Turkey: Kişisel Verileri Koruma Bülteni

Mayıs 2022'de Kişisel Verileri Koruma Kurumu ("Kurum") birçok karar yayımladı. Bu kararları ve dünyada yaşanan gelişmeleri aşağıda sizler için özetliyoruz:

Karar: Bir üniversite tarafından tutulan yoklama listesine ilişkin karar

Kurum'a intikal eden şikayette, bir üniversite tarafından verilen eğitimde eğitim alan kişilerin kişisel verilerini içeren yoklama listesinin katılımcılar arasında elden ele dolaştırılarak imzalandığı iddia edilmiştir.

Kişisel verileri Koruma Kurulu ("Kurul"), 2 Aralık 2021 tarihli ve 2021/1214 sayılı kararı ile: (i) bakanlık ve üniversitenin ayrı ayrı veri sorumlusu olduğunu, (ii) bakanlık tarafından ilgili kişinin başvurusunun 30 günlük yasal süre aşıldıktan sonra cevaplandığını ve (iii) ilgili kişilerin ad-soyad ve T.C. kimlik numarasının bulunduğu yoklama listesinin sınıf ortamında elden ele dolaştırılması suretiyle imzalanması nedeniyle hukuka aykırı olarak üçüncü kişilerle paylaşıldığını ve (iv) üniversitenin aydınlatma yükümlülüğünü yerine getirmediğini tespit etti. Kurul, aynı adı kullanan birden fazla katılımcı olması ihtimaline karşılık T.C. kimlik numarası verisinin toplanması gerekebilecekse de, bunun maskelenerek yapılması gerektiğini vurguladı.

Bu doğrultuda Kurul, bakanlığa ilgili kişi başvurularının 30 gün içinde cevaplandırılması hususunun hatırlatılmasına ve üniversitenin kişilerin ad-soyadı dışındaki kişisel verilerini maskelemek suretiyle toplaması ve aydınlatma yükümlülüğünü yerine getirmesi hususunda talimatlandırılmasına karar verdi.

Karara buradan ulaşabilirsiniz.

Karar: İşverenin eski çalışanın kurumsal e-posta hesabına erişim sağlaması hakkında karar

Kurum'a iletilen şikayette, ilgili kişi, eski işvereninin aydınlatma yapmaksızın kendisine ait kurumsal e-posta hesabı üzerinden konuşma ve banka bilgilerine erişim sağladığını iddia etmiştir.

Kurul, 25 Kasım 2021 tarihli ve 2021/1187 sayılı kararında;

• Kurumsal e-posta hesaplarında yer alan ad-soyad, e-posta adresi, özel yazışmalar ve banka hesap dökümleri gibi bilgilerin kişisel veri olduğunu,
• 7 Eylül 2020 tarihli 2016/13010 başvuru numaralı ve 12 Ocak 2021 tarihli 2018/31036 başvuru numaralı Anayasa Mahkemesi kararı uyarınca, iletişim araçlarının işveren tarafından denetlenmesinde; (i) çalışanların önceden bilgilendirilmesi, (ii) meşru amacın müdahale ile ölçülü olması, (iii) işverenin menfaatleri ile işçinin temel hak ve özgürlükleri arasında bir dengenin sağlanması ve (iv) iletişim akışı ile iletişim içeriklerinin incelenmesi arasında ayrım yapılarak içeriklerin incelenmesi yönünden daha ciddi gerekçeler aranması gerektiğini,
• Avrupa İnsan Hakları Mahkemesinin (AİHM), Bărbulescu/Romanya Kararı uyarınca işverenin gerekli önlemleri alma hakkı ile özel hayata saygı hakkı arasındaki dengenin gözetilmesi ve müdahalenin net gerekçeli bilgilendirmeye dayalı ve ölçülü olması gerektiğini,
• Alenileştirmenin ön şartının alenileştirme iradesinin varlığı olduğunu ve bu kapsamda çalışanın iş saatlerinde yaptığı yazışmaların işverence denetlenebileceği göz önünde bulundurarak çalışanın söz konusu yazışmaları alenileştirdiğinin kabul edilemeyeceğini tespit etti.

Bu doğrultuda Kurul; verilerin yurtdışında bulunan bir bulut sisteminde saklanmasına ilişkin olarak re'sen inceleme başlatılmasına, veri sorumlusu hakkında aydınlatma yükümlülüğünü yerine getirmemesi sebebiyle 250.000 TL idari para cezası uygulanmasına, şikayete konu verilerin davada delil olarak mahkemeye sunulmuş olması sebebiyle silinme talebine ilişkin yapılacak işlem bulunmadığına karar verdi.

Karara buradan ulaşabilirsiniz.

Karar: Bir şirket tarafından ilgili kişiye reklam içerikli SMS gönderilmesi hakkında karar

Kurum'a intikal eden şikayette, ilgili kişi, telefonunun tıbbi ürünler satan veri sorumlusu şirketin sistemlerine hatayla kaydedilerek, onayı olmaksızın elektronik ticari ileti gönderildiğini iddia etmiştir.

