“İlgili kişinin kişisel verilerinin iş akdinin sona erdiği veri sorumlusu şirket tarafından hukuka aykırı olarak işlenmesi hakkında” Kişisel Verileri Koruma Kurulunun 16/12/2021 tarihli ve 2021/1258 sayılı Karar Özeti
Karar Tarihi | : | 16/12/2021 |
Karar No | : | 2021/1258 |
Konu Özeti | : | İlgili kişinin kişisel verilerinin iş akdi sona erdiği şirket tarafından hukuka aykırı olarak işlenmesi |
İlgili kişinin, Kuruma intikal eden şikayetinde özetle veri sorumlusu şirket nezdinde 10.12.2018 tarihinde işe başladığı, söz konusu görevden 30.12.2019 tarihinde ayrıldığı, kişisel verilerine yönelik olarak veri sorumlusu şirkete başvuru yapmak istediğinde şirketin bir başvuru formunun bulunmadığı gibi başvuru yollarının da tarafına bildirilmediği, aydınlatma yükümlülüğünün hukuka uygun olarak yerine getirilmediği, özel nitelikli kişisel verilerinin açık rızası olmaksızın işlendiği, veri sorumlusu şirkete parmak izi ve yüz tarama sistemi ile giriş yapıldığı, grup şirketinin farklı firmalarının yurt dışında şubesinin olduğu ve ilgili kişi yurt dışı şubesine ziyarete gittiğinde kişisel verilerinin açık rızası olmaksızın yurt dışına aktarılmış olduğu, kişisel verilerine yönelik yeterli teknik ve idari güvenlik tedbirlerinin alınmadığı, veri sorumlusu şirketin internet sitesinde gizlilik politikasının bulunmadığı hususları ifade edilerek veri sorumlusu şirket hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.
Söz konusu iddialara ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabî yazıda özetle;
- İlgili kişinin, şirkette “e-ticaret pazar yerleri yetkilisi” olarak işe başladığı ve daha sonrasında istifa ettiği, istifa süreci yaşanırken ilgili kişinin şirket ile rakip alanda faaliyet gösteren bir firmada çalışmak üzere istifa ettiği bilgisinin şirket tarafından öğrenildiği, bu nedenle ilgili kişiye keşide edilen 07.01.2020 tarihli ihtarname ile “muhatabın iş sözleşmesinin 7.7. maddesi uyarınca 3 yıllık çalışma süresi dolmayan çalışanın, ‘….’ eğitimi nedeniyle ödenen eğitim ücretinin iadesi ve ayrıca iş sözleşmesinin 8. maddesinde düzenlenen rekabet yasağına aykırı davranışları nedeniyle sözleşme maddesi uyarınca son aylık brüt ücretinin 12 katı tazminat ödemesi gerektiği, aksi takdirde yasal yollara başvurulacağının…” bildirildiği,
- İlgili kişi tarafından söz konusu ihtarnameye cevaben gönderilen 23.01.2020 tarihli ihtarname ile rekabet yasağı ihlali iddialarının kabul edilmediği, eğitim giderinden işçinin sorumlu tutulamayacağının bildirildiği, Kanun’un 11’inci maddesi uyarınca veri sorumlusuna başvuru mahiyetinde Şirkete toplam 8 soru yöneltildiği,
- Şirket tarafından ilgili kişinin Kanun’un 11’inci maddesi uyarınca veri sorumlusuna başvuru mahiyetindeki sorularına cevap verildiği, söz konusu cevapta Şirket tarafından tüm çalışanlara ilişkin kişisel bilgilerin 6698 sayılı Kanun’daki önlemlere göre muhafaza edilmekte ve Kanun’dan doğan tüm yükümlülüklerin Şirket tarafından yerine getirilmekte olduğunun belirtildiği,
- Şikâyet dilekçesinde ileri sürülen “kişisel verilere yönelik başvuru yapılmak istendiğinde bir başvuru formunun olmadığı, başvuru yollarının bildirilmediği, aydınlatma yükümlülüğünün yerine getirilmediği” iddialarının tümünün gerçek dışı olduğu, ilgili kişinin imzaladığı iş sözleşmesinin “Kişisel Verilerin İşlenmesi ve Korunması” başlıklı 9’uncu maddesindeki ifadelerden Şirketin aydınlatma yükümlülüğünü yerine getirdiğinin görüleceği,
