Posted on by Tarlan Avukatlık Bürosu

KİŞİSEL VERİLERİ KORUMA KURULU YENİ KARAR ÖZETLERİ

Kişisel Verileri Koruma Kurumu’nun (Kurum) web sitesinde 24.04.2023 tarihinde 40 adet yeni kurul karar özeti yayınlanmıştır. Bu kararlardan 5 tanesinin özetini sizlerle paylaşmaktayız.

1)İlgili kişinin kişisel verilerinin yer aldığı ihtarnamenin, bordrolama hizmeti sunan veri sorumlusu tarafından başka çalışanlara da gönderilmesi hakkında Kişisel Verileri Koruma Kurulunun (Kurul) 07/04/2022 tarih ve 2022/328 sayılı Karar Özeti

İlgili kişinin şikâyetinde özetle:

  • İlgili kişinin ücretsiz izne gönderildiğine dair veri sorumlusu tarafından kendisine bir ihtarname iletildiği,
  • Söz konusu ihtarnamenin yedi kişiye daha gönderildiği,
  • İhtarnamede T.C. kimlik numarası ve adresinin bulunması nedeniyle kişisel verilerinin alenen ifşa edildiği belirtilerek gereğinin yapılması talep edilmiştir.

Veri sorumlusunun savunmasında özetle:

  • İlgili kişinin pandemi sebebiyle işvereni tarafından ücretsiz izne çıkarıldığını ve bu kapsamda adı, soyadı, TC kimlik numarası, adres bilgisi ve ücretsiz izin sürecine dair bilgilerinin işvereni tarafından bordrolama hizmeti temin etmeleri sebebiyle veri sorumlusu olan taraflarına aktarılmış olduğu,
  • İlgili kişiye ücretsiz izin kararının telefon ile bildirilememesi dolayısıyla noter vasıtasıyla bildirim yapıldığı, bildirim yapılacak personel sayısının fazlalığı ve usul ekonomisi sebebiyle birden fazla çalışana aynı ihtarname ile bu bildirimin yapıldığı ifade edilmiştir.

Kişisel Verileri Koruma Kurulu tarafından yapılan değerlendirmeler neticesinde:

  • Diğer yedi çalışanla birlikte ilgili kişinin kimlik ve iletişim verisinin aynı ihtarnamede yer alması ve söz konusu ihtarname keşide edilirken de herhangi bir şekilde karartma, muhataplara ayrı ayrı keşide etme vb. işlemin yapılmaması nedeniyle ilgili kişinin kişisel verilerinin diğer çalışanlarla paylaşıldığına,
  • Kişisel Verilerin Korunması Kanunu’nda yer alan herhangi bir işleme şartına dayanmaksızın gerçekleşen kişisel veri işleme faaliyeti sebebiyle veri sorumlusu hakkında 100.000 TL idari para cezası uygulanmasına,
  • Karar hakkında Türkiye Noterler Birliğine bilgi verilmesine karar verilmiştir. 

2)Veri sorumlusu bünyesinde çalışan bir kişinin iş akdinin sonlandırılması hususunun veri sorumlusuna ait sosyal medya hesabında paylaşılması hakkında Kişisel Verileri Koruma Kurulu’nun 21/04/2022 tarihli ve 2022/386 sayılı Karar Özeti

İlgili kişinin şikâyetinde özetle:

  • Veri sorumlusu bünyesinde şirket müdürü olarak çalışmakta iken iş akdinin haksız şekilde sonlandırıldığı ve veri sorumlusuna ait sosyal medya hesabında “… Yaptığı usulsüzlükler nedeni ile işten ATILAN …..’ın sizlere vermiş olduğu rahatsızlıktan dolayı özür dileriz…” içerikli bir paylaşım yapıldığı,
  • Söz konusu paylaşımın silinmesi, durdurulması ve düzeltme metni yayınlanması için İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun ve Kişisel Verilerin Korunması Kanunu (Kanun) gereği veri sorumlusuna ihtarda bulunulduğu ancak tarafına cevap verilmediği,
  • Herhangi bir mahkeme kararı veya rızası olmadan yapılan bu duyurudan şikayetçi olduğu belirtilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.

