25.05.2022
Yazarlar: Berfu Yalçın, Beyza Büyükağaçcı
Kişisel Verileri Koruma Kurulu tarafından 23.05.2022 tarihinde yayımlamış olan 02/12/2021 tarihli ve 2021/1218 sayılı Kurul kararında1 “İlgili kişi işçinin hakkında yürütülen kişisel verilerin işlenmesi faaliyetleri kapsamında yurtdışında mukim olan veri sorumlusu işverence aydınlatılmamasının ve ilgili kişiye ait kişisel verilerin veri sorumlusu tarafından hukuka aykırı olarak işlenmesinin” kanuna aykırı olup olmadığı incelenmiştir.
Kurul, Kanun hükümlerinin sadece gerçek kişiler ve tüzel kişiler hakkında uygulanabileceğinden ve yabancı şirketlerin Türkiye’deki irtibat bürolarının tüzel kişiliğinin bulunmamasından ilgili kişi tarafından veri sorumlusu olarak gösterilen İstanbul İrtibat Bürosu yerine büronun bağlı bulunduğu yurtdışında mukim veri sorumlusu hakkında inceleme başlatmıştır. Kurul, ilgili kişi tarafından yapılan başvuruyu üç iddia altında incelemiş ve şu hususlara dikkat çekmiştir.
Kanun’un Geçici 2. Maddesine göre;
· “Veri sorumlusunun aralarındaki iş sözleşmesinin devamı sırasında ilgili kişiye karşı Kanun’un 10’uncu maddesinden kaynaklanan aydınlatma yükümlülüğünü yerine getirmediği” yönündeki iddia bakımından:
Kurul, aydınlatma yükümlülüğünün yerine getirilmesine dair iç hukuktaki mevzuat hükümleri uyarınca, ilgili kişiler hakkında yürütülen ve Kanun hükümlerinin uygulama alanı bulacağı kişisel veri işleme faaliyetleri kapsamında -kişisel verilerin elde edilmesi sırasında- veri sorumluları tarafından ilgili kişilere Kanun’un 10’uncu maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine uygun olarak bilgilendirmede bulunulması gerektiğinin altını çizmiştir.
Akabinde Kurul somut olayda ilgili kişinin, veri sorumlusunun Londra’da bulunan ofisinde işe başlaması nedeniyle ilgili kişiye Avrupa Birliği’nin birincil kişisel veri koruma düzenlemesi olan ve kısaca “GDPR” olarak bilinen Avrupa Birliği Genel Veri Koruma Tüzüğü’ne istinaden bilgilendirme yapıldığını, daha sonra ilgili kişinin Londra’daki görevinden ayrılarak veri sorumlusunun İstanbul’da bulunan irtibat ofisi bünyesinde görev yapmaya başladığını tespit etmiş ve ilgili kişiye karşı Avrupa Genel Veri Koruma Tüzüğü (GDPR) yükümlülükleri kapsamında yapılan bilgilendirmenin ilgili kişi hakkında veri sorumlusunca yürütülen kişisel veri işleme faaliyetleri açısından yeterli görse dahi Türkiye’de işlenen kişisel veriler bakımından Kanun’un 10’uncu maddesine uygun olarak aydınlatma yükümlülüğünün yerine getirilmesi konusunda özen gösterilmesinin gerekli olduğunu ifade etmiştir. Bu konu bakımından veri sorumlusuna hatırlatmada bulunulmasına karar vermiştir.
· “İlgili kişiye ait fotoğraf ve sair kişisel verinin iş sözleşmesinin eylemli fesih yoluyla sona erdirilmesinden sonra ve ilgili kişinin açık rızası olmadan işlenmesinin hukuka aykırılığı” yönündeki iddia bakımından:
İşçi olan ilgili kişinin kişisel verilerinin işlenmesi hukuki sebebinin açık rıza olarak kabul edilmesi halinde, ilgili kişinin veri sorumlusuna ilettiği İhtarname ile verilen açık rızanın geri alındığı kabul edilmeli ve bu şekilde değerlendirme yapılmalıdır. Bunun yanı sıra, ilgili kişinin kişisel verilerinin işlenmesinin hukuki sebebinin “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” halinde ise, veri sorumlusunun meşru menfaatleri ile ilgili kişinin temel hak ve özgürlükleri esas alınarak yapılacak bir “denge testi” sonucunda veri sorumlusunun meşru menfaatlerinin ağır basıyor olması gerekmektedir.
