“İlgili kişinin uluslararası geçerliliği olan bir dil sınavı konusunda Türkiye’deki akredite kuruluş tarafından kişisel verilerinin hukuka aykırı işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 12/08/2021 tarihli ve 2021/799 sayılı Karar Özeti

“İlgili kişinin uluslararası geçerliliği olan bir dil sınavı konusunda Türkiye’deki akredite kuruluş tarafından kişisel verilerinin hukuka aykırı işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 12/08/2021 tarihli ve 2021/799 sayılı Karar Özeti

Karar Tarihi : 12/08/2021
Karar No : 2021/799
Konu Özeti : İlgili kişinin uluslararası geçerliliği olan bir dil sınavı konusunda Türkiye’deki akredite kuruluş tarafından kişisel verilerinin hukuka aykırı işlenmesi

 

İlgili kişinin Kuruma intikal ettirdiği şikâyet dilekçesinde özetle; uluslararası geçerliliği olan bir dil sınavı konusunda ilgili akredite kuruluşun düzenlemiş olduğu sınava girdiği, bu sınav öncesinde herhangi bir veri işleme şartına dayanmaksızın ilgili kişiye ait özel nitelikli kişisel verisi olan görsel kaydının (biyometrik fotoğraf) ve parmak izinin alındığı, giriş kaydının alternatif yollarla sağlanmasının mümkün olduğu, bu kapsamda bahsi geçen kuruluşa başvuruda bulunarak 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 11 inci maddesi kapsamındaki hakları ve kişisel verilerinin saklama süresi sona erince ne şekilde imha edildiği hakkında bilgi edinme talebinde bulunduğu, ancak başvurusunun haksız ve mesnetsiz gerekçelerle reddedildiği, kuruluşun söz konusu uluslararası dil sınavına ilişkin olarak Türkiye’deki süreçleri yürüten ve çeşitli uluslararası kurum ve kuruluşların yetkilendirdiği bir tüzel kişilik olduğu, bu kapsamda sınava katılan adayların kişisel verilerinin yurt dışına aktarılmasının kaçınılmaz olduğu ancak aktarım hakkında bilgilendirilmediği, diğer taraftan iletişim bilgilerinin de reklam ve pazarlama amaçlı olarak açık rızası alınmaksızın ve aydınlatma yükümlülüğü yerine getirilmeksizin hukuka aykırı olarak işlendiği hususları ifade edilerek 6698 sayılı Kanun kapsamında gereğinin yapılması talep edilmiştir. 

Konuya ilişkin başlatılan inceleme çerçevesinde söz konusu iddialara yönelik ilgili şirketten savunması istenilmiş olup, alınan cevabi yazıda özetle,

