Kişisel Verileri Koruma Kurulunun 20/05/2020 tarihli ve 2020/404 sayılı Karar Özeti


“İşverenin, işçisine ait kişisel verileri ve özel nitelikli kişisel verileri; aydınlatma yükümlülüğünü yerine getirmeden ve hukuka aykırı işlemesi” hakkında Kişisel Verileri Koruma Kurulunun 20/05/2020 tarihli ve 2020/404 sayılı Karar Özeti

 

Karar Tarihi : 20/05/2020
Karar No : 2020/404
Konu Özeti : İşverenin, işçisine ait kişisel verileri ile özel nitelikli kişisel verileri; aydınlatma yükümlülüğünü yerine getirmeden ve hukuka aykırı işlemesi

 

Kuruma intikal eden şikâyet dilekçesinde özetle, 

  • İlgili kişinin çalışmakta olduğu veri sorumlusu şirketten 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 11 maddesi kapsamındaki hakları kapsamında bilgi talebinde bulunduğu, söz konusu talebine yeterli cevap alamadığı,
  • Veri sorumlusu tarafından kendisine kişisel verilerinin işlenme amacıyla ilgili olarak genel nitelikli bir bilgilendirme yapıldığı, verilerin işlenme ve saklanma süreçlerine ilişkin bilgi verilmediği, 
  • Veri sorumlusunun cevap yazısında çalışanların bordro bilgileri ve disiplin süreçlerine ilişkin bilgilerin HR Yazılım Programında tutulduğunu; tüm özlük bilgilerinin … Arşiv ve Dokümantasyon Programında tutulduğunu; performans değerlendirme süreçleri, disiplin süreçleri, masraf bilgilerine ait verilerin … Yazılım aracılığı ile elektronik ortamda tutulduğu bilgisinin verildiği, ancak bu programa kimlerin erişiminin olduğu, yetki matrisi olup olmadığına dair bilgilendirmenin yapılmadığı, ayrıca adı geçen programlarda saklanan verilerin ne kadar süre sonra silindiğine dair bilgi verilmediği, tüm çalışanların erişim yetkisi olan İntranet ağında bulunan “Veri Güvenliği Politikası”nda da bu bilgilere yer verilmediği,
  • Veri sorumlusu tarafından çalışanlarından elektronik ortamda KVKK Çalışma Muvafakatnamesi alındığı, söz konusu muvafakatnamenin çok geniş kapsamlı olduğu ve yeterli aydınlatmanın yapılmadığı, verilecek rızanın “battaniye rıza” olduğu, kendisinin bu muvafakatnameye onay vermekten imtina ettiği ancak onay vermek durumunda bırakıldığı,
  • Tüm çalışanların parmak izinin alındığı, çalışanların bu veriyi vermek zorunda bırakıldığı, parmak izi alındığı sırada çalışanların açık rızalarının alınmadığı ve aydınlatma yükümlülüğünün de yerine getirilmediği, biyometrik verilerin üçüncü taraf bir şirket ile paylaşılıp paylaşılmadığı, yeterli güvenlik önlemleri ile saklanıp saklanmağı hususlarında tarafına bilgi verilmediği 

belirtilerek hukuka aykırı uygulamaları nedeniyle veri sorumlusu hakkında gerekli yaptırımların uygulanması talep edilmiştir.

Başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

  • İlgili kişinin hangi kişisel verilerinin hangi amaçlara dayanılarak işlendiğine dair detaylı bilginin ilgili kişiye verdikleri cevapta da yer aldığı,
  • Şirketin kişisel verilerin gizliliğine ve güvenli şekilde saklanmasına önem verdiği, fiziki dosyaların yalnızca yetkili kişilerin erişimine açık olan kilitli dolaplarda ya da fiziki arşivlerde tutulduğu, fiziki olarak aktarılması gereken evrakların gizlilik dereceli belge olarak gönderildiği, elektronik ortamda tutulan kişisel verilerin ise sadece belirli kişilerin erişimine açık klasörlerde ve /veya şifreli yazılımlarda saklandığı, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin hukuka aykırı işlenmesinin önlenmesi, bilgi ve veri güvenliği ile alakalı mevzuatlar hakkında eğitimlerin verildiği, şirket içinde rastgele ve periyodik denetimler yapılarak bu ortamlara yetkisiz giriş ve çıkışların engellendiği,
  • Açık rıza metinlerinde hangi kişisel verilerin hangi meşru amaçlarla işleneceği, kimlere hangi amaçlarla aktarılabileceği, hukuki sebepleri, toplama yöntemi, kişisel verilere ilişkin olarak çalışanların haklarının neler olduğunun detaylı olarak anlatıldığı,
  • Hukuki dayanakların yerine getirilebilmesi için, çalışan muvafakatnamesinin ve açık rıza metninin her çalışandan ıslak imzalı şekilde temin edildiği; şayet çalışan tarafından onay verilmezse özlük dosyasının tamamlanmamış kabul edildiği,
  • Çalışanların “http://......com/” adresinden kişisel verilerin güvenli olarak saklanmasına ilişkin politika, prosedür ve kılavuzlara ulaşabildikleri, aynı şekilde yetki dereceleri matrisinin çalışanların erişimine açık olan  bu adreste yayınlandığı, matriste herhangi bir değişiklik söz konusu olduğunda güncelleme duyurularının site üzerinden yapıldığı,
  • Çalışan ve aday çalışanlarının her birine KVKK Aydınlatma Metni ve Açık Rıza metninin tebliğ edildiği ve çalışanların bu metinleri imza karşılığı olarak veri sorumlusuna teslim ettiği,
  • Çalışanların parmak izlerinin acil durum yönetimi sürecinin yürütülmesi, fiziksel mekan güvenliği ve yetkili kurum ve kuruluşlara bilgi verilmesi amaçlarıyla kullanıldığı, parmak izlerinin kriptografik yöntemlerle muhafaza edildiği, bu sebeple bu verilerin biyometrik veri niteliği taşımadığı,
  • Özel nitelikli verilerin işlenmesi kapsamında veri sorumlusu tarafından, taşınabilir bellek, CD veya VCD ile bunların taşınması gerektiğinde kriptografik yöntemlerle şifreleme yapıldığı, fiziken taşınması gerektiğinde ise gizlilik dereceli belge olarak gönderildiği,
  • Veri sorumlusu tarafından Kanunun 12 nci maddesi kapsamında kişisel verilerin uygun güvenlik düzeyini temin etmek amacıyla çalışanlara kişisel verilerin hukuka aykırı işlenmesinin önlenmesi, bilgi ve veri güvenliği ile alakalı mevzuatlar hakkında eğitimlerin verildiği, çalışanlara gizlilik sözleşmesi imzalatıldığı, güvenlik prosedür ve politikalarına uymayan çalışanlara disiplin prosedürünün uygulandığı, çalışanlar için veri güvenliği hükümlerini içeren disiplin düzenlemelerinin mevcut olduğu, çalışanlar için veri güvenliği ile ilgili olarak eğitim ve farkındalık çalışmaları yapıldığı, aydınlatma yükümlülüğünün yerine getirildiği, erişim loglarının düzenli olarak tutulduğu, şirket içi rastgele denetimler yapıldığı, bilgi güvenliği, kullanımı, saklanması imhası konularında şirket politikaları hazırlandığı ve uygulandığı, verilerin saklandığı ortamlar için arttırılmış güvenlik önlemleri alındığı, bu alanlara yetkisiz giriş ve çıkışların önlendiği, ağ ve uygulama güvenliği sağlandığı, kişisel veri içeren evrakların fiziken gönderilmesi gerektiğinde gizlilik dereceli belgeler olarak gönderildiği, bulutta depolanan kişisel verilerin güvenliğinin yalnızca yetkili kişilerin ulaşabileceği biçimde ayarlandığı

ifade edilmiştir.

Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 20/05/2020 tarihli ve 2020/404 sayılı Kararı ile;

  • Kanunun “Veri Sorumlusunun Aydınlatma Yükümlülüğü” başlıklı 10 uncu maddesinin “(1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.” hükmünü amir olduğu,
  • Aydınlatma yükümlülüğünün gerek açık rıza alınacağı durumlarda gerek Kanundaki diğer kişisel veri işleme şartlarından bağımsız olarak yerine getirilmesi gereken bir yükümlülük olduğu, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin (Tebliğ) 5 inci maddesinin birinci fıkrasının (e) bendi uyarınca aydınlatma yükümlülüğünün yerine getirilip getirilmediğinin ispatının veri sorumlusuna ait bulunduğu, veri sorumlusu tarafından aydınlatma yükümlülüğü yerine getirilirken; öncelikle veri sorumlusunun kimliğine, kişisel verilerin hangi amaçlarla işlendiğine, kişisel verilerin kimlere ve hangi amaçlarla aktarılabileceğine, elde edilecek kişisel verilerin toplanma yöntemlerine, işlemenin hukuki sebeplerine ve ilgili kişinin Kanunun 11 inci maddesindeki haklarına aydınlatma metninde yer verilmesi gerektiği,
  • Veri sorumlusu tarafından Kuruma gönderilen savunma yazısında çalışan ve aday çalışanlarının her birine KVKK Aydınlatma Metni ve Açık Rıza metninin tebliğ edildiği ve çalışanların bu metinleri imza karşılığı olarak veri sorumlusuna teslim ettiği ifade edilmekle birlikte yazıları ekinde aydınlatma metnine yer verilmediği, öte yandan ilgili kişinin şikayet dilekçesi ekinde yer verilen “Kişisel Verilerin İşlenmesine İlişkin Çalışan Muvafakatnamesi”nin hem aydınlatma metni hem de açık rıza metni olarak düzenlendiği kabul edildiğinde; Tebliğin 5 inci maddesinin birinci fıkrasının (f) bendinde yer alan “Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.” hükmü gereği şekli olarak aydınlatmanın usulüne uygun yapıldığından söz edilemeyeceği,
  • Diğer taraftan, bu metnin içerik olarak da açık rıza kapsamında ilgili kişiyi bilgilendirdiğinden ya da aydınlatma yükümlülüğünü yerine getirdiğinden söz edilemeyeceği zira, metinde çeşitli kişisel veri kategorileri sıralandıktan sonra “(…) sayılan kişisel veriler dahil olmak üzere ancak bunlarla sınırlı olmaksızın (…)” ifadesine yer verildiği ve hangi kişisel verilerin işleneceği (kategorik olarak) hususunun muğlak bırakıldığı, işlenecek veri kategorileri sıralandıktan sonra veri işleme amaçları da art arda sıralanmak suretiyle hangi veri kategorisinin hangi amaçla işleneceğine dair herhangi bir açıklamaya yer verilmediği, metinde “…. uygun gördüğü diğer üçüncü kişilere ve/veya yurt dışında paylaşılabileceği” ifadesinin yer aldığı bu kapsamda kimlere aktarım yapılacağının muğlak bir şekilde veri sorumlusuna bırakıldığı, ayrıca metinde biyometrik veri niteliğini haiz olan parmak izinin veri kategorileri içerisinde dahi sayılmadığı, 
  • “Açık rıza” kavramının Kanunun 3 üncü maddesinin birinci fıkrasının (a) bendinde; “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlandığı, ilgili kişilerin açık rızasının alınacağı hallerde; rızanın belirli bir konuya ilişkin olması, bilgilendirmeye dayanması ve özgür iradeyle açıklanması gerektiği, veri işlemek üzere verilen açık rızanın geçerli olması için, açık rızanın öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak verilmesi ve veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması gerektiği, bununla birlikte; açık rıza bir irade beyanı olduğundan, kişinin özgür bir şekilde rıza verebilmesi için, neye rıza gösterdiğini de bilmesi ve kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olması gerektiği, bu sebeple