24/02/2022
Kurul’a ilgili kişi tarafından iletilen şikayette ilgili kişinin Türkiye’deki irtibat bürosu için işe alım yapan yurt dışı merkezli şirketin işe alım belgelerinde talep ettiği özel nitelikli kişisel verilerin işlenmesi için açık rıza almadığı ve ilgili kişinin bu verilerin imhasına yönelik başvurusuna veri sorumlusu tarafından yasal sürede yanıt verilmediği belirtilmiştir. Kurul tarafından yapılan incelemede, irtibat bürosunun yaptığı iş sözleşmesinin veri sorumlusunun kendisine akdedilmesi ile ilgili veri işleme faaliyetinin halihazırda taabi olduğu yabancı mevzuat sebebiyle ile yurt dışında işlemesinin zorunlu olması nedeniyle veri işleme faaliyetinin bir hukuka aykırılık taşımadığını ama açık rızanın alınmasının gerekliliğini belirtmiştir. Veri sorumlusuna ilgili kişi tarafından yapılan başvurunun geçerli olduğu ve bahse konu olan veri işleme faaliyetinin gerektirdiği yegane yolun açık rıza alınması gerekmesi sebebiyle Kurum, veri sorumlusunun başvuruları konusunda azami dikkat ve özeni göstermesi, buna ek olarak ilgili kişinin kişisel verilerinin şirket merkezi ve irtibat bürosu nezdinde imha edildiğini gösteren bir belge ile Kurul’a bilgi verilmesi hususlarında talimatlandırılmasına karar vermiştir.
İlgili kişinin yurt dışında mukim veri sorumlusunun Türkiye’deki irtibat bürosu hakkındaki şikâyetinde özetle;
İlgili kişinin işe kabulü yapılırken veri sorumlusunun irtibat bürosunca kendisinden adli sicil kaydı, sağlık raporu, akciğer filmi raporu, kan grubu belgesi, ehliyet fotokopisi, evlilik cüzdanı fotokopisi ve aile bireylerinin nüfus cüzdanı fotokopilerinin istenildiği ve ilgili kişi tarafından bu belgelerin teslim edildiği,
İrtibat bürosunun bahse konu özel nitelikli kişisel verilerin işlenmesi için ilgili kişiden açık rıza almadığı,
Aile bireylerinin nüfus cüzdanı bilgilerinin talep edilmesinin Kanun’un 4’üncü maddesinde yer alan genel ilkeler ile çeliştiği,
Veri sorumlusunun özel nitelikli kişisel verilerin işlenmesinde Kişisel Verileri Koruma Kurulu’nun (Kurul) aldığı 31/01/2018 tarihli ve 2018/10 sayılı Kararda belirtilen hususları yerine getirmediği,
Veri sorumlusunun yurt dışında mukim olması sebebiyle, ilgili kişiye ait kişisel verilerin yurt dışına da aktarılmış olabileceği,
İlgili kişinin başvurusuna veri sorumlusu tarafından 30 günlük yasal süre içinde herhangi bir yanıt verilmediği
hususları belirtilmiş ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) hükümleri uyarınca gerekli işlemlerin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun Türkiye’deki irtibat bürosuna yazılan yazı ile savunması istenilmiş olup, alınan cevabi yazıda özetle;
Şikâyet edilenin, yurt dışı menşeli veri sorumlusunun Türkiye’deki irtibat bürosu olduğu, yasal kuruluş esasları gereği münferit bir tüzel kişiliği ve ticari faaliyeti haiz olmadığı,
İlgili kişinin veri sorumlusu bünyesinde çalışmasının doğrudan yurt dışı merkezli yasal mevzuat hükümlerine göre belirlendiği ve buna göre iş yeri sicil dosyasının yurt dışında cari olan mevzuat hükümlerine göre oluşturulduğu,
