“İlgili kişinin eski çalışanı olduğu şirketi devralan veri sorumlusu şirket tarafından kanuna aykırı veri işleme faaliyetinde bulunulması” hakkında Kişisel Verileri Koruma Kurulunun 08/10/2020 tarihli ve 2020/769 sayılı Karar Özeti
Karar Tarihi | : | 08/10/2020 |
Karar No | : | 2020/769 |
Konu Özeti | : | İlgili kişinin eski çalışanı olduğu şirketi devralan veri sorumlusu şirket tarafından Kanuna aykırı veri işleme faaliyetinde bulunulması |
İlgili kişinin Kuruma intikal eden şikayetinde özetle; eski çalışanı olduğu şirketin, başka bir şirkete bütün borç, ödev ve yükümlülükleri ile devrolduğu ancak kişisel verilerin elde edilmesi sırasında tarafına herhangi bir aydınlatma yapılmadığı, veri sorumlusu devralan şirketin internet sitesinde sunulan aydınlatma metninin açık ve belirli olmayan muğlak ifadeler içerdiği, şahsına ilişkin özlük dosyasında sağlık verilerinin de bulunduğu ve 6698 sayılı Kişisel Verilerin Korunması Kanununun 6 ncı (Kanun) maddesi uyarınca bu veri işleme faaliyeti için açık rızasının alınmadığı, öte yandan Kanunun 11 inci maddesi kapsamındaki haklarına ilişkin başvurusuna karşılık veri sorumlusunun cevabında yer alan kişisel verileri saklama sürelerine ilişkin 10 yıllık sürenin geçersiz olduğu ve İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği uyarınca 15 yıl saklanması gerektiği, ayrıca veri sorumlusu tarafından kendisine gönderilen ticari elektronik iletiler aracılığıyla herhangi bir hukuka uygunluk sebebi olmaksızın kişisel verilerinin işlendiği iddia edilerek veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.
Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 08/10/2020 tarihli ve 2020/769 sayılı Kararı ile;
- Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin birinci fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, ikinci fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
- Diğer taraftan, Kanunun “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6 ncı maddesinin birinci fıkrasında kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerinin özel nitelikli kişisel veri olduğunun belirtildiği, aynı maddenin ikinci fıkrasında özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesinin yasaklandığı, bununla birlikte üçüncü fıkrada da özel nitelikli kişisel verilerin açık rıza aranmadan işlenebileceği diğerin haller sayıldığı, buna göre sağlık verilerinin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebileceğinin belirtildiği, 4 üncü fıkrada ise özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şartının da getirildiği,
- İlgili kişinin kişisel verilerinin elde edilmesi sırasında tarafına herhangi bir aydınlatma yapılmadığı iddiasına ilişkin olarak veri sorumlusu tarafından verilen yanıtta veri sorumlusunun ilgili kişilerle hukuki ilişkilerinin sürmekte olduğu ve/veya doğrudan üçüncü taraflar vasıtasıyla temas etmekte olduğu faaliyetler bakımından 6698 sayılı Kanun uyarınca aydınlatma ve açık rıza alınmasına ilişkin yükümlülükler doğrultusunda uyumlaştırmaların gerçekleştirildiği ancak Şirketin aktif bir hukuki ilişki içerisinde olmadığı, ilgili mevzuatlar kapsamındaki saklama yükümlülükleri ile sınırlı olarak veri işleme faaliyeti gerçekleştirdiği eski çalışanlar bakımından aydınlatma yükümlülüğünün gerçekleştirilmesinin pratikte mümkün olmadığının belirtildiği,
- Veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen Kanunun 10 uncu maddesi uyarınca kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişinin, ilgili kişilere; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, 11 inci maddede sayılan diğer hakları konusunda bilgi vermekle yükümlü olduğu, ilgili kişinin şikayet başvurusu ve veri sorumlusunun cevabi yazısından anlaşıldığı üzere ilgili kişinin kişisel verilerinin 2014-2015 yıllarında işlendiği, 6698 sayılı Kişisel Verilerin Korunması Kanununun 07.04.2016 itibariyle yürürlüğe girdiği, bu çerçevede söz konusu tarihler itibariyle Kanunun yürürlüğe girmemiş olması sebebiyle kişisel verilerin elde edilmesi sırasında aydınlatma yükümlülüğünün yerine getirilmesinin de mümkün olmadığı sonucuna varıldığı,
- 4857 sayılı İş Kanununun 75 inci maddesinin “İşveren çalıştırdığı her işçi için bir özlük dosyası düzenler. İşveren bu dosyada, işçinin kimlik bilgilerinin yanında, bu Kanun ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları istendiği zaman yetkili memur ve mercilere göstermek zorundadır.” hükmünü haiz olduğu,
- 5510 sayılı Sosyal Sigortalar Kanununun ‘Prim belgeleri ve işyeri kayıtları’ başlıklı 86 ncı maddesinde “İşveren, işyeri sahipleri; işyeri defter, kayıt ve belgelerini ilgili olduğu yılı takip eden yıl başından başlamak üzere on yıl süreyle, kamu idareleri otuz yıl süreyle, tasfiye ve iflâs idaresi memurları ise görevleri süresince, saklamak ve Kurumun denetim ve kontrol ile görevlendirilen memurlarınca istenilmesi halinde onbeş gün içinde ibraz etmek zorundadır.” şeklinde düzenlemenin yer aldığı,
- İşverenin çalışanlarının özlük dosyalarını düzenlemesi bakımından veri sorumlusu sıfatını haiz olduğu, bu kapsamda İş Kanunu ve Sosyal Sigortalar Kanunu kapsamındaki yükümlülükleri dolayısıyla veri işleme faaliyetinin gerçekleştirildiği, söz konusu veri işleme faaliyetinin Kanunun 5 inci maddesinin ikinci fıkrasının (a) bendinde yer alan ‘kanunlarda açıkça öngörülme’ ve aynı fıkranın (ç) bendinde yer alan ‘veri sorumlusunun hukuki yükümlülüğünün yerine getirilebilmesi için zorunlu olması’ şartlarına dayanılarak gerçekleştirildiği sonucuna varıldığı,
- İlgili kişinin açık rızası olmaksızın sağlık verilerinin işlenmesine ilişkin olarak;
- Çalışanlara ait sağlık verisi içeren kayıtların kişisel sağlık dosyalarında saklanmakta olduğu, kişisel sağlık dosyalarının yalnızca sır saklama yükümlülüğü altında bulunan iş yeri hekiminin erişimi ile sınırlı olarak saklanmakta olduğu ve Şirketin sistemlerinde kayıtlı olmadığı,
- İşyeri Hekimi ve Diğer Sağlık Personelinin Görev, Yetki, Sorumluluk ve Eğitimleri Hakkında Yönetmeliğin “İşyeri Hekiminin Yükümlülükleri” başlıklı 11 inci maddesinde “İşyeri hekimleri, bu Yönetmelikte belirtilen görevlerini yaparken, işin normal akışını mümkün olduğu kadar aksatmamak ve verimli bir çalışma ortamının sağlanmasına katkıda bulunmak, işverenin ve işyerinin meslek sırları, ekonomik ve ticari durumları hakkındaki bilgiler ile çalışanın kişisel sağlık dosyasındaki bilgileri gizli tutmakla yükümlüdürler.” hükmü uyarınca iş yeri hekimlerinin sır saklama yükümlülüğü altında bulunan kişilerden olduğu,
- Aynı Yönetmeliğin “İşyeri Hekimlerinin Görevleri” başlıklı 9 uncu maddesinin ikinci fıkrasının (c) bendinde yer aldığı üzere iş yeri hekiminin sağlık gözetimi kapsamında yapılacak işe giriş ve periyodik muayeneler ve tetkikler ile ilgili olarak çalışanları bilgilendirmek ve onların rızasını alma, çalışanların yapacakları işe uygun olduklarını belirten işe giriş ve periyodik sağlık muayenesi ile gerekli tetkiklerin sonuçlarını yönetmelik ekinde verilen örneğe uygun olarak düzenleme ve işyerinde muhafaza etme görevlerinin bulunduğu,
