Konu: Kişisel Verileri Koruma Kurulu’nun Önemli Kararları
Sayı: 2021/48
Tarih: 02.04.2021
Özet: Bültenimizde, Kişisel Verileri Koruma Kurulu tarafından verilen iki önemli kararın ayrıntısı aktarılmıştır.
Kişisel Verileri Koruma Kurulu’nun incelendiği bu bültenimizde, ilk kararda, sözleşmesi feshedilen ilgili kişinin özlük dosyasında bulunan istifa yazısının kendisine verilmesini istediği halde, veri sorumlusu tarafından 30 gün içerisinde cevap alamamasına istinaden Kişisel Verileri Koruma Kurulu’na başvuru süreci ve Kurul kararı incelenmiştir. İkinci kararda ise, veri sorumlusu tarafından ilgili kişiye yeterince aydınlatma yapılmadığı ve açık rızasının alınmadığı yönündeki şikayeti üzerinden verilen karar aktarılmıştır.
1. “Bir kargo firmasında çalışan ilgili kişinin iş akdinin haksız feshedilmesi sonrası özlük dosyası kapsamında yer alan kişisel verilerinin birer suretinin tarafına verilmesi talebine veri sorumlusu tarafından cevap verilmemesi” hakkında Kişisel Verileri Koruma
Kurulunun 28/05/2020 tarihli ve 2020/435 sayılı Karar Özeti İlgili kişiden alınan şikayet dilekçesinde, bir kargo firmasında denetim uzmanı olarak çalışırken iş akdinin haksız, geçersiz ve tazminatsız olarak feshedildiğini söylemiştir. Kişi veri sorumlusundan Kanunun 11.maddesine dayanarak içerisinde zorla imzalatıldığını iddia ettiği istifa dilekçesinin de bulunduğu özlük dosyasını talep etmiştir fakat 30 gün içerisinde herhangi bir cevap alamamıştır. Bu sebeple, veri sorumlusu hakkında yaptırım uygulanması ve özlük dosyası kapsamında yer alan kişisel verilerinin birer suretinin tarafına verilmesi amacıyla veri sorumlusunun talimatlandırılması talep edilmiştir.
Noter aracılığıyla gönderilen ihtarnamenin konusu şu şekildedir: “Tarafınızca iş akdim feshedilmeden önce tarafımdan almış olduğunuz 30.09.2019 tarihli önlü arkalı yazılı savunmamın tarafınızca tarafıma zorla imzalatılan 18.10.2019 tarihli istifa dilekçemin ve iş akdimin 17.10.2019 tarihinde tarafınızca feshi gerçekleştirildikten sonra aynı gün elden vermiş olduğum 17.10.2019 tarihli istifa dilekçemin birer örneğinin KVKK madde 11/1-b kapsamında tarafıma ibrazına ilişkin ihtarnamemdir.”
Konuya ilişkin olarak başlatılan inceleme çerçevesinde veri sorumlusu kargo firmasından savunma alınmıştır. Savunmaya göre, başvuru 11.madde kapsamadığında olmadığı için cevap verilmemiştir.
Veri sorumlusunun savunmasına göre, bu ihtarnamede veri sorumlusundan kişisel verilerine ilişkin bilgi talep etmemekte, kendisi tarafından veri sorumlusuna verilen belgelerin birer örneğini talep etmektedir. Kanunun 11.maddesi kapsamında ilgili kişinin veri sorumlusuna başvurarak kendisinden bu belge örneklerini isteyebileceğine dair bir madde bulunmadığı ve bu sebeple isteğinin karşılanmasının mümkün olmadığını dile getirmişlerdir. Ayrıca kendisinin verdiği istifa dilekçesinin işlenen bir veri olmadığı söylenmiştir.
Savunmanın devamında yer alan beyanlar ise şu şekildedir:
- İlgili kişi tarafından noter aracılığıyla yapılan başvuru veri sorumlusuna 26 Kasım 2019 tarihinde ulaşmıştır. İlgili kişi tarafından ihtarname keşide edildikten 8 gün sonra henüz cevap verme süresi dolmadan bu defa 4 Aralık 2019 tarihinde arabulucuya başvurularak konuyu yargıya taşımıştır.
