Kişisel Verileri Koruma Kurulunun 28/05/2020 tarihli ve 2020/435 sayılı Karar Özeti


“Bir kargo firmasında çalışan ilgili kişinin iş akdinin haksız feshedilmesi sonrası özlük dosyası kapsamında yer alan kişisel verilerinin birer suretinin tarafına verilmesi talebine veri sorumlusu tarafından cevap verilmemesi” hakkında Kişisel Verileri Koruma Kurulunun 28/05/2020 tarihli ve 2020/435 sayılı Karar Özeti

 

Karar Tarihi : 28/05/2020
Karar No : 2020/435
Konu Özeti : Bir kargo firmasında çalışan ilgili kişinin iş akdinin haksız feshedilmesi sonrası özlük dosyası kapsamında yer alan kişisel verilerinin birer suretinin tarafına verilmesine yönelik talebine veri sorumlusu tarafından cevap verilmemesi

 

İlgili kişiden alınan şikayet dilekçesinde özetle;

  • Bir kargo firmasında denetim uzmanı olarak görev yaparken iş akdinin haksız,  geçersiz ve tazminatsız olarak feshedildiği; tehdit, baskı ve türlü vaatlerde bulunularak tarafından ileri tarihli istifa dilekçesinin alınması sonrası özlük dosyası kapsamında yer alan kişisel verilerinin birer suretini 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 11 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında veri sorumlusu kargo firmasından talep etmesine rağmen, tarafına 30 gün içerisinde herhangi bir cevap verilmediği ifade edilerek Kanuna aykırı uygulaması nedeniyle veri sorumlusu hakkında yaptırım uygulanması ve özlük dosyası kapsamında yer alan kişisel verilerinin birer suretinin tarafına verilmesi amacıyla veri sorumlusunun talimatlandırılması talep edilmiştir.

Konuya ilişkin olarak başlatılan inceleme çerçevesinde veri sorumlusu kargo firmasından alınan savunmada;

