Kişisel Verileri Koruma Kurumu’nun internet sayfasında 15.04.2020 tarihinde Kişisel Verileri Koruma Kurulu’nun (“Kurul”) bazı kararlarının özetleri yayınlanmıştır. Özetlere buradan ulaşabilirsiniz.
İlgili karar özetlerinin incelenmesi sonucunda, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) uygulanmasına ilişkin olarak, Kurul’un aşağıdaki ilkeleri benimsediği anlaşılmaktadır.
06.02.2020 tarihli ve 2020/86 sayılı karar / Bir uçak bileti satış firmasının üyelik e-posta adresine ilişkin güncelleme yapılması talebini kabul etmemesi hakkında:
Veri sorumlusu, ilgili kişiler tarafından yapılan başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbiri almakla yükümlüdür.
Kurul tarafından şikayet üzerine veya resen yapılacak inceleme sonucunda, ihlalin tespiti sonucu, eksikliklerin giderilmesi talimatı veri sorumlusuna tebliğ edilir. Veri sorumlusu, bu talimattan sonra kendisine yapılan başvuruları etkin, hukuka ve dürüstlük kuralına uygun bir şekilde cevaplandıracaktır. Sistemde kayıtlı e-posta adresi dışında başka bir e-posta adresi ile iletişime geçilmesi sebebiyle, veri sorumlusu tarafından kendisine yapılan başvuruları cevapsız bırakması bu kurala aykırılık oluşturacaktır.
KVKK madde 15 gereği, veri sorumlusu, kendine yapılan talimat sonucu hukuka aykırılıkları gecikmeksizin ve en geç 30 gün içinde gidermekle yükümlüdür. Bu kurala aykırılık sebebiyle 50.000 TL idari para cezası uygulanmasına karar verilmiştir.
06.02.2020 tarihli ve 2020/103 sayılı karar / Bir bankanın potansiyel müşteri kazanımı amacıyla ilgili kişinin kişisel verilerini hukuka aykırı şekilde işleyerek hesap açması hakkında:
Kişisel veriler KVKK’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilecektir. Kişisel veriler işlenirken, hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınıflı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uyulacaktır.
Kişisel veriler KVKK madde 5 fıkra 1 uyarınca ilgili kişinin açık rızası olmaksızın işlenemeyecektir. Aynı maddenin 2. fıkrasında sayılan şartların varlığı halinde, açık rıza aranmaksızın kişisel veriler işlenebilecektir, ancak yeni müşteri edinme amacıyla işlemler yapmak bu kapsamda değerlendirilmeyecektir.
KVKK’nın geçici 1. maddesinin 3 numaralı fıkrası uyarınca, KVKK’nın yayım tarihinden (07.04.2016) önce işlenmiş olan kişisel veriler, bu tarihinden itibaren 2 yıl içinde KVKK hükümlerine uygun hale getirilmelidir. Bu bağlamda veri sorumlusu, açık rıza şartı yerine getirilmeksizin işlemiş olduğu ilgili kişiye ait kişisel verileri, derhal silmekle, yok etmekle veya anonim hale getirmekle yükümlüdür. Bu kurala aykırılık sebebiyle 210.000 TL idari para cezası uygulanmasına karar verilmiştir