Kurul, somut olayı değerlendirmiş ve ticari hayatta meşru bir şirket olarak faaliyet gösteren veri sorumlusunun Türkiye’de bir irtibat ofisinin bulunduğunu bu ofiste kimlerin çalıştığını kamuoyuna açıklamakta meşru menfaatinin bulunduğunun söylenebileceğini ve böyle bir açıklamanın ilgili kişinin temel hak ve özgürlüklerine açıkça zarar verdiğinden de bahsedilemeyeceğini dile getirmiştir. Bunlara ek olarak, ilgili kişinin iddialarında olduğu gibi taraflar arasındaki iş ilişkisinin sona ermesinden sonra da ilgili kişinin kişisel verilerinin halen veri sorumlusunun internet sitesinde tutulmasının, yeni iş araması durumunda ilgili kişinin Anayasal bir hakkı olan çalışma ve sözleşme hakkının zarar görebileceğini ve ilgili kişi hakkında yürütülen kişisel veri işleme faaliyetlerinin “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki sebebine dayanamayacağının savunulabileceğini dile getirmiştir .
Nihayetinde, Kurul tarafından ilgili kişinin iş sözleşmesinin Nisan 2021 itibarıyla sona ermediği anlaşılmış ve ilgili kişinin fotoğraf ve sair verilerinin Nisan 2021 sonrası dönemde veri sorumlusunun internet sitesinde yayınlanmasından ibaret olan kişisel veri işleme faaliyetinin “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki sebebine dayandığından veri sorumlusu hakkında Kanun kapsamında yapılacak herhangi bir işlemin bulunmadığına karar verilmiştir.
· “İlgili kişinin Kanun’un 13’üncü maddesi uyarınca yaptığı başvuruya veri sorumlusu tarafından yeterli bir şekilde cevap verilmediği” yönündeki iddia bakımından:
Kurul, Kanun’un 13’üncü maddesinde ilgili kişilerin Kanun’un uygulanmasıyla bağlantılı olarak veri sorumlularına yapacakları başvuruların usul ve esaslarının ana hatlarıyla düzenlendiğini ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 6’ncı maddesinde “Veri sorumlusu bu Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlüdür.” ifadesine yer verildiğini ifade etmiştir. İlgili kişinin veri sorumlusuna yaptığı başvurunun, veri sorumlusu etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırılmadığı, zira veri sorumlusu tarafından ilgili kişinin başvurusuna cevaben e-postada ilgili kişinin Kanun’un 11’inci maddesi kapsamında yönelttiği bilgi taleplerinin tamamının cevaplanmadığı tespit edilmiştir. Bu nedenle veri sorumlusunun ileride kendisine yapılabilecek ilgili kişi başvurularını mevzuata uygun şekilde cevaplandırması hususunda talimatlandırılmasının yerinde olacağına karar verilmiştir.
SONUÇ:
Kurul tarafından verilen kararda da görüleceği üzere her ne kadar veri sorumlusunun yabancı ülkede tabi olduğu yasal mevzuat uyarınca ilgili kişinin kişisel verilerinin hukuka uygun olarak işlendiği kabul edilse de Türkiye’de işlenen kişisel veriler bakımından Kanun’un 10’uncu maddesine uygun olarak aydınlatma yükümlülüğünün yerine getirilmesi gerekmektedir. Bununla birlikte, veri sorumlusunun meşru menfaatleri ile ilgili kişinin temel hak ve özgürlükleri arasında yapılacak bir “denge testi” sonucunda veri sorumlusunun meşru menfaatlerinin ağır basıyor olması halinde ilgili kişinin açık rızası aranmaksızın kişisel verileri işlenebilecektir. Son olarak Kurul, veri sorumlusuna Kanun’da yer alan prosedüre uygun olarak başvuran ilgili kişiye karşı etkin, hukuka ve dürüstlük kuralına uygun olarak cevaplandırması gerektiğine karar vermiştir.