Açık Rıza Alınmadan Veri İşlenmesi: Emsal Kararlar Işığında Değerlendirme

AÇIK RIZA ALINMADAN İŞLENEN KİŞİSEL VERİ TÜRLERİ

6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) uyarınca, bir kişisel verinin açık rıza olmaksızın işlenebilmesi için KVKK’nın 5’inci maddesinde sayılan işleme şartlarından en az birinin mevcut olması gerekir. Ancak Kurul kararlarından görüldüğü üzere, sıklıkla telefon numarası, e-posta adresi, görüntü kaydı (kamera görüntüsü), adli sicil kaydı, sağlık bilgisi veya benzeri türden kişisel veriler açık rıza olmaksızın ve herhangi bir hukuki dayanak olmadan işlenebilmektedir.

Örneğin,

• Kişisel Verileri Koruma Kurulu, K. 2021/889, T. 03.09.2021 kararında (Link) bir kurumun, bireylerin görüntü kayıtlarını herhangi bir açık rızaya veya KVKK madde 5/2’deki bir şarta dayanmaksızın işlediği belirtilmiş ve bu nedenle açık rıza olmaksızın veri işleme faaliyeti tespit edilmiştir.
• Kişisel Verileri Koruma Kurulu, K. 2021/1217, T. 02.12.2021 kararında (Link) ilgili kişinin ad-soyad ve telefon numarasının hiçbir hukuki dayanak olmaksızın işlendiği ve bu faaliyetin de açık rıza yokluğu sebebiyle hukuka aykırı kabul edildiği ifade edilmiştir.

Bu ve benzeri örneklerde, veri sorumlularının hangi tür verileri işlediği değil, veriyi işlerken açık rıza veya kanunun öngördüğü başka bir hukuki sebep bulunup bulunmadığı esas alınmaktadır.

---

VERİ SORUMLULARININ ALMASI GEREKEN TEKNİK VE İDARİ TEDBİRLER
KVKK’nın 12’nci maddesi, veri sorumlusuna “kişisel verilerin hukuka aykırı işlenmesini önlemek, hukuka aykırı erişimi engellemek ve verilerin muhafazasını sağlamak” amacıyla uygun güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idari tedbiri alma yükümlülüğü getirir. Kurul kararlarında, bu tedbirlere ilişkin şu hususlar sıkça vurgulanmıştır:

1. Teknik Tedbirler:

   • Güvenlik duvarları, erişim kayıtlarının düzenli denetimi, kullanıcı hesap yönetimi, şifreleme, sızma testleri, veri maskeleme vb.
   • Ayrıca, personelin veri tabanına erişim yetkilerinin sınırlandırılması ve düzenli log kayıtlarının tutulması.

2. İdari Tedbirler:

   • Kurum içi veri koruma politika ve prosedürleri hazırlanması,
   • Çalışanların eğitimi ve farkındalığının sağlanması,
   • Kişisel veri işleyen departman ve çalışanlar için açıkça tanımlanmış görev-yetki çerçevesi,
   • İmzalanacak gizlilik taahhütnameleri ve veri işleme protokolleri,
   • Düzenli denetim ve raporlamalar ile kanuna uyum takibi.

Örneğin,

• Kişisel Verileri Koruma Kurulu, K. 2021/1324, T. 23.12.2021 kararında (Link) veri ihlallerinde sorumluluğu bulunan bir şirketin, yetersiz teknik ve idari tedbir aldığı gerekçesiyle 1.900.000 TL tutarında cezaya çarptırıldığı belirtilmiştir.

---

İDARİ PARA CEZALARININ MİKTARLARI NEYE GÖRE BELİRLENMEKTEDİR?
KVKK’nın 18’inci maddesine göre idari para cezası uygulanırken Kurul, özellikle şu hususları göz önünde bulundurur:

• İhlalin niteliği ve hukuka aykırılık içeriği,
• İhlalden etkilenen kişi sayısı ve ihlalin “yaygınlık” derecesi,
• Veri sorumlusunun kusur durumu,
• Veri sorumlusunun ekonomik durumu ve ölçeği,
• Gerektiğinde, veri sorumlusunun önceki ihlalleri veya benzeri davranışları,
• İhlalin tekrarlanıp tekrarlanmadığı ve veri sorumlusunun iş birliği tutumu.

Örneğin,

• Kişisel Verileri Koruma Kurulu, K. 2021/962, T. 21.09.2021 kararında (Link) ilgili kişinin verileri hukuka aykırı işlenmiş ve veri sorumlusu, ihlalin boyutu ve ekonomik durumuna göre 75.000 TL idari para cezasına tabi tutulmuştur.
• Aynı şekilde, Kişisel Verileri Koruma Kurulu, K. 2021/1324 (yukarıda anılan karar) kararında ise büyük ölçekli bir şirket için 1.900.000 TL ceza takdir edilmiştir.

---

BU KARARLARDA, VERİ SORUMLULARININ HANGİ KVKK MADDELERİNİ İHLAL ETTİĞİ BELİRTİLMİŞTİR?
İncelenen ve örnek verilen kararlarda veri sorumlularının sıklıkla KVKK’nın 12’nci maddesinin 1’inci fıkrası (teknik ve idari tedbir alma yükümlülüğü) ile 5’inci maddesinin 1’inci fıkrası (açık rıza olmaksızın veri işleme yasağı) ve 5’inci maddenin 2’nci fıkrasında sayılan işleme şartlarına uyulmaması nedeniyle ihlal tespit edilmektedir. Ayrıca, veri sorumluları tarafından 7’nci maddede düzenlenen verilerin silinmesi veya yok edilmesi hususuna riayet edilmemesi de Kurulca tespit edilebilmektedir.

Özetle:

• 5’inci madde (Açık rıza ve diğer hukuki sebepler): Veri sorumlusu açık rıza olmaksızın ve kanunun belirlediği diğer şartlara dayanmaksızın veri işlediğinde ihlal meydana gelir.
• 12’nci madde (Veri güvenliğine ilişkin yükümlülükler): Kişisel verilerin korunmasında yeterli teknik ve idari tedbir alınmadığında da Kanun ihlali oluşur.
• 7’nci madde (Silme, yok etme, anonim hâle getirme): İşleme sebebi ortadan kalktığı halde verilerin imha edilmemesi veya yok edilmemesi de ihlal olarak değerlendirilir.

Bu doğrultuda, KVKK’nın yukarıda bahsi geçen maddeleri en yaygın ihlal konuları arasında yer almakta; Kurul kararlarında veri sorumlularına yönelik çeşitli tutarlarda idari yaptırım kararlarına hükmedilmektedir.

---

Sonuç
Emsal kararlar incelendiğinde; açık rıza aranmaksızın veya yasal bir işleme sebebine dayanmaksızın telefon numarası, e-posta adresi, görüntü veya özel nitelikli verilerin işlenmesi Kanun’a aykırı kabul edilmektedir. Bu durum, KVKK’nın hem 5’inci maddesine hem de 12’nci maddesine aykırılık oluşturabilmekte; idari para cezaları ise ihlalin niteliği, veri sorumlusunun kusur derecesi ve ekonomik koşulları gibi unsurlar çerçevesinde farklı miktarlarda uygulanmaktadır. Dolayısıyla, veri sorumlularının kişisel verilerin işlenmesinde mevzuatın öngördüğü tüm teknik ve idari tedbirleri almaları ve veri işleme faaliyetlerini Kanun’un açık rıza veya diğer hukuki gerekçelerine dayandırmaları büyük önem taşımaktadır.