- Öte yandan Kanunun 6 ncı maddesinin üçüncü fıkrasında sağlık verilerinin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebileceğinin düzenlendiği,
- Kanunun 6 ncı maddesinin dördüncü fıkrasında ise özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şartının bulunduğu, bu kapsamda “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 tarihli ve 2018/10 sayılı Kararı çerçevesinde yeterli önlemlerin belirlendiği
hususları dikkate alınarak Kurul tarafından özel nitelikli kişisel verilerin işlenmesinde veri sorumlularınca alınması gereken yeterli önemler alınmak suretiyle mevzuatta öngörülen görevleri kapsamında iş yeri hekimi tarafından sağlık verisinin işlenmesinin mümkün olduğu
değerlendirmelerinden hareketle
- Şikayet dilekçesi ve veri sorumlusunun cevaplarından ilgili kişinin kişisel verilerinin 2014-2015 yıllarında işlendiğinin anlaşıldığı, 6698 sayılı Kişisel Verilerin Korunması Kanununun 07.04.2016 itibariyle yürürlüğe girdiği, bu çerçevede söz konusu tarihler itibariyle Kanunun yürürlüğe girmemiş olması sebebiyle kişisel verilerin elde edilmesi sırasında aydınlatma yükümlülüğünün yerine getirilmesinin de mümkün olmadığı, dolayısıyla bu hususta Kanun kapsamında yapılacak bir işlem bulunmadığına,
- İşverenin çalışanlarının özlük dosyalarını düzenlemesi bakımından veri sorumlusu sıfatını haiz olduğu, bu kapsamda İş Kanunu ve Sosyal Sigortalar Kanunu kapsamındaki yükümlülükleri dolayısıyla veri işleme faaliyetinin gerçekleştirildiği, söz konusu veri işleme faaliyetinin Kanunun 5 inci maddesinin ikinci fıkrasının (a) bendinde yer alan ‘kanunlarda açıkça öngörülme’ ve aynı fıkranın (ç) bendinde yer alan ‘veri sorumlusunun hukuki yükümlülüğünün yerine getirilebilmesi için zorunlu olması’ şartlarına dayanarak gerçekleştirildiğine,
- İlgili kişinin açık rızası olmaksızın sağlık verilerinin işlenmesine ilişkin olarak; İşyeri Hekimi ve Diğer Sağlık Personelinin Görev, Yetki, Sorumluluk ve Eğitimleri Hakkında Yönetmeliğin “İşyeri Hekiminin Yükümlülükleri” başlıklı 11 inci maddesi hükmü uyarınca iş yeri hekimlerinin sır saklama yükümlülüğü altında bulunan kişilerden olduğu, aynı Yönetmeliğin “İşyeri Hekimlerinin Görevleri” başlıklı 9 uncu maddesinin ikinci fıkrasının (c) bendinde yer aldığı üzere çalışanların yapacakları işe uygun olduklarını belirten işe giriş ve periyodik sağlık muayenesi ile gerekli tetkiklerin sonuçlarını yönetmelik ekinde verilen örneğe uygun olarak düzenleme ve işyerinde muhafaza etme görevlerinin bulunduğu, 6698 sayılı Kanunun 6 ncı maddesi uyarınca özel nitelikli kişisel veriler arasında sayılan sağlık verilerini içermesi sebebiyle gerek çalışan gerekse de eski çalışanlarına ait kişisel sağlık dosyalarının yalnızca sır saklama yükümlülüğü altında bulunan iş yeri hekiminin erişimi ile sınırlı olarak saklanmakta olduğunun beyan edildiği ve ilgili kişinin kişisel verilerinin güvenliğinin sağlanmadığına yönelik bir iddiası olmadığı hususları dikkate alınarak Kurul tarafından belirlenen özel nitelikli kişisel verilerin işlenmesinde veri sorumlularınca alınması gereken yeterli önlemler alınmak suretiyle mevzuatta öngörülen görevleri kapsamında iş yeri hekimi tarafından sağlık verisinin işlenmesinin mümkün olduğuna,
- İlgili kişinin ticari elektronik ileti gönderilmek suretiyle kişisel verilerinin hukuka aykırı işlendiği iddiasına ilişkin olarak herhangi bir somut delile rastlanılamadığından bu aşamada Kurum tarafından yapılacak herhangi bir işlem bulunmadığına
karar verilmiştir.