Veri sorumlusunun savunmasında özetle:

  • İlgili kişinin işten ayrıldıktan sonra taraflarını zarara uğratmak için çeşitli faaliyetlerde ve tarafları hakkında birtakım haksız şikayetlerde bulunduğu,
  • İlgili kişi ile aralarında çeşitli hukuki süreçlerin devam ettiği ve bu sebeple taraflarına gönderilmiş olan ihtarnameye cevap verilmediği,
  • Sosyal paylaşım sitesinde yapılan duyurunun; ilgili kişinin bütün müşterilere göndermiş olduğu gerçek olmayan beyanlar ile ödeme talep eden mesajına istinaden gerçek durumla ilgili müşterilerin bilgilendirilmesi ve bu mesaj sebebiyle müşterilerin mağdur olmasını engellemek amacıyla yapıldığı, 
  • İlgili kişinin haksız saldırısına orantılı olarak kişisel verilerinin işlendiği, bu duyuru haricinde herhangi bir veri girişi yapılmadığı, depolanmadığı, ilgili kişinin müşteriler tarafından tanınmasından dolayı benzer bir durum yaşanmaması için ilgili kişinin sadece adının verildiği,
  • Duyurunun, şikayetçi ile aralarındaki davaların devam etmesi nedeniyle ve ileride benzer bir durum ile karşı karşıya kalınması halinde doğru bilginin öğrenilmesi adına silinmediği ifade edilmiştir.

Kişisel Verileri Koruma Kurulu tarafından yapılan değerlendirmeler neticesinde:

  • İlgili kişi hakkındaki duyurunun veri sorumlusu tarafından Kanun’a aykırı olarak sadece şirket müşterilerine karşı değil herkese açık bir şekilde yapıldığı,
  • Veri işleme ile gerçekleştirilmesi istenen amaç arasında makul bir denge bulunmadığı ve Kanun kapsamındaki bir işleme şartına dayanıldığına dair Kuruma somut herhangi bir bilgi, belge sunulmadığı hususları ile veri sorumlusunun ekonomik durumu dikkate alınarak, 30.000 TL idari para cezası uygulanmasına,
  • İlgili sosyal medya paylaşımında yer verilen kişisel verilerin imha edilerek sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.

3)Veri sorumlusu eski işveren tarafından ilgili kişinin kişisel verilerinin yer aldığı adli yazışma bilgilerinin kardeşi ile paylaşılması hakkında Kişisel Verileri Koruma Kurulunun 02/09/2022 tarihli ve 2022/896 sayılı Karar Özeti

İlgili kişinin şikâyetinde özetle:

  • Veri sorumlusu işverenin ilgili kişiye ait kimlik, iletişim, özlük, mesleki deneyim, sağlık verileri gibi birtakım kişisel verilerin herhangi bir aydınlatma yapılmadan ve açık rızası alınmadan işlendiği, bunların yanı sıra veri sorumlusu işveren tarafından ilgili kişinin adının geçtiği ceza soruşturma dosyasında yer alan adli yazışma bilgilerinin dosya ile herhangi bir bağlantısı olmayan kardeşinin e-posta adresine iletildiği,
  • İlgili hususta veri sorumlusuna başvuru yapılmışsa da cevap alınamadığı belirtilerek veri sorumlusu hakkında Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir. 

