- Konu Başlıkları
- 6698 Sayılı Kişisel Verilerin Korunması Kanunu Kapsamında Aydınlatma Metni
- Bilgilendirme
- TANIMLAR
-
VERİ SORUMLUSU VE İRTİBAT KİŞİSİ - Verilerinizi İşleme Nedenlerimiz
- İşlediğimiz Kişisel Verileriniz
- İşlenen Kişisel Verilerin Kimlere ve Hangi Amaçla Aktarılabileceği
- Kişisel Veri Toplamanın Yöntemi ve Hukuki Sebebi
- İlgili Kişinin KVKK’ nın 11. maddesinde Sayılan Hakları
- Haklarınızı Nasıl Kullanabilirsiniz?
- DEĞİŞİKLİK
- “İlgili kişinin açık rızası alınmadan pazarlama amacıyla kısa mesaj gönderilmesi suretiyle kişisel verilerinin işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 02/09/2022 tarihli ve 2022/902 sayılı Karar Özeti
- “İlgili kişinin, çevrimiçi alışveriş hizmeti veren veri sorumlusundan gerçekleştirdiği alışverişine ilişkin kredi kartı ve cep telefonu bilgilerinin kendisine bildirilmesi talebi” hakkında Kişisel Verileri Koruma Kurulunun 07/07/2022 tarihli ve 2022/653 sayılı Karar Özeti
- “İlgili kişinin veri sorumlusu bankaya yaptığı iş başvurusunun olumsuz sonuçlanması sonrası kişisel verilerinin işlenmeye devam etmesi” hakkında Kişisel Verileri Koruma Kurulunun 06/07/2021 tarih ve 2021/670 sayılı Karar Özeti
6698 Sayılı Kişisel Verilerin Korunması Kanunu Kapsamında Aydınlatma Metni
GÜRBÜZ TİCARET DAYANIKLI TÜKETİM MALLARI VE KLİMA SANAYİ LTD.ŞTİ. tarafından gizliliğinize saygı duyulmakta ve veri güvenliğinize önem verilmektedir. Bu kapsamda 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”, “KVKK”) ve ilgili diğer mevzuatlar dâhilinde sizleri bilgilendirmek ve aydınlatmak amacıyla işbu aydınlatma metni hazırlanmıştır.
Bilgilendirme
6698 Sayılı Kişisel Verilerin Korunması Kanunu 24 Mart 2016 tarihinde kabul edilmiş olup, 7 Nisan 2016 tarihinde Resmî Gazete ’de yayımlanarak yürürlüğe girmiştir. Bununla birlikte, Kanun’un Yürürlük başlıklı 32.maddesine göre, bu Kanunun; 8’inci, 9’uncu, 11’inci, 13’üncü, 14’üncü, 15’inci, 16’ncı 17’nci ve 18’inci maddeleri 7 Ekim 2016 tarihi itibari ile yürürlük kazanmıştır.
Kanun; Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacıyla kabul edilmiştir. İşbu metin ile GÜRBÜZ TİCARET DAYANIKLI TÜKETİM MALLARI VE KLİMA SANAYİ LTD.ŞTİ. tarafından ziyaretçiler bilgilendirilmekte ve aydınlatılmaktadır.
GÜRBÜZ TİCARET DAYANIKLI TÜKETİM MALLARI VE KLİMA SANAYİ LTD.ŞTİ., ziyaretçiler tarafından bu sitedeki formlar aracılığıyla sunulan kimlik, elektronik posta adresiniz, iş ve ev adresiniz, telefon numaranız ve sair kişisel verilerinizi yalnızca işleme amacı ile sınırlı olarak ve aydınlatma metninde, onay verilmiş ise açık rıza metninde, belirtilen sınırlar çerçevesinde işleyecektir.
TANIMLAR
|
Açık Rıza |
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder. |
|
Şirket |
www.gurbuzevaletleri.com adresinde GÜRBÜZ TİCARET DAYANIKLI TÜKETİM MALLARI VE KLİMA SANAYİ LTD.ŞTİ. şirketini ifade eder. |
|
Çerez (Cookie) |
Kullanıcıların bilgisayarlarına yahut mobil cihazlarına kaydedilen ve ziyaret ettikleri web sayfalarındaki tercihleri ve diğer bilgileri depolamaya yardımcı olan küçük dosyalardır. |
|
İlgili Kullanıcı |
Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir. |
|
İmha |
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. |
|
İrtibat Kişisi |
Türkiye’de yerleşik olan tüzel kişiler ile Türkiye’de yerleşik olmayan tüzel kişi veri sorumlusu temsilcisinin Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile kurulacak iletişim için veri sorumlusu tarafından Sicile kayıt esnasında bildirilen gerçek kişi. (İrtibat kişisi Veri Sorumlusunu temsile yetkili değildir. Adından anlaşılacağı üzere yalnızca veri sorumlusu ile ilgili kişilerin ve Kurumun iletişimini “irtibatı” sağlamak üzere görevlendirilen kişidir.) |
|
Kanun/KVKK |
7 Nisan 2016 tarihli ve 29677 sayılı Resmî Gazete ’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu. |
|
Kayıt Ortamı |
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam. |
|
Kişisel Veri |
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
|
Kişisel Verilerin İşlenmesi |
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
|
Kişisel Verilerin Anonim Hale Getirilmesi |
Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi. |
|
Kişisel Verilerin Silinmesi |
Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi. |
|
Kişisel Verilerin Yok Edilmesi |
Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi. |
|
Kurul |
Kişisel Verileri Koruma Kurulu. |
|
Özel Nitelikli Kişisel Veri |
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler. |
|
Periyodik İmha |
Kişisel verilerin işlenmesi için aranan şartların tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi. |
|
Politika |
Şirket tarafından oluşturulan kişisel veri koruma politikası. |
|
Veri İşleyen |
Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi |
|
Veri Kayıt Sistemi |
Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi. |
|
Veri Sahibi/İlgili Kişi |
Kişisel verisi işlenen gerçek kişi. |
|
Veri Sorumlusu |
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi. |
|
Kaynak: |
6698 sayılı Kişisel Verilerin Korunması Kanunu- Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik- Veri Sorumluları Sicili Hakkında Yönetmelik - Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ - Veri Sorumlusuna Başvuru ve Usul Esasları Hakkında Tebliğ Veri sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ |
VERİ SORUMLUSU VE İRTİBAT KİŞİSİ
VERİ SORUMLUSU VE İRTİBAT KİŞİSİ
İşbu Aydınlatma Metninde ifade edilmiş olduğu üzere ŞİRKET, KVKK gereğince veri sorumlusudur.
i. Veri Sorumlusu Bilgisi
Açık Adı : GÜRBÜZ TİCARET DAYANIKLI TÜKETİM MALLARI VE KLİMA SANAYİ LTD.ŞTİ.
