Kuruma intikal eden şikâyette özetle; ilgili kişi ile veri sorumlusu arasındaki iş akdinin haklı nedenle feshedildiği tarihe kadar geçen sürede bir iş ilişkisinin mevcut olduğu, bu doğrultuda veri sorumlusu tarafından ilgili kişiye ait kimlik, iletişim, özlük, mesleki deneyim, sağlık verileri gibi birtakım kişisel verilerin işlendiği, ancak bu kişisel veri işleme faaliyetlerine ilişkin ilgili kişiye herhangi bir aydınlatma yapılmadığı, ayrıca birtakım kişisel veriler işlenirken ilgili kişinin açık rızasının alınmadığı, bunların yanı sıra veri sorumlusu işveren tarafından ilgili kişinin adının geçtiği ceza soruşturma dosyasında yer alan adli yazışma bilgilerinin dosya ile herhangi bir bağlantısı olmadığı halde ilgili kişinin kardeşinin e-posta adresine iletildiği, ilgili hususta veri sorumlusuna başvuru yapılmışsa da cevap alınamadığı belirtilerek veri sorumlusu hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabî yazıda özetle;
- Veri sorumlusunun işçi-işveren ilişkisi kapsamında tutmuş olduğu özlük dosyasında ilgili kişiye ait kimlik, iletişim, özlük, mesleki deneyim, sağlık verileri gibi kişisel verileri Kanun’un kişisel verilerin işlenme şartlarını düzenleyen 5’inci maddesinin (2) numaralı fıkrasının (a), (c), (ç), (e) ve (f) bentlerine ve İş Kanunu’na dayanarak işlediği,
- Yasal yükümlülükler gereği oluşturulan işçi özlük dosyası haricinde ilgili kişinin açık rızasına bağlı olarak herhangi bir verisinin işlenmediği, ilgili kişiye ait özel nitelikli hiçbir kişisel verinin işlenmediği, ilgili kişiye ait kişisel verilerin yurt dışına aktarılmadığı,
- İş Kanunu kapsamındaki yasal yükümlülük gereği kendilerinden hangi gerekçeyle evrak talep edildiğinin işçilere bildirilmesiyle sözlü olarak aydınlatma yükümlülüğünün yerine getirildiği, bununla birlikte yazılı bir aydınlatma metninin bulunmadığı,
- İlgili kişinin başvurusuna iş yoğunluğu sebebiyle yasal süresi içinde cevap verilemediği,
- İlgili kişinin diğer birkaç eski çalışan ile birlikte veri sorumlusunun markasına ait yazılım programlarını başka şirketlere sattığı, sahte imzalar atarak şirketin müşterileriyle akdettiği sözleşmeleri şirket yönetiminin bilgisi, onayı ve vekaleti olmaksızın başka bir paravan şirkete devrettiği, markanın çevrimiçi eğitim portallarını izinsiz olarak aktardığı ve bu yolla haksız kazanç elde ettiği, bu kapsamda ilgili kişinin iş sözleşmesindeki ticari sır saklama, şirket yazılımlarını üçüncü kişilerle paylaşmama, gizlilik anlaşmalarına aykırı davranmama vb. yükümlülüklere aykırı davrandığı,
- Veri sorumlusunun bu durumu öğrenir öğrenmez ilgili kişinin iş sözleşmesini haklı sebeple feshettiği, ilgili kişinin ofisten ayrılırken şirketin kendisine tahsis ettiği iş bilgisayarında hem şahsi hem de şirketin sağladığı e-posta hesabının oturumunu açık unuttuğu, bahse konu hesaplardaki yazışmalar incelendiğinde ilgili kişinin şirketin yazılım ve ticari sırlarını çalarken şirket uzantılı e-posta adresinden kendi şahsi e-posta hesaplarına yönlendirmeler yaptığının anlaşıldığı ve akabinde ilgili kişi hakkında Cumhuriyet Başsavcılığına suç duyurusunda bulunulduğu
ifade edilmiştir.
Veri sorumlusu tarafından, ilgili kişi hakkında Cumhuriyet Başsavcılığına suç duyurusunda bulunmasının nedenleri açıklanmış olmakla beraber bu suç duyurusuna ilişkin bilgilerin ilgili kişinin kardeşine iletilip iletilmediği, iletildiyse bunun hukuki gerekçesinin ne olduğu sorusuna herhangi bir yanıt verilmediğinden veri sorumlusunu muhatap ikinci bir yazı ile söz konusu hususlarda bilgi talep edilmiş ancak veri sorumlusu tarafından bu yazıya cevap niteliğinde herhangi bir bilgi ya da belge Kuruma iletilmemiştir.
Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 02/09/2022 tarih ve 2022/896 sayılı sayılı Kararı ile;
- 6698 sayılı Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi” olarak tanımlandığı,
- Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin “(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: a) Kanunlarda açıkça öngörülmesi. b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hükmünü haiz olduğu,
- Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12’nci maddesinin (1) numaralı fıkrasında “Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” düzenlemesinin, (5) numaralı fıkrasında ise “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” düzenlemesinin yer aldığı,
Bu çerçevede;
Veri sorumlusu firma tarafından ilgili kişiye ait kimlik, iletişim, özlük, mesleki deneyim, sağlık verileri gibi birtakım kişisel verilerin işlendiği ancak ilgili kişinin açık rızasının alınmadığı iddiasına ilişkin olarak;
- Veri sorumlusu ile ilgili kişi arasında iş sözleşmesinin kurulmuş olduğu, veri sorumlusunun ilgili kişiye ait kimlik bilgilerini 4857 sayılı İş Kanunu’nun “İşçi Özlük Dosyası” başlıklı 75’inci maddesinin 1’inci fıkrasında yer alan “İşveren çalıştırdığı her işçi için bir özlük dosyası düzenler. İşveren bu dosyada, işçinin kimlik bilgilerinin yanında, bu Kanun ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları istendiği zaman yetkili memur ve mercilere göstermek zorundadır. İşveren, işçi hakkında edindiği bilgileri dürüstlük kuralları ve hukuka uygun olarak kullanmak ve gizli kalmasında işçinin haklı çıkarı bulunan bilgileri açıklamamakla yükümlüdür” düzenlemesi uyarınca 6698 sayılı Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (a) bendinde düzenlenmiş bulunan “kanunlarda açıkça öngörülme” şartına dayalı olarak; özlük dosyasında bulundurulması gereken şikayete konu diğer kişisel verileri ise anılan maddenin (ç) bendinde yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartına dayalı olarak işlediği,
Kişisel veri işleme faaliyeti çerçevesinde veri sorumlusunun aydınlatma yükümlülüğünü yerine getirmediği iddiasına ilişkin olarak;
- Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in 5’inci maddesi uyarınca aydınlatma yükümlülüğünün, veri sorumlusu ya da yetkilendirdiği kişi tarafından ilgili kişinin açık rızasına veya Kanun’daki diğer işleme şartlarına bağlı olarak kişisel veri işlenen her durumda sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortam kullanılmak suretiyle yerine getirilmesi gerektiği ve ispatının veri sorumlusuna ait bir yükümlülük olduğu, veri sorumlusunun aydınlatma yükümlülüğünün yerine getirildiğine ilişkin Kuruma tevsik edici herhangi bir belge göndermediği, arama motorları üzerinden yapılan araştırmada veri sorumlusuna ait internet sitesi incelendiğinde aydınlatma metnine yer verildiğinin görüntülendiği,
Veri sorumlusunun, ilgili kişinin kardeşinin e-posta adresine, ilgili kişinin adının geçtiği Savcılık şikayet dilekçesini ilettiği iddiasına ilişkin olarak;
- İlgili kişinin adının geçtiği ceza soruşturma dosyasında yer alan adli yazışma bilgilerinin ilgili kişinin kardeşinin e-posta adresine hiçbir bağlantısı bulunmadığı halde iletildiği iddiası incelendiğinde; veri sorumlusundan ilgili kişinin kardeşine iletildiği belirtilen e-postaların içeriğinde “Bu doküman ekindeki yazışma ve kanıtlarla 500 sayfalık bir dosya ve kitapçık haline de getirildi, dava süreçleri yavaş işleyebilir, ama bu belgeler sizin eve, ana baba evlerinize, çalıştığın şirkete özel olarak teslim ediliyor, adresleri ancak bulabildik.” ifadesine yer verildiği, aynı e-postanın ekinde bir hukuk bürosu tarafından Cumhuriyet Başsavcılığına iletilen şikayet dilekçesine yer verildiği, bahse konu şikayet dilekçesinin şüpheliler kısmında sadece ilgili kişiye değil, diğer pek çok gerçek ve tüzel kişiye ilişkin bilgilere de yer verildiğinin anlaşıldığı,
- Bununla birlikte veri sorumlusunun ilgili kişiye ait Savcılık şikayet dilekçesini hangi hukuki gerekçe ile ilgili kişinin kardeşi ile paylaştığı iddiasına cevap vermediği,
- İlgili kişinin kardeşinin e-posta adresine veri sorumlusu tarafından iletilen dosyalar incelendiğinde iletilerde dört farklı gerçek kişinin kişisel verilerinin de hukuka aykırı şekilde paylaşıldığının görüldüğü, paylaşma işleminin Kanun’un 5’inci maddesinde yer alan kişisel verilerin işlenmesi şartlarından herhangi birine dayanmadığı, bu kapsamda, veri sorumlusunun Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı hareket ettiği,