  • Öncelikle ilgili kişinin başvurusunda ad-soyad bilgisinin hatalı yazılmış olması sebebiyle Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe (Tebliğ) uygun olarak taraflarına başvuru yapılmadığı,
  • Sınava başvuran adaylardan kimlik bilgileri (adı, baba adı, ana adı, doğum yeri, doğum tarihi vatandaşlık numarası, kimlik seri no, kimlik geçerlilik tarihi), iletişim bilgileri (iletişim adresi, e-posta adresi, telefon numarası, ülke, şehir, posta kodu, ilçe), login ve kullanıcı adı, cinsiyeti, banka hesap bilgileri, engellilik durumu, sağlık raporu, dijital fotoğrafı,  dijital parmak taraması ve el yazısı verilerinin alındığı,
  • İlgili kişi tarafından iddia edildiğinin aksine taraflarınca biyometrik değil çehre görüntüsü gibi herkes tarafından bilinen, görünen ve kamuya açık dijital vesikalık fotoğrafının hizmet ilişkisi kapsamında kayıt altına alındığı, bahse konu verilerin, sınava girmek isteyen kişinin kaydının oluşturulması ve sınav sürecinin yönetilmesi için alınmasının zorunlu olduğu, dolayısıyla bu verilerin şirketleri ve sınava girecek kişiler arasında 6698 sayılı Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendi uyarınca bir sözleşmenin kurulması ve ifasıyla doğrudan doğruya ilgili olması sebebiyle alınması zorunlu bilgilerden olduğu ve ilgili kişinin açık rızasına tabi olmadığı, 
  • Parmak tarama kayıtlarının ise sınav güvenliği ve kimlik doğruluğunu sağlamak adına alınmasının şart olduğu, bu kayıtların yurt içi ya da yurt dışına aktarılmadığı, bu sistemin hizmet kalitesini standart hale getirmek amacıyla tüm dünyada söz konusu dil sınavını yapan merkez tarafından zorunlu tutulduğu, küresel olarak belirlenmiş olan bahse konu dil sınavının Güvenlik Protokollerine tüm yetkili sınav uygulayıcılarının uymakla yükümlü olduğu, parmak izi taramasının parmak izi şeklinde olmadığı, "görüntü kaydı" yöntemiyle alındığı ve yalnızca eşleştirme yapıldığı, parmak izi taramasında mürekkep, sıvı ya da herhangi bir kimyasal içermeyen elektronik tarayıcı kullanıldığı, parmağın herhangi bir görüntüsünün alınmadığı ya da saklanmadığı bunun yerine adayı tanımlayacak benzersiz bir sayı dizisine dönüştürüldüğü, parmak taramasına onay verilmesinin sözleşmenin ifası açısından zorunlu bir unsur olmadığı, kişilerden açık rıza alınmadığı takdirde parmak tarama kayıtlarının işlenmediği, buna ilişkin gerekli bilgilendirmenin ilgili kişilere yapılarak açık rızalarının olup olmadığının öğrenildiği, 
  • Bu kapsamda, sınava girecek adaylardan Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendi kapsamında kişisel verilerin toplandığı, özel nitelikli kişisel veriler bakımından ise adaylardan rızalarının alındığı,
  • Kişisel verilerin işlenmesi sürecinde Kanunun 10 uncu maddesi kapsamındaki aydınlatma yükümlülüğü ile ilgili olarak, gizlilik politikası ve kullanım koşulları metinleri ile toplanan kişisel verilere ilişkin bilgilendirme sağlamak adına söz konusu metinlerin internet sitesinde yayınlandığı, internet üzerinden sınav başvurusunda bulunan kişilerin üyelik formunu doldurmak zorunda oldukları ve bu esnada ilgili metinlere link verildiği, internet üzerinden başvuru yapmayan adaylara ise iletişim adreslerine söz konusu link ve metinlerin gönderildiği,
  • Öte yandan söz konusu sınava girişte elde edilen kişisel verilerin işlenme amaçlarının ve vasıtalarının belirlenmesinden, veri kayıt sisteminin kurulmasından ve yönetilmesinden merkezi yurt dışından bulunan bir başka kuruluşun sorumlu olduğu, Türkiye’de kurulu bulunan şirketin tüm çalışma, pazarlama ve işletme esaslarının kurucu şirket tarafından belirlendiği,
  •  Elde edilen kişisel verilerden, kişinin kimlik ve iletişim bilgilerinin, pasaport bilgilerinin, login ve kullanıcı adı, ülke, şehir, posta kodu, ilçe, cinsiyet, dijital fotoğraf bilgilerinin yurt içi ve yurt dışı ile paylaşıldığı, yurt içi/yurt dışı aktarımların yalnızca topluluk şirketleri ile yapıldığı, şirketin her türlü işlem ve ilişkilerinde yurt dışı merkezli topluluk şirketlerine bağlı olması sebebiyle söz konusu paylaşımın hizmetlerin ifası bakımından şart olduğu, dil sınavının uygulaması ve hazırlanmasında ancak kendisine tanınan yetki sınırları içerisinde hareket edebildiği ve sözleşme kapsamında bağlı olduğu şirketlere aktarım yapmakla yükümlü olduğu, adayın talep ettiği hizmeti almasında bu aktarımın önem arz ettiği, edimin ifa edilmesi adına dil sınavı test ortaklarının bu bilgilere sahip olmak zorunda oldukları, verilerin aktarıldığı topluluk şirketlerinin GDPR’a tabi olduklarından güvenli ülke oldukları, 
  • Özel nitelikli kişisel verilerin ve parmak tarama kayıtlarının ise yurt dışına aktarımının söz konusu olmadığı,
  • Sınav adaylarıyla yapılan görüşmeler esnasında adaya gönderilen ve imzalattırılan gizlilik ile kullanım koşulları metinlerinde yurt dışına aktarıma ilişkin bilgilendirme yapıldığı, verilerin aktarımı öncesinde mutlaka adaylardan rızalarının alındığı,
  • Sınava girecek adayın sınav yeri ve sonuç bilgilerini öğrenme hakkı kapsamında e-posta adres bilgilerinin alındığı, bu kapsamda ilgili bilgilerin gönderildiği, ticari iletilerle ilgili olarak ise “Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik”in 6 ncı maddesi hükmü uyarınca temin edilen hizmetler kapsamında gönderilecek ticari iletiler bakımından tekrar onay alınması gerekmediği, 
  • Kişisel verilerin saklanma ve imhasına ilişkin olarak politikalarının bulunduğu, buna göre toplanan kişisel bilgilerin artık gerekli olmadığında, kişisel bilgilerin bir kopyasının saklanmayacağı veya bilgilerin yasalar tarafından gerekmedikçe imha edilmesi ve kimlik giderme politikasına uygun olarak yok edilmesinin, güvenli şekilde silinmesinin veya bilgilerin tanımlanmasının sağlanacağı, bilgilerin dil sınavı veya sınav hazırlama amaçları için toplanması halinde, sınava girdikten, hizmete katıldıktan sonra veya son etkinlikten sonra 3 yıla kadar saklanacağı,  parmak tarama verilerinin test tarihinden sonra 60 gün boyunca sadece bir binary large object dosyası olarak saklanacağı 

