“Veri sorumlusu şirket tarafından eski çalışanı olan ilgili kişinin kişisel verilerinin rızası alınmaksızın aktarımı” hakkında Kişisel Verileri Koruma Kurulunun 11/02/2020 tarihli ve 2020/108 sayılı Karar Özeti
Aynı sektördeki bir diğer şirkette çalışmaya başlayan ilgili kişinin, eski işvereni tarafından yeni işverenine, açık rızası olmaksızın kişisel verilerinin aktarıldığına dair şikayeti neticesinde Kurul;
- İlgili kişinin, yeni şirketine, eski çalıştığı şirketteki pozisyonu ve işten ayrılma sebebiyle ilgili olarak kasten yanlış bilgi vermiş olması,
- İki şirket arasındaki veri aktarımının, ilgili kişinin çalıştığı pozisyon ve işten ayrılma sebebiyle sınırlı olduğu,
- İş Kanunu uyarınca işçinin işverene kendi nitelikleriyle ilgili doğru bilgi verme yükümlülüğü olduğu,
- İlgili kişi tarafından verilen yanlış bilgilerin eski şirket tarafından göz ardı edilmesinin dürüstlük kuralına aykırı olacağı,
- Bu sebeplerle veri aktarımının Kanun’un 5. Maddesinde yer alan “meşru menfaat” kapsamında işlendiğinin tespiti ile herhangi bir yaptırım uygulanmasına gerek olmadığı yönünde karar verilmiştir.
Karar ile kişisel veri işleme koşullarından “meşru menfaat” ile ilgili çarpıcı tespitlerde bulunulmuş, özellikle de Türk Medeni Kanunu 2. Maddesinde yer alan Dürüstlük Kuralı’na vurgu yapılmıştır. Gerçekten de, ilgili kişinin şikayetinin kabulü halinde, “hakkın kötüye kullanımı” söz konusu olacaktır zira ilgili kişinin şikayeti, kötü niyetli olarak yanlış verdiği bilgilerin açığa çıkmasını önlemek ve gerçek bilgileri saklamaya çalışmaktır. Hukuk düzenince böyle bir yaklaşımın korunmayacağı sabittir.
“Bankaya olan borcundan dolayı ilgili kişinin yakınına Bankanın sözleşmeli avukatı tarafından ilgili kişinin borç bilgisinin iletilmesi” hakkında Kişisel Verileri Koruma Kurulunun 09/02/2021 tarihli ve 2021/115 sayılı Karar Özeti
Kuruma intikal eden şikâyette ilgili kişi tarafından, Bankaya olan borcu sebebiyle kız kardeşinin cep telefonu numarasının Bankanın sözleşmeli avukatı tarafından aranması ve cep telefonu numarasına SMS gönderilmesi suretiyle kişisel verisinin avukat tarafından hukuka aykırı olarak paylaşılması kapsamında gereğinin yapılması talep edilmiştir.
Kurul şikayete ilişkin olarak;
- İlgili kişinin kız kardeşine ait olan telefon numarasının Bankanın sistemlerine kayıt edilmesi işleminin ilgili kişinin açık rızasına dayanılarak yapıldığı sonucuna varılamayacağı, bu kapsamda, ilgili kişinin kız kardeşine ait telefon numarasının Banka tarafından hukuka aykırı olarak işlendiğinin değerlendirildiği,
- Kanun hükümleri gereğince açık rıza aranmaksızın işlenecek kişisel verilerin borçluya ait olması gerektiği,
- Bankanın kendi bünyesinde oluşturduğu Yasal Takip Sisteminde yer alan ilgili kişinin kişisel verileri haricinde kız kardeşinin telefon numarasını Avukat ile paylaşmasının Kanun kapsamında gerçekleştirilebilecek bir kişisel veri işleme faaliyeti olmadığı ve hukuka aykırı olduğu, bu sebeplerle Banka hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 175.000 TL idari para cezası uygulanmasına,
- Avukatın ise veri işleyen sıfatını haiz olduğu, avukat tarafından numaranın borçluya değil kız kardeşine ait olduğunun tespitini müteakip sistemden numaranın çıkartıldığı göz önüne alınarak herhangi bir yaptırım uygulanmasına yer olmadığına karar verilmiştir.