  • İlgili kişi tarafından noter kanalıyla yapılan başvurunun Kanunun 11 inci maddesi kapsamında bir başvuru olmadığı bu nedenle cevap verilmediği, ilgili kişinin …. 1. Noterliğinden keşide edilen ihtarnamesi incelendiğinde; “İhtarın Konusu; tarafınızca iş akdim feshedilmeden önce tarafımdan almış olduğunuz 30.09.2019 tarihli önlü arkalı yazılı savunmamın tarafınızca tarafıma zorla imzalatılan 18.10.2019 tarihli istifa dilekçemin ve iş akdimin 17.10.2019 tarihinde tarafınızca feshi gerçekleştirildikten sonra aynı gün elden vermiş olduğum 17.10.2019 tarihli istifa dilekçemin birer örneğinin KVKK madde 11/1-b kapsamında tarafıma ibrazına ilişkin ihtarnamemdir.” şeklindeki talebinde veri sorumlusundan kişisel verilerine ilişkin bilgi talep etmediği, kendisi tarafından veri sorumlusuna verilen belgelerin birer örneğini talep ettiği, Kanunun 11 inci maddesinde ilgili kişinin haklarının düzenlendiği, ilgili kişinin veri sorumlusuna başvurarak kendisinden sadır olan belgelerin birer örneğini alabileceğine veya belge örneklerini isteyebileceğine ilişkin bir hakkın da madde metninde düzenlenmediği, bu nedenle ilgili kişinin başvurusu her ne kadar 11 inci maddeye dayandırılsa da başvuruda yer alan talebin Kanunda düzenlenen haklara ilişkin olmadığı, başvuru Kanunda düzenlenmeyen bir konu olan belge örneği talebi içerdiği için talebinin Kanunun 11 inci maddesi kapsamında karşılanmasının mümkün olmadığı,
  • Ayrıca, ilgili kişi tarafından veri sorumlusuna başvurularak örneği talep edilen veri sorumlusuna vermiş olduğu dilekçelerin Kanun kapsamında “tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla” işlenen bir veri de olmadığı,
  • İlgili kişi tarafından veri sorumlusuna noter aracılığıyla yapılan başvurusunun veri sorumlusuna ulaşma tarihinin 26.11.2019 olduğu, ilgili kişi tarafından ihtarname keşide edildikten 8 gün sonra henüz cevap verme süresi dolmadan bu defa 04.12.2019 tarihinde arabulucuya başvurularak konunun yargıya intikal ettirildiği, 
  • İlgili kişinin Kanunun 11 inci maddesi kapsamında düzenlenen “bilgiye erişim hakkını” kullanmak amacında olmadığı, bu yolla kendisine delil elde etmek amacında olduğu, kıdem ve itibar tazminatı ile sair işçilik alacaklarının kendisine ödenmesi amacıyla … 26. İş Mahkemesinde açılan dava dosyasına sunulan dava dilekçesinin 9. sayfasındaki 33 nolu paragrafta açık bir şekilde; “Kaldı ki, müvekkilimizden daha öncesinde alınan istifa dilekçesinin ve savunmasının işbu davada delil olarak kullanılabilmesi için müvekkilimiz davalı tarafa başvurmuş ve kendilerine …. Noterliği nezdinde … tarihli ve … yevmiye no.lu ihtarı keşide ederek işbu belgelerin kendisine verilmesini talep etmiştir.” hususunun ikrar edildiği, 
  • Türkiye Cumhuriyeti Anayasasının 38 inci maddesinin 5 inci fıkrasında “Hiç kimsenin kendisini ve kanunda gösterilen yakınlarını suçlayan bir beyanda bulunmaya veya bu yolda delil göstermeye zorlanmayacağı”nın hükme bağlandığı, taraflarının “susma hakkı” olarak da ifade edilen bu hakkı kullandığı, 
  • İlgili kişinin cevap verilmeyen …. . Noterliğinden keşide edilen ihtarnamede taraflarına karşı suç isnadında bulunulduğu ve kendisinden zorla imza alındığının iddia edildiğinin de izahtan vareste olduğu, bu nedenle ilgili kişinin başvurusunun Dilekçe Hakkının Kullanılması Kanununa da aykırı olduğu,
  • İlgili kişinin Kuruma 30.12.2019 tarihinde başvurduğu, bu tarihten önce ilgili kişinin 04.12.2019 tarihinde arabulucuya başvurduğu, Kişisel Verileri Koruma Kurulunun 24.12.2018 tarih ve 2018/156 sayılı Karar özetinde; “6698 sayılı Kişisel Verilerin Korunması Kanununun 15 inci maddesinin (2) numaralı fıkrasında 01.11.1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesinde “Yargı mercilerinin görevine giren konularla ilgili olan ihbar veya şikayetlerin incelemeye alınamayacağının hükme bağlandığı, şikayete konu iddiaların Türk Ceza Kanunu hükümleri uyarınca suç unsuru barındırdığı ve bunların da bireysel suç niteliğinde olduğu, bu kapsamda ilgili kişi tarafından da konunun yargıya intikal ettirilmiş olduğu dikkate alındığında söz konusu başvurunun Kanun kapsamında değerlendirilemeyeceğine” karar verildiği, ilgili kişi tarafından şikayet konusu yapılan hususun yargı mercilerinin görevine giren konularla ilgili olduğu, bu nedenle şikayetin reddinin gerektiği

beyanlarına yer verilmiştir.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 28/05/2020 tarih ve 2020/435 sayılı Kararı ile;