İlgili kişi tarafından yapılan başvurunun, veri sorumlusu tarafından cevapsız bırakıldığı iddiasına ilişkin olarak;
- Kanun’un “Veri sorumlusuna başvuru” başlıklı 13’üncü maddesinin (1) numaralı fıkrasında “İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir.” düzenlemesi, (2) numaralı fıkrasında “Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır.” ve (3) numaralı fıkrasında “Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir.” düzenlemesi ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in (Tebliğ), “Başvuruya cevap” başlıklı 6’ncı maddesinin (1) numaralı fıkrasında “Veri sorumlusu bu Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlüdür.” düzenlemesi, 5’inci fıkrasında ise “Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır.” düzenlemesine karşılık veri sorumlusunun Kanun’a ve Tebliğ’e aykırı davranarak ilgili kişinin başvurusuna yasal süreler içerisinde cevap vermediği
değerlendirmelerinden hareketle;
- Veri sorumlusu ile ilgili kişi arasındaki iş sözleşmesi kapsamında ilgili kişiye ilişkin kimlik bilgilerinin 6698 sayılı Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (a) bendinde düzenlenmiş bulunan “kanunlarda açıkça öngörülme” şartına dayalı olarak; özlük dosyasında bulundurulması gereken şikayete konu diğer kişisel veri içeren belgelerin ise anılan maddenin (ç) bendinde yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartına dayalı olarak işlendiği değerlendirildiğinden kişisel veri işleme faaliyeti açısından veri sorumlusu hakkında Kanun kapsamında herhangi bir işlem tesis edilmesine yer olmadığına,
- Veri sorumlusu tarafından ilgili kişiye ve başka gerçek kişilere ait kişisel verileri barındıran Savcılık şikayet dilekçesinin olayla herhangi bir ilgisi olmadığı anlaşılan ve ilgili kişinin kardeşi olduğu belirtilen üçüncü bir kişiye e-posta yoluyla iletilmesi işleminin, Kanun’un 5’inci maddesinde yer alan kişisel verilerin işlenmesi şartlarından herhangi birine dayanmadığı ve bu kapsamda veri sorumlusunun Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı hareket ettiği değerlendirildiğinden veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 150.000 TL idari para cezası uygulanmasına,
- İlgili kişinin kişisel verilerinin işlenmesine ilişkin aydınlatılmadığını iddia ettiği, veri sorumlusunun kişisel veri işlenmesine ilişkin sözlü olarak aydınlatma yapıldığını beyan ettiği ancak bu konuda tevsik edici bir belgenin Kuruma iletilmemiş olduğu, bununla birlikte Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin 5’inci maddesinin (1) numaralı fıkrasının (e) bendi uyarınca aydınlatma yükümlülüğünün yerine getirilip getirilmediğinin ispatının veri sorumlusuna ait bulunduğu hususları dikkate alındığında, veri sorumlusunun çalışanlara ilişkin kişisel veri içeren bilgi ve belgeleri özlük dosyasında muhafaza etmek suretiyle işlemesi hakkında ilgili kişileri aydınlatması gerektiği ve bu doğrultuda aydınlatma yükümlülüğünün Tebliğ’in ilgili hükümleri uyarınca yerine getirilmesinde gerekli dikkat ve özeni göstermesi hususunun veri sorumlusuna hatırlatılmasına,
- Veri sorumlusunun Kanun ve Tebliğ’den doğan “ilgili kişinin başvurusunun cevaplandırılması” yükümlülüğünü yerine getirmediği anlaşıldığından, veri sorumlusunun ilgili kişilerin yaptığı başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak ve Kanun ile Tebliğ’de öngörülen süreler içerisinde cevaplandırması gerektiği konusunda uyarılmasına; ayrıca ilgili kişinin taleplerinin yanıtsız bırakıldığı dikkate alındığında veri sorumlusunun, ilgili kişiye başvurusunda talep ettiği hususlara ilişkin açıklayıcı ve detaylı bir şekilde cevap vermesi ve ilgili kişiye verilen cevaba ve cevabın ilgili kişi tarafından tebellüğ edilip edilmediğine ilişkin tevsik edici belgeyle birlikte Kurula bilgi vermesi gerektiği yönünde talimatlandırılmasına,
- Öte yandan veri sorumlusunun Kurumun ikinci yazısına da cevap vermediği dikkate alındığında bundan sonraki süreçte Kurumca istenilen bilgi ve belge taleplerine zamanında cevap verilmesi hususunda uyarılmasına,
- Şikâyet konusunun veri ihlali niteliği arz ettiği, bu çerçevede bundan sonraki süreçlerde meydana gelebilecek veri ihlallerinde Kanun’un 12’nci maddesinin (5) numaralı fıkrası kapsamında ilgili kişilere ve Kurula bilgi verilmesi gerektiği hususunun veri sorumlusuna hatırlatılmasına
karar verilmiştir.