“İlgili kişi işçinin hakkında yürütülen kişisel verilerin işlenmesi faaliyetleri kapsamında yurtdışında mukim olan veri sorumlusu işverence aydınlatılmaması, ilgili kişiye ait kişisel verilerin Nisan 2021 sonrası dönemde veri sorumlusu tarafından hukuka aykırı olarak işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 02/12/2021 tarihli ve 2021/1218 sayılı Karar Özeti
Karar Tarihi |
: |
02/12/2021 |
Karar No |
: |
2021/1218 |
Konu Özeti |
: |
İlgili kişi işçinin hakkında yürütülen kişisel verilerin işlenmesi faaliyetleri kapsamında yurtdışında mukim olan veri sorumlusu işverence aydınlatılmaması ve ilgili kişiye ait kişisel verilerin Nisan 2021 sonrası dönemde veri sorumlusu tarafından hukuka aykırı olarak işlenmesi |
İlgili kişinin şikâyetinde özetle;
- Ekim 2020 ila Nisan 2021 tarihleri arasında yurtdışında mukim olan veri sorumlusunun İstanbul İrtibat Bürosu’nda görev yaptığı ve iş sözleşmesinin eylemli fesih yoluyla sona erdirildiği,
- Veri sorumlusunun İstanbul İrtibat Bürosu’nun, “iş sözleşmesinin devamı” ve “iş sözleşmesinin eylemli fesih yoluyla sona erdirilmesi” olmak üzere iki farklı dönemde, ilgili kişiye karşı 6698 sayılı Kişisel Verilerin Korunması Kanunu’ndan (Kanun) kaynaklanan yükümlülüklerini yerine getirmediği,
- İlgili kişi tarafından Kanun’un 13’üncü maddesine dayanılarak hazırlanan ve e-posta üzerinden veri sorumlusunun İstanbul İrtibat Bürosu’na yöneltilen 26/05/2021 tarihli İhtarname’ye cevaben iletilen 07/06/2021 tarihli e-postada açık ve doğru bilgi verilmediği,
- İlgili kişiye verilen cevapta “Halen istihdam altında bulunduğunuzdan, çalışanın iş ilişkisinin karşılıklı ifası için gerekli kişisel verilerin işlenmesi KVKK m. 5/2 kapsamında ‘…c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.’ şeklindeki madde kapsamına girdiğinden, ayrıca aynı maddenin (e) ve (f) bentleri gereğince, iş akdinizin ifası çerçevesinde gerekli kişisel verileriniz KVKK’ya uygun şekilde işlenmektedir. Dolayısıyla, ilgili yasal mevzuata uygun olarak ücretsiz izne çıkarıldığınızdan ve halen çalışan statüsünde olduğunuzdan, Kişisel Verilerin Korunması Kanunu kapsamında hiçbir hukuka aykırılık da söz konusu olmadığından talebiniz kabul edilememektedir.” ifadelerine yer verildiği,
- İlgili kişiye iletilen metnin geçerli bir cevap olmadığı, zira ilgili kişi tarafından yöneltilen soruların geçiştirildiği, kaldı ki istihdam ilişkisinin devamının işverenin Kanun’dan kaynaklanan yükümlülüklerini yerine getirdiğine karine teşkil etmeyeceği ve çalışanın işverene karşı Kanun’dan doğan haklarını kullanmasının istihdam ilişkisinin sona ermesine bağlı olmadığı,