- İlgili kişinin Kanunun 11. maddesi kapsamında düzenlenen “bilgiye erişim hakkını” kullanmak amacında değildir. Kendisine delil elde ederek, kıdem ve itibar tazminatı ile sair işçilik alacaklarının kendisine ödenmesini sağlamak amacındadır. 6. İş Mahkemesinde açılan dava dosyasına sunulan dava dilekçesinde; “Kaldı ki, müvekkilimizden daha öncesinde alınan istifa dilekçesinin ve savunmasının işbu davada delil olarak kullanılabilmesi için müvekkilimiz davalı tarafa başvurmuş ve kendilerine …. Noterliği nezdinde … tarihli ve … yevmiye no.lu ihtarı keşide ederek işbu belgelerin kendisine verilmesini talep etmiştir.” cümlesi yer almaktadır.
- Kendilerinin Anayasa’nın 38.maddesine dayanarak “susma hakkını” kullanmakta olduklarını dile getirmişlerdir.
- Kişinin başvurusunun Dilekçe Hakkının Kullanılması Kanununa da aykırı olduğunu öne sürmüşlerdir.
- İlgili kişinin Kuruma 30 Aralık 2019 tarihinde başvurduğu, bu tarihten önce ilgili kişinin 4 Aralık 2019 tarihinde arabulucuya başvurduğu, Kişisel Verileri Koruma Kurulunun 24.12.2018 tarih ve 2018/156 sayılı Karar özetinde; “6698 sayılı Kişisel Verilerin Korunması Kanununun 15 inci maddesinin (2) numaralı fıkrasında 01.11.1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesinde “Yargı mercilerinin görevine giren konularla ilgili olan ihbar veya şikayetlerin incelemeye alınamayacağının hükme bağlandığı, şikayete konu iddiaların Türk Ceza Kanunu hükümleri uyarınca suç unsuru barındırdığı ve bunların da bireysel suç niteliğinde olduğu, bu kapsamda ilgili kişi tarafından da konunun yargıya intikal ettirilmiş olduğu dikkate alındığında söz konusu başvurunun Kanun kapsamında değerlendirilemeyeceğine” karar verildiğinden ötürü, ilgili kişi tarafından şikayet konusu yapılan hususun yargı mercilerinin görevine giren konularla ilgili olduğu, bu nedenle şikayetin reddinin gerektiğini öne sürmüşlerdir.
Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 28/05/2020 tarih ve 2020/435 sayılı Kararı ile;
- Veri sorumlusunun ilgili kişiden 30 Eylül 2019 tarihinde aldığı yazılı savunma ve 18 Ekim 2019 ile 17 Ekim 2019 tarihli istifa dilekçelerinin içerik itibariyle kişiye ilişkin bilgiler içerdiği ve bu bilgilerin ilgili kişiyi belirli veya belirlenebilir kıldığı, bu kişisel veriler sayesinde ilgili kişiye ulaşılabilir olduğu hususu göz önünde bulundurulduğunda bu bilgilerin kişisel veri niteliğinde olduğu sonucuna varıldığı,
- Şikayet başvurusunda bulunan kişinin ilgili kişi, kargo firmasının veri sorumlusu, ilgili kişiye ait istifa dilekçesinin özlük dosyası kapsamında muhafaza edilmesinin ise veri işleme faaliyeti olduğu,
- Kanunun 4. maddesinin (2) numaralı fıkrasında kişisel verilerin işlenmesinde uyulması zorunlu ilkelerin
a) hukuka ve dürüstlük kurallarına uygun olma,
b) doğru ve gerektiğinde güncel olma,
c) belirli, açık ve meşru amaçlar için işleme,
ç) işlendikleri amaçla bağlantılı, sınırlı ve ölçülü
olma,
d) ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” şeklinde düzenlendiği,
- Kanunun, “Kişisel verilerin işlenme şartları” başlıklı 5. Maddesi kapsamında, açık rıza olmaksızın işlenemeyeceği ve açık rızanın aranmayacağı istisna hallerinin düzenlendiği,
- Anayasanın 20. maddesinin (3) numaralı fıkrasında “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” hükmüne yer verildiği,
- Kanunun 11. Maddesinde ise ilginin kişinin hakları düzenlenmiştir. Bu madde içerisinde, “(1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; a) Kişisel veri işlenip işlenmediğini öğrenme, b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme” hükmünün düzenlendiği,
- Kanunun 13. maddesinin (1) numaralı fıkrasında da ilgili kişinin, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna ileteceği, aynı maddenin (2) numaralı fıkrasında ise veri sorumlusunun başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandıracağının düzenlendiği,
- Yukarıda anıldığı üzere Anayasanın 20. maddesinin (3) numaralı fıkrasında yer verilen düzenleme ile
“… kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme…” hakkına sahip olduğu, Kanunun 11. maddesinin (1) numaralı fıkrasının (b) bendi çerçevesinde ise ilgili kişilerin kişisel verileri işlenmişse buna ilişkin bilgi talep etme hakkına sahip olduğunun düzenlendiği, bu çerçevede, ilgili kişinin veri sorumlusundan kişisel veri niteliğinde olan yazılı savunmasını ve istifa dilekçelerini Kanunun 11 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında talep ettiği, yukarıda anılan mevzuat kapsamında ilgili kişinin kişisel verilerine erişme hakkının olduğu ve bu hakkını veri sorumlusuna karşı ileri sürebileceğinin değerlendirildiği,
- Ayrıca, veri sorumlusunun cevap yazısında; Türkiye Cumhuriyeti Anayasasının 38. maddesinin 5 inci fıkrasında “hiç kimsenin kendisini ve kanunda gösterilen yakınlarını suçlayan bir beyanda bulunmaya veya bu yolda delil göstermeye zorlanmayacağının” hükme bağlandığı, taraflarının “susma hakkı” olarak da ifade edilen bu hakkını kullandığı iddialarına yer verildiği görülmekle beraber Anayasa Mahkemesinin 2011/41 Esas sayılı ve 2012/25 Karar sayılı kararında “Anayasa'nın 38. maddesinde suç ve cezalara ilişkin temel ilkelere yer verilmiş, beşinci fıkrasında 'Hiç kimse kendisini ve kanunda gösterilen yakınlarını suçlayan bir beyanda bulunmaya veya bu yolda delil göstermeye zorlanamaz.' denilmiştir. İnsan hakları arasında yer alan, manevi işkenceyi meneden, insan haysiyetinin ve kişi dokunulmazlığının teminatı olan bu düzenlemeye, ceza yasalarında sanığın 'susma hakkı' olarak yer verilmiştir.” denildiği, dolayısıyla Anayasanın 38 inci maddesinin (5) numaralı fıkrasının Anayasa Mahkemesinin anılan kararından da anlaşılacağı üzere gerçek kişileri esas alan bir düzenleme olduğu ve temel insan hakları arasında bir hak olarak değerlendirildiğinin anlaşıldığı,
- Veri sorumlusunun cevap yazısında; ilgili kişinin Kuruma 30 Aralık 2019 tarihinde başvurduğu, bu tarihten önce ilgili kişinin 4 Aralık 2019 tarihinde arabulucuya başvurduğu, bu anlamda Kişisel Verileri Koruma Kurulunun 24 Aralık 2018 tarih ve 2018/156 sayılı karar özetine atıf yapılmak suretiyle ilgili kişi tarafından şikayet konusu yapılan hususun yargı mercilerinin görevine giren konularla ilgili olduğu, bu nedenle şikayetin reddinin gerektiği iddialarına yer verildiği, ancak ilgili kişinin Kurumu muhatap başvurusunda, veri sorumlusundan Kanunun 11. maddesi kapsamında özlük dosyasında yer alan yazılı savunmasının ve istifa dilekçelerini talep ettiğini belirterek, Kurumdan söz konusu kişisel verilerinin birer suretinin tarafına ibraz edilmemiş olması nedeniyle veri sorumlusu hakkında yaptırım uygulanmasını ve özlük dosyası kapsamında yer alan kişisel verilerinin birer suretinin tarafına verilmesini talebinde bulunduğunun anlaşıldığı, esasen Kuruma intikal eden şikayetin konusunun kişisel verilere ilişkin olduğu ve suç unsuru da barındırmadığı sonucuna varıldığı,
- İlgili kişinin veri sorumlusuna karşı açmış olduğu davanın konusunun ise “Fazlaya ilişkin her türlü talep ve dava hakkımız saklı kalmak ile şimdilik; 100 TL kıdem tazminatı, 100 TL ihbar tazminatı, 100 TL maaşından kesilen yıllık izin alacağının faizleri ile birlikte davalı şirketten alınarak müvekkile ödenmesi talebine ilişkindir.” şeklinde olduğunun anlaşıldığı, bu minvalde, açılan davanın kişisel verilere ilişkin bir dava olmaması sebebiyle konunun kişisel verilere ilişkin olan yönünün Kurum tarafından ele alınmasında bir sakınca olmadığı değerlendirmelerinden hareketle,
- İlgili kişinin başvurusunun, Kanunda düzenlenen haklara ilişkin olmadığı ve başvurunun Kanunda düzenlenmeyen bir konu olan belge örneği talebi içerdiği için Kanunun 11 inci maddesi kapsamında karşılanmasının mümkün olmadığı gerekçesiyle veri sorumlusu tarafından 30 günlük yasal süre içerisinde cevaplandırılmadığı dikkate alındığında, ilgili kişiye ait kişisel veri niteliğindeki bilgilerini içeren 30 Eylül 2019 tarihli savunma yazısı ile 18 Ekim 2019 tarihli ve 17 Ekim 2019 tarihli istifa dilekçelerinin birer örneğinin ilgili kişiye verilmesi hususunda Kanunun 15. maddesinin (5) numaralı fıkrası kapsamında veri sorumlusunun talimatlandırılmasına,
- Veri sorumlusunun, ilgili kişiler tarafından Kanun kapsamında yapılan başvurulara yasal süresi içerisinde cevap vermesi noktasında azami dikkat ve özeni göstermesi gerektiği hususunda talimatlandırılmasına karar verilmiştir.
