Kişisel Verilerin Korunması Hukuku – 2022 Mayıs Ayı Bülteni

  Sirküler No: 2022 / 111

Tarih: 21.06.2022

AYLIK BÜLTEN - MAYIS 2022

Bu bültenimizde, kişisel verilerin korunması hukuku alanında MAYIS 2022 tarihinde gerçekleşen güncel gelişmeler, özellikle Kişisel Verileri Koruma Kurulu ("Kurul") kararları ve 6698 sayılı Kişisel Verilerin Korunması Kanunu ("Kanun") hükümleri kapsamında ele alınmaktadır.

1. Kurul Tarafından 23.05.2022 Tarihinde Yayımlanan Karar Özetleri

Mayıs ayı, kişisel verilerin korunması hukuku alanında yaşanan gelişmeler bakımından sessiz bir ay iken; Kurul tarafından 23.05.2022 tarihinde yayımlanan karar özetleri oldukça ses getirmiştir. Zira yayımlanan kararlar arasında avukatın veri sorumlusu olma durumu, e-ticaret sektörü, bankalar tarafından ilgili kişilerin yakın akrabalarına yapılan aramalar gibi uygulamada oldukça önemli ve tartışmalı olan konular yer almaktadır. Bu ayki bültenimizde de bu önemli kararlara yer verilmiştir.

Kurul tarafından 23.05.2022 tarihinde yayımlanan tüm karar özetlerine ulaşmak için tıklayınız.

a.     Avukatın Sabıka Kaydı Bilgisini Dosyaya Sunmasına İlişkin Olarak Verilen Karar (02.11.2021 tarih ve 2021/1111 sayılı)

Kurulun bu kararına konu olan olayda, veri sorumlusu olan avukat bir işçilik alacak davasında vekillik görevi üstlenmekte olup; dosya kapsamında dinlenen tanık hakkında sunduğu beyan dilekçesinde tanığın daha önce resmi belgede sahtecilik suçu işlediğini ifade ederk sabıka kaydı bilgisini de dosyaya sunmuştur.

Özel nitelikli kişisel verisi dosyaya sunulmak suretiyle işlenen ilgili kişi, sabıka kaydının dosyanın esasıyla hiçbir ilgisi olmadığı ve yıllar önce yaşamış olduğu bu olayın bu şekilde gün yüzüne çıkartılmasıyla iş arkadaşlarına karşı kendisinin küçük düşürüldüğü gerekçeleriyle Kurula başvuruda bulunmuştur.

Veri sorumlusu olan avukat ise bu iddialara karşı, ilgili kişinin dosya kapsamında T.C. numarası bilgisinin yer aldığı ve T.C. numarası bilgisiyle adli sicil verilerinin avukat ve hakimlerce sorgulanabildiği ve gerçekleştirilen işleme faaliyetiyle ilgili kişinin beyanlarına itibar edilmemesinin amaçlandığı ifade edilmiştir.

Kurul tarafından yapılan incele neticesinde Adli Sicil Kanunu'nun 7. ve 15. maddelerine atıf yapılarak, söz konusu hükümlerin avukatlara ilgili kişilere ait adli sicil bilgilerine resen erişim yetkisi vermediği, dolayısıyla veri sorumlusu olan avukatın bu belgeyi hukuka aykırı olarak elde ettiği ve en başta hukuka aykırı olarak elde edilmiş olan bir kişisel verinin söz konusu olması halinde veri işleme faaliyetinin başlangıçtan itibaren hukuka aykırı olması gerektiği gerekçelerinden bahisle veri sorumlusu avukat hakkında idari para cezasına hükmedilmiş ve ayrıca konunun Cumhuriyet Başsavcılığı'na bildirilmesine karar vermiştir.

Öncelikle bu Karar ile birlikte üzerinde durulması gereken temel noktalar şu şekildedir:

• Avukat, veri sorumlusu kimliğini haizdir: Kurul, avukatın veri sorumlusu olduğuna ilişkin görüşününü istikrarlı bir biçimde devam ettirmektedir. Bilindiği üzere avukatın veri sorumlusu mu yoksa veri işleyen mi olduğuna ilişkin tartışmalar söz konusudur. Bir görüşe göre avukatın vekaletname kapsamında işlem yapması sebebiyle veri işleyen olması gerekir. Diğer bir görüşe göre ise avukat, her ne kadar vekaletname kapsamında görevini yerine getirse de vekaletname ile gerçekleştirdiği iş ve eylemlerin içeriğine ilişkin bir talimat almamaktadır ve veri sorumlusu olarak değerlendirilmelidir. Kurul, avukatlarla ilgili verdiği kararlarda başlangıçtan bu yana açıkça avukatları veri sorumlusu olarak ele almaktadır.
  

