Kişisel Verileri Koruma Kurulunun 09/03/2021 tarihli ve 2021/205 sayılı Karar Özeti


“İşten çıkarma sürecinde veri sorumlusu işveren tarafından ilgili kişinin kişisel verilerinin hukuka aykırı olarak işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 09/03/2021 tarihli ve 2021/205 sayılı Karar Özeti

 

Karar Tarihi : 09/03/2021
Karar No : 2021/205
Konu Özeti : İşten çıkarma sürecinde veri sorumlusu işveren tarafından ilgili kişinin kişisel verilerinin hukuka aykırı olarak işlenmesi

 

İlgili kişinin Kuruma intikal eden şikâyetinde özetle; ilgili kişinin iş sözleşmesinin feshedildiği tarihe kadar veri sorumlusu şirketin bir çalışanı olduğu, veri sorumlusu tarafından ilgili kişiye noter aracılığıyla ihtarname gönderilerek iş sözleşmesinin haksız olarak sona erdirildiği, işten çıkarma sürecinde şahsına ait iş eşyalarının yanı sıra ailevi özel eşyalarına da el konulduğu, veri sorumlusu şirketin çalışanlarının iş yerindeki odasına girerek masasında yer alan şirket bilgisayarını izinsiz ve haber vermeden aldığı, e-posta hesabının kapatıldığı, e-postalarına erişiminin ve e-posta göndermesinin engellendiği, bilgisayar ve e-postalarına bakıldığı, ilgili kişinin odasında arama yapıldığı, bunların yanında ilgili kişinin şahsına ait kişisel harici hard diskin de alındığı, özel bilgi ve belgeleri, banka bilgileri ve şifreleri ile fotoğraflarının ekrana yansıtılmak suretiyle odasında bulunan kişilerce izlendiği ve bu suretle veri sorumlusu tarafından kişisel verilerine karşı ihlal gerçekleştirildiği ifade edilerek veri sorumlusu hakkında gerekli incelemenin yapılması talep edilmiştir. 

Bu kapsamda başlatılan inceleme çerçevesinde söz konusu iddialara ilişkin veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle; 

  • İlgili kişinin kişisel verilerinin, veri sorumlusunun eski çalışanı olması nedeniyle başta İş Kanununun 75 inci maddesi ve Sosyal Sigorta İşlemleri Yönetmeliğinin 107 nci maddesi olmak üzere sair mevzuat uyarınca tutulması gereken iş yeri belgelerinin 10 yıl süre ile saklanmasını gerektiren yasal zorunluluk ve ilgili kişi ile veri sorumlusu arasında halen devam etmekte olan davaların takibi amacıyla tutulduğu, söz konusu kişisel verilerin saklama sürelerinin sonunda mevzuata uygun şekilde silineceği, yok edileceği veya anonim hâle getirileceği,
  • İlgili kişinin veri sorumlusunun eski çalışanı olması sebebiyle işlenen ve ilgili kişiyle devam etmekte olan davalar nedeniyle tutulan kişisel veriler dışında, ilgili kişiye ait “özel hard disk” ve “şifrelerin” veri sorumlusu bünyesinde saklanmadığı veya sair yollarla taraflarınca işlenmediği, 
  • 7036 sayılı İş Mahkemeleri Kanununun İş Mahkemelerinin görevlerini düzenleyen 5 inci maddesinin birinci fıkrasının (a) bendinde yer alan “5953 sayılı Kanuna tabi gazeteciler, 854 sayılı Kanuna tabi gemi adamları, 22/5/2003 Tarihli ve 4857 sayılı İş Kanununa veya 11/1/2011 tarihli ve 6098 sayılı Türk Borçlar Kanununun İkinci Kısmının Altıncı Bölümünde düzenlenen hizmet sözleşmelerine tabi işçiler ile işveren veya işveren vekilleri arasında, iş ilişkisi nedeniyle sözleşmeden veya kanundan doğan her türlü hukuk uyuşmazlıklarına” ifadesi ile Türk Borçlar Kanununda yer alan hizmet sözleşmelerinin İş Mahkemelerinin görev alanında olduğunun anlaşıldığı,
  • Türk Borçlar Kanununun İşçinin Kişiliğinin Korunması başlığı altında yer alan, Kişisel Verilerin Kullanılması alt başlıklı 419 uncu maddesinin “İşveren, işçiye ait kişisel verileri, ancak işçinin işe yatkınlığıyla ilgili veya hizmet sözleşmesinin ifası için zorunlu olduğu ölçüde kullanabilir.” şeklinde olduğu, bu düzenleme ile İş Mahkemelerinin görev alanında kişisel verilerin nasıl kullanılacağının (işleneceğinin) veya kullanılamayacağının (işlenemeyeceğinin) yer aldığı, mahkemenin bu konuda bir değerlendirmede bulunurken kişisel verilerin korunması ile ilgili tüm mevzuatı göz önünde bulunduracağının açık olduğu,
  • Bununla birlikte mahkemenin ilgili kişi tarafından ileri sürülen bu iddialara herhangi bir sonuç bağlamadığı, yukarıda belirtilen davalardaki taleplerin reddedildiği göz önünde bulundurulduğunda ilgili kişinin iddialarının mahkeme tarafından haklı bulunmadığının görüleceği, kaldı ki davaların hala istinaf aşamasında olmasının ilgili kişinin mahkeme tarafından haklı bulunmayan kişisel verilerle ilgili iddialarının istinaf aşamasında tekrar ileri sürmesi için bir imkân olduğu,
  • İlgili kişinin kişisel verilerinin hukuka aykırı işlenmesi ile ilgili iddialarının Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesinin (b) bendi kapsamında söz konusu davalarda da öne sürüldüğü ve konunun yargının görev alanına girdiği, şikâyetçinin dile getirdiği konuları daha önce dava konusu yapmış olmasının Kurulun bu konuda bir karar almasına engel olduğu,
  • Veri sorumlusu tarafından ilgili kişiye kullanımı için verilmiş olan dizüstü bilgisayarın işten çıkış aşamasında geri alındığı, kişinin dizüstü bilgisayarındaki veriler teslim alındıktan sonra hiçbir verisi kopyalanmadan, geri döndürülemeyecek şekilde silindiği,
  • İlgili kişinin şirkete ait e-posta hesabının işten ayrıldıktan sonra kapatılmasının, şirket hesabı ile şirket adına işlem yapılmasının engellenmesi amacıyla uygulanan standart bir prosedür olduğu

ifade edilmiştir. 