Kısa Adı : ŞİRKET
Adres : GÜLBAHAR MAH. CEMAL SAHİR SK. PROFILO PLAZA NO: 26 -28 İÇ KAPI NO: 4 ŞİŞLİ/ İSTANBUL
İ. Sitesi : www.gurbuzgrup.com
ii. İrtibat Kişisi
Adı: :
Soyadı :
E-posta :
Telefon :
Verilerinizi İşleme Nedenlerimiz
Kişisel verileriniz, şirketimiz tarafından sağlanan ürün ve hizmetlerin tarafınıza sunulabilmesini temin için şirket içerisinde gerekli faaliyetlerin yürütülmesi, siz müşterilerimize tüketim ve alım motivasyonunuza uygun ürün ve hizmetlerin önerilebilmesi için gerekli çalışmaların ilgili iş birimi ve iş ortakları ile yapılması, insan kaynağı yönetiminin Şirketimiz tarafından sağlanarak gerçek kişilerin haklarının temini, Şirketimiz tarafından ticari kararların verilmesi, uygulanması ve gerçekleştirilmesi konusunda gerekli adımların atılması, iş ilişkisi kurduğumuz gerçek kişilerin ve Şirketimizin bu ilişkilerden kaynaklı hukuki emniyetinin sağlanması, acil durum yönetimi süreçlerinin yürütülmesi, bilgi güvenliği süreçlerinin yürütülmesi, eğitim faaliyetlerinin yürütülmesi, faaliyetlerin mevzuata uygun yürütülmesi, finans ve muhasebe işlerinin yürütülmesi, firma / ürün / hizmetlere bağlılık süreçlerinin yürütülmesi, fiziksel mekan güvenliğinin temini, görevlendirme süreçlerinin yürütülmesi, hukuk işlerinin takibi ve yürütülmesi, iç denetim/ soruşturma / istihbarat faaliyetlerinin yürütülmesi, insan kaynakları süreçlerinin planlanması, iletişim faaliyetlerinin yürütülmesi, iş faaliyetlerinin yürütülmesi / denetimi, iş sağlığı / güvenliği faaliyetlerinin yürütülmesi, iş süreçlerinin iyileştirilmesine yönelik önerilerin alınması ve değerlendirilmesi, iş sürekliliğinin sağlanması faaliyetlerinin yürütülmesi, lojistik faaliyetlerinin yürütülmesi, mal / hizmet satın alım süreçlerinin yürütülmesi, mal / hizmet satış sonrası destek hizmetlerinin yürütülmesi, mal / hizmet satış süreçlerinin yürütülmesi, mal / hizmet üretim ve operasyon süreçlerinin yürütülmesi, müşteri ilişkileri yönetimi süreçlerinin yürütülmesi, müşteri memnuniyetine yönelik aktivitelerin yürütülmesi, organizasyon ve etkinlik yönetimi, pazarlama analiz çalışmalarının yürütülmesi, performans değerlendirme süreçlerinin yürütülmesi, reklam / kampanya / promosyon süreçlerinin yürütülmesi, risk yönetimi süreçlerinin yürütülmesi, saklama ve arşiv faaliyetlerinin yürütülmesi, sözleşme süreçlerinin yürütülmesi, sponsorluk faaliyetlerinin yürütülmesi, stratejik planlama faaliyetlerinin yürütülmesi, talep / şikayetlerin takibi, taşınır mal ve kaynakların güvenliğinin temini, tedarik zinciri yönetimi süreçlerinin yürütülmesi, ücret politikasının yürütülmesi, ürün / hizmetlerin pazarlama süreçlerinin yürütülmesi, veri sorumlusu operasyonlarının güvenliğinin temini, yatırım süreçlerinin yürütülmesi ve bunlarla sınırlı olmamak kaydıyla benzer amaçlarla kanun’un 5 ve 6. maddeleri uyarınca işlenmektedir.
Kişisel Verileriniz, Veri Sorumlusu sıfatıyla GÜRBÜZ TİCARET DAYANIKLI TÜKETİM MALLARI VE KLİMA SANAYİ LTD.ŞTİ. tarafından, aşağıdaki hallerde ayrıca bir açık rızanız aranmaksızın işlenebilecektir:
a) Kanunlarda açıkça öngörülmesi;
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Sözleşmenin ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusu olarak hukuki yükümlülüklerimizin yerine getirebilmesi için zorunlu olması;
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması, şartlarından herhangi birisine dayanarak, aşağıda belirteceğimiz amaçlarla kullanılabilecektir.
· Kişisel verileriniz şu amaçlarla işlenebilecektir;
· İşin bir parçası olarak sizinle ve başkalarıyla iletişim kurmak.
· Size hizmet şartlarımızdaki değişiklikler, elektronik hizmetlerimizdeki değişiklikler hakkında önemli bilgileri ve diğer idari bilgileri göndermek.
· Kalite, eğitim ve güvenlik iyileştirmesi sağlamak (örneğin, iletişim numaralarımıza yapılan kaydedilen veya izlenen telefon görüşmeleri ile ilgili)
· Şikâyetleri çözmek ve veri erişim veya düzeltme taleplerini işleme almak.
· Altyapımızı ve ticari faaliyetlerimizi yönetmek ve denetim, finans ve muhasebe; faturalama ve tahsilatlar, bilgi işlem sistemleri; veriler ve internet sitesi barındırma, iş devamlılığı ve kayıtlar, belge ve baskı yönetimi ile bağlantılı olanlar da dahil olmak üzere, iç politika ve prosedürlere uymak.
· Yasal hakları belirlemek ve bunları savunmak; faaliyetlerimizi veya iş ortaklarımızın faaliyetlerini, haklarımızı, gizliliğimizi, güvenliğimizi veya malımızı ve/veya sizin veya başkalarının bu sayılan varlıklarını korumak ve kullanılabilir çareleri uygulamak veya zararımızı sınırlandırmak.
· Memnuniyet anketleri de dahil olmak üzere, pazar araştırması ve analizi yürütmek.
· Yarışmalara, ödül çekilişlerine ve benzeri promosyonlara katılmanızı sağlamak ve bu aktiviteleri yönetmek.
· Sosyal medya paylaşım fonksiyonunu kolaylaştırmak.
· Size özel bilgiler ve reklamlar sunarak elektronik hizmetler ile ilgili deneyiminizi kişiselleştirmek.
İşlediğimiz Kişisel Verileriniz
Kimlik Bilgileri: İsminiz, soy isminiz, T.C. kimlik numaranız, anne adı, baba adı, doğum yeri ve tarihi ve Şirket’e tarafınızca açık rızanız dahilinde temin edilen sair bilgiler.
İletişim Bilgileri : İkamet adresiniz, işyeri adresiniz, telefon numaranız ve e-posta adresiniz, Şirket’e tarafınızla iletişim kurulması için tercih ettiğinizi bildirdiğiniz cep telefonu numaranız, faks numaranız veya size ulaşabilmemiz için rızanız ile temin etmiş olduğunuz diğer iletişim kanallarına ilişkin bilgileriniz.
Müşteri İşlem Bilgileri: Fatura, senet, çek bilgileri, gişe dekontlarındaki bilgiler, sipariş bilgisi, talep bilgisi gibi.
İşlem Güvenliğine Dair Bilgiler: IP adresi bilgileri, internet sitesi giriş çıkış bilgileri, şifre ve parola bilgileri gibi.
Pazarlamaya Dair Bilgiler: Alışveriş geçmişi bilgileri, anket, çerez kayıtları, kampanya çalışmasıyla elde edilen bilgiler.
İşlenen Kişisel Verilerin Kimlere ve Hangi Amaçla Aktarılabileceği
Toplanan kişisel verileriniz; Şirketimiz ve Şirketimizle iş ilişkisi içerisinde olan kişilerin hukuki ve ticari güvenliğinin temini; Şirketimiz tarafından sunulan ürün ve hizmetlerden sizleri faydalandırmak için gerekli çalışmaların iş birimlerimiz tarafından yapılması; Şirketimiz tarafından sunulan ürün ve hizmetlerin sizlerin beğeni, kullanım alışkanlıkları ve ihtiyaçlarına göre özelleştirilerek sizlere önerilmesi Şirketimizin ticari ve iş stratejilerinin belirlenmesi ve uygulanması ile Şirketimizin insan kaynakları politikalarının yürütülmesinin temini amaçlarıyla iş ortaklarımıza, tedarikçilerimize, hissedarlarımıza, kanunen yetkili kamu kurumları ve özel kişilere, KHK’nın 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde aktarılabilecektir.