Veri sorumlusunun savunmasında özetle:

  • Veri sorumlusunun işçi-işveren ilişkisi kapsamında tutmuş olduğu özlük dosyasında ilgili kişiye ait kimlik, iletişim, özlük, mesleki deneyim, sağlık verileri gibi kişisel verileri Kanun’a ve İş Kanunu’na uygun olarak işlendiği,
  • Özlük dosyası haricinde ilgili kişinin açık rızasına bağlı olarak veya özel nitelikli herhangi bir verisinin işlenmediğini, ilgili kişiye ait kişisel verilerin yurt dışına aktarılmadığı,
  • Yasal yükümlülük gereği kendilerinden hangi gerekçeyle evrak talep edildiğinin işçilere bildirilmesiyle sözlü olarak aydınlatma yükümlülüğünün yerine getirildiği, bununla birlikte yazılı bir aydınlatma metninin bulunmadığı,
  • İlgili kişinin başvurusuna iş yoğunluğu sebebiyle yasal süresi içinde cevap verilemediği,
  • İlgili kişinin diğer birkaç eski çalışan ile birlikte gerçekleştirdiği birtakım filler sonucu haksız kazanç elde ettiği, bu kapsamda ilgili kişinin iş sözleşmesindeki ticari sır saklama, şirket yazılımlarını üçüncü kişilerle paylaşmama, gizlilik anlaşmalarına aykırı davranmama vb. yükümlülüklere aykırı davrandığı ve bu sebeple de iş sözleşmesinin haklı sebeple feshedildiği,
  • İlgili kişinin ofisten ayrılırken şirketin kendisine tahsis ettiği iş bilgisayarında hem şahsi hem de şirketin sağladığı e-posta hesabının oturumunu açık unuttuğu, bahse konu hesaplardaki yazışmalar incelendiğinde ilgili kişinin şirketin yazılım ve ticari sırlarını çalarken şirketin e-posta adresinden şahsi e-posta adresine yönlendirmeler yaptığının anlaşıldığı ve akabinde ilgili kişi hakkında Cumhuriyet Başsavcılığına suç duyurusunda bulunulduğu ifade edilmiştir. 

Veri sorumlusu tarafından, suç duyurusuna ilişkin bilgilerin ilgili kişinin kardeşine iletilip iletilmediği, iletildiyse bunun hukuki gerekçesinin ne olduğu sorusuna herhangi bir yanıt verilmediğinden ikinci bir yazı ile söz konusu hususlarda bilgi talep edilmiş ancak bu yazıya cevap niteliğinde herhangi bir bilgi ya da belge Kuruma iletilmemiştir.

Kişisel Verileri Koruma Kurulu tarafından yapılan değerlendirmeler neticesinde:

  • Veri sorumlusu ile ilgili kişi arasındaki iş sözleşmesi kapsamında ilgili kişiye ilişkin kimlik bilgileri ve şikâyete konu diğer kişisel veri içeren belgelerin Kanun’a uygun işlendiği değerlendirildiğinden kişisel veri işleme faaliyeti açısından veri sorumlusu hakkında Kanun kapsamında herhangi bir işlem tesis edilmesine yer olmadığına, 
  • Veri sorumlusu tarafından ilgili kişiye ve başka gerçek kişilere ait kişisel verileri barındıran Savcılık şikayet dilekçesinin olayla herhangi bir ilgisi olmadığı anlaşılan ve  ilgili kişinin kardeşi olduğu belirtilen üçüncü bir kişiye e-posta yoluyla iletilmesi işleminin, veri sorumlusu tarafından  kişisel verilerin hukuka aykırı olarak işlenmesini önlemeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı hareket ettiği değerlendirildiğinden veri sorumlusu hakkında 150.000 TL idari para cezası uygulanmasına,
  • Aydınlatma yükümlülüğünün yerine getirilip getirilmediğini ispat edemeyen veri sorumlusuna, çalışanlara ilişkin kişisel veri içeren bilgi ve belgeleri özlük dosyasında muhafaza etmek suretiyle işlemesi hakkında ilgili kişileri aydınlatması gerektiği ve bu doğrultuda gerekli dikkat ve özeni göstermesi hususunun hatırlatılmasına,
  • Veri sorumlusunun, ilgili kişinin başvurusunun cevaplandırılması yükümlülüğünü yerine getirmediği anlaşıldığından, veri sorumlusunun ilgili kişilerin yaptığı başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak ve öngörülen süreler içerisinde cevaplandırması gerektiği konusunda uyarılmasına; ayrıca ilgili kişinin taleplerinin yanıtsız bırakıldığı dikkate alındığında veri sorumlusunun, ilgili kişiye başvurusunda talep ettiği hususlara ilişkin açıklayıcı ve detaylı bir şekilde cevap vermesi ve ilgili kişiye verilen cevaba ve cevabın ilgili kişi tarafından tebellüğ edilip edilmediğine ilişkin tevsik edici belgeyle birlikte Kurula bilgi vermesi gerektiği yönünde talimatlandırılmasına, 
  • Öte yandan veri sorumlusunun Kurumun ikinci yazısına da cevap vermediği dikkate alındığında bundan sonraki süreçte Kurumca istenilen bilgi ve belge taleplerine zamanında cevap verilmesi hususunda uyarılmasına,
  • Şikâyet konusunun veri ihlali niteliği arz ettiği, bundan sonraki süreçlerde meydana gelebilecek veri ihlallerinde ilgili kişilere ve Kurula bilgi verilmesi gerektiği hususunun veri sorumlusuna hatırlatılmasına karar verilmiştir.