2. “İşverenin, işçisine ait kişisel verileri ve özel nitelikli kişisel verileri; aydınlatma yükümlülüğünü yerine getirmeden ve hukuka aykırı işlemesi” hakkında Kişisel Verileri Koruma Kurulunun 20/05/2020 tarihli ve 2020/404 sayılı Karar Özeti Kuruma intikal eden şikâyet dilekçesinde özetle, İlgili kişinin çalışmakta olduğu veri sorumlusu şirketten 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 11. maddesi kapsamındaki hakları kapsamında bilgi talebinde bulunması ve söz konusu talebine yeterli cevap alamamasıdır. Kişi, konu ile ilgili olarak veri sorumlusunu hakkında gerekli yaptırımların uygulanmasını talep etmiştir.
Kişi verdiği dilekçede şikayette bulunduğu noktaları şu şekilde sıralamıştır:
- Veri sorumlusu tarafından kendisine kişisel verilerinin işlenme amacıyla ilgili olarak genel nitelikli bir bilgilendirme yapıldığı, verilerin işlenme ve saklanma süreçlerine ilişkin bilgi verilmediği,
- Veri sorumlusunun cevap yazısında verilerin saklı tutulduğu programlara dair kimlerin erişiminin olduğu, yetki matrisi olup olmadığına dair bilgilendirmenin yapılmadığı,
- Adı geçen programlarda saklanan verilerin ne kadar süre sonra silindiğine dair bilgi verilmediği,
- Tüm çalışanların erişim yetkisi olan İntranet ağında bulunan “Veri Güvenliği Politikası”nda da bu bilgilere yer verilmediği,
- Veri sorumlusu tarafından çalışanlarından elektronik ortamda KVKK Çalışma Muvafakatnamesi alındığı, söz konusu muvafakatnamenin çok geniş kapsamlı olduğu ve yeterli aydınlatmanın yapılmadığı, verilecek rızanın “battaniye rıza” olduğu, kendisinin bu muvafakatnameye onay vermekten imtina ettiği ancak onay vermek durumunda bırakıldığı,
- Tüm çalışanların parmak izinin alındığı, çalışanların bu veriyi vermek zorunda bırakıldığı, parmak izi alındığı sırada çalışanların açık rızalarının alınmadığı ve aydınlatma yükümlülüğünün de yerine getirilmediği, biyometrik verilerin üçüncü taraf bir şirket ile paylaşılıp paylaşılmadığı, yeterli güvenlik önlemleri ile saklanıp saklanmağı hususlarında tarafına bilgi verilmediğini belirtmiştir. Kurul, konu ile ilgili inceleme başlatmış ve veri sorumlusundan savunmasını istemiştir.