Kişisel Veri Toplamanın Yöntemi ve Hukuki Sebebi
Kişisel verileriniz Şirketimiz tarafından farklı kanallarla ve farklı hukuki sebeplere dayanarak ticari faaliyetlerimizi yürütmek amacıyla toplanmaktadır.
Kişisel verileriniz üye kayıt formu, internet üzerinden doldurulan kayıt/başvuru formları, alındı ve harcama belgeleri ve ŞİRKET resmi e-mail adresi olan info@gurbuzgrup.com adresine yahut gurbuzdayaniklituketim@hs01.kep.tr KEP adresine kişisel veri gönderilmesi durumunda söz konusu iletişim kanalları vasıtasıyla toplanmaktadır.
Kişisel veriler, fiziken evrak gönderilmesi, Şirket’in sağladığı bir evrakın fiziken doldurulması, 444 28 80 numaralı hatların veya Şirket’e ait diğer dahili numaraların aranması suretiyle de toplanmaktadır.
Kişisel verileriniz ayrıca otomatik yollarla www.gurbuzgrup.com adresi ve uzantılarında kullanılan çerezler (cookie) vasıtasıyla da toplanmaktadır. Söz konusu çerezler, yalnızca ziyaretçinin siteyi tam verimlilikte kullanabilmesi için gerekli çerezler olup ziyaretçinin tercihlerini hatırlamak amacıyla kullanılmakta ve başka bir kişisel veri temin etmemektedir. Çerez politikamıza www.gurbuzgrup.com adresinden ulaşabilirsiniz.
Şirket kişisel veri işleme şartları kapsamına girmeyen herhangi bir kişisel veri işleme faaliyetinde bulunmamaktadır.
KVKK’ da yer alan kişisel veri işleme şartları şunlardır;
· İlgili kişinin açık rızasının bulunması,
· Kanunlarda açıkça öngörülmesi,
· Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
· Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
· Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
· Veri sahibinin kendisi tarafından alenileştirilmiş olması,
· Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
· Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Özel nitelikli kişisel veriler için de temel işleme şartı açık rızadır ve Şirket temelde özel nitelikli kişisel veri işleme amacı gütmemektedir. Ancak faaliyetimiz gereği işlememiz gereken veya açık rızanız ile onay verdiğiniz özel nitelikli kişisel verileriniz de mevzuat dahilinde ölçülü olarak işlenmektedir.
KVKK’ da özel nitelikli kişisel verilerin işlenebilmesi için sayılan şartlar şunlardır;
· İlgili kişinin açık rızasının bulunması,
· Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler için kanunlarda açıkça öngörülmesi,
· Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak,
· Kamu sağlığının korunması,
· Koruyucu hekimlik,
· Tıbbî teşhis,
· Tedavi ve bakım hizmetlerinin yürütülmesi,
· Sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla,
· Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
Bir kişisel veri işleme faaliyetini hukuka uygun kılan bir veya birden fazla kişisel veri işleme şartı aynı anda bulunabilmektedir.
Söz konusu amaçlarımızı gerçekleştirebilmek için yukarıda belirttiğimiz verilerinizin işlenmesi gereği hasıl olmaktadır. Şirketimize, kimlik bilgileri aktarılırken aslında işleme amaçlarımız dahilinde olmayan veriler de tarafımıza aktarılabilmektedir. İdari ve teknik tedbirler dahilinde söz konusu verileri mevzuatta öngörülen süreler sonunda siliyor ve/veya anonim hale getiriyoruz ancak her koşulda bu durumu temin etmek mümkün olmamaktadır. Bu halde, söz konusu verilerin işlenmesi amacıyla açık rızanıza başvurmak gerekmektedir.
İlgili Kişinin KVKK’ nın 11. maddesinde Sayılan Hakları
Kişisel veri sahipleri olarak, haklarınıza ilişkin taleplerinizi, işbu Aydınlatma Metninde aşağıda düzenlenen yöntemlerle Şirketimize iletmeniz durumunda Şirketimiz talebin niteliğine göre talebi en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandıracaktır. Ancak, Kişisel Verileri Koruma Kurulunca bir ücret öngörülmesi halinde, Şirketimiz tarafından belirlenen tarifedeki ücret alınacaktır. Bu kapsamda kişisel veri sahipleri;
· Kişisel veri işlenip işlenmediğini öğrenme,
· Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
· Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
· Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
· Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
· KVKK’ nın ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
· İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
· Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.
Haklarınızı Nasıl Kullanabilirsiniz?
www.gurbuzgrup.com adresinden ulaşabileceğiniz kullanarak indirebileceğiniz “başvuru formu “nu talebiniz/şikâyetiniz doğrultusunda doldurarak, söz konusu formu info@gurbuzgrup.com adresi üzerinden tarafımıza iletebilir veya formu fiziki olarak doldurarak GÜLBAHAR MAH. CEMAL SAHİR SK. PROFILO PLAZA NO: 26 -28 İÇ KAPI NO: 4 ŞİŞLİ/ İSTANBUL adresine kargo/posta vasıtasıyla gönderebilirsiniz.
Talebinizi üstte gösterilen yöntemlerden birisini kullanarak tarafımıza iletmeniz durumunda KVKK Md. 13/2 gereğince, talebiniz en geç 30 gün içinde değerlendirilecek ve tarafınıza konuyla ilgili bilgi verilecektir. Eğer talebiniz kabul edilirse, gerekli işlemler derhal veri sorumlusu ŞİRKET tarafından yerine getirilecektir.
Talepler kural olarak ücretsiz karşılanır ancak, talebin gereğini yerine getirmek masraf gerektiriyorsa “Veri Sorumlusuna Başvuru Usul ve Esasları Hk. Tebliğ” madde 7’de öngörülen; “İlgili kişinin başvurusuna yazılı olarak cevap verilecekse, 10 sayfaya kadar ücret alınmaz. 10 sayfanın üzerindeki her sayfa için 1 TL işlem ücreti alınabilir. Başvuruya cevabın CD, flash bellek gibi bir kayıt ortamında verilmesi halinde veri sorumlusu tarafından talep edilebilecek ücret kayıt ortamının maliyetini geçemez.” Hükmü gereğince ŞİRKET tarafından ücret istenebilecektir.
DEĞİŞİKLİK
i. Değişiklik 1 : Evrakta henüz değişiklik yapılmamıştır.