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 09/03/2021 tarihli ve 2021/205 sayılı Kararı ile;

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanunun “Veri Güvenliğine İlişkin Yükümlülükler”i düzenleyen 12 nci maddesinin (1) numaralı fıkrasında ise veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğunun hükme bağlandığı,
  • 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesi kapsamında yargı mercilerinin görevine giren konularla ilgili olan dilekçelerin Kurum tarafından incelenemeyeceği, 
  • Somut olayda ilgili kişinin Kuruma vermiş olduğu şikâyet dilekçesinde iddia ettiği hususları veri sorumlusu ile aralarında devam etmekte olan davalarda belirtmişse de bu davaların işçilik alacağı ve işe iade talepli davalar olduğu, bu dava dilekçelerinde ilgili kişinin, kişisel verileriyle ilgili iddialarını da belirttiği ancak kişisel verilerine ilişkin bir talep oluşturmadığı, ilgili kişi tarafından bu davaların ikame edilmesindeki amacın kişisel verilerine yönelik koruma talep etmek değil işe iade ve işçilik alacağı olduğu,
  • Veri sorumlusu tarafından verilen cevaptan ilgili kişinin kişisel verilerinin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” hükmüne ve (e) bendinde yer alan “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hükmüne istinaden gerçekleştirildiğinin anlaşıldığı,
  • Diğer taraftan iş sözleşmesi feshedildikten sonra ilgili kişinin kullanımına tahsis edilen şirket bilgisayarının formatlanması ve şirket e-postasının kapatılmasının Kanuna aykırılık teşkil etmediği, iş sözleşmesinin sonlanmasından sonra veri sorumlusu şirket tarafından, işçinin e-posta adresinin kapatılmasının ve işçinin kullanımına tahsis edilmiş bilgisayarın geri alınmasının hayatın olağan akışı gereği olduğu, ilgili kişi e-posta adresinin kapatılması suretiyle hesabına erişiminin engellendiğini belirtmişse de bu durumun Kanuna aykırılık teşkil etmeyeceği,
  • Yargıtay 9. Hukuk Dairesinin 05/02/2007 tarihli E.2006/30107, K.2007/2011 sayılı kararında bilgisayar kaynaklarının amacına uygun kullanılması ile ilgili işyeri iç düzenlemesine rağmen, davacının şirket bilgisayarını mesai saatleri içinde kişisel mailinde kullandığı, davacının bu davranışının şirketin iç işleyişi ile ilgili düzenlenen kurala aykırı olduğu gibi, mesai saatleri içinde kişisel ihtiyaçlarında işyeri bilgisayarını kullanarak iş görme edinimini yeterince yerine getirmediği, bu davranışının işyerinde olumsuzluklara neden olduğu, feshin geçerli nedene dayandığı sonucuna varıldığı, buradan hareketle işçinin kullanımına tahsis edilen bilgisayar ve e-posta adreslerinin sadece iş görme amacıyla kullanılması gerektiğinin değerlendirildiği, dolayısıyla ilgili kişinin e-posta adresinin sadece iş ile alakalı hususları içeriyor olması gerektiği, bu durumda ilgili kişi ile aralarında iş ilişkisi kalmayan veri sorumlusuna ait şirket e-posta hesabına ilgili kişinin ulaşmasında yararının bulunmadığının değerlendirildiği, dizüstü bilgisayar açısından da durumun benzer olduğu, veri sorumlusu tarafından dizüstü bilgisayarın içindeki verilerin geri döndürülemeyecek şekilde formatlanmış olduğu belirtildiği, sadece iş ile ilgili hususları içerdiği varsayılan bu bilgisayarın iş ilişkisi sonlandıktan sonra ilgili kişiden alınmasının Kanuna aykırılık teşkil etmediği,
  • İlgili kişinin, kişisel harici hard diskinin, şahsına ve ailesine ait özel bilgilerinin, banka bilgilerinin, banka şifrelerinin ve fotoğraflarının ekrana yansıtılmak suretiyle odasında bulunan kişilerce izlendiğine ilişkin iddialarıyla ilgili dosya kapsamında tevsik edici bir bilgi veya belgeye yer verilmediği

değerlendirmelerinden hareketle;

  • Veri sorumlusu ile ilgili kişi arasındaki iş sözleşmesi feshedildikten sonra ilgili kişinin kullanımına tahsis edilen şirket bilgisayarının formatlanması ve şirket e-postasının kapatılması suretiyle hesabına erişiminin engellenmesinin Kanuna aykırılık teşkil etmediğine,
  • İlgili kişinin, kişisel harici hard diskinin, özel bilgi ve belgelerinin, şahsına ve ailesine ait özel şeylerin, banka bilgilerinin, banka şifrelerinin ve fotoğraflarının ekrana yansıtılmak suretiyle odasında bulunan kişilerce izlendiğine ilişkin iddialarıyla ilgili dosya kapsamında tevsik edici bir bilgi veya belge bulunmadığından bu aşamada yapılacak bir işlem bulunmadığına

karar verilmiştir.