4)İlgili kişinin kişisel verilerinin iş akdinin feshinden sonra işveren tarafından işlenmeye devam edilmesi” hakkında Kişisel Verileri Koruma Kurulunun 20/10/2022 tarihli ve 2022/1147 sayılı Karar Özeti

İlgili kişinin şikâyetinde özetle:

  • İç mimar olarak yaklaşık 3 yıl çalıştığı, iş akdinin feshi tarihinden sonra, pandemi döneminde veri sorumlusu şirket tarafından müşterilere yönelik olarak sosyal medya üzerinden gerçekleştirilen canlı yayınlardaki görüntüsünün TV reklamlarında, veri sorumlusu şirketin internet sitesinde, sosyal medya hesaplarında ve tanıtıma yönelik basılı materyallerde reklam ve pazarlama amacıyla kullanıldığı, görüntüsünün bu şekilde kullanımı ile ilgili olarak kendisine aydınlatma yapılmadığı, açık rızasının da alınmadığı, 
  • Öte yandan iş akdinin feshedildiği tarihten sonra veri sorumlusunun taşıma süreçlerine ilişkin kargolarda hala şahsi cep telefonu numarasının kullanıldığı, 
  • Yine iş akdinin feshedildiği tarihten sonra ilgili kişinin veri sorumlusu bünyesinde gerçekleştirilen satış ve tahsilat işlemlerinde işlemi gerçekleştiren kişi gibi göründüğü, 
  • Şikâyete konu durum ve delillerin Bilirkişi Raporu ile tespit edildiği,
  • Veri sorumlusuna yapılan başvuruda ilgili kişiye ait kişisel verilerin imhası ve bu konuda kendisine bilgi verilmesinin talep edilmesine karşın veri sorumlusu tarafından bu konuda bir işlem yapılmayıp hatalı ve eksik bilgi verildiği, veri sorumlusu tarafından ilgili kişinin aydınlatma metnini imzaladığı ifade edilmiş ise de bu aydınlatma metninin iş akdi süresi içerisinde sınırlı olduğu, bu ibarenin aydınlatma metninde de yer aldığı, ifade edilerek Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması ve hukuka aykırı olarak işlenen kişisel verilerinin imha edilmesi talep edilmiştir. 

Veri sorumlusunun savunmasında özetle:

  • İlgili kişiye imzalatılan aydınlatma metninde “yazılım, kurumsal kaynak planlaması, raporlama, pazarlama vb. işlevlerin yerine getirilmesi amacıyla tedarikçi ve çözüm ortaklarıyla verilerin paylaşılabileceği” hususunun yer aldığı, bu hukuki mesnede binaen ilgili kişinin şirket reklamlarında yer alarak pazarlama amacıyla kişisel verilerinin işlenmesine rıza vermiş sayılacağı, ilgili kişinin işi gereği şirketin tanıtım yüzlerinden biri olduğu, ilgili kişinin bu işi bilerek kabul etmesine karşın iş akdi feshedildikten sonra bu hükümleri kötü niyetle şirket aleyhinde yorumlamaya çalıştığı,
  • İlgili kişinin “kargo paketi üzerinden görüldüğünden bahisle cep telefonu bilgisinin şirketçe işlenmeye devam edilmesi” iddiasının da izahtan vareste olduğu, bu konuda bir delil olmadığı, açıkça kötü niyetli bir iddia olduğu ifade edilmiştir.