İlgili kişinin şikâyetine konu olan kişisel verilerin, ilgili kişinin yurt dışında mukim veri sorumlusunun çalışanı olması nedeniyle, iş yeri özlük dosyası kapsamında rızası ile ilgili kişiden temin edildiği, bu anlamda icazet olmaksızın söz konusu kişisel verilerin yurt dışına aktarılması gibi bir durumdan bahsedilemeyeceği,
Şikâyete konu kişisel verilerin, iş akdi gereği, çalışma süresi boyunca şikâyet edilen irtibat bürosu uhdesinde “özlük dosyası” mahiyetinde, ilgili yasal mevzuat ile kanunlarda belirlenen meşru amaca uygun olarak muhafaza edildiği, iş akdinin sonlandırılmasını müteakip ilgili kişi tarafından açılan İş Mahkemesi nezdindeki dava dosyasının bir örneğinin sunulduğu, sonrasında yasal bir zorunluluk bulunmamasına karşın söz konusu kişisel verilerin irtibat bürosu ve yurt dışı birimleri kayıtlarında imha edildiği
belirtilmiştir
Konuya ilişkin yürütülen inceleme neticesinde, Kurulun 24/02/2022 tarih ve 2022/172 sayılı Kararı ile;
Kanun’un amacının kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olduğu, Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi; “veri sorumlusu”nun ise kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlandığı,
Kanun’un, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin;
a) Hukuka ve dürüstlük kurallarına uygun olma,
b) Doğru ve gerektiğinde güncel olma,
c) Belirli, açık ve meşru amaçlar için işlenme,
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
şeklinde sayıldığı,
Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler”i düzenleyen 12’nci maddesinin (1) numaralı fıkrasında veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idarî tedbirleri almak zorunda olduğunun hükme bağlandığı,
Öte yandan, 4857 sayılı İş Kanunu’nun (“4857 sayılı Kanun”) “Tanımlar” başlıklı 2’nci maddesinin “Bir iş sözleşmesine dayanarak çalışan gerçek kişiye işçi, işçi çalıştıran gerçek veya tüzel kişiye yahut tüzel kişiliği olmayan kurum ve kuruluşlara işveren, işçi ile işveren arasında kurulan ilişkiye iş ilişkisi denir. İşveren tarafından mal veya hizmet üretmek amacıyla maddî olan ve olmayan unsurlar ile işçinin birlikte örgütlendiği birime işyeri denir… İşveren adına hareket eden ve işin, işyerinin ve işletmenin yönetiminde görev alan kimselere işveren vekili denir. İşveren vekilinin bu sıfatla işçilere karşı işlem ve yükümlülüklerinden doğrudan işveren sorumludur” hükümlerini ihtiva ettiği,
4875 sayılı Kanun‘un “Tanımlar” başlıklı 2’nci maddesinde ise “Yabancı yatırımcı: Türkiye’de doğrudan yabancı yatırım yapan, 1) Yabancı ülkelerin vatandaşlığına sahip olan gerçek kişiler ile yurt dışında ikamet eden Türk vatandaşlarını, 2) Yabancı ülkelerin kanunlarına göre kurulmuş tüzel kişileri ve uluslararası kuruluşları ifade eder” hükmünün bulunduğu,
Bununla birlikte, Doğrudan Yabancı Yatırımlar Kanunu Uygulama Yönetmeliği’nin “İrtibat bürosu kuruluşu” başlığını haiz 6’ncı maddesinin “Bakanlık, yabancı ülke kanunlarına göre kurulmuş şirketlere, Türkiye’de ticari faaliyette bulunmamak kaydıyla irtibat bürosu açma izni vermeye ve bu izinlerin süresini uzatmaya yetkilidir…” hükmünü amir olduğu,