- İşverenlerin Kanun kapsamında çalışanların özlük dosyalarının düzenlenmesi bakımından “veri sorumlusu” sıfatını haiz oldukları, bu sıfatla da Kanun’un 10’uncu maddesi uyarınca “veri sorumlusunun ve varsa temsilcisinin kimliği”, “çalışanın kişisel verilerin hangi amaçla işleneceği”, “işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği”, “kişisel veri toplamanın yöntemi ve hukuki sebebi” ve “ilgili kişi çalışanın bu kapsamdaki hakları” hakkında yazılı bir aydınlatma metni düzenlemek ve çalışanı bilgilendirmekle yükümlü oldukları,
- İlgili kişinin istihdam edildiği süreçte kişisel verilerinin işlenmesi faaliyetinin amacı, kapsamı, verilerinin kimlerle paylaşıldığı, nasıl ve hangi süre için saklandığı, hangi hukuki sebeplerle işlendiği, Kanun kapsamında veri sorumlusuna yöneltebileceği haklarının neler olduğu konularında bilgilendirilmediği,
- Veri sorumlusunun İstanbul İrtibat Bürosu’nun ilgili kişinin kişisel verilerinin hangi üçüncü kişilere aktarıldığı ve ilgili kişinin kişisel verilerinin yurtdışına aktarılıp aktarılmadığı konularında da ilgili kişiyi bilgilendirmediği, kişisel verileri yurt dışına aktarılıyor ise bu hususta ilgili kişinin açık rızasının alınmadığı,
- İlgili kişinin özel nitelikli kişisel verilerinin işlenip işlenmediğinin de veri sorumlusunun İstanbul İrtibat Bürosu tarafından ilgili kişiye bildirilmediği, eğer özel nitelikli kişisel verileri işleniyor ise bu hususta ilgili kişinin açık rızasının alınmadığı,
- Veri sorumlusunun İstanbul İrtibat Bürosu’nun ilgili kişinin kişisel verilerinin işlenmesinde; “Kişisel Verileri Koruma Kurulu (Kurul) tarafından belirlenen yeterli ve gerekli önlemleri gözetip gözetmediği”, “hangi tedbirleri aldığı”, “kişisel verilerini hangi ortamda muhafaza ettiği ve sakladığı”, “uygun güvenlik düzeyini temin edip etmediği”, “herhangi bir teknik veya idari tedbir alıp almadığı” ve “Kanun ve ilgili mevzuatta belirtilen yasal sürelere uygun olarak kişisel verilerini imha edip etmediği” hususlarında ilgili kişiyi bilgilendirmediği, ayrıca ilgili kişinin taleplerine ve sorularına cevap vermeyerek Kanun’un 11’inci maddesi kapsamındaki her türlü bilgi alma hakkını ihlal ettiği,
- İlgili kişinin iş akdinin eylemli fesih yoluyla sona erdirilmesinden sonraki dönemde “hiçbir koşul altında iş yapmaması”, “işyerine gitmemesi” ve “irtibat bürosunda faal olarak görev yapmaması” konularında yazılı olarak bilgilendirildiği, ancak ilgili kişinin fotoğrafının ve sair kişisel verilerinin iş akdinin feshinden sonraki dönemde de veri sorumlusunun kurumsal internet sitesinden kaldırılmadığı,
- Bahsi geçen internet sitesi yurtdışında bulunduğundan ilgili kişinin fotoğrafının ve sair kişisel verilerinin bu sitede tutulmasının ilgili kişinin açık rızasına bağlı olduğu ama ilgili kişinin bu yönde bir rızayı hiçbir zaman vermediği
hususları bildirilmiş olup, veri sorumlusunun İstanbul İrtibat Bürosu’nun ilgili kişinin taleplerini yerine getirerek belirtilen hususlarda açıklama yapmasının ve hukuka aykırılıkların giderilmesinin sağlanması ile veri sorumlusunun İstanbul İrtibat Bürosu’nun Kanun’un amir hükümlerine istinaden cezalandırılması talep edilmiştir.