- Ayrıca, Şirket’in yalnızca kendi çalışanları için kurmuş olduğu sosyal bir ağ olan “…” adresinden de aydınlatma metninin yayınlanmış olduğu ve bu aydınlatma metninde kişisel verilere yönelik başvurunun nasıl yapılacağı ve başvuru yolları konusunda ayrıntılı bilginin yer aldığı,
- Parmak izi ve yüz tarama sisteminin Şirketin ve çalışanların güvenliğini sağlamak amacıyla kullanıldığı, ilgili kişiden de parmak izinin bu kapsamda alındığı, tanımlama sonrası bu verilerin üçüncü kişiler ile paylaşılmadığı ve Kanun doğrultusunda amaçla uygun ve sınırlı ölçüde kullanılmakta olduğu, bunlar haricinde ilgili kişiye ait Şirket tarafından işlenmiş olan bir özel nitelikli kişisel veri bulunmadığı,
- İlgili kişinin yurt dışına aktarılan bir kişisel verisinin bulunmadığı,
- Şikâyet dilekçesinde ileri sürülen kişisel verilere yönelik yeterli teknik ve idari güvenlik tedbirlerinin alınmadığı ve veri sorumlusunun internet sitesinde gizlilik politikasının bulunmadığı iddialarının kabulünün mümkün olmadığı, veri sorumlusunun hem çalışanlarının hem müşterilerinin kişisel verilerinin korunmasını sağlamak için gerekli tüm teknik ve idari güvenlik tedbirlerini almış olduğu
ifade edilmiştir.
Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 16/12/2021 tarihli ve 2021/1258 sayılı Kararı ile;
- Kanunun, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4 üncü maddesinin (1) numaralı fıkrasında,
“Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin
a) Hukuka ve dürüstlük kurallarına uygun olma,
b) Doğru ve gerektiğinde güncel olma,
c) Belirli, açık ve meşru amaçlar için işlenme,
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
şeklinde sayıldığı,
- Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğunun hükme bağlandığı,
- Somut olayda, veri sorumlusu tarafından sadece şirket personelinin erişim sağlayabildiği bir sosyal medya platformunda veri sorumlusuna başvuru formunun ve aydınlatma metninin yer almakta olduğunun ifade edildiği, ancak söz konusu başvuru formuna savunma dilekçesi ekinde yer verilmediği, aydınlatma metninin ise sadece adı geçen platformdaki başlığının görüntüsünün savunma dilekçesi ekinde yer aldığı,
- Savunma dilekçesi ekinde yer alan ve ilgili kişiyle imzalanmış olan iş sözleşmesinin “Kişisel Verilerin İşlenmesi ve Korunması” başlıklı 9’uncu maddesiyle veri sorumlusunun aydınlatma yükümlülüğünü yerine getirmiş olduğunun iddia edildiği, ilgili kişinin imzalamış olduğu iş sözleşmesinin aydınlatma yerine geçtiği iddia edilen 9’uncu maddesinin hem aydınlatmaya yönelik hem de ilgili kişiden açık rıza alınmasına yönelik ifadeler içeren, aydınlatma ve açık rıza metinlerinin içermesi gereken asgari unsurları da tam olarak içermeyen karma bir metin şeklinde kaleme alındığı, bu nedenle, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin (Tebliğ) 5’inci maddesinin (1) numaralı fıkrasının (f) bendi gereğince kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekliliği sağlanmadığından şekli olarak aydınlatmanın usulüne uygun yapıldığından söz edilemeyeceği,
- Veri sorumlusu tarafından 2020 yılı Temmuz ayından itibaren ayrı ayrı hazırlanmış Çalışan Açık Rıza Metni ve Çalışan Aydınlatma Metninin personellere imzalatıldığı belirtilmiş olsa da Kuruma sunulan bu metinlerde ilgili kişinin imzasının bulunmadığı görülmüş olup ilgili kişinin şikayeti bakımından bu belgelerin esas alınamayacağı,