Somut hadisede şikâyet olunan tarafın, yurt dışında yerleşik bir tüzel kişi olan veri sorumlusunun irtibat bürosu olduğunun görüldüğü, veri sorumlusunun internet sitesinden edinilen bilgilere göre veri sorumlusunun başka bir ülke merkezli bir yazılım şirketi tarafından satın alındığı, şu halde veri sorumlusunun Türkiye İrtibat Bürosu’nun; Türkiye’de ticarî faaliyet yürütmeyen, tüzel kişiliği bulunmayan, yalnızca “Haberleşme ve Bilgi Aktarımı” faaliyetinde bulunan bir irtibat bürosu olduğu ve yabancı sermaye mevzuatına tabi bulunduğu,
Öte yandan irtibat bürolarının, 4857 sayılı Kanun’a göre “iş yeri” statüsüne dâhil olduğu, 4875 sayılı Kanun’a göre ise “yabancı yatırımcı”nın yabancı ülkelerin vatandaşlığına sahip olan gerçek kişiler ile yurt dışında ikamet eden Türk vatandaşlarını, yabancı ülkelerin kanunlarına göre kurulmuş tüzel kişileri ve uluslararası kuruluşları ifade ettiği,
4875 sayılı Kanun’da gösterilen yatırımcıların iş hukuku anlamında işveren sıfatını kazanacağının anlaşıldığı, bu surette irtibat bürosu çalışanlarını ve dolayısıyla da ilgili kişiyi istihdam eden işverenin; veri sorumlusunun irtibat bürosu değil, veri sorumlusunun kendisi olacağı,
Bu sebeplerle, somut hadisede “veri sorumlusu” sıfatının yurt dışında yerleşik veri sorumlusunun Türkiye İrtibat Bürosu’na değil, yurt dışında mukim ve tüzel kişiliği haiz olan veri sorumlusunun kendisine atfedilebileceği kanaatine varıldığı,
İlgili kişinin gönderdiği tebligatta “yetkili” sıfatı ile veri sorumlusunun şirket müdürüne yer verildiği, şirket müdürünün ise yurt dışında mukim olunan yer yetkili noteri tarafından onaylanan ve düzenlenen vekâletname ile veri sorumlusu adına yetkilendirildiğinin görüldüğü, şu halde ilgili kişinin veri sorumlusuna İrtibat Bürosu yetkilisi ve işveren vekili vasıtasıyla yaptığı tebligatın hukuken muteber ve geçerli olduğu, veri sorumlusunun da buna yanıt vermesi gerektiği, ancak veri sorumlusunun, ilgili kişinin başvurusuna yasal süre içerisinde herhangi bir yanıt vermediği, bu suretle veri sorumlusunun Kanun ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’de (“Tebliğ”) yer verilen ilgili kişilerin başvurularına yanıt verilmesine ilişkin hükümlere aykırı hareket ettiğinin tespit edildiği,
İşveren sıfatının yurt dışı merkezli veri sorumlusunun üzerinde olduğu dikkate alındığında, çalışanlar ile akdedilen iş ilişkisi sözleşmelerinin irtibat bürosuyla değil, veri sorumlusunun kendisiyle akdedilmesinin icap edeceği, hâl böyle olunca bu iş ilişkisi kapsamında akdedilen sözleşme gereği, ilgili kişiye ait kişisel verilerin irtibat bürosu tarafından yurt dışında mukim veri sorumlusuna aktarılmasında herhangi bir hukuka aykırılığın bulunmayacağı, zira sözleşmenin tarafının doğrudan yurt dışı merkezli veri sorumlusu olmasından dolayı “veri sorumlusu” sıfatının zaten yurt dışı merkezli şirkete ait olduğu,
İlgili kişinin yurt dışı menşeli veri sorumlusu bünyesinde çalışmak üzere iş akdi yaparken, veri sorumlusunun tabi olduğu yabancı mevzuat gereği kendisinden temin edilen bilgi ve belge mahiyetindeki kişisel verilerinin yurt dışında işleneceğini düşünmemesinin mümkün olmadığı, bir akdin gereğinin yerine getirilmesi için ilgili kişiden açık rıza temin etmekten başka hiçbir yasal yol olmaması durumunda bu akit kurulurken taraflardan açık rıza istenmesinin açık rızanın yasal unsurlarını sakatlamayacağı, zira ilgili kişinin bu akit kurulurken kişisel verilerinin akıbetine dair farkındalık sahibi olduğu,