Bu kapsamda, her ne kadar ilgili kişi tarafından veri sorumlusunun İstanbul İrtibat Bürosu hakkında şikâyette bulunulmuş olsa da yabancı şirketlerin Türkiye’deki irtibat bürolarının tüzel kişiliklerinin bulunmadığı ve Kanun’un “Kapsam” başlıklı 2’nci maddesi uyarınca Kanun hükümlerinin sadece gerçek kişiler ile tüzel kişiler hakkında uygulanabileceği dikkate alınmış ve ilgili kişinin iddialarına istinaden yurtdışında mukim veri sorumlusu hakkında inceleme başlatılmasına karar verilmiştir. Akabinde, başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, verilen cevapta özetle;
- İlgili kişinin Londra’da mukim olan veri sorumlusu bünyesinde çalışmaya başladığı ve 01/10/2020 tarihinde veri sorumlusunun İstanbul’da açılan irtibat ofisinde görevlendirildiği,
- Kurulun “yurtdışında yerleşik tüzel kişilerin Türkiye’deki şubeleri ile irtibat bürolarının sicile kayıt yükümlülüğü hakkındaki görüş talebi” hakkında verdiği 23/07/2019 tarihli ve 2019/225 sayılı karar ile yasal mevzuat göz önünde bulundurulduğunda, yurtdışında yerleşik tüzel kişilerin Türkiye’deki irtibat bürolarının veri sorumlusuna ait yükümlülüklerinin bulunmadığının ve veri sorumlusu olarak gerekli yükümlülüklerin yurtdışında yerleşik tüzel kişilik tarafından yerine getirilmesi gerektiğinin ortada olduğu,
- Bu doğrultuda, veri sorumlusu tarafından ilgili kişiye veri sorumlusunun “Veri Koruma Politikası” çerçevesinde bilgilendirmede bulunulduğu, “İşçiler ve Taşeronlar için GDPR Gizlilik Bildirgesi” imzalatıldığı ve GDPR ile uygulanabilir tüm yasal mevzuat kapsamında gerekli her türlü yükümlülüğün yerine getirildiği,
- İlgili kişinin veri sorumlusu ile olan iş ilişkisinin devamı esnasında tüm dünyayı etkisi altına alan COVID-19 virüsünün ortaya çıktığı pandemi döneminde Türkiye Cumhuriyeti’nin yasal mevzuatının uygun gördüğü şekilde ücretsiz izne çıkarıldığı, bu yüzden ilgili kişinin iddia ettiğinin aksine ilgili kişi ile veri sorumlusu arasındaki sözleşmenin eylemli fesih yoluyla sona erdirilmediği, buna dair hiçbir geçerli ve hukuki delilin de bulunmadığı,
- İlgili kişinin iş sözleşmesinin 01/07/2021 tarihinde kendisine gönderilen Fesih Bildirimi ile sona erdirildiği, ilgili kişinin avukatı tarafından veri sorumlusuna gönderilen 01/07/2021 tarihli e-postada da iş ilişkisinin daha önceki bir tarihte sonlandırılmamış olduğunun ikrar edildiği,
- İlgili kişinin veri sorumlusu ile aralarındaki iş sözleşmesinin eylemli fesih yoluyla sona erdirildiğini iddia etmesine rağmen 01/07/2021 tarihli Fesih Bildirimi’ni beklediği ve Fesih Bildirimi’nin kendisine tebliğinden hemen sonra başka bir firmanın internet sitesine fotoğrafının koyulduğu, bunun da ilgili kişinin veri sorumlusu ile arasındaki sözleşmenin eylemli fesih yoluyla sona erdirilmediğinin farkında olduğunu gösterdiği,
- İlgili kişinin fesih eyleminin bir an önce gerçekleşmesi konusundaki ısrarının diğer firmanın internet sitesinde yer almak için sabırsızlanmasından kaynaklandığı, ilgili kişinin haksız ve hukuka aykırı taleplerinin veri sorumlusunca kabul edilmemesinden dolayı öç alma güdüsüyle inceleme konusu şikâyeti yaptığı,
- Kanun’un 5’inci maddesinin (2) numaralı fıkrasında sayılan şartlardan birinin varlığı halinde ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu,
- Bu çerçevede, veri sorumlusu ile ilgili kişi arasındaki iş ilişkisinin devamı sırasında ilgili kişiye ait kişisel verilerin işlenmesinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendindeki “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” düzenlemesinin kapsamına girdiği, ayrıca iş sözleşmesinin ifasına ilişkin kişisel verilerin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) ve (f) bentleri gereğince hukuka uygun olarak işlendiği,