Kurul, 11 Kasım 2021 tarihli ve 2021/1153 sayılı kararında, ilgili kişiye ait telefon numarasının elektronik ticari iletilere onay veren başka bir müşteri tarafından veri sorumlusuna verildiğini ancak veri sorumlusunun söz konusu telefon numarasının asıl sahibi olan ilgili kişinin talebi üzerine telefon numarasını kara listeye alarak veri işleme faaliyetine devam ettiğini tespit etti.

Bu doğrultuda Kurul, sehven kaydedilen numarayı ilgili kişiyle ilişkilendirerek işlemeyen veri sorumlusu hakkında bir müeyyide uygulanmamasına; veri sorumlusunun söz konusu kişisel veriyi imha ederek Kurul'a bilgi vermesi hususunda talimatlandırılmasına karar verdi.

Karara buradan ulaşabilirsiniz.

Karar: Bir iş arama platformunun veri işleme faaliyeti hakkında karar

Kurum'a intikal eden şikayette, veri sorumlusu iş arama platformunun iş başvuruları ve görüşmelerine ilişkin kişisel verileri hukuka aykırı olarak işlediği ve ilgili kişinin taleplerini yerine getirmediğini iddia edilmiştir.

Kurul, 14 Ekim 2021 tarihli ve 2021/1051 sayılı kararında, veri sorumlusunun (i) ilgili kişinin talebini 30 günlük yasal süre içinde karşıladığını, (ii) ilgili kişinin cevabına uygun olarak silme ve imhaya yönelik işlemleri derhal durdurduğunu ve (iii) ilgili kişinin bilgisi ve onayı olmaksızın iş başvurularına ilişkin kişisel verilerin diğer işverenlere aktarıldığı iddiasına yönelik herhangi bir bilgi veya belge sunulmadığını tespit etti.

Bu doğrultuda Kurul, veri sorumlusu iş arama platformu hakkında herhangi bir müeyyide uygulanmamasına karar verdi.

Karara buradan ulaşabilirsiniz.

Karar: Bir işverenin eski çalışanına ait kişisel verileri işlemesi hakkında karar

Kurum'a intikal eden şikayette, ilgili kişi, yurtdışında mukim eski işvereninin kendisine ait kişisel verileri aydınlatma yapmaksızın kullandığını ve iş ilişkisi sona erdikten sonra hukuka aykırı veri işlediğini iddia etmiştir.

Kurum, işverene ait şirketin irtibat bürosunun tüzel kişiliği haiz olmaması sebebiyle veri sorumlusu işveren hakkında inceleme başlatmıştır. Kurul, 2 Aralık 2021 tarihli ve 2021/1218 sayılı kararında; (i) işçinin adının ve soyadının, telefon numarasının, e-posta adresinin, adresinin, fotoğrafının ve özlük dosyasında bulunan bilgilerin veri sorumlusu tarafından işlendiğini, (ii) söz konusu veri işleme faaliyeti kapsamında Avrupa Genel Veri Koruma Tüzüğü (GDPR) uyarınca yapılan aydınlatmanın Türkiye'de işlenen kişisel veriler için yeterli olmadığını, (iii) iş ilişkisi süresince işçiye ait bilgilerin işverenin internet sitesinde yer almasının hukuka aykırı olmadığını tespit etti.

Bu doğrultuda Kurul, işverenin ilgili kişi başvurularını mevzuata uygun şekilde cevaplandırması hususunda talimatlandırılmasına karar verdi.

Karara buradan ulaşabilirsiniz.

Diğer kararlardan kısa kısa:

• Bir insan kaynakları firması tarafından gönderilen reklam ve pazarlama amaçlı e-postalara ilişkin kararda Kurul, ilgili kişinin e-posta adresinin bir anket kapsamında alenileştirildiğine ilişkin somut bilgi ve belge bulunmadığını ve veri sorumlusunun ilgili kişinin kişisel verisinin silinmesine yönelik talebini yerine getirmediğini tespit etti. Bu kapsamda Kurul, veri sorumlusu hakkında 50.000 TL idari para cezası uygulanmasına ve söz konusu kişisel verileri imha ederek log kayıtlarını Kurum'a sunması hususunda talimatlandırılmasına karar verdi. 2021/1243 sayılı 9 Aralık 2021 tarihli karara buradan ulaşabilirsiniz.
• Kurul, bir bankanın ilgili kişinin ailesini aramasına ilişkin kararında, ilgili kişinin risk grubunda olması sebebiyle veri sorumlusu banka tarafından hukuki yükümlülüklerin yerine getirilebilmesi amacıyla arandığını, söz konusu numaranın ilgili kişiye ait olmadığı bildirimi üzerine banka personeli tarafından gerekli aksiyonun alınmaması sebebiyle aramaların devam ettiğini tespit etti. Kurul, bankanın Risk Merkezi sisteminde kayıtlı telefon numarasını araması ve ilgili kişinin talebini kısa süre içinde yerine getirmesi sebebiyle veri sorumlusu hakkında herhangi bir müeyyide uygulanmamasına karar verdi. 2021/1239 sayılı 9 Aralık 2021 tarihli karara buradan ulaşabilirsiniz.

To read the full article click here

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.