- Özel nitelikli kişisel veri işlemenin açık rıza veri işleme şartına dayandırıldığı ancak “Açık rıza” kavramının Kanun’un 3 üncü maddesinin (1) numaralı fıkrasının (a) bendinde; “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlandığı, ilgili kişilerin açık rızasının alınacağı hallerde; rızanın belirli bir konuya ilişkin olması, bilgilendirmeye dayanması ve özgür iradeyle açıklanması gerektiği, veri işlemek üzere verilen açık rızanın geçerli olması için, açık rızanın öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak verilmesi ve veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması gerektiği, bununla birlikte; açık rıza bir irade beyanı olduğundan, kişinin özgür bir şekilde rıza verebilmesi için neye rıza gösterdiğini de bilmesi ve kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olması gerektiği, bu sebeple bilgilendirmenin; veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde, mutlaka verinin işlenmesinden önce yapılması, ayrıca açık rızanın geçerlilik kazanabilmesi için kişinin yaptığı davranışın bilincinde ve kendi kararı sonucunda olması ve açık rızanın özgür iradeyle açıklanmasının önem teşkil ettiği, herhangi bir hususun ilgili kişi tarafından açık rıza verilmesi şartına bağlanmaması, tarafların eşit konumda olmadığı veya taraflardan birinin diğeri üzerinde etkili olduğu durumlarda rızanın özgür iradeyle verilip verilmediğinin dikkatle değerlendirilmesi gerektiği,
- Şikayete konu olayda ise ilgili kişinin açık rızasının alınması için iş sözleşmesine bir madde eklenmesi yoluna gidildiği, ilgili kişiye, özel nitelikli kişisel verilerin işlenmesine dair açık rıza beyanının iş sözleşmesiyle birleşik olarak sunulması sebebiyle ilgili kişinin özel nitelikli kişisel verilerinin işlenmesinde açık rıza verip vermemek konusundaki kararının özgür iradeye dayandığından söz edilemeyeceği, ilgili kişinin iş sözleşmesini imzalamadan işe başlamak gibi bir şansı bulunmadığından; iş sözleşmesinde bir madde olarak yer alan açık rıza şartını kabul etmeme imkanının etkin bir biçimde ilgili kişiye tanınmadığı, bu anlamda veri sorumlusu tarafından dayanılan açık rıza veri işleme şartının hukuka aykırı olduğu,
- Öte yandan, Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesinin (ç) bendinde belirtilen işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi gereği de işlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olması, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını gerektirdiği, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik olarak veri işlenmesi yoluna gidilmemesi gerektiği anlamına geldiği, ölçülülük ilkesinin ise, veri işleme faaliyeti ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması, diğer bir ifadeyle veri işlemenin amacı gerçekleştirecek ölçüde olması anlamına geldiği, bu kapsamda, kişisel veri işleme faaliyetinin gerçekleşmesi için gerekli olmayan kişisel verilerin toplanmaması ve/veya işlenmemesi gerektiği, veri sorumlusunun amacı çerçevesinde ölçülülük ilkesine uygun olarak ilgili kişiden minimum düzeyde bilgi talep etmesi, bunun dışındaki amaç için gerekli olmayan veri işlemeden kaçınmasının önem arz ettiği,