Değişiklik Detayı :
“İlgili kişinin açık rızası alınmadan pazarlama amacıyla kısa mesaj gönderilmesi suretiyle kişisel verilerinin işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 02/09/2022 tarihli ve 2022/902 sayılı Karar Özeti
|
Karar Tarihi |
: |
02/09/2022 |
|
Karar No |
: |
2022/902 |
|
Konu Özeti |
: |
İlgili kişinin açık rızası alınmadan pazarlama amacıyla kısa mesaj gönderilmesi suretiyle kişisel verilerinin işlenmesi |
Kuruma intikal eden şikâyette özetle; veri sorumlusu şirket ile herhangi bir ticari faaliyette bulunulmamasına ve bu kapsamda iletişim onayı verilmemesine rağmen, aydınlatma yükümlülüğü yerine getirilmeden ve açık rızası alınmadan ilgili kişiye pazarlama amacıyla mesaj gönderildiği, veri sorumlusuna yapılan başvurunun cevabında, ilgili kişiden yanlışlık için özür dilenerek ilgili kişi tarafından pazar yerlerinden alışveriş yapılmış olması nedeniyle sistemin, cari kodunu sabit müşterileri gibi tanımlaması nedeniyle ilgili kişiye kısa mesaj gönderildiğinin ve başvuru akabinde gerekli düzeltmelerin yapıldığının belirtildiği ifade edilerek veri sorumlusu hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabî yazıda özetle;
- İlgili kişinin pazar yeri olarak hareket eden bir satış platformundaki veri sorumlusunun mağazasından alışveriş yaptığı ve kendilerindeki bilgilerin kaynağının bu alışverişe istinaden kesilen faturadan kaynaklı olduğu,
- Veri sorumlusu şirkete ait olan firmalardan birinin internet sitesinde kendi rızasıyla e-posta ya da kısa mesaj alabilmek için onay veren müşterilerine/üyelerine gitmesi gereken mesajın sehven veri sorumlusunun satış platformundaki mağazalarından alışveriş yapan müşterilerine gönderilmiş olduğu, yapılan yanlışın fark edilmesi üzerine iptal işleminin başlatıldığı fakat bazı müşterilere kısa mesaj gitmesine engel olunamadığı, gönderilen mesajların bazılarının iletildiği bazılarının iletilemediği,
- İlgili yazılım firması ile görüşüldüğü ve hatalı gönderim yapılsa dahi kısa mesaj ve e-posta gönderilmemesi için gerekli önlemlerin alındığı
ifade edilmiştir.
Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 02/09/2022 tarih ve 2022/902 sayılı sayılı Kararı ile;
- Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlandığı,
- Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükmünün yer aldığı,
- Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12’nci maddesinin (1) numaralı fıkrasında “Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” düzenlemesinin, (5) numaralı fıkrasında ise “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” düzenlemesine yer verildiği,
- Somut olayda veri sorumlusu firmaya ait internet sitesinden SMS/e-posta alabilmek için onay veren müşterilere gönderilmesi gereken mesajın sehven veri sorumlusunun satış platformundaki mağazalarından alışveriş yapan müşterilere gönderilmiş olduğu, yapılan yanlışın fark edilmesi ile iptal işlemi başlatılmışsa da bazı müşterilere kısa mesaj iletilmesine engel olunamadığı dikkate alındığında; veri sorumlusunun Kanun’un 5’inci maddesinde yer alan işleme şartlarından herhangi birine dayanmaksızın ilgili kişinin kişisel verisini işlediği, öte yandan şikâyet konusunun veri ihlal niteliği arz ettiği ancak bu hususta veri sorumlusunun Kanun’un 12’nci maddesinin (5) numaralı fıkrası kapsamında Kuruma bir bildirim yapmadığı
değerlendirmelerinden hareketle;
- Veri sorumlusu tarafından verilen yanıtta firmalarına ait olan internet sitesinde kendi rızasıyla e-posta/SMS alabilmek için onay veren müşterilerine/üyelerine iletilmesi gereken mesajın sehven satış platformundaki mağazalarından alışveriş yapan müşterilerine gönderilmiş olduğu, yapılan yanlışın fark edilmesi üzerine iptal işleminin başlatıldığı fakat bazı müşterilere kısa mesaj gitmesine engel olunamadığının beyan edildiği dikkate alındığında veri sorumlusunun Kanun’un 5’inci maddesinde yer alan işleme şartlarından herhangi birine dayanmaksızın ilgili kişinin kişisel verisi niteliğindeki telefon numarasını işlediği, bu çerçevede Kanun’un 12’nci maddesinin (1) numaralı fıkrası kapsamında kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı, öte yandan şikâyet konusunun veri ihlal niteliği arz ettiği ancak veri sorumlusunun gerçekleşen veri ihlali ile ilgili Kanun’un 12’nci maddesinin (5) numaralı fıkrası kapsamında Kurula bir bildirim yapmadığı kanaatine varıldığından Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca veri sorumlusu hakkında 30.000 TL idari para cezası uygulanmasına,
- Bundan sonraki süreçlerde meydana gelebilecek veri ihlallerinde Kanun’un 12’nci maddesinin (5) numaralı fıkrası kapsamında ilgili kişilere ve Kurula bilgi verilmesi gerektiği hususunun veri sorumlusuna hatırlatılmasına
karar verilmiştir.
“İlgili kişinin, çevrimiçi alışveriş hizmeti veren veri sorumlusundan gerçekleştirdiği alışverişine ilişkin kredi kartı ve cep telefonu bilgilerinin kendisine bildirilmesi talebi” hakkında Kişisel Verileri Koruma Kurulunun 07/07/2022 tarihli ve 2022/653 sayılı Karar Özeti
|
Karar Tarihi |
: |
07/07/2022 |
|
Karar No |
: |
2022/653 |
|
Konu Özeti |
: |
İlgili kişinin, çevrimiçi alışveriş hizmeti veren veri sorumlusundan gerçekleştirdiği alışverişine ilişkin kredi kartı ve cep telefonu bilgilerinin kendisin bildirilmesi talebi |
İlgili kişinin Kuruma intikal eden dilekçesinde özetle;
- Veri sorumlusu şirketin sunduğu hizmetlerden biri olan çevrimiçi alışveriş platformu üzerinden gerçekleştirdiği alışveriş ile ilgili olarak, uygulamaya girdiği kredi kartı bilgilerinin ve sipariş teslimatı için verilen iletişim -cep telefonu numarası- bilgisinin 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) uyarınca veri sorumlusundan talep edildiği,
- Ancak, kredi kartı üzerinde yazan isim bilgisinin veri sorumlusuna ait sistemlerde tutulmadığı ve siparişe ilişkin telefon bilgisinin kendisiyle paylaşılmasının uygun olmadığı gerekçesiyle söz konusu talebin veri sorumlusu tarafından reddedildiği ancak savcılık kararının bulunması halinde ilgili kişiyle bu bilgilerin paylaşılabileceğinin belirtildiği,
- Platform üzerinden gerçekleştirilen alışverişlerde her ne kadar ilgili banka sayfasına yönlendirme yapılsa da kredi kart bilgileri alanının ödeme aşamasının başında veri sorumlusunun internet sayfası üzerinden doldurulduğu ve kredi kartı bilgilerinin isteğe bağlı olarak kaydedilebildiği, bu sebeple kredi kartı bilgilerinin veri sorumlusunun sisteminde tutulmadığı iddiasının gerçeği yansıtmadığı, aydınlatma metninde internet sitesi/mobil uygulamalar üzerinden alışveriş yapanın/yaptıranın kimlik bilgilerini teyit etme ve bu kişiyle iletişim kurmak amaçlarıyla adres ile diğer gerekli bilgilerinin kaydedilmesi suretiyle kişisel veri işlendiğinin belirtildiği,
- Kayıt altına alındığı beyan edilen bilgilerin sisteme kayıtlı kullanıcı e-postası ve telefon yoluyla talep edilmesine rağmen bu bilgilerin kendisiyle paylaşılmamasının Kanun’a aykırı olduğu
ifade edilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.