- İlgili kişinin iş sözleşmesinin sona erdirilmesinin akabinde, ilgili kişinin özlük dosyasında bulunan bilgilerin gelecekte veri sorumlusu aleyhine açılma ihtimali olan davalarda ispat kolaylığı sağlayacağından ötürü meşru menfaat çerçevesinde saklanmakta olduğu ve bu bilgilerin hiçbir üçüncü şahısla paylaşılmadığı, bunun dışında iş sözleşmesinin sona erdirilmesi ile ilgili kişiye ait diğer kişisel bilgilerin veri sorumlusu tarafından silindiği ve yok edildiği,
- Netice olarak, veri sorumlusunun İngiltere sınırları içerisinde tabi olduğu GDPR ve uygulanabilir yasal mevzuat uyarınca ilgili kişinin kişisel verilerinin hukuka uygun işlendiği, ilgili kişi ile veri sorumlusu arasındaki iş ilişkisinin sona ermesinin ardından ilgili kişinin kişisel verilerinin mümkün olduğunca yok edildiği ve silindiği, ilgili kişinin şikâyet ettiği hususların haksız ve mesnetsiz olduğu, veri sorumlusunun tüm yükümlülüklerini yerine getirdiği
ifade edilmiştir.
İlgili kişinin şikâyetinde yer alan iddialar ile veri sorumlusunun savunması birlikte incelenmiş olup, görülen lüzum üzerine “ilgili kişi ile veri sorumlusu arasındaki iş ilişkisin başladığı yer ve tarihi”, “veri sorumlusunun İstanbul İrtibat Bürosu’nda çalıştığı zaman diliminde ilgili kişinin hangi kişisel verilerinin işlendiği ve bu işleme faaliyetinin amacı/amaçları ve hukuki sebebi/sebepleri”, “veri sorumlusunun İstanbul İrtibat Bürosu’nda çalıştığı zaman diliminde ilgili kişiye yönelik yürütülen kişisel veri işleme faaliyetleri kapsamında, ilgili kişiye Kanun’un 10’uncu maddesi gereğince aydınlatma yapılıp yapılmadığı”, “ilgili kişinin veri sorumlusunun İstanbul İrtibat Bürosu’nda çalıştığı zaman diliminde işlenen kişisel verilerinin yurtiçinde veya yurtdışında üçüncü bir kişiye aktarılıp aktarılmadığı ve eğer aktarılmışsa aktarımın hukuki sebebi/sebepleri”, “ilgili kişinin kişisel verilerinin veri sorumlusuna ait kurumsal internet sitesinde yayınlanıp yayınlanmadığı ve eğer yayınlandıysa hangi kişisel verilerin hangi tarihler arasında, hangi hukuki sebebe/sebeplere dayanılarak yayınlandığı” hususlarının açıklığa kavuşturulması veri sorumlusundan istenmiştir.
Açıklığa kavuşturulması istenen hususlara dair veri sorumlusunca iletilen yazıda ise özetle;
- Veri sorumlusunun İstanbul İrtibat Bürosu’nda çalıştığı zaman diliminde, ilgili kişinin adının, soyadının, telefon numarasının, e-posta adresinin, adresinin ve özlük dosyasında bulunan bilgilerin Türkiye’de faaliyet gösteren binlerce işverenin milyonlarca çalışanına yaptığı gibi işlendiği, bu kişisel verilerin işlenme amacının veri sorumlusunun ilgili kişi ile olan istihdam ilişkisinin yürütülmesini sağlamak ve veri sorumlusunun işveren olarak yükümlülüklerini yerine getirmekten ibaret olduğu,
- Veri sorumlusu ile ilgili kişi arasındaki iş ilişkisinin devamı sırasında, ilgili kişiye ait kişisel verilerin işlenmesinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendindeki “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” düzenlemesinin kapsamına girdiği, ayrıca Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) ve (f) bentleri gereğince iş sözleşmesinin ifası çerçevesinde gerekli kişisel verilerin Kanun’a uygun olarak işlendiği,
- İlgili kişinin İstanbul İrtibat Bürosu’nda çalıştığı zaman diliminde işlenen kişisel verilerinin veri sorumlusu haricinde yurtiçinde veya yurtdışında üçüncü bir kişiye aktarılmadığı,
- İlgili kişinin adının, soyadının ve fotoğrafının veri sorumlusuna ait İngiltere’de bulunan merkez ofisin yönetimindeki kurumsal internet sitesinde iş ilişkisinin devamı süresince yayınlandığı, veri sorumlusunun İstanbul İrtibat Bürosu tarafından kullanılan herhangi bir internet sitesinin bulunmadığı, söz konusu bilgilerin iş akdinin feshi itibarıyla derhal internet sitesinden kaldırıldığı ve veri sorumlusu bünyesinden silindiği, ilgili kişiye veri sorumlusu tarafından imzalatılan onay formunun ekte sunulduğu
beyan edilmiştir.
