İlgili kişinin kendisi tarafından alenileştirilen, bir başka ifadeyle herhangi bir şekilde kamuoyuna açıklanmış olan kişisel verileri işlenebilecektir. Hangi verinin ne zaman alenileştiğinin kesin bir kuralı olmadığı için mutlaka her somut olay için ayrı değerlendirme yapılmalıdır.
1- Kişisel verinin aleni kabul edilebilmesi için ait olduğu kişinin aleni olmasını istemesi gerekir. Başka bir ifade ile alenileştirmenin gerçekleştirilebilmesi için alenileştirme iradesinin varlığı gerekir. Yoksa bir kişinin kişisel verisinin internet ortamında herkesin görebileceği bir yerde olması o verinin aleni olduğu anlamına gelmez.
Örneğin, bir kişisel verileri koruma konferansında, söz sırası kendisine gelen konuşmacı bir konu hakkında açıklama yaparken örnek vermek amacıyla kendi ikametgâh adresini açıklamış ve ‘’İzmir’in Karabağlar ilçesi, Basın Sitesi Mahallesi, Gazeteci Hasan Tahsin Caddesi 166 sokakta ikamet etmekteyim’’ demiştir.( Örnekteki ikametgah adresi , belirli veya belirlenebilir bir gerçek kişiyi işaret etmediği için kişisel veri değildir.)
Bu örnekte konuşmacı, ikametgâh adresini alenileştirmiştir. Kişisel verisini alenileştirme sorusunun cevabı için öncelikle konuşmacının alenileştirme amacını sorgulamalıyız. Konuşmacının ikametgâh adresini alenileştirmesinin amacı bir konu üzerinde açıklama yaparken kendi ikametgâh adresi üzerinden örnek vermesidir. Yani konuşmacı kişisel verisinin başka kişilere aktarılmasına, paylaşılmasına, haber siteleri tarafından işlenmesine, video kaydı alarak ikametgâh adresinin sosyal medya üzerinde paylaşılmasına yönelik bir alenileştirme amacı veya açık rıza beyanı yoktur.
Bu nokta da, konuşmacı açıklama yaptığı konu hakkında örnek verirken, ikametgâh adresini söylediği zaman bu kişisel verisinin nasıl ve nerede kullanacağını tahmin edebilir diye sonuçlarını öngörebilir diye düşünebilirsiniz. Ancak bu düşünce KVKK ve mevzuatı açısından doğru bir düşünme yöntemi değildir. Kişisel veri sahibi (yukarıdaki örnekte konuşmacı) kendisine ait olan veri üstünde tüm haklara sahiptir. Hatta kişisel veri sahibi açıkladığı kişisel verisinin nerede nasıl kullanılması veya kullanılmaması gerektiğini bile belirlemiştir.
Konuşmacı, somut olayda konuşması sırasında ikametgâhını örnek vermek amacıyla açıkladığı çok bellidir. Konuşmacı kişisel verisinin ( ikametgâh adresi) kullanılması için sınırları belirlemiştir. Sadece örnek vermek amacıyla verisini alenileştirdiğini somut olaydan anlaşılmaktadır.
Bu sebeple nasıl olsa kişi, kişisel verisini kalabalık bir ortamda açıkladı, kişisel verisini alenileştirdi dolayısıyla alenileşen kişisel veri her yerde her şekilde kullanılabilir diye düşünmek KVKK kapsamında ihlallere yol açacaktır.
2- Alenileştirme durumunda kişisel verinin amacı dışında da kullanılmaması gerekmektedir. Özellikle hizmet ve pazarlama sektöründe faaliyet gösteren şirketlerin işbu maddeye dikkat etmesi gerekmektedir. Alenileşen kişisel veriyi, alenileştirme amacı dışında kullanmak KVKK kapsamında idari para cezası ile cezalandırılmaktadır.
Örneğin, avukatlık mesleğini icra eden Av. Batuhan KAPLAN ‘ nın internet sitesini üzerinden Kişisel Verilerin Korunması Kanunu hakkında yazılar, videolar ve makaleler paylaşmaktadır. Her internet sitesinde olduğu gibi iletişim bölümünde Av. Batuhan KAPLAN’ a ait özel cep telefonu numarası yer almaktadır.
Bu örnekte Av. Batuhan KAPLAN telefon numarasını alenileştirmiştir diyebiliriz. Ancak alenileştirme amacı somut olaydan ve internet sitesinin içeriğinden anlaşılacağı üzere Kişisel Verilerin Korunması Kanunu ile ilgili iletişim kurulmasıdır.
Bir sigorta şirketinin, bahsi geçen internet sitesi üzerindeki özel cep telefonu üzerinden Av. Batuhan KAPLAN’ a özel sağlık sigortası teklifi yapmak için ulaşması cep telefonunun alenileştirme amacına uygun olmadığı için KVKK anlamında ihlal anlamına gelmektedir.
İlgili kişi tarafından alenileştirilen kişisel verinin, alenileştirme amacı dışında işlenmesine dair Kişisel Verileri Koruma Kurulu Kararı aşağıdadır.
Karar Tarihi : 07/11/2019
Karar No : 2019/331
Konu Özeti : İlgili kişi tarafından alenileştirilen cep telefonu numarasının, bir sigorta şirketi tarafından alenileştirme amacı dışında işlenmesi hk.
İlgili kişinin bir Sigorta Şirketi (Şirket) tarafından açık rızası alınmadan sigortacılık faaliyetleri konusunda aranması hususunda Kurula yapmış olduğu şikâyet başvurusu ile ilgili olarak Şirketten alınan yazısında, Şikayetçinin ad, soyadı ve telefon bilgisinin finansal güvence danışmanlarınca teklif araması yapılmadan önce gerçekleştirilen araştırmalar sonucunda …uzantılı internet sitesinden bulunduğu, Şikayetçinin taraflarınca ulaşılan ad, soy ad ve telefon numarası bilgisinin belirtilen sitede halka açık bir şekilde yer aldığı şeklindeki savunmasının değerlendirilmesi sonucunda,
Şikâyetçinin kişisel verilerine kendisi tarafından daha önce alenileştirilen internet sitesinden ulaşılması halinde dahi Şirket tarafından Şikâyetçinin bu bilgilerinin internet sitesinde bulunma ve alenileştirilme amacıyla kullanılmadığı, diğer bir deyişle Şikâyetçinin mesleki yetkinliğinden faydalanmak için kendisine ulaşılmaya çalışılmadığı, aksine Şirket faaliyetlerine ilişkin randevu talebi ile Şikâyetçinin arandığı anlaşıldığından, Şirket tarafından gerçekleştirilen veri işleme faaliyetinin 6698 sayılı Kişisel Verilerin Korunması Kanununun 5 inci maddesinin (2) numaralı fıkrasının (d) bendi çerçevesinde değerlendirilemeyeceği kanaatine varılmış olup, bu kapsamda Şirketin kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almayarak Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine aykırı davranmış olması nedeniyle Şirket hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına karar verilmiştir.
Commentaires