• Kurul, başlangıçta hukuka aykırı olarak elde edilmiş olduğundan bahisle ihlal kararı vermiştir: Kurulun somut olayda avukat tarafından dosyaya sunulan kişisel verinin dosyanın esasına etki edip edemeyeceğine ilişkin bir değerlendirme yapmadığı görülmektedir. Doğrudan avukatın adli sicil kaydını almasını hukuka aykırı olarak değerlendirmiştir. Gerçekten, avukatın her ne kadar T.C. kimlik numarasıyla sorgulama yetkisi olsa da adli sicil kaydını vekaletname olmaksızın alması hukuka aykırıdır. Esasında burada adli sicil kaydını veren memurun da sorumluluğu söz konusudur.
  
• Kurulun hem idari para cezasına hükmetmesi hem de konuyu Cumhuriyet Başsavcılığına bildirmesi dikkat çekicidir: Bilindiği üzere aynı eylem nedeniyle hem Türk Ceza Kanunu kapsamında cezaya hükmedilmesi hem de kabahatler hukuku bağlamında idari yaptırıma karar verilmesi mümkün değildir. Dolayısıyla Kurul tarafından herhangi bir idari para cezası verilmeksizin konunun savcılığa bildirilmesi, savcılık kararının beklenmesi ve ancak ondan sonra KVKK açısından bir inceleme yapılması daha makul olabilirdi.
   

b.     İşveren Tarafından Eski Çalışanın Kurumsal E-Posta Hesabına Erişim Sağlanması

İşverenin çalışanın kurumsal e-posta hesabı üzerinde bir inceleme ve denetim hakkının olup olmadığı kişisel verilerin korunması hukuku alanında sıklıkla tartışılan ve gündeme gelen bir konudur.

Kurulun söz konusu kararına konu olan olayda veri sorumlusu ile eski çalışanı olan ilgili kişi arasında bir dava söz konusu olup; işveren bu dava dosyasına sunduğu deliller kapsamında ilgili kişinin nişanlısı ile olan konuşma içeriklerine, şahsi banka hesap dökümlerine ve yaptığı harcama kayıtlarına erişim sağladığı anlaşılmış olup; Kurula şikayet başvurusunda bulunulmuştur. Kurul yaptığı inceleme neticesinde şu temel hususlar üzerinde durmuştur:

• Veri sorumlusu işverenin çalışanları üzerinde denetim hakkı olmakla birlikte özellikle çalışanların gözetlenmesi ve iletişimlerinin denetlenmesi faaliyetlerinde azami dikkati göstermesi gerekir.
• İlgili kişiye söz konusu hesabın sadece işin ifası amacı ile kullanılacağına veya işveren arafından çalışanların e-postalarının incelenebileceğine/denetlenebileceğine ilişkin aydınlatma yapılıp yapılmadığı oldukça önemli bir ölçüttür.
• İlgili kişinin, yazışmalarını kurumsal e-posta adresi üzerinden yapmış olması, kişisel verilerini alenileştirdiği anlamına gelmemektedir.
• Söz konusu olayda hukuka uygun bir veri işleme faaliyeti bulunmamaktadır.

Söz konusu hususlardan hareketle veri sorumlusu işveren hakkında idari para cezasına hükmedilmiş olup ayrıca kişisel verilerin yurt dışına aktarılması faaliyetinin hukuka uygun olarak gerçekleştirilip gerçekleştirilmediğine dair resen inceleme başlatılmasına karar verilmiştir.

Bu noktada Kurulun, Kanun'un yurt dışına aktarıma ilişkin hususların düzenlendiği 9. maddesi kapsamında resen inceleme başlatması dikkat çekicidir. Zira bilindiği üzere kişisel verilerin yurt dışına aktarılmasında uygulama açısından büyük bir sorun söz konusudur. Kurul tarafından bu sorunun giderilmesi adına henüz bir adım atılmamıştır. Ancak 9. madde kapsamında resen inceleme başlatılması Kurulun söz konusu maddenin aynen uygulanmasını beklediğini göstermesi bakımından önemlidir.

c.      Yurt Dışında Mukim Olan Veri Sorumlusu İşveren Tarafından İlgili Kişi İşçinin Aydınlatılmaması (02.12.2021 tarih ve 2021/1218)

Kurul tarafından verilen bu karar yurt dışında yerleşik olup Türkiye Cumhuriyeti sınırları içerisinde faaliyet gösteren ve bu kapsamda kişisel veri işleme faaliyeti gerçekleştiren veri sorumluları bakımından son derece önemlidir. Zira Avrupa Birliği üyesi ülkelerinde yerleşik olan veri sorumlularında Avrupa Genel Veri Koruma Tüzüğü hükümlerine bağlı olduklarından, Türkiye sınırları içerisinde faaliyet gösterseler dahi söz konusu Tüzük hükümlerine uygun hareket etmelerinin yeterli olduğu düşüncesinin hakim olduğu görülmektedir. Oysaki Türkiye'de Türk mevzuatının uygulama alanı bulduğu ve bu nedenle Tüzük ile birlikte Türkiye'de gereçli olan 6698 sayılı Kanun'a da uygun hareket edilmesi gerektiği inkar edilemez bir gerçektir. Nitekim tarafımızca uzun bir süredir bu husus dile getirilmekteydi.

