“Veri sorumlusu bir havayolu şirketi tarafından ilgili kişiye ait çağrı merkezi görüşme kayıtlarının transkriptinin teslim edilmemesi” hakkında Kişisel Verileri Koruma Kurulunun 30/06/2020 tarihli ve 2020/504 sayılı Karar Özeti
Karar Tarihi |
: |
30/06/2020 |
Karar No |
: |
2020/504 |
Konu Özeti |
: |
Veri sorumlusu bir havayolu şirketi tarafından ilgili kişiye ait çağrı merkezi görüşme kayıtlarının transkriptinin teslim edilmemesi |
Kuruma intikal eden şikâyette özetle; ilgili kişinin veri sorumlusu bir havayolu şirketinin çağrı merkezi ile gerçekleştirdiği görüşmeye ait olan ses kaydının 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 3 üncü maddesinin (d) bendi gereğince yazıya dökülmesi suretiyle bir nüshasının tarafına yazılı yahut e-posta yolu ile iletilmesinin istendiği, veri sorumlusu tarafından söz konusu talebin “ilgili ses kayıtlarının talebi şirket prosedürleri gereği yalnızca yasal merciler tarafından iletilmesi durumunda mümkün olduğu” gerekçesi ile reddedildiği, ancak Kanuna göre gerçek kişiye ait olan, gerçek kişiyi belirlenebilir kılan her türlü bilginin kişisel veri olduğu, ilgili kişiye ait olan ses kaydının da kişisel veri niteliğini haiz olduğu belirtilerek ilgili kişi tarafından talebini reddeden veri sorumlusunun Kanunun 13 üncü maddesi anlamında veri ihlaline sebep olduğu gerekçesiyle cezalandırılması ve ilgili görüşme kaydının kendisine teslim edilmesi talep edilmiştir.
Başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;
- Veri sorumlusu tarafından şikâyetin yanıtlandığı tarih itibarıyla, çağrı merkezi kayıtlarının ancak adli veya idari görevleri doğrultusunda bunları talep eden yetkili adli ve idari kurumlar ile paylaşıldığı, bunların dışında ise yetkilendirilmiş çağrı merkezi görevlilerinin erişimine açık olduğu,
- Veri sorumlusunun misafirlerine ilişkin yolcu rezervasyon numarası (PNR), ses kaydı, şikâyet kayıtları gibi farklı türde kişisel verilerinin benzeri platformlar üzerinde ve farklı düzende kayıt altında tuttuğu,
- Çoğu örnekte söz konusu kayıtların salt misafir kişisel verisinden ibaret olmadığı ve örneğin; PNR kayıtlarında biletleme veya havalimanında uçuşa kayıt (check-in) ve uçuşa kabul (boarding) işlemlerini yapan görevli kişiye, çağrı merkezi kayıtlarında şikâyet kaydı üzerinde işlem yapan yetkiliye ait bilgileri içerebildiği,
- Veri sorumlusunun Kanun kapsamındaki yükümlülüklerini; tüm ilgili kişiler için amaçla bağlantılı, sınırlı ve ölçülü olma ilkesini gözeterek yerine getirdiği ve ilgili kişilerin kişisel verileri işlenmişse buna ilişkin bilgi talep etme hakkının kullanımını da bu ilkeleri gözeterek karşıladığı,
- Talep kapsamında kişilerin işlemleri hakkında açık bir şekilde bilgilendirilmelerinin zaruri olduğu,
- Diğer yandan, veri sorumlusunun kayıtlarında yer alan veri setlerinin aynen başvuru sahipleri ile paylaşılmasının Kanun kapsamında farklı veri ihlali endişelerini beraberinde getirdiği,
- Çağrı merkezi görüşmelerinin çoğu örnekte, uçuş ve işlemlere ilişkin detaylı bilgi içermekte olduğu, talep ve sonuca ilişkin bilgilerin yazılı iletişim kanalları ile misafirlerine doğrudan aktarıldığı ve ilgili kişinin çağrı merkezi görüşme kayıtlarına ilişkin talebinin de bu nedenle ilgili tarihteki uygulama doğrultusunda olumsuz yanıtlandığı,
- Diğer yandan 13.03.2020 tarihinde Kurumun internet sitesinde yayımlanan 14.01.2020 tarih ve 2020/13 sayılı Kurul karar özeti doğrultusunda ilgili kişi ile tekrar iletişime geçilerek görüşme kaydının gerekli görülen maskeleme tedbirleri uygulanması suretiyle yazılı ortamda ilgili kişi ile paylaşıldığı; bu yönde iletilecek taleplerin benzer bir yaklaşımla ele alınması yönünde ilgili hizmet birimlerinin bilgilendirildiği
ifadelerine yer verilmiştir.
Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 30/06/2020 tarihli ve 2020/504 sayılı Kararı ile,
- Türkiye Cumhuriyeti Anayasasının “Özel hayatın gizliliği” başlıklı 20 nci maddesinin üçüncü fıkrası hükmüne göre; herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına ve bu anlamda bireylerin temel olarak, kendileri ile ilgili kişisel verilerin ilgisiz üçüncü kişilerin eline geçmemesi konusunda gerekli tedbirlerin alınmasını isteme hakkına sahip olduğu,
- Bu hakkın; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsadığı,
- Bu anlamda bireylerin, hangi amaçla hangi kişisel verilerinin kullanıldığını öğrenme hakkına sahip olduğu gibi söz konusu kişisel verilerde herhangi bir yanlışlık bulunması halinde bu durumun düzeltilmesini ya da verilerinin silinmesini isteme hakkına da sahip olduğu,
- Zira Kanunun “İlgili Kişinin Hakları” başlıklı 11 inci maddesinin birinci fıkrasında “Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; a) Kişisel veri işlenip işlenmediğini öğrenme, b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.” hükmünün yer aldığı,
- Kanunun 11 inci maddesinin birinci fıkrasının (b) bendi hükmü kapsamında ilgili kişinin, kendisiyle ilgili kişisel veriler işlenmişse buna ilişkin bilgi talep etme hakkının, söz konusu veriye erişim hakkını da kapsadığı, erişim hakkının, bilgi talep etme hakkını tamamlayarak ilgili kişinin, kişisel verileri üzerindeki haklarını kullanabilmesi için, kişisel verilerinin ne şekilde işlendiğine dair tam olarak bilgi sahibi olmasına imkân sağladığı,
- Ancak bu hakkın, kişisel verilerin işlendiği veri kayıt sisteminin/kayıt ortamının doğrudan kendisine erişimini, bu kayıt ortamının kendisinin ilgili kişiye teslimini veya doğrudan verinin kendisinin “elde edilme”sini değil; veri sorumlusunun veri güvenliğine ilişkin yükümlülükleri de dikkate alınarak, işlenen kişisel verilerin, teknik/fiziki imkânların el verdiği ölçüde ve verinin muhtevasına/içeriğine ilgili kişi tarafından makul bir şekilde ulaşılabilmesine imkân tanınmasını kapsadığı,
- Kurum tarafından iletilen bilgi ve belge talebi konulu yazıyı takiben veri sorumlusunca ilgili kişiye, talep ettiği konuşmanın transkriptinin e-posta vasıtasıyla iletildiği ve Kuruma da redaksiyon ile kapatılmış bir versiyonunun gönderildiği,
- Ayrıca veri sorumlusu tarafından gönderilen evraklar içerisinde Operasyon Birimine hitaben yazılan ve Kanun kapsamında yeni süreçte Çağrı Merkezi ile yapılan görüşmelere ilişkin kayıt talep eden misafirlere, görüşmenin transkriptinin dokümanda belirtilen hususlara bağlı kalınması suretiyle paylaşılması talimatını içeren e-postaya da yer verildiği,
değerlendirmelerinden hareketle;
- İlgili kişinin kişisel verilerinin veri sorumlusu havayolu şirketi tarafından temin edilmesinin hukuka uygun olduğu,
- Somut olayda gerçekleşen herhangi bir kişisel veri işleme faaliyeti kapsamında, Kanunun 12 inci maddesinin (1) numaralı fıkrası uyarınca veri sorumlusu tarafından veri güvenliğine ilişkin yükümlülüklere aykırı hareket edildiği sonucuna varılamayacağı
- Somut olayla benzerlik arz eden bir konuya ilişkin olarak alınan ve 13.03.2020 tarihinde Kurum internet sitesinde yayımlanan 14.01.2020 tarih ve 2020/13 sayılı Kurul Karar özeti dikkate alınarak veri sorumlusu tarafından ilgili kişinin talebi doğrultusunda ses kaydına ait transkriptin hâlihazırda gönderildiği,
- Veri sorumlusu bünyesindeki birimlerin, uygulamada artık ilgili kişilerin Kanuni talepleri doğrultusunda hareket edilmesi hususunda bilgilendirildiği
hususları göz önüne alındığında veri sorumlusu hakkında yapılacak bir işlem bulunmadığına karar verilmiştir.