“Bir tıp merkezinin internet sitesinde video tanıtım bölümü içerisinde görsel ve işitsel kişisel verileri işlenen ilgili kişinin başvurusuna veri sorumlusu tıp merkezi tarafından cevap verilmemesi” hakkında Kişisel Verileri Koruma Kurulunun 14/05/2020 tarihli ve 2020/379 sayılı Karar Özeti
Karar Tarihi | : | 14/05/2020 |
Karar No | : | 2020/379 |
Konu Özeti | : | Bir Tıp Merkezinin internet sitesinde pazarlama amaçlı olarak “Video Tanıtım” bölümü içerisinde görsel ve işitsel kişisel verileri işlenen ilgili kişinin başvurusuna veri sorumlusu Tıp Merkezi tarafından cevap verilmemesi |
İlgili kişiden alınan şikayet dilekçesinde özetle; bir Tıp Merkezinin internet sitesinde pazarlama amaçlı olarak “Video Tanıtım” bölümü içerisinde görsel ve işitsel kişisel verilerinin işlendiği, akdedilen iş sözleşmesi sona ermiş olduğundan kullanılan bu verilerin işleme amacı veya konusunun kalmadığı gerekçesiyle veri işlemenin durdurulmasını ve verilerin kaldırılmasını talep ettiğini, bu çerçevede veri sorumlusuna başvurduğu, bildirimde bulunmasına rağmen yasal sürede ilgili kişiye bilgi verilmediği, internet sitesindeki videoların silinmediği ifade edilerek veri sorumlusu Tıp Merkezine ait internet sitesinde bulunan kişisel verilerinin silinmesi ve başkaca işlenen kişisel verilerinin bulunup bulunmadığı, hangi verilerinin hangi amaçla işlendiği hususlarında tarafına bilgi verilmesi talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde savunmasının alınmasına yönelik Kurum yazısı veri sorumlusuna 01.08.2019 tarihinde tebliğ edilmiş ancak veri sorumlusu tarafından Kurula herhangi bir savunma ve bilgi/belge iletilmemiştir. İlgili kişinin başvurusunda belirtilen ve veri sorumlusuna ait internet sitesi adresine girildiğinde, veri sorumlusu Tıp Merkezinin kim tarafından kurulduğuna ilişkin bilgi ve Merkezi Sicil Kayıt Sisteminde kayıtlı bulunduğu tespit edilmiş olup, eldeki bilgi ve belgeler çerçevesinde yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 14/05/2020 tarih ve 2020/379 sayılı Kararı ile;
- 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Tanımlar” başlıklı 3 üncü maddesinin (1) numaralı fıkrasının (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”; (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde, kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılma sı ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun ise, “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlandığı,
- Bu çerçevede şikâyete konu olayda, ilgili kişiye ait görüntülerin kişisel veri niteliğinde olduğu, şikâyet başvurusunda bulunanın gerçek kişi olması nedeniyle ilgili kişi sıfatını haiz olduğu, kişisel verilerin hangi amaçla ve araçla işleneceğini belirleyip veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olduğu için Tıp Merkezinin veri sorumlusu olduğu, veri sorumlusu tarafından reklam yapmak amacıyla ilgili kişinin görüntülerinin kullanılmasının kişisel veri işleme faaliyeti olduğu ,
- Kanunun “Veri Sorumlusuna Başvuru” başlıklı 13 üncü maddesinin (2) numaralı fıkrasında yer alan “Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır.” hükmü ile “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ” gereği; ilgili kişinin veri sorumlusuna başvurduğu, başvurusunda veri sorumlusu tarafından kişisel verilerinin, işleme amacı veya konusu kalmadığından silinmesi ve ilgili kişinin başkaca işlenen kişisel verilerinin bulunup bulunmadığı, hangi verilerinin hangi amaçla işlendiği hususlarında tarafına bilgi verilmesinin talep edildiği, ilgili kişinin, başvurusunun veri sorumlusuna tebliğ edildiği 15.01.2019 tarihi itibariyle 30 günlük yasal süre içerisinde veri sorumlusundan herhangi bir cevap alamadığının anlaşıldığı, bu nedenle veri sorumlusu tarafından ilgili kişinin başvurusunu cevaplama yükümlülüğünün yerine getirilmediği,
- Öte yandan Kurulun savunma, bilgi/belge talebini içeren resmi yazısının veri sorumlusuna 01.08.2019 tarihinde tebliğ edilmesine rağmen söz konusu tarih itibariyle veri sorumlusu tarafından Kurula herhangi bir savunma ve bilgi/belge iletilmediği,
- Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinde;
“(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.” hükmünün yer aldığı, - Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin (1) numaralı fıkrasında “Veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmüne yer verildiği,
- Kanunun “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi” başlıklı 7 nci maddesinin (1) numaralı fıkrasında yer alan “Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.” hükmü gereği veri sorumlusu tarafından ilgili kişiye ait kişisel verilerin işlenmesini gerektiren herhangi bir sebebin bulunmaması halinde ilgili kişinin başvurusunda belirttiği talep doğrultusunda tüm kişisel verilerinin silinmesi veya yok edilmesi gerektiği
değerlendirmelerinden hareketle;
- Kanunun 11 inci maddesi uyarınca, ilgili kişinin tüm kişisel verilerinin silinmesi veya yok edilmesi talebinin, işlenmesini gerektiren sebep ortadan kalktığı halde; Kanunun 7 nci maddesinin (1) numaralı fıkrası gereği veri sorumlusu tarafından yerine getirilmediği, kişinin silme talebinin üzerinden makul süre geçmesine rağmen söz konusu kişisel veri işleme faaliyetine Kanunun 5 inci maddesinde yer alan şartlarından herhangi birine dayanmaksızın devam edildiği, bu durumun ise Kanuna aykırılık teşkil ettiği, bu kapsamda Kanunun 12 nci maddesinin (1) numaralı fıkrası hükümleri gereğince, kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 75.000 TL idari para cezası uygulanmasına,
- Kanunun 7 nci maddesinin (1) numaralı fıkrası uyarınca ilgili kişinin talebi doğrultusunda işlenmesini gerektiren herhangi bir sebep bulunmaması durumunda veri sorumlusu tarafından ilgili kişiye ait işlenen tüm kişisel verilerin silinmesi veya yok edilmesi ve tevsik edici belgelerin ilgili kişiye ve Kurula gönderilmesi hususunda veri sorumlusunun talimatlandırılmasına,
- Kanunun 13 üncü maddesi kapsamında başvuruda bulunan ilgili kişilere cevap verilmesine ilişkin gerekli özeni göstermesi hususunda veri sorumlusunun talimatlandırılmasına
karar verilmiştir.
Kaynak:https://www.kvkk.gov.tr/
İlginizi çekebilir:https://www.nesilteknoloji.com/kvkk-risk-analizi-nasil-yapilmalidir/