KHK ile İhraç Edilen Memur Emekli İkramiyesi Alabilir mi?

Üyelik Doğrulaması İçin Kimlik Fotokopisi İstenmesi Gerekir mi?

Bir havayolu taşımacılık şirketinin (veri sorumlusu) sunmuş olduğu sadakat programını kullanırken kullanıcı adı ve parola bilgilerini değiştirme talebiyle veri sorumlusuna başvuran ilgili kişiye, arkalı önlü kimlik görüntüsünü iletmesi halinde talebinin yerine getirileceği cevabının verilmesi, o sırada bilet bilgilerine erişmek için kimlik görüntüsünü elektronik olarak ileten, ancak daha sonra veri sorumlusuna başvurmak suretiyle kimlik görün­tülerinin silinmesi ve kişisel verileri üçüncü kişilere aktarıldıysa, verilerin aktarılan üçüncü kişilerin kayıtlarından da silinmesi talebine kişisel verilerinin sistemlerinde tutulmadığı ve üçüncü kişilerle paylaşamadığı yanıtını alan ilgili kişinin Kuruma yap­tığı başvurunun incelenmesi neticesinde,

İlgili kişinin kimlik görüntüsünde yer alan bilgilerin “kan grubu” ve “din” bilgilerini de içermesi nedeniyle arkalı önlü kimlik görüntüsünde yer alan verilerin özel nitelikli kişisel veri niteliğinde olduğu, bu nedenle Kanunun 5’inci ve 6’ncı madde­lerinde düzenlenen hükümlerin birlikte dikkate alınması gerek­tiği, söz konusu verilerin özel nitelikli verileri de ihtiva etmesi nedeniyle ilgili kişinin açık rızası olmadan gerçekleştirilen veri işleme faaliyetinin hukuka aykırı bir işleme olduğu,

Başvuruya konu olay Genel İlkeler bakımından değerlendi­rildiğinde,

Arkalı önlü kimlik görüntüsünün işlenmesinin, Kanunun 5’inci ve 6’ncı maddeleri kapsamında kişisel verilerin işlenme şartlarına uygun olmayan bir işleme faaliyeti olduğu değerlendi­rildiğinden, hukuka uygunluk ilkesine aykırı olduğu; öte yandan veri sorumlusunun kimlik görüntüsünün muhafaza edilmesine rağmen kayıt altına alınmadığı yönünde ilgili kişiye cevap ver­mesinden dolayı şeffaf olmadığı, bu nedenlerle de dürüstlük kuralına aykırı veri işleme faaliyetinde bulunduğu,

Veri sorumlusunun kimlik görüntülerini işlemesinde hangi hukuki işleme şartına dayandığı hususunun ilgili kişiye verilen cevap ta ve kurumumuza intikal eden yazıda belirtilmediği, bu nedenle veri sorumlusunun veri işleme faaliyetinin belirli, açık ve meşru amaçlar için işlenme ilkesine aykırı olduğu,

Kimlik doğrulama işlemi için daha az verinin işlenmesinin mümkün olduğundan hareketle veri sorumlusunun somut olayda işlediği kimlik görüntüsünün işlendikleri amaçla bağlantılı, sı­nırlı ve ölçülü olma ilkesine aykırı olduğu,

Veri sorumlusunun kimlik görüntüsünü işlediği gibi, kimlik doğrulama işlemi bittikten sonra bu verileri silmediği, Kuru­mumuzca bilgi belge talep edilmesi üzerine sildiğini beyan ettiği gerçeğinden yola çıkarak, veri sorumlusunun veri işleme faali­yetinin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkesine de aykırı ol­duğu,