Veri sorumlusu savunmasında, ilgili kişinin hangi kişisel verilerinin hangi amaçlara dayanılarak işlendiğine dair detaylı bilginin ilgili kişiye verdikleri cevapta da yer aldığını belirtmiştir. Veri sorumlusunun savunması şu şekildedir:
- Şirketin kişisel verilerin gizliliğine ve güvenli şekilde saklanmasına önem verdiği, fiziki dosyaların yalnızca yetkili kişilerin erişimine açık olan kilitli dolaplarda ya da fiziki arşivlerde tutulduğu, fiziki olarak aktarılması gereken evrakların gizlilik dereceli belge olarak gönderildiği, elektronik ortamda tutulan kişisel verilerin ise sadece belirli kişilerin erişimine açık klasörlerde ve /veya şifreli yazılımlarda saklandığı, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin hukuka aykırı işlenmesinin önlenmesi, bilgi ve veri güvenliği ile alakalı mevzuatlar hakkında eğitimlerin verildiği, şirket içinde rastgele ve periyodik denetimler yapılarak bu ortamlara yetkisiz giriş ve çıkışların engellendiği,
- Açık rıza metinlerinde hangi kişisel verilerin hangi meşru amaçlarla işleneceği, kimlere hangi amaçlarla aktarılabileceği, hukuki sebepleri, toplama yöntemi, kişisel verilere ilişkin olarak çalışanların haklarının neler olduğunun detaylı olarak anlatıldığı,
- Hukuki dayanakların yerine getirilebilmesi için, çalışan muvafakatnamesinin ve açık rıza metninin her çalışandan ıslak imzalı şekilde temin edildiği; şayet çalışan tarafından onay verilmezse özlük dosyasının tamamlanmamış kabul edildiği,
- Çalışanların “http://......com/” adresinden kişisel verilerin güvenli olarak saklanmasına ilişkin politika, prosedür ve kılavuzlara ulaşabildikleri, aynı şekilde yetki dereceleri matrisinin çalışanların erişimine açık olan bu adreste yayınlandığı, matriste herhangi bir değişiklik söz konusu olduğunda güncelleme duyurularının site üzerinden yapıldığı,
- Çalışan ve aday çalışanlarının her birine KVKK Aydınlatma Metni ve Açık Rıza metninin tebliğ edildiği ve çalışanların bu metinleri imza karşılığı olarak veri sorumlusuna teslim ettiği,
- Çalışanların parmak izlerinin acil durum yönetimi sürecinin yürütülmesi, fiziksel mekan güvenliği ve yetkili kurum ve kuruluşlara bilgi verilmesi amaçlarıyla kullanıldığı, parmak izlerinin kriptografik yöntemlerle muhafaza edildiği, bu sebeple bu verilerin biyometrik veri niteliği taşımadığı,
- Özel nitelikli verilerin işlenmesi kapsamında veri sorumlusu tarafından, taşınabilir bellek, CD veya VCD ile bunların taşınması gerektiğinde kriptografik yöntemlerle şifreleme yapıldığı, fiziken taşınması gerektiğinde ise gizlilik dereceli belge olarak gönderildiği ifade edilmiştir.
Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Kurulunun 20/05/2020 tarihli ve 2020/404 sayılı Kararı ile;
- Kanunun “Veri Sorumlusunun Aydınlatma Yükümlülüğü” başlıklı 10. maddesinin “(1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;
a) Veri sorumlusunun ve varsa temsilcisinin kimliği,
b) Kişisel verilerin hangi amaçla işleneceği,
c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
ç) Kişisel veri toplamanın
yöntemi ve hukuki sebebi,
d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.” hükmünü amir olduğu,
- Aydınlatma yükümlülüğünün gerek açık rıza alınacağı durumlarda gerek Kanundaki diğer kişisel veri işleme şartlarından bağımsız olarak yerine getirilmesi gereken bir yükümlülük olduğu, Tebliğin 5. maddesinin birinci fıkrasının (e) bendi uyarınca aydınlatma yükümlülüğünün yerine getirilip getirilmediğinin ispatının veri sorumlusuna ait bulunduğu,
- Veri sorumlusu tarafından Kuruma gönderilen savunma yazısında çalışan ve aday çalışanlarının her birine KVKK Aydınlatma Metni ve Açık Rıza metninin tebliğ edildiği ve çalışanların bu metinleri imza karşılığı olarak veri sorumlusuna teslim ettiği ifade edilmekle birlikte yazıları ekinde aydınlatma metnine yer verilmediği, öte yandan ilgili kişinin şikayet dilekçesi ekinde yer verilen “Kişisel Verilerin İşlenmesine İlişkin Çalışan Muvafakatnamesi”nin hem aydınlatma metni hem de açık rıza metni olarak düzenlendiği kabul edildiğinde; Tebliğin 5 inci maddesinin birinci fıkrasının (f) bendinde yer alan “Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.” hükmü gereği şekli olarak aydınlatmanın usulüne uygun yapıldığından söz edilemeyeceği,