Söz konusu iddialara ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;
- İlgili kişinin platform üzerinden alışveriş yapabilmesi için kart bilgilerini girmesi gerektiği, daha sonraki alışverişlerinde kullanmak istemesi halinde kredi kartı bilgilerini kaydedebileceği, buna karşın kredi kartını kaydetmeyi seçse dahi veri sorumlusunun kredi kartı bilgilerine ilişkin verilerin tamamına erişemediği, PCI DSS Level-1 Sertifika uyumluluğu bulunması nedeniyle ilgili kişilerin ödeme yaptıkları kredi kartı bilgilerinin veri sorumlusu sistemlerinde maskeli olarak tutulduğu,
- İlgili kişinin somut olaya konu üç adet siparişten 53……8 ve 53……4 numaralı siparişlerin ilgili kişinin üyelik hesabıyla yapıldığı, 54…..8 numaralı siparişin ise ilgili kişinin üyelik hesabından yapılmadığı ve bu siparişin başka bir üyenin hesabından yapıldığının tespit edildiği, yazı ekinde 54……8 numaralı siparişin başka bir kişiye ait olduğunu tevsiken ekran görüntüsünün sunulduğu,
- Öte yandan bazı durumlarda üyelik hesabından yapılan işlemlerde üçüncü kişilere ait isim, soy isim ve telefon numarası bilgilerinin verildiği; somut olayda da 53…..8 ve 53…..4 numaralı siparişlerin ilgili kişinin üyelik hesabından yapılmasına rağmen üçüncü bir kişinin adı, soyadı ve telefon numarası bilgilerinin verildiğinin anlaşıldığı, bu bağlamda talep konusu siparişlerin üçüncü kişilere ait olması ve veri sorumlusu bünyesinde kredi kartı bilgilerinin bulunmaması nedeniyle ilgili kişinin talebinin yerine getirilmediği,
- İlgili kişinin üyeliği ile yapılan iki alışverişte üçüncü kişiye ait isim, soy isim ve telefon numarası bilgilerinin bulunmasının; aynı üyelik hesabının eş, anne, baba, kardeş gibi birden fazla kişi tarafından ortak kullanılması, üyenin kendi şifresini başka bir üçüncü kişiyle paylaşması, üyenin hediye almak istediği üçüncü kişinin teslimat bilgilerini teslimat amacıyla sisteme eklemesi gibi ilgili kişinin bilgisi dâhilindeki nedenlerden kaynaklanabileceği gibi başka bir cihazdan giriş yaptığı hesabını kapatmadan çıkması, üyelik hesabı oluşturduğu farklı platformlarda hep aynı şifreyi kullanması gibi ihmallerden kaynaklanabileceği,
- Kanun’un 11’inci maddesinde vurgulandığı üzere ilgili kişilerin “kendisiyle ilgili” kişisel verilere ilişkin bilgi talep etme hakkının olduğu, dolayısıyla veri sorumlusunun, üçüncü kişinin kişisel verisine ilişkin olarak ilgili kişiye herhangi bir bilgi verme yükümlülüğünün bulunmadığı,
- Ortak hesap kullanan kişilerin daha sonra ihtilaflı hâle geldiği durumların, örneğin ortak hesap kullanan eşlerin siparişlere ilişkin bilgi talebinde bulunduğu durumların yaşanabildiği göz önünde bulundurularak ilgili kişi taleplerinin hassasiyetle incelendiği ve ilgili kişinin hakkında bilgi talep etmiş olduğu sipariş kendi üyelik hesabından yapılsa dahi alışverişin başka bir kişi tarafından yapıldığı tespit edilmişse bilgi paylaşmama konusunda titizlikle hareket edildiği,
- Öte yandan kredi kartı numarası bilgilerine uluslararası güvenlik standartları nedeniyle maskeli olarak erişim sağlanabilmesi nedeniyle bu bilgileri paylaşmasının mümkün olmadığı, ilgili kişinin talep ettiği kart üzerindeki isim ve soy isim bilgisinin ise veri sorumlusu nezdinde maskeli olarak dahi saklanmadığı,
- İlgili kişinin, üyelik hesabından yapmış olduğu kendisine ait siparişlere yönelik bilgi talebinde bulunması halinde çağrı merkezi doğrulama soruları aracılığıyla bu talebinin karşılanabileceği, ilgili kişinin taleplerini yerine getirmemek adına değil yalnızca mevzuat hükümleri ve veri güvenliği tedbirleri doğrultusunda yanıt verildiği,
- İlgili kişinin bilgisi dışında bir işlem olması ihtimali göz önünde bulundurularak bu konu hakkında yetkili mercilere başvurması yönünde kendisine bilgi verildiği ve ilgili kişinin üyelik hesabının güvenlik nedeniyle işleme kapatıldığı,
- İlgili kişinin talebinin Kanun’un 11’inci maddesi kapsamında olmadığı, ilgili kişilere verilecek yanıtın Kanun’un diğer hükümlerine aykırılık teşkil etmesi hâlinde veri sorumlusunun Kanun’un 13’üncü maddesi uyarınca reddetme hakkının olduğu
ifade edilmiştir.
Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 07/07/2022 tarih ve 2022/653 sayılı Kararı ile;
- Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi; “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi, “veri sorumlusu”nun kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi; “kişisel verilerin işlenmesi”nin kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı,
- Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesinde, kişisel verilerin ancak bu Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, buna göre, kişisel verilerin ancak; a) hukuka ve dürüstlük kurallarına uygun olma, b) doğru ve gerektiğinde güncel olma, c) belirli, açık ve meşru amaçlar için işlenme, ç) işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ile d) ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceği,
- Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiilî imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
- Ayrıca, Kanun'un "İlgili kişinin hakları" başlıklı 11'inci maddesinde, ilgili kişilerin haklarının sıralandığı, bu maddede "Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) 7’nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir."