İlgili kişinin, amacın ortadan kalktığı gerekçesi ile kişisel verilerini içeren nüfus cüzdanı görüntüsünün silinmesi veya yok edilmesi ile kişisel verilerinin silinmesi veya yok edilmesi iş­lemlerinin kişisel verilerinin aktarıldığı üçüncü kişilere de bildi­rilmesini talep ettiği, veri sorumlusunun ise güvenlik sebebi ile alınan kimlik kartı, pasaport ya da kimlik görüntüsü gibi bilgile­rin kayıt altına alınmadığı ve üçüncü kişiler ile paylaşılmadığı şeklinde elektronik posta vasıtasıyla yanıt verdiği, ancak daha sonra Kurumumuzun bilgi ve belge talep etmesi üzerine veri sorumlusu tarafından yapılan incelemede ilgili kişi ile iletişim halinde olan çağrı merkezi ekibi tarafından ilgili kişinin ilk baş­vurusu işleme alınırken kimlik doğrulama sürecinin Şirket ku­rallarına uygun olarak yürütülmediği, kimlik görüntülerinin alınmasına dair şikayetin içeriğinin doğru tahlil edilemediği, ilgili kişinin, kimlik görüntülerinin kaydedilmediği ve üçüncü kişilerle paylaşılmadığı şeklinde hatalı bilgilendirildiği ve yazılı çalışma kurallarının aksine talep değerlendirme, görüş ve destek birimlerinin yeterli bilgisi olmadan şikayetlerin yanıtlandığının tespit edildiği, ilgili kişinin iletmiş olduğu kimlik görüntülerinin şikayet modülü yazılım firmasının sunucuları üzerinde bulundu­rulduğu, kimlik görüntülerinin silinmediğinin tespit edildiği, dolayısıyla inceleme neticesinde işlem yapan çağrı merkezi per­sonelinin başvuru sahibi ilgili kişiyi kişisel verilerinin saklandı­ğı yerler ve paylaşıldığı üçüncü kişiler hakkında yanlış bilgilen­dirdiğinin ve bilgi eksikliği nedeniyle verilerinin silinmesine ve veri işleyenleri öğrenmeye yönelik taleplerini işleme almadığı­nın tespit edildiğinin belirtildiği, bu nedenle veri sorumlusunun, ilgili kişinin veri sorumlusuna başvuru hakkına riayet etmediği, diğer bir deyişle, veri sorumlusunun ilgili kişinin başvurusuna hukuka ve dürüstlük kuralına uygun bir yanıt vermediği,

Diğer yandan, veri sorumlusunun, Kanun kapsamındaki başvurusuna cevap verebilmek amacıyla ilgili kişinin kimliğinin teyidi noktasında ek bilgi istemesinin yerinde olduğu değerlen­dirilmekle birlikte, ilgili kişinin din ve kan grubu gibi özel nite­likli kişisel verilerini de içeren arkalı önlü kimlik görüntüsünün talep edilmesinin, Kanunun “Genel İlkeler” başlıklı 4’üncü maddesinde düzenlenen “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine uygun olmadığı gibi, Kanunun özel nitelikli kişisel verilerin işlenmesini düzenleyen 6’ncı maddesi­ne de uygun olmadığı, zira veri sorumlusunun da yapığı savun­mada, somut olayda çağrı merkezi ekibi tarafından yazılı çalış­ma kurallarına aykırı şekilde kimlik belgesi talep edildiğini be­lirterek, olaya ilişkin ikrarda bulunduğu,

Yukarıda açıklandığı üzere somut olayda işlenen kimlik gö­rüntüsüne yönelik olarak ilgili kişinin açık rızasının alınmadığı, açık rızanın aranmadığı diğer hallerin bulunmadığı, genel ilkele­re uyulmadığı ve ilgili kişinin haklarına riayet edilmediği gerek­çesiyle veri işleme faaliyetinin hukuka aykırı olduğu, bu çerçe­vede kişisel verilerin hukuka aykırı işlenmesini önlemek ama­cıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olan veri sorumlu­sunun veri güvenliğine ilişkin yükümlülüğüne aykırı davrandığı

Tespit edilmiş olup, bu itibarla,

Kanunun 12’nci maddesinin (1) numaralı fıkrasında yer alan veri güvenliğine ilişkin yükümlülükleri yerine getirmediği değerlendirilen Veri Sorumlusu hakkında Kanunun 18’inci maddesinin 1 numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına,

Veri sorumlusunun Kurumumuza ilettiği yazıda, kişisel ve­rilerinin silindiği hususunda ilgili kişinin bilgilendirileceğini belirtmiş olmasına rağmen, inceleme sürecinde bu bilgilendir­menin yapıldığına dair taraflardan gelen herhangi bir bildirim olmadığı dikkate alındığında, ilgili kişinin kimlik görüntüsünü içeren kişisel ve özel nitelikli kişisel verilerinin veri sorumlusu ve veri işleyenlerin sistemlerinden silindiği bilgisinin ilgili kişi­ye bildirilerek Kurumumuza bilgi verilmesi, önceden bildirildi ise bunu tevsik edecek bilgi ve belgelerin Kurumumuza iletil­mesi konusunda veri sorumlusunun talimatlandırılmasına,

Kişisel verileri işlenen müşterilerin bundan sonraki taleple­rinde benzer karışıklıklara meydan vermemek amacıyla, sadakat kart uygulaması ve diğer hizmetlerin sunulması sürecinde kendi adına veya bir başkası adına kişisel verilere ilişkin talepte bulu­nan kişilerin kimliklerinin teyit edilmesi noktasında uygulana­cak yöntem ve bu durumda işlenecek kişisel verilere ilişkin ku­rumsal düzenlemeleri Kanun kapsamında gözden geçirerek, ilgili birimleri ile veri işleyenleri bilgilendirmesi hususunda veri sorumlusunun talimatlandırılmasına,

Karar verilmiştir.

CategoryGenel
Yorum Yazın:

*

E-posta hesabınız yayımlanmayacak.

Call Now Button
WhatsApp chat