bilgilendirmenin, veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde, mutlaka verinin işlenmesinden önce yapılması gerektiği, ayrıca açık rızanın geçerlilik kazanabilmesi için kişinin yaptığı davranışın bilincinde ve kendi kararı sonucunda olması ve açık rızanın özgür iradeyle açıklanması gerektiğinden, herhangi bir hususun ilgili kişi tarafından açık rıza verilmesi şartına bağlanmaması, tarafların eşit konumda olmadığı veya taraflardan birinin diğeri üzerinde etkili olduğu durumlarda rızanın özgür iradeyle verilip verilmediğinin dikkatle değerlendirilmesi gerektiği, örneğin işçi-işveren ilişkisinde, işçiye rıza göstermeme imkânının etkin bir biçimde sunulmadığı veya rıza göstermemenin işçi açısından muhtemel bir olumsuzluk doğuracağı durumlarda, rızanın özgür iradeye dayandığının kabul edilemeyeceği,
  • Somut olayda, veri sorumlusu tarafından açık rıza metninin onaylanması için çalışanlara e-postalar gönderildiği, metni imzalamayan çalışanların listesinin tutulduğu, bu listelerin başkaca çalışanlara gönderilmesi suretiyle metni imzalamayan çalışanların metni imzalamalarının sağlanmasının talep edildiğinin anlaşıldığı, bununla birlikte çalışan tarafından onayın verilmemesi sebebiyle özlük dosyasının tamamlanmamış kabul edildiği durumlarda; işçiye rıza göstermeme imkânının etkin bir biçimde sunulmamasından ötürü verilen rızanın, geçerli bir açık rıza beyanı olarak değerlendirilemeyeceği, öte yandan, işçinin eşine ve çocuğuna ait kişisel verilerin işlenmesi için açık rıza vermesinin geçerlilik taşımayacağı,
  • Yine ilgili kişinin dilekçesinde; “ (…) parmak izinin alındığını, çalışanların bu veriyi vermek zorunda bırakıldığını, parmak izi alındığı sırada ilgili kişilerin açık rızalarının alınmadığını ve aydınlatma yükümlülüğünün de yerine getirilmediğini, biyometrik verilerin üçüncü taraf bir şirket ile paylaşılıp paylaşılmadığı, yeterli güvenlik önlemleri ile saklanıp saklanmağı hususlarında tarafına bilgi verilmediğinin (…)” dile getirildiği, veri sorumlusunun ise, “ (…) çalışanların parmak izlerinin acil durum yönetimi sürecinin yürütülmesi, fiziksel mekan güvenliği ve yetkili kurum ve kuruluşlara bilgi verilmesi amaçlarıyla kullanıldığını, parmak izlerinin kriptografik yöntemlerle muhafaza edildiğini, bu sebeple bu verilerin biyometrik veri niteliği taşımadığını (…)” belirttiği, biyometrik verilerin hash yöntemi ile saklandıklarında biyometrik veri olma niteliklerini kaybetmedikleri, bu bakımdan açık rızanın bulunmadığı hallerde biyometrik verilerin ancak Kanunun 6 ncı maddesinde öngörülen kanunlarda öngörülme şartı doğrultusunda işlenebileceği, bununla birlikte söz konusu verinin işlenme amacının da Kanunun genel ilkeleri arasında yer alan “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine de aykırı olduğu, örneğin fiziksel mekan güvenliğinin sağlanabilmesi için giriş esnasında manyetik kart sistemi, RFID etiketi, cep telefonuna gönderilecek bir SMS’in sisteme girilmesi gibi alternatif yollar ile sağlanması mümkünken çalışanların biyometrik veri niteliğindeki parmak izi verisinin alınmasının Kanunun 4 üncü maddesinin (2) numaralı fıkrasında yer alan “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi ile bağdaşmadığı, bu çerçevede “acil durum yönetimi sürecinin yürütülmesi, fiziksel mekan güvenliği ve yetkili kurum ve kuruluşlara bilgi verilmesi amaçları”nın farklı yollarla da hasıl olması mümkünken söz konusu veri işleme faaliyeti ile orantısız bir veri işleme yapıldığının değerlendirildiği,