Konuya ilişkin yürütülen inceleme neticesinde, Kurulun 02/12/2021 tarihli ve 2021/1218 sayılı kararı ile;
- 6698 sayılı Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde kişisel verinin: “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, ilgili kişinin; “Kişisel verisi işlenen gerçek kişi”, kişisel verilerin işlenmesinin; “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, veri sorumlusunun; “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlandığı,
- Öte yandan, 6698 sayılı Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun hükme bağlandığı,
- Ayrıca, 6698 sayılı Kanun’un kişisel verilerin işlenmesine ilişkin “Genel ilkeler”i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmü yer almakta olup, bahsi geçen maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin “Hukuka ve dürüstlük kurallarına uygun olma”, “Doğru ve gerektiğinde güncel olma”, “Belirli, açık ve meşru amaçlar için işlenme”, “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ve “İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” olarak sayıldığı,
- Kanun’un “Veri sorumlusunun aydınlatma yükümlülüğü” başlıklı 10’uncu maddesinde ise “(1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.” hükmüne yer verildiği,
- Ek olarak, ilgili kişilerin hakları Kanun’un 11’inci maddesinin;
“Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
e) 7’nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarına sahiptir.” denmek suretiyle düzenlendiği,
- Kanun’un ilgili hükümleri dikkate alındığında; ilgili kişinin adının ve soyadının, telefon numarasının, e-posta adresinin, adresinin, fotoğrafının ve özlük dosyasında bulunan bilgilerin ilgili kişinin kimliğini belirli veya belirlenebilir kılmaları nedeniyle kişisel veri niteliğini haiz oldukları, bu yüzden ilgili kişiye ait bahsi geçen kişisel verilerin veri sorumlusu tarafından elde edilmesi, depolanması, kullanılması, yayınlanması vb. fiillerin de Kanun kapsamında birer kişisel veri işleme faaliyeti teşkil ettiği ve böyle faaliyetlerin hem Kanun’da düzenlenen hukuki sebeplere dayanılarak hem de yine Kanun’da yer alan genel ilkelere uygun bir şekilde yürütülmesi gerektiği hususlarında herhangi bir şüphenin bulunmadığı,
- •İlgili kişinin Kanun’un 11’inci maddesinde düzenlenen haklarına ilişkin olarak Kanun’un 13’üncü maddesine istinaden veri sorumlusuna yapmış olduğu başvurunun, Kanun’un yine 13’üncü maddesinde düzenlendiği şekilde veri sorumlusunca cevaplanması gerektiği,
- İlgili kişi tarafından yapılan şikâyetin “veri sorumlusunun aralarındaki iş sözleşmesinin devamı sırasında ilgili kişiye karşı Kanun’un 10’uncu maddesinden kaynaklanan aydınlatma yükümlülüğünü yerine getirmediği”, “veri sorumlusu ile olan iş sözleşmesinin eylemli fesih yoluyla sona erdirilmesinden sonra ilgili kişiye ait fotoğraf ve sair kişisel verilerin veri sorumlusunun internet sitesinde tutulmasına devam edildiği, söz konusu verilerin bu sitede tutulmasının ilgili kişinin açık rızasına bağlı olduğu ama konuya ilişkin olarak ilgili kişinin açık rızasının alınmadığı ve bu durumun da hukuka aykırı kişisel veri işleme faaliyeti teşkil ettiği” ve “ilgili kişinin Kanun’un 13’üncü maddesi uyarınca yaptığı başvuruya veri sorumlusu tarafından yeterli bir şekilde cevap verilmediği” yönündeki üç iddia üzerine yoğunlaştığı, bu yüzden inceleme konusu şikâyetin ilgili kişinin iddialarının yoğunlaştığı üç başlık altında değerlendirilmesinin yerinde olacağı,