Kurul tarafından, Kanun’un 4. Maddesinde yer alan ilkelerden, “doğru ve gerektiğinde güncel olma” ilkesinin vurgulandığı bu kararda, veri işleme faaliyeti dahilinde doğru anda doğru tedbirin alınmasının Kanun’a uyumu sağladığı da tespit edilmiştir.
“Bir kargo firmasında çalışan ilgili kişinin iş akdinin haksız feshedilmesi sonrası özlük dosyası kapsamında yer alan kişisel verilerinin birer suretinin tarafına verilmesi talebine veri sorumlusu tarafından cevap verilmemesi” hakkında Kişisel Verileri Koruma Kurulunun 28/05/2020 tarihli ve 2020/435 sayılı Karar Özeti
İlgili kişi Şikayeti üzerine Kurul;
- Talep edilen verilerin kişisel veri olmadığı, 6698 sayılı Kanun kapsamında bir talebin söz konusu olmadığı, kimsenin kendi aleyhine delil ikamesine zorlanamayacağı, susma hakkının kullanıldığı ve konunun yargı mercileri yetkisi dahiline girdiği yönündeki veri sorumlusu savunmasının geçerli olmadığı,
- Savunma metni, istifa dilekçesi gibi belgelerin kişisel veri içerdiği,
- Bu doğrultuda İlgili Kişi tarafından talep edilen istifa dilekçesi ile savunma metninin İlgili Kişi’ye iletilmesi yönünde Veri Sorumlusunun talimatlandırılmasına karar vermiştir.
Kişisel veri tanımına ilişkin karşılaştırmalı tespitler içeren karar, 6698 sayılı Kanun’un uygulama alanlarının her geçen gün daha da belirginleşmesine ve ilgili kişilerin Kanun kapsamındaki haklarını arama şekillerine dair güzel bir örnek teşkil etmektedir.
“İlgili kişinin araç kiralama hizmeti alması esnasında kişisel verilerinin işlenmesine dair açık rıza vermemesi üzerine kiralama hizmetinden yararlandırılmaması”na ilişkin Kişisel Verileri Koruma Kurulu’nun 05/05/2020 tarihli ve 2020/335 sayılı Karar Özeti
İlgili kişinin şikayeti üzerine Kurul; İlgili kişinin, araç kiralama sürecinde kişisel verilerine dair açık rıza vermek istememesi sebebiyle kendisine araç kiralama hizmeti verilmediğini tespit etmiş ve bu doğrultuda;
- Veri Sorumlusunun; İlgili kişinin başka araç kiralama şirketinden kiralama yapabileceği, kişisel veriler ile ilgili işleme faaliyetinin 1774 sayılı Kimlik Bildirme Kanunu kapsamında yürütüldüğü yönündeki savunmasının yeterli olmadığı,
- Araç kiralama hizmeti alımı esnasında veri sorumlusu tarafından Kanunun 5 maddesinin ikinci fıkrasında yer alan işleme şartları dışındaki haller kapsamında hizmetten faydalanmak isteyen kişilerin kişisel verilerinin işlenmesi amacıyla toptan bir şekilde açık rıza alımı yoluna gidildiği, hizmetin ifası için gerekli olmamasına rağmen kişisel verilerin talep edildiği ve açık rıza verilmemesi durumunda da kişilere hizmet verilmediği dikkate alındığında; hukuka aykırı veri işleme faaliyetinin söz konusu olduğu, bu sebeple veri sorumlusu hakkında 50.000 TL idari para cezası uygulanmasına karar verilmiştir.
Karar, Kurul tarafından defaatle vurgulanan “açık rıza” kavramını pekiştirmektedir. Sizlere daha önceki bilgilendirmelerimizde de vurguladığımız üzere, Kanun’un 5. Maddesindeki asıl veri işleme koşullarının açık rıza haricindeki koşullar olduğunu, “açık rıza”nın ise kırılgan yapısı sebebiyle istisnai kullanıma tabi tutulması gerektiğini de bir defa daha bizlere göstermektedir. Karara konu olayda açık rızanın hizmet şartına bağlanamamasının yanı sıra, hatalı açık rıza alma yöntemleri de göze çarpmaktadır.
Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.