“Veri sorumlusu şirket tarafından eski çalışanı olan ilgili kişinin kişisel verilerinin rızası alınmaksızın aktarımı” hakkında Kişisel Verileri Koruma Kurulunun 11/02/2020 tarihli ve 2020/108 sayılı Karar Özeti

Aynı sektördeki bir diğer şirkette çalışmaya başlayan ilgili kişinin, eski işvereni tarafından yeni işverenine, açık rızası olmaksızın kişisel verilerinin aktarıldığına dair şikayeti neticesinde Kurul;

  • İlgili kişinin, yeni şirketine, eski çalıştığı şirketteki pozisyonu ve işten ayrılma sebebiyle ilgili olarak kasten yanlış bilgi vermiş olması,
  • İki şirket arasındaki veri aktarımının, ilgili kişinin çalıştığı pozisyon ve işten ayrılma sebebiyle sınırlı olduğu,
  • İş Kanunu uyarınca işçinin işverene kendi nitelikleriyle ilgili doğru bilgi verme yükümlülüğü olduğu,
  • İlgili kişi tarafından verilen yanlış bilgilerin eski şirket tarafından göz ardı edilmesinin dürüstlük kuralına aykırı olacağı,
  • Bu sebeplerle veri aktarımının Kanun’un 5. Maddesinde yer alan “meşru menfaat” kapsamında işlendiğinin tespiti ile herhangi bir yaptırım uygulanmasına gerek olmadığı yönünde karar verilmiştir.

Karar ile kişisel veri işleme koşullarından “meşru menfaat” ile ilgili çarpıcı tespitlerde bulunulmuş, özellikle de Türk Medeni Kanunu 2. Maddesinde yer alan Dürüstlük Kuralı’na vurgu yapılmıştır. Gerçekten de, ilgili kişinin şikayetinin kabulü halinde, “hakkın kötüye kullanımı” söz konusu olacaktır zira ilgili kişinin şikayeti, kötü niyetli olarak yanlış verdiği bilgilerin açığa çıkmasını önlemek ve gerçek bilgileri saklamaya çalışmaktır. Hukuk düzenince böyle bir yaklaşımın korunmayacağı sabittir.

“Bankaya olan borcundan dolayı ilgili kişinin yakınına Bankanın sözleşmeli avukatı tarafından ilgili kişinin borç bilgisinin iletilmesi” hakkında Kişisel Verileri Koruma Kurulunun 09/02/2021 tarihli ve 2021/115 sayılı Karar Özeti

Kuruma intikal eden şikâyette ilgili kişi tarafından, Bankaya olan borcu sebebiyle kız kardeşinin cep telefonu numarasının Bankanın sözleşmeli avukatı tarafından aranması ve cep telefonu numarasına SMS gönderilmesi suretiyle kişisel verisinin avukat tarafından hukuka aykırı olarak paylaşılması kapsamında gereğinin yapılması talep edilmiştir.

Kurul şikayete ilişkin olarak;

  • İlgili kişinin kız kardeşine ait olan telefon numarasının Bankanın sistemlerine kayıt edilmesi işleminin ilgili kişinin açık rızasına dayanılarak yapıldığı sonucuna varılamayacağı, bu kapsamda, ilgili kişinin kız kardeşine ait telefon numarasının Banka tarafından hukuka aykırı olarak işlendiğinin değerlendirildiği,
  • Kanun hükümleri gereğince açık rıza aranmaksızın işlenecek kişisel verilerin borçluya ait olması gerektiği,
  • Bankanın kendi bünyesinde oluşturduğu Yasal Takip Sisteminde yer alan ilgili kişinin kişisel verileri haricinde kız kardeşinin telefon numarasını Avukat ile paylaşmasının Kanun kapsamında gerçekleştirilebilecek bir kişisel veri işleme faaliyeti olmadığı ve hukuka aykırı olduğu, bu sebeplerle Banka hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 175.000 TL idari para cezası uygulanmasına,
  • Avukatın ise veri işleyen sıfatını haiz olduğu, avukat tarafından numaranın borçluya değil kız kardeşine ait olduğunun tespitini müteakip sistemden numaranın çıkartıldığı göz önüne alınarak herhangi bir yaptırım uygulanmasına yer olmadığına karar verilmiştir.