ifade edilmiştir. 

Bu kapsamda, kişisel verilerin işlenme amaçlarının ve vasıtalarının belirlenmesinden ve veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olduğu iddia edilen yurt dışında yerleşik bulunan şirkete de şikâyet dilekçesindeki iddialara yönelik olarak bilgi verilerek açıklamaları istenilmiş olup, bu kapsamda yurt dışında yerleşik bulunan şirketçe verilen cevabi yazıda özetle; 

  • Dil sınavının arka planına ve bağlamına ilişkin açıklamalara yer verildikten sonra, şikâyete konu (Türkiye’de bulunan) akredite kuruluşun yurt dışında yerleşik bulunan şirketlerinin iştiraki konumunda olduğu ve sınav ortakları tarafından ortaklaşa belirlenen ve Test Merkezleri Sözleşmesinde belirtilen şartlar altında çalışmakla yükümlü olduğu, 
  • Bahsi geçen ortakların sınava ilişkin şartları ve koşulları, gizlilik bildirimini ve kimlik doğrulama süreçleri dahil olmak üzere gereksinimleri ortaklaşa belirledikleri,
  • Katılan için önemli sonuçları olan bir sınav olması sebebiyle, sınava giren kişinin kimliğinin kesin olarak doğrulanabilmesinin ve sonucunun sınava giren kişiyle ilişkilendirmesinin hem sınav katılımcılarının hem de kuruluşların yararına olduğu, buna göre, kimlik doğrulaması ve sınav günü fotoğrafının, sınava girenlerin sonuç formunda gösterilen sonuçlara ulaşan kişi olduklarını kanıtlamalarını sağladığı,
  • Parmakla taramaya ilişkin olarak; test merkezlerine, sınava girenlerin kimliklerini kontrol etmeye dayalı bir alternatif sağlanması gerektiğini belirtir talimatlarının bulunduğu, Türkiye'de alternatifin sunulmadığı bir dönemin bulunduğu ancak Mart 2020'den itibaren Türkiye'deki şirketin uygulamasının parmak taraması yaptırmak istemeyen sınav katılımcılarına bir alternatif sunulması gerektiği yönünde olduğu, ancak bunun her zaman böyle olmadığı bu sebeple bunu düzeltmek için adımlar attıkları, 
  • Parmak taramasını içeren mevcut sürecin, aynı kişinin sınavın tüm bölümlerini aldığını teyit etmek ile sınav katılımcısının gizlilik hakları arasında en iyi dengeyi sağladığından seçildiği, 
  • Parmak izlerinin resimlerinin alınmadığı veya saklanmadığı, yalnızca baskının aynı kişiden olduğunu doğrulamak için kullanılabilen, ancak parmak izi görüntüleri olarak çoğaltılamayan İkili Büyük Nesne Dosyaları (BLOB) olarak adlandırılan sayısal dizeler şeklinde tutulduğu, bu dosyaların da yalnızca sınav merkezinin bilgisayar ekipmanında yerel olarak tutulduğu ve 60 gün sonrasında silindiği, yurt dışına aktarılmadığı, Türkiye’de, Mart 2020'den itibaren parmak taramasına alternatif bir kimlik doğrulama sistemi sunulduğu ve Covid riski nedeniyle de o zamandan beri parmak taramasının hiç kullanılmadığı,
  • Bir yan kuruluşu olarak Türkiye’deki iştiraklerinin rolünün, dil sınavının Türkiye'de test merkezlerinde sunulmasının sağlanması şeklinde olduğu,
  • Tüm ülkelerdeki sınav katılımcılarından parmak taramalarının talep edildiği ancak bunun zorunlu olmadığı, alternatif olarak kayıt kimliğinin manuel olarak kontrol edilmesinin de mevcut olduğu, 
  • Bazı kişisel verilerin Gizlilik Bildiriminde açıklandığı üzere veri sorumlusuna aktarıldığı, ancak bu bilgilerin her kişi için toplanmadığı, sınava girme nedenine ve seçilen sınavın türüne bağlı olarak değiştiği, parmak taramasının ise yurt dışına aktarılmadığı, 