  • Kanunun “Tanımlar” başlıklı 3 üncü maddesinde “kişisel veri”nin kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlandığı, Kanunun gerekçesinde, sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgilerin değil, aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgilerin de bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade ettiğinden kişisel veri olarak tanımlandığı, diğer bir ifadeyle,  kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıyan veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsadığı,
  • Bu çerçevede öncelikli olarak, veri sorumlusundan alınan cevap yazısında ilgili kişinin kişisel verilerine ilişkin bilgi talep etmediği, ilgili kişinin veri sorumlusuna verdiği belgelerin birer örneğini talep ettiği iddiasına yer verilmiş olmakla birlikte Kanunun büyük ölçüde esas alınarak hazırlandığı 95/46/EC sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifinin 29 uncu maddesi uyarınca kurulmuş olan Madde 29 Çalışma Grubunun, kişisel veri kavramına ilişkin 20/06/2007 tarihinde yayınladığı görüşünde “Bir doktorun yazdığı ilaç reçetesinde yer alan bilgiler, doktor açısından kişisel veridir. İster kişiye özgü reçete olsun, ister belirli bir grup hastaya yazılan reçetelerden çıkartılan genel bilgi formatında olsun, ilgili hastalar ister belirli ister anonim olsun, doktorun kimliği belirlenebilir olduğu müddetçe reçete bilgileri doktor açısından kişisel veridir.” örneğine yer verildiği, bu minvalde, kişisel veri kavramının kimliği belirli veya belirlenebilir olmak şartıyla, bir kişiye ilişkin bütün bilgileri ifade ettiği,
  • Dolayısıyla, veri sorumlusunun ilgili kişiden 30.09.2019 tarihinde aldığı yazılı savunma ve 18.10.2019 ile 17.10.2019 tarihli istifa dilekçelerinin içerik itibariyle kişiye ilişkin bilgiler içerdiği ve bu bilgilerin ilgili kişiyi belirli veya belirlenebilir kıldığı, bu kişisel veriler sayesinde ilgili kişiye ulaşılabilir olduğu hususu göz önünde bulundurulduğunda bu bilgilerin kişisel veri niteliğinde olduğu sonucuna varıldığı,
  • Kanunun 3 üncü maddesinde ayrıca “ilgili kişi”nin kişisel verisi işlenen gerçek kişi; “veri sorumlusu”nun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi; “veri işleyen”in, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi; “kişisel verilerin işlenmesi”nin ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı,
  • Bu minvalde, şikayet başvurusunda bulunan kişinin ilgili kişi, kargo firmasının veri sorumlusu, ilgili kişiye ait istifa dilekçesinin özlük dosyası kapsamında muhafaza edilmesinin ise veri işleme faaliyeti olduğu,
  • Kanunun 4 üncü maddesinin (2) numaralı fıkrasında kişisel verilerin işlenmesinde uyulması zorunlu ilkelerin “a) hukuka ve dürüstlük kurallarına uygun olma, b) doğru ve gerektiğinde güncel olma, c) belirli, açık ve meşru amaçlar için işleme, ç) işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, d) ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” şeklinde düzenlendiği,
  • Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Anayasanın 20 nci maddesinin (3) numaralı fıkrasında “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” hükmüne yer verildiği,
  • Kanunun 11 inci maddesinde ise “(1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; a) Kişisel veri işlenip işlenmediğini öğrenme, b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.” hükmünün düzenlendiği, 
  • Kanunun 13 üncü maddesinin (1) numaralı fıkrasında da ilgili kişinin, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna ileteceği, aynı maddenin (2) numaralı fıkrasında ise veri sorumlusunun başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandıracağının düzenlendiği, bununla birlikte Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin (Tebliğ) 6 ncı maddesinin (2) numaralı fıkrasında da “Veri sorumlusu, başvuruyu kabul eder veya gerekçesini açıklayarak reddeder.” hükmüne yer verildiği,