- Kişisel verilerin işlenmesinin ilgili kişinin iznine bağlı olarak gerçekleştirilse ve belirli bir amaca bağlı olsa bile açık rızanın, aşırı miktarda veri toplanmasını meşrulaştırmayacağı, buna göre kişisel verilerin yalnızca belirli amaçlar için ve gerektiği kadar toplanması, amacın gerektirdiği yerlerde kullanılması ve amaç için gerekli olandan uzun süre tutulmaması gerektiği, bu doğrultuda, ilgili kişiye ait parmak izi ve yüz tarama verilerinin işlenme sebebi olarak veri sorumlusu tarafından belirtilen şirket çalışanlarının güvenliğinin sağlanması ihtiyacı ile orantısız olduğu, aynı amaca biyometrik verilerin işlenmesini gerektirmeyen manyetik kart okuyucu ve kontrol listesi gibi yöntemlerle de ulaşılabilmesi mümkün iken veri sorumlusu tarafından biyometrik veri işlenmesi yoluna gidilmesinin Kanun’un genel ilkelerinden ölçülü olma ilkesine uygun olmadığı,
- Öte yandan, ilgili kişinin veri sorumlusu şirketin yurt dışında yer alan şubesine gittiği süreçte kişisel verilerinin açık rızası olmaksızın yurt dışına aktarıldığını iddia ettiği, veri sorumlusunun ise savunma dilekçesinde ilgili kişinin herhangi bir kişisel verisinin yurt dışına aktarılmadığını belirttiği, ancak şikâyet dilekçesinde aktarım faaliyetine ilişkin somut bilgi ve belgelere yer verilmemiş olduğu ve bu nedenle bu iddialar bakımından Kanun kapsamında yapılacak bir işlem bulunmadığı,
- Şikâyet dilekçesinde veri sorumlusunun internet sitesinde gizlilik politikasının bulunmadığının da belirtildiği, veri sorumlularının Kanun’un 10’uncu maddesi kapsamında aydınlatma yükümlülüğünü yerine getirmekle yükümlü olduğu, her ne kadar uygulamada veri sorumluları tarafından gizlilik politikası adı altında belgeler hazırlanıp ilgili kişilerin dikkatine sunuluyor olsa da Kanun’da ve Kanun ile ilgili diğer mevzuatta veri sorumluları tarafından gizlilik politikası hazırlanmasına dair bir yükümlülük yer almadığı
değerlendirmelerinden hareketle;
- İlgili kişinin iş sözleşmesine bir madde olarak eklenen aydınlatma metninin aynı zamanda açık rıza metni niteliği de taşıyan karma nitelikte bir metin olduğu, aydınlatma metninin içermesi gereken asgari unsurları içermediği ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in 5’inci maddesinin (1) numaralı fıkrasının (f) bendi gereğince aydınlatmanın açık rıza beyanından ayrı olarak yerine getirilmediği dikkate alındığında aydınlatma yükümlülüğünün Kanun’un 10’uncu maddesi ve Tebliğ’e uygun şekilde düzenlenerek sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
- Veri sorumlusunun biyometrik veri işlemekte hukuki sebep olarak ileri sürdüğü iş sözleşmesinde bir madde olarak yer alan açık rıza metninin, ilgili kişinin iş sözleşmesini imzalamadan işe başlamak gibi bir şansı bulunmadığından, özgür irade ile imzalanmadığı, söz konusu açık rıza metnini kabul etmeme imkanının etkin bir biçimde ilgili kişiye tanınmamış olduğu, personelin işyerine giriş çıkışlarında kullanılan biyometrik verilerle ulaşılmak istenen amaca başka vasıtalarla ulaşılabilecek olmasına rağmen açık rıza şartına dayanılarak biyometrik veri işlenmesinin Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesinde yer alan amaç ile ölçülü olma ilkesine aykırı olduğu gerekçeleriyle Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı hareket ettiği kanaatine varılan veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 125.000 TL idari para cezası uygulanmasına,
- Hukuka aykırı işlendiği tespit edilen biyometrik veri işleme faaliyetine son verilmesi, öte yandan söz konusu verilerin Kanun’un 7’nci maddesi ve Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesine Dair Yönetmelik hükümlerine uygun şekilde imha edilerek sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
karar verilmiştir.