  • Yurt dışına aktarmak için ilgili kişilerin açık rızasının alındığı, Kurulun, taraflarının Kanuna ilişkin yorumlarına katılmaması halinde, özellikle "Yeterli Ülkelerin" herhangi bir onayı yoksa transfer için Kurul onayı alma sürecine katılabilecekleri

beyan edilmiştir. 

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 12/08/2021 tarih ve 2021/799 sayılı Kararı ile;

Veri sorumlusu sıfatının belirlenmesi açısından; 

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun Tanımlar başlıklı 3 üncü maddesinde “veri sorumlusu”nun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi; “veri işleyen”in ise veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlandığı; veri sorumlusunun, veri işleme faaliyetinin genel anlamda “neden” ve “nasıl” yapıldığını belirleyen kişi olduğu, Kurumun internet sitesinde yayınlanan veri sorumlusu-veri işleyen rehberine göre veri işleyenin ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen, veri sorumlusunun organizasyonu dışındaki gerçek veya tüzel kişiler olduğu; bu kişilerin, kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen, veri sorumlusunun kişisel veri işleme sözleşmesi yapmak suretiyle yetkilendirdiği ayrı bir gerçek veya tüzel kişi olduğu; bu kapsamda, Türkiye’deki dil sınavlarında iştiraki olarak görev yapmakta olan şirketin ve yurt dışı merkezli şirketten alınan bilgi, belge ve beyanların değerlendirilmesi neticesinde, Türkiye’deki şirketin dil sınavının Türkiye’de uygulanmasında yetkili kılınan bir tedarikçi olduğu, sınavın uygulanmasına dair hizmet sözleşmesi kapsamında yurt dışı merkezli şirketin emir ve talimatlarıyla bağlı olduğu öte yandan adaylardan elektronik ortamda alınan kayıtların tutulduğu elektronik sistemin yurt dışındaki şirkete ait olduğu ve Türkiye’deki şirketin söz konusu sisteme erişim imkanı olmadığı, bu minvalde bahse konu sınav hizmetinin sağlanması noktasında adaylardan/ilgili kişiden edinilen sınava ilişkin genel nitelikteki kişisel verilerin işlenmesi noktasında veri işleyen sıfatını haiz olduğu,
  • Diğer taraftan, sınav güvenliğinin sağlanması noktasında adaylardan sınava giriş esnasında kimliklerinin doğrulanmasını teminen alınan parmak taraması uygulamasının Mart 2020’ye kadar Türkiye’de zorunlu olarak yapıldığı ancak bu tarihten itibaren parmak taramasına alternatif bir kimlik doğrulama sistemi sunulmasına yönelik test merkezlerine talimat verildiğinin beyan edilmesi ve şikâyete konu ilgili kişinin parmak tarama kayıtlarının 2018 yılında alındığı hususları birlikte değerlendirildiğinde, somut olay açısından Türkiye’deki şirketin, yurt dışı merkezli şirketin emir ve talimatlarıyla hareket etmek zorunda olduğu, bununla birlikte her ne kadar Mart 2020 tarihinden itibaren ve günümüz itibariyle adaylara, verilerinin işlenmesi noktasında seçenek sunulması talimatının verildiği ifade edilse de şikâyet tarihi itibariyle parmak taraması alınması yönündeki kişisel veri işleme faaliyetinin zorunlu olarak yapıldığı anlaşıldığından, somut olay açısından Türkiye’deki iştirakin yine veri işleyen, yurt dışı merkezli şirketin ise veri sorumlusu olduğu,