Kişisel Verileri Koruma Kurulu tarafından yapılan değerlendirmeler neticesinde:

  • İlgili kişinin yer aldığı görüntülerin veri sorumlusunun arşivlerinde bulunmasının hukuka uygun olacağı ancak iş akdinin sona ermesinden sonra da söz konusu verilerin paylaşımına devam edilmesi suretiyle işlenmesinde Kanun kapsamında geçerli bir işleme şartının mevcut olmadığı, öte yandan ilgili kişinin kargo şirketleri nezdinde kayıtlı olan kişisel numarasının ve iş akdi feshedilmeden öncesinde çalıştığı mağazadaki dijital ödeme sistemleri, çeşitli evrak ve formlar içerisinde kayıtlı bulunan ve kendisini işlem yetkilisi olarak gösteren kişisel verilerinin doğru ve gerektiğinde güncel olma ilkesine aykırı şekilde işlendiği, bu verilerin işlenmesinde veri sorumlusunca bir başka hukuki nedenin de gösterilemediği görüldüğünden veri sorumlusu hakkında, ilgili kişinin hukuka aykırı olarak işlenen kimlik ve iletişim bilgileri kullanılarak yapılan satış, kargo gönderimi gibi yasal işlemlerin ilgili kişi üzerinde negatif sonuç doğurma riskinin yüksek olduğu hususu dikkate alınarak, 250.000 TL idarî para cezası uygulanmasına,
  • Diğer taraftan, ilgili kişinin hukuka aykırı bir şekilde işlendiği anlaşılan şahsî cep telefonu bilgisinin veri sorumlusu ve kargo şirketi kayıtlarından, isim ve soy isim bilgilerinin ise iş akdi feshedilmeden öncesinde çalıştığı mağazadaki dijital ödeme sistemleri, çeşitli evrak ve formlar içerisinden imha edilmesi, buna ilişkin usule uygun bir şekilde düzenlenecek olan tutanakların ilgili kişi vekiline iletilmesi ve bu tutanaklar ile ilgili belgelerin muhatabınca tebellüğ edildiğine dair delillerin Kurula da gönderilmesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir. 

5)İlgili kişinin borç bilgisinin ortağı olduğu şirketin kurumsal numaralarına kısa mesaj olarak gönderilmesi” hakkında Kişisel Verileri Koruma Kurulunun 19/01/2023 tarihli ve 2023/78 sayılı Karar Özeti

İlgili kişinin şikâyetinde özetle:

  • İlgili kişi ile GSM operatörü veri sorumlusu arasında mobil internet hattına ilişkin yapılan sözleşmenin ilgili kişi tarafından iptal edilmesi sonucu tarafına borç çıkarıldığı,
  • İlgili kişi adına çıkarılan borcun tahsili için GSM operatörünün bir avukatlık ortaklığına yetki verdiği, avukatlık ortaklığı tarafından borcun tahsilini sağlamak amacıyla ilgili kişinin ortağı olduğu şirkete ait 4 farklı cep telefonu numarasına ilgili kişinin soyadını maskeleyerek fakat adının açıkça görüneceği şekilde borçlu olduğu miktar hakkında icra takibi başlatılacağı bilgilerini içeren bir kısa mesaj gönderildiği,
  • Bahsi geçen mesajlar nedeniyle, ilgili kişinin ortağı olduğu şirket hatlarını kullanan çalışanların konu ile ilgileri bulunmamasına karşın ilgili kişinin borç bilgilerinden haberdar olduğu, ayrıca şirkette ilgili kişiyle aynı ada sahip başkaca kimse bulunmadığından soyadı maskelenmiş olsa dahi bahsi geçen kısa mesajda kimliğinin bilinir kılındığı,
  • Konuya ilişkin olarak avukatlık ortaklığına ve GSM operatörüne başvurduğu, verilen cevaplarda bilgi amaçlı gönderilen kısa mesajın maskelenerek paylaşıldığı belirtilmiş ise de ilgili kişiye ait kişisel verilerin, ilgili kişinin ortağı olduğu şirket hatlarına hangi amaçla iletildiğinin açıklanamadığı ifade edilerek Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Söz konusu iddialara ilişkin başlatılan inceleme çerçevesinde öncelikle ilgili avukatlık ortaklığından savunması istenilmiş olup alınan cevabi yazıda özetle;

