi değişimine gitti. Yeni gizlilik sözleşmesine göre Whatsapp, kullanıcıların verilerini doğrudan Facebook ile paylaşıma gidebilecek. Whatsapp kullanıcıları yeni sözleşmeyi 8 Şubat’a kadar kabul etmezler ise uygulamayı kullanamayacakları da Whatsapp tarafından bildirildi. Bunun üzerine, vatandaşlar, Telegram, BİP gibi uygulamalara geçmeye başladı.
Sözleşmeyi Avrupa’daki kullanıcılarından muaf tutan Whatsapp, daha da fazla kullanıcı kaybetmek istemeyerek, kişilerin Facebook ile paylaşılmayacağı ve sohbetlerin uçtan uca şifreli kalacağına yönelik beyanlarda bulundu. Yine de azalmayan şikayetler üzerine, gizlilik sözleşmesi kabul tarihi 15 Mayıs 2021’e ertelendi. Ancak kabul etmeyen kullanıcıların yine hesaplarını kullanamayacağı ortaya kondu.
Gelişmeler Sonrası Kişisel Verilerin Korunması Kurulunun 12.01.2021 Tarihli Kararı:
Karara göre; kişisel verilerin işlenebilmesi için Kanun’un 5’inci ve 6’ncı maddelerinde yer alan işleme şartlarından herhangi birinin mevcut olması yoksa ilgili kişilerden ancak açık rıza alınarak kişisel verilerin işlenebileceği birçok kararında da olduğu gibi kaleme alınmıştır.
Kişisel verilerin işlenmesine açık rıza vermek, kişiye sıkı sıkıya bağlı bir hak olduğundan verilen açık rıza geri alınabilir. Bu bağlamda kişisel verilerin geleceğini belirleme hakkı ilgili kişiye ait olup, kişi dilediği zaman veri sorumlusuna vermiş olduğu açık rızasını geri alabilir. Ayrıca Kurul’un 16.02.2018 tarihli ve 2018/19 sayılı kararına göre, açık rızanın üyelik veya hizmet şartına bağlanması hakkın kötüye kullanılması ve açık rızanın sakatlanacağı, bu sebeple Kanun’un 12’nci maddesinin1.fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kanunun 18. maddesi uyarınca idari yaptırım uygulanmasına karar verildiği belirtilmiştir.
Kararın devamında; WhatsAppInc. tarafından, WhatsApp uygulamasını kullanmak isteyen kullanıcıların kişisel verilerinin işlenmesine ve yurtdışında bulunan üçüncü taraflara aktarılmasına rıza verilmesini içerecek şekilde kullanım şartlarının güncellendiği, bu kapsamda rıza vermeyen kullanıcıların uygulamayı kullanamayacağına ve hesaplarının silineceğine dair kullanıcılara bilgilendirme iletildiği tespit edilmiştir denilip Kanunda belirlenen açık rızanın unsurlarından “özgür iradeyle açıklanması” açısından bir ihlal oluşturup oluşturmadığı, Kanunun 4 üncü maddesinde sayılan ilkelerden “hukuka ve dürüstlük kurallarına uygun olma”, “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkeleri açısından bir ihlale sebebiyet verip vermediği, sunulan hizmetin açık rıza şartına bağlanmış olmasının verilen açık rızayı sakatlayabileceği bu durumun da kişisel verilerin hukuka aykırı işlenmesi sonucunu doğurabileceği dikkate alındığında WhatsappInc. tarafından yapılan güncelleme ile hizmetin rıza şartına bağlanması durumunun ortaya çıkıp çıkmadığı, Kurul tarafından re’sen inceleme altına alınmıştır.(2)
Kişisel Verileri Koruma Dergisi’nin Yeni Sayısı Yayımlandı
Kişisel Verilerin Korunması Kurumu tarafından yılda iki kere yayımlanan Kişisel Verileri Koruma Dergisinin 2020 yılına ait 2.sayısı 31 Aralık 2020’de yayımlandı. Derginin bu sayısında:
E-Gizlilik Tüzüğü Çalışmaları Işığında Türk Hukukunda Elektronik Haberleşmenin Gizliliğinin Korunması
-
Avrupa Birliği Genel Veri Koruma Tüzüğü Kapsamında Gerçek Kişilerin Kişisel Sosyal Robot Kullanımından Doğabilecek Sorumlulukları
-
6698 Sayılı Kanun’un Sistematiğinde Yargısal Başvuru Yolları
-
İş İlişkilerinde Bazı Yaygın Uygulamaların Kişisel Verilerin Korunması Kanunu Kapsamında Değerlendirilmesi
-
Parçalı Bulutlar: Cloud Act ve Etkileri başlıklı makalelere yer verildi. Dergiye KVKK’nın internet sayfasından veya https://dergipark.org.tr/tr/pub/kvkd adresinden ulaşılabilir.(3)
GÜNCEL HABERLER
Dailymotion, TikTok, Linkedin, Facebook ve Instagram Türkiye’de temsilcilik açıyor