Kurul, söz konusu kararında bu hususu açıklığa kavuşturmuş ve yurt dışında yerleşik olan veri sorumlularının da 6698 sayılı Kanun hükümlerine uygun hareket etmeleri gerektiğini açık bir biçimde dile getirmiştir.

Somut olayda veri sorumlusunun aydınlatma yükümlülüğü, veri işlemenin hukuki sebebi ve veri sorumlusuna başvuru hususları incelenmiştir. Kurul bütün bu hususlar bakımından 6698 sayılı Kanun kapsamında incele yapmış ve veri sorumlusu tarafından veri işleme faaliyetlerinin Tüzük'e uygun olarak gerçekleştirilmesini yeterli bulmamıştır. Veri sorumlusunun 6698 sayılı Kanun'a uygun bir biçimde aydınlatma yükümlülüğünü yerine getirmesi, veri işleme faaliyetini 6698 sayılı Kanun kapsamında hukuki sebeplerden herhangi birine dayandırması ve ilgili kişinin kendisine yaptığı başvuruları yine 6698 sayılı Kanun hükümlerine uygun olarak cevaplandırması gerektiğine karar verilmiştir.

Bu noktada Kurulun idari para cezası uygulanmasına karar vermediği ve veri sorumlusunun "bilgilendirilmesi ve talimatlandırılması" şeklinde kanaat getirdiği de dikkat çekmektedir. Konuyla ilgili bu şkeilde açık ve net verilen ilk karar olması sebebiyle doğrudan bir idari para cezasının uygulanmaması yerinde olmuştur. Bu karardan sonra konuyla ilgili yapılacak değerlendirmelerde idari para cezasının söz konusu olması muhtemeldir.

d.     Veri Sorumlusu Banka Tarafından İlgili Kişinin Ailesinin Aranması

Bankalar tarafından ilgili kişilerin herhangi bir yakının aranması, Kurul kararlarında sıklıkla karşılaştığımız bir olaydır. Kurul, konuyla ilgili olarak ilk verdiği kararlardan bu yana veri sorumlusu banka tarafından ilgili kişi dışındaki kişilerin aranmasını ve ilgili kişilere ait borç/alacak bilginin paylaşılmasını 6698 sayılı Kanun'a aykırı olarak değerlendirmektedir.

Söz konusu kararda da benzer bir olayın gerçekleştiği söylenebilir. Karara konu olayda ilgili kişi ile banka arasında kredi sözleşmesi olduğu ve sözleşmeye konu borca ilişkin olarak ilgili kişinin herhangi bir onayı olmamasına rağmen anne ve babasının ısrarla arandığı iddiası söz konusudur. Ancak banka tarafından hukuka aykırı bir veri işleme faaliyeti söz konusu olmadığı için Kurul tarafından herhangi bir idari yaptırım kararı verilmemiş olup; yalnızca personelin telefon aramalarında daha dikkatli olunması ve bilgilendirilmesi hususunda veri sorumlusuna hatırlatma yapılmasına karar verilmiştir.

Dolayısıyla banka tarafından gerçekleştirilen işlem ile yapılan savunmanın önemli olduğuna işaret etmek gerekir. Şöyle ki, banka risk merkezi tarafından arama yapıldığını ve burada ilgili kişiler tarafından verilmiş olan alternatif numaralara yönelik de arama gerçekleştirildiğini belirtmiştir.

Önemli olan husus ise alternatif numaralara ilişkin yapılan aramada ilgili şahıstan başka bir kişinin yanıtlaması halinde veri sorumlusu banka tarafından herhangi bir veri paylaşımı yapılmamaktadır. Kurul bu nedenle yapılacak bir işlem bulunmadığına kanaat getirmiştir. Gerçekten bankaların bu tür durumlarda alternatif numaranın ilgili kişiler tarafından verildiğini ve kendilerinin bir sorumluluğu olmadığını belirtmektedir.

Bununla birlikte her ne kadar alternatif numaranın aranması, ilgili kişinin bu numarayı vermesine dayanmaktaysa da söz konusu numaranın ilgili kişiye ait olmadığının anlaşılması üzerine hiçbir şekilde veri paylaşımı yapmamak son derece önemlidir. Bankaların bu süreçlerden personellerini bilgilendirmesi ve ilgili şahıstan başka herhangi bir üçüncü kişiyle hiçbir surette veri paylaşımı yapılmaması konusunda eğitim verilmesi önerilir. 

Bilgi edinmenizi rica ederiz.

"Yukarıda yer verilen açıklamalarımız, konuya ilişkin genel bilgiler içermektedir. Rödl & Partner'a işbu dokümanın içeriğinden kaynaklanan veya içeriğine ilişkin olarak ortaya çıkan sonuçlardan dolayı herhangi bir sorumluluk iddiasında bulunulamaz.