“Veri sorumlusunun aralarındaki iş sözleşmesinin devamı sırasında ilgili kişiye karşı Kanun’un 10’uncu maddesinden kaynaklanan aydınlatma yükümlülüğünü yerine getirmediği” yönündeki iddia bakımından:
- Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi tarafından ilgili kişilere Kanun’un “Veri sorumlusunun aydınlatma yükümlülüğü” başlıklı 10’uncu maddesi uyarınca bilgi verilmesinin bir yükümlülük olduğu, söz konusu yükümlülük kapsamında uyulacak usul ve esasların belirlenmesi amacıyla çıkarılan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in “Aydınlatma yükümlülüğünün kapsamı” başlıklı 4’üncü maddesinde, ilgili kişilere yapılacak bilgilendirmenin asgari olarak Kanun’un 10’uncu maddesinde de sayılan beş hususu içermesi gerektiğinin hükme bağlandığı, “Usul ve Esaslar” başlıklı 5’inci maddesinde ise veri sorumlusu ya da yetkilendirdiği kişi tarafından aydınlatma yükümlülüğünün yerine getirilmesi esnasında uyulması gereken usul ve esasların düzenlendiği,
- Anılan mevzuat hükümleri uyarınca, ilgili kişiler hakkında yürütülen ve Kanun hükümlerinin uygulama alanı bulacağı kişisel veri işleme faaliyetleri kapsamında -kişisel verilerin elde edilmesi sırasında- veri sorumluları tarafından ilgili kişilere Kanun’un 10’uncu maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine uygun olarak bilgilendirmede bulunulması gerektiği,
- Hâl böyle olmakla birlikte, dosyaya sunulan bilgi ve belgelerden; ilgili kişinin veri sorumlusunun Londra’da bulunan ofisinde işe başlaması nedeniyle ilgili kişiye Avrupa Birliği’nin birincil kişisel veri koruma düzenlemesi olan ve kısaca “GDPR” olarak bilinen Avrupa Birliği Genel Veri Koruma Tüzüğü’ne istinaden bilgilendirme yapıldığı, daha sonra ilgili kişinin Londra’daki görevinden ayrılarak veri sorumlusunun İstanbul’da bulunan irtibat ofisi bünyesinde görev yapmaya başladığı, dolayısıyla ilgili kişiye Avrupa Genel Veri Koruma Tüzüğü (GDPR) yükümlülükleri kapsamında yapılan bilgilendirmenin ilgili kişi hakkında veri sorumlusunca yürütülen kişisel veri işleme faaliyetleri açısından yeterli olduğu, ancak Türkiye’de işlenen kişisel veriler bakımından Kanun’un 10’uncu maddesine uygun olarak aydınlatma yükümlülüğünün yerine getirilmesi konusunda özen gösterilmesi hususunda veri sorumlusuna hatırlatmada bulunulmasının da uygun olacağı,
“Veri sorumlusu ile olan iş sözleşmesinin eylemli fesih yoluyla sona erdirilmesinden sonra ilgili kişiye ait fotoğraf ve sair kişisel verilerin veri sorumlusunun internet sitesinde tutulmasına devam edildiği, söz konusu verilerin bu sitede tutulmasının ilgili kişinin açık rızasına bağlı olduğu ama konuya ilişkin olarak ilgili kişinin açık rızasının alınmadığı ve bu durumun da hukuka aykırı kişisel veri işleme faaliyeti teşkil ettiği” yönündeki iddia bakımından:
- İlgili kişi ile veri sorumlusu arasındaki iş ilişkisinin ne zaman sona erdiği hususunda taraflar arasında bir uyuşmazlık olduğu (İlgili kişi veri sorumlusu ile olan iş ilişkisinin “eylemli fesih” yoluyla Nisan 2021’de sona erdirildiğinden bahsederken, veri sorumlusu tarafından ilgili kişi ile olan iş ilişkisinin bitiş tarihinin 01/07/2021 olarak bildirildiği),
