Kişisel Verilerin Korunması Bülteni
Türkiye’den Güncel Gelişmeler
Kişisel Verileri Koruma Kurulu, Veri Sorumluları Siciline Kayıt Yükümlülüğüne İlişkin İstisna Kriterinde Değişiklik Yaptı
Kişisel Verileri Koruma Kurulu (“Kurul”) 06.07.2023 tarihli kararı ile Veri Sorumluları Sicili (“VERBİS”) kayıt yükümlülüğü kapsamında kalan şirketlerin belirlenmesinde dikkate alınan “yıllık mali bilanço toplamı” kriterini güncelledi. Yapılan değişiklikle birlikte, yıllık çalışan sayısı 50 (elli)’den ve yıllık mali bilanço toplamı 100 (yüz) milyon Türk lirasından az olan ve ana faaliyet konusu özel nitelikli kişisel veri işleme olmayan veri sorumluları VERBİS’e kaydolmak zorunda değildir.
Kurul Kararına buradan ulaşabilirsiniz.
Taahhütname Başvurusu Hakkında Duyuru Yayınlandı
Google Reklamcılık ve Pazarlama Limited Şirketi tarafından sunulan yurtdışına kişisel veri aktarımı yapılması hususundaki başvuru, Kurul tarafından değerlendirilmiş ve 17.08.2023 tarihinde söz konusu veri aktarımına izin verilmiştir.
Bu karar ile Türkiye’den Google sunucularına genel bir veri aktarımı izni verilmediği belirtilmelidir. Kurul kararı yalnızca Google Reklamcılık ve Pazarlama Limited Şirketi tarafından ilgili taahhütnamede belirtilen yurt dışında yerleşik veri alıcısına yapılan veri aktarımlarını kapsar.
İlgili duyuruya buradan ulaşabilirsiniz.
Orta Vadeli Program’ın (2024-2026) Onaylanması Hakkındaki Cumhurbaşkanı Kararı Yayınlandı
Orta Vadeli Program’ın (2024-2026) Onaylanması Hakkındaki 06.09.2023 tarihli ve 7597 sayılı Cumhurbaşkanı Kararı 06.09.2023 tarihli ve 32301 mükerrer sayılı Resmî Gazete’de yayımlandı. 2024 – 2026 dönemi için hazırlanan Orta Vadeli Program ile düzenlenen hedefler arasında, KVKK’nın Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”) başta olmak üzere Avrupa Birliği (“AB”) müktesebatına uyum sürecine yönelik çalışmaların son çeyreğe kadar tamamlanması da yer alır. Veri esaslı rekabet gücünün artırılmasına yönelik olarak 2024 yılı üçüncü çeyreğe kadar Ulusal Veri Stratejisinin hazırlanacağı ve uygulamaya konulacağı belirtildi.
Cumhurbaşkanı Kararına buradan ulaşabilirsiniz.
Kurul Karar Özetleri
Kurul, 14.08.2023 tarihinde 2 (iki) yeni karar özeti yayınladı. Karar özetlerini sizler için derledik:
Özel Sağlık Kuruluşu Tarafından Sunulan Sağlık Hizmetinin Açık Rıza Şartına Bağlanması Hakkında Kurul Kararı
Karara konu olayda, özel bir hastanenin internet sayfasında randevu alabilmek için hizmet ve duyurulardan haberdar edilmek üzere kişisel verilerin işlenmesine ve bu amaçla iletişime geçilmesine onay verilmesi zorunlu tutulmuştur. Kurul, veri sorumlusu tarafından hizmetin açık rıza şartına bağlanmasının ilgili kişilerin iradelerini sakatlayacağını değerlendirmiştir. Kararda, randevu başvuru formunda yer alan kişisel verilerin işlenmesi için farklı işleme şartlarına dayanılabilmesi mümkünken, açık rıza alınmasının aldatıcı ve hakkın kötüye kullanımı niteliğinde olacağına yer verilmiştir.
Kararda ayrıca, randevu kayıt sayfasında yer alan “Kişisel verilerimin işlenmesine ilişkin aydınlatma metnini okudum. Kişisel Verilerin Korunması Kanunu’na uygun şekilde verilerimin işlenmesine onay veriyorum” seçeneğinde geçen “onay veriyorum” ifadesinin aydınlatma metnine onay veriliyormuş izlenimi yarattığı değerlendirilir. Kurul tarafından aydınlatma metninin okunduğuna dair bir kutucuğun işaretlenmesi şeklinde düzenlenme getirilmesi önerilir.
Kurul karar özetine buradan ulaşabilirsiniz.
Yapılması Gerekenler
- Bir hizmet ile doğrudan bağlantılı olmayan işlemler için açık rıza verilmesi o hizmetin sunulması için şart koşulmamalıdır.
- Aydınlatma metnine onay verildiği anlamına gelebilecek yanıltıcı beyanlardan kaçınılmalıdır.
- Diğer veri işleme şartlarının uygulanabildiği durumlarda, açık rıza şartına dayanılmamalıdır.
Reklam ve Tanıtım Faaliyetleri Kapsamında Kişisel Veri İşlenmesine İlişkin Olarak, Bir Hastanenin Hastalardan Açık Rıza Alması Hakkında Kurul Kararı
Veri sorumlusu hastane tarafından fotoğraf ve video çekimi yapılması için hastalardan açık rıza talep edildiği olayda, Kurul tarafından söz konusu hastanenin sosyal medya hesaplarında yer alan paylaşımlar incelenmiş; hastaların sağlık sorunları hakkında bilgi verildiği ve tedaviyi gerçekleştiren hekimin hastalara konulan tanı ve uygulanan tedavinin sonucu hakkında açıklamalarda bulunduğu tespit edilmiştir.
Kararda, veri sorumlusunun sağlık ve diğer kişisel verileri reklam amaçlı işleyerek özel hastanelere uygulanan reklam yapma yasağını ihlal ettiği, veri sahiplerinden alınan açık rıza reklam yapma yasağını ortadan kaldırmayacağından reklam ve tanıtım faaliyetlerinin meşru bir amaç taşımadığı değerlendirilir.
Kurul karar özetine buradan ulaşabilirsiniz.
Yapılması Gerekenler
- Veri sorumluları faaliyet alanları ile ilgili tüm yasal düzenlemeleri takip etmelidir. Yasalar ile yasaklanmış işlemler için alınan açık rıza hukuka uygun bir veri işleme şartı olarak ileri sürülemez.