İlgili kişinin başvurusunun reddedilmesi açısından; 

  • İlgili kişinin Türkiye’deki şirkete yaptığı başvuruda ad-soyad bilgisini bir harf eksik olarak yanlış yazdığı ancak ilgili kişinin ad-soyad bilgisi kişi tarafından bir harf eksik olarak yazılmış olsa da kişinin kimliğinin teyit edilmesini sağlayacak T.C. kimlik numarasının tam olarak iletildiği diğer taraftan şirket ile yapılan yazışmalarda ilgili kişinin ad ve soyadının verilen cevap e-postalarında tam olarak görüntülenebildiği dolayısıyla söz konusu e-posta adresinin şirketin sisteminde kayıtlı olduğu anlaşılmış olduğundan bir harf sebebiyle ilgili kişinin başvurusunu reddetmesinin Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin  6 ncı maddesinde belirtilen dürüstlük kuralına uygun olmadığı,
  • Diğer taraftan, ilgili kişinin Kanunun 11 inci maddesi kapsamında bilgi edinmeye yönelik taleplerine, talebi olmayan bir içerikle Tebliğin 6 ncı maddesine uygun olmayacak bir şekilde cevap verildiği bu anlamda ilgili kişinin taleplerinin yanıtsız bırakıldığı, bununla birlikte ilgili kişinin başvurusunda yer alan taleplerini veri sorumlusu adına cevaplayabileceği dikkate alındığında veri işleyenin Kanun kapsamında kendisine yapılan başvurulara cevap verirken 6698 sayılı Kanun ve Tebliğin ilgili hükümlerine uyum konusunda gerekli dikkat ve özeni göstermediği, 

İlgili kişinin görsel kaydının ve parmak izinin herhangi bir veri işleme şartına dayanmaksızın alındığı iddiası açısından; 

  • Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, bu çerçevede, kişisel verilerin ancak, 
    a) Hukuka ve dürüstlük kurallarına uygun şekilde, 
    b) Belirli, açık ve meşru amaçlar kapsamında, 
    c) Doğru ve gerektiğinde güncel olma şartıyla, 
    ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, 
    d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme 
    ilkelerine uygun olarak işlenebildiği, bu ilkelerden, “işlendikleri amaçla bağlantılı ve sınırlı olma ilkesi”nin; işlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olmasını, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını öte yandan sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik olarak da veri işlenmesi yoluna gidilmemesini içerdiği,
  • Ölçülü olma ilkesinin ise, veri işleme faaliyeti ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulmasını, diğer bir deyişle veri işlemenin amacı gerçekleştirecek ölçüde olmasını ifade ettiği, bu kapsamda, veri sorumlusunun amacı çerçevesinde ölçülü olma ilkesine uygun olarak ilgili kişiden minimum düzeyde bilgi talep etmesi bunun dışında, amaç için gerekli olmayan kişisel verilerin işlenmesi faaliyetinden kaçınması gerektiği,
  • Kanunun “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6 ncı maddesinde  “…(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. (4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” hükümlerine yer verildiği,
  • Somut olayda, sınavın güvenirliliğinin ve güvenliğinin sağlanması noktasında 2020 Mart dönemi öncesinde, adaylardan parmak taramalarının alınmasında ilgili kişiden/adaylardan alternatif yollar yerine açık rızalarının alınması yoluna gidildiği dolayısıyla Kanunun 4 üncü maddesinde yer alan “ölçülü olma” ilkesine aykırı davranıldığı, 
  • Türkiye'de adaylara alternatifin sunulmadığı bir dönemin bulunduğu anlaşıldığından şikâyete konu somut olay açısından 2018 yılındaki parmak tarama kayıtlarının işlenmesi noktasında hizmetin açık rıza şartına bağlandığı, bu kapsamda açık rızanın Kanunda sayılan unsurları taşımadığı ve dolayısıyla söz konusu işlemenin Kanunda yer alan işleme şartlarına dayanmadan gerçekleştirildiği, 