- Taraflar arasında ilgili kişinin kişisel verilerinin veri sorumlusunun internet sitesinde Nisan 2021 öncesini kapsayan zaman diliminde yayınlanması konusunda herhangi bir ihtilafın bulunmadığı,
- Kişisel verilerinin veri sorumlusunun internet sitesinde yayınlanabilmesi için ilgili kişi tarafından başlangıçta bir açık rıza verilip verilmediği dosya kapsamına sunulan bilgi ve belgelerden tam olarak anlaşılamasa da, söz konusu kişisel veri işleme faaliyetinin hukuki sebebinin Kanun’un 5’inci maddesinin (1) numaralı fıkrasında düzenlendiği şekliyle “açık rıza” olduğunun kabulü halinde, ilgili kişinin veri sorumlusuna ilettiği 26/05/2021 tarihli İhtarname’den sonra verilen açık rızanın geri alındığının da kabul edilmesinin gerektiği,
- İlgili kişinin kişisel verilerinin veri sorumlusunun internet sitesinde yayınlanmasının Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (f) bendindeki “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki sebebine dayanmasının mümkün olabileceği, ancak bu hukuki sebebe dayanılabilmesi için -somut olay özelinde tespit edilecek- veri sorumlusunun meşru menfaatleri ile ilgili kişinin temel hak ve özgürlükleri esas alınarak yapılacak bir “denge testi” sonucunda veri sorumlusunun meşru menfaatlerinin ağır basıyor olmasının gerektiği,
- Somut olayda, ticari hayatta meşru bir şirket olarak faaliyet gösteren veri sorumlusunun Türkiye’de bir irtibat ofisinin bulunduğunu ve bu ofiste kariyerli/yetkin kişilerin çalıştığını veya en azından kimlerin çalıştığını kamuoyuna açıklamakta meşru menfaatinin bulunduğunun söylenebileceği ve böyle bir açıklamanın ilgili kişinin temel hak ve özgürlüklerine açıkça zarar verdiğinden de bahsedilemeyeceği,
- Taraflar arasındaki iş ilişkisinin -ilgili kişinin iddia ettiği gibi- Nisan 2021 itibarıyla sona erdiğinin kabul edilmesi halinde ise, ilgili kişinin kişisel verilerinin halen veri sorumlusunun internet sitesinde tutulmasının, mevcut iş ilişkisinin bitmesi sonrasında yeni iş arayışlarına girmesi noktasında ilgili kişinin Türkiye Cumhuriyeti Anayasası’nın 48’inci maddesinde düzenlenen “Çalışma ve sözleşme hürriyeti”ne zarar verebileceği ve ilgili kişi hakkında yürütülen kişisel veri işleme faaliyetlerinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (f) bendindeki “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki sebebine dayanamayacağının savunulabileceği, zira iş aradığı sırada halen bir yerde çalışıyor görünen ilgili kişinin yapacağı iş başvurularının bu durumdan olumsuz etkilenmesinin ihtimal dâhilinde olduğu,
- Buna karşın, dosyaya sunulan tüm bilgi ve belgelerden, ilgili kişinin iş sözleşmesinin Nisan 2021 itibarıyla sona ermediği, ilgili kişinin Nisan 2021 ile Temmuz 2021 arasını kapsayan dönemde mevzuatın veri sorumlusuna Covid-19 salgınının ortaya çıkardığı şartlardan ötürü geçici olarak tanıdığı bir hak sayesinde alınabilen tek taraflı bir kararla ücretsiz izne çıkarıldığının anlaşıldığı ve mevzuattan kaynaklanan böyle bir durumda ilgili kişinin iş sözleşmesinin “eylemli fesih” yoluyla Nisan 2021’de sona erdirildiği iddiasının kabulünün mümkün görünmediği,