Bilindiği üzere 5651 sayılı Kanun’a 7253 sayılı Kanun ile eklenen hüküm gereğince, Türkiye’den günlük erişimi bir milyondan fazla olan yurt dışı kaynaklı sosyal ağ sağlayıcıların, yetkili en az bir kişiyi temsilci olarak ataması gerekmektedir. Dailymotion, TikTok, Linkedin, Facebook ve Instagram’a, Bilgi Teknolojileri ve İletişim Kurumu tarafından gönderilen bildirime rağmen otuz gün içinde temsilci atamadıkları için başta 10 milyon TL, bu idari para cezasının tebliğinden sonraki otuz gün içinde hala temsilci atamadıkları için 30 milyon TL idari para cezası kesilmişti. İkinci cezanın ardından 30 günün dolmasına ve reklam yasaklarıyla karşı karşıya kalmalarına sayılı gün kala, Dailymotion, TikTok, Linkedin, Facebook ve Instagram’ın Türkiye’de temsilcilik açacağı açıklandı.(4)
Sosyal Medya Yasası Olarak Da Bilinen 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi Ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun Kapsamında Twitter ve Temsilci Atama Yükümlülüğünü Yerine Getirmeyen Diğer Sosyal Medya Sağlayıcılarına Reklam Yasağı Geliyor
Geçtiğimiz aylarda 7253 Sayılı Kanun’un yürürlüğe girmesiyle 5651 Sayılı Kanun’da yapılan değişiklikler kapsamında henüz ülkemize birer temsilci atamamış olan Twitter gibi şirketlere 19.02.2021 tarihi itibariyle reklam yasağı uygulanacak. 1 Ekim 2020 tarihinde yürürlüğe giren yasa kapsamında bugüne kadar Rusya’dan VKontakte’nin (VK) yanı sıra YouTube, TikTok, Dailymotion, Linkedin, Facebook ve Instagram Türkiye’de temsilcilik açmayı kabul ederken; Twitter, Periscope ve Pinterest gibi şirketlerden bu konuda bir adım atılmış değil. Temsilcilik açmayı kabul etmeyen şirketlere ilk etapta 10 milyon Türk Lirası, ikinci adımda 30 milyon Türk Lirası olmak üzere toplamda 40 milyon Türk Lirası idari para cezası kesildi ve cezalar şirketlerin yurt dışındaki adreslerine tebliğ edildi. Reklam yasağı kararının uygulanmasıyla birlikte Türkiye’de vergi mükellefi olan şirket ve kişilerin, bahsi geçen sosyal ağ sağlayıcılarına reklam vermesi yasaklanacak. reklam yasağından itibaren geçerli olmak üzere 3 ay sonra internet trafiği bant genişliğinin %50 oranında daraltılması olacak. Başvurunun kabulüne ilişkin hâkim kararının uygulanmasından itibaren 30 gün içinde yine gerekli şartlar sağlanmazsa BTK Başkanı, sosyal ağ sağlayıcının bant genişliğinin bu kez %90’a kadar daraltılması için Sulh Ceza Hakimliğine başvurabilecek.(5)
BDDK’dan Yeni Adım: Bankalar Artık Müşterilere Bu Soruları Sormayacak
Elektronik bankacılık hizmetlerinin kimlik tespitlerinde artık müşterinin kimlik bilgileri ve annenin evlenmeden önceki soyadı sorulmayacak. Müşterilere ilişkin doğrulama bilgileri müşteriye özgü olacak, taklit edilemeyecek. Mobil bankacılık uygulaması kullananlara doğrulama işlemleri için mesaj gönderilmeyecek. Bankalar bunu bir kimlik doğrulama unsuru olarak kullanmayacak. Ancak düzenlemede kimlik doğrulanması için biyometrik veri alınacağı da akıllarda soru işareti bıraktı.
Düzenlemenin sebebinin ise Kişisel Verileri Koruma Kurulunun verdiği 06/02/2020 Tarihli ve 2020/103 sayılı karar olduğu tahmin edilmekte. İlgili karara göre müşteri bilgilerinin anne kızlık soyadı dahil bir başka şube tarafından görüntülenmesi sonucunda bankaya 210.000 TL’lik idari para cezası kesilmişti.(6)
İstenmeyen Aramaları Engellemek İçin Ticari Elektronik İleti Yönetim Sistemi, e-Devlet’te Kullanıma Açıldı
Ticaret Bakanlığı’nın, tüketicilerin istenmeyen SMS, e-posta ve sesli aramalar gibi iletilerle ilgili maruz kaldığı rahatsızlıkların ortadan kaldırılması amacıyla oluşturduğu İYS, e-Devlet’te vatandaşların kullanıma sunuldu.
Bakanlık tarafından 150 bin adedin üstünde ticari elektronik ileti onayı olan hizmet sağlayıcılara mevcut onaylarını İYS’ye yüklemeleri için verilen süre 31 Aralık 2020’de sona ermişti. Ancak 150 bin adet ve altında ticari elektronik ileti onayı olan hizmet sağlayıcılara mevcut onaylarını İYS’ye yüklemeleri için verilen süre ise 31 Mayıs 2021 tarihinde sona erecek. Tüketiciler söz konusu onayları 1 Haziran 2021-16 Temmuz 2021’de kontrol edebilecek. Belirlenen sürelerde vatandaşlar tarafından ret hakkının kullanılmaması halinde, hizmet sağlayıcılar tarafından İYS’ye aktarılan veriler onaylı sayılacak.
Kişisel Verileri Koruma Kurulunun 18.09.2019 Tarihli ve 2019/276 sayılı Kararı’nda, bir eğitim kurumuna ilgili kişilere açık rızaları olmadan reklam amaçlı SMS gönderildiğinden 50.000 TL idari para cezası kesilmişti.(7)
KAYNAKÇA
(1) Kişisel Verileri Koruma Kurulunun 22/12/2020 Tarihli ve 2020/966 sayılı İlke Kararı