Kurul tarafından, Kanun’un 4. Maddesinde yer alan ilkelerden, “doğru ve gerektiğinde güncel olma” ilkesinin vurgulandığı bu kararda, veri işleme faaliyeti dahilinde doğru anda doğru tedbirin alınmasının Kanun’a uyumu sağladığı da tespit edilmiştir.

“Bir kargo firmasında çalışan ilgili kişinin iş akdinin haksız feshedilmesi sonrası özlük dosyası kapsamında yer alan kişisel verilerinin birer suretinin tarafına verilmesi talebine veri sorumlusu tarafından cevap verilmemesi” hakkında Kişisel Verileri Koruma Kurulunun 28/05/2020 tarihli ve 2020/435 sayılı Karar Özeti

İlgili kişi Şikayeti üzerine Kurul;

  • Talep edilen verilerin kişisel veri olmadığı, 6698 sayılı Kanun kapsamında bir talebin söz konusu olmadığı, kimsenin kendi aleyhine delil ikamesine zorlanamayacağı, susma hakkının kullanıldığı ve konunun yargı mercileri yetkisi dahiline girdiği yönündeki veri sorumlusu savunmasının geçerli olmadığı,
  • Savunma metni, istifa dilekçesi gibi belgelerin kişisel veri içerdiği,
  • Bu doğrultuda İlgili Kişi tarafından talep edilen istifa dilekçesi ile savunma metninin İlgili Kişi’ye iletilmesi yönünde Veri Sorumlusunun talimatlandırılmasına karar vermiştir.

Kişisel veri tanımına ilişkin karşılaştırmalı tespitler içeren karar, 6698 sayılı Kanun’un uygulama alanlarının her geçen gün daha da belirginleşmesine ve ilgili kişilerin Kanun kapsamındaki haklarını arama şekillerine dair güzel bir örnek teşkil etmektedir.

“İlgili kişinin araç kiralama hizmeti alması esnasında kişisel verilerinin işlenmesine dair açık rıza vermemesi üzerine kiralama hizmetinden yararlandırılmaması”na ilişkin Kişisel Verileri Koruma Kurulu’nun 05/05/2020 tarihli ve 2020/335 sayılı Karar Özeti

İlgili kişinin şikayeti üzerine Kurul; İlgili kişinin, araç kiralama sürecinde kişisel verilerine dair açık rıza vermek istememesi sebebiyle kendisine araç kiralama hizmeti verilmediğini tespit etmiş ve bu doğrultuda;

  • Veri Sorumlusunun; İlgili kişinin başka araç kiralama şirketinden kiralama yapabileceği, kişisel veriler ile ilgili işleme faaliyetinin 1774 sayılı Kimlik Bildirme Kanunu kapsamında yürütüldüğü yönündeki savunmasının yeterli olmadığı,
  • Araç kiralama hizmeti alımı esnasında veri sorumlusu tarafından Kanunun 5 maddesinin ikinci fıkrasında yer alan işleme şartları dışındaki haller kapsamında hizmetten faydalanmak isteyen kişilerin kişisel verilerinin işlenmesi amacıyla toptan bir şekilde açık rıza alımı yoluna gidildiği, hizmetin ifası için gerekli olmamasına rağmen kişisel verilerin talep edildiği ve açık rıza verilmemesi durumunda da kişilere hizmet verilmediği dikkate alındığında; hukuka aykırı veri işleme faaliyetinin söz konusu olduğu, bu sebeple veri sorumlusu hakkında 50.000 TL idari para cezası uygulanmasına karar verilmiştir.

Karar, Kurul tarafından defaatle vurgulanan “açık rıza” kavramını pekiştirmektedir. Sizlere daha önceki bilgilendirmelerimizde de vurguladığımız üzere, Kanun’un 5. Maddesindeki asıl veri işleme koşullarının açık rıza haricindeki koşullar olduğunu, “açık rıza”nın ise kırılgan yapısı sebebiyle istisnai kullanıma tabi tutulması gerektiğini de bir defa daha bizlere göstermektedir. Karara konu olayda açık rızanın hizmet şartına bağlanamamasının yanı sıra, hatalı açık rıza alma yöntemleri de göze çarpmaktadır.