İlgili kişinin kişisel verilerinin yurt içi ve yurt dışına aktarılmasına ilişkin bilgilendirilmediği iddiası hakkında: 

  • Kanunun “Kişisel Verilerin Yurt Dışına Aktarılması” başlıklı 9 uncu maddesinde kişisel verilerin ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağı ancak, kişisel verilerin 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede; a) Yeterli korumanın bulunması, b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabileceği hükümlerinin düzenlendiği, 
  • Taraflardan alınan savunma yazılarında ve internet sitelerinde yapılan incelemede kişisel verilerin yurt dışına aktarımına açık rıza verilmesi gerektiği, açık rıza verilmemesi halinde sınav hizmetinin ifa edilemeyeceği, hizmetin ifası için söz konusu kişisel verilerin test ortaklarına aktarılmasının zorunlu olduğunun beyan edildiği ancak  genel nitelikli kişisel verilerin işlenmesinin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendi kapsamında bir sözleşmenin kurulması ve ifasıyla doğrudan doğruya ilgili olması sebebiyle alınması zorunlu bilgiler olduğu ve adayların açık rızasına tabi olmadığı bununla birlikte aktarımın adayların açık rızaları kapsamında yapıldığının anlaşıldığı, 
  • Ayrıca, gerek internet sitesinde gerekse sunulan bilgi ve belgelerde açık rızanın sadece yurt dışına aktarıma yönelik olarak alınmadığı, yurt dışına aktarıma ilişkin rızanın sınava ilişkin diğer koşulların da yer aldığı “şartlar ve koşullar” metnine istinaden hizmetten faydalanmanın şartı olarak alındığı, somut olaya konu olan ilgili kişinin onayının da aynı şekilde alındığı ancak aradan geçen 3 yıllık süre ve Türkiye’deki şirketin adaylara ilişkin elektronik kayıtların tutulduğu söz konusu sisteme erişim imkanının bulunmaması sebebiyle ilgili belgeye erişemediği ve yurt dışı ile yürütülen görüşmeler neticesinde ilgili kişiye ait bahse konu kayıtların imha politikasına uygun  şekilde yok edildiği bilgisini aldığı,
  • Bu itibarla, hizmetin ifası kapsamında zorunlu olarak alınması gereken genel nitelikteki kişisel verilerin yurt dışına aktarılmasında açık rızanın sınava ilişkin şartlar ve koşulların yer aldığı metinler aracılığıyla genel olarak alınmasının açık rızayı sakatlayacağı dikkate alındığında; yurt dışına aktarımın Kanunun 9 uncu maddesinin (1) numaralı fıkrası gereğince açık rıza kapsamında yapılmaya devam edilmesinin tercih edilmesi halinde açık rızanın Kanunun 3 üncü maddesinde yer alan unsurlar ve Aydınlatma Tebliğinde yer verilen hükümler dikkate alınmak şartıyla yurt dışına aktarım özelinde münferiden alınması gerektiği ya da açık rıza almak yerine Kanunun 9 uncu maddesinin (2) numaralı fıkrası uyarınca "bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması" kapsamında yurt dışına aktarılmak istenmesinin tercih edilmesi halinde ise Kanunun 9 uncu maddesinin (1) numaralı fıkrasına uygun bir taahhütnamenin hazırlanarak Kurulun onayına sunulması gerektiği,