- Neticede, ilgili kişinin fotoğraf ve sair verilerinin Nisan 2021 sonrası dönemde veri sorumlusunun internet sitesinde yayınlanmasından ibaret olan kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (f) bendindeki “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki sebebine dayanabileceği, bu yüzden de anılan faaliyeti dolayısıyla veri sorumlusu hakkında Kanun kapsamında yapılacak herhangi bir işlemin bulunmadığı,
“İlgili kişinin Kanun’un 13’üncü maddesi uyarınca yaptığı başvuruya veri sorumlusu tarafından yeterli bir şekilde cevap verilmediği” yönündeki iddia bakımından:
- Kanun’un “Veri sorumlusuna başvuru” başlıklı 13’üncü maddesinde ilgili kişilerin Kanun’un uygulanmasıyla bağlantılı olarak veri sorumlularına yapacakları başvuruların usul ve esaslarının ana hatlarıyla düzenlendiği,
- Bununla birlikte, veri sorumlusuna başvuru ve işlemin ayrıca bir maliyet gerektirmesi halinde alınacak ücret ile ilgili usul ve esasları belirlemek üzere hazırlanmış olan Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in “Başvuru usulü” başlıklı 5’inci maddesinde “İlgili kişi, Kanunun 11 inci maddesinde belirtilen hakları kapsamında taleplerini, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna iletir.” ifadesine, “Başvuruya cevap” başlıklı 6’ncı maddesinde ise “Veri sorumlusu bu Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlüdür.” ifadesine yer verildiği,
- İlgili kişinin Kanun’un 11’inci ve 13’üncü maddeleri ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 5’inci maddesi uyarınca veri sorumlusuna yaptığı başvurunun, veri sorumlusu tarafından Kanun’un 13’üncü maddesi ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 6’ncı maddesi çerçevesinde etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırılmadığı, zira veri sorumlusu tarafından ilgili kişinin 26/05/2021 tarihli başvurusuna cevaben iletilen 07/06/2021 tarihli e-postada ilgili kişinin Kanun’un 11’inci maddesi kapsamında yönelttiği bilgi taleplerinin tamamının cevaplanmadığı,
- Dolayısıyla, veri sorumlusunun ileride kendisine yapılabilecek ilgili kişi başvurularını mevzuata uygun şekilde cevaplandırması hususunda talimatlandırılmasının yerinde olacağı
değerlendirmelerinden hareketle;
- İlgili kişiye Avrupa Genel Veri Koruma Tüzüğü (GDPR) yükümlülükleri kapsamında bir bilgilendirme yapılmış olmakla birlikte Türkiye’de işlediği kişisel veriler bakımından Kanun’un 10’uncu maddesine uygun olarak aydınlatma yükümlülüğünü yerine getirmesi konusunda özen gösterilmesi hususunda veri sorumlusuna hatırlatmada bulunulmasına,
- Veri sorumlusu ile arasındaki iş ilişkisinden kaynaklanan uyuşmazlıkların çözümü için adli makamlar nezdinde girişimde bulunması gerektiği hususunda ilgili kişinin bilgilendirilmesine,
- İlgili kişiler tarafından kendisine Kanun’un 11’inci ve 13’üncü maddeleri ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 5’inci maddesine istinaden yapılacak başvuruları Kanun’un 13’üncü maddesi ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 6’ncı maddesi çerçevesinde etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırması hususunda veri sorumlusunun talimatlandırılmasına
karar verilmiştir.
Kaynak: KVKK