Kurul’un kişisel verilerin iş akdinin sona erdiği veri sorumlusu şirket tarafından hukuka aykırı olarak işlenmesi hakkındaki 16.12.2021 tarihli ve 2021/1258 sayılı kararı
Karara konu olan şikayet dilekçesinde özetle;
- İlgili kişi kişisel verilerine yönelik olarak veri sorumlusu şirkete başvuru yapmak istediğinde şirketin bir başvuru formunun bulunmadığı gibi başvuru yollarının da tarafına bildirilmediği;
- Aydınlatma yükümlülüğünün hukuka uygun olarak yerine getirilmediği;
- İlgili kişinin özel nitelikli kişisel verilerinin açık rızası olmaksızın işlendiği;
- Veri sorumlusu şirkete parmak izi ve yüz tarama sistemi ile giriş yapıldığı;
- Veri sorumlusu grup şirketin farklı firmalarının yurtdışında şubesinin olduğu ve ilgili kişi yurtdışı şubesine ziyarete gittiğinde kişisel verilerinin açık rızası olmaksızın yurtdışına aktarılmış olduğu;
- İlgili kişinin kişisel verilerine yönelik yeterli teknik ve idari güvenlik tedbirlerinin alınmadığı;
- Veri sorumlusu şirketin internet sitesinde gizlilik politikasının bulunmadığı;
hususlarından bahsedilmiştir. Bu sebepler doğrultusunda Kurul tarafından gereğinin yapılması talep edilmiştir.
İlgili kişinin şikayeti üzerine veri sorumlusunun Kurul’a ilettiği cevap yazısında ise;
- Şirket tarafından tüm çalışanlara ilişkin kişisel bilgilerin Kanun’daki önlemlere göre muhafaza edildiği;
- Şikayet dilekçesinde ileri sürülen “kişisel verilere yönelik başvuru yapılmak istendiğinde bir başvuru formunun olmadığı, başvuru yollarının bildirilmediği, aydınlatma yükümlülüğünün yerine getirilmediği” iddialarının tümünün gerçek dışı olduğu,
- İlgili kişinin imzaladığı iş sözleşmesinin “Kişisel Verilerin İşlenmesi ve Korunması” başlıklı maddesindeki ifadelerden şirketin aydınlatma yükümlülüğünü yerine getirdiğinin görüleceği;
- Şirketin yalnızca kendi çalışanları için kurmuş olduğu sosyal bir ağ olan “….” adresinden de aydınlatma metninin yayınlamış olduğu ve bu aydınlatma metninde kişisel verilere yönelik başvurunun nasıl yapılacağı ve başvuru yolları konusunda ayrıntılı bilginin yer aldığı;
- Parmak izi ve yüz tarama sisteminin şirketin ve çalışanların güvenliğini sağlamak amacıyla kullanıldığı, ilgili kişiden de parmak izinin bu kapsamda alındığı, tanımlama sonrası bu verilerin üçüncü kişiler ile paylaşılmadığı ve Kanun doğrultusunda amaçla uygun ve sınırlı ölçüde kullanılmakta olduğu, bunlar haricinde ilgili kişiye ait şirket tarafından işlenmiş olan bir özel nitelikli kişisel veri bulunmadığı;
İlgili kişinin yurtdışına aktarılan bir kişisel verisinin bulunmadığı;
- Şikayet dilekçesinde ileri sürülen kişisel verilere yönelik yeterli teknik ve idari güvenlik tedbirlerinin alınmadığı ve veri sorumlusunun internet sitesinde gizlilik politikasının bulunmadığı iddialarının kabulünün mümkün olmadığı, veri sorumlusunun hem çalışanlarının hem müşterilerinin kişisel verilerinin korunmasını sağlamak için gerekli tüm teknik ve idari güvenlik tedbirlerini almış olduğu;
hususlarına değinilmiştir.
Konuya ilişkin yürütülen inceleme sonucunda Kurul, kararında; veri sorumlusu tarafından sadece şirket personelinin erişim sağlayabildiği bir sosyal medya platformunda veri sorumlusuna başvuru formunun ve aydınlatma metninin yer almakta olduğunun ifade edildiği, ancak söz konusu başvuru formuna savunma dilekçesi ekinde yer verilmediği, aydınlatma metninin ise sadece adı geçen platformdaki başlığının görüntüsünün savunma dilekçesi ekinde yer aldığını ifade etmiştir. İlgili kişinin imzalamış olduğu iş sözleşmesinin aydınlatma yerine geçtiği iddia edilen maddesinin hem aydınlatmaya yönelik hem de ilgili kişiden açık rıza alınmasına yönelik ifadeler içeren, aydınlatma ve açık rıza metinlerinin içermesi gereken asgari unsurları da tam olarak içermeyen karma bir metin şeklinde kaleme alındığı, bu nedenle, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekliliği sağlanmadığından şekli olarak aydınlatmanın usulüne uygun yapılmadığına karar verilmiştir. Bununla birlikte özel nitelikli kişisel verilerin işlenmesine dair ilgili kişinin açık rızasının alınması için iş sözleşmesine bir madde eklenmesi yoluna gidilmesi ve açık rızanın iş sözleşmesiyle birleşik olarak sunulması sebebiyle ilgili kişinin özel nitelikli kişisel verilerinin işlenmesinde açık rıza verip vermemek konusundaki kararının özgür iradeye dayandığından söz edilemeyeceğine ve bu sebeple veri sorumlusu tarafından dayanılan açık rıza veri işleme şartının hukuka aykırı olduğuna karar verilmiştir. İlgili kişiye ait parmak izi ve yüz tarama verilerinin işlenme sebebi olarak veri sorumlusu tarafından belirtilen şirket çalışanlarının güvenliğinin sağlanması ihtiyacı ile orantısız olduğu, aynı amaca biyometrik verilerin işlenmesini gerektirmeyen manyetik kart okuyucu ve kontrol listesi gibi yöntemlerle de ulaşılabilmesi mümkün iken veri sorumlusu tarafından biyometrik veri işlenmesi yoluna gidilmesinin Kanun’un genel ilkelerinden ölçülü olma ilkesine uygun olmadığına karar verilmiştir. Aynı zamanda kararda, Kanun kapsamında veri sorumlularının aydınlatma yükümlülüğünü yerine getirmekle yükümlü olduğu ifade edilmiş ancak Kanun ve diğer mevzuatlarda veri sorumluları tarafından gizlilik politikası hazırlanmasına dair bir yükümlülüğün yer almadığı belirtilmiştir. Bu doğrultuda Kurul, veri sorumlusuna 125.000 TL idari para cezası uygulanmasına karar vermiştir.
Karara bu linkten ulaşabilirsiniz.