Ülkemizde kişisel verilerin korunması kanunu yürürlük tarihinden itibaren birçok değişiklikle karşılaşmıştır. Bunun en büyük sebebi teknolojiyle ayrılmaz bir bağı olan kişisel verilerin işlenmesi ve paylaşılması hızının gün geçtikçe artmasıdır. Kişisel Verilerin Korunması Kanunu bir çerçeve olmakla birlikte düzenlediği hükümlere ilişkin oldukça fazla ikincil mevzuata başvurulmaktadır. Kişisel Verileri Koruma Kurulu uygulamalarıyla yönetmelik ve tebliğlerin yanı sıra ilgililerinin faydalanabileceği rehberlere de yer verilmektedir. Ancak veri dünyasının hızına yetişebilmek adına en önemli kaynak Kurul İlke Kararları ve idari yaptırımlara yönelik Karar Özetleri olmuştur. Mevzuat bu kararlar doğrultusunda fazlasıyla şekillenmiştir. 

Kişisel Verileri Koruma kurumu tarafından 24.04.2023 tarihinde birçok yeni kurul kararı yayınlanmıştır. Kişisel Verileri Koruma Kurulunun  20/10/2022 tarihli ve 2022/1147 sayılı Kararını inceleyecek olursak;

“İlgili kişinin kişisel verilerinin iş akdinin feshinden sonra işveren tarafından işlenmeye devam edilmesi” hakkında Kişisel Verileri Koruma Kurulunun 20/10/2022 tarihli ve 2022/1147 sayılı Karar Özeti

Karar Tarihi : 20/10/2022
Karar No : 2022/1147
Konu Özeti :

İlgili kişinin kişisel verilerinin iş akdinin feshinden sonra işveren tarafından işlenmeye devam edilmesine ilişkin şikâyet

İlgili kişinin Kuruma intikal eden şikayetinde özetle; 

  • Mobilya-dekorasyon sektöründe faaliyet gösteren bir anonim şirket bünyesinde iç mimar olarak yaklaşık 3 yıl çalıştığı, iş akdinin feshi tarihinden sonra, pandemi döneminde veri sorumlusu şirket tarafından müşterilere yönelik olarak sosyal medya üzerinden gerçekleştirilen canlı yayınlardaki görüntüsünün TV reklamlarında, veri sorumlusu şirketin internet sitesinde, sosyal medya hesaplarında ve tanıtıma yönelik basılı materyallerde reklam ve pazarlama amacıyla kullanıldığı, görüntüsünün bu şekilde kullanımı ile ilgili olarak kendisine aydınlatma yapılmadığı, açık rızasının da alınmadığı, 
  • Öte yandan iş akdinin feshedildiği tarihten sonra veri sorumlusunun taşıma süreçlerine ilişkin kargolarda hala ilgili kişinin cep telefonu numarasının kullanıldığı, 
  • Yine iş akdinin feshedildiği tarihten sonra ilgili kişinin veri sorumlusu bünyesinde gerçekleştirilen satış ve tahsilat işlemlerinde işlemi gerçekleştiren kişi gibi göründüğü, 
  • Şikayete konu durum ve delillerin Ankara 4. Fikri ve Sınai Haklar Hukuk Mahkemesinin 2022/… D.İş sayılı dosyası üzerinden Bilirkişi Raporu ile tespit edildiği,
  • Veri sorumlusuna yapılan başvuruda ilgili kişiye ait kişisel verilerin imhası ve bu konuda kendisine bilgi verilmesinin talep edilmesine karşın veri sorumlusu tarafından bu konuda bir işlem yapılmayıp hatalı ve eksik bilgi verildiği, veri sorumlusu tarafından ilgili kişinin aydınlatma metnini imzaladığı ifade edilmiş ise de bu aydınlatma metninin iş akdi süresi içerisinde sınırlı olduğu, zira içerisinde “Kişisel verileriniz, iş akdiniz devam ettiği sürece yukarıdaki amaçlarla ve bu amaçların gerektirdiği süre boyunca saklanacaktır.” ibaresinin yer aldığı,
  • Veri sorumlusu tarafından ilgili kişiye çalıştığı süre boyunca iki adet şirket hattı tesis edildiği iddia edilmiş ise de kargo şirketine bildirilen numaranın, ilgili kişinin şahsî cep telefonu numarası olduğu, ilgili kişiye işten ayrıldıktan sonra gelen kargo SMS’lerinin de bunun kanıtı olduğu, şirket merkezinden ilgili kişinin çalıştığı mağazaya gönderilen ürünlerin kargolarında alıcı olarak halen ilgili kişinin telefon numarasının verildiği, bu durumun iş akdinin bitmesiyle birlikte hukuka aykırı hale geldiği,

ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması ve hukuka aykırı olarak işlenen kişisel verilerinin imha edilmesi talep edilmiştir. 
 