- Bu metnin içerik olarak da açık rıza kapsamında ilgili kişiyi bilgilendirdiğinden ya da aydınlatma yükümlülüğünü yerine getirdiğinden söz edilemeyeceği zira, metinde çeşitli kişisel veri kategorileri sıralandıktan sonra “(…) sayılan kişisel veriler dahil olmak üzere ancak bunlarla sınırlı olmaksızın (…)” ifadesine yer verildiği ve hangi kişisel verilerin işleneceği (kategorik olarak) hususunun muğlak bırakıldığı, işlenecek veri kategorileri sıralandıktan sonra veri işleme amaçları da art arda sıralanmak suretiyle hangi veri kategorisinin hangi amaçla işleneceğine dair herhangi bir açıklamaya yer verilmediği, metinde “…. uygun gördüğü diğer üçüncü kişilere ve/veya yurt dışında paylaşılabileceği” ifadesinin yer aldığı bu kapsamda kimlere aktarım yapılacağının muğlak bir şekilde veri sorumlusuna bırakıldığı, ayrıca metinde biyometrik veri niteliğini haiz olan parmak izinin veri kategorileri içerisinde dahi sayılmadığı,
- Veri işlemek üzere verilen açık rızanın geçerli olması için, açık rızanın öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak verilmesi ve veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması gerektiği, bununla birlikte; açık rıza bir irade beyanı olduğundan, kişinin özgür bir şekilde rıza verebilmesi için, neye rıza gösterdiğini de bilmesi ve kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olması gerektiği,
- Somut olayda, veri sorumlusu tarafından açık rıza metninin onaylanması için çalışanlara epostalar gönderildiği, metni imzalamayan çalışanların listesinin tutulduğu, bu listelerin başkaca çalışanlara gönderilmesi suretiyle metni imzalamayan çalışanların metni imzalamalarının sağlanmasının talep edildiğinin anlaşıldığı, bununla birlikte çalışan tarafından onayın verilmemesi sebebiyle özlük dosyasının tamamlanmamış kabul edildiği durumlarda; işçiye rıza göstermeme imkânının etkin bir biçimde sunulmamasından ötürü verilen rızanın, geçerli bir açık rıza beyanı olarak değerlendirilemeyeceği, öte yandan, işçinin eşine ve çocuğuna ait kişisel verilerin işlenmesi için açık rıza vermesinin geçerlilik taşımayacağı,
- “ (…) parmak izinin alındığını, çalışanların bu veriyi vermek zorunda bırakıldığını, parmak izi alındığı sırada ilgili kişilerin açık rızalarının alınmadığını ve aydınlatma yükümlülüğünün de yerine getirilmediğini,
- Açık rızanın bulunmadığı hallerde biyometrik verilerin ancak Kanunun 6. maddesinde öngörülen kanunlarda öngörülme şartı doğrultusunda işlenebileceği, bununla birlikte söz konusu verinin işlenme amacının da Kanunun genel ilkeleri arasında yer alan “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine de aykırı olduğu, örneğin fiziksel mekan güvenliğinin sağlanabilmesi için giriş esnasında manyetik kart sistemi, RFID etiketi, cep telefonuna gönderilecek bir SMS’in sisteme girilmesi gibi alternatif yollar ile sağlanması mümkünken çalışanların biyometrik veri niteliğindeki parmak izi verisinin alınmasının Kanunun
4. maddesinin (2) numaralı fıkrasında yer alan “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi ile bağdaşmadığı, bu çerçevede “acil durum yönetimi sürecinin yürütülmesi, fiziksel mekan güvenliği ve yetkili kurum ve kuruluşlara bilgi verilmesi amaçları”nın farklı yollarla da hasıl olması mümkünken söz konusu veri işleme faaliyeti ile orantısız bir veri işleme yapıldığının değerlendirildiği,
- İşlenen kişisel verilerin aktarıldığı üçüncü kişiler arasında “Bu bölümde sayılan şirketlerin yerini alabilecek diğer şirketler” benzeri ifadelerin yer alması halinde, işlenecek kişisel verilerin tam olarak nereye aktarılacağının rıza verecek ilgili kişi tarafından tam olarak bilinemeyebileceğinden, bu şekilde verilen rızanın açık rıza olarak değerlendirilmesinin mümkün olmayacağı,