  • İşlenen kişisel verilerin aktarıldığı üçüncü kişiler arasında “Bu bölümde sayılan şirketlerin yerini alabilecek diğer şirketler” benzeri ifadelerin yer alması halinde, işlenecek kişisel verilerin tam olarak nereye aktarılacağının rıza verecek ilgili kişi tarafından tam olarak bilinemeyebileceğinden, bu şekilde verilen rızanın açık rıza olarak değerlendirilmesinin mümkün olmayacağı,
  • Öte yandan kişisel verilerin yurtdışında mukim üçüncü kişilere aktarılması durumunda Kanunun 9 uncu maddesi uygulama alanı bulacağı, “Kişisel verilerin yurtdışına aktarılması” başlıklı 9 uncu maddesinde kişisel verilerin, ilgili kişinin açık rızası olmaksızın yurtdışına aktarılamayacağı; kişisel verilerin, Kanunun 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması, yeterli korunmanın bulunmaması durumunda ise Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabileceğinin hükme bağlandığı, bu çerçevede yurtdışına veri aktarımlarında açık rızanın olmadığı hallerde 9 uncu maddede öngörülen prosedürün işletilmesi gerektiği,
  • Ayrıca, veri sorumlusunun “bulutta depolanan kişisel verilerin güvenliğini yalnızca yetkili kişilerin ulaşabileceği biçimde ayarlandığı” ifadesi ele alındığında daha önce Kurul tarafından alınan 31.05.2019 tarihli ve 2019/157 sayılı l Kararı ile; “Google firmasına ait G-mail e-posta hizmeti altyapısının kullanılması durumunda gönderilen ve alınan e-postaların dünyanın çeşitli yerlerinde bulunan veri merkezlerinde tutulması söz konusu olacağından, böyle bir durumda kişisel verilerin yurt dışına aktarılmış olacağına ve veri sorumlularının söz konusu uygulamayı 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Kişisel verilerin yurt dışına aktarılması” başlıklı 9 uncu maddesi hükümlerine uygun olarak gerçekleştirmesine;“Server”ları yurt dışında bulunan veri sorumlularından/veri işleyenlerden temin edilen saklama hizmetlerinin de Kanunun 9 uncu maddesi hükümlerine uygun olarak gerçekleştirilmesine” karar verildiği, bu kapsamda serverları yurt dışında bulunan hizmetlerin kullanımının yurt dışına kişisel veri aktarımı olduğu ve Kanunun 9 uncu maddesine uygun hareket edilmesi gerektiği,
  • Yukarıda yer alan açıklamalar doğrultusunda, veri sorumlusunun çalışanlarının açık rızaları olmaksızın kişisel verilerini ve özel nitelikli kişisel verilerini işlediği ve bu verileri yine çalışanlarının açık rızası olmaksızın yurtiçi ve /veya yurtdışına aktardığının anlaşıldığı, Kanunun 12 nci maddesinin birinci fıkrasında; veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ile kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu hükme bağlandığı, ancak veri sorumlusunun Kanunla kendisine yüklenmiş olan bu yükümlülükleri yerine getirmediği

değerlendirmelerinden hareketle;

  • Aydınlatma yükümlülüğünü yerine getirmediği kanaatine varıldığından veri sorumlusu hakkında Kanunun 18 inci maddesinin birinci fıkrasının (a) bendi uyarınca 50.000 TL idari para cezası uygulanmasına,
  • Veri sorumlusunun çalışanlarının ve yakınlarının açık rızaları olmaksızın kişisel verilerini ve özel nitelikli kişisel verilerini işlediği, işlediği özel nitelikli kişisel veriler bakımından Kanunun 4 üncü maddesinde yer alan genel ilkelerden ölçülülük ilkesine aykırı hareket ettiği ve bu verileri yine çalışanlarının açık rızası olmaksızın yurtiçi ve /veya yurtdışına aktardığı görüldüğünden, Kanunun 12 nci maddesinin birinci fıkrasında yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ile kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı hareket ettiği kanaatine varılan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 200.000 TL idari para cezası uygulanmasına 

karar verilmiştir.