hükümlerine yer verildiği, - Somut olayda veri sorumlusu tarafından sunulan Ödeme Kartı Endüstrisi Veri Güvenliği Standardı (Payment Card Industry –PCI- Data Security Standard –DSS-) Servis Sağlayıcıları Yerinde İncelemesi için Uygunluk Tasdiki (Attestation Of Compliance –AOC- For Onsite Assessments Service Providers) belgesinde yer aldığı üzere mobil ödeme teknolojisi sağlayıcısı aracı şirket tarafından; kartın fiziksel olarak bulunmadığı işlemlerin, tacirlerden veya müşterilerden alınarak üye iş yeri anlaşması yapan kuruluşa (acquirer) yönlendirildiği, aynı zamanda müşterilere dijital cüzdan hizmeti sağlandığı, kart hamili verisinin sistemlerinde saklandığı, GSM numarasının müşterileri benzersiz olarak tanımladığı,
- Mobil ödeme teknolojisi sağlayıcısı aracı şirketin 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun kapsamında bir ödeme hizmeti sağlayıcısı olmadığı, üye iş yeri için kart bilgilerini saklama ve sonraki ödemeler için saklanan bilgilerin kullanılmasına izin veren bir hizmet sağladığı,
- Banka Kartları ve Kredi Kartları Hakkında Yönetmelik’in 27/A maddesinin beşinci fıkrası hükmü uyarınca hassas ödeme verisinin üye işyerine (somut olayda veri sorumlusuna) hiç iletilmemesinin gerektiği; ayrıca ödeme teyidinin yapılması amacıyla bir veri gönderilmesi gerekmesi hâlinde ise hesap numarası veya hassas ödeme verisi yerine her ödeme için oluşturulan farklı bir token iletilerek daha sonraki ödemeler için oluşabilecek risklerin ortadan kaldırılabileceği,
- Mobil ödeme teknolojisi sağlayıcısı aracı şirketin hizmet sözleşmesi incelendiğinde üye işyeri ile hassas kart verisinin paylaşılmayacağının beyan ve taahhüt edildiği, kart bilgisi görüntüleme ve silme işlemleri dahil olmak üzere kart saklama hizmetinin ilgili şirket tarafından sağlandığı ve veri sorumlusunun hassas kart bilgilerine sahip olmadığının anlaşıldığı, nihayetinde ilgili kişinin kart bilgilerine erişim talebinin veri sorumlusu tarafından karşılanamayacağı,
- İlgili kişinin Kanun’un 11’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında siparişe ilişkin bilgi talebinin reddedilmesine ilişkin olarak; telefon numarasına ilişkin talebinin “ilgili kişinin kendisiyle ilgili olması” kriteri çerçevesinde incelendiğinde, kişisel verilerin aynı anda birden fazla kişiyle ilgili olmasının mümkün olduğu, ilgili kişinin teslimatı için verilen iletişim adresi üçüncü kişiye ait olsa da ilgili kişinin üyelik hesabından yapılan alışverişle ilgili olarak söz konusu telefon numarasının aynı zamanda ilgili kişiye ilişkin olduğu,
- Avrupa Veri Koruma Kurulu’nun (EDPB) “İlgili Kişi Hakları- Erişim Hakkı Üzerine 01/2022 sayılı Rehber” ilkelerinde; ilgili kişinin, münhasıran başkasını ilgilendiren veriler hariç olmak üzere, yalnızca kendisiyle ilgili kişisel verilere erişme hakkına sahip olduğu, bununla birlikte verilerin ilgili kişiye ilişkin kişisel veri olarak sınıflandırılmasının, bu kişisel verilerin başka biriyle de ilgili olmasına bağlı olmadığının ifade edildiği, “kendisiyle ilgili kişisel veriler” ifadesinin kapsamının “çok kısıtlayıcı” yorumlanmaması gerektiğinin tavsiye edildiği, ayrıca rehberde kişisel verilerin hane halkı kapsamında işlenmesine yönelik istisna hükmünün kapsamına girmeyen haller için ilgili kişinin sağladığı kişisel veriyi başka amaçlarla kullanması halinde, ilgili kişinin kendisinin de veri sorumlusu olarak nitelendirilebileceği ve veri sorumlusunun bu konuda diğer ilgili kişiyi bilgilendirmesi gerektiğinin ifade edildiği, bu çerçevede söz konusu rehber ilkeler ile erişim hakkının sınırları hakkında yapılacak değerlendirmede;
- Hak ve özgürlükler üzerinde olumsuz bir etkisi olup olmadığı (diğer bireyler için risk olasılığı ve riskin öneminin değerlendirilmesi)
- Başkalarının hak ve özgürlüklerinin, ilgili kişinin hakkına üstün gelip gelmediği
dengesi temel alınarak eğer kişisel verilere erişim hakkı çözümsüzlüğünde, örneğin bir ses kaydını yalnızca transkriptinin sağlanması gibi uygun formatta kişisel verilere erişim hakkı tanınarak uzlaşılması veya böyle bir uzlaşma sağlayacak bir yöntem bulunmadığı durumda, diğer kişinin hak ve özgürlüklerinin olumsuz etkilendiği ve kişisel verilere erişim hakkına üstün geldiği sürece ilgili kişiye erişim hakkının sağlanmamasının tavsiye edildiği, - Somut olayda, veri sorumlusu tarafından teslimat için verilen iletişim adresinin farklı olması nedenleri arasında;
- Bir üyeliğin birden fazla kişi (aile üyeleri gibi) ile ortak kullanılması,
- Üyenin şifresini başka kişiyle paylaşarak üyelik hesabını kullanması,
- Hediye almak istediği üçüncü kişi bilgilerini teslimat amacıyla sisteme eklemesi,
- Kimlik veya hesap hırsızlığı
hususlarının sayıldığı, ayrıca veri sorumlusu tarafından üçüncü kişinin kişisel verisine ilişkin ilgili kişiye herhangi bir bilgi verme yükümlülüğünün bulunmadığının belirtildiği, - Veri sorumlusunun platformu üzerinden üyelik hesabına giriş yapıldığında halihazırda verilen siparişin teslimatının yapılacağı kişinin bilgileri kapsamında üçüncü kişinin ismi, soy ismi ve adres bilgisine ulaşılabildiği, yalnızca telefon numarasının yıldızlanarak maskelendiğinin anlaşıldığı; somut olayda ilgili kişinin üyelik hesabından verilen siparişin teslimatı için bildirilen telefon numarasının
- Üçüncü kişinin hak ve özgürlükleri üzerinde olumsuz bir etkisinin olup olmadığı (üçüncü kişi için risk olasılığı ve riskin öneminin değerlendirilmesi),
- Üçüncü kişi hak ve özgürlüklerinin, ilgili kişinin erişim hakkına üstün gelip gelmediği
arasında bir denge kurulmak suretiyle ilgili kişinin kişisel veriye erişim hakkının üstün geldiği kanaatine varılması halinde, ilgili kişinin üyelik hesabından verilen siparişlerde teslimat için bildirilen telefon numarasının, ilgili kişinin makul gerekçesi bulunması ve erişim talebiyle ilişkili dolandırıcılık riski bulunmaması şartıyla veri sorumlusu tarafından ilgili kişinin kimliğini doğrulayacak mekanizmalar aracılığıyla ilgili kişiye sağlanması gerektiği, - Öte yandan, ilgili kişinin üyelik hesabı kullanılmaksızın verilen üçüncü siparişin ilgili kişi dışında üçüncü kişinin üyelik hesabından yapıldığı veri sorumlusunun sunduğu deliller ile kanıtlandığı dikkate alındığında, ilgili kişinin kişisel verisi olmaması nedeniyle kişisel verilere erişim hakkı kapsamında veri sorumlusu tarafından söz konusu siparişin teslimatı için verilen telefon numarasının ilgili kişiye sağlanamayacağı
değerlendirmelerinden hareketle;
- İlgili kişinin kredi kartı bilgilerinin mobil ödeme teknolojisi sağlayıcısı aracı şirket bünyesinde tutulduğu dikkate alındığında veri sorumlusu hakkında bu açıdan yapılacak bir işlem olmadığına,
- Üyelik hesabından giriş yapıldığında verilen siparişin teslimatının yapılacağı kişinin bilgileri kapsamında halihazırda üçüncü kişinin isim, soy ismi ve adres bilgisine ulaşabildiği, telefon numarasının ise maskeli olarak gösterildiği dikkate alındığında, ilgili kişinin erişim talebinin gerekçesinin makul olması ve bu talep ile bağlantılı dolandırıcılık riski bulunmaması halinde üçüncü kişinin hak ve özgürlüklerinin ilgili kişinin kişisel veriye erişim hakkına üstün gelmediği kanaatine varıldığından, ilgili kişinin üyelik hesabından verilen siparişlerin teslimatı için bildirilen telefon numarasının kimlik doğrulama mekanizmaları aracılığıyla ilgili kişiye sağlanması yönünde veri sorumlusunun talimatlandırılmasına,
- İlgili kişinin üyelik hesabı kullanılmaksızın verilen diğer siparişin ilgili kişi dışında üçüncü kişinin üyelik hesabından yapıldığının veri sorumlusunun sunduğu deliller ile kanıtlandığı dikkate alındığında, şikayetçinin kişisel verisi olmaması nedeniyle söz konusu siparişin teslimatı için verilen telefon numarasının ilgili kişinin erişim hakkı kapsamında bulunmadığı kanaatine varıldığından bu hususta veri sorumlusu hakkında yapılacak herhangi bir işlem bulunmadığına
karar verilmiştir.