- Öte yandan kişisel verilerin yurtdışında mukim üçüncü kişilere aktarılması durumunda Kanunun 9. maddesi uygulama alanı bulacağı, “Kişisel verilerin yurtdışına aktarılması” başlıklı 9. maddesinde kişisel verilerin, ilgili kişinin açık rızası olmaksızın yurtdışına aktarılamayacağı; kişisel verilerin, Kanunun 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması, yeterli korunmanın bulunmaması durumunda ise Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabileceğinin hükme bağlandığı, bu çerçevede yurtdışına veri aktarımlarında açık rızanın olmadığı hallerde 9. maddede öngörülen prosedürün işletilmesi gerektiği,
- Veri sorumlusunun “bulutta depolanan kişisel verilerin güvenliğini yalnızca yetkili kişilerin ulaşabileceği biçimde ayarlandığı” ifadesi ele alındığında daha önce Kurul tarafından alınan 31.05.2019 tarihli ve 2019/157 sayılı l Kararı ile; “Google firmasına ait G-mail e-posta hizmeti altyapısının kullanılması durumunda gönderilen ve alınan e-postaların dünyanın çeşitli yerlerinde bulunan veri merkezlerinde tutulması söz konusu olacağından, böyle bir durumda kişisel verilerin yurt dışına aktarılmış olacağına ve veri sorumlularının söz konusu uygulamayı 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Kişisel verilerin yurt dışına aktarılması” başlıklı 9. maddesi hükümlerine uygun olarak gerçekleştirmesine;“Server”ları yurt dışında bulunan veri sorumlularından/veri işleyenlerden temin edilen saklama hizmetlerinin de Kanunun 9. maddesi hükümlerine uygun olarak gerçekleştirilmesine” karar verildiği, bu kapsamda serverları yurt dışında bulunan hizmetlerin kullanımının yurt dışına kişisel veri aktarımı olduğu ve Kanunun 9 uncu maddesine uygun hareket edilmesi gerektiği Değerlendirmelerinden hareketle, veri sorumlusunun çalışanlarının açık rızaları olmaksızın kişisel verilerini ve özel nitelikli kişisel verilerini işlediği ve bu verileri yine çalışanlarının açık rızası olmaksızın yurtiçi ve /veya yurtdışına aktardığının anlaşılmaktadır. Kanunun 12. maddesinin 1. fıkrasında; veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ile kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu hükme bağlandığı, ancak veri sorumlusunun Kanunla kendisine yüklenmiş olan bu yükümlülükleri yerine getirmediği tespit edilmiştir.
Bu nedenlerden ötürü;
- Aydınlatma yükümlülüğünü yerine getirmediği kanaatine varıldığından veri sorumlusu hakkında Kanunun 18. maddesinin 1. fıkrasının (a) bendi uyarınca 50.000 TL idari para cezası uygulanmasına,
- Veri sorumlusunun çalışanlarının ve yakınlarının açık rızaları olmaksızın kişisel verilerini ve özel nitelikli kişisel verilerini işlediği, işlediği özel nitelikli kişisel veriler bakımından Kanunun 4. maddesinde yer alan genel ilkelerden ölçülülük ilkesine aykırı hareket ettiği ve bu verileri yine çalışanlarının açık rızası olmaksızın yurtiçi ve /veya yurtdışına aktardığı görüldüğünden, Kanunun 12. maddesinin 1. fıkrasında yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ile kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı hareket ettiği kanaatine varılan veri sorumlusu hakkında Kanunun 18. maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 200.000 TL idari para cezası uygulanmasına karar verilmiştir.
Saygılarımızla
CONSULTA İş ve Sosyal Güvenlik
(*) Sirkülerlerimizde yapılan açıklamalar yalnızca bilgilendirme amaçlı olup, kesin işlem tesis etmeden önce uzmanlarımızdan görüş ve yönlendirme alınmasını önemle tavsiye ederiz. Bu sirkülerlerin amacı tek başına uygulamalara yön vermek olmayıp; mükelleflerimizin risk, fırsat ve değişiklikler hakkında güncel bilgi sahibi olmalarını sağlamaktır. Yegâne kaynak olarak sirkülerlerimizdeki açıklamaların kullanılması halinde doğabilecek olası zararlardan CONSULTA sorumlu olmayacaktır.