  • Yukarıda anıldığı üzere Anayasanın 20 nci maddesinin (3) numaralı fıkrasında yer verilen düzenleme ile “… kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme…” hakkına sahip olduğu, Kanunun 11 inci maddesinin (1) numaralı fıkrasının (b) bendi çerçevesinde ise ilgili kişilerin kişisel verileri işlenmişse buna ilişkin bilgi talep etme hakkına sahip olduğunun düzenlendiği,  bu çerçevede, ilgili kişinin veri sorumlusundan kişisel veri niteliğinde olan yazılı savunmasını ve istifa dilekçelerini Kanunun 11 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında talep ettiği, yukarıda anılan mevzuat kapsamında ilgili kişinin kişisel verilerine erişme hakkının olduğu ve bu hakkını veri sorumlusuna karşı ileri sürebileceğinin değerlendirildiği, 
  • Ayrıca, veri sorumlusunun cevap yazısında; Türkiye Cumhuriyeti Anayasasının 38 inci maddesinin 5 inci fıkrasında “hiç kimsenin kendisini ve kanunda gösterilen yakınlarını suçlayan bir beyanda bulunmaya veya bu yolda delil göstermeye zorlanmayacağının” hükme bağlandığı, taraflarının “susma hakkı” olarak da ifade edilen bu hakkını kullandığı iddialarına yer verildiği görülmekle beraber Anayasa Mahkemesinin 2011/41 Esas sayılı ve 2012/25 Karar sayılı kararında “Anayasa'nın 38. maddesinde suç ve cezalara ilişkin temel ilkelere yer verilmiş, beşinci fıkrasında 'Hiç kimse kendisini ve kanunda gösterilen yakınlarını suçlayan bir beyanda bulunmaya veya bu yolda delil göstermeye zorlanamaz.' denilmiştir. İnsan hakları arasında yer alan, manevi işkenceyi meneden, insan haysiyetinin ve kişi dokunulmazlığının teminatı olan bu düzenlemeye, ceza yasalarında sanığın 'susma hakkı' olarak yer verilmiştir.” denildiği, dolayısıyla Anayasanın 38 inci maddesinin (5) numaralı fıkrasının Anayasa Mahkemesinin anılan kararından da anlaşılacağı üzere gerçek kişileri esas alan bir düzenleme olduğu ve temel insan hakları arasında bir hak olarak değerlendirildiğinin anlaşıldığı,
  • Veri sorumlusunun cevap yazısında; ilgili kişinin Kuruma 30.12.2019 tarihinde başvurduğu, bu tarihten önce ilgili kişinin 04.12.2019 tarihinde arabulucuya başvurduğu, bu anlamda Kişisel Verileri Koruma Kurulunun 24.12.2018 tarih ve 2018/156 sayılı karar özetine atıf yapılmak suretiyle ilgili kişi tarafından şikayet konusu yapılan hususun yargı mercilerinin görevine giren konularla ilgili olduğu, bu nedenle şikayetin reddinin gerektiği iddialarına yer verildiği, ancak ilgili kişinin Kurumu muhatap başvurusunda, veri sorumlusundan Kanunun 11 inci maddesi kapsamında özlük dosyasında yer alan yazılı savunmasının ve istifa dilekçelerini talep ettiğini belirterek, Kurumdan söz konusu kişisel verilerinin birer suretinin tarafına ibraz edilmemiş olması nedeniyle veri sorumlusu hakkında yaptırım uygulanmasını ve özlük dosyası kapsamında yer alan kişisel verilerinin birer suretinin tarafına verilmesini talebinde bulunduğunun anlaşıldığı, esasen Kuruma intikal eden şikayetin konusunun kişisel verilere ilişkin olduğu ve suç unsuru da barındırmadığı sonucuna varıldığı,
  • İlgili kişinin veri sorumlusuna karşı açmış olduğu davanın konusunun ise “Fazlaya ilişkin her türlü talep ve dava hakkımız saklı kalmak ile şimdilik; 100 TL kıdem tazminatı, 100 TL ihbar tazminatı, 100 TL maaşından kesilen yıllık izin alacağının faizleri ile birlikte davalı şirketten alınarak müvekkile ödenmesi talebine ilişkindir.” şeklinde olduğunun anlaşıldığı, bu minvalde, açılan davanın kişisel verilere ilişkin bir dava olmaması sebebiyle konunun kişisel verilere ilişkin olan yönünün Kurum tarafından ele alınmasında bir sakınca olmadığı 

değerlendirmelerinden hareketle, 

  • İlgili kişinin başvurusunun, Kanunda düzenlenen haklara ilişkin olmadığı ve başvurunun Kanunda düzenlenmeyen bir konu olan belge örneği talebi içerdiği için Kanunun 11 inci maddesi kapsamında karşılanmasının mümkün olmadığı gerekçesiyle veri sorumlusu tarafından 30 günlük yasal süre içerisinde cevaplandırılmadığı dikkate alındığında, ilgili kişiye ait kişisel veri niteliğindeki bilgilerini içeren 30.09.2019 tarihli savunma yazısı ile 18.10.2019 tarihli ve 17.10.2019 tarihli istifa dilekçelerinin birer örneğinin ilgili kişiye verilmesi hususunda Kanunun 15 inci maddesinin (5) numaralı fıkrası kapsamında veri sorumlusunun talimatlandırılmasına,
  • Veri sorumlusunun, ilgili kişiler tarafından Kanun kapsamında yapılan başvurulara yasal süresi içerisinde cevap vermesi noktasında azami dikkat ve özeni göstermesi gerektiği hususunda talimatlandırılmasına

karar verilmiştir.