Reklam ve pazarlama içerikli e-postalara rıza vermediği ve bu konuda aydınlatılmadığı iddiası açısından;

  • Konu hakkında ilgili kişinin veri sorumlusuna başvuruda bulunmamış olmasının Kanunda yer verilen usul şartlarına uygun olmadığı sonucuna varıldığı

değerlendirmelerinden hareketle;

  • İlgili kişinin Türkiye’deki şirketin sisteminde kayıtlı olduğu ve ilgili kişinin kimliğinin tespit edilebileceği anlaşılmış olduğundan bir harf sebebiyle “…başvurucu ismi kayıtlarımızda bulunamamıştır…” şeklinde ilgili kişiye cevap verilmesinin Tebliğin 6 ncı maddesinde belirtilen dürüstlük kuralına uygun olarak değerlendirilmemesi sebebiyle Kanun kapsamında kendisine yapılan başvurulara cevap verirken 6698 sayılı Kanun ve Tebliğin ilgili hükümlerine uyum konusunda gerekli dikkat ve özeni göstermesi gerektiği konusunda uyarılmasının, 
  • Diğer taraftan ilgili kişinin taleplerinin Türkiye’deki şirket tarafından yanıtsız bırakıldığı göz önüne alındığında ise ilgili kişinin başvurusunda yer alan taleplerini veri işleyenin veri sorumlusu adına cevaplayabileceği dikkate alındığında, veri işleyenin bu talepleri detaylı şekilde yanıtlaması ve sonucundan Kurula bilgi vermesi gerektiği yönünde talimatlandırılmasına, 
  • Sınava girişlerde parmak taraması kayıtlarının alınması uygulamasına ilişkin veri sorumlusu tarafından test merkezlerine, sınava girenlerin kimliklerini kontrol etmeye dayalı bir alternatif sağlanması gerektiğini belirtir talimat verildiğinin belirtildiği, Türkiye'de adaylara alternatifin sunulmadığı bir dönemin bulunduğu zira bu uygulamanın Türkiye’de Mart 2020'den itibaren değiştirildiği ve parmak taramasına alternatif bir kimlik doğrulama sisteminin sunulduğunun beyan edildiği, şikâyete konu somut olay açısından ise 2018 yılındaki parmak tarama kayıtlarının işlenmesi noktasında hizmetin açık rıza şartına bağlandığı, bu kapsamda açık rızanın Kanunda sayılan unsurları taşımadığı ve dolayısıyla söz konusu işlemenin Kanunda yer alan işleme şartlarına dayanmadan gerçekleştirildiği dikkate alındığında Kanunun 12 nci maddesinin (1) numaralı fıkrasında sayılan tedbirlerin alınmadığı kanaatine varıldığından, yurt dışı merkezli veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına,
  • Türkiye’de sınava girişte kimlik doğrulaması amacıyla adaylardan parmak taraması kaydı alınması uygulamasına alternatif bir kimlik doğrulama sisteminin kullanılması, bu kapsamda veri işleyen başta olmak üzere Türkiye’deki yetkili test merkezlerinin bu sisteme uymasının sağlanması ve sonucundan Kurula bilgi verilmesi gerektiği yönünde veri sorumlusunun talimatlandırılmasına,
  • İlgili kişinin şikayet dilekçesinde Kurula ilettiği “reklam, pazarlama ve tanıtım amaçlı maillerin geldiği, bu işleme faaliyetine rıza vermediği ve söz konusu işleme faaliyeti konusunda aydınlatılmadığı” iddialarına ilişkin veri sorumlusuna başvuruda bulunmamış olmasının Kanunda yer verilen usul şartlarına uygun olmadığının değerlendirilmesi sebebiyle, veri sorumlusunu muhatap başvurusunda talep etmediği, ancak Kurula yaptığı başvuruda talep ettiği konuların inceleme sürecine dahil edilmediği hususlarında ilgili kişiye bilgi verilmesine

karar verilmiştir.