Kişisel Verileri Koruma Kurulu’nun, İhlallere İlişkin Son Almış Olduğu Karar Özetlerini Web
Sitesi Üzerinden Yayınladı.

Kişisel Verileri Koruma Kurumu (“KVKK”/“Kurul”), kişisel verilerin amacı dışında kullanım
tespitlerinde, ceza uygulamalarına devam ediyor. 2017’den Ekim 2019’a kadar kurula 129
veri ihlal bildirimi yapılırken bu ihlallerden yaklaşık 3 milyon kişinin etkilendiği belirtildi. Son
olarak bir banka, hava yolu, operatör ve eğitim kurumunun yapmış olduğu veri ihlali karar
özetleri kurulun resmi internet sitesi www.kvkk.org.tr ‘de 6 Kasım 2019’da tarihinde
yayınlandı.

Kurulun ilgili karar özetlerini ve yorumlarını aşağıda detaylı olarak derledik.
“Bir bankanın, ilgili kişinin cep telefonu numarasını bankaya veriliş amacı dışında
kullanması” hakkında Kişisel Verileri Koruma Kurulunun 18/09/2019 Tarihli ve 2019/277

Sayılı Karar Özeti.

Karara konu olayda bir banka çalışanı, müşterisini arayarak eşinin müdürü olduğu Şirket ile
ilgili bir konuda eşine ulaşamadığını, bu konuda kendisine yardımcı olmasını talep ettiğini
belirtmiştir. Banka müşterisi olan söz konusu başvuru sahibi kişi de Bankaya kendisiyle ilgili
işlemlerde kullanılması için vermiş olduğu iletişim bilgilerine amacı dışında nasıl ve neden
ulaşıldığı hakkında bilgi almak için Bankaya başvuru yaptığı ve Bankanın kendisine yazılı bir
cevap vermediği iddiasıyla kuruma başvuruda bulunmuştur. Bankanın ise Şikâyetçinin e-
posta adresine mesaj gönderdiği ve gönderilen mesajda “… paylaşımınız hakkında detaylı
bilgilendirme yapabilmek amacıyla iletişim numaranız üzerinden size ulaşmayı denedik ancak
yanıt alamadık. İşleminiz ile ilgili detayları …Hizmet Hattı’nı arayarak
öğrenebilirsiniz…” ifadelerine yer verilerek şikayetçinin bilgilendirilmesi yoluna gittiği tespit
edilmiştir.

KVKK yapmış olduğu inceleme ve değerlendirme sonucunda Bankanın vermiş olduğu ilgili
cevabı açıklayıcı nitelikte yazılı veya elektronik ortamda bir cevap olarak
değerlendirilemeyeceği kanaatine ulaşmıştır. Ek olarak KVKK tarafından, müşterinin
telefonunun kendisine ait iş ve işlemler dışında kişinin eşine ulaşılmasında yardımcı
olunabilmesi adına işlenmesinin 6698 sayılı Kişisel Verileri Koruma Kanunu’nun (“Kanun”) 12
nci maddesinin birinci fıkrasının (a) bendi uyarınca veri sorumlusunun kişisel verilerin
hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye
yönelik gerekli her türlü teknik ve idari tedbirleri almadığını göstermesi nedeniyle Banka
hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000
TL idari para cezası uygulanmasına karar verilmiştir.

“Bir havayolu taşımacılık şirketinin (veri sorumlusu) sunduğu sadakat programını kullanan
ilgili kişinin kullanıcı adı ve parola bilgilerini değiştirme talebi karşısında ilgili kişiden arkalı
önlü kimlik görüntüsü talep eden veri sorumlusu” hakkında Kişisel Verileri Koruma
Kurulunun 01.10.2019 Tarihli ve 2019/294 sayılı Karar Özeti.

Havayolu taşımacılık şirketinin (veri sorumlusu) sunmuş olduğu sadakat programını
kullanırken kullanıcı adı ve parola bilgilerini değiştirme talebiyle veri sorumlusuna başvuran
ilgili kişiye, arkalı önlü kimlik görüntüsünü iletmesi halinde talebinin yerine
getirileceği cevabının verilmesi, o sırada bilet bilgilerine erişmek için kimlik görüntüsünü
elektronik olarak ileten, ancak daha sonra veri sorumlusuna başvurmak suretiyle kimlik
görüntülerinin silinmesi ve kişisel verileri üçüncü kişilere aktarıldıysa, verilerin aktarılan
üçüncü kişilerin kayıtlarından da silinmesi talebine kişisel verilerinin sistemlerinde
tutulmadığı ve üçüncü kişilerle paylaşılmadığı yanıtını alan ilgili kişi Kuruma başvuru yaparak
şikayetçi olmuştur.