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle; 

  • İlgili kişinin görev tanımında ana sorumluluğunun “… müşterileri satın almaya teşvik edecek en iyi atmosferi yaratmak…” olarak belirlendiği, dolayısıyla ilgili kişinin mesleğini, satışa yönelik pazarlama faaliyetleri çerçevesinde sunarak gerçekleştirmesinin, işe alındığı pozisyonun gereği olduğu ve görev kapsamı içerisinde bulunduğu, bu hususlarının tümünün ilgili kişiye imzalatılan iş akdinde yer aldığı,
  • İlgili kişiye imzalatılan aydınlatma metninde bulunan “İşlenen kişisel verilerinizin yurt içindeki aktarımı” başlıklı maddenin altıncı bendinde “yazılım, kurumsal kaynak planlaması, raporlama, pazarlama vb. işlevlerin yerine getirilmesi amacıyla tedarikçi ve çözüm ortaklarıyla verilerin paylaşılabileceği” hususunun yer aldığı, bu hukuki mesnede binaen ilgili kişinin şirket reklamlarında yer alarak pazarlama amacıyla kişisel verilerinin işlenmesine rıza vermiş sayılacağı, ilgili kişinin işi gereği şirketin tanıtım yüzlerinden biri olduğu, ilgili kişinin bu işi bilerek kabul etmesine karşın iş akdi feshedildikten sonra bu hükümleri kötü niyetle şirket aleyhinde yorumlamaya çalıştığı,
  • İlgili kişinin “kargo paketi üzerinden görüldüğünden bahisle cep telefonu bilgisinin şirketçe işlenmeye devam edilmesi” iddiasının da izahtan vareste olduğu, bu konuda bir delil olmadığı, açıkça kötü niyetli bir iddia olduğu

ifade edilmiştir.

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun 20/10/2022 tarih ve 2022/1147 sayılı Kararı ile;

  • Kanun’un, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmü yer almakta olup bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin; a) Hukuka ve dürüstlük kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme şeklinde sayıldığı,
  • Kanun’un “Kişisel verilerin işlenme şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanun’un 7’nci maddesinde “Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi” hususu düzenlenmiş olup maddede; “(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. (2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır. (3) Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.” hükümlerine yer verildiği,
  • Ayrıca 6698 sayılı Kanun’un “Veri güvenliğine ilişkin yükümlülükler”i düzenleyen 12’nci maddesinin (1) numaralı fıkrasının (a), (b) ve (c) bentleri uyarınca veri sorumlularının; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idarî tedbiri almakla mesul tutulduğu,
  • Somut olaya ilgili kişinin reklam ve pazarlama amacıyla yayınlanan görüntülerinin ilgili kişinin veri sorumlusu bünyesinde çalışırken kendisinin iş tanımı kapsamı içerisinde alındığının anlaşıldığı ve bu nedenle söz konusu kişisel verilerin, veri sorumlusu bünyesindeki arşivlerde yasal süre müddetince muhafaza edilmesinin hukuka uygun olduğu kanaatine ulaşılmış ise de ilgili kişinin mesleğinin esas itibariyle mimarlık olup bu mesleğin icrasının ekran önünde görünmeyi gerektirmemesi ve ilgili kişi ile veri sorumlusu arasındaki çalışma akdinin hâlihazırda feshedilmiş olması, dolayısıyla ilgili kişinin başka bir şirket nezdinde çalışmaya başlaması veya kendi ticari faaliyetlerini yürütmeye karar vermesi gibi durumlarda veri sorumlusunun halen ilgili kişinin görüntülerini kullanarak reklam ve pazarlama maksatlı faaliyetler yürütmesinin hayatın olağan akışına aykırı olacağı,
  • Veri sorumlusunun ilgili kişiye verdiği cevapta, her ne kadar söz konusu cep telefonu numarasının, ilgili kişi tarafından iş süreçlerinde kullanılması amacıyla kargo şirketlerine kendi iradesiyle verildiği iddia ediliyor ise de Kanun’un 4’üncü maddesinde düzenlenen genel ilkeler gereğince işlemekte olduğu kişisel verileri bu ilkelere uygun bir şekilde doğru ve güncel tutması, elde etme amaçlarına uygun bir şekilde kullanması ve yalnızca hukukî sebep bulunduğu durumlarda, yasal süre müddetince muhafaza etmesi hususunda aktif özen yükümlülüğü altında bulunan veri sorumlusunun, iş akdini feshettiği bir çalışanının cep telefonu numarasını kendisine ait iş süreçlerinde kullanmak suretiyle, uhdesinde işlediği kişisel verilerin doğru ve güncelliğini sağlayamamış olduğu, veri sorumlusunun, ilgili kişinin kargo şirketi nezdinde kayıtlı bulunan cep telefonu numarasını yeni yetkili kişininki ile değiştirdiğini kargo şirketine bildirmediği ve ilgili kişinin kişisel verilerinin kullanımını sonlandırabilecek iken bunu yapmayarak ilgili kişinin kişisel verilerinin korunması adına gerekli hassasiyeti göstermediği, 
  • Zira şirket merkezinden ilgili kişinin çalıştığı mağazaya gönderilen ürünlerin kargolarının alıcısı olarak halen ilgili kişinin göründüğü, bu sebeple kargo şirketi tarafından ilgili kişinin kayıtlı kişisel cep telefonu numarasına SMS gönderimi yapıldığının görüldüğü, bu nedenle veri sorumlusunun Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (b) bendinde gösterilen “Doğru ve gerektiğinde güncel olma” ilkesine aykırı davrandığı,
  • Ankara 4. Fikri ve Sınai Haklar Hukuk Mahkemesinin 2022/… D. İş sayılı dosyasında yer alan Bilirkişi Raporundan ilgili kişinin iş akdinin fesih edildiği tarihten sonra yapılan pek çok satışta “işlemi gerçekleştiren” sorumlu personel olarak gösterildiğinin anlaşıldığı, bu minvalde işlemi yapan kişi olarak ilgili kişinin göründüğü belgeler tanzim edildiği, ilgili kişinin kişisel verilerinin bu bakımdan, veri sorumlusu nezdinde Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (b) bendinde gösterilen “Doğru ve gerektiğinde güncel olma” ilkesine aykırı bir şekilde işlendiği,
  • 6698 sayılı Kanun’da gösterilen genel ilkeler ve veri işleme şartlarına aykırı bir şekilde işlenen kişisel verilerin; veri sorumlusunun, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12’nci maddesinin (1) numaralı fıkrasının (a) bendinde ifade olunan, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idarî tedbirleri almadığını gösterdiği, 