KVKK, ISO 270001, Bilgi ve İletişim Güvenliği Rehberi, ISO 27701, Bilgi Güvenliği, Siber Güvenlik ve Bilgi Teknolojileri konularında destek ve teklif almak için lütfen

 1.The decision of the Constitutional Court regarding the use of company e-mail addresses.

T.R. With the decision of the Constitutional Court published in the Official Gazette dated February 5, 2021 with the application number 2018/31036 and dated 12.01.2021, the use of the e-mail addresses of the companies subject to the discussions and the limits of intervention in this account by the company were clarified. 

The applicant (“the Applicant”), who made an individual application to the Constitutional Court, stated that the correspondence he made with his corporate e-mail accounts was examined without informing and without obtaining his consent, and that the employment contract was unfairly terminated due to poor performance based on these correspondences. He claimed that as a result of the bank’s examination of the contents of the email and the Court’s acceptance of these contents as the main evidence for the judgment, respect for his private life and freedom of communication were violated. 

In its examination, the Constitutional Court has seen that within the scope of the employment contract signed with the employee, it is clearly regulated that the e-mail accounts will only be used for business, can be audited by the bank, the e-mail address must be used for its purpose, and that the employment contract can be terminated in case of failure to comply with the impairment of performance or other prohibition of employment. 

Although the employee has a reasonable expectation that the email account assigned to him will not be intervened under normal conditions, it has been stated that he should not have such an expectation due to this provision in his employment contract. 

It was also determined by the Constitutional Court that the intervention made to the e-mail account was carried out in line with the request of the court and within the limits of the request, therefore it decided that there was no violation of rights. 

2.The Decision of the Personal Data Protection Board dated 27/01/2020 and numbered 2020/59 on the “allegation that the e-mail address used by the relevant person in the company of which he is a partner was accessed without permission and illegally”

Upon the rejection of the request by the complainant to delete the e-mail account and content of the relevant company, the right to complain to the Personal Data Protection Authority was used. 

The data controller briefly states that the e-mail address used by the complainant is the corporate e-mail address registered on behalf of the company and access to this address; He defended that it was committed due to the complainant’s failure to fulfill his duty and mismanagement, and ultimately the court determined the malicious use of these records, and that deletion of these data would mislead the judicial authorities and obfuscate the evidence. 

In this direction, the Board;
In order to protect the rights of the company of which the person is a partner, the personal data obtained from the server backup records of the said e-mail address, “…. Data processing is mandatory within the scope of establishment, use and protection of a right ”and the personal data processing activity carried out due to the lawsuit is considered to be within the scope of the relevant article of the Law, so there is no action to be taken regarding the said complaint. 

3.Decision of the Personal Data Protection Board dated 27/01/2020 and numbered 2020/66 on “The processing of the contact number of the relevant person by an electricity distribution company without any processing conditions”

In summary, in a complaint submitted to the institution; Informative SMS messages were sent to the contact number of the person concerned, on different issues related to several electricity subscriber numbers not belonging to him by an electricity distribution company, he did not want to receive information messages about the subscriptions, his contact number was deleted from the contact information of the contracts and the result of his application. Stating that an application was made to the data controller as much as the number of the subscriber number to be notified in writing, but that no action was taken and no response was made by the data controller within the scope of the application, however, the information message was still sent to the contact number, and the necessary action within the scope of the Personal Data Protection Law (Law) It has been requested to be 

As a result of the investigation conducted by the Board, it was evaluated that there was no data processing for a legitimate purpose, the personal data processing conditions included in Article 5 of the Law were not in the event subject to the complaint, and measures were not taken by the data controller to ensure the appropriate level of security, and an administrative fine of 100,000 TL was imposed. . 

4.Announcement of the Personal Data Protection Board on the Application for Undertaking for Data Transfer Abroad

The application of the Undertaking for the transfer of personal data abroad by a data controller was evaluated by the Personal Data Protection Board within the scope of subparagraph (b) of paragraph 2 of Article 9 of the Personal Data Protection Law numbered 6698, and the said data transfer was authorized by the Board on 09.02.2021.

This permission, being the first permission issued and published by the Board, gives a clue that it opens a way for the possible future leave requests to be decided and that the next applications will be concluded within reasonable periods. 

< Önceki Sonraki >