KVKK yapmış olduğu incelemede, öncelikle kişinin kimlik görüntüsünde yer alan
bilgilerin “kan grubu” ve “din” bilgilerini de içermesi nedeniyle arkalı önlü kimlik
görüntüsünde yer alan verilerin özel nitelikli kişisel veri niteliğinde olduğunu ve açık rıza
alınması gerektiğini  belirtmiştir. Kurumca ilgili işlemin verilerin işlenme şartlarına uygun
olmadığından dolayı başta açık ve meşru amaçlar için işlenme ilkesi olmak üzere hukuka
uygunluk ilkelerine aykırı olduğun belirlenmiş, kimlik görüntüsünün muhafaza edilmesine
rağmen kayıt altına alınmadığı yönünde ilgili kişiye cevap vermesinden dolayı şeffaf olmadığı
ve bu nedenlerle de dürüstlük kuralına aykırı veri işleme faaliyetinde bulunulduğu tespit
edilmiştir.

KVKK, konuya ilişkin şikayet edilen kuruma çeşitli talimatlarının yanında bir  de Kanunun 12
inci maddesinin (1) numaralı fıkrasında yer alan veri güvenliğine ilişkin yükümlülükleri
yerine getirmediğini değerlendirdiği Veri Sorumlusu hakkında Kanunun 18 inci maddesinin 1
numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına karar
vermiştir.
“Bir operatör şirketinin, ilgili kişinin internet sitesi üzerinden yapmış olduğu başvurusunu
kimlik teyidi yapamadığı gerekçesiyle reddetmesine ilişkin olarak Kurula yapılan başvuru”
hakkında Kişisel Verileri Koruma Kurulunun 01/10/2019 Tarihli ve 2019/296 Sayılı Karar
Özeti.
Operatör şirketi, kendisine yapılan başvuruyu Şirketin internet sitesinde bulunan KVKK
başvuru formunun doldurularak, noter aracılığıyla veya elektronik imzalı e-posta ile
iletilmediğinden, bahisle kimlik teyidi yapılamadığı gerekçesiyle reddetmiştir.
KVKK başvurucunun şikayeti üzerine yapmış olduğu inceleme sonucunda kimlik teyidi
sağlamak amacıyla yalnızca noter kanalı veyahut e-imza ile başvuruda bulunabileceğinin

bildirilmesi sonucu Kanun’da ya da Tebliğ’de öngörülmeyen maddi bir külfet getirilmesinin ve
ilgili kişinin bu şekilde yanlış yönlendirilmesi suretiyle söz konusu KVKK talep formunu
doldurarak usule uygun bir başvuru yapma hakkının engellenmesinin  Veri Sorumlusuna
Başvuru Usul ve Esasları Hakkında Tebliğ’in (“Tebliğ”) 6’ncı maddesinde sayılan hukuka
uygunluk ve dürüstlük kuralı ile bağdaşmayacağı dikkate alındığında, Tebliğ hükümlerine
uyum konusunda azami dikkat ve özenin gösterilmesi hususunda Şirketin
talimatlandırılmasına ve İlgili kişiye ise Kanun’un 11’inci maddesi kapsamında ilgili kişinin
hakları ile Tebliğ’in ilgili maddelerinin hatırlatılmasına karar vermiştir.
·Sevinç Eğitim Kurumlarının kişisel veri işleme şartları olmaksızın ilgili kişinin cep
telefonuna reklam amaçlı kısa mesaj göndermesi” hakkında Kişisel Verileri Koruma

Kurulunun 18.09.2019 Tarihli ve 2019/276 sayılı Karar Özeti.
Şikayetçinin Sevinç Eğitim Kurumlarının cep telefonuna reklam amaçlı kısa mesaj
göndermesinin ardından yaptığı şikayet üzerine, Sevinç Eğitim Kurumları nezdinde yapılan
yerinde inceleme esnasında istenilen ve 05.08.2019 tarihine kadar Kuruma gönderilmesi
tebliğ edilen bilgi ve belgelerin eğitim kurumu tarafından Kuruma iletilmediği de dikkate
alınarak, ilgili eğitim kurumu tarafından Şikayetçinin açık rızası veya Kanunun 5 inci
maddesinin (2) numaralı fıkrasında sayılan diğer işleme şartları olmaksızın cep telefonuna
reklam amaçlı mesaj gönderilmesi suretiyle kişisel verilerinin işlenmesi nedeniyle anılan
eğitim kurumunun Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendi
kapsamında kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik
düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine
varılması sebebiyle, Sevinç Eğitim Kurumları hakkında Kanunun 18 inci maddesinin (1)
numaralı fıkrasının (b) bendi hükmü gereğince 50.000 TL idari para cezası uygulanmasına
KVKK tarafından karar verilmiştir.