değerlendirmelerinden hareketle,

İlgili Kişinin e-Posta Adresine Başka Abonelere Ait e-Faturaların Gönderilmesi İlgili Kişinin e-Posta Adresine Başka Abonelere Ait e-Faturaların Gönderilmesi
  • İlgili kişinin yer aldığı görüntülerin veri sorumlusunun arşivlerinde bulunmasının hukuka uygun olacağı ancak iş akdinin sona ermesinden sonra da söz konusu verilerin paylaşımına devam edilmesi suretiyle işlenmesinde Kanun kapsamında geçerli bir işleme şartının mevcut olmadığı, öte yandan ilgili kişinin kargo şirketleri nezdinde kayıtlı olan kişisel cep telefonu numarasının ve iş akdi feshedilmeden öncesinde çalıştığı mağazadaki dijital ödeme sistemleri, çeşitli evrak ve formlar içerisinde kayıtlı bulunan ve kendisini işlem yetkilisi olarak gösteren kişisel verilerinin Kanun’un 4’üncü maddesinde yer alan Genel İlkelerden “doğru ve gerektiğinde güncel olma” ilkesine aykırı şekilde işlendiği, bu verilerin işlenmesinde veri sorumlusunca bir başka hukuki nedenin de gösterilemediği görüldüğünden Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerini yerine getirmediği anlaşılan veri sorumlusu hakkında, ilgili kişinin hukuka aykırı olarak işlenen kimlik ve iletişim bilgileri kullanılarak yapılan satış, kargo gönderimi gibi yasal işlemlerin ilgili kişi üzerinde negatif sonuç doğurma riskinin yüksek olduğu hususu dikkate alınarak, Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 250.000 TL idarî para cezası uygulanmasına,
  • Diğer taraftan, ilgili kişinin hukuka aykırı bir şekilde işlendiği anlaşılan şahsî cep telefonu bilgisinin veri sorumlusu ve kargo şirketi kayıtlarından, isim ve soy isim bilgilerinin ise iş akdi feshedilmeden öncesinde çalıştığı mağazadaki dijital ödeme sistemleri, çeşitli evrak ve formlar içerisinden imha edilmesi, buna ilişkin usule uygun bir şekilde düzenlenecek olan tutanakların ilgili kişi vekiline iletilmesi ve bu tutanaklar ile ilgili belgelerin muhatabınca tebellüğ edildiğine dair delillerin Kurula da gönderilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir. 

Sonuç olarak; Kişisel Verileri Koruma Kurumu, "lgili kişinin yer aldığı görüntülerin veri sorumlusunun arşivlerinde bulunmasının hukuka uygun olacağı ancak iş akdinin sona ermesinden sonra da söz konusu verilerin paylaşımına devam edilmesi suretiyle işlenmesinde Kanun kapsamında geçerli bir işleme şartının mevcut olmadığı, öte yandan veri sorumlusu hakkında, ilgili kişinin hukuka aykırı olarak işlenen kimlik ve iletişim bilgileri kullanılarak yapılan satış, kargo gönderimi gibi yasal işlemlerin ilgili kişi üzerinde negatif sonuç doğurma riskinin yüksek olduğu hususu dikkate alınarak, Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi" uyarınca 250.000 TL idarî para cezası vermiştir.

Editör: Elif Kosedag