“İlgili kişinin veri sorumlusu bankaya yaptığı iş başvurusunun olumsuz sonuçlanması sonrası kişisel verilerinin işlenmeye devam etmesi” hakkında Kişisel Verileri Koruma Kurulunun 06/07/2021 tarih ve 2021/670 sayılı Karar Özeti
|
Karar Tarihi |
: |
06/07/2021 |
|
Karar No |
: |
2021/670 |
|
Konu Özeti |
: |
İlgili kişinin veri sorumlusuna yaptığı iş başvurusunun olumsuz sonuçlanması sonrası kişisel verilerinin işlenmeye devam etmesi |
Kuruma intikal eden şikâyet dilekçesinde, ilgili kişinin veri sorumlusu tarafından kurulmuş olan internet sitesi üzerinden iş başvurusunda bulunduğu, bu sebeple söz konusu internet sitesi üzerinden kişisel verilerini içerir bilgileri veri sorumlusuyla paylaştığı, başvurunun akabinde mülakata alındığı ancak mülakat neticesinde başarılı olamadığı, bu sebeple de veri sorumlusuyla kişisel verilerini paylaşması anlamında bir neden kalmadığı, bu bağlamda söz konusu internet sitesine girerek oluşturduğu özgeçmişi sildiği, akabinde veri sorumlusunun sisteminde kalan tüm kişisel verilerinin silinmesi adına telefon ve e-posta yoluyla veri sorumlusuna başvuruda bulunduğu, ancak ilgili kişinin başvurusuna istinaden veri sorumlusu tarafından e-posta yoluyla yapılan bilgilendirmede ilgilinin kişisel verilerinin veri sorumlusuna yapacağı olası başvurular için saklanacağı bilgisinin tarafına iletildiği ifade edilerek, veri sorumlusuna ilişkin herhangi bir iş talebi, ilgisi ya da ilişiği olmadığını iletmesine rağmen kişisel verilerinin veri sorumlusu tarafından silinmemesi nedeniyle Kuruma şikayette bulunarak 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde söz konusu iddialara ilişkin veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;
- İlgili kişinin söz konusu internet sitesi aracılığıyla iş başvurusunda bulunduğu, gerek sitede doldurduğu form aracılığıyla gerekse daha sonraki süreçlerde bankalarına yazılı olarak bildirdiği ve ilgili kişiyle gerçekleştirilen mülakatlar esnasında beyan ettiği kişisel verilerin, 6698 sayılı Kişisel Verilerin Korunması Kanununun 10 uncu maddesine uygun şekilde kendisine gerekli aydınlatmalar yapılarak işlendiği,
- Söz konusu kişisel verilerin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan "Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması" hukuki sebebi kapsamında ilgili kişinin iş başvurusunun incelenebilmesi ve iş sözleşmesinin kurulabilmesi için gerekli olan bilgilerin temini, işe yeterlilik değerlendirmesi ve sair testlerin yapılabilmesi; (e) bendinde yer alan "Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması" hukuki sebebi kapsamında ilgili kişinin başvurulan pozisyona uygunluğunun incelenebilmesi, iletilen bilgilerin doğruluğunun teyit edilebilmesi, gerekli mülakatların yapılabilmesi ve (f) bendine yer alan "ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması" hukuki sebebi kapsamında ilgili kişinin şirket prensiplerine uygunluğunun değerlendirilebilmesi, diğer başvurularda iletilen bilgilerle eşleştirme yapılabilmesi amaç ve işleme şartlarına dayanarak işlendiği,
- Veri sorumlusu tarafından yapılan değerlendirmeler sonrasında ilgili kişinin iş başvurusunun kabul edilmemesinin akabinde; yukarıda sayılan amaçlarla işlenen kişisel verilerin, ilgili kişinin talebi üzerine Kanunun 7 nci maddesine uygun olarak işleme amacının ortadan kalkması sebebi ile silindiği ancak söz konusu kişisel verilerden yalnızca isim-soy isim ve kimlik numarası ile veri sorumlusunun başvuru değerlendirilmesine esas genel gerekçesinin muhafaza edildiği, bu verilerin muhafaza edilmesindeki amacın ise veri sorumlusuna iş başvurusunda bulunan kişilerin, reddedilen başvuru sonrasındaki dönemlerde yapacakları iş başvurularının değerlendirmesinde, önceki başvurusunun da dikkate alınabilmesi olduğu, zira bu şekilde sonraki başvurularda gerçeğe aykırı verilerle karşılaşmanın önüne geçilmesinin amaçlandığı ve bu saklama amacının ilgili kişinin Kanunun 11 inci maddesi uyarınca yaptığı başvurusunda ilgili kişiye iletildiği,
- İlgili kişinin ikinci başvurusunda, isim-soy isim ve kimlik bilgisi verilerinin de silinmesini talep ettiğinin anlaşıldığı, ilgili kişinin kişisel verisi üzerindeki tasarruf yetkisinin öncelikli olduğu düşüncesinden hareketle ilgili kişinin isim-soy isim ve kimlik bilgilerinin de silinmesi kararının alındığı ve ilgili kişiye kişisel verilerinin ilk periyodik imha işleminde silineceği bilgisinin iletildiği
ifade edilmiştir.
Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 06/07/2021 tarihli ve 2021/670 sayılı Kararı ile;
- Kanunun, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4 üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin; hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme şeklinde sayıldığı,
- Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
- Kanunun kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi başlıklı 7 nci maddesinin “(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir. (2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır. (3) Kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.” hükmünü amir olduğu, bu çerçevede, Kişisel Verilerin Silinmesi Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin yürürlüğe girdiği,
- Kişisel Verilerin Silinmesi Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin kişisel verilerin silinmesine ilişkin 8 inci maddesinin (1) numaralı fıkrasında kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi olarak tanımlanırken (2) numaralı fıkrasında veri sorumlusunun, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlü olduğunun ifade edildiği,
- Yönetmelik kapsamında kişisel verilerin silinmesinin iki şekilde düzenlendiği, ilk olarak kişisel verilerin veri sorumlusunca resen silinmesi haline, ikinci olarak da kişisel verilerin ilgili kişinin başvurusu kapsamında silinmesi haline ilişkin düzenleme yapıldığı,
- Yönetmeliğin “Kişisel verileri resen silme, yok etme veya anonim hale getirme süreleri başlıklı” 11 inci maddesinin ‘‘(1) Kişisel veri saklama ve imha politikası hazırlamış olan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir. (2) Periyodik imhanın gerçekleştirileceği zaman aralığı, veri sorumlusu tarafından kişisel veri saklama ve imha politikasında belirlenir. Bu süre her halde altı ayı geçemez. (3) Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde, kişisel verileri siler, yok eder veya anonim hale getirir.’’ hükmünü haiz olduğu,
- Ayrıca aynı Yönetmeliğin, kişisel verilerin ilgili kişinin talebi çerçevesinde silinmesini düzenleyen ‘‘Kişisel verileri ilgili kişinin talep etmesi durumunda silme ve yok etme süreleri’’ başlıklı 12 nci maddesinde de;
‘‘(1) İlgili kişi, Kanunun (Değişik ibare:RG-28/4/2019-30758) 11 inci ve 13 üncü maddelerine istinaden veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;
a) Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.
b) Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.
c) Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.’’ düzenlemesinin yer aldığı, - İlgili kişinin kendisine ait kişisel verilerin silinmesi hususunda veri sorumlusuna ilettiği talebin, karşılanmaması iddiasına ilişkin olarak veri sorumlusundan alınan cevabi yazıda ilgili kişiye ait kişisel verilerin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c), (e) ve (f) bentleri kapsamında, ilgili kişiye aydınlatma yapılması suretiyle işlendiği, söz konusu verilerin ilgili kişinin ilk başvurusu sonucu silindiği, ancak ad-soyad, kimlik bilgileri ve mülakata ilişkin değerlendirme notlarının veri sorumlusu tarafından muhafaza edilmeye devam edildiği, buradaki amacın ise veri sorumlusuna iş başvurusunda bulunan kişilerin, reddedilen başvurusu sonrasındaki dönemlerde yapacakları iş başvurularının değerlendirmesinde, önceki başvurusunun da dikkate alınabilmesi olduğu, bu verilerin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendinde yer aldığı üzere, veri sorumlusunun ‘‘meşru menfaati’’ çerçevesinde depolanmaya devam edileceğinin bildirildiği ancak ilgili kişinin bu durumu kabul etmeyerek tekrar başvuruda bulunduğu ve başvurusunda veri sorumlusu banka ile ilgili herhangi bir kariyer planı ve olası iş başvurusu olmayacağını belirterek bankada muhafaza edilen tüm kişisel verilerinin silinmesini talep ettiği, bu talebe karşılık olarak da veri sorumlusunca yapılan değerlendirmeler sonucu ilgili kişinin kendisine ait kişisel verileri üzerindeki tasarruf yetkisini önceleyerek ilgili kişiye ait tüm kişisel verilerin ilk periyodik imha sürecinde Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin “Kişisel verileri resen silme, yok etme veya anonim hale getirme süreleri” başlıklı 11 inci maddesi gereği ilk periyodik imha işleminde silineceği hususunu ilgili kişiye ve Kuruma beyan ettiği,
- Ancak; ilgili kişinin Kuruma ilettiği şikayet ekinde de yer alan veri sorumlusuna yaptığı ilk müracaata istinaden veri sorumlusu banka tarafından verilen yanıtta yer alan ‘‘ilgili kişinin olası iş başvuruları adına kimlik bilgileri, ad, soyadı bilgilerinin bankanın meşru menfaati çerçevesinde saklanacağı’’ ifadesinde muğlaklık söz konusu olduğu, zira veri sorumlusunun Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendi kapsamında meşru menfaati çerçevesinde veri işlemesinin, veri sorumlusuna sınırsız bir alan tanımadığı,
- Bu çerçevede ilgili kişinin ileride yapacağı olası başvurular adına kişisel verilerinin bu başvurularda kullanılacak ve veri sorumlusuna bildirilecek kişisel verilerin teyit edilmesi amacıyla veri sorumlusu tarafından muhafaza edilmesi hususunda, veri sorumlusunun meşru menfaate dayanarak yaptığı savunmasının değerlendirilmesi gerektiği,
- Bu kapsamda, ilgili kişinin verilerinin tamamının silinmesi talebine karşın veri sorumlusunun bahse konu verileri ilk periyodik imhada dikkate alacağına yönelik açıklamasının veri sorumlusunun söz konusu menfaate ulaşılabilmesi bakımından kişisel veri işlenmesinin zorunluluk arz etmediğinin bir göstergesi olduğu, kişisel verinin işlenmesi sonucunda elde edilecek menfaat ile ilgili kişinin temel hak ve hürriyetlerinin yarışabilir düzeyde olmadığı, ilgili kişinin verilerinin saklanması hususunda veri sorumlusunun meşru menfaatinin açık ve belirli olmadığı, veri sorumlusunun işleme faaliyetinden sağlaması beklenen yararın kişisel veri işlenmeksizin başkaca bir yol ve yöntemle elde edilebileceği ve söz konusu veri işleme faaliyetinin çok sayıda kişiyi etkileyecek şekilde kurumsal bir fayda sağlamadığı değerlendirildiğinden söz konusu kişisel verilerin işlenmesinde veri sorumlusunun meşru menfaatinin ilgili kişinin temel hak ve özgürlüklerine baskın gelmediği,
- İş başvurusunun kabul edilmemesi ile birlikte Kanunun 5 inci maddesinde yer alan veri işleme şartlarından herhangi birinin devam etmediği göz önünde bulundurulduğunda her ne kadar veri sorumlusu tarafından Kişisel Verilerin Silinmesi Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğinin 11 inci maddesi gereği ilk periyodik imha sürecinde imha talebinin yerine getirileceği bilgisi ilgili kişiye verilmiş olsa da verilerin imha talebinin ilgili kişi tarafından Kanunun 7 ve 11 inci maddesi kapsamında veri sorumlusuna yeniden iletildiği, söz konusu imha talebi göz önüne alındığında mezkur Yönetmeliğin 11 inci maddesi kapsamında veri sorumlusu tarafından hazırlanan imha politikasına dayanarak gerçekleştirilecek ‘‘resen’’ imha işleminin söz konusu olamayacağı, aksine aynı Yönetmeliğin 12 inci maddesi kapsamında ilgili kişinin talebi üzerinde imha işleminin gerçekleştirilmesinin gerektiği; bu itibarla da imha işleminin bu madde kapsamında ele alınması gerektiği
değerlendirmelerinden hareketle;
- İlgili kişinin veri sorumlusuna yaptığı iş müracaatının olumsuz sonuçlanması üzerine veri sorumlusu tarafından işlenen kişisel verilerinin silinmesi talebinin veri sorumlusu tarafından önce kısmen kabul görerek ad, soyadı ve kimlik bilgilerinin işlenmesine devam edilmesi, sonrasında ise ilgili kişinin veri sorumlusuna aynı bağlamda yapılan ikinci başvurusu sonucunda yapılan değerlendirmede, söz konusu verilerin veri sorumlusunun imha politikası çerçevesinde gerçekleştirilecek ilk periyodik imha sürecinde imha edileceği kararının alındığının bildirilmesi dolayısıyla ilgili kişinin talebine karşın kişisel verilerinin Kişisel Verilerin Silinmesi Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 12 inci maddesi gereğince 30 gün içerisinde silinmemiş olmasının ve Kanunun 5 inci maddesinde yer alan herhangi bir işleme şartına dayanmaksızın ilgili kişinin kişisel verilerinin işlenmeye devam edilmesinin veri sorumlusunun Kanunun 12 inci maddesinin (1) numaralı fıkrası kapsamında kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığını gösterdiği kanaatine varıldığından veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca idari para cezası uygulanmasına,
- İlgili kişinin kişisel verilerinin imha edilerek ilgili kişiye ve Kurula konu hakkında bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
- İş müracaatı olumsuz sonuçlanmış başka kişilerin bulunması durumunda onların da kişisel verilerinin Kanunun 7 nci maddesi hükümleri çerçevesinde imha edilmesi ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına
karar verilmiştir.
