Kişisel Verileri Koruma Kurulu (“Kurul”), verdiği hizmeti açık rıza şartına bağlaması sebebiyle ihbar edilen sigorta şirketi (“Veri Sorumlusu”) hakkında 20.04.2020 tarihli ve 2021/389 sayılı kararı (“Karar”) verdi.
Karar uyarınca, ilgili kişi, ihbar ettiği sigorta şirketinden bireysel emeklilik sözleşmesi yaptırdığını; sigorta şirketinin internet sayfasında poliçe bilgilerine ulaşmak için giriş yapmaya çalıştığında kendisine bir onay kutucuğu sunularak kişisel verilerinin işlenmesine rıza göstermek zorunda bırakıldığını; bu kutuyu işaretlememesi halinde hiçbir işlem yapamadığını belirtmiştir. İlgili kişi, bu gerekçelerle, sigorta şirketini Kişisel Verileri Koruma Kurumuna ihbar (“İhbar”) etmiştir.
İhbar sonucu Kurul tarafından,
- Veri Sorumlusu tarafından yürütülecek kişisel verileri işleme faaliyetlerinin Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e (“Tebliğ”) uygun olarak yerine getirilmesi gerektiği,
- Veri Sorumlusunun internet sitesinde ayrı ayrı linklerde yer alan aydınlatma metinleri incelendiğinde metinlerin birebir aynı olduğu,
- Aydınlatma metninde, hukuki sebep olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) düzenlenen 5. veya 6. maddelerden hangisine dayanıldığına ilişkin bir bilgilendirme bulunmadığı,
- Aydınlatma metninde kişisel verilerin aktarımı hangi mevzuat kapsamında gerçekleştiriliyor ise ayrı ayrı açıkça belirtilmesi ve metnin güncel tutulması gerektiği,
- Kişisel verilerin işlenmesinin hukuki sebebinin açık rıza olduğu durumlarda aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi ve ayrı bir açık rıza metni oluşturulması gerektiği;
- Veri Sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması, ilgili kişinin yaptığı davranışın bilincinde ve kendi kararı olması, bu çerçevede hizmetin sunumunun ilgili kişi tarafından açık rıza verilmesi şartına bağlanmaması gerektiği;
- Tarafların eşit konumda olmadığı veya taraflardan birinin diğeri üzerinde etkili olduğu durumlarda açık rızanın özgür iradeyle verilip verilmediğinin dikkatle değerlendirilmesi gerektiği;
- Kanunlarda açıkça öngörüldüğü hallerden birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu;
- Veri işleme faaliyetinin açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılmasının aldatıcı ve hakkın kötüye kullanımı niteliğinde olacağı ve bu durumun KVKK’da düzenlenen “hukuka ve dürüstlük kurallarına uygun olma” ilkesine aykırılık teşkil ettiği
değerlendirilmiştir.
Kurul yaptığı değerlendirmeler ışığında, KVKK’nın 5. maddesinde yer alan diğer işleme şartları mevcut iken ilgili kişilerin açık rızasının alınmasının KVKK’nın 4. maddesinde yer alan “hukuka ve dürüstlük kurallarına uygun olma” ilkesine aykırı olduğu; Veri Sorumlusunun sunduğu hizmet bakımından geniş bir müşteri kitlesi bulunduğu ve Veri Sorumlusunun kusuru, ekonomik durumu ve haksızlık içeriği gibi hususları da göz önünde bulundurulduğunda, KVKK’nın 12. maddesinin 1. fıkrasında yer alan yükümlülüklerini yerine getirmeyen Veri Sorumlusu hakkında, 250.000 TL idari para cezası uygulanmasına karar vermiştir. Kurul ayrıca, Veri Sorumlusu tarafından ilgili kişilere sunulan açık rıza ve aydınlatma metinlerinin ayrı ayrı düzenlenmesi ve muğlak ifadelere yer vermemesi açısından gözden geçirilerek KVKK ve Tebliğ hükümlerine uyumlaştırılmasına ve Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına karar vermiştir.
Kararın tam metnine aşağıdaki linkten ulaşabilirsiniz.