Veri sorumlusu tarafından ilgili kişinin kişisel verilerinin tabi olunan yabancı ülke hukuku gereği, özlük dosyası oluşturmak amacıyla işlendiği iddia edilse de bu konudaki açıklamaları destekleyici bir bilgi ya da belgenin sunulmadığı, ayrıca veri sorumlusunun bu belgeleri hangi yasanın hangi hükmü uyarınca temin ettiğini Kurula açıklamadığı,
Öte yandan, veri sorumlusu tarafından şirket merkezi ve irtibat bürosu nezdinde ilgili kişiye ait tüm kişisel verilerin imha edildiği iddia edilmekle birlikte bunu destekleyen bir belgenin de Kuruma sunulmadığı, hâlbuki Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in “İlkeler”i düzenleyen 7’nci maddesinin (3) numaralı fıkrasındaki “Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.” hükmü uyarınca veri sorumlularının, yaptıkları silme işlemlerini evraka bağlamak ve söz konusu vesaiki talep edildiği takdirde resmî makamlara sunmak zorunda oldukları,
Veri sorumlusuna gönderilen bilgi ve belge talebi konulu yazıda, ilgili kişinin şikâyet dilekçesinde yer alan bütün iddialara yönelik yanıtlar ile bu yanıtları destekleyen kayıt ve belgelerin istendiği fakat veri sorumlusunun bu belgeleri Kurula sunamadığı
değerlendirmelerinden hareketle;
Somut olayda “veri sorumlusu” sıfatının irtibat bürosuna değil, bizzat yurt dışı merkezli şirkete ait olduğu,
İrtibat bürosu müdürünün aynı zamanda veri sorumlusunun işveren vekili olması sebebiyle, ilgili kişi tarafından irtibat bürosuna yapılan tebligatın hukuken muteber ve geçerli olduğu,
İlgili kişinin veri sorumlusuna yaptığı başvuruya Kanun ve Tebliğ hükümleri ihlal olunarak yasal süre dâhilinde herhangi bir yanıt verilmediği,
Şikâyet konusunu teşkil eden somut olayda yurt dışına veri aktarılmasının hukuka aykırı olmadığı, ilgili kişiye ait kişisel verilerin yurt dışında mukim veri sorumlusu tarafından iş ilişkisi kapsamında akdedilen sözleşme vasıtasıyla, yerleşik ülke hukuku doğrultusunda elde edildiği fakat bu mevzuat hükümlerine ilişkin olarak ilgili kişiye ve Kurula yeterli açıklamalarda bulunulmadığı,
Bahse konu iş akdinin ifası için ilgili kişiye ait kişisel verilerin yurt dışında işlenmesinin gerektiği ve bunun yegâne yolunun da ilgili kişinin açık rızasının alınması olduğu anlaşıldığından, ilgili kişiden alınan açık rızanın hukuka uygun olduğu,
İlgili kişinin kişisel verilerinin gerek şirket merkezi gerekse de irtibat bürosu nezdinde imha edildiğine dair destekleyici bir belgenin Kuruma intikal ettirilmediği
anlaşıldığından, veri sorumlusunun;
İlgili kişilerin başvuruları konusunda azamî dikkat ve özeni göstermesi,
İlgili kişinin kişisel verilerinin şirket merkezi ve irtibat bürosu nezdinde imha edildiğini gösterir belgenin ilgili kişiye iletilerek bu hususu tevsik edici belge ile birlikte işlemin sonucundan Kurula bilgi vermesi
hususlarında talimatlandırılmasına karar verilmiştir.
Kaynak:
Kararı Paylaşın
İlgili GPDR Karar Özetlerine Erişmek için Abone Ol!
YORUMLAR
KVKK Arar, bir OD Privacy projesidir.
©2021 kvkkarar.com. Tüm hakları saklıdır.