  • Avukatlık ortaklığı olarak vekili oldukları GSM operatörü olan şirket adına, ilgili kişiye ait olduğu bildirilen telefon numaralarına yalnızca bir kez kısa mesaj gönderimi yapıldığı, bu mesajın içeriğinde ise ilgili kişiye ilişkin kişisel verilerin paylaşılmadığı ve ilgili kişinin isminin maskelenerek paylaşıldığı,
  • Avukatlık ortaklığı olarak, GSM operatörü tarafından yönetilmekte olan sisteme sınırlı erişim hakkına sahip oldukları, kısa mesaj gönderme faaliyetlerine ilişkin olarak veri işleyen konumunda oldukları, bu sebeple de ilgili kişinin avukatlık ortaklığına başvuru hakkı bulunmadığı ve şikâyetinin usulden reddinin gerektiği ifade edilmiştir.

Veri sorumlusunun savunmasında özetle:

  • Veri sorumlusu olarak avukatlık ortaklığı ile hukuki ilişkileri kapsamında ve borcun tahsili amacıyla yalnızca ilgili kişi borçluya ilişkin kimlik, iletişim ve borç bilgilerini içeren verilerin paylaşıldığı,
  • Şikâyete konu telefon numaralarının ilgili kişinin ortağı olduğu şirket adına kayıtlı kurumsal numaralar olduğu ifade edilmiştir.

Kişisel Verileri Koruma Kurulu tarafından yapılan değerlendirmeler neticesinde:

  • İlgili kişinin ortağı olduğu Şirkete ait kurumsal iletişim numaralarının, veri sorumlusu ile arasındaki bireysel sözleşmelerde de iletişim numarası olarak kullanılmasının  veri sorumlusu tarafından Kanunda yer alan “doğru ve gerektiğinde güncel” olma ilkesine aykırılık teşkil ettiği anlaşılmış olup, bu hukuka aykırı veri işleme faaliyeti nedeniyle avukatlık ortaklığı tarafından ilgili kişiye ilişkin kişisel verileri içeren kısa mesajların şirkete ait iletişim numaralarına gönderilmesi neticesinde, borca konu işlemle ilgisi olmayan üçüncü kişi şirket çalışanları ile ilgili kişiye ilişkin kişisel veri olan borç bilgisinin herhangi bir işleme şartı bulunmaksızın paylaşıldığı gözetildiğinde; veri güvenliğine ilişkin yükümlülüklerini yerine getirmediği kanaatine varılan veri sorumlusu hakkında 85.000 TL idari para cezası uygulanmasına,
  • Veri sorumlusu tarafından verilen talimat çerçevesinde borcun tahsili amacıyla ilgili kişiye ilişkin olduğu belirtilen telefon numaralarına bir adet kısa mesaj gönderen ve sınırlı yetkisi çerçevesinde söz konusu numaralara ilişkin doğrulama imkânı olmayan veri işleyen avukatlık ortaklığı hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

Stj. Av. Cemre Zeynep EROĞUZ

TARLAN AVUKATLIK BÜROSU

                                                                   AV. AYLİN TARLAN

Leave a comment