“Veri sorumlusu tarafından ilgili kişilerin kişisel verilerinin hukuka aykırı şekilde internet gazetesi üzerinden yayımlanması hakkında” Kişisel Verileri Koruma Kurulunun 18/02/2020 tarihli ve 2020/145 sayılı Karar Özeti
Kuruma intikal eden şikâyette; ilgili kişilerin yönetim kurulu üyesi olduğu bir şirket hakkında şikâyette bulunulan veri sorumlusu ….Medya Yayıncılık A.Ş.’ye bağlı olarak yayın yapan …Medya isimli internet gazetesi üzerinden asılsız ve gerçeğe aykırı beyanlarda bulunulduğu, ilgili kişilerin yönetim kurulu üyesi olduğu şirket tarafından noter aracılığı ile veri sorumlusuna tekzip ihtarnamesinin gönderildiği, veri sorumlusunun ilgili kişiler tarafından gönderilen ihtarnamenin fotoğrafını çekmek suretiyle yeni bir haber şeklinde olduğu gibi yayımladığı, ilgili ihtarnamenin sonunda ilgili kişilerin T.C. kimlik numaralarının, nüfus kayıt bilgilerinin, anne-baba isimlerinin ve adres bilgilerinin yer aldığı, ilgili ihtarnamenin fotoğrafının çekilip olduğu gibi haberin içinde yayımlanması nedeniyle ilgili kişilerin kişisel bilgilerinin hukuka aykırı bir şekilde kamuya ifşa edildiği, kişisel verilerin hukuka aykırı şekilde yayımlanması nedeniyle veri sorumlusuna tekrar ihtarname gönderildiği ve bunun üzerine ihtarnamenin kişisel verilere ilişkin kısmının haber metninden çıkarıldığı ancak 10 gün boyunca ilgili kişilere ait kişisel verilerin hukuka aykırı şekilde yayımlanarak kamuya ifşa edildiği, veri sorumlusunun ilgili kişilerin şahsi kimlik bilgilerini kamuya açık alanda kasten yayımlayarak Kişisel Verilerin Korunması Kanununa (Kanun) aykırı davrandığı hususları belirtilerek T.C. kimlik numaraları, nüfus bilgileri, anne baba ismi ve adres bilgisi gibi kişisel verilerini hukuka aykırı şekilde internet gazetesi üzerinden yayımlayan böylece güvenliklerini tehlikeye düşürdüğü kadar ilgili kişilere ait kişisel verileri rızaları ve bilgileri dışında kullanarak üçüncü kişilerce dolandırılmalarına sebebiyet verecek işlemlerin önünü açan veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;
- İlgili kişilerin yönetim kurulu üyesi oldukları şirketin anonim şirkete dönüşmek üzere genel kurula gittiği, haberi yapan ve aynı zamanda ilgili yayın grubunun da yöneticisi olan kişinin ilgili sektörü takip eden bir gazeteci olarak söz konusu genel kurul toplantısını izlemek istediği ancak toplantıyı izlemesine izin verilmediği, toplantıda iki farklı düşüncede grubun olduğu,
- Genel kurulun muhalif kanadının toplantı ile ilgili kendisine bilgi verdikleri, isimleri belli bir kesimin görüşlerini yayın grubunda yayınladığı, sonrasında olayın diğer tarafı, muhalif kesimin iddialarını cevaplamak için kendisine noter kanalıyla açıklama metinlerini gönderdikleri, bu açıklamaların cevap hakkı niteliğinde olması nedeniyle, zorunlu olmamasına rağmen etik gazetecilik anlayışı çerçevesinde açıklamaların önemli bölümlerinin yayın grubunun internet sitesinde kullanıldığı,
- Kendilerinin 10 satırlık haber yaptıkları, şirket yöneticilerinin ise 4-5 sayfalık açıklama metni gönderdiği, bunları baştan yazmanın çok zaman alacağından dolayı kendilerine “açıklamalarını mail yolu ile göndermeleri halinde tümünün yayımlanacağının” bildirildiği, noter kanalıyla gelmeye devam eden açıklamaların aynen eksiksiz olarak kullanılmasının istendiği, bu yüzden kendilerinin de metnin tamamını internet sitelerinde yayımladıkları, kaldırılması talebi üzerine hemen kaldırdıkları, bu açıklamanın kimlik bilgilerini içerdiği, bunu fark ettikleri anda hemen kaldırdıkları,
- Bu bilgilerin sitede kullanıldığına dair karşı tarafın bir kanıtının olmadığı, kendilerinde de bu ekran görüntüsünün bulunmadığı, kendilerinin kullanmadıklarını söylemeleri halinde karşı tarafın hiçbir kanıtının olmadığı; diğer yandan konunun yargıya gittiği, mahkeme huzuruna çıktığı ve beraat ettiği
ifadelerine yer verilmiştir.
Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 18/02/2020 tarihli ve 2020/145 sayılı Kararı ile,
- Kanunun “Tanımlar” başlıklı 3 üncü maddesinde; “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi, “veri sorumlusu”nun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi ve “kişisel verilerin işlenmesi”nin, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı,
- Bu minvalde, ilgili kişilerin şikayet konusu tekzip ihtarnamesinde yer alan ad, soyadı, T.C. kimlik numaraları, nüfus kayıt bilgileri, anne-baba isimleri, adres bilgilerinin birer kişisel veri, veri sorumlusu medya şirketinin, kişilere ait bu verilerin internet gazetesinde yayımlanması işleminin de kişisel veri işleme faaliyeti olduğu,
- Kanunun 4 üncü maddesinin (2) numaralı fıkrasında kişisel verilerin işlenmesinde uyulması zorunlu ilkelerin “a) hukuka ve dürüstlük kurallarına uygun olma, b) doğru ve gerektiğinde güncel olma, c) belirli, açık ve meşru amaçlar için işleme, ç)işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, d) ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” şeklinde düzenlendiği,
- Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin, (2) numaralı fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
- Öte yandan, Kanunun 28 inci maddesinin (1) numaralı fıkrasının (c) bendinde “Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi” halinde Kanun hükümlerinin uygulanmayacağının belirtildiği,
- 5187 sayılı Basın Kanununun 14 üncü maddesinde ise “Süreli yayınlarda kişilerin şeref ve haysiyetini ihlâl edici veya kişilerle ilgili gerçeğe aykırı yayım yapılması halinde, bundan zarar gören kişinin yayım tarihinden itibaren iki ay içinde göndereceği suç unsuru içermeyen, üçüncü kişilerin hukuken korunan menfaatlerine aykırı olmayan düzeltme ve cevap yazısını; sorumlu müdür hiçbir düzeltme ve ekleme yapmaksızın, günlük süreli yayınlarda yazıyı aldığı tarihten itibaren en geç üç gün içinde, diğer süreli yayınlarda yazıyı aldığı tarihten itibaren üç günden sonraki ilk nüshada, ilgili yayının yer aldığı sayfa ve sütunlarda, aynı puntolarla ve aynı şekilde yayımlamak zorundadır” düzenlemesine yer verildiği,
- Sorumlu müdürün, Basın Kanunundan kaynaklı olarak düzeltme metnini veya cevap yazısını hiçbir düzeltme ve ekleme yapmaksızın yayımlama yükümlülüğünün bulunduğu, ancak bu amaç yerine getirilirken sorumlu müdürün bu amaçla bağlantılı, sınırlı ve ölçülü olacak şekilde hareket etmesi beklendiği, diğer bir ifadeyle, düzeltme metni yayımlanırken, haberle ve metnin içeriğiyle ilgisi olmayan ve yayımlanması halinde kişilerin kişilik haklarının zarara uğramasına sebep olacak kişisel verileri içeren kısımların yayımlanması, amaç ile orantılı olarak değerlendirilmediğinden söz konusu düzeltme metninin kişilik haklarını ihlal ederek internet sitesinde yayımlanmasının, Kanunun 28 inci maddesinin (1) numaralı fıkrasının (c) bendi kapsamında değerlendirilmeyerek şikâyetin incelemeye alındığı,
- Veri sorumlusunun bahse konu olan tekzip ihtarnamesini yayımlamasının, 5187 sayılı Basın Kanununun 14 üncü maddesinde yer alan yükümlülüğünü yerine getirmek amacıyla Kanunun 5 inci maddesinin 2 numaralı fıkrasının (ç) bendinde yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması” hükmü doğrultusunda hukuka uygun olduğu, ancak ilgili ihtarnamenin kişisel verilere ilişkin bölümünü herhangi bir güvenlik önlemi almaksızın olduğu gibi yayımlanmasının, daha sonra bu bölüm internet sitesinden kaldırılmış olsa dahi Kanunun genel ilkeler başlıklı 4 üncü maddesinde düzenlenen “amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi ile bağdaşmadığı dikkate alındığında bu durumun veri sorumlusu tarafından kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerin alınmadığının göstergesi olduğu
değerlendirmelerinden hareketle;
- Veri sorumlusunun bahse konu tekzip ihtarnamesinin yayımlamasının, Kanunun 5 inci maddesinin 2 numaralı fıkrasının (ç) bendinde yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması” hükmü kapsamında hukuka uygun olduğu, ancak ilgili ihtarnamenin kişisel verilere ilişkin bölümünün olduğu gibi yayımlanmasının, daha sonra bu bölümü internet sitesinden kaldırmış olsa dahi, Kanunun genel ilkeler başlıklı 4 üncü maddesinde düzenlenen “amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi ile bağdaşmadığı dikkate alındığında bu durumun Şirketin kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığına işaret ettiği ve bu kapsamda Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendinde öngörülen yükümlülüğünü yerine getirmediği kanaatine varılan veri sorumlusu hakkında Kanunun 18 inci maddesinin birinci fıkrasının (b) bendi hükmü uyarınca 55.000 TL idari para cezası verilmesine karar verilmiştir.